聚銘網(wǎng)絡(luò)申報(bào)的《一種網(wǎng)絡(luò)安全報(bào)警歸并方法、裝置及存儲(chǔ)介質(zhì)》發(fā)明專利通過國家知識產(chǎn)權(quán)局授權(quán),正式獲得國家發(fā)明專利證書!
在信息安全防護(hù)領(lǐng)域中,用戶經(jīng)常會(huì)部署多種安全產(chǎn)品以應(yīng)對各類攻擊,減少漏報(bào)。在提升安全性的同時(shí),也會(huì)帶來問題,如針對同一網(wǎng)絡(luò)攻擊,不同的設(shè)備可能會(huì)報(bào)出不同的告警,這給運(yùn)維人員帶來了困惑。
在過去,安全態(tài)勢感知系統(tǒng)可以進(jìn)行簡單的安全報(bào)警歸并,減少報(bào)警數(shù)量,但無法真正跨不同產(chǎn)品合并報(bào)警,也無法區(qū)分在同一報(bào)警名稱的情況下,攻擊手法存在較大差異的問題。
基于此,聚銘提供了一種網(wǎng)絡(luò)安全報(bào)警歸并辦法解決上述問題,包括五個(gè)步驟:
1.獲取安全報(bào)警的請求頭,請求頭包括請求頭字段和請求頭內(nèi)容,從請求頭字段中抽取頂級布局特征;
2.對請求頭內(nèi)容進(jìn)行預(yù)解碼,以使請求頭內(nèi)容統(tǒng)一化;
3.將預(yù)解碼后的請求頭內(nèi)容進(jìn)行分詞,對得到的第一單詞按照對應(yīng)的第一單詞詞向量的順序進(jìn)行混編,得到二級布局特征;
4.獲取安全報(bào)警的請求體,對請求體進(jìn)行處理,得到請求體布局特征;
5.將請求頭的頂級布局特征、二級布局特征和/或請求體布局特征與對應(yīng)的歷史安全報(bào)警特征數(shù)據(jù)進(jìn)行距離計(jì)算,得到相似度,根據(jù)相似度和預(yù)設(shè)相似度閾值對安全報(bào)警進(jìn)行歸并。
通過上述方法,可以解決各類不同安全產(chǎn)品報(bào)警的實(shí)質(zhì)歸并問題,使同一安全產(chǎn)品具備縱向歸并覆蓋能力;進(jìn)而可以有效發(fā)現(xiàn)黑客的新型攻擊方法及其負(fù)載,使安全態(tài)勢感知平臺(tái)具備較全面的分析能力;進(jìn)一步的,在橫向?qū)用鏀U(kuò)展了安全態(tài)勢感知系統(tǒng)的跨安全產(chǎn)品或設(shè)備的安全報(bào)警歸并能力,從而在發(fā)現(xiàn)僵尸網(wǎng)絡(luò)、黑客或APT組織等方面具備較高能力。
基于本項(xiàng)發(fā)明,聚銘旗下聚銘安全態(tài)勢感知與管控平臺(tái)等安全產(chǎn)品將具備更精準(zhǔn)全面的安全報(bào)警歸并能力,及時(shí)定位網(wǎng)絡(luò)威脅,為客戶提供預(yù)警和警告,保障網(wǎng)絡(luò)安全。
后續(xù),聚銘網(wǎng)絡(luò)還將繼續(xù)深耕網(wǎng)絡(luò)安全領(lǐng)域,加大產(chǎn)品研發(fā)力度,充分利用人才、設(shè)備等資源優(yōu)勢,積極探索前沿技術(shù),不斷加強(qiáng)科研創(chuàng)新,提升企業(yè)核心競爭力,更好的為廣大行業(yè)客戶提供網(wǎng)絡(luò)安全智能分析與檢測服務(wù)。