CN116451215A - 关联分析方法及相关设备 - Google Patents
关联分析方法及相关设备 Download PDFInfo
- Publication number
- CN116451215A CN116451215A CN202210013359.7A CN202210013359A CN116451215A CN 116451215 A CN116451215 A CN 116451215A CN 202210013359 A CN202210013359 A CN 202210013359A CN 116451215 A CN116451215 A CN 116451215A
- Authority
- CN
- China
- Prior art keywords
- information
- event
- security
- network
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 87
- 238000010219 correlation analysis Methods 0.000 title claims abstract description 38
- 238000012098 association analyses Methods 0.000 claims abstract description 61
- 238000012545 processing Methods 0.000 claims description 41
- 238000004458 analytical method Methods 0.000 claims description 34
- 238000000605 extraction Methods 0.000 claims description 24
- 230000000007 visual effect Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 19
- 238000012097 association analysis method Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 12
- 238000001514 detection method Methods 0.000 description 11
- 238000013499 data model Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000012423 maintenance Methods 0.000 description 8
- 102100038367 Gremlin-1 Human genes 0.000 description 6
- 101001032872 Homo sapiens Gremlin-1 Proteins 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 5
- 230000007547 defect Effects 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000003058 natural language processing Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000012800 visualization Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000007621 cluster analysis Methods 0.000 description 2
- 230000001627 detrimental effect Effects 0.000 description 2
- 238000009792 diffusion process Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 101150039322 outE gene Proteins 0.000 description 2
- 230000036961 partial effect Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000010225 co-occurrence analysis Methods 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000002939 deleterious effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000011524 similarity measure Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本方法提供一种关联分析方法及相关设备,该方法包括:获取被监控网络设备的网络安全事件信息和安全关联信息,安全关联信息为与被监控网络的网络安全相关联的信息;根据网络安全事件信息和安全关联信息建立安全知识图谱;基于安全知识图谱对网络安全事件信息进行关联分析,输出关联分析结果信息,关联分析结果信息包括网络安全事件的类型信息,类型包括威胁事件或业务场景事件。根据被监控网络设备的网络安全事件信息和安全关联信息建立安全知识图谱,再利用安全知识图谱对网络安全事件进行类型识别,以准确识别存在网络安全威胁的威胁事件,可以有效提高关联分析的精度,有效保障被监控网络设备的网络安全。
Description
技术领域
本发明实施例涉及安全领域,尤其涉及一种关联分析方法及相关设备。
背景技术
随着计算机和网络技术的快速发展,互联网正在影响到日常生活、工业技术等各个领域。黑客组织以及一些网络非法分子正在使用计算机领域相关技术通过非法获取账号密码、用户敏感数据等手段来谋取私利,严重影响到个人、组织以及国家的信息安全和财产安全。
现有的入侵检测手段主要包括基于网络流量和基于主机状态两种检测方式。基于主机的入侵探测器在目标主机上部署若干检测程序,该检测程序主要用于记录报告当前主机的实时状态信息,如中央处理器(Central Processing Unit,CPU)利用率、内存利用率等,以及主机日志、应用软件日志、操作***配置文件的访问信息等,通过将收集到的主机特征与攻击规则库进行对比,可以准确快速的发现攻击者的真实攻击目的。但是这种检测方法没有考虑来自网络层的数据信息,对于通过网络传播发生的攻击往往效果不佳。基于网络的入侵检测器通过抓取网络数据流中的数据包,分析网络协议、报文长度、源目网际互连协议(Internet Protocol,IP)地址等信息,通过综合上述特征,与规则库中的攻击规则进行比较来发掘恶意攻击。基于网络的入侵检测方法从网络维度出发,可以快速感知来自网络传输层发生的恶意攻击,但是由于没有考虑主机维度的状态信息,所以同样无法应付所有攻击情况。
由于单源安全设备的局限性,需要通过集成多源网络安全设备,收集网络环境中的多源信息,以应对日益复杂、变种繁多的网络安全威胁。但是在真实环境中,网络安全设备会产生海量的安全数据,而且很多信息之间存在大量冗余关系,通过网络安全运维人员依靠经验人工处理非常困难。
为了解决上述问题,针对网络安全的关联分析技术应运而生,然而,现有的关联分析方法的分析精度较低,无法精准识别网络威胁。
如何提高网络安全关联分析的精度,是本领域技术人员正在研究的热点。
发明内容
本申请提供一种关联分析方法及相关设备,可以有效提高关联分析的精度,准确识别威胁事件,有效保障被监控网络设备的网络安全。
