CN113496033B - 访问行为识别方法和装置及存储介质 - Google Patents
访问行为识别方法和装置及存储介质 Download PDFInfo
- Publication number
- CN113496033B CN113496033B CN202010271144.6A CN202010271144A CN113496033B CN 113496033 B CN113496033 B CN 113496033B CN 202010271144 A CN202010271144 A CN 202010271144A CN 113496033 B CN113496033 B CN 113496033B
- Authority
- CN
- China
- Prior art keywords
- behavior
- access
- attack
- target
- attack behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 111
- 238000003860 storage Methods 0.000 title claims abstract description 14
- 230000006399 behavior Effects 0.000 claims abstract description 753
- 230000008859 change Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 description 23
- 238000010586 diagram Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 10
- 238000004519 manufacturing process Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 8
- 230000000977 initiatory effect Effects 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 3
- 241000700605 Viruses Species 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 208000012761 aggressive behavior Diseases 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000003892 spreading Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Abstract
本发明公开了一种访问行为识别方法和装置及存储介质。其中,该方法包括:获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;获取行为识别模型输出的识别结果;在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为。本发明解决了访问行为识别的准确性较低的技术问题。
Description
技术领域
本发明涉及计算机领域,具体而言,涉及一种访问行为识别方法和装置及存储介质。
背景技术
威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
目在现有技术中,针对识别访问行为是否存在威胁情报的生产主要是以下两种方式:第一种是基于开源情报,即其他安全厂商的分析结果,第二种是通过在沙箱中运行样本,提取恶意样本访问的IP和域名。
但通过开源情报生产威胁情报,依赖其他安全厂商的分析结果,无法自主可控。通过沙箱获取情报的方式,判断维度单一,简单粗暴。一方面是黑样本访问的IP和域名可能为正常网站,比如获取本机IP的地理位置。另一方面是有些样本采用白加黑、无文件等绕过手段,躲避沙箱规则的检测。因此这些针对识别访问行为是否存在威胁情报生产的方式有一定的局限性,很容易被黑客团队绕过,进而导致威胁检测的精准度较弱。即,现有技术中存在访问行为识别的精准度较低的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种访问行为识别方法和装置及存储介质,以至少解决访问行为识别的准确性较低的技术问题。
根据本发明实施例的一个方面,提供了一种访问行为识别方法,包括:获取待识别的目标访问行为的目标访问信息,其中,上述目标访问信息中携带有访问地址信息;将上述目标访问信息输入行为识别模型,其中,上述行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别上述目标访问行为是否为攻击行为,上述攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;获取上述行为识别模型输出的识别结果;在上述识别结果指示上述目标访问信息与上述攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将上述目标访问行为识别为攻击行为。
根据本发明实施例的另一方面,还提供了一种访问行为识别装置,包括:第一获取单元,用于获取待识别的目标访问行为的目标访问信息,其中,上述目标访问信息中携带有访问地址信息;输入单元,用于将上述目标访问信息输入行为识别模型,其中,上述行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别上述目标访问行为是否为攻击行为,上述攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;第二获取单元,用于获取上述行为识别模型输出的识别结果;识别单元,用于在上述识别结果指示上述目标访问信息与上述攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将上述目标访问行为识别为攻击行为。
根据本发明实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述访问行为识别方法。
根据本发明实施例的又一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器通过计算机程序执行上述的访问行为识别方法。
