本发明专利技术涉及设备安全技术领域,特别涉及一种异常攻击告警方法、装置、电子设备及存储介质,其中方法包括:获取初始的硬件资产列表;确定硬件资产动态变化异常检测基线;配置检测参数和告警策略;按照配置的检测参数获取最新的硬件资产列表;基于初始的硬件资产列表和最新的硬件资产列表,确定发生变动的设备;基于发生变动的设备及硬件资产动态变化异常检测基线,确定当前的硬件资产异常风险等级;基于当前的硬件资产异常风险等级及告警策略,执行对应的处置方式。本发明专利技术能够基于硬件设备资产动态变化实现异常攻击风险检测及告警。态变化实现异常攻击风险检测及告警。态变化实现异常攻击风险检测及告警。
【技术实现步骤摘要】
一种异常攻击告警方法、装置、电子设备及存储介质
[0001]本专利技术实施例涉及设备安全
,特别涉及一种异常攻击告警方法、装置、电子设备及存储介质。
技术介绍
[0002]计算机设备中内置或外置了CPU、磁盘、显卡、网卡、主板、U盘等各种硬件资产。当攻击者利用设有攻击载荷的硬件替换设备中正常的硬件资产来实现攻击的目的,尤其是直接替换设备内置的硬件资产,受害者往往是无感知的,看不到外在变化。现有技术通常难以及时发觉这种攻击,这给设备安全带来了风险。
技术实现思路
[0003]基于现有技术难以及时发现替换硬件资产的物理攻击的问题,本专利技术提供了一种异常攻击告警方法、装置、电子设备及存储介质,能够基于硬件设备资产动态变化实现异常攻击风险检测及告警。
[0004]第一方面,本专利技术实施例提供了一种异常攻击告警方法,包括:
[0005]获取初始的硬件资产列表;所述硬件资产列表中的项目至少包括设备名称、设备类型及设备接入时间;
[0006]确定硬件资产动态变化异常检测基线;
[0007]配置检测参数和告警策略;所述检测参数包括检测设备类型、检测时段和检测频率;所述告警策略包括告警条件及对应的处置方式,所述告警条件对应异常风险等级;
[0008]按照配置的所述检测参数获取最新的硬件资产列表;
[0009]基于初始的硬件资产列表和最新的硬件资产列表,确定发生变动的设备;
[0010]基于发生变动的设备及所述硬件资产动态变化异常检测基线,确定当前的硬件资产异常风险等级;
[0011]基于当前的硬件资产异常风险等级及所述告警策略,执行对应的处置方式。
[0012]可选地,所述处置方式包括不处置及告警上报;
[0013]所述告警上报包括生成告警报告并上报;
[0014]所述告警报告包括发生变动的检测对象的设备名称、设备类型、设备接入时间及对应的异常风险等级。
[0015]可选地,所述硬件资产动态变化异常检测基线包括多个异常维度,所述异常维度至少包括检测对象、检测对象重要程度、检测对象变动时段、检测对象变动时间间隔和检测对象变动数量,每组异常维度参数对应有异常风险等级;检测对象为一类设备或多类设备的组合;
[0016]所述硬件资产动态变化异常检测基线通过如下方式确定:
[0017]获取历史的硬件资产列表及攻击事件;
[0018]基于历史的硬件资产列表,确定各类设备的正常维护规律,所述正常维护规律包
括维护时段、维护时间间隔及单次维护数量;
[0019]基于历史的攻击事件,确定各类设备的攻击规律,所述攻击规律包括攻击时段、攻击变动时间间隔及单次攻击数量;
[0020]确定检测对象及对应的检测对象重要程度;
[0021]对确定的检测对象,基于所涉及设备的正常维护规律和攻击规律,划分检测对象变动时段、检测对象变动时间间隔和检测对象变动数量的参数阈值,并确定对应的异常风险等级。
[0022]可选地,所述的异常攻击告警方法还包括:
[0023]定期根据所述告警报告维护所述硬件资产动态变化异常检测基线。
[0024]可选地,所述硬件资产列表中的项目还包括:设备ID和设备型号;
[0025]所述告警报告还包括:变动前的设备ID和设备型号、变动后的设备ID和设备型号,以及所述硬件资产动态变化异常检测基线中与发生变动的检测对象相对应的异常维度参数。
[0026]可选地,所述处置方式还包括阻断相应设备。
[0027]可选地,所述的异常攻击告警方法还包括:
[0028]基于最新的硬件资产列表更新初始的硬件资产列表。
[0029]第二方面,本专利技术实施例还提供了一种异常攻击告警装置,包括:
[0030]初始化模块,用于获取初始的硬件资产列表;所述硬件资产列表中的项目至少包括设备名称、设备类型及设备接入时间;
[0031]基线确定模块,用于确定硬件资产动态变化异常检测基线;
[0032]配置模块,用于配置检测参数和告警策略;所述检测参数包括检测设备类型、检测时段和检测频率;所述告警策略包括告警条件及对应的处置方式,所述告警条件对应异常风险等级;
[0033]获取模块,用于按照配置的所述检测参数获取最新的硬件资产列表;
[0034]比对模块,用于基于初始的硬件资产列表和最新的硬件资产列表,确定发生变动的设备;
[0035]风险确定模块,用于基于发生变动的设备及所述硬件资产动态变化异常检测基线,确定当前的硬件资产异常风险等级;
[0036]处置模块,用于基于当前的硬件资产异常风险等级及所述告警策略,执行对应的处置方式。
[0037]第三方面,本专利技术实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
[0038]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
[0039]本专利技术实施例提供了一种异常攻击告警方法、装置、电子设备及存储介质,本专利技术获取初始的硬件资产列表和最新的硬件资产列表,确定发生变动的检测对象,结合硬件资产动态变化异常检测基线检测发生变动的检测对象,确定相应的异常风险等级,并执行相
应的处置。本专利技术能够基于硬件设备资产动态变化实现异常攻击风险检测及告警,以便及时、快速地发觉替换硬件资产的物理攻击,从而保障设备安全。
附图说明
[0040]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0041]图1是本专利技术一实施例提供的一种异常攻击告警方法流程图;
[0042]图2是本专利技术一实施例提供的一种电子设备的硬件架构图;
[0043]图3是本专利技术一实施例提供的一种异常攻击告警装置结构图。
具体实施方式
[0044]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0045]如前所述,当攻击者利用设有攻击载荷的硬件替换设备中正常的硬件资产来实现攻击的目的,尤其是直接替换设备内置的硬件资产,受害者往往是无感知的,看不到外在变化。比如方程式APT攻击组织曾通过重新编程硬盘固件对硬盘固件进行改写,在用户无感知的情况下,通过物理设备即可实现持久化的恶意攻击,如恶意软件Fanny使本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常攻击告警方法,其特征在于,包括:获取初始的硬件资产列表;所述硬件资产列表中的项目至少包括设备名称、设备类型及设备接入时间;确定硬件资产动态变化异常检测基线;配置检测参数和告警策略;所述检测参数包括检测设备类型、检测时段和检测频率;所述告警策略包括告警条件及对应的处置方式,所述告警条件对应异常风险等级;按照配置的所述检测参数获取最新的硬件资产列表;基于初始的硬件资产列表和最新的硬件资产列表,确定发生变动的设备;基于发生变动的设备及所述硬件资产动态变化异常检测基线,确定当前的硬件资产异常风险等级;基于当前的硬件资产异常风险等级及所述告警策略,执行对应的处置方式。2.根据权利要求1所述的方法,其特征在于,所述处置方式包括不处置及告警上报;所述告警上报包括生成告警报告并上报;所述告警报告包括发生变动的检测对象的设备名称、设备类型、设备接入时间及对应的异常风险等级。3.根据权利要求1所述的方法,其特征在于,所述硬件资产动态变化异常检测基线包括多个异常维度,所述异常维度至少包括检测对象、检测对象重要程度、检测对象变动时段、检测对象变动时间间隔和检测对象变动数量,每组异常维度参数对应有异常风险等级;检测对象为一类设备或多类设备的组合;所述硬件资产动态变化异常检测基线通过如下方式确定:获取历史的硬件资产列表及攻击事件;基于历史的硬件资产列表,确定各类设备的正常维护规律,所述正常维护规律包括维护时段、维护时间间隔及单次维护数量;基于历史的攻击事件,确定各类设备的攻击规律,所述攻击规律包括攻击时段、攻击变动时间间隔及单次攻击数量;确定检测对象及对应的检测对象重要程度;对确定的检测对象,基于所涉及设备的正常维护规律和攻击规律,划分检测对象变动时段、检测对象变动时间间隔和检测对象变动数量的参数阈值,并确定对应的异常风险等级。4.根据权利要求2所述的方...
【专利技术属性】
技术研发人员:黄磊,童志明,肖新光,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。