CN106850293A - 一种企业安全运营中心Bot - Google Patents

Abstract

本发明公开了一种辅助SOC分析师检测、调查和修复企业网络安全中的各种事件的SOC Bot。所述SOC Bot包括数据收集、数据识别、数据处理、数据整合、机器学习、标记报警、命令执行等部分，所述各部分相互配合，共同完成企业安全线索收集、安全事件监测与标记、安全威胁报警和安全防护与修复等功能，为SOC安全分析师提供分析线索，执行安全分析师下达的任务。通过所述Bot可以大幅度减轻分析人员的劳动强度，大幅提升企业安全检测、维护工作的效率和自动化智能化水平。

Description

一种企业安全运营中心Bot

技术领域

本发明属于网络安全技术领域，具体涉及一种企业安全运营中心Bot。

背景技术

随着计算机网络特别是因特网的普及应用，网络已经成为人们生产和生活所依赖的重要基础设施。如此同时，网络安全的重要性也日益凸显，现如今网络安全已经成为决定网络应用范围能否极大拓展和网络应用价值能否极大地发挥的关键。

网络安全事件，特别是数据泄露，将对企业造成重大的财务和声誉影响。2015年，IBM和Ponemon研究所针对62家公司开展了数据泄露给公司造成损失的研究工作，结果显示，数据泄露给62家公司造成的平均损失是650万美元。为了检测恶意行为，企业和/或政府都建立了SIEM(Security Information and Event Management，安全信息和事件管理)系统。SIEM系统对于从端点、防火墙、入侵检测系统、DNS、DHCP、Windows事件日志、VPN日志等途径获取的事件日志信息进行标准化处理和关联分析，安全操作中心(Securityoperation center，SOC)团队根据分析师的经验以一个预先确定的严重性程度来开发安全事件用例。安全事件用例通常是基于规则的，这些规则涉及一到两个指标。这些规则可以是基于网络/主机或基于时间/频率。以下是一些规则示例：

●检测到多个恶意软件感染，并且端点保护软件不能清除这些恶意软件；

●对相同的PCI资产登录尝试失败超过一定数量；

●检测到进出已知恶意软件网站的流量；

●在预先指定的时间窗口内，来自PCI服务器的拒绝防火墙事件达到一定数量。

如果任何事件触发一个或多个安全事件用例，SIEM将及时报警。然后SOC团队的分析师将调查报警信息，以决定报警涉及的主机是危险的(真阳性)或不危险(假阳性)。然而，SIEM通常产生大量的警报，但有很高的假阳性率，即产生很多虚警。每天警报的数量能达到几十万条，远远超过SOC的调查能力，以至于SOC根本无力对这些警报进行全面调查。正因为如此，SOC往往只调查高严重性的警报或抑制相同类型的警报。这样可能会错过一些严重的攻击。因此，需要更加智能化、自动化的系统来识别风险主机。

机器学习模型已应用于异常检测和入侵检测。考虑到企业安全事件监测和处理过程中的大量工作具有重复性和复杂性，需要占用安全分析人员大量的精力和时间，因此，可以利用机器学习技术，构建一种辅助企业安全分析师进行安全检测和防护的安全机器人Bot，以减轻分析人员的工作量，提高企业安全检测、防护、修复的效率和自动化水平。

发明内容

为了减轻分析人员的工作量，提高企业安全检测、防护、修复的效率和自动化水平，本发明提供一种企业安全运营中心Bot。所述Bot能够收集安全事件、处理安全事件、整合企业安全数据、从数据学习模式和规则，与分析师进行交流，接受分析师的见解，执行分析师下达的指令，对受到的安全损失进行修复和维护操作，达到大幅减轻分析师劳动强度的目的。

为实现上述目标，本发明采用以下技术方案：

企业安全运营中心(SOC)Bot，包括数据收集、数据识别、数据处理、数据整合、机器学习、标记报警、命令执行等部分，所述各部分相互配合，共同完成企业安全线索收集、安全事件监测与标记、安全威胁报警和安全防护与修复等功能。为SOC安全分析师提供分析线索，执行安全分析师下达的任务。

所述数据收集部分能够从企业范围内收集各种安全事件数据，这些数据源包括但不限于以下所列：

·预防性安全技术数据，例如AD日志、防火墙、IDS/IPS、DHCP、VPN、Windows事件日志、DLP(数据丢失防护)日志、端点保护日志、文件共享和同步日志，如BOX或Dropbox，http流量日志。

·威胁情报；

·人工报告、电子邮件、语音邮件、文本信息；

·物理安全数据，如公司入口处或关键地方的标记采集数据，例如指纹采集数据、瞳孔采集数据等；

·安全情报；

·社会媒体和暗网；

·监控视频；

·上下文数据，如CMDB(Configuration Management Database，配置管理数据库)，HR(Human Resource，人力资源)，活动目录，标记卡信息；人力资源绩效数据，旅行预订数据；福利登记数据，外部和内部电子邮件。

所述数据识别部分，包括自然语言处理单元、语音处理识别单元和视频处理识别单元，能够对文本信息、音频信息和视频信息进行识别处理，从中发现感兴趣的目标。

所述数据处理部分，负责对各种来源的数据进行清洗、标准化处理和特征提取等操作，从纷杂的数据中提取出能够反映安全事件的特征信息。在本部分，能够执行以下处理功能：

·自动应答电话并记录事件，阅读电子邮件，提取有关报告的内容、时间、人员、位置等的信息。

·处理监控视频，包括识别人员，在数据库中查找以识别是否是雇员；如果不是，则实时告警，不需要执行其他步骤；如果是雇员，则辨识人在哪里，在访问的哪个关键领域。

所述数据整合部分，将采集的各种安全事件数据按照员工/用户进行分类和归总，实现员工/用户层面的数据整合，具体包括：

·一些网络数据是基于IP的，例如防火墙，Http或甚至智能数据(如商业产品Deepsight能给出IP或URL的恶意性)，并且在典型的企业网络中，对于主机的IP分配是动态的，因此需要实现数据到IP的映射。

·Bot自动执行IP到主机和到用户/员工的映射。

·将所有物理和网络的活动实时地在员工级别进行整合。

所述机器学习部分集成从无监督学习、半监督学习到有监督学习的多种机器学习模型，能够从零开始，逐步训练机器学习模型监测识别出企业网络中的安全威胁事件。

根据企业具备的安全设施及人员配备情况，所述机器学习部分包括两种训练类型，分别是：

A、冷启动训练

这是指在企业过去没有任何历史数据和SOC团队的情况下，从零开始进行训练。包括以下步骤：

1)积累一段时间的数据；

2)运行无监督学习模型以检测异常；

3)向SOC分析师提供异常信息，以确定它是否真的是恶意的，以及为什么是恶意的，指标是什么；

4)将分析师调查结果反馈给Bot，以便Bot获得了这个知识；

5)Bot将根据有限数量的标记数据启动半监督学习，同时继续无监督学习，并生成优先级警报供SOC分析师调查；

6)之后，SOC分析师会产生新的思路和更多的标记数据供Bot学习，学习过程得以循环继续；

7)随着越来越多的标签数据由分析师生成，Bot将同时从数据中启动无人监督、半监督和监督学习模型，更准确地识别风险员工及事件。

B、热启动训练

这是指在企业已经具有历史数据或SOC运营经验的情况下，Bot可以开始训练，而不需要等待收集数据。其余步骤与冷启动训练场景相同。

所述标记报警部分根据机器学习单元所给出的学习结果，对各类安全事件进行标记，并根据预先设定的严重性级别，对高度危险的安全事件进行实时报警，以便安全分析师能够及时调查处理。

所述命令执行部分是指Bot能够接受分析师的指令，并完成特定的任务。

Bot经过训练，可以完成下列功能：

·一级功能：Bot将自动执行收集事件，处理、整合事件以及从SOC分析师处获取反馈的功能；Bot将为SOC分析人员提供潜在的高风险人员或事件以供其进行调查。这是SOCBot可以完全独立执行的最少功能。

·二级功能：Bot更复杂，可以与SOC分析师交互工作，以口头或书面形式接受分析师指令并完成任务。例如，分析师可能想要检查在网上新出现的威胁情报信息，这些信息不是在SOC Bot可以访问的数据源列表中，Bot将去登陆网站并收集信息；另一种情况是，SOC分析师注意到零日网络钓鱼活动，于是SOC分析师可以告诉Bot设置规则，使得来自相同发件人姓名、相同主题和/或相同IP地址的任何电子邮件都被阻止。

·三级功能：Bot能够采取修复措施。例如，检测到新的恶意IP地址，则Bot可以将IP添加到防火墙和IDS中；如果检测到恶意文件，则Bot会将该恶意文件的哈希值添加到端点文件中，以便执行基于签名的检测；如果员工的主机受到攻击，则Bot将能够对主机进行重新映像。

所述SOC Bot的部署方式非常灵活，优选的，可以采取以下三种部署方式：

·作为部署在云上的托管解决方案，即以云计算平台为计算和存储依托，部署SOCBot的功能部件。

·作为在企业本地部署的软件，即以软件方式实现SOC Bot的各项功能。

·作为要在企业本地部署的设备，即通过软硬件相结合的集成化设备来实现SOCBot的各项功能。

本发明的优点和有益效果为：与现有的技术相比，本发明将数据收集、识别、处理、融合，机器学习，人机交互等各种自动化、智能化技术结合使用，构建了一种用于企业SOC的Bot，辅助企业安全分析人员完成大量繁杂的数据收集、处理和安全事件监测任务，为安全分析师提供威胁线索，并能够根据分析师的指令执行相关的安全防护和损失修复工作。通过所述Bot可以大幅度减轻分析人员的劳动强度，大幅提升企业安全检测、维护工作的效率和自动化智能化水平。

附图说明

附图1是本发明所述的基于Bot的SOC工作流程图。

图中，1是电子邮件和短信报告的安全事件；2是威胁情报；3是防火墙；4是IDS(Intrusion Detection Systems，入侵检测系统)和IPS(Intrusion Prevention System，入侵防御系统)；5是SEP(Symantec Endpoint Protection，杀毒软件)；6是DLP(Data LossProtection，数据丢失防护)；7是VPN日志；8是代理日志；9是UNIX日志；10是Windows日志；11是漏洞扫描；12是电话、语音邮件安全事件报告；13是视频监控；14是SOC Bot。

具体实施方式

下面结合实施例对本发明作进一步说明。

实施例

一种企业安全运营中心Bot，包括数据收集、数据识别、数据处理、数据整合、机器学习、标记报警、命令执行等部分，所述各部分相互配合，共同完成企业安全线索收集、安全事件监测与标记、安全威胁报警和安全防护与修复等功能。为SOC安全分析师提供分析线索，执行安全分析师下达的任务。

所述数据收集部分能够从企业范围内收集各种安全事件数据，这些数据源包括以下所列：

·预防性安全技术数据，例如AD日志、防火墙、IDS/IPS、DHCP、VPN、Windows事件日志、DLP日志、端点保护日志、文件共享和同步日志，如BOX或Dropbox，http流量日志。

·威胁情报；

·人工报告、电子邮件、语音邮件、文本信息；

·物理安全数据，如公司入口处或关键地方的标记采集数据，例如指纹采集数据、瞳孔采集数据等；

·安全情报；

·社会媒体和暗网；

·监控视频；

·上下文数据，如CMDB，HR，活动目录，标记卡信息；人力资源绩效数据，旅行预订数据；福利登记数据，外部和内部电子邮件。

所述数据识别部分，包括自然语言处理单元、语音处理识别单元和视频处理识别单元，能够对文本信息、音频信息和视频信息进行识别处理，从中发现感兴趣的目标。

所述数据处理部分，负责对各种来源的数据进行清洗、标准化处理和特征提取等操作，从纷杂的数据中提取出能够反映安全事件的特征信息。在本部分，能够执行以下处理功能：

·自动应答电话并记录事件，阅读电子邮件，提取有关报告的内容、时间、人员、位置等信息。

·处理监控视频，包括识别人员，在数据库中查找以识别是否是雇员；如果不是，则实时告警；如果是雇员，则辨识人在哪里，在访问的哪个关键领域。

所述数据整合部分，将采集的各种安全事件数据按照员工/用户进行分类和归总，实现员工/用户层面的数据整合，具体包括：

·实现数据到IP的映射。

·Bot自动执行IP到主机和到用户/员工的映射。

·将所有物理和网络的活动实时地在员工级别进行整合。

所述机器学习部分集成从无监督学习、半监督学习到有监督学习的多种机器学习模型，能够从零开始，逐步训练机器学习模型监测识别出企业网络中的安全威胁事件。

根据企业具备的安全设施及人员配备情况，所述机器学习部分包括两种训练类型，分别是：

A、冷启动训练

这是指在企业过去没有任何历史数据和SOC团队的情况下，从零开始进行训练。包括以下步骤：

1)积累一段时间的数据；

2)运行无监督学习模型以检测异常；

3)向SOC分析师提供异常信息，以确定它是否真的是恶意的，以及为什么是恶意的，指标是什么；

4)将分析师调查结果反馈给Bot，以便Bot获得这个知识；

5)Bot将根据有限数量的标记数据启动半监督学习，同时继续无监督学习，并生成优先级警报供SOC分析师调查；

6)SOC分析师产生新的思路和更多的标记数据供Bot学习，学习过程得以循环继续；

7)随着越来越多的标签数据由分析师生成，Bot将同时从数据中启动无人监督、半监督和监督学习模型，更准确地识别风险员工及事件。

B、热启动训练

这是指在企业已经具有历史数据或SOC运营经验的情况下，Bot可以开始训练，而不需要等待收集数据。其余步骤与冷启动训练场景相同。

所述标记报警部分根据机器学习单元所给出的学习结果，对各类安全事件进行标记，并根据预先设定的严重性级别，对高度危险的安全事件进行实时报警，以便安全分析师能够及时调查处理。

所述命令执行部分是指Bot能够接受分析师的指令，并完成特定的任务。

Bot经过训练，可以完成下列功能：

·一级功能：Bot将自动执行收集事件，处理、整合事件以及从SOC分析师处获取反馈的功能；Bot将为SOC分析人员提供潜在的高风险人员或事件以供其进行调查。这是SOCBot可以完全独立执行的最少功能。

·二级功能：Bot可以与SOC分析师交互工作，以口头或书面形式接受分析师指令并完成任务。

·三级功能：Bot能够采取修复措施。

所述SOC Bot采取本地设备的部署方式。

最后应说明的是：显然，上述实施例仅仅是为清楚地说明本发明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明的保护范围之中。

Claims (10)

1.一种企业安全运营中心Bot，其特征在于：所述安全运营中心Bot包括数据收集、数据识别、数据处理、数据整合、机器学习、标记报警、命令执行部分，所述各部分相互配合，共同完成企业安全线索收集、安全事件监测与标记、安全威胁报警和安全防护与修复等功能，为SOC安全分析师提供分析线索，执行安全分析师下达的任务。

2.根据权利要求1所述的一种企业安全运营中心Bot，其特征在于：所述数据收集部分能够从企业范围内收集各种安全事件数据，这些数据源包括但不限于以下所列：

1)预防性安全技术数据；

2)威胁情报；

3)人工报告、电子邮件、语音邮件、文本信息；

4)物理安全数据；

5)安全情报；

6)社会媒体和暗网；

7)监控视频；

8)上下文数据。

3.根据权利要求1所述的一种企业安全运营中心Bot，其特征在于：所述数据识别部分包括自然语言处理单元、语音处理识别单元和视频处理识别单元，能够对文本信息、音频信息和视频信息进行识别处理，从中发现感兴趣的目标。

4.根据权利要求1所述的一种企业安全运营中心Bot，其特征在于：所述数据处理部分对各种来源的数据进行清洗、标准化处理和特征提取操作，从纷杂的数据中提取出能够反映安全事件的特征信息，在本部分，能够执行以下处理功能：

1)自动应答电话并记录事件，阅读电子邮件，提取有关报告的内容、时间、人员、位置等信息；

2)处理监控视频，包括识别人员，在数据库中查找以识别是否是雇员；如果不是，则实时告警；如果是雇员，则辨识人在哪里，在访问的哪个关键领域。

5.根据权利要求1所述的一种企业安全运营中心Bot，其特征在于：所述数据整合部分，将采集的各种安全事件数据按照员工/用户进行分类和归总，实现员工/用户层面的数据整合，具体包括：

1)实现数据到IP的映射；

2)执行IP到主机和到用户/员工的映射；

3)将所有物理和网络的活动实时地在员工级别进行整合。

6.根据权利要求1所述的一种企业安全运营中心Bot，其特征在于：所述机器学习部分集成从无监督学习、半监督学习到有监督学习的多种机器学习模型，能够从零开始，逐步训练机器学习模型监测识别出企业网络中的安全威胁事件。

7.根据权利要求1或6所述的一种企业安全运营中心Bot，其特征在于：根据企业的安全设施及人员配备情况，所述机器学习部分包括两种训练类型，分别是：

A、冷启动训练：这是指在企业过去没有任何历史数据和SOC团队的情况下，从零开始进行训练，包括以下步骤：

1)积累一段时间的数据；

2)运行无监督学习模型以检测异常；

3)向SOC分析师提供异常信息，以确定它是否真的是恶意的，以及为什么是恶意的，指标是什么；

4)将分析师调查结果反馈给Bot，以便Bot获得这个知识；

5)Bot将根据有限数量的标记数据启动半监督学习，同时继续无监督学习，并生成优先级警报供SOC分析师调查；

6)SOC分析师产生新的思路和更多的标记数据供Bot学习，学习过程得以循环继续；

7)随着越来越多的标签数据由分析师生成，Bot将同时从数据中启动无人监督、半监督和监督学习模型，更准确地识别风险员工及事件；

B、热启动训练：这是指在企业已经具有历史数据或SOC运营经验的情况下，Bot可以开始训练，而不需要等待收集数据，其余步骤与冷启动训练场景相同。

8.根据权利要求1所述的一种企业安全运营中心Bot，其特征在于：所述标记报警部分根据机器学习单元给出的学习结果，对各类安全事件进行标记，并根据预先设定的严重性级别，对高度危险的安全事件进行实时报警，以便安全分析师能够及时调查处理。

9.根据权利要求1所述的一种企业安全运营中心Bot，其特征在于：所述命令执行部分能够接受分析师的指令，完成特定的任务，经过训练的Bot，可以完成下列功能：

1)一级功能：Bot自动执行收集事件，处理、整合事件以及从SOC分析师处获取反馈的功能；Bot为SOC分析人员提供潜在的高风险人员或事件以供其进行调查；这是SOC Bot可以完全独立执行的最少功能；

2)二级功能：Bot可以与SOC分析师交互工作，以口头或书面形式接受分析师指令并完成任务；

3)三级功能：Bot能够采取修复措施。

10.根据权利要求1所述的一种企业安全运营中心Bot，其特征在于：所述Bot可以采取以下三种部署方式：

1)作为部署在云上的托管解决方案；

2)作为在企业本地部署的软件；

3)作为要在企业本地部署的设备。