聚銘網(wǎng)絡(luò)申報(bào)的《一種網(wǎng)絡(luò)安全報(bào)警歸并方法、裝置及存儲(chǔ)介質(zhì)》發(fā)明專利通過(guò)國(guó)家知識(shí)產(chǎn)權(quán)局授權(quán),正式獲得國(guó)家發(fā)明專利證書!
在信息安全防護(hù)領(lǐng)域中,用戶經(jīng)常會(huì)部署多種安全產(chǎn)品以應(yīng)對(duì)各類攻擊,減少漏報(bào)。在提升安全性的同時(shí),也會(huì)帶來(lái)問(wèn)題,如針對(duì)同一網(wǎng)絡(luò)攻擊,不同的設(shè)備可能會(huì)報(bào)出不同的告警,這給運(yùn)維人員帶來(lái)了困惑。
在過(guò)去,安全態(tài)勢(shì)感知系統(tǒng)可以進(jìn)行簡(jiǎn)單的安全報(bào)警歸并,減少報(bào)警數(shù)量,但無(wú)法真正跨不同產(chǎn)品合并報(bào)警,也無(wú)法區(qū)分在同一報(bào)警名稱的情況下,攻擊手法存在較大差異的問(wèn)題。
基于此,聚銘提供了一種網(wǎng)絡(luò)安全報(bào)警歸并辦法解決上述問(wèn)題,包括五個(gè)步驟:
1.獲取安全報(bào)警的請(qǐng)求頭,請(qǐng)求頭包括請(qǐng)求頭字段和請(qǐng)求頭內(nèi)容,從請(qǐng)求頭字段中抽取頂級(jí)布局特征;
2.對(duì)請(qǐng)求頭內(nèi)容進(jìn)行預(yù)解碼,以使請(qǐng)求頭內(nèi)容統(tǒng)一化;
3.將預(yù)解碼后的請(qǐng)求頭內(nèi)容進(jìn)行分詞,對(duì)得到的第一單詞按照對(duì)應(yīng)的第一單詞詞向量的順序進(jìn)行混編,得到二級(jí)布局特征;
4.獲取安全報(bào)警的請(qǐng)求體,對(duì)請(qǐng)求體進(jìn)行處理,得到請(qǐng)求體布局特征;
5.將請(qǐng)求頭的頂級(jí)布局特征、二級(jí)布局特征和/或請(qǐng)求體布局特征與對(duì)應(yīng)的歷史安全報(bào)警特征數(shù)據(jù)進(jìn)行距離計(jì)算,得到相似度,根據(jù)相似度和預(yù)設(shè)相似度閾值對(duì)安全報(bào)警進(jìn)行歸并。
通過(guò)上述方法,可以解決各類不同安全產(chǎn)品報(bào)警的實(shí)質(zhì)歸并問(wèn)題,使同一安全產(chǎn)品具備縱向歸并覆蓋能力;進(jìn)而可以有效發(fā)現(xiàn)黑客的新型攻擊方法及其負(fù)載,使安全態(tài)勢(shì)感知平臺(tái)具備較全面的分析能力;進(jìn)一步的,在橫向?qū)用鏀U(kuò)展了安全態(tài)勢(shì)感知系統(tǒng)的跨安全產(chǎn)品或設(shè)備的安全報(bào)警歸并能力,從而在發(fā)現(xiàn)僵尸網(wǎng)絡(luò)、黑客或APT組織等方面具備較高能力。
基于本項(xiàng)發(fā)明,聚銘旗下聚銘安全態(tài)勢(shì)感知與管控平臺(tái)等安全產(chǎn)品將具備更精準(zhǔn)全面的安全報(bào)警歸并能力,及時(shí)定位網(wǎng)絡(luò)威脅,為客戶提供預(yù)警和警告,保障網(wǎng)絡(luò)安全。
后續(xù),聚銘網(wǎng)絡(luò)還將繼續(xù)深耕網(wǎng)絡(luò)安全領(lǐng)域,加大產(chǎn)品研發(fā)力度,充分利用人才、設(shè)備等資源優(yōu)勢(shì),積極探索前沿技術(shù),不斷加強(qiáng)科研創(chuàng)新,提升企業(yè)核心競(jìng)爭(zhēng)力,更好的為廣大行業(yè)客戶提供網(wǎng)絡(luò)安全智能分析與檢測(cè)服務(wù)。