CN112269990A - 一种安全事件类型确定方法、设备、系统及存储介质 - Google Patents
一种安全事件类型确定方法、设备、系统及存储介质 Download PDFInfo
- Publication number
- CN112269990A CN112269990A CN202011105883.4A CN202011105883A CN112269990A CN 112269990 A CN112269990 A CN 112269990A CN 202011105883 A CN202011105883 A CN 202011105883A CN 112269990 A CN112269990 A CN 112269990A
- Authority
- CN
- China
- Prior art keywords
- event
- determined
- dimension
- security
- security event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 196
- 238000012545 processing Methods 0.000 claims abstract description 49
- 238000005516 engineering process Methods 0.000 claims description 49
- 230000015654 memory Effects 0.000 claims description 27
- 238000004458 analytical method Methods 0.000 claims description 15
- 238000012163 sequencing technique Methods 0.000 claims description 14
- 238000004364 calculation method Methods 0.000 claims description 10
- 230000000977 initiatory effect Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 21
- 238000001514 detection method Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000012935 Averaging Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000012098 association analyses Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种安全事件类型确定方法,方法包括:获取包含有多个待确定安全事件的待确定安全事件集合;对待确定安全事件集合中的任一待确定安全事件进行处理,确定预设维度的特征信息;基于预设维度的特征信息,确定任一待确定安全事件的类型。本发明还提供了一种安全事件类型确定设备、系统以及存储介质。本发明提供的安全事件类型确定方法,能够更加灵活地提高对任一待确定安全事件类型确定的准确率,从而降低了安全事件漏报的概率,提高了安全性。
Description
技术领域
本发明涉及信息技术领域,尤其涉及一种安全事件类型确定方法、设备、系统以及计算机可读存储介质。
背景技术
网络安全事件,是通过威胁情报技术来检测和识别的。在相关技术中,威胁情报技术所检测的疑似安全事件的特征数据仅为入侵指标(Indicators of Compromise,IOC)。然而,随着当前网络安全事件的特征属性种类增多、各种类特征属性的变化频繁,相关技术中的威胁情报技术无法对特征属性多变的安全事件进行准确检测和类型确定,从而很容易出现安全事件的漏检漏报的情况,对网络设备以及终端设备的安全产生了巨大的威胁。
发明内容
本发明实施例提供了一种安全事件类型确定方法、设备、系统以及计算机可读存储介质。
本发明实施例提供的安全事件类型确定方法,能够获取任一待确定安全事件的至少一个维度的特征信息,并根据至少一个维度的特征信息确定安全事件的类型,从而实现了对任一安全事件特征信息的有针对性的灵活提取,提高了安全事件类型确定的准确率,降低了安全事件漏检漏报的概率、以及对网络设备和终端设备的威胁。
本发明实施例提供的方案是这样的:
本发明实施例提供了一种安全事件类型确定方法,所述方法包括:
获取包含有多个待确定安全事件的待确定安全事件集合;
对所述待确定安全事件集合中的任一待确定安全事件进行处理,确定预设维度的特征信息;其中,所述预设维度的特征信息,包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中的至少一个;所述第一维度特征信息,表示所述任一待确定安全事件的攻击手法特征信息;所述第二维度特征信息,表示所述任一待确定安全事件的攻击技术特征信息;所述第三维度特征信息,表示所述任一待确定安全事件的来源特征信息;
基于所述预设维度的特征信息,确定所述任一待确定安全事件的类型。
在一些实施方式中,在所述预设维度的特征信息为所述第一维度特征信息的情况下,所述对所述安全事件集合中的任一待确定安全事件进行处理,确定所述预设维度的特征信息,包括:
获取攻击手法模型;其中,所述攻击手法模型,包含有安全事件的攻击阶段与攻击手法之间的对应关系;
基于所述攻击手法模型对所述任一待确定安全事件进行处理,确定所述第一维度特征信息。
在一些实施方式中,所述基于所述攻击手法模型,对所述任一待确定安全事件进行处理,确定所述第一维度特征信息,包括:
对所述任一待确定安全事件进行分析,确定事件阶段以及事件手法;其中,所述事件阶段,包括所述任一待确定安全事件的至少一个攻击阶段;所述事件手法,表示至少一个所述攻击阶段中的每一攻击阶段所采用的攻击手法;
基于所述攻击手法模型,对所述事件阶段以及所述事件手法进行匹配,得到匹配结果;
基于所述匹配结果,确定所述第一维度特征信息。
在一些实施方式中,在所述预设维度的特征信息为所述第二维度特征信息的情况下,所述对所述安全事件集合中的任一待确定安全事件进行处理,获取所述预设维度的特征信息,包括:
对于所述任一待确定安全事件进行攻击技术分析,确定事件攻击技术;其中,所述事件攻击技术,表示所述任一待确定安全事件所采用的至少一种攻击技术;
基于所述事件攻击技术,确定所述第二维度特征信息。
在一些实施方式中,所述基于所述事件攻击技术,确定所述第二维度特征信息,包括:
获取第一特征集合;其中,所述第一特征集合包括标准安全事件所采用的攻击技术的集合;
基于所述第一特征集合与所述事件攻击技术的匹配关系,获取所述第二维度特征信息。
在一些实施方式中,在所述预设维度的特征信息为所述第三维度特征信息的情况下,所述对所述安全事件集合中的任一待确定安全事件进行处理,确定所述预设维度的特征信息,包括:
对所述任一待确定安全事件进行分析,确定事件来源信息;其中,所述事件来源信息包括远程控制指令发起地址;
获取第二特征集合;其中,所述第二特征集合包括多个标准安全事件的来源信息;
基于所述事件来源信息以及所述第二特征集合,确定所述第三维度特征信息。
在一些实施方式中,所述基于所述事件来源信息以及所述第二特征集合,确定所述第三维度信息,包括:
基于所述事件来源信息中的每一信息与所述第二特征集合的匹配程度,确定事件来源相似度;
基于所述事件来源相似度,确定所述第三维度特征信息。
在一些实施方式中,所述基于所述预设维度的特征信息,确定所述任一待确定安全事件的类型,包括:
对所述预设维度的特征信息进行加权计算,确定所述任一待确定安全事件的类型。
在一些实施方式中,所述预设维度的特征信息,包括所述第一维度特征信息、所述第二维度特征信息以及所述第三维度特征信息中的至少两个。
在一些实施方式中,所述获取待确定安全事件集合,包括:
从用户侧安全设备获取第一事件集合、从网络侧安全设备获取第二事件集合;
基于所述第一事件集合以及所述第二事件集合,获取所述待确定安全事件集合。
在一些实施方式中,所述对所述安全事件集合中的任一待确定安全事件进行处理,包括:
将所述待确定安全事件集合中的每一待确定安全事件按照时间进行排序,得到排序结果;
确定时间窗口;
基于所述时间窗口,从所述排序结果中选取所述至少一个待确定安全事件;
从所述至少一个安全事件中选取所述任一待确定安全事件进行处理。
在一些实施方式中,所述确定时间窗口,包括:
基于所述排序结果,确定安全事件密度;其中,所述安全事件密度,表示单位时间内发生的安全事件的数量;
基于所述安全事件密度,确定所述时间窗口。
本发明实施例还提供了一种安全事件类型确定设备,所述设备包括:处理器、存储器和通信总线;其中:
所述通信总线,用于实现所述处理器与所述存储器之间的通信连接;
所述处理器,用于执行所述存储器中存储安全事件类型确定程序,以实现如前任一所述安全时间类型确定方法。
本发明实施例还提供了一种安全事件类型确定系统,所述系统包括:获取模块、处理模块以及确定模块;其中:
所述获取模块,用于获取包含有多个待确定安全事件的待确定安全事件集合;
所述处理模块,用于对所述待确定安全事件集合中的任一安全事件进行处理,确定预设维度的特征信息;其中,所述预设维度的特征信息,包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中的至少一个;所述第一维度特征信息,表示所述任一待确定安全事件的攻击手法特征信息;所述第二维度特征信息,表示所述任一待确定安全事件的攻击技术特征信息;所述第三维度特征信息,表示所述任一待确定安全事件的来源特征信息;
所述确定模块,用于基于所述预设维度的特征信息,确定所述任一待确定安全事件的类型。
本发明实施例还提供了一种计算机可读存储介质,所述可读存储介质能够被处理器执行,以实现如前任一所述的安全事件类型确定方法。
本发明实施例提供的安全事件类型确定方法,对待确定安全事件集合中的任一待确定安全事件,不是仅按照IOC进行分析确定其类型,而是首先对任一待确定安全事件进行处理,获取至少一个维度的特征信息,并基于至少一个维度的特征信息确定任一待确定安全事件的类型。
也就是说,本发明实施例提供的安全事件类型确定方法,通过任一待确定安全事件的至少一个维度的特征信息,可以获取到任一待确定安全事件的更加真实有效的安全特性,从而可以提高任一待确定安全事件的类型确定的准确率,且对待确定安全时间类型的确定方式也更加灵活,进而降低了安全事件漏检漏报的概率、以及对网络设备以及终端设备的威胁。
附图说明
图1为本发明实施例提供的第一种安全事件类型确定方法的流程示意图;
图2为本发明实施例提供的第二种安全事件类型确定方法的流程示意图;
图3为本发明实施例提供的待确定安全事件获取的流程示意图;
图4为本发明实施例提供的基于时间窗口选取至少一个待确定安全事件的原理示意图;
图5为本发明实施例提供的安全事件的攻击阶段与攻击手法之间的对应关系示意图;
图6a为本发明实施例提供的第一标准安全事件的第一特征集合结构示意图;
图6b为本发明实施例提供的第二标准安全事件的第一特征集合结构示意图;
图7为本发明实施例提供的确定事件来源相似度的流程示意图;
图8为本发明实施例提供的安全事件类型确定设备8的结构示意图;
图9为本发明提供的安全事件类型确定系统9的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
应当理解,此处所描述的具体实施例仅仅用以解释本发明实施例,并不用于限定本发明实施例。
本发明实施例涉及信息技术领域,尤其涉及一种安全事件类型确定方法、设备、系统以及计算机可读存储介质。
在相关技术中,主流的威胁情报技术主要通过对包括文件、统一资源定位符(Uniform Resource Locator,URL)、网络协议(Internet Protocol,IP)地址以及md5在内的IOC,来识别安全事件,这些安全事件中包括了攻击组织的活动痕迹。
然而,大部分能够发起威胁攻击的黑客通常会经常性的更换IOC,比如更换攻击者使用的、频繁变化且更新极快的基础设施标识,因此,常规的威胁情报技术无法及时准确的检测出安全事件的类型,也就无法获取安全事件对应的威胁行为,进而很容易出现安全事件的漏检漏报情况,对网络设备以及终端设备的安全产生了巨大的威胁。
为了能够对各种安全事件的IOC及时准确的检测,威胁情报技术只能持续性地新增IOC作为安全事件检测的数据基础。
然而,对于频繁变化的IOC而言,新增每一种类型的IOC需要时间;另一方面,常规的IOC是通过攻击者攻击成功后所对应的样本、流量等方式获取的,因此,依靠IOC对安全事件的检测也存在一定的滞后性;再者,即使在IOC类型全部获取的情况下,仅依靠IOC这一单一的安全事件检测方法,也无法真实的反映出安全事件的实际特征,因此无法更准确高效地确定安全事件的类型,从而也容易导致安全事件的漏报漏检。
基于以上技术问题,本发明实施例提供了一种安全事件类型确定方法,该方法可以通过安全事件类型确定设备的处理器来实现。
需要说明的是,上述处理器可以为特定用途集成电路(Application SpecificIntegrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(ProgrammableLogic Device,PLD)、现场可编程逻辑门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。
图1为本发明实施例提供的第一种安全事件类型确定方法的流程示意图。该方法可以包括以下步骤:
步骤101、获取包含有多个待确定安全事件的待确定安全事件集合。
在一种实施方式中,待确定安全事件,可以是通过安全设备获取到的任一可疑事件。
在一种实施方式中,待确定安全事件,可以是通过安全设备获取到的、尝试对当前设备中的敏感数据进行操作的事件。示例性地,对敏感数据进行操作,可以包括对敏感数据尝试复制、篡改、删除、发送至其他设备等的操作。
在一种实施方式中,待确定安全事件,可以是由安全设备实时获取到的。
在一种实施方式中,待确定安全事件集合,可以包括多个安全设备获取到的安全事件。
在一种实施方式中,待确定安全事件集合,可以是存储在指定设备中的,即各个安全设备获取到待确定安全事件之后,将这些待确定安全事件发送至该指定设备。
步骤102、对待确定安全事件集合中的任一待确定安全事件进行处理,确定预设维度的特征信息。
其中,预设维度的特征信息,包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中的至少一个;第一维度特征信息,表示任一待确定安全事件的攻击手法特征信息;第二维度特征信息,表示任一待确定安全事件的攻击技术特征信息;第三维度特征信息,表示任一待确定安全事件的来源特征信息。
在一种实施方式中,任一待确定安全事件的攻击手法特征信息,可以包括以下至少之一:每一攻击手法的名称、类型、标识、攻击手法出现的时间、攻击手法的攻击目标、各个攻击手法之间的先后顺序等。
在一种实施方式中,每一待确定安全事件中可以包括多种攻击手法。
在一种实施方式中,攻击技术特征信息,可以表示对待确定安全事件的技术描述。
在一种实施方式中,任一待确定安全事件的攻击技术特征信息,可以包括以下至少之一:每一攻击技术的名称、类型、标识、攻击技术出现的时间、攻击技术对应的攻击目标、各种攻击技术之间的先后顺序等。
在一种实施方式中,任一待确定安全事件的攻击技术,可以包括常见的加密算法方式、黑客工具类型、加壳技术、免杀技术、编程语言、版本信息、木马远程控制类型、隧道类型、后门方式等。
在一种实施方式中,每一待确定安全事件中可以包括至少一种攻击技术。
在一种实施方式中,任一待确定安全事件的来源特征信息,可以表示发起任一待确定安全事件的攻击者来源特征信息。
在一种实施方式中,攻击者来源特征信息,可以包括攻击者IP地址、邮箱地址、域名、文件md5、运行商名称等。
在一种实施方式中,任一待确定安全事件,可以对应多个攻击者来源特征信息。
在一种实施方式中,预设维度的特征信息,可以是通过对任一待确定安全事件的运行阶段进行分析得到的。
在一种实施方式中,预设维度的特征信息的数量,可以根据任一待确定安全事件发生的时间、攻击的目标设备以及目标人群来调整的。
步骤103、基于预设维度的特征信息,确定任一待确定安全事件的类型。
在一种实施方式中,任一待确定安全事件的类型,可以表示任一待确定安全事件是否为威胁事件。
在一种实施方式中,任一待确定安全事件的类型,可以表示任一待确定安全事件的对其所对应的目标设备的威胁程度。
在一种实施方式中,任一待确定安全事件的类型,可以表示任一待确定安全事件的攻击者的威胁级别。
在一种实施方式中,任一待确定安全事件的类型,可以表示发起任一待确定安全事件的黑客团伙的身份类型。
在一种实施方式中,任一待确定安全事件的类型,可以是通过对预设维度的特征信息进行分解汇总而确定的。
在一种实施方式中,任一待确定安全事件的类型,可以是通过对预设维度的特征信息中威胁等级较高的特征信息而确定的。
如此,本发明实施例提供的安全事件类型确定方法,对待确定安全事件集合中的任一待确定安全事件,不是仅按照单一的IOC进行分析确定其类型,而是首先对任一待确定安全事件进行处理,获取包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中至少一个的预设维度的特征信息,并基于预设维度的特征信息确定任一待确定安全事件的类型。
也就是说,本发明实施例提供的安全事件类型确定方法,通过任一待确定安全事件的至少一个维度的特征信息,因而任一待确定安全事件的类型能够更加真实的反应出待确定安全事件的特性,从而可以提高任一待确定安全事件的类型确定的准确率,从而降低了安全事件漏检漏报的概率、以及对网络设备以及终端设备的威胁。
基于前述实施例,本发明实施例提供了一种安全事件类型确定方法,图2为本发明实施例提供的第二种安全事件类型确定方法的流程示意图。如图2所示,该安全事件类型确定方法可以包括以下步骤:
步骤201、获取包含有多个待确定安全事件的待确定安全事件集合。
示例性地,步骤201可以通过步骤A1-步骤A2来实现:
步骤A1、从用户侧安全设备获取第一事件集合、从网络侧安全设备获取第二事件集合。
在一种实施方式中,用户侧安全设备,可以是配置有安全事件检测环境的第一电子设备。示例性地,第一电子设备,可以为计算机设备。
在一种实施方式中,配置有安全事件检测环境,可以表示第一电子设备中安装有能够实现安全检测功能的软件。示例性地,能够实现安全检测功能的软件,可以包括杀毒软件等。
在一种实施方式中,网络侧安全设备,配置有安全事件检测环境的第二电子设备。示例性地,第二电子设备,可以为计算机设备。
在一种实施方式中,第二电子设备,可以是配置有防火墙的计算机设备。
在一种实施方式中,第二电子设备,可以通过检测网络层的传输控制协议(TCP,Transmission Control Protocol)来获得第二事件集合。
在实际应用中,针对某些特定的网络环境比如企业内网、专网、大型局域网的网络布局场景下,在用户侧和网络侧会同时部署安全设备。
示例性地,包括用户侧安全设备和网络侧安全设备的安全设备,可以通过对被监测和保护的服务器的访问流量数据、终端设备接收到的数据进行分析,在分析结果中包含有恶意攻击行为的情况下,这些安全设备还能够输出告警提示,并对这类分析结果对应的事件进行处理,从而分别得到第一事件集合和第二事件集合。
在一种实施方式中,第一事件集合中的任一事件,可以是由用户侧安全设备实时获取。
在一种实施方式中,第一事件集合中的任一事件,可以是由用户侧安全设备按照一定的时间间隔进行检测得到的。
在一种实施方式中,第一事件集合中的任一事件,可以记为第一事件。示例性地,第一事件所对应的数据包括以下至少之一:第一事件的发生时间、第一事件发生的规则标识、第一事件名称、第一事件详细内容描述、第一事件源IP地址、第一事件涉及的进程信息、第一事件影响的线程信息、以及第一事件举证信息等。
在一种实施方式中,第二事件集合中的任一事件,可以是由网络侧安全设备实时获取的。
在一种实施方式中,第二事件集合中的任一事件,可以是由网络侧安全设备按照一定的时间检测频率检测到的。
在一种实施方式中,第二事件集合中的任一事件,可以以第二事件表示。示例性地,第二事件所对应的数据包括以下至少之一:第二事件发生时间、第二事件发生名称、第二事件的规则标识、第二事件对应的网络信息五元组、第二事件的详细内容描述等。
步骤A2、基于第一事件集合以及第二事件集合,获取待确定安全事件集合。
在一种实施方式中,待确定安全事件集合,可以是用户侧安全设备将第一事件集合发送至指定设备、且网络侧安全设备将第二事件集合发送至指定设备之后,由指定设备对第一事件集合以及第二事件集合进行分析获取到的。
在一种实施方式中,指定设备,可以是具备安全事件分析能力的设备。
在一种实施方式中,指定设备,可以为网络侧的某一设备。
在一种实施方式中,指定设备,可以为云端平台。
在一种实施方式中,指定设备能够对第一事件集合以及第二事件集合进行分析整理,得到待确定安全事件集合。
在一种实施方式中,指定设备能够对第一事件集合以及第二事件集合进行聚类分析,从而得到初步分类结果,并对初步分类结果进行排序,进而得到待确定安全事件集合。
图3为本发明实施例提供的待确定安全事件获取的流程示意图。
在图3中,用户侧安全设备301,可以包括多个第一电子设备;网络侧安全设备302可以获取多个网络单元303的流量数据;用户侧安全设备301可以将其从终端设备获取到的第一事件集合发送至交换路由设备304,再由交换路由设备304将第一事件集合发送至云平台305;网络侧安全设备302也可以间其从网络单元303中获取到的第二事件集合发送至云平台305,并由云平台305对第一事件集合以及第二事件集合进行处理,得到待确定安全事件集合。
步骤202、将待确定安全事件集合中的每一待确定安全事件按照时间进行排序,得到排序结果。
在一种实施方式中,将待确定安全事件中的每一待确定安全事件按照事件进行排序,可以是按照每一待确定安全事件发生的时间,对每一待确定安全事件进行排序。
在一种实施方式中,将待确定安全事件中的每一待确定安全事件按照时间进行排序,可以是将用户侧安全设备采集到的待确定安全事件按照时间进行排序,得到第一排序结果;将网络侧安全设备采集到的待确定安全事件按照时间进行排序,得到第二排序结果;然后根据第一排序结果以及第二排序结果得到排序结果。
在一种实施方式中,将待确定安全事件中的每一待确定安全事件按照时间进行排序,可以是待确定安全事件来源标识、类型、功能等至少之一对待确定安全事件进行分类,并将分类结果按照时间先后顺序进行排序,从而得到排序结果。
步骤203、确定时间窗口。
在一种实施方式中,时间窗口的跨度,可以为待确定安全事件集合中所有待确定安全事件所覆盖的时间范围中的一段时间。
在一种实施方式中,时间窗口的跨度,可以为能够从待确定安全事件集合中选择待确定安全事件的数量。
在一种实施方式中,时间窗口的跨度,可以覆盖至少两个安全事件。
示例性地,步骤203,可以通过步骤B1-步骤B2来实现:
步骤B1、基于排序结果,确定安全事件密度。
其中,安全事件密度,表示单位时间内发生的待确定安全事件的数量。
在一种实施方式中,安全事件密度,在排序结果所覆盖的时间范围内可以是不变的。
在一种实施方式中,安全事件密度,可以在排序结果覆盖的时间范围内随的时间推移而改变。
在一种实施方式中,单位时间,可以为以下任一种:若干秒钟、若干分钟、若干小时、若干天。
在一种实施方式中,若根据排序结果表明在一段时间内都未出现待确定安全事件,则可以将安全事件密度设置为0,或者设置为安全事件类型确定设备中指定的下限密度阈值。
步骤B2、基于安全事件密度,确定时间窗口。
在一种实施方式中,时间窗口的跨度,可以与安全事件密度呈反比关系。示例性地,当安全事件密度较高时,时间窗口的跨度可以相应减小;当安全事件密度较低时,时间窗口的跨度可以相应增大。
示例性地,通过安全事件密度的大小调整时间窗口的跨度,可是使得通过时间窗口获取到的至少一个待确定安全事件的数量,保持在一个相对一致的水平,从而为后续对至少一个待确定安全事件的快速处理奠定基础。
步骤204、基于时间窗口,从排序结果中选取至少一个待确定安全事件。
在一种实施方式中,至少一个待确定安全事件,可以是在时间窗口确定之后,根据时间窗口的跨度,从排序结果中选取的。
在一种实施方式中,至少一个待确定安全事件,还可以通过滑动时间窗口的方式来获取。
图4为本发明实施例提供的基于时间窗口选取至少一个待确定安全事件的原理示意图。
在图4中,待确定安全事件集合所包含的待确定安全事件1-待确定安全事件8、可以为排序结果中的部分待确定安全事件,且待确定安全事件1-待确定安全事件8在时间轴上的时间覆盖范围为T1-T2,且T1为小于T2的正数。
在图4中,时间窗口401第一时刻所处位置与待确定安全事件1对应,且该时间窗口401覆盖了时间轴上分布的待确定安全事件1-待确定安全事件4;此时,至少一个待确定安全事件可以包括待确定安全事件1-待确定安全事件4。
示例性地,时间窗口401可以按照指定速度沿排序结果滑动。
在一种实施方式中,该指定速度可以表示每次滑动越过的待确定安全事件的个数,比如,指定速度可以为1个待确定安全事件。那么,在第一时刻之后,第二时刻的时间窗口402可以与待确定安全事件2对应。
步骤205、从至少一个安全事件中选取任一待确定安全事件进行处理,确定预设维度的特征信息。
其中,预设维度的特征信息,包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中的至少一个;第一维度特征信息,表示任一待确定安全事件的攻击手法特征信息;第二维度特征信息,表示任一待确定安全事件的攻击技术特征信息;第三维度特征信息,表示任一待确定安全事件的来源特征信息。
示例性地,预设维度的特征信息,可以包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中的至少两个。
如此,本发明实施例提供的安全事件类型确定方法,能够确定任一待确定安全事件的至少两个维度的特征信息,因而,基于至少两个维度的特征信息确定的类型,能够更加贴近待确定安全事件的真实情况,从而能够更进一步地提高对待确定安全事件的类型确定的准确率。
示例性地,在预设维度的特征信息为第一维度特征信息的情况下,步骤205中,可以通过步骤C1-步骤C2来实现:
步骤C1、获取攻击手法模型。
其中,攻击手法模型,包含有安全事件的攻击阶段与攻击手法之间的对应关系。
在一种实施方式中,攻击阶段,可以包括以下至少之一:已经被确定类型的任一安全事件所包含的被攻击者发送、被目标设备接收、对目标设备执行操作等各个阶段。
在一种实施方式中,每一被确定类型的安全事件,可以包括多个攻击阶段。
在一种实施方式中,每一被确定类型的安全事件所包含的多个攻击阶段,可以是具备相对稳定的先后顺序关系的,比如,先执行第一阶段、再执行第二阶段,在第二阶段执行完毕之后执行第三阶段等。
在一种实施方式中,每一攻击阶段中,为了实现其攻击任务,又可以通过至少一种攻击手法来实现。
示例性地,攻击手法,又称为攻击手段。
在一种实施方式中,攻击阶段与攻击手法之间的对应关系,可以包括每一攻击阶段所对应的攻击手法。
在一种实施方式中,攻击阶段与攻击手法之间的对应关系,可以包括每一攻击阶段所采用的各个攻击手法之间的先后顺序关系。
图5为本发明实施例提供的安全事件的攻击阶段与攻击手法之间的对应关系示意图。
在图5中,某一安全事件可以包括攻击阶段1-攻击阶段6六个攻击阶段,且攻击阶段1采用了攻击手法1;攻击阶段2依次采用了攻击手法2和攻击手法3;攻击阶段3采用了攻击手法3;而攻击阶段4则依次采用了攻击手法1、攻击手法5以及攻击手法6;攻击阶段5则依次采用了攻击手法3、攻击手法5以及攻击手法6;攻击阶段6依次采用了攻击手法1以及攻击手法7。
示例性地,若未按照图5所示的攻击阶段对各个攻击阶段所采用的攻击手法进行统计,对于安全事件来说,其所采用的各种攻击手法是松散稀疏的、特征不明显的。而通过图5所示的对应关系示意图,可以清晰的看到安全事件的各个攻击阶段的先后顺序、以及各个阶段的攻击手法特征,以及各个发展阶段所采用的攻击手法的先后顺序。
示例性地,每个安全事件本身就是一个多维向量的表示,在此基础上,安全事件的攻击阶段与攻击手法,也可以通过向量的形式进行表示。
步骤C2、基于攻击手法模型对任一待确定安全事件进行处理,确定第一维度特征信息。
在一种实施方式中,第一维度特征信息,可以是按照攻击手法模型对任一待确定安全事件进行攻击阶段、攻击手法对应的维度进行分解而得到的。
示例性地,步骤C2可以通过步骤D1-步骤D3来实现:
步骤D1、对任一待确定安全事件进行分析,确定事件阶段以及事件手法。
其中,事件阶段,包括任一待确定安全事件的至少一个攻击阶段;事件手法,表示至少一个攻击阶段中的每一攻击阶段所采用的攻击手法。
在一种实施方式中,事件阶段,可以表示对任一待确定安全事件所包含的攻击阶段、按照其执行的先后顺序进行排序的结果。
在一种实施方式中,事件手法,可以是对事件阶段中每一攻击阶段所采用的攻击手法、分别进行排序后得到的结果。
步骤D2、基于攻击手法模型,对事件阶段以及事件手法进行匹配,得到匹配结果。
在一种实施方式中,基于攻击手法模型,对事件阶段以及事件手法进行匹配,可以按照事件阶段中的每一攻击阶段、与攻击手法模型中的攻击阶段进行匹配。
在一种实施方式中,基于攻击手法模型,对事件阶段以及事件手法进行匹配,可以按照事件阶段中的每一攻击阶段、以及事件手法,同时与攻击手法模型中的攻击阶段、以及攻击手法进行匹配。
在一种实施方式中,基于攻击手法模型,对事件阶段以及事件手法进行匹配,可以是通过表征攻击手法模型的第一矩阵、与表示任一待确定安全事件的第二矩阵之间的叉乘来实现的。相应地,两个矩阵的叉乘可以得到一个相似度数值X。
在一种实施方式中,匹配结果,可以表示任一待确定安全事件与攻击手法模型完全匹配、或完全不匹配。
在一种实施方式中,匹配结果,可以表示任一待确定安全事件与攻击手法模型部分匹配。
在一种实施方式中,任一待确定安全事件与攻击手法模型部分匹配,可以表示任一待确定安全事件对应的事件阶段中的若干阶段、与攻击手法模型中的若干攻击阶段完全匹配。
在一种实施方式中,任一待确定安全事件与攻击手法模型部分匹配,可以表示任一待确定安全事件对应的事件阶段中的若干阶段中的部分攻击手法、与攻击手法模型若干阶段中的部分攻击手法匹配。
步骤D3、基于匹配结果,确定第一维度特征信息。
在一种实施方式中,第一维度特征信息,可以根据匹配结果是否为完全匹配来确定。示例性地,若完全匹配,则第一维度特征信息为明显突出的特征信息;若部分匹配,则第一维度特征信息为相对较弱的特征信息;若完全不匹配,则第一维度特征信息可以忽略不计。
示例性地,预设维度的特征信息为第二维度特征信息的情况下,步骤205可以通过步骤E1-步骤E2来实现:
步骤E1、对于任一待确定安全事件进行攻击技术分析,确定事件攻击技术。
其中,事件攻击技术,表示任一待确定安全事件所采用的至少一种攻击技术。
在一种实施方式中,攻击技术分析,可以表示对任一待确定安全事件的每一攻击阶段所采用的攻击技术均进行分析。
相应地,事件攻击技术,可以包括任一待确定安全事件所采用的所有攻击技术。
在一种实施方式中,攻击技术分析,可以是对任一待确定安全事件的指定攻击阶段所采用的攻击技术进行分析。
相应地,事件攻击技术,可以包括任一待确定安全事件的指定攻击阶段所采用的所有攻击技术。
在一种实施方式中,攻击技术分析,可以是对任一待确定安全事件的指定攻击阶段中的指定攻击手法所采用的攻击技术进行分析。
相应地,事件攻击技术,可以包括任一待确定安全事件指定攻击阶段的指定攻击手法采用的所有攻击技术。
步骤E2、基于事件攻击技术,确定第二维度特征信息。
在一种实施方式中,第二维度特征信息,可以是对任一待确定安全事件所采用的所有攻击技术进行分析得到的。
在一种实施方式中,第二维度特征信息,可以是对任一待确定安全事件指定攻击阶段所采用的所有攻击技术进行分析得到的。
在一种实施方式中,第二维度特征信息,可以是对任一待确定安全事件指定攻击阶段的指定攻击手法所采用的所有攻击技术进行分析得到的。
示例性地,步骤E2可以通过步骤F1-步骤F2来实现:
步骤F1、获取第一特征集合。
其中,第一特征集合包括标准安全事件所采用的攻击技术的集合。
在一种实施方式中,标准安全事件,可以表示已经确定类型、且攻击阶段以及每一攻击阶段所采用的攻击技术均清晰的安全事件。
在一种实施方式中,标准安全事件,可以表示已经确定类型、且各个攻击阶段的攻击方式都具有代表性的安全事件。
在一种实施方式中,第一特征集合,可以是对标准安全事件所采用的所有攻击技术进行分析得到的。
在一种实施方式中,第一特征集合,可以是对标准安全事件指定攻击阶段所采用的所有攻击技术进行分析得到的。
在一种实施方式中,第一特征集合,可以是对标准安全事件指定攻击阶段的指定攻击手法所采用的所有攻击技术进行分析得到的。
图6a为本发明实施例提供的第一标准安全事件的第一特征集合结构示意图。
在图6a中,第一标准安全事件可以为鱼叉邮件事件,其所采用的攻击技术包括以下几种:商贸信主题、通知类、图标伪造、用户伪造、匿名邮箱以及文本附件。
图6b为本发明实施例提供的第二标准安全事件的第一特征集合结构示意图。
在图6b中,第二标准安全事件可以为恶意后门事件,其所采用的攻击技术可以包括以下几种:驱动劫持、生成时间、程序数据库文件(Program Database File,PDB)、木马远控、可执行程序文件压缩器(Ultimate Packer for Executables,UPX)、线程注入、读取注册表、反调试、释放可视化Basic脚本(Visual Basic Script,VBS)等。
步骤F2、基于第一特征集合与事件攻击技术的匹配关系,确定第二维度特征信息。
在一种实施方式中,第一特征集合与事件攻击技术的匹配关系,可以表示事件攻击技术中的每一攻击技术、都能够与第一特征集合中对应的攻击技术完全匹配。
在一种实施方式中,第一特征集合与事件攻击技术的匹配关系,可以表示事件攻击技术中的部分攻击技术,与第一特征集合中的攻击技术匹配。
在一种实施方式中,第一特征集合与事件攻击技术的匹配关系,可以表示事件攻击技术与第一特征集合不匹配。
示例性的,第二维度特征信息,可以通过表示第一特征集合的第三矩阵、与表示事件攻击技术的第四矩阵的叉乘来获取。
在一种实施方式中,第二维度特征信息,可以通过事件攻击技术中所包含的每一攻击技术、与第二维度特征信息中的攻击技术之间匹配的相似度来获取。
在一种实施方式中,第二维度特征信息,可以通过对上述多个相似度进行计算得到。
示例性地,对多个相似度进行计算,可以是对多个相似度进行加权平均。具体的,可以通过式(1)来实现:
Y=(Y1+...+Yk)/N (1)
在式(1)中,Y用于表示第二维度特征信息;Y1,...,Yk分别用于表示第一个至第k个相似度;N用于表示事件攻击技术中所包含的攻击技术的总量。其中,k为小于或等于N的整数;N为大于1的整数。
示例性地,,在预设维度的特征信息为第三维度特征信息的情况下,步骤205可以通过步骤G1-步骤G3来实现:
步骤G1、对任一待确定安全事件进行分析,得到事件来源信息。
其中,事件来源信息包括远程控制指令发起地址。
在一种实施方式中,事件来源信息,可以包括触发任一待确定安全事件的数据的来源。
在一种实施方式中,事件来源信息,可以包括任一待确定安全事件的以下至少之一:攻击者的IP地址、远程控制指令发起IP、邮箱地址、URL、文件md5、域名、运营商名称等。
在一种实施方式中,远程控制指令发起地址,可以是以IP地址的形式体现的,示例性地,远程控制指令发起地址可以为远程控制指令IP。
示例性地,远程控制指令,可以是远端设备发起的、试图对目标设备进行控制、操作的指令。
步骤G2、获取第二特征集合。
其中,第二特征集合,包括多个标准安全事件的来源信息。
在一种实施方式中,第二特征集合中,可以包括多种不同类型的标准安全事件的来源信息。
在一种实施方式中,第二特征集合中,可以包括若干指定类型的标准安全事件的来源信息。
步骤G3、基于事件来源信息以及第二特征集合,确定第三维度特征信息。
在一种实施方式中,第三维度特征信息,可以是基于事件来源信息中的每一信息,在第二特征集合中进行遍历匹配确定的。
示例性的,步骤G3可以通过步骤H1-步骤H2来实现:
步骤H1、基于事件来源信息中的每一信息与第二特征集合的匹配程度,确定事件来源相似度。
在一种实施方式中,事件来源信息中的每一信息与第二特征集合的匹配程度,可以包括以下至少之一:事件来源信息中的每一信息与第二特征集合完全匹配、事件来源信息中的每一信息与第二特征集合部分匹配、事件来源信息中的每一信息与第二特征集合完全不匹配。
在一种实施方式中,事件来源信息中的每一信息与第二特征集合的匹配程度,可以根据事件来源信息中每一信息的类型确定。
示例性地,对于各种类型的IP地址而言,可以按照完全匹配的结果确定对应的事件来源相似度,也可以按照部分匹配的结果确定对应的事件来源相似度。示例性地,完全匹配的结果对应的事件来源相似度,要高于部分匹配的结果对应的事件来源相似度。
示例性地,对于同源同网段的分析方式,可以将事件来源信息中所携带的URL、与第二特征集合中所包含的URL的部分匹配、或者IP归属同网段的部分匹配来实现。比如,事件来源信息中当前远程控制指令发起IP为100.2.3.55,而第二特征集合中存在有远程控制执行发起IP为100.2.3.56,则二者属于同网段的匹配;邮箱地址hacker1@XX.com与邮箱地址hacker123@XX.com,则属于邮箱地址类的同源分析。
示例性地,事件来源信息中的每一信息与第二特征集合之间,还可以通过其他信息关联分析来确定关联关系。也就是说,事件来源信息中所包含的隐含信息,与第二特征集合中的部分信息能够建立关联关系。比如,事件来源信息中的远程控制指令发起IP地址A,与第二特征集合中的远程控制指令发起IP地址B的归属地,均位于P城市的XX机房,则二者之间可能具备关联关系;事件来源信息中的域名W与第二特征集合中的域名V的注册时间为同一事件,则二者之间也可能具备关联关系。
示例性地,通过事件来源信息与第二特征集合之间的匹配或关联关系、计算得到的事件来源相似度,可以具备以下关系:事件来源信息与第二特征集合完全匹配对应的事件来源相似度最高、事件来源信息与第二特征集合部分匹配对应的事件来源相似度次之、事件来源信息与第二特征集合之前建立关联关系对应的事件来源相似度最低。
图7为本发明实施例提供的确定事件来源相似度的流程示意图。
在图7中,从待确定安全事件1-待确定安全事件3甚至更多的待确定安全事件中,可以得到包括URL、攻击者IP、域名、邮箱地址以及远程控制指令发起IP的事件来源信息,然后结合第二特征集合,对事件来源信息进行完全匹配操作、同源同网段分析、其他信息关联分析的操作,最终得到事件来源相似度。
步骤H2、基于事件来源相似度,确定第三维度特征信息。
在一种实施方式中,第三维度特征信息,可以是对各个事件来源相似度进行统计平均得到的。
在一种实施方式中,第三维度特征信息,可以是将各个事件来源相似度中的最大值和最小值去掉,将其他的事件来源相似度进行统计平均确定的。
步骤206、基于预设维度的特征信息,确定任一待确定安全事件的类型。
示例性地,步骤206还可以通过以下方式来实现:
对预设维度的特征信息进行加权计算,确定任一待确定安全事件的类型。
在一种实施方式中,在将第一维度特征信息记录为X,第二维度特征信息记为Y,第三维度特征信息记为Z的情况下,对预设维度的特征信息进行加权计算,可以是对X、Y、Z中的任意至少两个进行加权计算得到加权计算结果。
在一种实施方式中,任一待确定安全事件的类型,可以是通过对加权计算结果进行判断匹配得到的。示例性地,若加权计算结果位于指定区间内,则可以确定任一待确定安全事件中存在与指定区间对应的黑客团伙的行为记录。
示例性地,每一指定区间,可以与某一指定的黑客团伙行为记录对应。
由以上可知,本发明实施例提供的安全事件类型确定方法,并未仅采用单一的IOC对任一待确定安全事件进行分析而确定类型,而是基于攻击手法模型确定该待确定安全事件的、包括攻击手法特征信息的第一维度特征信息,基于第一特征集合获取该待确定安全事件的攻击技术特征信息,基于第三特征集合获取该待确定安全事件的来源特征信息,并基于以上三个维度的特征信息中的至少一个确定待确定安全事件的类型。
因此,本发明实施例提供的安全事件类型确定方法,能够基于任一待确定安全事件的攻击手法、攻击技术以及来源特征中的至少一个,对任一待确定安全事件进行分析;并且,根据待确定安全事件来源特征信息,可以确定待确定安全事件的威胁情报,在此基础上,本发明实施例提供的安全事件类型确定方法,能够基于描述高级威胁组织及其攻击目标的战术技术过程(Tactics Techniques Procedures,TTP)模式,对任一待确定安全事件的类型进行确定,从而提高了待确定安全事件类型确定的准确率,降低了任一待确定安全时间漏检漏报的概率,进而降低了对各种设备的威胁概率。
基于前述实施例,本发明实施例提供了一种安全事件类型确定设备8。图8为本发明实施例提供的安全事件类型确定设备8的结构示意图。如图8所示,该安全事件类型确定设备8可以包括:处理器801、存储器802以及通信总线;其中:
通信总线,用于实现处理器801与存储器802之间的通信连接;
处理器,用于执行存储器802中存储的程序,以实现如前任一实施例所述的安全事件类型确定方法。
在实际应用中,上述处理器801可以为ASIC、DSP、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
上述存储器802可以是易失性存储器(volatile memory),例如RAM;或者非易失性存储器(non-volatile memory),例如ROM,快闪存储器(flash memory),硬盘(Hard DiskDrive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合,并向处理器801提供指令和数据。
基于前述实施例,本发明实施例提供了一种安全事件类型确定系统9,图9为本发明提供的安全事件类型确定系统9的结构示意图。该安全时间类型确定系统9可以包括:获取模块901、处理模块902以及确定模块903;其中:
获取模块901,用于获取包含有多个待确定安全事件的待确定安全事件集合;
处理模块902,用于对待确定安全事件集合中的任一安全事件进行处理,确定预设维度的特征信息;其中,预设维度的特征信息,包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中的至少一个;第一维度特征信息,表示任一待确定安全事件的攻击手法特征信息;第二维度特征信息,表示任一待确定安全事件的攻击技术特征信息;第三维度特征信息,表示任一待确定安全事件的来源特征信息;
确定模块903,用于基于预设维度的特征信息,确定任一待确定安全事件的类型。
在一些实施方式中,获取模块901,用于在预设维度的特征信息为第一维度特征信息的情况下,获取攻击手法模型;其中,攻击手法模型,包含有安全事件的攻击阶段与攻击手法之间的对应关系;
处理模块902,用于基于攻击手法模型对任一待确定安全事件进行处理,确定第一维度特征信息。
在一些实施方式中,处理模块902,用于对任一待确定安全事件进行分析,确定事件阶段以及事件手法;其中,事件阶段,包括任一待确定安全事件的至少一个攻击阶段;事件手法,表示至少一个攻击阶段中的每一攻击阶段所采用的攻击手法;
处理模块902,还用于基于攻击手法模型,对事件阶段以及事件手法进行匹配,得到匹配结果;基于匹配结果,确定第一维度特征信息。
在一些实施方式中,处理模块902,用于在预设维度的特征信息为第二维度特征信息的情况下,对于任一待确定安全事件进行攻击技术分析,得到事件攻击技术;其中,事件攻击技术,表示任一待确定安全事件所采用的至少一种攻击技术;
处理模块902,还用于基于事件攻击技术,确定第二维度特征信息。
在一些实施方式中,获取模块901,用于获取第一特征集合;其中,第一特征集合包括标准安全事件所采用的攻击技术的集合;
处理模块902,用于基于第一特征集合与事件攻击技术的匹配关系,确定第二维度特征信息。
在一些实施方式中,处理模块902,用于在预设维度的特征信息为第三维度特征信息的情况下,对任一待确定安全事件进行分析,确定事件来源信息;其中,事件来源信息包括远程控制指令发起地址;
获取模块901,用于获取第二特征集合;其中,第二特征集合包括多个标准安全事件的来源信息;
处理模块902,用于基于事件来源信息以及第二特征集合,确定第三维度特征信息。
在一些实施方式中,处理模块902,用于基于事件来源信息中的每一信息与第二特征集合的匹配程度,确定事件来源相似度;基于事件来源相似度,确定第三维度特征信息。
在一些实施方式中,处理模块902,用于对预设维度的特征信息进行加权计算,确定任一待确定安全事件的类型。
在一些实施方式中,预设维度的特征信息,包括第一维度特征信息、所述第二维度特征信息以及所述第三维度特征信息中的至少两个。
在一些实施方式中,获取模块901,用于从用户侧安全设备获取第一事件集合、从网络侧安全设备获取第二事件集合。
处理模块902,用于基于第一事件集合以及第二事件集合,获取待确定安全事件集合。
在一些实施方式中,处理模块902,用于将待确定安全事件集合中的每一待确定安全事件按照时间进行排序,得到排序结果。
处理模块902,用于确定时间窗口;基于时间窗口,从排序结果中选取至少一个待确定安全事件。
获取模块901,用于从至少一个安全事件中选取任一待确定安全事件进行处理。
在一些实施方式中,处理模块902,用于基于排序结果,确定安全事件密度;其中,安全事件密度,表示单位时间内发生的安全事件的数量。
处理模块902,用于基于安全事件密度,确定时间窗口。
在实际应用中,上述获取模块901、处理模块902以及确定模块903均可由位于电子设备中的处理器实现,上述处理器为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
如此,本发明实施例提供的安全事件类型确定系统9,对待确定安全事件集合中的任一待确定安全事件,不是仅按照单一的IOC进行分析确定其类型,而是首先对任一待确定安全事件进行处理,获取包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中至少一个的预设维度的特征信息,并基于至少一个维度的特征信息确定任一待确定安全事件的类型。也就是说,本发明实施例提供的安全事件类型确定系统9,通过任一待确定安全事件的至少一个维度的特征信息,基于至少一个维度的特征信息确定的任一待确定安全事件的类型,能够更加真实的反应出待确定安全事件的特性,从而可以提高任一待确定安全事件的类型确定的准确率,进而降低了安全事件漏检漏报的概率、以及对网络设备以及终端设备的威胁。
基于前述实施例,本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质能够被处理器执行,以实现如前任一所述的安全事件类型确定方法。
在一些实施例中,本发明实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述。
本发明所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本发明所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本发明所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明实施例各个实施例所描述的方法。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明实施例的优选实施例,并非因此限制本发明实施例的专利范围,凡是利用本发明实施例说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明实施例的专利保护范围内。
Claims (15)
1.一种安全事件类型确定方法,其特征在于,所述方法包括:
获取包含有多个待确定安全事件的待确定安全事件集合;
对所述待确定安全事件集合中的任一待确定安全事件进行处理,确定预设维度的特征信息;其中,所述预设维度的特征信息,包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中的至少一个;所述第一维度特征信息,表示所述任一待确定安全事件的攻击手法特征信息;所述第二维度特征信息,表示所述任一待确定安全事件的攻击技术特征信息;所述第三维度特征信息,表示所述任一待确定安全事件的来源特征信息;
基于所述预设维度的特征信息,确定所述任一待确定安全事件的类型。
2.根据权利要求1所述的方法,其特征在于,在所述预设维度的特征信息为所述第一维度特征信息的情况下,所述对所述安全事件集合中的任一待确定安全事件进行处理,确定预设维度的特征信息,包括:
获取攻击手法模型;其中,所述攻击手法模型,包含有安全事件的攻击阶段与攻击手法之间的对应关系;
基于所述攻击手法模型对所述任一待确定安全事件进行处理,确定所述第一维度特征信息。
3.根据权利要求2所述的方法,其特征在于,所述基于所述攻击手法模型对所述任一待确定安全事件进行处理,确定所述第一维度特征信息,包括:
对所述任一待确定安全事件进行分析,确定事件阶段以及事件手法;其中,所述事件阶段,包括所述任一待确定安全事件的至少一个攻击阶段;所述事件手法,表示至少一个所述攻击阶段中的每一攻击阶段所采用的攻击手法;
基于所述攻击手法模型,对所述事件阶段以及所述事件手法进行匹配,得到匹配结果;
基于所述匹配结果,确定所述第一维度特征信息。
4.根据权利要求1所述的方法,其特征在于,在所述预设维度的特征信息为所述第二维度特征信息的情况下,所述对所述安全事件集合中的任一待确定安全事件进行处理,确定预设维度的特征信息,包括:
对于所述任一待确定安全事件进行攻击技术分析,确定事件攻击技术;其中,所述事件攻击技术,表示所述任一待确定安全事件所采用的至少一种攻击技术;
基于所述事件攻击技术,确定所述第二维度特征信息。
5.根据权利要求4所述的方法,其特征在于,所述基于所述事件攻击技术,确定所述第二维度特征信息,包括:
获取第一特征集合;其中,所述第一特征集合包括标准安全事件所采用的攻击技术的集合;
基于所述第一特征集合与所述事件攻击技术的匹配关系,确定所述第二维度特征信息。
6.根据权利要求1所述的方法,其特征在于,在所述预设维度的特征信息为所述第三维度特征信息的情况下,所述对所述安全事件集合中的任一待确定安全事件进行处理,确定预设维度的特征信息,包括:
对所述任一待确定安全事件进行分析,确定事件来源信息;其中,所述事件来源信息包括远程控制指令发起地址;
获取第二特征集合;其中,所述第二特征集合包括多个标准安全事件来源信息;
基于所述事件来源信息以及所述第二特征集合,确定所述第三维度特征信息。
7.根据权利要求6所述的方法,所述基于所述事件来源信息以及所述第二特征集合,确定所述第三维度信息,包括:
基于所述事件来源信息中的每一信息与所述第二特征集合的匹配程度,确定事件来源相似度;
基于所述事件来源相似度,确定所述第三维度特征信息。
8.根据权利要求1所述的方法,其特征在于,所述基于所述预设维度的特征信息,确定所述任一待确定安全事件的类型,包括:
对所述预设维度的特征信息进行加权计算,确定所述任一待确定安全事件的类型。
9.根据权利要求1所述的方法,其特征在于,所述预设维度的特征信息,包括所述第一维度特征信息、所述第二维度特征信息以及所述第三维度特征信息中的至少两个。
10.根据权利要求1所述的方法,其特征在于,所述获取待确定安全事件集合,包括:
从用户侧安全设备获取第一事件集合、从网络侧安全设备获取第二事件集合;
基于所述第一事件集合以及所述第二事件集合,获取所述待确定安全事件集合。
11.根据权利要求1所述的方法,其特征在于,所述对所述安全事件集合中的任一待确定安全事件进行处理,包括:
将所述待确定安全事件集合中的每一待确定安全事件按照时间进行排序,得到排序结果;
确定时间窗口;
基于所述时间窗口,从所述排序结果中选取所述至少一个待确定安全事件;
从所述至少一个安全事件中选取所述任一待确定安全事件进行处理。
12.根据权利要求11所述的方法,其特征在于,所述确定时间窗口,包括:
基于所述排序结果,确定安全事件密度;其中,所述安全事件密度,表示单位时间内发生的待确定安全事件的数量;
基于所述安全事件密度,确定所述时间窗口。
13.一种安全事件类型确定设备,其特征在于,所述设备包括:处理器、存储器和通信总线;其中:
所述通信总线,用于实现所述处理器与所述存储器之间的通信连接;
所述处理器,用于执行所述存储器中存储安全事件类型确定程序,以实现如权利要求1-12任一所述的方法。
14.一种安全事件类型确定系统,其特征在于,所述系统包括:获取模块、处理模块以及确定模块;其中:
所述获取模块,用于获取包含有多个待确定安全事件的待确定安全事件集合;
所述处理模块,用于对所述待确定安全事件集合中的任一安全事件进行处理,确定预设维度的特征信息;其中,所述预设维度的特征信息,包括第一维度特征信息、第二维度特征信息以及第三维度特征信息中的至少一个;所述第一维度特征信息,表示所述任一待确定安全事件的攻击手法特征信息;所述第二维度特征信息,表示所述任一待确定安全事件的攻击技术特征信息;所述第三维度特征信息,表示所述任一待确定安全事件的来源特征信息;
所述确定模块,用于基于所述预设维度的特征信息,确定所述任一待确定安全事件的类型。
15.一种计算机可读存储介质,其特征在于,所述可读存储介质能够被处理器执行,以实现如权利要求1-12任一所述的安全事件类型确定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011105883.4A CN112269990B (zh) | 2020-10-15 | 一种安全事件类型确定方法、设备、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011105883.4A CN112269990B (zh) | 2020-10-15 | 一种安全事件类型确定方法、设备、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112269990A true CN112269990A (zh) | 2021-01-26 |
| CN112269990B CN112269990B (zh) | 2024-07-12 |
Family
ID=
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130055385A1 (en) * | 2011-08-29 | 2013-02-28 | John Melvin Antony | Security event management apparatus, systems, and methods |
| CN104753861A (zh) * | 2013-12-27 | 2015-07-01 | 中国电信股份有限公司 | 安全事件处理方法和装置 |
| US20160103992A1 (en) * | 2014-10-14 | 2016-04-14 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| WO2016148702A1 (en) * | 2015-03-17 | 2016-09-22 | Hewlett-Packard Development Company, L.P. | Pixel-based temporal plot of events according to multidimensional scaling values based on event similarities and weighted dimensions |
| WO2017062026A1 (en) * | 2015-10-09 | 2017-04-13 | Hewlett Packard Enterprise Development Lp | Generating cohorts using automated weighting and multi-level ranking |
| US20170111245A1 (en) * | 2015-10-14 | 2017-04-20 | International Business Machines Corporation | Process traces clustering: a heterogeneous information network approach |
| CN107517216A (zh) * | 2017-09-08 | 2017-12-26 | 瑞达信息安全产业股份有限公司 | 一种网络安全事件关联方法 |
| US20180309772A1 (en) * | 2015-10-19 | 2018-10-25 | Korea Institute Of Science And Technology Information | Method and device for automatically verifying security event |
| KR102038926B1 (ko) * | 2018-11-17 | 2019-11-15 | 한국과학기술정보연구원 | 공격자 선정 장치 및 공격자 선정 장치의 동작 방법 |
| CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
| CN111131294A (zh) * | 2019-12-30 | 2020-05-08 | 武汉英迈信息科技有限公司 | 威胁监测方法、装置、设备和存储介质 |
| CN111324889A (zh) * | 2020-03-04 | 2020-06-23 | 深信服科技股份有限公司 | 安全事件预测方法、装置、设备及计算机可读存储介质 |
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130055385A1 (en) * | 2011-08-29 | 2013-02-28 | John Melvin Antony | Security event management apparatus, systems, and methods |
| CN104753861A (zh) * | 2013-12-27 | 2015-07-01 | 中国电信股份有限公司 | 安全事件处理方法和装置 |
| US20160103992A1 (en) * | 2014-10-14 | 2016-04-14 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| WO2016148702A1 (en) * | 2015-03-17 | 2016-09-22 | Hewlett-Packard Development Company, L.P. | Pixel-based temporal plot of events according to multidimensional scaling values based on event similarities and weighted dimensions |
| US20190065503A1 (en) * | 2015-10-09 | 2019-02-28 | Entit Software Llc | Generating cohorts using automated weighting and multi-level ranking |
| WO2017062026A1 (en) * | 2015-10-09 | 2017-04-13 | Hewlett Packard Enterprise Development Lp | Generating cohorts using automated weighting and multi-level ranking |
| US20170111245A1 (en) * | 2015-10-14 | 2017-04-20 | International Business Machines Corporation | Process traces clustering: a heterogeneous information network approach |
| US20180309772A1 (en) * | 2015-10-19 | 2018-10-25 | Korea Institute Of Science And Technology Information | Method and device for automatically verifying security event |
| CN107517216A (zh) * | 2017-09-08 | 2017-12-26 | 瑞达信息安全产业股份有限公司 | 一种网络安全事件关联方法 |
| KR102038926B1 (ko) * | 2018-11-17 | 2019-11-15 | 한국과학기술정보연구원 | 공격자 선정 장치 및 공격자 선정 장치의 동작 방법 |
| CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
| CN111131294A (zh) * | 2019-12-30 | 2020-05-08 | 武汉英迈信息科技有限公司 | 威胁监测方法、装置、设备和存储介质 |
| CN111324889A (zh) * | 2020-03-04 | 2020-06-23 | 深信服科技股份有限公司 | 安全事件预测方法、装置、设备及计算机可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 孙书彤;: "一种信息系统安全性的事件态势度量方法", 信息与电脑(理论版), no. 10 * |
| 肖圣龙;陈昕;李卓;: "面向社会安全事件的分布式神经网络攻击行为分类方法", 计算机应用, no. 10 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| US9998484B1 (en) | Classifying potentially malicious and benign software modules through similarity analysis | |
| CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
| US10462169B2 (en) | Lateral movement detection through graph-based candidate selection | |
| US9177141B2 (en) | Active defense method on the basis of cloud security | |
| US10122742B1 (en) | Classifying software modules based on comparisons using a neighborhood distance metric | |
| CN111460445B (zh) | 样本程序恶意程度自动识别方法及装置 | |
| CN107247902B (zh) | 恶意软件分类系统及方法 | |
| US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
| US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
| CN113711559B (zh) | 检测异常的系统和方法 | |
| US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
| US10178109B1 (en) | Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry | |
| Amin et al. | Behavioral malware detection approaches for Android | |
| CN112287345A (zh) | 基于智能风险检测的可信边缘计算系统 | |
| CN116248397A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| CN112269990B (zh) | 一种安全事件类型确定方法、设备、系统及存储介质 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN112269990A (zh) | 一种安全事件类型确定方法、设备、系统及存储介质 | |
| Umamaheswari et al. | Botnet attack investigation on Geography of Things (GoT) using INSPECT approach | |
| JP6930667B2 (ja) | 検知装置および検知プログラム | |
| US11763004B1 (en) | System and method for bootkit detection | |
| IL279893A (en) | A system and method for detecting exposures of online vulnerabilities, which are abused using honey traps | |
| CN111541675A (zh) | 一种基于白名单的网络安全防护方法、装置及设备 | |
| Gielen | Prioritizing computer forensics using triage techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |