本發明涉及一種威脅判斷方法和威脅判斷裝置，特別是涉及一種信息安全威脅判斷方法和信息安全威脅判斷裝置。

背景技術：

1、在第五代移動通信技術(5g)網絡采用開放式架構后，只要符合標準與接口規范的網元就可進行組網，而且能夠通過外部系統以不同面向，檢測整體5g網絡的異常狀態。

2、另外，5g網絡的信息安全中控平臺通常會接收到大量的異常事件的警示，但其中只有少量的異常事件是真正源自于信息安全威脅。因此，本領域亟需一種能夠有效確認信息安全威脅的方法和裝置。

技術實現思路

1、本披露所要解決的技術問題在于，針對現有技術的不足提供一種信息安全威脅判斷方法和信息安全威脅判斷裝置，可將異常事件判斷為非信息安全威脅事件或信息安全威脅事件。

2、為了解決上述的技術問題，本披露所采用的其中一技術方案是提供一種信息安全威脅判斷方法，適用于包括終端、核心網絡以及服務端的網絡系統。信息安全威脅判斷方法由信息安全威脅判斷裝置所執行且包括以下步驟：接收網絡系統中所發生的異常事件的信息；執行因果樹查驗程序，以根據異常事件產生多個追查原因并部署虛擬終端及虛擬服務端通過核心網絡進行通信，以驗證每一個追查原因是否會造成異常事件，進而產生查驗結果；以及執行判斷鏈程序，以根據查驗結果將異常事件判斷為非信息安全威脅事件或信息安全威脅事件。

3、優選地，因果樹查驗程序包括：針對異常事件執行分析程序，以根據查驗規則集合產生多個追查原因；以及針對每一個追查原因執行驗證程序，以驗證追查原因是否會造成異常事件。

4、優選地，針對每一個追查原因所執行的述驗證程序包括端到端探查程序，且端到端探查程序包括：配置探針管理模塊向核心網絡注冊虛擬終端；配置探針管理模塊以根據異常事件和追查原因部署虛擬終端以及虛擬服務端通過核心網絡進行通信；配置虛擬終端以發送上行數據；配置虛擬服務端分析上行數據，并且回報第一探查數據到探針管理模塊；配置虛擬服務端以發送下行數據；配置虛擬終端分析下行數據，并且回報第二探查數據到探針管理模塊；以及配置探針管理模塊以回報第一探查數據和第二探查數據到處理器，且處理器根據第一探查數據和第二探查數據驗證追查原因是否會造成異常事件。

5、優選地，因果樹查驗程序還包括：得到被驗證出會造成異常事件的追查原因集合，并根據追查原因集合衍生至少一追查事件；針對追查事件執行分析程序，以根據查驗規則集合重新產生多個追查原因；以及再次針對每一個追查原因執行驗證程序，以驗證追查原因是否會造成異常事件。

6、優選地，針對每一個追查原因所執行的驗證程序還包括讀取關鍵數據程序，且讀取關鍵數據程序包括：取得核心網絡的組態數據與即時運作數據；以及根據組態數據與即時運作數據驗證追查原因是否會造成異常事件。

7、優選地，判斷鏈程序包括：執行標記程序，以根據查驗結果將異常事件判斷并標記為非信息安全威脅事件或信息安全威脅事件；執行訓練程序，以將信息安全威脅事件作為標簽并且將網絡系統在異常事件時的整體運作數據作為訓練數據來訓練機器學習模型；以及執行反饋程序，以根據機器學習模型更新分析程序中的查驗規則集合。

8、優選地，響應于被驗證出會造成異常事件的追查原因中的一個和信息安全威脅有關聯，標記程序則根據查驗結果將異常事件判斷并標記為信息安全威脅事件。

9、為了解決上述的技術問題，本披露所采用的另外一技術方案是提供一種信息安全威脅判斷裝置，適用于包括終端、核心網絡以及服務端的網絡系統，且包括儲存器和處理器。儲存器經配置儲存網絡系統中所發生的異常事件的信息。處理器電性連接儲存器，并且經配置執行以下步驟：執行因果樹查驗程序，以根據異常事件產生多個追查原因并部署虛擬終端及虛擬服務端通過核心網絡進行通信，以驗證每一個追查原因是否會造成異常事件，進而產生查驗結果；以及執行判斷鏈程序，以根據查驗結果將異常事件判斷為非信息安全威脅事件或信息安全威脅事件。

10、優選地，處理器執行因果樹查驗程序包括以下步驟：針對異常事件執行分析程序，以根據查驗規則集合產生多個追查原因；以及針對每一個追查原因執行驗證程序，以驗證追查原因是否會造成異常事件。

11、優選地，處理器針對每一個追查原因所執行的述驗證程序包括端到端探查程序，且端到端探查程序包括：配置探針管理模塊向核心網絡注冊虛擬終端；配置探針管理模塊以根據異常事件和追查原因部署虛擬終端以及虛擬服務端通過核心網絡進行通信；配置虛擬終端以發送上行數據；配置虛擬服務端分析上行數據，并且回報第一探查數據到探針管理模塊；配置虛擬服務端以發送下行數據；配置虛擬終端分析下行數據，并且回報第二探查數據到探針管理模塊；以及配置探針管理模塊以回報第一探查數據和第二探查數據到處理器，且處理器根據第一探查數據和第二探查數據驗證追查原因是否會造成異常事件。

12、優選地，處理器執行因果樹查驗程序還包括以下步驟：得到被驗證出會造成異常事件的追查原因集合，并根據追查原因集合衍生至少一追查事件；針對追查事件執行分析程序，以根據查驗規則集合重新產生多個追查原因；以及再次針對每一個追查原因執行驗證程序，以驗證追查原因是否會造成異常事件。

13、優選地，處理器針對每一個追查原因所執行的驗證程序還包括讀取關鍵數據程序，且讀取關鍵數據程序包括：取得核心網絡的組態數據與即時運作數據；以及根據組態數據與即時運作數據驗證追查原因是否會造成異常事件。

14、優選地，處理器執行判斷鏈程序包括以下步驟：執行標記程序，以根據查驗結果將異常事件判斷并標記為非信息安全威脅事件或信息安全威脅事件；執行訓練程序，以將信息安全威脅事件作為標簽并且將網絡系統在異常事件時的整體運作數據作為訓練數據來訓練機器學習模型；以及執行反饋程序，以根據機器學習模型更新分析程序中的查驗規則集合。

15、優選地，響應于被驗證出會造成異常事件的追查原因中的一個和信息安全威脅有關聯，處理器則根據查驗結果將異常事件判斷并標記為信息安全威脅事件。

16、為使能更進一步了解本披露的特征及技術內容，請參閱以下有關本披露的詳細說明與附圖，然而所提供的附圖僅用于提供參考與說明，并非用來對本披露加以限制。

技術特征：

1.一種信息安全威脅判斷方法，適用于包括一終端、一核心網絡以及一服務端的一網絡系統，其特征在于，所述信息安全威脅判斷方法包括配置一信息安全威脅判斷裝置執行以下步驟：

2.如權利要求1所述的信息安全威脅判斷方法，其特征在于，所述因果樹查驗程序包括：

3.如權利要求2所述的信息安全威脅判斷方法，其特征在于，針對每一個所述追查原因所執行的所述驗證程序包括一端到端探查程序，且所述端到端探查程序包括：

4.如權利要求2所述的信息安全威脅判斷方法，其特征在于，所述因果樹查驗程序還包括：

5.如權利要求3所述的信息安全威脅判斷方法，其特征在于，針對每一個所述追查原因所執行的所述驗證程序還包括一讀取關鍵數據程序，且所述讀取關鍵數據程序包括：

6.如權利要求2所述的信息安全威脅判斷方法，其特征在于，所述判斷鏈程序包括：

7.如權利要求6所述的信息安全威脅判斷方法，其特征在于，響應于被驗證出會造成所述異常事件的所述追查原因中的一個和一信息安全威脅有關聯，所述標記程序則根據所述查驗結果將所述異常事件判斷并標記為所述信息安全威脅事件。

8.一種信息安全威脅判斷裝置，適用于包括一終端、一核心網絡以及一服務端的一網絡系統，其特征在于，所述信息安全威脅判斷裝置包括：

9.如權利要求8所述的信息安全威脅判斷裝置，其特征在于，所述處理器執行所述因果樹查驗程序包括以下步驟：

10.如權利要求9所述的信息安全威脅判斷裝置，其特征在于，所述處理器針對每一個所述追查原因所執行的所述驗證程序包括一端到端探查程序，且所述端到端探查程序包括：

11.如權利要求9所述的信息安全威脅判斷裝置，其特征在于，所述處理器執行所述因果樹查驗程序還包括以下步驟：

12.如權利要求10所述的信息安全威脅判斷裝置，其特征在于，所述處理器針對每一個所述追查原因所執行的所述驗證程序還包括一讀取關鍵數據程序，且所述讀取關鍵數據程序包括：

13.如權利要求9所述的信息安全威脅判斷裝置，其特征在于，所述處理器執行所述判斷鏈程序包括以下步驟：

14.如權利要求13所述的信息安全威脅判斷裝置，其特征在于，響應于被驗證出會造成所述異常事件的所述追查原因中的一個和一信息安全威脅有關聯，所述處理器則根據所述查驗結果將所述異常事件判斷并標記為所述信息安全威脅事件。

技術總結
本發明公開一種信息安全威脅判斷方法和信息安全威脅判斷裝置，適用于包括終端、核心網絡以及服務端的網絡系統。信息安全威脅判斷方法由信息安全威脅判斷裝置所執行且包括以下步驟：接收網絡系統中所發生的異常事件的信息；執行因果樹查驗程序，以根據異常事件產生多個追查原因并部署虛擬終端及虛擬服務端通過核心網絡進行通信，以驗證每一個追查原因是否會造成異常事件，進而產生查驗結果；以及執行判斷鏈程序，以根據查驗結果將異常事件判斷為非信息安全威脅事件或信息安全威脅事件。

技術研發人員：吳圣陽,田家瑋
受保護的技術使用者：財團法人資訊工業策進會
技術研發日：
技術公布日：2025/4/28