CN113067835B - 一种集成自适应失陷指标处理系统 - Google Patents

Abstract

一种集成自适应失陷指标处理系统，包括TAXII服务器，所述TAXII服务器输出端连接引擎，所述引擎分别连接威胁数据库、富化源、工单服务器、人工审核和安全设备；所述TAXII服务器用于对威胁源收集与整理；所述引擎用于对各部分处理过程进行协调和调度。本发明兼顾整合现有安全防御能力、提高安全自动化水平、优化人力成本、提高威胁信息在区域各成员之间的共享能力的准则。

Description

一种集成自适应失陷指标处理系统

技术领域

本发明涉及计算机科学与网络安全技术领域，特别涉及一种集成自适应失陷指标处理系统。

背景技术

威胁情报是进行网络安全防御的基础，近几年来，网络安全在时间和空间的维度上已经越来越广泛，需要进一步推进威胁情报的跨区域、跨平台的共享与处置能力，从而进一步提高自动化防御能力。失陷指标作为衡量网络空间各个环节的安全性的一个重要方面，目前其过滤和筛选十分依赖安全管理员的经验，因此往往存在着漏删、误删的情况，且对人工依赖十分严重，并且整个处理过程极度耗时从而导致效率低下，并且对于失陷指标是否合理无法从应用层面获得反馈，为解决现代网络安全防御的基础性问题，本发明提出一种集成自适应失陷指标处理系统。

发明内容

为了克服以上技术问题，本发明的目的在于提供一种集成自适应失陷指标处理系统，以期解决了上述问题，同时兼顾整合现有安全防御能力、提高安全自动化水平、优化人力成本、提高威胁信息在区域各成员之间的共享能力的准则。

一种集成自适应失陷指标处理系统，包括TAXII服务器，所述TAXII服务器输出端连接引擎，所述引擎分别连接威胁数据库、富化源、工单服务器、人工审核和安全设备；

所述TAXII服务器用于对威胁源收集与整理；

所述引擎用于对各部分处理过程进行协调和调度。

所述TAXII服务器将网络空间中的安全防护体系所发现的不同种类威胁信息的失陷指标进行收集与整理，将其转化为标准的TAXII格式，并推送给引擎；

所述引擎是整个系统的处理中枢，负责各个部件之间的数据传递，协调系统中流程的有序执行；

所述威胁数据库用于接收引擎推送的TAXII数据，根据白名单和黑名单规则进行过滤并存储，形成TAXII格式失陷指标数据库；

所述富化源是引擎根据待确认失陷指标类型从历史数据库、开源威胁情报库或者爬虫获取的第三方安全风险数据库获取富化数据源，与威胁数据库中的待确认失陷指标数据(TAXII格式失陷指标数据库)比对，得出准确的失陷指标的流行性、适用性、可信度、潜在影响数据；

所述工单服务器根据引擎处理的流程，生成威胁工单；

所述人工审核通过安全管理员审核已生成的工单内容，并根据工单内容制定处置方案(COA)或者在某些节点修改已有方案；

所述安全设备对处置方案作出响应，安全设备包含防火墙、IPS、WAF安全防护设备，阻断系统对整个威胁信息的报警，并关闭对应的工单。

所述威胁工单的内容包含失陷指标、威胁评分、网络内被发现频率。

所述处理系统的处理流程包括以下部分；

解析模块：TAXII服务器从各安全终端获取疑似威胁行为，进行数据获取与归并，并将其解析存储为标准的TAXII格式；

富化模块：对于待确认的失陷指标，引擎根据失陷指标类型通过比对历史数据以及第三方数据源对数据进行富化；

评分模块：对于已富化完成的数据，对其进行评分，判断其是否为真实的威胁行为；

处置模块：对于已确认的失陷指标，将其交由人工审核确定处置方案，并调度安全设备执行处置方案完成威胁阻断，用已确认的失陷指标更新富化数据库。

所述解析模块中的疑似威胁行为包括异常出站网络流量、高权限帐户异常活动、地理不规则、登录危险信号、数据库读取量增加、HTML响应大小、对同一文件的大量请求、不匹配的端口应用程序流量、可疑的注册表或系统文件更改、异常DNS请求、系统意外修补、移动设备配置文件更改、数据包放错地方、非人类行为的网络流量、DDoS活动迹象。

所述TAXII服务器通过对所有的疑似威胁行为通过捕获数据、分析数据从而形成完整的适用的失陷指标，并将其转换成标准的TAXII格式，并将其与具体的攻击行为(例如：僵尸网络、DDoS攻击、APT攻击等)相关联；

TAXII服务器将新发现的数据发送给引擎，引擎将数据推送给威胁数据库，由威胁数据库进行处理。

所述威胁数据库接收失陷指标数据，并根据组织黑名单、白名单机制进行过滤，若该失陷指标数据已列入白名单则会忽略；若被列入黑名单则会交由引擎直接出发阻断流程；若不存在于黑名单和白名单中，则将其存储到威胁数据库；

对于威胁数据库中的数据，引擎会触发流程：

(1)调取历史日志库数据，通过比对、关联分析从而确定该失陷指标在网络空间中的历史记录；

(2)拉取第三方富化源数据，通过增加数据量从而得出该失陷指标的风险信息、历史信息、潜在影响。

所述处置模块具体为：

对于每一个失陷指标的处理过程，生成工单，每个工单包含了该失陷指标的关键数据信息、可信度、流行程度等指标，并存储于工单服务器；

引擎根据规则从工单服务器中提取工单交由人工审核，人工审核完成后将处置方案回传给引擎；

引擎将处置方案传递给安全设备进行阻断安全防御操作；

安全设备执行处置方案触发工单跟踪服务结束整个流程；

引擎根据已确认失陷指标数据更新本地富化源。

本发明的有益效果：

通过本发明提供的系统进行可疑失陷指标的验证与处理，能够在风险感知层面快速检测威胁，筛除虚警、减少人工投入，作为安全自动化的第一步，能够加速威胁信息共享，提高系统的整体防御水平，进而提高安全运行效率。

附图说明

图1为本发明实施例提供的失陷指标集成自适应处理系统示意图。

图2为本发明实施例提供的失陷指标集成自适应处理系统示意图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

如图1所示为本发明实施例提供的失陷指标集成自适应处理系统，其中包含TAXII服务器、工单服务器、安全设备、引擎、富化源、威胁数据库、人工审核等7个部分，其中引擎是整个框架的处理核心，与其余6个部分相连接，整个失陷指标的处理过程都要经由引擎进行协调和调度。

图2所示为本发明实施例提供的失陷指标集成自适应处理系统结构图，具体为：

一、解析模块

网络空间中的态势感知设备、资产管理设备、日志分析设备以及外部情报源探测异常出站网络流量、高权限帐户异常活动、地理不规则、登录危险信号、数据库读取量增加、HTML响应大小、对同一文件的大量请求、不匹配的端口应用程序流量、可疑的注册表或系统文件更改、异常DNS请求、系统意外修补、移动设备配置文件更改、数据包放错地方、非人类行为的网络流量、DDoS活动迹象等行为，获取可疑威胁信息，通过提取数据、分析数据得到可用的威胁信息数据。

TAXII服务器汇集威胁信息数据，并进一步筛选适用的数据作为失陷指标，通过失陷指标表征APT攻击、僵尸网络、DDoS攻击等攻击行为，将失陷指标与其所表征的特定的威胁或攻击行为相关联，形成结构化数据。

引擎从TAXII服务器获取结构化数据，调度给威胁数据库。

二、富化模块

威胁数据库存储接受到的结构化失陷指标数据，并根据黑名单和白名单规则进行过滤，若失陷指标存在于白名单中，则说明其代表虚警，忽略其有效性；若失陷指标存在于黑名单中，则说明其确定为一次网络安全事件，需要直接将其阻断；剩余的失陷指标则是待确认的数据，存储于威胁数据库中。

对于威胁数据库中的数据，其处于待确认状态，引擎通过调度富化源对失陷指标进行富化，从而提高失陷指标的数据量、可信度、流行度，主要通过：(1)根据失陷指标的类型，从日志历史数据库获取相关联事件信息，通过比对、关联分析从而确定与该指标相关的历史记录以及与该指标相关的当前的系统活动，并从历史日志信息中进一步增加该威胁指标的可信度；(2)从本地源或第三方数据源增量获取数据信息，包括从Virustotal获取文件信誉源，从Alexa获取流量源等，通过对多个不同的信息源进行集成，从而对失陷指标数据进行自动富化，扩充特征数据量，从而得出该失陷指标的风险信息、历史信息、潜在影响。

三、评分模块

对于正在处理中的失陷指标数据，工单跟踪服务在每一个节点处理完成后，会实时打开并更新整个工作流的记录数据，并持续对整个工作流进行跟踪。

对于富化后的数据，引擎对比通过该失陷指标确定威胁信息的准确率得出其信誉度，通过对比该失陷指标的出现频率得出其流行度信息，剔除边缘信息而只保留失陷指标关键数据。

对于已经处理过的失陷指标数据，引擎会生成工单，工单内容包括失陷指标数据信息、信誉度、流行度等关键信息，并将其存储于工单服务器中，根据该关键信息可以判定该失陷指标是否可被界定为真实的失陷数据，其对应的安全事件是否可被确定是已经存在的风险。

四、处置模块

对于已完成的工单信息，可以部分抽取地或者根据某些特征划分的方式从引擎传递给人工审核，由安全工程师进行信息确认，进一步提高检测的可信度，同时在确认完成后，人工审核节点需要返回处置方案给引擎，否则执行默认方案。

引擎将行动方案推送给安全设备进行执行，进行自动化防御。

威胁数据库根据最终检测结果更新自身威胁数据库的黑名单及白名单规则，并在本地富化源中的数据库增加数据。

安全设备执行处置方案结束，工单跟踪系统向工单服务器提交最终的数据并触发整个工单流程结束。

通过本发明实施例所提供的处理方法，可以实现获取疑似的多个场景安全事件数据时，可以自动化地集成其他第三方数据源并以同类的数据对其进行富化，从而准确地判断是否存在相应的安全威胁事件，可以提高评估速度，节约宝贵的安全工程师资源，同时降低虚警，提高威胁情报的质量，加快威胁情报在各组织间共享的效率。

Claims (7)

1.一种集成自适应失陷指标处理系统，其特征在于，包括TAXII服务器，所述TAXII服务器输出端连接引擎，所述引擎分别连接威胁数据库、富化源、工单服务器、人工审核和安全设备；

所述TAXII服务器用于对威胁源收集与整理；

所述引擎用于对各部分处理过程进行协调和调度；

所述TAXII服务器将网络空间中的安全防护体系所发现的不同种类威胁信息的失陷指标进行收集与整理，将其转化为标准的TAXII格式，并推送给引擎；

所述引擎是整个系统的处理中枢，负责各个部件之间的数据传递，协调系统中流程的有序执行；

所述威胁数据库用于接收引擎推送的TAXII数据，根据白名单和黑名单规则进行过滤，并进行存储，形成TAXII格式失陷指标数据库；

所述富化源从历史数据库、开源威胁情报库或者爬虫获取的第三方安全风险数据库获取富化数据源，与威胁数据库数据比对，得出准确的失陷指标的流行性、适用性、可信度、潜在影响数据；

所述工单服务器根据引擎处理的流程，生成威胁工单；

所述人工审核通过安全管理员审核已生成的工单内容，并根据工单内容制定处置方案(COA)或者在某些节点修改已有方案；

所述安全设备对处置方案作出响应，安全设备包含防火墙、IPS、WAF安全防护设备，阻断系统对整个威胁信息的报警，并关闭对应的工单。

2.根据权利要求1所述的一种集成自适应失陷指标处理系统，其特征在于，所述威胁工单的内容包含失陷指标、威胁评分、网络内被发现频率。

3.根据权利要求1所述的一种集成自适应失陷指标处理系统，其特征在于，所述处理系统的处理流程包括以下部分；

解析模块：TAXII服务器从各安全终端获取疑似威胁行为，进行数据获取与归并，并将其解析存储为标准的TAXII格式；

富化模块：对于待确认的失陷指标，引擎根据失陷指标类型通过比对历史数据以及第三方数据源对数据进行富化；

评分模块：对于已富化完成的数据，对其进行评分，判断其是否为真实的威胁行为；

处置模块：对于已确认的失陷指标，将其交由人工审核确定处置方案，并调度安全设备执行处置方案完成威胁阻断，用已确认的失陷指标更新富化数据库。

4.根据权利要求3所述的一种集成自适应失陷指标处理系统，其特征在于，所述解析模块中的疑似威胁行为包括异常出站网络流量、高权限帐户异常活动、地理不规则、登录危险信号、数据库读取量增加、HTML响应大小、对同一文件的大量请求、不匹配的端口应用程序流量、可疑的注册表或系统文件更改、异常DNS请求、系统意外修补、移动设备配置文件更改、数据包放错地方、非人类行为的网络流量、DDoS活动迹象。

5.根据权利要求3所述的一种集成自适应失陷指标处理系统，其特征在于，所述TAXII服务器通过对所有的疑似威胁行为通过捕获数据、分析数据从而形成完整的适用的失陷指标，并将其转换成标准的TAXII格式，并将其与具体的攻击行为相关联；

TAXII服务器将新发现的数据发送给引擎，引擎将数据推送给威胁数据库，由威胁数据库进行处理。

6.根据权利要求3所述的一种集成自适应失陷指标处理系统，其特征在于，所述威胁数据库接收失陷指标数据，并根据组织黑名单、白名单机制进行过滤，若该失陷指标数据已列入白名单则会忽略；若被列入黑名单则会交由引擎直接出发阻断流程；若不存在于黑名单和白名单中，则将其存储到威胁数据库；

对于威胁数据库中的数据，引擎会触发流程：

(1)调取历史日志库数据，通过比对、关联分析从而确定该失陷指标在网络空间中的历史记录；

(2)拉取第三方富化源数据，通过增加数据量从而得出该失陷指标的风险信息、历史信息、潜在影响。

7.根据权利要求3所述的一种集成自适应失陷指标处理系统，其特征在于，所述处置模块具体为：

对于每一个失陷指标的处理过程，生成工单，每个工单包含了该失陷指标的关键数据信息、可信度、流行程度等指标，并存储于工单服务器；

引擎根据规则从工单服务器中提取工单交由人工审核，人工审核完成后将处置方案回传给引擎；

引擎将处置方案传递给安全设备进行阻断安全防御操作；

安全设备执行处置方案触发工单跟踪服务结束整个流程；

引擎根据已确认失陷指标数据更新本地富化源。

Images