CN111147504A

CN111147504A - 威胁检测方法、装置、设备和存储介质

Info

Publication number: CN111147504A
Application number: CN201911399397.5A
Authority: CN
Inventors: 庞思铭
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2019-12-26
Filing date: 2019-12-26
Publication date: 2020-05-12
Anticipated expiration: 2039-12-26
Also published as: CN111147504B

Abstract

本发明公开了一种威胁检测方法，包括：采集实时监测的网络日志；利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。本发明还公开了一种威胁检测装置、设备和存储介质。本发明实现了从攻击链的全局视角进行威胁捕获，提高了安全防御能力。

Description

威胁检测方法、装置、设备和存储介质

技术领域

本发明涉及网络安全领域，尤其涉及一种威胁检测方法、装置、设备和存储介质。

背景技术

全行业现阶段盛行的安全防御体系依然关注网络或主机层面的防御或阻断能力，在各网络安全节点分别部署入侵检测系统进行威胁捕获，各网络节点的入侵检测系统均为独立的检测系统，只能够捕获单独的攻击场景下的威胁信息。而由于如今很多攻击者的攻击链路覆盖网络、服务器、主机、应用等多个环节和实体，当前的方案却无法从攻击链的全局视角进行安全分析，无法将该攻击者在整个攻击链内的多个环节进行同时捕获，从而无法将整个攻击链路复原，对攻击信息的追溯和举证都十分困难。因此，目前的威胁检测方式中存在由于对威胁信息检测的全局性较差导致的安全防御能力弱的问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种威胁检测方法、装置、设备和存储介质，旨在解决由于对威胁信息检测的全局性较差导致的安全防御能力弱的技术问题。

为实现上述目的，本发明提供一种威胁检测方法，包括：采集实时监测的网络日志；利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。

可选地，所述基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节的步骤，具体包括：基于所述行为异常的网络日志确定异常行为特征；基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节。

可选地，所述基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节的步骤，具体包括：获取所述异常行为特征所采用的攻击策略；将所述攻击策略与基于网络空间安全框架的攻击链在各攻击环节的环节策略进行匹配，获得匹配的目标环节策略；将所述目标环节策略对应的攻击环节作为目标攻击环节。

可选地，所述获取所述目标攻击环节在所述攻击链中的所有前序攻击环节，将所述目标攻击环节和各所述前序攻击环节作为被攻陷环节的步骤之后，所述威胁检测方法还包括：根据所述异常行为特征和所述被攻陷环节，生成威胁告警信息并输出。

可选地，所述采集实时监测的网络日志的步骤之前，所述威胁检测方法还包括：从日志库中提取多条行为正常的历史网络日志作为安全日志训练集；建立训练模型；利用所述安全日志训练集对所述训练模型进行训练，得到威胁检测模型。

可选地，所述从日志库内获取安全日志训练集的步骤之前，所述威胁检测方法还包括：采集多个网络设备的入侵检测系统收集的历史网络日志；其中，一个网络设备中部署有至少一个入侵检测系统；将多个网络设备的入侵检测系统收集的历史网络日志汇聚存储至日志库。

可选地，所述入侵检测系统包括网络入侵检测系统和主机入侵检测系统。

可选地，所述威胁检测方法还包括：接收用户输入的检索特征；根据所述检索特征，查询日志库，获得所述检索特征对应的攻击链信息。

此外，为实现上述目的，本发明还提供一种威胁检测装置，所述威胁检测装置包括：采集模块，用于采集实时监测的网络日志；检测模块，用于利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；目标攻击环节确定模块，用于若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；被攻陷环节确定模块，用于将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。

此外，为实现上述目的，本发明还提供一种威胁检测设备，所述威胁检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁检测程序，所述威胁检测程序被所述处理器执行时实现如上述的威胁检测方法的步骤。

此外，为实现上述目的，本发明还提供一种存储介质，所述存储介质上存储有威胁检测程序，所述威胁检测程序被处理器执行时实现如上述的威胁检测方法的步骤。

本发明实施例提出的一种威胁检测方法、装置、设备和存储介质，通过采集实时监测的网络日志，利用威胁检测模型，对监测的网络日志进行威胁检测，获得检测结果，若检测结果表征网络日志的行为异常，则基于网络空间安全框架的攻击链，确定行为异常的网络日志所属的目标攻击环节，并将攻击链中目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对网络日志的威胁检测；通过获取行为异常的网络日志的目标攻击环节，并从攻击链的全局视角，获取目标攻击环节在该攻击链当中的所有前序攻击环节，将目标攻击环节和各前序攻击环节作为被攻陷环节，不仅能检测到网络日志被捕获时的攻击环节，即目标攻击环节，还能获取网络日志攻击成功的未被捕获的攻击环节，即前序攻击环节，实现了从攻击链的全局视角进行威胁捕获，提高了安全防御能力。

附图说明

图1为本发明实施例方案涉及的硬件运行环境的终端结构示意图；

图2为本发明威胁检测方法实施例的流程示意图；

图3为图2中本发明威胁检测方法实施例的步骤S206的细化流程示意图；

图4为图3中本发明威胁检测方法实施例的步骤S304的细化流程示意图；

图5为图2中本发明威胁检测方法实施例的步骤S202之前的步骤流程示意图；

图6为图5中本发明威胁检测方法实施例的步骤S506的细化流程示意图；

图7为图5中本发明威胁检测方法另一实施例的步骤S506的细化流程示意图；

图8为图5中本发明威胁检测方法实施例的步骤S502之前的步骤流程示意图；

图9为本发明威胁检测方法另一实施例的流程示意图；

图10为本发明威胁检测装置实施例的结构框图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。

本发明实施例终端可以是PC，也可以是智能手机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3)播放器、MP4(Moving Picture Experts Group Audio Layer IV，动态影像专家压缩标准音频层面4)播放器、便携计算机等具有显示功能的可移动式终端设备。

如图1所示，该终端可以包括：处理器1001，例如CPU，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

可选地，终端还可以包括摄像头、RF(Radio Frequency，射频)电路，传感器、音频电路、WiFi模块等等。其中，传感器比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示屏的亮度，接近传感器可在移动终端移动到耳边时，关闭显示屏和/或背光。作为运动传感器的一种，重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别移动终端姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；当然，移动终端还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

本领域技术人员可以理解，图1中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及威胁检测程序。

在图1所示的终端中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的威胁检测程序，并执行以下操作：采集实时监测的网络日志；利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。

可选地，处理器1001可以调用存储器1005中存储的威胁检测程序，还执行以下操作：所述基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节的步骤，具体包括：基于所述行为异常的网络日志确定异常行为特征；基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节。

可选地，处理器1001可以调用存储器1005中存储的威胁检测程序，还执行以下操作：所述基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节的步骤，具体包括：获取所述异常行为特征所采用的攻击策略；将所述攻击策略与基于网络空间安全框架的攻击链在各攻击环节的环节策略进行匹配，获得匹配的目标环节策略；将所述目标环节策略对应的攻击环节作为目标攻击环节。

可选地，处理器1001可以调用存储器1005中存储的威胁检测程序，还执行以下操作：所述获取所述目标攻击环节在所述攻击链中的所有前序攻击环节，将所述目标攻击环节和各所述前序攻击环节作为被攻陷环节的步骤之后，所述威胁检测方法还包括：根据所述异常行为特征和所述被攻陷环节，生成威胁告警信息并输出。

可选地，处理器1001可以调用存储器1005中存储的威胁检测程序，还执行以下操作：所述采集实时监测的网络日志的步骤之前，所述威胁检测方法还包括：从日志库中提取多条行为正常的历史网络日志作为安全日志训练集；建立训练模型；利用所述安全日志训练集对所述训练模型进行训练，得到威胁检测模型。

可选地，处理器1001可以调用存储器1005中存储的威胁检测程序，还执行以下操作：所述从日志库内获取安全日志训练集的步骤之前，所述威胁检测方法还包括：采集多个网络设备的入侵检测系统收集的历史网络日志；其中，一个网络设备中部署有至少一个入侵检测系统；将多个网络设备的入侵检测系统收集的历史网络日志汇聚存储至日志库。

可选地，处理器1001可以调用存储器1005中存储的威胁检测程序，还执行以下操作：所述入侵检测系统包括网络入侵检测系统和主机入侵检测系统。

可选地，处理器1001可以调用存储器1005中存储的威胁检测程序，还执行以下操作：所述威胁检测方法还包括：接收用户输入的检索特征；根据所述检索特征，查询日志库，获得所述检索特征对应的攻击链信息。

参照图2，一种威胁检测实施例，所述威胁检测方法包括：

步骤S202，采集实时监测的网络日志；

需要说明的是，本实施例的方法可以部署于网络出口处，实时采集多个网络设备的网络日志，对各网络设备的网络日志进行威胁检测。网络设备可以是接入网络的终端设备，还可以是安全设备。安全设备包括但不限于WAF(Web Application Firewall)，网站应用级入侵防御系统、IDS(Intrusion Detection Systems，入侵检测系统)、IPS(IntrusionPrevention System，入侵防御系统)和防火墙等。在其中一个实施例中，本实施例的方法还可以独立部署于网络设备内。

本实施例中，不同网络设备内可以部署有不同的入侵检测系统，同一网络设备内也可以部署有一个或多个不同的入侵检测系统。在其中一个实施例中，入侵检测系统包括但不限于NIDS(Network Intrusion Detection System，网络入侵检测系统)和HIDS(Host-based Intrusion Detection System，主机入侵检测系统)。可以理解，同一网络设备中的入侵检测系统包括NIDS和HIDS中的至少一种。其中，NIDS为对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为，进行检测的软件与硬件的组合，其目的是从网络上的TCP/IP(Transmission Control Protocol/InternetProtocol，传输控制协议/网际协议)消息流中识别出潜在的攻击行为，主要用于检测网络日志中的特定模式并进行告警。HIDS则是作为计算机系统的监视器和分析器，它并不作用于外部接口，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态，主要用于通过检测主机日志、注册表、文件系统，发现入侵行为并进行告警。本实施例的网络日志包括NIDS收集的流量日志和HIDS收集的主机日志中的至少一种。

需要说明的是，NIDS收集的流量日志包括：网络会话数据、面向连接的网络流数据、网络代理日志、DNS(Domain Name System，域名系统协议)日志数据、SSL(SecureSockets Layer，安全套接层)证书数据和防火墙的响应数据等。其中，网络会话数据包括主机间的网络连接的重要元数据，例如源IP、目的IP、目标端口、网络连接起止时间以及时间间隔等。面向连接的网络流数据包括基于数据流量识别到的应用信息，以及和异常行为相关的应用流量数据，可以采用但不限于采用如BroIDS(Bro Intrusion DetectionSystems，Bro入侵检测系统)等探针的数据。网络代理日志包括但不限于对公网请求的HTTP(Hyper Text Transfer Protocol over SecureSocket Layer，超文本传输安全协议)协议的Web(World Wide Web，全球广域网)请求数据，例如内部主机请求访问的网络资源等。DNS日志数据包括DNS解析请求行为相关的数据，包括domain(域)解析到IP地址的映射关系数据以及对内网主机地址解析相关的数据等。SSL证书数据包括与SSL连接请求相关的目标服务器数字证书相关数据。

HIDS收集的主机日志包括：进程执行元数据、注册表访问数据、文件数据、主机网络数据、文件流行程度信息、Powershell(命令提示符)执行日志、Sysmon(系统监视)事件日志等。其中，进程执行元数据包括HIDS Agent(HIDS代理)所在主机上运行的进程相关的重要元数据，如进程运行时的命令行、参数、进程文件名以及进程ID(Identity Document，身份标识符)等。注册表访问数据包括与注册表对象相关的如键值对等元数据。文件数据包括主机存储文件相关操作的数据，包括文件创建、修改、文件大小、类型、存储位置等信息。主机网络数据包括各个进程及父进程发起的网络连接相关数据。文件流行程度信息包括文件在当前网络环境中存在的流行度信息。

本实施例中，终端在采集实施监测的网络日志时，可以是在检测到新增的网络日志时，立即采集该网络日志，还可以是在预定采集周期到达时，采集该网络日志。

步骤S204，利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；

需要说明的是，本实施例的威胁检测模型为预先训练好的机器模型，可以对网络日志进行检测，以判断网络日志中是否存在威胁信息。其中，机器模型可以但不限于是神经网络模型或贝叶斯模型。具体地，终端将采集的网络日志输入威胁检测模型，威胁检测模型对该网络日志进行威胁分析，得到威胁检测的检测结果。

步骤S206，若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；

需要说明的是，网络空间安全框架包括设备层安全、系统层安全、数据层安全以及应用层安全等。其中，设备层安全包括物理安全、环境安全、以及设备安全；系统层安全包括网络安全和软件安全等；数据层安全包括数据安全、身份安全以及隐私安全等；应用层安全包括数据内容安全和应用安全等。本实施例的攻击链则基于上述网络空间安全框架划分。一个攻击链包括一个攻击源IP基于网络空间安全框架的多个攻击环节，各攻击环节的环节特征互不相同。具体地，各攻击环节对应不同的攻击场景，从各攻击场景下的提取攻击特征，以构成一个攻击链。本实施例的攻击链可以采用杀死链(killchain)，包括：侦测(Reconnaissance)环节、武器化(Weaponization)环节、投递(Delivery)环节、漏洞利用(Exploit)环节、安装(Installation)环节、命令控制(Command&Control，C2)环节和行动(Actions On Objective)环节等七个攻击环节。其中，侦测环节具体为利用社交工程发现目标系统的安全状态弱点，武器化环节为针对目标系统制作攻击工具，投递环节为将攻击工具交付给目标系统，漏洞利用环节为受害者在目标系统上打开用于应用程序的恶意文件或操作系统漏洞控制目标系统，安装环节为在目标系统上的远程控制程序，命令控制环节为在互联网上创建一个C2通道、以建立与C2服务器的连接，行动环节为继续窃取目标系统的信息，破坏其信息的完整性和可用性，并进一步控制目标系统跳转攻击其他系统，从而扩大影响范围。

本实施例中，若检测结果表征该网络日志行为正常，则结束本实施例的流程，若监测结果表征该网络日志行为异常，则表示该行为异常的网络日志。终端根据行为异常的网络日志确定该网络日志所述的目标攻击环节。具体地，终端可以获取检测到该行为异常的网络日志的网络设备，将该网络设备在攻击链中所处的攻击环节确定为该行为异常的网络日志所属的目标攻击环节。

步骤S208，将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。

应当说明的是，终端在获取到目标攻击环节后，根据攻击链各攻击环节的组成，获取目标攻击环节在攻击链中的所有前序攻击环节。例如对于采用杀死链的攻击链，若目标攻击环节为运用环节，则其在攻击链中的所有前序环节则为侦测环节、武器化环节和传达环节。进一步地，终端将目标攻击环节和所有前序攻击环节作为被攻陷环节，完成对网络日志的威胁检测。在其中一个实施例中，终端异常行为特征和被攻陷环节进行输出，以提示用户。用户则可以根据异常行为特征获取攻击源IP，并阻止攻击源IP的信息传输，并根据被攻陷环节来对相应攻击环节处的网络防御程序进行升级。

本实施例中，通过采集实时监测的网络日志，利用威胁检测模型，对监测的网络日志进行威胁检测，获得检测结果，若检测结果表征网络日志的行为异常，则基于网络空间安全框架的攻击链，确定行为异常的网络日志所属的目标攻击环节，并将攻击链中目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对网络日志的威胁检测；通过获取行为异常的网络日志的目标攻击环节，并从攻击链的全局视角，获取目标攻击环节在该攻击链当中的所有前序攻击环节，将目标攻击环节和各前序攻击环节作为被攻陷环节，不仅能检测到网络日志被捕获时的攻击环节，即目标攻击环节，还能获取网络日志攻击成功的未被捕获的攻击环节，即前序攻击环节，实现了从攻击链的全局视角进行威胁捕获，提高了安全防御能力。

参照图3，在其中一个实施例中，所述步骤S206，具体包括：

步骤S302，基于所述行为异常的网络日志确定异常行为特征；

需要说明的是，威胁检测模型在检测到网络日志行为异常时，输出表征该网络日志的行为异常的检测结果。终端在获取到该检测结果后，对该网络日志进行网络行为分析，得到异常行为特征。具体地，终端根据已知的正常行为特征对该网络日志进行比对，从网络日志中提取行为异常的异常流量，并从异常流量中提取出异常行为特征。本实施例中，异常行为特征例如可以为对目的IP在一定时间段内的访问频率、更改注册表行为等存在安全威胁的行为特征。

步骤S304，基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节。

需要说明的是，攻击链包括多个攻击环节，各攻击环节对应不同的环节特征。终端将异常行为特征与攻击链的各攻击环节的环节特征进行匹配，获取相匹配的目标攻击环节。

本实施例中，基于行为异常的网络日志确定异常行为特征，然后基于网络空间安全框架的攻击链，获取异常行为特征所属的目标攻击环节，通过网络日志的异常行为特征来进行攻击链中攻击环节的匹配，能够更准确快速的确定行为异常的网络日志所属的目标攻击环节。

参照图4，在其中一个实施例中，所述步骤S304，具体包括：

步骤S402，获取所述异常行为特征所采用的攻击策略；

需要说明的是，本实施例的攻击链根据攻击策略进行攻击环节的划分。如上述实施例的杀死链即为根据攻击策略进行攻击环节的划分，攻击策略即为侦测、武器化、传达、运用、安装、远程控制和行动。在其中一个实施例中，攻击链为基于ATT&CK(AdversarialTactics,Techniques,and Common Knowledge，对手战术、技术及通用知识库)根据不同阶段的攻击策略(Tactics)进行划分，具体包括以下多个攻击环节：初始接入(InitialAccess)、代码执行(Execution)、持久化(Persistance)、权限提升(PrivilegeEscalation)、防御规避(Defense Evasion)、凭证访问(Credential Access)、探索(Discovery)、内网漫游(Lateral Movement)、信息收集(Collection)、泄露(Exfiltration)和命令控制(Command&Control)。本实施例中，终端对异常行为特征的攻击过程进行分析，获得异常行为特征所采用的攻击策略。

步骤S404，将所述攻击策略与基于网络空间安全框架的攻击链在各攻击环节的环节策略进行匹配，获得匹配的目标环节策略；

终端将异常行为特征所采用的攻击策略和攻击链的各攻击环节对应的环节策略进行匹配，得到相匹配的目标环节策略。具体地，终端按照攻击链各攻击环节的攻击顺序，对该攻击策略进行逐一匹配，直至找到相匹配的目标环节策略。

步骤S406，将所述目标环节策略对应的攻击环节作为目标攻击环节。

进一步地，终端将目标环节策略对应的攻击环节作为目标攻击环节，得到网络日志中异常行为特征在攻击链当中所属的目标攻击环节。

本实施例中，通过对异常行为特征的策略分析，得到其采用的攻击策略，并基于攻击策略进行攻击环节的匹配，从而能够更有效准确的检测到异常行为特征的目标攻击环节。

在其中一个实施例中，所述步骤S208之后，所述威胁检测方法还包括：根据所述异常行为特征和所述被攻陷环节，生成威胁告警信息并输出。

本实施例中，威胁告警信息可以包括但不限于日志、语音告警、限制权限的告警控制等中的至少一种。其中，当威胁告警信息包括日志时，终端根据异常行为特征和被攻陷环节，生成威胁日志。威胁日志中包含有对异常行为特征和被攻陷环节的描述信息。当威胁告警信息包括语音告警时，终端根据在获取到异常行为特征和被攻陷环节后，输出告警提示铃声，以提示用户存在网络日志的行为异常。当威胁告警信息包括限制权限的告警控制时，终端根据异常行为特征根据一定的规则计算异常度，当异常度超过阈值范围时，限制该异常行为特征所对应的异常行为的访问权限。

本实施例中，通过生成威胁告警信息，并将威胁告警信息进行输出以提示用户威胁的发生，能够及时通知用户采取防御措施。

参照图5，在其中一个实施例中，所述步骤S202之前，所述威胁检测方法还包括：

步骤S502，从日志库中提取多条行为正常的历史网络日志作为安全日志训练集；

需要说明的是，安全日志训练集内记录的网络安全日志均为网络行为正常且安全的流量数据。本实施例的日志库内记录的历史网络日志包括行为正常的网络安全日志以及行为异常的网络威胁日志。终端获取日志库内的所有网络安全日志作为安全日志训练集。本实施例中，终端利用网络行为安全的安全日志训练集对训练模型进行训练，以使训练模型学习正常的网络行为，得到训练好的威胁检测模型，从而利用威胁检测模型去预测与威胁检测模型的网络行为表现异常的异常网络行为，从而实现威胁检测。

步骤S504，建立训练模型；

需要说明的是，本实施例的训练模型包括但不限于是神经网络模型或贝叶斯模型。神经网络模型例如可以是LSTM(Long short term memory cells，长短期记忆神经元)模型。本实施例中，以训练模型为贝叶斯模型进行说明。终端利用贝叶斯算法建立训练模型。贝叶斯算法是统计学的一种分类方法，它是一类利用概率统计知识进行分类的算法。在许多场合，朴素贝叶斯(

Bayes，NB)算法可以与决策树和神经网络分类算法相媲美，该算法能运用到大型数据库中，而且方法简单、分类准确率高、速度快。由于贝叶斯定理假设一个属性值对给定类的影响独立于其它属性的值，而此假设在实际情况中经常是不成立的，因此其分类准确率可能会下降。为此，就衍生出许多降低独立性假设的贝叶斯算法，如TAN(tree augmented Bayes network)算法。本实施例采用的贝叶斯算法即为TAN算法。

步骤S506，利用所述安全日志训练集对所述训练模型进行训练，得到威胁检测模型。

终端利用安全日志训练集对训练模型进行训练，以使训练模型不断学习安全日志训练集的网络行为，在训练过程中不断调整模型参数，从而得到威胁检测模型。

本实施例中，提供了威胁检测模型的获取方式，通过利用安全日志训练集，对根据贝叶斯算法建立的训练模型进行训练，从而使得威胁检测模型学习安全的网络行为，得到威胁检测模型，模型的构建和训练方式简单，而模型的功能可靠有效。

参照图6，在其中一个实施例中，所述步骤S506，具体包括：

步骤S602，从所述安全日志训练集中提取多个行为特征，构成行为特征训练集；

需要说明的是，终端从安全日志训练集中提取各网络安全日志对应的行为特征，构成行为特征训练集。其中，行为特征包括采用的攻击策略。

步骤S604，利用所述行为特征训练集对所述训练模型进行训练。

应当理解的是，终端利用行为特征训练集对训练模型进行训练，以使训练模型自动学习安全日志训练集对应的网络行为，而本实施例的安全日志训练集中记录的网络安全日志均为网络行为正常且安全的网络日志，训练模型在训练过程中将不断学习正常且安全的网络行为的行为特征，从而得到威胁检测模型。

本实施例中，通过从安全日志训练集中提取多个行为特征，构成行为特征训练集，利用行为特征训练集对训练模型进行训练，利用特征更明显的有效数据率更高的行为特征训练集对模型进行训练，提高了模型的训练效率和模型的准确性。

参照图7，在其中一个实施例中，所述步骤S506，具体包括：

步骤S702，利用所述安全日志训练集对所述训练模型进行训练，得到中间模型；

需要说明的是，终端在利用安全日志训练集对训练模型进行多次训练后，得到中间模型。该中间模型学习的是安全日志训练集中正常的网络日志。

步骤S704，获取网络日志测试集；其中，所述网络日志测试集包括从多个入侵检测系统采集的多条网络日志，所述网络日志包括网络安全日志和网络威胁日志；

进一步地，终端获取网络日志测试集。其中，网络日志测试集包括网络安全日志和网络威胁日志。网络威胁日志为各入侵检测系统的告警日志，即为网络行为异常的网络日志。

步骤S706，利用所述中间模型对所述网络日志测试集进行威胁检测，得到所述网络日志测试集的检测结果；

本实施例中，终端进一步将网络日志测试集输入中间模型，以使中间模型进行威胁检测，得到测试检测结果。测试检测结果可以表征网络日志测试集的行为异常或行为正常。在其中一个实施例中，检测结果为异常度，异常度为一个概率数据，表征网络日志测试集的异常概率。中间模型对网络日志测试集进行异常度的计算，输出计算得到的异常度。终端可以根据异常度来判断网络日志测试集的安全等级，例如，若异常度大于等于预定异常度，则表示网络日志测试集存在行为异常的威胁信息，否则表示该网络日志测试集的网络行为安全。

步骤S708，根据所述网络日志测试集和所述检测结果，对所述中间模型的模型参数进行调整，得到威胁检测模型。

需要说明的是，本实施例的网络日志测试集中包含网络安全日志和网络威胁日志，网络日志测试集中的网络安全日志和网络威胁日志为已知信息，即网络日志测试集的实际异常信息为已知。终端可以根据实际异常信息和通过中间模型检测得到的测试检测结果，对中间模型的模型参数进行调整，以使中间模型的模型参数更为准确，得到威胁检测模型。例如若实际异常信息与测试检测结果一致，则表示中间模型的威胁检测准确，否则表示中间模型的威胁检测不准确，需要对中间模型的模型参数进行调整。在需要对中间模型的模型参数进行调整时，在其中一个实施例中，终端还接收人工干预指令，以对中间模型的模型参数进行调整。例如若中间模型预测为行为异常的异常网络日志来自成功的登录事件，说明中间模型发生了误判，则训练员基于该条预测错误的异常网络日志对中间模型设置对成功登陆事件进行过滤的过滤条件，以使中间模型将成功的登陆事件对应的网络日志进行过滤，即将此类网络日志默认为行为正常的网络安全日志，从而使中间模型自动对模型参数进行调整，得到更准确的威胁检测模型。

本实施例中，在利用安全日志训练集对训练模型进行训练后，继续利用网络日志测试集对中间模型进行测试，并根据得到的测试检测结果对模型参数进行修正，使得模型参数更为准确，得到的威胁检测模型的威胁检测准确率更高。

参照图8，在其中一个实施例中，所述步骤S502之前，所述威胁检测方法还包括：

步骤S802，采集多个网络设备的入侵检测系统收集的历史网络日志；其中，一个网络设备中部署有至少一个入侵检测系统；

需要说明的是，不同网络设备内可以部署有不同的入侵检测系统，同一网络设备内也可以部署有一个或多个不同的入侵检测系统。终端采集多个网络设备对应的多个入侵检测系统收集的历史网络日志。在其中一个实施例中，入侵检测系统包括但不限于NIDS和HIDS。

步骤S804，将多个网络设备的入侵检测系统收集的历史网络日志汇聚存储至日志库。

应当理解的是，终端将采集到的历史网络日志存入本地的日志库，以将从各网络设备的各入侵检测系统所收集的历史网络日志进行汇聚存储。

需要说明的是，各入侵检测系统在检测到行为异常的网络日志时，会生成相应的告警日志，即日志库内的历史网络日志包括告警日志。本实施例中，终端在需获取安全日志训练集时，将日志库内的告警日志剔除，将除告警日志以外的历史网络日志作为网络安全日志，将获取的多条网络安全日志作为安全日志训练集。需要说明的是，本实施例在采集实时监测的网络日志时，还将实时采集的网络日志存入日志库。

本实施例中，通过采集多个网络设备的入侵检测系统收集的历史网络日志，并将采集的历史网络日志汇聚存储至日志库，实现了多个网络设备的多个入侵检测系统的日志汇聚，能够为威胁检测提供更全面的数据支持，从而提高了基于该日志库进行威胁检测的威胁捕获能力。

参照图9，在其中一个实施例中，所述威胁检测方法还包括：

步骤S902，接收用户输入的检索特征；

本实施例中，实施有上述威胁检测模型的终端内还实施有搜索模块，终端内存储有日志库，该日志库包括从多个入侵检测系统中采集的多条网络日志。用户可以利用该搜索模块自行根据自己预测的可能发生攻击的特征信息，进行特征信息的攻击链的检索。具体地，终端接收用户输入的检索特征。其中，检索特征可以但不限于是事件ID、攻击源IP和攻击策略等。

步骤S904，根据所述检索特征，查询日志库，获得所述检索特征对应的攻击链信息。

终端根据检索特征，查询日志库，获取查询到的与该检索特征相关联的攻击链信息。其中，攻击链信息包括但不限于攻击源IP、攻击目的IP、操作时间、注册表修改项目信息等。例如，若检索特征事件ID，例如可以为“event_id:13”，则终端将查找获得与该事件ID相关联的所有事件信息，由于本实施例的日志库基于多个入侵检测系统，包括部署在不同网络节点处的不同类型的入侵检测系统，则终端获取的所有事件信息包括完整的攻击链信息。进一步地，终端根据攻击链的各攻击环节的环节特征，将查询到的与该检索特征相关联的所有事件信息进行重组，得到检索特征对应的攻击链信息。

本实施例中，在接收到用户输入的检索特征时，能够根据该检索特征查询日志库，然后获得检索特征的攻击链信息，通过提供搜索功能，为用户根据自身经验判断威胁，并进一步查询出精准的攻击链信息，满足了多样化的威胁检测方式，提高了威胁检测的可靠性。

参照图10，一种威胁检测装置实施例，所述威胁检测装置包括：

采集模块1001，用于采集实时监测的网络日志；

检测模块1002，用于利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；

目标攻击环节确定模块1003，用于若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；

被攻陷环节确定模块1004，用于将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。

可选地，所述目标攻击环节确定模块840，还用于基于所述行为异常的网络日志确定异常行为特征；基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节。

可选地，所述目标攻击环节确定模块840，还用于获取所述异常行为特征所采用的攻击策略；将所述攻击策略与基于网络空间安全框架的攻击链在各攻击环节的环节策略进行匹配，获得匹配的目标环节策略；将所述目标环节策略对应的攻击环节作为目标攻击环节。

可选地，所述威胁检测装置还包括：告警模块，用于根据所述异常行为特征和所述被攻陷环节，生成威胁告警信息并输出。

可选地，所述威胁检测装置还包括：威胁检测模型构建模块，用于从日志库中提取多条行为正常的历史网络日志作为安全日志训练集；建立训练模型；利用所述安全日志训练集对所述训练模型进行训练，得到威胁检测模型。

可选地，所述威胁检测装置还包括：日志汇聚模块，用于采集多个网络设备的入侵检测系统收集的历史网络日志；其中，一个网络设备中部署有至少一个入侵检测系统；将多个网络设备的入侵检测系统收集的历史网络日志进行汇聚，并将汇聚后的历史网络日志存储至日志库。

可选地，所述威胁检测装置还包括：检索模块，用于接收用户输入的检索特征；根据所述检索特征，查询日志库，获得所述检索特征对应的攻击链信息。

此外，本发明实施例还提出一种威胁检测设备，所述威胁检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁检测程序，所述威胁检测程序被所述处理器执行时实现如上述的威胁检测方法实施例的步骤。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有威胁检测程序，所述威胁检测程序被处理器执行时实现如上述的威胁检测方法实施例的步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种威胁检测方法，其特征在于，所述威胁检测方法包括以下步骤：

采集实时监测的网络日志；

利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；

若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；

将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。

2.如权利要求1所述的威胁检测方法，其特征在于，所述基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节的步骤，具体包括：

基于所述行为异常的网络日志确定异常行为特征；

基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节。

3.如权利要求2所述的威胁检测方法，其特征在于，所述基于网络空间安全框架的攻击链，获取所述异常行为特征所属的目标攻击环节的步骤，具体包括：

获取所述异常行为特征所采用的攻击策略；

将所述攻击策略与基于网络空间安全框架的攻击链在各攻击环节的环节策略进行匹配，获得匹配的目标环节策略；

将所述目标环节策略对应的攻击环节作为目标攻击环节。

4.如权利要求1-3中任一项所述的威胁检测方法，其特征在于，所述获取所述目标攻击环节在所述攻击链中的所有前序攻击环节，将所述目标攻击环节和各所述前序攻击环节作为被攻陷环节的步骤之后，所述威胁检测方法还包括：

根据所述异常行为特征和所述被攻陷环节，生成威胁告警信息并输出。

5.如权利要求1-3中任一项所述的威胁检测方法，其特征在于，所述采集实时监测的网络日志的步骤之前，所述威胁检测方法还包括：

从日志库中提取多条行为正常的历史网络日志作为安全日志训练集；

建立训练模型；

利用所述安全日志训练集对所述训练模型进行训练，得到威胁检测模型。

6.如权利要求5所述的威胁检测方法，其特征在于，所述从日志库内获取安全日志训练集的步骤之前，所述威胁检测方法还包括：

采集多个网络设备的入侵检测系统收集的历史网络日志；其中，一个网络设备中部署有至少一个入侵检测系统；

将多个网络设备的入侵检测系统收集的历史网络日志汇聚存储至日志库。

7.如权利要求6所述的威胁检测方法，其特征在于，所述入侵检测系统包括网络入侵检测系统和主机入侵检测系统。

8.如权利要求1-3中任一项所述的威胁检测方法，其特征在于，所述威胁检测方法还包括：

接收用户输入的检索特征；

根据所述检索特征，查询日志库，获得所述检索特征对应的攻击链信息。

9.一种威胁检测装置，其特征在于，所述威胁检测装置包括：

采集模块，用于采集实时监测的网络日志；

检测模块，用于利用威胁检测模型，对所述网络日志进行威胁检测，获得检测结果；

目标攻击环节确定模块，用于若所述检测结果表征所述网络日志的行为异常，则基于网络空间安全框架的攻击链，确定所述行为异常的网络日志所属的目标攻击环节；

被攻陷环节确定模块，用于将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节，完成对所述网络日志的威胁检测。

10.一种威胁检测设备，其特征在于，所述威胁检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁检测程序，所述威胁检测程序被所述处理器执行时实现如权利要求1至8中任一项所述的威胁检测方法的步骤。

11.一种存储介质，其特征在于，所述存储介质上存储有威胁检测程序，所述威胁检测程序被处理器执行时实现如权利要求1至8中任一项所述的威胁检测方法的步骤。