[发明专利]风险控制方法、装置和存储介质

说明书

本公开提出一种风险控制方法、装置和存储介质，涉及网络与信息安全技术领域。本公开的一种风险控制方法包括：获取告警日志信息；根据告警日志信息，基于多个预定特征类型分别确定每个攻击者的单特征风险值；根据多个单特征风险值，确定攻击者的综合风险值；根据综合风险值对攻击者排序，以便按照综合风险值从高到低的顺序处理进行安全防控。通过这样的方法，能够基于告警日志，从多个维度对攻击者进行风险估计，进而综合各个维度的风险估计结果得到综合评价，从而便于对于攻击者进行排序，使得高风险日志能够优先得到处理，提高运维响应的效率和准确度。

技术领域

本公开涉及网络与信息安全技术领域，特别是一种风险控制方法、装置和存储介质。

背景技术

现有网络入侵检测/防护系统的告警日志每天数量众多，如果由运维人员逐条检查每一条告警日志，则工作量巨大；且逐条处理告警信息时，先后顺序的不合理会增加安全隐患。

相关技术中，告警日志可以提供日志风险等级，运维人员优先处理高危以及以上的威胁。然而，当前的日志风险等级均只基于单一攻击类型，在日志基数大的情况下，高危及以上告警类型比例很容易过高，逐个处理依旧需要很长的时间，难以做到精准防护。

发明内容

本公开的一个目的在于提高风险处理的精准度，降低安全隐患。

根据本公开的一些实施例的一个方面，提出一种风险控制方法，包括：获取告警日志信息；根据告警日志信息，基于多个预定特征类型分别确定每个攻击者的单特征风险值；根据多个单特征风险值，确定攻击者的综合风险值；根据综合风险值对攻击者排序，以便按照综合风险值从高到低的顺序处理进行安全防控。

在一些实施例中，风险控制方法还包括：采集网络流量数据；根据流量行为特征生成告警日志信息，告警日志信息包括攻击源地址、攻击目的地址、告警类型或攻击次数中的一项或多项。

在一些实施例中，预定特征类型包括：不同告警类型风险、专注靶向攻击风险、跨天持续攻击风险和攻击者时间间隔分散度；单特征风险值包括基于不同告警类型风险的风险值、基于专注靶向攻击风险的风险值、基于跨天持续攻击风险的风险值和基于攻击者时间间隔分散度的风险值。

在一些实施例中，获取告警日志信息包括：获取指定时间窗口内的告警日志信息，其中，指定时间窗口随着时间迁移更新。

在一些实施例中，指定窗口以最新的告警日志信息的时刻为截止时刻，窗口宽度为预定时间长度。

在一些实施例中，确定基于不同告警类型风险的风险值包括：根据攻击者采用热门告警类型的攻击次数确定攻击者的基于不同告警类型风险的风险值。

在一些实施例中，确定基于专注靶向攻击风险的风险值包括：根据攻击者攻击目标的集中度和攻击目标的预定重要度确定基于专注靶向攻击风险的风险值。

在一些实施例中，确定基于跨天持续攻击风险的风险值包括：根据攻击者的攻击行为是否跨天、在不同天的攻击行为确定基于跨天持续攻击风险的风险值。

在一些实施例中，确定基于攻击者时间间隔分散度的风险值包括：根据攻击者攻击行为的频率和时间规律确定跨天持续攻击风险的风险值。

在一些实施例中，确定攻击者的综合风险值包括：根据z-score标准化与sigmoid函数对每个单特征风险值做标准化转换，确定综合风险值。

通过这样的方法，能够基于告警日志，从多个维度对攻击者进行风险估计，进而综合各个维度的风险估计结果得到综合评分，从而便于对于攻击者进行排序，使得高风险日志能够优先得到处理，提高运维响应的效率和准确度。