[发明专利]一种威胁报警信息生成方法及系统

说明书

本发明实施例提供一种威胁报警信息生成方法及系统。其中，方法包括：根据威胁特征库，判定获取到的目标信息是否可表征网络受到威胁，其中，目标信息为原始采集信息或异常行为信息；若判定目标信息可表征网络受到威胁，则根据威胁特征库、网络上下文信息和目标信息中的任意一种或多种，生成威胁报警信息，其中，威胁报警信息基于统一描述格式进行归一化描述。本发明实施例提供一种威胁报警信息生成方法及系统，通过将多系统、多用户、多时间、多地域的原始采集信息和/或异常行为信息进行汇聚分析，识别出威胁事件，并转换为统一的威胁报警格式，使得对网络安全进行有效监测，为数据采集、网络安全监测和威胁处置提供有效的支撑。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种威胁报警信息生成方法及系统。

背景技术

随着通信技术、网络技术和信息技术的持续快速发展和应用的广泛普及，形成了包含天地一体化网络、物联网、专用网络和各类服务系统(如：电子凭据服务系统、电子商务系统、电子政务系统)所在网络等的大规模异构互联网络。大规模异构互联网络中承载了大量在业务、用户等方面具有关联性的系统，各系统均会产生海量的原始日志信息和异常行为信息，需要进行汇聚、关联和统计分析，以识别出多维度的威胁事件，转化为统一的威胁报警描述格式，为数据采集、网络安全监测和威胁处置提供支撑。现有技术大多针对单一系统，在单一维度进行关联分析，缺少多系统、多用户、多时间、多地域的整体分析，以及威胁报警信息的统一描述。

发明内容

针对现有技术中存在的技术问题，本发明实施例提供一种威胁报警信息生成方法及系统。

第一方面，本发明实施例提供一种威胁报警信息生成方法，包括：

根据威胁特征库，判定获取到的目标信息是否可表征网络受到威胁，其中，所述目标信息为原始采集信息或异常行为信息；

若判定所述目标信息可表征网络受到威胁，则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种，生成威胁报警信息，其中，所述威胁报警信息基于统一描述格式进行归一化描述。

第二方面，本发明实施例提供一种威胁报警信息生成系统，包括：

判定模块，用于根据威胁特征库，判定获取到的目标信息是否可表征网络受到威胁，其中，所述目标信息为原始采集信息或异常行为信息；

威胁报警信息生成模块，用于若判定所述目标信息可表征网络受到威胁，则根据所述威胁特征库、网络上下文信息和所述目标信息中的任意一种或多种，生成威胁报警信息，其中，所述威胁报警信息基于统一描述格式进行归一化描述。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。

本发明实施例提供的一种威胁报警信息生成方法及系统，通过将多系统、多用户、多时间、多地域的原始采集信息和/或异常行为信息进行汇聚分析，识别出威胁事件，并转换为统一的威胁报警格式，使得对网络安全进行有效监测，为数据采集、网络安全监测和威胁处置提供有效的支撑。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种威胁报警信息生成方法流程图；

图2为本发明实施例提供的异常行为信息多维关联示意图；