基于信息安全大数据的威胁漏洞挖掘方法及信息安全系统技术方案

本申请公开了一种基于信息安全大数据的威胁漏洞决策方法及信息安全系统，依据多种历史威胁行为情报整理形成的链式情报，考虑历史威胁行为模型中行为轨迹节点之间的渗透关系表达的威胁情报链，根据威胁情报链进行威胁渗透漏洞决策，可以改善传统方案中只考虑威胁行为的触发活动本身进行威胁渗透漏洞决策导致存在漏洞决策误差的情况，从而提高针对威胁防护活动和敏感业务请求活动之间威胁渗透漏洞的决策准确性，以便于提高后续进行安全防护加固的有效性。固的有效性。固的有效性。

【技术实现步骤摘要】
基于信息安全大数据的威胁漏洞挖掘方法及信息安全系统


[0001]本申请涉及大数据
，具体而言，涉及一种基于信息安全大数据的威胁漏洞挖掘方法及信息安全系统。

技术介绍

[0002]随着大数据技术的发展，数据和数据保护是云平台至关重要的考虑因素。所谓信息安全威胁是指特定类型攻击的来源和手段，通常是指新型或新发现的事故，这类事故有可能危害系统或云平台的整个组织。因此，威胁漏洞决策测试对于保证持续的系统安全就显得尤为重要。所谓漏洞测试，就是识别威胁漏洞的渗透关系，并在现有基础上依据威胁渗透进行安全防护加固，从而提高信息安全防护性能。
[0003]在传统技术方案中，通常只考虑威胁行为的触发活动本身进行威胁渗透漏洞决策，决策准确性，影响安全防护加固的有效性。

技术实现思路

[0004]本申请提供一种基于信息安全大数据的威胁漏洞挖掘方法及信息安全系统。
[0005]第一方面，本申请实施例提供一种基于信息安全大数据的威胁漏洞决策方法，应用于信息安全系统，包括：搜索实时防护名单中核心订阅业务接口的遍历威胁防护活动以及遍历敏感业务请求活动；解析所述遍历威胁防护活动对应的目标威胁防护指纹以及所述遍历敏感业务请求活动对应的目标敏感业务请求指纹，其中，威胁防护指纹代表威胁防护活动在威胁情报链中映射的链节点，敏感业务请求指纹代表敏感业务请求活动在所述威胁情报链中映射的链节点，所述威胁情报链根据历史威胁行为模型中威胁渗透轨迹以及多种历史威胁行为情报中的行为轨迹节点为链节点，根据行为轨迹节点之间的渗透关系为链节点关系的链式情报；根据所述目标威胁防护指纹、所述目标敏感业务请求指纹以及所述威胁情报链进行威胁渗透漏洞决策，输出目标威胁渗透漏洞信息，所述目标威胁渗透漏洞信息表示所述遍历威胁防护活动与所述遍历敏感业务请求活动之间的威胁渗透路由关系；依据所述目标威胁渗透漏洞信息对所述核心订阅业务接口进行安全防护加固。
[0006]基于以上方案，依据多种历史威胁行为情报整理形成的链式情报，考虑历史威胁行为模型中行为轨迹节点之间的渗透关系表达的威胁情报链，根据威胁情报链进行威胁渗透漏洞决策，可以改善传统方案中只考虑威胁行为的触发活动本身进行威胁渗透漏洞决策导致存在漏洞决策误差的情况，从而提高针对威胁防护活动和敏感业务请求活动之间威胁渗透漏洞的决策准确性，以便于提高后续进行安全防护加固的有效性。
附图说明
[0007]图1为本申请实施例提供的一种基于信息安全大数据的威胁漏洞决策方法步骤流程示意图。
具体实施方式
[0008]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。依据本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0009]步骤S101，搜索实时防护名单中核心订阅业务接口的遍历威胁防护活动以及遍历敏感业务请求活动。
[0010]一种实施例构思中，在当前安全防护加固的流程中，当需要对于核心订阅业务接口解析特定的威胁防护活动与敏感业务请求活动之间的威胁渗透路由关系时，可以通过数据加载请求加载至代表遍历威胁防护活动以及遍历敏感业务请求活动的信息(例如遍历威胁防护活动与遍历敏感业务请求活动的活动字段数据、持续项会话等)，信息安全系统根据该数据加载请求确定本次漏洞决策流程中的遍历威胁防护活动以及遍历敏感业务请求活动。
[0011]例如，可以从数据加载请求中获取到威胁防护活动a、威胁防护活动b以及敏感业务请求活动A和敏感业务请求活动B，则信息安全系统将威胁防护活动a和威胁防护活动b确定为遍历威胁防护活动，并将敏感业务请求活动A和敏感业务请求活动B确定为遍历敏感业务请求活动，由此决策威胁防护活动a与敏感业务请求活动A、敏感业务请求活动B之间的威胁渗透路由关系，以及威胁防护活动b与敏感业务请求活动A、敏感业务请求活动B之间的威胁渗透路由关系。
[0012]步骤S102，解析所述遍历威胁防护活动对应的目标威胁防护指纹以及遍历敏感业务请求活动对应的目标敏感业务请求指纹。
[0013]其中，威胁防护指纹代表威胁防护活动在威胁情报链中映射的链节点，敏感业务请求指纹代表敏感业务请求活动在威胁情报链中映射的链节点，威胁情报链根据历史威胁行为模型中威胁渗透轨迹以及多种历史威胁行为情报中的行为轨迹节点为链节点，根据行为轨迹节点之间的渗透关系为链节点关系的链式情报。相对于相关技术中只考虑威胁行为的触发活动本身进行威胁渗透漏洞决策，本申请依据多种历史威胁行为情报整理形成的链式情报，考虑历史威胁行为模型中行为轨迹节点之间的渗透关系表达的威胁情报链进行威胁渗透漏洞决策。
[0014]一种实施例构思中，信息安全系统中可以预先配置威胁情报链，该威胁情报链由威胁防护活动以及敏感业务请求活动的关联信息中的行为轨迹节点以及节点渗透关系组成。
[0015]例如，该威胁情报链是由大量威胁情报子链构建的链式网络，其中包含了威胁防护活动与敏感业务请求活动、威胁防护活动与威胁防护活动、威胁防护活动与威胁源、敏感业务请求活动与敏感业务请求活动、敏感业务请求活动与威胁源以及其它类型的关系，信息安全系统获取并存储上述每个威胁渗透单元，构建威胁情报链。
[0016]步骤S103，根据目标威胁防护指纹、目标敏感业务请求指纹以及威胁情报链进行威胁渗透漏洞决策，输出目标威胁渗透漏洞信息。
[0017]其中，目标威胁渗透漏洞信息表示遍历威胁防护活动与遍历敏感业务请求活动之间的威胁渗透路由关系。威胁情报链根据威胁情报子链的形式保存行为轨迹节点以及行为轨迹节点之间的关系，本申请实施例中的威胁情报链由威胁防护活动的威胁渗透单元以及与威胁防护活动或标的敏感业务请求活动相关的历史威胁行为情报构成。
[0018]信息安全系统根据目标威胁防护指纹以及目标敏感业务请求指纹确定其在威胁情报链中的相应链节点，进而确定与遍历威胁防护活动和遍历敏感业务请求活动相关的威胁防护活动的威胁渗透单元组合以及历史威胁行为情报，并依据从威胁情报链中获取到的信息进行威胁渗透漏洞决策，进而获得目标威胁渗透漏洞信息。
[0019]例如，信息安全系统确定威胁防护活动a与敏感业务请求活动B之间存在某个威胁渗透漏洞BUG FOR A1
‑
A2的热力值为90，则确定敏感业务请求活动B为威胁防护活动a的渗透敏感业务请求活动，二者之间存在某个威胁渗透漏洞BUG FOR A1
‑
A2，若确定威胁防护活动a与敏感业务请求活动A之间存在某个威胁渗透漏洞BUG FOR A1
‑
A2的热力值为5，则确定敏感业务请求活动A并非威胁防护活动a的渗透敏感业务请求活动，二者之间不存在某个威胁渗透漏洞BUG FOR A1
‑
A2。用户可以依据信息安全系统的决策信息进行威胁防护活动的威胁渗透单元的进一步研究。
[0020]步骤S104，依据本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于信息安全大数据的威胁漏洞决策方法，应用于信息安全系统，其特征在于，包括：搜索实时防护名单中核心订阅业务接口的遍历威胁防护活动以及遍历敏感业务请求活动；解析所述遍历威胁防护活动对应的目标威胁防护指纹以及所述遍历敏感业务请求活动对应的目标敏感业务请求指纹，其中，威胁防护指纹代表威胁防护活动在威胁情报链中映射的链节点，敏感业务请求指纹代表敏感业务请求活动在所述威胁情报链中映射的链节点，所述威胁情报链为根据历史威胁行为模型中威胁渗透轨迹以及多种历史威胁行为情报中的行为轨迹节点为链节点，根据行为轨迹节点之间的渗透关系为链节点关系的链式情报；根据所述目标威胁防护指纹、所述目标敏感业务请求指纹以及所述威胁情报链进行威胁渗透漏洞决策，输出目标威胁渗透漏洞信息，所述目标威胁渗透漏洞信息表示所述遍历威胁防护活动与所述遍历敏感业务请求活动之间的威胁渗透路由关系；依据所述目标威胁渗透漏洞信息对所述核心订阅业务接口进行安全防护加固。2.根据权利要求1所述的基于信息安全大数据的威胁漏洞决策方法，其特征在于，所述根据所述目标威胁防护指纹、所述目标敏感业务请求指纹以及所述威胁情报链进行威胁渗透漏洞决策，输出目标威胁渗透漏洞信息，包括：对所述威胁情报链中的威胁情报子链进行独立情报特征提取，输出独立威胁情报特征，所述威胁情报子链由第一行为轨迹节点、第二行为轨迹节点以及节点渗透关系组成，所述独立威胁情报特征以编码向量分布的方式表示所述威胁情报链中的链节点和子链关系向量；将所述目标威胁防护指纹、所述目标敏感业务请求指纹以及所述独立威胁情报特征加载至威胁渗透漏洞决策网络，输出所述目标威胁渗透漏洞信息；所述威胁渗透漏洞决策网络包括变量决策结构、变量聚团结构、变量优化结构和决策结构；所述将所述目标威胁防护指纹、所述目标敏感业务请求指纹以及所述独立威胁情报特征加载至威胁渗透漏洞决策网络，输出所述目标威胁渗透漏洞信息，包括：将所述目标威胁防护指纹和所述目标敏感业务请求指纹加载至所述变量决策结构，输出所述目标威胁防护指纹对应的威胁防护指纹变量以及所述目标敏感业务请求指纹对应的敏感业务请求指纹变量；将所述威胁防护指纹变量以及所述敏感业务请求指纹变量加载至所述变量聚团结构进行变量聚团，输出第一威胁渗透漏洞变量；将所述第一威胁渗透漏洞变量以及所述独立威胁情报特征加载至所述变量优化结构进行变量优化，输出第二威胁渗透漏洞变量；将所述第二威胁渗透漏洞变量加载至所述决策结构，输出所述目标威胁渗透漏洞信息。3.根据权利要求1所述的基于信息安全大数据的威胁漏洞决策方法，其特征在于，所述搜索实时防护名单中核心订阅业务接口的遍历威胁防护活动以及遍历敏感业务请求活动之后，所述方法包括：
对所述遍历威胁防护活动以及所述遍历敏感业务请求活动对应的目标持续项会话日志进行独立情报特征提取获得目标持续项会话特征，所述目标持续项会话日志包含所述遍历威胁防护活动的目标威胁防护持续项以及所述遍历敏感业务请求活动的目标敏感业务请求持续项，所述目标持续项会话特征包括所述目标威胁防护持续项对应的威胁防护持续项成员以及所述目标敏感业务请求持续项对应的敏感业务请求持续项成员；所述根据所述目标威胁防护指纹、所述目标敏感业务请求指纹以及所述威胁情报链进行威胁渗透漏洞决策，输出目标威胁渗透漏洞信息，包括：根据所述目标威胁防护指纹、所述目标敏感业务请求指纹、所述威胁情报链以及所述目标持续项会话特征进行威胁渗透漏洞决策，输出所述目标威胁渗透漏洞信息。4.根据权利要求1
‑
3中任意一项所述的基于信息安全大数据的威胁漏洞决策方法，其特征在于，所述搜索实时防护名单中核心订阅业务接口的遍历威胁防护活动以及遍历敏感业务请求活动之后，所述方法还包括：当分析出所述威胁情报链中不存在所述遍历威胁防护活动或所述遍历敏感业务请求活动，获取威胁防护异动数据，所述威胁防护异动数据包含所述遍历威胁防护活动对应的威胁渗透轨迹以及历史威胁行为情报，或所述遍历敏感业务请求活动对应的威胁渗透轨迹以及历史威胁行为情报；根据所述威胁防护异动数据调整所述威胁情报链。5.根据权利要求1
‑
3中任意一项所述的基于信息安全大数据的威胁漏洞决策方法，其特征在于，所述方法还包括：获取威胁情报链，所述威胁情报链根据参考数据簇中的行为轨迹节点为链节点，根据行为轨迹节点之间的渗透关系为链节点关系的链式情报，所述参考数据簇包括参考威胁渗透轨迹以及多种历史威胁行为情报；将所述威胁情报链对应的独立威胁情报特征、参考威胁防护指纹以及参考敏感业务请求指纹加载至威胁渗透漏洞决策网络，输出威胁渗透漏洞决策信息，所述参考威胁防护指纹代表参考威胁防护活动在威胁情报链中映射的链节点，所述参考敏感业务请求指纹代表参考敏感业务请求活动在所述威胁情报链中映射的链节点，参考持续项会话日志包含威胁防护活动的威胁防护持续项以及敏感业务请求活动的敏感业务请求持续项，所述威胁渗透漏洞决策信息为具有威胁渗透路由关系的威胁渗透轨迹；根据所述威胁渗透漏洞决策信息以及参考威胁渗透漏洞信息对所述威胁渗透漏洞决策网络进行网络权重调整，所述参考威胁渗透漏洞信息表示所述参考威胁防护活动与所述参考敏感业务请求活动之间的威胁渗透路由关系。6.根据权利要求5所述的基于信息安全大数据的威胁漏洞决策方法，其特征在于，所述获取威胁情报链之后，所述方法包括：对所述威胁情报链中的威胁情报子链进行独立情报特征提取，输出所述独立威胁情报特征，所述威胁情报子链由第一行为轨迹节点、第二行为轨迹节点以及节点渗透关系组成，所述独立威胁情报特征以编码向量分布的方式表示所述威胁情报链中的链节点和子链关系向量。7.根据权利要求5所述的基于信息安全大数据的威胁漏洞决策方法，其特征在于，所述将所述威胁情报链对应的独立威胁情报特征、参考威胁防护指纹以及参考敏感业务请求指
...

【专利技术属性】
技术研发人员：邓华，
申请(专利权)人：天津智宝通大数据服务有限公司，
类型：发明
国别省市：