CN116346409A - 网络安全防御方法、装置、设备及存储介质 - Google Patents
网络安全防御方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116346409A CN116346409A CN202310118391.6A CN202310118391A CN116346409A CN 116346409 A CN116346409 A CN 116346409A CN 202310118391 A CN202310118391 A CN 202310118391A CN 116346409 A CN116346409 A CN 116346409A
- Authority
- CN
- China
- Prior art keywords
- question
- questions
- information
- data
- network system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 139
- 230000007123 defense Effects 0.000 title claims abstract description 49
- 238000003860 storage Methods 0.000 title claims abstract description 22
- 238000012795 verification Methods 0.000 claims abstract description 83
- 230000008569 process Effects 0.000 claims abstract description 59
- 238000012545 processing Methods 0.000 claims abstract description 35
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 230000006399 behavior Effects 0.000 claims description 36
- 238000004422 calculation algorithm Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 19
- 238000010801 machine learning Methods 0.000 claims description 17
- 238000011156 evaluation Methods 0.000 claims description 15
- 238000009826 distribution Methods 0.000 claims description 11
- 230000003542 behavioural effect Effects 0.000 claims description 6
- 238000009825 accumulation Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 14
- 230000015654 memory Effects 0.000 description 13
- 238000004458 analytical method Methods 0.000 description 12
- 230000002829 reductive effect Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000001965 increasing effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000002360 preparation method Methods 0.000 description 4
- 238000013480 data collection Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 235000019580 granularity Nutrition 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000007717 exclusion Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000010924 continuous production Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本公开提供了一种网络安全防御方法、装置、设备及存储介质,可以应用于信息安全技术领域。该方法包括:基于对网络***的监控,识别所述网络***中存在的可疑安全事件及其威胁类型;以及采用事先编排好的验证流程,对所述可疑安全事件的执行主体进行验证。其中,验证流程包括:从针对所述威胁类型预先设置的问题集中获取至少一个备选问题;基于所述可疑安全事件中的实体的信息,对所述至少一个备选问题进行加工处理,得到选题集;将所述选题集发送给所述执行主体,并获得所述执行主体对所述选题集中的问题进行答复而返回的答题信息;对比所述答题信息与所述网络***的历史记录数据中的对应信息,评估执行主体是否存在威胁。
Description
技术领域
本公开涉及信息安全领域,尤其涉及一种网络安全防御方法、装置、设备、存储介质和程序产品。
背景技术
随着时代的发展,使用网络***的地方越来越多,但是针对网络***的攻击一直没有间断过,而且形式越来越多。目前的网络安全威胁防御通常是从网络***的各个子***中采集不同类型的数据,来训练机器学习算法模型,通过训练好的机器学习算法模型监控网络安全。
然而,通过机器学习训练模型防护网络***安全的方案,需要采用多层次的分析,耗时比较长,且多步骤的处理容易累积误差,对判断的效率和准确性都会造成影响。而且可能会将部分攻击行为错误的判断,容易造成数据丢失。
发明内容
鉴于上述问题,本公开提供了一种对于初步识别的存在网络安全威胁的对象,可以通过主动验证来确定其合法性的网络安全防御方法、装置、设备、介质和程序产品。
本公开实施例的第一方面,提供了一种网络安全防御方法。所述方法包括:基于对网络***的监控,识别所述网络***中存在的可疑安全事件及其威胁类型;以及采用事先编排好的验证流程,对所述可疑安全事件的执行主体进行验证。其中,,对所述可疑安全事件的执行主体进行验证包括:从针对所述威胁类型预先设置的问题集中获取至少一个备选问题;基于所述可疑安全事件中的实体的信息,对所述至少一个备选问题进行加工处理,得到选题集,其中,所述可疑安全事件中的实体包括所述可疑安全事件中的执行主体;将所述选题集发送给所述执行主体,并获得所述执行主体对所述选题集中的问题进行答复而返回的答题信息;对比所述答题信息与所述网络***的历史记录数据中的对应信息,得到对比结果;当所述对比结果满足预定条件时,确定所述执行主体不存在威胁;以及当所述对比结果不满足预定条件时,确定所述执行主体存在威胁。
根据本公开的实施例,所述得到选题集还包括:基于所述网络***中的历史记录数据,获取与所述执行主体具有相似行为特征的其他对象;基于所述其他对象的信息,对所述至少一个备选问题中的至少部分问题进行加工处理,生成干扰项;以及将所述干扰项扩充到所述选题集中。
根据本公开的实施例,所述基于所述网络***中的历史记录数据,获取与所述执行主体具有相似行为特征的其他对象包括:从所述网络***的历史记录数据中提取出实体数据,得到多个实体,其中,所述多个实体包括所述执行主体;从所述网络***的历史记录数据中,提取所述多个实体中每个实体的行为数据并形成时间序列,得到每个实体的行为特征;基于所述多个实体中所述执行主体与其他实体的行为特征的相似性判断,确定与所述执行主体具有相似行为特征的所述其他对象。
根据本公开的实施例,所述问题集中的问题按照问题之间的相似性被划分为多个第二类别,其中,同一个第二类别中的问题相似。所述从针对所述威胁类型预先设置的问题集中获取至少一个备选问题包括:从所述多个第二类别中的每个第二类别中至少选择一个问题,以得到所述至少一个备选问题。
根据本公开的实施例,所述问题集中的问题,按照问题所具有的特性的种类被划分为多个第一类别,每一个第一类别中的问题具有同种特性。所述从针对所述威胁类型预先设置的问题集中获取至少一个备选问题包括:从所述多个第一类别的每个第一类别中至少选择一个问题,以得到所述至少一个备选问题。其中,所述特性的种类包括必须回答正确和容许出现错误至少两种。
根据本公开的实施例,所述预定条件包括所述选题集中所述特性为必须回答正确的问题均回答正确。
根据本公开的实施例,所述对比所述答题信息与所述网络***的历史记录数据中的对应信息,得到对比结果包括:基于所述答题信息与所述网络***的历史记录数据中的对应信息的对比,得到所述选题集中每个问题答复正确与否的答复结果信息;以及遍历所述选题集中所述特性为必须回答正确的问题的所述答复结果信息,确定所述选题集中所述特性为必须回答正确的问题是否均回答正确。
根据本公开的实施例,所述预定条件还包括:在所述选题集中所述特性为必须回答正确的问题均回答正确的情况下,所述答题信息的评分大于或等于预设阈值。所述对比所述答题信息与所述网络***的历史记录数据中的对应信息,得到对比结果还包括:在所述选题集中所述特性为必须回答正确的问题均回答正确的情况下,基于所述选题集中每个问题的所述答复结果信息和每个问题对应的难度等级,得到所述选题集中每个问题的得分,其中,所述问题集中的问题按照难易程度预先划分为多个难度等级,每个难度等级中的问题的计分规则相同;根据所述选题集中每个问题的重要程度等级,获取每个问题对应的权重,其中,所述问题集中的问题按照重要程度预先划分为多个重要程度等级,每个重要程度等级中的问题的权重相同;以及基于所述选题集中所有问题的得分和每个问题对应的权重,得到所述答题信息的评分。
根据本公开的实施例,所述预定条件为根据所述执行主体对应的累计验证结果数据更新后的预定条件;其中,所述方法还包括:设置初始的所述预定条件;以及基于所述执行主体对应的累计验证结果数据,更新所述预定条件。其中,更新所述预定条件具体包括:存储每次采用所述验证流程对所述执行主体进行验证所得的验证结果数据;基于已存储的所述验证结果数据的累计,得到所述执行主体对应的累计验证结果数据;以及基于所述执行主体对应的累计验证结果数据,定期或不定期地更新所述预定条件。
根据本公开的实施例,所述基于对网络***的监控,识别所述网络***中存在的可疑安全事件及其威胁类型,包括:利用机器学习算法模型识别出所述可疑安全事件、所述威胁类型以及威胁程度。所述从针对所述威胁类型预先设置的问题集中获取至少一个备选问题包括:根据所述威胁程度确定所述至少一个备选问题的问题数量和/或问题难度分布;其中,所述威胁程度与所述问题数量和所述问题难度正相关,其中,所述问题集中的问题按照难易程度预先划分为多个难度等级,所述问题难度分布以所述至少一个备选问题在所述多个难度等级中的分布数据来表征。
本公开实施例的第二方面,提供了一种网络安全防御装置。所述网络安全防御装置包括初步识别模块和主动验证模块。初步识别模块用于基于对网络***的监控,识别所述网络***中存在的可疑安全事件及其威胁类型。主动验证模块用于采用事先编排好的验证流程,对所述可疑安全事件的执行主体进行验证。所述主动验证模块包括:获取子模块、选题生成子模块、答题子模块和答题评估子模块。具体地,获取子模块用于从针对所述威胁类型预先设置的问题集中获取至少一个备选问题。选题生成子模块用于基于所述可疑安全事件中的实体的信息,对所述至少一个备选问题进行加工处理,得到选题集,其中,所述可疑安全事件中的实体包括所述可疑安全事件中的执行主体。答题子模块用于将所述选题集发送给所述执行主体,并获得所述执行主体对所述选题集中的问题进行答复而返回的答题信息。答题评估子模块用于:对比所述答题信息与所述网络***的历史记录数据中的对应信息,得到对比结果;当所述对比结果满足预定条件时,确定所述执行主体不存在威胁;以及当所述对比结果不满足预定条件时,确定所述执行主体存在威胁。
本公开实施例的第三方面,提供了一种电子设备,包括一个或多个处理器和一个或多个存储器。所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述方法。
本公开实施例的第四方面,还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述方法。
本公开实施例的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法。
根据本公开提供的网络安全防护方法、装置、设备、介质和程序产品,通过先初步识别出所述网络***中存在的可疑安全事件,然后采用事先编排好的验证流程,对所述可疑安全事件的执行主体按照威胁类型针对性地选择问题进行主动验证,根据验证结果最终确定可以安全事件中的执行主体用户或处理过程是否具有威胁。这样对初步识别过程中的准确率和精准度要求都可以降低,从而在初步识别过程可以使用较少的数据类型和网络层次来实现,减少了初步识别所使用的算法模型的复杂性。而且初步识别之后还会主动验证,可以降低数据丢失的风险,提高网络威胁的辨识度。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的网络安全防御方法和装置的应用场景图;
图2示意性示出了根据本公开一实施例的网络安全防御方法的流程图;
图3示意性示出了根据本公开实施例的网络安全防御方法中验证流程的数据准备流程;
图4示意性示出了根据本公开一实施例的网络安全防御方法中对答题信息进行评估的流程图;
图5示意性示出了根据本公开一实施例的网络安全防御方法中选题集的获得方法流程图;
图6示意性示出了根据本公开一实施例在获得选题集的过程中选择具有相似行为特征的其他对象的流程图;
图7示意性示出了根据本公开一实施例的网络安全防御方法中预定条件的动态调整流程图;
图8示意性示出了根据本公开另一实施例的网络安全防御方法的流程图;
图9示意性示出了根据本公开实施例的网络安全防御装置的结构框图;以及
图10示意性示出了适于实现根据本公开实施例的网络安全防御方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。
在本公开的技术方案中,所涉及的数据(如包括但不限于用户个人信息)的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
本公开的实施例提供了一种网络安全防御方法、装置、设备、存储介质和程序产品。该网络安全防御方法中,首先基于对网络***的监控,初步识别出网络***中存在的可疑安全事件及其威胁类型,然后采用事先编排好的验证流程,对可疑安全事件的执行主体进行主动验证,根据验证结果确定可以安全事件的执行主体是否具有威胁。其中,可疑安全事件的执行主体可以是网络***的用户,或者网络***中的处理过程、或者与网络***进行交互的外部处理过程。
本公开实施例中在初步识别具有安全威胁后,会通过主动验证的方式来验证可疑安全事件的执行主体的合法性,这样对初步识别过程中的准确率和精准度要求都可以降低,从而在初步识别过程可以使用较少的数据类型和网络层次来实现,减少了监控识别算法模型的复杂性。而且初步识别之后还会主动验证,可以降低数据丢失的风险,提高网络威胁的辨识度。
图1示意性示出了根据本公开实施例的网络安全防御方法和装置的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括第一终端设备101、第二终端设备102、第三终端设备103、网络104和服务器105。网络104用以在第一终端设备101、第二终端设备102、第三终端设备103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用第一终端设备101、第二终端设备102、第三终端设备103中的至少一个通过网络104与服务器105交互,以接收或发送消息等。第一终端设备101、第二终端设备102、第三终端设备103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
第一终端设备101、第二终端设备102、第三终端设备103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用第一终端设备101、第二终端设备102、第三终端设备103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的网络安全防御方法一般可以由服务器105执行。相应地,本公开实施例所提供的网络安全防御装置一般可以设置于服务器105中。本公开实施例所提供的网络安全防御方法也可以由不同于服务器105且能够与第一终端设备101、第二终端设备102、第三终端设备103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的网络安全防御装置也可以设置于不同于服务器105且能够与第一终端设备101、第二终端设备102、第三终端设备103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下将基于图1描述的场景,通过图2~图8对公开实施例的网络安全防御方法进行详细描述。
图2示意性示出了根据本公开一实施例的网络安全防御方法的流程图。
如图2所示,该实施例的网络安全防御方法可以包括操作S210~操作S280。
首先在操作S210,基于对网络***的监控,识别网络***中存在的可疑安全事件及其威胁类型。具体的,可以训练机器学习算法模型来初步识别网络***中存在的可疑安全事件及其威胁类型。当然也可以使用非机器学习的算法模型,例如针对每一种威胁类型设置对应的监控条件的模型,进行自动监控。此处使用的模型可以进行初步的筛选识别,因此模型的结构、层次、算法复杂性,相比于以模型识别结果作为最终判别结果的情形,可以简单很多,节约数据采集量、数据分析耗时和资源消耗等。
然后通过操作S220~操作S280对识别出的可疑安全事件的执行主体,采用事先编排好的验证流程,进行主动验证。该执行主体可以是用户或者处理过程。其中,处理过程是指可以修改接收的输入或将接收的输入重定向到相应的输出的活动,比如接收API调用请求并将其转发到API处理服务的微服务,在数据写入数据存储之前验证输入的数据。
具体地在操作S220,从针对威胁类型预先设置的问题集中获取至少一个备选问题。
网络***的威胁类型可以大致包括攻击者冒充用户或处理过程、攻击者恶意修改数据、或者攻击者恶意使用***导致***无法提供正常的服务几大类。
攻击者冒充用户或处理过程具体表现为,攻击者可以通过看似合法的用户向用户发送一封带有恶意链接的电子邮件,以捕获用户的凭据、数据和设备的访问权限。
攻击者恶意修改数据具体表现为,修改临时存储在缓存中的数据,通过网络发送错误数据以破坏数据的完整性,将恶意的有效负载***到浏览器的缓存中,导致处理过程或数据存储中的行为异常,或者通过弱的API调用处理修改的内存,导致***崩溃或敏感信息泄露。
攻击者恶意使***导致***无法提供正常的服务具体表现为,比如向***发送大量的请求,占用大量的内存或CPU资源或是存储过多的数据导致***崩溃。
针对威胁类型预先设置的问题集,可以是在确定出要识别的威胁类型后,根据每种威胁类型针对性的搜集或生成大量问题;或者,也可以是大量搜集与网络安全相关的各种问题,然后再将搜集的问题按照威胁类型进行划分,例如,对与相应的威胁类型相关的问题贴上对应的威胁类型标签。
具体地,对于攻击者冒充用户或处理过程这种威胁类型,更侧重于校验该用户或者处理过程的真实性,可以将用户个人信息,使用的应用的信息和日常交互的问题作为这个方向的问题,打上对应的标签。对于攻击者恶意修改数据这种威胁类型,更侧重于校验该用户的权限和数据问题,可以将关于权限的问题和数据安全问题作为这个方向的问题,打上对应的标签。对于攻击者恶意使用***导致***无法提供正常的服务这种威胁类型,更侧重于校验该用户或者处理过程的真实性,使用***的问题,可以将用户个人信息和正确使用***的问题,作为这个方向的问题,打上对应的标签。一个问题可以同时属于多个威胁类别,即不同威胁类型对应的问题集中的问题可以有重复,例如与用户信息或用户权限相关的问题,可以在不同类型的威胁中均涉及。
从而操作S220中选择备选问题时,可以从具有与可疑安全事件的威胁类型对应的标签的问题中进行选择。
接下来在操作S230,基于可疑安全事件中的实体的信息,对至少一个备选问题进行加工处理,得到选题集,其中,可疑安全事件中的实体包括可疑安全事件中的执行主体。
实体是指账号、用户、设备、应用、微服务、数据或IP等。其中,应用、微服务属于处理过程。
根据事件描述要素,可疑安全事件通常可以描述为:执行主体在什么时间、通过什么方式(例如利用哪个账号或哪个设备),做了什么事(例如,访问了或调用了哪个或哪些应用或数据等)等。从而,可以从可疑安全事件中提取出其中的实体的信息。
备选问题来自于问题集,而问题集中的问题通常为可加工处理的问题样例或问题模板,例如,“[用户]的常用账号是?”,“登录[应用]的人员级别要求时?”,其中,[用户]、[应用]在生成选题时,需要根据可以安全事件中的实体的信息进行填写或替换。
然后在操作S240,将选题集发送给执行主体,并获得执行主体对选题集中的问题进行答复而返回的答题信息。
接下来通过S250~操作S280对答题信息进行评估,来确定执行主体的合法性。
具体地,在操作S250,对比答题信息与网络***的历史记录数据中的对应信息,得到对比结果。
然后在操作S260,判断对比结果是否满足预定条件。若满足,则在操作S270,确定执行主体不存在威胁;若不满足,则在操作S280,确定执行主体存在威胁。
在一些实施例中,可以根据答题准确率是否满足预定阈值来确定执行主体是否存在威胁。
在另一些实施例中,在利用对比结果和预定条件的对比对答题信息进行评估时,还可以综合考虑选题集中选题的数量、不同问题的难易程度、不同问题的特性(如是否必须回答正确、重要程度)等信息,使最终的验证结果更精准。具体将在下文详细介绍。
图3示意性示出了根据本公开实施例的网络安全防御方法中验证流程的数据准备流程。
结合图2和图3,本公开实施例的网络安全防御方法在操作S220~操作S280之前,需要事先编排验证流程,其中,验证流程的数据准备流程包括操作S301~操作S303。
首先在操作S301,生成问题数据集(也可称为问题集,本文中不明确区分二者)。在一个实施例中,可以搜集或生成与网络安全相关的各种问题,然后通过预处理(诸如,格式抽象或统一等)后,汇集到一起。
问题数据集中的问题可以包括与网络安全相关的各种问题;例如可以是针对用户个人信息的问题,比如个人的账号信息,常用的IP信息,使用的设备信息;或者,例如可以是针对用户常用的应用的信息,比如用户经常用的应用的名字,经常访问的时间段,最近一次访问的时间;又或者,例如可以是针对日常交互的问题,比如部门的名字,汇报的对象,经常交流的同事;再或者,例如可以是关于权限的问题,比如个人的角色是什么,可以访问那些资源,最近一次的修改权限的时间;再或者,例如可以是关于访问的数据安全问题,要访问的数据的是否可以公开,保密的级别,是否可以复制;再或者,例如可以是正确使用***的问题,个人使用的网络带宽,可支持的最大吞吐量,最大访问频次。
然后在操作S302,对问题数据集中的问题从不同维度进行标签分类。可以以标签的方式标记每个问题的特征或所属的分类类别。其中,可以从不同的维度使用不同的问题类别标签,对问题数据集中的每个问题,贴上对应标签。
例如在前文关于操作S220的介绍中提到,可以将搜集的问题按照威胁类型进行划分,对每个问题贴上对应的威胁类型标签,从而得到与每个威胁类型对应的问题集。这样操作S220中选择备选问题可以从与每个威胁类型对应的问题集中进行选择,提高对执行主体进行验证的针对性。
再例如,可以从问题的特性、问题之间的相似性、问题的难度、问题的重要程度等维度设置标签。通过这样的标签,可以更精确的定位问题的特征。便于在操作S220中选择备选问题时根据问题的特征针对性的进行选择,快速的去除重复的或是冗余的信息,达到更好的体验效果。
具体地,在一些实施例中可以将操作S301中生成的问题集中的问题,按照问题之间的相似性被划分为多个第二类别,每个第二类别中的问题可以使用相同的标签进行标记,其中,同一个第二类别中的问题相似。这样,在上述操作S220中从问题集中选择备选问题时,可以从多个第二类别中的每个第二类别中至少选择一个问题。而且还可以从不同的第二类别中选择数量相当的问题。这样就可以尽量选择出互不相关的问题,避免备选问题中重复的或冗余的信息,增加所选择的备选问题的广度。
按照问题之间的相似性将问题集进行划分时,在一个实施例中,可以是按照聚类算法,将问题集中的问题数据先进行向量化处理,然后对向量化的数据进行聚类,从而一个类内的问题数据构成一个第二类别;在另一个实施例中,也可以是有人工按照经验将相似的问题(例如,均涉及用户信息的、均涉及操作过程的)划分到一类中,一个类内的问题构成一个第二类别。
在一些实施例中,在按照问题之间的相似性将问题集进行划分后贴标签时,不同第二类别之间根据类与类之间的相关度来设置标签值,通过标签值来反映问题之间的互斥程度或相似程度。例如可以采用二值来标识标签之间的关联分量,取值范围是{0,1},相关度越高越接近1。对于个人信息和经常使用的应用都属于用户的个人信息或行为,相似度就比较高,对于个人信息和数据的安全问题,分别从主体和客体的角度验证对象的真实性,这样的问题相似度比较低。这样在上述操作S220中从问题集中选择备选问题时,还可以根据标签值尽量从相关度较低的第二类别中多选择些问题。
在一些实施例中,可以将操作S301中生成的问题数据集中的问题,按照问题所具有的特性的种类划分为多个第一类别,每一个第一类别中的问题具有同种特性,可以被设置相同的标签来表示。其中,特性的种类例如可以包括必须回答正确和容许出现错误至少两种。在一些实施中,容许出现错误还可以根据容许出现错误的概率或程度划分为多个种类。再在一些实施中,问题所具有的特性甚至还可以包括不应当回答正确等类别。例如可以对必须回答正确的问题进行变形,形成具有干扰性的错误诱导问题。这种变形既可以是静态的,例如生成的变形问题作为问题数据集的一部分数据。当然也可以是动态变形,例如在从备选问题加工成选题的过程中进行的变形,即在从备选问题生成选题的过程中改变问题的特性,生成干扰性的问题,如下文图5中提及的干扰项。这样,在上述操作S220中从问题集中选择备选问题时,可以从多个第一类别的每个第一类别中至少选择一个问题。这样可以保证各种特性的问题都有被选择到,有助于丰富所选择的备选问题的深度层次。
按照问题所具有的特性的种类对问题集进行分类时,可以根据每个问题的特性设置对应的标签。例如,有些问题必须对,有些可以错:比如账号信息、使用的设备信息、部门的名字、个人的角色,这样的经常使用或是正在使用的信息问题,是用户必须回答正确的问题,即这些问题的特性为必须回答正确。再例如,对于交互的问题:比如最后一次修改时间、上一次登录时间,这样的历史问题是允许用户有一定的出错的概率,这样的问题的特性为容许出现错误。比如可支持的最大吞吐量,最大访问频次相对专业的设置也是可以允许用户回答有一定的误差,这些问题的特性为容许出现错误,如果再按照容错概率高低进一步细分的话,这些问题的特性是相对冷僻、容错概率高,如果能准确回答,会增加该对象的真实的可能性。
在一些实施例中,还可以将操作S301中生成的问题集中的问题,按照问题的难度等级划分为多个第三类别,每个第三类别中的问题贴有同一个难度等级对应的标签。同一个第三类别中的问题具有相同的难度等级。该难度等级的设置可以是根据人工经验设置,或者也可以根据大量统计后根据问题的出现概率以及问题答题成功的概率来设置若干等级。
这样,在上述操作S220中从问题集中选择备选问题时,可以有针对性地从多个第三类别的每个第三类别中至少选择一个问题。这样可以保证各种难度等级的问题都有被选择到,有助于保证所选择的备选问题的问题难度分布,其中,问题难度分布可以以操作S220中最终选择出的备选问题在多个难度等级中的分布数据来表征。
另外,在一些实施例中,当上述操作S2 10中利用机器学习算法模型识别出可疑安全事件和威胁类型的时候,还同时识别出威胁程度时,则在操作S220中从问题集中选择备选问题时,还可以根据威胁程度确定至少一个备选问题的问题数量和/或问题难度分布,然后有针对性性从问题集中选择备选问题。其中,威胁程度与问题数量和问题难度正相关,其中,问题集中的问题按照难易程度预先划分为多个难度等级。例如预先设置威胁程度、与问题数量和问题难度之间的映射关系,使得初步识别威胁程度越大时,可以在操作S220中多选择一些问题,并且尽可能多得选择一些难度大的问题。
在一些实施例中,还可以将操作S301中生成的问题数据集中的问题,按照问题的重要程度等级划分为多个第四类别,每个第四类别中的问题贴有同一个重要程度等级对应的标签。同一个第四类别中的问题具有相同的重要程度等级。这样,在一些实施例中,在上述操作S220中从问题集中选择备选问题时,可以从各种重要程度等级对应的问题中选择备选问题,使得所选问题的重要程度分布均衡。或者,在一些实施例中,在上述操作S220中还可以根据识别出的威胁程度或者对执行主体进行评估的严格程度,确定各种重要程度等级中的问题数量,有针对性的进行问题选择。
可见,本公开实施例通过操作S302对问题集中的问题从不同维度进行标签分类,可以在主动验证过程中为选择备选问题提供更多信息依据,快速的去除重复的或是冗余的信息,增加所选择的备选问题的深度和广度,提升对安全事件的执行主体进行验证的全面性,达到更好、更精准的验证效果。
接下来在操作S303,还可以生成随机码,防止机器人攻击。其中,可以抽取随机码混合到选题集中,在操作S240中随同选题集发送给可疑安全事件的执行主体。随机码可以是根据需要配置的随机验证码,可以是图片格式也可以是字符形式的,用于防止机器人的攻击。
在经过操作S301~操作S303之后,就基本完成了验证流程中的数据准备。接下来在按照图2所示的流程进行网络安全防御时,在操作S220可以借助于问题数据中的标签,抽取对应标签下的问题,诸如对于不同类型的安全威胁,调取相关标签的问题,然后在操作S230中结合具体的用户或处理过程等实体的信息,生成对应的选题并得到选题集。可以根据安全威胁的威胁类型和/或威胁程度,选择不同标签、不同数量、相关度比较低的题目。相对较为明显的存在安全威胁的对象,可以多选择几道题目,以便更准确的判断是否为真实的动作还是确实存在威胁。
在操作S240中将选题集进行发送时,可以将选题集中的问题打乱顺序配合随机码验证,确保问题的有效,问题表达准确,选项设置合理,之后发送给用户或处理过程,并记录下对应的答题信息。
接下来通过操作S250~操作S280对答题信息进行评估的过程中,也可以根据问题集中的各种维度的标签信息,设置具体的预定条件或评估规则等。
例如,在一个实施例中,预定条件被设置为选题集中特性为必须回答正确的问题均回答正确。
在另一实施例中,预定条件还可以进一步被设置为:在选题集中特性为必须回答正确的问题均回答正确的情况下,答题信息的评分大于或等于预设阈值。答题信息的评分可以是在答题信息与网络***中的历史记录比较后所得的对错结果基础上,再结合每个问题的计分规则得到的,其中,每个问题的计分规则是预设的,且可以与每个问题在一个维度或多个维度上的标签相关联。
图4示意性示出了根据本公开一实施例的网络安全防御方法中对答题信息进行评估的流程图。
如图4所示,操作S260中判断对比结果是否满足预定条件,具体可以包括操作S261、或者操作S261~操作S265。
在操作S261,判断选题集中特性为必须回答正确的问题是否均回答正确。若是,则执行操作S262。若否,则可以在操作S280中确定执行主体存在威胁。
具体地,首先可以基于答题信息与网络***的历史记录数据中的对应信息的对比,得到选题集中每个问题答复正确与否的答复结果信息,然后遍历选题集中特性为必须回答正确的问题的答复结果信息,确定选题集中特性为必须回答正确的问题是否均回答正确。
根据该实施例,当选题集中特性为必须回答正确的问题存在回答错误的情况时,就可以直接确定当前的可疑安全事件是不安全的,该可疑安全事件的执行主体(用户或处理程序)存在威胁。例如,对于用户必须回答正确的问题,如账号信息和个人角色,如果没有回答正确就严重怀疑该用户的真实性,直接判定这样的执行主体存在安全威胁。
在选题集中特性为必须回答正确的问题均回答正确的情况下,可以在操作S262,基于选题集中每个问题的答复结果信息和每个问题对应的难度等级,得到选题集中每个问题的得分。其中,如前文介绍可以将问题集中的问题按照难易程度预先划分为多个难度等级。其中,在该实施例中,可以对于每个难度等级中的问题设置相同的计分规则。例如,同一难度等级的问题答对得几分,答错扣几分或者不扣分。例如,对于生僻的、难度高的问题,答错可以不扣分。以此方式,可以根据问题的难易程度,是否冷僻这样的属性特征涉及不同的计分规则,越困难的题目回答正确得分会越高,越冷僻的题目回答正确会得分越高,反之会相对较低。
在操作S263,根据选题集中每个问题的重要程度等级,获取每个问题对应的权重,其中,问题集中的问题按照重要程度预先划分为多个重要程度等级,每个重要程度等级中的问题的权重相同。例如,可以预设各个重要程度等级与权重的映射关系。在一些实施例中,重要程度等级划分可以与问题的特性种类相一致的,这样可以根据问题所具有的特性来确定问题的权重。
在操作S264,基于选题集中所有问题的得分和每个问题对应的权重,得到答题信息的评分。可以对各个题目的得分进行加权求和,对总体的得分进行归一化处理。
