[發明專利]一種基于聚合信息確定威脅事件的方法及裝置有效
| 申請號: | 202010982922.2 | 申請日: | 2020-09-17 |
| 公開(公告)號: | CN112087465B | 公開(公告)日: | 2021-11-02 |
| 發明(設計)人: | 陳杰;王蘊澎 | 申請(專利權)人: | 北京微步在線科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/24;G06K9/62 |
| 代理公司: | 北京金信知識產權代理有限公司 11225 | 代理人: | 喻嶸 |
| 地址: | 100086 北京市海*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 聚合 信息 確定 威脅 事件 方法 裝置 | ||
1.一種基于聚合信息確定威脅事件的方法,其特征在于,包括:
接收聚合告警信息的觸發事件;其中,所述觸發事件包括設備收到告警信息的條數大于預設閾值;
通過告警信息的預設指標對告警信息進行聚合;
通過聚合后的告警信息確定與告警信息相關的威脅事件;
其中,所述通過告警信息的預設指標對告警信息進行聚合,包括:
獲取具備相同安全外殼協議的告警信息;
獲取具備相同安全外殼協議的告警信息所對應的臨時內存信息;
具備相同安全外殼協議的告警信息所對應的臨時內存信息進行比對,并確定具有相同臨時內存的告警信息之間存在關聯關系;
將存在關聯關系的告警信息進行聚合。
2.如權利要求1所述的方法,其特征在于,還包括:
獲取告警信息的以下至少一條預設指標:
所述告警信息的基礎信息、所述告警信息的安全外殼協議、所述告警信息對應木馬文件的MD5值以及告警信息對應進程的父進程。
3.如權利要求1或2所述的方法,其特征在于,所述通過告警信息的預設指標對告警信息進行聚合,包括:
獲取威脅情報中記錄的各個告警信息的基礎信息;
確定具有至少一項相同基礎信息的告警信息之間存在關聯關系,其中,所述基礎信息包括以下至少一項信息:
告警信息對應的告警名稱、告警信息對應的病毒家族以及告警信息對應的黑客組織;
將存在關聯關系的告警信息進行聚合。
4.如權利要求1或2所述的方法,其特征在于,所述通過告警信息的預設指標對告警信息進行聚合,包括:
獲取告警信息對應的木馬文件中的MD5值;
通過對各告警信息對應的木馬文件中的MD5值進行匹配以確定由同一木馬文件引起的告警信息;
將由同一木馬文件引起的告警信息進行聚合。
5.如權利要求1或2所述的方法,其特征在于,所述通過告警信息的預設指標對告警信息進行聚合,包括:
獲取每條告警信息對應的進程;
對每條告警信息對應的進程進行至少一次回溯操作,以確定每條告警信息對應的進程所指向的父進程;
將指向同一父進程的進程所對應的告警信息進行聚合。
6.一種基于聚合信息確定威脅事件的裝置,其特征在于,包括:
接收模塊,用于接收聚合告警信息的觸發事件;其中,所述觸發事件包括設備收到告警信息的條數大于預設閾值;
聚合模塊,用于通過告警信息的預設指標對告警信息進行聚合;
確定模塊,用于通過聚合后的告警信息確定與告警信息相關的威脅事件;
其中,所述通過告警信息的預設指標對告警信息進行聚合,包括:
獲取具備相同安全外殼協議的告警信息;
獲取具備相同安全外殼協議的告警信息所對應的臨時內存信息;
具備相同安全外殼協議的告警信息所對應的臨時內存信息進行比對,并確定具有相同臨時內存的告警信息之間存在關聯關系;
將存在關聯關系的告警信息進行聚合。
7.如權利要求6所述的裝置,其特征在于,還包括:
獲取模塊,用于獲取告警信息的以下至少一條預設指標:
所述告警信息的基礎信息、所述告警信息的安全外殼協議、所述告警信息對應木馬文件的MD5值以及告警信息對應進程的父進程。
8.如權利要求6或7所述的裝置,其特征在于,所述聚合模塊,包括:
第一獲取子模塊,用于獲取威脅情報中記錄的各個告警信息的基礎信息;
第一確定子模塊,用于確定具有至少一項相同基礎信息的告警信息之間存在關聯關系,其中,所述基礎信息包括以下至少一項信息:
告警信息對應的告警名稱、告警信息對應的病毒家族以及告警信息對應的黑客組織;
第一聚合子模塊,用于將存在關聯關系的告警信息進行聚合。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京微步在線科技有限公司,未經北京微步在線科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010982922.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種基于流量計的μN推力器及使用方法
- 下一篇:顯示裝置
- 信息記錄介質、信息記錄方法、信息記錄設備、信息再現方法和信息再現設備
- 信息記錄裝置、信息記錄方法、信息記錄介質、信息復制裝置和信息復制方法
- 信息記錄裝置、信息再現裝置、信息記錄方法、信息再現方法、信息記錄程序、信息再現程序、以及信息記錄介質
- 信息記錄裝置、信息再現裝置、信息記錄方法、信息再現方法、信息記錄程序、信息再現程序、以及信息記錄介質
- 信息記錄設備、信息重放設備、信息記錄方法、信息重放方法、以及信息記錄介質
- 信息存儲介質、信息記錄方法、信息重放方法、信息記錄設備、以及信息重放設備
- 信息存儲介質、信息記錄方法、信息回放方法、信息記錄設備和信息回放設備
- 信息記錄介質、信息記錄方法、信息記錄裝置、信息再現方法和信息再現裝置
- 信息終端,信息終端的信息呈現方法和信息呈現程序
- 信息創建、信息發送方法及信息創建、信息發送裝置
