申请/专利权人：南京汇荣信息技术有限公司

申请日：2024-04-15

公开（公告）日：2024-06-07

公开（公告）号：CN118041709B

主分类号：H04L9/40

分类号：H04L9/40;H04L43/08

优先权：

专利状态码：有效-授权

法律状态：2024.06.07#授权;2024.05.31#实质审查的生效;2024.05.14#公开

摘要：本发明公开了一种基于多源数据的安全威胁研判方法、系统以及装置，涉及信息安全领域，解决了现有的安全威胁研判方法存在安全研判效果差问题，包括步骤S1：获取威胁研判基础数据，步骤S2：根据终端基础数据进行终端安全初步研判，得到终端安全威胁比值，步骤S3：根据网络基础数据进行网络安全初次研判，得到网络安全威胁比值，步骤S4：根据网络安全威胁比值和终端安全威胁比值进行二次安全研判，本发明通过网络基础数据和终端基础数据对网络安全系统进行初次研判之后，又通过获取系统安全监测数据进行二次安全研判，提高了安全研判过程的准确性和针对性。

主权项：1.一种基于多源数据的安全威胁研判方法，其特征在于，包括：步骤S1：分别获取每个终端监测周期对应的周期数据处理量、平均内存占用率和平均CPU负载率，得到终端基础数据，分别获取每个网络监测周期对应的平均网络延迟时长、平均网络带宽利用率以及平均网络数据丢包率，得到网络基础数据，并将终端基础数据和网络基础数据定义为威胁研判基础数据；步骤S2：根据终端基础数据计算终端初步威胁系数，通过对终端初步威胁系数进行阈值比对，根据阈值比对结果发布安全威胁预警，并获取终端安全威胁比值；步骤S3：根据网络基础数据计算网络初步威胁系数，对网络初步威胁系数进行阈值比对，根据阈值比对结果发布安全威胁预警，并获取网络安全威胁比值；步骤S4：获取网络安全系统对应的连接请求异常率和入侵检测比值，得到系统安全监测数据，将网络安全威胁比值、终端安全威胁比值系统安全监测数据通过计算得到安全威胁二次研判系数，通过对安全威胁二次研判系数进行二次研判；还包括数据库，数据库中存储的数据包括标定内存占用率、标定CPU负载率、额定内存占用率和额定CPU负载率；所述步骤S2中，根据终端基础数据进行终端安全初步研判，对终端安全威胁比值进行获取具体步骤如下：步骤S21：根据威胁研判基础数据获取终端基础数据；步骤S22：根据终端基础数据分别获取任一个终端监测周期对应的周期数据处理量、平均内存占用率以及平均CPU负载率，将周期数据处理量、平均内存占用率和平均CPU负载率通过计算得到终端初步威胁系数；步骤S23：分别获取第一终端初步威胁系数阈值和第二终端初步威胁系数阈值；步骤S24：将终端初步威胁系数与第一终端初步威胁系数阈值、第二终端初步威胁系数阈值进行数值比对，并进行初步安全威胁报警；步骤S25：分别获取多个终端监测周期对应的监测威胁区间；步骤S26：若终端设备存在任意一个终端监测周期处于第三监测威胁区间，则发布安全威胁预警；步骤S27：若终端设备对应的多个终端监测周期均未处于第三监测威胁区间，则获取终端设备处于第二监测威胁区间的终端监测周期数量值和终端监测周期总体数量值；步骤S28：计算处于第二监测威胁区间的终端监测周期数量值和终端监测周期总体数量值的比值，得到终端安全威胁比值；所述步骤S23中，还包括具体以下步骤：步骤S231：通过数据获取终端设备对应的标定内存占用率和标定CPU负载率，将标定内存占用率、标定CPU负载率和周期数据处理量通过计算得到第一终端初步威胁系数阈值；步骤S232：通过数据获取终端设备对应的额定内存占用率和额定CPU负载率，将额定内存占用率、额定CPU负载率和周期数据处理量通过计算得到第二终端初步威胁系数阈值；所述步骤S24中，将终端监测周期划分为第一监测威胁区间、第二监测威胁区间以及第三监测威胁区间，还包括具体以下步骤：步骤S241：当终端初步威胁系数小于第一终端初步威胁系数阈值，判断当前终端监测周期处于第一监测威胁区间；步骤S242：当终端初步威胁系数大于等于第一终端初步威胁系数阈值且小于等于第二终端初步威胁系数阈值，判断当前终端监测周期处于第二监测威胁区间；步骤S243：当终端初步威胁系数大于第二终端初步威胁系数阈值，判断当前终端监测周期处于第三监测威胁区间；数据库中存储的数据包括标定网络延迟时长、标定网络带宽利用率、标定网络数据丢包率、额定网络延迟时长、额定网络带宽利用率以及额定网络数据丢包率；所述步骤S3中，根据网络基础数据进行网络安全初次研判，对网络安全威胁比值进行获取具体步骤如下：步骤S31：根据威胁研判基础数据获取网络基础数据；步骤S32：根据网络基础数据获取任意一个网络监测周期对应的平均网络延迟时长、平均网络带宽利用率以及平均网络数据丢包率；步骤S33：将平均网络延迟时长、平均网络带宽利用率以及平均网络数据丢包率通过计算得到网络初步威胁系数；步骤S34：分别获取第一网络初步威胁系数阈值和第二网络初步威胁系数阈值；步骤S35：将网络初步威胁系数与第一网络初步威胁系数阈值、第二网络初步威胁阈值进行数值比对，并根据比对结果进行网络初步威胁分析；步骤S36：分别获取对个网络监测周期对应的网络威胁区间；步骤S37：若网络链路中存在任意一个网络监测周期处于第三网络威胁区间，则发布安全威胁预警；步骤S38：若网络链路对应的多个网络监测周期均未处于第三网络威胁区间，则获取处于第二网络威胁区间的网络监测周期数量值和网络监测周期总体数量值；步骤S39：计算处于第二网络威胁区间的网络监测周期数量值和网络监测周期总体数量值的比值，得到网络安全威胁比值；所述步骤S34中，还包括具体以下步骤：步骤S341：通过数据库获取标定网络延迟时长、标定网络带宽利用率以及标定网络数据丢包率，将标定网络延迟时长、标定网络带宽利用率以及标定网络数据丢包率通过计算得到第一网络初步威胁系数阈值；步骤S342：通过数据库获取额定网络延迟时长、额定网络带宽利用率以及额定网络数据丢包率，将额定网络延迟时长、额定网络带宽利用率以及额定网络数据丢包率通过计算得到第二网络初步威胁系数阈值；所述步骤S35中，将网络监测周期划分为第一网络威胁区间、第二网络威胁区间以及第三网络威胁区间，还包括具体以下步骤：步骤S351：当网络初步威胁系数小于第一网络初步威胁系数阈值，判断当前网络监测周期处于第一网络威胁区间；步骤S352：当网络初步威胁系数大于等于第一网络初步威胁系数阈值且小于等于第二网络初步威胁系数阈值，判断当前网络监测周期处于第二网络威胁区间；步骤S353：当网络初步威胁系数大于第二网络初步威胁系数阈值，判断当前终端监测周期处于第三网络威胁区间；所述步骤S4中，根据网络安全威胁比值和终端安全威胁比值进行二次安全研判具体步骤如下：步骤S41：对网络安全系统进行安全监控，得到系统安全监测数据；步骤S42：根据系统安全监测数据、网络安全威胁比值以及终端安全威胁比值进行二次研判；所述步骤S41中，还包括以下具体步骤：步骤S41：对网络安全系统进行安全监控，得到系统安全监测数据；步骤S411：在网络安全系统运行过程中，分别获取网络安全系统在多个单位时间长度内网络请求数量，分解计算每一个单位时间对应的网络请求数量与单位时间长度的比值，将其标记为连接请求速率，并获取连接请求速率数量值；步骤S412：获取连接请求量速率临界值，将多个连接请求速率与连接请求量速率临界值进行数值比对，将连接请求速率大于连接请求量速率临界值的连接请求速率标记为异常连接请求速率，统计异常连接请求速率数量值，将异常连接请求速率数量值与连接请求速率数量值的比值标记为连接请求异常率；步骤S413：在网络安全系统部署入侵检测程序，通过入侵检测程序统计网络安全系统在运行过程中累计遭受的异常入侵次数，获取网络安全系统当前运行时长，计算异常入侵次数与网络安全系统当前运行时长的比值，得到入侵检测比值；步骤S414：将连接请求异常率和入侵检测比值定义为系统安全监测数据；数据库存储的数据还包括网络安全威胁比阈值、终端安全威胁比阈值以及连接请求异常率阈值；所述步骤S42中，对网络安全系统进行二次研判具体步骤如下：步骤S421：分别获取网络安全威胁比值、终端安全威胁比值；步骤S422：通过系统安全监测数据获取连接请求异常率和入侵检测比值；步骤S423：将网络安全威胁比值、终端安全威胁比值、连接请求异常率以及入侵检测比值通过计算得到安全威胁二次研判系数；步骤S424：获取安全威胁二次研判系数阈值，将安全威胁二次研判系数与安全威胁二次研判系数阈值进行数值比对，并对网络安全系统进行二次研判；所述步骤S424中，还包括以下具体步骤：步骤S4241：从数据库中提取网络安全威胁比阈值、终端安全威胁比阈值以及连接请求异常率阈值，将网络安全威胁比阈值、终端安全威胁比阈值以及连接请求异常率阈值通过计算得到安全威胁二次研判系数阈值；步骤S4242：当安全威胁二次研判系数大于安全威胁二次研判系数阈值，则判断网络安全系统二次研判不通过；步骤S4243：当安全威胁二次研判系数小于等于安全威胁二次研判系数阈值，则判断网络安全系统二次研判通过。

全文数据：

权利要求：

百度查询： 南京汇荣信息技术有限公司 一种基于多源数据的安全威胁研判方法、系统以及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD