(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210861023.6 (22)申请日 2022.07.22 (65)同一申请的已公布的文献号 申请公布号 CN 115080554 A (43)申请公布日 2022.09.20 (73)专利权人 安徽省大 数据中心 地址 230002 安徽省合肥市包河区马鞍山 路509号 (72)发明人 朱典　陶峰　杨阳　姚远　宋康　 姚杰　柏光华　 (74)专利代理 机构 合肥市浩智运专利代理事务 所(普通合伙) 34124 专利代理师 朱文振 (51)Int.Cl. G06F 16/215(2019.01)G06F 16/2458(2019.01) G06F 16/25(2019.01) G06K 9/62(2022.01) H04L 9/40(2022.01) 审查员 周炬 (54)发明名称 一种基于多维数据碰撞分析的告警方法及 系统 (57)摘要 本发明提供一种基于多维数据碰撞分析的 告警方法及系统， 方法包括： 采集流量日志、 漏洞 数据、 安全事件、 威胁情报数据， 对采集后的数据 进行统一的标准范式化处理； 系统根据单位时间 内流量日志数据， 对资产进行活跃值计算； 系统 根据单位时间内漏洞数据， 对资产进行漏洞威胁 值计算； 系统根据单位时间内安全事件数据， 对 资产进行事件威胁值计算； 系统根据威胁情报数 据， 对资产进行情报威胁值计算； 系统计算得出 单位时间内每一个 资产的威胁值信息， 计算得出 平均资产威胁值以及资产威胁值中位数， 以计算 低中高危告警级别判定阈值； 判断异常威胁资产 以及告警级别， 并产生相关告警。 解决了告警效 果差、 误报率高、 方式单一以及依赖威胁情报库 的技术问题。 权利要求书6页 说明书11页 附图5页 CN 115080554 B 2022.11.11 CN 115080554 B 1.一种基于多维数据碰撞分析的告警方法， 其特 征在于， 所述方法包括： S1、 采集获取网络中的差异类别探针数据， 其中， 所述差异类别探针数据包括： 流量日 志数据、 漏洞数据、 安全事件数据、 威胁情报数据， 对所述差异类别探针数据进行统一的标 准范式化处 理， 以得到范式化探针数据； S2、 对所述范式化探针数据进行多维数据碰撞分析， 以评估获取被分析资产的单位时 间内资产威胁值， 其中， 所述 步骤S2还 包括： S21、 以预置活跃值处理逻辑处理预置单位 时间内的所述流量日志数据， 据以得到被分 析资产的活跃值 Ass， 其中， 所述 步骤S21包括： S211、 统计所述 流量日志数据中的资产与IP的通联关系数据； S212、 利用下述逻辑计算所述 通联关系数据， 据以得到所述活跃值 Ass： 其中， 代表所述被分析资产i在单位时间内资产会话连接数， 代表资产j在单位 时间内资产会话连接数， n代表内网中所述被 分析资产i的总数量， Ass代表所述被 分析资产 的所述活跃值； S22、 以预置漏洞威胁处理逻辑处理所述预置单位时间内的所述漏洞数据， 据以得到所 述被分析资产的漏洞威胁值 Vul， 其中， 所述 步骤S22包括： S221、 获取CVSS国际漏洞评分标准， 据以匹配所述被分析资产的所述漏洞数据与CVSS 漏洞编号， 以得到漏洞级别评分； S222、 根据下述逻辑处 理所述漏洞级别评分， 以得到所述漏洞威胁值 Vul： 其中m代表资产存在的漏洞数量， 代表漏洞v按照CVSS漏洞评分标准输出的具 体漏洞评分， 所述 ； S23、 以预置事件威胁处理逻辑处理所述预置单位时间内的所述安全事件数据， 据以得 到所述被分析资产的事 件威胁值 Event， 其中， 所述 步骤S23包括： S231、 处理所述安全事件数据中的中高危数据， 据以获取安全数据源目的地址匹配关 系； S232、 以下述逻辑处理所述安全数据源目的地址匹配关系， 据以得到所述事件威胁值 Event： 其中，E代表单位时间内安全事件总量集合， 代表事件级别中高危事件对应的量权　利　要　求　书 1/6 页 2 CN 115080554 B 2化数值， 代表和所述被分析资产i相关联的安全事件级别对应的量化数 值； S24、 以预置情报威胁处理逻辑处理所述威胁情报数据及所述安全事件数据， 据以得到 所述被分析资产的情 报威胁值 Intel， 其中， 所述 步骤S24包括： S241、 获取所述预置单位时间内的与所述被分析资产i相关联的安全事件源目的地址 集合 以及系统威胁情 报IP集合 ； S242、 以下述逻辑处理所述安全事件源目的地址集合 以及所述系统威胁情报 IP集合 ， 据以得到所述情 报威胁值 Intel： 其中， 代表威胁情 报碰撞后IP集 合的个数； S25、 根据预置处理逻辑及预设权重系数处理所述活跃值、 所述漏洞威胁值、 所述事件 威胁值、 所述情 报威胁值， 据以得 出所述单位时间内资产威胁值； S3、 根据所述单位时间内资产威胁值计算得到单位时间资产平均威胁值， 并计算得到 资产威胁值中位数； S4、 处理所述单位时间资产平均威胁值以及所述资产威胁值中位数， 据以得到不少于2 个等级的告警级别判定阈值， 根据所述告警级别判定阈值判定获取异常威胁资产告警数据 及其告警级别， 以生成并发出告警信息， 其中， 所述 步骤S4包括： S41、 以下述逻辑处 理所述被分析资产的所述活跃值 Ass， 以得到第一告警级别阈值： 其中， α 为权重系数， 表示被分析资产i在单位时间内的活跃度， n表示资产的总数 量， 代表第一告警级别阈值； S42、 在所述单位时间资产平均威胁值大于所述资产威胁值中位数时， 则设置第二告警 级 别 判 定 阈 值 为 ，设 置 第 三 告 警 级 别 判 定 阈 值 为 ， 其中， 代表第二告警级别判定阈值， 代表第 三告警级别判定阈值； S43、 在所述单位时间资产平均威胁值小于所述资产威胁值中位数时， 则设置所述第二 告警级别判定阈值为 ， 设置所述第三告警级别判定阈值为 ； S44、 若所述单位时间资产平均威胁值等于所述资产威胁值中位数时， 则设置所述第二 告警级别判定阈值及所述第三告警级别判定阈值 为： ；权　利　要　求　书 2/6 页 3 CN 115080554 B 3