CN110881016A - 一种网络安全威胁评估方法及装置 - Google Patents

一种网络安全威胁评估方法及装置 Download PDF

Info

Publication number
CN110881016A
CN110881016A CN201811030800.2A CN201811030800A CN110881016A CN 110881016 A CN110881016 A CN 110881016A CN 201811030800 A CN201811030800 A CN 201811030800A CN 110881016 A CN110881016 A CN 110881016A
Authority
CN
China
Prior art keywords
security
event
scene
target
confidence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811030800.2A
Other languages
English (en)
Other versions
CN110881016B (zh
Inventor
许梦雯
李鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201811030800.2A priority Critical patent/CN110881016B/zh
Publication of CN110881016A publication Critical patent/CN110881016A/zh
Application granted granted Critical
Publication of CN110881016B publication Critical patent/CN110881016B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络安全威胁评估方法及装置,用于提高评估网络威胁的准确率。该方法包括:第一安全设备获取源或目的为第一主机的第一数据流;获得第一数据流中发生的安全事态和每个安全事态的置信度;根据所述安全事态和每个安全事态的置信度,匹配安全事件库中的事件匹配规则,输出至少一个目标安全事件和至少一个目标安全事件中的每个目标安全事件的置信度;根据至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则,输出至少一个目标场景和至少一个目标场景中的每个目标场景的置信度;根据至少一个目标场景中的每个目标场景的置信度,评估第一主机对网络的威胁程度。

Description

一种网络安全威胁评估方法及装置
技术领域
本申请涉及信息安全技术领域,尤其涉及一种网络安全威胁评估方法及装置。
背景技术
计算机网络已经成为一种不可缺少的信息交换工具。然而,由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,以及本身存在的技术弱点和人为的疏忽等原因,致使网络易受计算机病毒、黑客或恶意软件等威胁的侵害。面对侵袭网络安全的种种威胁,必须考虑网络安全这个至关重要的问题。
现有技术中,为了保障网络的安全性,通常是利用安全事态累积方法,对网络中存在的威胁进行分析上报。安全事态是指系统、服务或网络发生了一种可识别的状态,这里的“状态”可能是违反信息安全策略或防护措施失效,或是和安全关联的一个先前未知的状态。具体的,现有研究根据已有知识预定义多个不同的安全事态以及每个安全事态的分值,一个安全事态的分值用于表征该安全事态的威胁程度。在实际应用时,检测设备分别将网络中每个主机发生的安全事态对应的分值进行累加,并将不同主机对应累加得到的分值总和按照从大到小的顺序进行排序,最后将分值总和大于预设值的主机进行上报。
但是,上述方法仅关联了发生在同一主机上的不同安全事态,无法关联不同主机之间的安全事态,因此会存在一定程度的漏报和误报、且准确率较低。
发明内容
本申请提供一种网络安全威胁评估方法及装置,用于提高评估网络安全威胁的准确率,避免漏报和误报的发生。
第一方面,提供一种网络安全威胁评估方法,应用于包括第一主机和第一安全设备的网络中,第一安全设备用于评估第一主机对该网络的威胁程度,该方法包括:第一安全设备获取源或目的为第一主机的第一数据流;第一安全设备获得第一数据流中发生的安全事态和每个安全事态的置信度,置信度用于表征网络安全威胁程度;第一安全设备根据获得的安全事态和每个安全事态的置信度,匹配安全事件库中的事件匹配规则,输出至少一个目标安全事件和至少一个目标安全事件中的每个目标安全事件的置信度,安全事件库中包括多个安全事件分别对应的事件匹配规则,每个事件匹配规则包括一个安全事态或者多个安全事态的组合;第一安全设备根据至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则,输出至少一个目标场景和至少一个目标场景中的每个目标场景的置信度,预设场景库中包括多个预设场景分别对应的场景匹配规则,每个场景匹配规则包括一个安全事件或者多个安全事件的组合;第一安全设备根据至少一个目标场景中的每个目标场景的置信度,评估第一主机对网络的威胁程度。
上述技术方案中,第一安全设备通过获取源或目的为第一主机的第一数据流中发生的安全事态和每个安全事态的置信度,并匹配安全事件库和预设场景库,确定网络中第一主机对应的目标场景和目标场景的置信度,从而根据目标场景的置信度评估第一主机对网络的威胁程度,进而提高评估网络安全威胁的准确率,避免漏报和误报的发生。
在第一方面的一种可能的实现方式中,匹配安全事件库中的事件匹配规则,包括:从安全事件库中选择一个事件匹配规则,对选择出的事件匹配规则执行以下操作,直到对安全事件库中的每个事件匹配规则均执行完所述操作为止:确定选择出的事件匹配规则中包括的安全事态的组合中存在X个安全事态与第一数据流中发生的安全事态相同;从获得的第一数据流中发生的每个安全事态的置信度中,确定所述X个安全事态的置信度;根据所述X个安全事态的置信度、以及选择出的事件匹配规则中包括的安全事态的组合中安全事态的总数,确定选择出的事件匹配规则对应的安全事件的置信度;如果选择出的事件匹配规则对应的安全事件的置信度大于预设事件阈值,则将选择出的事件匹配规则对应的安全事件作为目标安全事件。上述可能的实现方式中,允许第一安全设备匹配安全事件库中的事件匹配规则时具有一定的容错性,从而提高第一安全设备匹配事件匹配规则的命中率,进而提高评估网络安全威胁的准确率,防止漏报。
在第一方面的一种可能的实现方式中,事件匹配规则包括多个安全事态的组合,该多个安全事态的组合中的X个安全事态按照第一预设顺序排列;相应地,将选择出的事件匹配规则对应的安全事件作为目标安全事件之前,还包括:确定第一数据流中发生的安全事态中所述X个安全事态的发生顺序为第二顺序;确定第二顺序与第一预设顺序相同。上述可能的实现方式中,能够提高第一安全设备匹配事件匹配规则的精确度,防止一定程度的误匹配,进而提高评估网络安全威胁的准确率,防止误报。
在第一方面的一种可能的实现方式中,匹配预设场景库中的场景匹配规则,包括:从预设场景库中选择一个场景匹配规则,对选择出的场景匹配规则执行以下操作,直到对预设场景库中的每个场景匹配规则均执行完所述操作为止:确定选择出的场景匹配规则中包括的安全事件的组合中存在Y个安全事件与至少一个目标安全事件相同;从至少一个目标安全事件中的每个目标安全事件的置信度中,确定所述Y个安全事件的置信度;根据所述Y个安全事件的置信度、以及选择出的场景匹配规则中包括的安全事件的组合中安全事件的总数,确定选择出的场景匹配规则对应的预设场景的置信度;如果选择出的场景匹配规则对应的预设场景的置信度大于预设场景阈值,则将选择出的场景匹配规则对应的预设场景作为目标场景。上述可能的实现方式中,允许第一安全设备匹配预设场景库中的场景匹配规则时具有一定的容错性,从而提高第一安全设备匹配场景匹配规则的命中率,进而提高评估网络安全威胁的准确率,防止漏报。
在第一方面的一种可能的实现方式中,场景匹配规则包括多个安全事件的组合,该多个安全事件的组合中的Y个安全事件按照第三预设顺序排列;相应地,将选择出的场景匹配规则对应的预设场景作为目标场景之前,还包括:确定至少一个目标安全事件中所述Y个目标安全事件的发生顺序为第四顺序;确定第四顺序与第三预设顺序相同。上述可能的实现方式中,能够提高第一安全设备匹配场景匹配规则的精确度,防止一定程度的误匹配,进而提高评估网络安全威胁的准确率,防止误报。
在第一方面的一种可能的实现方式中,根据获取的安全事态和每个安全事态的置信度,匹配预设安全事件库中的事件匹配规则,包括:第一安全设备获得该网络中第二安全设备检测到的安全事态,第二设备检测到的安全事态是从源或目的为第一主机的第二数据流中检测到的;述第一安全设备获得第二安全设备检测到的安全事态对应的置信度;根据第一数据流中发生的安全事态和每个安全事态的置信度、以及第二安全设备检测到的安全事态和检测到的安全事态的置信度,匹配预设安全事件库中的事件匹配规则。上述可能的实现方式中,能够提高获取第一主机上发生的安全事态的准确度,进而在进行后续评估时可以进一步提高评估的准确率。
在第一方面的一种可能的实现方式中,若根据至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则之后,存在未匹配到任意一个目标场景的目标安全事件,则根据至少一个目标场景分别对应的置信度,评估第一主机对该网络的威胁程度,包括:根据至少一个目标场景分别对应的置信度,以及未匹配到任意一个目标场景的目标安全事件的置信度,评估第一主机对所述网络的威胁程度。上述可能的实现方式中,能够进一步提高评估网络安全威胁的准确率。
在第一方面的一种可能的实现方式中,每个事件匹配规则包括的多个安全事态满足以下条件中的任一种:源IP地址相同、目的IP地址相同、源IP地址与目的IP地址相同。上述可能的实现方式中,提供了几种可能的事件匹配规则,能够提高事件匹配规则的多样性。
第二方面,提供一种安全设备,该安全设备作为第一安全设备,应用于包括第一主机和第一安全设备的网络中,第一安全设备用于评估第一主机对该网络的威胁程度,该安全设备包括:获取单元,用于获取源或目的为第一主机的第一数据流;获取单元,还用于获得第一数据流中发生的安全事态和每个安全事态的置信度,置信度用于表征网络安全威胁程度;匹配单元,用于根据获得的安全事态和每个安全事态的置信度,匹配安全事件库中的事件匹配规则,输出至少一个目标安全事件和至少一个目标安全事件中的每个目标安全事件的置信度,安全事件库中包括多个安全事件分别对应的事件匹配规则,每个事件匹配规则包括一个安全事态或者多个安全事态的组合;匹配单元,还用于根据至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则,输出至少一个目标场景和至少一个目标场景中的每个目标场景的置信度,预设场景库中包括多个预设场景分别对应的场景匹配规则,每个场景匹配规则包括一个安全事件或者多个安全事件的组合;评估单元,用于根据至少一个目标场景中的每个目标场景的置信度,评估第一主机对网络的威胁程度。
在第二方面的一种可能的实现方式中,匹配单元还用于:从安全事件库中选择一个事件匹配规则,对选择出的事件匹配规则执行以下操作,直到对安全事件库中的每个事件匹配规则均执行完所述操作为止:确定选择出的事件匹配规则中包括的安全事态的组合中存在X个安全事态与第一数据流中发生的安全事态相同;从获得的第一数据流中发生的每个安全事态的置信度中,确定所述X个安全事态的置信度;根据所述X个安全事态的置信度、以及选择出的事件匹配规则中包括的安全事态的组合中安全事态的总数,确定选择出的事件匹配规则对应的安全事件的置信度;如果选择出的事件匹配规则对应的安全事件的置信度大于预设事件阈值,则将选择出的事件匹配规则对应的安全事件作为目标安全事件。
在第二方面的一种可能的实现方式中,事件匹配规则包括多个安全事态的组合,该多个安全事态的组合中的X个安全事态按照第一预设顺序排列;相应地,匹配单元还用于:确定第一数据流中发生的安全事态中所述X个安全事态的发生顺序为第二顺序;确定第二顺序与第一预设顺序相同。
在第二方面的一种可能的实现方式中,匹配单元还用于:从预设场景库中选择一个场景匹配规则,对选择出的场景匹配规则执行以下操作,直到对预设场景库中的每个场景匹配规则均执行完所述操作为止:确定选择出的场景匹配规则中包括的安全事件的组合中存在Y个安全事件与至少一个目标安全事件相同;从至少一个目标安全事件中的每个目标安全事件的置信度中,确定所述Y个安全事件的置信度;根据所述Y个安全事件的置信度、以及选择出的场景匹配规则中包括的安全事件的组合中安全事件的总数,确定选择出的场景匹配规则对应的预设场景的置信度;如果选择出的场景匹配规则对应的预设场景的置信度大于预设场景阈值,则将选择出的场景匹配规则对应的预设场景作为目标场景。
在第二方面的一种可能的实现方式中,场景匹配规则包括多个安全事件的组合,该多个安全事件的组合中的Y个安全事件按照第三预设顺序排列;相应地,匹配单元还用于:确定至少一个目标安全事件中所述Y个目标安全事件的发生顺序为第四顺序;确定第四顺序与第三预设顺序相同。
在第二方面的一种可能的实现方式中,获取单元,还用于获得该网络中第二安全设备检测到的安全事态,第二设备检测到的安全事态是从源或目的为第一主机的第二数据流中检测到的;获取单元,还用于获得第二安全设备检测到的安全事态对应的置信度;匹配单元,还用于根据第一数据流中发生的安全事态和每个安全事态的置信度、以及第二安全设备检测到的安全事态和检测到的安全事态的置信度,匹配预设安全事件库中的事件匹配规则。
在第二方面的一种可能的实现方式中,若根据至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则之后,存在未匹配到任意一个目标场景的目标安全事件,则评估单元还用于:根据至少一个目标场景分别对应的置信度,以及未匹配到任意一个目标场景的目标安全事件的置信度,评估第一主机对该网络的威胁程度。
在第二方面的一种可能的实现方式中,每个事件匹配规则包括的多个安全事态满足以下条件中的任一种:源IP地址相同、目的IP地址相同、源IP地址与目的IP地址相同。
第三方面,提供一种安全设备,该安全设备包括处理器、存储器、通信接口和总线,处理器、存储器和通信接口通过总线连接;存储器用于存储程序代码,通信接口用于支持该安全设备进行通信,当该程序代码被处理器执行时,使得该安全设备执行上述第一方面或第一方面的任一种可能的实现方式所提供的网络安全威胁评估方法中的步骤。
本申请的又一方面,提供了一种网络系统,该网络系统包括第一主机和第一安全设备;其中,第一安全设备用于执行上述第一方面、或者第一方面的任一种可能的实现方式所提供的网络安全威胁评估方法。
本申请的又一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述第一方面、或者第一方面的任一种可能的实现方式所提供的网络安全威胁评估方法。
本申请的又一方面,提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面、或者第一方面的任一种可能的实现方式所提供的网络安全威胁评估方法。
本申请的又一方面,提供了一种芯片系统,该芯片系统包括存储器、处理器、总线和通信接口,存储器中存储代码和数据,处理器与存储器通过总线连接,处理器运行存储器中的代码使得该芯片系统执行第一方面或第一方面的任一种可能的实现方式所提供的网络安全威胁评估方法。
可以理解地,上述提供的任一种网络安全威胁评估方法的装置、计算机存储介质或者计算机程序产品均用于执行上文所提供的对应的方法,因此,所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
附图说明
图1为本申请实施例提供的一种网络的架构示意图;
图2为本申请实施例提供的一种网络中转发路径的示意图;
图3为本申请实施例提供的一种网络安全威胁评估方法的流程示意图;
图4为本申请实施例提供的一种计算置信度的示意图;
图5为本申请实施例提供的一种网络安全威胁评估的示意图;
图6为本申请实施例提供的另一种网络安全威胁评估的示意图;
图7为本申请实施例提供的一种装置的结构示意图;
图8为本申请实施例提供的另一种装置的结构示意图。
具体实施方式
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c或a-b-c,其中a、b和c可以是单个,也可以是多个。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请提供的网络安全威胁评估方法可适用于多种网络架构中。图1为本申请实施例提供的一种数据交换网络的架构示意图,参见图1,该数据交换网络包括主机101、报文转发设备102、第一安全设备103和第二安全设备104。
其中,主机101可以包括多个主机,该多个主机可以通过多种不同的方式接入该数据交换网络。比如,该多个主机可以通过图1所示的局域网接入区、广域网接入区和互联网接入区等接入该数据交换网络。在实际应用中,该多个主机可以包括固定电话、手机、平板电脑、笔记本电脑、计算机、上网本、车载设备和智能穿戴设备等。为便于描述,本申请实施例统称为主机,本申请中的第一主机可以是主机101中包括的多个主机中的任意一个主机。
报文转发设备102包括各种路由器和交换机。多个路由器和交换机组成的交换网络,用于实现不同主机之间的数据流交换,图1中以两个交换机为例进行说明。这里的数据流也可以称为流量(traffic flow)、分组流(packet flow)或者网络流(network flow)等,数据流是指从源计算机到目标计算机的数据包序列。其中,目标计算机可以是另一个计算机、一个多播组或一个广播域。请求注解(Request For Comments,RFC)3697将流量流定义为“从特定源发送到源希望标记为流的特定单播、任何广播或多播目的地的数据包序列”,其中RFC是一系列以编号排定的文件。流可以由特定传输连接或媒体流中的所有包组成。
在本申请实施例中,第一数据流和第二数据流是用于区分不同转发路径上的数据流。例如第一数据流用于表示涉及第一主机的一条转发路径上的数据流,且第一数据流的源或目的为第一主机,即第一数据流包括的每个数据包中的源IP地址或者目的IP地址为第一主机的IP地址。第二数据流用于表示涉及第一主机的另一条转发路径上的数据流,且第二数据流的源或目的为第一主机,即第二数据流包括的每个数据包中的源IP地址或者目的IP地址为第一主机的IP地址。上述两条转发路径是不同的转发路径。示例性的,如图2所示,假设报文转发设备102包括SW1、SW2、SW3、SW4和SW5五个交换机,第一主机与SW1连接,第一主机的第一条转发路径包括SW1、SW2和SW3,第一主机的第二转发路径可以包括SW1、SW4和SW5,则可以将第一条转发路径上源或者目的为第一主机的数据流称为第一数据流,将第二条转发路径上源或者目的为第一主机的数据流称为第二数据流。虽然本实施例中是以两条不同转发路径上的数据流为例对第一数据流和第二数据流进行说明,但只要第一数据流和第二数据流采集于不同的转发路径即可。例如第一数据流是第一组转发路径上的数据流,第二数据流是第二组转发路径上的数据流。不存在一个转发路径同时存在于第一组转发路径和第二组转发路径中。
第一安全设备103用于监视网络和系统的运行状况,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络和系统资源的机密性、完整性和可用性。比如,第一安全设备103为入侵检测系统(Intrusion Detection Systems,IDS)设备、或者入侵防御系统(Intrusion Protection Systems,IPS)设备。第二安全设备104可以依照特定的规则,允许或限制传输的数据流通过,以保证网络和系统的安全性,比如第二安全设备104可以是位于报文转发设备102与数据中心之间的防火墙。防火墙可以基于服务访问规则、验证工具、包过滤和应用网关等特征保护特定目标,例如保护数据中心。
在本申请实施例中,第一安全设备103和第二安全设备104均可以获取主机101的数据流并进行分析。比如,在图1所示的局域网接入区、广域网接入区和互联网接入区中分别设置一个流探针或者采集器,用于采集多个主机的数据流。第一安全设备103通过报文转发设备102获取采集到的多个主机的数据流,并根据获取的多个主机的数据流获得每个主机的安全事态。这里的安全事态可以是指系统、服务或网络发生了一种可识别的状态,这里的“状态”可能是违反信息安全策略或防护措施的失效,或是和安全关联的一个先前未知的状态。同理,在图1所示的数据中心中的每个数据区域分别设置一个流探针或者采集器,用于采集不同数据区域中多个主机的数据流,第二安全设备104通过流探针或者采集器获取多个主机的数据流,根据获取的多个主机的数据流获得每个主机的安全事态。
图3为本申请实施例提供的一种网络安全威胁评估方法的流程示意图,该方法应用于包括第一主机和第一安全设备的网络中,比如图1所示的数据交换网络。参见图3,该方法包括以下步骤。
S301:第一安全设备获取源或目的为第一主机的第一数据流。
其中,第一数据流是第一主机的一条转发路径上的数据流,第一数据流可以包括第一主机发送的数据流、和/或发送给第一主机的数据流。第一主机发送的数据流即源为第一主机的数据流,源为第一主机的数据流包括的每个数据包中的源IP地址为第一主机的IP地址。发送给第一主机的数据流即目的为第一主机的数据流,目的为第一主机的数据流包括的每个数据包中的目的IP地址为第一主机的IP地址。