在本发明实施例中,获取待识别的目标访问行为的目标访问信息,其中,上述目标访问信息中携带有访问地址信息;将上述目标访问信息输入行为识别模型,其中,上述行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别上述目标访问行为是否为攻击行为,上述攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;获取上述行为识别模型输出的识别结果;在上述识别结果指示上述目标访问信息与上述攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将上述目标访问行为识别为攻击行为,通过行为识别模型识别目标访问行为是否为攻击行为,其中,行为识别模型为根据多个目标用户账号的网络访问行为的跟踪结果实时、自动、持续更新的,进而达到了提高访问行为的识别全面性的技术目的,从而实现了提高访问行为识别的准确性的技术效果,进而解决了访问行为识别的准确性较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的访问行为识别方法的应用环境的示意图;
图2是根据本发明实施例的一种可选的访问行为识别方法的流程图的示意图;
图3是根据本发明实施例的一种可选的访问行为识别方法的示意图;
图4是根据本发明实施例的另一种可选的访问行为识别方法的示意图;
图5是根据本发明实施例的另一种可选的访问行为识别方法的示意图;
图6是根据本发明实施例的另一种可选的访问行为识别方法的示意图;
图7是根据本发明实施例的另一种可选的访问行为识别方法的示意图;
图8是根据本发明实施例的另一种可选的访问行为识别方法的示意图;
图9是根据本发明实施例的另一种可选的访问行为识别方法的示意图;
图10是根据本发明实施例的另一种可选的访问行为识别方法的示意图;
图11是根据本发明实施例的一种可选的访问行为识别装置的示意图;
图12是根据本发明实施例的一种可选的电子装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的一个方面,提供了一种访问行为识别方法,可选地,作为一种可选的实施方式,上述访问行为识别方法可以但不限于应用于如图1所示的环境中。其中,可以但不限于包括用户设备102、网络110及服务器112,其中,该用户设备102上可以但不限于包括显示器108、处理器106及存储器104。
具体过程可如下步骤:
步骤S102,用户设备102可以但不限于通过显示器108中安装的可识别到触碰操作的感应器,获取显示器108上产生的触控信号,进而检测访问行为102的触发,并获取访问行为102的访问信息104;
步骤S104-S106,用户设备102通过网络110将访问信息104发送给服务器112;
步骤S108-110,服务器112将访问信息104输入至行为识别模型(图中未示出),进而获取识别模型输出的识别结果,并根据识别结果自动更新行为识别模型(图中未示出);
步骤S112-S114,服务器112通过网络110将识别结果发送给用户设备102;
步骤S116,用户设备102中的处理器106根据识别结果识别访问行为102,具体的,在识别结果指示访问信息104与存储器104(攻击行为识别条件库)中存储的目标攻击行为识别条件的匹配的情况下,识别访问行为102为攻击行为,并在显示器108上显示该访问行为102为攻击行为的提示,例如图1中所示“存在高风险”(阴影处)。
可选的,上述存储目标攻击行为识别条件的攻击行为识别条件库可以但不限于为用户设备102的存储器104,也可以但不限于为服务器112中的数据库114,此处仅为举例,不做具体限制。换言之,识别访问行为102为攻击行为可以但不限于在服务器112或用户设备102中执行。
可选地,作为一种可选的实施方式,如图2所示,访问行为识别方法包括:
S202,获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;
S204,将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;
S206,获取行为识别模型输出的识别结果;
S208,在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为。
可选的,在本实施例中,访问行为识别方法可以但不限于应用在网络安全防护领域下,例如生成威胁情报、判断后台生产恶意的失陷检测指标(Indicator Of Compromise,简称IOC)、和/或识别恶意行为等2场景。可选的,威胁情报可以但不限于是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。可选的,失陷检测指标可以但不限于为用于提供给用户检测系统是否已被恶意软件或者攻击者贡献,如果在系统内发现了这些指标即可以但不限于表明系统已被攻陷。可选的,目标访问行为可以但不限于通过用户执行访问行为时所产生的流量数据获取。可选的,访问地址信息可以但不限于包括访问地址的网际互连协议(Internet Protocol,简称IP)、统一资源定位符(Uniform Resource Locator,简称URL)和域名(Domain Name)。可选的,行为识别模型可以但不限于为基于对手战术、技术及通用知识库(Adversarial Tactics,Techniques and Common Knowledge,简称ATT&CK)构建的模型,可选的,ATT&CK可以但不限于为一种用于反映各个攻击生命周期的攻击行为的模型和知识库。攻击行为识别条件库可以但不限于包括ATT&CK知识库。跟踪结果可以但不限于通过对生成威胁情报的网络访问行为进行持续监控,进而在发现更多的、高威胁的战术、技术与过程(Tactics、Techniques、Procedures,简称TTP)行为,并将上述TTP行为加入构建好的行为识别模型的攻击行为识别条件库中,实现攻击行为识别条件库的自我更新,以生产更多的威胁情报。可选的,攻击行为识别条件库可以但不限于为基于TTP行为规则构建的,其中,TTP行为规则可以但不限于包括行为识别模型中能直接或者间接进行威胁情报生产的TTP行为的规则。
需要说明的是,获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;获取行为识别模型输出的识别结果;在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为。
进一步举例说明,可选的例如图3所示,将上述访问行为识别方法应用在识别企业访问行为的场景下,具体如下步骤:
步骤S302,在企业交换机302处,分光企业的所有网络流量,并将获取流量中TCP/UDP/DNS三种协议的访问地址信息304,例如域名和IP;
步骤S304,调用服务器306,传入待检测的访问地址信息304;
步骤S306,服务器306根据访问地址信息304输出接口返回值308,并通过接口返回值308,判断企业用户是否有访问黑域名和黑IP;
步骤S308,服务器306根据返回黑域名和黑IP的标签和分类信息,判断企业(用户设备或企业系统等)是否被攻陷,被挖矿,被勒索,被锁主页等恶意行为;
可选的,可以但不限于根据上述返回黑域名和黑IP的恶意行为信息,在产生恶意行为的机器上进行快速取证、溯源,并排除威胁。
通过本申请提供的实施例,获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;获取行为识别模型输出的识别结果;在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为,通过行为识别模型识别目标访问行为是否为攻击行为,其中,行为识别模型为根据多个目标用户账号的网络访问行为的跟踪结果实时、自动、持续更新的,进而达到了提高访问行为的识别全面性的技术目的,从而实现了提高访问行为识别的准确性的技术效果。
作为一种可选的方案,获取行为识别模型输出的识别结果包括:
S1,遍历攻击行为识别条件库中记录的攻击行为识别条件,执行以下操作:
S2,获取当前攻击行为识别条件;
S3,从当前攻击行为识别条件中提取当前攻击行为特征,并从目标访问信息中提取目标访问行为的目标访问行为特征;
S4,获取当前攻击行为特征与目标访问行为特征的特征匹配度;
S5,在特征匹配度小于第一阈值的情况下,获取下一个攻击行为识别条件作为当前攻击行为识别条件;
S6,在特征匹配度大于等于第一阈值的情况下,确定目标访问行为特征与当前攻击行为特征匹配,并确定当前攻击行为识别条件为识别结果中的目标攻击行为识别条件。
可选的,行为特征可以但不限于包括计算机根据目标访问行为所执行的目标进程、命令行信息、访问的域名、IP地址等,换言之,特征匹配度可以但不限于包括目标进程、命令行信息、访问的域名、IP地址与当前攻击行为特征的匹配程度。
需要说明的是,遍历攻击行为识别条件库中记录的攻击行为识别条件,执行以下操作:获取当前攻击行为识别条件;从当前攻击行为识别条件中提取当前攻击行为特征,并从目标访问信息中提取目标访问行为的目标访问行为特征;获取当前攻击行为特征与目标访问行为特征的特征匹配度;在特征匹配度小于第一阈值的情况下,获取下一个攻击行为识别条件作为当前攻击行为识别条件;在特征匹配度大于等于第一阈值的情况下,确定目标访问行为特征与当前攻击行为特征匹配,并确定当前攻击行为识别条件为识别结果中的目标攻击行为识别条件。
进一步举例说明,可选的例如以ATT&CK模型说明,如图4所示,为ATT&CK模型中全部的TTP行为,被虚线框所框选出的行为是提取的、上述全部的TTP行为中能直接或者间接进行威胁情报生产的行为(当前攻击行为识别条件),并对上述进行威胁情报生产的行为整理、编号,进而获得可用于威胁情报生产的TTP规则(当前攻击行为特征),进而基于上述TTP规则构建初始攻击行为识别条件库;
进一步可选的,采集目标用户发起的网络访问行为的进程信息、命令行信息、访问的域名、IP等基础信息;并由大数据平台,实时存储目标用户的网络访问行为,其中可以但不限于包括:发起网络访问的域名、IP、发起网络访问的进程信息,发起网络访问的URL等;
可选的,将构建的初始攻击行为识别条件库和目标用户的网络访问行为的行为特征进行匹配,例如目标用户通过Powershell进程进行无文件挖矿,进而通过匹配命令行特征:powershell%remotescriptblock%argumentlist%即可识别这类行为,那么目标用户此次访问域名(pool.xhv.semipool.com)或者IP(207.148.119.62)即为矿池,并标记为恶意IOC,以及保存通过初始攻击行为识别条件库进行流量匹配的结果,例如IP、域名、URL等。
通过本申请提供的实施例,遍历攻击行为识别条件库中记录的攻击行为识别条件,执行以下操作:获取当前攻击行为识别条件;从当前攻击行为识别条件中提取当前攻击行为特征,并从目标访问信息中提取目标访问行为的目标访问行为特征;获取当前攻击行为特征与目标访问行为特征的特征匹配度;在特征匹配度小于第一阈值的情况下,获取下一个攻击行为识别条件作为当前攻击行为识别条件;在特征匹配度大于等于第一阈值的情况下,确定目标访问行为特征与当前攻击行为特征匹配,并确定当前攻击行为识别条件为识别结果中的目标攻击行为识别条件,通过根据当前攻击行为特征与目标访问行为特征的特征匹配度,判断目标访问行为是否为攻击行为,从而实现了提高目标访问行为的识别精准性的技术效果。
作为一种可选的方案,获取行为识别模型输出的识别结果包括:
在攻击行为识别条件库中并未识别出与目标访问信息匹配的目标攻击行为识别条件的情况下,确定识别结果为目标访问行为是非攻击行为。
需要说明的是,在攻击行为识别条件库中并未识别出与目标访问信息匹配的目标攻击行为识别条件的情况下,确定识别结果为目标访问行为是非攻击行为。
进一步举例说明,可选的例如在未识别出与目标访问信息匹配的目标攻击行为识别条件的情况下,确定目标访问行为是非攻击行为;以及可选的,在识别出与目标访问信息匹配的目标攻击行为识别条件的情况下,但目标用户的机器上(客户端)并没有出现恶意行为,那么可选的,可以但不限于确定上述识别为误报,并确定目标访问行为是非攻击行为。
通过本申请提供的实施例,在攻击行为识别条件库中并未识别出与目标访问信息匹配的目标攻击行为识别条件的情况下,确定识别结果为目标访问行为是非攻击行为,通过是否与攻击行为识别条件库中的信息匹配的方式,确定目标访问信息为非攻击行为,进而达到了减少访问行为识别误差的技术目的,从而实现了提高访问行为的识别精准性的技术效果。
作为一种可选的方案,在获取待识别的目标访问行为的目标访问信息之前,或者,在将目标访问行为识别为攻击行为之后,还包括:
S1,采集多个样本用户账号的样本网络访问行为的样本访问信息;
S2,根据样本访问信息从样本网络访问行为中确定出候选网络访问行为,其中,候选网络访问行为对应的样本用户账号为目标用户账号;
S3,对目标用户账号的网络访问行为进行跟踪,得到跟踪结果;
S4,根据跟踪结果更新攻击行为识别条件库。
需要说明的是,采集多个样本用户账号的样本网络访问行为的样本访问信息;根据样本访问信息从样本网络访问行为中确定出候选网络访问行为,其中,候选网络访问行为对应的样本用户账号为目标用户账号;对目标用户账号的网络访问行为进行跟踪,得到跟踪结果;根据跟踪结果更新攻击行为识别条件库。
进一步举例说明,可选的以腾讯管家为例,腾讯管家采集多个样本腾讯管家用户账号的样本网络访问行为的样本访问信息,并根据样本访问信息从样本网络访问行为中确定出候选网络访问行为,其中,发起候选网络访问行为的用户即为目标用户,候选网络访问行为可以但不限于为在微软视窗操作系统(Windows)平台上能直接或者间接进行威胁情报生产的网络访问行为,以及对候选网络访问行为进行跟踪,得到跟踪结果,可选的,跟踪结果可以但不限于包括目标用户发起网络请求的进程信息、命令行信息、访问的域名、IP等基础信息;进而根据跟踪结果中记载的信息更新攻击行为识别条件库中的攻击行为识别条件、以及攻击行为特征。
可选的,更新攻击行为识别条件库时机可以但不限于在当前单次访问行为识别过程之前或之后,以及可选的,单次行为识别过程中所用的攻击行为识别条件库中的信息(例如攻击行为识别条件、以及攻击行为特征等)是相对静止的。
通过本申请提供的实施例,采集多个样本用户账号的样本网络访问行为的样本访问信息;根据样本访问信息从样本网络访问行为中确定出候选网络访问行为,其中,候选网络访问行为对应的样本用户账号为目标用户账号;对目标用户账号的网络访问行为进行跟踪,得到跟踪结果;根据跟踪结果更新攻击行为识别条件库,通过根据样本数据更新攻击行为识别条件库,进而达到了提高攻击行为识别条件库的全面性的技术目的,从而实现了使得用于调用攻击行为识别条件库的行为识别模型更趋近于理想模型的技术效果。
作为一种可选的方案,根据样本访问信息从样本网络访问行为中确定出候选网络访问行为包括:
S1,获取攻击行为识别条件库中记录的攻击行为识别条件;
S2,从攻击行为识别条件中提取攻击行为特征,并从样本访问信息中提取样本网络访问行为的样本访问行为特征;
S3,比对攻击行为特征与样本访问行为特征;
S4,在攻击行为特征与样本访问行为特征匹配的情况下,将样本网络访问行为中确定为候选网络访问行为。
需要说明的是,获取攻击行为识别条件库中记录的攻击行为识别条件;从攻击行为识别条件中提取攻击行为特征,并从样本访问信息中提取样本网络访问行为的样本访问行为特征;比对攻击行为特征与样本访问行为特征;在攻击行为特征与样本访问行为特征匹配的情况下,将样本网络访问行为中确定为候选网络访问行为。
进一步举例说明,可选的例如,访问行为特征可以但不限于包括多种特征,例如发起网络请求的进程信息(特征)、命令行信息(特征)、访问的域名(特征)、IP(特征)等基础信息(特征),可以但不限于利用上述一种或多种特征进行加权求和计算的方式,进而利用计算后的结果,确定候选网络访问行为。
通过本申请提供的实施例,获取攻击行为识别条件库中记录的攻击行为识别条件;从攻击行为识别条件中提取攻击行为特征,并从样本访问信息中提取样本网络访问行为的样本访问行为特征;比对攻击行为特征与样本访问行为特征;在攻击行为特征与样本访问行为特征匹配的情况下,将样本网络访问行为中确定为候选网络访问行为,通过攻击行为特征与样本访问行为特征匹配的方式,确定候选网络访问行为,进而达到了提高更新攻击行为识别条件库所用的样本质量的技术目的,从而实现了提高攻击行为识别条件库的更新质量的技术效果。
作为一种可选的方案,在将样本网络访问行为中确定为候选网络访问行为之后,还包括:
根据预配置的访问列表对确定出的候选网络行为进行去噪处理,以更新候选网络访问行为,其中,预配置的访问列表中记录有属于非攻击行为的网络访问行为对应的访问地址信息。
需要说明的是,根据预配置的访问列表对确定出的候选网络行为进行去噪处理,以更新候选网络访问行为,其中,预配置的访问列表中记录有属于非攻击行为的网络访问行为对应的访问地址信息。
进一步举例说明,可选的例如对匹配的结果IP或者域名进行去噪处理,例如去掉有备案、广度较高的域名(www.baidu.com等)、一些国家机关或者教育机构的域名(.edu等)等。
通过本申请提供的实施例,根据预配置的访问列表对确定出的候选网络行为进行去噪处理,以更新候选网络访问行为,其中,预配置的访问列表中记录有属于非攻击行为的网络访问行为对应的访问地址信息,通过对候选网络行为进行去噪处理,达到了减少访问行为识别过程中不必要的识别步骤的技术目的,从而实现了提高访问行为的识别效率的技术效果。
作为一种可选的方案,对目标用户账号的网络访问行为进行跟踪,得到跟踪结果包括:
S1,获取目标用户账号在目标时间段内的跟踪网络访问行为的跟踪访问信息;
S2,从跟踪访问信息中提取出跟踪网络访问行为的访问行为特征;
S3,在检测到跟踪网络访问行为的访问行为特征发生变化的情况下,获取变化后的访问行为特征,并根据变化后的访问行为特征生成候选攻击行为识别条件;
S4,将候选攻击行为识别条件添加至攻击行为识别条件库,以更新攻击行为识别条件库。
需要说明的是,获取目标用户账号在目标时间段内的跟踪网络访问行为的跟踪访问信息;从跟踪访问信息中提取出跟踪网络访问行为的访问行为特征;在检测到跟踪网络访问行为的访问行为特征发生变化的情况下,获取变化后的访问行为特征,并根据变化后的访问行为特征生成候选攻击行为识别条件;将候选攻击行为识别条件添加至攻击行为识别条件库,以更新攻击行为识别条件库。
进一步举例说明,可选的例如,将跟踪网络访问行为的访问行为特征和用户网络流量数据,进行实时匹配,进而达到监控发起网络访问的进程名称、命令行特征、进程链、等特征是否发生变化的目的,并在发生变化的情况下,将变化后的访问行为特征生成候选攻击行为识别条件,以及根据候选攻击行为识别条件更新攻击行为识别条件库。
通过本申请提供的实施例,获取目标用户账号在目标时间段内的跟踪网络访问行为的跟踪访问信息;从跟踪访问信息中提取出跟踪网络访问行为的访问行为特征;在检测到跟踪网络访问行为的访问行为特征发生变化的情况下,获取变化后的访问行为特征,并根据变化后的访问行为特征生成候选攻击行为识别条件;将候选攻击行为识别条件添加至攻击行为识别条件库,以更新攻击行为识别条件库,通过在跟踪网络访问行为后续发生变化的情况下,根据变化后的访问行为特征更新攻击行为识别条件库,进而达到了避免攻击行为识别条件库中未记录有未知的攻击行为识别条件,从而实现了提高攻击行为识别条件库的记录全面性的技术效果。
作为一种可选的方案,在从跟踪访问信息中提取出跟踪网络访问行为的访问行为特征之后,还包括:
S1,在检测到与跟踪网络访问行为关联的访问程序发生变化的情况下,确定跟踪网络访问行为的访问行为特征发生变化;
S2,在检测到与跟踪网络访问行为关联的编码字符发生变化的情况下,确定跟踪网络访问行为的访问行为特征发生变化。
需要说明的是,在检测到与跟踪网络访问行为关联的访问程序发生变化的情况下,确定跟踪网络访问行为的访问行为特征发生变化;在检测到与跟踪网络访问行为关联的编码字符发生变化的情况下,确定跟踪网络访问行为的访问行为特征发生变化。
进一步举例说明,可选的,恶意家族(这里特指攻击行为的源头)为了对抗杀毒软件或者安全设备,会利用各种方式绕过杀毒软件或者安全设备的检测,大体上可总结为如下两种方式:
一种是恶意家族为了对抗杀毒软件或者安全设备,更新了TTP行为的运行手法,比如从powershell启动恶意程序,到后面通过regsvr32、Certutil、Scrons等新型TTP的攻击手法,可选的,将上述新攻击手法的访问程序经过人工验证,添加到攻击行为识别条件库中,以实现攻击行为识别条件库的更新。
另一种是攻击手法没变,但是发生了变种,可选的例如图5所示,硬编码、base64、特殊字符绕过等发生变种(黑色框内);可选的,针对上述变种制定新的对抗规则(攻击识别条件)补充到攻击行为识别条件库中,以实现攻击行为识别条件库的更新。
通过本申请提供的实施例,在检测到与跟踪网络访问行为关联的访问程序发生变化的情况下,确定跟踪网络访问行为的访问行为特征发生变化;在检测到与跟踪网络访问行为关联的编码字符发生变化的情况下,确定跟踪网络访问行为的访问行为特征发生变化,通过不断更新攻击行为识别条件库的方式,以克服层出不穷、多种多样的攻击行为,进而达到了不断丰富攻击行为识别条件库中记录的攻击行为识别条件的技术目的,从而实现了提高用于调用攻击行为识别条件库的行为识别模型自适应性的技术效果。
本发明还提供了一种优选实施例,该优选实施例提供了一种基于ATT&CK模型提炼的基础规则、外加恶意团伙持续监控实现的访问行为识别方法。
在对该方法进行详细介绍之前,对其中所涉及到的关键术语和缩略词定义如下:
威胁情报:威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。本专利中的威胁情报是指技术级情报,又可以称为失陷检测指标即IOC,正如其名字,失陷检测指标即为可以用于提供给用户检测系统是否已被恶意软件或者攻击者贡献,如果在系统内发现了这些指标即表明系统已被攻陷。
ATT&CK:是一个反映各个攻击生命周期的攻击行为的模型和知识库。
TTP:(战术Tactics、技术Techniques和过程Procedures)是描述高级威胁组织及其攻击的重要指标。
生产威胁情报:在面对腾讯电脑管家上报的海量域名系统协议(Domain NameSystem,简称DNS)和IP等IOC指标,通过一些规则和策略去识别恶意的IOC指标,比如:多个同类型的黑样本对同一个域名进行通信,上传用户隐私信息,那么这个域名就是控制服务器,即恶意IOC。
无文件攻击:也就是不在目标主机上的磁盘写入任何恶意的文件,全程内存执行。其中,powershell是目前被利用得最多的手法,80%的黑客团队采用这种方式对用户进行恶意操作,例如WannaMiner恶意家族会采用powershell结合Wmi的方式在用户的机器上进行无文件挖矿。再例如regsvr32,去远程服务器拉去sct文件并执行,sct文件里面可以包含VBScript或JScript代码。
白加黑执行有效载荷(paylaod):病毒作者通常会试图利用安全软件的“信任漏洞”,想方设法利用在安全软件“白名单”内的程序来实现恶意行为,进而称这类技术为“白加黑”。这里面的分类是比较多的,用得较多的就是cmstp rundll32等方式。
白加黑下载和编译执行:白加黑下载恶意家族使用较多的是bitsadmin,还有前面mykings家族使用的tfp。
编译执行:将恶意代码以C#源码的形式传播,然后用windows自带的msbuild进行编译执行,以躲避杀毒软件的查杀。
该方法提出了一种判断威胁情报IOC是否具有恶意行为的一种识别方法,包括通过提取ATT&CK模型中恶意软件的行为列表,构建规则库;通过获取每个用户的访问的流量数据,并与规则库中的行为规则进行匹配;根据匹配结果(IP和域名)进行筛选去噪,生产威胁情报;对现有威胁情报的行为进行持续监控,发现恶意样本更多的TTP行为规则,将恶意TTPS行为规则加入规则库,实现规则库的自我更新,以生产更多的威胁情报;从而通过ATT&CK构建的规则库,不断生产累计威胁情报IOC,能够对恶意团队和家族保持持续的跟踪,实现网络层感知黑客的攻击行为。
具体的,如图6所示,该方法的整体技术流程可以描述为以下步骤:
步骤S602,分析模型中(以ATT&CK为例)的所有TTPS行为、以及对应的行为规则;
步骤S604,提取Windows平台上能直接或者间接进行威胁情报生产的TTPS行为规则,并对初次提取的TTP行为规则进行编号整理,构建具有威胁情报攻击感知作用的规则库;
步骤S606,采集用户发起网络请求的网络流量数据、进程信息,命令行信息,访问的域名、IP等基础信息,并由大数据平台,实时存储用户的网络访问行为,其中包括:发起网络访问的域名、IP,发起网络访问的进程信息,发起网络访问的URL等;
步骤S608,构建定时任务,并将构建的规则库和用户的网络访问行为进行匹配,例如用户通过Powershell进程进行无文件挖矿,进而通过匹配命令行特征:powershell%remotescriptblock%argumentlist%即可识别这类行为,那么用户此次访问域名(pool.xhv.semipool.com)或者IP(207.148.119.62)就是矿池,可标记为恶意IOC,以及保存通过规则库进行流量匹配的结果,比如IP、域名、URL;
步骤S610,对匹配的结果IP或者域名进行去噪处理,比如去掉有备案,广度较高的域名(www.baidu.com等),一些国家机关或者教育机构的域名(.edu等);
步骤S612,通过域名去噪处理,进而获取恶意域名和/或恶意IP,即威胁情报;
步骤S614,将恶意域名和/或恶意IP和用户网络流量数据,进行实时匹配,监控发起网络访问的进程名称、命令行特征、进程链、等特征;
步骤S616,判断是否发生变化,若无变化,则继续执行步骤S606,若有变化,则执行S618-1和/或S618-2;
步骤S618-1,存在更新攻击手法,或者使用多种攻击手法组合的情况;
步骤S620-1,人工验证新攻击手法是否有效,若有效则将新攻击手法对应的行为规则存入规则库中(步骤S604),若无效,则继续执行步骤S606;
步骤S618-2,存在攻击手法变种的情况;
步骤S620-1,针对变种后的攻击手法生成专门的行为规则,并将专门的行为规则存入规则库中(步骤S604)。
可选的举例说明,通过该方法,威胁情报攻击手法可选的覆盖如图7所示的无文件攻击类型、如图8所示的白加黑执行paylaod类型、如图9所示的白加黑下载paylaod类型、以及图10所示的编译执行类型。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
根据本发明实施例的另一个方面,还提供了一种用于实施上述访问行为识别方法的访问行为识别装置。如图11所示,该装置包括:
第一获取单元1102,用于获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;
输入单元1104,用于将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;
第二获取单元1106,用于获取行为识别模型输出的识别结果;
识别单元1108,用于在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为。
可选的,在本实施例中,访问行为识别方法可以但不限于应用在网络安全防护领域下,例如生成威胁情报、判断后台生产恶意的失陷检测指标(Indicator Of Compromise,简称IOC)、和/或识别恶意行为等2场景。可选的,威胁情报可以但不限于是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。可选的,失陷检测指标可以但不限于为用于提供给用户检测系统是否已被恶意软件或者攻击者贡献,如果在系统内发现了这些指标即可以但不限于表明系统已被攻陷。可选的,目标访问行为可以但不限于通过用户执行访问行为时所产生的流量数据获取。可选的,访问地址信息可以但不限于包括访问地址的网际互连协议(Internet Protocol,简称IP)、统一资源定位符(Uniform Resource Locator,简称URL)和域名(Domain Name)。可选的,行为识别模型可以但不限于为基于对手战术、技术及通用知识库(Adversarial Tactics,Techniques and Common Knowledge,简称ATT&CK)构建的模型,可选的,ATT&CK可以但不限于为一种用于反映各个攻击生命周期的攻击行为的模型和知识库。攻击行为识别条件库可以但不限于包括ATT&CK知识库。跟踪结果可以但不限于通过对生成威胁情报的网络访问行为进行持续监控,进而在发现更多的、高威胁的战术、技术与过程(Tactics、Techniques、Procedures,简称TTP)行为,并将上述TTP行为加入构建好的行为识别模型的攻击行为识别条件库中,实现攻击行为识别条件库的自我更新,以生产更多的威胁情报。可选的,攻击行为识别条件库可以但不限于为基于TTP行为规则构建的,其中,TTP行为规则可以但不限于包括行为识别模型中能直接或者间接进行威胁情报生产的TTP行为的规则。
需要说明的是,获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;获取行为识别模型输出的识别结果;在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为。
具体实施例可以参考上述访问行为识别方法中所示示例,本示例中在此不再赘述。
通过本申请提供的实施例,获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;获取行为识别模型输出的识别结果;在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为,通过行为识别模型识别目标访问行为是否为攻击行为,其中,行为识别模型为根据多个目标用户账号的网络访问行为的跟踪结果实时、自动、持续更新的,进而达到了提高访问行为的识别全面性的技术目的,从而实现了提高访问行为识别的准确性的技术效果。
作为一种可选的方案,第二获取单元1106包括:
遍历模块,用于遍历攻击行为识别条件库中记录的攻击行为识别条件,执行以下操作:
第一获取模块,用于获取当前攻击行为识别条件;
第一提取模块,用于从当前攻击行为识别条件中提取当前攻击行为特征,并从目标访问信息中提取目标访问行为的目标访问行为特征;
第二获取模块,用于获取当前攻击行为特征与目标访问行为特征的特征匹配度;
第三获取模块,用于在特征匹配度小于第一阈值的情况下,获取下一个攻击行为识别条件作为当前攻击行为识别条件;
第一确定模块,用于在特征匹配度大于等于第一阈值的情况下,确定目标访问行为特征与当前攻击行为特征匹配,并确定当前攻击行为识别条件为识别结果中的目标攻击行为识别条件。
具体实施例可以参考上述访问行为识别方法中所示示例,本示例中在此不再赘述。
作为一种可选的方案,第二获取单元1106包括:
确定子单元,用于在攻击行为识别条件库中并未识别出与目标访问信息匹配的目标攻击行为识别条件的情况下,确定识别结果为目标访问行为是非攻击行为。
具体实施例可以参考上述访问行为识别方法中所示示例,本示例中在此不再赘述。
作为一种可选的方案,还包括:
采集单元,用于在获取待识别的目标访问行为的目标访问信息之前,或者,在将目标访问行为识别为攻击行为之后,采集多个样本用户账号的样本网络访问行为的样本访问信息;
第一确定单元,用于在获取待识别的目标访问行为的目标访问信息之前,或者,在将目标访问行为识别为攻击行为之后,根据样本访问信息从样本网络访问行为中确定出候选网络访问行为,其中,候选网络访问行为对应的样本用户账号为目标用户账号;
跟踪单元,用于在获取待识别的目标访问行为的目标访问信息之前,或者,在将目标访问行为识别为攻击行为之后,对目标用户账号的网络访问行为进行跟踪,得到跟踪结果;
更新单元,用于在获取待识别的目标访问行为的目标访问信息之前,或者,在将目标访问行为识别为攻击行为之后,根据跟踪结果更新攻击行为识别条件库。
具体实施例可以参考上述访问行为识别方法中所示示例,本示例中在此不再赘述。
作为一种可选的方案,第一确定单元包括:
第四获取模块,用于获取攻击行为识别条件库中记录的攻击行为识别条件;
第二提取模块,用于从攻击行为识别条件中提取攻击行为特征,并从样本访问信息中提取样本网络访问行为的样本访问行为特征;
比对模块,用于比对攻击行为特征与样本访问行为特征;
第二确定模块,用于在攻击行为特征与样本访问行为特征匹配的情况下,将样本网络访问行为中确定为候选网络访问行为。
具体实施例可以参考上述访问行为识别方法中所示示例,本示例中在此不再赘述。
作为一种可选的方案,还包括:
第一更新模块,用于在将样本网络访问行为中确定为候选网络访问行为之后,根据预配置的访问列表对确定出的候选网络行为进行去噪处理,以更新候选网络访问行为,其中,预配置的访问列表中记录有属于非攻击行为的网络访问行为对应的访问地址信息。
具体实施例可以参考上述访问行为识别方法中所示示例,本示例中在此不再赘述。
作为一种可选的方案,跟踪单元包括:
第五获取模块,用于获取目标用户账号在目标时间段内的跟踪网络访问行为的跟踪访问信息;
第三提取模块,用于从跟踪访问信息中提取出跟踪网络访问行为的访问行为特征;
生成模块,用于在检测到跟踪网络访问行为的访问行为特征发生变化的情况下,获取变化后的访问行为特征,并根据变化后的访问行为特征生成候选攻击行为识别条件;
第二更新模块,用于将候选攻击行为识别条件添加至攻击行为识别条件库,以更新攻击行为识别条件库。
具体实施例可以参考上述访问行为识别方法中所示示例,本示例中在此不再赘述。
作为一种可选的方案,还包括:
第二确定单元,用于在从跟踪访问信息中提取出跟踪网络访问行为的访问行为特征之后,在检测到与跟踪网络访问行为关联的访问程序发生变化的情况下,确定跟踪网络访问行为的访问行为特征发生变化;
第三确定单元,用于在从跟踪访问信息中提取出跟踪网络访问行为的访问行为特征之后,在检测到与跟踪网络访问行为关联的编码字符发生变化的情况下,确定跟踪网络访问行为的访问行为特征发生变化。
具体实施例可以参考上述访问行为识别方法中所示示例,本示例中在此不再赘述。
根据本发明实施例的又一个方面,还提供了一种用于实施上述访问行为识别方法的电子装置,如图12所示,该电子装置包括存储器1202和处理器1204,该存储器1202中存储有计算机程序,该处理器1204被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子装置可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;
S2,将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;
S3,获取行为识别模型输出的识别结果;
S4,在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为。
可选地,本领域普通技术人员可以理解,图12所示的结构仅为示意,电子装置也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图12其并不对上述电子装置的结构造成限定。例如,电子装置还可包括比图12中所示更多或者更少的组件(如网络接口等),或者具有与图12所示不同的配置。
其中,存储器1202可用于存储软件程序以及模块,如本发明实施例中的访问行为识别方法和装置对应的程序指令/模块,处理器1204通过运行存储在存储器1202内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的访问行为识别方法。存储器1202可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1202可进一步包括相对于处理器1204远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中,存储器1202具体可以但不限于用于存储目标访问信息、攻击行为识别条件以及识别结果等信息。作为一种示例,如图12所示,上述存储器1202中可以但不限于包括上述访问行为识别装置中的第一获取单元1102、输入单元1104、第二获取单元1106及识别单元1108。此外,还可以包括但不限于上述访问行为识别装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置1206用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1206包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1206为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子装置还包括:显示器1208,用于显示上述目标访问信息、攻击行为识别条件以及识别结果等信息;和连接总线1210,用于连接上述电子装置中的各个模块部件。
根据本发明的实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述计算机可读的存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取待识别的目标访问行为的目标访问信息,其中,目标访问信息中携带有访问地址信息;
S2,将目标访问信息输入行为识别模型,其中,行为识别模型用于调用攻击行为识别条件库中记录的攻击行为识别条件来识别目标访问行为是否为攻击行为,攻击行为识别条件库中记录的攻击行为识别条件是利用对多个目标用户账号的网络访问行为的跟踪结果来自动更新的;
S3,获取行为识别模型输出的识别结果;
S4,在识别结果指示目标访问信息与攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将目标访问行为识别为攻击行为。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种访问行为识别方法,其特征在于,包括:
获取待识别的目标访问行为的目标访问信息,其中,所述目标访问信息中携带有访问地址信息,在所述获取待识别的目标访问行为的目标访问信息之前,或者,在所述获取待识别的目标访问行为的目标访问信息之后还包括:从攻击行为识别条件库中记录的攻击行为识别条件中提取攻击行为特征,并从多个样本用户账号对应的样本网络访问行为的样本访问信息中提取样本访问行为特征;在所述攻击行为特征与所述样本访问行为特征匹配的情况下,将所述样本网络访问行为确定为候选网络访问行为,并将所述候选网络访问行为对应的样本用户账号确定为目标用户账号;获取所述目标用户账号在目标时间段内的跟踪网络访问行为的跟踪访问信息;在检测到从所述跟踪访问信息中提取出的访问行为特征发生变化的情况下,根据变化后的所述访问行为特征生成候选攻击行为识别条件,并将所述候选攻击行为识别条件添加至所述攻击行为识别条件库;
将所述目标访问信息输入行为识别模型,其中,所述行为识别模型用于调用所述攻击行为识别条件库中记录的所述攻击行为识别条件来识别所述目标访问行为是否为攻击行为,所述攻击行为识别条件库中记录的攻击行为识别条件是利用对多个所述目标用户账号的网络访问行为的跟踪结果来自动更新的;
获取所述行为识别模型输出的识别结果;
在所述识别结果指示所述目标访问信息与所述攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将所述目标访问行为识别为攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述获取所述行为识别模型输出的识别结果包括:
获取当前攻击行为识别条件,并从所述当前攻击行为识别条件中提取当前攻击行为特征,以及从所述目标访问信息中提取所述目标访问行为的目标访问行为特征;
获取所述当前攻击行为特征与所述目标访问行为特征的特征匹配度,并在所述特征匹配度大于等于第一阈值的情况下,确定所述目标访问行为特征与所述当前攻击行为特征匹配,以及确定所述当前攻击行为识别条件为所述识别结果中的所述目标攻击行为识别条件。
3.根据权利要求2所述的方法,其特征在于,所述获取所述行为识别模型输出的识别结果包括:
在所述攻击行为识别条件库中并未识别出与所述目标访问信息匹配的所述目标攻击行为识别条件的情况下,确定所述识别结果为所述目标访问行为是非攻击行为。
4.根据权利要求1所述的方法,其特征在于,在所述将所述样本网络访问行为中确定为所述候选网络访问行为之后,还包括:
根据预配置的访问列表对确定出的所述候选网络访问行为进行去噪处理,以更新所述候选网络访问行为,其中,所述预配置的访问列表中记录有属于非攻击行为的网络访问行为对应的访问地址信息。
5.一种访问行为识别装置,其特征在于,包括:
第一获取单元,用于获取待识别的目标访问行为的目标访问信息,其中,所述目标访问信息中携带有访问地址信息,在所述获取待识别的目标访问行为的目标访问信息之前,或者,在所述获取待识别的目标访问行为的目标访问信息之后还包括:从攻击行为识别条件库中记录的攻击行为识别条件中提取攻击行为特征,并从多个样本用户账号对应的样本网络访问行为的样本访问信息中提取样本访问行为特征;在所述攻击行为特征与所述样本访问行为特征匹配的情况下,将所述样本网络访问行为确定为候选网络访问行为,并将所述候选网络访问行为对应的样本用户账号确定为目标用户账号;获取所述目标用户账号在目标时间段内的跟踪网络访问行为的跟踪访问信息;在检测到从所述跟踪访问信息中提取出的访问行为特征发生变化的情况下,根据变化后的所述访问行为特征生成候选攻击行为识别条件,并将所述候选攻击行为识别条件添加至所述攻击行为识别条件库;
输入单元,用于将所述目标访问信息输入行为识别模型,其中,所述行为识别模型用于调用所述攻击行为识别条件库中记录的所述攻击行为识别条件来识别所述目标访问行为是否为攻击行为,所述攻击行为识别条件库中记录的攻击行为识别条件是利用对多个所述目标用户账号的网络访问行为的跟踪结果来自动更新的;
第二获取单元,用于获取所述行为识别模型输出的识别结果;
识别单元,用于在所述识别结果指示所述目标访问信息与所述攻击行为识别条件库中的目标攻击行为识别条件的匹配的情况下,将所述目标访问行为识别为攻击行为。
6.一种计算机可读的存储介质,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至4任一项中所述的方法。
7.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至4任一项中所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010271144.6A CN113496033B (zh) | 2020-04-08 | 访问行为识别方法和装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010271144.6A CN113496033B (zh) | 2020-04-08 | 访问行为识别方法和装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113496033A CN113496033A (zh) | 2021-10-12 |
CN113496033B true CN113496033B (zh) | 2024-07-12 |
Family
ID=
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109561090A (zh) * | 2018-11-30 | 2019-04-02 | 杭州安恒信息技术股份有限公司 | 一种web智能防御方法、装置、设备及可读存储介质 |
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109561090A (zh) * | 2018-11-30 | 2019-04-02 | 杭州安恒信息技术股份有限公司 | 一种web智能防御方法、装置、设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
CN110719291A (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
KR102079687B1 (ko) | 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법 | |
US20130263266A1 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
CN110414236B (zh) | 一种恶意进程的检测方法及装置 | |
CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
CN110177114A (zh) | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
KR101859562B1 (ko) | 취약점 정보 분석 방법 및 장치 | |
CN108154031B (zh) | 伪装应用程序的识别方法、装置、存储介质和电子装置 | |
WO2018211827A1 (ja) | 評価プログラム、評価方法および情報処理装置 | |
JPWO2018066221A1 (ja) | 分類装置、分類方法及び分類プログラム | |
CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
CN114205128A (zh) | 网络攻击分析方法、装置、电子设备及存储介质 | |
CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
JP6977625B2 (ja) | 評価プログラム、評価方法および評価装置 | |
CN110135162A (zh) | Webshell后门识别方法、装置、设备及存储介质 | |
JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
CN115208643A (zh) | 一种基于web动态防御的追踪溯源方法及装置 | |
CN114297632A (zh) | 主机失陷检测方法、装置、电子设备及存储介质 | |
CN113704569A (zh) | 信息的处理方法、装置及电子设备 | |
CN110460620B (zh) | 网站防御方法、装置、设备及存储介质 | |
US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
CN113496033B (zh) | 访问行为识别方法和装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |