CN113992371B - 一种流量日志的威胁标签生成方法、装置及电子设备 - Google Patents
一种流量日志的威胁标签生成方法、装置及电子设备 Download PDFInfo
- Publication number
- CN113992371B CN113992371B CN202111213816.9A CN202111213816A CN113992371B CN 113992371 B CN113992371 B CN 113992371B CN 202111213816 A CN202111213816 A CN 202111213816A CN 113992371 B CN113992371 B CN 113992371B
- Authority
- CN
- China
- Prior art keywords
- threat
- label
- model
- tag
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请的实施例公开了一种流量日志的威胁标签生成方法、装置及电子设备,涉及计算机网络安全技术领域,为便于提高网络设备的安全性而发明。所述方法,包括:根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签;根据预设的威胁标签分类规则,确定所述威胁标签的标签类别;建立所述标签类别与所述威胁标签的对应关系。本申请适用于生成流量日志的标签。
Description
技术领域
本申请涉及计算机网络安全技术领域,尤其涉及一种流量日志的威胁标签生成方法、装置、电子设备及可读存储介质。
背景技术
随着互联网的快速发展,威胁不断加剧,网络安全隐患越来越多,为减少安全隐患,网络设备的运行会产生日志记录下操作的相关信息以供管理人员对相关信息进行分析。当网络设备受到攻击时,网络设备也会产生相应的流量日志以记录攻击行为。
现有技术中,可对流量日志进行分析,为流量日志打上威胁标签如木马、远控、钓鱼等等,但由于常常存在多种设备或多种机制进行流量日志分析并打上相应的标签,各标签之间可能会存在不协调、不统一甚至矛盾之处,从而对后期分析带来了额外工作压力,并容易造成误判,导致网络设备的安全性较低。
发明内容
有鉴于此,本申请实施例提供一种流量日志的威胁标签生成方法、装置、电子设备及可读存储介质,便于提高网络设备的安全性。
第一方面,本申请实施例提供一种流量日志的威胁标签生成方法,包括:根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签;根据预设的威胁标签分类规则,确定所述威胁标签的标签类别;建立所述标签类别与所述威胁标签的对应关系。
根据本申请实施例的一种具体实现方式,所述预设的威胁检测模块,包括预设的基于模型的威胁检测模块和预设的基于情报的威胁检测模块;所述根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签,包括:根据预设的基于模型的威胁检测模块和目标流量日志,确定所述目标流量日志的模型威胁标签和与所述模型威胁标签对应的第一检测依据;根据预设的基于情报的威胁检测模块、所述目标流量日志、所述模型威胁标签和所述第一检测依据,确定所述目标流量日志的情报威胁标签。
根据本申请实施例的一种具体实现方式,所述根据预设的基于模型的威胁检测模块和目标流量日志,确定所述目标流量日志的模型威胁标签和与所述模型威胁标签对应的第一检测依据,包括:根据预设的关键要素提取模块,对目标流量日志进行关键要素提取,得到关键要素;所述目标流量日志中包括关键要素,所述关键要素为与威胁相关的信息;根据预设的基于模型的威胁检测模块和所述关键要素,确定所述目标流量日志的模型威胁类型和与所述模型威胁类型对应的第一检测依据,将所述模型威胁类型作为所述目标流量日志的模型威胁标签,形成具有所述模型威胁标签的目标流量日志;所述根据预设的基于情报的威胁检测模块、所述目标流量日志、所述模型威胁标签和所述第一检测依据,确定所述目标流量日志的情报威胁标签,包括:根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签;所述根据预设的威胁标签分类规则,确定所述威胁标签的标签类别,包括:根据预设的威胁标签分类规则,确定所述模型威胁标签的标签类别为当前威胁,并确定所述情报威胁标签的标签类别为潜在威胁。
根据本申请实施例的一种具体实现方式,所述当前威胁包括威胁过程和威胁手段;所述根据预设的威胁标签分类规则,确定所述模型威胁标签的标签类别为当前威胁,包括:根据预设的威胁攻击链的信息和所述第一检测依据,确定所述模型威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述模型威胁标签是否属于所处攻击阶段下的攻击过程;响应于所述模型威胁标签属于所处阶段下的攻击过程,确定所述模型威胁标签的类别为威胁过程;响应于所述模型威胁标签不属于所处阶段下的攻击过程,确定所述模型威胁标签为攻击手段,并确定所述模型威胁标签的类别为威胁手段。
根据本申请实施例的一种具体实现方式,所述潜在威胁包括潜在威胁过程和潜在威胁手段;所述根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签,包括:根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签和与所述情报威胁标签对应的第二检测依据;所述根据预设的威胁标签分类规则,确定所述情报威胁标签的标签类别为潜在威胁,包括:根据预设的威胁攻击链的信息和所述第二检测依据,确定所述情报威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述情报威胁标签是否属于所处阶段下的攻击过程;响应于所述情报威胁标签属于所处阶段下的攻击过程,确定所述情报威胁标签的类别为潜在威胁过程;响应于所述情报威胁标签不属于所处阶段下的攻击过程,确定所述情报威胁标签属于所处阶段的攻击手段,并确定所述情报威胁标签的类别为潜在威胁手段。
根据本申请实施例的一种具体实现方式,所述方法还包括:利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合。
根据本申请实施例的一种具体实现方式,所述利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合,包括:将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同、所述模型威胁标签与所述情报威胁标签处于相同的攻击阶段且均为所述攻击阶段的攻击过程,将所述标准的模型威胁标签作为新的模型威胁标签,将所述情报威胁标签删除。
根据本申请实施例的一种具体实现方式,所述利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合,包括:将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同且所述模型威胁标签与所述情报威胁标签均为攻击手段,使用所述标准的模型威胁标签替换所述模型威胁标签和所述情报威胁标签。
第二方面,本申请实施例提供一种流量日志的威胁标签生成装置,包括:第一确定模块,用于根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签;第二确定模块,用于根据预设的威胁标签分类规则,确定所述威胁标签的标签类别;建立模块,用于建立所述标签类别与所述威胁标签的对应关系。
根据本申请实施例的一种具体实现方式,所述预设的威胁检测模块,包括预设的基于模型的威胁检测模块和预设的基于情报的威胁检测模块;所述第一确定模块,包括:第一确定子模块,用于根据预设的基于模型的威胁检测模块和目标流量日志,确定所述目标流量日志的模型威胁标签和与所述模型威胁标签对应的第一检测依据;第二确定子模块,用于根据预设的基于情报的威胁检测模块、所述目标流量日志、所述模型威胁标签和所述第一检测依据,确定所述目标流量日志的情报威胁标签。
根据本申请实施例的一种具体实现方式,所述第一确定子模块,包括:提取单元,用于根据预设的关键要素提取模块,对目标流量日志进行关键要素提取,得到关键要素;所述目标流量日志中包括关键要素,所述关键要素为与威胁相关的信息;第一确定单元,用于根据预设的基于模型的威胁检测模块和所述关键要素,确定所述目标流量日志的模型威胁类型和与所述模型威胁类型对应的第一检测依据,将所述模型威胁类型作为所述目标流量日志的模型威胁标签,形成具有所述模型威胁标签的目标流量日志;所述第二确定子模块,包括:第二确定单元,用于根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签;所述第二确定模块,包括:第三确定子模块,用于根据预设的威胁标签分类规则,确定所述模型威胁标签的标签类别为当前威胁,并确定所述情报威胁标签的标签类别为潜在威胁。
根据本申请实施例的一种具体实现方式,所述当前威胁包括威胁过程和威胁手段;所述第三确定子模块,具体用于:根据预设的威胁攻击链的信息和所述第一检测依据,确定所述模型威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述模型威胁标签是否属于所处攻击阶段下的攻击过程;响应于所述模型威胁标签属于所处阶段下的攻击过程,确定所述模型威胁标签的类别为威胁过程;响应于所述模型威胁标签不属于所处阶段下的攻击过程,确定所述模型威胁标签为攻击手段,并确定所述模型威胁标签的类别为威胁手段。
根据本申请实施例的一种具体实现方式,所述潜在威胁包括潜在威胁过程和潜在威胁手段;所述第二确定单元,具体用于根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签和与所述情报威胁标签对应的第二检测依据;所述第三确定子模块,具体用于:根据预设的威胁攻击链的信息和所述第二检测依据,确定所述情报威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述情报威胁标签是否属于所处阶段下的攻击过程;响应于所述情报威胁标签属于所处阶段下的攻击过程,确定所述情报威胁标签的类别为潜在威胁过程;响应于所述情报威胁标签不属于所处阶段下的攻击过程,确定所述情报威胁标签属于所处阶段的攻击手段,并确定所述情报威胁标签的类别为潜在威胁手段。
根据本申请实施例的一种具体实现方式,所述装置还包括:整合模块,用于利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合。
根据本申请实施例的一种具体实现方式,所述整合模块,具体用于:将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同、所述模型威胁标签与所述情报威胁标签处于相同的攻击阶段且均为所述攻击阶段的攻击过程,将所述标准的模型威胁标签作为新的模型威胁标签,将所述情报威胁标签删除。
根据本申请实施例的一种具体实现方式,所述整合模块,具体用于:将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同且所述模型威胁标签与所述情报威胁标签均为攻击手段,使用所述标准的模型威胁标签替换所述模型威胁标签和所述情报威胁标签。
第三方面,本申请实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的流量日志的威胁标签生成方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的流量日志的威胁标签生成方法。
本实施例的流量日志的威胁标签生成方法、装置、电子设备及可读存储介质,根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签,再根据预设的威胁标签分类规则,确定威胁标签的标签类别,并建立标签类别与威胁标签的对应关系,这样可以方便用户按照标签类别对流量日志进行查找,进一步地,根据查找结果,可以有针对性地进行后续处理,从而提高网络设备的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请一实施例提供的流量日志的威胁标签生成方法的流程示意图;
图2为本申请一实施例中基于模型的威胁检测模块的示意图;
图3为本申请一实施例中基于情报的威胁检测模块的示意图;
图4为本申请一具体实施例提供的流量日志的威胁标签生成方法的流程示意图;
图5为本申请一实施例提供的流量日志的威胁标签生成装置的结构示意图;
图6为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为使本领域技术人员更好地理解本申请实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。
本申请一实施例提供的一种流量日志的威胁标签生成方法,根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签,根据预设的威胁标签分类规则,确定所述威胁标签的标签类别,建立所述标签类别与所述威胁标签的对应关系,便于提高网络设备的安全性。
图1为本申请一实施例提供的流量日志的威胁标签生成方法的流程示意图,如图1所示,本实施例的流量日志的威胁标签生成方法,可以包括:
S101、根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签。
流量日志可为网络设备产生的流量日志,目标流量日志可为本实施例的标签生成方法的处理对象。
预设的威胁检测模块用于对流量日志进行威胁检测,通过威胁检测可以确定流量日志的威胁标签。威胁标签包括木马、远控、挖矿、蠕虫、钓鱼等等。
S102、根据预设的威胁标签分类规则,确定威胁标签的标签类别。
根据预设的威胁标签分类规则,确定威胁标签的标签类别,实现对威胁标签进行分类。
S103、建立标签类别与威胁标签的对应关系。
具体可通过将威胁标签所属的标签类别添加到对应的威胁标签的属性信息中,以建立标签类别与威胁标签的对应关系。
建立标签类别与威胁标签的对应关系,可以便于后续对该威胁标签按照标签类别进行查找。
本实施例,根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签,再根据预设的威胁标签分类规则,确定威胁标签的标签类别,并建立标签类别与威胁标签的对应关系,这样,可以方便用户按照标签类别对流量日志进行查找,进一步地,根据查找结果,可以有针对性地进行后续处理,从而,提高导致网络设备的安全性。
本申请一实施例与上述实施例基本相同,不同之处在于,本实施例的威胁标签生成方法中的预设的威胁检测模块,包括预设的基于模型的威胁检测模块和预设的基于情报的威胁检测模块。
相应地,根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签(S101),可以包括:
S101a、根据预设的基于模型的威胁检测模块和目标流量日志,确定目标流量日志的模型威胁标签和与模型威胁标签对应的第一检测依据。
基于模型的威胁检测模块为基于既往数据训练得到的模型,相应地,通过该模型对目标流量日志,确定得到的模型威胁标签可表示网络设备当前面临的威胁。
参见图2,作为基于模型的威胁检测模块的一具体实施例,可通过多源数据融合分析模型确定流量日志的标签,具体过程如下:
(1)数据解析还原:从检测日志中提取关键要素(如IP,URL,域名,传输样本),并对关键要素进行标准化,格式化处理,形成可供模型使用的数据,为模型分析做准备。
(2)大数据模型关联分析:基于海量数据反复校对的各类模型检测分析,对接入数据进行行为分析与威胁类型检测过滤,形成重点分析的恶意样本(指疑似造成危害行为的文件、hash)。
(3)恶意样本识别:通过样本特征,特征关联性,家族特征以图谱分析方式找出隐藏在流量传输中的恶意样本,识别出样本的属性信息(危害性、动/静态行为、利用漏洞、传播方式、家族信息)。
(4)融合关联模型:对多种模型检测结果中的多个文件基因、样本动静态分析结果、同源分析结果、攻击有效性危害性、传输文件危害性、利用漏洞危害性、进行融合关联,通过不断的数据积累、自动训练完善、人工修正参数,最终输出基于模型检出的事件威胁行为标签。
第一检测依据可为模型威胁标签的检出的依据,如依照网址确定模型威胁标签为木马,则该网址即为第一检测依据。
S101b、根据预设的基于情报的威胁检测模块、目标流量日志、模型威胁标签和第一检测依据,确定目标流量日志的情报威胁标签。
基于情报的威胁检测模块是基于实时信息或距离目前较短的时间内的信息的威胁检测模型,相应地,通过该模型对目标流量日志,确定得到的情报威胁标签可表示网络设备面临的潜在威胁。
参见图3,作为基于情报的威胁检测模块的一具体实施例,可通过多源情报检测系统确定流量日志的情报标签,具体过程如下:
(1)IOC(攻陷指标,可理解为检测依据)预处理:从检测日志中提取IOC,并对IOC进行预处理,格式化,为多源情报检测做准备;
(2)多源情报联合查询:所有情报源参与IOC情报查询,同时通过情报关联得到的IOC参与多源情报查询,综合以上,得到IOC多源情报所有检测内容;
(3)根据情报源权重过滤筛选情报:IOC所有情报检测结果,按照情报源权重值由高到底排列,根据权重阈值过滤低于情报源记录,保留高权重情报源记录;
(4)根据情报信誉度过滤无效情报:根据IOC所有情报检测记录信誉值,过滤低质量、无效的情报源记录;
(5)根据情报时效性过滤情报:优先选择最新,且活跃度高的情报记录,不同IOC类型时效性不同,优先级:hash>email>domain>url>ip>其他等,IOC类型时效周期支持动态可配;
(6)规则过滤:使用规则过滤引擎过滤忽略误报情报;
(7)用户正回馈:(a)分析人员对情报威胁事件进行分析研判,根据分析结论,调整情报源权重值和情报记录信誉值大小,进而影响情报检测结果;(b)分析人员对情报威胁事件分析、研判、验证,发现误报,可向威胁情报检测系统添加误报规则,进而提高情报检测质量;(c)用户可向威胁情报检测系统批量添加第三方情报数据、用户场景情报(如用户信誉库),进而提升在特定场景下威胁检测能力和高级威胁发现能力;(d)同时情报检测系统会根据用户反馈结果,统计计算不同情报源误报率,评估情报质量,动态降低高误报率情报源权重。
(8)情报融合:(a)基础信息、判定信息使用授信源情报;(b)多源情报标签融合;(c)多源情报攻击信息融合;(d)多源情报关联关系融合等。
(9)输出日志检测结果。
综合输出经由情报检出融合后的威胁标签,定性接入日志当前威胁类型。
通过第一检测依据,基于情报的威胁检测模块可较为便捷地根据第一检测依据检出威胁标签,并对基于模型的威胁检测模块确定的模型威胁标签进行校验,还可以对目标流量日志直接进行检测,得到情报威胁标签。
可以理解的是,为便于区分不同威胁检测模型的结果,在每个模型的检测结果中携带模型的标识信息,如在模型威胁标签中携带基于模型的威胁检测模块的标识信息,在情报威胁标签中携带基于情报的威胁检测模块的标识信息。
本实施例,通过根据预设的基于模型的威胁检测模块和目标流量日志,确定所述目标流量日志的模型威胁标签和与所述模型威胁标签对应的第一检测依据,并根据预设的基于情报的威胁检测模块、所述目标流量日志、所述模型威胁标签和所述第一检测依据,确定所述目标流量日志的情报威胁标签,即可得到表示当前威胁和潜在威胁的混合标签,这样,可便于进一步有针对性地对当前威胁和潜在威胁采取相应的处理策略,能够提高网络设备的安全性,同时能够提高处理效率。
作为一具体实现方式,在一些例子中,根据预设的基于模型的威胁检测模块和目标流量日志,确定所述目标流量日志的模型威胁标签和与所述模型威胁标签对应的第一检测依据(S101a),可以包括:
A1、根据预设的关键要素提取模块,对目标流量日志进行关键要素提取,得到关键要素。
本实施例中,目标流量日志中包括关键要素,关键要素为与威胁相关的信息。
关键要素可为源IP、目的IP、源端口、目的端口、传输协议、协议内容、包数量和/或字节数。
A2、根据预设的基于模型的威胁检测模块和关键要素,确定目标流量日志的模型威胁类型和与模型威胁类型对应的第一检测依据,将模型威胁类型作为目标流量日志的模型威胁标签,形成具有模型威胁标签的目标流量日志。
在通过预设的基于模型的威胁检测模块确定目标流量日志的模型威胁类型前,通过预设的关键要素提取模块,提取目标流量日志模型关键要素,这样,可减少预设的基于模型的威胁检测模块的计算量,提高预设的基于模型的威胁检测模块的处理效率。
与上述实施例相对应地,根据预设的基于情报的威胁检测模块、目标流量日志、模型威胁标签和第一检测依据,确定目标流量日志的情报威胁标签(S101b),可以包括:
B1、根据预设的基于情报的威胁检测模块、具有模型威胁标签的目标流量日志和第一检测依据,确定目标流量日志的情报威胁标签。
在确定模型威胁标签和情报威胁标签后,在一些例子中,根据预设的威胁标签分类规则,确定威胁标签的标签类别(S102),包括:
S102a、根据预设的威胁标签分类规则,确定模型威胁标签的标签类别为当前威胁,并确定情报威胁标签的标签类别为潜在威胁。
将基于模型的威胁检测模块确定的标签和基于情报的威胁检测模块确定的标签,根据预设的威胁标签分类规则进行分类,模型威胁标签的标签类别为当前威胁,情报威胁标签的标签类别为潜在威胁,这样,可以有针对性地对当前威胁和潜在威胁分别采取相应的处理策略,提高网络设备的安全性。
如今,持续进化的网络威胁环境带来了更复杂攻击场景,除了商业化的攻击行为,以前所欠缺的攻击技术现在也发展得更加普遍。除此之外,为了达到专业化的战术目标并在企业内部创建一个持续的攻击据点,黑客的攻击行为也不再仅仅是普遍的破坏行为(如之前爆发的蠕虫风暴),而是采用了多目标、多阶段、更低调的攻击方式,基于此,基于防御思维的攻击链应运而生,攻击链上,可将一次攻击划分为不同的阶段,如洛克希德马丁攻击链,该攻击链上包括侦查跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制和目标达成等阶段。
每个阶段下能够实现另一种威胁行为的威胁行为为攻击手段,被实现的威胁行为为攻击过程,如通过木马实现对设备的远控行为,此时木马为攻击手段,远控为攻击过程。作为攻击手段的威胁行为和作为攻击过程的威胁行为可采取不同的处理策略进行防御,因此,为便于有针对性地对当前威胁采取不同的处理策略,在一些例子中,当前威胁包括威胁过程和威胁手段;
根据预设的威胁标签分类规则,确定模型威胁标签的标签类别为当前威胁(S102a),包括:
