一种用于信息系统的威胁数据处理方法与流程

本发明涉及信息安全技术领域，特别是涉及一种用于信息系统的威胁数据处理方法。

背景技术：

随着网络的互联互通，信息业务应用越来越紧密，一个组织的信息系统面临的安全威胁越来越呈现出“内外夹击”的态势，虚拟网络世界的威胁与物理威胁趋于一致。

为了保障信息的安全，就需要对威胁进行识别和分类等，并作出相应的对策。而威胁识别就需要分析事故潜在起因。造成威胁的原因是多种多样的，大致分为人为因素和环境因素两大类，电力系统信息资源本身具有足够的吸引力，其面临来自全球的威胁，面对庞大的虚拟空间，其威胁起因有两方面：一是攻击者所拥有的资源和技能；二是信息系统本身具备的吸引力。目前，各组织、企业等的信息系统对于信息安全的管理不规范，无法客观地反映出信息系统所面临的威胁。

因此，如何实现信息安全的指标化管理，并能够客观地了解目标信息系统所面临的威胁，是本领域技术人员目前需要解决的技术问题。

技术实现要素：

本发明的目的是提供一种用于信息系统的威胁数据处理方法，实现信息安全的指标化管理，并能够客观地了解目标信息系统所面临的威胁。

为解决上述技术问题，本发明提供了如下技术方案：

一种用于信息系统的威胁数据处理方法，包括：

将获取的信息安全事件映射为潜在威胁指标和既有威胁指标；

对所述既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与所述信息安全事件关联的安全域威胁指标中；

按照预设的周期，根据预设的威胁源对所述潜在威胁指标进行信息采集、范式化并关联为威胁多元组；

对目标信息系统的日志中的各所述威胁要素进行索引，将所述威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值；

根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估。

优选地，所述对所述既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与所述信息安全事件关联的安全域威胁指标中，包括：

获取所述既有威胁指标的威胁种类；

根据所述既有威胁指标对应的各类威胁的频率计算相应的安全威胁指数；

计算各所述安全威胁指数的算术平均值，记为与所述信息安全事件关联的安全域威胁指数。

优选地，所述按照预设的周期，根据预设的威胁源对所述潜在威胁指标进行信息采集、范式化并关联为威胁多元组，包括：

按照预设的周期，根据预设的国家标准、行业标准、集团制度、业界威胁情报和风险评估对所述潜在威胁指标进行信息采集和范式化；

对所有的威胁要素进行梳理和分类并形成符合所述目标信息系统当前状态的威胁多元组。

优选地，所述对所有的威胁要素进行梳理、分类、裁剪并形成符合所述目标信息系统当前状态的威胁多元组，包括：

对所有的威胁要素进行梳理，并将所述威胁要素分为合规审计类、威胁攻击类、木马病毒类、阈值告警类、故障告警类、骨干链路告警类和异常检测类。

优选地，所述对目标信息系统的日志中的各所述威胁要素进行索引，将所述威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值，包括：

对所述威胁因子进行索引，获取所述威胁因子所属的元组；

通过反正切函数算法计算各所述元组的威胁度；

对各所述威胁度进行赋值，将各所述威胁度映射为对应的威胁值。

优选地，所述将获取的信息安全事件映射为潜在威胁指标和既有威胁指标，包括：

在所述目标信息系统经过范式化后的日志中获取若干事件；

对各所述事件进行审核，判断各所述事件是否为威胁指标事件；

将审核通过的威胁指标事件判定为信息安全事件；

建立事件到威胁的映射，将所述信息安全事件映射为潜在威胁指标和既有威胁指标。

优选地，所述根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估，包括：

计算所述信息系统的威胁指数，所述威胁指数为所述威胁多元组的各所述元组的威胁值的算术平均值；

通过仪表图表示所述算术平均值和所述安全域威胁指标。

优选地，所述根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估，还包括：

建立雷达图模型，展示所述威胁多元组的各所述元组的威胁值。

优选地，所述根据所述安全域威胁指标和所述威胁值生成相应的数据模型，以对所述信息系统的安全进行评估，还包括：

建立帕累托图模型，展示所述威胁多元组的各所述元组的威胁值。

与现有技术相比，上述技术方案具有以下优点：

本发明实施例所提供的一种用于信息系统的威胁数据处理方法，包括：将获取的信息安全事件映射为潜在威胁指标和既有威胁指标；对既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与信息安全事件关联的安全域威胁指标中；按照预设的周期，根据预设的威胁源对潜在威胁指标进行信息采集、范式化并关联为威胁多元组；对目标信息系统的日志中的各威胁要素进行索引，将威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值；根据安全域威胁指标和威胁值生成相应的数据模型，以对信息系统的安全进行评估。在本技术方案中，通过将信息安全事件映射为已经发生过的既有威胁指标和还未发生过的潜在威胁指标，根据计算的既有威胁指标的发生频率，获得对应的安全域威胁指标；同时，按照威胁源对潜在威胁指标进行信息采集和范式化等操作，并将之关联为威胁多元组，计算威胁多元组中各元组的发生概率，其中，一个元组表示一类威胁要素，从而获取潜在威胁指标的各元组对应的威胁值。根据安全域威胁指标和威胁值生成对应的数据模型，以便于用户直观地观测到信息安全事件中各种威胁可能发生的概率，由这些威胁数据实现了客观地对信息系统所面临的威胁进行评估，以便用户对信息系统进行维护和安全预防。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种实施方式所提供的用于信息系统的威胁数据处理方法流程图；

图2为本发明一种实施方式所提供的用于计算威胁度的反正切函数示意图。

具体实施方式

本发明的核心是提供一种用于信息系统的威胁数据处理方法，实现信息安全的指标化管理，并能够客观地了解目标信息系统所面临的威胁。

为了使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。

在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施方式的限制。

请参考图1，图1为本发明一种实施方式所提供的用于信息系统的威胁数据处理方法流程图。

本发明的一种具体实施方式提供了一种用于信息系统的威胁数据处理方法，包括：

s11：将获取的信息安全事件映射为潜在威胁指标和既有威胁指标。

在本实施方式中，将获取的信息安全事件映射为潜在威胁指标和既有威胁指标，包括：在目标信息系统经过范式化后的日志中获取若干事件；对各事件进行审核，判断各事件是否为威胁指标事件；将审核通过的威胁指标事件判定为信息安全事件；建立事件到威胁的映射，将信息安全事件映射为潜在威胁指标和既有威胁指标。

威胁的首要来源为攻击事件，当网络中不存在攻击事件时，威胁的指标并不为0，需参考4条威胁要素进行威胁赋值工作，所谓的4条威胁要素包括：国家权威机构发布的热点威胁预警报告；权威、公认的威胁情报来源；集团公司发布的重大事故情报；第三方机构的风险评估、渗透测试报告。因而，当网络中存在攻击事件时信息安全事件可以映射为既有威胁指标和潜在威胁指标；当网络中不存在攻击事件时，信息安全事件可以映射为潜在威胁指标。

参考威胁要素进行威胁赋值工作的前提是要进行威胁要素提取，威胁要素的提取过程包括：

1、将威胁要素提取并格式化为威胁因子；

2、将威胁因子与信息安全事件分别进行索引，以便于对威胁进行归类和分析，同类型的攻击事件可能发生在不同的源地址和目的地址之间，但是可以通过模式化来提取出同一攻击事件，因此可以通过模式匹配，获取各威胁因子频率；

3、通过威胁建模，采集信息安全事件影响度(攻击事件的威胁程度)、结合因子爆发频率，计算出各因子的威胁度(即根据预设的模型将威胁发生的频率与级别计算成0-5的一个威胁值)；

4、以安全域为单位，对域中各地址威胁值进行算术平均值计算，获得安全域的威胁指标值。

s12：对既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与信息安全事件关联的安全域威胁指标中。

既有威胁指标对威胁(攻击事件)进行频率计算，将结果赋值到相关联的安全域威胁指标中。

在本发明的一种实施方式中，对既有威胁指标进行威胁频率计算，并将频率计算的结果赋值到与信息安全事件关联的安全域威胁指标中，包括：获取既有威胁指标的威胁种类；根据既有威胁指标对应的各类威胁的频率计算相应的安全威胁指数；计算各安全威胁指数的算术平均值，记为与信息安全事件关联的安全域威胁指数。

其中，威胁赋值是对威胁进行定量刻画。威胁赋值的依据是对各种威胁发生的频率进行统计。进行威胁分类的目的是将抽象的、定性的威胁描述转化成可以定量分析的威胁值。威胁识别需要综合考虑三个方面：历史记录，以往安全事件报告中出现过的威胁及其频率的统计；现场取证，通过检测工具及日志发现的威胁及其频率的统计；权威发布，国际、国内权威机构、集团公司发布的威胁报告。

在本实施方式中，优选采用分级的方式对威胁进行赋值，在本实施方式中对威胁赋值表进行了定义，如表1所示，表1为威胁赋值表：

表1威胁赋值表

s13：按照预设的周期，根据预设的威胁源对潜在威胁指标进行信息采集、范式化并关联为威胁多元组。

在本发明的一种实施方式中，按照预设的周期，根据预设的威胁源对潜在威胁指标进行信息采集、范式化并关联为威胁多元组，包括：按照预设的周期，如季度、年等，根据预设的国家标准、行业标准、集团制度、业界威胁情报和风险评估等可调节信息对潜在威胁指标进行信息采集和范式化；对所有的威胁要素进行梳理和分类并形成符合目标信息系统当前状态的威胁多元组。

其中，信息采集包括定期将威胁要素以特定编码、特定格式进行整理、格式化入库，形成威胁评估因子；利用威胁树裁剪法，生成威胁因子清单，并将之映射为威胁指标；数据采集：威胁来自事件(范式化后)，但并不是所有事件都是威胁。在本实施方式中，建立一个自动化威胁指标体系，在该体系中需建立一个事件到威胁的映射。数据来源于范式化之后的日志，经过处理的数据可以选择性的映射为威胁，并通过定时的调度任务(以五分钟作为周期)，将获取的威胁情报持久化；根据威胁类型对安全威胁指数进行细分，形成威胁指数，每个威胁指数都有若干个特征指标，典型的特征指标包括：威胁的频度(数量)和威胁的严重等级(综合威胁源、攻击手法等信息)。

其中，威胁度的计算基于一种反正切函数的威胁度计算方法，如图2所示，每一个被审核过了的威胁指标事件，其随着发生的频率、事件自身的级别两个要素，利用反正切函数算法建模，随着事件发生频率的不断增大，威胁度将无限趋近于致命。反正切函数中包含事件的等级度量和事件频率度量。

进一步地，对所有的威胁要素进行梳理、分类、裁剪并形成符合目标信息系统当前状态的威胁多元组，包括：对所有的威胁要素进行梳理，并将威胁要素分为合规审计类、威胁攻击类、木马病毒类、阈值告警类、故障告警类、骨干链路告警类和异常检测类。

根据实际需求进行威胁来源树的裁剪工作，对于突出的威胁，进行细化，其梳理结果如下：

合规审计类：信息安全合规性审计目的在于揭露和查处被审计系统的违规行为，促使业务操作符合信息安全策略及内部控制制度等要求的审计。信息安全合规审计类实现了安全设备登录、服务器账号的登录时间和地址、交换机的登录、操作的统计等。相关威胁要素根据实际发生的事件和最新情报信息，可灵活添加。

威胁攻击类，是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。威胁攻击类除去大的门类、事件内容外，以狭隘的攻击、入侵视角为主题，重点对安全扫描、漏洞利用、系统提权等黑客攻击过程统一规划，主要实现了信息安全攻防告警的汇总。相关威胁要素根据实际发生的事件和最新情报信息，可灵活添加。

木马病毒类，监控并告警了木马远控、僵尸网络攻击、病毒告警、蠕虫病毒攻击等等，并根据实际发生的事件，可灵活添加。

阈值告警类，用于确定何时监控指标超过了正常值，该类主要依据基线的建立和维护过程，如：cpu阈值告警、病毒预警最大阈值、邮箱系统事件最大阈值、广域网加速设备日志最大阈值、交换机cpu超过cpcar值、交换机arpmiss速率超过限制、防病毒系统日志最小阈值、web安全防护系统日志量最小阈值、防火墙日志量最大阈值、ips日志量最大阈值、ips日志量最小阈值，等等，并根据实际发生的事件，可灵活添加。

故障告警类，包括系统崩溃、软硬件故障等任何影响业务使用和系统正常运行的故障，并根据实际发生的事件，可灵活添加。

骨干链路告警类，骨干链路上一台路由、交换设备的故障往往会导致整个网络中断，其严重性是致命的，将之单独分类并加以实时预警，并根据实际发生的事件，可灵活添加。

异常检测类，也称偏差检测(deviationdetection)，因为异常对象的属性值明显偏离期望的或常见的属性值。

其中，异常检测也称例外挖掘(exceptionmining)，分为三类：

1，未审计日志异常类

在训练数据的过程中，数据分为已经被审核过的事件和未被审计过的事件。未被审计过的事件是正常情况下，从来没有发生过的。这意味着，数据在正常情况下不可能发生，也就是说这些数据一旦出现了，就必须认真去分析和调查。本实施方式重点将未审计日志异常类作为威胁元的一种列出并加以监控。

2，日志熵异常类

任何信息都存在冗余，冗余大小与信息中每个符号(数字、字母或单词)的出现概率或者说不确定性有关。把信息中排除了冗余后的平均信息量称为“信息熵”，信息熵就是系统有序化程度的一个度量。系统通过对收集到的一段时间内的海量安全事件的报送ip地址进行熵值计算，得到这些安全事件报送ip聚合度的变化幅度，以此来刻画这段时间内这些安全事件所属网络的安全状态，并预测下一步的整体安全走势。

系统持续地描绘地址熵态势曲线，并显示每个时段的地址态势成因图。通过对三种典型态势成因图的模式分析，识别两种典型的态势异常，并支持对异常态势信息的逐层下钻，直至定位到导致态势异常的关键安全事件，超出置信区间的熵告警则列入异常检测告警中。

3，热点聚合异常类

热点是指如果某一区域内事件发生频率显著地高于或低于正常频率，则这一特殊区域被定义为热点，通常我们所关心的热点是事件发生高度集中的小区域，在众多的时空分析方法中，热点分析是理解事件间隐含关系的有效工具。通过热点分析，可以有效地对事件做出回归分析和前景预测，帮助研究人员得出科学的结论。

在本实施方式中，采用聚类算法持续地从事件的源ip、目的ip、资产类型、事件等级、事件数目5个维度(向量)朝终端、网络和应用三个群组进行聚类运算，找到当前一段时间的事件热点，从而实现对海量事件的实时宏观分析。

进一步地，将事件热点在群组标靶上动态显示，获取某一热点，即可同时获取产生该热点的相关安全事件。将超出置信区间的热点告警信息归类为异常检测类。

s14：对目标信息系统的日志中的各威胁要素进行索引，将威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值。

在本实施方式中，对目标信息系统的日志中的各威胁要素进行索引，将威胁多元组按照指数化计算方法计算出各元组的发生概率，并赋值映射为威胁值，包括：对威胁因子进行索引，获取威胁因子所属的元组；通过反正切函数算法计算各元组的威胁度；对各威胁度进行赋值，将各威胁度映射为对应的威胁值。

如上一实施方式所述，建立一套动态的多维威胁指标体系，通过帕累托分析法，可以对当前的威胁成因进行辨别，实现对关键威胁因素从宏观到中观，再到微观的分析，直至定位到导致威胁态势异常的关键安全事件。

在本实施方式中，对威胁指标考核制定了标准，如表2所示：

表2威胁指标考核标准

在本实施方式中，以表2中的7个指标为示例多元组，可以定期在实际环境中不断调整、增加和删除各二级指标，以更好地适应信息安全管理。

为了方便威胁建模的事件分类，本实施方式还建立了威胁指标分类字典，如表3所示：

表3威胁指标分类字典

其中，表3的目的主要用于说明日志范式化后的归类，以作为威胁建模的事件分类对应。

在本实施方式中，还对威胁指标体系进行了实用化说明，基于多元组的自动化威胁指标计算的指标体系，威胁指数等于各类威胁的算术平均值，即根据各威胁度映射为的对应的威胁值计算总体安全威胁指数：

n为多元组威胁的种类数，i指的是事件级别，ti为t在i级事件时的威胁值。

s15：根据安全域威胁指标和威胁值生成相应的数据模型，以对信息系统的安全进行评估。

在本发明的一种实施方式中，根据安全域威胁指标和威胁值生成相应的数据模型，以对信息系统的安全进行评估，包括：计算信息系统的威胁指数，威胁指数为威胁多元组的各元组的威胁值的算术平均值；建立仪表图模型，表示算术平均值和安全域威胁指标，以对信息系统的安全进行评估。建立雷达图模型，展示威胁多元组的各元组的威胁值，以对信息系统的安全进行评估。建立帕累托图模型，展示威胁多元组的各元组的威胁值，以对信息系统的安全进行评估。

在本实施方式中，为了方便用户直观地对信息系统所面临的威胁进行了解，通过建立仪表图、雷达图和帕累托图来对威胁进行描述，其中，在帕累托图中，不同类别的数据根据其频率降序排列的，并在同一张图中画出累积百分比图，量化的威胁值就是构成帕累托图基础数组里面的一个个数据。对于各威胁类型威胁度，利用雷达图可以清晰看到各指标体系的变化；对于总体安全威胁指数，可通过仪表图来反应最近半小时威胁指数的变化；不同类别的数据根据其威胁等级降序排列的，并在同一张图中画出累积百分比图，帕累托图可以体现帕累托原则：数据的绝大部分存在于很少类别中，极少剩下的数据分散在大部分类别中。

综上所述，本发明所提供的一种用于信息系统的威胁数据处理方法，将信息安全事件映射成潜在威胁指标和既有威胁指标，既有威胁指标对威胁进行频率计算，将结果赋值到相关联的资产威胁指标中。对未发生过的威胁则按照一定时间周期，根据国家标准、行业标准、集团制度、业界威胁情报、风险评估等可调节信息采集、范化、并关联为威胁多元组；将多元组威胁指标按照指数化计算方法，计算出各元组的发生概率，最后将各元组按照特定算法，计算出各系统面临的威胁度。根据安全域威胁指标和威胁值生成对应的数据模型，以便于用户直观地观测到信息安全事件中各种威胁可能发生的概率，由这些威胁数据实现了客观地对信息系统所面临的威胁进行评估，以便用户对信息系统进行维护和安全预防。

以上对本发明所提供的一种用于信息系统的威胁数据处理方法进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。