接下来在操作S265,判断答题信息的评分是否大于或等于预设阈值。若是,则在操作S270中确定执行主体不存在威胁。若否,则在操作S280中确定执行主体存在威胁。
以此方式,通过问题的各种特征或各个维度的标签,对答题信息进行不同的筛选和评分,与预设的阈值进行对比,从而可以精准地判断该对象是否存在安全威胁。
图5示意性示出了根据本公开一实施例的网络安全防御方法中选题集的获得方法流程图。
如图5所示,根据本公开实施例的网络安全防御方法中,获得选题集的方式除了上文介绍的操作S230外,还可以进一步包括操作S231~S233。
在操作S231,基于网络***中的历史记录数据,获取与执行主体具有相似行为特征的其他对象。当经过判定,与执行主体具有相似行为特征的其他对象较多时,可以随机抽取几个对象。判定具有相似行为特征的其他对象的一个具体实现过程,可以参考下文图6的介绍。
接下来在操作S232,基于其他对象的信息,对至少一个备选问题中的至少部分问题进行加工处理,生成干扰项。
此后在操作S233,将干扰项扩充到选题集中。可以基于与执行主体具有相似行为特征的其他对象(诸如,用户或处理过程的信息),对备选问题进行加工处理,生成干扰项,然后将干扰项扩充到操作S230中获得的选题集,共同组成了本次需要调查的问题。
图6示意性示出了根据本公开一实施例在获得选题集的过程中选择具有相似行为特征的其他对象的流程图。
如图6所示,根据本公开的实施例,操作S231可以包括操作S601~操作S603。
在操作S601,从网络***的历史记录数据中提取出实体数据,得到多个实体,其中,多个实体包括执行主体。
网络***的历史记录数据,包括以各种途径、以各种粒度采集的数据。采用但不局限于以下两种的采集方式:日志和流量。
对采集到的数据进行处理,从数据中提取出账号、用户、设备、应用、数据、IP元素(即,实体数据)从而可以得到多个实体。
在操作S602,从网络***的历史记录数据中,提取多个实体中每个实体的行为数据并形成时间序列,得到每个实体的行为特征。
可以将采集的历史记录数据中,实体的行为数据基于时间序列进行持续不断的跟踪和梳理,形成该实体的基线信息。实体的基线信息,例如可以是每个实体与其他实体之间的按照时间序列的先后连接关系信息、在各个时段的连接频次信息等。例如,某个用户或者处理过程都有哪些账号、访问哪些应用、使用哪些文件、哪些敏感数据、都使用什么设备、什么时候在线、所在位置等信息。
有了实体的基线信息,就可以基于实体的基线信息进行实体与实体的行为比较。例如可以基于实体的基线信息得到实体的行为特征。在一个实施例中,可以将实体的基线信息直接作为实体的行为特征,在另一个实施例中,也可以将实体的基线信息进行编码或数字化处理,从中抽取出实体的行为特征。
接下来在操作S603,基于多个实体中执行主体与其他实体的行为特征的相似性判断,确定与执行主体具有相似行为特征的其他对象。
相似性判断的方法有很多,可以是比较两个实体的行为特征对应的向量的余弦相似度、或者距离,或者也可以是比较两个实体的基线信息的重合度等。
根据本公开实施例,执行主体为用户或处理过程,相应地,与执行主体具有相似行为特征的其他对象也相应地为用户或处理过程。
可见,本公开实施例可以利用与执行主体具有相似行为特征的其他对象的信息,对备选问题加工处理生成干扰项。从而可以在选题集中增加干扰项,使得可以更智能化、更精准地验证执行主体,提高对网络威胁的辨识度,避免遗漏威胁或数据丢失的风险。
根据本公开的实施例,上述操作S270和操作S280中对答题信息进行评估时所使用的预定条件,可以是网络***中统一设置通用的条件。在另一些实施例中,还可以根据所识别出的可疑安全事件的执行主体的历史表现,确定要对执行主体进行验证的严格程度,进而按照一定的原则设置或调整相应的预定条件,这样该预定条件为针对不同的执行主体的个性化条件。
而且,在一些实施例中,该预定条件甚至还可以是,根据历史上采用上述验证流程对执行主体进行验证所得的验证结果的变化趋势,进行动态调整后得到的条件。受外界环境的影响,网络***也处在一个动态变化的过程中,有必要的网络***的参数进行动态的调整。例如,用户量很少的情况,可以采用交宽松的判断标准,随着用户量的增加,***也积累的一定的样本,可以更准确判断安全威胁同时减少交互的摩擦。
具体地,在一个实施例中,在上述操作S270和S280中所使用的预定条件,是根据执行主体对应的累计验证结果数据,最近一次更新后的预定条件。其中,该累计验证结果数据,为对已存储的采用上述验证流程对执行主体进行验证所得的验证结果数据,进行累计处理得到的。
图7示意性示出了根据本公开一实施例的网络安全防御方法中预定条件的动态调整流程图。
如图7所示,根据本公开实施例的网络安全防御方法还可以包括操作S701~操作S704。
在操作S701,设置初始的预定条件。该初始的预定条件可以是统一设置的通用的条件。
然后可以通过操作S702和操作S703不断更新执行主体对应的累计验证结果数据。
具体地,在操作S702,存储每次通过操作S210~操作S280,采用验证流程对执行主体进行验证所得的验证结果数据。
在操作S703,基于已存储的验证结果数据的累计,得到执行主体对应的累计验证结果数据。
接下来在操作S704,基于执行主体对应的累计验证结果数据,定期或不定期地更新预定条件。
在每一次按照操作S210~操作S280对执行主体主动验证后,都可以获得对该执行主体的验证结果数据,也可以更精确地对该执行主体进行判断。针对该执行主体的验证结果数据进行保存,进行趋势分析,如果该执行主体的验证结果稳定,则可以在预定条件中降低该执行主体的安全威胁报警阈值,让该执行对象的访问更顺畅,反之可以提高阈值。
以此方式,本公开实施例可以根据验证结果数据动态的调整对执行主体进行主动验证时所适用的预定条件,会根据执行主体的累计验证结果数据,对执行主体的判断标准做动态调整,满足了网络***的安全防御的同时,增加了网络***的弹性。
图8示意性示出了根据本公开另一实施例的网络安全防御方法的流程图。
如图8所示,根据该实施例的网络安全防御方法可以包括操作S801~操作S807。
首先在操作S801,对网络***从安全威胁的角度进行建模。将业务进行数据流化处理,主要关注具体的处理过程,数据存储的类型,数据流的形式,外部实体的状态。建模的目的是方便后续进行数据采集和监控时,确定采集数据或监控的位置、数据和时点,为网络安全设计人员或管理人员提供研究的基本框架。
可以根据要构建的网络***和所需的上下文,绘制网络***的流程图,可以包含表示***工作原理和彼此交互方式的***关系,还应该包括详细介绍每个***部分的数据流关系。其中,主要关注的处理过程、数据存储、数据流和外部实体的具体说明如下。
处理过程表示可以修改接收的输入或将接收的输入重定向到相应的输出的活动。比如接收API调用请求并将其转发到API处理服务的微服务,在数据写入数据存储之前验证输入的数据。
数据存储包括临时或是永久的存储数据,比如使用浏览器存储与会话相关的数据,向文件中添加的安全日志信息。
数据流是指用于数据源和目标之间的通信,比如用户提交的用于访问服务的凭证,处理过程发出的向数据存储添加内容的请求,用于在各个***元素之间进行交互,包括输出和响应及其传输方式。
外部实体可以是其他的处理过程,数据存储甚至可以是直接控制之外的完整***,比如可以是与***交互的用户或者是由其他的团队创建的服务。
这样的建立***安全威胁模型,有利于整个研发过程的风险管理,对于发现的安全威胁进行跟踪管理,在***上线之前发现威胁并设计有效的应对措施,在设计阶段对***进行安全的审视减少安全威胁问题,降低成本。
在操作S802,汇总***可能存在的威胁类型并进行数据采集。
具体地,汇总整理出***可能出现的威胁类型并对应的采集相应的数据。其中,根据统计分析,网络***中存在的威胁类型,大致可以包括几种:攻击者冒充用户或处理过程、攻击者恶意修改数据或攻击者恶意使用***导致***无法提供正常的服务。
针对以上各种类型的威胁可以分别采集不同的数据进行实时监控。不同的数据采集方式获得数据类型和颗粒度也不尽相同,采用但不限于以下两种的采集方式:日志和流量。其中,日志方式是根据设备和网络***预先提供的数据格式、内容等的相关规则,产生日志数据,同理安装代理方式也产生各种日志数据,并将日志数据发送到日志收集器。日志方式随着日志数据内容由少到多、颗粒度由粗到精细的过程,占用的资源会增加需要,需要设定一样的规则,保留一定时间段内的日志信息,之前的信息会被删除,需要提前处理。流量方式是通过交换机将网络流量复制一份,发送到流量采集器。网络流量方式就是真实和实时的网络流量,包含更加全面的信息,对当前的***没有侵入性,部署方便灵活。
接下来在操作S803,处理采集的数据做初步异常检测,识别出可疑安全事件。前述操作S210为操作S803用于安全监控的一个具体实施例。
具体地,可以使用各种机器学习算法如随机森林、支持向量机、K-Means聚类以及神经网络等进行异常检测,综合个体和群体的对比特征分析识别和发现安全威胁。
由于操作S803中的识别结果仅作为初步识别,后续还会通过验证流程主动验证,因此,在该过程中使用的机器学习算法模型的层次可以不必太多,这样有助于减少分析耗时,且避免多步骤的处理容易累积误差等问题。相比于直接机器学习算法模型得到最后判断结果的方案,本公开实施例可以减少机器学习模型关联子***的数量,减少处理过程的层数,降低处理的难度,快速的做出反应。然后对于机器学习算法模型输出的异常检测结果相可以通过下面的后续的主动验证来调整。
机器学习算法训练所依据的数据可以来自于网络***的历史记录数据。其中,通过对历史记录数据的处理,可以输出网络***中的各个实体的基线信息。当有了用户和实体的基线信息后,可以结合各类数据,训练机器学习算法模型对安全事件进行自动化得过程分析。其中,大部分安全事件很难在某一个或两个维度的分析下被发现,需要多维度考虑,如时间、网络层次、安全业务对象等维度。比如可以从用户、设备、应用、数据维度做实时的关联分析,不是一次性事件,而是自动化、持续化的过程。
接下来在操作S804,判断初步检测识别的结果是否为异常。如果是,则通过操作S805和操作S806,采用事先编写好的验证流程进行主动验证。如果否,则直接在操作S807,对当前事件检测结束。
具体地,在操作S805,抽取对应标签下的问题。具体地,可以如前述操作S220中的相关介绍,可以从总的问题集中先确定出具有与所检测到的威胁类型对应标签的问题,得到可抽取的问题范围,然后再从中可以根据问题的难度等级分类标签、或特性种类标签、或相似性或互斥标签等,抽取备选问题。
在抽取到问题后,可以按照前述操作S230或者操作S230和S231~操作S233中所示的方式,对备选问题进行加工处理,得到可以用于进行交互的选题集。在一些实施例中,将选题集发送出去之前还可以在其中添加随机验证码。在将选题集发送给可疑安全事件的执行主体(用户或处理过程)时,可以将问题的顺序打乱发送,并获得可疑安全事件的执行主体对选题集的答复,得到答题信息,对此可以参考前述操作S240。
接下来在操作S806,对问题的反馈结果进行评估。具体可以参考前文关于操作S250~操作S280中对答题信息进行评估的详细介绍。
最后操作S806所得到的评估结果信息,可以动态地反馈给用于初步识别可疑安全事件的机器学习算法模型,用于机器学习算法模型的不断学习更新,同时根据该评估结果信息也可以动态地调整操作S806中进行评估时所使用的预定条件,提升网络***安全防护的弹性。
可见,根据本公开的实施例,可以根据网络***和上下文,对网络***从安全威胁的角度进行建模,汇集***可能存在的威胁并进行数据采集,之后可以通过实时采集数据对网络***作初步的异常检测,对怀疑存在安全威胁的用户或处理过程,再采用事先编排好的验证流程进行验证,从而在保证安全威胁验证准确性的前提下,减少自动异常检测时所需的数据类型的多样性和算法模型的层次的复杂性,降低了所采用的机器学习算法模型的复杂性。
根据本公开的实施例,可以采用主动引导用户,让可疑用户进入事先编排好的验证流程做进一步验证,避免了算法模型漏识别或误识别导致真实的数据丢失的风险。
根据本公开的一些实施例,可以对用户或处理过程的身份和权限做进一步验证,***会根据用户或处理过程的验证信息,对用户或处理过程的判断标准做动态调整,满足了***的安全性的同时增加了***的弹性。
基于上述各个实施例的网络安全防御方法,本公开实施例还提供了一种网络安全防御装置。以下将结合图9对该网络安全防御装置900进行详细描述。
图9示意性示出了根据本公开实施例的网络安全防御装置900的结构框图。
如图9所示,根据本公开的实施例,该网络安全防御装置900包括初步识别模块910和主动验证模块920。
初步识别模块910用于基于对网络***的监控,识别网络***中存在的可疑安全事件及其威胁类型。在一个实施例中,初步识别模块910可以执行前文介绍的操作S210。
主动验证模块920用于采用事先编排好的验证流程,对可疑安全事件的执行主体进行验证。
具体地,主动验证模块920可以包括获取子模块921、选题生成子模块922、答题子模块923和答题评估子模块924。
获取子模块921用于从针对威胁类型预先设置的问题集中获取至少一个备选问题。在一个实施例中,获取子模块921可以执行前文介绍的操作S220。
选题生成子模块922用于基于可疑安全事件中的实体的信息,对至少一个备选问题进行加工处理,得到选题集,其中,可疑安全事件中的实体包括可疑安全事件中的执行主体。在一个实施例中,选题生成子模块922可以执行前文介绍的操作S230。在另一些实施例中,选题生成子模块922还可以执行前文介绍的操作S231~操作S233。
答题子模块923用于将选题集发送给执行主体,并获得执行主体对选题集中的问题进行答复而返回的答题信息。在一个实施例中,答题子模块923可以执行前文介绍的操作S240。
答题评估子模块924用于:对比答题信息与网络***的历史记录数据中的对应信息,得到对比结果;当对比结果满足预定条件时,确定执行主体不存在威胁;以及当对比结果不满足预定条件时,确定执行主体存在威胁。在一个实施例中个,答题评估子模块924可以执行前文介绍的操作S260~操作S280。
根据本公开的另一些实施例,该网络安全防御装置900还可以进一步包括问题集生成模块930、预定条件动态设置模块940和/或实体行为分析模块950。
问题集生成模块930可以收集并生成大量的问题,并且可以从不同维度对生成的问题进行分类,例如,可以以标签的方式标识每个问题所属的类别。例如,问题集生成模块930可以将生成的问题按照威胁类型分类,给属于对应威胁类型的问题添加相应的标签。又例如,问题集生成模块930可以将生成的问题,按照特性的种类和/或问题的难度等级设置标签,进行问题分类。再例如,问题集生成模块930可以将生成的问题进行聚类,或者凭借经验按照问题之间的相似度进行分类,其中同一个类内的问题可以设置相同的标签,视为相似问题,不同类之间的问题,可以视为是互斥问题。
预定条件动态设置模块940可以用于:设置初始的预定条件;以及基于执行主体对应的累计验证结果数据,更新预定条件。其中,更新预定条件具体包括:存储每次采用验证流程对执行主体进行验证所得的验证结果数据;基于已存储的验证结果数据的累计,得到执行主体对应的累计验证结果数据;以及基于执行主体对应的累计验证结果数据,定期或不定期地更新预定条件。在一个实施例中,预定条件动态设置模块940可以执行前述操作S701~操作S704。
实体行为分析模块950可以用于从网络***的历史记录数据中提取出实体数据,得到多个实体,其中,多个实体包括执行主体;从网络***的历史记录数据中,提取多个实体中每个实体的行为数据并形成时间序列,得到每个实体的行为特征;基于多个实体中执行主体与其他实体的行为特征的相似性判断,确定与执行主体具有相似行为特征的其他对象。得到与执行主体相似的其他对象后,选题生成子模块922可以利用其他对象的信息,对备选问题进行加工改造,生成干扰项,然后将干扰项扩充到选题中。在一个实施例中。实体行为分析模块950可以执行前文介绍的操作S601~操作S603。
该网络安全防御装置900可以执行参考图2~图8所描述的网络安全防御方法,具体参考前文介绍,此处不再赘述。
根据本公开的实施例,初步识别模块910、主动验证模块920、获取子模块921、选题生成子模块922、答题子模块923、答题评估子模块924、问题集生成模块930、预定条件动态设置模块940和实体行为分析模块950中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,初步识别模块910、主动验证模块920、获取子模块921、选题生成子模块922、答题子模块923、答题评估子模块924、问题集生成模块930、预定条件动态设置模块940和实体行为分析模块950中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,初步识别模块910、主动验证模块920、获取子模块921、选题生成子模块922、答题子模块923、答题评估子模块924、问题集生成模块930、预定条件动态设置模块940和实体行为分析模块950中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图10示意性示出了适于实现根据本公开实施例的网络安全防御方法的电子设备1000的方框图。
如图10所示,根据本公开实施例的电子设备1000包括处理器1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。处理器1001例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器1001还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1003中,存储有电子设备1000操作所需的各种程序和数据。处理器1001、ROM 1002以及RAM 1003通过总线1004彼此相连。处理器1001通过执行ROM 1002和/或RAM1003中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1002和RAM 1003以外的一个或多个存储器中。处理器1001也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1000还可以包括输入/输出(I/O)接口1005,输入/输出(I/O)接口1005也连接至总线1004。电子设备1000还可以包括连接至I/O接口1005的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/***中所包含的;也可以是单独存在,而未装配入该设备/装置/***中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1002和/或RAM 1003和/或ROM 1002和RAM 1003以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机***中运行时,该程序代码用于使计算机***实现本公开实施例所提供的方法。
在该计算机程序被处理器1001执行时执行本公开实施例的***/装置中限定的上述功能。根据本公开的实施例,上文描述的***、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分1009被下载和安装,和/或从可拆卸介质1011被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被处理器1001执行时,执行本公开实施例的***中限定的上述功能。根据本公开的实施例,上文描述的***、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (14)
1.一种网络安全防御方法,包括:
基于对网络***的监控,识别所述网络***中存在的可疑安全事件及其威胁类型;以及
采用事先编排好的验证流程,对所述可疑安全事件的执行主体进行验证,包括:
从针对所述威胁类型预先设置的问题集中获取至少一个备选问题;
基于所述可疑安全事件中的实体的信息,对所述至少一个备选问题进行加工处理,得到选题集;其中,所述可疑安全事件中的实体包括所述可疑安全事件中的执行主体;
将所述选题集发送给所述执行主体,并获得所述执行主体对所述选题集中的问题进行答复而返回的答题信息;
对比所述答题信息与所述网络***的历史记录数据中的对应信息,得到对比结果;
当所述对比结果满足预定条件时,确定所述执行主体不存在威肋、;以及
当所述对比结果不满足预定条件时,确定所述执行主体存在威肋、。
2.根据权利要求1所述的方法,其中,所述得到选题集还包括:
基于所述网络***中的历史记录数据,获取与所述执行主体具有相似行为特征的其他对象;
基于所述其他对象的信息,对所述至少一个备选问题中的至少部分问题进行加工处理,生成干扰项;以及
将所述干扰项扩充到所述选题集中。
3.根据权利要求2所述的方法,其中,所述基于所述网络***中的历史记录数据,获取与所述执行主体具有相似行为特征的其他对象包括:
从所述网络***的历史记录数据中提取出实体数据,得到多个实体,其中,所述多个实体包括所述执行主体;
从所述网络***的历史记录数据中,提取所述多个实体中每个实体的行为数据并形成时间序列,得到每个实体的行为特征;
基于所述多个实体中所述执行主体与其他实体的行为特征的相似性判断,确定与所述执行主体具有相似行为特征的所述其他对象。
4.根据权利要求1所述的方法,其中,所述问题集中的问题,按照问题之间的相似性被划分为多个第二类别,其中,同一个第二类别中的问题相似;
所述从针对所述威胁类型预先设置的问题集中获取至少一个备选问题包括:
从所述多个第二类别中的每个第二类别中至少选择一个问题,以得到所述至少一个备选问题。
5.根据权利要求1~4任意一项所述的方法,其中,所述问题集中的问题,按照问题所具有的特性的种类被划分为多个第一类别,每一个第一类别中的问题具有同种特性;所述从针对所述威胁类型预先设置的问题集中获取至少一个备选问题包括:
从所述多个第一类别的每个第一类别中至少选择一个问题,以得到所述至少一个备选问题;
其中,所述特性的种类包括必须回答正确和容许出现错误至少两种。
6.根据权利要求5所述的方法,其中,所述预定条件包括所述选题集中所述特性为必须回答正确的问题均回答正确。
7.根据权利要求6所述的方法,其中,所述对比所述答题信息与所述网络***的历史记录数据中的对应信息,得到对比结果包括:
基于所述答题信息与所述网络***的历史记录数据中的对应信息的对比,得到所述选题集中每个问题答复正确与否的答复结果信息;以及
遍历所述选题集中所述特性为必须回答正确的问题的所述答复结果信息,确定所述选题集中所述特性为必须回答正确的问题是否均回答正确。
8.根据权利要求6所述的方法,其中,所述预定条件还包括:在所述选题集中所述特性为必须回答正确的问题均回答正确的情况下,所述答题信息的评分大于或等于预设阈值;
其中,所述对比所述答题信息与所述网络***的历史记录数据中的对应信息,得到对比结果还包括:
在所述选题集中所述特性为必须回答正确的问题均回答正确的情况下,基于所述选题集中每个问题的所述答复结果信息和每个问题对应的难度等级,得到所述选题集中每个问题的得分;其中,所述问题集中的问题按照难易程度预先划分为多个难度等级,每个难度等级中的问题的计分规则相同;
根据所述选题集中每个问题的重要程度等级,获取每个问题对应的权重,其中,所述问题集中的问题按照重要程度预先划分为多个重要程度等级,每个重要程度等级中的问题的权重相同;以及
基于所述选题集中所有问题的得分和每个问题对应的权重,得到所述答题信息的评分。
9.根据权利要求1所述的方法,其中,所述预定条件为根据所述执行主体对应的累计验证结果数据更新后的预定条件;其中,所述方法还包括:
设置初始的所述预定条件;以及
基于所述执行主体对应的累计验证结果数据,更新所述预定条件,包括:
存储每次采用所述验证流程对所述执行主体进行验证所得的验证结果数据;
基于已存储的所述验证结果数据的累计,得到所述执行主体对应的累计验证结果数据;
基于所述执行主体对应的累计验证结果数据,定期或不定期地更新所述预定条件。
10.根据权利要求1所述的方法,其中,
所述基于对网络***的监控,识别所述网络***中存在的可疑安全事件及其威胁类型,包括:利用机器学习算法模型识别出所述可疑安全事件、所述威胁类型以及威胁程度;
所述从针对所述威胁类型预先设置的问题集中获取至少一个备选问题包括:根据所述威胁程度确定所述至少一个备选问题的问题数量和/或问题难度分布;其中,所述威胁程度与所述问题数量和所述问题难度正相关,其中,所述问题集中的问题按照难易程度预先划分为多个难度等级,所述问题难度分布以所述至少一个备选问题在所述多个难度等级中的分布数据来表征。
11.一种网络安全防御装置,包括:
初步识别模块,用于基于对网络***的监控,识别所述网络***中存在的可疑安全事件及其威胁类型;以及
主动验证模块,用于采用事先编排好的验证流程,对所述可疑安全事件的执行主体进行验证,包括:
获取子模块,用于从针对所述威胁类型预先设置的问题集中获取至少一个备选问题;
选题生成子模块,用于基于所述可疑安全事件中的实体的信息,对所述至少一个备选问题进行加工处理,得到选题集;其中,所述可疑安全事件中的实体包括所述可疑安全事件中的执行主体;
答题子模块,用于将所述选题集发送给所述执行主体,并获得所述执行主体对所述选题集中的问题进行答复而返回的答题信息;
答题评估子模块,用于:
对比所述答题信息与所述网络***的历史记录数据中的对应信息,得到对比结果;
当所述对比结果满足预定条件时,确定所述执行主体不存在威肋;以及
当所述对比结果不满足预定条件时,确定所述执行主体存在威肋。
12.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~10中任一项所述的方法。
13.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~10中任一项所述的方法。
14.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~10中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310118391.6A CN116346409A (zh) | 2023-01-30 | 2023-01-30 | 网络安全防御方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310118391.6A CN116346409A (zh) | 2023-01-30 | 2023-01-30 | 网络安全防御方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116346409A true CN116346409A (zh) | 2023-06-27 |
Family
ID=86892088
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310118391.6A Pending CN116346409A (zh) | 2023-01-30 | 2023-01-30 | 网络安全防御方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116346409A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118041709A (zh) * | 2024-04-15 | 2024-05-14 | 南京汇荣信息技术有限公司 | 一种基于多源数据的安全威胁研判方法、***以及装置 |
-
2023
- 2023-01-30 CN CN202310118391.6A patent/CN116346409A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118041709A (zh) * | 2024-04-15 | 2024-05-14 | 南京汇荣信息技术有限公司 | 一种基于多源数据的安全威胁研判方法、***以及装置 |
CN118041709B (zh) * | 2024-04-15 | 2024-06-07 | 南京汇荣信息技术有限公司 | 一种基于多源数据的安全威胁研判方法、***以及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11522873B2 (en) | Detecting network attacks | |
Mughaid et al. | An intelligent cyber security phishing detection system using deep learning techniques | |
US20220094709A1 (en) | Automatic Machine Learning Vulnerability Identification and Retraining | |
Doran et al. | Web robot detection techniques: overview and limitations | |
US10341372B2 (en) | Clustering for detection of anomalous behavior and insider threat | |
US20230079326A1 (en) | Identifying legitimate websites to remove false positives from domain discovery analysis | |
US11954571B2 (en) | Churn-aware machine learning for cybersecurity threat detection | |
US10637826B1 (en) | Policy compliance verification using semantic distance and nearest neighbor search of labeled content | |
CN108292414A (zh) | 数据中心中的部署的自动推荐 | |
CN112231570B (zh) | 推荐***托攻击检测方法、装置、设备及存储介质 | |
CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
Javadi et al. | Monitoring misuse for accountable'artificial intelligence as a service' | |
US10805305B2 (en) | Detection of operational threats using artificial intelligence | |
CN103593609A (zh) | 一种可信行为识别的方法和装置 | |
US11663329B2 (en) | Similarity analysis for automated disposition of security alerts | |
CN114244611B (zh) | 异常攻击检测方法、装置、设备及存储介质 | |
US20230104176A1 (en) | Using a Machine Learning System to Process a Corpus of Documents Associated With a User to Determine a User-Specific and/or Process-Specific Consequence Index | |
US20110173453A1 (en) | Capability and Behavior Signatures | |
Abubaker et al. | Exploring permissions in android applications using ensemble-based extra tree feature selection | |
Wang et al. | An unsupervised strategy for defending against multifarious reputation attacks | |
CN116346409A (zh) | 网络安全防御方法、装置、设备及存储介质 | |
Drichel et al. | Making use of NXt to nothing: the effect of class imbalances on DGA detection classifiers | |
Papaioannou et al. | Risk-based user authentication for mobile passenger ID devices for land and sea border control | |
CN112765435A (zh) | 结合区块链和数字金融的业务数据处理方法及大数据平台 | |
WO2023044358A1 (en) | Methods and systems for identifying unauthorized logins |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |