CN110719291B - 一种基于威胁情报的网络威胁识别方法及识别系统 - Google Patents
一种基于威胁情报的网络威胁识别方法及识别系统 Download PDFInfo
- Publication number
- CN110719291B CN110719291B CN201910984627.8A CN201910984627A CN110719291B CN 110719291 B CN110719291 B CN 110719291B CN 201910984627 A CN201910984627 A CN 201910984627A CN 110719291 B CN110719291 B CN 110719291B
- Authority
- CN
- China
- Prior art keywords
- threat
- event
- information
- data
- intelligence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于威胁情报的网络威胁识别方法及识别系统,检测模块启动后加载情报更新模块更新的所有威胁情报至本地,获得采集并解析的审计数据后与威胁情报库中的数据匹配,成功则通过分析与展示模块基于风险数据分析并获得威胁事件信息,获得并分析可能存在的失陷主机事件的关联信息,统计、分析其间的联系并展示。本发明从威胁事件信息和失陷主机事件两个角度分析并展现全网威胁状况,确定已失陷主机,准确识别针对性攻击,对威胁进行关联性分析和展现,提升处理网络攻击事件的效率,误报率低,可发现潜在威胁,极大方便对威胁事件的溯源和事后处理,预测将来可能发生的攻击,从而深度分析并发现真正有价值的攻击事件。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种以协议为特征的、基于威胁情报的网络威胁识别方法及识别系统。
背景技术
随着以APT、恶意挖矿、勒索病毒等为主的新型威胁和网络攻击的不断出现,数量不断上升,网络威胁正迅速恶性演变,与此同时,网络攻击的手段和渠道亦多元化发展,对于网络安全人员的分析与处理能力提出了更高的要求,而企业和组织在防范外部的攻击过程中越发需要依靠充分、高效、精准的安全威胁情报作为支撑,以帮助其更好的发现和应对这些新型威胁。
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临的、已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。事实上,绝大多数的威胁情报是狭义的威胁情报,其主要内容为用于识别和检测威胁的对象以及这些对象的归属标签,这些威胁的对象包括但不限于IP、域名、URL、程序运行路径、注册表项、文件HASH值,而归属标签包括威胁类型、属性、威胁级别等。
如申请号为201810306120.2的中国专利“一种基于日志的威胁情报检测方法及装置”,通过获取不同文件类型的日志文件,对日志文件进行解析,匹配不同威胁指标IOC类型,并将不同IOC类型的解析文件添加至检测引擎队列;从检测引擎队列中获取目标解析文件,根据目标解析文件的IOC类型确定对应的目标查询方式;若根据目标查询方式查询到目标解析文件中存在威胁情报,则生成威胁告警信息,如包含失陷主机或恶意文件。
现有技术的缺陷在于,仅是单纯匹配威胁情报,若产生多个的单个告警则没有关联性分析,不方便网络攻击溯源分析,不方便从全局角度查看全网威胁,判断不准确、不全面客观。
发明内容
本发明解决了现有技术中,存在的单纯匹配威胁情报,威胁情况间未进行关联性分析,不方便网络攻击溯源分析,不方便从全局角度查看全网威胁,进而极大程度导致判断不准确的问题,提供了一种优化的基于威胁情报的网络威胁识别方法及识别系统。
本发明所采用的技术方案是,一种基于威胁情报的网络威胁识别方法,所述方法包括以下步骤:
步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;
步骤2:若检测模块获得基于采集的网络流量的审计数据,则进行下一步,否则,重复步骤2;
步骤3:检测模块以审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则获得风险数据,进行下一步,否则,返回步骤1;
步骤4:基于风险数据分析并获得威胁事件信息;
步骤5:若步骤4中存在失陷主机事件,获得并分析失陷主机事件的关联信息,进行下一步,否则,直接进行下一步;
步骤6:统计威胁事件信息和/或失陷主机事件的信息,分析威胁事件信息和/或失陷主机事件间的联系;展示。
优选地,所述步骤1中,若检测模块中多于1个进程并发运行,则以其中任一进程加载威胁情报数据至共享内存里,当前威胁情报数据可以被当前所有进程共享访问。
优选地,所述步骤2中,审计数据包括源IP地址、目的IP地址、域名、源端口、目的端口、请求时间、请求内容、响应码和响应内容。
优选地,所述步骤3中,风险数据包括当前审计数据里的元数据的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息。
优选地,所述步骤4中,基于风险数据:
若威胁事件为失陷主机事件,则将风险数据按照事件类型和威胁类型进行分类;
若威胁事件为针对性攻击事件,则获得攻击者发送的请求信息和受攻击者的返回信息,分析攻击者的目的。
优选地,所述步骤5中,失陷主机事件的关联信息包括任一失陷主机事件对应的后续网络行为;分析失陷主机事件的关联信息包括分析该失陷主机的关联事件的时间分布及事件数量走势。
优选地,所述步骤6中,统计的信息包括威胁事件信息和失陷主机事件信息;
所述威胁事件信息包括任一时间范围内威胁事件信息的事件类型、威胁类型、受攻击主机数、攻击主机数、事件发生次数、首次发生时间和最近发生时间;对所述受攻击主机数、攻击主机数、事件发生次数,钻取到任一具体事件,获得受攻击主机、攻击主机和发生时间;
所述失陷主机事件信息包括任一时间范围内的失陷主机、发生的事件种类数量、恶意地址数量、访问次数、首次发生时间和最近发生时间;对所述事件种类数量、恶意地址数量,钻取到任一具体事件,获得对应的事件种类和恶意地址。
优选地,若情报更新模块从云端下载了更新的威胁情报数据,则情报更新模块发送通知给检测模块,检测模块增量加载最近更新的威胁情报数据。
一种采用所述的基于威胁情报的网络威胁识别方法的识别系统,所述检测系统包括:
一情报更新模块,用于定期检查云端威胁情报库最近的更新情况并确定是否需要从云端更新威胁情报数据;
一威胁情报库,用于将情报更新模块从云端下载的威胁情报数据保存到本地;
一网络流量采集与解析模块,用于获取网络流量数据并解析为审计数据;
一检测模块,用于加载威胁情报库并与网络流量采集与解析模块解析后的审计数据进行匹配得到风险数据;
一分析与展示模块,用于对检测模块输出的结果进行分析并进行展示。
优选地,所述云端包括:
一云端威胁情报库,用于保存全量威胁情报数据;
一情报查询和更新接口,用于与情报更新模块对接,提供威胁情报查询接口和情报更新接口。
本发明提供了一种优化的基于威胁情报的网络威胁识别方法及识别系统,检测模块启动后加载情报更新模块更新的所有威胁情报至本地威胁情报库,当获得基于网络流量采集与解析模块采集并解析的审计数据后与本地威胁情报库中的数据进行匹配,匹配成功则通过分析与展示模块基于风险数据分析并获得威胁事件信息,获得并分析可能存在的失陷主机事件的关联信息,对威胁事件信息和/或失陷主机事件的信息进行统计并分析其间的联系,展示。
本发明基于威胁情报检测网络威胁,从威胁事件信息和失陷主机事件两个角度分析并展现全网威胁状况,确定已经失陷的主机,准确识别针对服务器的针对性攻击,并对威胁进行关联性分析和展现,将多个威胁事件、威胁事件与审计数据进行关联,大大提升网络安全人员处理网络攻击事件的效率,误报率低,可发现潜在的威胁,极大方便了对威胁事件的溯源和事后处理,预测将来可能发生的攻击,从而深度分析并发现真正有价值的攻击事件。
附图说明
图1为本发明的方法流程图;
图2为本发明的系统结构示意图,其中,箭头表示数据传输的方向。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于威胁情报的网络威胁识别方法,基于威胁情报检测网络流量里的攻击行为和潜在的威胁,将防护网络内的主机访问的目标地址,或者网络请求客户端IP与威胁情报库匹配,如果匹配成功,对同一失陷主机的多次网络行为进行关联性分析、对发生同一个事件类型的失陷主机或者针对性攻击事件攻击者的网络行为进行关联性分析,用以确认这些主机是否已经失陷,或者服务器是否受到攻击,从失陷主机和威胁事件两个角度分析和展现全网威胁状况。
所述方法包括以下步骤。
步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库。
所述步骤1中,若检测模块中多于1个进程并发运行,则以其中任一进程加载威胁情报数据至共享内存里,当前威胁情报数据可以被当前所有进程共享访问。
若情报更新模块从云端下载了更新的威胁情报数据,则情报更新模块发送通知给检测模块,检测模块增量加载最近更新的威胁情报数据。
本发明中,检测模块程序在启动时加载本设备上的全量威胁情报,当多个进程并发运行时,可以由其中一个进程加载威胁情报数据到共享内存里,所有进程可以共享访问,不需要重复加载。
步骤2:若检测模块获得基于采集的网络流量的审计数据,则进行下一步,否则,重复步骤2。
所述步骤2中,审计数据包括源IP地址、目的IP地址、域名、源端口、目的端口、请求时间、请求内容、响应码和响应内容。
本发明中,网络流量可以直接从网卡上进行数据采集,一般来说,数据包采集工具包括但不限于Libpcap、Winpcap和Pf_ring,不同的平台可以选择不同的采集工具,例如Windows平台下可以选择Winpcap,Linux平台下可以选择Libpcap、Pf_ring,流量采集模块也可以直接接收其他系统发送的网络流量数据。
本发明中,审计数据通常为原始网络行为信息,由根据协议规范、解析网络流量获得的还原原始网络行为信息,使得后续功能模块能够对流量数据进行处理,一般情况下,解析后的信息存入数据库。
本发明中,协议解析模块能依据协议规范,从网络流量数据里解析出通信双方的信息,主要包括源IP地址、目的IP地址、域名、源端口、目的端口、请求时间、请求内容、响应码和具体响应内容。
步骤3:检测模块以审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则获得风险数据,进行下一步,否则,返回步骤1。
所述步骤3中,风险数据包括当前审计数据里的元数据的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息。
本发明中,检测模块将解析后的网络流量的审计数据与威胁情报库进行匹配,以判断是否存在威胁风险,如果存在风险,则同步风险数据到数据库。
本发明中,匹配一般是指将情报数据加载为二叉树结构或者其他数据结构,以加载为二叉树结构为例,进行二叉树查找,若查找到,则认为匹配成功;也可以通过正则表达式匹配,若正则匹配成功,则认为匹配成功。本领域技术人员可以依据需求自行设置匹配方式。
本发明中,元数据包括但不限于IP地址、域名、URL、文件Hash值和注册表项。
本发明中,举例来说,防护网络内的IP请求访问某个域名,将该域名与威胁情报库进行匹配,如果匹配上,则说明该域名存在风险,并且可以从威胁情报库中,查询到该域名的威胁程度,一般分为高危、中危、低危三种,同时还可以查询到所属黑客组织、所属病毒家族、威胁类型、域名注册信息等,其中,域名注册信息包括但不限于注册时间、注册邮箱、域名服务商、域名过期时间、与该域名通讯的恶意文件样本数量。
步骤4:基于风险数据分析并获得威胁事件信息。
所述步骤4中,基于风险数据:
若威胁事件为失陷主机事件,则将风险数据按照事件类型和威胁类型进行分类;
若威胁事件为针对性攻击事件,则获得攻击者发送的请求信息和受攻击者的返回信息,分析攻击者的目的。
本发明中,事件类型用于对检测到的风险数据的分类,对应于威胁情报对象的归属标签,包括但不限于远程控制、垃圾邮件、僵尸网络、恶意挖矿、勒索软件、漏洞利用、恶意软件、TOR代理、针对性攻击;当然,在具体实施时可以根据需求增加新的分类;威胁类型,对应威胁情报对象所属的黑客组织或者病毒家族名称。
本发明中,举例来说,检测到主机访问了Simda僵尸网络域名zugen.eu,则事件类型为访问僵尸网络事件,威胁类型为Simda僵尸网络。
本发明中,发生诸如远程控制、垃圾邮件、僵尸网络、恶意挖矿、勒索软件、漏洞利用、恶意软件、TOR代理等事件,表明源IP已经感染了恶意程序并被控制,这些事件可以归为失陷主机事件;失陷主机是指已经被入侵并感染了木马、蠕虫、僵尸病毒、勒索病毒等恶意程序的计算机设备。
本发明中,对于失陷主机事件,需要将风险数据按照事件类型和威胁类型进行分类。举例来说,检测到防护网络内有多个主机访问矿池服务器域名acs.njaavfxcgk3.club,该域名的威胁类型是NrsMiner挖矿僵尸网络,为恶意挖矿的失陷主机事件,则对这些主机的审计数据进行分析,检查这些审计数据发送到矿池服务器的多次请求中是否具有僵尸网络的特征,包括群体性、持续性、周期性,具体表现在是否有相同的报文、请求参数、目标端口等,或是单台设备对同一个服务端发送请求是否具有周期性,若是,则可以判断为这些源IP已经感染NrsMiner挖矿僵尸网络的僵尸程序,已经被黑客组织控制。
本发明中,针对性攻击事件是指破坏一个特定个人或组织的安全措施的攻击事件,尤其是指对防护网络内的服务器进行的攻击;这种攻击行为在刚开始攻击的时候通常先获得进入计算机或网络的入口,然后再进一步造成损害,例如拒绝服务攻击、窃取数据等。
本发明中,对于针对性攻击事件,需要分析攻击者,即源IP对应的主机发送的请求信息,包括访问路径、请求数据、协议类型,同时获得受攻击者的返回信息,包括返回内容和响应码;通过分析这些数据,可以得到攻击者的目的,例如,探测受攻击主机是否存在任一类弱点或漏洞,或者通过扫描行为检查服务类端口是否处于打开状态、检查设备上启动的服务类型(是ftp服务器还是http服务器等),或者通过暴力破解或者弱口令、频繁尝试登录某台服务器,或者已经被入侵成功。
步骤5:若步骤4中存在失陷主机事件,获得并分析失陷主机事件的关联信息,进行下一步,否则,直接进行下一步。
所述步骤5中,失陷主机事件的关联信息包括任一失陷主机事件对应的后续网络行为;分析失陷主机事件的关联信息包括分析该失陷主机的关联事件的时间分布及事件数量走势。
本发明中,任一失陷主机事件对应的后续网络行为将作为审计数据保存在数据库里,如果这些审计数据经过检测后也发现了风险,则也会保存风险数据;分析失陷主机发生的事件及这些事件后续的网络行为,进一步获得失陷主机事件后续的情报信息,如果发生多次事件,则分析这些事件的时间分布、事件数量走势。以下给出三个实施例,均是在发现失陷主机后,对失陷主机的后续行为进行关联分析。
实施例1:内网某台失陷主机周期性访问某个C&C域名,该域名在情报库里的归属标签为“恶意软件”,则需要查看该设备的访问是否为上传数据的操作(收集数据后上传)、是否周期性尝试下载文件(可能是恶意软件用来更新自身的某个组件)、或接收下一步攻击行为的指令。
实施例2:有多台失陷主机访问了相同的挖矿服务器(威胁情报库里存在标记,标记该域名属于矿池服务器),并且频繁与服务器交互、发送相同或者相似的请求,则可以判断这些设备是被控制的一个活跃的挖矿僵尸网络。
实施例3:检测到防护网络内有失陷主机发生了漏洞利用事件,该主机尝试发送漏洞利用报文到同一网络内的其他的设备,则分析该失陷主机后续的网络行为,例如,该主机可能已经被控制,且被作为跳板扫描局域网内其他设备,获得进一步的信息。
步骤6:统计威胁事件信息和/或失陷主机事件的信息,分析威胁事件信息和/或失陷主机事件间的联系;展示。
所述步骤6中,统计的信息包括威胁事件信息和失陷主机事件信息;
所述威胁事件信息包括任一时间范围内威胁事件信息的事件类型、威胁类型、受攻击主机数、攻击主机数、事件发生次数、首次发生时间和最近发生时间;对所述受攻击主机数、攻击主机数、事件发生次数,钻取到任一具体事件,获得受攻击主机、攻击主机和发生时间;
所述失陷主机事件信息包括任一时间范围内的失陷主机、发生的事件种类数量、恶意地址数量、访问次数、首次发生时间和最近发生时间;对所述事件种类数量、恶意地址数量,钻取到任一具体事件,获得对应的事件种类和恶意地址。
本发明中,从威胁事件角度和失陷主机角度分别进行信息统计和展示。
本发明中,从威胁事件角度来说,按照事件类型和威胁类型进行分组,先按照这两个类型划分子集,统计包括但不限于在一段时间范围内的事件类型、威胁类型、受攻击主机数、攻击主机数、事件发生次数、首次发生时间、最近发生时间;事实上,可以进一步获取受攻击主机IP、攻击主机IP或者域名、详细的请求和返回信息,包括但不限于请求报文、请求参数、请求端口、返回信息、响应端口、响应码、协议类型、攻击状态、攻击者地理位置、受攻击攻击者地理位置、风险描述信息,进行数据钻取,直到钻取到某一个具体事件并获得对应的受攻击主机、攻击主机和发生时间。
本发明中,从失陷主机角度来说,按照受攻击主机进行分组,统计包括但不限于在一段时间范围内的失陷主机、发生的事件种类数量、恶意地址数量、访问次数、首次发生时间、最近发生时间;事实上,可以进一步获取具体的攻击主机IP或者域名、详细的请求和返回信息,包括但不限于请求报文、请求参数、返回信息、响应码、攻击状态、攻击者地理位置、受攻击攻击者地理位置、风险描述信息,进行数据钻取,直到钻取到某一个具体事件并获得对应的事件种类和恶意地址。
本发明中,展示是指展示攻击者、受攻击者之间的网络行为的关系图,包括展示攻击者相关的黑客组织和病毒家族、事件发生次数;对失陷主机可以展示其在一段时间范围内发生的事件数量趋势;对威胁事件可以展示该事件类型其在一段时间范围内发生的事件数量趋势;其中,事件数量趋势即是对统计结果的展现,展现统计时间范围内,在哪些时间点发生事件、对应该时间点发生的事件的数量,构成横轴是时间、纵轴是数量的统计图。
本发明中,威胁事件角度展现的关系图是从事件类型和威胁类型出发进行展示的,例如,crt.comodoca.com这个域名是属于diplugem木马的,关系图展示有哪些主机访问了该域名、以后这些主机在访问该域名后的各自的网络行为、上传数据或者下载文件的操作等,与这个域名无关的行为则需要在另一个威胁事件关系图里显示,而不再当前关系图里展现,需要分析功能进行判断。
本发明中,失陷主机角度展现的关系图是以一对多的形式展示,显示该失陷主机在什么时间访问过哪些C&C IP或者域名,这些IP或者域名分别归属的黑客组织、病毒家族,以及该失陷主机在何时被作为跳板、以攻击者的身份对内部局域网其他主机发起过攻击、或者对外部网络发起攻击。
本发明中,从这两个角度展示的关系图可以清晰看到攻击轨迹图,极大方便对威胁事件的溯源和事后处理,并预测将来可能发生的攻击,从而深度分析并发现真正有价值的攻击事件,防患于未然。
本发明中,具体实施中,可以根据输入选择的时间范围进行实时统计,例如最近一天、最近一周、最近一个月、或者输入具体的开始时间和结束时间。
一种采用所述的基于威胁情报的网络威胁识别方法的识别系统,所述检测系统包括:
一情报更新模块,用于定期检查云端威胁情报库最近的更新情况并确定是否需要从云端更新威胁情报数据;
一威胁情报库,用于将情报更新模块从云端下载的威胁情报数据保存到本地;
一网络流量采集与解析模块,用于获取网络流量数据并解析为审计数据;
一检测模块,用于加载威胁情报库并与网络流量采集与解析模块解析后的审计数据进行匹配得到风险数据;
一分析与展示模块,用于对检测模块输出的结果进行分析并进行展示。
本发明中,一般情况下,情报更新模块定期检查的时间周期可以配置为3分钟以内。
本发明中,也可以通过与云端之间发送心跳包,当有新的威胁情报数据更新时,云端通过心跳包通知网络防护设备进行下载操作。
本发明中,网络流量采集与解析模块获取网络流量数据包括从网卡上采集流量数据,也可以直接接收其他系统发送过来的网络流量数据。
本发明中,分析与展示模块分为三部分,失陷主机分析、威胁事件分析、统计分析,并对分析结果进行展示。
所述云端包括:
一云端威胁情报库,用于保存全量威胁情报数据;
一情报查询和更新接口,用于与情报更新模块对接,提供威胁情报查询接口和情报更新接口。
本发明中,云端可以启动WEB服务,提供威胁情报查询接口和情报更新接口。对于查询接口,其他设备可以提供查询参数,例如:IP、域名、或者文件HASH、URL,请求查询,然后云端这些请求参数相关的威胁情报信息;对于更新接口,初始运行时,全量下载一次威胁情报,后续每次请求更新之前,提供最后一次从云端更新威胁情报的时间,可以下载该时间以后,云端全量情报库里更新的数据,包括新增和修改的。
本发明的检测模块启动后加载情报更新模块更新的所有威胁情报至本地威胁情报库,当获得基于网络流量采集与解析模块采集并解析的审计数据后与本地威胁情报库中的数据进行匹配,匹配成功则通过分析与展示模块基于风险数据分析并获得威胁事件信息,获得并分析可能存在的失陷主机事件的关联信息,对威胁事件信息和/或失陷主机事件的信息进行统计并分析其间的联系,展示。
