技术特征:
1.一种处理安全信息的方法,包括:对针对目标设备的安全告警信息进行标准化处理,得到标准化数据;确定所述标准化数据与攻击行为知识库中攻击数据之间的相似度;以及根据所述相似度,更新所述目标设备的安全信息。2.根据权利要求1所述的方法,其中,所述对安全告警信息进行标准化,得到标准化数据,包括:解析所述安全告警信息,以确定至少一个目标字段;以及根据预设格式,将所述至少一个目标字段转换为所述标准化数据中的字段。3.根据权利要求2所述的方法,其中,所述预设格式包括标准化威胁信息表达式。4.根据权利要求1所述的方法,其中,所述确定所述标准化数据与攻击行为知识库中攻击数据之间的相似度包括:确定所述标准化数据中的至少一个第一关键词;针对攻击行为知识库中的每个攻击数据,确定所述攻击数据中的至少一个第二关键词;以及根据所述至少一个第一关键词和所述至少一个第二关键词,确定所述标准化数据与所述攻击数据之间的相似度。5.根据权利要求4所述的方法,其中,所述根据所述至少一个第一关键词和所述至少一个第二关键词,确定所述标准化数据与所述攻击数据之间的相似度,包括:将所述至少一个第一关键词和所述至少一个第二关键词合并,得到关键词集合;确定所述关键词集合中每个关键词在所述标准化数据中的词频,得到第一词频特征向量;确定所述关键词集合中每个关键词在所述每个关键词在所述攻击数据中的词频,得到第二词频特征向量;以及计算所述第一词频特征向量与所述第二词频特征向量之间的余弦相似度,作为所述标准化数据与所述攻击数据之间的相似度。6.根据权利要求4或5所述的方法,其中,所述根据所述相似度,更新所述目标设备的安全信息,包括:确定所述攻击行为知识库中与所述标准化数据的相似度最高的目标攻击数据;以及在所述目标攻击数据的相似度大于相似度阈值的情况下,根据所述目标攻击数据,更新目标设备的安全信息。7.根据权利要求6所述的方法,其中,所述攻击数据包括战术字段,所述安全信息包括攻击链;所述根据所述目标攻击数据,更新目标设备的安全信息,包括:将与所述目标攻击数据中的战术字段对应的战术标识添加至所述攻击链中。8.一种处理安全信息的装置,包括:标准化模块,用于对针对目标设备的安全告警信息进行标准化处理,得到标准化数据;相似度确定模块,用于确定所述标准化数据与攻击行为知识库中攻击数据之间的相似度;以及更新模块,用于根据所述相似度,更新所述目标设备的安全信息。9.根据权利要求8所述的装置,其中,所述标准化模块包括:
解析子模块,用于解析所述安全告警信息,以确定至少一个目标字段;以及转换子模块,用于根据预设格式,将所述至少一个目标字段转换为所述标准化数据中的字段。10.根据权利要求9所述的装置,其中,所述预设格式包括标准化威胁信息表达式。11.根据权利要求8所述的装置,其中,所述相似度确定模块包括:第一确定子模块,用于确定所述标准化数据中的至少一个第一关键词;第二确定子模块,用于针对攻击行为知识库中的每个攻击数据,确定所述攻击数据中的至少一个第二关键词;以及第三确定子模块,用于根据所述至少一个第一关键词和所述至少一个第二关键词,确定所述标准化数据与所述攻击数据之间的相似度。12.根据权利要求11所述的装置,其中,所述第三确定子模块包括:合并单元,用于将所述至少一个第一关键词和所述至少一个第二关键词合并,得到关键词集合;第一确定单元,用于确定所述关键词集合中每个关键词在所述标准化数据中的词频,得到第一词频特征向量;第二确定单元,用于确定所述关键词集合中每个关键词在所述每个关键词在所述攻击数据中的词频,得到第二词频特征向量;以及计算单元,用于计算所述第一词频特征向量与所述第二词频特征向量之间的余弦相似度,作为所述标准化数据与所述攻击数据之间的相似度。13.根据权利要求11或12所述的装置,其中,所述更新模块包括:第四确定子模块,用于确定所述攻击行为知识库中与所述标准化数据的相似度最高的目标攻击数据;以及更新子模块,用于在所述目标攻击数据的相似度大于相似度阈值的情况下,根据所述目标攻击数据,更新目标设备的安全信息。14.根据权利要求13所述的装置,其中,所述攻击数据包括战术字段,所述安全信息包括攻击链;所述更新子模块包括:添加单元,用于将与所述目标攻击数据中的战术字段对应的战术标识添加至所述攻击链中。15.一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1
‑
7中任一项所述的方法。16.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1
‑
7中任一项所述的方法。17.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1
‑
7中任一项所述的方法。
技术总结
本公开提供了一种处理安全信息的方法、装置、设备、存储介质以及程序产品,涉及计算机技术领域,尤其涉及车联网、信息安全技术领域。具体实现方案为:对针对目标设备的安全告警信息进行标准化处理,得到标准化数据;确定标准化数据与攻击行为知识库中攻击数据之间的相似度;以及根据相似度,更新目标设备的安全信息。更新目标设备的安全信息。更新目标设备的安全信息。
技术研发人员:汪明伟
受保护的技术使用者:阿波罗智联(北京)科技有限公司
技术研发日:2021.06.25
技术公布日:2021/9/28