CN116668054A - 一种安全事件协同监测预警方法、***、设备及介质 - Google Patents
一种安全事件协同监测预警方法、***、设备及介质 Download PDFInfo
- Publication number
- CN116668054A CN116668054A CN202310106409.0A CN202310106409A CN116668054A CN 116668054 A CN116668054 A CN 116668054A CN 202310106409 A CN202310106409 A CN 202310106409A CN 116668054 A CN116668054 A CN 116668054A
- Authority
- CN
- China
- Prior art keywords
- attack
- event
- sequence
- alarm
- attack chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012544 monitoring process Methods 0.000 title claims abstract description 22
- 238000012545 processing Methods 0.000 claims description 24
- 241001377938 Yara Species 0.000 claims description 13
- 238000003860 storage Methods 0.000 claims description 10
- 230000004931 aggregating effect Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 230000002776 aggregation Effects 0.000 claims description 7
- 238000004220 aggregation Methods 0.000 claims description 7
- 230000008520 organization Effects 0.000 claims description 6
- 230000001960 triggered effect Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 2
- 238000009434 installation Methods 0.000 claims description 2
- 238000004519 manufacturing process Methods 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000015572 biosynthetic process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000003245 coal Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/064—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种安全事件协同监测预警方法、***、设备及介质,包括获取新增的安全事件特征并存储至安全事件特征知识库;基于新增的所述安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果;基于所述匹配结果在态势感知平台中形成告警事件;若发现在预设时间范围内存在相匹配的所述告警事件时,则将相匹配的所述告警事件聚合形成攻击链;根据所述攻击链中聚合的所述告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库;对所述攻击画像库中所述序列攻击链进行分析,获取所述序列攻击链信息,生成高危事件通知至所述攻击链中涉及的对应企业,最终实现及时、准确地识别整个攻击画像并进行全网预警。
Description
技术领域
本申请涉及网络信息安全技术领域,特别是涉及一种安全事件协同监测预警方法、***、设备及介质。
背景技术
目前网络安全逐渐成为全球性问题,网络空间不确定性因素增多,针对国家关键信息基础设施的网络攻击日渐增多,依靠安全运营中心(Security Operation Center)形成自身的安全防护体系成为越来越多企业的选择,但网络攻击来源的广泛性和攻击工具的自动化导致态势感知平台中出现了非常多的攻击告警,即使态势感知平台拥有对告警日志的聚合、过滤、分析等功能,但在面对黑客组织针对特定行业、漏洞、企业的网络攻击时,依然无法做到及时、准确地识别整个攻击画像。
目前安全运营中心主要依靠人工根据安全事件特征在多个监测点进行联动分析,但这种方式无法应对有针对性、持续时间长、攻击范围广的网络攻击,多家企业受到同一组织、同一手法的攻击时,如果负责安全监测的分析人员不同,可能只有部分分析人员能够发现攻击行为并做出预警。
因此,如何依靠态势感知平台实现对单点发现的安全事件特征进行多点匹配,从而及时、准确地识别整个攻击画像并进行全网预警是一个急需解决的问题。
发明内容
本申请提供了一种安全事件协同监测预警方法、***、设备及介质,针对目前工控安全能源场站安全事件预测预警过程中还经常出现预警不及时,不准确的问题,基于大数据和机器学习算法提出了一种安全事件协同监测预警方法,尽可能提高预警的准确性和实效性。
第一方面,本申请提供了一种安全事件协同监测预警方法,该方法包括:获取新增的安全事件特征并存储至安全事件特征知识库;基于新增的所述安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果;基于所述匹配结果在态势感知平台中形成告警事件;若发现在预设时间范围内存在相匹配的所述告警事件时,则将相匹配的所述告警事件聚合形成攻击链;根据所述攻击链中聚合的所述告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库;对所述攻击画像库中的所述序列攻击链进行分析,获取所述序列攻击链信息,并生成高危事件通知至所述序列攻击链中涉及的对应企业;其中,所述安全事件特征包括但不限于:源IP地址、源端口、目的IP地址、目的端口、传输层协议、网络流量过滤条件以及攻击阶段标签;所述告警事件包括但不限于告警触发时间、告警名称、目标资产、源IP地址、源端口、目的IP地址、目的端口、网络协议、威胁等级、流量匹配规则id、攻击阶段标签。
可选的是,所述获取新增的安全事件特征并存储至安全事件特征知识库,包括:获取安全事件特征,并将获取的所述安全事件特征与安全事件特征知识库的历史信息进行比对,去重聚合后获得新增的所述安全事件特征;将匹配得出的新增所述安全事件特征存储至所述安全事件特征知识库。
可选的是,所述基于新增的所述安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果包括:基于新增的所述安全事件特征根据流量匹配规则匹配得到具有威胁的网络流量,并排除命中所述流量匹配规则但不具有威胁的正常业务流量;其中,所述流量匹配规则包括利用Yara技术将获取的所述安全事件特征形成的Yara规则。
可选的是,所述若发现在预设时间范围内存在相匹配的所述告警事件时,则将相匹配的所述告警事件聚合形成攻击链包括:将触发在预设时间范围内攻击阶段相同的所述告警事件组合存储;获取所述告警事件中的攻击阶段标签;基于攻击链模型,根据所述攻击阶段标签将对应的组合存储的所述告警事件聚合形成攻击链;其中,所述攻击链模型包括侦察目标、制作工具、传送工具、触发工具、安装木马、建立连接和执行攻击七个阶段,所述攻击阶段标签用于标记所述攻击链模型的各个阶段。
可选的是,所述将触发在预设时间范围内攻击阶段相同的所述告警事件组合存储,包括:在所述预设时间内获取具有相同所述目标资产且触发告警规则、所述源IP地址以及所述目的IP地址相同的所述告警事件;将获取的所述告警事件组合并存储。
可选的是,所述根据所述攻击链中聚合的所述告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库,包括:获取所述攻击链中聚合的所述告警事件的告警触发时间;将所述攻击链根据获取的所述告警触发时间顺序形成序列攻击链;将所述序列攻击链存储至所述攻击画像库;其中,所述攻击画像库用于存储形成的不同时间顺序的序列攻击链。
可选的是,所述对攻击画像库中所述序列攻击链进行分析,提取所述序列攻击链信息,生成高危事件通知至所述攻击链中涉及的对应企业,包括:获取预设时间内的所述序列攻击链中多个所述告警事件中的多个所述源IP地址以及所述流量匹配规则id;根据多个所述源IP地址分析其归属地所属国家,将得到的具体相同所述归属地所属国家以及相同所述流量匹配规则id的所述序列攻击链聚合,形成高危事件;将形成的所述高危事件通过态势感知平台通知对应企业;其中,高危事件包括事件发生日期、攻击来源国家、攻击组织、目标行业、使用漏洞名称。
第二方面,本申请提供了一种安全事件协同监测预警方法***,该***包括:获取模块,用于获取新增的安全事件特征并存储至安全事件特征知识库;匹配模块,用于基于新增的所述安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果;第一处理模块,用于基于所述匹配结果在态势感知平台中形成告警事件;第二处理模块,用于判断若发现在预设时间范围内存在相匹配的所述告警事件时,则将相匹配的所述告警事件聚合形成攻击链;第三处理模块,用于根据所述攻击链中聚合的所述告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库;结果模块,用于对所述攻击画像库中的所述序列攻击链进行分析,获取所述序列攻击链信息,并生成高危事件通知至所述序列攻击链中涉及的对应企业。
第三方面,本申请还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述所述方法的步骤。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述所述方法的步骤。
本申请至少具有以下优点:
根据本申请实施例所提供的技术内容,通过获取匹配新增的安全事件特征,在态势感知平台生成告警事件进而通过流式处理引擎对生成的海量的告警事件进行解析、匹配,将告警事件聚合临时存储为攻击链,并根据攻击链模型以及告警事件触发事件将攻击链聚合形成序列攻击链储存至攻击画像库,最后通过对攻击画像库中全部序列攻击链进行分析,进而提取序列攻击链中的目标行业或企业、利用漏洞、攻击组织等信息,生成高危事件,通知至涉及的企业,从而实现在面对同一组织或同一手法对多家企业有针对性、持续时间长、攻击范围广的网络攻击时,负责多家企业的多个分析人员中只要一人发现攻击行为并提交安全事件,态势感知平台就能自动下发规则,通过大数据分析发现高危事件后通知其他分析人员,从而缩短第一次发生入侵到平均检测时间之间的时间,即实现依靠态势感知平台实现对单点发现的安全事件特征进行多点匹配,进而及时、准确地识别整个攻击画像并进行全网预警。
附图说明
图1为一个实施例中显示安全事件协同监测预警方法的应用环境图;
图2为一个实施例中显示安全事件协同监测预警方法的流程示意图;
图3为一个实施例中显示新增安全事件特征流程示意图;
图4为一个实施例中显示形成攻击链的流程示意图;
图5为一个实施例中显示形成序列攻击链的流程示意图;
图6为一个实施例中显示形成高危事件的流程示意图;
图7为一个实施例中显示安全事件协同监测预警***结构框图;
图8为一个实施例中计算机设备的示意性结构图。
具体实施方式
以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用属于“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的各实施例进行详细的阐述。然而,本领域的普通技术人员可以理解,在本申请各实施例中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施例的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本申请的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合,相互引用。
为了方便理解,首先对本申请所适用的***进行描述。本申请提供的一种安全事件协同监测预警方法,可以应用于如图1所示的***架构中。该***包括:用户空间文件服务器103和终端设备101,终端设备101通过网络与用户空间文件服务器103通过网络进行通信。其中,用户空间文件服务器103可以是一个基于NFSv3\v4协议的文件服务器,运行在Linux坏境下,而NFS(网络文件***)是文件***之上的一个网络抽象,可允许运行于终端设备101的远程客户端以与本地文件***相类似的方式,通过网络进行访问。终端设备101可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑等,用户空间文件服务器103可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
图2为本申请实施例提供的一种安全事件协同监测预警方法的流程示意图,该方法可以由如图1所示***中的用户空间文件服务器执行。如图2所示,该方法可以包括以下步骤:
S201、获取新增的安全事件特征并存储至安全事件特征知识库;
S202、基于新增的安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果;
S203、基于匹配结果在态势感知平台中形成告警事件;
S204、若发现在预设时间范围内存在相匹配的告警事件时,则将相匹配的告警事件聚合形成攻击链;
S205、根据攻击链中聚合的告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库;
S206、对攻击画像库中的序列攻击链进行分析,获取序列攻击链信息,并生成高危事件通知至序列攻击链中涉及的对应企业;
其中,安全事件特征包括但不限于:源IP地址、源端口、目的IP地址、目的端口、传输层协议、网络流量过滤条件以及攻击阶段标签;告警事件包括但不限于告警触发时间、告警名称、目标资产、源IP地址、源端口、目的IP地址、目的端口、网络协议、威胁等级、流量匹配规则id、攻击阶段标签。
下面对每个步骤具体展开详细说明:
S201、获取新增的安全事件特征并存储至安全事件特征知识库;
如图2所示,在本实施例中,需要说明的是,安全事件特征包括但不限于源IP地址、源端口、目的IP地址、目的端口、传输层协议、网络流量过滤条件以及攻击阶段标签。通过专家分析网络流量后,提取出安全事件特征,进而为产出告警事件提供依据,得出告警事件以用于后续分析处理,进行精准预测潜在安全事件。
S202、基于新增的安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果;
在本实施例中,需要说明的是,通过获取的新增的安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配。流量匹配规则为根据历史流量数据出现的异常数据总结分析得到的预设的流量匹配规则,通过将获取的新增的安全事件特征与流量匹配规则匹配分析,得出匹配结果。以用于后续分析预警。
S203、基于匹配结果在态势感知平台中形成告警事件;
在本实施例中,需要说明的是,态势感知平台是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,使安全能力落地,汇聚企业上报的流量日志及告警,进行多维度,多模型的安全事件分析及研判。安全事件特征通过流量匹配规则分析得到的匹配结果,通过在态势感知平台经过进一步分析,形成告警事件,告警事件包括但不限于告警触发时间、告警名称、目标资产、源IP地址、源端口、目的IP地址、目的端口、网络协议、威胁等级、流量匹配规则id、攻击阶段标签,通过形成的告警事件,实现对安全事件的分析预警。
举例说明告警事件,例如2023年1月1日13:01美国IP地址66.117.31.255对某煤炭企业192.168.4.3利用ThinkPHP某命令执行漏洞进行了一攻击,则在态势感知平台产生了一条告警事件。
S204、若发现在预设时间范围内存在相匹配的告警事件时,则将相匹配的告警事件聚合形成攻击链;
如图2、图4所示,在本实施例中,需要说明的是,调用大数据流式计算框架下的流式处理引擎将海量告警事件进行解析,通过解析得到的告警事件进行匹配,并将多个相匹配的告警事件进行关联,生成包含多个告警事件的攻击链。流式处理引擎是指大数据实时智能处理核心技术平台,可快速处理大量告警事件。
流式处理引擎解析告警事件,将所属企业、源IP地址、目的IP地址、攻击阶段相同,且告警触发时间在指定时间范围内的告警事件聚合,临时存储为一个列表,例如在00:00:00至23:59:59时间段内,则将解析的相同的告警事件聚合。当超过指定时间范围,如23:59:59之后或超过指定时长如1小时后没有符合条件的新告警事件产生,就将列表中的告警事件形成攻击链。这个过程是实时的,只要有新告警事件产生就在进行的。
S205、根据攻击链中聚合的告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库;
如图2、图5所示,在本实施例中,需要说明的是,按照告警事件的告警触发时间顺序将预设时间段内所有针对同一资产的攻击链整合生成序列攻击链储存至攻击画像库。根据告警触发时间形成时间序列,将筛选匹配出来的多个有相同目标资产的攻击链聚合形成序列攻击链,实现将单点发现的安全事件特征进行多点匹配,以便于后续及时、准确地识别整个攻击画像,实现精准监测预警。
S206、对攻击画像库中的序列攻击链进行分析,获取序列攻击链信息,并生成高危事件通知至序列攻击链中涉及的对应企业。
如图2、图6所示,在本实施例中,需要说明的是,高危事件包括事件发生日期、攻击来源国家、攻击组织、目标行业、使用漏洞名称即对应所有序列攻击链中出现次数最多的流量匹配规则名称。提取生成的序列攻击链中的目标行业或企业、利用漏洞、攻击组织等信息,生成高危事件,并将高危事件通知涉及企业的分析人员。
参照图2、图3所示,在一些实施例中,在S201中,获取新增的安全事件特征并存储至安全事件特征知识库,包括:
S2011,获取安全事件特征,并将获取的安全事件特征与安全事件特征知识库的历史信息进行比对,去重聚合后获得新增的安全事件特征;
S2012,将匹配得出的新增的安全事件特征存储至安全事件特征知识库。
在本实施例中,需要说明的是,对专家研判分析产出的安全事件特征进行提取,提取后与安全事件特征知识库历史信息比对,去重聚合后储存至安全事件特征知识库。
在一些实施例中,S202中,基于新增的安全事件特征与全网历史数据和实时数据进行匹配,获得匹配结果,包括:基于新增的安全事件特征根据流量匹配规则匹配得到具有威胁的网络流量,并排除命中流量匹配规则但不具有威胁的正常业务流量,其中,流量匹配规则包括利用Yara技术将获取的安全事件特征形成的Yara规则。
在本实施例中,需要说明的是,YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。这里流量匹配规则为利用Yara技术将专家提交的安全事件特征形成的Yara规则,以此来匹配具有威胁的网络流量,并排除命中规则但不具有威胁的正常业务流量。
参照图2、图4所示,在一些实施例中,S204中,若发现在预设时间范围内存在相匹配的告警事件时,则将相匹配的告警事件聚合形成攻击链,具体包括:
S2041,将触发在预设时间范围内攻击阶段相同的告警事件组合存储;
S2042,获取告警事件中的攻击阶段标签;
S2043,基于攻击链模型,根据攻击阶段标签将对应的组合存储的告警事件聚合形成攻击链。
在本实施例中,需要说明的是,攻击链模型包括侦察目标、制作工具、传送工具、触发工具、安装木马、建立连接和执行攻击七个阶段,攻击阶段标签用于标记攻击链模型的各个阶段。通过将在预设时间内相匹配的告警事件组合,并根据告警事件中攻击阶段标签将多个告警事件按照攻击链模型为依据,对应攻击链模型中的阶段进而聚合形成攻击链,以用于后续准确分析预警。
举例说明,在态势感知平台中新形成了6条告警事件,此6条告警事件均发生在预设时间范围内,例如都是在22/12/31的00:00:00至23:59:59时间段内,且相互匹配,流式处理引擎将它们解析,并根据攻击阶段标签关联为3条攻击链,攻击链1包括告警事件1、告警事件2;攻击链2包括告警事件3、告警事件4;攻击链3包括告警事件5、告警事件6;对应的攻击链分别为:攻击链1-侦察目标、攻击链2-传送工具、攻击链3-触发工具。
在一些实施例中,S2041中,将触发在预设时间范围内攻击阶段相同的告警事件组合存储,包括:在预设时间内获取具有相同目标资产且触发告警规则、源IP地址以及目的IP地址相同的告警事件;将获取的告警事件组合并存储。
在本实施例中,需要说明的是,例如态势感知平台中新形成了6条告警事件,分别是告警事件1:告警触发时间为22/12/31 07:45、告警名称为目录遍历、所属企业为A、源IP地址为1.1.1.1、目的IP地址为192.168.100.101、流量匹配规则id为10001;告警事件2:告警触发时间为22/12/31 08:25、告警名称为端口扫描、所属企业为A、源IP地址为1.1.1.1、目的IP地址为192.168.100.101、流量匹配规则id为10002;告警事件3:告警触发时间为22/12/31 09:22、告警名称为某文件上传漏洞攻击、所属企业为A、源IP地址为1.1.1.1、目的IP地址为192.168.100.101、流量匹配规则id为10003;告警事件4:告警触发时间为22/12/3110:32、告警名称为某文件上传漏洞攻击、所属企业为A、源IP地址为1.1.1.1、目的IP地址为192.168.100.101、流量匹配规则id为10004;告警事件5:告警触发时间为22/12/31 10:35、告警名称为WebShell文件访问尝试、所属企业为A、源IP地址为1.1.1.1、目的IP地址为192.168.100.101、流量匹配规则id为10005;告警事件6:告警触发时间为22/12/31 10:50、告警名称为后门文件扫描、所属企业为A、源IP地址为1.1.1.1、目的IP地址为192.168.100.101、流量匹配规则id为10006。
由上述6个告警事件具体内容可知,此6个告警事件的具有相同目标资产即企业A,且触发告警规则即流量匹配规则id、源IP地址以及目的IP地址均相同,则可将其进行匹配组合,并根据攻击阶段标签关联为3条攻击链,攻击链1包括告警事件1、告警事件2;攻击链2包括告警事件3、告警事件4;攻击链3包括告警事件5、告警事件6;根据攻击链模型将形成的攻击链对应攻击链模型各个阶段分别为:攻击链1-侦察目标、攻击链2-传送工具、攻击链3-触发工具。
参照图2、图5所示,在一些实施例中,S205中,根据攻击链中聚合的告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库,包括:
S2051,获取攻击链中聚合的告警事件的告警触发时间;
S2052,将攻击链根据获取的告警触发时间顺序形成序列攻击链;
S2053,将序列攻击链存储至攻击画像库。
在本实施例中,需要说明的是,攻击画像库用于存储形成的不同时间顺序的序列攻击链。举例说明,获取上述形成的6个告警事件,攻击链1包括告警事件1、告警事件2;攻击链2包括告警事件3、告警事件4;攻击链3包括告警事件5、告警事件6;按照告警事件触发时间前后以及根据攻击链模型将形成的攻击链对应攻击链模型各个阶段分别为:攻击链1-侦察目标、攻击链2-传送工具、攻击链3-触发工具。根据上述告警事件的告警触发时间顺序,以及对应的攻击链模型中的阶段,可以将多条攻击链形成序列攻击链,即攻击链1-攻击链2-攻击链3,并将形成的序列攻击链保存至攻击画像库,以用于后续精准分析预警。
参照图2、图6所示,在一些实施例中,S206中,对攻击画像库中序列攻击链进行分析,提取序列攻击链信息,生成高危事件通知至攻击链中涉及的对应企业,包括:
S2061,获取预设时间内的序列攻击链中多个告警事件中的多个源IP地址以及流量匹配规则id;
S2062,根据多个源IP地址分析其归属地所属国家,将得到的具体相同归属地所属国家以及相同流量匹配规则id的序列攻击链聚合,形成高危事件;
S2063,将形成的高危事件通过态势感知平台通知对应企业。
在本实施例中,需要说明的是,高危事件包括事件发生日期、攻击来源国家、攻击组织、目标行业、使用漏洞名称,其中使用漏洞名称对应所有序列攻击链中出现次数最多的流量匹配规则名称,即是在态势感知平台关联多个告警事件后产生的。这里,通过上述分析序列攻击链的生成,通过大数据流式计算框架继续对攻击画像库中全部序列攻击链进行分析,根据序列攻击链中多个源IP地址分析其归属地所属国家,将得到的具体相同归属地所属国家以及相同流量匹配规则id的序列攻击链聚合,进而提取序列攻击链中的目标行业或企业、利用漏洞、攻击组织等信息,生成高危事件。最后通过态势感知平台通知生成的高危事件涉及的企业。
以上各个步骤流程主要是获取专家研判产生的安全事件特征,并与安全事件特征库比对,获取新增的安全事件特征,并利用YARA技术将新增的安全事件特征生成流量匹配规则并与全网历史流量以及实时流量进行匹配,在态势感知平台生成告警事件。通过流式处理引擎对生成的海量的告警事件进行解析,匹配,进而将IP地址相同的攻击者对某企业的同一目标资产攻击时,且在预设时间范围内攻击阶段相同的告警事件聚合临时存储为攻击链,并根据攻击链模型以及告警事件触发事件将攻击链聚合形成序列攻击链储存至攻击画像库。通过大数据流式计算框架继续对攻击画像库中全部序列攻击链进行分析,进而提取序列攻击链中的目标行业或企业、利用漏洞、攻击组织等信息,生成高危事件。最后通过态势感知平台通知生成的高危事件涉及的企业,从而实现依靠态势感知平台实现对单点发现的安全事件特征进行多点匹配,进而及时、准确地识别整个攻击画像并进行全网预警。
参照图7所示,本申请实施了还提供了一种安全事件协同监测预警方法***,该***可以包括:获取模块、匹配模块、第一处理模块、第二处理模块、第三处理模块、结果模块。其中各组成模块的主要功能如下:
获取模块301,用于获取新增的安全事件特征并存储至安全事件特征知识库;
匹配模块302,用于基于新增的安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果;
第一处理模块303,用于基于匹配结果在态势感知平台中形成告警事件;
第二处理模块304,用于判断若发现在预设时间范围内存在相匹配的告警事件时,则将相匹配的告警事件聚合形成攻击链;
第三处理模块305,用于根据攻击链中聚合的告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库。
结果模块306,用于对攻击画像库中的序列攻击链进行分析,获取序列攻击链信息,并生成高危事件通知至序列攻击链中涉及的对应企业。
根据本申请的实施例,本申请还提供了一种计算机设备、一种计算机可读存储介质。
如图8所示,是根据本申请实施例的计算机设备的框图。计算机设备旨在表示各种形式的数字计算机或移动装置。其中数字计算机可以包括台式计算机、便携式计算机、工作台、个人数字助理、服务器、大型计算机和其它适合的计算机。移动装置可以包括平板电脑、智能电话、可穿戴式设备等。
如图8所示,设备600包括计算单元601、ROM 602、RAM 603、总线604以及输入/输出(I/O)接口605,计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
计算单元601可以根据存储在只读存储器(ROM)602中的计算机指令或者从存储单元608加载到随机访问存储器(RAM)603中的计算机指令,来执行本申请方法实施例中的各种处理。计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601可以包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。在一些实施例中,本申请实施例提供的方法可被实现为计算机软件程序,其被有形地包含于计算机可读存储介质,例如存储单元608。
RAM 603还可存储设备600操作所需的各种程序和数据。计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到设备600上。
设备600中的输入单元606、输出单元607、存储单元608和通信单元609可以连接至I/O接口605。其中,输入单元606可以是诸如键盘、鼠标、触摸屏、麦克风等;输出单元607可以是诸如显示器、扬声器、指示灯等。设备600能够通过通信单元609与其他设备进行信息、数据等的交换。
需要说明的是,该设备还可以包括实现正常运行所必需的其他组件。也可以仅包含实现本申请方案所必需的组件,而不必包含图中所示的全部组件。
此处描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件和/或它们的组合中实现。
用于实施本申请的方法的计算机指令可以采用一个或多个编程语言的任何组合来编写。这些计算机指令可以提供给计算单元601,使得计算机指令当由诸如处理器等计算单元601执行时使执行本申请方法实施例中涉及的各步骤。
本申请提供的计算机可读存储介质可以是有形的介质,其可以包含或存储计算机指令,用以执行本申请方法实施例中涉及的各步骤。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的等形式的存储介质。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (10)
1.一种安全事件协同监测预警方法,其特征在于,包括以下步骤:
获取新增的安全事件特征并存储至安全事件特征知识库;
基于新增的所述安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果;
基于所述匹配结果在态势感知平台中形成告警事件;
若发现在预设时间范围内存在相匹配的所述告警事件时,则将相匹配的所述告警事件聚合形成攻击链;
根据所述攻击链中聚合的所述告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库;
对所述攻击画像库中的所述序列攻击链进行分析,获取所述序列攻击链信息,并生成高危事件通知至所述序列攻击链中涉及的对应企业;
其中,所述安全事件特征包括但不限于:源IP地址、源端口、目的IP地址、目的端口、传输层协议、网络流量过滤条件以及攻击阶段标签;所述告警事件包括但不限于告警触发时间、告警名称、目标资产、源IP地址、源端口、目的IP地址、目的端口、网络协议、威胁等级、流量匹配规则id、攻击阶段标签。
2.根据权利要求1所述的安全事件协同监测预警方法,其特征在于,所述获取新增的安全事件特征并存储至安全事件特征知识库,包括:获取安全事件特征,并将获取的所述安全事件特征与安全事件特征知识库的历史信息进行比对,去重聚合后获得新增的所述安全事件特征;将匹配得出的新增所述安全事件特征存储至所述安全事件特征知识库。
3.根据权利要求1所述的安全事件协同监测预警方法,其特征在于,所述基于新增的所述安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果,包括:
基于新增的所述安全事件特征根据流量匹配规则匹配得到具有威胁的网络流量,并排除命中所述流量匹配规则但不具有威胁的正常业务流量;其中,所述流量匹配规则包括利用Yara技术将获取的所述安全事件特征形成的Yara规则。
4.根据权利要求1所述的安全事件协同监测预警方法,其特征在于,所述若发现在预设时间范围内存在相匹配的所述告警事件时,则将相匹配的所述告警事件聚合形成攻击链,包括:
将触发在预设时间范围内攻击阶段相同的所述告警事件组合存储;
获取所述告警事件中的攻击阶段标签;
基于攻击链模型,根据所述攻击阶段标签将对应的组合存储的所述告警事件聚合形成攻击链;
其中,所述攻击链模型包括侦察目标、制作工具、传送工具、触发工具、安装木马、建立连接和执行攻击七个阶段,所述攻击阶段标签用于标记所述攻击链模型的各个阶段。
5.根据权利要求4所述的安全事件协同监测预警方法,其特征在于,所述将触发在预设时间内攻击阶段相同的所述告警事件组合存储,包括:在所述预设时间内获取具有相同所述目标资产且触发告警规则、所述源IP地址以及所述目的IP地址相同的所述告警事件;
将获取的所述告警事件组合并存储。
6.根据权利要求5所述的安全事件协同监测预警方法,其特征在于,所述根据所述攻击链中聚合的所述告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库,包括:
获取所述攻击链中聚合的所述告警事件的告警触发时间;
将所述攻击链根据获取的所述告警触发时间顺序形成序列攻击链;
将所述序列攻击链存储至所述攻击画像库;
其中,所述攻击画像库用于存储形成的不同时间顺序的序列攻击链。
7.根据权利要求5所述的安全事件协同监测预警方法,其特征在于,所述对攻击画像库中的所述序列攻击链进行分析,提取所述序列攻击链信息,并生成高危事件通知至所述序列攻击链中涉及的对应企业,包括:获取预设时间内所述序列攻击链中多个所述告警事件的所述源IP地址以及所述流量匹配规则id;
根据多个所述源IP地址分析其归属地所属国家,将得到的具体相同所述归属地所属国家以及相同所述流量匹配规则id的所述序列攻击链聚合,形成高危事件;
将形成的所述高危事件通过态势感知平台通知对应企业;
其中,高危事件包括事件发生日期、攻击来源国家、攻击组织、目标行业、使用漏洞名称。
8.一种安全事件协同监测预警***,其特征在于,所述***包括:
获取模块,用于获取新增的安全事件特征并存储至安全事件特征知识库;匹配模块,用于基于新增的所述安全事件特征与全网历史数据和实时数据根据流量匹配规则进行匹配,获得匹配结果;
第一处理模块,用于基于所述匹配结果在态势感知平台中形成告警事件;
第二处理模块,用于判断若发现在预设时间范围内存在相匹配的所述告警事件时,则将相匹配的所述告警事件聚合形成攻击链;
第三处理模块,用于根据所述攻击链中聚合的所述告警事件被触发的时间顺序形成序列攻击链并储存至攻击画像库;
结果模块,用于对所述攻击画像库中的所述序列攻击链进行分析,获取所述序列攻击链信息,并生成高危事件通知至所述攻击链中涉及的对应企业。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310106409.0A CN116668054A (zh) | 2023-02-13 | 2023-02-13 | 一种安全事件协同监测预警方法、***、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310106409.0A CN116668054A (zh) | 2023-02-13 | 2023-02-13 | 一种安全事件协同监测预警方法、***、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116668054A true CN116668054A (zh) | 2023-08-29 |
Family
ID=87719514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310106409.0A Pending CN116668054A (zh) | 2023-02-13 | 2023-02-13 | 一种安全事件协同监测预警方法、***、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116668054A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117034210A (zh) * | 2023-10-08 | 2023-11-10 | 深圳安天网络安全技术有限公司 | 一种事件画像的生成方法、装置、存储介质及电子设备 |
-
2023
- 2023-02-13 CN CN202310106409.0A patent/CN116668054A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117034210A (zh) * | 2023-10-08 | 2023-11-10 | 深圳安天网络安全技术有限公司 | 一种事件画像的生成方法、装置、存储介质及电子设备 |
| CN117034210B (zh) * | 2023-10-08 | 2024-01-26 | 深圳安天网络安全技术有限公司 | 一种事件画像的生成方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gao et al. | A distributed network intrusion detection system for distributed denial of service attacks in vehicular ad hoc network | |
| CN106790256B (zh) | 用于危险主机监测的主动机器学习*** | |
| US20230007042A1 (en) | A method and system for determining and acting on an email cyber threat campaign | |
| CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及*** | |
| CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、***及存储介质 | |
| KR20130126814A (ko) | 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법 | |
| CN111641634B (zh) | 一种基于蜜网的工业控制网络主动防御***及其方法 | |
| CN115225386A (zh) | 基于事件序列关联融合的业务识别与风险分析方法及*** | |
| CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及*** | |
| Vinayakumar et al. | Improved DGA domain names detection and categorization using deep learning architectures with classical machine learning algorithms | |
| CN113904795A (zh) | 一种基于网络安全探针的流量快速精确检测方法 | |
| CN116668054A (zh) | 一种安全事件协同监测预警方法、***、设备及介质 | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| Liu et al. | Context2Vector: Accelerating security event triage via context representation learning | |
| CN112925805B (zh) | 基于网络安全的大数据智能分析应用方法 | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知*** | |
| CN115589339B (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| Wen et al. | Detecting and predicting APT based on the study of cyber kill chain with hierarchical knowledge reasoning | |
| Kumbhar et al. | Advance model for ransomware attacking data classification and prediction using ai | |
| CN115801366A (zh) | 攻击检测的方法、装置、电子设备及计算机可读存储介质 | |
| CN114398887A (zh) | 一种文本分类方法、装置及电子设备 | |
| Shukla et al. | A detection approach for IoT traffic-based DDoS attacks | |
| Surya et al. | An Effective Machine Learning Approach for loT Intrusion Detection System based on SMOTE | |
| CN112839029A (zh) | 一种僵尸网络活跃度的分析方法与*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |