CN111901329A - 一种识别网络安全事件方法和装置 - Google Patents
一种识别网络安全事件方法和装置 Download PDFInfo
- Publication number
- CN111901329A CN111901329A CN202010709764.3A CN202010709764A CN111901329A CN 111901329 A CN111901329 A CN 111901329A CN 202010709764 A CN202010709764 A CN 202010709764A CN 111901329 A CN111901329 A CN 111901329A
- Authority
- CN
- China
- Prior art keywords
- information
- network security
- security event
- threat
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012795 verification Methods 0.000 claims abstract description 36
- 238000012790 confirmation Methods 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 239000000284 extract Substances 0.000 claims description 7
- 238000004422 calculation algorithm Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种识别网络安全事件的方法,其中,获取到网络安全事件的信息;提取该网络安全信息的五元组信息,在该五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息;在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件,通过本申请,解决了识别网络安全事件成本高和效率低的问题,实现了快速和稳定识别网络安全事件。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种识别网络安全事件方法和装置。
背景技术
网络安全事件是人为或者软硬件本身缺陷或故障所导致的,对城域网重点保护单位信息系统构成了潜在的危害,甚至影响到信息系统正常提供服务;网络安全事件是由平台基于安全告警、威胁日志和威胁情报等数据分析生成,会对社会造成十分严重负面影响;另外,网络安全事件可以通过扫描、流量检测、规则分析等数以万计的识别方法进行识别,但是识别出的网络空间威胁、疑似网络安全事件数据量过大,人工无法完成确认工作。
在相关技术中,对于安全设备从网络空间中发现的疑似网络安全事件,采用人工识别和算法识别两种方法进行,通过人工识别安全数据,发现的疑似网络安全事件,但是通常数据量巨大,达到百万级的数据量,需要耗费很大的精力和人力;算法识别通过计算百万级的数据量,发现疑似网络安全事件,但是由于数据量太大,疑似安全事件需要多个算法多轮计算才可以确认,耗费的成本非常高。
目前针对相关技术中,识别网络安全事件成本高和效率低的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种识别网络安全事件的方法、装置、系统、电子装置和存储介质,以至少解决相关技术中识别网络安全事件的问题。
第一方面,本申请实施例提供了一种识别网络安全事件的方法,所述方法包括:
获取到网络安全事件的信息;提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件。
在一个实施例中,所述提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将所述源IP、源端口和威胁情报中的IP进行验证,将所述目的IP、目的端口和威胁情报中的IP进行验证,将所述协议进行验证,在所述五元组信息中任意一项验证成功的情况下,将所述网络安全事件判定为疑似网络安全事件。在一个实施例中,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件之后:将所述疑似网络安全事件推送至人工进行确认,若人工确认,将所述疑似网络安全事件认定为网络安全事件。
在一个实施例中,所述在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:所述特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将所述网络安全事件的所述特征信息依次与所述威胁情报库的特征数据进行验证,得到疑似网络安全事件。在一个实施例中,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:当检测到所述威胁情报库有更新,更新所述威胁情报库,将所述特征信息与所述威胁情报库的特征数据进行验证。
第二方面,本申请实施例提供了一种识别网络安全事件的装置,所述装置包括:安全设备模块、威胁情报模块和安全人员分析模块;其中,
安全设备模块获取到网络安全事件的信息;提取所述网络安全信息的特征信息,其中,五元组信息包含在特征信息之中;
威胁情报模块在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;
安全人员分析模块接收到所述疑似网络安全事件,进行人工确认。
在一个实施例中,所述威胁情报模块在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将所述源IP源端口和威胁情报中的IP进行验证,将所述目的IP、目的端口进行验证,将所述协议进行验证,在所述五元组信息中任意一项验证成功的情况下,将所述网络安全事件判定为疑似网络安全事件。
在一个实施例中,所述在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:威胁情报模块获取到所述特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将所述网络安全事件的所述特征信息依次所述威胁情报库的特征数据进行验证,得到疑似网络安全事件。
第三方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的识别网络安全事件的方法。
第四方面,本申请实施例提供了一种计算机系统,包括:安全设备服务器、威胁情报服务器和安全分析人员终端;
所述安全设备服务器获取到网络安全事件的信息;提取所述网络安全信息的特征信息,其中,五元组信息包含在特征信息之中;所述威胁情报服务器在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;
所述安全分析人员终端,接收到所述疑似网络安全事件,进行人工确认。相比于相关技术,本申请实施例提供的一种识别网络安全事件的方法,获取到网络安全事件的信息;提取该网络安全信息的五元组信息,在该五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息;在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件,解决了识别网络安全事件成本高和效率低的问题,实现了快速和稳定识别网络安全事件。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为根据本申请实施例中一种识别网络安全事件的应用场景示意图;
图2是根据本申请实施例的一种识别网络安全事件的方法的流程图;
图3是根据本申请实施例的一种识别网络安全事件的方法的威胁情报模块的流程图;
图4是根据本申请实施例的一种识别网络安全事件的方法的装置的示意图;
图5是根据本申请实施例的一种识别网络安全事件的方法的具体实施例的示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
在本实施例中,提供了一种识别网络安全事件的应用场景,图1为根据本申请实施例中一种识别网络安全事件的应用场景示意图,如图1所示,该系统包括:安全设备服务器10、威胁情报服务器12和安全分析人员终端14;
该安全设备服务器10获取到网络安全事件的信息,提取该网络安全信息的特征信息,其中,五元组信息包含在特征信息之中,该设备服务器10获取到网络安全事件的信息,首先提取该网络安全信息的五元组信息,因为五元组信息可以快速从网络安全事件的特征信息中提取出来,然后进行验证,可以快速筛选出第一批疑似网络安全事件,解决相关技术中,提取所有特征信息再与威胁情报库进行匹配,过度占用时间和资源的问题,收集到该五元组信息之后,将该五元组信息输出至下一级威胁情报服务器12判断,;
该威胁情报服务器12在该五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息;在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件,其中,该威胁情报服务器12将该五元组信息与威胁情报服务器12进行信息验证,优先筛选出第一级网络安全事件,该威胁情报服务器12进一步输入的事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将上述特征与该网络安全事件中威胁情报库的特征数据进行匹配,输出疑似网络安全的匹配结果,将匹配结果输出至下一级安全分析人员终端14;
该安全分析人员终端,接收到该疑似网络安全事件,进行人工确认,其中该安全分析人员终端14获取到疑似网络安全事件,由安全分析人员最后确认网络安全事件。
在相关技术中,对于安全设备从网络空间中发现的疑似网络安全事件后,会通过人工识别网络安全事件,而人工分析识别效率低下,百万级的数据量,会出现很多遗漏,例如,一个受过合格训练的网络安全分析人员,5分钟识别一个,一天识别8小时,一天识别一百个疑似网络安全事件,达不到百万级的数据量,而安全设备识别疑似网络安全事件数据量巨大,通常数据量可以达到百万级别的量级,而算法需要大量的计算资源,投入人工研发,成本高昂;另外算法的计算确认效率低下,一个疑似安全事件需要多个算法经过多轮计算才可以确认,通过上述设备,本发明结合威胁情报特征匹配,有效过滤疑似网络安全事件,将百万量级的数据过滤到网络安全分析人员可识别、可分析、可确认的数据量级,解决了识别网络安全事件成本高和效率低的问题,实现了快速和稳定识别网络安全事件。
本实施例提供了一种识别网络安全事件的方法,图2是根据本申请实施例的一种识别网络安全事件的方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取到网络安全事件的信息,例如:192.168.1.110000TCP121.14.88.76 80就构成了一个五元组,其意义是,一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接;
步骤S202,提取该网络安全信息的五元组信息,在该五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件,其中,相关技术中,可以验证TCP/IP协议中的四元组源IP地址、目的IP地址、源端口和目的端口是否匹配;验证五元组:源IP地址、目的IP地址、协议号、源端口和目的端口是否匹配;七元组包括:源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型以及接口索引是否匹配,通过初步验证,将验证成功的网络安全事件归结为疑似网络安全事件;
步骤S203,在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息,其中,验证信息可以包括基于URL的检测技术,通过发现URL的表现形式,若安全信息中提取URL信息过于繁琐,IP替代域名、出现不常用的字符以及刻意的域名等,可以判定为疑似网络安全事件;
步骤S204,在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件,其中威胁情报库包括:事件类型、源IP、源端口、目的IP、目的端口、协议、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码等威胁信息,这些威胁信息与得到的特征信息做匹配验证,判断出疑似威胁情报的信息,经过匹配将疑似网络安全事件缩小范围,然后流转到安全分析人员,由安全分析人员完成最后的确认工作。
通过上述步骤S201至S204,在相关技术中,对于安全设备从网络空间中发现的疑似网络安全事件,是由人工进行识别安全设备发现疑似网络安全事件后,再由人工识别和确认,但是这些数据通常数据量巨大,达到百万级的数据量,导致人工无法识别十分困难,另外人工分析研判效率低下,一个受过合格训练的网络安全分析人员,一天研判8小时,5分钟研判一个,一天也只能研判一百个疑似网络安全事件,而通过安全设备直接识别疑似网络安全事件,通常由于数据量十分巨大,达到百万级的数据量,需要投入研发人员开发算法,使用大量的计算资源,耗费高昂的成本,另外算法的计算确认效率低下,一个网络安全事件需要多个算法多轮计算才可以确认,本发明在安全设备发现网络安全事件后,结合威胁情报进行特征匹配,完成匹配后再推送至网络安全分析人员;节省了资源和成本,同时大幅提升识别效率,形成常态化的网络安全事件确认机制,解决了识别网络安全事件成本高和效率低的问题,实现了快速和稳定识别网络安全事件。
在一个实施例中,该提取该网络安全信息的五元组信息,在该五元组信息与威胁情报中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将该源IP、源端口和威胁情报中的IP进行验证,将该目的IP、目的端口和威胁情报中的IP进行验证,将该协议进行验证,在该五元组信息中任意一项验证成功的情况下,将该网络安全事件判定为疑似网络安全事件,其中,通过五元组唯一确定一组会话,将该源IP源端口和威胁情报中的IP进行验证,将该目的IP、目的端口进行验证,将该协议进行验证,也可以设置其他五元组规则,例如,源IP为172.16.2.0/32,源端口为22,目的IP:10.12.9.70/32,目的端口不限制,传输层协议为TCP,授权策略为Drop,该规则禁止172.16.2.0/32通过22端口对10.12.9.70/32发起TCP访问,通过五元组匹配相当于设置第一级网络安全事件筛选的安全规则,通过利用五元组匹配的安全规则,降低了网络安全事件识别的压力,增加了识别疑似网络安全事件的速度,其中,其中,五元组能够唯一确定一组会话,相比较四元组更加准确,相比较七元组更加快捷,通过五元组进行初步筛选出疑似网络安全事件,能够帮助系统更快的确定疑似网络安全事件。
在一个实施例中,在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件之后:将该疑似网络安全事件推送至人工进行确认,若人工确认,将该疑似网络安全事件认定为网络安全事件。,其中,将该网络安全事件保存至本地威胁情报库,威胁情报模块42能够更快速的确定网络安全事件。
在一个实施例中,该在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息;在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:该特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将该网络安全事件的该特征信息依次与该威胁情报库的特征数据进行验证,得到疑似网络安全事件,其中,提取网络安全事件的特征信息是根据网络安全事件的字段名,提取该字段值,例如,将源IP字段和威胁情报库中的黑IP进行匹配,匹配成功,即输出疑似网络安全事件,待人工进一步评定,同理,将剩余网络安全事件中的其余字段提取,与威胁情报库中的数据进行逐项匹配,匹配成功,即输出疑似网络安全事件,等待人工进一步确定。
在一个实施例中,将该五元组信息进行验证之后,该方法包括:将该五元组信息与该威胁情报库的特征数据进行匹配验证,得到疑似网络安全事件,其中,得到五元组信息之后,匹配五元组信息,不必等待至第二次获取全部数据信息检测,充分节约识别网络安全事件的时间,提高网络安全事件识别的效率。
在一个实施例中,将该特征信息与威胁情报库的特征数据进行匹配包括:当检测到该网络威胁情报库有更新,更新该网络威胁情报库,将该特征信息与该威胁情报库的特征数据进行匹配,其中,威胁情报库会实时更新,保证特征信息的匹配度更加精确。
在一个实施例中,图3是根据本申请实施例的一种识别网络安全事件的方法的威胁情报模块的流程图,如图3所示,
步骤S301,识别出疑似网络安全事件的特征;
步骤S302,判断特征信息是否与威胁情报匹配;
步骤S303,若特征信息匹配,判定为网络安全事件;若特征信息不匹配,继续观察,留待下次判定。
通过上述步骤S301至S303,根据特征信息匹配的结果,判断网络安全事件,有效过滤疑似网络安全事件,将百万量级的数据过滤到网络安全分析人员可识别、可分析、可确认的数据量级,解决了识别网络安全事件成本高和效率低的问题,实现了快速和稳定识别网络安全事件。
在一个实施例中,图4是根据本申请实施例的一种识别网络安全事件的方法的装置的示意图,如图4所示,该装置包括:安全检测模块40、威胁情报模块42和安全分析人员模块44;
安全设备模块40获取到网络安全事件的信息,提取该网络安全信息的特征信息,其中,五元组信息包含在特征信息之中,该设备服务器10获取到网络安全事件的信息,首先提取该网络安全信息的五元组信息,因为五元组信息可以快速从网络安全事件的特征信息中提取出来,然后进行验证,可以快速筛选出第一批疑似网络安全事件,解决相关技术中,提取所有特征信息再与威胁情报库进行匹配,过度占用时间和资源的问题,收集到该五元组信息之后,将该五元组信息输出至下一级威胁情报模块42判断;
该威胁情报模块42在该五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息;在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件,其中,该威胁情报模块42将该五元组信息与威胁情报模块42进行信息验证,优先筛选出第一级网络安全事件,该威胁情报模块42进一步输入的事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将上述特征与该网络安全事件中威胁情报库的特征数据进行匹配,输出疑似网络安全的匹配结果,将匹配结果输出至下一级安全分析人员模块44;
该安全分析人员模块44获取到疑似网络安全事件,由安全分析人员最后确认网络安全事件。
在一个实施例中,该在该五元组信息与威胁情报库中的信息验证失败的情况下,提取该安全事件的特征信息;在该特征信息与该威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:威胁情报模块获取到该特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将该网络安全事件的该特征信息依次该威胁情报库的特征数据进行验证,得到疑似网络安全事件,能够节省资源、成本,大幅提升研判效率,形成常态化的网络安全事件确认机制,解决了识别网络安全事件成本高和效率低的问题,实现了快速和稳定识别网络安全事件。
在一个实施例中,图5是根据本申请实施例的一种识别网络安全事件的方法的具体实施例的示意图,如图5所示,
上述安全设备模块10可以包括:安全规则单元:根据各个安全设备的安全规则,获取疑似网络安全事件,基于五元组信息设置安全规则,提取网络安全信息的五元组信息,源IP、源端口、目的IP、目的端口和协议号的情况下,将该源IP、源端口和威胁情报中的IP进行验证,将该目的IP、目的端口和威胁情报中的IP进行验证,再将该协议进行验证,得到验证成功的该网络安全事件的信息,在五元组信息中有一项匹配验证失败的情况下,将该网络安全事件的信息丢弃,输出单元:根据被安全规则命中为疑似网络安全事件,流转到输出单元,准备对外输出。
上述威胁情报模块12可以包括:
接收单元:接收安全设备经规则分析输出后的疑似网络安全事件,并将网络空间威胁流转到特征提取单元。
特征提取单元:提取该验证成功的该网络安全事件信息中的特征信息,流转到威胁情报匹配单元进行实时特征匹配,特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将该特征信息,依次与该网络安全事件中威胁情报库的特征数据进行匹配
情报匹配单元:将该特征信息与威胁情报库的特征数据进行匹配,得到疑似网络安全事件,当检测到该网络威胁情报库有更新,更新该网络威胁情报库,将该特征信息与该威胁情报库的特征数据进行匹配。
输出单元:接收情报匹配单元的数据,将匹配结果(匹配成功、匹配未成功)的数据流转到安全分析人员模块,由安全分析人员进行最后的确认。
安全分析人员模块14说明:
识别单元:接收威胁情报模块匹配后的疑似网络安全事件,进行最终的人工确认。
图5中各单元之间的交互路径的过程包括:
路径1:安全规则单元从网络空间中经由安全规则,提取网络安全信息的五元组信息,源IP、源端口、目的IP、目的端口和协议号的情况下,获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将该源IP、源端口和威胁情报中的IP进行验证,将该目的IP、目的端口和威胁情报中的IP进行验证,将该协议进行验证,将该协议进行匹配验证得到验证成功的该网络安全事件的信息,将该验证信息传输至输出单元。
路径2:将经过初步筛选的网络安全事件,流转经过安全设备,输出至到威胁情报模块。
路径3:威胁情报模块中的将网络安全事件的特征信息,其特征信息包括事件类型、源IP、源端口、目的IP、目的端口、协议、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码的威胁信息,传输至特征提取单元,进行特征提取加工。
路径4:将网络安全事件的特征信息提取之后,流转到威胁情报匹配模块进行匹配验证,匹配事件类型、源IP、源端口、目的IP、目的端口、协议、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码的威胁信息。
路径5:匹配验证成功的疑似网络安全事件,经过消息队列,流转到输出单元。
路径6:将完成威胁情报匹配的疑似网络安全事件,流转到安全分析人员处,由安全分析人员完成最后的确认工作。
另外,结合上述实施例中的一种识别网络安全事件的方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种识别网络安全事件的方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各实施例提供的识别网络安全事件的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
本领域的技术人员应该明白,以上该实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上该实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种识别网络安全事件的方法,其特征在于,包括:
获取到网络安全事件的信息;
提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;
在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;
在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件。
2.根据权利要求1所述的方法,其特征在于,所述提取所述网络安全信息的五元组信息,在所述五元组信息与威胁情报中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将所述源IP、源端口和威胁情报中的IP进行验证,将所述目的IP、目的端口和威胁情报中的IP进行验证,将所述协议进行验证,在所述五元组信息中任意一项验证成功的情况下,将所述网络安全事件判定为疑似网络安全事件。
3.根据权利要求1所述的方法,其特征在于,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件之后:将所述疑似网络安全事件推送至人工进行确认,若人工确认,将所述疑似网络安全事件认定为网络安全事件。
4.根据权利要求1所述的方法,其特征在于,所述在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:所述特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将所述网络安全事件的所述特征信息依次与所述威胁情报库的特征数据进行验证,得到疑似网络安全事件。
5.根据权利要求1所述的方法,其特征在于,所述在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:当检测到所述威胁情报库有更新,更新所述威胁情报库,将所述特征信息与所述威胁情报库的特征数据进行验证。
6.一种识别网络安全事件的装置,其特征在于,所述装置包括:安全设备模块、威胁情报模块和安全人员分析模块;其中,
安全设备模块获取到网络安全事件的信息,提取所述网络安全信息的特征信息,其中,五元组信息包含在特征信息之中;
威胁情报模块在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;
安全人员分析模块接收到所述疑似网络安全事件,进行人工确认。
7.根据权利要求6所述的装置,其特征在于,所述威胁情报模块在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:获取到五元组源IP、源端口、目的IP、目的端口和协议号的情况下,将所述源IP源端口和威胁情报中的IP进行验证,将所述目的IP、目的端口进行验证,将所述协议进行验证,在所述五元组信息中任意一项验证成功的情况下,将所述网络安全事件判定为疑似网络安全事件。
8.根据权利要求7所述的网络安全事件的装置,其特征在于,所述在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件包括:威胁情报模块获取到所述特征信息包括以下至少之一:事件类型、源IP、源端口、目的IP、目的端口、协议号、域名、URL、文件hash、注册表项、请求时间、发送的请求时间、返回信息和返回码,将所述网络安全事件的所述特征信息依次所述威胁情报库的特征数据进行验证,得到疑似网络安全事件。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至6中任一项所述的识别网络安全事件的方法。
10.一种计算机系统,其特征在于,包括:安全设备服务器、威胁情报服务器和安全分析人员终端;
所述安全设备服务器获取到网络安全事件的信息,提取所述网络安全信息的特征信息,其中,五元组信息包含在特征信息之中;
所述威胁情报服务器在所述五元组信息与威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;在所述五元组信息与威胁情报库中的信息验证失败的情况下,提取所述安全事件的特征信息;在所述特征信息与所述威胁情报库中的信息验证成功的情况下,得到疑似网络安全事件;
所述安全分析人员终端,接收到所述疑似网络安全事件,进行人工确认。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010709764.3A CN111901329A (zh) | 2020-07-22 | 2020-07-22 | 一种识别网络安全事件方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010709764.3A CN111901329A (zh) | 2020-07-22 | 2020-07-22 | 一种识别网络安全事件方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111901329A true CN111901329A (zh) | 2020-11-06 |
Family
ID=73189849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010709764.3A Pending CN111901329A (zh) | 2020-07-22 | 2020-07-22 | 一种识别网络安全事件方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901329A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112565296A (zh) * | 2020-12-24 | 2021-03-26 | 深信服科技股份有限公司 | 安全防护方法、装置、电子设备和存储介质 |
| CN115021984A (zh) * | 2022-05-23 | 2022-09-06 | 绿盟科技集团股份有限公司 | 一种网络安全检测方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160127402A1 (en) * | 2014-11-04 | 2016-05-05 | Patternex, Inc. | Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system |
| US20170324709A1 (en) * | 2016-01-04 | 2017-11-09 | Centripetal Networks, Inc. | Efficient Packet Capture for Cyber Threat Analysis |
| CN108809989A (zh) * | 2018-06-14 | 2018-11-13 | 北京中油瑞飞信息技术有限责任公司 | 一种僵尸网络的检测方法及装置 |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和系统 |
| CN109522504A (zh) * | 2018-10-18 | 2019-03-26 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报判别仿冒网站的方法 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
-
2020
- 2020-07-22 CN CN202010709764.3A patent/CN111901329A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160127402A1 (en) * | 2014-11-04 | 2016-05-05 | Patternex, Inc. | Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system |
| US20170324709A1 (en) * | 2016-01-04 | 2017-11-09 | Centripetal Networks, Inc. | Efficient Packet Capture for Cyber Threat Analysis |
| CN108809989A (zh) * | 2018-06-14 | 2018-11-13 | 北京中油瑞飞信息技术有限责任公司 | 一种僵尸网络的检测方法及装置 |
| CN109522504A (zh) * | 2018-10-18 | 2019-03-26 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报判别仿冒网站的方法 |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和系统 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
Non-Patent Citations (2)
| Title |
|---|
| 付哲等: "高性能正则表达式匹配算法综述", 《计算机工程与应用》 * |
| 傅振: "基于网络处理器的UTM系统研究与实现", 《电子测量技术》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112565296A (zh) * | 2020-12-24 | 2021-03-26 | 深信服科技股份有限公司 | 安全防护方法、装置、电子设备和存储介质 |
| CN115021984A (zh) * | 2022-05-23 | 2022-09-06 | 绿盟科技集团股份有限公司 | 一种网络安全检测方法、装置、电子设备及存储介质 |
| CN115021984B (zh) * | 2022-05-23 | 2024-02-13 | 绿盟科技集团股份有限公司 | 一种网络安全检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| US10511617B2 (en) | Method and system for detecting malicious code | |
| US20240163253A1 (en) | Network security analysis system with reinforcement learning for selecting domains to scan | |
| US8549645B2 (en) | System and method for detection of denial of service attacks | |
| US9009824B1 (en) | Methods and apparatus for detecting phishing attacks | |
| US10257222B2 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
| US9210189B2 (en) | Method, system and client terminal for detection of phishing websites | |
| CN104519018A (zh) | 一种防止针对服务器的恶意请求的方法、装置和系统 | |
| CN110855497A (zh) | 一种基于大数据环境的告警排序方法及装置 | |
| CN111901329A (zh) | 一种识别网络安全事件方法和装置 | |
| CN112118249B (zh) | 基于日志和防火墙的安全防护方法及装置 | |
| CN113542227A (zh) | 账号安全防护方法、装置、电子装置和存储介质 | |
| CN113079150A (zh) | 一种电力终端设备入侵检测方法 | |
| CN114928452B (zh) | 访问请求验证方法、装置、存储介质及服务器 | |
| CN111147625B (zh) | 获取本机外网ip地址的方法、装置及存储介质 | |
| CN113535823B (zh) | 异常访问行为检测方法、装置及电子设备 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| CN118018245A (zh) | 用于区块链网络的数据交换过程安全风险智能识别方法 | |
| CN112613893A (zh) | 一种用户恶意注册识别方法、系统、设备及介质 | |
| CN113065748A (zh) | 业务风险评估方法、装置、设备及存储介质 | |
| CN114205146B (zh) | 一种多源异构安全日志的处理方法及装置 | |
| Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts | |
| CN115801309A (zh) | 基于大数据的计算机终端接入安全验证方法及系统 | |
| CN112488562B (zh) | 一种业务实现方法及装置 | |
| CN109150871B (zh) | 安全检测方法、装置、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201106 |