C1、根据预设的威胁攻击链的信息和第一检测依据,确定模型威胁标签在预设的威胁攻击链中所处的攻击阶段。
本实施例中,威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数。
攻击链可以采用现有的攻击链,也可自定义攻击链,在一些例子中,可以按业务需求人工定义攻击链及攻击链上每个阶段的名称。如自定义的攻击链包括:发现-定位-跟踪-瞄准-攻击-评估等阶段。
本实施例中,每个阶段下包括检测参数,满足检测参数的威胁类型属于该阶段。可以理解的是,本实施例的检测依据与攻击链上的检测参数一致,则检测依据对应的威胁类型即属于攻击链上该阶段。本实施例中,威胁类型作为流量日志的威胁标签,这样,满足攻击链上某个阶段的检测参数的威胁标签属于该阶段。
C2、根据与攻击阶段对应的预设的攻击过程判断规则,确定模型威胁标签是否属于所处攻击阶段下的攻击过程。
预设的攻击过程判断规则,具体可通过统计模型或阈值模型确定攻击过程,示例性地,统计模型中的统计特征可为:【保护目标资产IP段/域名】向【远端域名/地址】【持续发送数据/非常正常时间发送数据/发送重要保护数据】,执行:将【远端域名/地址】基于情报的检出【威胁类型】作为攻击过程归类至【攻击阶段】。其中【】内容为用户可设置变量。
具体地,例如基于统计模型中预置一类标签规则:一旦堡垒机10.255.8.*受到攻击告警,并且检出存在木马程序向远端地址(如:22.84.12.12)持续收发数据,即自动匹配依据检测指标22.84.12.12检出的威胁类型“远控”作为攻击过程归类至攻击阶段“命令与控制”。
示例性地,阈值模型中的阈值特征可为:【保护目标资产IP/域名】向【远端域名/地址】【上传/下载/数据传输】数据达到【次数】或达到【数据大小】,执行:将【远端域名/地址】基于情报的检出【威胁类型】作为攻击过程归类至【攻击阶段】。其中【】内容为用户可设置变量。
具体地,例如阈值模型中预置过程标签规则:一旦堡垒机10.255.8.*受到攻击告警,并且检出存在木马程序向远端地址(如:22.84.12.12)持续收发数据超过10次,即对“暴力破解”作为攻击过程归类至攻击阶段“命令与控制”。
每个攻击阶段对应不同的攻击过程判断规则,在确定标签所属攻击链上的某个阶段后,可根据该阶段对应的预设的攻击过程判断规则,确定模型威胁标签是否属于所处攻击阶段下的攻击过程。
C3、响应于模型威胁标签属于所处阶段下的攻击过程,确定模型威胁标签的类别为威胁过程。
如果模型威胁标签为所处阶段下的攻击过程,则将模型威胁标签的类别确定为威胁过程。
C4、响应于模型威胁标签不属于所处阶段下的攻击过程,确定模型威胁标签为攻击手段,并确定模型威胁标签的类别为威胁手段。
如果模型威胁标签不为所处阶段下的攻击过程,则将模型威胁标签确定为攻击手段,并确定模型威胁标签的类别为威胁手段。
可以理解的是,在步骤C3确定该阶段下的攻击过程之后,可将模型威胁标签中除可作为攻击过程的标签外的标签,确定为威胁手段。
为了便于用户获得更多的信息,在一些例子中,可以将模型威胁标签所处阶段与类别一起与威胁标签建立对应关系。
为便于有针对性地对潜在威胁采取不同的处理策略,在一些例子中,潜在威胁包括潜在威胁过程和潜在威胁手段;
根据预设的基于情报的威胁检测模块、具有所述模型威胁标签的目标流量日志和第一检测依据,确定目标流量日志的情报威胁标签(B1),包括:
根据预设的基于情报的威胁检测模块、具有模型威胁标签的目标流量日志和第一检测依据,确定目标流量日志的情报威胁标签和与情报威胁标签对应的第二检测依据。
第二检测依据是情报威胁标签的检测依据。
根据预设的威胁标签分类规则,确定所述情报威胁标签的标签类别为潜在威胁(S102a),可以包括:
D1、根据预设的威胁攻击链的信息和第二检测依据,确定情报威胁标签在预设的威胁攻击链中所处的攻击阶段。
本实施例中,威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数。
攻击链可以采用现有的攻击链,也可自定义攻击链,在一些例子中,可以按业务需求人工定义攻击链及攻击链上每个阶段的名称。如自定义的攻击链包括:发现-定位-跟踪-瞄准-攻击-评估等阶段。
本实施例中,每个阶段下包括检测参数,满足检测参数的威胁类型属于该阶段。可以理解的是,本实施例的检测依据与攻击链上的检测参数一致,则检测依据对应的威胁类型即属于攻击链上该阶段。本实施例中,威胁类型作为流量日志的威胁标签,这样,满足攻击链上某个阶段的检测参数的威胁标签属于该阶段。
D2、根据与攻击阶段对应的预设的攻击过程判断规则,确定情报威胁标签是否属于所处阶段下的攻击过程。
每个攻击阶段对应不同的攻击过程判断规则,在确定标签所属攻击链上的某个阶段后,可根据该阶段对应的预设的攻击过程判断规则,确定情报威胁标签是否属于所处攻击阶段下的攻击过程。
D3、响应于情报威胁标签属于所处阶段下的攻击过程,确定情报威胁标签的类别为潜在威胁过程。
如果情报威胁标签属于所处阶段下的攻击过程,则将情报威胁标签的类别确定为潜在威胁过程。
D4、响应于情报威胁标签不属于所处阶段下的攻击过程,确定情报威胁标签属于所处阶段的攻击手段,并确定情报威胁标签的类别为潜在威胁手段。
如果情报威胁标签不属于所处阶段下的攻击过程,则将情报威胁标签确定为攻击手段,并确定模型威胁标签的类别为威胁手段。
可以理解的是,在步骤D3确定该阶段下的攻击过程之后,可将情报威胁标签中除可作为攻击过程的标签外的标签,确定为潜在威胁手段。
为了便于用户获得更多的信息,在一些例子中,可以将情报威胁标签所处阶段与类别一起与威胁标签建立对应关系。
基于模型的威胁检测模块和基于情报的威胁检测模块对威胁类型可能存在不同的命名规则,这样,两个检测模块检出的威胁标签名称可能不一致,为了保证检出标签具备唯一性,便于对威胁标签进行统一管理,在一些例子中,所述方法还包括:
利用预设的标准标签名称模型,对模型威胁标签和情报威胁标签进行整合。
可以将模型威胁标签和情报威胁标签中具有相同含义的标签依据预设的标准标签名称模型(名称对照表)进行映射去重输出。
作为一具体实现方式,在一些例子中,利用预设的标准标签名称模型,对模型威胁标签和情报威胁标签进行整合,可以包括:
E1、将模型威胁标签与所述情报威胁标签输入到预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签。
如将基于情报的威胁检测模块检出的模型威胁标签“远程控制”与基于模型的威胁检测模块检出的情报威胁标签“远控”,通过预设的标准标签名称模型(名称对照表)统一为“远控”;将基于情报的威胁检测模块检出的“数据发送木马”与基于模型的威胁检测模块检出的“DOS特洛伊木马”统一为“木马”。在一些例子中,名称对照表是基于熵值算法,通过内容相似性、过程相似性比对配合人工校正参数实现的机器学习模型。
E2、响应于标准的模型威胁标签和标准的情报威胁标签相同、模型威胁标签与情报威胁标签处于相同的攻击阶段且均为攻击阶段的攻击过程,将标准的模型威胁标签作为新的模型威胁标签,将情报威胁标签删除。
如果标准的模型威胁标签和标准的情报威胁标签相同、模型威胁标签与情报威胁标签处于相同的攻击阶段且均为攻击阶段的攻击过程,而相同命名标签在基于模型的威胁检测模型中已经检出该攻击过程,表示当前已经处在这个攻击过程,未来持续的相同风险再提示已无意义,因此,为了使流量日志的标签更为规范、整洁,可以将标准的模型威胁标签作为新的模型威胁标签,将情报威胁标签删除。
如果标准的模型威胁标签为远控,标准的情报威胁标签为远控,并且二者处于攻击链的形态的攻击阶段以及均为攻击过程,此时可将标准的情报威胁标签远控删除,将标准的模型威胁标签作为新的模型威胁标签,而新的模型威胁标签的类别仍为模型威胁标签的类别即威胁过程。
可以理解的是,删除情报威胁标签的同时,与情报威胁标签对应的类别也删除。
作为一具体实现方式,在一些例子中,利用预设的标准标签名称模型,对模型威胁标签和情报威胁标签进行整合,可以包括:
F1、将模型威胁标签与情报威胁标签输入到预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签。
如将基于情报的威胁检测模块检出的模型威胁标签“远程控制”与基于模型的威胁检测模块检出的情报威胁标签“远控”,通过预设的标准标签名称模型(名称对照表)统一为“远控”;将基于情报的威胁检测模块检出的“数据发送木马”与基于模型的威胁检测模块检出的“DOS特洛伊木马”统一为“木马”。在一些例子中,名称对照表是基于熵值算法,通过内容相似性、过程相似性比对配合人工校正参数实现的机器学习模型。
F2、响应于标准的模型威胁标签和标准的情报威胁标签相同且模型威胁标签与情报威胁标签均为攻击手段,使用标准的模型威胁标签替换模型威胁标签和情报威胁标签。
例如基于模型的威胁检测模块检出的“DOS特洛伊木马”对应的标准的模型威胁标签为“木马”,基于情报的威胁检测模块检出的“数据发送木马”对应的标准的情报威胁标签为“木马”,且“DOS特洛伊木马”和“数据发送木马”均为攻击链上的攻击手段,此时,为了保证流量日志标签名称具备唯一性,则使用“木马”替换“DOS特洛伊木马”和“数据发送木马”。
可以理解的是,使用标准的模型威胁标签替换模型威胁标签和情报威胁标签时,各自的标签类别仍为替换前的模型威胁标签和情报威胁标签的类别,即替换前的模型威胁标签“DOS特洛伊木马”的类别为威胁手段,则替换后的标准的模型威胁标签“木马”的类别仍为威胁手段,同样,替换前的情报威胁标签“数据发送木马”的类别为潜在威胁手段,则替换后的标准的情报威胁标签“木马”的类别仍为潜在威胁手段。
在一些例子中,还可以将作为攻击手段的威胁标签在攻击链上所处的阶段与类别一起与标签建立对应关系,例如替换前的模型威胁标签“DOS特洛伊木马”在攻击链上所处阶段为定位,则可将定位与类别一并添加入标签的属性信息中。
下面以一具体实施例,对本申请的方案进行详细说明。
参见图4,本实施例的威胁标签生成方法,可以包括:
步骤1:通过流量采集系统对网络流量数据进行全要素采集,要素内容包括源IP、目的IP、源端口、目的端口、传输协议、协议内容、包数量、字节数;
步骤2:对采集的数据进行本地威胁引擎(基于模型的威胁检测模块)分析,保留检测出的威胁类型结果与检测依据,形成具备威胁类型标签的日志;
步骤3:将具备威胁类型的日志经过情报引擎(基于情报的威胁检测模块)再次分析,形成威胁分析结果与情报评估结果的混合标签;
步骤4:将两种引擎给出的威胁标签依据攻击链,形成统一命名规则的混合标签。
步骤5:将日志基于威胁引擎分析得出的标签比对基于情报引擎分析得出的标签:
1)、所处攻击链阶段一致,且标签名称进行映射后名称形态,则保留本地威胁引擎的标签及类别。
2)、所处攻击链阶段不一致,取本地威胁引擎分析结果属于攻击过程的标签的类别为威胁过程,属于攻击手段的标签的类别为威胁手段;情报分析结果属于攻击过程的标签的类别为潜在威胁(潜在威胁过程),情报分析的威胁手段标签的类别为潜在风险标签(潜在威胁手段)。
步骤6:将包含标签的告警日志以业务需要设置检测周期,每个周期对日志循环检测重新按威胁过程、威胁手段、潜在威胁(潜在威胁过程)、潜在风险(潜在威胁手段)四个分类打在流量日志上。
本实施例,根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签,再根据预设的威胁标签分类规则,确定威胁标签的标签类别,并建立标签类别与威胁标签的对应关系,这样,可以方便用户按照标签类别对流量日志进行查找,进一步地,根据查找结果,可以有针对性地进行后续处理,从而,提高导致网络设备的安全性,通过基于模型的威胁检测模块确定的模型威胁标签能够表示网络设备当前面临的威胁,基于情报的威胁检测模块确定的情报威胁标签能够表示网络设备面临的潜在威胁,这样,可便于进一步有针对性地对当前威胁和潜在威胁采取相应的处理策略,能够提高网络设备的安全性,为减少基于模型的威胁检测模块的计算量,提高预设的基于模型的威胁检测模块的处理效率,将目标流量日志通过关键要素提取模块提取关键要素,将关键要素输入到基于模型的威胁检测模块进行下一步处理,根据攻击链上的信息,将模型威胁标签和情报模型标签分为攻击过程和攻击手段,进一步地将模型威胁标签和情报模型标签分为威胁过程、威胁手段、潜在威胁过程和潜在威胁手段,这样,可以便于用户获得更多的较为具体的信息,可有针对性地采取相应的处理策略,为便于对威胁标签进行统一管理,可利用预设的标准标签名称模型,对模型威胁标签和情报威胁标签进行整合,具体地,可将模型威胁标签和情报威胁标签输入到预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签,当标准的模型威胁标签和标准的情报威胁标签名称相同、均为攻击过程且处于攻击链的相同阶段,可将标准的模型威胁标签作为新的模型威胁标签,同时将情报威胁标签删除,针对标准的模型威胁标签和标准的情报威胁标签名称相同、均为攻击手段的情况,可使用标准的模型威胁标签替换模型威胁标签和情报威胁标签。
本申请一实施例提供的一种流量日志的威胁标签生成装置,包括:第一确定模块,用于根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签;第二确定模块,用于根据预设的威胁标签分类规则,确定所述威胁标签的标签类别;建立模块,用于建立所述标签类别与所述威胁标签的对应关系,便于提高网络设备的安全性。
图5为本申请一实施例提供的流量日志的威胁标签生成装置的结构示意图,如图5所示,本实施例的流量日志的威胁标签生成装置,可以包括:第一确定模块11,用于根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签;第二确定模块12,用于根据预设的威胁标签分类规则,确定所述威胁标签的标签类别;建立模块13,用于建立所述标签类别与所述威胁标签的对应关系。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例,根据预设的威胁检测模块和目标流量日志,确定目标流量日志的威胁标签,再根据预设的威胁标签分类规则,确定威胁标签的标签类别,并建立标签类别与威胁标签的对应关系,这样,可以方便用户按照标签类别对流量日志进行查找,进一步地,根据查找结果,可以有针对性地进行后续处理,从而,提高导致网络设备的安全性。
作为一可选实施方式,所述预设的威胁检测模块,包括预设的基于模型的威胁检测模块和预设的基于情报的威胁检测模块;所述第一确定模块,包括:第一确定子模块,用于根据预设的基于模型的威胁检测模块和目标流量日志,确定所述目标流量日志的模型威胁标签和与所述模型威胁标签对应的第一检测依据;第二确定子模块,用于根据预设的基于情报的威胁检测模块、所述目标流量日志、所述模型威胁标签和所述第一检测依据,确定所述目标流量日志的情报威胁标签。
作为一可选实施方式,所述第一确定子模块,包括:提取单元,用于根据预设的关键要素提取模块,对目标流量日志进行关键要素提取,得到关键要素;所述目标流量日志中包括关键要素,所述关键要素为与威胁相关的信息;第一确定单元,用于根据预设的基于模型的威胁检测模块和所述关键要素,确定所述目标流量日志的模型威胁类型和与所述模型威胁类型对应的第一检测依据,将所述模型威胁类型作为所述目标流量日志的模型威胁标签,形成具有所述模型威胁标签的目标流量日志;所述第二确定子模块,包括:第二确定单元,用于根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签;所述第二确定模块,包括:第三确定子模块,用于根据预设的威胁标签分类规则,确定所述模型威胁标签的标签类别为当前威胁,并确定所述情报威胁标签的标签类别为潜在威胁。
作为一可选实施方式,所述当前威胁包括威胁过程和威胁手段;所述第三确定子模块,具体用于:根据预设的威胁攻击链的信息和所述第一检测依据,确定所述模型威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述模型威胁标签是否属于所处攻击阶段下的攻击过程;响应于所述模型威胁标签属于所处阶段下的攻击过程,确定所述模型威胁标签的类别为威胁过程;响应于所述模型威胁标签不属于所处阶段下的攻击过程,确定所述模型威胁标签为攻击手段,并确定所述模型威胁标签的类别为威胁手段。
作为一可选实施方式,所述潜在威胁包括潜在威胁过程和潜在威胁手段;所述第二确定单元,具体用于根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签和与所述情报威胁标签对应的第二检测依据;所述第三确定子模块,具体用于:根据预设的威胁攻击链的信息和所述第二检测依据,确定所述情报威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述情报威胁标签是否属于所处阶段下的攻击过程;响应于所述情报威胁标签属于所处阶段下的攻击过程,确定所述情报威胁标签的类别为潜在威胁过程;响应于所述情报威胁标签不属于所处阶段下的攻击过程,确定所述情报威胁标签属于所处阶段的攻击手段,并确定所述情报威胁标签的类别为潜在威胁手段。
作为一可选实施方式,所述装置还包括:整合模块,用于利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合。
作为一可选实施方式,所述整合模块,具体用于:将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同、所述模型威胁标签与所述情报威胁标签处于相同的攻击阶段且均为所述攻击阶段的攻击过程,将所述标准的模型威胁标签作为新的模型威胁标签,将所述情报威胁标签删除。
作为一可选实施方式,所述整合模块,具体用于:将所述模型威胁标签与所述情报威胁标签输入到预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同且所述模型威胁标签与所述情报威胁标签均为攻击手段,使用所述标准的模型威胁标签替换所述模型威胁标签和所述情报威胁标签。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本申请一实施例提供的电子设备的结构示意图,如图6所示,可以包括:壳体61、处理器62、存储器63、电路板64和电源电路65,其中,电路板64安置在壳体61围成的空间内部,处理器62和存储器63设置在电路板64上;电源电路65,用于为上述电子设备的各个电路或器件供电;存储器63用于存储可执行程序代码;处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例提供的任一种流量日志的威胁标签生成方法,因此也能实现相应的有益技术效果,前文已经进行了详细说明,此处不再赘述。
上述电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(4)其他具有数据交互功能的电子设备。
相应的,本申请的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种流量日志的威胁标签生成方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本申请时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种流量日志的威胁标签生成方法,其特征在于,包括:
根据预设的关键要素提取模块,对目标流量日志进行关键要素提取,得到关键要素;所述目标流量日志中包括关键要素,所述关键要素为与威胁相关的信息;
根据预设的基于模型的威胁检测模块和所述关键要素,确定所述目标流量日志的模型威胁类型和与所述模型威胁类型对应的第一检测依据,将所述模型威胁类型作为所述目标流量日志的模型威胁标签,形成具有所述模型威胁标签的目标流量日志;
根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签;
根据预设的威胁标签分类规则,确定所述模型威胁标签的标签类别为当前威胁,并确定所述情报威胁标签的标签类别为潜在威胁;
建立所述标签类别与所述威胁标签的对应关系。
2.根据权利要求1所述的方法,其特征在于,所述当前威胁包括威胁过程和威胁手段;
所述根据预设的威胁标签分类规则,确定所述模型威胁标签的标签类别为当前威胁,包括:
根据预设的威胁攻击链的信息和所述第一检测依据,确定所述模型威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;
根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述模型威胁标签是否属于所处攻击阶段下的攻击过程;
响应于所述模型威胁标签属于所处阶段下的攻击过程,确定所述模型威胁标签的类别为威胁过程;
响应于所述模型威胁标签不属于所处阶段下的攻击过程,确定所述模型威胁标签为攻击手段,并确定所述模型威胁标签的类别为威胁手段。
3.根据权利要求1所述的方法,其特征在于,所述潜在威胁包括潜在威胁过程和潜在威胁手段;
所述根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签,包括:
根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签和与所述情报威胁标签对应的第二检测依据;
所述根据预设的威胁标签分类规则,确定所述情报威胁标签的标签类别为潜在威胁,包括:
根据预设的威胁攻击链的信息和所述第二检测依据,确定所述情报威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;
根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述情报威胁标签是否属于所处阶段下的攻击过程;
响应于所述情报威胁标签属于所处阶段下的攻击过程,确定所述情报威胁标签的类别为潜在威胁过程;
响应于所述情报威胁标签不属于所处阶段下的攻击过程,确定所述情报威胁标签属于所处阶段的攻击手段,并确定所述情报威胁标签的类别为潜在威胁手段。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合。
5.根据权利要求4所述的方法,其特征在于,所述利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合,包括:
将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;
响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同、所述模型威胁标签与所述情报威胁标签处于相同的攻击阶段且均为所述攻击阶段的攻击过程,将所述标准的模型威胁标签作为新的模型威胁标签,将所述情报威胁标签删除。
6.根据权利要求4所述的方法,其特征在于,所述利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合,包括:
将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;
响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同且所述模型威胁标签与所述情报威胁标签均为攻击手段,使用所述标准的模型威胁标签替换所述模型威胁标签和所述情报威胁标签。
7.一种流量日志的威胁标签生成装置,其特征在于,包括:
提取模块,用于根据预设的关键要素提取模块,对目标流量日志进行关键要素提取,得到关键要素;所述目标流量日志中包括关键要素,所述关键要素为与威胁相关的信息;
第一确定模块,用于根据预设的基于模型的威胁检测模块和所述关键要素,确定所述目标流量日志的模型威胁类型和与所述模型威胁类型对应的第一检测依据,将所述模型威胁类型作为所述目标流量日志的模型威胁标签,形成具有所述模型威胁标签的目标流量日志;
第二确定模块,用于根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签;
第三确定模块,用于根据预设的威胁标签分类规则,确定所述模型威胁标签的标签类别为当前威胁,并确定所述情报威胁标签的标签类别为潜在威胁;
建立模块,用于建立所述标签类别与所述威胁标签的对应关系。
8.根据权利要求7所述的装置,其特征在于,所述当前威胁包括威胁过程和威胁手段;
所述第三确定模块,具体用于:
根据预设的威胁攻击链的信息和所述第一检测依据,确定所述模型威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;
根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述模型威胁标签是否属于所处攻击阶段下的攻击过程;
响应于所述模型威胁标签属于所处阶段下的攻击过程,确定所述模型威胁标签的类别为威胁过程;
响应于所述模型威胁标签不属于所处阶段下的攻击过程,确定所述模型威胁标签为攻击手段,并确定所述模型威胁标签的类别为威胁手段。
9.根据权利要求7所述的装置,其特征在于,所述潜在威胁包括潜在威胁过程和潜在威胁手段;
所述第二确定模块,具体用于根据预设的基于情报的威胁检测模块、所述具有所述模型威胁标签的目标流量日志和所述第一检测依据,确定所述目标流量日志的情报威胁标签和与所述情报威胁标签对应的第二检测依据;
所述第三确定模块,具体用于:
根据预设的威胁攻击链的信息和所述第二检测依据,确定所述情报威胁标签在所述预设的威胁攻击链中所处的攻击阶段;其中,所述威胁攻击链的信息包括不同的攻击阶段及每个攻击阶段的检测参数;
根据与所述攻击阶段对应的预设的攻击过程判断规则,确定所述情报威胁标签是否属于所处阶段下的攻击过程;
响应于所述情报威胁标签属于所处阶段下的攻击过程,确定所述情报威胁标签的类别为潜在威胁过程;
响应于所述情报威胁标签不属于所处阶段下的攻击过程,确定所述情报威胁标签属于所处阶段的攻击手段,并确定所述情报威胁标签的类别为潜在威胁手段。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:整合模块,用于利用预设的标准标签名称模型,对所述模型威胁标签和所述情报威胁标签进行整合。
11.根据权利要求10所述的装置,其特征在于,所述整合模块,具体用于:
将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;
响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同、所述模型威胁标签与所述情报威胁标签处于相同的攻击阶段且均为所述攻击阶段的攻击过程,将所述标准的模型威胁标签作为新的模型威胁标签,将所述情报威胁标签删除。
12.根据权利要求10所述的装置,其特征在于,所述整合模块,具体用于:
将所述模型威胁标签与所述情报威胁标签输入到所述预设的标准标签名称模型,分别映射为标准的模型威胁标签和标准的情报威胁标签;
响应于所述标准的模型威胁标签和所述标准的情报威胁标签相同且所述模型威胁标签与所述情报威胁标签均为攻击手段,使用所述标准的模型威胁标签替换所述模型威胁标签和所述情报威胁标签。
13.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-6任一项所述的流量日志的威胁标签生成方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-6任一项所述的流量日志的威胁标签生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111213816.9A CN113992371B (zh) | 2021-10-18 | 2021-10-18 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111213816.9A CN113992371B (zh) | 2021-10-18 | 2021-10-18 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992371A CN113992371A (zh) | 2022-01-28 |
| CN113992371B true CN113992371B (zh) | 2023-08-18 |
Family
ID=79739272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111213816.9A Active CN113992371B (zh) | 2021-10-18 | 2021-10-18 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992371B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114844691B (zh) * | 2022-04-20 | 2023-07-14 | 安天科技集团股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
| CN110659493A (zh) * | 2019-09-25 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 威胁告警方式生成的方法、装置、电子设备及存储介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN110868418A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种威胁情报生成方法、装置 |
| CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
| CN111988341A (zh) * | 2020-09-10 | 2020-11-24 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、计算机系统和存储介质 |
| CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
| CN112152962A (zh) * | 2019-06-26 | 2020-12-29 | 北京观成科技有限公司 | 一种威胁检测方法及系统 |
| CN112346993A (zh) * | 2020-11-30 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种情报分析引擎的测试、装置及设备 |
| CN112738092A (zh) * | 2020-12-29 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种日志数据增强方法、分类检测方法及系统 |
| CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11606373B2 (en) * | 2018-02-20 | 2023-03-14 | Darktrace Holdings Limited | Cyber threat defense system protecting email networks with machine learning models |
| JPWO2019181005A1 (ja) * | 2018-03-19 | 2021-03-11 | 日本電気株式会社 | 脅威分析システム、脅威分析方法および脅威分析プログラム |
-
2021
- 2021-10-18 CN CN202111213816.9A patent/CN113992371B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
| CN112152962A (zh) * | 2019-06-26 | 2020-12-29 | 北京观成科技有限公司 | 一种威胁检测方法及系统 |
| CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
| CN110659493A (zh) * | 2019-09-25 | 2020-01-07 | 哈尔滨安天科技集团股份有限公司 | 威胁告警方式生成的方法、装置、电子设备及存储介质 |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN110868418A (zh) * | 2019-11-18 | 2020-03-06 | 杭州安恒信息技术股份有限公司 | 一种威胁情报生成方法、装置 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
| CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
| CN111988341A (zh) * | 2020-09-10 | 2020-11-24 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、计算机系统和存储介质 |
| CN112346993A (zh) * | 2020-11-30 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种情报分析引擎的测试、装置及设备 |
| CN112738092A (zh) * | 2020-12-29 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 一种日志数据增强方法、分类检测方法及系统 |
| CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
Non-Patent Citations (1)
| Title |
|---|
| 面向大数据的网络威胁情报可信感知关键技术研究;高雅丽;《中国优秀硕士论文全文数据库》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992371A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111935192B (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
| CN108460278B (zh) | 一种威胁情报处理方法及装置 | |
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| CN112131882A (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
| CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| CN106878262B (zh) | 报文检测方法及装置、建立本地威胁情报库的方法及装置 | |
| AU2012282792B2 (en) | Syntactical fingerprinting | |
| CN109074454A (zh) | 基于赝象对恶意软件自动分组 | |
| CN113408948A (zh) | 一种网络资产管理方法、装置、设备和介质 | |
| CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
| CN112769803B (zh) | 网络威胁的检测方法、装置和电子设备 | |
| CN113810395B (zh) | 一种威胁情报的检测方法、装置及电子设备 | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| CN113992371B (zh) | 一种流量日志的威胁标签生成方法、装置及电子设备 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| CN114363002B (zh) | 一种网络攻击关系图的生成方法及装置 | |
| CN114205146B (zh) | 一种多源异构安全日志的处理方法及装置 | |
| CN114500122A (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
| EP3982594A1 (en) | Method for assessing the quality of network-related indicators of compromise | |
| Mohsin et al. | Intelligent security cycle: A rule based run time malicious code detection technique for SOAP messages | |
| Wardman et al. | New tackle to catch a phisher | |
| Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
| CN114208114B (zh) | 每参与者的多视角安全上下文 | |
| US11792212B2 (en) | IOC management infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |