CN110912884A - 一种检测方法、设备及计算机存储介质 - Google Patents
一种检测方法、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN110912884A CN110912884A CN201911144373.5A CN201911144373A CN110912884A CN 110912884 A CN110912884 A CN 110912884A CN 201911144373 A CN201911144373 A CN 201911144373A CN 110912884 A CN110912884 A CN 110912884A
- Authority
- CN
- China
- Prior art keywords
- event
- security
- attacked
- target device
- events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种检测方法、设备及计算机存储介质,所述方法包括:获得每个目标设备的至少两个安全事件;获得针对所述目标设备的各个安全事件的属性信息,所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
Description
技术领域
本申请涉及检测技术,具体涉及一种关于网络安全事件的检测方法和设备、计算机存储介质。
背景技术
相关技术中可通过检测设备识别出攻击设备如黑客主机对被攻击设备如网络主机或服务器的攻击而产生的网络安全事件(网络攻击事件)。就检测设备而言,其通常认为攻击设备对被攻击设备产生的各个网络安全事件是相互独立的,并基于相互独立的各个网络安全事件进行被攻击设备的被攻击风险的评估。一方面,这种基于各个网络安全事件进行风险评估的方式,可靠性欠佳。另一方面,将各个网络安全事件视为独立的事件,不利于网络安全维护人员对安全事件的追溯,进而可能无法准确地定位到攻击源,使得网络安全维护更为困难。
发明内容
为解决现有存在的技术问题,本申请实施例提供一种检测方法、设备及计算机存储介质,至少能够解决相关技术中的风险评估方式可靠性欠佳、以及无法准确地定位到攻击源的技术问题。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种检测方法,所述方法包括:
获得每个目标设备的至少两个安全事件;
获得针对所述目标设备的各个安全事件的属性信息,所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;
基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;
基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
上述方案中,在获得针对所述目标设备的各个安全事件的属性信息的情况下,所述方法还包括:
获得所述各个安全事件的多个标签属性;
相应的,所述基于各个安全事件的属性信息,生成针对所述目标设备的事件序列,包括:
基于安全事件的所述属性信息和所述多个标签属性,计算各个安全事件的风险参数;
依据各个安全事件的风险参数,确定各个安全事件的可疑级别;
依据各个安全事件的可疑级别,生成所述事件序列。
上述方案中,所述依据各个安全事件的可疑级别,生成所述事件序列,包括:
提取可疑级别为相同的多个安全事件;
针对所述多个安全事件中各个安全事件,按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列;
相应的,所述基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,包括:
判断所述事件序列与所述匹配模型中的第一模型是否匹配;
判断为匹配时,确定所述目标设备的被攻击类别为第一类别,所述第一类别用于指示提升所述目标设备的可疑级别。
上述方案中,所述第一模型至少记载有多个第一关联关系,第一关联关系表征为处于相同可疑级别的多个安全事件之间的关联性;
相应的,所述判断所述事件序列与所述匹配模型中的第一模型是否匹配,包括:
判断所述多个第一关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;
判断为存在时,确定为所述事件序列与所述第一模型匹配。
上述方案中,所述依据各个安全事件的可疑级别,生成所述事件序列,包括:
提取可疑级别为至少部分不同的多个安全事件;
针对所述多个安全事件中各个安全事件,按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列;
相应的,所述基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,包括:
判断所述事件序列与所述匹配模型中的第二模型是否匹配;
判断为匹配时,确定所述目标设备的被攻击类别为第二类别,所述第二类别用于指示所述目标设备的被攻击类型和/或攻击所述目标设备的对象。
上述方案中,所述第二模型至少记载有多个第二关联关系,每个第二关联关系表征为存在有关联关系的安全事件之间的关联性,所述第二关联关系中的所有安全事件至少部分安全事件为不同可疑级别;
相应的,所述判断所述事件序列与所述匹配模型中的第二模型是否匹配,包括:
判断所述多个第二关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;
判断为存在时,确定为所述事件序列与所述第二模型匹配。
上述方案中,对于所述多个目标设备中的第一设备,
在确定出所述第一设备的被攻击类别为第一类别或为第二类别的情况下,
如果所述多个目标设备中的第二设备与所述第一设备存在通信、且所述第二设备生成的所述事件序列与所述第一设备生成的所述事件序列为相同,则确定所述第二设备的被攻击类别为第三类别,所述第三类别用于指示所述第二设备遭受到的攻击由所述第一设备遭受到的第一类别或第二类别的攻击的扩散而得。
上述方案中,所述按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列,包括:
对于处于同一被攻击阶段的安全事件,按照安全事件的产生时间进行排列。
本申请实施例提供一种检测设备,包括:
第一获得单元,用于获得每个目标设备的至少两个安全事件;
第二获得单元,用于获得针对所述目标设备的各个安全事件的属性信息,所述属性信息至少用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;
生成单元,用于基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;
确定单元,用于基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被执行时实现前述检测方法的步骤。
本申请实施例提供一种检测设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述检测方法的步骤。
本申请实施例提供一种检测方法、设备及计算机存储介质,所述方法包括:获得每个目标设备的至少两个安全事件;获得针对所述目标设备的各个安全事件的属性信息,所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
其中,事件序列相当于将各个安全事件依据安全事件所处的被攻击阶段信息进行表示,可方便对具有关联性的安全事件进行确定(查找),实现对网络安全的更好维护、方便追溯。此外,利用生成的事件序列和匹配模型,进行目标设备的被攻击属性信息的确定,可靠性佳。至少能够解决相关技术中的风险评估方式可靠性欠佳、以及无法准确地定位到攻击源的技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的检测方法的第一实施例的实现流程示意图;
图2为本申请提供的检测方法的第二实施例的实现流程示意图;
图3为本申请提供的检测方法的第三实施例的实现流程示意图;
图4为本申请提供的被攻击过程的被攻击阶段的划分示意图;
图5为本申请提供的安全事件的多个标签属性实施例的示意图;
图6为本申请提供的检测方法实施例的具体实现流程示意图一;
图7为本申请提供的检测方法实施例的具体实现流程示意图二;
图8为本申请提供的检测设备实施例的组成示意图;
图9为本申请提供的检测设备实施例的硬件构成示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在实际应用中,网络安全事件存在有如下特性:针对同一被攻击设备由于被攻击设备的攻击而产生的多个网络安全事件中,至少有部分网络安全事件之间是具有关联性的,例如,对某个服务器产生的网络安全事件A导致了网络安全事件B的自动产生。如果能够利用这个特性对被攻击设备进行风险评估,则会避免相关技术中的风险评估方法计算结果欠佳的问题。本申请实施例就在于如何确定(查找)网络安全事件之间的关联性,以及如何利用这种关联性对被攻击设备进行风险评估。
在相关技术中,还存在有以下问题:攻击设备的攻击行为通常具有隐蔽性,为了躲避网络检测设备的检测往往会使用较多属于低可疑或低风险的安全事件对被攻击设备进行攻击、以较好的躲过了网络检测设备的检测。本申请实施例也能够对这种情况进行检测,避免对恶意攻击行为的漏检。
本申请提供的检测方法的第一实施例,应用于检测设备中,如图1所示,所述方法包括:
步骤(S)101:获得每个目标设备的至少两个安全事件;
本步骤中,所述目标设备为网络中任何能够由于被攻击设备如黑客主机的攻击而产生安全事件(攻击事件)的被攻击设备,如服务器、主机、网络节点、客户端等。
检测设备对目标设备进行监控,在其被攻击的情况下,得到由于被攻击而产生的被攻击事件,将得到的事件作为安全事件。或者,对目标设备进行监控,采集监控到的被攻击事件作为安全事件。
步骤102:获得针对所述目标设备的各个安全事件的属性信息,所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;
本步骤中,检测设备获得表征安全事件在目标设备的被攻击过程中所处被攻击阶段的信息。
步骤103:基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;
本步骤中,检测设备基于安全事件在被攻击过程中所处被攻击阶段的信息,生成针对目标对象的事件序列。
步骤104:检测设备基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
本步骤中,检测设备基于由安全事件所处的被攻击阶段信息生成的关于安全事件的事件序列和获得的匹配模型,对目标设备的被攻击类别进行识别,也即对目标设备存在的风险进行评估。可以理解,设备的被攻击类别至少包括两种类别,如用于指示提升所述目标设备的可疑级别的第一类别和用于指示所述目标设备的被攻击类型和/或攻击所述目标设备的对象的第二类别。其中,确定设备的被攻击类别为第一类别说明设备遭受到较为严重的攻击需要提升可疑级别以警示维护人员提高重视。确定设备的被攻击类别为第二类别说明识别出了设备遭受到来自于哪个设备的攻击、或者遭受到哪种攻击行为的攻击如哪种病毒的攻击、或者遭受到来自于哪个设备的哪种攻击行为的攻击。当然,设备的被攻击类别还可以包括用于指示针对目标设备中的某个设备遭受到的攻击是由于另一与其进行通信设备遭受到的攻击扩散至该设备而产生的。为方便描述,称这种被攻击类别为第三类别,第三类别意在说明某个设备遭受到的攻击是由于另一个设备遭受到同样的攻击并通过二者之间的通信将其自身遭受到的攻击传输至另一设备中去。设备的被攻击类别还可以是诸如严重、一般严重、不严重等。设备的被攻击类别还可以是包括其它任何能够想到的情形,由于无法一一枚举,所以任何合理的猜想、猜测均位于本申请实施例的覆盖范围内。其中,关于匹配模型的获得步骤可以发生在步骤104之前任何合理的时刻。
执行步骤101~104的实体为检测设备。检测设备可以为任何能够检测网络安全的设备或装置,也可以为独立的设备还可以作为嵌入式设备,嵌入于需要进行网络安全检测的设备或装置中。
本申请人在实践中发现,对于同一目标设备而言,其产生的多个安全事件至少部分在被攻击过程的不同被攻击阶段而产生,如在遭受攻击阶段产生表征遭受A类型攻击的事件,在被攻击成功阶段产生表征目标设备被A类型攻击事件成功攻击的事件,也即具有关联性的安全事件通常发生在目标设备的被攻击过程中的不同被攻击阶段。本申请实施例利用这种特性,将被攻击过程划分为至少两个阶段,也即对攻击过程进行至少两个阶段的划分,并依据安全事件所处的被攻击阶段信息生成关于安全事件的事件序列。可以理解,按照被划分阶段在整个被攻击过程中的顺序,依据安全事件所处的被攻击阶段信息进行各个安全事件的排列,从而得到目标序列。该事件序列相当于将各个安全事件依据安全事件所处的被攻击阶段信息进行表示,可体现出处于不同阶段的安全事件之间的关联性,进而能够方便对具有关联性的安全事件进行确定(查找)。基于安全事件之间的关联性可准确地定位到攻击源,实现对网络安全的更好维护、方便追溯。此外,利用生成的事件序列和匹配模型,进行目标设备的被攻击属性信息的确定,通过关联性对被攻击设备进行风险评估,可靠性佳。至少能够解决相关技术中的风险评估方式可靠性欠佳的技术问题。
在一个可选的实施例中,所述基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别,包括:判断所述事件序列是否与匹配模型中记载的内容相匹配,判断为匹配的情况下,确定所述目标设备的被攻击属性信息。本申请实施例中对发生在目标设备上的安全事件,按照各安全事件所处的被攻击阶段进行有关联关系的安全事件的记载,形成匹配模型,在判断为匹配模型中记载所述事件序列的情况下,根据匹配模型中对所述事件序列的类别信息的记录,确定设备的被攻击属性信息。也即通过安全事件之间的关联性对被攻击设备(目标设备)进行风险评估,可靠性佳,至少能够解决相关技术中的风险评估方式可靠性欠佳的技术问题。
现举例对前述的技术方案进行具体实例的说明:假定攻击过程可划分为三个被攻击阶段,如第一阶段~第三阶段(具体可如图4所示的黑客主机的攻击、攻击成功、异常通信等三个阶段),获得目标设备上产生的各个安全事件所处的被攻击阶段信息,按照各个安全事件所处的被攻击阶段信息进行安全事件的排序,如可以按照三个被攻击阶段在整个被攻击过程中的正序或逆序顺序进行排序。假定按照正序进行排列:安全事件1(处于第一阶段)、安全事件2(处于第二阶段)、安全事件3(处于第三阶段)。如果匹配模型中记载有这样的关联关系:处于第一阶段的安全事件1导致了处于第二阶段的安全事件2、以及处于第三阶段的安全事件3的产生(将其视为目标关联关系)。则经过匹配模型与按照正序排列的安全事件之间的匹配,能够匹配到匹配模型中的目标关联关系,则可通过提高目标设备的可疑级别的方式以引起维护人员的足够重视、或者根据匹配模型中对目标关联关系的溯源的记载,确定目标设备的攻击对象和/或受到哪种类型病毒的攻击等。由此通过对目标设备通过安全事件所处被攻击阶段的信息,得到事件序列,通过事件序列与匹配模型的匹配得到被攻击类别,实现对目标设备的风险评估,可靠性佳。其中,基于安全事件之间的关联性可准确地定位到攻击源,实现对网络安全的更好维护、方便追溯。
作为本申请实施例的一种实现方式,在获得针对所述目标设备的各个安全事件的属性信息的情况下,所述方法还包括:获得所述各个安全事件的多个标签属性;相应的,所述基于各个安全事件的属性信息,生成针对所述目标设备的事件序列,包括:基于安全事件的所述属性信息和所述多个标签属性,计算各个安全事件的风险参数;依据各个安全事件的风险参数,确定各个安全事件的可疑级别;依据各个安全事件的可疑级别,生成所述事件序列。可见,本申请实施例中利用安全事件的可疑级别进行事件序列的生成。进一步的,本申请实施例中,对安全事件赋予了标签属性,依据安全事件所处的阶段信息和获得多个标签属性计算风险参数以及依据风险参数确定可疑级别,依据可疑级别生成事件序列。这种基于多个标签属性进行风险参数的计算可保证准确性,事件序列的准确生成可保证对目标设备的风险评估的准确性。
作为一个可选的实现方式,在计算出针对目标设备的各个安全事件的可疑级别情况下,可根据对各个安全事件的可疑级别的计算结果,执行检测方法的第二实施例和第三实施例的其中一种。具体如下所述:
本申请提供的检测方法的第二实施例,应用于检测设备,如图2所示,所述方法包括:
步骤201:提取可疑级别为相同的多个安全事件;
步骤202:按照所述多个安全事件中各个安全事件的属性信息对所述多个安全事件进行排列,得到所述事件序列;
步骤203:判断所述事件序列与所述匹配模型中的第一模型是否匹配;
步骤204:判断为匹配时,确定所述目标设备的被攻击类别为第一类别,所述第一类别用于指示提升所述目标设备的可疑级别。
可以理解,S201~S204的执行主体为检测设备。其中,S203和S204可视为对前述的基于所述事件序列和所述匹配模型,确定所述目标设备的可疑级别的方案的进一步说明。
综上所述,对于可疑级别相同的安全事件,可采用如上步骤所述的方法而执行。具体的,基于可疑级别为相同级别的多个安全事件的属性信息,生成事件序列,并基于事件序列和匹配模型,确定目标设备的可疑性,使得目标设备的可疑性高于安全事件的相同级别对应的可疑性。为一种根据可疑级别为相同级别的多个安全事件得到目标设备的可疑性的方案,且得到的目标设备的可疑级别与所述相同级别相比,相当于目标设备的可疑性被提高,可起到提示网络安全维护人员对目标设备引起警觉的作用,以避免对攻击设备的可疑攻击行为的漏检。
可以理解,前述的相同级别的安全事件可以为目标设备的所有安全事件中可疑级别较低的事件。如果将安全事件划分为低可疑和高可疑,则所述相同级别可以为低可疑,根据多个低可疑安全事件得到的目标设备的可疑性则为高可疑。如果将安全事件划分为低可疑、中可疑和高可疑,则所述相同级别可以为低可疑,根据多个低可疑安全事件得到的目标设备的可疑性则为中可疑或高可疑。所述相同级别也可以为中可疑,根据多个中可疑安全事件得到的目标设备的可疑性则为高可疑。这种提高目标设备的可疑性的方案至少可起到引起警觉的作用,也避免由于相关技术中的攻击设备对目标设备采用低可疑行为攻击而导致的检测设备漏检恶意攻击行为的情况。
作为一个可选的实现方式,所述匹配模型记载有多个第一关联关系,第一关联关系表征为目标设备的处于相同可疑级别的多个安全事件之间的关联性;判断所述多个第一关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;判断为存在时,确定为所述事件序列与所述第一模型匹配。可以理解,本申请实施例中,如果经匹配发现匹配模型中存在有(第一)目标关联关系,所述第一目标关联关系所表征的存在关联的处于相同可疑级别的多个安全事件中的各个安全事件与所述事件序列中的处于不同阶段的至少部分安全事件对应,则调整目标设备的可疑性,通常调整将目标设备的可疑性提高,以起到引起警觉的作用,避免恶意攻击行为的漏检。
本申请提供的检测方法的第三实施例,应用于检测设备,如图3所示,所述方法包括:
步骤301:提取可疑级别为至少部分不同的多个安全事件;
步骤302:按照所述多个安全事件中各个安全事件的属性信息对所述多个安全事件进行排列,得到所述事件序列;
步骤303:判断所述事件序列与所述匹配模型中的第二模型是否匹配;
步骤304:判断为匹配时,确定所述目标设备的被攻击类别为第二类别,所述第二类别用于指示所述目标设备的被攻击类型和/或攻击所述目标设备的对象。
执行步骤301~304的实体为检测设备。其中,步骤303和303是对前述的基于所述事件序列和匹配模型确定所述目标设备的被攻击属性信息方案的进一步说明。
综上所述,针对目标设备的不同可疑级别的安全事件或者包括有不同可疑级别、相同可疑级别的安全事件,可以执行如上所述的步骤进行处理。具体的,可基于目标安全事件的属性信息生成事件序列,并通过事件序列和匹配模型的匹配,进行目标设备的被攻击类型和/或攻击对象的识别,由此实现对目标设备的风险评估,可靠性佳。其中,利用事件序列可方便对具有关联性的安全事件的查找,基于安全事件之间的关联性可准确地定位到攻击源,实现对网络安全的更好维护、方便追溯。
作为一个可选的实现方式,步骤303可通过如下方式实现:本申请实施例中的匹配模型至少记载有多个第二关联关系,每个第二关联关系表征为目标设备的所有可能安全事件中存在有关联关系的安全事件之间的关联性,所述第二关联关系中的所有安全事件至少部分安全事件为不同可疑级别;相应的,所述判断所述事件序列与所述匹配模型中的第二模型是否匹配,包括:判断所述多个第二关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;判断为存在时,确定为所述事件序列与所述第二模型匹配。前述可选方案中,相当于将事件序列与匹配模型记载的第二关联关系进行匹配,在匹配的情况下即匹配模型记载的关联关系中存在有能够与事件序列中按照所处阶段信息排列的安全事件匹配上的目标关联关系,则可确定所述目标设备的安全事件由哪种被攻击类型的攻击对象产生的攻击行为而产生和/或识别出遭受到哪种类型的攻击。由于匹配模型记载有处于不同攻击阶段所有可能具有关联性的安全事件之间的关联关系,这种利用事件序列和匹配模型进行匹配的方式,可准确地实现对具有关联关系的安全事件的查找、以及方便提高对目标设备进行风险评估的可靠性。
前述可选方式中,如果在匹配模型中不存在如上所述的第二目标关联关系,则需要根据所述目标设备的事件序列中的各个安全事件对匹配模型进行更新。进一步的,根据针对同一目标设备的各个安全事件的风险参数,得到针对该同一目标设备的综合风险参数,在综合风险参数大于第一阈值的情况下,将从该同一目标设备的所有安全事件中得到的事件关联关系,添加到匹配模型中,以增加匹配模型记载的内容,使得匹配模型中记载的关联关系更为全面。
可以理解,前述方法实施例二在于描述如何基于可疑级别相同的安全事件和匹配模型进行目标设备的风险评估;方法实施例三在于描述如何基于对具有不同可疑级别的安全事件、或者包括有不同和相同可疑级别的安全事件和匹配模型进行目标设备的风险评估。相当于基于安全事件的可疑级别和和匹配模型执行的两种不同方案,在这两种不同方案中均需要事件序列与匹配模型进行匹配。可以理解,在执行前述方法实施例二所述的方案时,需要利用匹配模型记载的表征为目标设备的处于相同可疑级别的多个安全事件之间的关联性的(第一)关联关系,也即每个第一关联关系中的所有安全事件均属于相同可疑级别如均处于低可疑级别。而在执行前述方法实施例三所述的方案时,需要利用匹配模型记载的表征为目标设备的多个安全事件之间的关联性的(第二)关联关系,也即每个第二关联关系中的所有安全事件中可以至少部分安全事件处于不同可疑级别。
为方便描述,本申请实施例中,划分匹配模型至少包括至少用于记载第一关联关系的第一模型和至少用于记载第二关联关系的第二模型。如此,前述的方法实施例二为基于可疑级别相同的安全事件和第一模型进行目标设备的风险评估的方案。前述的方法实施例三为基于对具有不同可疑级别的安全事件、或者包括有不同和相同可疑级别的安全事件和第二模型进行目标设备的风险评估的方案。此外,基于前述两种方法实施例得到的评估结果也存在差异,如第一种实施例得到的评估结果是提高目标设备的可疑性,以引起网络维护人员足够的警觉,避免恶意攻击行为的漏检。第二种实施例得到的评估结果是定位出目标设备的被攻击类型和/或攻击对象,由哪种被攻击类型的攻击对象对目标设备产生攻击,可定位出对目标设备产生攻击的攻击源。这两种实施例均基于事件序列而进行可在一定程度上提高了对目标设备进行风险评估的可靠性。至少能够解决了相关技术中的风险评估方式可靠性欠佳、以及无法准确地定位到攻击源的技术问题。
在前述的实施例二和/或实施例三中,按照各个安全事件所处的被攻击阶段进行排列,具体可以是:对于处于不同被攻击阶段的安全事件可以按照所处的被攻击阶段在被攻击过程中的顺序进行各个安全事件的排列。对于处于同一被攻击阶段的两个或两个及以上的安全事件,可按照安全事件的产生时间进行排列,由此可方便事件序列的生成,进而方便对目标设备的风险进行评估。
本领域技术人员还应该理解,由于目标设备之间可能存在通信的关系,如对于存在通信关系的两个设备如第一设备和第二设备,对于第一设备,在确定出第一设备的被攻击类别为第一类别或为第二类别之后,如果第二设备生成的事件序列与第一设备生成的事件序列为相同的事件序列,则确定所述第二设备的被攻击类别为第三类别,所述第三类别用于指示所述第二设备遭受到的攻击由所述第一设备遭受到的第一类别或第二类别的被攻击事件的扩散而得。可以认为:在第一设备存在第一类别或第二类别的被攻击事件攻击的情况下,因为第一设备和第二设备生成的事件序列为相同的事件序列,且二者存在相互通信的关系如第一设备可对第二设备进行访问,那么可以认为第二设备产生的相同的事件序列是由于第一设备对其进行访问的情况下而产生的,第一设备对第二设备的访问,使得原本攻击第一设备的攻击事件由第一设备扩散到了第二设备。可见,本申请实施例基于两个具有通信关系的设备生成的事件序列的相同与否以及其中一个是否遭受到攻击实现了对扩散事件的识别,以避免对扩散事件的漏检。
下面结合图4-图7对本申请实施例的前述技术方案做进一步说明。
先对本申请实施例中的将被攻击过程进行的阶段划分进行介绍。
如图4所示,被攻击过程被划分为主机或服务器遭受攻击设备如黑客主机的攻击、攻击成功、异常通信、异常扩散、权限维持等五个阶段。当然,也可以包括遭受攻击、攻击成功和异常通信等三个阶段。还可以包括除了权限维持的剩下四个阶段,视具体情况而灵活设定。每个阶段都会产生相应的安全事件。
举个例子,服务器遭受到了漏洞,该漏洞会导致被服务器不利的行为,也即服务器遭受到了漏洞利用攻击行为,在攻击阶段产生了基于漏洞利用攻击行为的安全事件,攻击成功阶段产生了遭受到漏洞利用攻击成功的事件,在异常通信阶段产生了主动外联境外恶意服务器进行漏洞攻击的事件。其中,可以理解,漏洞利用攻击行为指的是基于已经产生的安全漏洞而产生的一系列行为、如由于服务器存在漏洞使得服务器进行非正常访问。
还例如,服务器遭受到了被扫描端口的攻击行为的攻击,在攻击阶段产生了扫描端口的安全事件,攻击成功阶段产生了扫描端口1的行为,在异常通信阶段产生了扫描SNP设备的行为。
其中,
遭受攻击阶段:主机或者服务器遭受到来自其他主机的恶意攻击;
攻击成功阶段:主机或者服务器已经被成功入侵,出现一些异常行为、流量;
异常通信阶段:主机或者服务器已经表现出具体的某种恶意行为、流量;
异常扩散阶段:主机或者服务器已经沦为肉鸡开始对外对内进行扩散,如攻击其他主机或服务器;
权限维持阶段:黑客主机留下类似后门与反弹的程序以实现攻击维持。
本申请实施例中的检测设备对主机或服务器进行监控并记录每个安全事件产生的时间,将主机或服务器由于被攻击而在各个阶段产生的安全事件进行采集。在采集时,检测设备对采集的每个安全事件的各个标签属性进行一同获取。本申请实施例为每个安全事件提供以下七个标签属性:
第一标签、表征为安全事件来源的标签:表示该安全事件来源于哪个设备;
第二标签、表征为安全事件所处阶段的标签:用于区分安全事件是处于被攻击过程中的哪个被攻击阶段;
第三标签、表征为安全事件的危险性的标签:当前安全事件的危险性评估;
第四标签、表征为安全事件发生的攻击次数的标签:安全事件对主机或服务器产生攻击的次数;
第五标签、表征为安全事件发生的连续性:当前的安全事件的连续性;
第六标签、表征为安全事件的可信度:安全事件为可信度高或低的事件;
第七标签,表征为安全事件的风险:综合第一标签至第六标签,计算出安全事件的风险参数。
其中,第一、二标签需要检测设备在监测时记录。检测设备可以从预先存储的表征为主机或服务器所有可能的安全事件及其危险性评估值之间的对应关系中获取。第四标签至第六标签需要检测设备在对安全事件持续一段时间的监控、计算而得到。以第四标签为例,对安全事件1进行监控,其产生一次攻击行为,其攻击次数加1。其中,第三、六和七标签可用分数值来表示。如图5所示,为服务器的其中一个安全事件的标签示意图。该安全事件来源于网络终端应用(NTA)平台、处于被攻击过程的第二阶段、危害性取值为10分,攻击次数为每分钟5000次、连续攻击300秒、可信度取值为8分、风险参数值为90分。其中,第七标签也即安全事件的风险参数根据公式
来计算。其中,x7代表风险参数值;n取值为1至6的任意正整数;xn代表第n个标签的取值;an代表第n个标签的权重值,根据经验值而得。其中,关于第一标签至第六标签的权重取值,通常选取第三标签的权重值大于第六标签的权重值大于第四标签的权重值大于第五标签的权重值大于第二标签的权重值大于第一标签的权重值、且六个标签的权重值加和为1。
可以理解,本申请实施例中,为方便理解,将表示为安全事件所处的被攻击阶段的信息(安全事件的属性信息)作为一种标签属性,和其它标签属性进行一并采集。本申请实施例中在计算风险参数的时候,优先为采用前述7个标签属性中的全部标签属性进行计算,还可以采用前述的7个标签属性中的部分标签属性进行计算,具体可根据实际使用情况而灵活应用。
本申请实施例中的标签属性可具体视为标签的取值,根据如上公式可计算出各个被监控的主机或服务器的各个安全事件的风险参数。以可疑级别的划分包括低可疑、中可疑和高可疑为例,在计算出风险参数值之后,根据计算出的风险参数值位于哪个可疑级别的数值或数值范围之内。例如,预先设置低可疑级别的安全事件的风险参数值为50-60分,假如计算出的安全事件1的风险参数值为55分,则根据前述设置的内容可认为安全事件1的风险参数为位于低可疑级别的风险参数值范围内,则认为安全事件1为低可疑事件(低风险事件)。针对每个被监控的主机或服务器,根据如上所述,均可将各个主机或服务器产生的所有安全事件进行可疑级别的计算。对某个安全事件1属于中可疑事件或高可疑事件的具体过程可参见前述对安全事件1属于低可疑事件的过程类似,具体不做说明。这种基于多个标签属性进行风险参数的计算可保证计算准确性,进而可保证对目标设备进行风险评估的准确性。
以单个主机或服务器为例,如服务器1(目标设备),对于服务器1的所有安全事件均为低可疑事件的情况,如图6所示:
步骤601:提取服务器1中的所有为低可疑事件的安全事件;
步骤602:按照各个所提取的各个安全事件的第二标签属性、具体是所处阶段的信息进行排序;
这里,可以按照各个被攻击阶段在整个被攻击过程中的正序或逆序顺序对处于不同被攻击阶段的各个安全事件进行排序。优选为正序。其中,对于处于同一阶段的多个安全事件来说,按照各个安全事件的产生时间进行依次排序,生成事件序列。
举个例子,假定整个被攻击过程按照顺序是第一阶段、第二阶段、第三阶段和第四阶段。提取的为低可疑事件的安全事件包括处于第一阶段的A1、A2、A3;处于第二阶段的B1、B2;处于第三阶段的C1;处于第四阶段的D1;处于第五阶段的E1。其中,A1事件的产生时间晚于A2事件的产生时间晚于A3事件的产生时间;B2事件的产生时间晚于B1事件的产生时间。则对处于不同阶段的安全事件按照如上对整个被攻击过程划分的顺序进行排序以及对处于同一阶段的事件按照其产生时间进行排序,得到的事件序列为A3,A2,A1,B1,B2,C1,D1,E1。
步骤603:将生成的事件序列与第一模型记载的第一关联关系进行匹配;判断是否存在第一目标关联关系;
判断为存在时,继续执行步骤604:否则流程结束。
本领域技术人员可以理解,第一模型记载的第一关联关系是经过对网络中所有可能发生的低可疑事件进行分析,分析哪些低可疑事件之间存在关联关系,并将存在的关联关系记录下来。举个例子,经过分析发现,安全事件A1将会导致安全事件B2的发生,安全事件B2将会导致安全事件C1的发生,安全事件C1的发生将会导致安全事件D1的发生,安全事件D1将会导致安全事件E1的发生,由低可疑事件A1引起的一系列连锁反应。则记载存在关联的安全事件之间的关联关系可以为:A1→B2→C1→D1→E1。对于事件序列A3,A2,A1,B1,B2,C1,D1,E1而言,判断该事件序列中存在有处于不同阶段的安全事件如A1、B2、C1、D1、E1与第一关联关系A1→B2→C1→D1→E1中的各个安全事件对应,则确认为存在有第一目标关联关系。
步骤604:调整主机的可疑级别从低可疑级别到高可疑级别。
相关技术中,对于攻击设备为了躲避网络检测设备的检测往往会使用较多属于低可疑或低风险的安全事件对被攻击设备进行攻击的情况,被攻击的主机或服务器由于攻击产生的安全事件均为低可疑事件,相关技术中预估该主机或服务器的可疑级别为低可疑,而不引起网络维护人员的注意。而这正是攻击设备所要取得的预期成果,让检测设备认为该主机或服务器不值得被重视。而应用本申请实施例,基于低可疑事件的事件序列和第一模型,查找出处于不同阶段的安全事件之间的关联性,并对主机的可疑级别进行重新调整,调整到高于低可疑级别的可疑级别如高可疑级别,以起到引起警觉的作用,避免对攻击设备的恶意攻击行为的漏检。其中,对各个不同阶段的安全事件以事件序列的形式进行记录,可方便定位出攻击源、如安全事件A1为A1→B2→C1→D1→E1这个连锁反应的事件的源头。
以上方案为服务器的所有安全事件均为低可疑事件的情况,此外,还可以针对安全事件具有不同可疑级别的服务器,提取其为低可疑级别的至少部分安全事件并进行如上步骤602~604的描述,以起到引起警觉的作用。前述S601~S604是对可疑级别为低可疑进行的说明,此外,还可以对可疑级别为中可疑的安全事件进行前述类似的实现(具体实现请参见前述对低可疑的类似说明不赘述)进而实现对目标设备的可疑级别的调整。
结合前述的应用场景,安全事件A1、B2、C1、D1、E1为原本处于不同阶段的安全事件,基于事件序列和第一模型的第一关联关系的匹配,可使得原本处于相互独立的安全事件关联起来,这种关联性可视为攻击设备对目标设备的攻击链条,本申请实施例可为视为实现对攻击链条的自动查找。对攻击链条的自动查找,至少可方便网络维护人员对攻击链条的掌握,减少溯源的难度。
以单个主机或服务器为例,如服务器1(目标设备),对于服务器1具有可疑、中可疑和高可疑的安全事件为例,如图7所示:
步骤701:提取处于不同可疑级别的安全事件作为目标安全事件;
可以理解,区别于前述的S601~S604,目标安全事件中至少存在两个安全事件的可疑级别不同。
步骤702:按照各个所提取的各个安全事件的第二标签属性、具体是所处阶段的信息进行排序;
这里,可以按照各个被攻击阶段在整个被攻击过程中的正序或逆序顺序对处于不同被攻击阶段的各个安全事件进行排序。优选为正序。其中,对于处于同一阶段的多个安全事件来说,按照安全事件的产生时间进行依次排序,生成事件序列。
举个例子,假定整个被攻击过程按照顺序是第一阶段、第二阶段、第三阶段和第四阶段。提取的为低可疑事件的安全事件包括处于第一阶段的低可疑事件A1.1、高可疑A2.1;处于第二阶段的中可疑事件B1.1、高可疑事件B2.1;处于第三阶段的高可疑事件C1.1;处于第四阶段的高可疑事件D1.1;处于第五阶段的高可疑事件E1.1。其中,A1.1事件的产生时间晚于A2.1事件的产生时间;B2.1事件的产生时间晚于B1.1事件的产生时间。则对处于不同阶段的安全事件按照如上对整个被攻击过程划分的顺序进行排序以及对处于同一阶段的事件按照其产生时间进行排序,得到的事件序列为A2.1,A1.1,B2.1,B1.1,C1.1,D1.1,E1.1。
步骤703:将生成的事件序列与第二模型记载的第二关联关系进行匹配;判断是否存在第二目标关联关系;
判断为存在时,继续执行步骤704:否则执行步骤705。
本领域技术人员可以理解,第二模型记载的第二关联关系是经过对网络中所有可能发生的各级别可疑事件进行分析,分析哪些可疑事件之间存在关联关系,并将存在的关联关系记录下来。举个例子,经过分析发现,低可疑事件A1.1将会导致高可疑事件B2.1的发生,高可疑事件B2.1将会导致高可疑事件C1.1的发生,高可疑事件C1.1的发生将会导致高可疑事件D1.1的发生,高可疑事件D1.1将会导致高可疑事件E1.1的发生,由低可疑事件A1.1引起的一系列连锁反应。则记载存在关联的不同可疑安全事件之间的关联关系可以为:A1.1→B2.1→C1.1→D1.1→E1.1。对于事件序列A2.1,A1.1,B2.1,B1.1,C1.1,D1.1,E1.1而言,判断该事件序列中存在有处于不同阶段的不同可疑级别事件如A1.1、B2.1、C1.1、D1.1、E1.1与第二关联关系A1.1→B2.1→C1.1→D1.1→E1.1中的各个安全事件对应,则确认为存在有第二目标关联关系。
步骤704:根据第二模型记载的第二关联关系与攻击类型、攻击对象之间的对应关系,确定服务器1被哪个攻击对象攻击和/或遭受到何种攻击行为的攻击;
本领域技术人员应该而知,检测设备不仅在于对第二关联关系进行分析与记载,还收集有由哪个攻击对象产生的哪种攻击类型而导致第二关联关系的发生,并进行对应记录。如第二模型中记载由攻击对象-黑客主机X产生的X病毒可导致A1.1→B2.1→C1.1→D1.1→E1.1关联关系的发生,则检测设备依据第二模型记载内容,实现对检测设备的风险评估,如可准确定位出攻击服务器1的设备为黑客主机X,中了黑客主机X的X病毒。
步骤705:读取已经计算出的服务器1的所有安全事件的风险参数,将所有风险参数进行累加操作,得到综合风险参数;
判断综合风险参数的数值是否大于第一阈值,判断为是时,执行步骤706;否则流程结束;
可以理解,第一阈值可根据实际情况而设置,可以为具体数值,也可以为范围值。以图5所示为例,安全事件的最大风险参数不会超过100,如果服务器1的安全事件的数量为10,则可以设置第一阈值为700、800或900等。
步骤706:对没有找出关联关系的服务器1的所有安全事件进行监督学习,以找出具有关联关系的安全事件,如果经过监督学习能够找到几个安全事件存在关联关系,则将找到的关联关系添加到第二模型中,使得第二模型更新、其记载的关联关系更为全面,方便后续对第二模型的使用。
可以理解,所述监督学习可以利用有监督的机器学习方法而进行如基于神经网络的监督学习、基于树形规则的监督学习,具体实现过程不赘述。通过监督学习的方法进行匹配模型的更新,可对黑客攻击手法进行自动学习、捕获漏检的攻击事件。
前述方案中,对于可产生不同可疑级别的安全事件的主机或服务器而言,可基于这些为不同可疑级别的安全事件的属性信息生成事件序列,基于事件序列和第二模型,进行目标设备的攻击对象和/或被攻击类型的定位,这种风险评估方式,可靠性更佳。其中,利用事件序列可方便对具有关联性的安全事件、也即攻击链条的自动查找。基于攻击链条的自动查找可准确地定位出攻击源,实现对网络安全的更好维护、方便追溯。
可以理解,本申请实施例中的第一模型、第二模型是依据攻击设备的攻击行为而制定的。在图6和图7所示的方案中,如果在第一模型、第二模型中能够匹配到第一关联关系、第二关联关系,则可以认为主机或服务器(如服务器1)当前遭受的攻击是符合攻击设备的一定攻击行为的,相当于本申请实施例可识别出主机或服务器遭受攻击设备的哪种攻击行为的方案,可识别出特定的攻击行为,进而实现对攻击设备对主机或服务器实施了哪些(个)攻击行为进行检测。
可以理解,在网络中,检测设备监测的主机或服务器的数量很多,每个主机或服务器均可采用如上所示的方案进行风险评估。在实际应用中存在这样一种情况:利用如上的方案经过对多个主机或服务器的风险进行评估,发现存在有至少两个主机或服务器如两个主机或服务器,这两个主机或服务器中其中一个遭受到了前述的攻击,且经过对这两个主机或服务器生成的事件序列的识别发现其相同、且这二个主机之间存在通信的关系如主机1可以访问主机2,则可以认为主机2也会遭受到与主机1相同的攻击,被主机1访问的主机2的风险的产生是由主机1对主机2的访问产生的,也即主机1遭受的风险通过被攻击过程的第四阶段渗透到了主机2中。如果称主机所遭受的这种风险为扩散性的事件,则本申请实施例的技术方案还可以自动检测或识别出扩散性事件。
可以理解,在图6和7所示的描述中,是将匹配模型划分为两个模型:第一模型和第二模型进行的描述。此外,还可以不做划分,仅使用同时记载有第一关联关系和第二关联关系的一个模型作为匹配模型即可。本领域技术人员应该而知,匹配模型中记载的存在关联关系的安全事件,可通过安全事件之间的因果关系或相关性进行确定,并以树形模型和交叉模型进行关联关系的记载。具体的关于因果关系、相关性、树形模型和交叉模型的相关内容本文不做赘述,请参见现有说明。
本申请实施例中的优势至少在于以下几点:
第一点,通过事件序列与匹配模型的匹配,可实现安全事件之间的关联性查找,至少可还原攻击设备的攻击链条,方便网络维护人员对攻击事件的处理,降低溯源难度;
第二点,对处于不同阶段的低可疑事件进行关联,可调整主机或服务器的可疑级别,使得网络维护人员提高警惕,避免恶意攻击行为的漏检;
第三点,基于安全事件的多个标签属性进行风险参数的计算,相当于对安全事件在进行模型匹配之前进行可疑性的估计,预先标识出高风险的主机或服务器,以引起警觉。
第四点,还可以基于两个主机或服务器生成的事件序列的相同性以及二者之间存在通信关系,识别出扩散事件,对扩散事件的识别,在网络安全维护阶段可采用一些防止扩散的手段,防止扩散事件继续在网络中扩散,避免扩散而导致的网络安全不足的问题。
本申请还提供一种检测设备实施例,如图8所示,包括:第一获得单元801、第二获得单元802、生成单元803及确定单元804;其中,
第一获得单元801,用于获得每个目标设备的至少两个安全事件;
第二获得单元802,用于获得针对所述目标设备的各个安全事件的属性信息,所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;
生成单元803,用于基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;
确定单元804,用于基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
作为一个实现方式,所述第二获得单元802,用于获得所述各个安全事件的多个标签属性;相应的,所述生成单元803,用于基于安全事件的所述属性信息和所述多个标签属性,计算各个安全事件的风险参数;依据各个安全事件的风险参数,确定各个安全事件的可疑级别;依据各个安全事件的可疑级别,生成所述事件序列。
在第一种可实现方式中,所述生成单元803,用于提取可疑级别为相同的多个安全事件;针对所述多个安全事件中各个安全事件,按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列;相应的,所述确定单元804,用于判断所述事件序列与所述匹配模型中的第一模型是否匹配;判断为匹配时,确定所述目标设备的被攻击类别为第一类别,所述第一类别用于指示提升所述目标设备的可疑级别。
其中,所述第一模型至少记载有多个第一关联关系,第一关联关系表征为处于相同可疑级别的多个安全事件之间的关联性;相应的,所述确定单元804,用于判断所述多个第一关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;判断为存在时,确定为所述事件序列与所述第一模型匹配。
在第二种可实现方式中,所述生成单元803,用于提取可疑级别为至少部分不同的多个安全事件;针对所述多个安全事件中各个安全事件,按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列;相应的,所述确定单元804,用于判断所述事件序列与所述匹配模型中的第二模型是否匹配;判断为匹配时,确定所述目标设备的被攻击类别为第二类别,所述第二类别用于指示所述目标设备的被攻击类型和/或攻击所述目标设备的对象。
其中,所述第二模型至少记载有多个第二关联关系,每个第二关联关系表征为存在有关联关系的安全事件之间的关联性,所述第二关联关系中的所有安全事件至少部分安全事件为不同可疑级别;相应的,所述确定单元804,用于判断所述多个第二关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;判断为存在时,确定为所述事件序列与所述第二模型匹配。
对于所述多个目标设备中的第一设备,在所述确定单元804,用于在确定出所述第一设备的被攻击类别为第一类别或为第二类别的情况下,如果还确定出所述多个目标设备中的第二设备与所述第一设备存在通信、且所述第二设备生成的所述事件序列与所述第一设备生成的所述事件序列为相同,则确定所述第二设备的被攻击类别为第三类别,所述第三类别用于指示所述第二设备遭受到的攻击由所述第一设备遭受到的第一类别或第二类别的攻击的扩散而得。
在一个可选的实施例中,所述被攻击过程被划分为至少两个被攻击阶段;所述生成单元803,用于将从同一目标设备获得的各个安全事件按照所述至少两个被攻击阶段中的各个阶段进行依次排列,得到所述事件序列;其中,对于处于同一阶段的安全事件,按照安全事件的产生时间进行排列。
上述实施例提供的检测设备与前述检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。前述的第一获得单元801、第二获得单元802、生成单元803及确定单元804均可由中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-Programmable Gate Array)实现。
本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时至少用于执行图1至图7任一所示方法的步骤。所述计算机可读存储介质具体可以为存储器。所述存储器可以为如图9所示的存储器92。
本申请实施例还提供了一种检测设备。图9为本申请实施例的检测设备的硬件结构示意图,如图9所示,检测设备包括:用于进行数据传输的通信组件93、至少一个处理器91和用于存储能够在处理器91上运行的计算机程序的存储器92。终端中的各个组件通过总线系统94耦合在一起。可理解,总线系统94用于实现这些组件之间的连接通信。总线系统94除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统94。
其中,所述处理器91执行所述计算机程序时至少执行图1至图7任一所示方法的步骤。
可以理解,存储器92可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器92旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器91中,或者由处理器91实现。处理器91可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器91中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器91可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器91可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器92,处理器91读取存储器92中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,检测设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述的检测方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种检测方法,其特征在于,所述方法包括:
获得每个目标设备的至少两个安全事件;
获得针对所述目标设备的各个安全事件的属性信息,所述属性信息用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;
基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;
基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
2.根据权利要求1所述的方法,其特征在于,在获得针对所述目标设备的各个安全事件的属性信息的情况下,所述方法还包括:
获得所述各个安全事件的多个标签属性;
相应的,所述基于各个安全事件的属性信息,生成针对所述目标设备的事件序列,包括:
基于安全事件的所述属性信息和所述多个标签属性,计算各个安全事件的风险参数;
依据各个安全事件的风险参数,确定各个安全事件的可疑级别;
依据各个安全事件的可疑级别,生成所述事件序列。
3.根据权利要求2所述的方法,其特征在于,所述依据各个安全事件的可疑级别,生成所述事件序列,包括:
提取可疑级别为相同的多个安全事件;
针对所述多个安全事件中各个安全事件,按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列;
相应的,所述基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,包括:
判断所述事件序列与所述匹配模型中的第一模型是否匹配;
判断为匹配时,确定所述目标设备的被攻击类别为第一类别,所述第一类别用于指示提升所述目标设备的可疑级别。
4.根据权利要求3所述的方法,其特征在于,所述第一模型至少记载有多个第一关联关系,第一关联关系表征为处于相同可疑级别的多个安全事件之间的关联性;
相应的,所述判断所述事件序列与所述匹配模型中的第一模型是否匹配,包括:
判断所述多个第一关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;
判断为存在时,确定为所述事件序列与所述第一模型匹配。
5.根据权利要求2所述的方法,其特征在于,所述依据各个安全事件的可疑级别,生成所述事件序列,包括:
提取可疑级别为至少部分不同的多个安全事件;
针对所述多个安全事件中各个安全事件,按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列;
相应的,所述基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,包括:
判断所述事件序列与所述匹配模型中的第二模型是否匹配;
判断为匹配时,确定所述目标设备的被攻击类别为第二类别,所述第二类别用于指示所述目标设备的被攻击类型和/或攻击所述目标设备的对象。
6.根据权利要求5所述的方法,其特征在于,所述第二模型至少记载有多个第二关联关系,每个第二关联关系表征为存在有关联关系的安全事件之间的关联性,所述第二关联关系中的所有安全事件至少部分安全事件为不同可疑级别;
相应的,所述判断所述事件序列与所述匹配模型中的第二模型是否匹配,包括:
判断所述多个第二关联关系中是否存在有能够与所述事件序列中的至少部分安全事件对应的关联关系;
判断为存在时,确定为所述事件序列与所述第二模型匹配。
7.根据权利要求3或5所述的方法,其特征在于,对于所述多个目标设备中的第一设备,
在确定出所述第一设备的被攻击类别为第一类别或为第二类别的情况下,
如果所述多个目标设备中的第二设备与所述第一设备存在通信、且所述第二设备生成的所述事件序列与所述第一设备生成的所述事件序列为相同,则确定所述第二设备的被攻击类别为第三类别,所述第三类别用于指示所述第二设备遭受到的攻击由所述第一设备遭受到的第一类别或第二类别的攻击的扩散而得。
8.根据权利要求3或5所述的方法,其特征在于,所述按照各个安全事件的被攻击阶段在攻击过程中的顺序进行排列,得到所述事件序列,包括:
对于处于同一被攻击阶段的安全事件,按照安全事件的产生时间进行排列。
9.一种检测设备,其特征在于,包括:
第一获得单元,用于获得每个目标设备的至少两个安全事件;
第二获得单元,用于获得针对所述目标设备的各个安全事件的属性信息,所述属性信息至少用于表征所述安全事件在所述目标设备在被攻击过程中所处的被攻击阶段;
生成单元,用于基于各个安全事件的属性信息,生成针对所述目标设备的事件序列;
确定单元,用于基于所述事件序列和获得的匹配模型,确定所述目标设备的被攻击属性信息,所述被攻击属性信息至少表征为所述目标设备的被攻击类别。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被执行时实现权利要求1至8任一项所述方法的步骤。
11.一种检测设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至8任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911144373.5A CN110912884A (zh) | 2019-11-20 | 2019-11-20 | 一种检测方法、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911144373.5A CN110912884A (zh) | 2019-11-20 | 2019-11-20 | 一种检测方法、设备及计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110912884A true CN110912884A (zh) | 2020-03-24 |
Family
ID=69818382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911144373.5A Pending CN110912884A (zh) | 2019-11-20 | 2019-11-20 | 一种检测方法、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110912884A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111951011A (zh) * | 2020-07-30 | 2020-11-17 | 中国工商银行股份有限公司 | 监控系统阈值确定方法及装置 |
| CN112269990A (zh) * | 2020-10-15 | 2021-01-26 | 深信服科技股份有限公司 | 一种安全事件类型确定方法、设备、系统及存储介质 |
| CN112437070A (zh) * | 2020-11-16 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 一种基于操作生成树状态机完整性验证计算方法及系统 |
| CN112532631A (zh) * | 2020-11-30 | 2021-03-19 | 深信服科技股份有限公司 | 一种设备安全风险评估方法、装置、设备及介质 |
| CN113556310A (zh) * | 2020-04-24 | 2021-10-26 | 华为技术有限公司 | 一种远程控制检测方法及网络设备 |
| CN113673001A (zh) * | 2021-08-20 | 2021-11-19 | 平头哥(杭州)半导体有限公司 | 安全保护组件和相关装置及方法 |
| CN114422186A (zh) * | 2021-12-21 | 2022-04-29 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114666148A (zh) * | 2022-03-31 | 2022-06-24 | 深信服科技股份有限公司 | 风险评估方法、装置及相关设备 |
| CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
| CN116318751A (zh) * | 2022-09-07 | 2023-06-23 | 上海金电网安科技有限公司 | 漏洞识别方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| US20110016528A1 (en) * | 2008-08-15 | 2011-01-20 | Venus Info Tech Inc. | Method and Device for Intrusion Detection |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
| CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
| CN109347827A (zh) * | 2018-10-22 | 2019-02-15 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
| US20190258800A1 (en) * | 2016-04-15 | 2019-08-22 | Sophos Limited | Endpoint malware detection using an event graph |
-
2019
- 2019-11-20 CN CN201911144373.5A patent/CN110912884A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110016528A1 (en) * | 2008-08-15 | 2011-01-20 | Venus Info Tech Inc. | Method and Device for Intrusion Detection |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| CN103312679A (zh) * | 2012-03-15 | 2013-09-18 | 北京启明星辰信息技术股份有限公司 | 高级持续威胁的检测方法和系统 |
| CN105471882A (zh) * | 2015-12-08 | 2016-04-06 | 中国电子科技集团公司第三十研究所 | 一种基于行为特征的网络攻击检测方法及装置 |
| US20190258800A1 (en) * | 2016-04-15 | 2019-08-22 | Sophos Limited | Endpoint malware detection using an event graph |
| CN109347827A (zh) * | 2018-10-22 | 2019-02-15 | 东软集团股份有限公司 | 网络攻击行为预测的方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 王硕: ""基于因果知识网络的攻击场景构建方法"", 《计算机研究与发展》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113556310B (zh) * | 2020-04-24 | 2022-09-23 | 华为技术有限公司 | 一种远程控制检测方法及网络设备 |
| CN113556310A (zh) * | 2020-04-24 | 2021-10-26 | 华为技术有限公司 | 一种远程控制检测方法及网络设备 |
| CN111951011A (zh) * | 2020-07-30 | 2020-11-17 | 中国工商银行股份有限公司 | 监控系统阈值确定方法及装置 |
| CN111951011B (zh) * | 2020-07-30 | 2023-09-29 | 中国工商银行股份有限公司 | 监控系统阈值确定方法及装置 |
| CN112269990A (zh) * | 2020-10-15 | 2021-01-26 | 深信服科技股份有限公司 | 一种安全事件类型确定方法、设备、系统及存储介质 |
| CN112437070A (zh) * | 2020-11-16 | 2021-03-02 | 深圳市永达电子信息股份有限公司 | 一种基于操作生成树状态机完整性验证计算方法及系统 |
| CN112532631A (zh) * | 2020-11-30 | 2021-03-19 | 深信服科技股份有限公司 | 一种设备安全风险评估方法、装置、设备及介质 |
| CN113673001A (zh) * | 2021-08-20 | 2021-11-19 | 平头哥(杭州)半导体有限公司 | 安全保护组件和相关装置及方法 |
| CN114422186A (zh) * | 2021-12-21 | 2022-04-29 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114422186B (zh) * | 2021-12-21 | 2024-05-28 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114666148A (zh) * | 2022-03-31 | 2022-06-24 | 深信服科技股份有限公司 | 风险评估方法、装置及相关设备 |
| CN114666148B (zh) * | 2022-03-31 | 2024-02-23 | 深信服科技股份有限公司 | 风险评估方法、装置及相关设备 |
| CN115118514A (zh) * | 2022-07-11 | 2022-09-27 | 深信服科技股份有限公司 | 一种数据检测方法、装置、设备及介质 |
| CN116318751A (zh) * | 2022-09-07 | 2023-06-23 | 上海金电网安科技有限公司 | 漏洞识别方法、装置、设备及存储介质 |
| CN116318751B (zh) * | 2022-09-07 | 2023-10-03 | 上海金电网安科技有限公司 | 漏洞识别方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110912884A (zh) | 一种检测方法、设备及计算机存储介质 | |
| US10686829B2 (en) | Identifying changes in use of user credentials | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| US7962611B2 (en) | Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels | |
| US20160357966A1 (en) | Detection and prevention for malicious threats | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| AU2017274576B2 (en) | Classification of log data | |
| US20160021174A1 (en) | Computer implemented method for classifying mobile applications and computer programs thereof | |
| US20170091461A1 (en) | Malicious code analysis method and system, data processing apparatus, and electronic apparatus | |
| US8108931B1 (en) | Method and apparatus for identifying invariants to detect software tampering | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| Xiao et al. | From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild | |
| Stolfo et al. | Anomaly detection in computer security and an application to file system accesses | |
| CN109344042A (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
| CN111125702A (zh) | 一种病毒识别方法及装置 | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| US10360378B2 (en) | Analysis device, analysis method and computer-readable recording medium | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
| CN115484062A (zh) | 一种基于apt攻击图的威胁检测方法、装置与设备 | |
| Qiao et al. | Behavior analysis-based learning framework for host level intrusion detection | |
| CN112287345A (zh) | 基于智能风险检测的可信边缘计算系统 | |
| CN112333157B (zh) | 基于大数据的网络安全防护方法和网络安全防护平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200324 |
|
| RJ01 | Rejection of invention patent application after publication |