CN113225356A - 一种基于ttp的网络安全威胁狩猎方法及网络设备 - Google Patents
一种基于ttp的网络安全威胁狩猎方法及网络设备 Download PDFInfo
- Publication number
- CN113225356A CN113225356A CN202110770082.8A CN202110770082A CN113225356A CN 113225356 A CN113225356 A CN 113225356A CN 202110770082 A CN202110770082 A CN 202110770082A CN 113225356 A CN113225356 A CN 113225356A
- Authority
- CN
- China
- Prior art keywords
- information
- model
- ttp
- snapshot
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000012545 processing Methods 0.000 claims abstract description 25
- 230000006399 behavior Effects 0.000 claims description 106
- 230000008520 organization Effects 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 8
- 238000012216 screening Methods 0.000 claims description 5
- 238000013461 design Methods 0.000 description 18
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于TTP的网络安全威胁狩猎方法及网络设备,该方法包括:获取历史网络攻击事件信息,并对历史网络攻击事件信息进行分析处理,获得TTP规则模型;获取终端设备当前运行状态的相关数据,基于相关数据建立快照,获得快照模型;基于TTP规则模型对快照模型进行匹配处理,得到包含快照模型的匹配分值的匹配结果,并基于匹配结果判断是否达到威胁标准;若匹配分值大于或等于第一预设阈值,则确定达到威胁标准,输出用于警示终端设备受到网络安全威胁的告警信息;或者,若匹配分值小于第一预设阈值,则确定未达到威胁标准,结束检测网络安全威胁。通过这种方式,可以兼容各种终端设备,兼容性较好,还可以降低对实体文件程序的依赖程度。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种基于TTP的网络安全威胁狩猎方法及网络设备。
背景技术
目前,通常是利用木马程序的二进制特征和敏感行为规则,进行网络威胁狩猎。比如,当木马程序在运行或者被用户对其木马程序实体进行文件操作时,使用上述规则进行匹配,以达到检测发现木马的目的。
上述威胁狩猎方法需要对现有的木马程序提取二进制特征,还需从驱动层监控终端设备的运行行为才能完成威胁狩猎工作。因此,上述威胁狩猎方法的规则对各种终端设备不通用,兼容性较差,且硬盘中必须存在实体的文件程序,对实体文件程序的依赖程度较高。
发明内容
基于此,本申请提供一种基于TTP的网络安全威胁狩猎方法及网络设备,用于提高威胁狩猎方法的规则对各种终端设备的兼容性,以及降低对实体文件程序的依赖程度。
第一方面,本申请实施例提供一种基于TTP的网络安全威胁狩猎方法,包括:
获取历史网络攻击事件信息,并对所述历史网络攻击事件信息进行分析处理,获得TTP规则模型,所述TTP规则模型用于判断网络安全威胁;
获取终端设备当前运行状态的相关数据,基于所述相关数据建立快照,获得快照模型,所述快照模型用于确定攻击事件的行为;
基于所述TTP规则模型对所述快照模型进行匹配处理,得到匹配结果,并基于所述匹配结果判断是否达到威胁标准,所述匹配结果包含所述快照模型的匹配分值;
若所述匹配分值大于或等于第一预设阈值,则确定达到威胁标准,输出告警信息,所述告警信息用于警示所述终端设备受到网络安全威胁;或者,
若所述匹配分值小于所述第一预设阈值,则确定未达到威胁标准,结束检测网络安全威胁。
在一种可能的设计中,对所述历史网络攻击事件信息进行分析处理,获得TTP规则模型,包括:
针对多个攻击组织,对所述历史网络攻击事件信息包含的多个攻击事件进行筛选分类,获得多组攻击事件,所述多个攻击组织和所述多组攻击事件一一对应;
基于所述TTP规则模型的框架,提取所述多组攻击事件中的任一组攻击事件包含的各项信息,所述各项信息包括攻击路径、注册表信息和启动项信息、文件实体、网络行为和进程自启动方式中的至少两种;
基于所述任一组攻击事件包含的各项信息,生成行为模型和确定所述任一组攻击事件所属的恶意家族;
基于所述任一组攻击事件所属的恶意家族,设置所述行为模型中的各个元素的权重,获得所述TTP规则模型。
在一种可能的设计中,所述相关数据包含:所述终端设备当前运行状态的进程列表和模块信息、内存数据、注册表信息、启动项信息、网络连接信息、计划任务信息、日志信息中的至少两种;
基于所述相关数据建立快照,获得快照模型,包括:
对所述相关数据包含的各项数据分别建立快照;
将建立快照后的各项数据划分为攻击事件的各个行为,获得所述快照模型。
在一种可能的设计中,基于所述TTP规则模型对所述快照模型进行匹配处理,得到匹配结果,包括:
将所述快照模型对应的文件实体、进程、网络连接进行关联,生成TTP图谱;
根据所述TTP规则模型对所述TTP图谱进行模式匹配,将命中攻击事件的各个行为中的行为划分为必选匹配行为,将所述各个行为中除去所述必选匹配行为之外的行为划分为可选匹配行为;
对所述必选匹配行为和所述可选匹配行为进行权重计数,得到所述快照模型的权重分数;
基于所述权重分数计算所述快照模型的匹配分值,获得所述匹配结果。
在一种可能的设计中,结束检测网络安全威胁之前,所述方法还包括:
确定所述匹配分值是否大于或等于第二预设阈值,所述第二预设阈值小于所述第一预设阈值;
若所述匹配分值大于或等于所述第二预设阈值,则输出第一提示信息,所述第一提示信息用于提示进行人工干预,由人工判断攻击者是否改动了攻击行为信息;或者,
若所述匹配分值小于所述第二预设阈值,则确定不存在网络安全威胁,或者输出第二提示信息,所述第二提示信息用于提示进行人工干预,由人工判断所述快照模型是否存在新的攻击组织的攻击行为信息。
在一种可能的设计中,输出第一提示信息之后,所述方法还包括:
接收第一操作指令信息,所述第一操作指令信息用于提示需要输出所述告警信息;基于所述第一操作指示信息,输出所述告警信息;
输出第二提示信息之后,所述方法还包括:
接收第二操作指令信息,所述第二操作指令信息用于提示需要更新所述TTP规则模型;基于所述第二操作指示信息,根据所述新的攻击组织的攻击行为信息更新所述TTP规则模型。
在一种可能的设计中,输出告警信息之后,所述方法还包括:
反馈当前的快照模型、当前的TTP规则模型和所述告警信息;
基于所述当前的快照模型、所述当前的TTP规则模型和所述告警信息,确定新的网络攻击事件信息;
基于所述新的网络攻击事件信息更新所述TTP规则模型。
第二方面,本申请实施例提供一种网络设备,包括:
处理单元,用于:获取历史网络攻击事件信息,并对所述历史网络攻击事件信息进行分析处理,获得TTP规则模型,所述TTP规则模型用于判断网络安全威胁;获取终端设备当前运行状态的相关数据,基于所述相关数据建立快照,获得快照模型,所述快照模型用于确定攻击事件的行为;基于所述TTP规则模型对所述快照模型进行匹配处理,得到匹配结果;
判断单元,用于:基于所述匹配结果判断是否达到威胁标准,所述匹配结果包含所述快照模型的匹配分值;若所述匹配分值大于或等于第一预设阈值,则确定达到威胁标准,输出告警信息,所述告警信息用于警示所述终端设备受到网络安全威胁;或者,若所述匹配分值小于所述第一预设阈值,则确定未达到威胁标准,结束检测网络安全威胁。
在一种可能的设计中,所述处理单元具体用于:
针对多个攻击组织,对所述历史网络攻击事件信息包含的多个攻击事件进行筛选分类,获得多组攻击事件,所述多个攻击组织和所述多组攻击事件一一对应;
基于所述TTP规则模型的框架,提取所述多组攻击事件中的任一组攻击事件包含的各项信息,所述各项信息包括攻击路径、注册表信息和启动项信息、文件实体、网络行为和进程自启动方式中的至少两种;
基于所述任一组攻击事件包含的各项信息,生成行为模型和确定所述任一组攻击事件所属的恶意家族;
基于所述任一组攻击事件所属的恶意家族,设置所述行为模型中的各个元素的权重,获得所述TTP规则模型。
在一种可能的设计中,所述相关数据包含:所述终端设备当前运行状态的进程列表和模块信息、内存数据、注册表信息、启动项信息、网络连接信息、计划任务信息、日志信息中的至少两种;
所述处理单元具体用于:
对所述相关数据包含的各项数据分别建立快照;
将建立快照后的各项数据划分为攻击事件的各个行为,获得所述快照模型。
在一种可能的设计中,所述判断单元具体用于:
将所述快照模型对应的文件实体、进程、网络连接进行关联,生成TTP图谱;
根据所述TTP规则模型对所述TTP图谱进行模式匹配,将命中攻击事件的各个行为中的行为划分为必选匹配行为,将所述各个行为中除去所述必选匹配行为之外的行为划分为可选匹配行为;
对所述必选匹配行为和所述可选匹配行为进行权重计数,得到所述快照模型的权重分数;
基于所述权重分数计算所述快照模型的匹配分值,获得所述匹配结果。
在一种可能的设计中,所述判断单元还用于:
确定所述匹配分值是否大于或等于第二预设阈值,所述第二预设阈值小于所述第一预设阈值;
若所述匹配分值大于或等于所述第二预设阈值,则输出第一提示信息,所述第一提示信息用于提示进行人工干预,由人工判断攻击者是否改动了攻击行为信息;或者,
若所述匹配分值小于所述第二预设阈值,则确定不存在网络安全威胁,或者输出第二提示信息,所述第二提示信息用于提示进行人工干预,由人工判断所述快照模型是否存在新的攻击组织的攻击行为信息。
在一种可能的设计中,所述判断单元还用于:
接收第一操作指令信息,所述第一操作指令信息用于提示需要输出所述告警信息;基于所述第一操作指示信息,输出所述告警信息;
所述判断单元还用于:
接收第二操作指令信息,所述第二操作指令信息用于提示需要更新所述TTP规则模型;基于所述第二操作指示信息,根据所述新的攻击组织的攻击行为信息更新所述TTP规则模型。
在一种可能的设计中,所述判断单元还用于:
反馈当前的快照模型、当前的TTP规则模型和所述告警信息;
所述处理单元还用于:
基于所述当前的快照模型、所述当前的TTP规则模型和所述告警信息,确定新的网络攻击事件信息;
基于所述新的网络攻击事件信息更新所述TTP规则模型。
本申请的有益效果如下:
在本申请实施例提供的技术方案中,通过获取历史网络攻击事件信息,并对历史网络攻击事件信息进行分析处理,获得TTP规则模型, TTP规则模型用于判断网络安全威胁;获取终端设备当前运行状态的相关数据,基于相关数据建立快照,获得快照模型,快照模型用于确定攻击事件的行为;基于TTP规则模型对快照模型进行匹配处理,得到匹配结果,并基于匹配结果判断是否达到威胁标准,匹配结果包含快照模型的匹配分值;若匹配分值大于或等于第一预设阈值,则确定达到威胁标准,输出告警信息,告警信息用于警示终端设备受到网络安全威胁;或者,若匹配分值小于第一预设阈值,则确定未达到威胁标准,结束检测网络安全威胁。通过这种方式,可以兼容各种终端设备,兼容性较好,还可以降低对实体文件程序的依赖程度。
附图说明
图1为本申请实施例提供的一种基于TTP的网络安全威胁狩猎方法的流程示意图;
图2为本申请实施例提供的一种终端设备的结构示意图;
图3为本申请实施例提供的一种基于TTP的网络安全威胁狩猎方法的流程示意图;
图4为本申请实施例提供的一种网络设备的结构示意图;
图5为本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
为了便于理解本申请实施例提供的技术方案,下面将结合附图详细介绍本申请实施例提供的技术方案。
以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。还应当理解,本文中使用的术语“多个”是指包含至少两个。
除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。比如,第一预设阈值和第二预设阈值仅是为了说明这两个预设阈值是不同的阈值。
下面将结合图1-2对本申请实施例提供的基于战术、技术和程序(Tactics,Techniques, and Procedures,TTP)的网络安全威胁狩猎方法进行具体阐述。
如图1所示,以执行主体为终端设备为例,本申请实施例提供的基于TTP的网络安全威胁狩猎方法的流程可以包括如下步骤:
S101、获取历史网络攻击事件信息,并对历史网络攻击事件信息进行分析处理,获得TTP规则模型,TTP规则模型用于判断网络安全威胁。
在一些实施例中,历史网络攻击信息可以存储在终端设备中,也可以存储在其他设备(如与终端设备连接的云端、外部存储器等)中,本申请实施例不限定。
在一些实施例中,由于任意一个攻击组织对终端设备进攻击时会产生相应的攻击事件,终端设备可以根据多个攻击组织,对历史网络攻击事件信息包含的多个攻击事件进行筛选分类,获得多组攻击事件。其中,多个攻击组织和多组攻击事件一一对应。
在一些实施例中,终端设备可以基于TTP规则模型的框架,提取多组攻击事件中的任一组攻击事件包含的各项信息。其中,该各项信息可以包括但不限于:攻击路径、注册表信息和启动项信息、文件实体、网络行为和进程自启动方式中的至少两种。终端设备可以基于任一组攻击事件包含的各项信息,生成行为模型和确定任一组攻击事件所属的恶意家族。终端设备还可以基于任一组攻击事件所属的恶意家族,设置行为模型中的各个元素的权重,获得TTP规则模型。
S102、获取终端设备当前运行状态的相关数据,基于相关数据建立快照,获得快照模型,快照模型用于确定攻击事件的行为。
在一些实施例中,终端设备当前运行状态的相关数据可以包含但不限于:进程列表和模块信息、内存数据、注册表信息、启动项信息、网络连接信息、计划任务信息、日志信息中的至少两种。
在一些实施例中,终端设备可以对对相关数据包含的各项数据分别建立快照。比如,终端设备可以对当前运行状态的内存数据建立快照,还可以对当前运行状态的启动项信息建立快照,等等。终端设备可以将建立快照后的各项数据划分为攻击事件的各个行为,获得快照模型。
需要说明的是,本申请实施例不限定步骤S101和步骤S102之间的执行顺序,即终端设备可以先执行步骤S101,再执行步骤S102,或者,可以先执行步骤S102,再执行步骤S101,或者,也可以同步执行步骤S101和步骤S102。
S103、基于TTP规则模型对快照模型进行匹配处理,得到匹配结果,并基于匹配结果判断是否达到威胁标准,匹配结果包含快照模型的匹配分值。
在一些实施例中,终端设备可以将快照模型对应的文件实体、进程、网络连接进行关联,生成TTP图谱。然后,终端设备可以根据TTP规则模型对TTP图谱进行模式匹配,将命中攻击事件的各个行为中的行为划分为必选匹配行为,以及将各个行为除去必选匹配行为之外的行为划分为可选匹配行为。终端设备可以对必选匹配行为和可选匹配行为进行权重计数,得到快照模型的权重分数。之后,终端设备可以基于权重分数计算快照模型的匹配分值,获得匹配结果。
作为一种示例,请参考表1所示,为本申请实施例提供的一种攻击事件的各个行为与权重分数之间的关系。
表1
命中攻击事件的行为 | 权重分数(满分100) |
存在相同恶意家族文件实体 | 20 |
存在恶意网络连接 | 20 |
存在进程信息和模块 | 15 |
存在注册表信息 | 10 |
存在计划任务信息 | 10 |
存在自启动项 | 10 |
存在相关日志 | 10 |
存在相关内存数据 | 5 |
示例性的,如表1所示,攻击事件的行为可以包括:存在相同恶意家族文件实体、存在恶意网络连接、存在进程信息和模块、存在注册表信息、存在计划任务信息、存在自启动项、存在相关日志、存在相关内存数据。若终端设备基于根据TTP规则模型对TTP图谱进行模式匹配,命中的攻击事件行为包含存在相同恶意家族文件实体、存在自启动项、存在相关日志和存在相关内存数据,则可以将存在相同恶意家族文件实体、存在自启动项、存在相关日志和存在相关内存数据划分为必选匹配行为,以及将存在恶意网络连接、存在进程信息和模块、存在注册表信息和存在计划任务信息划分为可选匹配行为。
示例性的,终端设备可以将存在相同恶意家族文件实体、存在自启动项、存在相关日志和存在相关内存数据各自对应的权重设置为1,将存在恶意网络连接、存在进程信息和模块、存在注册表信息和存在计划任务信息各自对应的权重设置为0。如表1所示,终端设备计算得到快照模型的权重分数可以分别为20、0、0、0、0、10、10、5。终端设备基于快照模型的权重分数计算得到的匹配分值可以是45。
S104、若匹配分值大于等于第一预设阈值,则确定达到威胁标准,输出告警信息,告警信息用于警示终端设备受到网络安全威胁。
在一些实施例中,终端设备可以通过快照模型的匹配分值判断终端设备是否存在网络安全威胁。比如,终端设备可以根据快照模型的匹配分值和第一预设阈值的比较结果来判断终端设备是否存在网络安全威胁。比如,当终端设备确定快照模型的匹配分值大于或等于第一预设阈值时,则确定达到威胁标准,即确定终端设备受到网络安全威胁,此时,终端设备可以输出告警信息,用于警示终端设备受到网络安全威胁,以便于用户采取相应的措施解决该网络安全威胁。示例性的,终端设备可以在显示屏显示该告警信息,该告警信息的内容可以为“终端设备当前受到网络安全威胁”。
示例性的,第一预设阈值可以设置为65。当快照模型的匹配分值为70时,终端设备可以确定快照模型的匹配分值大于65,达到威胁标准,存在网络安全威胁,则可以输出告警信息。
在一些实施例中,终端设备输出告警信息后,还可以反馈当前的快照模型、当前的TTP规则模型和告警信息。终端设备可以基于当前的快照模型、当前的TTP规则模型和告警信息,确定新的网络攻击事件信息,之后,可以基于新的网络攻击事件信息更新TTP规则模型。
本申请实施例中,通过在输出告警信息之后,确定新的网络攻击事件信息,再根据新的网络攻击事件信息更新TTP规则模型,可以提高TTP规则模型与快照模型的准确性,进一步的可以提高发现网络安全威胁的可能性。
S105、若匹配分值小于第一预设阈值,则确定未达到威胁标准,结束检测网络安全威胁。
在一些实施例中,当终端设备确定快照模型的匹配分值小于第一预设阈值时,则确定未达到威胁标准,即终端设备未受到网络安全威胁,终端设备可以结束检测网络安全威胁。
示例性的,仍以第一预设阈值为65为例。若快照模型的匹配分值为45,那么终端设备可以确定快照模型的匹配分值小于65,未达到威胁标准,不存在网络安全威胁,则可以结束检测网络安全威胁。
本申请实施例中,是通过前期对历史网络攻击事件信息进行分析处理获得TTP规则模型,以及对终端设备运行状态的相关数据建立快照获得快照模型,再根据TTP规则模型对快照模型进行匹配处理,无需从驱动层监控终端设备的运行行为,即可以根据匹配结果确定终端设备是否存在网络安全威胁,可以兼容各种终端设备,兼容性较好。此外,通过对终端设备运行状态的相关数据建立快照获得快照模型,可以降低对实体文件程序的依赖程度。
本申请实施例中,通过将攻击事件的行为的检测范围扩展到网络连接、注册表、启动项、服务、计划任务、特定目录和内存等,从而可以提高对网络安全威胁的狩猎能力,进一步的,可以提高检测终端设备的网络安全威胁的成功率。
在一些实施例中,终端设备在确定未达到威胁标准,结束检测网络安全威胁之前,还可以根据快照模型的匹配分值进一步通过人工干预进一步的判断终端设备是否受到网络安全威胁。
下面具体介绍终端设备根据快照模型的匹配分值进一步通过人工干预进一步的判断终端设备是否受到网络安全威胁的过程。
在一些实施例中,终端设备通过确定快照模型的匹配分值是否大于或等于第二预设阈值,来确定是否需要通过人工干预判断终端设备是否受到网络安全威胁。其中,第二预设阈值可以设置小于第一预设阈值。
在一些实施例,若快照模型的匹配分值大于或等于第二预设阈值,终端设备可以确定需要通过人工干预判断终端设备是否受到网络安全威胁,则输出提示信息,用于提示进行人工干预,由人工判断攻击者是否改动了攻击行为信息。比如,由人工判断攻击者改动了攻击行为而导致只命中了一部分的行为特征,使得快照模型的匹配分值存在差异。
示例性的,第二预设阈值可以设置为30。仍以第一预设阈值为65为例,当快照模型的匹配分值为45时,终端设备可以确定快照模型的匹配分值介于30和65之间,需要通过人工干预判断终端设备是否受到网络安全威胁。
在一些实施例中,当人工判断攻击者改动了攻击行为信息时,可以人工操作终端设备,以提示终端设备输出告警信息。对于终端设备而言,终端设备可以接收操作指令信息,根据该操作指令信息输出告警信息,之后,反馈当前的快照模型、当前的TTP规则模型和告警信息,再基于当前的快照模型、当前的TTP规则模型和告警信息,确定新的网络攻击事件信息,基于新的网络攻击事件信息更新TTP规则模型。
示例性的,请参考表1所示,当通过人工判断攻击者改动了计划任务信息和自启动项信息而导致无法命中攻击行为如存在计划任务信息和存在自启动项信息时,可以人工操作终端设备,以提示终端设备输出告警信息。
在另一些实施例中,若匹配分值小于第二预设阈值,终端设备则可以确定不存在网络安全威胁,此时可以结束检测网络安全威胁。或者,终端设备可以输出第二提示信息,用于提示进行人工干预,由人工判断快照模型是否存在新的攻击组织的攻击行为信息。
示例性的,以第二预设阈值为30为例,当快照模型的匹配分值为0时,终端设备可以确定快照模型的匹配分值小于30,则可以确定不存在网络安全威胁,此时可以结束检测网络安全威胁。或者,当快照模型的匹配分值为20时,终端设备可以确定快照模型的匹配分值小于30,则可以确定需要通过人工判断快照模型是否存在新的攻击组织的攻击行为信息。
在另一些实施例中,当人工判断该快照模型存在新的攻击组织的攻击行为信息时,可以人工操作终端设备,以提示终端设备根据新的攻击组织的攻击行为信息更新TTP规则模型。对于终端设备而言,终端设备可以接收第二操作指令信息,再基于第二操作指示信息,根据新的攻击组织的攻击行为信息更新TTP规则模型。
本申请实施例中,在快照模型的匹配分值小于第一预设阈值时,通过增加人工干预环节,可以提高判断终端设备是否受到网络安全威胁的准确性。通过在人工确定攻击者改动攻击行为信息,快照模型存在新的攻击组织的攻击行为信息时,更新TTP模型,可以进一步提高TTP模型与快照模型的匹配性,进一步的,可以提高网络安全威胁的狩猎能力。
需要说明的是,本文是以基于TTP的网络安全威胁狩猎方法的执行主体为终端设备为例,本申请实施例不限定该方法的执行主体。比如,在具体的实现过程中,该方法的执行还可以是与终端设备进行通信的设备。
基于同一发明构思,本申请实施例提供了一种网络设备。其中,该网络设备可以是上述终端设备,也可以是以上述终端设备进行通信的设备。
如图2所示,该网络设备200可以包括:TTP规则处理模块201、TTP规则存储模块202、威胁狩猎引擎模块203、解析模块204和判断模块205。
结合图1-3所示,网络设备执行基于TTP的网络安全威胁狩猎方法的具体过程可以如下:
S301、TTP规则处理模块201获取历史网络攻击事件信息。
S302、TTP规则处理模块201对历史网络攻击事件信息进行分析处理,获得TTP规则,基于TTP规则形成TTP规则模型,并由TTP规则存储模块202存储TTP规则模型。
在一些实施例中,上述步骤S301-S302的具体实施过程可以参见上述步骤S101的实施过程,在此不再赘述。
S303、TTP规则存储模块202为威胁狩猎引擎模块203提供TTP规则模型。
S304、威胁狩猎引擎模块203获取终端设备当前运行状态的相关数据,并为相关数据分别建立快照,得到快照模型,并为解析模块204提供快照模型和TTP规则模型。
在一些实施例中,步骤S304的具体实施过程可以参见上述步骤S102的实施过程,在此不再赘述。
S305、解析模块204基于TTP规则模型对快照模型进行匹配处理,得到匹配结果,并为判断模块205提供匹配结果。
在一些实施例中,上述步骤S305的具体实施过程可以参见上述步骤S103的实施过程,在此不再赘述。
S306、判断模块205基于判断结果判断是否达到威胁标准。若达到威胁标准,执行S307。或者,若未达到威胁标准,执行S310。
S307、判断模块205输出告警信息,并返回当前的快照模型、当前的TTP规则模型和告警信息给威胁狩猎引擎模块203。
S308、威胁狩猎引擎模块203根据当前的快照模型、当前的TTP规则模型和告警信息确定新的网络攻击事件信息,并将新的网络攻击事件信息发送给TTP规则处理模块201。
S309、TTP规则处理模块201根据新的网络攻击事件信息更新TTP规则存储模块202中存储的TTP规则模型。
在一些实施例中,上述步骤S306-S309的具体实施过程可以参见上述步骤S104的实施过程,在此不再赘述。
S310、结束检测网络安全威胁检测。
基于同一发明构思,本申请实施例还提供一种网络设备,该终端设备可以是上述终端设备,也可以是与上述终端设备进行通信的其他设备。
示例性的,如图4所示,网络设备400可以包括:
处理单元401,用于:获取历史网络攻击事件信息,并对历史网络攻击事件信息进行分析处理,获得TTP规则模型,TTP规则模型用于判断网络安全威胁;获取终端设备当前运行状态的相关数据,基于相关数据建立快照,获得快照模型,快照模型用于确定攻击事件的行为;基于TTP规则模型对快照模型进行匹配处理,得到匹配结果;
判断单元402,用于:基于匹配结果判断是否达到威胁标准,匹配结果包含快照模型的匹配分值;若匹配分值大于或等于第一预设阈值,则确定达到威胁标准,输出告警信息,告警信息用于警示终端设备受到网络安全威胁;或者,若匹配分值小于第一预设阈值,则确定未达到威胁标准,结束检测网络安全威胁。
在一种可能的设计中,处理单元401具体用于:
针对多个攻击组织,对历史网络攻击事件信息包含的多个攻击事件进行筛选分类,获得多组攻击事件,多个攻击组织和多组攻击事件一一对应;
基于TTP规则模型的框架,提取多组攻击事件中的任一组攻击事件包含的各项信息,各项信息包括攻击路径、注册表信息和启动项信息、文件实体、网络行为和进程自启动方式中的至少两种;
基于任一组攻击事件包含的各项信息,生成行为模型和确定任一组攻击事件所属的恶意家族;
基于任一组攻击事件所属的恶意家族,设置行为模型中的各个元素的权重,获得TTP规则模型。
在一种可能的设计中,相关数据包含:终端设备当前运行状态的进程列表和模块信息、内存数据、注册表信息、启动项信息、网络连接信息、计划任务信息、日志信息中的至少两种;
处理单元401具体用于:
对相关数据包含的各项数据分别建立快照;
将建立快照后的各项数据划分为攻击事件的各个行为,获得快照模型。
在一种可能的设计中,判断单元402具体用于:
将快照模型对应的文件实体、进程、网络连接进行关联,生成TTP图谱;
根据TTP规则模型对TTP图谱进行模式匹配,将命中攻击事件的各个行为中的行为划分为必选匹配行为,将各个行为中除去必选匹配行为之外的行为划分为可选匹配行为;
对必选匹配行为和可选匹配行为进行权重计数,得到快照模型的权重分数;
基于所述权重分数计算快照模型的匹配分值,获得匹配结果。
在一种可能的设计中,判断单元402还用于:
确定匹配分值是否大于或等于第二预设阈值,第二预设阈值小于第一预设阈值;
若匹配分值大于或等于第二预设阈值,则输出第一提示信息,第一提示信息用于提示进行人工干预,由人工判断攻击者是否改动了攻击行为信息;或者,
若匹配分值小于第二预设阈值,则确定不存在网络安全威胁,或者输出第二提示信息,第二提示信息用于提示进行人工干预,由人工判断快照模型是否存在新的攻击组织的攻击行为信息。
在一种可能的设计中,判断单元402还用于:
接收第一操作指令信息,第一操作指令信息用于提示需要输出告警信息;基于第一操作指示信息,输出告警信息;
判断单元402还用于:
接收第二操作指令信息,第二操作指令信息用于提示需要更新TTP规则模型;基于第二操作指示信息,根据新的攻击组织的攻击行为信息更新TTP规则模型。
在一种可能的设计中,判断单元402还用于:
反馈当前的快照模型、当前的TTP规则模型和告警信息;
处理单元401还用于:
基于当前的快照模型、当前的TTP规则模型和告警信息,确定新的网络攻击事件信息;
基于新的网络攻击事件信息更新TTP规则模型。
本申请实施例中的网络设备400与上述图1所示的基于TTP的网络安全威胁狩猎方法是基于同一构思下的发明,通过前述对基于TTP的网络安全威胁狩猎方法的详细描述,本领域技术人员可以清楚的了解本实施例中网络设备400的实施过程,所以为了说明书的简洁,在此不再赘述。
基于同一发明构思,本申请实施例还提供一种终端设备,该终端设备可以是上述终端设备,也可以是与上述终端设备进行通信的其他设备。
示例性的,如图5所示,网络设备500可以包括:至少一个存储器501和至少一个处理器502。其中:
至少一个存储器501用于存储一个或多个程序。
当一个或多个程序被至少一个处理器502执行时,实现上述图1所示的基于TTP的网络安全威胁狩猎方法。
网络设备500还可以优选地包括通信接口(图5中未示出),通信接口用于与外部设备进行通信和数据交互传输。
需要说明的是,存储器501可能包含高速RAM存储器,也可能还包括非易失性存储器 (nonvolatile memory),例如至少一个磁盘存储器。
在具体的实现过程中,如果存储器、处理器及通信接口集成在一块芯片上,则存储器、处理器及通信接口可以通过内部接口完成相互间的通信。如果存储器、处理器和通信接口独立实现,则存储器、处理器和通信接口可以通过总线相互连接并完成相互间的通信。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质可以存储有至少一个程序,当至少一个程序被处理器执行时,实现上述图1所示的基于TTP的网络安全威胁狩猎方法。
应当理解,计算机可读存储介质为可存储数据或程序的任何数据存储设备,数据或程序其后可由计算机系统读取。计算机可读存储介质的示例包括:只读存储器、随机存取存储器、CD-ROM、HDD、DVD、磁带和光学数据存储设备等。
计算机可读存储介质还可分布在网络耦接的计算机系统中使得计算机可读代码以分布式方式来存储和执行。
计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、射频(Radio Frequency,RF)等,或者上述的任意合适的组合。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。
Claims (10)
1.一种基于TTP的网络安全威胁狩猎方法,其特征在于,包括:
获取历史网络攻击事件信息,并对所述历史网络攻击事件信息进行分析处理,获得TTP规则模型,所述TTP规则模型用于判断网络安全威胁;
获取终端设备当前运行状态的相关数据,基于所述相关数据建立快照,获得快照模型,所述快照模型用于确定攻击事件的行为;
基于所述TTP规则模型对所述快照模型进行匹配处理,得到匹配结果,并基于所述匹配结果判断是否达到威胁标准,所述匹配结果包含所述快照模型的匹配分值;
若所述匹配分值大于或等于第一预设阈值,则确定达到威胁标准,输出告警信息,所述告警信息用于警示所述终端设备受到网络安全威胁;或者,
若所述匹配分值小于所述第一预设阈值,则确定未达到威胁标准,结束检测网络安全威胁。
2.如权利要求1所述的方法,其特征在于,对所述历史网络攻击事件信息进行分析处理,获得TTP规则模型,包括:
针对多个攻击组织,对所述历史网络攻击事件信息包含的多个攻击事件进行筛选分类,获得多组攻击事件,所述多个攻击组织和所述多组攻击事件一一对应;
基于所述TTP规则模型的框架,提取所述多组攻击事件中的任一组攻击事件包含的各项信息,所述各项信息包括攻击路径、注册表信息和启动项信息、文件实体、网络行为和进程自启动方式中的至少两种;
基于所述任一组攻击事件包含的各项信息,生成行为模型和确定所述任一组攻击事件所属的恶意家族;
基于所述任一组攻击事件所属的恶意家族,设置所述行为模型中的各个元素的权重,获得所述TTP规则模型。
3.如权利要求1所述的方法,其特征在于,所述相关数据包含:所述终端设备当前运行状态的进程列表和模块信息、内存数据、注册表信息、启动项信息、网络连接信息、计划任务信息、日志信息中的至少两种;
基于所述相关数据建立快照,获得快照模型,包括:
对所述相关数据包含的各项数据分别建立快照;
将建立快照后的各项数据划分为攻击事件的各个行为,获得所述快照模型。
4.如权利要求1所述的方法,其特征在于,基于所述TTP规则模型对所述快照模型进行匹配处理,得到匹配结果,包括:
将所述快照模型对应的文件实体、进程、网络连接进行关联,生成TTP图谱;
根据所述TTP规则模型对所述TTP图谱进行模式匹配,将命中攻击事件的各个行为中的行为划分为必选匹配行为,将所述各个行为中除去所述必选匹配行为之外的行为划分为可选匹配行为;
对所述必选匹配行为和所述可选匹配行为进行权重计数,得到所述快照模型的权重分数;
基于所述权重分数计算所述快照模型的匹配分值,获得所述匹配结果。
5.如权利要求1-4任一项所述的方法,其特征在于,结束检测网络安全威胁之前,所述方法还包括:
确定所述匹配分值是否大于或等于第二预设阈值,所述第二预设阈值小于所述第一预设阈值;
若所述匹配分值大于或等于所述第二预设阈值,则输出第一提示信息,所述第一提示信息用于提示进行人工干预,由人工判断攻击者是否改动了攻击行为信息;或者,
若所述匹配分值小于所述第二预设阈值,则确定不存在网络安全威胁,或者输出第二提示信息,所述第二提示信息用于提示进行人工干预,由人工判断所述快照模型是否存在新的攻击组织的攻击行为信息。
6.如权利要求5所述的方法,其特征在于,输出第一提示信息之后,所述方法还包括:
接收第一操作指令信息,所述第一操作指令信息用于提示需要输出所述告警信息;基于所述第一操作指示信息,输出所述告警信息;
输出第二提示信息之后,所述方法还包括:
接收第二操作指令信息,所述第二操作指令信息用于提示需要更新所述TTP规则模型;基于所述第二操作指示信息,根据所述新的攻击组织的攻击行为信息更新所述TTP规则模型。
7.如权利要求6所述的方法,其特征在于,输出告警信息之后,所述方法还包括:
反馈当前的快照模型、当前的TTP规则模型和所述告警信息;
基于所述当前的快照模型、所述当前的TTP规则模型和所述告警信息,确定新的网络攻击事件信息;
基于所述新的网络攻击事件信息更新所述TTP规则模型。
8.一种网络设备,其特征在于,包括:
处理单元,用于:获取历史网络攻击事件信息,并对所述历史网络攻击事件信息进行分析处理,获得TTP规则模型,所述TTP规则模型用于判断网络安全威胁;获取终端设备当前运行状态的相关数据,基于所述相关数据建立快照,获得快照模型,所述快照模型用于确定攻击事件的行为;基于所述TTP规则模型对所述快照模型进行匹配处理,得到匹配结果;
判断单元,用于:基于所述匹配结果判断是否达到威胁标准,所述匹配结果包含所述快照模型的匹配分值;若所述匹配分值大于或等于第一预设阈值,则确定达到威胁标准,输出告警信息,所述告警信息用于警示所述终端设备受到网络安全威胁;或者,若所述匹配分值小于所述第一预设阈值,则确定未达到威胁标准,结束检测网络安全威胁。
9.一种网络设备,其特征在于,所述网络设备包括:至少一个存储器和至少一个处理器;
所述至少一个存储器用于存储一个或多个程序;
当所述一个或多个程序被所述至少一个处理器执行时,实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有至少一个程序;当所述至少一个程序被处理器执行时,实现如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110770082.8A CN113225356B (zh) | 2021-07-08 | 2021-07-08 | 一种基于ttp的网络安全威胁狩猎方法及网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110770082.8A CN113225356B (zh) | 2021-07-08 | 2021-07-08 | 一种基于ttp的网络安全威胁狩猎方法及网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113225356A true CN113225356A (zh) | 2021-08-06 |
CN113225356B CN113225356B (zh) | 2021-10-26 |
Family
ID=77081140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110770082.8A Active CN113225356B (zh) | 2021-07-08 | 2021-07-08 | 一种基于ttp的网络安全威胁狩猎方法及网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113225356B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448690A (zh) * | 2022-01-21 | 2022-05-06 | 苏州浪潮智能科技有限公司 | 一种攻击组织分析方法、装置、设备及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180144378A1 (en) * | 2015-01-18 | 2018-05-24 | Alejandro Evaristo Perez | Method, system, and apparatus for managing focus groups |
CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
-
2021
- 2021-07-08 CN CN202110770082.8A patent/CN113225356B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180144378A1 (en) * | 2015-01-18 | 2018-05-24 | Alejandro Evaristo Perez | Method, system, and apparatus for managing focus groups |
CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN111181918A (zh) * | 2019-11-29 | 2020-05-19 | 杭州安恒信息技术股份有限公司 | 基于ttp的高风险资产发现和网络攻击溯源方法 |
CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448690A (zh) * | 2022-01-21 | 2022-05-06 | 苏州浪潮智能科技有限公司 | 一种攻击组织分析方法、装置、设备及介质 |
CN114448690B (zh) * | 2022-01-21 | 2023-07-14 | 苏州浪潮智能科技有限公司 | 一种攻击组织分析方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113225356B (zh) | 2021-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2020019484A1 (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
EP3068095A2 (en) | Monitoring apparatus and method | |
CN111859400A (zh) | 风险评估方法、装置、计算机系统和介质 | |
CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
WO2016208159A1 (ja) | 情報処理装置、情報処理システム、情報処理方法、及び、記憶媒体 | |
CN107634964B (zh) | 一种针对waf的测试方法及装置 | |
CN109600362B (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
WO2020019485A1 (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN112953917B (zh) | 一种网络攻击源识别方法、装置、计算机设备及存储介质 | |
CN112003840B (zh) | 一种基于攻击面的漏洞检测方法及系统 | |
CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
KR20210065687A (ko) | 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램 | |
CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
CN113225356B (zh) | 一种基于ttp的网络安全威胁狩猎方法及网络设备 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
CN117319001A (zh) | 网络安全评估方法、装置、存储介质和计算机设备 | |
US11729208B2 (en) | Impact range estimation apparatus, impact range estimation method, and computer-readable recording medium | |
CN108256327B (zh) | 一种文件检测方法及装置 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN113595797B (zh) | 告警信息的处理方法、装置、电子设备及存储介质 | |
CN115499239A (zh) | 智慧城市网络安全处理方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |