处理安全信息的方法、装置、设备以及存储介质与流程

1.本公开涉及计算机技术领域，尤其涉及车联网、信息安全技术领域。


背景技术：

2.随着“互联网+”的全面推进，信息技术在国家社会经济建设中的应用也越来越广泛。相应地，新型的网络安全威胁也更加突出，传统以“防护”为主的网络安全防御体系将面临极大挑战。面对新型的网络安全威胁，未来网络安全防御体系将更加看重网络安全的监测和响应能力。因此，如何及时发现网络安全威胁行为，提高网络威胁响应的效率成为亟需解决的问题。


技术实现要素：

3.本公开提供了一种处理安全信息的方法、装置、设备、存储介质以及程序产品。
4.根据本公开的一方面，提供了一种对针对目标设备的安全告警信息进行标准化处理，得到标准化数据；确定所述标准化数据与攻击行为知识库中攻击数据之间的相似度；以及根据所述相似度，更新所述目标设备的安全信息。
5.根据本公开的另一方面，提供了一种处理安全信息的装置，包括：标准化模块，用于对针对目标设备的安全告警信息进行标准化处理，得到标准化数据；确定模块，用于确定所述标准化数据与攻击行为知识库中攻击数据之间的相似度；以及更新模块，用于根据所述相似度，更新所述目标设备的安全信息。
6.本公开的另一个方面提供了一种计算设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本公开实施例所示的方法。
7.根据本公开实施例的另一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行本公开实施例所示的方法。
8.根据本公开实施例的另一方面，提供了一种计算机程序产品，计算机程序，所述计算机程序在被处理器执行时实现本公开实施例所示的方法。
9.应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
10.附图用于更好地理解本方案，不构成对本公开的限定。其中：
11.图1示意性示出了根据本公开实施例的可以应用处理安全信息的方法和装置的示例性系统架构；
12.图2示意性示出了根据本公开的实施例的处理安全信息的方法的流程图；
13.图3示意性示出了根据本公开的实施例的确定标准化数据与攻击行为知识库中攻
击数据之间的相似度的方法的流程图；
14.图4示意性示出了根据本公开的实施例的处理安全信息的方法的示意图；
15.图5示意性示出了根据本公开实施例的处理安全信息的装置的框图；以及
16.图6示意性示出了可以用来实施本公开的实施例的示例电子设备的示意性框图。
具体实施方式
17.以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
18.图1示意性示出了根据本公开实施例的可以应用处理安全信息的方法和装置的示例性系统架构100。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
19.如图1所示，根据该实施例的系统架构100可以包括终端设备101、102、103，网络104、威胁分析平台105和攻击行为知识库106。网络104用以在终端设备101、102、103和云端105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
20.根据本公开的实施例，当终端设备101、102、103受到网络攻击时，终端设备101、102、103根据该网络攻击的攻击行为，生成相应的安全告警信息。终端设备101、102、103中可以部署有安全数据探针，用于收集终端设备101、102、103的安全告警信息，并通过网络104将安全告警信息上报威胁分析平台105。
21.终端设备101、102、103可以是支持网络通讯的各种电子设备，包括但不限于智能车载系统、车载传感器、智能交通终端设备等等。
22.威胁分析平台105可以用于对接收到的安全告警信息等数据进行分析等处理，并将处理结果(例如根据安全告警信息生成的分析结果等)反馈给终端设备。
23.威胁分析平台105可以部署在服务器或由多个服务器组成的服务器集群中。其中，该服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与vps服务(“virtual private server”，或简称“vps”)中，存在的管理难度大，业务扩展性弱的缺陷。该服务器也可以为分布式系统的服务器，或者是结合了区块链的服务器。
24.根据本公开的实施例，攻击行为知识库106可以由真实世界观测和收集的攻击者攻击行为信息建立，可以用于反映攻击者的攻击生命周期和所使用的技术和手段。攻击行为知识库106例如可以基于att&ck(adversarial tactics，techniques，and common knowledge，对抗战术、技术和常识)模型。att&ck模型的抽象层次较低，可以有效帮助使用者将战术战略关联起来，并且可以更加清晰的反映出当前攻击处于什么生命周期。
25.需要说明的是，本公开实施例所提供的处理安全信息的方法可以由威胁分析平台105执行。相应地，本公开实施例所提供的处理安全信息的装置可以设置于威胁分析平台105中。本公开实施例所提供的处理安全信息的方法也可以由不同于威胁分析平台105且能
够与终端设备101、102、103和/或威胁分析平台105通信的服务器或服务器集群执行。相应地，本公开实施例所提供的处理安全信息的装置也可以设置于不同于威胁分析平台105且能够与终端设备101、102、103和/或威胁分析平台105通信的服务器或服务器集群中。
26.应该理解，图1中的终端设备、网络、威胁分析平台和攻击行为知识库的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络、威胁分析平台和攻击行为知识库。
27.图2示意性示出了根据本公开的实施例的处理安全信息的方法的流程图。
28.如图2所示，该处理安全信息的方法200可以包括操作s210～s230。
29.在操作s210，对针对目标设备的安全告警信息进行标准化处理，得到标准化数据。
30.然后，在操作s220，确定标准化数据与攻击行为知识库中攻击数据之间的相似度。
31.在操作s230，根据相似度，更新目标设备的安全信息。
32.根据本公开的实施例，可以预先在终端设备中部署安全数据探针。从而可以通过部署在各终端设备中的安全数据探针收集对应终端设备的安全告警信息，然后上传至威胁分析平台。根据本公开的另一些实施例，威胁分析平台也可以接入第三方威胁分析平台，获取来自第三方威胁分析平台的安全告警信息。
33.根据本公开的实施例，可以解析安全告警信息，得到至少一个目标字段。然后根据预设格式，将至少一个目标字段转换为标准化数据中的字段。其中，预设格式例如可以包括标准化威胁信息表达式(structured threat information expression，stix)。结构化威胁信息表达式是一种用于表示事件相关性与涵盖性的语言，可以用来表达架构性的网络威胁信息。
34.根据本公开的实施例，攻击数据为用于描述网络攻击的数据，例如可以包括过程(procedures)字段、技术(techniques)字段和战术(tactics)字段，其中，战术字段可以用于描述攻击者为什么进行攻击，反映了攻击者的攻击意图。通过战术字段可以确定对应的攻击阶段。例如，战术字段可以包括初始接入(initial access)、指令执行(execution)、持久化(persistence)、权限提升(privilege escalation)、逃避防御(defense evasion)、获取凭证(credential access)、探索(discovery)、横向移动(lateral movement)、信息收集(collection)、数据窃取(exfiltration)、命令控制(command and control)等。示例性地，本实施例中，每个战术可以对应于一个或多个技术，技术字段可以用于描述攻击者为完成战术都做了什么。本实施例中，每个技术可以对应于一个或多个过程，过程字段可以用于描述攻击的过程。
35.根据本公开的实施例，目标设备的安全信息可以反映目标设备所处的安全状态，通过更新目标设备的安全信息可以帮助用户或分析系统提取洞悉攻击者攻击的意图。
36.根据本公开的实施例，安全信息例如可以包括攻击链，攻击链可以反映设备在被攻击时经历的攻击阶段。攻击链的形式可以兼顾机器和人的可读性。基于此，在更新安全信息时，可以将与目标攻击数据中的战术字段对应的战术标识添加至攻击链中，以更新攻击链。
37.例如，标准化数据中包含有设备唯一标识，可以通过设备唯一标识去查找设备的当前攻击链状态。若该设备之前未遭受攻击，则攻击链为空。在这种情况下，可以将当前战术标识作为一个数据项，添加到攻击链中。若该设备之前遭受过攻击，则当前攻击链不为
空。在这种情况下，可以将战术标识添加到攻击链的尾部，并将上一次攻击时添加的战术标识的指向设置为指向当前添加的战术标识，用于表明攻击的方向。
38.根据本公开的实施例的处理安全信息的方法可以提高从海量安全告警信息中提炼出有效的威胁行为信息的效率，进而提高发现和响应安全威胁的效率。
39.下面结合图3对确定标准化数据与攻击行为知识库中攻击数据之间的相似度的操作做进一步说明。
40.图3示意性示出了根据本公开的实施例的确定标准化数据与攻击行为知识库中攻击数据之间的相似度的方法的流程图。
41.如图3所示，该确定标准化数据与攻击行为知识库中攻击数据之间的相似度的方法320例如可以包括操作s321～s323。
42.在操作s321，确定标准化数据中的至少一个第一关键词。
43.根据本公开的实施例，标准化数据包括用于描述攻击行为的字段，可以将该字段进行分词处理，得到至少一个第一关键词。
44.然后，在操作s322，针对攻击行为知识库中的每个攻击数据，确定攻击数据的过程字段中的至少一个第二关键词。
45.根据本公开的实施例，可以对攻击数据中的过程字段进行分词处理，得到至少一个第二关键词。
46.在操作s323，根据至少一个第一关键词和至少一个第二关键词，确定标准化数据与攻击数据之间的相似度。
47.根据本公开的实施例，可以根据至少一个第一关键词和至少一个第二关键词之间的相似度来确定标准化数据与攻击数据之间的相似度。
48.示例性地，本实施例中，可以将至少一个第一关键词和至少一个第二关键词合并，得到关键词集合。然后确定关键词集合中每个关键词在标准化数据中的词频，得到第一词频特征向量。确定关键词集合中每个关键词在每个关键词在攻击数据中的词频，得到第二词频特征向量。计算第一词频特征向量与第二词频特征向量之间的余弦相似度，作为标准化数据与攻击数据之间的相似度。
49.例如，标准化数据中用于描述攻击行为的字段s1为“该攻击是针对网络服务器的ddos攻击。攻击数据中过程字段s2为“该攻击用于攻击ddos，目标是网络服务器”。
50.分别对上述s1和s2进行分词处理，得到以下的词向量s1和s2。
51.s1：[该攻击是针对网络服务器的ddos攻击]
[0052]
s2：[该攻击用于攻击ddos目标是网络服务器，]
[0053]
然后，统计s1和s2中所有单词，将s1和s2中出现的所有单词去重后融合，并得到一个关键词集合如下：
[0054]
[该攻击是用于针对网络服务器目标的ddos，]
[0055]
对于上述关键词集合中的每个关键词，分别确定s1和s2中每个关键词的出现频次，得到以下词频特征向量a和b。其中，词频特征向量中每个元素表示对应的关键词在词向量中的出现频次。
[0056]
a：[1 2 1 0 1 1 0 1 1 0]
[0057]
b：[1 2 1 1 0 1 1 0 1 1]
[0058]
接下来，可以根据以下公式计算a和b之间的余弦相似度。
[0059][0060]
其中，similarity为a和b之间的余弦相似度，θ为a和b之间的夹角，ai为a中第i个元素，bi为b中第i个元素，n为a(或b)中的元素总数。本实施例中，余弦相似度的范围在[
‑
1，1]之间，两向量之间的余弦相似度越接近1则表示两向量的相似度越大。
[0061]
根据本公开的实施例，在确定相似度之后，可以确定攻击行为知识库中与标准化数据的相似度最高的目标攻击数据，然后在目标攻击数据的相似度大于相似度阈值的情况下，根据目标攻击数据，更新目标设备的安全信息。其中，相似度阈值可以根据实际需要进行设置，本公开对相似度阈值的具体值不作具体限定。示例性地，本实施例中，相似度阈值可以为0.5。
[0062]
根据本公开的实施例，通过确定标准化数据与攻击行为知识库中攻击数据之间的相似度，可以得到与标准化数据对应的攻击数据，即得到攻击者的攻击方式、攻击意图等信息，从而可以更加清晰准确的反映设备安全状态。
[0063]
下面参考图4，结合具体实施例对上文所示处理安全信息的方法做进一步说明。本领域技术人员可以理解，以下示例实施例仅用于理解本公开，本公开并不局限于此。
[0064]
图4示意性示出了根据本公开的实施例的处理安全信息的方法的示意图。示例性地，本实施例中，该方法可以由威胁分析平台执行。
[0065]
如图4所示，部署在各终端设备中的安全数据探针收集对应终端设备的安全告警信息41，然后上传至威胁分析平台。另外，威胁分析平台也可以直接接入第三方威胁分析平台，以获取安全告警信息41。
[0066]
威胁分析平台获取到安全告警信息41之后，可以将安全告警信息41按照stix格式进行数据标准化，得到标准化数据42。可以理解的是，若获取到的安全告警信息41已经是stix格式，则不需要进行数据标准化。
[0067]
然后将标准化数据42中用于描述攻击行为的目标字段与att&ck知识库中的多个攻击数据43的过程字段进行匹配。将目标字段与每个攻击数据中过程字段进行相似度计算，得到目标字段与每个过程字段的相似度。对于所有过程字段中相似度最高的过程字段，确定该相似度是否大于相似度阈值，在相似度大于相似度阈值的情况下，确定该过程字段所属的技术字段，然后确定该技术字段所属的战术字段，从而得到目标攻击数据44。
[0068]
在得到目标攻击数据44之后，可以获取目标攻击数据的战术标识45，获取与设备对应的攻击链46，然后将战术标识45加入该设备原有的攻击链46中。示例性地，本实施例中，该设备原有的攻击链46不为空。基于此，可以将战术标识45添加到攻击链46的尾部，并将上一次攻击时添加的战术标识的指向设置为指向当前添加的战术标识，用于表明攻击的方向。
[0069]
图5示意性示出了根据本公开实施例的处理安全信息的装置的框图。
[0070]
如图5所示，该处理安全信息的装置500包括标准化模块510、相似度确定模块520和更新模块530。
[0071]
标准化模块510，可以用于对针对目标设备的安全告警信息进行标准化处理，得到
标准化数据。
[0072]
相似度确定模块520，可以用于确定标准化数据与攻击行为知识库中攻击数据之间的相似度。
[0073]
更新模块530，可以用于根据相似度，更新目标设备的安全信息。
[0074]
根据本公开的实施例，标准化模块可以包括解析子模块和转换子模块。其中，解析子模块，可以用于解析安全告警信息，以确定至少一个目标字段。转换子模块，可以用于根据预设格式，将至少一个目标字段转换为标准化数据中的字段。
[0075]
根据本公开的实施例，预设格式可以包括标准化威胁信息表达式。
[0076]
根据本公开的实施例，相似度确定模块可以包括第一确定子模块、第二确定子模块和第三确定子模块。其中，第一确定子模块，可以用于确定标准化数据中的至少一个第一关键词。第二确定子模块，可以用于针对攻击行为知识库中的每个攻击数据，确定攻击数据中的至少一个第二关键词。第三确定子模块，可以用于根据至少一个第一关键词和至少一个第二关键词，确定标准化数据与攻击数据之间的相似度。
[0077]
根据本公开的实施例，第三确定子模块可以包括合并单元、第一确定单元、第二确定单元和计算单元。其中，合并单元，可以用于将至少一个第一关键词和至少一个第二关键词合并，得到关键词集合。第一确定单元，可以用于确定关键词集合中每个关键词在标准化数据中的词频，得到第一词频特征向量。第二确定单元，可以用于确定关键词集合中每个关键词在每个关键词在攻击数据中的词频，得到第二词频特征向量。计算单元，可以用于计算第一词频特征向量与第二词频特征向量之间的余弦相似度，作为标准化数据与攻击数据之间的相似度。
[0078]
根据本公开的实施例，更新模块可以包括第四确定子模块和更新子模块。其中，第四确定子模块，可以用于确定攻击行为知识库中与标准化数据的相似度最高的目标攻击数据。更新子模块，可以用于在目标攻击数据的相似度大于相似度阈值的情况下，根据目标攻击数据，更新目标设备的安全信息。
[0079]
根据本公开的实施例，攻击数据可以包括战术字段，安全信息包括攻击链。
[0080]
根据本公开的实施例，更新子模块包括添加单元，可以用于将与目标攻击数据中的战术字段对应的战术标识添加至攻击链中。
[0081]
需要说明的是，本公开的技术方案中，所涉及的用户个人信息的获取、存储和应用等，均符合相关法律法规的规定，且不违背公序良俗。
[0082]
根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
[0083]
图6示意性示出了可以用来实施本公开的实施例的示例电子设备600的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
[0084]
如图6所示，设备600包括计算单元601，其可以根据存储在只读存储器(rom)602中的计算机程序或者从存储单元608加载到随机访问存储器(ram)603中的计算机程序，来执
行各种适当的动作和处理。在ram 603中，还可存储设备600操作所需的各种程序和数据。计算单元601、rom 602以及ram 603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。
[0085]
设备600中的多个部件连接至i/o接口605，包括：输入单元606，例如键盘、鼠标等；输出单元607，例如各种类型的显示器、扬声器等；存储单元608，例如磁盘、光盘等；以及通信单元609，例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
[0086]
计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理，例如处理安全信息的方法。例如，在一些实施例中，处理安全信息的方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元608。在一些实施例中，计算机程序的部分或者全部可以经由rom 602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到ram 603并由计算单元601执行时，可以执行上文描述的处理安全信息的方法的一个或多个步骤。备选地，在其他实施例中，计算单元601可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行处理安全信息的方法。
[0087]
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
[0088]
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
[0089]
在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd
‑
rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
[0090]
为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机
具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
[0091]
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
[0092]
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端
‑
服务器关系的计算机程序来产生客户端和服务器的关系。
[0093]
应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。
[0094]
上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。