【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种安全事件检测方法、装置、设备以及存储介质。
技术介绍
1、目前,在网络安全设备中发生蠕虫病毒等网络攻击事件时,网络安全设备可以对网络攻击事件进行识别,并根据网络攻击事件的类型和属性,判断网络攻击事件对应的威胁等级。具体的,在检测是否发生网络攻击事件时,通常先对网络安全设备的目标日志数据进行统计分析,当目标日志数据与对应的网络攻击事件规则匹配时,则认为发生了网络攻击事件,并向服务器发出告警。
2、但是,不同网络安全设备厂家的硬件网络安全设备和判断规则不同,当某一平台接入多种网络安全设备时,缺乏一个统一的、标准化的网络攻击事件威胁等级标准,无法按照统一的标准对网络攻击事件进行归纳,使得网络检测安全性和准确性低。
技术实现思路
1、本申请的主要目的在于提供一种安全事件检测方法、装置、设备以及存储介质,旨在解决无法按照统一的标准对网络攻击事件进行归纳,使得网络检测安全性和准确性低的技术问题。
2、为实现上述目的,本申请提供一种安全事件检测方法,包括:
3、获取目标日志数据以及不同网络安全设备的至少一个历史数据包;其中,目标日志数据包含有网络攻击事件的描述信息;
4、对至少一个历史数据包进行入侵检测和病毒匹配,得到各网络安全设备的病毒数据;
5、基于病毒数据,确定事件检测标准维度;
6、基于事件检测标准维度,确定网络攻击事件的事件危险度数值,得到网络攻击事件的威胁等级。
7、可
8、从与目标日志数据对应的网络安全设备中的事件类型危险度码表中,确定出可靠度数值、事件所处攻击链阶段数值以及告警级别数值;
9、基于可靠度数值、事件所处攻击链阶段数值以及告警级别数值,确定网络攻击事件在源ip地址地区风险维度的第一得分;
10、基于网络攻击事件的源ip地址的归属地,确定网络攻击事件在源ip地址、目的ip地址一致维度的第二得分;
11、基于网络攻击事件的30天源ip地址、目的ip地址一致事件小类数,将30天源ip地址、目的ip地址一致事件小类数-1,确定网络攻击事件在1小时源ip地址、目的ip地址一致攻击维度的第三得分;
12、基于网络攻击事件的一小时源ip地址攻击目的ip地址的次数,确定网络攻击事件在1小时源ip地址攻击目的ip地址维度的第四得分;
13、基于网络攻击事件的源ip地址攻击目的ip地址次数,基于源ip地址攻击目的ip地址次数确定网络攻击事件的在源ip地址攻击目的ip地址次数的数值,将源ip地址攻击目的ip地址次数维度的数值-1,确定网络攻击事件在1小时攻击目的ip地址的源ip地址维度的第五得分;
14、基于网络攻击事件在1小时攻击目的ip地址的源ip地址数,将1小时攻击目的ip地址的源ip地址数-1,确定网络攻击事件在源ip地址黑产属性值维度的第六得分;
15、基于网络攻击事件的所述源ip地址的ip地址类型,确定网络攻击事件在源ip地址为恶意ip地址维度的第七得分;其中,ip地址类型为恶意ip地址;
16、基于网络攻击事件的相同源ip地址的网络安全设备数量,确定网络攻击事件在一天内源ip地址相同的网络安全设备维度的第八得分。
17、基于第一得分、第二得分、第三得分、第四得分、第五得分、第六得分、第七得分以及第八得分,确定网络攻击事件的事件危险度数值。
18、可选地,基于第一得分、第二得分、第三得分、第四得分、第五得分、第六得分、第七得分以及第八得分,确定网络攻击事件的事件危险度数值,包括:
19、基于第一得分、第二得分、第三得分、第四得分、第五得分、第六得分、第七得分、第八得分以及公式一,确定网络攻击事件的事件危险度数值;
20、其中,公式一包括:
21、x=a×第一权重×(b×第二权重+c×第三权重+d×第四权重+e×第五权重+f×第六权重+g×第七权重+h×第八权重),
22、其中,x为事件危险度数值,a为第一得分、b为第二得分、c为第三得分、d为第四得分、e为第五得分、f为第六得分、g为第七得分、h为第八得分。
23、可选地,对至少一个历史数据包进行入侵检测和病毒匹配,得到各网络安全设备的病毒数据,包括:
24、利用正则表达式对至少一个历史数据包进行入侵检测,确定包含入侵数据的网络安全设备;
25、对包含有所述入侵数据的网络安全设备中的所述历史数据包进行病毒匹配,得到各所述网络安全设备的病毒数据。
26、可选地,利用正则表达式对至少一个历史数据包进行入侵检测,确定包含入侵数据的网络安全设备,包括:
27、确定各历史数据包的检测参数;其中,检测参数包括sql语句和/或http传输参数;
28、利用检测参数的正则表达式,对各历史数据包进行入侵检测,确定包含入侵数据的网络安全设备。
29、可选地,利用检测参数的正则表达式,对各历史数据包进行入侵检测,确定包含入侵数据的网络安全设备,包括:
30、对至少一个历史数据包进行清洗处理,以清洗掉无ip地址、无目的ip地址以及网络攻击事件为乱码的历史数据包,得到至少一个第一数据包;
31、对至少一个第一数据包进行过滤处理,以过滤掉异常ip地址的第一数据包、源ip地址、目的ip地址、事件小类以及时间相同的第一数据包,以及含有预设禁用字段的第一数据包,得到至少一个第二数据包;
32、利用检测参数的正则表达式对各第二数据包进行深度入侵检测,确定包含入侵数据的网络安全设备。
33、可选地,基于事件检测标准维度,确定网络攻击事件的事件危险度数值,得到网络攻击事件的威胁等级之后,所述方法还包括:
34、获取不同网络安全设备的多个目标日志数据;
35、利用各网络安全设备的事件类型危险度码表以及事件检测标准维度,确定各目标日志数据中的网络攻击事件的事件危险度数值;
36、对事件危险度数值进行聚类分析,获得离群点;
37、确定离群点对应的高危攻击事件;
38、基于高危攻击事件,确定高危攻击事件对应的目标网络安全设备;
39、判断目标网络安全设备是否对高危攻击事件采取安全防御措施;
40、若目标网络安全设备未对高危攻击事件采取安全防御措施,则调用预设防御方案对目标网络安全设备进行防御。
41、第二方面,本申请提供一种安全事件检测装置,包括:
42、获取模块,用于获取目标日志数据以及不同网络安全设备的至少一个历史数据包;其中,目标日志数据包含有网络攻击事件的描述信息;
43、病毒获得模块,用于对至少一个历史数据包进行入侵检测和病毒匹配,得到各网络安全设备的病毒数据;本文档来自技高网...
【技术保护点】
1.一种安全事件检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的安全事件检测方法,其特征在于,所述基于所述事件检测标准维度,确定所述网络攻击事件的事件危险度数值,得到所述网络攻击事件的威胁等级,包括:
3.根据权利要求2所述的安全事件检测方法,其特征在于,所述基于第一得分、第二得分、第三得分、第四得分、第五得分、第六得分、第七得分以及第八得分,确定所述网络攻击事件的事件危险度数值,包括:
4.根据权利要求1所述的安全事件检测方法,其特征在于,所述对至少一个所述历史数据包进行入侵检测和病毒匹配,得到各所述网络安全设备的病毒数据,包括:
5.根据权利要求4所述的安全事件检测方法,其特征在于,所述利用正则表达式对至少一个所述历史数据包进行入侵检测,确定包含入侵数据的网络安全设备,包括:
6.根据权利要求4所述的安全事件检测方法,其特征在于,所述利用所述检测参数的正则表达式,对各所述历史数据包进行入侵检测,确定包含入侵数据的网络安全设备,包括:
7.根据权利要求1所述的安全事件检测方法,其特征在于,所述
8.一种安全事件检测装置,其特征在于,所述安全事件检测装置包括:
9.一种安全事件检测网络安全设备,其特征在于,包括:处理器,存储器以及存储在所述存储器中的安全事件检测程序,所述安全事件检测程序被所述处理器运行时实现如权利要求1至7中任一项所述安全事件检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有安全事件检测程序,所述安全事件检测程序被处理器执行时实现如权利要求1至7任一项所述的安全事件检测方法。
...【技术特征摘要】
1.一种安全事件检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的安全事件检测方法,其特征在于,所述基于所述事件检测标准维度,确定所述网络攻击事件的事件危险度数值,得到所述网络攻击事件的威胁等级,包括:
3.根据权利要求2所述的安全事件检测方法,其特征在于,所述基于第一得分、第二得分、第三得分、第四得分、第五得分、第六得分、第七得分以及第八得分,确定所述网络攻击事件的事件危险度数值,包括:
4.根据权利要求1所述的安全事件检测方法,其特征在于,所述对至少一个所述历史数据包进行入侵检测和病毒匹配,得到各所述网络安全设备的病毒数据,包括:
5.根据权利要求4所述的安全事件检测方法,其特征在于,所述利用正则表达式对至少一个所述历史数据包进行入侵检测,确定包含入侵数据的网络安全设备,包括:
6.根据权利要求4所述的安全事件...
【专利技术属性】
技术研发人员:王海光,聂滢,卢永頔,张天骁,舒敏根,
申请(专利权)人:中移动信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。