CN107181726A - 网络威胁事件评估方法及装置 - Google Patents
网络威胁事件评估方法及装置 Download PDFInfo
- Publication number
- CN107181726A CN107181726A CN201610141483.6A CN201610141483A CN107181726A CN 107181726 A CN107181726 A CN 107181726A CN 201610141483 A CN201610141483 A CN 201610141483A CN 107181726 A CN107181726 A CN 107181726A
- Authority
- CN
- China
- Prior art keywords
- event
- assessed
- threat event
- threat
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络威胁事件评估方法,所述网络威胁事件评估方法包括:获取待评估威胁事件集;在获取到所述待评估威胁事件集时,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估;输出所述待评估威胁事件集的评估结果。本发明还公开了一种网络威胁事件评估装置。本发明能够提高网络威胁事件判定的准确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络威胁事件评估方法及装置。
背景技术
极光攻击、震网攻击、海莲花攻击等近期重大网络安全事件都展现了一种新型的攻击特征,即攻击手法高级、持续时间长、攻击目标特殊且精准。这类网络攻击称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击。这类攻击不仅使用了传统的病毒、木马作为攻击工具,更是在攻击最先环节中利用了不易察觉的社会工程学,诱使目标系统触发0Day漏洞等。随后,再利用0Day漏洞不断提升目标系统控制权限,并试图长期控制目标系统、收集有价值的信息。最终,假如攻击窃密行为被发现,攻击者将会安全撤离或者破坏系统。
目前,APT攻击检测防御技术已经成为新形势下网络安全防御的研究热点和实现难点。针对这种新型的攻击思想,尤其是长期潜伏、长期控制这类特征,传统防火墙、反病毒软件或者入侵检测系统等一般防御技术手段已显得无法应对,尤其在攻击行为、威胁事件的定性和判定准确性上更凸显其薄弱的一面。目前的攻击检测方法大多都是基于网络数据包或者会话,通过特征库比对方式得出独立的结论,对于流量的分析是脱离了网络环境或者系统环境本身,结论之间也没有建立有效的联系,存在网络威胁事件判定不准确的问题。
发明内容
本发明的主要目的在于提供一种网络威胁事件评估方法及装置,旨在提高网络威胁事件判定的准确性。
为实现上述目的,本发明提供一种网络威胁事件评估方法,所述网络威胁事件评估方法包括:
获取待评估威胁事件集;
在获取到所述待评估威胁事件集时,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估;
输出所述待评估威胁事件集的评估结果。
可选的,所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤之前,还包括:
在获取到所述待评估威胁事件集时,对获取的所述待评估威胁事件集进行调优处理;
在完成调优处理之后,执行所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤。
可选的,对获取的所述待评估威胁事件集进行调优处理包括:
提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量;
基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。
可选的,所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果,所述基于提取的各所述关键向量对所述待评估威胁事件集中的单一威胁事件进行排序包括:
基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。
可选的,所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤包括:
基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件;
在每次选中单一威胁事件时,判定选中的单一威胁事件是否满足所述事件关联因子,是则增加选中的单一威胁事件的置信度,判定选中的单一威胁事件是否满足所述环境影响因子,是则增加选中的单一威胁事件的置信度;
在完成当次选中的单一威胁事件的判定操作之后,继续按顺序选中其它单一威胁事件。
此外,为实现上述目的,本发明还提供了一种网络威胁事件评估装置,所述网络威胁事件评估装置包括:
获取模块,用于获取待评估威胁事件集;
评估模块,用于在获取到所述待评估威胁事件集时,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估;
输出模块,用于输出所述待评估威胁事件集的评估结果。
可选的,所述网络威胁事件评估装置还包括:
调优模块,用于在所述获取模块获取到所述待评估威胁事件集时,对获取的所述待评估威胁事件集进行调优处理;
所述评估模块还用于在所述调优模块完成调优处理之后,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估。
可选的,所述调优模块还用于提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量;以及基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。
可选的,所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果,所述调优模块还用于基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。
