CN113067835B - 一种集成自适应失陷指标处理系统 - Google Patents
一种集成自适应失陷指标处理系统 Download PDFInfo
- Publication number
- CN113067835B CN113067835B CN202110398044.4A CN202110398044A CN113067835B CN 113067835 B CN113067835 B CN 113067835B CN 202110398044 A CN202110398044 A CN 202110398044A CN 113067835 B CN113067835 B CN 113067835B
- Authority
- CN
- China
- Prior art keywords
- data
- threat
- engine
- index
- taxii
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
一种集成自适应失陷指标处理系统,包括TAXII服务器,所述TAXII服务器输出端连接引擎,所述引擎分别连接威胁数据库、富化源、工单服务器、人工审核和安全设备;所述TAXII服务器用于对威胁源收集与整理;所述引擎用于对各部分处理过程进行协调和调度。本发明兼顾整合现有安全防御能力、提高安全自动化水平、优化人力成本、提高威胁信息在区域各成员之间的共享能力的准则。
Description
技术领域
本发明涉及计算机科学与网络安全技术领域,特别涉及一种集成自适应失陷指标处理系统。
背景技术
威胁情报是进行网络安全防御的基础,近几年来,网络安全在时间和空间的维度上已经越来越广泛,需要进一步推进威胁情报的跨区域、跨平台的共享与处置能力,从而进一步提高自动化防御能力。失陷指标作为衡量网络空间各个环节的安全性的一个重要方面,目前其过滤和筛选十分依赖安全管理员的经验,因此往往存在着漏删、误删的情况,且对人工依赖十分严重,并且整个处理过程极度耗时从而导致效率低下,并且对于失陷指标是否合理无法从应用层面获得反馈,为解决现代网络安全防御的基础性问题,本发明提出一种集成自适应失陷指标处理系统。
发明内容
为了克服以上技术问题,本发明的目的在于提供一种集成自适应失陷指标处理系统,以期解决了上述问题,同时兼顾整合现有安全防御能力、提高安全自动化水平、优化人力成本、提高威胁信息在区域各成员之间的共享能力的准则。
一种集成自适应失陷指标处理系统,包括TAXII服务器,所述TAXII服务器输出端连接引擎,所述引擎分别连接威胁数据库、富化源、工单服务器、人工审核和安全设备;
所述TAXII服务器用于对威胁源收集与整理;
所述引擎用于对各部分处理过程进行协调和调度。
所述TAXII服务器将网络空间中的安全防护体系所发现的不同种类威胁信息的失陷指标进行收集与整理,将其转化为标准的TAXII格式,并推送给引擎;
所述引擎是整个系统的处理中枢,负责各个部件之间的数据传递,协调系统中流程的有序执行;
所述威胁数据库用于接收引擎推送的TAXII数据,根据白名单和黑名单规则进行过滤并存储,形成TAXII格式失陷指标数据库;
所述富化源是引擎根据待确认失陷指标类型从历史数据库、开源威胁情报库或者爬虫获取的第三方安全风险数据库获取富化数据源,与威胁数据库中的待确认失陷指标数据(TAXII格式失陷指标数据库)比对,得出准确的失陷指标的流行性、适用性、可信度、潜在影响数据;
所述工单服务器根据引擎处理的流程,生成威胁工单;
所述人工审核通过安全管理员审核已生成的工单内容,并根据工单内容制定处置方案(COA)或者在某些节点修改已有方案;
所述安全设备对处置方案作出响应,安全设备包含防火墙、IPS、WAF安全防护设备,阻断系统对整个威胁信息的报警,并关闭对应的工单。
所述威胁工单的内容包含失陷指标、威胁评分、网络内被发现频率。
所述处理系统的处理流程包括以下部分;
解析模块:TAXII服务器从各安全终端获取疑似威胁行为,进行数据获取与归并,并将其解析存储为标准的TAXII格式;
富化模块:对于待确认的失陷指标,引擎根据失陷指标类型通过比对历史数据以及第三方数据源对数据进行富化;
评分模块:对于已富化完成的数据,对其进行评分,判断其是否为真实的威胁行为;
处置模块:对于已确认的失陷指标,将其交由人工审核确定处置方案,并调度安全设备执行处置方案完成威胁阻断,用已确认的失陷指标更新富化数据库。
