基于异常点发现威胁组织攻击的方法、装置及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于异常点发现威胁组织攻击的方法、装置、电子设备及存储介质。
背景技术
目前,为了防止和避免遭受网络攻击和入侵,以确保网上信息的安全,常用的网络威胁防御方法是依靠网络安全防护系统。随着商业军火的泄露及其广泛传播,大大降低了网络攻击的难度和成本,使得缺少雄厚资金的攻击组织也能借助商业攻击平台实施高水平的攻击,导致网络威胁组织攻击活动逐年增加,技术日渐进步,攻击所具有的战术呈多样化趋势,攻击过程日益复杂。在这种网络空间安全形势日趋严峻的情况下,面对潜在的网络威胁,确定网络是否已经被攻击,避免在威胁事件发生前进行检测和告警,仅依靠网络安全防护系统进行防御的方法已不再有效。
发明内容
有鉴于此,本发明实施例提供了一种基于异常点发现威胁组织攻击的方法、装置、电子设备及存储介质,能够基于威胁知识库发现异常点并定位所有相关受控节点,进而在威胁发生前进行主动止损。
本发明实施例提供一种基于异常点发现威胁组织攻击的方法,包括:
采集预设采集点的网络流量及日志信息并提取当前网络特征;
将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;
若存在异常,则基于异常情况形成威胁线索;
基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;
基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;
若威胁假设正确,则基于威胁知识库定位所有受控节点;
其中,所述威胁知识库包括:TTP和IoC。
进一步地,所述基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设,具体包括:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
更进一步地,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
上述方法实施例中,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
第二方面,本发明实施例提供一种基于异常点发现威胁组织攻击的装置,包括:
信息采集模块,用于采集预设采集点的网络流量及日志信息并提取当前网络特征;
异常点发现模块,用于将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;
威胁线索构建模块,用于若存在异常,则基于异常情况形成威胁线索;
威胁假设提出模块,用于基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;
威胁假设判定模块,基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;
受控节点定位模块,用于若威胁假设正确,则基于威胁知识库定位所有受控节点;
其中,所述威胁知识库包括:TTP和IoC。
进一步地,所述威胁假设提出模块,具体用于:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
更进一步地,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
上述装置实施例中,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行上述任一所述的基于异常点发现威胁组织攻击的方法。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的基于异常点发现威胁组织攻击的方法。
本发明实施例提供的一种基于异常点发现威胁组织攻击的方法、装置、电子设备及存储介质,首先基于威胁知识库判定是否存在异常点,若存在,则收集威胁线索,并进行拓线分析提出威胁假设,基于威胁假设继续收集线索并判定威胁假设是否成立,若成立则基于威胁知识库定位所有相关受控节点。本发明实施例可及时对网络威胁进行主动排查,及时止损。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种基于异常点发现威胁组织攻击的方法的一实施例方法流程图;
图2为本发明的一种基于异常点发现威胁组织攻击的方法的又一实施例方法流程图;
图3为本发明的一种基于异常点发现威胁组织攻击的装置的一实施例结构示意图;
图4为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为了更清楚地说明本发明中的实施例,因此对涉及到的技术术语进行解释和说明:
TTP:Tatics、Technique、Procedure的缩写,指的是攻击组织在网空攻击行动中使用的策略、技术和程序。
IoC:Indicator of Compromise的缩写,指的是在计算机取证中,在网络或操作系统中观察到的具有高可信度表示计算机入侵的信标。
第一方面,本发明实施例提供一种基于异常点发现威胁组织攻击的方法,能够基于威胁知识库发现异常点并定位所有相关受控节点,进而在威胁发生前进行主动止损。
图1为本发明一种基于异常点发现威胁组织攻击的方法的一实施例方法流程图,包括:
S101:采集预设采集点的网络流量及日志信息并提取当前网络特征。
S102:将当前网络特征与威胁知识库进行匹配,并判定是否存在异常。其中,所述威胁知识库包括:TTP和IoC。
S103:若存在异常,则基于异常情况形成威胁线索。
S104:基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设。
S105:基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确。
S106:若威胁假设正确,则基于威胁知识库定位所有受控节点。
优选地,所述基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设,具体包括:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
更优选地,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。其中,所述TTP信息包括但不限于:攻击目标、攻击行业、攻击手法、攻击装备、使用漏洞、利用算法或者攻击意图。
上述方法实施例中,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
本实施例结合威胁知识库定位异常点,并基于威胁线索进行拓线分析提出威胁假设,基于威胁假设确定观测方向,并最终基于威胁知识库定位所有受控节点,本实施例是一种积极防御方法,能够定位异常点,并以异常点为基础定位所有相关的受控节点。
图2为本发明一种基于异常点发现威胁组织攻击的方法的又一实施例方法流程图,包括:
S201:采集预设采集点的网络流量及日志信息并提取当前网络特征。
S202:将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;其中,所述威胁知识库包括:TTP和IoC。
例如:所述异常包括但不限于:采集账户被添加到域管理员组或者系统管理员组的相关日志,发现存在新的账户被添加到域管理员组。
S203:若存在异常,则基于异常情况形成威胁线索。
S204:基于威胁线索并结合威胁知识库进行拓线分析,是否可提出威胁假设,若是,则继续执行S205,否则继续执行S201。
例如:基于新的账户被添加到域管理员组相关的威胁线索进行拓线分析,发现多个账户被添加到域管理员组,基于上述情况提出威胁假设:该异常为通过提权进行的侧向移动,应该是一个恶意操作,可能是APT28常用的攻击手段。
S205:基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确,若正确,则继续执行S206,否则继续执行S201;
例如:假设异常为与APT28相关的恶意操作,则确定观测方向,继续调查发现工业监控层节点,OPC服务器日志异常,也存在恶意操作,进而判定确实为APT28。
S206:基于威胁假设查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
例如:基于威胁知识库中与APT28相关的TTP相关的内容可知,该威胁组织惯用攻击手段为通过鱼叉式网络钓鱼植入恶意软件,并通过弱口令渗透传播到主机,利用漏洞获取主机权限,并通过控制域控制器的方式侧向移动到工业监控层节点,其中,OPC服务器节点存储有敏感数据。
S207:对所有受控节点进行查杀,在网络威胁发生前主动止损。
例如:基于威胁知识库所反映的信息进行重点排查可疑邮件,确定受控主机,受控主机又连接了哪些主机,将所有相关受控节点都排查出来。最终进行处置和查杀,进而消除所有相关威胁隐患。
本实施例能够基于威胁知识库发现异常点,并基于威胁线索提出威胁假设,并基于特定的观测方向收集线索进而判定威胁假设是否正确,最终定位威胁假设相关的所有可能的受控节点,进而实现主动排查可能的潜在威胁点,在威胁发生前及时止损。
第二方面,本发明实施例提供一种基于异常点发现威胁组织攻击的装置,能够基于威胁知识库发现异常点并定位所有相关受控节点,进而在威胁发生前进行主动止损。
图3为本发明一种基于异常点发现威胁组织攻击的装置的一实施例结构示意图,包括:
信息采集模块301,用于采集预设采集点的网络流量及日志信息并提取当前网络特征;
异常点发现模块302,用于将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;
威胁线索构建模块303,用于若存在异常,则基于异常情况形成威胁线索;
威胁假设提出模块304,用于基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;
威胁假设判定模块305,基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;
受控节点定位模块306,用于若威胁假设正确,则基于威胁知识库定位所有受控节点;
其中,所述威胁知识库包括:TTP和IoC。
优选地,所述威胁假设提出模块,具体用于:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
更优选地,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
上述装置实施例中,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
本实施例结合威胁知识库定位异常点,并基于威胁线索进行拓线分析提出威胁假设,基于威胁假设确定观测方向,并最终基于威胁知识库定位所有受控节点,本实施例是一种积极防御方法,能够定位异常点,并以异常点为基础定位所有相关的受控节点。
第三方面,本发明实施例还提供一种电子设备,能够基于威胁知识库发现异常点并定位所有相关受控节点,进而在威胁发生前进行主动止损。
图4为本发明电子设备一个实施例的结构示意图,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的基于异常点发现威胁组织攻击的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1、2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的基于异常点发现威胁组织攻击的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于方法实施例而言,由于其基本相似于装置实施例,所以描述的比较简单,相关之处参见装置实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。