可选的,所述评估模块还用于基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件;以及在每次选中单一威胁事件时,判定选中的单一威胁事件是否满足所述事件关联因子,是则增加选中的单一威胁事件的置信度,判定选中的单一威胁事件是否满足所述环境影响因子,是则增加选中的单一威胁事件的置信度;以及在完成当次选中的单一威胁事件的判定操作之后,继续按顺序选中其它单一威胁事件。
本发明提出的网络威胁事件评估方法及装置,首先获取到待评估威胁事件集,然后基于预设的事件关联因子和环境影响因子对获取到的待评估威胁事件集中各单一威胁事件进行评估,得到威胁事件之间的关联,以及威胁事件与环境之间的关联,最后输出待评估威胁事件的评估结果,相较于现有技术,屏蔽了威胁事件的独立性所造成的不准确性,本发明能够提升网络威胁事件判定的准确性。
附图说明
图1为本发明网络威胁事件评估方法第一实施例的流程示意图;
图2为本发明网络威胁事件评估方法第二实施例的流程示意图;
图3为图1中基于预设的事件关联因子和环境影响因子对待评估威胁事件集中的各单一威胁事件进行评估的细化流程示意图;
图4为本发明网络威胁事件评估装置第一实施例的功能模块示意图;
图5为本发明网络威胁事件评估装置第二实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种网络威胁事件评估方法,参照图1,在本发明网络威胁事件评估方法的第一实施例中,所述网络威胁事件评估方法包括:
步骤S10,获取待评估威胁事件集;
需要说明的是,本发明提供的网络威胁事件评估方法由网络威胁事件评估装置执行,该网络威胁事件评估装置部署在网络系统中运行,可对本网络系统的网络威胁事件进行评估,也可对其它网络系统的网络威胁事件进行评估。
下面对本发明涉及的专业名词进行解释,如安全漏洞和威胁事件等。
威胁的防御包括三个方面,分别是基于技术脆弱性的威胁防御、基于实际风险的威胁防御和基于攻击动机的威胁防御。其中,基于技术脆弱性的威胁是指由安全漏洞引起的风险,如系统漏洞、防火墙过滤规则的漏洞,安全防护软件的病毒样本的量级或者检测规则的缺陷等;基于实际风险的威胁是指在实际使用时疏忽引起的风险,如弱口令等;基于攻击动机的威胁是指系统本身的社会价值引起的风险,可以用该系统的攻击效益来衡量。
防御的安全漏洞是长期客观存在的,而且修补这些漏洞是一个永无休止的过程。目前在几乎所有的防护系统中均存在这样的关系。已知漏洞可以理解为0day漏洞,是被某个安全技术爱好者/组织或者白帽子发现并在相关论坛或者网站公布的漏洞,或者是潜在的安全缺失,也包括管理领域的漏洞。未知漏洞是指未被防御者发现,正在被攻击者利用或者作为后备攻击资源的漏洞。未知漏洞长期的存在也就从另一个技术侧面解释了APT攻击持续时间长的特性。
对于安全漏洞的检测可以用威胁事件描述,威胁事件通过检测进行识别,具体可用检测算法及其参数的取值来限定。例如,某网站存在数据库注入漏洞,但是该网站前置部署了WAF(Web Application Firewall,网站应用防火墙),因此常规的检测算法无法识别出该数据库注入漏洞。但是,采用某个特殊检测算法及其参数值,绕过WAF识别出该数据库注入漏洞,那么此检测算法及其参数具体取值构成一次威胁事件。
本实施例中,网络威胁事件评估装置首先获取基于目标系统的威胁事件集,将获取的威胁事件集作为待评估威胁事件集。其中,该目标系统可以是网络威胁事件评估装置部署的网络系统,也可以是其它网络系统。具体的,网络威胁事件评估装置在通过目标系统的前置检测引擎获取到基于目标系统的威胁事件集时,丢弃威胁事件集中不符合目标系统约束的单一威胁事件,其中,网络威胁事件评估装置可以被动接收前置检测引擎推送的待评估威胁事件集,也可以主动从前置检测引擎拉取待评估威胁事件集;约束条件基于目标系统设置,本实施例不作限定。
此外,本实施例并不限制前置检测引擎如何识别威胁事件,例如,前置检测引擎可基于其所在网络系统的网络数据包或者会话,通过特征库比对方式识别威胁事件。
步骤S20,在获取到所述待评估威胁事件集时,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估;
本实施例中,在获取到待评估威胁事件集时,网络威胁事件评估装置基于预设的事件关联因子和环境影响因子对待评估威胁事件集中的各单一威胁事件进行评估,得到待评估事件集中各单一威胁事件的评估结果。
本领域技术人员可以理解的是,攻击者的入侵行为并不是独立的,而都是有所关联的。从攻击的角度出发,威胁事件之间的关联是指它们是同一个威胁事件行为所产生的,这种攻击行为包括单个简单攻击行为或由一系列攻击步骤组成的复杂攻击行为。事件关联技术是将各种数据来源进行综合分析,把分散的单一威胁事件关联起来,以给出完整的事件描述。
设威胁事件模型用E表示,则有:E=(Attack-Id,Attack-Name,Attack-Precond,Attack-Postcond,Attack-Specif,Attack-Time,Attack-Respose)
其中,字段Attack-Id为攻击标志,表明攻击类型;Attack-Name为攻击名称;Attack-Precond为攻击前提,即攻击实施前所应该满足的条件集合;Attack-Postcond为攻击后果,即攻击实施后对网络系统造成的所有可能影响的集合;Attack-Specif为攻击特征,即攻击报文的特征描述;Attack-Time为检测到攻击所发生时的时间;Attack-Respose为攻击响应,针对某个攻击,系统所应采取的相应对策。由于Attack-Specif字段的数据来源主要是侦听到的网络攻击报文,因而可以进一步用一个六元组将其特征化。设一个报文用P表示,则有P=(detect-id,source-ip,dest-ip,source-port,dest-port,payload)
其中,detect-id表示数据采集器的标识符;source-ip,dest-ip分别表示源、目的IP地址;source-port,dest-port分别表示源、目的端口号;payload表示有效载荷。在本实施例中,将“AttackPrecond”,“Attack-Postcond”和“Attack-Specif”字段作为威胁事件关联分析的依据。由于Attack-Precond和Attack-Postcond字段实质上描述了整个网络系统的状态,因而很难用类似于N元组这类描述方法来将其特征化。在具体实施时,可以考虑采用XML语言和多元逻辑断言(Predicate)作为形式化描述的基础,并相应地进行扩展。例如,<Cond-Scenario>script(Action,‘winnuke$TargetAddress’)</Cond-Scenario>表示winnuke攻击发生的情景,及在这种情景下攻击者企图发动攻击的运行命令。
通常的,威胁事件的关联包括冗余关系关联和因果关系关联。
其中,冗余关系关联的分析方法主要是依据威胁事件Attack-Specif字段中相关属性之间的相似度,相似度采用概率统计的方法进行计算。
因果关系关联的分析方法主要基于威胁事件模型E的三个字段:Attack-Precond、Attack-Postcond和Attack-Specif。基本思想是:寻找一个威胁事件的前因(Attack-Precond)和另一个威胁事件的后果(Attack-Postcond)之间是否存在逻辑联系,如果存在联系,就表明这两个威胁事件是关联的。
基于前述事件关联的主旨思想,构建本实施例的事件关联因子,包括事件逻辑关联模型和关联条件等分析要素和分析方法。
此外,在本实施例中,还构建有环境影响因子,包括网络系统内的主机环境模型以及网络环境模型和影响条件等分析要素和分析方法。
在本实施例中,对单一威胁事件进行评估即判断单一威胁事件是否满足事件关联因子和/或环境影响因子,例如,网络威胁事件评估装置基于单一威胁事件的Attack-Specif中的4个有意义的属性加上Attack-Id字段属性判断该单一威胁事件是否符合事件逻辑关联模型,是则判定该单一威胁事件符合事件关联因子;网络威胁事件评估装置判定单一威胁事件的Attack-Postcond(攻击后果)是否符合网络系统的主机环境模型和/或网络环境模型,是则判定该威胁事件符合环境影响因子。
进一步的,本实施例中在进行事件关联因子的判定时,网络威胁事件评估装置可先进行冗余关系的分析,将重复的多个威胁事件归并聚类为一个威胁事件,再进行因果关系的分析,以减少不必要的重复计算,提升评估效率。
步骤S30,输出所述待评估威胁事件集的评估结果。
本实施例中,在完成待评估威胁事件集中各单一威胁事件的评估之后,网络威胁事件评估装置输出评估结果。容易理解的是,基于前述关于评估的描述,由于存在评估时归并聚类的情况,输出的评估结果数量可能与待评估威胁事件集中单一威胁事件的数量不同。
本实施例中,由于待评估威胁事件集可来自网络威胁事件评估装置部署的网络系统,也可来自其它网络系统,网络威胁事件评估装置在输出评估结果时,可基于待评估威胁事件集的来源网络系统进行输出,例如,若待评估威胁事件集来自本网络系统,网络威胁事件评估装置则将评估结果输出至本网络系统平台进行展示;若待评估威胁事件集来其它网络系统,网络威胁事件评估装置则将评估结果输出至来源网络系统平台进行展示;或者,网络威胁事件评估装置将评估结果输出至预设的其它认可评估结果的输入接口。
本实施例提出的网络威胁事件评估方法,首先获取到待评估威胁事件集,然后基于预设的事件关联因子和环境影响因子对获取到的待评估威胁事件集中各单一威胁事件进行评估,得到威胁事件之间的关联,以及威胁事件与环境之间的关联,最后输出待评估威胁事件的评估结果,相较于现有技术,屏蔽了威胁事件的独立性所造成的不准确性,本发明能够提升网络威胁事件判定的准确性。
进一步的,基于第一实施例,提出本发明网络威胁事件评估方法的第二实施例,参照图2,在本实施例中,步骤S20之前,还包括:
步骤S40,在获取到所述待评估威胁事件集时,对获取的所述待评估威胁事件集进行调优处理;
在完成调优处理之后,转入执行步骤S20;
本实施例中,为提升评估效率,网络威胁事件评估装置对获取的待评估威胁事件集(即基于目标系统之约束过滤后的威胁事件集)进行调优处理,包括:
提取获取的待评估威胁事件集中各单一威胁事件的关键向量;
基于提取的各关键向量对获取的待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。
在本实施例中,网络威胁事件评估装置提取的关键向量至少包括Attack-Time(攻击时间,即检测到威胁事件所发生时的时间)、Attack-Name(攻击名称)、Attack-Specif(攻击特征)中的source-ip(源IP地址),dest-ip(目的IP地址),source-port(源端口),dest-port(目的端口)以及Attack-Postcond(攻击后果)。在进行调优处理时,可依据一个或多个关键向量进行排序与统计,如按照单一威胁事件的Attack-Time排序,按照单一威胁事件的Attack-Postcond排序,同一dest-ip的单一威胁事件的统计,同一Attack-Name的单一威胁事件的统计等。
在完成统计操作之后,网络威胁事件评估装置基于统计信息进行单一威胁事件的归并聚类,例如,将针对同一dest-ip的多次相同Attack-Name的单一威胁事件归并聚类处理为一条威胁事件,并记录重复次数。
可以理解的是,通过排序、统计以及归并聚类等调优处理,能够减少不必要重复计算,提升评估效率。
进一步的,在本实施例中,网络威胁事件评估装置在排序时,基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。例如,按照攻击后果的程度降序排列各单一威胁事件。
本领域技术人员可以理解的是,网络威胁事件评估装置进行的排序操作可在完成归并聚类操作之后进行,以避免重复排序。
进一步的,基于第二实施例,提出本发明网络威胁事件评估方法的第三实施例,参照图3,在本实施例中,步骤S20包括:
步骤S201,基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件;
步骤S202,在每次选中单一威胁事件时,判定选中的单一威胁事件是否满足所述事件关联因子,是则增加选中的单一威胁事件的置信度,判定选中的单一威胁事件是否满足所述环境影响因子,是则增加选中的单一威胁事件的置信度;
步骤S203,在完成当次选中的单一威胁事件的判定操作之后,继续按顺序选中其它单一威胁事件。
在本实施例中,为高效的完成待评估威胁事件集中各单一威胁事件的评估,网络威胁事件评估装置基于调优处理的排序信息有序的对待评估威胁事件集中各单一威胁事件进行评估。
具体的,网络威胁事件评估装置基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件,例如,网络威胁事件评估装置在调优处理时按照各单一威胁事件攻击后果的程度降序排序,则网络威胁事件评估装置将首先选中待评估威胁事件集中攻击后果程度最大的单一威胁事件进行评估。
在每次选中单一威胁事件时,网络威胁事件评估装置判定选中的单一威胁事件是否满足所述事件关联因子,是则增加选中的单一威胁事件的置信度,否则不增加,例如,网络威胁事件评估装置可先进行冗余关系的分析,将重复的多个威胁事件归并聚类为一个威胁事件,再进行因果关系的分析,具体可参照第一实施例,此处不再赘述。需要说明的是,网络威胁事件评估装置在获取到待评估威胁事件集时,为待评估威胁事件集中各单一威胁事件分配有初始置信度,具体可基于待评估威胁事件集的来源前置检测引擎的检测性能进行初始置信度的分配,例如,若来源前置检测引擎的检测性能较高,则为对应该来源前置检测引擎的待评估威胁事件集分配较高的初始置信度;若来源前置检测引擎的检测性能较低,则为对应该来源前置检测引擎的待评估威胁事件集分配较低的初始置信度。此外,网络威胁事件评估装置还判定选中的单一威胁事件是否满足所述环境影响因子,是则增加选中的单一威胁事件的置信度,否则不增加,例如,在选中单一威胁事件时,网络威胁事件评估装置判定选中的单一威胁事件的Attack-Postcond(攻击后果)是否符合目标系统的主机环境模型和/或网络环境模型,是则判定该选中的单一威胁事件符合环境影响因子,并增加其置信度。
在本实施例中,步骤S30包括:
输出对待评估威胁事件集中各单一威胁事件进行评估后的置信度。
进一步的,本发明还提供一种网络威胁事件评估装置,参照图4,在本发明网络威胁事件评估装置的第一实施例中,所述网络威胁事件评估装置包括:
获取模块10,用于获取待评估威胁事件集;
需要说明的是,本发明提供的网络威胁事件评估装置部署在网络系统中运行,可对本网络系统的网络威胁事件进行评估,也可对其它网络系统的网络威胁事件进行评估。
本实施例中,获取模块10首先获取基于目标系统的威胁事件集,将获取的威胁事件集作为待评估威胁事件集。其中,该目标系统可以是网络威胁事件评估装置部署的网络系统,也可以是其它网络系统。具体的,获取模块10在通过目标系统的前置检测引擎获取到基于目标系统的威胁事件集时,丢弃威胁事件集中不符合目标系统约束的单一威胁事件,其中,获取模块10可以被动接收前置检测引擎推送的待评估威胁事件集,也可以主动从前置检测引擎拉取待评估威胁事件集;约束条件基于目标系统设置,本实施例不作限定。
此外,本实施例并不限制前置检测引擎如何识别威胁事件,例如,前置检测引擎可基于其所在网络系统的网络数据包或者会话,通过特征库比对方式识别威胁事件。
评估模块20,用于在获取到所述待评估威胁事件集时,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估;
本实施例中,在获取模块10获取到待评估威胁事件集时,评估模块20基于预设的事件关联因子和环境影响因子对待评估威胁事件集中的各单一威胁事件进行评估,得到待评估事件集中各单一威胁事件的评估结果。
本领域技术人员可以理解的是,攻击者的入侵行为并不是独立的,而都是有所关联的。从攻击的角度出发,威胁事件之间的关联是指它们是同一个威胁事件行为所产生的,这种攻击行为包括单个简单攻击行为或由一系列攻击步骤组成的复杂攻击行为。事件关联技术是将各种数据来源进行综合分析,把分散的单一威胁事件关联起来,以给出完整的事件描述。
设威胁事件模型用E表示,则有:E=(Attack-Id,Attack-Name,Attack-Precond,Attack-Postcond,Attack-Specif,Attack-Time,Attack-Respose)
其中,字段Attack-Id为攻击标志,表明攻击类型;Attack-Name为攻击名称;Attack-Precond为攻击前提,即攻击实施前所应该满足的条件集合;Attack-Postcond为攻击后果,即攻击实施后对网络系统造成的所有可能影响的集合;Attack-Specif为攻击特征,即攻击报文的特征描述;Attack-Time为检测到攻击所发生时的时间;Attack-Respose为攻击响应,针对某个攻击,系统所应采取的相应对策。由于Attack-Specif字段的数据来源主要是侦听到的网络攻击报文,因而可以进一步用一个六元组将其特征化。设一个报文用P表示,则有P=(detect-id,source-ip,dest-ip,source-port,dest-port,payload)
其中,detect-id表示数据采集器的标识符;source-ip,dest-ip分别表示源、目的IP地址;source-port,dest-port分别表示源、目的端口号;payload表示有效载荷。在本实施例中,将“AttackPrecond”,“Attack-Postcond”和“Attack-Specif”字段作为威胁事件关联分析的依据。由于Attack-Precond和Attack-Postcond字段实质上描述了整个网络系统的状态,因而很难用类似于N元组这类描述方法来将其特征化。在具体实施时,可以考虑采用XML语言和多元逻辑断言(Predicate)作为形式化描述的基础,并相应地进行扩展。例如,<Cond-Scenario>script(Action,‘winnuke$TargetAddress’)</Cond-Scenario>表示winnuke攻击发生的情景,及在这种情景下攻击者企图发动攻击的运行命令。
通常的,威胁事件的关联包括冗余关系关联和因果关系关联。
其中,冗余关系关联的分析方法主要是依据威胁事件Attack-Specif字段中相关属性之间的相似度,相似度采用概率统计的方法进行计算。
因果关系关联的分析方法主要基于威胁事件模型E的三个字段:Attack-Precond、Attack-Postcond和Attack-Specif。基本思想是:寻找一个威胁事件的前因(Attack-Precond)和另一个威胁事件的后果(Attack-Postcond)之间是否存在逻辑联系,如果存在联系,就表明这两个威胁事件是关联的。
基于前述事件关联的主旨思想,构建本实施例的事件关联因子,包括事件逻辑关联模型和关联条件等分析要素和分析方法。
此外,在本实施例中,还构建有环境影响因子,包括网络系统内的主机环境模型以及网络环境模型和影响条件等分析要素和分析方法。
在本实施例中,评估模块20对单一威胁事件进行评估即判断单一威胁事件是否满足事件关联因子和/或环境影响因子,例如,评估模块20基于单一威胁事件的Attack-Specif中的4个有意义的属性加上Attack-Id字段属性判断该单一威胁事件是否符合事件逻辑关联模型,是则判定该单一威胁事件符合事件关联因子;评估模块20判断单一威胁事件的Attack-Postcond(攻击后果)是否符合网络系统的主机环境模型和/或网络环境模型,是则判定该单一威胁事件符合环境影响因子。
进一步的,本实施例中在进行事件关联因子的判定时,评估模块20可先进行冗余关系的分析,将重复的多个威胁事件归并聚类为一个威胁事件,再进行因果关系的分析,以减少不必要的重复计算,提升评估效率。
输出模块30,用于输出所述待评估威胁事件集的评估结果。
本实施例中,在完成待评估威胁事件集中各单一威胁事件的评估之后,网络威胁事件评估装置输出评估结果。容易理解的是,基于前述关于评估的描述,由于存在评估时归并聚类的情况,输出的评估结果数量可能与待评估威胁事件集中单一威胁事件的数量不同。
本实施例中,由于待评估威胁事件集可来自网络威胁事件评估装置部署的网络系统,也可来自其它网络系统,输出模块30在输出评估结果时,可基于待评估威胁事件集的来源网络系统进行输出,例如,若待评估威胁事件集来自本网络系统,输出模块30则将评估结果输出至本网络系统平台进行展示;若待评估威胁事件集来其它网络系统,输出模块30则将评估结果输出至来源网络系统平台进行展示;或者,输出模块30将评估结果输出至预设的其它认可评估结果的输入接口。
本实施例提出的网络威胁事件评估装置,首先获取到待评估威胁事件集,然后基于预设的事件关联因子和环境影响因子对获取到的待评估威胁事件集中各单一威胁事件进行评估,得到威胁事件之间的关联,以及威胁事件与环境之间的关联,最后输出待评估威胁事件的评估结果,相较于现有技术,屏蔽了威胁事件的独立性所造成的不准确性,本发明能够提升网络威胁事件判定的准确性。
进一步的,基于第一实施例,提出本发明网络威胁事件评估装置的第二实施例,参照图5,在本实施例中,所述网络威胁事件评估装置还包括:
调优模块40,用于在所述获取模块10获取到所述待评估威胁事件集时,对获取的所述待评估威胁事件集进行调优处理;
所述评估模块20还用于在所述调优模块40完成调优处理之后,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估。
本实施例中,为提升评估效率,调优模块40对获取模块10获取的待评估威胁事件集(即获取模块10基于目标系统之约束过滤后的威胁事件集)进行调优处理,具体的,调优模块40提取获取的待评估威胁事件集中各单一威胁事件的关键向量;以及基于提取的各关键向量对获取的待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。
在本实施例中,调优模块40提取的关键向量至少包括Attack-Time(攻击时间,即检测到威胁事件所发生时的时间)、Attack-Name(攻击名称)、Attack-Specif(攻击特征)中的source-ip(源IP地址),dest-ip(目的IP地址),source-port(源端口),dest-port(目的端口)以及Attack-Postcond(攻击后果)。在进行调优处理时,调优模块40可依据一个或多个关键向量进行排序与统计,如按照单一威胁事件的Attack-Time排序,按照单一威胁事件的Attack-Postcond排序,同一dest-ip的单一威胁事件的统计,同一Attack-Name的单一威胁事件的统计等。
在完成统计操作之后,调优模块40基于统计信息进行单一威胁事件的归并聚类,例如,将针对同一dest-ip的多次相同Attack-Name的单一威胁事件归并聚类处理为一条威胁事件,并记录重复次数。
可以理解的是,通过排序、统计以及归并聚类等调优处理,能够减少不必要重复计算,提升评估效率。
进一步的,在本实施例中,调优模块40在排序时,基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。例如,调优模块40按照攻击后果的程度降序排列各单一威胁事件。
本领域技术人员可以理解的是,调优模块40进行的排序操作可在完成归并聚类操作之后进行,以避免重复排序。
进一步的,基于第二实施例,提出本发明网络威胁事件评估装置的第三实施例,在本实施例中,所述评估模块20还用于基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件;以及在每次选中单一威胁事件时,判定选中的单一威胁事件是否满足所述事件关联因子,是则增加选中的单一威胁事件的置信度,判定选中的单一威胁事件是否满足所述环境影响因子,是则增加选中的单一威胁事件的置信度;以及在完成当次选中的单一威胁事件的判定操作之后,继续按顺序选中其它单一威胁事件。
在本实施例中,为高效的完成待评估威胁事件集中各单一威胁事件的评估,评估模块20基于调优处理的排序信息有序的对待评估威胁事件集中各单一威胁事件进行评估。
具体的,评估模块20基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件,例如,调优模块40在调优处理时按照各单一威胁事件攻击后果的程度降序排序,则评估模块20将首先选中待评估威胁事件集中攻击后果程度最大的单一威胁事件进行评估。
在每次选中单一威胁事件时,评估模块20判定选中的单一威胁事件是否满足所述事件关联因子,是则增加选中的单一威胁事件的置信度,否则不增加,例如,评估模块20可先进行冗余关系的分析,将重复的多个威胁事件归并聚类为一个威胁事件,再进行因果关系的分析,具体可参照第一实施例,此处不再赘述。需要说明的是,获取模块10在获取到待评估威胁事件集时,为待评估威胁事件集中各单一威胁事件分配有初始置信度,具体可基于待评估威胁事件集的来源前置检测引擎的检测性能进行初始置信度的分配,例如,若来源前置检测引擎的检测性能较高,则为对应该来源前置检测引擎的待评估威胁事件集分配较高的初始置信度;若来源前置检测引擎的检测性能较低,则为对应该来源前置检测引擎的待评估威胁事件集分配较低的初始置信度。此外,评估模块20还判定选中的单一威胁事件是否满足所述环境影响因子,是则增加选中的单一威胁事件的置信度,否则不增加,例如,在选中单一威胁事件时,评估模块20判定选中的单一威胁事件的Attack-Postcond(攻击后果)是否符合目标系统的主机环境模型和/或网络环境模型,是则判定该选中的单一威胁事件符合环境影响因子,并增加其置信度。
在本实施例中,输出模块30还用于输出对待评估威胁事件集中各单一威胁事件进行评估后的置信度。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络威胁事件评估方法,其特征在于,所述网络威胁事件评估方法包括:
获取待评估威胁事件集;
在获取到所述待评估威胁事件集时,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估;
输出所述待评估威胁事件集的评估结果。
2.根据权利要求1所述的网络威胁事件评估方法,其特征在于,所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤之前,还包括:
在获取到所述待评估威胁事件集时,对获取的所述待评估威胁事件集进行调优处理;
在完成调优处理之后,执行所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤。
3.根据权利要求2所述的网络威胁事件评估方法,其特征在于,对获取的所述待评估威胁事件集进行调优处理包括:
提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量;
基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。
4.根据权利要求3所述的网络威胁事件评估方法,其特征在于,所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果,所述基于提取的各所述关键向量对所述待评估威胁事件集中的单一威胁事件进行排序包括:
基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。
5.根据权利要求3所述的网络威胁事件评估方法,其特征在于,所述基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估的步骤包括:
基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件;
在每次选中单一威胁事件时,判定选中的单一威胁事件是否满足所述事件关联因子,是则增加选中的单一威胁事件的置信度,判定选中的单一威胁事件是否满足所述环境影响因子,是则增加选中的单一威胁事件的置信度;
在完成当次选中的单一威胁事件的判定操作之后,继续按顺序选中其它单一威胁事件。
6.一种网络威胁事件评估装置,其特征在于,所述网络威胁事件评估装置包括:
获取模块,用于获取待评估威胁事件集;
评估模块,用于在获取到所述待评估威胁事件集时,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估;
输出模块,用于输出所述待评估威胁事件集的评估结果。
7.根据权利要求6所述的网络威胁事件评估装置,其特征在于,所述网络威胁事件评估装置还包括:
调优模块,用于在所述获取模块获取到所述待评估威胁事件集时,对获取的所述待评估威胁事件集进行调优处理;
所述评估模块还用于在所述调优模块完成调优处理之后,基于预设的事件关联因子和环境影响因子对所述待评估威胁事件集中的各单一威胁事件进行评估。
8.根据权利要求7所述的网络威胁事件评估装置,其特征在于,所述调优模块还用于提取获取的所述待评估威胁事件集中各单一威胁事件的关键向量;以及基于提取的各所述关键向量对获取的所述待评估威胁事件集中的单一威胁事件进行排序、统计以及归并聚类。
9.根据权利要求8所述的网络威胁事件评估装置,其特征在于,所述关键向量至少包括单一威胁事件的攻击时间、源IP地址及端口、目的IP地址及端口、攻击名称以及攻击后果,所述调优模块还用于基于提取的各单一威胁事件的攻击后果对所述待评估威胁事件集中的单一威胁事件进行排序。
10.根据权利要求8所述的网络威胁事件评估装置,其特征在于,所述评估模块还用于基于所述待评估威胁事件集的排序信息依次选中所述待评估威胁事件集中的单一威胁事件;以及在每次选中单一威胁事件时,判定选中的单一威胁事件是否满足所述事件关联因子,是则增加选中的单一威胁事件的置信度,判定选中的单一威胁事件是否满足所述环境影响因子,是则增加选中的单一威胁事件的置信度;以及在完成当次选中的单一威胁事件的判定操作之后,继续按顺序选中其它单一威胁事件。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610141483.6A CN107181726A (zh) | 2016-03-11 | 2016-03-11 | 网络威胁事件评估方法及装置 |
| PCT/CN2017/076305 WO2017152877A1 (zh) | 2016-03-11 | 2017-03-10 | 网络威胁事件评估方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610141483.6A CN107181726A (zh) | 2016-03-11 | 2016-03-11 | 网络威胁事件评估方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107181726A true CN107181726A (zh) | 2017-09-19 |
Family
ID=59788978
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610141483.6A Withdrawn CN107181726A (zh) | 2016-03-11 | 2016-03-11 | 网络威胁事件评估方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107181726A (zh) |
| WO (1) | WO2017152877A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911231A (zh) * | 2017-10-25 | 2018-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种威胁数据的评估方法及装置 |
| CN108712374A (zh) * | 2018-04-03 | 2018-10-26 | 郑州云海信息技术有限公司 | 一种请求控制方法、控制器及电子设备 |
| CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
| CN112181781A (zh) * | 2020-10-15 | 2021-01-05 | 新华三信息安全技术有限公司 | 主机安全威胁程度的告警方法、装置、设备及存储介质 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768950A (zh) * | 2019-08-14 | 2020-02-07 | 奇安信科技集团股份有限公司 | 渗透指令的发送方法及装置、存储介质、电子装置 |
| CN114625985A (zh) * | 2020-12-14 | 2022-06-14 | 北京宸瑞科技股份有限公司 | 基于可信度和传播量的融合情报分析方法 |
| CN112615888B (zh) * | 2020-12-30 | 2022-08-12 | 绿盟科技集团股份有限公司 | 一种网络攻击行为的威胁评估方法及装置 |
| CN113691552B (zh) * | 2021-08-31 | 2023-04-07 | 上海观安信息技术股份有限公司 | 威胁情报有效性评估方法、装置、系统及计算机存储介质 |
| CN114465783B (zh) * | 2022-01-19 | 2024-03-26 | 北京启明星辰信息安全技术有限公司 | 攻击点与业务报文的关联方法、关联系统及存储介质 |
| CN114726623B (zh) * | 2022-04-08 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399698A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 一种安全管理系统、装置和方法 |
| CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
| CN102098180A (zh) * | 2011-02-17 | 2011-06-15 | 华北电力大学 | 一种网络安全态势感知方法 |
| WO2014109645A1 (en) * | 2013-01-08 | 2014-07-17 | Secure-Nok As | Method, device and computer program for monitoring an industrial control system |
| US8904531B1 (en) * | 2011-06-30 | 2014-12-02 | Emc Corporation | Detecting advanced persistent threats |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222317A (zh) * | 2007-11-29 | 2008-07-16 | 哈尔滨工程大学 | 一种深度优先的攻击图生成方法 |
| CN102075516A (zh) * | 2010-11-26 | 2011-05-25 | 哈尔滨工程大学 | 一种网络多步攻击识别和预测方法 |
| CN102638445B (zh) * | 2011-12-27 | 2015-03-25 | 中国航天科工集团第二研究院七〇六所 | 一种反馈式多步网络攻击智能检测方法及装置 |
-
2016
- 2016-03-11 CN CN201610141483.6A patent/CN107181726A/zh not_active Withdrawn
-
2017
- 2017-03-10 WO PCT/CN2017/076305 patent/WO2017152877A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399698A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 一种安全管理系统、装置和方法 |
| CN101562537A (zh) * | 2009-05-19 | 2009-10-21 | 华中科技大学 | 分布式自优化入侵检测报警关联系统 |
| CN102098180A (zh) * | 2011-02-17 | 2011-06-15 | 华北电力大学 | 一种网络安全态势感知方法 |
| US8904531B1 (en) * | 2011-06-30 | 2014-12-02 | Emc Corporation | Detecting advanced persistent threats |
| WO2014109645A1 (en) * | 2013-01-08 | 2014-07-17 | Secure-Nok As | Method, device and computer program for monitoring an industrial control system |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911231A (zh) * | 2017-10-25 | 2018-04-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种威胁数据的评估方法及装置 |
| CN107911231B (zh) * | 2017-10-25 | 2020-12-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种威胁数据的评估方法及装置 |
| CN108712374A (zh) * | 2018-04-03 | 2018-10-26 | 郑州云海信息技术有限公司 | 一种请求控制方法、控制器及电子设备 |
| CN110881016A (zh) * | 2018-09-05 | 2020-03-13 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
| CN110881016B (zh) * | 2018-09-05 | 2021-06-01 | 华为技术有限公司 | 一种网络安全威胁评估方法及装置 |
| CN112181781A (zh) * | 2020-10-15 | 2021-01-05 | 新华三信息安全技术有限公司 | 主机安全威胁程度的告警方法、装置、设备及存储介质 |
| CN112181781B (zh) * | 2020-10-15 | 2022-09-20 | 新华三信息安全技术有限公司 | 主机安全威胁程度的告警方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017152877A1 (zh) | 2017-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107181726A (zh) | 网络威胁事件评估方法及装置 | |
| CN111741023B (zh) | 面向网络攻防试验平台的攻击研判方法、系统及介质 | |
| CN105208000B (zh) | 网络分析攻击回溯的方法及网络安全设备 | |
| Shabtai et al. | Applying behavioral detection on android-based devices | |
| CN106027559A (zh) | 基于网络会话统计特征的大规模网络扫描检测方法 | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| CN103368979A (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN107659583A (zh) | 一种检测事中攻击的方法及系统 | |
| CN106060043A (zh) | 一种异常流量的检测方法及装置 | |
| CN108123939A (zh) | 恶意行为实时检测方法及装置 | |
| CN103927485A (zh) | 基于动态监控的Android应用程序风险评估方法 | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| CN104008332A (zh) | 一种基于Android平台的入侵检测系统 | |
| CN106850647A (zh) | 基于dns请求周期的恶意域名检测算法 | |
| CN110336835A (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| Jasiul et al. | Identification of malware activities with rules | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| Elekar et al. | Use of rule base data mining algorithm for intrusion detection | |
| CN106169050A (zh) | 一种基于网页知识发现的PoC程序提取方法 | |
| Sumanth et al. | Raspberry Pi based intrusion detection system using k-means clustering algorithm | |
| Zheng et al. | Cryptocurrency malware detection in real-world environment: Based on multi-results stacking learning | |
| Yuan et al. | Research of intrusion detection system on android | |
| Kadam et al. | An enhanced approach for intrusion detection in virtual network of cloud computing | |
| Qi et al. | An APT attack analysis framework based on self-define rules and mapreduce | |
| CN115694965A (zh) | 一种电力行业网络安全密网系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170919 |