所述解析模块中的疑似威胁行为包括异常出站网络流量、高权限帐户异常活动、地理不规则、登录危险信号、数据库读取量增加、HTML响应大小、对同一文件的大量请求、不匹配的端口应用程序流量、可疑的注册表或系统文件更改、异常DNS请求、系统意外修补、移动设备配置文件更改、数据包放错地方、非人类行为的网络流量、DDoS活动迹象。
所述TAXII服务器通过对所有的疑似威胁行为通过捕获数据、分析数据从而形成完整的适用的失陷指标,并将其转换成标准的TAXII格式,并将其与具体的攻击行为(例如:僵尸网络、DDoS攻击、APT攻击等)相关联;
TAXII服务器将新发现的数据发送给引擎,引擎将数据推送给威胁数据库,由威胁数据库进行处理。
所述威胁数据库接收失陷指标数据,并根据组织黑名单、白名单机制进行过滤,若该失陷指标数据已列入白名单则会忽略;若被列入黑名单则会交由引擎直接出发阻断流程;若不存在于黑名单和白名单中,则将其存储到威胁数据库;
对于威胁数据库中的数据,引擎会触发流程:
(1)调取历史日志库数据,通过比对、关联分析从而确定该失陷指标在网络空间中的历史记录;
(2)拉取第三方富化源数据,通过增加数据量从而得出该失陷指标的风险信息、历史信息、潜在影响。
所述处置模块具体为:
对于每一个失陷指标的处理过程,生成工单,每个工单包含了该失陷指标的关键数据信息、可信度、流行程度等指标,并存储于工单服务器;
引擎根据规则从工单服务器中提取工单交由人工审核,人工审核完成后将处置方案回传给引擎;
引擎将处置方案传递给安全设备进行阻断安全防御操作;
安全设备执行处置方案触发工单跟踪服务结束整个流程;
引擎根据已确认失陷指标数据更新本地富化源。
本发明的有益效果:
通过本发明提供的系统进行可疑失陷指标的验证与处理,能够在风险感知层面快速检测威胁,筛除虚警、减少人工投入,作为安全自动化的第一步,能够加速威胁信息共享,提高系统的整体防御水平,进而提高安全运行效率。
附图说明
图1为本发明实施例提供的失陷指标集成自适应处理系统示意图。
图2为本发明实施例提供的失陷指标集成自适应处理系统示意图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
如图1所示为本发明实施例提供的失陷指标集成自适应处理系统,其中包含TAXII服务器、工单服务器、安全设备、引擎、富化源、威胁数据库、人工审核等7个部分,其中引擎是整个框架的处理核心,与其余6个部分相连接,整个失陷指标的处理过程都要经由引擎进行协调和调度。
图2所示为本发明实施例提供的失陷指标集成自适应处理系统结构图,具体为:
一、解析模块
网络空间中的态势感知设备、资产管理设备、日志分析设备以及外部情报源探测异常出站网络流量、高权限帐户异常活动、地理不规则、登录危险信号、数据库读取量增加、HTML响应大小、对同一文件的大量请求、不匹配的端口应用程序流量、可疑的注册表或系统文件更改、异常DNS请求、系统意外修补、移动设备配置文件更改、数据包放错地方、非人类行为的网络流量、DDoS活动迹象等行为,获取可疑威胁信息,通过提取数据、分析数据得到可用的威胁信息数据。
TAXII服务器汇集威胁信息数据,并进一步筛选适用的数据作为失陷指标,通过失陷指标表征APT攻击、僵尸网络、DDoS攻击等攻击行为,将失陷指标与其所表征的特定的威胁或攻击行为相关联,形成结构化数据。
引擎从TAXII服务器获取结构化数据,调度给威胁数据库。
二、富化模块
威胁数据库存储接受到的结构化失陷指标数据,并根据黑名单和白名单规则进行过滤,若失陷指标存在于白名单中,则说明其代表虚警,忽略其有效性;若失陷指标存在于黑名单中,则说明其确定为一次网络安全事件,需要直接将其阻断;剩余的失陷指标则是待确认的数据,存储于威胁数据库中。
对于威胁数据库中的数据,其处于待确认状态,引擎通过调度富化源对失陷指标进行富化,从而提高失陷指标的数据量、可信度、流行度,主要通过:(1)根据失陷指标的类型,从日志历史数据库获取相关联事件信息,通过比对、关联分析从而确定与该指标相关的历史记录以及与该指标相关的当前的系统活动,并从历史日志信息中进一步增加该威胁指标的可信度;(2)从本地源或第三方数据源增量获取数据信息,包括从Virustotal获取文件信誉源,从Alexa获取流量源等,通过对多个不同的信息源进行集成,从而对失陷指标数据进行自动富化,扩充特征数据量,从而得出该失陷指标的风险信息、历史信息、潜在影响。
三、评分模块
对于正在处理中的失陷指标数据,工单跟踪服务在每一个节点处理完成后,会实时打开并更新整个工作流的记录数据,并持续对整个工作流进行跟踪。
对于富化后的数据,引擎对比通过该失陷指标确定威胁信息的准确率得出其信誉度,通过对比该失陷指标的出现频率得出其流行度信息,剔除边缘信息而只保留失陷指标关键数据。
对于已经处理过的失陷指标数据,引擎会生成工单,工单内容包括失陷指标数据信息、信誉度、流行度等关键信息,并将其存储于工单服务器中,根据该关键信息可以判定该失陷指标是否可被界定为真实的失陷数据,其对应的安全事件是否可被确定是已经存在的风险。
四、处置模块
对于已完成的工单信息,可以部分抽取地或者根据某些特征划分的方式从引擎传递给人工审核,由安全工程师进行信息确认,进一步提高检测的可信度,同时在确认完成后,人工审核节点需要返回处置方案给引擎,否则执行默认方案。
引擎将行动方案推送给安全设备进行执行,进行自动化防御。
威胁数据库根据最终检测结果更新自身威胁数据库的黑名单及白名单规则,并在本地富化源中的数据库增加数据。
安全设备执行处置方案结束,工单跟踪系统向工单服务器提交最终的数据并触发整个工单流程结束。
通过本发明实施例所提供的处理方法,可以实现获取疑似的多个场景安全事件数据时,可以自动化地集成其他第三方数据源并以同类的数据对其进行富化,从而准确地判断是否存在相应的安全威胁事件,可以提高评估速度,节约宝贵的安全工程师资源,同时降低虚警,提高威胁情报的质量,加快威胁情报在各组织间共享的效率。
Claims (7)
1.一种集成自适应失陷指标处理系统,其特征在于,包括TAXII服务器,所述TAXII服务器输出端连接引擎,所述引擎分别连接威胁数据库、富化源、工单服务器、人工审核和安全设备;
所述TAXII服务器用于对威胁源收集与整理;
所述引擎用于对各部分处理过程进行协调和调度;
所述TAXII服务器将网络空间中的安全防护体系所发现的不同种类威胁信息的失陷指标进行收集与整理,将其转化为标准的TAXII格式,并推送给引擎;
所述引擎是整个系统的处理中枢,负责各个部件之间的数据传递,协调系统中流程的有序执行;
所述威胁数据库用于接收引擎推送的TAXII数据,根据白名单和黑名单规则进行过滤,并进行存储,形成TAXII格式失陷指标数据库;
所述富化源从历史数据库、开源威胁情报库或者爬虫获取的第三方安全风险数据库获取富化数据源,与威胁数据库数据比对,得出准确的失陷指标的流行性、适用性、可信度、潜在影响数据;
所述工单服务器根据引擎处理的流程,生成威胁工单;
所述人工审核通过安全管理员审核已生成的工单内容,并根据工单内容制定处置方案(COA)或者在某些节点修改已有方案;
所述安全设备对处置方案作出响应,安全设备包含防火墙、IPS、WAF安全防护设备,阻断系统对整个威胁信息的报警,并关闭对应的工单。
2.根据权利要求1所述的一种集成自适应失陷指标处理系统,其特征在于,所述威胁工单的内容包含失陷指标、威胁评分、网络内被发现频率。
3.根据权利要求1所述的一种集成自适应失陷指标处理系统,其特征在于,所述处理系统的处理流程包括以下部分;
解析模块:TAXII服务器从各安全终端获取疑似威胁行为,进行数据获取与归并,并将其解析存储为标准的TAXII格式;
富化模块:对于待确认的失陷指标,引擎根据失陷指标类型通过比对历史数据以及第三方数据源对数据进行富化;
评分模块:对于已富化完成的数据,对其进行评分,判断其是否为真实的威胁行为;
处置模块:对于已确认的失陷指标,将其交由人工审核确定处置方案,并调度安全设备执行处置方案完成威胁阻断,用已确认的失陷指标更新富化数据库。
4.根据权利要求3所述的一种集成自适应失陷指标处理系统,其特征在于,所述解析模块中的疑似威胁行为包括异常出站网络流量、高权限帐户异常活动、地理不规则、登录危险信号、数据库读取量增加、HTML响应大小、对同一文件的大量请求、不匹配的端口应用程序流量、可疑的注册表或系统文件更改、异常DNS请求、系统意外修补、移动设备配置文件更改、数据包放错地方、非人类行为的网络流量、DDoS活动迹象。
5.根据权利要求3所述的一种集成自适应失陷指标处理系统,其特征在于,所述TAXII服务器通过对所有的疑似威胁行为通过捕获数据、分析数据从而形成完整的适用的失陷指标,并将其转换成标准的TAXII格式,并将其与具体的攻击行为相关联;
TAXII服务器将新发现的数据发送给引擎,引擎将数据推送给威胁数据库,由威胁数据库进行处理。
6.根据权利要求3所述的一种集成自适应失陷指标处理系统,其特征在于,所述威胁数据库接收失陷指标数据,并根据组织黑名单、白名单机制进行过滤,若该失陷指标数据已列入白名单则会忽略;若被列入黑名单则会交由引擎直接出发阻断流程;若不存在于黑名单和白名单中,则将其存储到威胁数据库;
对于威胁数据库中的数据,引擎会触发流程:
(1)调取历史日志库数据,通过比对、关联分析从而确定该失陷指标在网络空间中的历史记录;
(2)拉取第三方富化源数据,通过增加数据量从而得出该失陷指标的风险信息、历史信息、潜在影响。
7.根据权利要求3所述的一种集成自适应失陷指标处理系统,其特征在于,所述处置模块具体为:
对于每一个失陷指标的处理过程,生成工单,每个工单包含了该失陷指标的关键数据信息、可信度、流行程度等指标,并存储于工单服务器;
引擎根据规则从工单服务器中提取工单交由人工审核,人工审核完成后将处置方案回传给引擎;
引擎将处置方案传递给安全设备进行阻断安全防御操作;
安全设备执行处置方案触发工单跟踪服务结束整个流程;
引擎根据已确认失陷指标数据更新本地富化源。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110398044.4A CN113067835B (zh) | 2021-04-14 | 2021-04-14 | 一种集成自适应失陷指标处理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110398044.4A CN113067835B (zh) | 2021-04-14 | 2021-04-14 | 一种集成自适应失陷指标处理系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113067835A CN113067835A (zh) | 2021-07-02 |
CN113067835B true CN113067835B (zh) | 2022-07-15 |
Family
ID=76566749
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110398044.4A Active CN113067835B (zh) | 2021-04-14 | 2021-04-14 | 一种集成自适应失陷指标处理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113067835B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115037500B (zh) * | 2022-04-07 | 2024-02-13 | 水利部信息中心 | 一种基于配置文件检测挖矿失陷主机的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107800685A (zh) * | 2017-07-03 | 2018-03-13 | 南京骏腾信息技术有限公司 | 基于威胁情报的智能安全防御平台 |
CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
CN111212035A (zh) * | 2019-12-19 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种主机失陷确认及自动修复方法及基于此的系统 |
CN111770106A (zh) * | 2020-07-07 | 2020-10-13 | 杭州安恒信息技术股份有限公司 | 数据威胁分析的方法、装置、系统、电子装置和存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7313695B2 (en) * | 2004-03-23 | 2007-12-25 | Sourcefire, Inc. | Systems and methods for dynamic threat assessment |
US20180034837A1 (en) * | 2016-07-27 | 2018-02-01 | Ss8 Networks, Inc. | Identifying compromised computing devices in a network |
US10681062B2 (en) * | 2016-11-02 | 2020-06-09 | Accenture Global Solutions Limited | Incident triage scoring engine |
CN106713286A (zh) * | 2016-12-07 | 2017-05-24 | 广东电网有限责任公司电力科学研究院 | 基于多级认证和疑似攻击隔离的电力数据传输系统 |
CN111245787A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 一种失陷设备识别与设备失陷度评估的方法、装置 |
-
2021
- 2021-04-14 CN CN202110398044.4A patent/CN113067835B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107800685A (zh) * | 2017-07-03 | 2018-03-13 | 南京骏腾信息技术有限公司 | 基于威胁情报的智能安全防御平台 |
CN110535855A (zh) * | 2019-08-28 | 2019-12-03 | 北京安御道合科技有限公司 | 一种网络事件监测分析方法和系统、信息数据处理终端 |
CN111212035A (zh) * | 2019-12-19 | 2020-05-29 | 杭州安恒信息技术股份有限公司 | 一种主机失陷确认及自动修复方法及基于此的系统 |
CN111770106A (zh) * | 2020-07-07 | 2020-10-13 | 杭州安恒信息技术股份有限公司 | 数据威胁分析的方法、装置、系统、电子装置和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113067835A (zh) | 2021-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
CN112787992B (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
CN102594783B (zh) | 一种网络安全应急响应方法 | |
CN109587125B (zh) | 一种网络安全大数据分析方法、系统及相关装置 | |
CN107438079A (zh) | 一种网站未知异常行为的检测方法 | |
CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
CN114363044B (zh) | 一种分层告警方法、系统、存储介质和终端 | |
CN111428248A (zh) | 一种基于等级赋分的漏洞降噪识别方法及系统 | |
CN105812200A (zh) | 异常行为检测方法及装置 | |
CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
CN110266670A (zh) | 一种终端网络外联行为的处理方法及装置 | |
CN109005162B (zh) | 工控系统安全审计方法及装置 | |
CN112039862A (zh) | 一种面向多维立体网络的安全事件预警方法 | |
KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
CN105825129A (zh) | 一种融合通信中恶意软件鉴别方法和系统 | |
CN113067835B (zh) | 一种集成自适应失陷指标处理系统 | |
CN113672939A (zh) | 一种终端行为告警溯源分析的方法、装置、设备及介质 | |
KR20080079767A (ko) | 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 | |
CN113381980B (zh) | 信息安全防御方法及系统、电子设备、存储介质 | |
CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
CN111126729A (zh) | 智能化的安全事件闭环处置系统及其方法 | |
CN111625700B (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
CN116647389A (zh) | 一种工业控制系统网络访问安全性预警系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |