【技术实现步骤摘要】
威胁告警信息处理方法、装置、计算机设备和存储介质
[0001]本申请涉及计算机
,特别是涉及一种威胁告警信息处理方法、装置、计算机设备和存储介质。
技术介绍
[0002]随着计算机技术的发展,出现了安全产品,安全产品是指用于保证用户网络和主机的系统和信息安全,使系统正常运行的各种软件产品和相关的软、硬件结合的产品。安全产品在守护用户安全过程中会发出威胁告警信息,威胁告警信息是指安全产品在守护用户安全过程中发现可能对用户系统有危害的行为时,记录行为信息并触达终端发出的告警信息。
[0003]传统技术中,威胁告警信息到达终端后,终端的用户需要通过排查日志等方式获取入侵线索,并分析攻击类型,以实现对威胁告警信息的分析。
[0004]然而,传统方法,在存在海量威胁告警信息的情况下,威胁告警信息入侵分析的工作会大量重复,存在威胁告警信息处理效率低的问题。
技术实现思路
[0005]基于此,有必要针对上述技术问题,提供一种能够提高威胁告警信息处理效率的威胁告警信息处理方法、装置、计算机设备、存储介质
【技术保护点】
【技术特征摘要】
1.一种威胁告警信息处理方法,其特征在于,所述方法包括:获取与网络威胁关联的威胁告警信息;根据所述威胁告警信息,进行线索拓线,得到攻击行为画像;根据所述攻击行为画像,确定威胁家族信息以及威胁解决方案,并获取威胁发生时间节点;根据所述威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径;汇总所述威胁家族信息、所述威胁解决方案以及所述可疑行为攻击路径,得到网络威胁告警分析报告。2.根据权利要求1所述的方法,其特征在于,所述根据所述威胁发生时间节点,进行可疑行为溯源分析,得到可疑行为攻击路径包括:根据所述威胁发生时间节点,从缓存中获取历史日志信息;对所述历史日志信息进行可疑行为规则匹配,得到主机可疑行为数据;根据所述主机可疑行为数据,得到与所述威胁告警信息对应的可疑行为攻击路径。3.根据权利要求2所述的方法,其特征在于,所述根据所述主机可疑行为数据,得到与所述威胁告警信息对应的可疑行为攻击路径包括:对所述主机可疑行为数据进行攻击入口规则匹配,定位攻击入口,并确定与所述主机可疑行为数据对应的可疑行为发生时间节点;根据所述可疑行为发生时间节点,对主机可疑行为进行排序,确定主机可疑行为发生顺序;根据所述攻击入口和所述主机可疑行为发生顺序,得到可疑行为攻击路径。4.根据权利要求1所述的方法,其特征在于,所述根据所述威胁告警信息,进行线索拓线,得到攻击行为画像包括:根据所述威胁告警信息,提取威胁告警特征信息;根据所述威胁告警特征信息,进行线索拓线,得到与所述威胁告警特征信息关联的关联特征信息;基于所述威胁告警特征信息和所述关联特征信息,构建知识图谱;根据所述知识图谱,得到攻击行为画像。5.根据权利要求1所述的方法,其特征在于,所述根据所述攻击行为画像,确定威胁家族信息以及威胁解决方案包...
【专利技术属性】
技术研发人员:罗梦霞,沈江波,邱成,陶龙,杨耀荣,谭昱,程虎,
申请(专利权)人:腾讯数码天津有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。