本发明基于威胁情报检测网络威胁,从威胁事件信息和失陷主机事件两个角度分析并展现全网威胁状况,确定已经失陷的主机,准确识别针对服务器的针对性攻击,并对威胁进行关联性分析和展现,将多个威胁事件、威胁事件与审计数据进行关联,大大提升网络安全人员处理网络攻击事件的效率,误报率低,可发现潜在的威胁,极大方便了对威胁事件的溯源和事后处理,预测将来可能发生的攻击,从而深度分析并发现真正有价值的攻击事件。
Claims (6)
1.一种基于威胁情报的网络威胁识别方法,其特征在于:所述方法包括以下步骤:
步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;
步骤2:若检测模块获得基于采集的网络流量的审计数据,则进行下一步,否则,重复步骤2;
步骤3:检测模块以审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则获得风险数据,进行下一步,否则,返回步骤1;风险数据包括当前审计数据里的元数据的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息;
步骤4:基于风险数据分析并获得威胁事件信息;
基于风险数据:
若威胁事件为失陷主机事件,则将风险数据按照事件类型和威胁类型进行分类;
若威胁事件为针对性攻击事件,则获得攻击者发送的请求信息和受攻击者的返回信息,分析攻击者的目的;
步骤5:若步骤4中存在失陷主机事件,获得并分析失陷主机事件的关联信息,失陷主机事件的关联信息包括任一失陷主机事件对应的后续网络行为,分析失陷主机事件的关联信息包括分析该失陷主机的关联事件的时间分布及事件数量走势,进行下一步,否则,直接进行下一步;
步骤6:统计威胁事件信息和/或失陷主机事件的信息,分析威胁事件信息和/或失陷主机事件间的联系;
统计的信息包括威胁事件信息和失陷主机事件信息;
所述威胁事件信息包括任一时间范围内威胁事件信息的事件类型、威胁类型、受攻击主机数、攻击主机数、事件发生次数、首次发生时间和最近发生时间;对所述受攻击主机数、攻击主机数、事件发生次数,钻取到任一具体事件,获得受攻击主机、攻击主机和发生时间;
所述失陷主机事件信息包括任一时间范围内的失陷主机、发生的事件种类数量、恶意地址数量、访问次数、首次发生时间和最近发生时间;对所述事件种类数量、恶意地址数量,钻取到任一具体事件,获得对应的事件种类和恶意地址;
展示;所述展示是指展示攻击者、受攻击者之间的网络行为的关系图,威胁事件角度展现的关系图从事件类型和威胁类型出发进行展示;失陷主机角度展现的关系图是以一对多的形式展示,显示该失陷主机访问过的C&C IP或者域名及其访问时间、这些IP或者域名分别归属的黑客组织、病毒家族,以及该失陷主机在何时被作为跳板、以攻击者的身份对内部局域网其他主机发起过攻击、或者对外部网络发起攻击。
2.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤1中,若检测模块中多于1个进程并发运行,则以其中任一进程加载威胁情报数据至共享内存里,当前威胁情报数据可以被当前所有进程共享访问。
3.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤2中,审计数据包括源IP地址、目的IP地址、域名、源端口、目的端口、请求时间、请求内容、响应码和响应内容。
4.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:若情报更新模块从云端下载了更新的威胁情报数据,则情报更新模块发送通知给检测模块,检测模块增量加载最近更新的威胁情报数据。
5.一种采用权利要求1~4之一所述的基于威胁情报的网络威胁识别方法的识别系统,其特征在于:所述识别系统包括:
一情报更新模块,用于定期检查云端威胁情报库最近的更新情况并确定是否需要从云端更新威胁情报数据;
一威胁情报库,用于将情报更新模块从云端下载的威胁情报数据保存到本地;
一网络流量采集与解析模块,用于获取网络流量数据并解析为审计数据;
一检测模块,用于加载威胁情报库并与网络流量采集与解析模块解析后的审计数据进行匹配得到风险数据;
一分析与展示模块,用于对检测模块输出的结果进行分析并进行展示。
6.根据权利要求5所述的一种基于威胁情报的网络威胁识别方法的识别系统,其特征在于:所述云端包括:
一云端威胁情报库,用于保存全量威胁情报数据;
一情报查询和更新接口,用于与情报更新模块对接,提供威胁情报查询接口和情报更新接口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910984627.8A CN110719291B (zh) | 2019-10-16 | 2019-10-16 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910984627.8A CN110719291B (zh) | 2019-10-16 | 2019-10-16 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110719291A CN110719291A (zh) | 2020-01-21 |
| CN110719291B true CN110719291B (zh) | 2022-10-14 |
Family
ID=69211743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910984627.8A Active CN110719291B (zh) | 2019-10-16 | 2019-10-16 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110719291B (zh) |
Families Citing this family (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314361B (zh) * | 2020-02-24 | 2022-09-23 | 杭州安恒信息技术股份有限公司 | 一种基于细菌觅食算法的攻击威胁感知方法和装置 |
| CN111385293B (zh) * | 2020-03-04 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种网络风险检测方法和装置 |
| CN111600842B (zh) * | 2020-04-17 | 2022-05-17 | 国网浙江省电力有限公司电力科学研究院 | 一种可信威胁情报的物联网终端安全控制方法以及系统 |
| CN111740855B (zh) * | 2020-05-06 | 2023-04-18 | 首都师范大学 | 基于数据迁移的风险识别方法、装置、设备及存储介质 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
| CN111814142A (zh) * | 2020-06-29 | 2020-10-23 | 上海三零卫士信息安全有限公司 | 一种基于OpenIOC的大数据快速威胁检测系统 |
| CN111641663B (zh) * | 2020-07-06 | 2022-08-12 | 奇安信科技集团股份有限公司 | 一种安全检测方法和装置 |
| CN112039840B (zh) * | 2020-07-22 | 2023-07-11 | 中国人民解放军陆军工程大学 | 一种基于区块链共识机制的可信威胁情报识别方法及装置 |
| CN112003838B (zh) * | 2020-08-06 | 2023-05-23 | 杭州安恒信息技术股份有限公司 | 网络威胁的检测方法、装置、电子装置和存储介质 |
| CN112187710B (zh) * | 2020-08-17 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
| CN111988322B (zh) * | 2020-08-24 | 2022-06-17 | 北京微步在线科技有限公司 | 一种攻击事件展示系统 |
| CN112087465B (zh) * | 2020-09-17 | 2021-11-02 | 北京微步在线科技有限公司 | 一种基于聚合信息确定威胁事件的方法及装置 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN111935192B (zh) * | 2020-10-12 | 2021-03-23 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112181781B (zh) * | 2020-10-15 | 2022-09-20 | 新华三信息安全技术有限公司 | 主机安全威胁程度的告警方法、装置、设备及存储介质 |
| CN112738016A (zh) * | 2020-11-16 | 2021-04-30 | 中国南方电网有限责任公司 | 一种面向威胁场景的智能化安全事件关联分析系统 |
| CN112367340B (zh) * | 2020-11-30 | 2022-07-05 | 杭州安恒信息技术股份有限公司 | 一种内网资产风险评估方法、装置、设备及介质 |
| CN112202818B (zh) * | 2020-12-01 | 2021-03-09 | 南京中孚信息技术有限公司 | 一种融合威胁情报的网络流量入侵检测方法及系统 |
| CN112600828B (zh) * | 2020-12-07 | 2022-08-12 | 中国南方电网有限责任公司超高压输电公司 | 基于数据报文的电力控制系统攻击检测防护方法及装置 |
| CN112565300B (zh) * | 2020-12-25 | 2023-04-07 | 联通(广东)产业互联网有限公司 | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 |
| CN112749390A (zh) * | 2020-12-28 | 2021-05-04 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、设备及计算机可读存储介质 |
| CN115001724B (zh) * | 2021-03-01 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
| CN115134096A (zh) * | 2021-03-11 | 2022-09-30 | 深信服科技股份有限公司 | 一种rat连接检测方法、流量审计设备及介质 |
| CN115085955B (zh) * | 2021-03-11 | 2024-03-19 | 中国电信股份有限公司 | 网络安全处理方法及装置、存储介质、电子设备 |
| CN113162953B (zh) * | 2021-06-09 | 2022-02-18 | 南京聚铭网络科技有限公司 | 网络威胁报文检测及溯源取证方法和装置 |
| CN113489720B (zh) * | 2021-07-01 | 2023-09-08 | 中电智恒信息科技服务有限公司 | 一种超大规模网络中攻击暴露面分析方法及系统 |
| CN113489716A (zh) * | 2021-07-02 | 2021-10-08 | 南京联成科技发展股份有限公司 | 一种基于集中管控的威胁情报数据关联分析系统 |
| CN113779573B (zh) * | 2021-08-04 | 2023-08-29 | 国家计算机网络与信息安全管理中心 | 一种基于系统溯源图的大规模勒索软件分析方法和分析装置 |
| CN113904920B (zh) * | 2021-09-14 | 2023-10-03 | 上海纽盾科技股份有限公司 | 基于失陷设备的网络安全防御方法、装置及系统 |
| CN113852615A (zh) * | 2021-09-15 | 2021-12-28 | 广东电力信息科技有限公司 | 一种在多级dns环境中失陷主机监测方法及装置 |
| CN113890758B (zh) * | 2021-09-27 | 2024-04-12 | 深信服科技股份有限公司 | 一种威胁情报方法、装置、设备及计算机存储介质 |
| CN113992371B (zh) * | 2021-10-18 | 2023-08-18 | 安天科技集团股份有限公司 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
| CN113691566B (zh) * | 2021-10-26 | 2021-12-28 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
| CN114070629B (zh) * | 2021-11-16 | 2023-10-20 | 南京南瑞信息通信科技有限公司 | 针对apt攻击的安全编排与自动化响应方法、装置及系统 |
| CN114095261B (zh) * | 2021-11-24 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种攻击资产标记方法、装置、介质和设备 |
| CN114244809B (zh) * | 2021-12-24 | 2024-05-17 | 北京天融信网络安全技术有限公司 | 用于检测目标网络中主机失陷等级的方法及装置 |
| CN114363058B (zh) * | 2021-12-31 | 2024-02-23 | 深信服科技股份有限公司 | 一种设备探测方法、装置及相关设备 |
| CN114003904B (zh) * | 2021-12-31 | 2022-03-08 | 北京微步在线科技有限公司 | 情报共享方法、装置、计算机设备及存储介质 |
| CN114915452B (zh) * | 2022-04-11 | 2022-12-06 | 中国信息通信研究院 | 一种网络实体威胁标签的标定方法、系统及存储介质 |
| CN115001789B (zh) * | 2022-05-27 | 2024-04-02 | 绿盟科技集团股份有限公司 | 一种失陷设备检测方法、装置、设备及介质 |
| CN115242438B (zh) * | 2022-06-15 | 2023-09-01 | 国家计算机网络与信息安全管理中心 | 基于异质信息网络的潜在受害群体定位方法 |
| CN115051859A (zh) * | 2022-06-15 | 2022-09-13 | 国网智能电网研究院有限公司 | 情报分析方法、情报分析装置、电子设备及介质 |
| CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
| CN115225384B (zh) * | 2022-07-19 | 2024-01-23 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115514529B (zh) * | 2022-08-22 | 2023-09-22 | 智网安云(武汉)信息技术有限公司 | 一种威胁情报数据处理方法、设备及存储设备 |
| CN115987686B (zh) * | 2023-03-17 | 2023-06-06 | 北京启天安信科技有限公司 | 一种基于https代理的威胁检测方法 |
| CN116866069B (zh) * | 2023-08-08 | 2024-03-29 | 深圳市众志天成科技有限公司 | 一种基于大数据的网络风险行为识别方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9712554B2 (en) * | 2015-04-09 | 2017-07-18 | Accenture Global Services Limited | Event correlation across heterogeneous operations |
| CN106656991B (zh) * | 2016-10-28 | 2019-05-07 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| CN107800685A (zh) * | 2017-07-03 | 2018-03-13 | 南京骏腾信息技术有限公司 | 基于威胁情报的智能安全防御平台 |
| CN107566376B (zh) * | 2017-09-11 | 2020-05-05 | 中国信息安全测评中心 | 一种威胁情报生成方法、装置及系统 |
| CN107786564B (zh) * | 2017-11-02 | 2020-03-17 | 杭州安恒信息技术股份有限公司 | 基于威胁情报的攻击检测方法、系统及电子设备 |
| CN108763031B (zh) * | 2018-04-08 | 2022-05-24 | 奇安信科技集团股份有限公司 | 一种基于日志的威胁情报检测方法及装置 |
| CN109120626A (zh) * | 2018-08-28 | 2019-01-01 | 深信服科技股份有限公司 | 安全威胁处理方法、系统、安全感知服务器及存储介质 |
| CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
| CN109951477B (zh) * | 2019-03-18 | 2021-07-13 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| CN109962927B (zh) * | 2019-04-17 | 2022-01-04 | 杭州安恒信息技术股份有限公司 | 基于威胁情报的防攻击方法 |
-
2019
- 2019-10-16 CN CN201910984627.8A patent/CN110719291B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110719291A (zh) | 2020-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| EP3588898B1 (en) | Defense against apt attack | |
| CN110324310B (zh) | 网络资产指纹识别方法、系统及设备 | |
| EP3430560B1 (en) | Using private threat intelligence in public cloud | |
| CN109992989B (zh) | 使用抽象语法树的用于查询注入检测的系统 | |
| CN100448203C (zh) | 用于识别和防止恶意入侵的系统和方法 | |
| EP1244967B1 (en) | Method for automatic intrusion detection and deflection in a network | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| US10084806B2 (en) | Traffic simulation to identify malicious activity | |
| US20130067575A1 (en) | Detection of network security breaches based on analysis of network record logs | |
| CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN112887341B (zh) | 一种外部威胁监控方法 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| Leita et al. | Exploiting diverse observation perspectives to get insights on the malware landscape | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| CN113595981A (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| CN112583789A (zh) | 被非法登录的登录接口确定方法、装置及设备 | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| CN113691518A (zh) | 情报分析方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |