本申請屬于網(wǎng)絡(luò)安全，尤其涉及一種終端安全態(tài)勢確定方法、裝置、設(shè)備及介質(zhì)。

背景技術(shù)：

1、隨著計算機(jī)網(wǎng)絡(luò)的出現(xiàn)和普及，網(wǎng)絡(luò)安全隱患也逐漸暴露出來，現(xiàn)如今網(wǎng)絡(luò)面臨著越來越多的攻擊，且攻擊也呈現(xiàn)出越來越隱蔽和長期的特性。相關(guān)技術(shù)中，通常通過部署大量的檢測設(shè)備對攻擊進(jìn)行響應(yīng)以確定終端安全態(tài)勢，然而，攻擊技術(shù)的發(fā)展通常領(lǐng)先于檢測設(shè)備檢測能力，當(dāng)新攻擊技術(shù)或是新漏洞被發(fā)現(xiàn)時，針對這些新攻擊的檢測能力無法及時快速的部署到檢測設(shè)備中，導(dǎo)致對終端安全態(tài)勢確定的準(zhǔn)確率較低。

技術(shù)實現(xiàn)思路

1、本申請實施例提供一種終端安全態(tài)勢確定方法、裝置、設(shè)備及介質(zhì)，能夠提高對終端安全態(tài)勢確定的準(zhǔn)確性。

2、第一方面，本申請實施例提供一種終端安全態(tài)勢確定方法，包括：

3、獲取攻擊行為溯源圖和終端安全日志，所述攻擊行為溯源圖是根據(jù)網(wǎng)絡(luò)威脅情報生成的，所述攻擊行為溯源圖包括若干個三元組，每個所述三元組包括源節(jié)點、目標(biāo)節(jié)點和邊，所述邊用于指示所述源節(jié)點向所述目標(biāo)節(jié)點發(fā)起的攻擊行為；

4、根據(jù)所述終端安全日志，確定終端可能會被攻擊的預(yù)測指標(biāo)；

5、根據(jù)所述若干個三元組和終端安全日志的匹配結(jié)果，確定攻擊行為溯源圖中的攻擊行為對終端產(chǎn)生威脅的評價指標(biāo)；

6、根據(jù)所述預(yù)測指標(biāo)和評價指標(biāo)，確定所述終端安全態(tài)勢。

7、第二方面，本申請實施例提供了一種終端安全態(tài)勢確定裝置，所述裝置包括：

8、獲取模塊，用于獲取攻擊行為溯源圖和終端安全日志，所述攻擊行為溯源圖是根據(jù)網(wǎng)絡(luò)威脅情報生成的，所述攻擊行為溯源圖包括若干個三元組，每個所述三元組包括源節(jié)點、目標(biāo)節(jié)點和邊，所述邊用于指示所述源節(jié)點向所述目標(biāo)節(jié)點發(fā)起的攻擊行為；

9、第一確定模塊，用于根據(jù)所述終端安全日志，確定終端可能會被攻擊的預(yù)測指標(biāo)；

10、第二確定模塊，用于根據(jù)所述若干個三元組和終端安全日志的匹配結(jié)果，確定攻擊行為溯源圖中的攻擊行為對終端產(chǎn)生威脅的評價指標(biāo)；

11、第三確定模塊，用于根據(jù)所述預(yù)測指標(biāo)和評價指標(biāo)，確定所述終端安全態(tài)勢。

12、第三方面，本申請實施例提供了一種電子設(shè)備，該電子設(shè)備包括：處理器以及存儲有計算機(jī)程序指令的存儲器；處理器執(zhí)行所述計算機(jī)程序指令時實現(xiàn)如第一方面的任一項實施例中所述的終端安全態(tài)勢確定方法的步驟。

13、第四方面，本申請實施例提供了一種計算機(jī)可讀存儲介質(zhì)，計算機(jī)可讀存儲介質(zhì)上存儲有計算機(jī)程序指令，計算機(jī)程序指令被處理器執(zhí)行時實現(xiàn)如第一方面的任一項實施例中所述的終端安全態(tài)勢確定方法的步驟。

14、本申請實施例的終端安全態(tài)勢確定方法、裝置、設(shè)備及介質(zhì)，由于當(dāng)新攻擊技術(shù)或是新漏洞被發(fā)現(xiàn)時，會在網(wǎng)絡(luò)威脅情報(cyber?threat?intelligence，cti)中公開，通過從網(wǎng)絡(luò)威脅情報中提取攻擊行為溯源圖，并通過對終端安全日志與溯源圖的三元組進(jìn)行匹配確定攻擊行為溯源圖中的攻擊行為對終端產(chǎn)生威脅的評價指標(biāo)，從而基于該評價指標(biāo)以及對終端安全日志進(jìn)行分析得到的終端可能會被攻擊的預(yù)測指標(biāo)確定終端安全態(tài)勢，能夠有效規(guī)避檢測設(shè)備檢測能力相較于攻擊技術(shù)的滯后性的問題，進(jìn)而提高對終端安全態(tài)勢確定的準(zhǔn)確性。

技術(shù)特征：

1.一種終端安全態(tài)勢確定方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述根據(jù)所述若干個三元組和終端安全日志的匹配結(jié)果，確定攻擊行為溯源圖中的攻擊行為對終端產(chǎn)生威脅的評價指標(biāo)，包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，在所述根據(jù)所述若干個三元組和終端安全日志，確定所述終端安全日志中是否存在與任意一個所述三元組相匹配的日志項之后，所述方法還包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述根據(jù)所述預(yù)測指標(biāo)和評價指標(biāo)，確定所述終端安全態(tài)勢，包括：

5.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述根據(jù)所述源節(jié)點類型、目標(biāo)節(jié)點類型和邊類型，確定攻擊行為溯源圖中的攻擊行為對終端產(chǎn)生威脅的評價指標(biāo)，包括：

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，在所述根據(jù)所述目標(biāo)節(jié)點類型對應(yīng)的預(yù)設(shè)等級和源節(jié)點類型的重要性指標(biāo)，確定所述目標(biāo)節(jié)點類型的重要性指標(biāo)之前，所述方法還包括：

7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述終端安全日志包括終端漏洞信息、終端安全等級和終端攻擊信息；

8.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述終端攻擊信息包括若干個攻擊行為分別對應(yīng)的源ip地址、目的ip地址、源端口、目的端口和攻擊時間；

9.一種終端安全態(tài)勢確定裝置，其特征在于，所述裝置包括：

10.一種電子設(shè)備，其特征在于，所述設(shè)備包括：處理器以及存儲有計算機(jī)程序指令的存儲器；所述處理器調(diào)用所述計算機(jī)程序指令時實現(xiàn)如權(quán)利要求1-8中任意一項所述的終端安全態(tài)勢確定方法。

11.一種計算機(jī)可讀存儲介質(zhì)，其特征在于，所述計算機(jī)可讀存儲介質(zhì)上存儲有計算機(jī)程序指令，所述計算機(jī)程序指令被處理器調(diào)用時實現(xiàn)如權(quán)利要求1-8中任意一項所述的終端安全態(tài)勢確定方法。

技術(shù)總結(jié)
本申請公開了一種終端安全態(tài)勢確定方法、裝置、設(shè)備及介質(zhì)。所述方法包括：獲取攻擊行為溯源圖和終端安全日志，所述攻擊行為溯源圖是根據(jù)網(wǎng)絡(luò)威脅情報生成的，所述攻擊行為溯源圖包括若干個三元組，每個所述三元組包括源節(jié)點、目標(biāo)節(jié)點和邊，所述邊用于指示所述源節(jié)點向所述目標(biāo)節(jié)點發(fā)起的攻擊行為；根據(jù)所述終端安全日志，確定終端可能會被攻擊的預(yù)測指標(biāo)；根據(jù)所述若干個三元組和終端安全日志的匹配結(jié)果，確定攻擊行為溯源圖中的攻擊行為對終端產(chǎn)生威脅的評價指標(biāo)；根據(jù)所述預(yù)測指標(biāo)和評價指標(biāo)，確定所述終端安全態(tài)勢。根據(jù)本申請實施例，能夠有效規(guī)避檢測設(shè)備檢測能力相較于攻擊技術(shù)的滯后性的問題，提高對終端安全態(tài)勢確定的準(zhǔn)確性。

技術(shù)研發(fā)人員：徐金陽,劉冬巖,高琛,冮凱旋,郭捷夫
受保護(hù)的技術(shù)使用者：中國移動通信集團(tuán)遼寧有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21