具体地,第一安全设备可以是IDS设备或者IPS设备,第一安全设备可以接收由报文转发设备发送的源或目的为第一主机的第一数据流。比如,如图1所示,假设第一主机属于局域网接入区,在第一主机所在的局域网接入区与交换网络的连接处部署流探针。由流探针采集第一主机发送的数据流和/或发送给第一主机的数据流,并将采集到的第一主机的第一数据流发送给报文转发设备,由报文转发设备将第一数据流发送给第一安全设备。
进一步地,该网络中还包括第二主机,第一安全设备还可以获取第三数据流,第三数据流用于表示第二主机的一条转发路径上的数据流,且第三数据流的源或目的为第二主机,即第三数据流包括的每个数据包中的源IP地址或者目的IP地址为第二主机的IP地址。也即是,当该网络中包括多个主机时,第一安全设备可以获取源或目的为该多个主机中每个主机的数据流,具体获取方式与上述获取源或目的为第一主机的第一数据流的方式类似,本申请实施例以第一主机为例进行说明。
S302:第一安全设备获得第一数据流中发生的安全事态和每个安全事态的置信度,该置信度用于表征网络安全威胁程度。
其中,第一安全设备可以事先根据大量的样本数据流进行模型训练,以得到不同种类的安全事态模型和每种安全事态模型中心的特征向量。每个安全事态模型是多个流的多个特征的组合,上述样本数据流包括正常数据流和异常数据流,正常数据流是指不具有安全威胁的正常数据流,异常数据流是指具有安全威胁的异常数据流。比如,第一安全设备通过训练得到的安全事态模型可以包括暴力破解模型、权限提升模型、恶意文件下载模型、木马攻击模型、域名系统(Domain Name System,DNS)隐蔽通道模型、非浏览器访问模型和注入攻击模型;相应的,上述安全事态模型对应的安全事态分别是暴力破解、权限提升恶意文件下载、木马攻击、DNS隐蔽通道、非浏览器访问和注入攻击。需要说明的是,上述列举的安全事态模型和安全事态仅为示例性的,在实际应用中还可以包括其他安全事态模型和其他安全事态,本申请实施例对此不作具体限定。
具体地,第一安全设备可以获取第一数据流包括的数据流的多个特征,该多个特征可以包括协议类型、服务标识、流标识、或者该数据流的字节数等。之后,对于第一数据流包括的每个数据流,第一安全设备利用事先训练的安全事态模型对该数据流进行分类,即确定事先训练的安全事态模型中是否存在一种安全事态模型包括的多个特征与该数据流的多个特征一致;若存在一种安全事态模型包括的多个特征与该数据流的多个特征一致,则确定该数据流属于该安全事态模型,进而该数据流产生的安全事态即为该安全事态模型对应的安全事态。对于产生的安全事态的置信度,第一安全设备可以通过以下方式获得:将该数据流的特征向量与该安全事态模型中心的特征向量之间的欧式距离的相关函数(比如,高斯函数)值作为该安全事态的置信度。比如,如图4所示,假设u表示一种安全事态模型中心的特征向量所在的点,v表示第一数据流中产生该安全事态的数据流的特征向量所在的点,则该安全事态的置信度为u与v之间的欧式距离的高斯函数值。
需要说明的是,第一数据流中的两个不同的数据流可能产生相同的安全事态,所述相同的安全事态的置信度可能相同、也可能不同,具体由上述欧式距离决定。比如,第一数据流中的数据流flow_1和flow_2产生的安全事态相同,flow_1产生的安全事态的置信度为0.2,flow_2产生的安全事态的置信度为0.3。
另外,每个安全事态会对应一个源和目的,一个数据流产生的安全事态对应的源和目的与该数据流一致。比如,当该数据流的源为第一主机时,该数据流产生的安全事态的源也为第一主机,即该安全事态对应的源IP为第一主机的IP地址;当该数据流的目的为第一主机时,该数据流产生的安全事态的目的也为第一主机,即该安全事态对应的目的IP为第一主机的IP地址。
S303:第一安全设备根据获得的安全事态和每个安全事态的置信度,匹配安全事件库中的事件匹配规则,输出至少一个目标安全事件和每个目标安全事件的置信度。
其中,安全事件库中包括多个安全事件分别对应的事件匹配规则,即一个安全事件可以对应一个事件匹配规则,每个事件匹配规则包括一个安全事态或者多个安全事态的组合。当一个事件匹配规则包括多个安全事态的组合时,该多个安全事态可以满足以下条件中的任一种:源IP地址相同、目的IP地址相同、源IP地址与目的IP地址相同。上述源IP地址相同是指该多个安全事态的源IP地址均相同,目的IP地址相同是指该多个安全事态的目的IP地址均相同,源IP地址与目的IP地址相同是指该多个安全事态中的部分安全事态的源IP地址与另一部分安全事态的目的IP地址相同。
示例性的,假设一个事件匹配规则包括两个安全事态的组合,两个安全事态分别表示为事态1和事态2,则事态1和事态2满足上述条件中的任一种具体包括:事态1的源IP地址与事态2的源IP地址相同,事态1的目的IP地址与事态2的目的IP地址相同,事态1的源IP地址与事态2的目的IP地址相同,或者事态1的目的IP地址与事态2的源IP地址相同。
需要说明的是,对于满足源IP地址与目的IP地址相同的条件,所述部分安全事态的源IP地址与所述另一部分安全事态的目的IP地址相同中的所述部分安全事态和所述另一部分安全事态具体可以设定。比如,一个事件匹配规则包括暴力破解、权限提升、非浏览器访问和文件外发四个安全事态的组合,且四个安全事态满足以下条件:暴力破解的目的IP地址与权限提升的源IP地址相同、非浏览器访问的源IP地址和文件外发的源IP地址相同。
可选地,匹配安全事件库中的事件匹配规则,包括:从安全事件库中选择一个事件匹配规则,对选择出的事件匹配规则执行以下操作,直到对安全事件库中的每个事件匹配规则均执行完所述操作为止:确定选择出的事件匹配规则中包括的安全事态的组合中存在X个安全事态与第一数据流中发生的安全事态相同,X为正整数;从第一数据流中发生的每个安全事态的置信度中,确定所述X个安全事态的置信度;根据所述X个安全事态的置信度、以及选择出的事件匹配规则中包括的安全事态的组合中安全事态的总数,确定选择出的事件匹配规则对应的安全事件的置信度;如果选择出的事件匹配规则对应的安全事件的置信度大于预设事件阈值,则将选择出的事件匹配规则对应的安全事件作为目标安全事件。
其中,在确定选择出的事件匹配规则对应的安全事件的置信度时,假设所述X个安全事态的置信度分别为a1、a2、……、aX,选择出的事件匹配规则中包括的安全事态的组合中安全事态的总数为M,则上述所述X个安全事态的置信度、以及选择出的事件匹配规则中包括的安全事态的组合中安全事态的总数,确定选择出的事件匹配规则对应的安全事件的置信度b可以通过以下公式(1)计算得到。
Figure BDA0001789679320000091
比如,第一数据流中发生的安全事态包括事态1、事态2和事态3,对应的置信度分别为0.8、0.7和0.3。当第一安全设备从安全事件库中选择出的一个事件匹配规则包括事态1和事态2的组合时,则匹配该事件匹配规则的过程可以为:确定该事件匹配规则中存在2个安全事态(即事态1和事态2)与第一数据流中发生的安全事态相同;根据第一数据流中发生的每个安全事态的置信度中,确定事态1的置信度为0.8、事态2的置信度为0.7;根据上述公式(1)确定选择出的事件匹配规则对应的安全事件(后续表示为事件1)的置信度为(0.8+0.7)/3=0.5;假设事件1对应的预设事件阈值为0.4,事件1的置信度0.5大于0.4,则将事件1作为目标安全事件。再比如,当第一安全设备从安全事件库中选择出的一个事件匹配规则包括事态3和事态4的组合时,则匹配该事件匹配规则的过程可以为:确定该事件匹配规则中存在1个安全事态(即事态3)与第一数据流中发生的安全事态相同;根据第一数据流中发生的每个安全事态的置信度中,确定事态3的置信度为0.3;根据上述公式(1)确定选择出的事件匹配规则对应的安全事件(后续表示为事件2)的置信度为0.3/2=0.15;假设事件2对应的预设事件阈值为0.3,事件2的置信度0.15小于0.3,则事件2不作为目标安全事件。
需要说明的是,事件匹配规则和预设事件阈值可以由本领域技术人员根据实际需求事先设定,不同的安全事件可以对应不同的事件匹配规则,不同的安全事件对应的预设事件阈值可能相同或不同,本申请实施例对此不作具体限定。另外,当第一数据流中发生的安全事态包括两个相同的安全事态且置信度不同时,匹配选择的事件匹配规则时可以选择较大的置信度进行计算。
进一步地,当一个事件匹配规则包括多个安全事态的组合时,该多个安全事态之间还可以存在顺序关系,或者该多个安全事态中的部分安全事态之间存在顺序关系,该顺序关系可以是指安全事态的发生时间的先后顺序。具体地,当一个事件匹配规则包括多个安全事态的组合时,该多个安全事态的组合中的X个安全事态可以按照第一预设顺序排列。
相应地,第一安全设备将选择出的事件匹配规则对应的安全事件作为目标安全事件之前,该方法还包括:确定第一数据流中发生的安全事态中所述X个安全事态的发生顺序为第二顺序;确定第二顺序与第一预设顺序相同。也即是,在第一安全设备将选择出的事件匹配规则对应的安全事件作为目标安全事件时,还需要确定第一数据流中发生的安全事态中所述X个安全事态的发生顺序与第一预设顺序所指示的发生顺序相同。
比如,在上述事件1对应的例子中,假设第一预设顺序为:事态1—>事态2,则第一安全设备将事件1作为目标安全事件之前,该方法还包括:根据第一数据流中发生的安全事态中事态1和事态2的发生时间,确定事态1和事态2的发生顺序为:事态1—>事态2(即第二顺序),确定第二顺序与第一预设顺序相同(即均为事态1—>事态2),进而将事件1作为目标安全事件。
可选地,每个事件匹配规则中还可以规定该事件匹配规则包括的多个安全事态之间的时间间隔,比如规定相邻两个安全事态发生的时间间隔,每个安全事态发生的时间可以从该安全事态对应的时间戳中获取。
进一步地,在第一安全设备执行上述S303时,第一安全设备还可以通过执行以下步骤来实现:第一安全设备获取该网络中第二安全设备检测到的安全事态,第二设备检测到的安全事态是从源或目的为第一主机的第二数据流中检测到的;第一安全设备获得第二安全设备检测到的安全事态对应的置信度;根据第一数据流中发生的安全事态和每个安全事态的置信度、以及第二安全设备检测到的安全事态和检测到的安全事态的置信度,匹配预设安全事件库中的事件匹配规则。
其中,第二数据流是第一主机的另一条转发路径上的数据流,第二数据流可以包括第一主机发送的数据流、和/或发送给第一主机的数据流,且第二数据流对应的转发路径与第一数据流对应的转发路径不同。第二安全设备可以是防火墙,第二安全设备检测到的安全事态对应的置信度可以预定义,比如本领域技术人员根据实际需求预定义多种不同的安全事态和每种安全事态对应的置信度,不同的安全事态可以对应不同的置信度,也可以对应相同的置信度。
具体地,第二安全设备可以从源或目的为第一主机的第二数据流中检测安全事态,并将检测到的安全事态发送给第一安全设备,以使第一安全设备获取到第二安全设备检测到的安全事态。第一安全设备可以根据预定义的安全事态的置信度,获得第二安全设备检测到的安全事态对应的置信度。之后,第一安全设备根据S302中获得的安全事态和每个安全事态的置信度、以及第二安全设备检测到的安全事态和检测到的安全事态的置信度,匹配预设安全事件库中的事件匹配规则。需要说明的是,匹配预设安全事件库中的事件匹配规则的具体过程与上述S303中的相关描述一致,本申请实施例在此不再赘述。
S304:第一安全设备根据至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则,输出至少一个目标场景和至少一个目标场景中的每个目标场景的置信度。
其中,预设场景库中包括多个预设场景分别对应的场景匹配规则,每个场景匹配规则包括一个安全事件或者多个安全事件的组合。所述多个预设场景分别对应的场景匹配规则可以由本领域技术人员根据实际需求事先设定,不同的预设场景可以对应不同的场景匹配规则。当一个场景匹配规则包括多个安全事件的组合时,该多个安全事件可以满足以下条件中的任一种:源IP地址相同、目的IP地址相同、源IP地址与目的IP地址相同。每个安全事件的源IP地址和目的IP地址由组合成该安全事件的安全事态的源IP地址和目的IP地址决定,比如,一个安全事件包括先恶意文件下载后DNS隐蔽通道的组合,则该安全事件的源IP地址即为恶意文件下载的源IP地址,该安全事件的目的IP地址即为DNS隐蔽通道的目的IP地址。
可选地,匹配预设场景库中的场景匹配规则,包括:从预设场景库中选择一个场景匹配规则,对选择出的场景匹配规则执行以下操作,直到对预设场景库中的每个场景匹配规则均执行完所述操作为止:确定选择出的场景匹配规则中包括的安全事件的组合中存在Y个安全事件与至少一个目标安全事件相同;从至少一个目标安全事件中的每个目标安全事件的置信度中,确定所述Y个安全事件的置信度;所述Y个安全事件的置信度、以及选择出的场景匹配规则中包括的安全事件的组合中安全事件的总数,确定选择出的场景匹配规则对应的预设场景的置信度;如果选择出的场景匹配规则对应的预设场景的置信度大于预设场景阈值,则将选择出的场景匹配规则对应的预设场景作为目标场景。
其中,在确定选择出的场景匹配规则对应的预设场景的置信度时,假设所述Y个安全事件的置信度分别为b1、b2、……、bY,选择出的场景匹配规则中包括的安全事件的组合中安全事件的总数为N,则上述所述Y个安全事件的置信度、以及选择出的场景匹配规则中包括的安全事件的组合中安全事态的总数,确定选择出的场景匹配规则对应的预设场景的置信度c可以通过以下公式(2)计算得到。
Figure BDA0001789679320000111
比如,至少一个目标安全事件包括事件1、事件2和事件3,对应的置信度分别为0.6、0.4和0.4,当第一安全设备从预设场景库中选择出的一个场景匹配规则包括事件1和事件2的组合时,则匹配该场景匹配规则的过程可以为:确定该场景匹配规则中存在2个安全事件(即事件1和事件2)与至少一个目标安全事件相同;根据至少一个目标安全事件中每个目标安全事件的置信度中,确定事件1的置信度为0.6、事件2的置信度为0.4;根据上述公式(2)确定选择出的场景匹配规则对应的预设场景(后续表示为场景1)的置信度为(0.6+0.4)/2=0.5;假设场景1对应的预设场景阈值为0.4,场景1的置信度0.5大于0.4,则将场景1作为目标场景。再比如,当第一安全设备从预设场景库中选择出的一个场景匹配规则包括事件3和事件4的组合时,则匹配该场景匹配规则的过程可以为:确定该场景匹配规则中存在1个安全事件(即事件3)与至少一个目标安全事件相同;根据至少一个目标安全事件中每个目标安全事件的置信度中,确定事件3的置信度为0.4;根据上述公式(2)确定选择出的场景匹配规则对应的预设场景(后续表示为场景2)的置信度为0.4/2=0.2;假设场景2对应的预设场景阈值为0.3,场景2的置信度0.2小于0.3,则场景2不作为目标场景。
需要说明的是,预设场景阈值可以由本领域技术人员根据实际需求事先设定,不同的预设场景对应的预设场景阈值可能相同或不同,本申请实施例对此不作具体限定。
进一步地,当一个场景匹配规则包括多个安全事件的组合时,该多个安全事件之间还可以存在顺序关系,或者该多个安全事件中的部分安全事件之间存在顺序关系,该顺序关系可以是指安全事件的发生时间的先后顺序。具体地,当一个场景匹配规则包括多个安全事件的组合时,该多个安全事件的组合中的Y个安全事件可以按照第三预设顺序排列。
相应地,第一安全设备将选择出的场景匹配规则对应的预设场景作为目标场景之前,该方法还包括:确定至少一个目标安全事件中所述Y个目标安全事件的发生顺序为第四顺序;确定第四顺序与第三预设顺序相同。也即是,在第一安全设备将选择出的场景匹配规则对应的预设场景作为目标场景时,还需要确定至少一个目标安全事件中所述Y个目标安全事件的发生顺序与第三预设顺序所指示的发生顺序相同。
比如,在上述场景1对应的例子中,假设第三预设顺序为:事件1—>事件2,则第一安全设备将场景1作为目标场景之前,该方法还包括:根据至少一个目标安全事件中事件1和事件2的发生时间,确定事件1和事件2的发生顺序为:事件1—>事件2(即第四顺序),确定第四顺序与第三预设顺序相同(即均为事件1—>事件2),进而将场景1作为目标场景。
可选地,每个场景匹配规则中还可以规定该场景匹配规则包括的多个安全事件之间的时间间隔,比如规定相邻两个安全事件发生的时间间隔,每个安全事件发生的时间可以从该安全事件对应的时间戳中获取。
进一步地,上述S304中仅以第一主机的数据流对应的目标安全事件和目标安全事件的置信度,匹配预设场景库中的场景匹配规则为例进行说明。在实际应用中,第一安全设备可以利用多个主机中每个主机的数据流对应的目标安全事件和目标安全事件的置信度匹配预设场景库中的场景匹配规则。一个场景匹配规则中包括多个安全事件的组合时,该多个安全事件可以是一个主机的安全事件,也可以是多个主机的安全事件,即多个安全事件涉及到的主机可以是一个或者多个。
为便于理解,这里以图5所示的多个主机为例进行说明。如图5所示,假设该多个主机包括主机1至主机4(图5中表示为H1至H4),一个预设场景包括三个目标安全事件的组合且分别为恶意文件下载后DNS隐蔽通道(图5中表示为I1)、木马攻击(图5中表示为I2)和注入攻击(图5中表示为I3),主机1至主机4的数据流分别对应的目标安全事件为I3、I1和I3、I1和I2、I1和I2。第一安全设备可以分别利用每个主机的数据流对应的目标安全事件匹配该预设场景对应的场景匹配规则,该场景匹配规则中三个目标安全事件(图5中的箭头表示从源至目的)满足以下条件:I1的源IP地址与I3的目的IP地址相同,I1的目的IP地址与I2的源IP地址相同。具体利用每个主机的数据流对应的目标安全事件匹配该预设场景对应的场景匹配规则的过程可以参见上述相关描述,本申请实施例对此不再赘述。
S305:第一安全设备根据至少一个目标场景中的每个目标场景的置信度,评估第一主机对该网络的威胁程度。
其中,多个预设场景中的每个预设场景可以对应一个威胁程度,且每个预设场景对应的威胁程度可以由本领域技术人员根据实际需求事先设定,不同的预设场景对应的威胁程度可能相同或不同,本申请实施例对此不作具体限定。至少一个目标场景可以包括一个或者多个目标场景,每个目标场景均属于多个预设场景,从而每个目标场景对应一个威胁程度。
可选地,当至少一个目标场景包括一个目标场景时,第一安全设备可以确定该目标场景的置信度与该目标场景的威胁程度的乘积,该乘积即为第一主机对该网络的威胁程度。当至少一个目标场景包括多个目标场景时,第一安全设备可以分别确定每个目标场景的置信度与该目标场景的威胁程度的乘积,并确定多个目标场景计算得到的乘积之和,该乘积之和即为第一主机对该网络的威胁程度。
比如,至少一个目标场景包括3个目标场景,对应的置信度分别为c1、c2和c3,对应的威胁程度为d1、d2和d3,则第一安全设备可以分别确定每个目标场景的置信度与该目标场景的威胁程度的乘积,得到c1d1、c2d2和c3d3,确定3个目标场景计算得到的乘积之和为(c1d1+c2d2+c3d3),进而第一主机对该网络的威胁程度为(c1d1+c2d2+c3d3)。
需要说明的是,每个目标场景(即上述S304中的预设场景)的威胁程度也可以由本领域技术人员根据实际需求事先设定,不同的预设场景对应的威胁程度可能相同或不同,本申请实施例对此不作具体限定。
进一步地,若根据至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则之后,存在未匹配到任意一个目标场景的目标安全事件,则上述S305可以包括:根据至少一个目标场景分别对应的置信度,以及未匹配到任意一个目标场景的目标安全事件的置信度,评估第一主机对该网络的威胁程度。
其中,安全事件库中每个事件匹配规则对应的安全事件可以对应一个威胁程度,且每个安全事件对应的威胁程度可以由本领域技术人员根据实际需求事先设定,不同的安全事件对应的威胁程度可能相同或不同,本申请实施例对此不作具体限定。至少一个目标安全事件可以包括一个或者多个目标安全事件,每个目标安全事件均属于事件匹配规则对应的安全事件,从而每个目标安全事件对应一个威胁程度。
可选地,第一安全设备可以根据如下公式(3)评估第一主机对该网络的威胁程度。式中,S表示第一主机对该网络的威胁程度,P表示至少一个目标场景中包括的目标场景的总数量,ci和di分别表示第i个目标场景对应的置信度和威胁程度,Q表示未匹配到任意一个目标场景的目标安全事件的总数量,bj和ej分别表示第j个目标安全事件对应的置信度和威胁程度。
Figure BDA0001789679320000131
进一步地,第一安全设备可以周期性地执行上述S301-S305,也可以实时地执行上述S301-S305。相应地,在第一安全设备周期性地或者实时地执行上述S301-S305的过程中,产生的安全事态、至少一个目标安全事件、至少一个目标场景和第一主机对该网络的威胁程度都也是周期性或者实时变化的。此时,若产生的安全事态中存在长时间未匹配到任意一个目标安全事件的安全事态、或者至少一个目标安全事件中存在长时间未匹配到任意一个目标场景的目标安全事件,则第一安全设备还可以从缓存中删除未匹配到任意一个目标安全事件的安全事态和未匹配到任意一个目标场景的目标安全事件。
为便于理解,这里以图5所示的H1至H4、安全事件库中包括I1至I3对应的事件匹配规则为例,对不同时间点(T1时刻、T2时刻、T3时刻和T4时刻)下第一安全设备执行上述方法的情况进行举例说明。在下述举例中,假设每个安全事件的预设事件阈值均为0.5,一个预设场景包括恶意文件下载后DNS隐蔽通道、木马攻击和注入攻击的组合,该预设场景对应的威胁程度为0.9,预设场景阈值均为0.3,图5中不同主机之间的箭头表示对应发生的安全事态的源和目的。
如图6所示,假设在T1时刻获取的安全事态为注入攻击,且该注入攻击的置信度为0.8,该注入攻击与I1对应的事件匹配规则匹配且I1的置信度为0.8(大于0.5),则I1作为一个目标安全事件;利用该目标安事件匹配该预设场景对应的场景匹配规则,计算得到该预设场景对应的置信度为0.8/3*0.9=0.24(小于0.3),该预设场景不作为目标场景。假设在T2时刻获取的安全事态为恶意文件下载,且该恶意文件下载的置信度为0.8,该恶意文件下载与I2对应的事件匹配规则匹配,计算得到I2的置信度为0.4(小于0.5),则I2不作为目标安全事件。假设在T3时刻获取的安全事态为木马攻击,且该木马攻击的置信度为0.8,该木马攻击与I3对应的事件匹配规则匹配且I3的置信度为0.8(大于0.5),则I3作为一个目标安全事件;利用上述I1和I3匹配该预设场景对应的场景匹配规则,计算得到该预设场景对应的置信度为(I1的置信度+I3的置信度)/该预设场景对应的场景匹配规则包括的安全事件的总数*预设场景阈值=(0.8+0.8)/3*0.9=0.48(大于0.3),该预设场景作为目标场景,并且更新主机2和主机3对该网络的威胁程度。假设在T4时刻获取的安全事态为DNS隐蔽通道,且该DNS隐蔽通道的置信度为0.6,该DNS隐蔽通道和上述恶意文件下载与I2对应的事件匹配规则匹配且I2的置信度为(该DNS隐蔽通道的置信度+该恶意文件下载的置信度)/I2对应的事件匹配规则包括的安全事态的总数=(0.8+0.6)/2=0.7(大于0.5),则I2作为一个目标安全事件;利用上述I1、I2和I3匹配该预设场景对应的场景匹配规则,计算得到该预设场景对应的置信度为(I1的置信度+I2的置信度+I3的置信度)/该预设场景对应的场景匹配规则包括的安全事件的总数*预设场景阈值=(0.8+0.7+0.8)/3*0.9=0.69(大于0.3),该预设场景作为目标场景,并且更新主机2和主机3对该网络的威胁程度。
在本申请实施例中,第一安全设备通过获取源或目的为第一主机的第一数据流中发生的安全事态和每个安全事态的置信度,并匹配安全事件库和预设场景库,确定网络中第一主机对应的目标场景和目标场景的置信度,从而根据目标场景的置信度评估第一主机对网络的威胁程度,进而提高评估网络安全威胁的准确率。同时,对于网络中的多个主机,第一安全设备能够将同一安全事件或者同一预设场景中不同主机上发生的安全事态进行关联,从而避免漏报和误报的发生。
上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,各个网元,例如第一安全设备,为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件、软件或硬件和机软件相结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对第一安全设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。下面以采用对应各个功能划分各个功能模块为例进行说明。
图7示出了上述实施例中所涉及的一种装置的结构示意图,该装置可以实现本申请实施例提供的方法中第一安全设备的功能。该装置可以为第一安全设备或者为可以支持第一安全设备实现本申请实施例中第一安全设备的功能的装置,例如该装置为应用于第一安全设备中的芯片系统。该装置包括:获取单元701、匹配单元702和评估单元703。其中,获取单元701可以用于支持图7所示的装置执行上述方法实施例中的S301和S302;匹配单元702可以用于支持图7所示的装置执行上述方法实施例中的S303和S304;评估单元703用于支持图7所示的装置执行上述方法实施例中的S305。上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在采用硬件实现的基础上,本申请实施例中的匹配单元702和评估单元703可以具有该装置中处理器的功能,获取单元701可以同时具有处理器和通信接口的功能,具体的通信接口还可以称为收发器,收发器可以是接收器和收发器的集成。
图8所示,为本申请的实施例提供的上述实施例中所涉及的装置的一种可能的逻辑结构示意图。该装置包括:存储器801、处理器802、通信接口803和总线804,处理器802、通信接口803以及存储器801通过总线804相互连接。其中,处理器802用于对该装置的动作进行控制管理,例如,处理器802用于支持该装置执行上述实施例中的S302至S305,和/或用于本文所描述的技术的其他过程。通信接口803用于支持该装置进行通信;存储器801用于存储该装置的程序代码和数据。
其中,处理器802可以是中央处理器单元,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,数字信号处理器和微处理器的组合等等。总线804可以是外设部件互连标准(PeripheralComponent Interconnect express,PCIe)总线或扩展工业标准结构(Extended IndustryStandard Architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例还提供一种网络系统,该网络包括第一主机和第一安全设备;其中,第一安全设备可以为上述图7或者图8所示,第一安全设备用于执行上述方法实施例提供的网络安全威胁评估方法中第一安全设备的相关步骤。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于网络系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员将会理解,本申请的各个方面、或各个方面的可能实现方式可以被具体实施为计算机程序产品。计算机程序产品是指存储在计算机可读介质中的计算机可读程序代码。
计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包括但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或者装置,或者前述的任意适当组合。如计算机可读存储介质为随机存取存储器、只读存储器、可擦除可编程只读存储器或便携式只读存储器等等。
最后应说明的是:以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (19)

1.一种网络安全威胁评估方法,其特征在于,应用于包括第一主机和第一安全设备的网络中,所述第一安全设备用于评估所述第一主机对所述网络的威胁程度,所述方法包括:
所述第一安全设备获取源或目的为所述第一主机的第一数据流;
所述第一安全设备获得所述第一数据流中发生的安全事态和每个所述安全事态的置信度,所述置信度用于表征网络安全威胁程度;
所述第一安全设备根据所述安全事态和每个安全事态的置信度,匹配安全事件库中的事件匹配规则,输出至少一个目标安全事件和所述至少一个目标安全事件中的每个目标安全事件的置信度,所述安全事件库中包括多个安全事件分别对应的事件匹配规则,每个所述事件匹配规则包括一个安全事态或者多个安全事态的组合;
所述第一安全设备根据所述至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则,输出至少一个目标场景和所述至少一个目标场景中的每个目标场景的置信度,所述预设场景库中包括多个预设场景分别对应的场景匹配规则,每个所述场景匹配规则包括一个安全事件或者多个安全事件的组合;
所述第一安全设备根据所述至少一个目标场景中的每个目标场景的置信度,评估所述第一主机对所述网络的威胁程度。
2.根据权利要求1所述的方法,其特征在于,所述匹配安全事件库中的事件匹配规则,包括:
从所述安全事件库中选择一个事件匹配规则,对选择出的事件匹配规则执行以下操作,直到对所述安全事件库中的每个事件匹配规则均执行完所述操作为止:
确定选择出的事件匹配规则中包括的安全事态的组合中存在X个安全事态与所述第一数据流中发生的安全事态相同;
从获得的所述第一数据流中发生的每个所述安全事态的置信度中,确定所述X个安全事态的置信度;
根据所述X个安全事态的置信度、以及所述选择出的事件匹配规则中包括的安全事态的组合中安全事态的总数,确定所述选择出的事件匹配规则对应的安全事件的置信度;
如果所述选择出的事件匹配规则对应的安全事件的置信度大于预设事件阈值,则将所述选择出的事件匹配规则对应的安全事件作为目标安全事件。
3.根据权利要求2所述的方法,其特征在于,所述事件匹配规则包括多个安全事态的组合,所述多个安全事态的组合中的X个安全事态按照第一预设顺序排列;
相应地,将所述选择出的事件匹配规则对应的安全事件作为目标安全事件之前,还包括:
确定所述第一数据流中发生的安全事态中所述X个安全事态的发生顺序为第二顺序;
确定所述第二顺序与所述第一预设顺序相同。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述匹配预设场景库中的场景匹配规则,包括:
从所述预设场景库中选择一个场景匹配规则,对选择出的场景匹配规则执行以下操作,直到对所述预设场景库中的每个场景匹配规则均执行完所述操作为止:
确定选择出的场景匹配规则中包括的安全事件的组合中存在Y个安全事件与所述至少一个目标安全事件相同;
从所述至少一个目标安全事件中的每个所述目标安全事件的置信度中,确定所述Y个安全事件的置信度;
根据所述Y个安全事件的置信度、以及所述选择出的场景匹配规则中包括的安全事件的组合中安全事件的总数,确定所述选择出的场景匹配规则对应的预设场景的置信度;
如果所述选择出的场景匹配规则对应的预设场景的置信度大于预设场景阈值,则将所述选择出的场景匹配规则对应的预设场景作为目标场景。
5.根据权利要求4所述的方法,其特征在于,所述场景匹配规则包括多个安全事件的组合,所述多个安全事件的组合中的Y个安全事件按照第三预设顺序排列;
相应地,将所述选择出的场景匹配规则对应的预设场景作为目标场景之前,还包括:
确定所述至少一个目标安全事件中所述Y个目标安全事件的发生顺序为第四顺序;
确定所述第四顺序与所述第三预设顺序相同。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述根据所述安全事态和每个安全事态的置信度,匹配预设安全事件库中的事件匹配规则,包括:
所述第一安全设备获得所述网络中第二安全设备检测到的安全事态,所述第二设备检测到的安全事态是从源或目的为所述第一主机的第二数据流中检测到的;
所述第一安全设备获得所述第二安全设备检测到的安全事态对应的置信度;
根据所述第一数据流中发生的安全事态和每个安全事态的置信度、以及所述第二安全设备检测到的安全事态和所述检测到的安全事态的置信度,匹配预设安全事件库中的事件匹配规则。
7.根据权利要求1-6任一项所述的方法,其特征在于,若根据所述至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则之后,存在未匹配到任意一个目标场景的目标安全事件,则所述根据所述至少一个目标场景分别对应的置信度,评估所述第一主机对所述网络的威胁程度,包括:
根据所述至少一个目标场景分别对应的置信度,以及所述未匹配到任意一个目标场景的目标安全事件的置信度,评估所述第一主机对所述网络的威胁程度。
8.根据权利要求1-7任一项所述的方法,其特征在于,每个事件匹配规则包括的多个安全事态满足以下条件中的任一种:源IP地址相同、目的IP地址相同、源IP地址与目的IP地址相同。
9.一种安全设备,其特征在于,所述安全设备作为第一安全设备,应用于包括第一主机和所述第一安全设备的网络中,所述第一安全设备用于评估所述第一主机对所述网络的威胁程度,所述安全设备包括:
获取单元,用于获取源或目的为所述第一主机的第一数据流;
所述获取单元,还用于获得所述第一数据流中发生的安全事态和每个所述安全事态的置信度,所述置信度用于表征网络安全威胁程度;
匹配单元,用于根据所述安全事态和每个安全事态的置信度,匹配安全事件库中的事件匹配规则,输出至少一个目标安全事件和所述至少一个目标安全事件中的每个目标安全事件的置信度,所述安全事件库中包括多个安全事件分别对应的事件匹配规则,每个所述事件匹配规则包括一个安全事态或者多个安全事态的组合;
所述匹配单元,还用于根据所述至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则,输出至少一个目标场景和所述至少一个目标场景中的每个目标场景的置信度,所述预设场景库中包括多个预设场景分别对应的场景匹配规则,每个所述场景匹配规则包括一个安全事件或者多个安全事件的组合;
评估单元,用于根据所述至少一个目标场景中的每个目标场景的置信度,评估所述第一主机对所述网络的威胁程度。
10.根据权利要求9所述的安全设备,其特征在于,所述匹配单元,还用于:
从所述安全事件库中选择一个事件匹配规则,对选择出的事件匹配规则执行以下操作,直到对所述安全事件库中的每个事件匹配规则均执行完所述操作为止:
确定选择出的事件匹配规则中包括的安全事态的组合中存在X个安全事态与所述第一数据流中发生的安全事态相同;
从获得的所述第一数据流中发生的每个所述安全事态的置信度中,确定所述X个安全事态的置信度;
根据所述X个安全事态的置信度、以及所述选择出的事件匹配规则中包括的安全事态的组合中安全事态的总数,确定所述选择出的事件匹配规则对应的安全事件的置信度;
如果所述选择出的事件匹配规则对应的安全事件的置信度大于预设事件阈值,则将所述选择出的事件匹配规则对应的安全事件作为目标安全事件。
11.根据权利要求10所述的安全设备,其特征在于,所述事件匹配规则包括多个安全事态的组合,所述多个安全事态的组合中的X个安全事态按照第一预设顺序排列;
相应地,所述匹配单元,还用于:
确定所述第一数据流中发生的安全事态中所述X个安全事态的发生顺序为第二顺序;
确定所述第二顺序与所述第一预设顺序相同。
12.根据权利要求9-11任一项所述的安全设备,其特征在于,所述匹配单元,还用于:
从所述预设场景库中选择一个场景匹配规则,对选择出的场景匹配规则执行以下操作,直到对所述预设场景库中的每个场景匹配规则均执行完所述操作为止:
确定选择出的场景匹配规则中包括的安全事件的组合中存在Y个安全事件与所述至少一个目标安全事件相同;
从所述至少一个目标安全事件中的每个所述目标安全事件的置信度中,确定所述Y个安全事件的置信度;
根据所述Y个安全事件的置信度、以及所述选择出的场景匹配规则中包括的安全事件的组合中安全事件的总数,确定所述选择出的场景匹配规则对应的预设场景的置信度;
如果所述选择出的场景匹配规则对应的预设场景的置信度大于预设场景阈值,则将所述选择出的场景匹配规则对应的预设场景作为目标场景。
13.根据权利要求12所述的安全设备,其特征在于,所述场景匹配规则包括多个安全事件的组合,所述多个安全事件的组合中的Y个安全事件按照第三预设顺序排列;
相应地,所述匹配单元,还用于:
确定所述至少一个目标安全事件中所述Y个目标安全事件的发生顺序为第四顺序;
确定所述第四顺序与所述第三预设顺序相同。
14.根据权利要求9-13任一项所述的安全设备,其特征在于,
所述获取单元,还用于获得所述网络中第二安全设备检测到的安全事态,所述第二设备检测到的安全事态是从源或目的为所述第一主机的第二数据流中检测到的;
所述获取单元,还用于获得所述第二安全设备检测到的安全事态对应的置信度;
所述匹配单元,还用于根据所述第一数据流中发生的安全事态和每个安全事态的置信度、以及所述第二安全设备检测到的安全事态和所述检测到的安全事态的置信度,匹配预设安全事件库中的事件匹配规则。
15.根据权利要求9-14任一项所述的安全设备,其特征在于,若根据所述至少一个目标安全事件和每个目标安全事件的置信度,匹配预设场景库中的场景匹配规则之后,存在未匹配到任意一个目标场景的目标安全事件,则所述评估单元,还用于:
根据所述至少一个目标场景分别对应的置信度,以及所述未匹配到任意一个目标场景的目标安全事件的置信度,评估所述第一主机对所述网络的威胁程度。
16.根据权利要求9-15任一项所述的安全设备,其特征在于,每个事件匹配规则包括的多个安全事态满足以下条件中的任一种:源IP地址相同、目的IP地址相同、源IP地址与目的IP地址相同。
17.一种安全设备,其特征在于,所述安全设备包括存储器、处理器、总线和通信接口,存储器中存储代码和数据,处理器与存储器通过总线连接,处理器运行存储器中的代码使得所述安全设备执行权利要求1-8任一项所述的网络安全威胁评估方法。
18.一种可读存储介质,其特征在于,所述可读存储介质中存储有指令,当所述可读存储介质在设备上运行时,使得所述设备执行权利要求1-8任一项所述的网络安全威胁评估方法。
19.一种计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,使得所述计算机执行权利要求1-8任一项所述的网络安全威胁评估方法。
CN201811030800.2A 2018-09-05 2018-09-05 一种网络安全威胁评估方法及装置 Active CN110881016B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811030800.2A CN110881016B (zh) 2018-09-05 2018-09-05 一种网络安全威胁评估方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811030800.2A CN110881016B (zh) 2018-09-05 2018-09-05 一种网络安全威胁评估方法及装置

Publications (2)

Publication Number Publication Date
CN110881016A true CN110881016A (zh) 2020-03-13
CN110881016B CN110881016B (zh) 2021-06-01

Family

ID=69727302

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811030800.2A Active CN110881016B (zh) 2018-09-05 2018-09-05 一种网络安全威胁评估方法及装置

Country Status (1)

Country Link
CN (1) CN110881016B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111818068A (zh) * 2020-07-14 2020-10-23 绿盟科技集团股份有限公司 微场景案例的编排验证方法、装置、介质及计算机设备
CN112181781A (zh) * 2020-10-15 2021-01-05 新华三信息安全技术有限公司 主机安全威胁程度的告警方法、装置、设备及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883017A (zh) * 2009-05-04 2010-11-10 北京启明星辰信息技术股份有限公司 一种网络安全状态评估系统及方法
CN102394766A (zh) * 2011-09-01 2012-03-28 穆成坡 一种入侵进程的层次化在线风险评估方法
US20130031635A1 (en) * 2002-10-01 2013-01-31 Skybox Security, Inc. System, Method and Computer Readable Medium for Evaluating a Security Characteristic
US20170085579A1 (en) * 2015-09-18 2017-03-23 International Business Machines Corporation Automated network interface attack response
CN106790186A (zh) * 2016-12-30 2017-05-31 中国人民解放军信息工程大学 基于多源异常事件关联分析的多步攻击检测方法
CN107181726A (zh) * 2016-03-11 2017-09-19 中兴通讯股份有限公司 网络威胁事件评估方法及装置
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法
US9800596B1 (en) * 2015-09-29 2017-10-24 EMC IP Holding Company LLC Automated detection of time-based access anomalies in a computer network through processing of login data

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130031635A1 (en) * 2002-10-01 2013-01-31 Skybox Security, Inc. System, Method and Computer Readable Medium for Evaluating a Security Characteristic
CN101883017A (zh) * 2009-05-04 2010-11-10 北京启明星辰信息技术股份有限公司 一种网络安全状态评估系统及方法
CN102394766A (zh) * 2011-09-01 2012-03-28 穆成坡 一种入侵进程的层次化在线风险评估方法
US20170085579A1 (en) * 2015-09-18 2017-03-23 International Business Machines Corporation Automated network interface attack response
US9800596B1 (en) * 2015-09-29 2017-10-24 EMC IP Holding Company LLC Automated detection of time-based access anomalies in a computer network through processing of login data
CN107181726A (zh) * 2016-03-11 2017-09-19 中兴通讯股份有限公司 网络威胁事件评估方法及装置
CN106790186A (zh) * 2016-12-30 2017-05-31 中国人民解放军信息工程大学 基于多源异常事件关联分析的多步攻击检测方法
CN107204876A (zh) * 2017-05-22 2017-09-26 成都网络空间安全技术有限公司 一种网络安全风险评估方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
廖年冬,易禹,胡琦: "动态实时网络安全风险评估研究", 《计算机工程与应用》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111818068A (zh) * 2020-07-14 2020-10-23 绿盟科技集团股份有限公司 微场景案例的编排验证方法、装置、介质及计算机设备
CN111818068B (zh) * 2020-07-14 2022-07-15 绿盟科技集团股份有限公司 微场景案例的编排验证方法、装置、介质及计算机设备
CN112181781A (zh) * 2020-10-15 2021-01-05 新华三信息安全技术有限公司 主机安全威胁程度的告警方法、装置、设备及存储介质
CN112181781B (zh) * 2020-10-15 2022-09-20 新华三信息安全技术有限公司 主机安全威胁程度的告警方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN110881016B (zh) 2021-06-01

Similar Documents

Publication Publication Date Title
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
US10114934B2 (en) Calculating consecutive matches using parallel computing
CN107465648B (zh) 异常设备的识别方法及装置
CN104901971A (zh) 对网络行为进行安全分析的方法和装置
CN107968791B (zh) 一种攻击报文的检测方法及装置
US20100268818A1 (en) Systems and methods for forensic analysis of network behavior
CN110474885B (zh) 基于时间序列与ip地址的报警关联分析方法
CN111200575B (zh) 一种基于机器学习的信息系统恶意行为的识别方法
CN110881016B (zh) 一种网络安全威胁评估方法及装置
Tasneem et al. Intrusion detection prevention system using SNORT
Van et al. An anomaly-based intrusion detection architecture integrated on openflow switch
CN108683654A (zh) 一种基于零日攻击图的网络脆弱性评估方法
CN114189361B (zh) 防御威胁的态势感知方法、装置及系统
CN108322454B (zh) 一种网络安全检测方法及装置
Moustafa et al. RCNF: Real-time collaborative network forensic scheme for evidence analysis
Awadi et al. Multi-phase IRC botnet and botnet behavior detection model
Jaiganesh et al. An efficient algorithm for network intrusion detection system
Gulomov et al. Method for security monitoring and special filtering traffic mode in info communication systems
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
Geer Behavior-based network security goes mainstream
RU2531878C1 (ru) Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети
Protic et al. WK-FNN design for detection of anomalies in the computer network traffic
Ibrahim et al. Sdn-based intrusion detection system
CN112187720B (zh) 一种二级攻击链的生成方法、装置、电子装置和存储介质
Nicheporuk et al. A System for Detecting Anomalies and Identifying Smart Home Devices Using Collective Communication.

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant