[发明专利]基于数据迁移的风险识别方法、装置、设备及存储介质

说明书

本申请涉及一种基于数据迁移的风险识别方法、装置、设备及存储介质，其中基于数据迁移的风险识别方法包括步骤：获取使用设备上报的告警事件日志；将告警事件日志与威胁情报数据进行比对，所述威胁情报数据包括已被发现的第一公网IP地址；当所述告警事件日志中包括与所述第一公网IP地址一致的第二公网IP地址时，从威胁情报数据中查询出所述第一公网IP地址的属性；根据所述第一公网IP地址的属性对所述第二公网IP地址的属性进行比对，若所述第一公网IP地址的属性与所述第二公网IP地址的属性的匹配数值达到预设第一阈值，则判定所述第二公网IP地址为风险对象。本申请实现对网络中的分风险进行识别。

技术领域

本申请实施例涉及计算机技术领域，特别是涉及一种基于数据迁移的风险识别方法、装置、设备及存储介质。

背景技术

随着网络技术的发展，设备受到的攻击可能性越来越高，如何对网络行为进行风险识别是在实现设备数据安全的一个亟待解决的问题。

发明内容

为了解决上述问题，本申请提供了一种基于数据迁移的风险识别方法、装置、设备及存储介质，本申请能够对网络行为进行风险识别，以将风险识别结果展示给用户，同时，便于设备根据风险识别结果执行风险阻断行为。

本申请第一方面公开一种基于数据迁移的风险识别方法，所述方法包括步骤：

获取使用设备上报的告警事件日志；

将告警事件日志与威胁情报数据进行比对，所述威胁情报数据包括已被发现的第一公网IP地址；

当所述告警事件日志中包括与所述第一公网IP地址一致的第二公网IP地址时，从威胁情报数据中查询出所述第一公网IP地址的属性；

根据所述第一公网IP地址的属性对所述第二公网IP地址的属性进行比对，若所述第一公网IP地址的属性与所述第二公网IP地址的属性的匹配数值达到预设第一阈值，则判定所述第二公网IP地址为风险对象。

在本申请中，通过获取使用设备上报的告警事件日志，将告警事件日志与威胁情报数据进行比对，进而当告警事件日志中包括与第一公网IP地址一致的第二公网IP地址时，从威胁情报数据中查询出第一公网IP地址的属性，进而根据第一公网IP地址的属性对第二公网IP地址的属性进行比对，这样一来，若第一公网IP地址的属性与第二公网IP地址的属性的匹配数值达到预设第一阈值，则能够判定第二公网IP地址为风险对象。

作为一种可选的实施方式，所述第一公网IP地址的属性包括攻击特征数量、IP总计攻击次数、网络类型。

作为一种可选的实施方式，在获取使用设备上报的告警事件日志之前，所述方法还包括：

获取ES日志中的攻击手段；

将所述攻击手段与一个第一公网IP地址进行索引；

根据所述攻击手段在所述ES日志中出现的频率进行统计，以得到所述攻击手段的威胁数值；

当所述攻击手段的威胁数值达到预设第二阈值时，将所述攻击手段与攻击团伙数据进行比对；

当所述攻击手段与所述攻击对象数据中的一个攻击对象匹配时，获取所述攻击对象的所有攻击行为；

将所述攻击对象的所有攻击行为绑定为所述第一公网IP地址的属性。

作为一种可选的实施方式，所述攻击手段至少为SQL注入行为、XSS跨站行为、恶意扫描行为中的一项手段。

作为一种可选的实施方式，在所述获取ES日志中的攻击手段之前，所述方法还包括：

检测是否有目标攻击行为发生或渗透到内网行为发生；

当检测到有目标攻击发生或渗透到内网行为发生时，采集攻击者IP地址、攻击方式、攻击时间；