[发明专利]网络威胁的检测方法、装置、电子装置和存储介质

说明书

本申请涉及一种网络威胁的检测方法、装置、电子装置和存储介质，其中，该网络威胁的检测方法包括：从多个数据源中获取网络安全数据；将网络安全数据输入到已训练的安全分析模型，得到已训练的安全分析模型输出的待测威胁数据，其中，已训练的安全分析模型是被训练为根据网络安全数据的特征信息评估网络安全数据是否属于待测威胁数据的机器学习模型；将待测威胁数据输入到第一研判平台，判断在第一研判平台中是否发生对应于待测威胁数据的威胁事件；在第一研判平台中发生对应于待测威胁数据的威胁事件的情况下，标记待测威胁数据为第一威胁数据。解决了相关技术中对网络威胁的检测存在误报的问题，实现了提高网络威胁的检测准确率的技术效果。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种网络威胁的检测方法、装置、电子装置和存储介质。

背景技术

随着以APT、恶意挖矿、勒索病毒等为主的新型威胁和网络攻击的不断出现，数量不断上升，网络威胁正迅速恶性演变，与此同时，网络攻击的手段和渠道亦多元化发展，对于网络安全人员的分析与处理能力提出了更高的要求，而企业和组织在防范外部的攻击过程中越发需要依靠充分、高效、精准的安全威胁信息作为支撑，以帮助其更好的发现和应对这些新型威胁。

威胁信息可以帮助用户明确其在线信息资产和安全状况，根据自身资产的重要程度和影响面，进行相关的漏洞修补和风险管理。威胁信息还可以帮助用户了解其所在行业的威胁环境，有哪些攻击者，攻击者使用的战术技术等。

相关技术中的网络威胁检测技术往往采用特征匹配等技术来发现各种已知和未知的网络威胁信息，例如通过重点系统或网站安全监测、城域网分光流量检测、重要行业日志采集、网络资产普查、工控系统探测等安全设备通过特征匹配等技术直接检测威胁、隐患和事件信息。这些威胁信息一旦被检测出来，将由监管单位针对网站或系统所存在的威胁信息通报其相关被监管单位，由被监管单位对这些存在威胁的网站或系统进行整改，消除其存在的风险信息。然而，由于网络问题、设备异常等不可控因素会导致检测出来的网络威胁信息存在误报等情况。通报不存在或不实的威胁信息不仅造成通报过程中人力、物力等资源的浪费，还会影响监管方的权威性，从而影响监管工作的正常推进。。

目前针对相关技术中对网络威胁的检测存在误报的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种网络威胁的检测方法、装置、电子装置和存储介质，以至少解决相关技术中对网络威胁的检测存在误报的问题。

第一方面，本申请实施例提供了一种网络威胁的检测方法，包括：从多个数据源中获取网络安全数据；将所述网络安全数据输入到已训练的安全分析模型，得到所述已训练的安全分析模型输出的待测威胁数据，其中，所述已训练的安全分析模型是被训练为根据网络安全数据的特征信息评估网络安全数据是否属于待测威胁数据的机器学习模型；将所述待测威胁数据输入到第一研判平台，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的威胁事件；在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据。

在其中一些实施例中，所述待测威胁数据包括以下至少之一：安全隐患数据、威胁攻击数据、安全事件数据。

在其中一些实施例中，在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据包括：在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，获取发生对应于所述待测威胁数据的威胁事件的第一凭证信息，并在所述第一研判平台中存储所述第一凭证信息；标记所述待测威胁数据为第一威胁数据。