第一方面,提供一种关联分析方法,该方法包括以下步骤:获取被监控网络设备的网络安全事件信息和安全关联信息,安全关联信息为与被监控网络的网络安全相关联的信息;根据网络安全事件信息和安全关联信息建立安全知识图谱;基于安全知识图谱对网络安全事件信息进行关联分析,输出关联分析结果信息,关联分析结果信息包括网络安全事件的类型信息,类型包括威胁事件或业务场景事件。
其中,网络安全事件信息是指关于被监控网络设备的网络完全事件的具体信息。而业务场景事件是被监控网络设备的正常业务事件。
可见,本申请实施例中,根据被监控网络设备的网络安全事件信息和安全关联信息建立安全知识图谱,再基于该安全知识图谱对网络安全事件信息进行关联分析,以输出关联分析结果信息,其中,该关联分析结果信息包括网络安全事件的类型信息,类型包括威胁事件或业务场景事件。即利用安全知识图谱对网络安全事件进行类型识别,以准确识别存在网络安全威胁的威胁事件,可以有效提高关联分析的精度,有效保障被监控网络设备的网络安全。
在第一方面的一种可能的实施方式中,关联分析方法还包括以下步骤:确定网络安全事件的类型为威胁事件时,基于安全知识图谱、安全知识库对威胁事件进行知识推理,得到威胁事件的推理结果,推理结果包括攻击源、攻击链路、攻击者画像中的一项或多项。
其中,安全知识库包括攻击者、攻击手法等攻击知识。
可见,本申请实施例中,在确定网络安全事件为威胁事件之后,可以基于安全知识图谱、安全知识库对威胁事件进行知识推理,以得到威胁事件的推理结果,利用推理结果可以帮助用户了解威胁事件的攻击源头、攻击链路、攻击者画像等中的一项或多项信息,以便更好地做好被监控网络设备的网络安全防护工作。
在第一方面的一种可能的实施方式中,根据网络安全事件和安全关联信息建立安全知识图谱,具体包括以下步骤:对网络安全事件和安全关联信息进行知识抽取,确定抽取信息,抽取信息包括实体、实体之间的关系、实体的属性、以及属性对应的属性值;根据抽取信息、安全知识库建立安全知识图谱,安全知识图谱包括多个节点和节点之间的连边,节点用于表征实体和/或属性值,节点之间的连边用于表征实体之间的关系和/或实体的属性。
在第一方面的一种可能的实施方式中,关联分析方法还包括以下步骤:获取初始查询语句,所述初始查询语句用于查询攻击链路、攻击者画像、攻击源等中的一项或多项;根据预设处理规则处理初始查询语句生成图查询请求,图查询请求包括链路识别请求、攻击者画像查询请求、攻击溯源请求中的一种或多种;响应图查询请求,根据安全知识图谱、安全知识库输出图查询请求的可视化查询结果。
可见,本申请实施例中,基于安全知识图谱、安全知识库可以响应用户的查询请求,以得到相应的可视化查询结果,帮助设备运维人员进行设备维护。
在第一方面的一种可能的实施方式中,基于安全知识图谱对网络安全事件信息进行关联分析,输出关联分析结果信息,具体包括以下步骤:对网络安全事件信息进行语义分析处理,以确定网络安全事件的类型信息;若对网络安全事件信息进行语义分析处理确定网络安全事件为待定事件时,基于安全知识图谱对待定事件进行关联分析,以确定待定事件的类型信息。
可见,在本申请实施例中,先利用语义分析对网络安全事件进行初步分类,在语义分析无法确定网络安全事件的类型时,这些无法确定类型的网络安全事件为待定事件,则再基于安全知识图谱对待定事件进行关联分析,以确定这些待定事件的具体类型。利用上述方法确定网络安全事件的类型,不仅速度快,而且准确度高。
在第一方面的一种可能的实施方式中,对网络安全事件信息进行语义分析处理,以确定网络安全事件的类型信息,具体包括以下步骤:根据威胁场景对应的关键字匹配条件对网络安全事件信息进行匹配处理,确定满足关键字匹配条件的网络安全事件的类型为威胁事件;根据业务场景的访问特点对不满足关键字匹配条件的网络安全事件进行识别处理,确定满足访问特点的网络安全事件的类型为业务场景事件,并确定不满足访问特点的网络安全事件为待定事件。
可见,本申请实施例中,先利用威胁场景的关键字匹配条件确定威胁事件,再根据业务场景的访问特点对不满足关键字匹配条件的网络安全事件进行类型确定。
在第一方面的一种可能的实施方式中,安全关联信息包括以下一项或多项被监控网络设备的信息:网络拓扑结构、资产、漏洞扫描数据、威胁信息、应用服务类型、操作***、网络流量或日志。
第二方面,还提供一种关联分析设备,该设备包括:
获取模块,用于获取被监控网络设备的网络安全事件信息和安全关联信息,安全关联信息为与被监控网络的网络安全相关联的信息;
建立模块,用于根据网络安全事件信息和安全关联信息建立安全知识图谱;
分析模块,用于基于安全知识图谱对网络安全事件信息进行关联分析,输出关联分析结果信息,关联分析结果信息包括网络安全事件的类型信息,类型包括威胁事件或业务场景事件。
第三方面,还提供一种关联分析设备,包括处理器和存储器,其中,处理器和存储器相连,其中,存储器用于存储程序代码,处理器用于调用程序代码,以执行如第一方面所述的关联分析方法。
第四方面,还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现如第一方面所述的关联分析方法。
第五方面,还提供一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面所述的关联分析方法。
第六方面,提供一种芯片,所述芯片包括处理器与数据接口,所述处理器通过所述数据接口读取存储器上存储的指令,执行第一方面所述的关联分析方法。
可选地,作为一种实现方式,所述芯片还可以包括存储器,所述存储器中存储有指令,所述处理器用于执行所述存储器上存储的指令,当所述指令被执行时,所述处理器用于执行第一方面所述的关联分析方法。
附图说明
下面对本申请实施例用到的附图进行介绍。
图1是本申请实施例提供的一种关联分析方法的场景示意图;
图2是本申请实施例提供的一种关联分析方法的流程示意图;
图3是本申请实施例提供的一种知识抽取的示意图;
图4是本申请实施例提供的一种关联分析设备的整体架构示意图;
图5a是本申请实施例提供的一种知识图谱数据模型示意图;
图5b是本申请实施例提供的另一种知识图谱数据模型示意图;
图5c是本申请实施例提供的另一种知识图谱数据模型示意图;
图6是本申请实施例提供的一种关联分析方法的部分流程示意图;
图7a是本申请实施例提供的一种语义分析处理的流程示意图;
图7b是本申请实施例提供的一种威胁场景匹配的流程示意图;
图7c是本申请实施例提供的一种基于业务场景的访问特点进行识别处理的流程示意图;
图7d是本申请实施例提供的一种IP分析的示意图;
图8a是本申请实施例提供的一种攻击者画像的结果示意图;
图8b是本申请实施例提供的另一种攻击者画像的结果示意图;
图8c是本申请实施例提供的一种攻击源头的结果示意图;
图9是本发明实施例提供的一种关联分析设备的结构示意图;
图10是本发明实施例提供的一种关联分析设备的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
由于本申请实施例涉及人工智能的应用,为了便于理解,下面先对本申请实施例涉及的相关术语等相关概念进行介绍。
(1)、网络设备
网络设备是指连接到网络中的物理实体,例如计算机设备(个人计算机或服务器等)、计算机网络、物联网设备等设备。
(2)、网络安全事件
网络安全事件主要可以分为以下几大类:
(一)有害程序事件:有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等。
(二)网络攻击事件:网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件造成学校网站或部门二级网站主页被恶意篡改,应用***数据被拷贝、篡改、删除等等。
(三)信息破坏事件:信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等。
另外,网络安全设备可以通过监控网络设备进而获得网络安全事件信息,网络安全设备包括IP协议密码机、安全路由器、线路密码机、防火墙等。
(3)、威胁信息
威胁信息是指从安全数据中提炼的,与网络空间威胁相关的信息,包括威胁来源、攻击意图、攻击手法、攻击目标信息,以及可用于解决威胁或应对危害的知识。威胁信息可以包含威胁源、攻击目的、攻击对象、攻击手法、攻击特征、防御措施等信息。
(4)、资产
资产也即网络资产,网络资产主要是计算机(或通讯)网络中使用的各种设备。主要包括主机、网络设备(路由器、交换机等)和安全设备(防火墙等)。
(5)、漏洞
漏洞是在硬件、软件、协议的具体实现或***安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏***。进一步地,漏洞是指一个***存在的弱点或缺陷或脆弱性,***对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。换句话说,漏洞是一种使攻击能够成功实现的已知问题。漏洞可能来自应用软件或操作***设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息***被攻击或控制,重要资料被窃取,用户数据被篡改,***被作为入侵其他主机***的跳板。
(6)、漏洞扫描
漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测***互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和***中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视***是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机***的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。
依据扫描执行方式不同,漏洞扫描产品包括针对网络的扫描器、针对主机的扫描器和针对数据库的扫描器,还有针对WEB应用、中间件等的扫描器。
其中,基于网络的扫描器就是通过网络来扫描远程计算机中的漏洞;而基于主机的扫描器则是在目标***上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使得基于主机的扫描器能够扫描到更多的漏洞。主流数据库的自身漏洞逐步暴露,数量庞大;基于数据库的漏扫可以检测出数据库的数据库管理***(Database Management System,DBMS)漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
(7)、知识推理
知识推理,就是在已有知识的基础之上,推断出未知的知识的过程。通过从已知的知识出发,通过已经获取的知识,从中获取到所蕴含的新的事实,或者从大量的已有的知识中进行归纳,从个体知识推广到一般性的知识。
(8)、知识图谱
知识图谱(Knowledge Graph),在图书情报界称为知识域可视化或知识领域映射地图,是显示知识发展进程与结构关系的一系列各种不同的图形,用可视化技术描述知识资源及其载体,挖掘、分析、构建、绘制和显示知识及它们之间的相互联系。
知识图谱,是通过将应用数学、图形学、信息可视化技术、信息科学等学科的理论与方法与计量学引文分析、共现分析等方法结合,并利用可视化的图谱形象地展示学科的核心结构、发展历史、前沿领域以及整体知识架构达到多学科融合目的的现代理论。
知识图谱最为常见的表示方式是采用三元组的表示方式,通过三元组,我们可以表示不同事物之间的语义关系,以及事物与属性之间的属性关系。
知识图谱的知识推理就是在基于已有的知识图谱的事实的基础上,推理出新的知识或者识别出知识图谱上已有知识的错误。
目前,现有的针对网络安全的关联分析技术的分析精度较低,无法精准识别网络威胁。
针对上述技术问题,本申请实施例提供一种关联分析方法,可以有效提高关联分析的精度,准确识别威胁事件,有效保障被监控网络设备的网络安全。其中,关联分析方法的执行主体可以是关联分析设备(计算机或服务器等),也可以是关联分析设备中的芯片。
实施例一
下面介绍本申请实施例提供的一种关联分析方法的应用场景。
参考图1,图1是本申请实施例提供的一种关联分析方法的场景示意图,图1中,以关联分析方法的执行主体为云服务器101为例。云服务器101通过网络(如VPN)与数据中心网络102、企业办公网103进行通信,云服务器101为数据中心网络102、企业办公网103提供***服务,即此时的被监控安全设备为数据中心网络102和企业办公网103。其中,数据中心网络102包括多个数据服务器、针对数据服务器的终端检测和响应(EndpointDetection and Response,EDR)设备、以及防火墙。同样地,企业办公网103包括办公计算机、针对办公计算机的EDR设备、以及防火墙。其中,EDR设备和防火墙可以获得数据中心网络102、企业办公网103的网络安全事件和各项安全关联信息,并将获得的各种信息传输给云服务器101进行处理分析。
进一步地,云服务器101的功能包括:
A、租户安全服务:包括渗透测试、漏洞扫描和安全加固;
B、安全运营服务:包括响应编排、智能检索和关联分析;
C、安全态势服务:包括态势感知、安全报表和日志审计。
其中,关联分析具体包括:
A、租户安全服务,其输出事件作为关联分析的输入,例如漏洞扫描相关结果作为分析关联的内容;
B、安全情报服务,通常用于网络安全事件的情报查询;
C、资产管理,资产作为网络安全事件的载体,关联分析不仅评估网络安全事件在该类资产发生的概率,还为其提供风险评估;
D、EDR终端安全防护,主要通过端侧的网络、进程、文件、注册表、用户登录日志等信息进一步为安全事件进行溯源分析。
实施例二
下面介绍本申请实施例提供的一种关联分析方法。
参考图2,图2是本发明实施例提供的一种关联分析方法的流程示意图,关联分析方法200包括以下步骤:
201、获取被监控网络设备的网络安全事件信息和安全关联信息,安全关联信息为与被监控网络的网络安全相关联的信息。
具体地,网络安全事件信息是指关于被监控网络设备的网络完全事件的具体信息。被监控网络设备可以是单个网络设备,也可以是整个计算机网络等。而安全关联信息可以包括以下一项或多项被监控网络设备的信息:网络拓扑结构、资产、漏洞扫描数据、威胁信息、应用服务类型、操作***(operating system,OS)、网络流量或日志。其中,网络拓扑结构是指被监控网络设备所在网络的拓扑结构;应用服务类型是被监控网络设备上的应用服务的类型,应用服务包括文件传输协议(File Transfer Protocol,FTP)服务、邮件服务、网络(Web)应用服务等服务。网络流量是指被监控网络设备上传输的数据量。而日志是网络设备在运作时产生的一个事件记录,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。
202、根据网络安全事件信息和安全关联信息建立安全知识图谱。
203、基于安全知识图谱对网络安全事件信息进行关联分析,输出关联分析结果信息,关联分析结果信息包括网络安全事件的类型信息,类型包括威胁事件或业务场景事件。
具体地,威胁事件是指对被监控网络设备的正常运作造成阻碍的事件。业务场景事件是被监控网络设备的正常业务事件。
本申请实施例中,根据被监控网络设备的网络安全事件信息和安全关联信息建立安全知识图谱,再利用安全知识图谱对网络安全事件进行类型识别,以准确识别存在网络安全威胁的威胁事件,可以有效提高关联分析的精度,有效保障被监控网络设备的网络安全。
增加资产配置和漏洞信息等分析,实现多维交叉关联分析,通过关联重点多维度数据,提升精准的安全事件;
在一些可能的实施方式中,参考图3和图4,图3是本申请实施例提供的一种知识抽取的示意图,图4是本申请实施例提供的一种关联分析设备的整体架构示意图;步骤202具体包括以下步骤:
2021、对网络安全事件和安全关联信息进行知识抽取,确定抽取信息,抽取信息包括实体、实体之间的关系、实体的属性、以及属性对应的属性值。
具体地,知识抽取包括实体抽取、关系抽取、属性抽取、事件抽取四个步骤,对网络安全事件和安全关联信息进行知识抽取可以得到抽取信息对应的三元组数据。进一步地,在知识抽取时,由图4中的计算引擎执行知识抽取,完成知识表示和知识建模。以安全关联信息中的日志数据为例,从告警日志信息中解析出不同告警分类类型相关的价值信息,生成相应的IP信息实体、文件信息实体、进程信息实体、域名信息实体、告警信息实体、任务信息实体。每个实体生成<实体,属性,属性值>的三元组数据,每个实体可以有多个属性。实体和实体之间生成<实体,关系,实体>的三元组数据。
2022、根据抽取信息、安全知识库建立安全知识图谱,安全知识图谱包括多个节点和节点之间的连边,节点用于表征实体和/或属性值,节点之间的连边用于表征实体之间的关系和/或实体的属性。
具体地,安全知识库包括攻击者、攻击手法等攻击知识。例如,安全知识库包括ATT&CK库,ATT&CK全称是Adversarial Tactics,Techniques,and Common Knowledges。A是Adversarial,表示攻击者、对手;两个T分別是Tactics和Technical,即战术和技术;CK是Common knowledge,通用知识库。进一步地,知识图谱可以采用图数据库进行数据存储,图数据库的优点在于其天然的能表示知识图谱结构,图中的节点表示知识图谱的对象,图中的边表示知识图谱的对象关系;这种做法的优点是数据库本身提供完善的图查询语言、支持各种图挖掘算法。在查询速度上要优于关系型数据库,特别是多跳查询的性能较好。在步骤2021将不同类型的数据(网络安全事件和安全关联信息)按照各自的抽取逻辑,抽取成三元组后,将三元组数据存储到图数据库定义的顶点和边,以得到安全知识图谱。
参考图5a,图5a是本申请实施例提供的一种知识图谱数据模型示意图;针对网络安全事件和网络流量、终端日志关联的知识图谱数据模型设计如图5a。该模型主要用于网络安全事件的溯源分析,例如网络侧发现了某网络安全事件后可以溯源到终端上的特定用户和进程。其中涉及到的实体有:
1、进程,包括父进程和子进程;
2、网络流量;
3、文件;
4、目录;
5、用户账户;
6、邮件地址;
7、Windows键值;
8、源地址(包括IPv4地址、IPv6地址);
9、目的地址(包括IPv4地址、IPv6地址)。
而其中涉及到的关系有:
1、邮件地址和用户账户之间,有使用、归属于、关联等关系;
2、Windows键值和用户账户之间,有使用、归属于、关联等关系;
3、进程和用户账户之间,有关联等关系;
4、进程和网络流量之间,有访问等关系;
5、进程和文件之间,有读写、加载等关系;
6、文件和目录之间,有关联等关系;
7、进程和父进程、子进程之间,有关联、创建等关系;
8、网络流量和源地址、目的地址之间,有创建、关联等关系。
而针对网络安全事件和资产、漏洞关联的知识图谱数据模型设计如图5b,图5b是本申请实施例提供的另一种知识图谱数据模型示意图。
另外,针对网络安全事件和安全知识库、威胁信息库关联的知识图谱设计图5c,图5c是本申请实施例提供的另一种知识图谱数据模型示意图。
在一些可能的实施方式中,参考图4和图6,图6是本申请实施例提供的一种关联分析方法的部分流程示意图;步骤203具体包括以下步骤:
2031、对网络安全事件信息进行语义分析处理,以确定网络安全事件的类型信息;
具体地,基于聚类分析的网络安全关联分析技术,通过分析由同源(相同IP地址或者相同设备)进行触发的网络安全信息和事件攻击特征,并对这些信息进行相似性观察,基于语义特征的事件相似性,即结合自然语言处理(Natural Language Processing,NLP)技术确定网络安全事件之间的相似性,进而确定网络安全事件的类型,识别出真正的威胁事件,以完成网络安全事件消噪。简单地说,利用语义分析处理,可以确定网络安全事件对应的类型,对于无法通过语义分析处理确定类型信息的网络安全事件,将其定义为待定事件。
2032、若对网络安全事件信息进行语义分析处理确定网络安全事件为待定事件时,基于安全知识图谱对待定事件进行关联分析,以确定待定事件的类型信息。
在本申请实施例中,先利用语义分析对网络安全事件进行初步分类,在语义分析无法确定网络安全事件的类型时,这些无法确定类型的网络安全事件为待定事件,则再基于安全知识图谱对待定事件进行关联分析,以确定这些待定事件的具体类型。利用上述方法确定网络安全事件的类型,不仅速度快,而且准确度高。
在一些可能的实施方式中,步骤2031具体包括以下步骤:
S1、根据威胁场景对应的关键字匹配条件对网络安全事件信息进行匹配处理,确定满足关键字匹配条件的网络安全事件的类型为威胁事件;
具体地,网络安全事件以结构化查询语言(Structured Query Language,SQL)注入事件为例,此时的威胁场景包括布尔注入场景(即Bool场景)、列猜测场景(如UnionSelect场景、Order By场景等)、时间注入场景(即Time场景)、报错场景、敏感场景等。其中,每种威胁场景有对应的关键字匹配条件,不做特别限定,以现有技术中衡量确定威胁场景的各种方法为准。通过条件匹配判断,确定满足关键字匹配条件的网络安全事件的类型为威胁事件;而对于无法通过条件匹配确定类型的网络安全事件,则进入步骤S2。
S2、根据业务场景的访问特点对不满足关键字匹配条件的网络安全事件进行识别处理,确定满足访问特点的网络安全事件的类型为业务场景事件,并确定不满足访问特点的网络安全事件为待定事件。
具体地,利用业务场景的访问特点,确定符合业务场景的访问特点网络安全事件的类型为业务场景事件,并将不符合访问特点的网络安全事件确定为待定事件,进入基于安全知识图谱的关联分析,以确定待定事件的类型。
下面以网络安全事件信息为入侵防御***(Intrusion Prevention System,IPS)告警数据为例,对步骤2031进行具体说明:
参考图7a,图7a是本申请实施例提供的一种语义分析处理的流程示意图;其中,先对IPS告警数据进行威胁场景识别,当确定匹配威胁场景时,将匹配的威胁事件输出给用户。而对于未匹配威胁场景的网络安全事件,进入业务场景识别处理步骤,通过业务场景识别处理步骤,可以确定网络安全事件的具体类型,而不能确定具体类型的网络安全事件为待定事件。
以下具体介绍威胁场景匹配识别的过程,参考图7b,图7b是本申请实施例提供的一种威胁场景匹配的流程示意图;其中,IPS告警数据以SQL告警数据为例。首先,对预设时间段中的SQL告警数据中的每个语句进行历史攻击关键字匹配处理,根据语句中匹配到的历史攻击关键字和每个历史攻击关键字对应的分数,确定每个语句对应的异常分数,当语句的异常分数超过分数阈值时,将该语句确定为恶意语句,通过对每条告警语句进行打分以定位恶意语句。其中,预设时间段的具体时间长度、每个历史攻击关键字对应的分数的具体数值可以根据实际情况进行设置,不做特别限定。
接着,对恶意语句处理得到业务上下文、SQL关键字,提取IPS告警日志中SQL关键字与对应关键字的上下文,以定位存在关键告警字取证数据,降低无关信息的存在感,突出关键点,降低无关噪声对主要语句的影响。其中,对SQL告警数据中的SQL语句进行解码、解混淆、分词等操作,再通过窗口选择得到业务上下文和SQL关键字。
接着,根据源IP地址分组聚合语句,将归属于同一个源IP地址的恶意语句作为一个分组。对每个源IP地址对应的分组进行威胁场景匹配处理,确定每个分组是否符合关键字匹配条件,当分组符合某一关键字匹配条件时,表明该源IP地址命中了威胁场景,可以将该源IP地址和对应的分组语句(即场景语句)输出给用户。而当分组未命中任一关键字匹配条件时,则该分组的恶意语句进入下一个处理环节,即业务场景识别处理步骤。
接下来具体介绍业务场景识别处理步骤。首先,业务场景和SQL攻击相比有如下特点:第一,业务特点包括混淆手段比较少,即SQL关键字后是否出现注释;SQL语句比较规整,不是片段,一般包含完整的表名和字段,一般不包含敏感信息;从目的IP地址看,访问它的IP数目(也即聚类簇的IP数目)和访问量(也即告警量),随时间变化比较稳定。不同的源对同样的业务存在相似性,满足上述条件的SQL语句可以被认为是一类业务场景语句。第二,IP角度关联特点包括源IP地址可能触发多个业务簇;源IP地址可能有自身的行为,每次都触发同样的语句。
参考图7c,图7c是本申请实施例提供的一种基于业务场景的访问特点进行识别处理的流程示意图;首先,先以T1时间窗收集从威胁场景判定后剩余的SQL语句,其中,T1时间窗的具体大小可以根据实际情况进行设置,例如设置为一周时间。对收集的SQL语句中的Payloads进行清理,去除停用词(即常用的SQL查询关键词,如Where,From等词),通过对payloads进行特征提取,确定SQL语句中的业务上下文。其中,病毒通常会做一些有害的或者恶性的动作。在病毒代码中实现这个功能的部分叫做“有效负载”(Payload)。接着,通过聚类分析(相似度量)发现聚集特征业务,识别聚类簇。后续接收到送检SQL语句时,以T2时间窗收集语句,并对收集的语句进行特征提取,根据聚类簇的特征将T2时间窗的语句归类到对应的聚类簇中。需要说明的是,T2时间窗的具体大小可以根据实际情况进行设置,只要T2时间窗的大小小于T1时间窗的大小即可。
接着,对聚类簇进行恶意衡量以区分聚类簇的类型,其中,可以根据业务场景的访问特点进行恶意衡量,第一种判断方法:确定聚类簇中的语句命中永真(指语句中命中恶意语句)的第一次数、命中时间函数时同时命中注释(指关键字后的注释)的第二次数。当第一次数超过第一设定阈值,且第二次数超过第二设定阈值时,将该聚类簇的类型确定为恶意簇,即聚类簇中SQL语句为威胁事件语句。其中,第一设定阈值和第二设定阈值的具体大小可以根据实际情况进行设置。
第二种判断方法:根据聚类簇具有一定的访问量(如每天都有访问和告警,如表1)、业务存在相似性(指在同一个聚类簇中)、业务中SQL语句混淆少(指命中注释的次数小于次数阈值,其具体大小可以根据实际情况进行设置)、随着时间变化,业务被多个IP稳定访问(稳定访问IP数超过IP数阈值)等中至少一项来判断该聚类簇是否为业务簇。
表1聚类簇的访问IP数目和告警量
第三种判断方法:还可以进行IP分析,参考图7d,图7d是本申请实施例提供的一种IP分析的示意图;当聚类簇中的IP具有恶意属性的数量超过数量阈值时,表明该聚类簇具有危险性。数量阈值的具体大小可以根据实际情况进行设置。而聚类簇中具有多个IP,即多个IP地址访问同一聚类簇,可以认为该聚类簇具有关联性。同样地,可以将聚类簇的访问IP数目和IP数目阈值进行比较,当超过IP数目阈值时则判断该聚类簇具有关联性。IP数目阈值的具体大小可以根据实际情况进行设置。根据关联性和危险性进行聚类簇的类型判断:聚类簇具有关联性并且不命中危险性(即聚类簇访问目的IP少、域名少),则该聚类簇为业务簇,业务簇中的SQL语句为业务场景事件语句。而聚类簇具有关联性并且命中危险性,或者,聚类簇不具有关联性而且命中危险性,则该聚类簇为恶意簇。而当聚类簇未具有关联性时,该聚类簇为待定簇,待定簇中的SQL语句为待定事件的语句。
上述基于业务场景的访问特点进行网络安全事件的类型判断的几种方法可以进行相互结合。
参考图4和图6,下面介绍步骤2032的具体实现。利用威胁信息库,基于知识推理发现高危威胁事件。具体地,利用图4中的安全推理业务模块结合计算引擎和任务调度引擎进行知识推理。引入多维交叉关联,形成一个更加完善的网络安全事件关联分析方法。其主要包括:
a、脆弱性关联,采用主动扫描的方式来发现网络中存在的脆弱性(即漏洞),这样进行关联分析时会首先检测该攻击所利用的脆弱性在目标上是否存在,如果存在可直接转威胁,这样可以过滤威胁事件。即判断待定事件所利用的漏洞是否真实存在,若存在,则该待定事件为威胁事件。
b、资产关联,在用户重点保护的资产上,用该资产上OS、服务类型、网络拓扑,以确定攻击在资产运行环境中攻击成功(进行阶段性攻击)的可能性,引入此技术可以提高威胁识别精准率。即判断待定事件的扩散概率,当扩散概率大于概率阈值时,可以确定该待定事件为威胁事件。
c、威胁信息库关联,参考图5c,对于攻击源,通过威胁信息库判定其信誉是否正常,通过恶意IP、恶意统一资源***(Uniform Resource Locator,URL)、恶意文件等进一步识别威胁。威胁信息库是预存储的各种威胁信息的数据库,包括IP信誉、URL信誉和域名信誉。简单地说,当待定事件的IP、URL、文件中至少一项被判断为恶意时,则该待定事件为威胁事件。
利用上述a、b和c至少一种手段判断待定事件的类型,当利用上述手段均无法判断该待定事件的类型时,则该待定事件为业务场景事件。
在一些可能的实施方式中,参考图4和图6,关联分析方法还包括以下步骤:
确定网络安全事件的类型为威胁事件时,基于安全知识图谱、安全知识库对威胁事件进行知识推理,得到威胁事件的推理结果,推理结果包括攻击源、攻击链路、攻击者画像中的一项或多项。
本申请实施例中,在确定网络安全事件为威胁事件之后,可以基于安全知识图谱、安全知识库对威胁事件进行知识推理,以得到威胁事件的推理结果,利用推理结果可以帮助用户了解威胁事件的攻击源头(参考图8c)、攻击链路、攻击者画像(参考图8a、图8b)等中的一项或多项信息,以便更好地做好被监控网络设备的网络安全防护工作,提升安全运维效率。其中,推理结果以可视化结果输出给用户,方便用户查看推理结果。
在一些可能的实施方式中,关联分析方法还包括以下步骤:
A1、获取初始查询语句,初始查询语句用于查询攻击链路、攻击者画像、攻击源等中的一项或多项。
具体地,当初始查询语句为查询攻击链路时,初始查询语句中包含IP地址或告警事件等;当初始查询语句为查询攻击者画像时,初始查询语句中包含IP地址、用户名等;当初始查询语句为查询攻击源时,初始查询语句中包含IP地址或告警事件等。
A2、根据预设处理规则处理初始查询语句生成图查询请求,图查询请求包括链路识别请求、攻击者画像查询请求、攻击溯源请求中的一种或多种。即将初始查询语句转换成图查询Gremlin语句。
A3、响应图查询请求,根据安全知识图谱、安全知识库输出图查询请求的可视化查询结果。
本申请实施例中,基于安全知识图谱、安全知识库可以响应用户的查询请求,以得到相应的可视化查询结果,帮助设备运维人员进行设备维护。
下面介绍具体的查询例子:
第一种,攻击者画像,包括场景1和场景2。
场景1:查找指定攻击者IP的所有攻击
安全运维人员如果需要查找某个节点(比如IP)出发的所有关联动作,以及触发的告警和APT攻击阶段,可以使用一下路径遍历逻辑,具体方法是查找子树,查找从一个节点触发,到所有叶子节点结束的所有路径,这些路径的集合为一颗子树。
示例:查找从攻击者ip:10.2.5.14的所有攻击事件,查询结果参考图8a。
对应的Gremlin语句为:
g.V().has('ip_info','ip','10.2.5.14').repeat(out()).until(outE().count().is(0)).path()
场景2:查找指定攻击账户的所有攻击
安全运维人员如果想调查某个节点(某个用户或者某个IP),与其它节点是否发现关联动作,或者触发了定向威胁攻击(Advanced Persistent Threat,APT)阶段,可以遍历这两点之间所有的关联路径。
示例:查找顶点('user_info','userName','laixingyu')到ATT&CK战略节点att_ck_tactics_info的所有路径,查询结果参考图8b。
对应的Gremlin语句为:
g.V().has('user_info','userName','laixingyu').repeat(out()).until(hasLabel('att_ck_tactics_inf o')).path()
第二种,攻击溯源,包括场景3、场景4和场景5。
场景3:从指定告警查询攻击源头
安全运维人员如果想调查某个告警、或者某个APT攻击阶段,由哪些IP、用户触发的,可以使用反向遍历导致该节点发生的所有关联事件。具体做法是反向查找,直到没有入边的节点。
示例:从指定eventID的告警查询攻击源头,查询结果参考图8c。
对应的Gremlin语句为:
g.V().has('threat_info','eventID','19ecdf4c-f637-4e0e-b1aa-723088b2ff5f').repeat(__.in()).until(i nE().count().is(0)).path()
场景4:从指定IP查询攻击路径
运维人员为了获取从指定IP查询攻击路径,可以通过查找节点的所有关联的节点和边,并显示所有路径和路径上所有点和边的信息。
示例:查询从IP:116.66.184.192出发的所有攻击路径。
对应的Gremlin语句为:
g.V().has('ip_info','ip','116.66.184.192').repeat(bothE().otherV()).path()
查询结果中攻击路径1为
“1:116.66.184.192S1:1:116.66.184.192>2>>S1:10.2.6.14 1:10.2.6.14”,
攻击路径2为
“1:116.66.184.192S2:test1>1>>S1:116.66.184.192 2:test1”。
场景5:不同安全产品的告警关联
安全运维人员如果想知道不同安全产品之间是否发生了关联,并将不同安全产品之间发生关联的信息生成出来。分成两步:
A、找出存在出边,没有入边的节点,这些节点为源头节点。
B、遍历源头节点,找出每个源头节点的产生的告警路径,如果该源头节点存在跨安全产品的告警,即路径终点为告警节点,且告警节点的类型为多个。则将该节点的全部路径展示给运维人员。
对应的Gremlin语句为:
g.V().as('test').where(__.inE().count().is(0)).where(__.outE().count().is(gt(0)))
g.V().has('ip_info','ip','192.168.30.160').repeat(out()).until(hasLabel('threat_info')).groupCo unt().by('productType')
实施例三
上述详细阐述了本申请实施例的方法,下面提供本申请实施例的装置。
参考图9,图9是本发明实施例提供的一种关联分析设备的结构示意图;关联分析设备包括获取模块901、建立模块902和分析模块903,其中:
获取模块901,用于获取被监控网络设备的网络安全事件信息和安全关联信息,安全关联信息为与被监控网络的网络安全相关联的信息;
建立模块902,用于根据网络安全事件信息和安全关联信息建立安全知识图谱;
分析模块903,用于基于安全知识图谱对网络安全事件信息进行关联分析,输出关联分析结果信息,关联分析结果信息包括网络安全事件的类型信息,类型包括威胁事件或业务场景事件。
在一些可能的实施方式中,关联分析设备还包括:
推理模块,用于确定网络安全事件的类型为威胁事件时,基于安全知识图谱、安全知识库对威胁事件进行知识推理,得到威胁事件的推理结果,推理结果包括攻击源、攻击链路、攻击者画像中的一项或多项。
在一些可能的实施方式中,建立模块902具体用于:
对网络安全事件和安全关联信息进行知识抽取,确定抽取信息,抽取信息包括实体、实体之间的关系、实体的属性、以及属性对应的属性值;
根据抽取信息、安全知识库建立安全知识图谱,安全知识图谱包括多个节点和节点之间的连边,节点用于表征实体和/或属性值,节点之间的连边用于表征实体之间的关系和/或实体的属性。
在一些可能的实施方式中,获取模块901,还用于获取初始查询语句,所述初始查询语句用于查询攻击链路、攻击者画像、攻击源等中的一项或多项;
关联分析设备还包括:
生成模块,用于根据预设处理规则处理初始查询语句生成图查询请求,图查询请求包括链路识别请求、攻击者画像查询请求、攻击溯源请求中的一种或多种;
输出模块,用于响应图查询请求,根据安全知识图谱、安全知识库输出图查询请求的可视化查询结果。
在一些可能的实施方式中,分析模块903具体用于:
对网络安全事件信息进行语义分析处理,以确定网络安全事件的类型信息;
若对网络安全事件信息进行语义分析处理确定网络安全事件为待定事件时,基于安全知识图谱对待定事件进行关联分析,以确定待定事件的类型信息。
在一些可能的实施方式中,上述对网络安全事件信息进行语义分析处理,以确定网络安全事件的类型信息,具体包括以下步骤:
根据威胁场景对应的关键字匹配条件对网络安全事件信息进行匹配处理,确定满足关键字匹配条件的网络安全事件的类型为威胁事件;
根据业务场景的访问特点对不满足关键字匹配条件的网络安全事件进行识别处理,确定满足访问特点的网络安全事件的类型为业务场景事件,并确定不满足访问特点的网络安全事件为待定事件。
在一些可能的实施方式中,安全关联信息包括以下一项或多项被监控网络设备的信息:网络拓扑结构、资产、漏洞扫描数据、威胁信息、应用服务类型、操作***、网络流量或日志。
需要说明的是,关联分析设备的实施例与前述方法实施例相互对应,具体的描述及有益效果描述可以参照方法实施例,不再赘述。值得注意的是,装置实施例可以与上述方法配合使用,也可以单独使用。
参见图10,图10是本发明实施例提供的一种关联分析设备的结构示意图,本申请实施例还提供一种关联分析设备,图10所示的关联分析设备1000(该设备1000具体可以是一种计算机设备)包括存储器1005、处理器1001、用户接口1003、通信接口1004以及总线1002。其中,存储器1005、处理器1001、用户接口1003、通信接口1004通过总线1002实现彼此之间的通信连接。
此外,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。通信接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。
存储器1005可以是只读存储器(Read Only Memory,ROM),静态存储设备,动态存储设备或者随机存取存储器(Random Access Memory,RAM)。存储器1005可以存储程序,当存储器1005中存储的程序被处理器1001执行时,处理器1001和通信接口1004用于执行本申请实施例二的关联分析方法的各个步骤。
处理器1001可以采用通用的中央处理器(Central Processing Unit,CPU),微处理器,应用专用集成电路(Application Specific Integrated Circuit,ASIC),图形处理器(graphics processing unit,GPU)或者一个或多个集成电路,用于执行相关程序,以实现上述实施例所述的关联分析设备中的单元所需执行的功能,或者执行实施例二所述的关联分析方法。
处理器1001还可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,本申请实施例二的关联分析方法的各个步骤可以通过处理器1001中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1001还可以是通用处理器、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例二所公开的关联分析方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1005,处理器1001读取存储器1005中的信息,结合其硬件完成上述实施例所述的关联分析设备中包括的单元所需执行的功能,或者执行本申请方法实施例二的关联分析方法。
通信接口1004使用例如但不限于收发器一类的收发装置,来实现关联分析设备1000与其他设备或通信网络之间的通信。例如,可以通过通信接口1004获取网络安全事件信息和安全关联信息数据。
总线1002可包括在关联分析设备1000各个部件(例如,存储器1005、处理器1001、用户接口1003、通信接口1004)之间传送信息的通路。
应注意,尽管图10所示的关联分析设备1000仅仅示出了存储器、处理器、用户接口、通信接口,但是在具体实现过程中,本领域的技术人员应当理解,关联分析设备1000还包括实现正常运行所必须的其他器件。同时,根据具体需要,本领域的技术人员应当理解,关联分析设备1000还可包括实现其他附加功能的硬件器件。此外,本领域的技术人员应当理解,关联分析设备1000也可仅仅包括实现本申请实施例所必须的器件,而不必包括图10中所示的全部器件。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以计算机程序产品的形式体现出来,该计算机程序产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种芯片,所述芯片包括处理器与数据接口,所述处理器通过所述数据接口读取存储器上存储的指令,执行实施例二所述的关联分析方法。
可选地,作为一种实现方式,所述芯片还可以包括存储器,所述存储器中存储有指令,所述处理器用于执行所述存储器上存储的指令,当所述指令被执行时,所述处理器用于执行实施例二所述的关联分析方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种关联分析方法,其特征在于,所述方法包括以下步骤:
获取被监控网络设备的网络安全事件信息和安全关联信息,所述安全关联信息为与所述被监控网络的网络安全相关联的信息;
根据所述网络安全事件信息和所述安全关联信息建立安全知识图谱;
基于所述安全知识图谱对所述网络安全事件信息进行关联分析,输出关联分析结果信息,所述关联分析结果信息包括网络安全事件的类型信息,所述类型包括威胁事件或业务场景事件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括以下步骤:
确定所述网络安全事件的类型为威胁事件时,基于所述安全知识图谱、安全知识库对所述威胁事件进行知识推理,得到所述威胁事件的推理结果,所述推理结果包括攻击源、攻击链路、攻击者画像中的一项或多项。
3.根据权利要求1或2所述的方法,其特征在于,所述根据所述网络安全事件和所述安全关联信息建立安全知识图谱,具体包括以下步骤:
对所述网络安全事件和所述安全关联信息进行知识抽取,确定抽取信息,所述抽取信息包括实体、所述实体之间的关系、所述实体的属性、以及所述属性对应的属性值;
根据所述抽取信息、安全知识库建立所述安全知识图谱,所述安全知识图谱包括多个节点和所述节点之间的连边,所述节点用于表征所述实体和/或所述属性值,所述节点之间的连边用于表征所述实体之间的关系和/或所述实体的属性。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括以下步骤:
获取初始查询语句;
根据预设处理规则处理所述初始查询语句生成图查询请求,所述图查询请求包括链路识别请求、攻击者画像查询请求、攻击溯源请求中的一种或多种;
响应所述图查询请求,根据所述安全知识图谱、安全知识库输出所述图查询请求的可视化查询结果。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述基于所述安全知识图谱对所述网络安全事件信息进行关联分析,输出关联分析结果信息,具体包括以下步骤:
对所述网络安全事件信息进行语义分析处理,以确定所述网络安全事件的所述类型信息;
若对所述网络安全事件信息进行语义分析处理确定所述网络安全事件为待定事件时,基于所述安全知识图谱对所述待定事件进行关联分析,以确定所述待定事件的所述类型信息。
6.根据权利要求5所述的方法,其特征在于,所述对所述网络安全事件信息进行语义分析处理,以确定所述网络安全事件的所述类型信息,具体包括以下步骤:
根据威胁场景对应的关键字匹配条件对所述网络安全事件信息进行匹配处理,确定满足所述关键字匹配条件的网络安全事件的类型为威胁事件;
根据业务场景的访问特点对不满足所述关键字匹配条件的网络安全事件进行识别处理,确定满足所述访问特点的网络安全事件的类型为业务场景事件,并确定不满足所述访问特点的网络安全事件为待定事件。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述安全关联信息包括以下一项或多项所述被监控网络设备的信息:网络拓扑结构、资产、漏洞扫描数据、威胁信息、应用服务类型、操作***、网络流量或日志。
8.一种关联分析设备,其特征在于,所述设备包括:
获取模块,用于获取被监控网络设备的网络安全事件信息和安全关联信息,所述安全关联信息为与所述被监控网络的网络安全相关联的信息;
建立模块,用于根据所述网络安全事件信息和所述安全关联信息建立安全知识图谱;
分析模块,用于基于所述安全知识图谱对所述网络安全事件信息进行关联分析,输出关联分析结果信息,所述关联分析结果信息包括网络安全事件的类型信息,所述类型包括威胁事件或业务场景事件。
9.一种关联分析设备,其特征在于,包括处理器和存储器,其中,处理器和存储器相连,其中,存储器用于存储程序代码,处理器用于调用程序代码,以执行如权利要求1至7任一项所述的关联分析方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行以实现如权利要求1至7任一项所述的关联分析方法。
11.一种包含指令的计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,使得计算机执行如权利要求1至7任一项所述的关联分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210013359.7A CN116451215A (zh) | 2022-01-06 | 2022-01-06 | 关联分析方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210013359.7A CN116451215A (zh) | 2022-01-06 | 2022-01-06 | 关联分析方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116451215A true CN116451215A (zh) | 2023-07-18 |
Family
ID=87134252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210013359.7A Pending CN116451215A (zh) | 2022-01-06 | 2022-01-06 | 关联分析方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116451215A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117560223A (zh) * | 2024-01-08 | 2024-02-13 | 广州大学 | 一种威胁的归因预测方法、装置、介质及电子设备 |
| CN117574363A (zh) * | 2024-01-15 | 2024-02-20 | 杭州美创科技股份有限公司 | 数据安全事件检测方法、装置、计算机设备及存储介质 |
| CN117610105A (zh) * | 2023-12-07 | 2024-02-27 | 上海烜翊科技有限公司 | 一种面向***设计结果自动生成的模型视图结构设计方法 |
-
2022
- 2022-01-06 CN CN202210013359.7A patent/CN116451215A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117610105A (zh) * | 2023-12-07 | 2024-02-27 | 上海烜翊科技有限公司 | 一种面向***设计结果自动生成的模型视图结构设计方法 |
| CN117610105B (zh) * | 2023-12-07 | 2024-06-07 | 上海烜翊科技有限公司 | 一种面向***设计结果自动生成的模型视图结构设计方法 |
| CN117560223A (zh) * | 2024-01-08 | 2024-02-13 | 广州大学 | 一种威胁的归因预测方法、装置、介质及电子设备 |
| CN117560223B (zh) * | 2024-01-08 | 2024-04-16 | 广州大学 | 一种威胁的归因预测方法、装置、介质及电子设备 |
| CN117574363A (zh) * | 2024-01-15 | 2024-02-20 | 杭州美创科技股份有限公司 | 数据安全事件检测方法、装置、计算机设备及存储介质 |
| CN117574363B (zh) * | 2024-01-15 | 2024-04-16 | 杭州美创科技股份有限公司 | 数据安全事件检测方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11463457B2 (en) | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance | |
| US11818146B2 (en) | Framework for investigating events | |
| US9413777B2 (en) | Detection of network security breaches based on analysis of network record logs | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| US11647037B2 (en) | Penetration tests of systems under test | |
| US11269995B2 (en) | Chain of events representing an issue based on an enriched representation | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| Lu et al. | A temporal correlation and traffic analysis approach for APT attacks detection | |
| Bhardwaj et al. | A framework for effective threat hunting | |
| CN107733699B (zh) | 互联网资产安全管理方法、***、设备及可读存储介质 | |
| Jiang et al. | Novel intrusion prediction mechanism based on honeypot log similarity | |
| KR20210109292A (ko) | 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템 | |
| Hong et al. | Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data | |
| Bortolameotti et al. | Headprint: detecting anomalous communications through header-based application fingerprinting | |
| Tiwari et al. | Refinements in Zeek intrusion detection system | |
| Mathew et al. | Understanding multistage attacks by attack-track based visualization of heterogeneous event streams | |
| Park et al. | Prevention of malware propagation in AMI | |
| Rastogi et al. | Network anomalies detection using statistical technique: a chi-square approach | |
| Garcia et al. | Towards a better labeling process for network security datasets | |
| Sourour et al. | Environmental awareness intrusion detection and prevention system toward reducing false positives and false negatives | |
| Surendhar et al. | Detection of payload injection in Firewall Using Machine Learning | |
| Cui et al. | Research of Snort rule extension and APT detection based on APT network behavior analysis | |
| Anashkin et al. | Implementation of Behavioral Indicators in Threat Detection and User Behavior Analysis | |
| Hsiao et al. | Detecting stepping‐stone intrusion using association rule mining | |
| Ying et al. | Anteater: Malware Injection Detection with Program Network Traffic Behavior |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |