【技术实现步骤摘要】
安全告警威胁性研判方法及装置
[0001]本专利技术涉及网络安全
,特别是涉及一种安全告警威胁性研判方法及装置。
技术介绍
[0002]安全告警威胁性研判是对监测运维系统捕获的告警进行威胁程度、真实性研判。安全告警威胁性研判基于黑白名单、敏感操作、网络行为等数据进行分析,对触发告警的威胁源主体进行识别和风险分析,通过对安全告警多个维度的分析实现对网络行为的威胁性研判。
[0003]目前安全告警威胁性研判是基于神经网络、深度学习等人工智能算法对网络行为本身进行威胁性研判,从告警中捕获网络通信行为、资源请求行为、敏感操作数据等,基于威胁分析模型实现对指定安全告警的威胁性研判。但基于人工智能算法的威胁性研判缺乏对历史情报数据、本体情报数据(情报数据间隐蔽的关联关系)的利用,对安全告警的威胁性研判未充分考虑其历史威胁行为。
技术实现思路
[0004]有鉴于此,本专利技术提供的一种安全告警威胁性研判方法及装置,主要目的在于解决现有技术中现有安全告警威胁性研判对历史情报数据利用的不充分问题,提出了基于关联推理的安全告警威胁性研判方法。该方法以构建的安全情报知识图谱为基础,对输入的安全告警要素进行关联推理,并提出深度权重自适应威胁系数算法,对安全告警要素进行威胁程性系数计算,综合形成安全告警威胁性研判结果。
[0005]根据本专利技术一个方面,提供了一种安全告警威胁性研判方法,该方法包括步骤:S1:基于历史情报库数据构建网络安全情报知识图谱;S2:对待研判的安全告警数据进行解析并提取各威胁实体...
【技术保护点】
【技术特征摘要】
1.一种安全告警威胁性研判方法,其特征在于,包括:S1:基于历史情报库数据构建网络安全情报知识图谱;S2:对待研判的安全告警数据进行解析并提取各威胁实体要素,基于所述网络安全情报知识图谱进行关联推理,形成所述安全告警数据的安全告警关联子图,用于描述所述安全告警数据中威胁实体要素之间的关联关系;S3:对所述安全告警关联子图进行实体威胁系数计算,分别获取所述安全告警数据中各威胁实体要素的实体威胁性系数;S4:综合各威胁实体要素的实体威胁性系数,计算所述安全告警数据的安全告警威胁性程度。2.根据权利要求1所述的安全告警威胁性研判方法,其特征在于,所述实体威胁性系数的计算步骤包括:S31:从所述安全告警关联子图中获取各所述威胁实体要素对应的实体,并基于所述历史情报库数据得到该实体标注的威胁程度;S32:对于各所述威胁实体要素,分别基于所述安全告警关联子图进行推理,获取所述威胁实体要素到各重点威胁实体的路径,并计算所述路径上从所述威胁实体要素到重点威胁实体之间的间隔实体数量;S33:基于各所述威胁实体要素所对应的威胁程度与所述间隔实体数量,采用深度权重自适应威胁系数算法,获取各所述威胁实体要素的所述实体威胁性系数。3.根据权利要求2所述的安全告警威胁性研判方法,其特征在于,所述各重点威胁实体包括APT组织实体、恶意样本实体及告警实体。4.根据权利要求3所述的安全告警威胁性研判方法,其特征在于,所述深度权重自适应威胁系数算法具体为:S
n
=E+(1
‑
E)
×
(∑1/sum
‑
apt
ij
+∑1/sum_alarm
ij
+∑1/sum_sample
ij
)/L其中:sum_apt
ij
为从所述威胁实体要素到APT组织实体间隔的实体数量;sum_sample
ij
为从所述威胁实体要素到恶意样本实体间隔的实体数量;sum_alarm
ij
为从所述威胁实体要素到告警实体间隔的实体数量;E为威胁实体要素威胁系数0≤E≤1,值越大表示所述威胁实体要素威胁程度越高;L表示从威胁实体要素到APT组织实体、恶意样本实体以及告警实体的间隔的实体数量的总和;∑表示当所述威胁实体要素关联到多个所述重点威胁实体时,对多个关联结果累加;S
n
表示第N个所述威胁实体要素的实体威胁性系数,0≤S
n
≤1,值越大表示该威胁实体要素的威胁程度越高。5.根据权利要求4所述的安全告警威胁性研判方法,其特征在于,所述安全告警威胁性程度算法具体为:S
n
表示第n个威胁实体要素威胁系数,0≤S
n
≤1,值越大表示威胁程度越高;S表示安全告警的威胁程度,0≤S≤1,值越大表示威胁程度越高。6.一种安全告警威胁性研判装置,其特征在于,包括:构建知识图谱模...
【专利技术属性】
技术研发人员:任传伦,王淮,刘晓影,乌吉斯古愣,俞赛赛,张先国,王玥,金波,任秋洁,
申请(专利权)人:中国电子科技集团公司第三十研究所中电科网络空间安全研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。