CN110677287A - 基于体系化攻击的威胁告警生成方法和装置 - Google Patents
基于体系化攻击的威胁告警生成方法和装置 Download PDFInfo
- Publication number
- CN110677287A CN110677287A CN201910908232.XA CN201910908232A CN110677287A CN 110677287 A CN110677287 A CN 110677287A CN 201910908232 A CN201910908232 A CN 201910908232A CN 110677287 A CN110677287 A CN 110677287A
- Authority
- CN
- China
- Prior art keywords
- log data
- alarm
- data
- standardized
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于体系化攻击的威胁告警生成方法和装置,涉及网络安全的技术领域,包括:获取待检测网络的日志数据;对日志数据进行数据处理,得到标准化日志数据;基于标准化日志数据的属性信息,对标准化日志数据进行归并,得到初始事件;判断历史告警中是否包含目标事件;若判断出历史告警中包含目标事件,则将事件归并至目标事件,解决了现有技术中对高级可持续性攻击会生成大量的攻击告警的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于体系化攻击的威胁告警生成方法和装置。
背景技术
当网络空间成为国家安全的一部分,各个国家为了政治、经济上的利益,都在积极准备网络战争的攻击和防护。部分组织或团体利用先进的攻击手法对特定目标进行长期持续性网络攻击,以达到窃取核心资料的目的。
然而,由于高级可持续性攻击会对攻击进行长时间多次攻击,所以会出现针对相同网络攻击行为生成大量的攻击告警现象。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种基于体系化攻击的威胁告警生成方法和装置,以缓解现有技术中对高级可持续性攻击会生成大量的攻击告警的技术问题。
第一方面,本发明实施例提供了一种基于体系化攻击的威胁告警生成方法,包括:获取待检测网络的日志数据,其中,所述日志数据用于表征所述待检测网络受到的攻击行为,所述日志数据包括以下至少之一:安全设备的检测日志数据,性能日志数据,故障日志数据,EDR日志数据,NDR日志数据;对所述日志数据进行数据处理,得到标准化日志数据;基于所述标准化日志数据的属性信息,对所述标准化日志数据进行归并,得到初始事件,其中,所述属性信息包括:攻击者信息,受害者信息,攻击行为的类型,所述初始事件的属性信息与所述标准化日志数据的部分属性信息相同;判断历史告警中是否包含目标事件,其中,所述目标事件为与所述告警的部分属性信息相同;若判断出所述历史告警中包含所述目标事件,则将所述事件归并至所述目标事件。
进一步地,所述方法还包括:若判断出所述历史告警中不包含所述目标事件,则将所述事件生成新的告警。
进一步地,对所述日志数据进行数据处理,得到标准化日志数据,包括:判断处理,判断所述日志数据中是否包含相同的日志数据,若判断结果为是,则对所述相同的日志数据进行合并;归一化处理,对完成所述判断处理的日志数据进行字段统一化处理;丰富化处理,判断完成所述归一化处理的日志数据是否存在字段缺失,若判断结果为是,则基于知识情报和关联关系进行字段丰富化,得到所述标准化日志数据。
进一步地,在对所述日志数据进行数据处理,得到标准化日志数据之后,所述方法还包括:基于IOC数据的生命周期,确定出所述标准化日志数据中的误报日志数据,其中,所述IOC数据包括但不限于:哈希值,IP地址,域名,URL地址;为所述误报日志数据配置误报标签,并从所述标准化日志数据中删除所述误报日志数据。
进一步地,所述方法还包括:将所述新的告警的处置策略发送给所述安全设备,以使所述安全设备基于所述处置策略对所述新的告警进行处理。
第二方面,本发明实施例提供了一种基于体系化攻击的威胁告警生成装置,包括:获取单元,处理单元,归并单元,判断单元和执行单元,其中,所述获取单元用于获取待检测网络的日志数据,其中,所述日志数据用于表征所述待检测网络受到的攻击行为,所述日志数据包括以下至少之一:安全设备的检测日志数据,性能日志数据,故障日志数据,EDR日志数据,NDR日志数据;所述处理单元用于对所述日志数据进行数据处理,得到标准化日志数据;所述归并单元用于基于所述标准化日志数据的属性信息,对所述标准化日志数据进行归并,得到初始事件,其中,所述属性信息包括:攻击者信息,受害者信息,攻击行为的类型,所述初始事件的属性信息与所述标准化日志数据的属性信息相同;所述判断单元用于判断历史告警中是否包含目标事件,其中,所述目标事件的属性信息与所述初始事件的属性信息相同;所述执行单元用于若判断出所述历史告警中包含所述目标事件,则将所述初始事件归并至所述目标事件。
进一步地,所述执行单元还用于:若判断出所述历史告警中不包含所述目标事件,则基于所述初始事件生成新的告警。
进一步地,所述处理单元还用于执行以下处理步骤:判断处理,判断所述日志数据中是否包含相同的日志数据,若判断结果为是,则对所述相同的日志数据进行合并;归一化处理,对完成所述判断处理的日志数据进行字段统一化处理;丰富化处理,判断完成所述归一化处理的日志数据是否存在字段缺失,若判断结果为是,则基于知识情报及关联关系进行字段丰富化,得到所述标准化日志数据。
进一步地,所述装置还包括:误报消除单元,用于基于IOC数据的生命周期,确定出所述标准化日志数据中的误报日志数据,其中,所述IOC数据包括但不限于:哈希值,IP地址,域名,URL地址;为所述误报日志数据配置误报标签,并从所述标准化日志数据中删除所述误报日志数据。
进一步地,所述装置还包括:发送单元,用于将所述新的告警的处置策略发送给所述安全设备,以使所述安全设备基于所述处置策略对所述新的告警进行处理。
在本发明实施例中,首先,获取待检测网络的日志数据;接着,对日志数据进行数据处理,得到标准化日志数据;然后,基于标准化日志数据的属性信息,对标准化日志数据进行归并,得到初始事件;接着,判断历史告警中是否包含目标事件;最后,若判断出历史告警中包含目标事件,则将初始事件归并至目标事件。
本发明实施例中,通过将属性信息相同的攻击行为归并为一个事件,接着将该事件与数据库中存储的属性信息相同的历史告警进行归并,从而使相同事件只产生一个告警信息,达到减少重复告警的目的,进而解决了现有技术中对高级可持续性攻击会生成大量的告警的技术问题,从而实现了减少告警量的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于体系化攻击的威胁告警生成方法的流程图;
图2为本发明实施例提供的另一种基于体系化攻击的威胁告警生成方法的流程图;
图3为本发明实施例提供的一种基于体系化攻击的威胁告警生成装置的示意图;
图4为本发明实施例提供的一种服务器的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
高级可持续性攻击是由具有高水平专业知识和丰富资源的攻击者发起,以窃取核心资料、破坏关键设施或阻碍某任务的进行为目的。攻击者通常利用多种攻击方式,通过在目标基础设施上建立并扩展立足点,在很长时间段内潜伏并反复对目标进行攻击,保持高水平的交互来达到攻击目的。
高级可持续性攻击是组织或团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。存在隐蔽性强、潜伏期长、持续性强、目标性强的特点。
体系化攻击:在一定时间范围内,同类的攻击按照一定的联系组合而成的整体性攻击。
鱼叉式网络钓鱼邮件是APT攻击最爱用的诱饵,如果APT攻击被告警为普通的钓鱼攻击就产生了误报,给了APT攻击更多的可乘之机。针对同一攻击者对受害者在某一时间段内发起的多次攻击合为整体形成体系化攻击威胁告警,通过多次攻击之间的关联关系能够大致推断攻击者的攻击方式和攻击意图,减少了告警量和误报,也能更好地进行响应处置。
对于威胁告警量大、误报率高的问题,目前的方案有:
方案1:基于多线程对事件进行规则关联分析的方法。
方案2:基于大数据的安全事件相关性分析的方法。
基于多线程对事件进行规则关联分析方案的缺点是:规则模型采用链式结构或树型结构,匹配时可能不全,并不能降低误报率。
对于威胁告警量大、误报率高的问题,基于大数据的安全事件相关性分析的方案的缺点是基于不同的归并条件归并生成的告警可能存在事件的重复利用。
实施例一:
根据本发明实施例,提供了一种基于体系化攻击的威胁告警生成方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于体系化攻击的威胁告警生成方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取待检测网络的日志数据,其中,所述,所述日志数据用于表征所述待检测网络受到的攻击行为,所述日志数据包括以下至少之一:安全设备的检测日志数据,性能日志数据,故障日志数据,EDR日志数据,NDR日志数据;
步骤S104,对所述日志数据进行数据处理,得到标准化日志数据;
步骤S106,基于所述标准化日志数据的属性信息,对所述标准化日志数据进行归并,得到初始事件,其中,所述属性信息包括:攻击者信息,受害者信息,攻击行为的类型,所述初始事件的属性信息与所述标准化日志数据的属性信息相同;
步骤S108,判断历史告警中是否包含目标事件,其中,所述目标事件为与所述初始事件的属性信息相同;
步骤S110,若判断出所述历史告警中包含所述目标事件,则将所述初始事件归并至所述目标事件。
本发明实施例中,通过将属性信息相同的攻击行为归并为一个事件,接着将该事件与数据库中存储的属性信息相同的历史告警进行归并,从而使相同事件只产生一个告警信息,达到减少重复告警的目的,进而解决了现有技术中对高级可持续性攻击会生成大量的告警的技术问题,从而实现了减少告警量的技术效果。
需要说明的是,在将初始事件归并至目标事件时,需要查看目标事件是否已经处理完毕,如果安全设备已对目标事件进行过处理,则将目标事件状态标记为已处理状态。在将初始事件归并到目标事件之后,将目标事件标记为未完成处理的状态,直到目标事件包含的所有事件均处理完毕之后,再将目标事件的状态标记为已处理状态。
在本发明实施例中,如图2所示,所述方法还包括:
步骤S112,若判断出所述历史告警中不包含所述目标事件,则基于所述初始事件生成新的告警。
在本发明实施例中,当执行步骤S108后,得到的判断结果为历史告警中不包含目标事件,那么就根据初始事件生成一个新的告警,并将该告警信息发送给网络安全人员,以提示网络安全人员及时对新的告警进行处理,从而达到保障网络安全的技术效果。
在本发明实施例中,步骤S104,还包括如下步骤:
步骤S11,判断处理,判断所述日志数据中是否包含相同的日志数据,若判断结果为是,则对所述相同的日志数据进行合并;
步骤S12,归一化处理,对完成所述判断处理的日志数据进行字段统一化处理;
步骤S13,丰富化处理,判断完成所述归一化处理的日志数据是否存在字段缺失,若判断结果为是,则基于知识情报和关联关系进行字段丰富化,得到所述标准化日志数据。
在本发明实施例中,通过判断处理能够对日志数据进行清洗过滤,将重复的日志数据合并为一个日志数据,从而减少后续所要处理的日志数据,降低了服务器的运行载荷。
通过对完成判断处理的日志数据进行格式归一化处理,即将日志数据的进行统一,以使所有的日志数据均为统一的格式,从而达到简化后续日志处理的步骤的技术效果。
最后,判断完成归一化处理的日志数据是否存在字段缺失的情况,如果有日志数据存在字段缺失的情况,那么通过知识情报里的关键字段与存在字段缺失志数据关键字段匹配关联,然后将知识情报的其他字段丰富到日志的字段中,补齐字段信息,得到标准化日志数据。
在本发明实施例中,在执行步骤S104之后,所述方法还包括如下步骤:
步骤S21,基于IOC数据的生命周期,确定出所述标准化日志数据中的误报日志数据,其中,所述IOC数据包括但不限于:哈希值,IP地址,域名,URL地址;
步骤S22,为所述误报日志数据配置误报标签,并从所述标准化日志数据中删除所述误报日志数据。
在本发明实施例中,在得到标准化日志数据之后,可以根据只是情报,预设的黑白名单以及IOC数据的生命周期,对标准化日志数据进行判断,确定出标准化日志数据中的误报日志数据。
需要说明的是,由于IOC数据具有生命周期,比如域名,可能一段时间后该域名失效了,那么与该域名关联的日志数据即可判定为误报日志数据。
然后,为误报日志数据配置误报标签,并从标准化日志数据中删除误报日志数据。
通过对标准化日志数据执行上述误报消除的步骤,能够有效降低现有的对于体系化的攻击的威胁告警会产生误报的技术效果。
在本发明实施例中,所述方法还包括如下步骤:
步骤S116,将所述新的告警发送给所述安全设备,以使所述安全设备对所述新的告警进行处理。
在本发明实施例中,为了对目标事件和/或新的告警进行处理,可以将目标事件和/或新的告警处置策略发送给安全设备,通过安全设备基于处置策略对目标事件和/或新的告警进行处理。
如果安全设备无法对目标事件和/或新的告警进行处理,那么可以生成对应的处理工单,并将处理工单发送给网络安全人员,由网络安全人员对安全设备无法处理的目标事件和/或新的告警进行处理。
实施例二:
本发明还提供了一种基于体系化攻击的威胁告警生成装置,该装置用于执行本发明实施例上述内容所提供的基于体系化攻击的威胁告警生成方法,以下是本发明实施例提供的基于体系化攻击的威胁告警生成装置的具体介绍。
如图3所示,上述的基于体系化攻击的威胁告警生成装置包括:获取单元10,处理单元20,归并单元30,判断单元40和执行单元50。
所述获取单元10用于获取待检测网络的日志数据,其中,所述,所述日志数据用于表征所述待检测网络受到的攻击行为,所述日志数据包括以下至少之一:安全设备的检测日志数据,性能日志数据,故障日志数据,EDR日志数据,NDR日志数据;
所述处理单元20用于对所述日志数据进行数据处理,得到标准化日志数据;
所述归并单元30用于基于所述标准化日志数据的属性信息,对所述标准化日志数据进行归并,得到初始事件,其中,所述属性信息包括:攻击者信息,受害者信息,攻击行为的类型,所述初始事件的属性信息与所述标准化日志数据的属性信息相同;
所述判断单元40用于判断历史告警中是否包含目标事件,其中,所述目标事件为与所述初始事件的属性信息相同;
所述执行单元50用于若判断出所述历史告警中包含所述目标事件,则将所述初始事件归并至所述目标事件。
本发明实施例中,通过将属性信息相同的攻击行为归并为一个事件,接着将该事件与数据库中存储的属性信息相同的历史告警进行归并,从而使相同事件只产生一个告警信息,达到减少重复告警的目的,进而解决了现有技术中对高级可持续性攻击会生成大量的告警的技术问题,从而实现了减少告警量的技术效果。
优选地,所述执行单元还用于:若判断出所述数据库中不包含所述目标事件,则基于所述初始事件生成新的告警。
优选地,所述处理单元还用于执行以下处理步骤:判断处理,判断所述日志数据中是否包含相同的日志数据,若判断结果为是,则对所述相同的日志数据进行合并;归一化处理,对完成所述判断处理的日志数据进行字段统一化处理;丰富化处理,判断完成所述归一化处理的日志数据是否存在字段缺失,若判断结果为是,则基于知识情报和关联关系进行字段丰富化,得到所述标准化日志数据。
优选地,所述装置还包括:误报消除单元,用于基于IOC数据的生命周期,确定出所述标准化日志数据中的误报日志数据,其中,所述IOC包括但不限于:哈希值,IP地址,域名,URL地址;为所述误报日志数据配置误报标签,并从所述标准化日志数据中删除所述误报日志数据。
优选地,所述装置还包括:发送单元,用于将所述新的告警的处置策略发送给所述安全设备,以使所述安全设备基于所述处置策略对所述新的告警进行处理。
参见图4,本发明实施例还提供一种服务器100,包括:处理器60,存储器61,总线62和通信接口63,所述处理器60、通信接口63和存储器61通过总线62连接;处理器60用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线62可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器60在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器60中,或者由处理器60实现。
处理器60可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器60读取存储器61中的信息,结合其硬件完成上述方法的步骤。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于体系化攻击的威胁告警生成方法,其特征在于,包括:
获取待检测网络的日志数据,其中,所述日志数据用于表征所述待检测网络受到的攻击行为,所述日志数据包括以下至少之一:安全设备的检测日志数据,性能日志数据,故障日志数据,EDR日志数据,NDR日志数据;
对所述日志数据进行数据处理,得到标准化日志数据;
基于所述标准化日志数据的属性信息,对所述标准化日志数据进行归并,得到初始事件,其中,所述属性信息包括:攻击者信息,受害者信息,攻击行为的类型,所述初始事件的属性信息与所述标准化日志数据的属性信息相同;
判断历史告警中是否包含目标事件,其中,所述目标事件的属性信息与所述初始事件的属性信息相同;
若判断出所述历史告警中包含所述目标事件,则将所述初始事件归并至所述目标事件。
2.根据权利要求1所述的方法,其特征在于,在所述判断历史告警中是否包含目标事件的步骤之后,还包括:
若判断出所述历史告警中不包含所述目标事件,则基于所述初始事件生成新的告警。
3.根据权利要求1所述的方法,其特征在于,对所述日志数据进行数据处理,得到标准化日志数据,包括:
判断处理,判断所述日志数据中是否包含相同的日志数据,若判断结果为是,则对所述相同的日志数据进行合并;
归一化处理,对完成所述判断处理的日志数据进行字段统一化处理;
丰富化处理,判断完成所述归一化处理的日志数据是否存在字段缺失,若判断结果为是,则基于知识情报及其关联关系进行日志字段的丰富化,得到所述标准化日志数据。
4.根据权利要求1所述的方法,其特征在于,在对所述日志数据进行数据处理,得到标准化日志数据之后,还包括:
基于IOC数据的生命周期,确定出所述标准化日志数据中的误报日志数据,其中,所述IOC数据包括但不限于:哈希值,IP地址,域名,URL地址;
为所述误报日志数据配置误报标签,并从所述标准化日志数据中删除所述误报日志数据。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
将所述新的告警的处置策略发送给所述安全设备,以使所述安全设备基于所述处置策略对所述新的告警进行处理。
6.一种基于体系化攻击的威胁告警生成装置,其特征在于,包括:获取单元,处理单元,归并单元,判断单元和执行单元,其中,
所述获取单元用于获取待检测网络的日志数据,其中,所述日志数据用于表征所述待检测网络受到的攻击行为,所述日志数据包括以下至少之一:安全设备的检测日志数据,性能日志数据,故障日志数据,EDR日志数据,NDR日志数据;
所述处理单元用于对所述日志数据进行数据处理,得到标准化日志数据;
所述归并单元用于基于所述标准化日志数据的属性信息,对所述标准化日志数据进行归并,得到初始事件,其中,所述属性信息包括:攻击者信息,受害者信息,攻击行为的类型,所述初始事件的属性信息与所述标准化日志数据的属性信息相同;
所述判断单元用于判断历史告警中是否包含目标事件,其中,所述目标事件的属性信息与所述初始事件的属性信息相同;
所述执行单元用于若判断出所述历史告警中包含所述目标事件,则将所述初始事件归并至所述目标事件。
7.根据权利要求6所述的装置,其特征在于,所述执行单元还用于:
若判断出所述历史告警中不包含所述目标事件,则基于所述初始事件生成新的告警。
8.根据权利要求6所述的装置,其特征在于,所述处理单元还用于执行以下处理步骤:
判断处理,判断所述日志数据中是否包含相同的日志数据,若判断结果为是,则对所述相同的日志数据进行合并;
归一化处理,对完成所述判断处理的日志数据进行字段统一化处理;
丰富化处理,判断完成所述归一化处理的日志数据是否存在字段缺失,若判断结果为是,则基于知识情报和关联关系进行字段丰富化,得到所述标准化日志数据。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
误报消除单元,用于基于IOC数据的生命周期,确定出所述标准化日志数据中的误报日志数据,其中,所述IOC数据包括但不限于以下数据:哈希值,IP地址,域名,URL地址;
为所述误报日志数据配置误报标签,并从所述标准化日志数据中删除所述误报日志数据。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
发送单元,用于将所述新的告警的处置策略发送给所述安全设备,以使所述安全设备基于所述处置策略对所述新的告警进行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910908232.XA CN110677287A (zh) | 2019-09-24 | 2019-09-24 | 基于体系化攻击的威胁告警生成方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910908232.XA CN110677287A (zh) | 2019-09-24 | 2019-09-24 | 基于体系化攻击的威胁告警生成方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110677287A true CN110677287A (zh) | 2020-01-10 |
Family
ID=69078836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910908232.XA Pending CN110677287A (zh) | 2019-09-24 | 2019-09-24 | 基于体系化攻击的威胁告警生成方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110677287A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112788035A (zh) * | 2021-01-13 | 2021-05-11 | 深圳震有科技股份有限公司 | 一种5g下upf终端的网络攻击告警方法和终端 |
| CN113568810A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 安全日志数据处理方法 |
| CN113709153A (zh) * | 2021-08-27 | 2021-11-26 | 绿盟科技集团股份有限公司 | 一种日志归并的方法、装置及电子设备 |
| CN113806158A (zh) * | 2020-06-11 | 2021-12-17 | 奇安信科技集团股份有限公司 | 一种日志的接收与处理方法、装置、电子设备和存储介质 |
| CN114168650A (zh) * | 2021-12-01 | 2022-03-11 | 安天科技集团股份有限公司 | 一种日志数据分析方法、装置、电子设备及存储介质 |
| CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
| CN114760185A (zh) * | 2022-03-15 | 2022-07-15 | 深信服科技股份有限公司 | 告警信息处理方法、装置、电子设备及存储介质 |
| CN114928492A (zh) * | 2022-05-20 | 2022-08-19 | 北京天融信网络安全技术有限公司 | 高级持续威胁攻击识别方法、装置和设备 |
| CN115935359A (zh) * | 2023-01-04 | 2023-04-07 | 北京微步在线科技有限公司 | 一种文件处理方法、装置、计算机设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| CN107222356A (zh) * | 2017-07-28 | 2017-09-29 | 郑州云海信息技术有限公司 | 一种云监控系统告警方法和系统 |
| CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN110213207A (zh) * | 2018-05-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种基于日志分析的网络安全防御方法及设备 |
-
2019
- 2019-09-24 CN CN201910908232.XA patent/CN110677287A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
| CN105681286A (zh) * | 2015-12-31 | 2016-06-15 | 中电长城网际系统应用有限公司 | 关联分析方法和关联分析系统 |
| CN107222356A (zh) * | 2017-07-28 | 2017-09-29 | 郑州云海信息技术有限公司 | 一种云监控系统告警方法和系统 |
| CN110213207A (zh) * | 2018-05-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种基于日志分析的网络安全防御方法及设备 |
| CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113806158A (zh) * | 2020-06-11 | 2021-12-17 | 奇安信科技集团股份有限公司 | 一种日志的接收与处理方法、装置、电子设备和存储介质 |
| CN112788035A (zh) * | 2021-01-13 | 2021-05-11 | 深圳震有科技股份有限公司 | 一种5g下upf终端的网络攻击告警方法和终端 |
| CN112788035B (zh) * | 2021-01-13 | 2023-02-28 | 深圳震有科技股份有限公司 | 一种5g下upf终端的网络攻击告警方法和终端 |
| CN113568810A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 安全日志数据处理方法 |
| CN113709153B (zh) * | 2021-08-27 | 2023-06-06 | 绿盟科技集团股份有限公司 | 一种日志归并的方法、装置及电子设备 |
| CN113709153A (zh) * | 2021-08-27 | 2021-11-26 | 绿盟科技集团股份有限公司 | 一种日志归并的方法、装置及电子设备 |
| CN114168650A (zh) * | 2021-12-01 | 2022-03-11 | 安天科技集团股份有限公司 | 一种日志数据分析方法、装置、电子设备及存储介质 |
| CN114363044A (zh) * | 2021-12-30 | 2022-04-15 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
| CN114363044B (zh) * | 2021-12-30 | 2024-04-09 | 深信服科技股份有限公司 | 一种分层告警方法、系统、存储介质和终端 |
| CN114760185A (zh) * | 2022-03-15 | 2022-07-15 | 深信服科技股份有限公司 | 告警信息处理方法、装置、电子设备及存储介质 |
| CN114928492B (zh) * | 2022-05-20 | 2023-11-24 | 北京天融信网络安全技术有限公司 | 高级持续威胁攻击识别方法、装置和设备 |
| CN114928492A (zh) * | 2022-05-20 | 2022-08-19 | 北京天融信网络安全技术有限公司 | 高级持续威胁攻击识别方法、装置和设备 |
| CN115935359A (zh) * | 2023-01-04 | 2023-04-07 | 北京微步在线科技有限公司 | 一种文件处理方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677287A (zh) | 基于体系化攻击的威胁告警生成方法和装置 | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN110545276B (zh) | 威胁事件告警方法、装置、告警设备及机器可读存储介质 | |
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
| CN110990233A (zh) | 一种利用甘特图展示soar的方法和系统 | |
| CN109684878B (zh) | 一种基于区块链技术隐私信息防篡改方法及系统 | |
| CN112995236B (zh) | 一种物联网设备安全管控方法、装置和系统 | |
| CN113051573B (zh) | 一种基于大数据的主机安全实时监控警报系统 | |
| CN111031009A (zh) | 一种基于多层次的nosql注入攻击的检测方法和装置 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN110852091A (zh) | 错别字的监测方法、装置、电子设备和计算机可读介质 | |
| CN117201273A (zh) | 安全告警自动化分析降噪方法、装置及服务器 | |
| CN115361235B (zh) | 一种网络安全检测的方法、设备、装置、电子设备及介质 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN114417349A (zh) | 攻击结果判定方法、装置、电子设备及存储介质 | |
| CN114024709A (zh) | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 | |
| CN114629696A (zh) | 一种安全检测方法、装置、电子设备及存储介质 | |
| CN113986843A (zh) | 数据风险预警处理方法、装置及电子设备 | |
| CN111950040A (zh) | 终端设备的环境感知方法、装置、计算机设备及存储介质 | |
| CN114640529B (zh) | 攻击防护方法、装置、设备、存储介质和计算机程序产品 | |
| CN114154160B (zh) | 容器集群监测方法、装置、电子设备及存储介质 | |
| CN108471430A (zh) | 一种物联网嵌入式安全防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200110 |