本發明提供了一種多元數據融合的物聯網威脅感知方法和系統，應用于物聯網態勢感知平臺，其中方法包括：獲取物聯網態勢感知平臺的告警信息；獲取物聯網設備的多個流量數據，同時獲取每個流量數據的置信度和權重值；將告警信息與多個流量數據進行匹配，并根據與告警信息相匹配的流量數據的置信度和權重值計算告警信息的威脅置信度。本發明緩解了現有技術中存在的在告警數量較多時對告警信息產生誤判的技術問題。

技術領域

本發明涉及網絡安全技術領域，尤其是涉及一種多元數據融合的物聯網威脅感知方法和系統。

背景技術

隨著網絡安全防護手段的多元化，不同的防護手段產生的告警都有不同的策略規則作為依據，這些防護設備或者防護手段所產生的告警記錄我們稱之為原始告警記錄。相對于同一個事件，不同的防護手段產生的原始告警記錄都不一樣。當客戶物聯網網絡環境下不僅有一種防護手段時，比如流量探針捕獲到了異常外連、agent客戶端捕獲到了進程異常占用CPU告警，或者在告警數量較多時，現有技術無法對多條告警信息進行及時有效的分析和關聯，導致對告警信息的誤判。

發明內容

有鑒于此，本發明的目的在于提供一種多元數據融合的物聯網威脅感知方法和系統，以緩解了現有技術中存在的在告警數量較多時對告警信息產生誤判的技術問題。

第一方面，本發明實施例提供了一種多元數據融合的物聯網威脅感知方法應用于物聯網態勢感知平臺，包括：獲取所述物聯網態勢感知平臺的告警信息；獲取物聯網設備的多個流量數據，同時獲取每個流量數據的置信度和權重值；將所述告警信息與所述多個流量數據進行匹配，并根據與所述告警信息相匹配的流量數據的所述置信度和所述權重值計算所述告警信息的威脅置信度。

進一步地，所述告警信息包括以下至少之一：攻擊源IP信息，攻擊源端口信息，被攻擊IP學習，被攻擊端口信息，攻擊協議信息，攻擊手段信息和攻擊載荷信息。

進一步地，獲取物聯網設備的多個流量數據，包括：獲取物聯網設備的agent數據，流量探針數據和威脅情報數據，其中，所述流量探針數據包括以下至少之一：網絡之間互聯的協議，域名，統一資源定位符，文件哈希值，進程名，特征字符串。

進一步地，將所述告警信息與所述多個流量數據進行匹配，并根據與所述告警信息相匹配的流量數據的所述置信度和所述權重值計算所述告警信息的威脅置信度，包括：在所述多個流量數據中查找與所述告警信息相匹配的多個目標流量數據；計算所述多個目標流量數據的置信度基于所述權重值的加權平均值；將所述加權平均值作為所述告警信息的威脅置信度。

進一步地，在計算所述告警信息的威脅置信度之后，所述方法還包括：根據所述威脅置信度確定所述告警信息的威脅置信級別；將所述告警信息和所述威脅置信級別發送給用戶。

第二方面，本發明實施例還提供了一種多元數據融合的物聯網威脅感知系統，應用于物聯網態勢感知平臺，包括：第一獲取模塊，第二獲取模塊和匹配和計算模塊，其中，所述第一獲取模塊，用于獲取所述物聯網態勢感知平臺的告警信息；所述第二獲取模塊，用于獲取物聯網設備的多個流量數據，同時獲取每個流量數據的置信度和權重值；所述匹配和計算模塊，用于將所述告警信息與所述多個流量數據進行匹配，并根據與所述告警信息相匹配的流量數據的所述置信度和所述權重值計算所述告警信息的威脅置信度。

進一步地，所述匹配和計算模塊包括：匹配單元和計算單元，其中，所述匹配單元，用于在所述多個流量數據中查找與所述告警信息相匹配的多個目標流量數據；所述計算單元，用于計算所述多個目標流量數據的置信度基于所述權重值的加權平均值；將所述加權平均值作為所述告警信息的威脅置信度。

進一步地，所述系統還包括：展示模塊，用于：根據所述威脅置信度確定所述告警信息的威脅置信級別；將所述告警信息和所述威脅置信級別發送給用戶。