威胁预警方法、装置、系统、设备及存储介质制造方法及图纸

本申请提供一种威胁预警方法、装置、系统、设备及存储介质。该方法包括：对从设定区域范围内收集的运行信息进行分析，生成基础威胁信息，设定区域范围包括：内网的蜜网范围以及外网的蜜网范围，蜜网范围包括：蜜罐集群、路由器以及网关，蜜罐集群包括：多个设置在各网络节点的蜜罐；运用基于随机过程和数理统计的威胁预警算法，对基础威胁信息进行分析，得到全路径攻击信息，全路径攻击信息包括：攻击点、攻击顺序以及攻击频率；根据全路径攻击信息，生成威胁预警信息，威胁预警信息包括：防护目标终端、攻击者终端以及攻击方式；根据威胁预警信息确定威胁预警防御控制策略。本申请的方法，增加了威胁预警的覆盖范围，提高了准确率以及效率。效率。效率。

【技术实现步骤摘要】
威胁预警方法、装置、系统、设备及存储介质


[0001]本申请涉及信息安全相关
，尤其涉及一种威胁预警方法、装置、系统、设备及存储介质。

技术介绍

[0002]当前，世界各国信息化快速发展，信息技术的应用促进了全球资源的优化配置和发展模式的创新，互联网对政治、经济、社会和文化的影响更加深刻，信息化渗透到国民生活的各个领域，网络和信息系统已经成为关键基础设施乃至整个经济社会的神经中枢，围绕信息获取、利用和控制的国际竞争日趋激烈，保障信息安全成为各国重要议题。
[0003]现有的技术方案中，可以通过搭建蜜网的方式减少信息系统面对信息安全威胁时发生信息安全事故的概率。
[0004]然而，仅通过蜜网进行威胁预警的方式，会造成准确率和效率较低且覆盖面较小的问题。

技术实现思路

[0005]本申请提供一种威胁预警方法、装置、系统、设备及存储介质，用以解决威胁预警效率低、准确率低以及覆盖范围小的问题。
[0006]第一方面，本申请提供一种威胁预警方法，包括：
[0007]对从设定区域范围内收集的运行信息进行分析，生成基础威胁信息，所述设定区域范围包括：内网的蜜网范围以及外网的蜜网范围，所述蜜网范围包括：蜜罐集群、路由器以及网关，所述蜜罐集群包括：多个设置在各网络节点的蜜罐；
[0008]运用基于随机过程和数理统计的威胁预警算法，对所述基础威胁信息进行分析，得到全路径攻击信息，所述全路径攻击信息包括：攻击点、攻击顺序以及攻击频率；
[0009]根据所述全路径攻击信息，生成威胁预警信息，所述威胁预警信息包括：防护目标终端、攻击者终端以及攻击方式；
[0010]根据所述威胁预警信息确定威胁预警防御控制策略。
[0011]第二方面，本申请提供一种威胁预警装置，包括：
[0012]分析模块，用于对从设定区域范围内收集的运行信息进行分析，生成基础威胁信息，所述设定区域范围包括：内网的蜜网范围以及外网的蜜网范围，所述蜜网范围包括：蜜罐集群、路由器以及网关，所述蜜罐集群包括：多个设置在各网络节点的蜜罐；
[0013]所述分析模块，还用于运用基于随机过程和数理统计的威胁预警算法，对所述基础威胁信息进行分析，得到全路径攻击信息，所述全路径攻击信息包括：攻击点、攻击顺序以及攻击频率；
[0014]确定模块，用于根据所述全路径攻击信息，生成威胁预警信息，所述威胁预警信息包括：防护目标终端、攻击者终端以及攻击方式；
[0015]所述确定模块，还用于根据所述威胁预警信息确定威胁预警防御控制策略。
[0016]第三方面，本申请提供一种威胁预警系统，包括：
[0017]威胁预警装置、内网蜜网以及外网蜜网，
[0018]所述威胁预警装置，用于对从设定区域范围内收集的运行信息进行分析，生成基础威胁信息，所述设定区域范围包括：内网的蜜网范围以及外网的蜜网范围，所述蜜网范围包括：蜜罐集群、路由器以及网关，所述蜜罐集群包括：多个设置在各网络节点的蜜罐，运用基于随机过程和数理统计的威胁预警算法，对所述基础威胁信息进行分析，得到全路径攻击信息，所述全路径攻击信息包括：攻击点、攻击顺序以及攻击频率，根据所述全路径攻击信息，生成威胁预警信息，所述威胁预警信息包括：防护目标终端、攻击者终端以及攻击方式，根据所述威胁预警信息确定威胁预警防御控制策略；
[0019]所述内网蜜网，用于为所述威胁预警装置提供所述内网蜜网范围的运行信息；
[0020]所述外网蜜网，用于为所述威胁预警装置提供所述外网蜜网范围的运行信息。
[0021]第四方面，本申请提供一种威胁预警设备，包括：
[0022]处理器，存储器，通信接口；
[0023]所述存储器用于存储所述处理器的可执行指令；
[0024]其中，所述处理器配置为经由执行所述可执行指令来执行如上第一方面所述的威胁预警方法。
[0025]第五方面，本申请提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现执行如上第一方面所述的威胁预警方法。
[0026]本申请提供的威胁预警方法、装置、系统、设备及存储介质，通过对从设定区域范围内收集的运行信息进行分析，生成基础威胁信息，设定区域范围包括：内网的蜜网范围以及外网的蜜网范围，蜜网范围包括：蜜罐集群、路由器以及网关，蜜罐集群包括：多个设置在各网络节点的蜜罐，其中，收集运行数据的设定区域范围设置为内网蜜网范围以及外网蜜网范围，增加了数据采集范围，进一步增加了威胁预警的覆盖范围；运用基于随机过程和数理统计的威胁预警算法，对基础威胁信息进行分析，得到全路径攻击信息，全路径攻击信息包括：攻击点、攻击顺序以及攻击频率；其中，本申请提出的基于随机过程和数理统计的威胁预警算法可以提高获得全路径攻击信息的效率以及准确率，进一步提高了威胁预警的效率以及准确率。
附图说明
[0027]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。
[0028]图1为本申请实施例提供的威胁预警方法的流程示意图；
[0029]图2为本申请实施例提供的运用基于随机过程和数理统计的威胁预警算法，对基础威胁信息进行分析，得到全路径攻击信息的流程示意图；
[0030]图3为本申请实施例提供的分别对多组全路径攻击信息的评估参数以及基础威胁信息进行马尔可夫正交泊松监控分析，生成最优全路径分析结果的流程示意图；
[0031]图4为本申请实施例提供的根据威胁预警信息制定威胁预警防御控制策略并实施防御控制措施的流程示意图；
[0032]图5为本申请实施例提供的一种威胁预警装置的结构示意图；
[0033]图6为本申请实施例提供的一种威胁预警系统的结构示意图；
[0034]图7为本申请实施例提供的一种威胁预警系统网络架构示例图；
[0035]图8为本申请实施例提供的一种威胁预警设备的结构示意图。
[0036]通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
[0037]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0038]现有技术方案中，可以通过搭建蜜网的方式减少信息系统面对信息安全威胁时发生信息安全事故的概率。然而，仅通过蜜网进行威胁预警的方式，会造成准确率和效率较低且覆盖面较小的问题。
[0039]本申请通过对从设定区域范围内收集的运行信息进行分析，生成基础威胁信息，设定区域范围包括：内网的蜜网范围以本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种威胁预警方法，其特征在于，应用于威胁预警装置，包括：对从设定区域范围内收集的运行信息进行分析，生成基础威胁信息，所述设定区域范围包括：内网的蜜网范围以及外网的蜜网范围，所述蜜网范围包括：蜜罐集群、路由器以及网关，所述蜜罐集群包括：多个设置在各网络节点的蜜罐；运用基于随机过程和数理统计的威胁预警算法，对所述基础威胁信息进行分析，得到全路径攻击信息，所述全路径攻击信息包括：攻击点、攻击顺序以及攻击频率；根据所述全路径攻击信息，生成威胁预警信息，所述威胁预警信息包括：防护目标终端、攻击者终端以及攻击方式；根据所述威胁预警信息确定威胁预警防御控制策略。2.根据权利要求1所述的方法，其特征在于，所述运用基于随机过程和数理统计的威胁预警算法，对所述基础威胁信息进行分析，得到全路径攻击信息，包括：S1：根据所述基础威胁信息随机生成多组全路径攻击信息的评估参数，所述评估参数包括：准确率F、效率W以及覆盖率C，所述准确率F是与所述基础威胁信息相比全路径攻击信息的准确率，所述效率W指所述全路径攻击信息的生成效率，所述覆盖率C是与所述基础威胁信息相比所述全路径供给信息中覆盖威胁的比例；S2：分别对多组所述全路径攻击信息的评估参数以及所述基础威胁信息进行马尔可夫正交泊松监控分析，生成最优全路径分析结果；S3：对所述评估参数进行多元方差分析以及协方差矩阵评估检测，判断所述评估参数是否符合目标检测要求，若是，执行步骤S4，若否，则执行步骤S1；S4：对所述评估参数进行监督学习，得到学习后的评估参数；S5：将迭代次数加1，并判断当前迭代次数是否小于迭代次数阈值，若否，则执行步骤S6，若是，返回执行步骤S1，并根据所述学习后的评估参数执行步骤S2，所述学习后的评估参数对最新生成的最优全路径分析结果起校正作用；S6：将所述最优全路径分析结果作为所述全路径攻击信息。3.根据权利要求2所述的方法，其特征在于，所述分别对多组所述全路径攻击信息的评估参数以及所述基础威胁信息进行马尔可夫正交泊松监控分析，生成最优全路径分析结果，包括：分别对多组所述全路径攻击信息的评估参数以及所述基础威胁信息进行马尔可夫正交泊松监控分析，生成多个所述全路径攻击信息的评估参数对应的初始全路径分析结果；计算各所述初始全路径分析结果的马尔可夫正交泊松优选参数值d；选取所述马尔可夫正交泊松优选参数值d最小的所述初始全路径分析结果作为最优全路径分析结果。4.根据权利要求3所述的方法，其特征在于，所述计算各所述初始全路径分析结果的马尔可夫正交泊松优选参数值d，具体根据以下公式进行计算：
式中，为第k次迭代的初始全路径分析结果的马尔可夫正交泊松监控模型评估参数值，k为迭代次数，i、j和t为维度，E为期望值，λ与n为服从参数，为第k次迭代的准确率、为第k次迭代的效率、为第k次迭代的覆盖率，为第k次迭代的准确率的概率密度、为第k次迭代的效率的概率密度、为第k次迭代的覆盖率的概率密度。5.根据权利要求4所述的方法，其特征在于，所述判断所述评估参数是否符合目标检测要求，具体根据以下公式进行判断：6.根据权利要求5所述的方法，其特征在于，所述对所述评估参数进行监督学习，得到学习后的评估参数...

【专利技术属性】
技术研发人员：王智明，段霞光，蓝建旺，于城，史炳荣，王鑫妍，杜飞，李思聪，金刚，李金玲，李嘉凡，李腾，
申请(专利权)人：联通数字科技有限公司，
类型：发明
国别省市：