本發(fā)明公開了一種面向監(jiān)管的全域事件要素提取方法，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，包括步驟：S1，建立動(dòng)態(tài)配置威脅告警日志分類與事件分類映射的規(guī)則庫(kù)；S2，從不同區(qū)域、不同行業(yè)、不同單位中的告警資產(chǎn)中提取安全事件關(guān)聯(lián)的告警；S3，將安全事件告警日志與特定的資產(chǎn)、信息系統(tǒng)關(guān)聯(lián)；S4，確定事件關(guān)聯(lián)規(guī)則不同的告警的權(quán)重；S5，提取事件關(guān)聯(lián)資產(chǎn)告警得分和資產(chǎn)重要程度信息，計(jì)算事件的整體風(fēng)險(xiǎn)作為事件分級(jí)要素；S6，生成安全事件的態(tài)勢(shì)指標(biāo)要素。本發(fā)明能夠?yàn)楸O(jiān)管部門在跨行業(yè)、跨區(qū)域的網(wǎng)絡(luò)空間領(lǐng)域開展研判推理和應(yīng)急指揮工作提供可靠的基礎(chǔ)數(shù)據(jù)支撐。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，更為具體的，涉及一種面向監(jiān)管的全域事件要素提取方法。

背景技術(shù)

網(wǎng)絡(luò)安全監(jiān)管部門負(fù)有統(tǒng)籌跨區(qū)域、跨行業(yè)的安全事件協(xié)調(diào)處置職責(zé)，需要按照《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》和相關(guān)國(guó)家標(biāo)準(zhǔn)，綜合研判網(wǎng)絡(luò)安全事件的級(jí)別、類型、影響程度和傳播范圍等關(guān)鍵指標(biāo)，完成這些研判工作依賴從全域告警信息中精準(zhǔn)提取基礎(chǔ)的事件要素，基于這些事件要素進(jìn)行深度研判，完成綜合研判工作，以支撐國(guó)家相關(guān)監(jiān)管部門開展網(wǎng)絡(luò)安全通報(bào)預(yù)警、應(yīng)急協(xié)同和信息共享等監(jiān)管業(yè)務(wù)。科學(xué)的全域事件要素提取技術(shù)是研判分析的核心技術(shù)之一，事件要素提取的方式、提取的數(shù)據(jù)質(zhì)量將決定后續(xù)研判結(jié)果是否可靠。

當(dāng)前現(xiàn)有的數(shù)據(jù)提取技術(shù)主要面向單點(diǎn)局域網(wǎng)絡(luò)，輸出的結(jié)果不足以支撐全域網(wǎng)絡(luò)環(huán)境下的安全事件研判工作。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種面向監(jiān)管的全域事件要素提取方法，從全域、海量告警中提取有效信息，以便后續(xù)精準(zhǔn)的對(duì)網(wǎng)絡(luò)安全事件進(jìn)行定級(jí)、分類和態(tài)勢(shì)評(píng)估，為監(jiān)管部門在跨行業(yè)、跨區(qū)域的網(wǎng)絡(luò)空間領(lǐng)域開展研判推理和應(yīng)急指揮工作提供可靠的基礎(chǔ)數(shù)據(jù)支撐。

本發(fā)明的目的是通過以下方案實(shí)現(xiàn)的：

一種面向監(jiān)管的全域事件要素提取方法，包括步驟：

S1，建立動(dòng)態(tài)配置威脅告警日志分類與事件分類映射的規(guī)則庫(kù)，基于規(guī)則識(shí)別威脅告警日志關(guān)聯(lián)的事件類型；

S2，通過步驟S1配置的事件規(guī)則，從不同區(qū)域、不同行業(yè)、不同單位中的告警資產(chǎn)中提取安全事件關(guān)聯(lián)的告警；

S3，根據(jù)不同的安全事件類型，將安全事件告警日志與特定的資產(chǎn)、信息系統(tǒng)關(guān)聯(lián)，生成事件影響的單位的關(guān)聯(lián)資產(chǎn)、信息系統(tǒng)；

S4，基于信息熵權(quán)法確定事件關(guān)聯(lián)規(guī)則不同的告警的權(quán)重；

S5，提取事件關(guān)聯(lián)資產(chǎn)告警得分和資產(chǎn)重要程度信息，計(jì)算事件的整體風(fēng)險(xiǎn)作為事件分級(jí)要素；

S6，提取安全事件關(guān)聯(lián)企業(yè)、攻擊目標(biāo)里程碑、攻擊事件告警數(shù)量異常突變、受影響資產(chǎn)數(shù)量異常突變、影響行業(yè)、區(qū)域范圍和影響用戶數(shù)指標(biāo)，生成安全事件的態(tài)勢(shì)指標(biāo)要素。

進(jìn)一步地，在步驟S1中，包括子步驟：

S11，映射規(guī)則庫(kù)初始化構(gòu)建：在專家的業(yè)務(wù)支撐下選取威脅日志中關(guān)于類型描述的字段信息，與國(guó)家標(biāo)準(zhǔn)中的分類字段信息進(jìn)行映射，形成事件分類與威脅告警規(guī)則映射庫(kù)映射規(guī)則庫(kù)；

S12，映射規(guī)則庫(kù)初始化構(gòu)建更新：根據(jù)跨區(qū)域、跨行業(yè)、跨單位中發(fā)現(xiàn)的新的事件告警映射規(guī)則，添加到對(duì)應(yīng)事件的告警組中。

進(jìn)一步地，在步驟S4中，包括子步驟：

S41，選取一個(gè)安全事件的T周期內(nèi)的資產(chǎn)關(guān)聯(lián)告警數(shù)據(jù)，設(shè)在T周期內(nèi)告警關(guān)聯(lián)的資產(chǎn)總數(shù)為n，在T周期內(nèi)事件關(guān)聯(lián)的告警指標(biāo)總數(shù)為m，統(tǒng)計(jì)資產(chǎn)發(fā)生的告警次數(shù)；

S42，數(shù)據(jù)歸一化，將告警指標(biāo)下資產(chǎn)的告警數(shù)按照如下公式進(jìn)行歸一化處理；