CN112738016A - 一种面向威胁场景的智能化安全事件关联分析系统 - Google Patents
一种面向威胁场景的智能化安全事件关联分析系统 Download PDFInfo
- Publication number
- CN112738016A CN112738016A CN202011282246.4A CN202011282246A CN112738016A CN 112738016 A CN112738016 A CN 112738016A CN 202011282246 A CN202011282246 A CN 202011282246A CN 112738016 A CN112738016 A CN 112738016A
- Authority
- CN
- China
- Prior art keywords
- event
- attack
- analysis
- analysis module
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000010219 correlation analysis Methods 0.000 title claims abstract description 46
- 238000004458 analytical method Methods 0.000 claims abstract description 137
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000004044 response Effects 0.000 claims abstract description 14
- 230000000007 visual effect Effects 0.000 claims abstract description 13
- 238000003860 storage Methods 0.000 claims abstract description 12
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims abstract description 9
- 230000006399 behavior Effects 0.000 claims description 101
- 238000001514 detection method Methods 0.000 claims description 48
- 238000007726 management method Methods 0.000 claims description 24
- 238000012544 monitoring process Methods 0.000 claims description 22
- 238000005516 engineering process Methods 0.000 claims description 19
- 238000012098 association analyses Methods 0.000 claims description 15
- 238000010586 diagram Methods 0.000 claims description 11
- 238000012550 audit Methods 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 9
- 238000007405 data analysis Methods 0.000 claims description 9
- 238000005065 mining Methods 0.000 claims description 9
- 238000004422 calculation algorithm Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 8
- 238000009826 distribution Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 6
- 238000005259 measurement Methods 0.000 claims description 6
- 230000000737 periodic effect Effects 0.000 claims description 6
- 230000000694 effects Effects 0.000 claims description 5
- 230000014509 gene expression Effects 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 claims description 3
- 238000007635 classification algorithm Methods 0.000 claims description 3
- 238000007418 data mining Methods 0.000 claims description 3
- 238000009792 diffusion process Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 claims description 3
- 238000005457 optimization Methods 0.000 claims description 3
- 238000005070 sampling Methods 0.000 claims description 3
- 238000013459 approach Methods 0.000 claims 1
- 238000003745 diagnosis Methods 0.000 claims 1
- 238000005553 drilling Methods 0.000 claims 1
- 238000010276 construction Methods 0.000 description 14
- 230000002547 anomalous effect Effects 0.000 description 10
- 230000035772 mutation Effects 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 230000004075 alteration Effects 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000007480 spreading Effects 0.000 description 4
- 238000003892 spreading Methods 0.000 description 4
- 238000013480 data collection Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003211 malignant effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 239000000428 dust Substances 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000007921 spray Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
- G06F18/24155—Bayesian classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明提供一种面向威胁场景的智能化安全事件关联分析系统,包括海量格式事件存储模块、分析模块、可视化展示模块;所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块。本发明所提供的分析系统可以汇总和合理化威胁数据自动筛选出攻陷指标(IOC)作为可机读威胁情报(MRTI),并且使用现存的日志对比匹配以便轻松发现不常见的趋势或线索,并对其有效执行操作。通过将团队、流程和工具结合在一起,系统平台为安全团队提供了对于威胁来自哪里前所未有的视野,并可以从头到尾跟踪整个事件,通过报告,可指导安全响应并进行阻断。
Description
技术领域
本发明涉及网络安全分析,具体涉及一种面向威胁场景的智能化安全事件关联分析系统。
背景技术
随着网络规模的不断扩大,现在的网络在社会生活中已经扮演着越来越重要的角色;同时,网络安全问题也日益突出,并逐渐成为网络服务和应用进一步发展所亟需解决的关键问题。此外,随着网络入侵和攻击行为向着分布化、规模化、复杂化、间接化等趋势的发展,网络病毒和Dos/DDos攻击等构成的威胁和造成的损失越来越大,很多科研人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法对整个网络安全状况进行实时监控的。
众所周知,随着业务和IT基础设施的规模不断扩大,以及新的技术的发展,国内电网电力通信网络的规模越来越大,传统的基于关系型数据库技术的安全事件和信息管理系统及类似的日志审计系统或安全管理系统都无法满足高速海量事件的处理要求。主要体现在超过一定事件数量规模后,传统的事件管理技术无法完成对所有信息事件的实时采集和存储,受限于单台系统的计算能力,海量的实时数据无法得到有效的关联分析,会产生漏报和误报,导致无法有效发现安全攻击。历史数据无法得到有效的分析,采用关系型数据库技术在对海量数据进行历史查询和检索时耗时很长,生成报表往往需要耗费数小时,这些已无法满足安全分析人员日常的安全工作的要求。
当前国内的分析系统基本上是建立在各个不同生产环节上,辅以一些常用、简便的工具,如数据库、报表工具,甚至Excel(数据表格工具)等,直接对生产数据进行分析,来了解企业的经营运行情况。其不可避免的问题在于,企业中的数据源是分散的,在此基础上建立的分析系统必然是孤立的。而在这一个个“信息孤岛”之间缺乏有效的关联和综合分析,无法形成企业数据的统一视图。在分析角度和深度,以及关联分析和预测分析方面比较薄弱。
因此,电力通信网络中亟需能够实现敏捷和快速反应的方式应对不断发展的、大批量、高优先级的威胁的分析系统,并能够实现从“全球化”的角度进行综合分析和研究。
发明内容
为了解决上述现有技术中存在的问题,本发明的目的是提供一种面向威胁场景的智能化安全事件关联分析系统,能够实现对电力通信网络中的各类实时和历史网络威胁事件进行分析和检测,提供可视化分析报告。
为了达到上述发明目的,本发明的技术方案以如下方式实现:
一种面向威胁场景的智能化安全事件关联分析系统,包括海量格式事件存储模块、分析模块、可视化展示模块;
所述海量格式事件存储模块支持单个事件采集器和多个事件采集器,借助硬件多核特性,采用并行事件流水线采集方式采集海量日志数据,并采用了异步非阻塞的事件采集方式,借助高速缓存快速地进行事件并行流水线处理。大大提升了事件的采集和预处理的性能;
所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、 Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块;
本发明的分析系统还提供可视化展示模块,用户通过内设的可视化编辑器自定义基于逻辑表达式和统计条件的关联规则,所有日志字段都可参与关联。
所述事件关联分析模块包括基于规则的关联分析模块、基于情境的关联分析模块、基于行为的关联分析模块;
所述基于规则的关联分析模块是通过事件关联引擎进行规则匹配,识别已知模式的攻击和违规的过程,支持建立单事件规则和多事件规则,实现单事件关联和多事件关联;所述单事件关联是通过单事件关联,对符合单一规则的事件流进行规则匹配;所述多事件关联是通过多事件关联,对符合多个规则的事件流进行复杂事件规则匹配,所述多个规则称作组合规则,具体采用如下方式进行分析匹配:
(1.1)基于nondeterministic finite automata(NFA)不确定有限自动机的模式匹配;
(1.2)基于Extended Backus-Naur Form(EBNF)扩展BNF范式的CQL(ContinuousQuery Language 持续查询语言)的语法编译;CQL语法格式与SQL类似,具有独立的语法关键字,例如表示时序、时间窗口;
所述规则的逻辑表达式包括以下运算符或关键字但不限于:等于、不等于、大于、小于、不大于、不小于、位于、之间、属于、包含、FollowBy。
所述规则支持统计计数功能,并指定在统计时的固定和变动的事件属性,以及关联出达到一定统计规则的事件。
所述基于情境的关联分析模块是将安全事件与当前网络和业务的实际运行环境进行关联,透过信息相关性分析,识别安全威胁,具体包括如下分析内容:
(2.1)基于资产的情境关联:将事件中的IP地址与资产名称、资产价值、资产类型、自定义资产标签进行关联,所述资产类型包括用户自定义资产类型;
(2.2)基于弱点的情境关联:将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;
(2.3)基于网络告警的情境关联:将安全事件与该事件所针对的目标资产或发起的源资产当前发生的告警信息以及当前的网络告警信息进行关联;
(2.4)基于拓扑的情境关联:根据网络故障沿网络拓扑水平传播的特性,通过对大量网络告警事件在拓扑空间中的分布,以及传播时间上的顺序,自动进行网络根本故障源(Root Cause)诊断;
所述基于行为的关联分析模块具体包括如下分析内容:
(3.1)动态基线分析:根据历史数据,首先建立一个单周期数据库轮廓基线,该单周期数据库轮廓基线是一条曲线,由若干数据轮廓点组成,每个轮廓点代表一个采样时点,一个新的实际测量值如果没有超过基线范围,则通过加权平均算法更新旧的轮廓值;如果新的实际测量值超过基线范围则丢弃,不参与新轮廓值计算;如此往复循环,基线始终处于动态变化中;
(3.2)预测分析:采用基于时间窗置信区间的检测模型,在实际运行中不断自我调整和逼近,自动剔除历史时间窗内的异常历史数据,实现历史时间窗数据与网络实际正常流量行为特征的高度吻合,从而提高了对异常行为报警的准确性。
所述综合威胁分析模块包括如下内容:系统采用基于场景的分析方式,其中,场景定义了行为分析的主体、在该主体上采用分析指标以及触发行为预警的阈值;行为分析的主体就是资产IP;行为分析指标表征某种行为的关键指标,通过对这些指标的监控与分析发现可疑的行为,包括将某种类型或特征的事件的数量或比例作为特征指标。例如:用户会关注Apache服务器日志的数量突变,关注路由器日志数量的突变,关注配置变更类日志的数量突变,关注登录类日志的数量突变。
所述攻击链分析模块对从历史数据仓库中挖掘多步攻击行为发生模式,再通过实时的模式匹配和攻击关联来实现在线攻击意图识别,具体包括:在历史数据仓库中进行数据挖掘,通过过滤掉趋势项和周期项告警,再根据主要属性信息对告警进行分类,对分类后的告警类别进行攻击类型识别从而产生高级安全事件,并利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集,再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式;不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式,再通过实时的模式匹配和攻击关联来实现攻击场景重建、在线攻击意图和攻击策略的识别等。
所述攻击路径分析模块采用启发式场景重建技术,具体包括如下内容:
(4.1)对于汇总到的报警事件,首先基于已有的攻击场景知识库进行报警事件间的关联;
(4.2)对于匹配中的攻击序列,如果新接收到的报警可以与现有攻击序列匹配,则直接进行关联;如果不能与现有攻击序列匹配,但能够与某个攻击序列的后续事件匹配,则将新接收到的报警与该序列匹配,并产生一个“虚报警”标志缺失的事件类型;
(4.3)根据攻击路径图的描述确定虚报警的事件类型,并根据该虚报警前后相关报警的时间确定该虚报警时间范围的描述,再利用原始数据进行回溯分析,查找是否存在漏报的报警事件,如果找到则将其重新加入到攻击序列中,直至匹配完整个攻击路径图;
通过对对外门户网站的WEB访问日志分析发现针对Web攻击行为,能发现Web攻击行为并可进行攻击追溯,定位受到Web攻击的Web应用;对口令探测行为的检测分析能力;还至少包括:僵尸网络行为检测,扫描行为检测,口令探测行为检测,ARP欺骗行为检测,DDOS攻击行为检测,恶意信息发布行为检测,访问恶意网站行为检测,窃取敏感信息行为检测等。
所述Web攻击深度分析模块包括如下内容:从会话状态(非法cookie/cookie参数篡改/强制会话过期/会话有效期内位置变更/会话有效期内浏览器变更等)、请求数据(畸形请求体/多次编码/编码异常/异常请求方法/非法URI数据/异常请求头/参数异常/字符集异常),响应数据分析(异常响应头/错误码/标题变更/动态内容变更/响应时延等),身份认证(默认用户名/密码/多个用户名/高频登陆尝试/登陆失败),文件上传(文件大小异常/数量异常/后缀异常),访问频率(请求响应延迟、异常请求间隔、异常请求流程/资源利用增加),WAF攻击日志,暗网连接(恶意域名/主机/URL等)利用模糊综合评价法,基于特征相关的改进加权朴素贝叶斯分类算法进行深度分析,挖掘传统手段漏报的攻击。
所述网络流量元数据行为分析模块具体包括如下内容:通过对内网流量行为建模与分析自动建立流量周期性基线和非周期性基线,自动发现设备互联关系,预测网络拥挤,并采用支持网络优化决策,以及基于基线发现网络异常。
所述网络异常行为分析模块具体包括僵尸网络监测发现、失陷主机发现、慢扫描监测、恶意邮件发现和扩散分析。
僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。即骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,组织成一个个控制节点,用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
所述僵尸网络监测发现是依据以下判定标准进行判定为僵尸网络:
(5.1)Bot和BotMaster之间通信一次连接传输的数据量偏少,数据包偏小;
(5.2)数据包大小较为固定,种类偏少;
(5.3)Bot和BotMaster之间存在Beacon行为,表现在两次访问的间隔比较一致上,但不同主机的心跳周期可能不一致;
(5.4)Bot会因为与BotMaster失联而反复请求连接,导致两个方向上的Flow数量存在较大差异;
(5.5)Bot和BotMaster之间的通信在时间分布上较为均匀,受Day/Night的影响较小;
(5.6)Bot会受到BotMaster控制从而从事恶意活动,如DDoS、Spam、PE Download、攻击行为等;
(5.7)不同Bot访问BotMaster之间的行为序列存在相似性。
所述失陷主机发现具体是通过APT对恶意文件CallBack特征的提取能力和特征与IDS实时同步的能力,发现失陷主机。
所述慢扫描监测利用大数据技术识别慢扫描攻击。不同于快扫描攻击,它会使用一种低调慢速半连接的攻击程序绕过安全设备的监测获得所能获取的资源。由于对于常规的安全设备来说,由于只能监测一小段时间内的数据信息,导致无法识别慢扫描的相关攻击行为。而大数据技术允许存储大量、长时的底层数据内容,并提供高效的查询与分析能力,可准确识别该类慢扫描攻击。
所述恶意邮件发现和扩散分析利用全网监测能力和APT对恶意文件的分析能力基于收件人与发件人的关系关联分析恶意文件的扩散和影响。
所述可视化展示模块包括如下内容:
生成展示一幅审计数据源的拓扑图,反映审计数据源的网络拓扑关系,并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量,管理员点击拓扑节点可以查询日志和告警信息详情。
针对安全数据,管理员可以对其源目的IP地址进行追踪,并在展示的世界地图上标注出来。
管理员也可以对一段时间内的日志进行行为分析,通过生成一幅行为分析图形象化地展示海量日志之间的关联关系,从宏观的角度来协助定位安全问题。
能够从宏观的角度对客户的整体网络安全进行评估,对整体安全管理建设的水平进行评估,为客户提升安全防护能力提供决策支持,同时也为客户提升信息安全管理体系建设成熟度提供决策支持。
通过对一组表征某个安全域或者业务系统安全管理建设水平的层次化指标的计算,得到该安全域或者业务系统的安全管理建设水平评级,以此来表明该安全域或业务系统的信息安全管理体系的建设成熟度。
将表征安全管理建设水平的这套层次化指标称作关键管理指标,每个指标项都建立了一个针对某类安全事件的度量标准。
能够可视化的展示出每个安全域或业务系统随时间变化的安全管理评估曲线,并能够进行环比分析,以及跨安全域或业务系统的同比分析。对于每个关键管理指标都支持指标项的下钻,实现从宏观到微观的聚焦。
本发明所提供的分析系统可以汇总和合理化威胁数据自动筛选出攻陷指标(IOC)作为可机读威胁情报(MRTI),并且使用现存的日志对比匹配以便轻松发现不常见的趋势或线索,并对其有效执行操作。通过将团队、流程和工具结合在一起,系统平台为安全团队提供了对于威胁来自哪里前所未有的视野,并可以从头到尾跟踪整个事件,通过报告,可指导安全响应并进行阻断。节省了追踪传统态势感知平台产生的误报所花的大量时间。
附图说明
图1是本发明面向威胁场景的智能化安全事件关联分析系统的事件关联分析模块示意图;
图2是本发明Web攻击深度分析模块示意图。
具体实施方式
本申请提供一种面向威胁场景的智能化安全事件关联分析系统,包括海量格式事件存储模块、分析模块、可视化展示模块;
采用分布式海量日志采集技术,能够同时支持单个事件采集器和多个事件采集器。借助分布式采集器进一步提升事件采集的性能表现。所述海量格式事件存储模块支持单个事件采集器和多个事件采集器,借助硬件多核特性,采用并行事件流水线采集方式采集海量日志数据,并采用了异步非阻塞的事件采集方式,借助高速缓存快速地进行事件并行流水线处理。大大提升了事件的采集和预处理的性能;
借助内置的分布式事件存取代理,系统能够将海量事件进行分布式并行存储,一方面提升了存储的性能,另一方面也提升的存储的容量。
针对海量事件的大数据分析可以包括数据获取、数据整理、数据分析、数据存储、数据可视化等诸多方面。而数据分析又可以进一步划分为数据实时分析、数据检索、数据历史分析。数据分析是BDA (大数据分析)的核心。
在数据实时分析方面,本系统采用了基于流处理技术的CEP引擎。流处理在进行实时分析的时候具有天然的优势,尤其是在相对于基于数据的分析的时候。流具有很高的实时性。
在数据历史分析方面,启明星辰态势感知平台既支持批处理式分析,也支持交互式分析。本系统采用了数据自动聚合技术(也称作数据抽取技术)来提升海量数据的历史分析效率。
在数据检索(数据查询)方面,本系统采用了独有的任务驱动的分段式事件查询技术。
本系统还采用分布式查询技术,通过并行查询提升查询速度。而上层则采用了任务驱动的分段式事件查询技术。该技术具有三个特征:任务驱动的、分段式查询、渐进式加载,大大提升了查询速度和用户体验。
本系统还构建智能化安全事件关联分析算法
智能化的安全事件分析主要透过智能化的安全事件关联分析来体现。事件关联是指找出大量事件中存在的关系,并从这些大量事件中抽取出真正重要的少量事件。借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统提供了三种事件关联分析模块,分别是:基于规则的关联分析、基于情境的关联分析和基于行为的关联分析。三种事件关联分析模块的具体相关内容如图1所示。
所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、 Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块。
本发明的分析系统还提供可视化展示模块,用户通过内设的可视化编辑器自定义基于逻辑表达式和统计条件的关联规则,所有日志字段都可参与关联。
智能化的安全事件分析主要透过智能化的安全事件关联分析来体现。事件关联是指找出大量事件中存在的关系,并从这些大量事件中抽取出真正重要的少量事件。借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统提供了三种事件关联分析模块,分别是:基于规则的关联分析、基于情境的关联分析和基于行为的关联分析。三种事件关联分析模块的具体相关内容如图1所示,所述事件关联分析模块包括基于规则的关联分析模块、基于情境的关联分析模块、基于行为的关联分析模块。
所述基于规则的关联分析模块是通过事件关联引擎进行规则匹配,识别已知模式的攻击和违规的过程,支持建立单事件规则和多事件规则,实现单事件关联和多事件关联;所述单事件关联是通过单事件关联,对符合单一规则的事件流进行规则匹配;所述多事件关联是通过多事件关联,对符合多个规则的事件流进行复杂事件规则匹配,所述多个规则称作组合规则,具体采用如下方式进行分析匹配:
(1.1)基于nondeterministic finite automata(NFA)不确定有限自动机的模式匹配;
(1.2)基于Extended Backus-Naur Form(EBNF)扩展BNF范式的CQL(ContinuousQuery Language 持续查询语言)的语法编译;CQL语法格式与SQL类似,具有独立的语法关键字,例如表示时序、时间窗口;
所述规则的逻辑表达式所包括以下运算符或关键字但不限于:等于、不等于、大于、小于、不大于、不小于、位于、之间、属于、包含、FollowBy。
所述规则支持统计计数功能,并可以指定在统计时的固定和变动的事件属性,可以关联出达到一定统计规则的事件。
所述基于情境的关联分析模块是将安全事件与当前网络和业务的实际运行环境进行关联,透过信息相关性分析,识别安全威胁,具体包括如下分析内容:
(2.1)基于资产的情境关联:将事件中的IP地址与资产名称、资产价值、资产类型、自定义资产标签进行关联,所述资产类型包括用户自定义资产类型;
(2.2)基于弱点的情境关联:将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;
(2.3)基于网络告警的情境关联:将安全事件与该事件所针对的目标资产或发起的源资产当前发生的告警信息以及当前的网络告警信息进行关联;
(2.4)基于拓扑的情境关联:根据网络故障沿网络拓扑水平传播的特性,通过对大量网络告警事件在拓扑空间中的分布,以及传播时间上的顺序,自动进行网络根本故障源(Root Cause)诊断;
为各类数据建立各自具体的基线,为他们的IT计算环境提供更好的信息和更快的异常活动的检测,从而管理员可以自定义事件基线,更有针对性地观察事件行为趋势,对可疑行为进行预警,基于此,所述基于行为的关联分析模块具体包括如下分析内容:
(3.1)动态基线分析:根据历史数据计算得出周期性基线,首先建立一个单周期数据库轮廓线,这条曲线由若干数据轮廓点组成,每个轮廓点代表一个采样时点,一个新的实际测量值如果没有超过基线范围,则通过加权平均算法更新旧的轮廓值;如果新的实际测量值超过基线范围则丢弃,不参与新轮廓值计算;如此往复循环,基线始终处于动态变化中;
(3.2)预测分析:采用基于时间窗置信区间的检测模型,在实际运行中不断自我调整和逼近,自动剔除历史时间窗内的异常历史数据,实现历史时间窗数据与网络实际正常流量行为特征的高度吻合,从而提高了对异常行为报警的准确性。
所述综合威胁分析模块包括如下内容:系统采用基于场景的分析方式,其中,场景定义了行为分析的主体、在该主体上采用分析指标以及触发行为预警的阈值;行为分析的主体就是资产IP;行为分析指标表征某种行为的关键指标,通过对这些指标的监控与分析发现可疑的行为,包括将某种类型或特征的事件的数量或比例作为特征指标。例如:用户会关注Apache服务器日志的数量突变,关注路由器日志数量的突变,关注配置变更类日志的数量突变,关注登录类日志的数量突变。
系统内置14种行为分析场景的模板,用户可以根据自身需求对模板进行实例化,建立任意数量的分析场景实例。
系统还包括监测与评估模块,对已知威胁事件的恶性攻击行为进行准确高效的检测,将检测结果报送系统的监测与评估模块进行监测评估,实现对于威胁事件线索挖掘,为系统运营提供数据支撑,从而对威胁进行有效处理;所述已知威胁包括:病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量。
对恶意代码的未知威胁事件的恶性攻击行为进行细粒度检测,具体是:对未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测、多类型未知漏洞(0-day)采用利用行为的检测。
采用静态检测和动态检测的双重检测或多种检测引擎,检测出APT攻击的核心步骤,将检测结果报送系统进行综合威胁分析,实现对于威胁事件线索挖掘,为系统运营提供数据支撑,有效发现APT 攻击。多种检测引擎包括:二进制检测、堆喷检测、ROP利用检测、敏感API检测、堆栈检测、Shell code检测、沙箱检测。
所述动态沙箱检测引擎具有多种虚拟机环境,模拟应用程序的执行以及恶意文件中攻击代码的执行,恶意文件的所有内容均被监视记录下来。从而可以知道该攻击事件的内容和意图。记录的行为包括注册表操作、文件操作、漏洞利用方式、API调用序列、网络行为、进程线程操作、其它危害系统的行为、恶意文件所含PE文件的详细行为报告。
威胁态势分析,也称作威胁KPI分析。系统通过对一组关键威胁指标的计算得到一个威胁指数,并以此随时间描述出一条威胁指数曲线,从而表征一段时间内、某个网络区域的网络安全威胁状态及其发展趋势。
系统建立了一套动态的多维威胁指标体系,通过帕累托分析法,对当前的威胁成因进行辨别,实现对关键威胁因素从宏观到中观,再到微观的层层下钻,直至定位到导致威胁态势异常的关键安全事件。
信息安全产品包括防火墙、安全路由器、入侵检测系统、主机安全系统和防病毒系统等,产生了庞大冗余、分散独立的告警和日志等安全事件数据,这些事件数据错漏混杂,命中率低,给安全运维团队准确、快速响应事件带来巨大挑战。
因此,所述攻击链分析模块对从历史数据仓库中挖掘多步攻击行为发生模式,再通过实时的模式匹配和攻击关联来实现在线攻击意图识别,具体包括:在历史数据仓库中进行数据挖掘,通过过滤掉趋势项和周期项告警,再根据主要属性信息对告警进行分类,对分类后的告警类别进行攻击类型识别从而产生高级安全事件,并利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集,再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式。不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式,再通过实时的模式匹配和攻击关联来实现攻击场景重建、在线攻击意图和攻击策略的识别等。
一次完整的APT攻击过程,包括攻击前的试探、攻击实施和权限获取、敏感数据收集和回传、日志清除等阶段,在每个阶段都有可能触发实时监测子系统产生一条或者多条独立的报警信息。这些报警信息孤立来看威胁程度都不高,很容易淹没在海量报警信息中;但如果关联起来,则有可能标志着一次目标明确的APT行为。
对现有APT攻击场景进行总结,建立全面的场景知识库,然后基于汇总的实时报警信息检测潜在的APT攻击行为。采用攻击场景知识库的方式建立APT攻击场景,在实际环境中由于攻击手段和网络环境的复杂性,进行场景匹配时往往会因为报警事件的缺失导致无法进行完整攻击路径图的匹配,进而导致建立APT场景失败。因此,所述攻击路径分析模块采用启发式场景重建技术解决该问题,具体包括如下内容:
(4.1)对于汇总到的报警事件,首先基于已有的攻击场景知识库进行报警事件间的关联;
(4.2)对于匹配中的攻击序列,如果新接收到的报警可以与现有攻击序列匹配,则直接进行关联;如果不能与现有攻击序列匹配,但能够与某个攻击序列的后续事件匹配,则将新接收到的报警与该序列匹配,并产生一个“虚报警”标志缺失的事件类型;
(4.3)根据攻击路径图的描述确定虚报警的事件类型,并根据该虚报警前后相关报警的时间确定该虚报警时间范围的描述,再利用原始数据进行回溯分析,查找是否存在漏报的报警事件,如果找到则将其重新加入到攻击序列中,直至匹配完整个攻击路径图;
通过对对外门户网站的WEB访问日志分析发现针对Web攻击行为,能发现Web攻击行为并可进行攻击追溯,定位受到Web攻击的Web应用;对口令探测行为的检测分析能力;还至少包括:僵尸网络行为检测,扫描行为检测,口令探测行为检测,ARP欺骗行为检测,DDOS攻击行为检测,恶意信息发布行为检测,访问恶意网站行为检测,窃取敏感信息行为检测等。
所述Web攻击深度分析模块包括如下内容:从会话状态(非法cookie/cookie参数篡改/强制会话过期/会话有效期内位置变更/会话有效期内浏览器变更等)、请求数据(畸形请求体/多次编码/编码异常/异常请求方法/非法URI数据/异常请求头/参数异常/字符集异常),响应数据分析(异常响应头/错误码/标题变更/动态内容变更/响应时延等),身份认证(默认用户名/密码/多个用户名/高频登陆尝试/登陆失败),文件上传(文件大小异常/数量异常/后缀异常),访问频率(请求响应延迟、异常请求间隔、异常请求流程/资源利用增加),WAF攻击日志,暗网连接(恶意域名/主机/URL等)利用模糊综合评价法,基于特征相关的改进加权朴素贝叶斯分类算法进行深度分析,挖掘传统手段漏报的攻击。
系统采用流(Flow)分析的思想和相关技术手段进行流信息监控、流拓扑展示、制定流合规检测策略、发现异常流量及应用行为、进行流信息全存储,从而保证网络的正常、有序,从流安全角度辅助防范APT攻击。与传统分析技术相比具有分析的数据历史周期长、分析响应速度快。可自动持续地分析资产的访问/被访问行为,并判定资产运行了什么服务、开启了什么应用和端口、和谁通讯最频繁等资产信息。
所述网络流量元数据行为分析模块具体包括如下内容:通过对内网流量行为建模与分析自动建立流量周期性基线和非周期性基线,自动发现设备互联关系,预测网络拥挤,并采用支持网络优化决策,以及基于基线发现网络异常。
所述网络异常行为分析模块具体包括僵尸网络监测发现、失陷主机发现、慢扫描监测、恶意邮件发现和扩散分析。
僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。即骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,组织成一个个控制节点,用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。
所述僵尸网络监测发现是依据以下判定标准进行判定为僵尸网络:
(5.1)Bot和BotMaster之间通信一次连接传输的数据量偏少,数据包偏小;
(5.2)数据包大小较为固定,种类偏少;
(5.3)Bot和BotMaster之间存在Beacon行为,表现在两次访问的间隔比较一致上,但不同主机的心跳周期可能不一致;
(5.4)Bot会因为与BotMaster失联而反复请求连接,导致两个方向上的Flow数量存在较大差异;
(5.5)Bot和BotMaster之间的通信在时间分布上较为均匀,受Day/Night的影响较小;
(5.6)Bot会受到BotMaster控制从而从事恶意活动,如DDoS、Spam、PE Download、攻击行为等;
(5.7)不同Bot访问BotMaster之间的行为序列存在相似性。
所述失陷主机发现具体是通过APT对恶意文件CallBack特征的提取能力和特征与IDS实时同步的能力,发现失陷主机。
所述失陷主机发现具体是通过APT对恶意文件CallBack特征的提取能力和特征与IDS实时同步的能力,发现失陷主机。
所述慢扫描监测利用大数据技术识别慢扫描攻击。不同于快扫描攻击,它会使用一种低调慢速半连接的攻击程序绕过安全设备的监测获得所能获取的资源。由于对于常规的安全设备来说,由于只能监测一小段时间内的数据信息,导致无法识别慢扫描的相关攻击行为。而大数据技术允许存储大量、长时的底层数据内容,并提供高效的查询与分析能力,可准确识别该类慢扫描攻击。
所述恶意邮件发现和扩散分析利用全网监测能力和APT对恶意文件的分析能力基于收件人与发件人的关系关联分析恶意文件的扩散和影响。
所述可视化展示模块包括如下内容:
生成展示一幅审计数据源的拓扑图,反映审计数据源的网络拓扑关系,并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量,管理员点击拓扑节点可以查询日志和告警信息详情。
针对安全数据,管理员可以对其源目的IP地址进行追踪,并在展示的世界地图上标注出来。
管理员也可以对一段时间内的日志进行行为分析,通过生成一幅行为分析图形象化地展示海量日志之间的关联关系,从宏观的角度来协助定位安全问题。
能够从宏观的角度对客户的整体网络安全进行评估,对整体安全管理建设的水平进行评估,为客户提升安全防护能力提供决策支持,同时也为客户提升信息安全管理体系建设成熟度提供决策支持。
通过对一组表征某个安全域或者业务系统安全管理建设水平的层次化指标的计算,得到该安全域或者业务系统的安全管理建设水平评级,以此来表明该安全域或业务系统的信息安全管理体系的建设成熟度。
将表征安全管理建设水平的这套层次化指标称作关键管理指标,每个指标项都建立了一个针对某类安全事件的度量标准。
能够可视化的展示出每个安全域或业务系统随时间变化的安全管理评估曲线,并能够进行环比分析,以及跨安全域或业务系统的同比分析。对于每个关键管理指标都支持指标项的下钻,实现从宏观到微观的聚焦。
本发明所提供的分析系统能够提供高效的威胁情报,精准发现内部失陷主机,帮助安全团队快速并准确定位威胁所在,提供威胁相关的丰富的上下文信息以供分析和响应,帮助客户实现以下检测目标:
1.以结果驱动的数据收集体系。
威胁情报中心是以实际的检测和分析能力输出作为驱动,与态势感知平台最大的差别在于不是数据的吸尘器,收集过多的数据只会产生更大的噪声,并对影响性能。仅收集必要的多源数据,极大降低了投入和运维成本,缩短建设周期,可快速见效,有助于帮助管理层逐步树立对大数据安全建设的信息。这也是国内知名威胁情报公司定位于聚焦威胁,情报驱动的初衷。
2.能够快速准确的检测威胁,发现被控主机。
要基于海量数据和强大分析师团队提取遍布全球的恶意域名、IP等攻击基础设施在网络流量中准确发现失陷主机与被控端的连接。此外应用深度学习方法的DGA算法,发现对恶意动态生成域名的访问。TIP还在通过在主机端指定目录和进程中进行恶意软件和木马的发现,进一步帮助定位失陷主机。
3.结合威胁情报数据和海量基础数据提升客户对威胁事件的分析能力。
有效的将企业安全分析所需的海量网络基础数据、黑客组织画像等基础能力植入本地TIP平台,帮助客户形成一整套用于威胁分析的能力体系。
通过将态势感知平台与威胁情报平台相结合,企业可以将所有人、过程和技术统一在智能驱动的防御背后,获得强大的效果:
识别重要威胁:汇集企业内部日志,并将其与威胁情报相结合,以快速识别哪些反馈最适合企业环境。
更好地了解威胁的本质:超越态势感知平台的能力,为警报和事件添加情景和关联丰富的上下文,帮助企业更好地了解风险,做出更有针对性的反映。
丰富企业内部能力:通过共享威胁数据,并使用可靠的情报来源丰富企业能力。
数据共享和存储:将平台用作历史威胁数据的知识库,帮助应对重新出现或持续存在的威胁。
优化工作流程和编排:使用平台工作流程,通过与其他安全基础架构的集成来驱动行动,将自身的事件数据转化为内部威胁情报(这是最有价值的情报)。并且从一个中心平台来消除碎片化,管理企业安全基础架构。
上述技术方案仅体现了本发明技术方案的优选技术方案,本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理,属于本发明的保护范围之内。
Claims (6)
1.一种面向威胁场景的智能化安全事件关联分析系统,其特征在于包括海量格式事件存储模块、分析模块、可视化展示模块;
所述海量格式事件存储模块支持单个事件采集器和多个事件采集器,借助硬件多核特性,采用并行事件流水线采集方式采集海量日志数据,并采用了异步非阻塞的事件采集方式,借助高速缓存快速地进行事件并行流水线处理;
所述分析模块包括事件关联分析模块、综合威胁分析模块、攻击链分析模块、攻击路径分析模块、Web攻击深度分析模块、网络流量元数据行为分析模块、网络异常行为分析模块;
所述事件关联分析模块包括基于规则的关联分析模块、基于情境的关联分析模块、基于行为的关联分析模块;
所述基于规则的关联分析模块是通过事件关联引擎进行规则匹配,识别已知模式的攻击和违规的过程,支持建立单事件规则和多事件规则,实现单事件关联和多事件关联;所述单事件关联是通过单事件关联,对符合单一规则的事件流进行规则匹配;所述多事件关联是通过多事件关联,对符合多个规则的事件流进行复杂事件规则匹配,所述多个规则称作组合规则,具体采用如下方式进行分析匹配:
(1.1)基于nondeterministic finite automata(NFA)不确定有限自动机的模式匹配;
(1.2)基于Extended Backus-Naur Form(EBNF)扩展BNF范式的CQL(Continuous QueryLanguage持续查询语言)的语法编译;
所述基于情境的关联分析模块是将安全事件与当前网络和业务的实际运行环境进行关联,透过信息相关性分析,识别安全威胁,具体包括如下分析内容:
(2.1)基于资产的情境关联:将事件中的IP地址与资产名称、资产价值、资产类型、自定义资产标签进行关联,所述资产类型包括用户自定义资产类型;
(2.2)基于弱点的情境关联:将安全事件与该事件所针对的目标资产当前具有的漏洞信息进行关联,包括端口关联和漏洞编号关联;
(2.3)基于网络告警的情境关联:将安全事件与该事件所针对的目标资产或发起的源资产当前发生的告警信息以及当前的网络告警信息进行关联;
(2.4)基于拓扑的情境关联:根据网络故障沿网络拓扑水平传播的特性,通过对大量网络告警事件在拓扑空间中的分布,以及传播时间上的顺序,自动进行网络根本故障源诊断;
所述基于行为的关联分析模块具体包括如下分析内容:
(3.1)动态基线分析:根据历史数据,首先建立一个单周期数据库轮廓基线,该单周期数据库轮廓基线是一条曲线,由若干数据轮廓点组成,每个轮廓点代表一个采样时点,一个新的实际测量值如果没有超过基线范围,则通过加权平均算法更新旧的轮廓值;如果新的实际测量值超过基线范围则丢弃,不参与新轮廓值计算;如此往复循环,基线始终处于动态变化中;
(3.2)预测分析:采用基于时间窗置信区间的检测模型,在实际运行中不断自我调整和逼近,自动剔除历史时间窗内的异常历史数据,实现历史时间窗数据与网络实际正常流量行为特征的高度吻合,从而提高了对异常行为报警的准确性;
所述综合威胁分析模块包括如下内容:系统采用基于场景的分析方式,其中,场景定义了行为分析的主体、在该主体上采用分析指标以及触发行为预警的阈值;行为分析的主体就是资产IP;行为分析指标表征某种行为的关键指标,通过对这些指标的监控与分析发现可疑的行为,包括将某种类型或特征的事件的数量或比例作为特征指标;
所述攻击链分析模块对从历史数据仓库中挖掘多步攻击行为发生模式,再通过实时的模式匹配和攻击关联来实现在线攻击意图识别,具体包括:在历史数据仓库中进行数据挖掘,通过过滤掉趋势项和周期项告警,再根据主要属性信息对告警进行分类,对分类后的告警类别进行攻击类型识别从而产生高级安全事件,并利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集,再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式;不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式,再通过实时的模式匹配和攻击关联来实现攻击场景重建、在线攻击意图和攻击策略的识别;
所述攻击路径分析模块采用启发式场景重建技术,具体包括如下内容:
(4.1)对于汇总到的报警事件,首先基于已有的攻击场景知识库进行报警事件间的关联;
(4.2)对于匹配中的攻击序列,如果新接收到的报警可以与现有攻击序列匹配,则直接进行关联;如果不能与现有攻击序列匹配,但能够与某个攻击序列的后续事件匹配,则将新接收到的报警与该序列匹配,并产生一个“虚报警”标志缺失的事件类型;
(4.3)根据攻击路径图的描述确定虚报警的事件类型,并根据该虚报警前后相关报警的时间确定该虚报警时间范围的描述,再利用原始数据进行回溯分析,查找是否存在漏报的报警事件,如果找到则将其重新加入到攻击序列中,直至匹配完整个攻击路径图;
所述Web攻击深度分析模块包括如下内容:从会话状态、请求数据、响应数据分析、身份认证、文件上传、访问频率、WAF攻击日志、暗网连接利用模糊综合评价法,基于特征相关的改进加权朴素贝叶斯分类算法进行深度分析,挖掘传统手段漏报的攻击;
所述网络流量元数据行为分析模块具体包括如下内容:通过对内网流量行为建模与分析自动建立流量周期性基线和非周期性基线,自动发现设备互联关系,预测网络拥挤,并采用支持网络优化决策,以及基于基线发现网络异常;
所述网络异常行为分析模块具体包括僵尸网络监测发现、失陷主机发现、慢扫描监测、恶意邮件发现和扩散分析;
所述可视化展示模块包括如下内容:生成展示一幅审计数据源的拓扑图,反映审计数据源的网络拓扑关系,并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量,管理员点击拓扑节点可以查询日志和告警信息详情。
2.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统,其特征在于:所述规则的逻辑表达式包括以下运算符或关键字但不限于:等于、不等于、大于、小于、不大于、不小于、位于、之间、属于、包含、FollowBy。
3.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统,其特征在于:所述规则支持统计计数功能,并指定在统计时的固定和变动的事件属性,以及关联出达到一定统计规则的事件。
4.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统,其特征在于:所述僵尸网络监测发现是依据以下判定标准进行判定为僵尸网络:
(5.1)Bot和BotMaster之间通信一次连接传输的数据量偏少,数据包偏小;
(5.2)数据包大小较为固定,种类偏少;
(5.3)Bot和BotMaster之间存在Beacon行为,表现在两次访问的间隔比较一致上;
(5.4)Bot会因为与BotMaster失联而反复请求连接,导致两个方向上的Flow数量存在较大差异;
(5.5)Bot和BotMaster之间的通信在时间分布上较为均匀,受Day/Night的影响较小;
(5.6)Bot会受到BotMaster控制从而从事恶意活动;
(5.7)不同Bot访问BotMaster之间的行为序列存在相似性。
5.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统,其特征在于:所述失陷主机发现具体是通过APT对恶意文件CallBack特征的提取能力和特征与IDS实时同步的能力,发现失陷主机。
6.根据权利要求1所述的面向威胁场景的智能化安全事件关联分析系统,其特征在于:所述可视化展示模块还能够可视化的展示出每个安全域或业务系统随时间变化的安全管理评估曲线,并能够进行环比分析,以及跨安全域或业务系统的同比分析,对于每个关键管理指标都支持指标项的下钻,实现从宏观到微观的聚焦。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011282246.4A CN112738016A (zh) | 2020-11-16 | 2020-11-16 | 一种面向威胁场景的智能化安全事件关联分析系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011282246.4A CN112738016A (zh) | 2020-11-16 | 2020-11-16 | 一种面向威胁场景的智能化安全事件关联分析系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112738016A true CN112738016A (zh) | 2021-04-30 |
Family
ID=75597442
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011282246.4A Pending CN112738016A (zh) | 2020-11-16 | 2020-11-16 | 一种面向威胁场景的智能化安全事件关联分析系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738016A (zh) |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113259176A (zh) * | 2021-06-11 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种告警事件分析方法和装置 |
CN113448555A (zh) * | 2021-06-30 | 2021-09-28 | 深信服科技股份有限公司 | 关联分析方法、装置、设备及存储介质 |
CN113489716A (zh) * | 2021-07-02 | 2021-10-08 | 南京联成科技发展股份有限公司 | 一种基于集中管控的威胁情报数据关联分析系统 |
CN113596025A (zh) * | 2021-07-28 | 2021-11-02 | 中国南方电网有限责任公司 | 电网安全事件管理方法 |
CN113691498A (zh) * | 2021-07-23 | 2021-11-23 | 全球能源互联网研究院有限公司 | 一种电力物联终端安全状态评估方法、装置及存储介质 |
CN113705714A (zh) * | 2021-09-03 | 2021-11-26 | 上海观安信息技术股份有限公司 | 基于行为序列的配电物联网设备异常行为检测方法及装置 |
CN114095217A (zh) * | 2021-11-06 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机快照取证溯源方法和系统 |
CN114139020A (zh) * | 2021-12-08 | 2022-03-04 | 广西民族大学 | 一种网络安全事件结构层次化处理方法和装置 |
CN114398442A (zh) * | 2022-01-25 | 2022-04-26 | 中国电子科技集团公司第十研究所 | 一种基于数据驱动的情报处理系统 |
CN114531306A (zh) * | 2022-04-24 | 2022-05-24 | 北京安博通金安科技有限公司 | 一种基于威胁行为的实时检测方法与系统 |
CN114564710A (zh) * | 2022-03-28 | 2022-05-31 | 国网山东省电力公司信息通信公司 | 一种具有信息防泄漏功能的信息物联智能管控平台 |
CN114584402A (zh) * | 2022-05-07 | 2022-06-03 | 浙江御安信息技术有限公司 | 一种基于攻击特征识别标签库的威胁过滤研判方法 |
CN115022063A (zh) * | 2022-06-14 | 2022-09-06 | 安天科技集团股份有限公司 | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 |
CN115037558A (zh) * | 2022-08-10 | 2022-09-09 | 军事科学院系统工程研究院网络信息研究所 | 一种对抗驱动的异常检测进化方法 |
CN115118525A (zh) * | 2022-08-23 | 2022-09-27 | 天津天元海科技开发有限公司 | 一种物联网安全防护系统及其防护方法 |
CN115134250A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种网络攻击溯源取证方法 |
CN115174217A (zh) * | 2022-07-04 | 2022-10-11 | 北京华清信安科技有限公司 | 一种基于soar的安全数据编排自动化分析方法 |
CN115242438A (zh) * | 2022-06-15 | 2022-10-25 | 国家计算机网络与信息安全管理中心 | 基于异质信息网络的潜在受害群体定位方法 |
CN115296913A (zh) * | 2022-08-05 | 2022-11-04 | 武汉思普崚技术有限公司 | 一种适应flink作业规则的快速编排系统 |
CN115333814A (zh) * | 2022-08-02 | 2022-11-11 | 哈尔滨工业大学(威海) | 一种面向工业控制系统报警数据的分析系统与方法 |
CN115348109A (zh) * | 2022-09-28 | 2022-11-15 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
CN116485148A (zh) * | 2023-05-09 | 2023-07-25 | 车位管家(深圳)科技有限公司 | 一种基于大数据的智慧停车场的安全监管系统及方法 |
CN116827697A (zh) * | 2023-08-30 | 2023-09-29 | 北京安天网络安全技术有限公司 | 网络攻击事件的推送方法、电子设备及存储介质 |
CN117094006A (zh) * | 2023-10-20 | 2023-11-21 | 湖南三湘银行股份有限公司 | 一种基于人工智能算法的安全事件根因分析方法及系统 |
CN117424758A (zh) * | 2023-12-18 | 2024-01-19 | 国家电网有限公司客户服务中心 | 一种自适应调整访问权限的Probing攻击阻断方法 |
CN117640260A (zh) * | 2024-01-25 | 2024-03-01 | 天津丈八网络安全科技有限公司 | 一种基于事件驱动的仿真网络攻防演练方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
-
2020
- 2020-11-16 CN CN202011282246.4A patent/CN112738016A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
Non-Patent Citations (5)
Title |
---|
CARECHERE: "基于大数据分析的安全管理平台技术研究及应用", 《CSDN》 * |
余宏伟: "基于大数据的攻击态势感知技术研究与实现", 《中国信息化》 * |
常凯: "浅析政务云信息安全监管", 《网信军民融合》 * |
极客分享: "LogSec金融行业营业厅终端安全解决方案", 《极客分享》 * |
王莉: "网络多步攻击识别方法研究", 《中国博士学位论文全文数据库 信息科技辑》 * |
Cited By (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113259176A (zh) * | 2021-06-11 | 2021-08-13 | 长扬科技(北京)有限公司 | 一种告警事件分析方法和装置 |
CN113448555B (zh) * | 2021-06-30 | 2024-04-09 | 深信服科技股份有限公司 | 关联分析方法、装置、设备及存储介质 |
CN113448555A (zh) * | 2021-06-30 | 2021-09-28 | 深信服科技股份有限公司 | 关联分析方法、装置、设备及存储介质 |
CN113489716A (zh) * | 2021-07-02 | 2021-10-08 | 南京联成科技发展股份有限公司 | 一种基于集中管控的威胁情报数据关联分析系统 |
CN113691498A (zh) * | 2021-07-23 | 2021-11-23 | 全球能源互联网研究院有限公司 | 一种电力物联终端安全状态评估方法、装置及存储介质 |
CN113596025A (zh) * | 2021-07-28 | 2021-11-02 | 中国南方电网有限责任公司 | 电网安全事件管理方法 |
CN113705714A (zh) * | 2021-09-03 | 2021-11-26 | 上海观安信息技术股份有限公司 | 基于行为序列的配电物联网设备异常行为检测方法及装置 |
CN114095217A (zh) * | 2021-11-06 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机快照取证溯源方法和系统 |
CN114139020A (zh) * | 2021-12-08 | 2022-03-04 | 广西民族大学 | 一种网络安全事件结构层次化处理方法和装置 |
CN114139020B (zh) * | 2021-12-08 | 2023-03-28 | 广西民族大学 | 一种网络安全事件结构层次化处理方法和装置 |
CN114398442B (zh) * | 2022-01-25 | 2023-09-19 | 中国电子科技集团公司第十研究所 | 一种基于数据驱动的情报处理系统 |
CN114398442A (zh) * | 2022-01-25 | 2022-04-26 | 中国电子科技集团公司第十研究所 | 一种基于数据驱动的情报处理系统 |
CN114564710A (zh) * | 2022-03-28 | 2022-05-31 | 国网山东省电力公司信息通信公司 | 一种具有信息防泄漏功能的信息物联智能管控平台 |
CN114531306A (zh) * | 2022-04-24 | 2022-05-24 | 北京安博通金安科技有限公司 | 一种基于威胁行为的实时检测方法与系统 |
CN114584402A (zh) * | 2022-05-07 | 2022-06-03 | 浙江御安信息技术有限公司 | 一种基于攻击特征识别标签库的威胁过滤研判方法 |
CN114584402B (zh) * | 2022-05-07 | 2022-08-05 | 浙江御安信息技术有限公司 | 基于攻击特征识别标签库的威胁过滤研判方法 |
CN115022063A (zh) * | 2022-06-14 | 2022-09-06 | 安天科技集团股份有限公司 | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 |
CN115022063B (zh) * | 2022-06-14 | 2023-08-29 | 安天科技集团股份有限公司 | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 |
CN115242438A (zh) * | 2022-06-15 | 2022-10-25 | 国家计算机网络与信息安全管理中心 | 基于异质信息网络的潜在受害群体定位方法 |
CN115242438B (zh) * | 2022-06-15 | 2023-09-01 | 国家计算机网络与信息安全管理中心 | 基于异质信息网络的潜在受害群体定位方法 |
CN115134250B (zh) * | 2022-06-29 | 2024-03-15 | 北京计算机技术及应用研究所 | 一种网络攻击溯源取证方法 |
CN115134250A (zh) * | 2022-06-29 | 2022-09-30 | 北京计算机技术及应用研究所 | 一种网络攻击溯源取证方法 |
CN115174217A (zh) * | 2022-07-04 | 2022-10-11 | 北京华清信安科技有限公司 | 一种基于soar的安全数据编排自动化分析方法 |
CN115333814A (zh) * | 2022-08-02 | 2022-11-11 | 哈尔滨工业大学(威海) | 一种面向工业控制系统报警数据的分析系统与方法 |
CN115296913A (zh) * | 2022-08-05 | 2022-11-04 | 武汉思普崚技术有限公司 | 一种适应flink作业规则的快速编排系统 |
CN115037558B (zh) * | 2022-08-10 | 2022-10-21 | 军事科学院系统工程研究院网络信息研究所 | 一种对抗驱动的异常检测进化方法 |
CN115037558A (zh) * | 2022-08-10 | 2022-09-09 | 军事科学院系统工程研究院网络信息研究所 | 一种对抗驱动的异常检测进化方法 |
CN115118525A (zh) * | 2022-08-23 | 2022-09-27 | 天津天元海科技开发有限公司 | 一种物联网安全防护系统及其防护方法 |
CN115118525B (zh) * | 2022-08-23 | 2022-12-13 | 天津天元海科技开发有限公司 | 一种物联网安全防护系统及其防护方法 |
CN115348109A (zh) * | 2022-09-28 | 2022-11-15 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
CN115348109B (zh) * | 2022-09-28 | 2023-02-03 | 北京珞安科技有限责任公司 | 工业生产威胁预警方法、系统、电子设备及存储介质 |
CN116485148A (zh) * | 2023-05-09 | 2023-07-25 | 车位管家(深圳)科技有限公司 | 一种基于大数据的智慧停车场的安全监管系统及方法 |
CN116485148B (zh) * | 2023-05-09 | 2024-02-09 | 乐生活智慧社区服务集团股份有限公司 | 一种基于大数据的智慧停车场的安全监管系统及方法 |
CN116827697A (zh) * | 2023-08-30 | 2023-09-29 | 北京安天网络安全技术有限公司 | 网络攻击事件的推送方法、电子设备及存储介质 |
CN116827697B (zh) * | 2023-08-30 | 2023-11-03 | 北京安天网络安全技术有限公司 | 网络攻击事件的推送方法、电子设备及存储介质 |
CN117094006A (zh) * | 2023-10-20 | 2023-11-21 | 湖南三湘银行股份有限公司 | 一种基于人工智能算法的安全事件根因分析方法及系统 |
CN117094006B (zh) * | 2023-10-20 | 2024-02-23 | 湖南三湘银行股份有限公司 | 一种基于人工智能算法的安全事件根因分析方法及系统 |
CN117424758A (zh) * | 2023-12-18 | 2024-01-19 | 国家电网有限公司客户服务中心 | 一种自适应调整访问权限的Probing攻击阻断方法 |
CN117424758B (zh) * | 2023-12-18 | 2024-03-08 | 国家电网有限公司客户服务中心 | 一种自适应调整访问权限的Probing攻击阻断方法 |
CN117640260A (zh) * | 2024-01-25 | 2024-03-01 | 天津丈八网络安全科技有限公司 | 一种基于事件驱动的仿真网络攻防演练方法 |
CN117640260B (zh) * | 2024-01-25 | 2024-04-12 | 天津丈八网络安全科技有限公司 | 一种基于事件驱动的仿真网络攻防演练方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112738016A (zh) | 一种面向威胁场景的智能化安全事件关联分析系统 | |
US20210273960A1 (en) | Cyber threat defense system and method | |
US20210273961A1 (en) | Apparatus and method for a cyber-threat defense system | |
Gu et al. | Botminer: Clustering analysis of network traffic for protocol-and structure-independent botnet detection | |
Zhang et al. | Causality reasoning about network events for detecting stealthy malware activities | |
Kholidy | Detecting impersonation attacks in cloud computing environments using a centric user profiling approach | |
Wan et al. | Feature-selection-based ransomware detection with machine learning of data analysis | |
Hajj et al. | Anomaly‐based intrusion detection systems: The requirements, methods, measurements, and datasets | |
Al-Mashhadi et al. | Hybrid rule-based botnet detection approach using machine learning for analysing DNS traffic | |
Yang et al. | Detecting DNS tunnels using session behavior and random forest method | |
Cao et al. | Learning state machines to monitor and detect anomalies on a kubernetes cluster | |
AZIZI et al. | Log files analysis using MapReduce to improve security | |
Laue et al. | A SIEM architecture for multidimensional anomaly detection | |
Frankowski et al. | Application of the Complex Event Processing system for anomaly detection and network monitoring | |
Qin et al. | Symmetry degree measurement and its applications to anomaly detection | |
Mei et al. | CTScopy: hunting cyber threats within enterprise via provenance graph-based analysis | |
Sun et al. | Intelligent log analysis system for massive and multi-source security logs: MMSLAS design and implementation plan | |
Lysenko et al. | Botnet Detection Approach Based on DNS. | |
Chu et al. | Data stream mining architecture for network intrusion detection | |
Cui et al. | Research of Snort rule extension and APT detection based on APT network behavior analysis | |
CN116827698B (zh) | 一种网络关口流量安全态势感知系统及方法 | |
Li et al. | Research on the network security management based on data mining | |
Chaithanya et al. | Towards Detection of Network Attacks by Snort Analysis Using Machine Learning Techniques | |
Cao et al. | Encoding NetFlows for State-Machine Learning | |
CN116896462A (zh) | 基于网络安全管理的智慧矿山网络态势感知系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210430 |
|
RJ01 | Rejection of invention patent application after publication |