(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111436246.X (22)申请日 2021.11.29 (71)申请人 平安证券股份有限公司 地址 518000 广东省深圳市福田区福田街 道益田路5023号平安金融中心B座第 22-25层 (72)发明人 彭卓　 (74)专利代理 机构 深圳市明日今典知识产权代 理事务所(普通 合伙) 44343 代理人 王杰辉　曹勇 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 互联网资产安全威胁的处理方法、 装置、 设 备及存储介质 (57)摘要 本申请涉及网络安全技术领域， 揭示了一种 互联网资产安全威胁的处理方法、 装置、 设备及 存储介质， 其中方法包括： 将从安全威胁数据中 得到的攻击对象数据， 在预设的互联网资产关系 列表中确定受威胁互联网资产标识集， 互联网资 产关系列表中包括对访问流量分析数据和互联 网探测扫描数据进行实时解析得到的信息； 若受 威胁互联网资产标识集不为空， 根据安全威胁数 据， 对受威胁互联网资产标识集的每个互联网资 产标识分别生成预警信息和威胁处理工单； 根据 各个威胁处理工单各自对应的单工单处理结果 确定互联网资产安全威胁处理结果。 从而提高了 互联网资产的安全威胁处理的准确性、 全面性、 及时性和可跟踪性。 权利要求书3页 说明书12页 附图3页 CN 114143078 A 2022.03.04 CN 114143078 A 1.一种互联网资产安全威胁的处 理方法， 其特 征在于， 所述方法包括： 获取安全威胁数据； 从所述安全威胁数据分析 出攻击对象数据； 将所述攻击对象数据， 在预设的互联网资产关系列表中进行互联网资产标识匹配， 得 到受威胁互联网资产标识集， 其中， 所述互联网资产关系列表中包括对访问流量分析数据 和互联网探测扫描数据进行实时解析 得到的信息； 若所述受威胁互联网资产标识集不为空， 根据所述安全威胁数据， 对所述受威胁互联 网资产标识集的每 个所述互联网资产标识生成预警信息； 根据预设的威胁处理人员信息列表、 各个所述预警信息， 对所述受威胁互联网资产标 识集中的每 个所述互联网资产标识生成威胁处 理工单； 根据获取的各个所述威胁处理工单各自对应的单工单处理结果， 确定所述安全威胁数 据对应的互联网资产安全威胁处 理结果。 2.根据权利要求1所述的互联网资产安全威胁的处理方法， 其特征在于， 所述将所述攻 击对象数据， 在预设的互联网资产关系列表中进行互联网资产标识匹配， 得到受威胁互联 网资产标识集的步骤， 包括： 将所述攻击对象数据中的各个数据进行关联， 得到待分析的关联 数据； 将所述待分析的关联数据， 在所述互联网资产关系列表中进行关联数据匹配， 得到受 威胁关联 数据集； 根据所述 攻击对象数据和所述受威胁关联 数据集确定所述受威胁互联网资产标识集。 3.根据权利要求1所述的互联网资产安全威胁的处理方法， 其特征在于， 所述将所述攻 击对象数据， 在预设的互联网资产关系列表中进行互联网资产标识匹配， 得到受威胁互联 网资产标识集的步骤之前， 还 包括： 获取消息中间件发送的消息更新通知， 其中， 所述消息中间件用于接收访 问流量分析 器实时发送的所述访问流量分析数据和互联网探测扫描器实时发送的所述互联网探测扫 描数据； 根据所述消息更新 通知， 从所述消息中间件中获取消息作为待解析的数据； 对所述待解析的数据进行互联网资产关系数据的解析； 采用解析 得到的所述互联网资产关系数据对所述互联网资产关系列表进行 更新。 4.根据权利要求1所述的互联网资产安全威胁的处理方法， 其特征在于， 所述根据 预设 的威胁处理人员信息列表、 各个所述预警信息， 对所述受威胁互联网资产标识集中的每个 所述互联网资产标识生成威胁处 理工单的步骤， 包括： 根据所述受威胁互联网资产标识集对应的安全威胁类型， 从所述威胁处理人员 信息列 表中找出威胁处 理人员标识， 得到候选威胁处 理人员标识集； 对所述受威胁互联网资产标识集中的各个所述互联网资产标识按资产安全等级属性 进行集合划分， 得到多个受威胁互联网资产标识子集； 将任一个所述受威胁互联网资产标识子集作为待处 理子集； 根据均衡分配原则和所述候选威胁处理人员标识集， 对所述待处理子集中的每个所述 互联网资产标识确定目标威胁处 理人员标识； 根据同一个所述互联网资产标识对应的所述目标威胁处理人员标识及所述预警信息权　利　要　求　书 1/3 页 2 CN 114143078 A 2生成所述 威胁处理工单。 5.根据权利要求1所述的互联网资产安全威胁的处理方法， 其特征在于， 所述根据获取 的各个所述威胁处理工单各自对应的单工单处理结果， 确定所述安全威胁数据对应的互联 网资产安全威胁处 理结果的步骤之前， 还 包括： 根据每个所述威胁处理工单对应的资产安全等级属性确定单监控配置数据； 根据各个所述单监控配置数据设置 定时监控 任务； 根据各个所述定时监控任务获取各个所述威胁处理工单各自对应的所述单工单处理 结果； 根据各个所述单工单处 理结果进行分类统计， 得到分类统计结果； 根据所述分类统计结果和各个所述单工单处理结果生成报告， 得到所述互联网资产安 全威胁处 理结果。 6.根据权利要求5所述的互联网资产安全威胁的处理方法， 其特征在于， 所述根据 各个 所述定时监控任务获取各个所述威胁处理工单各自对应的所述单工单 处理结果的步骤， 还 包括： 判断各个所述定时监控 任务是否执 行完成； 若否， 执行未执行完成的所述定时监控任务， 获取与所述定时监控任务对应的每个所 述威胁处理工单对应的单工单处 理结果， 得到每 个所述威胁处理工单对应的获取 结果； 若存在所述获取结果为失败， 对为失败的所述获取结果对应的所述单监控配置数据进 行更新， 根据更新后的所述单监控配置数据设置所述定时监控任务， 重复执行所述判断各 个所述定时监控 任务是否执 行完成的步骤， 直至各个所述获取 结果均为成功； 若各个所述获取结果均为成功， 采用预设时间获取各个所述威胁处理工单各自对应的 所述单工单处 理结果。 7.根据权利要求6所述的互联网资产安全威胁的处理方法， 其特征在于， 所述对为失败 的所述获取结果对应的所述单监控配置数据进 行更新， 根据更新后的所述单监控配置数据 设置所述定时监控 任务的步骤， 包括： 将为失败的所述获取 结果对应的每 个所述威胁处理工单作为异常工单； 将各个所述异常工单发送给进度异常处 理端； 获取所述进度异常处 理端根据所述异常工单发送的待调整监控配置数据； 将所述待调整监控配置数据更新所述异常工单对应的所述单监控配置数据； 根据所述异常工单对应的所述单监控配置数据设置所述定时监控 任务。 8.一种互联网资产安全威胁的处 理装置， 其特 征在于， 所述装置包括： 数据获取模块， 用于获取安全威胁数据； 攻击对象数据确定模块， 用于从所述 安全威胁数据分析 出攻击对象数据； 受威胁互联网资产标识集确定模块， 用于将所述攻击对象数据， 在预设的互联网资产 关系列表中进行互联网资产标识匹配， 得到受威胁互联网资产标识 集， 其中， 所述互联网资 产关系列表中包括对访问流 量分析数据和互联网探测扫描数据进行实时解析 得到的信息； 预警信息确定模块， 用于若所述受威胁互联网资产标识集不为空， 根据所述安全威胁 数据， 对所述受威胁互联网资产标识集的每 个所述互联网资产标识生成预警信息； 威胁处理工单确定模块， 用于根据预设的威胁处理人员信 息列表、 各个所述预警信 息，权　利　要　求　书 2/3 页 3 CN 114143078 A 3