CN111741004A

CN111741004A - 一种网络安全态势感知的方法和相关装置

Info

Publication number: CN111741004A
Application number: CN202010587128.8A
Authority: CN
Inventors: 雷雨
Original assignee: Bank of China Ltd
Current assignee: Bank of China Ltd
Priority date: 2020-06-24
Filing date: 2020-06-24
Publication date: 2020-10-02
Anticipated expiration: 2040-06-24
Also published as: CN111741004B

Abstract

本申请公开了一种网络安全态势感知的方法和相关装置，该方法包括：获得对应目标金融业务场景的目标金融业务数据；基于目标金融业务数据匹配对应目标金融业务场景的目标金融业务攻击数据模型；目标金融业务攻击数据模型包括目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件；若匹配目标金融业务攻击数据模型中目标攻击环节的触发条件，基于目标攻击环节预警对应目标金融业务场景的目标攻击事件。考虑金融业务场景的整个攻击链路中各个攻击环节，并设置每个攻击环节的触发条件，判断金融业务数据是否匹配攻击环节的触发条件，实现金融类网络安全态势感知，能够及时发现金融类攻击事件，提高网络安全态势感知的能力。

Description

一种网络安全态势感知的方法和相关装置

技术领域

本申请涉及计算机技术领域，尤其涉及一种网络安全态势感知的方法和相关装置。

背景技术

针对完整的网络安全攻击过程而言，防御方越早介入防御成功概率越大，基于此，网络安全态势感知方法应运而生，该方法能够及时发现网络安全攻击。目前，大多数的网络安全态势感知方法为了扩大其适用范围，多为通用型网络安全态势感知方法，其攻击事件的分析及触发的策略多为通用型攻击事件的分析及触发的策略。

但是，发明人经过研究发现，金融类攻击事件的特点不同于通用型攻击事件的特点，金融类攻击事件多采用业务逻辑攻击手段，例如，恶意开户、资金欺诈和交易篡改等等，此类业务逻辑攻击手段往往以正常业务流量的形式进行攻击，不具备明显的数据特征。金融类攻击事件相较于通用型攻击事件的特殊性，导致采用上述通用型网络安全态势感知方法无法及时发现甚至无法发现金融类攻击事件，严重影响网络安全态势感知的能力。

发明内容

有鉴于此，本申请实施例提供一种网络安全态势感知的方法和相关装置，实现金融类网络安全态势感知，能够及时发现金融类攻击事件，从而提高网络安全态势感知的能力。

第一方面，本申请实施例提供了一种网络安全态势感知的方法，该方法包括：

获得对应目标金融业务场景的目标金融业务数据；

基于所述目标金融业务数据匹配对应所述目标金融业务场景的目标金融业务攻击数据模型；所述目标金融业务攻击数据模型包括所述目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件；

若匹配所述目标金融业务攻击数据模型中目标攻击环节的触发条件，基于所述目标攻击环节预警对应所述目标金融业务场景的目标攻击事件。

可选的，所述目标金融业务攻击数据模型的预先建模步骤，包括：

收集所述目标金融业务场景的各个目标业务逻辑攻击手段；

基于所述各个目标业务逻辑攻击手段进行攻击建模，获得所述目标金融业务攻击数据模型。

可选的，在所述基于所述目标攻击环节预警对应所述目标金融业务场景的目标攻击事件之后，所述方法还包括：

基于所述目标攻击环节和所述各个攻击环节，从所述目标金融业务场景的多级预警态势中确定目标预警态势，所述目标预警态势包括目标预警级别和/或目标处理方案。

可选的，当所述目标预警态势包括所述目标处理方案时，在所述从所述目标金融业务场景的多级预警态势中确定目标预警态势之后，所述方法还包括：

针对所述目标金融业务数据执行所述目标处理方案。

可选的，所述目标预警态势还包目标攻击概率和/或目标攻击进度。

基于所述目标攻击环节和所述各个攻击环节，预测所述目标攻击事件的后续攻击事件。

可选的，所述获得对应目标金融业务场景的目标金融业务数据，具体为：

对全流量网络数据进行基于目标金融业务场景的金融业务数据识别，从所述全流量网络数据中提取所述目标金融业务数据。

第二方面，本申请实施例提供了一种网络安全态势感知的装置，所述装置包括：

获得单元，用于获得对应目标金融业务场景的目标金融业务数据；

匹配单元，用于基于所述目标金融业务数据匹配对应所述目标金融业务场景的目标金融业务攻击数据模型；所述目标金融业务攻击数据模型包括所述目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件；

预警单元，用于若匹配所述目标金融业务攻击数据模型中目标攻击环节的触发条件，基于所述目标攻击环节预警对应所述目标金融业务场景的目标攻击事件。

第三方面，本申请实施例提供了一种终端设备，所述终端设备包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行上述第一方面任一项所述的网络安全态势感知的方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行上述第一方面任一项所述的网络安全态势感知的方法。

与现有技术相比，本申请至少具有以下优点：

采用本申请实施例的技术方案，首先，获得对应目标金融业务场景的目标金融业务数据；然后，基于目标金融业务数据匹配对应目标金融业务场景的目标金融业务攻击数据模型；目标金融业务攻击数据模型包括目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件；最后，若匹配目标金融业务攻击数据模型中目标攻击环节的触发条件，基于目标攻击环节预警对应目标金融业务场景的目标攻击事件。由此可见，针对金融类攻击事件多采用业务逻辑攻击手段的特点，金融业务攻击数据模型建模时，考虑金融业务场景的整个攻击链路中各个攻击环节，并设置每个攻击环节的触发条件，判断金融业务数据是否匹配攻击环节的触发条件，实现金融类网络安全态势感知，能够及时发现金融类攻击事件，从而提高网络安全态势感知的能力。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本申请实施例中一种应用场景所涉及的系统框架示意图；

图2为本申请实施例提供的一种网络安全态势感知的方法的流程示意图；

图3为本申请实施例提供的一种网络安全态势感知的装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

现阶段，大多数的网络安全态势感知方法为通用型网络安全态势感知方法，其攻击事件的分析及触发的策略多为通用型攻击事件的分析及触发的策略。通用型网络安全态势感知方法只能对单一数据流量通过单一匹配发现基于单一数据流量的攻击手段，例如，sql注入、木马上传等等。但是，发明人经过研究发现，金融类攻击事件的特点不同于通用型攻击事件的特点，金融类攻击事件多采用业务逻辑攻击手段，例如，恶意开户、资金欺诈和交易篡改等等，此类业务逻辑攻击手段往往以正常业务流量的形式进行攻击，不具备明显的数据特征。金融类攻击事件相较于通用型攻击事件的特殊性，导致采用上述通用型网络安全态势感知方法无法及时发现甚至无法发现金融类攻击事件，严重影响网络安全态势感知的能力。

为了解决这一问题，在本申请实施例中，获得对应目标金融业务场景的目标金融业务数据；基于目标金融业务数据匹配对应目标金融业务场景的目标金融业务攻击数据模型；目标金融业务攻击数据模型包括目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件；若匹配目标金融业务攻击数据模型中目标攻击环节的触发条件，基于目标攻击环节预警对应目标金融业务场景的目标攻击事件。可见，针对金融类攻击事件多采用业务逻辑攻击手段的特点，金融业务攻击数据模型建模时，考虑金融业务场景的整个攻击链路中各个攻击环节，并设置每个攻击环节的触发条件，判断金融业务数据是否匹配攻击环节的触发条件，实现金融类网络安全态势感知，能够及时发现金融类攻击事件，从而提高网络安全态势感知的能力。

举例来说，本申请实施例的场景之一，可以是应用到如图1所示的场景中，该场景包括用户终端101和服务器102，用户通过用户终端101进行金融类业务行为操作，服务器102采用本申请实施例提供的实施方式金融类网络安全态势感知，能够及时发现金融类攻击事件。

首先，在上述应用场景中，虽然将本申请实施例提供的实施方式的动作描述由服务器102执行；但是本申请实施例在执行主体方面不受限制，只要执行了本申请实施例提供的实施方式所公开的动作即可。

其次，上述场景仅是本申请实施例提供的一个场景示例，本申请实施例并不限于此场景。

下面结合附图，通过实施例来详细说明本申请实施例中网络安全态势感知的方法和相关装置的具体实现方式。

示例性方法

参见图2，示出了本申请实施例中一种网络安全态势感知的方法的流程示意图。在本实施例中，所述方法例如可以包括以下步骤：

步骤201：获得对应目标金融业务场景的目标金融业务数据。

在本申请实施例中，由于金融类攻击事件相较于通用型攻击事件的特殊性，在实现金融类网络安全态势感知，以便能够及时发现金融类攻击事件的过程中，需要将金融类数据与其他类别数据区分开，即，首先需要获取金融类数据。考虑到不同金融业务场景的业务逻辑不同，金融类数据按照不同金融业务场景可以分为不同金融业务数据；以任意一种金融业务场景为例，任意一种金融业务场景可以记为目标金融业务场景，与该目标金融业务场景对应的金融业务数据记为目标金融业务数据。

具体地，执行步骤201实际上是在基于目标金融业务场景建立金融业务数据识别体系的基础上，利用该体系可以对全流量网络数据进行基于目标金融业务场景的金融业务数据识别，具备从全流量网络数据中筛选出目标金融业务数据的能力。因此，在本申请实施例一种可选的实施方式中，所述步骤201例如具体可以为：对全流量网络数据进行基于目标金融业务场景的金融业务数据识别，从所述全流量网络数据中提取所述目标金融业务数据。

其中，常见的目标金融业务场景例如可以是在线开户场景、转账汇款场景、缴费充值场景或者投资理财场景等等，在本申请实施例中并不具体限制。

步骤202：基于所述目标金融业务数据匹配对应所述目标金融业务场景的目标金融业务攻击数据模型；所述目标金融业务攻击数据模型包括所述目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件。

金融类攻击事件不同于通用型攻击事件，其更像是基于业务接口缺陷或逻辑缺陷完成的攻击事件，即，金融类攻击事件多采用业务逻辑攻击手段。此类业务逻辑攻击手段往往以正常业务流量的形式进行攻击，不具备明显的数据特征，从单一数据流量看，此类攻击均为正常的业务流量，但将整个业务链路串联到一起分析时可发现异常；而通用型网络安全态势感知方法只能对单一数据流量通过单一匹配发现基于单一数据流量的攻击手段；采用通用型网络安全态势感知方法无法及时发现甚至无法发现金融类攻击事件，严重影响网络安全态势感知的能力。

因此，在本申请实施例中，在步骤201的基础上，为了能够实现金融类网络安全态势感知，以便能够及时发现金融类攻击事件，针对任意一种金融业务场景而言，需要将金融业务场景的各个业务逻辑攻击手段收集起来，用于攻击建模获得包括金融业务场景的整个攻击链路中各个攻击环节的金融业务攻击数据模型，该金融业务攻击数据模型中每个攻击环节设置有触发条件。因此，在本申请实施例一种可选的实施方式中，针对目标金融业务场景而言，所述目标金融业务攻击数据模型的预先建模步骤，例如可以包括以下步骤：

步骤A：收集所述目标金融业务场景的各个目标业务逻辑攻击手段；

步骤B：基于所述各个目标业务逻辑攻击手段进行攻击建模，获得所述目标金融业务攻击数据模型。

在执行步骤201之后，针对目标金融业务数据，需要将其与上述建模获得的目标金融业务场景的目标金融业务攻击数据模型进行匹配，判断目标金融业务数据是否匹配目标金融业务攻击数据模型包括目标金融业务场景的整个攻击链路中某个攻击环节的触发条件，实现目标金融业务场景的网络安全态势感知。

步骤203：若匹配所述目标金融业务攻击数据模型中目标攻击环节的触发条件，基于所述目标攻击环节预警对应所述目标金融业务场景的目标攻击事件。

一次成功金融类攻击事件实际上是攻击者进行多个攻击环节的持续性攻击，为了实现金融类攻击事件各个攻击环节的感知，在攻击者完成每个攻击环节时均需要预警。因此，在本申请实施例中，当目标金融业务数据与目标金融业务攻击数据模型中目标攻击环节的触发条件相匹配时，表示目标金融业务场景中目标攻击环节对应的目标攻击事件被完成，需要预警该目标攻击事件。

在本申请实施例中，基于目标金融业务攻击数据模型包括目标金融业务场景的整个攻击链路中各个攻击环节的特性，还可以针对目标金融业务场景设置多级预警态势，不同攻击环节对应不同级别预警态势，即，不同攻击事件对应不同级别预警态势。因此，在步骤203的基础上，通过目标攻击环节与各个攻击环节之间的关系，能够从目标金融业务场景的多级预警态势中确定目标攻击环节对应的目标预警态势，也可以表示为目标攻击事件对应的目标预警态势，常见的预警态势可以是预警级别和/或处理方案。即，在本申请实施例一种可选的实施方式中，在所述步骤203之后，例如还可以包括步骤C：基于所述目标攻击环节和所述各个攻击环节，从所述目标金融业务场景的多级预警态势中确定目标预警态势，所述目标预警态势包括目标预警级别和/或目标处理方案。

当然，不同目标预警态势的目标预警级别不同，不同目标预警态势的目标处理方案也不同。例如，如下表所示的一种目标金融业务场景的多级预警态势，其中，风险系数可以是先计算目标攻击环节对应的环节数与各个攻击环节的总环节数的比值，再计算该比值与100的乘积获得的。

表格一种目标金融业务场景的多级预警态势

风险系数	预警级别	处理方案
			风险系数＝100	特级预警	立即与其他系统断开/启动备份系统/封禁ip
100>风险系数≥90	一级预警	紧急阻断/封禁攻击流量
			90>风险系数≥75	二级预警	记录用户/黑名单
75>风险系数≥60	三级预警	警告/介入操作
			60>风险系数≥40	四级预警	记录ip/严密监控
40>风险系数≥20	五级预警	持续监控
			20>风险系数≥0	六级预警	进入监控

其中，目标处理方案表示针对目标金融业务数据进行网络安全态势感知后，需要针对该目标金融业务数据执行处理方案，尽量避免或者减少攻击者通过网络安全攻击对系统造成的严重损失。因此，在本申请实施例一种可选的实施方式中，当所述目标预警态势包括所述目标处理方案时，在所述步骤C之后，例如还可以包括步骤D：针对所述目标金融业务数据执行所述目标处理方案。

在本申请实施例中，在步骤203预警目标攻击事件表示目标金融业务场景中目标攻击环节对应的目标攻击事件被完成后，为了确定目标攻击事件确实是攻击者进行网络安全攻击的概率，和/或，掌握目标攻击事件对应的目标攻击环节在整个攻击链路中进度，还可以在目标预警态势中增加目标攻击概率和/或目标攻击进度。因此，在本申请实施例一种可选的实施方式中，所述目标预警态势还包目标攻击概率和/或目标攻击进度。

在本申请实施例中，在步骤203预警目标攻击事件表示目标金融业务场景中目标攻击环节对应的目标攻击事件被完成后，由于目标金融业务攻击数据模型包括目标金融业务场景的整个攻击链路中各个攻击环节的特性，还可以将整个攻击链路中目标攻击环节的后续攻击环节对应的攻击事件，预测目标攻击事件的后续攻击事件，例如，将整个攻击链路中目标攻击环节的下一个攻击环节对应的攻击事件，预测目标攻击事件的下一个攻击事件。因此，在本申请实施例一种可选的实施方式中，在所述步骤203之后，例如还可以包括步骤E：基于所述目标攻击环节和所述各个攻击环节，预测所述目标攻击事件的后续攻击事件。

通过本实施例提供的各种实施方式，首先，获得对应目标金融业务场景的目标金融业务数据；然后，基于目标金融业务数据匹配对应目标金融业务场景的目标金融业务攻击数据模型；目标金融业务攻击数据模型包括目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件；最后，若匹配目标金融业务攻击数据模型中目标攻击环节的触发条件，基于目标攻击环节预警对应目标金融业务场景的目标攻击事件。由此可见，针对金融类攻击事件多采用业务逻辑攻击手段的特点，金融业务攻击数据模型建模时，考虑金融业务场景的整个攻击链路中各个攻击环节，并设置每个攻击环节的触发条件，判断金融业务数据是否匹配攻击环节的触发条件，实现金融类网络安全态势感知，能够及时发现金融类攻击事件，从而提高网络安全态势感知的能力。

示例性装置

参见图3，示出了本申请实施例中一种网络安全态势感知的装置的结构示意图。在本实施例中，所述装置例如具体可以包括：

获得单元301，用于获得对应目标金融业务场景的目标金融业务数据；

匹配单元302，用于基于所述目标金融业务数据匹配对应所述目标金融业务场景的目标金融业务攻击数据模型；所述目标金融业务攻击数据模型包括所述目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件；

预警单元303，用于若匹配所述目标金融业务攻击数据模型中目标攻击环节的触发条件，基于所述目标攻击环节预警对应所述目标金融业务场景的目标攻击事件。

在本申请实施例一种可选的实施方式中，所述装置还包括建模单元，所述建模单元包括：

收集子单元，用于收集所述目标金融业务场景的各个目标业务逻辑攻击手段；

建模子单元，用于基于所述各个目标业务逻辑攻击手段进行攻击建模，获得所述目标金融业务攻击数据模型。

在本申请实施例一种可选的实施方式中，所述装置还包括：

确定单元，用于基于所述目标攻击环节和所述各个攻击环节，从所述目标金融业务场景的多级预警态势中确定目标预警态势，所述目标预警态势包括目标预警级别和/或目标处理方案。

在本申请实施例一种可选的实施方式中，当所述目标预警态势包括所述目标处理方案时，所述装置还包括：

执行单元，用于针对所述目标金融业务数据执行所述目标处理方案。

在本申请实施例一种可选的实施方式中，所述目标预警态势还包目标攻击概率和/或目标攻击进度。

在本申请实施例一种可选的实施方式中，所述装置还包括：

预测单元，用于基于所述目标攻击环节和所述各个攻击环节，预测所述目标攻击事件的后续攻击事件。

在本申请实施例一种可选的实施方式中，所述获得单元301具体用于：

通过本实施例提供的各种实施方式，网络安全态势感知的装置包括获得单元、匹配单元和预警单元；获得单元用于获得对应目标金融业务场景的目标金融业务数据；匹配单元用于基于目标金融业务数据匹配对应目标金融业务场景的目标金融业务攻击数据模型；目标金融业务攻击数据模型包括目标金融业务场景的整个攻击链路中各个攻击环节，每个攻击环节设置触发条件；预警单元用于若匹配目标金融业务攻击数据模型中目标攻击环节的触发条件，基于目标攻击环节预警对应目标金融业务场景的目标攻击事件。由此可见，针对金融类攻击事件多采用业务逻辑攻击手段的特点，金融业务攻击数据模型建模时，考虑金融业务场景的整个攻击链路中各个攻击环节，并设置每个攻击环节的触发条件，判断金融业务数据是否匹配攻击环节的触发条件，实现金融类网络安全态势感知，能够及时发现金融类攻击事件，从而提高网络安全态势感知的能力。

此外，本申请实施例还提供了一种终端设备，所述终端设备包括处理器以及存储器：

所述处理器用于根据所述程序代码中的指令执行上述方法实施例所述的网络安全态势感知的方法。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行上述方法实施例所述的网络安全态势感知的方法。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述，仅是本申请的较佳实施例而已，并非对本申请作任何形式上的限制。虽然本申请已以较佳实施例揭露如上，然而并非用以限定本申请。任何熟悉本领域的技术人员，在不脱离本申请技术方案范围情况下，都可利用上述揭示的方法和技术内容对本申请技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本申请技术方案的内容，依据本申请的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本申请技术方案保护的范围内。

Claims

1.一种网络安全态势感知的方法，其特征在于，包括：

获得对应目标金融业务场景的目标金融业务数据；

2.根据权利要求1所述的方法，其特征在于，所述目标金融业务攻击数据模型的预先建模步骤，包括：

收集所述目标金融业务场景的各个目标业务逻辑攻击手段；

3.根据权利要求1所述的方法，其特征在于，在所述基于所述目标攻击环节预警对应所述目标金融业务场景的目标攻击事件之后，所述方法还包括：

4.根据权利要求3所述的方法，其特征在于，当所述目标预警态势包括所述目标处理方案时，在所述从所述目标金融业务场景的多级预警态势中确定目标预警态势之后，所述方法还包括：

针对所述目标金融业务数据执行所述目标处理方案。

5.根据权利要求3所述的方法，其特征在于，所述目标预警态势还包目标攻击概率和/或目标攻击进度。

6.根据权利要求1所述的方法，其特征在于，在所述基于所述目标攻击环节预警对应所述目标金融业务场景的目标攻击事件之后，所述方法还包括：

7.根据权利要求1所述的方法，其特征在于，所述获得对应目标金融业务场景的目标金融业务数据，具体为：

8.一种网络安全态势感知的装置，其特征在于，包括：

9.一种终端设备，其特征在于，所述终端设备包括处理器以及存储器：

所述处理器用于根据所述程序代码中的指令执行权利要求1-7任一项所述的网络安全态势感知的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行权利要求1-7任一项所述的网络安全态势感知的方法。