CN113328976A - 一种安全威胁事件识别方法、装置及设备 - Google Patents

一种安全威胁事件识别方法、装置及设备 Download PDF

Info

Publication number
CN113328976A
CN113328976A CN202010130194.2A CN202010130194A CN113328976A CN 113328976 A CN113328976 A CN 113328976A CN 202010130194 A CN202010130194 A CN 202010130194A CN 113328976 A CN113328976 A CN 113328976A
Authority
CN
China
Prior art keywords
event
entity
original
original event
security threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010130194.2A
Other languages
English (en)
Other versions
CN113328976B (zh
Inventor
王雨晨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010130194.2A priority Critical patent/CN113328976B/zh
Publication of CN113328976A publication Critical patent/CN113328976A/zh
Application granted granted Critical
Publication of CN113328976B publication Critical patent/CN113328976B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例公开了一种安全威胁事件的识别方法、装置及设备,用于提高安全威胁事件的识别准确率。其中方法包括:获取原始事件集包括的至少一个原始事件中每个原始事件的描述信息,原始事件的描述信息包括原始事件对应实体的标识以及其他描述信息;从原始事件集中选择一个或多个原始事件,针对选择出的原始事件执行以下处理:根据选择出的原始事件对应实体的标识获取选择出的原始事件对应的实体的描述信息;对选择出的原始事件的描述信息和选择出的原始事件对应的实体的描述信息进行关联分析,从而得到选择出的原始事件是否为安全威胁事件的识别结果,安全威胁事件为对网络和/或系统的安全构成威胁的事件。

Description

一种安全威胁事件识别方法、装置及设备
技术领域
本申请涉及计算机领域,特别是涉及一种安全威胁事件识别方法、装置及设备。
背景技术
为了保证网络或系统的安全,现有网络中往往会采用多种威胁检测工具(这些工具是独立的硬件设备,或者是运行于通用计算机平台上的软件程序),例如入侵检测系统(intrusion detection system,IDS)、基于主机型入侵检测系统(host-based intrusiondetection system,HIDS)、漏洞扫描(scanner)工具、沙箱(sandbox)、蜜罐(honeypot)或蜜网(honeynet)等。这些威胁检测工具能够输出大量与安全有关的事件。
为了从大量的与安全有关的事件中识别出真正与攻击或威胁相关的事件,达到只把真正与攻击或威胁相关的事件上报用户,避免把大量原始事件提交用户处理,传统技术采用以下手段提高事件检测准确率、缩减无效告警。例如,传统技术对上述威胁检测技术产生的多种可能会产生安全隐患的异常事件(例如病毒事件、漏洞事件等)进行关联分析,以确定异常事件的准确性,如果经过关联分析,该异常事件是准确的,那么就将该异常事件作为真正与安全或威胁相关的事件进行上报。但是,这种传统技术只能确定该异常事件本身是否误报,难以判断该异常事件是否真正对网络或系统产生威胁,所以上述关联分析后的误报率仍然较高。
发明内容
本申请实施例提供了一种安全威胁事件的识别方法、装置及设备,以提高安全威胁事件的识别准确率。
第一方面,本申请实施例提供了一种安全威胁事件的识别方法,可选的,该方法由安全设备或该方法中的实体执行。所述方法包括如下步骤:获取原始事件集包括的至少一个原始事件中每个原始事件的描述信息,所述原始事件是由至少一个威胁检测工具输出的,所述原始事件的描述信息包括所述原始事件对应实体的标识以及其他描述信息,所述其他描述信息包括以下其中一项或多项:所述原始事件的名称、所述原始事件的类型、所述原始事件的详细情况、所述原始事件的检测依据和所述原始事件的检测来源,其中,所述原始事件的类型包括网络异常事件、系统异常事件和行为事件中的一种或多种。从所述原始事件集中选择一个或多个原始事件,针对选择出的原始事件执行以下处理:根据所述选择出的原始事件对应实体的标识获取所述选择出的原始事件对应的实体的描述信息,其中,所述实体的描述信息包括以下其中一项或多项:所述实体的属性信息、所述实体的访问权限信息和所述实体的访问行为信息,所述实体的属性信息用于描述实体的特征,所述实体的访问权限信息用于描述所述实体访问或被访问的权限,所述实体的访问行为信息用于描述所述实体的访问行为特点;对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果,所述安全威胁事件为对网络和/或系统的安全构成威胁的事件。由于实体的描述信息代表原始事件的场景,所以将原始事件的描述信息和实体的描述信息进行关联分析,即在考虑了所处场景的情况下判定该原始事件是否属于安全威胁事件的识别结果,相对于传统仅凭原始事件本身识别安全威胁事件的方案,提高了安全威胁事件的识别准确率。
可选的,确定安全威胁事件不仅仅只执行一次关联分析的动作,而是执行多次。在首次关联分析得到分析结果之后,将该分析结果继续与其他原始事件的描述信息进行关联分析,或者,将该分析结果与其他实体的描述信息或者实体的其他描述信息进行关联分析,或者将上述关联分析方法进行叠加。以此类推,直到识别出安全威胁事件,以提高安全威胁事件的识别准确率。
作为第一种可能的实现方式,所述选择出的原始事件包括第一原始事件和第二原始事件。所述对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果包括:对所述第一原始事件的名称和所述第一原始事件对应的实体的访问权限信息进行关联分析,或者对所述第一原始事件的详细情况和所述第一原始事件对应的实体的访问权限信息进行关联分析,从而得到第一分析结果,第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到所述第一原始事件和所述第二原始事件中的至少一项是否为安全威胁事件的识别结果。
可选的,所述对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到所述第一原始事件和所述第二原始事件中的至少一项是否为安全威胁事件的识别结果包括:对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到第二分析结果,所述第二分析结果指示所述第二原始事件为所述安全威胁事件的可信度;对所述第二分析结果和所述第二原始事件对应的实体的访问权限信息进行关联分析,从而得到所述第二原始事件是否为安全威胁事件的识别结果。
作为第二种可能的实现方式,所述选择出的原始事件包括第一原始事件,所述第一原始事件对应的实体包括第一实体和第二实体。所述对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果包括:对所述第一原始事件的名称和所述第一实体访问所述第二实体的访问权限信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述第二实体被所述第一实体进行访问的访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
作为第三种可能的实现方式,所述选择出的原始事件包括第一原始事件,所述第一原始事件对应的实体的描述信息包括所述实体的第一访问权限信息和所述实体的第二访问权限信息。所述对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果包括:对所述第一原始事件的名称和所述实体的第一访问权限信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述实体的第二访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
上述三种可能的实现方式是针对不同的可能的场景对安全威胁事件进行识别的方式,具体例子可以参见实施例部分,此处不再赘述。当然能够理解的是,上述实现方式并不构成对本申请技术方案的限定,本领域技术人员可以根据实际情况自行设计。
可选的,所述选择出的原始事件为第一原始事件,所述第一原始事件对应的实体包括第一实体。所述对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果包括:根据所述第一原始事件的详细情况和所述第一实体的访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。可选的,在得到所述第一原始事件为安全威胁事件的识别结果之后,所述方法还包括:根据所述第一实体的标识,从所述原始事件集中确定与所述第一实体对应的第二原始事件,并获取所述第二原始事件的名称和所述第二原始事件对应的第二实体的标识;根据所述第二实体的标识,获取所述第二实体的属性信息;对所述第二原始事件的名称和所述第二实体的属性信息进行关联分析,从而得到所述第二原始事件是否为安全威胁事件的识别结果。也就是说,在第一原始事件为安全威胁事件的基础上,进一步确定第二原始事件是否为安全威胁事件的识别结果,提高对安全威胁事件识别的全面性。
第二方面,本申请实施例提供了一种安全威胁事件的识别装置,所述装置包括:第一获取单元,用于获取原始事件集包括的至少一个原始事件中每个原始事件的描述信息,所述原始事件是由至少一个威胁检测工具输出的,所述原始事件的描述信息包括所述原始事件对应实体的标识以及其他描述信息,所述其他描述信息包括以下其中一项或多项:所述原始事件的名称、所述原始事件的类型、所述原始事件的详细情况、所述原始事件的检测依据和所述原始事件的检测来源,其中,所述原始事件的类型包括网络异常事件、系统异常事件和行为事件中的一种或多种;选择单元,用于从所述原始事件集中选择一个或多个原始事件;第二获取单元,用于根据所述选择出的原始事件对应实体的标识获取所述选择出的原始事件对应的实体的描述信息,所述实体的描述信息包括以下其中一项或多项:所述实体的属性信息、所述实体的访问权限信息和所述实体的访问行为信息,其中,所述实体的属性信息用于描述实体的特征,所述实体的访问权限信息用于描述所述实体访问或被访问的权限,所述实体的访问行为信息用于描述所述实体的访问行为特点;识别单元,用于对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果,所述安全威胁事件为对网络和/或系统的安全构成威胁的事件。
可选的,所述选择出的原始事件包括第一原始事件和第二原始事件;
所述识别单元,用于对所述第一原始事件的名称和所述第一原始事件对应的实体的访问权限信息进行关联分析,或者对所述第一原始事件的详细情况和所述第一原始事件对应的实体的访问权限信息进行关联分析,从而得到第一分析结果,第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到所述第一原始事件和所述第二原始事件中的至少一项是否为安全威胁事件的识别结果。
可选的,所述识别单元对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到所述第一原始事件和所述第二原始事件中的至少一项是否为安全威胁事件的识别结果包括:所述识别单元对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到第二分析结果,所述第二分析结果指示所述第二原始事件为所述安全威胁事件的可信度;所述识别单元对所述第二分析结果和所述第二原始事件对应的实体的访问权限信息进行关联分析,从而得到所述第二原始事件是否为安全威胁事件的识别结果。
可选的,所述选择出的原始事件包括第一原始事件,所述第一原始事件对应的实体包括第一实体和第二实体;
所述识别单元,用于对所述第一原始事件的名称和所述第一实体访问所述第二实体的访问权限信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述第二实体被所述第一实体进行访问的访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
可选的,所述选择出的原始事件包括第一原始事件,所述第一原始事件对应的实体的描述信息包括所述实体的第一访问权限信息和所述实体的第二访问权限信息;
所述识别单元,用于对所述第一原始事件的名称和所述实体的第一访问权限信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述实体的第二访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
可选的,所述选择出的原始事件为第一原始事件,所述第一原始事件对应的实体包括第一实体;
所述识别单元,用于根据所述第一原始事件的详细情况和所述第一实体的访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
可选的,所述装置还包括:第三获取单元,用于在得到所述第一原始事件是否为安全威胁事件的识别结果之后,根据所述第一实体的标识,从所述原始事件集中确定与所述第一实体对应的第二原始事件,并获取所述第二原始事件的名称和所述第二原始事件对应的第二实体的标识;根据所述第二实体的标识,获取所述第二实体的属性信息;所述识别单元,还用于对所述第二原始事件的名称和所述第二实体的属性信息进行关联分析,从而得到所述第二原始事件是否为安全威胁事件的识别结果。
第三方面,本申请实施例提供了一种安全威胁事件的识别设备,所述设备包括:存储器和处理器;其中,存储器,用于存储指令;处理器,用于执行所述指令,以执行上述第一方面所述的安全威胁事件的识别方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,包括计算机程序,当其在计算机上运行时,使得计算机执行上述第一方面的安全威胁事件的识别方法。
附图说明
图1为本申请实施例提供的企业网网络架构示意图;
图2为本申请实施例提供的云端网络架构示意图;
图3为本申请实施例提供的一种安全威胁事件识别方法的流程图;
图4为本申请实施例提供的系统300的结构示意图;
图5为本申请实施例提供的一种安全威胁事件的识别装置500的结构示意图;
图6为本申请实施例提供的一种安全威胁事件的识别设备600的结构示意图。
具体实施方式
传统方式是通过对异常事件进行关联分析,以确定异常事件本身是否准确,如果准确,则将该异常事件作为安全威胁事件进行上报。
例如,服务器发现某局域网系统中的大量主机系统都对外建立基于域名系统(domain name system,DNS)协议的隐蔽通道(后文简称“DNS隐蔽通道”)。所谓隐蔽通道是指允许进程以危害系统安全策略的方式传输消息的通信信道。DNS隐蔽通道一般用于木马从被感染主机系统内窃取数据,并且外部的恶意控制端通过该DNS隐蔽通道向被感染主机系统发送控制指令。传统方式将检测到的DNS隐蔽通道异常事件与终端设备是否检测到木马代码进行关联分析,如果终端设备也检测到木马代码,则说明该DNS隐蔽通道的异常事件本身是比较准确的。
但是,即便检测到木马代码,也不意味着每个DNS隐蔽通道异常事件都一定是安全威胁事件。假如某个或某些DNS隐蔽通道是用于正常访问的,比如说某办公软件的客户端建立的用于与服务端之间进行正常通信的场景,那么将这些DNS隐蔽通道事件确定为安全威胁事件就属于误报。也就是说,即便异常事件本身是准确的,但是并不是在所有的场景下都属于安全威胁事件。传统方式没有考虑场景这个因素,是安全威胁事件误报的根本原因。
为了解决传统方式的技术问题,本申请实施例提供了一种安全威胁事件识别方法及装置,将原始事件结合场景来进行关联分析,以提高安全威胁事件的识别准确率。
本申请实施例提供的安全威胁事件识别方法及装置例如应用于如图1和图2所示的应用场景。
图1为企业网网络架构示意图。在图1中,企业网网络架构包括安全设备101、以防火墙或安全网关为例的网络接入设备102、与网络接入设备102连接的交换机103以及与交换机连接的多个主机104。其中,安全设备101与网络接入设备102连接。安全设备101例如是入侵防御系统(intrusion prevention system,IPS)设备或统一威胁管理(unifiedthreat management,UTM)设备等。安全设备101用于获取多个主机104中每个主机104的原始事件,并根据原始事件的描述信息以及与原始事件对应的实体的描述信息识别安全威胁事件。
图2为云端网络架构示意图。在图2中,云端网络架构包括位于核心网侧的安全设备201,以及接入网中的多个防火墙设备202。其中安全设备201用于获取多个防火墙设备202中每个防火墙设备202的原始事件,并根据原始事件的描述信息以及与原始事件对应的实体的描述信息识别安全威胁事件。
参见图3,本申请实施例提供了一种安全威胁事件识别方法。可选地,该方法由图1所示的安全设备101或图2所示的安全设备201执行。该方法包括如下步骤S101至S104。
S101:安全设备获取原始事件集包括的至少一个原始事件中每个原始事件的描述信息。
在本申请实施例中,原始事件集为至少一个原始事件的集合。可选地,安全设备获得各种威胁检测工具、防火墙、安全网关等设备上报的各种原始事件的描述信息。此外,安全设备通过漏洞扫描工具或者网管工具预先获得企业网络中各种实体的描述信息。可选地,本申请实施例中的实体也可以被称为资产(asset),实体包括但不限于硬件设备、运行于硬件设备上的软件等等。硬件设备例如个人计算机(如图1中的主机104)、打印机、摄像头、扫码枪等等。软件例如操作系统、各种应用软件等等。实体中还包括通过虚拟化技术生成的虚拟设备,例如虚拟机等等。
在本申请实施例中,原始事件的类型包括异常事件、行为事件等。
其中,异常事件是指通过检测发现的可能会产生安全隐患的原始事件,例如病毒事件、漏洞事件等。异常事件包括实时异常事件和历史异常事件等其中的一种或多种。
实时异常事件是指实时检测到的各种与攻防有关的异常事件,例如通过域名生成算法(Domain Generation Algorithm,DGA)算法检测到恶意域名、上文提到的检测到DNS隐蔽通道等等。实时异常事件例如通过安装在设备(例如图1中的主机104或图2中的防火墙设备202)上的安全防护软件检测到,这些实时异常事件通常都记录在该软件的检测日志中,所以能够例如从检测日志中获取。
历史异常事件是指曾经检测到的各种与攻防有关的异常事件,例如公共漏洞和暴露(Common Vulnerabilities&Exposures,CVE)上记录的漏洞信息等等。历史异常事件可以是针对本设备的历史异常事件,也可以是针对其他设备的历史异常事件。如果是针对本设备的历史异常事件,那么通过获取安全防护软件历史检测结果得到;如果是针对其他设备的历史异常事件,那么通过网络传输或拷贝等方式获取,本申请实施例不做具体限定。
可选地,在本申请实施例中,安全设备预先通过传统方式对异常事件的准确性进行确认。例如对漏洞事件与攻击事件进行关联分析,以对确认攻击事件是否准确。比如,如果检测到针对漏洞A的攻击事件B,并且检测到存在漏洞A的漏洞事件,则认为攻击事件B是准确的。如果没有检测到存在漏洞A的漏洞事件,那么则说明攻击事件B为误报。
可选地,在本申请实施例中,无论是实时异常事件还是历史异常事件,实时异常事件和历史异常事件的类型包括网络异常事件和系统异常事件等中的一项或多项。网络异常事件是指违反网络正常使用策略的攻防事件,例如:服务被非法访问,网络中出现大量不正常流量等。系统异常事件是指设备系统中出现的不符合系统正常行为的攻防事件,比如文件被篡改、系统中出现非法进程、系统资源突然被大量消耗等。
在本申请实施例中,可能产生威胁的原始事件不仅包括异常事件,还包括行为事件。行为事件是指针对用户的操作行为的事件,例如登录网站、完成身份验证、访问特定文件、登出系统等。行为事件例如通过获取相应日志等方式得到,例如登录日志。
在本申请实施例中,原始事件具有描述信息,每个原始事件的描述信息例如包括原始事件对应实体的标识和其他描述信息,其他描述信息包括原始事件的标识、原始事件的类型、原始事件的详细情况、原始事件的检测依据、原始事件的检测来源等其中的一项或多项。其中,原始事件的标识包括原始事件的名称和原始事件的编号。原始事件的类型包括网络异常事件、系统异常事件和行为事件中的一种或多种。原始事件的检测依据例如包括检测出原始事件的算法、原因等。原始事件的检测来源为检测出原始事件的软件标识和软件类型等信息的一种或多种。
在本申请实施例中,可选的,安全设备预先建立原始事件的描述模型,当获取到原始事件的描述信息之后,将原始事件的描述信息填充到该描述模型中。在原始事件的描述模型中,上述描述信息的每一项都包括一个或多个子项,每个子项例如包括项目名称、数据类型和值。数据类型例如是布尔量、数值、字符串、阈值等。
下面对网络异常事件、系统异常事件和行为事件的描述模型以及描述信息进行举例说明。
参见表1,该表为以恶意域名访问为例的网络异常事件的描述模型以及描述信息的示例。
表1
Figure BDA0002395585800000071
Figure BDA0002395585800000081
参见表2,该表为以非法提升文件处理权限为例的系统异常事件的描述模型以及描述信息的示例。
表2
Figure BDA0002395585800000082
参见表3,该表为以登录事件为例的行为事件的描述模型和描述信息的示例。
表3
Figure BDA0002395585800000083
Figure BDA0002395585800000091
S102:安全设备从所述原始事件集中选择一个或多个原始事件,针对选择出的原始事件执行S103和S104。
S103:安全设备根据所述选择出的原始事件对应实体的标识获取所述选择出的原始事件对应的实体的描述信息。
在本申请实施例中,实体可以是硬件设备,例如终端设备、服务器、基站、路由器、交换机等,也可以是虚拟设备或虚拟模块,例如虚拟机、软件等,本申请不做具体限定。如前文所提,在原始事件的描述信息中包括实体的标识,所以安全设备能够根据实体的标识确定与原始事件对应的实体。在本申请实施例中实体的标识例如为实体的IP地址、MAC地址、账号等,本申请实施例不做具体限定。
原始事件对应的实体可以是一个,也可以是多个。该多个实体中每个实体的属性可以相同,也可以不同。例如,多个实体均属于服务器,或者多个实体均属于同一个域名系统(Domain Name System,DNS)等。在本申请实施例中,与原始事件对应的实体的描述信息体现了原始事件的场景。实体的描述信息包括实体的属性信息、实体的访问权限信息、实体访问行为信息等其中的一个或多个。其中,所述实体的属性信息用于描述实体的特征,所述实体的访问权限信息用于描述所述实体访问或被访问的权限,所述实体的访问行为信息用于描述实体的访问行为特点。
实体的描述信息例如通过预先配置、检测、基于人工智能的自学习算法(比如通过人工智能模型对实体所访问的资源类型、访问频率、报文长度、访问时段、访问的地理位置等数据进行学习,从而得到实体的访问行为模型)等方式获取。
在本申请实施例中,可选的,安全设备预先建立实体模型,该实体模型包括实体描述信息中的项目,每个项目包括一个或多个子项,每个子项例如包括项目名称、数据类型和值。数据类型例如是布尔量、数值、字符串、阈值等。
参见表4,该表为实体模型和实体的描述信息的示例。
表4
Figure BDA0002395585800000092
Figure BDA0002395585800000101
S104:安全设备对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果。
在本申请实施例中,通过对所述原始事件的描述信息和所述实体的描述信息进行关联分析,从而得到该原始事件在特定的场景下是否属于安全威胁事件的确定结果,提高了安全威胁事件的识别准确率。比如说,假设一个DNS隐蔽通道原始事件对应的实体的描述信息为目的IP地址,若该目的IP地址为某合法办公软件(例如金山软件)的服务端的地址,那么说明该DNS隐蔽通道原始事件为合法事件,不属于安全威胁事件。
此外,可选的,安全设备确定安全威胁事件不仅仅只执行一次关联分析的动作,而是执行多次。在首次关联分析得到分析结果之后,安全设备将该分析结果继续与其他原始事件的描述信息进行关联分析,或者,将该分析结果与其他实体的描述信息或者实体的其他描述信息进行关联分析,或者将上述关联分析方法进行叠加。以此类推,直到识别出安全威胁事件。
作为其中一种可能的实现方式,假设选择出的原始事件包括第一原始事件和第二原始事件,第一原始事件和第二原始事件具有关联关系,比如说,第一原始事件对应的实体和第二原始事件对应的实体有交集,即第一原始事件对应的实体中的一个或多个也为第二原始事件对应的实体。那么可选的,S104具体包括如下步骤:首先,对所述第一原始事件的描述信息和所述第一原始事件对应的实体的描述信息进行关联分析,从而得到第一分析结果,第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度。然后,对所述第一分析结果和所述第二原始事件的描述信息进行关联分析,从而得到所述第一原始事件和/或第二原始事件是否为安全威胁事件的确定结果。在本申请实施例中第一原始事件为所述安全威胁事件的可信度描述了第一原始事件为所述安全威胁事件的可能性,或者概率值。例如本实施例中采用的一种数值映射关系是,如果可信度为0,是指第一原始事件不是所述安全威胁事件;如果可信度为1,是指第一原始事件是所述安全威胁事件;如果可信度为0.5,是指第一原始事件是所述安全威胁事件的可能性为50%。上面的例子只是可信度数值与第一原始事件是所述安全威胁事件的可能性之间的一种数值映射关系,也可以采用其他的数值映射关系,例如可信度为0,是指第一原始事件是所述安全威胁事件;可信度为1,是指第一原始事件不是所述安全威胁事件。
可选的,对所述第一分析结果和所述第二原始事件的描述信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的确定结果具体包括如下步骤:首先对所述第一分析结果和所述第二原始事件的描述信息进行关联分析,从而得到第二分析结果;然后,对所述第二分析结果和所述第二原始事件对应的实体的描述信息进行关联分析,从而得到所述第一原始事件和/或第二原始事件是否为安全威胁事件的确定结果。
其中,第一原始事件的描述信息例如为第一原始事件的名称或详细情况等,第一原始事件对应的实体的描述信息例如为实体的访问权限信息等,第二原始事件的描述信息例如为第二原始事件的名称等。
例如,假设第一原始事件的名称为扫码枪向服务器发送包含选择(select)语句的结构化查询语言(Structured Query Language,SQL)报文,第一原始事件对应的实体为扫码枪和服务器。通常情况下,发送包含select语句的SQL报文的原始事件属于具有安全隐患的事件,该原始事件通常被认定为攻击事件。假设扫码枪的访问权限信息包括扫码枪允许发送包含select语句的SQL报文,那么根据该扫码枪的访问权限信息可知,扫码枪发送该报文属于正常。所以安全设备确认该第一原始事件的名称与扫码枪的访问权限信息的第一分析结果为该第一原始事件不为安全威胁事件,即第一原始事件为安全威胁事件的可信度为0。假设第二原始事件的名称为服务器接收来自扫码枪发送的包含select语句的SQL报文,第二原始事件对应的实体为扫码枪和服务器。可见,第一原始事件对应的实体和第二原始事件对应的实体相同。由于第一原始事件不为安全威胁事件,那么相应的,第二原始事件也不为安全威胁事件。也就是说,根据第一分析结果和第二原始事件的名称得到的第二分析结果为第二原始事件为安全威胁事件的可信度为0。为了进一步确定第二原始事件是否为安全威胁事件,将第二分析结果与服务器的访问权限信息进行关联分析。假设服务器的访问权限信息包括服务器允许接收来自扫码枪发送的包含select语句的SQL报文,那么安全设备得到第二原始事件不为安全威胁事件的识别结果。
作为另外一种可能的实现方式,假设选择出的原始事件包括第一原始事件,第一原始事件对应的实体包括第一实体和第二实体,那么S104具体包括如下步骤:首先,对所述第一原始事件的描述信息和所述第一原始事件对应的第一实体的描述信息进行关联分析,从而得到第一分析结果,第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;然后,对所述第一分析结果和所述第一原始事件对应的第二实体的描述信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的确定结果。其中,第一原始事件的描述信息例如为第一原始事件的名称;第一实体的描述信息例如为第一实体访问第二实体的访问权限信息,第二实体的描述信息例如为第二实体被第一实体访问的权限访问信息。
例如,假设第一原始事件的名称为扫码枪向服务器发送包含选择语句的SQL报文,该第一原始事件对应的第一实体为扫码枪,第二实体为服务器。首先对该第一原始事件的名称和扫码枪的访问权限信息进行关联分析,从而得到第一分析结果为该第一原始事件为正常事件,因为扫码枪访问服务器的访问权限信息包括扫码枪允许向服务器发送包含选择语句的SQL报文。接下来,对第一分析结果和服务器被扫码枪访问的访问权限信息进行关联分析。假设服务器的被扫码枪访问的访问权限信息包括该服务器允许被访问的扫码枪不包括该第一原始事件对应的扫码枪,那么说明该事件不属于正常事件,而属于安全威胁事件。
作为再一种可能的实现方式,假设选择出的原始事件包括第一原始事件,第一原始事件对应的实体的描述信息包括实体的第一描述信息和第二描述信息,那么S104具体包括如下步骤:首先对所述第一原始事件的描述信息和所述第一原始事件对应的实体的第一描述信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;然后,对所述第一分析结果和所述实体的第二描述信息进行关联分析,从而得到所述事件是否为安全威胁事件的确定结果。其中,实体的第一描述信息例如包括第一访问权限信息,实体的第二描述信息例如包括第二访问权限信息。
例如,假设第一原始事件的名称仍然为扫码枪向服务器发送包含选择语句的SQL报文,那么该第一原始事件对应的实体为扫码枪,扫码枪的第一访问权限信息为允许向服务器发送包含选择语句的SQL报文,根据该第一原始事件的名称与扫码枪的第一访问权限信息进行关联分析,安全设备得到该第一原始事件为正常事件的第一分析结果。扫码枪的第二访问权限信息为禁止与外网通信,由于服务器属于外网设备,所以第一分析结果结合扫码枪的第二访问权限信息进行关联分析得到的结果是该第一原始事件为安全威胁事件。
当然,上述三种方式并不构成对本申请技术方案的限定,本领域技术人员还可以根据实际情况自行设计。
此外,当选择出的原始事件为第一原始事件,第一原始事件的实体为第一实体时,在确定第一原始事件为安全威胁事件之后,可选的,安全设备还根据第一实体的标识获取第一实体对应的第二原始事件,然后根据第二原始事件的描述信息和第二原始事件对应的第二实体的描述信息进行关联分析,以确定第二原始事件是否也为安全威胁事件。其中,第二原始事件的描述信息例如包括第二原始事件的名称,第二实体的描述信息例如包括第二实体的属性信息。也就是说,本申请实施例中,安全设备以一个安全威胁事件为线索识别出其他安全威胁事件,提高安全威胁事件的识别效率。下文在应用场景的实施例中有具体例子,此处不再赘述。
此外在本申请实施例中,当选择出的原始事件被识别为安全威胁事件之后,可选的,安全设备进行相应的处理,例如通过社交软件、短信、邮件等方式告知相关人员,以及时的对该安全威胁事件进行处理;或者,安全设备自动采取相应措施,比如断开连接、丢弃恶意数据包、杀毒等。
为了更好的理解本申请实施例提供的威胁识别方法,本申请实施例以一个应用场景为例进行说明。
参见图4,该图为系统300的结构示意图。在该图中,系统300包括扫码枪301、扫码枪302、服务器401和服务器402。其中,扫码枪301和扫码枪302用于扫描二维码或条形码的设备,属于扫码枪组;服务器401和服务器402属于服务器组。扫码枪301的IP地址为10.10.1.1,扫码枪302的IP地址为10.10.1.2,服务器401的IP地址为100.100.1.1,服务器402的IP地址为100.100.1.2。
参见表5,该表为扫码枪301的实体信息表。
表5
Figure BDA0002395585800000131
Figure BDA0002395585800000141
扫码枪302的扫描信息与扫码枪301的扫描信息类似,此处不再赘述。参见表6,该表为服务器401的实体信息表。
表6
Figure BDA0002395585800000142
服务器402的扫描信息与服务器401的扫描信息类似,此处不再赘述。
从表5和表6能够看出,扫码枪301允许对外访问的IP地址中不包括扫码枪302的IP地址,也就是说,扫码枪301不能访问扫码枪302。由于扫码枪302的扫描信息与扫码枪301的扫描信息类似,所以,扫码枪302也不能访问扫码枪301。而扫码枪301能够通过TCP协议访问服务器401上端口号为445的端口。服务器401也能够通过TCP协议访问扫码枪301,服务器401能够访问扫码枪301上端口号为22的端口。同理,扫码枪301与服务器402之间、扫码枪302和服务器401之间以及扫码枪302和服务器402之间也可以互访。
服务器401能够通过TCP协议访问服务器402上端口号为66的端口。同理,服务器402也能够访问服务器401。
在本申请实施例中,部署于扫码枪301与其他设备之间的IDS设备检测到恶意访问的网络异常事件,该事件的描述信息参见表7。
表7
Figure BDA0002395585800000151
从表7得知,IDS设备检测到的第一原始事件为扫码枪301被扫码枪302访问。而根据扫码枪301的访问权限信息得知,扫码枪301与扫码枪302之间是禁止访问的,所以IDS设备能够确认该第一原始事件为安全威胁事件。
当IDS设备确认扫码枪301检测到的第一原始事件为安全威胁事件之后,进一步能够认定扫码枪301遭到入侵,那么接下来IDS设备指示扫码枪301检测扫码枪301上是否有蠕虫代码,如果有,那么说明扫码枪301的第二原始事件为具有蠕虫代码。由于根据扫码枪301的IP地址可确定扫码枪301与服务器401之间进行通信,所以IDS设备获取服务器401的已知漏洞和当前补丁,以确定未被打补丁的漏洞(服务器401的属性信息)。其中,当前补丁是指已经针对漏洞打的补丁。在上述实施例中,假设扫码枪301上存在蠕虫代码,而根据服务器401的CVE版本2.6对应的漏洞确定除了补丁3和补丁4各自对应的漏洞以外的漏洞,是否包括与蠕虫代码对应的漏洞,如果有,那么IDS设备确认扫码枪301上存在的蠕虫代码对扫码枪301与服务器401之间的访问存在安全威胁,检测到蠕虫代码的第二原始事件对于扫码枪301与服务器401之间的通信而言属于安全威胁事件。
同理,假设根据服务器402的当前补丁包括蠕虫代码对应的漏洞,也就是说,蠕虫代码对应的漏洞不会对服务器402造成威胁,所以IDS设备确认扫码枪301上存在的蠕虫代码对扫码枪301与服务器402之间的访问不存在安全威胁,对于扫码枪301与服务器402之间的通信而言,检测到蠕虫代码的第二原始事件不属于安全威胁事件。
相应的,参见图5,本申请实施例提供了一种安全威胁事件的识别装置500,所述装置包括:第一获取单元501、选择单元502、第二获取单元503和识别单元504。
第一获取单元501,用于获取原始事件集包括的至少一个原始事件中每个原始事件的描述信息,所述原始事件是由至少一个威胁检测工具输出的,所述原始事件的描述信息包括所述原始事件对应实体的标识以及其他描述信息,所述其他描述信息包括以下其中一项或多项:所述原始事件的名称、所述原始事件的类型、所述原始事件的详细情况、所述原始事件的检测依据和所述原始事件的检测来源,其中,所述原始事件的类型包括网络异常事件、系统异常事件和行为事件中的一种或多种;
选择单元502,用于从所述原始事件集中选择一个或多个原始事件;
第二获取单元503,用于根据所述选择出的原始事件对应实体的标识获取所述选择出的原始事件对应的实体的描述信息,所述实体的描述信息包括以下其中一项或多项:所述实体的属性信息、所述实体的访问权限信息和所述实体的访问行为信息,其中,所述实体的属性信息用于描述实体的特征,所述实体的访问权限信息用于描述所述实体访问或被访问的权限,所述实体的访问行为信息用于描述所述实体的访问行为特点;
识别单元504,用于对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果,所述安全威胁事件为对网络和/或系统的安全构成威胁的事件。
参见图6,本申请实施例提供了一种安全威胁事件的识别设备600,所述设备600包括:存储器601、处理器602和通信接口603;
存储器601,用于存储指令;在实现图5所示实施例的情况下,且图5实施例中所描述的各单元为通过软件实现的情况下,执行图5中的第一获取单元501、选择单元502、第二获取单元503和识别单元504功能所需的软件或程序代码存储在存储器601中。
处理器602,用于执行存储器601中的指令,执行上述应用于图3所示实施例中安全设备的安全威胁事件的识别法。
通信接口603,用于进行通信。
存储器601、处理器602和通信接口603通过总线604相互连接。总线604可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在具体实施例中,处理器601用于获取原始事件集包括的至少一个原始事件中每个原始事件的描述信息,所述原始事件是由至少一个威胁检测工具输出的,所述原始事件的描述信息包括所述原始事件对应实体的标识以及其他描述信息,所述其他描述信息包括以下其中一项或多项:所述原始事件的名称、所述原始事件的类型、所述原始事件的详细情况、所述原始事件的检测依据和所述原始事件的检测来源,其中,所述原始事件的类型包括网络异常事件、系统异常事件和行为事件中的一种或多种;从所述原始事件集中选择一个或多个原始事件,针对选择出的原始事件执行以下处理:根据所述选择出的原始事件对应实体的标识获取所述选择出的原始事件对应的实体的描述信息,所述实体的描述信息包括以下其中一项或多项:所述实体的属性信息、所述实体的访问权限信息和所述实体的访问行为信息,其中,所述实体的属性信息用于描述实体的特征,所述实体的访问权限信息用于描述所述实体访问或被访问的权限,所述实体的访问行为信息用于描述所述实体的访问行为特点;对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果,所述安全威胁事件为对网络和/或系统的安全构成威胁的事件。该处理器601的详细处理过程请参考上述图3所示实施例的详细描述,这里不再赘述。
通信接口603用于从其他设备中获取原始事件的描述信息和对应实体的描述信息。具体的过程请参考上述图3所示实施例的详细描述,这里不再赘述。
上述存储器601可以是随机存取存储器(random-access memory,RAM)、闪存(flash)、只读存储器(read only memory,ROM)、可擦写可编程只读存储器(erasableprogrammable read only memory,EPROM)、电可擦除可编程只读存储器(electricallyerasable programmable read only memory,EEPROM)、寄存器(register)、硬盘、移动硬盘、CD-ROM或者本领域技术人员知晓的任何其他形式的存储介质。
上述处理器602例如可以是中央处理器(central processing unit,CPU)、通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路(application-specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gatearray,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
上述通信接口603例如可以是接口卡等,可以为以太(ethernet)接口或异步传输模式(asynchronous transfer mode,ATM)接口。
此外,本申请实施例还提供了一种计算机可读存储介质,包括计算机程序,当其在计算机上运行时,使得计算机执行上述应用于安全威胁事件的识别设备600的安全威胁事件的识别方法。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请中“至少一项(个)”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。本申请中认为“A和/或B”包含单独A,单独B,和A+B。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑模块划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要获取其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各模块单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件模块单元的形式实现。
所述集成的单元如果以软件模块单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (16)

1.一种安全威胁事件的识别方法,其特征在于,所述方法包括:
获取原始事件集包括的至少一个原始事件中每个原始事件的描述信息,所述原始事件是由至少一个威胁检测工具输出的,所述原始事件的描述信息包括所述原始事件对应实体的标识以及其他描述信息,所述其他描述信息包括以下其中一项或多项:所述原始事件的名称、所述原始事件的类型、所述原始事件的详细情况、所述原始事件的检测依据和所述原始事件的检测来源,其中,所述原始事件的类型包括网络异常事件、系统异常事件和行为事件中的一种或多种;
从所述原始事件集中选择一个或多个原始事件,针对选择出的原始事件执行以下处理:
根据所述选择出的原始事件对应实体的标识获取所述选择出的原始事件对应的实体的描述信息,所述实体的描述信息包括以下其中一项或多项:所述实体的属性信息、所述实体的访问权限信息和所述实体的访问行为信息,其中,所述实体的属性信息用于描述实体的特征,所述实体的访问权限信息用于描述所述实体访问或被访问的权限,所述实体的访问行为信息用于描述所述实体的访问行为特点;
对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果,所述安全威胁事件为对网络和/或系统的安全构成威胁的事件。
2.根据权利要求1所述的方法,其特征在于,所述选择出的原始事件包括第一原始事件和第二原始事件;
所述对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果包括:
对所述第一原始事件的名称和所述第一原始事件对应的实体的访问权限信息进行关联分析,或者对所述第一原始事件的详细情况和所述第一原始事件对应的实体的访问权限信息进行关联分析,从而得到第一分析结果,第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;
对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到所述第一原始事件和所述第二原始事件中的至少一项是否为安全威胁事件的识别结果。
3.根据权利要求2所述的方法,其特征在于,所述对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到所述第一原始事件和所述第二原始事件中的至少一项是否为安全威胁事件的识别结果包括:
对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到第二分析结果,所述第二分析结果指示所述第二原始事件为所述安全威胁事件的可信度;
对所述第二分析结果和所述第二原始事件对应的实体的访问权限信息进行关联分析,从而得到所述第二原始事件是否为安全威胁事件的识别结果。
4.根据权利要求1所述的方法,其特征在于,所述选择出的原始事件包括第一原始事件,所述第一原始事件对应的实体包括第一实体和第二实体;
所述对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果包括:
对所述第一原始事件的名称和所述第一实体访问所述第二实体的访问权限信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;
对所述第一分析结果和所述第二实体被所述第一实体进行访问的访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
5.根据权利要求1所述的方法,其特征在于,所述选择出的原始事件包括第一原始事件,所述第一原始事件对应的实体的描述信息包括所述实体的第一访问权限信息和所述实体的第二访问权限信息;
所述对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果包括:
对所述第一原始事件的名称和所述实体的第一访问权限信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;
对所述第一分析结果和所述实体的第二访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
6.根据权利要求1所述的方法,其特征在于,所述选择出的原始事件为第一原始事件,所述第一原始事件对应的实体包括第一实体;
所述对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果包括:
根据所述第一原始事件的详细情况和所述第一实体的访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
7.根据权利要求6所述的方法,其特征在于,在得到所述第一原始事件为安全威胁事件的识别结果之后,所述方法还包括:
根据所述第一实体的标识,从所述原始事件集中确定与所述第一实体对应的第二原始事件,并获取所述第二原始事件的名称和所述第二原始事件对应的第二实体的标识;
根据所述第二实体的标识,获取所述第二实体的属性信息;
对所述第二原始事件的名称和所述第二实体的属性信息进行关联分析,从而得到所述第二原始事件是否为安全威胁事件的识别结果。
8.一种安全威胁事件的识别装置,其特征在于,所述装置包括:
第一获取单元,用于获取原始事件集包括的至少一个原始事件中每个原始事件的描述信息,所述原始事件是由至少一个威胁检测工具输出的,所述原始事件的描述信息包括所述原始事件对应实体的标识以及其他描述信息,所述其他描述信息包括以下其中一项或多项:所述原始事件的名称、所述原始事件的类型、所述原始事件的详细情况、所述原始事件的检测依据和所述原始事件的检测来源,其中,所述原始事件的类型包括网络异常事件、系统异常事件和行为事件中的一种或多种;
选择单元,用于从所述原始事件集中选择一个或多个原始事件;
第二获取单元,用于根据所述选择出的原始事件对应实体的标识获取所述选择出的原始事件对应的实体的描述信息,所述实体的描述信息包括以下其中一项或多项:所述实体的属性信息、所述实体的访问权限信息和所述实体的访问行为信息,其中,所述实体的属性信息用于描述实体的特征,所述实体的访问权限信息用于描述所述实体访问或被访问的权限,所述实体的访问行为信息用于描述所述实体的访问行为特点;
识别单元,用于对所述选择出的原始事件的描述信息和所述选择出的原始事件对应的实体的描述信息进行关联分析,从而得到所述选择出的原始事件是否为安全威胁事件的识别结果,所述安全威胁事件为对网络和/或系统的安全构成威胁的事件。
9.根据权利要求8所述的装置,其特征在于,所述选择出的原始事件包括第一原始事件和第二原始事件;
所述识别单元,用于对所述第一原始事件的名称和所述第一原始事件对应的实体的访问权限信息进行关联分析,或者对所述第一原始事件的详细情况和所述第一原始事件对应的实体的访问权限信息进行关联分析,从而得到第一分析结果,第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到所述第一原始事件和所述第二原始事件中的至少一项是否为安全威胁事件的识别结果。
10.根据权利要求9所述的装置,其特征在于,所述识别单元对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到所述第一原始事件和所述第二原始事件中的至少一项是否为安全威胁事件的识别结果包括:
所述识别单元对所述第一分析结果和所述第二原始事件的名称进行关联分析,从而得到第二分析结果,所述第二分析结果指示所述第二原始事件为所述安全威胁事件的可信度;
所述识别单元对所述第二分析结果和所述第二原始事件对应的实体的访问权限信息进行关联分析,从而得到所述第二原始事件是否为安全威胁事件的识别结果。
11.根据权利要求8所述的装置,其特征在于,所述选择出的原始事件包括第一原始事件,所述第一原始事件对应的实体包括第一实体和第二实体;
所述识别单元,用于对所述第一原始事件的名称和所述第一实体访问所述第二实体的访问权限信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述第二实体被所述第一实体进行访问的访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
12.根据权利要求8所述的装置,其特征在于,所述选择出的原始事件包括第一原始事件,所述第一原始事件对应的实体的描述信息包括所述实体的第一访问权限信息和所述实体的第二访问权限信息;
所述识别单元,用于对所述第一原始事件的名称和所述实体的第一访问权限信息进行关联分析,从而得到第一分析结果,所述第一分析结果指示所述第一原始事件为所述安全威胁事件的可信度;对所述第一分析结果和所述实体的第二访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
13.根据权利要求8所述的装置,其特征在于,所述选择出的原始事件为第一原始事件,所述第一原始事件对应的实体包括第一实体;
所述识别单元,用于根据所述第一原始事件的详细情况和所述第一实体的访问权限信息进行关联分析,从而得到所述第一原始事件是否为安全威胁事件的识别结果。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第三获取单元,用于在得到所述第一原始事件为安全威胁事件的识别结果之后,根据所述第一实体的标识,从所述原始事件集中确定与所述第一实体对应的第二原始事件,并获取所述第二原始事件的名称和所述第二原始事件对应的第二实体的标识;根据所述第二实体的标识,获取所述第二实体的属性信息;
所述识别单元,还用于对所述第二原始事件的名称和所述第二实体的属性信息进行关联分析,从而得到所述第二原始事件是否为安全威胁事件的识别结果。
15.一种安全威胁事件的识别设备,其特征在于,所述设备包括:存储器和处理器;
其中,所述存储器,用于存储指令;
所述处理器,用于执行所述指令,以执行所述权利要求1-7任意一项所述的方法。
16.一种计算机可读存储介质,其特征在于,包括计算机程序,当其在计算机上运行时,使得计算机执行以上权利要求1-7任意一项所述的方法。
CN202010130194.2A 2020-02-28 2020-02-28 一种安全威胁事件识别方法、装置及设备 Active CN113328976B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010130194.2A CN113328976B (zh) 2020-02-28 2020-02-28 一种安全威胁事件识别方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010130194.2A CN113328976B (zh) 2020-02-28 2020-02-28 一种安全威胁事件识别方法、装置及设备

Publications (2)

Publication Number Publication Date
CN113328976A true CN113328976A (zh) 2021-08-31
CN113328976B CN113328976B (zh) 2022-11-22

Family

ID=77412829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010130194.2A Active CN113328976B (zh) 2020-02-28 2020-02-28 一种安全威胁事件识别方法、装置及设备

Country Status (1)

Country Link
CN (1) CN113328976B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826707A (zh) * 2022-04-13 2022-07-29 中国人民解放军战略支援部队航天工程大学 处理用户威胁的方法、装置、电子设备和计算机可读介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
CN105471882A (zh) * 2015-12-08 2016-04-06 中国电子科技集团公司第三十研究所 一种基于行为特征的网络攻击检测方法及装置
CN106294406A (zh) * 2015-05-22 2017-01-04 阿里巴巴集团控股有限公司 一种用于处理应用访问数据的方法与设备
CN107430535A (zh) * 2015-01-30 2017-12-01 阿诺马力公司 空间和时间效率威胁检测
US10237294B1 (en) * 2017-01-30 2019-03-19 Splunk Inc. Fingerprinting entities based on activity in an information technology environment
CN109688105A (zh) * 2018-11-19 2019-04-26 中国科学院信息工程研究所 一种威胁报警信息生成方法及系统
CN110035062A (zh) * 2019-03-07 2019-07-19 亚信科技(成都)有限公司 一种网络验伤方法及设备
US20190327206A1 (en) * 2018-04-18 2019-10-24 Forcepoint, LLC Resolution of Entity Identifiers Using Type Dependent Normalization

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
CN107430535A (zh) * 2015-01-30 2017-12-01 阿诺马力公司 空间和时间效率威胁检测
CN106294406A (zh) * 2015-05-22 2017-01-04 阿里巴巴集团控股有限公司 一种用于处理应用访问数据的方法与设备
CN105471882A (zh) * 2015-12-08 2016-04-06 中国电子科技集团公司第三十研究所 一种基于行为特征的网络攻击检测方法及装置
US10237294B1 (en) * 2017-01-30 2019-03-19 Splunk Inc. Fingerprinting entities based on activity in an information technology environment
US20190327206A1 (en) * 2018-04-18 2019-10-24 Forcepoint, LLC Resolution of Entity Identifiers Using Type Dependent Normalization
CN109688105A (zh) * 2018-11-19 2019-04-26 中国科学院信息工程研究所 一种威胁报警信息生成方法及系统
CN110035062A (zh) * 2019-03-07 2019-07-19 亚信科技(成都)有限公司 一种网络验伤方法及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吕慧颖等: ""基于时空关联分析的网络实时威胁识别与评估"", 《计算机研究与发展》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114826707A (zh) * 2022-04-13 2022-07-29 中国人民解放军战略支援部队航天工程大学 处理用户威胁的方法、装置、电子设备和计算机可读介质
CN114826707B (zh) * 2022-04-13 2022-11-25 中国人民解放军战略支援部队航天工程大学 处理用户威胁的方法、装置、电子设备和计算机可读介质

Also Published As

Publication number Publication date
CN113328976B (zh) 2022-11-22

Similar Documents

Publication Publication Date Title
US10095866B2 (en) System and method for threat risk scoring of security threats
US10701036B2 (en) System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US10225280B2 (en) System and method for verifying and detecting malware
Modi et al. A survey of intrusion detection techniques in cloud
US11122061B2 (en) Method and server for determining malicious files in network traffic
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
EP3374870B1 (en) Threat risk scoring of security threats
US11374946B2 (en) Inline malware detection
US11636208B2 (en) Generating models for performing inline malware detection
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
US20230195896A1 (en) Identification of .net malware with "unmanaged imphash"
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
CN114338233A (zh) 基于流量解析的网络攻击检测方法和系统
CN113206852A (zh) 一种安全防护方法、装置、设备及存储介质
JP2022541250A (ja) インラインマルウェア検出
Tupakula et al. Dynamic state-based security architecture for detecting security attacks in virtual machines
CN113542302B (zh) 攻击干扰方法、装置、网关及可读存储介质
CN113726799B (zh) 针对应用层攻击的处理方法、装置、系统和设备
US20230328083A1 (en) Network vulnerability assessment
US20230344838A1 (en) Detecting microsoft .net malware using machine learning on .net structure
US20230185915A1 (en) Detecting microsoft windows installer malware using text classification models

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant