CN114070629A - 针对apt攻击的安全编排与自动化响应方法、装置及系统 - Google Patents

针对apt攻击的安全编排与自动化响应方法、装置及系统 Download PDF

Info

Publication number
CN114070629A
CN114070629A CN202111362550.4A CN202111362550A CN114070629A CN 114070629 A CN114070629 A CN 114070629A CN 202111362550 A CN202111362550 A CN 202111362550A CN 114070629 A CN114070629 A CN 114070629A
Authority
CN
China
Prior art keywords
alarm
information
threat
attack
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111362550.4A
Other languages
English (en)
Other versions
CN114070629B (zh
Inventor
贾雪
姜训
张付存
王晔
郭靓
余军
徐胜国
俞皓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nari Information and Communication Technology Co
Original Assignee
Nari Information and Communication Technology Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nari Information and Communication Technology Co filed Critical Nari Information and Communication Technology Co
Priority to CN202111362550.4A priority Critical patent/CN114070629B/zh
Publication of CN114070629A publication Critical patent/CN114070629A/zh
Application granted granted Critical
Publication of CN114070629B publication Critical patent/CN114070629B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种针对APT攻击的安全编排与自动化响应方法、装置及系统,所述方法包括获取日志数据;获取本地威胁情报库,所述本地威胁情报库中包括威胁主体信息、访问方式信息,攻击目标信息和攻击指标信息,用于进行威胁的判断和分析;基于人工智能方法,对所述日志数据进行规则匹配,生成安全威胁事件告警;利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;对识别出的告警数据进行告警严重程度划分,根据预设的告警严重程度与响应剧本的关联关系,对攻击源进行响应操作,并通报预警。本发明能够实现安全响应的速度和效率高,平均故障响应时间短,大幅提升了安全运营的效能和成熟度。

Description

针对APT攻击的安全编排与自动化响应方法、装置及系统
技术领域
本发明属于自动化运维技术领域,具体涉及一种针对APT攻击的安全编排与自动化响应方法、装置及系统。
背景技术
事件响应是企业网络安全团队的重要工作内容之一。目前,企业中很多新的安全设备,由于安全告警数量的增加,导致安全分析人员无法对这些告警分别进行过滤,分析出误报、漏报,并分析和追踪溯源,并做出合适的处置操作。事件响应的复杂性和专业性导致了低时效性。另外,在日益复杂的网络环境中,分析人员决策结果的合理性也往往存疑。因此根据当前网络环境做出快速的、合理的决策是每个安全公司需要思考的问题。
公开号为CN112508448 A的中国发明专利申请中,公开了基于大数据和AI驱动的安全编排及响应系统及方法,提出了一个框架模型,若想要应用于实践,则需要用户根据场景创建自己的剧本,需要手工执行的流程,且各类安全工具联动能力不足,导致安全响应的速度和效率低,平均故障响应时间长等问题。
发明内容
针对上述问题,本发明提出一种针对APT攻击的安全编排与自动化响应方法、装置及系,能够实现安全响应的速度和效率高,平均故障响应时间短,大幅提升了安全运营的效能和成熟度。
为了实现上述技术目的,达到上述技术效果,本发明通过以下技术方案实现:
第一方面,本发明提供了一种针对APT攻击的安全编排与自动化响应方法,包括:
获取日志数据;
获取本地威胁情报库,所述本地威胁情报库中包括威胁主体信息、访问方式信息,攻击目标信息和攻击指标信息,用于进行威胁的判断和分析;
基于大数据、人工智能分析技术,对所述日志数据进行预处理及监测分析,生成安全威胁事件告警;
利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;
对识别出的告警数据根据预设剧本,进行攻击源的威胁情报分析及针对影响资产的漏洞的研判取证;
对告警根据预设剧本进行响应操作,并通报预警。
可选地,所述日志数据的获取方法包括:
利用蜜罐获取攻击模式趋势数据;
利用流量威胁探针识别攻击者试图利用的漏洞,分析出攻击者使用的攻击所需的基本信息。
可选地,所述本地威胁情报库的获取方法包括:
通过爬虫脚本或第三方接口从外部开源威胁情报库中收集告警信息,并进行告警分析;
基于告警分析结果,提取出威胁主体信息、访问方式信息、攻击目标信息、攻击指标信息,并范式化STIX标准化格式,形成本地威胁情报库。
可选地,所述安全威胁事件告警的生成方法包括:
对所述日志数据进行数据聚合和分解,得到范式化日志数据;
将所述范式化日志数据,通过人工智能方法和规则匹配方法进行学习,找到最精确的规则模型,进而得到安全威胁事件告警。
可选地,所述告警数据的识别方法包括:
基于安全威胁事件告警中告警事件的攻击源IP,利用所述本地威胁情报库进行分析,对于误报告警数据,标记误报,并将误报告警数据反馈至所述本地威胁情报库;
对于非误报告警数据,则基于所述本地威胁情报库,利用研判取证和漏洞分析对非误报告警数据进行攻击取证,并向安全专家展示。
可选地,所述研判取证包括:情报取证和网络取证;
所述情报取证具体为:通过收集威胁情报追踪攻击者IP、域名,发现攻击者留下的痕迹,分析出攻击者的TTPs战略战术及过程;通过特征分析,流量载荷研判,发现网络失陷主机,自动化识别目的性黑客的攻击意图;整理上述收集到的威胁情报信息,反馈至本地情报库,实现对攻击者的溯源,为安全运维人员决策响应做支撑;
所述网络取证具体为:包括查找C2服务器、Whois、DNS解析记录,记录网络连接信息;分析采样样本,通过关联分析,获取攻击过程中的证据信息。
可选地,所述漏洞分析具体为:
针对本次攻击利用的漏洞,采用PoC技术对告警影响的主机资产进行漏洞验证,并对存在漏洞资产进行主机加固,同时对本区域所有资产与改漏洞进行特征匹配,预警可能被该类攻击利用的漏洞资产,并下发漏洞预警单。
可选地,所述对攻击源进行响应操作,包括:全局封堵验证、主机隔离、主机清理和主机加固;
所述全局封堵验证包括:联动防火墙设备,通过调用第三方接口,实现黑名单IP地址网络层自动阻断,及域名封堵,从网络层面进行访问控制,然后通过自动化测试工作进行验证;
所述主机隔离包括:通过调用系统主机防火墙,单独对主机进行策略配置,进行访问控制;通过EDR服务端,对EDRagent端发起对IP的访问请求,确认主机隔离;
所述主机清理包括:通过EDR服务端,对agent端下发命令,实现对异常进程、病毒文件、异常服务清理,并查询确认;
所述主机加固包括:通过SOAR平台下发响应策略,补丁分发、服务加固、个人防火墙加固。
第二方面,本发明提供了一种针对APT攻击的安全编排与自动化响应装置,包括:
第一获取模块,用于获取日志数据;
第二获取模块,获取本地威胁情报库,所述本地威胁情报库中包括威胁主体信息、访问方式信息,攻击目标信息和攻击指标信息,用于进行威胁的判断和分析;
安全威胁事件告警生成模块,用于基于大数据、人工智能分析技术,对所述日志数据进行预处理及监测分析,生成安全威胁事件告警;
告警数据识别模块,用于利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;
响应剧本模块,用于对识别出的告警数据根据预设剧本,进行攻击源的威胁情报分析及针对影响资产的漏洞的研判取证;对告警根据预设剧本进行响应操作,并通报预警。
第三方面,本发明提供了一种针对APT攻击的安全编排与自动化响应装置,包括:
检测设备,用于获取日志数据;
大数据智能分析模块,与所述检测设备相连,基于基于大数据、人工智能分析技术,对所述日志数据进行预处理及监测分析,生成安全威胁事件告警;
本地威胁情报库,
研判取证模块和漏洞分析模块,二者均与所述本地威胁情报库相连,利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;
响应剧本模块,分别与所述研判取证模块和漏洞分析模块相连,对识别出的告警数据根据预设剧本,进行攻击源的威胁情报分析及针对影响资产的漏洞的研判取证;对告警根据预设剧本进行响应操作,并通报预警。
第四方面,本发明提供了一种针对APT攻击的安全编排与自动化响应系统,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据第一方面中任一项所述的方法。
与现有技术相比,本发明的有益效果:
本发明利用现有的安全可视化编排与自动化响应技术,提出一套基于APT威胁场景、漏洞、情报利用、自动化响应验证等安全能力的安全编排与自动化响应方法,能够有效面对比较复杂的APT攻击分析和响应处理。同时,结合漏洞验证,威胁情报,对APT攻击是否成功展开关联系及取证,很大程度上将人力从复杂的,重复性的分析及响应工作中解脱出来。
附图说明
为了使本发明的内容更容易被清楚地理解,下面根据具体实施例并结合附图,对本发明作进一步详细的说明,其中:
图1为本发明一种实施例的基于APT攻击的安全编排及自动化响应架构图;
图2为本发明一种实施例的基于APT的安全编排与自动化响应方法流程图示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明的保护范围。
下面结合附图对本发明的应用原理作详细的描述。
实施例1
本发明实施例中提供了一种针对APT攻击的安全编排与自动化响应方法,如图2所示,包括:
获取日志数据,所述日志数据即告警输入;
获取本地威胁情报库,所述本地威胁情报库中包括威胁主体信息、访问方式信息,攻击目标信息和攻击指标信息,用于进行威胁的判断和分析;
基于大数据、人工智能等分析技术,对所述日志数据进行预处理及监测分析,生成安全威胁事件告警;
利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;
对识别出的告警数据根据预设剧本,进行攻击源的威胁情报分析及针对影响资产的漏洞的研判取证;对告警根据预设剧本进行响应操作,并通报预警。
在本发明实施例的一种具体实施方式中,所述日志数据的获取方法包括:
利用蜜罐获取攻击模式趋势数据;
利用流量威胁探针识别攻击者试图利用的漏洞,分析出攻击者使用的攻击所需的基本信息。
在本发明实施例的一种具体实施方式中,所述本地威胁情报库的获取方法包括:
通过爬虫脚本或第三方接口从外部开源威胁情报库中收集告警信息,并进行告警分析;
基于告警分析结果,提取出威胁主体信息(threat actor)、访问方式信息(TTP)、攻击目标(vulnerability)信息、攻击指标(incicator)信息,并范式化STIX标准化格式,形成本地威胁情报库。
在本发明实施例的一种具体实施方式中,所述安全威胁事件告警的生成方法包括:
对所述日志数据进行数据聚合和分解,得到范式化日志数据;
将所述范式化日志数据,通过人工智能方法和规则匹配方法进行学习,找到最精确的规则模型,进而得到安全威胁事件告警。
在本发明实施例的一种具体实施方式中,所述告警数据的识别方法包括:
基于安全威胁事件告警中告警事件的攻击源IP,利用所述本地威胁情报库进行分析,对于误报告警数据,标记误报,并将误报告警数据反馈至所述本地威胁情报库;
对于非误报告警数据,则基于所述本地威胁情报库,利用研判取证和漏洞分析对非误报告警数据进行相关攻击取证,并向安全专家展示。
在本发明实施例的一种具体实施方式中,所述研判取证包括:情报取证和网络取证;
所述情报取证具体为:
通过收集威胁情报追踪攻击者IP、域名,发现攻击者留下的痕迹,分析出攻击者的TTPs战略战术及过程;
通过特征分析,流量载荷研判,发现网络失陷主机,自动化识别目的性黑客的攻击意图;
整理上述收集到的威胁情报信息,反馈至本地情报库,实现对攻击者的溯源,为安全运维人员决策响应做支撑。
所述网络取证具体为:
包括查找C2服务器,Whois,DNS解析记录,记录网络连接信息;
分析采样样本,通过关联分析,获取攻击过程中的证据信息。
所述漏洞分析具体为:
针对本次攻击利用的漏洞,采用PoC技术对告警影响的主机资产进行漏洞验证,并对存在漏洞资产进行主机加固,同时对本区域所有资产与改漏洞进行特征匹配,预警可能被该类攻击利用的漏洞资产,并下发漏洞预警单。
在本发明实施例的一种具体实施方式中,所述对攻击源进行响应操作,包括:全局封堵验证、主机隔离、主机清理和主机加固;
所述全局封堵验证包括:联动防火墙设备,通过调用第三方接口,实现黑名单IP地址网络层自动阻断,及域名封堵,从网络层面进行访问控制,然后通过自动化测试工作进行验证;
所述主机隔离包括:通过调用系统主机防火墙,单独对主机进行策略配置,进行访问控制;通过EDR服务端,对EDRagent端发起对IP的访问请求,确认主机隔离;
所述主机清理包括:通过EDR服务端,对agent端下发命令,实现对异常进程、病毒文件、异常服务清理,并查询确认;
所述主机加固包括:通过SOAR平台下发响应策略,补丁分发、服务加固、个人防火墙加固。
如图1所示,在本发明实施例的一种具体实施方式中,所述方法具体包括以下步骤:
大量蜜罐告警输入;
基于大数据的网络,以及人工智能方法,对所述日志数据进行规则匹配,生成安全威胁事件告警;
利用爬虫脚步收集外部威胁情报,自动启动STIX引擎,将收集的外部威胁情报发送至威胁情报库;
利用所述本地威胁情报库,结合安全威胁事件告警的攻击源IP,对所述安全威胁事件告警进行研判取证,若判断出安全威胁事件告警为误报,则将该安全威胁事件告警标记为误报,并整理形成威胁情报,反馈至本地威胁情报库,有助于下次的研判分析;如果若判断出安全威胁事件告警为非误报,则利用结合情报取证、网络取证、漏洞分析等手段,对告警信息进行相关攻击证据收集,向安全专家展示,并整理形成威胁情报,反馈至本地威胁情报库,帮助下次研判分析。
最后,根据响应剧本,对告警进行响应剧本,具体为:首先判断是否具有相应剧本,如果没有相应剧本,则向安全分析师显示有关报警的详细报告,通过排除威胁获得信息输入TI数据库;如果有相应剧本,则使用剧本生成适当的回应,同时,由执行元件响应,并产生预警通知。
实施例2
基于与实施例1相同的发明构思,本发明实施例中提供了一种针对APT攻击的安全编排与自动化响应装置,包括:
第一获取模块,用于获取日志数据;
第二获取模块,用于获取本地威胁情报库,所述本地威胁情报库中包括威胁主体信息、访问方式信息,攻击目标信息和攻击指标信息,用于进行威胁的判断和分析;
安全威胁事件告警生成模块,用于基于人工智能方法,对所述日志数据进行规则匹配,生成安全威胁事件告警;
告警数据识别模块,用于利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;
响应剧本模块,用于对识别出的告警数据进行告警严重程度划分,根据预设的告警严重程度与响应剧本的关联关系,对攻击源进行响应操作,并通报预警。
其余部分均与实施例1相同。
实施例3
本发明实施例中提供了一种针对APT攻击的安全编排与自动化响应装置,如图1所示,具体包括:
检测设备,用于获取日志数据;
大数据智能分析模块,与所述检测设备相连,基于人工智能方法,对所述日志数据进行规则匹配,生成安全威胁事件告警;
本地威胁情报库,
研判取证模块和漏洞分析模块,二者均与所述本地威胁情报库相连,利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据
响应剧本模块,分别与所述研判取证模块和漏洞分析模块相连,对识别出的告警数据进行告警严重程度划分,根据预设的告警严重程度与响应剧本的关联关系,对攻击源进行响应操作,并通报预警。
在本发明实施例的一种具体实施方式中,所述检测设备包括蜜罐、沙箱、流量威胁探针、IPS、IDS等。其中,蜜罐可以帮助分析攻击模式趋势,进而帮助大数据分析引擎熟悉当前趋势;流量威胁探针有助于识别攻击者试图利用的常见漏洞,分析攻击者使用的命令和有效负载等攻击所需的基本信息。
实施例4
本发明实施例中提供了一种针对APT攻击的安全编排与自动化响应系统,包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据实施例1中任一项所述的方法。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (11)

1.一种针对APT攻击的安全编排与自动化响应方法,其特征在于,包括:
获取日志数据;
获取本地威胁情报库,所述本地威胁情报库中包括威胁主体信息、访问方式信息,攻击目标信息和攻击指标信息,用于进行威胁的判断和分析;
基于大数据、人工智能分析技术,对所述日志数据进行预处理及监测分析,生成安全威胁事件告警;
利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;
对识别出的告警数据根据预设剧本,进行攻击源的威胁情报分析及针对影响资产的漏洞的研判取证;
对告警根据预设剧本进行响应操作,并通报预警。
2.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述日志数据的获取方法包括:
利用蜜罐获取攻击模式趋势数据;
利用流量威胁探针识别攻击者试图利用的漏洞,分析出攻击者使用的攻击所需的基本信息。
3.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述本地威胁情报库的获取方法包括:
通过爬虫脚本或第三方接口从外部开源威胁情报库中收集告警信息,并进行告警分析;基于告警分析结果,提取出威胁主体信息、访问方式信息、攻击目标信息、攻击指标信息,并范式化STIX标准化格式,形成本地威胁情报库。
4.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述安全威胁事件告警的生成方法包括:
对所述日志数据进行数据聚合和分解,得到范式化日志数据;
将所述范式化日志数据,通过人工智能方法和规则匹配方法进行学习,找到最精确的规则模型,进而得到安全威胁事件告警。
5.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述告警数据的识别方法包括:
基于安全威胁事件告警中告警事件的攻击源IP,利用所述本地威胁情报库进行分析,对于误报告警数据,标记误报,并将误报告警数据反馈至所述本地威胁情报库;
对于非误报告警数据,则基于所述本地威胁情报库,利用研判取证和漏洞分析对非误报告警数据进行攻击取证,并向安全专家展示。
6.根据权利要求5所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述研判取证包括:情报取证和网络取证;
所述情报取证具体为:通过收集威胁情报追踪攻击者IP、域名,发现攻击者留下的痕迹,分析出攻击者的TTPs战略战术及过程;通过特征分析,流量载荷研判,发现网络失陷主机,自动化识别目的性黑客的攻击意图;整理上述收集到的威胁情报信息,反馈至本地情报库,实现对攻击者的溯源,为安全运维人员决策响应做支撑;
所述网络取证具体为:包括查找C2服务器、Whois、DNS解析记录,记录网络连接信息;分析采样样本,通过关联分析,获取攻击过程中的证据信息。
7.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述漏洞分析具体为:
针对本次攻击利用的漏洞,采用PoC技术对告警影响的主机资产进行漏洞验证,并对存在漏洞资产进行主机加固,同时对本区域所有资产与改漏洞进行特征匹配,预警可能被该类攻击利用的漏洞资产,并下发漏洞预警单。
8.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述对攻击源进行响应操作,包括:全局封堵验证、主机隔离、主机清理和主机加固;所述全局封堵验证包括:联动防火墙设备,通过调用第三方接口,实现黑名单IP地址网络层自动阻断,及域名封堵,从网络层面进行访问控制,然后通过自动化测试工作进行验证;
所述主机隔离包括:通过调用系统主机防火墙,单独对主机进行策略配置,进行访问控制;通过EDR服务端,对EDRagent端发起对IP的访问请求,确认主机隔离;
所述主机清理包括:通过EDR服务端,对agent端下发命令,实现对异常进程、病毒文件、异常服务清理,并查询确认;
所述主机加固包括:通过SOAR平台下发响应策略,补丁分发、服务加固、个人防火墙加固。
9.一种针对APT攻击的安全编排与自动化响应装置,其特征在于,包括:
第一获取模块,用于获取日志数据;
第二获取模块,获取本地威胁情报库,所述本地威胁情报库中包括威胁主体信息、访问方式信息,攻击目标信息和攻击指标信息,用于进行威胁的判断和分析;
安全威胁事件告警生成模块,用于基于大数据、人工智能分析技术,对所述日志数据进行预处理及监测分析,生成安全威胁事件告警;
告警数据识别模块,用于利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;
响应剧本模块,用于对识别出的告警数据根据预设剧本,进行攻击源的威胁情报分析及针对影响资产的漏洞的研判取证;对告警根据预设剧本进行响应操作,并通报预警。
10.一种针对APT攻击的安全编排与自动化响应装置,其特征在于,包括:
检测设备,用于获取日志数据;
大数据智能分析模块,与所述检测设备相连,基于基于大数据、人工智能分析技术,对所述日志数据进行预处理及监测分析,生成安全威胁事件告警;
本地威胁情报库,
研判取证模块和漏洞分析模块,二者均与所述本地威胁情报库相连,利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;
响应剧本模块,分别与所述研判取证模块和漏洞分析模块相连,对识别出的告警数据根据预设剧本,进行攻击源的威胁情报分析及针对影响资产的漏洞的研判取证;对告警根据预设剧本进行响应操作,并通报预警。
11.一种针对APT攻击的安全编排与自动化响应系统,其特征在于:包括存储介质和处理器;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1-8中任一项所述的方法。
CN202111362550.4A 2021-11-16 2021-11-16 针对apt攻击的安全编排与自动化响应方法、装置及系统 Active CN114070629B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111362550.4A CN114070629B (zh) 2021-11-16 2021-11-16 针对apt攻击的安全编排与自动化响应方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111362550.4A CN114070629B (zh) 2021-11-16 2021-11-16 针对apt攻击的安全编排与自动化响应方法、装置及系统

Publications (2)

Publication Number Publication Date
CN114070629A true CN114070629A (zh) 2022-02-18
CN114070629B CN114070629B (zh) 2023-10-20

Family

ID=80273260

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111362550.4A Active CN114070629B (zh) 2021-11-16 2021-11-16 针对apt攻击的安全编排与自动化响应方法、装置及系统

Country Status (1)

Country Link
CN (1) CN114070629B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114844707A (zh) * 2022-05-07 2022-08-02 南京南瑞信息通信科技有限公司 一种基于图数据库的电网网络安全分析方法及系统
CN115118469A (zh) * 2022-06-15 2022-09-27 杭州温小度科技有限公司 一种网络安全威胁处理系统及其处理方法
CN115174217A (zh) * 2022-07-04 2022-10-11 北京华清信安科技有限公司 一种基于soar的安全数据编排自动化分析方法
CN115208699A (zh) * 2022-09-15 2022-10-18 南京怡晟安全技术研究院有限公司 一种安全编排和自动化响应方法
CN115314322A (zh) * 2022-10-09 2022-11-08 安徽华云安科技有限公司 基于流量的漏洞检测确认方法、装置、设备以及存储介质
CN115865477A (zh) * 2022-11-29 2023-03-28 国网山东省电力公司信息通信公司 一种安全威胁协同处理方法、设备及介质
CN116996326A (zh) * 2023-09-26 2023-11-03 国网江西省电力有限公司信息通信分公司 基于蜜网的协同式主动防御方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108574676A (zh) * 2017-03-13 2018-09-25 北京格勤科技有限公司 网络安全共享服务一体机
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN110912890A (zh) * 2019-11-22 2020-03-24 上海交通大学 一种面向内网的新型漏洞攻击检测系统
CN111212035A (zh) * 2019-12-19 2020-05-29 杭州安恒信息技术股份有限公司 一种主机失陷确认及自动修复方法及基于此的系统
CN111800395A (zh) * 2020-06-18 2020-10-20 云南电网有限责任公司信息中心 一种威胁情报防御方法和系统
CN111818068A (zh) * 2020-07-14 2020-10-23 绿盟科技集团股份有限公司 微场景案例的编排验证方法、装置、介质及计算机设备
CN112738126A (zh) * 2021-01-07 2021-04-30 中国电子科技集团公司第十五研究所 基于威胁情报和att&ck的攻击溯源方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108574676A (zh) * 2017-03-13 2018-09-25 北京格勤科技有限公司 网络安全共享服务一体机
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN110912890A (zh) * 2019-11-22 2020-03-24 上海交通大学 一种面向内网的新型漏洞攻击检测系统
CN111212035A (zh) * 2019-12-19 2020-05-29 杭州安恒信息技术股份有限公司 一种主机失陷确认及自动修复方法及基于此的系统
CN111800395A (zh) * 2020-06-18 2020-10-20 云南电网有限责任公司信息中心 一种威胁情报防御方法和系统
CN111818068A (zh) * 2020-07-14 2020-10-23 绿盟科技集团股份有限公司 微场景案例的编排验证方法、装置、介质及计算机设备
CN112738126A (zh) * 2021-01-07 2021-04-30 中国电子科技集团公司第十五研究所 基于威胁情报和att&ck的攻击溯源方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114844707A (zh) * 2022-05-07 2022-08-02 南京南瑞信息通信科技有限公司 一种基于图数据库的电网网络安全分析方法及系统
CN114844707B (zh) * 2022-05-07 2024-04-02 南京南瑞信息通信科技有限公司 一种基于图数据库的电网网络安全分析方法及系统
CN115118469A (zh) * 2022-06-15 2022-09-27 杭州温小度科技有限公司 一种网络安全威胁处理系统及其处理方法
CN115118469B (zh) * 2022-06-15 2024-03-19 杭州温小度科技有限公司 一种网络安全威胁处理系统及其处理方法
CN115174217A (zh) * 2022-07-04 2022-10-11 北京华清信安科技有限公司 一种基于soar的安全数据编排自动化分析方法
CN115208699A (zh) * 2022-09-15 2022-10-18 南京怡晟安全技术研究院有限公司 一种安全编排和自动化响应方法
CN115314322A (zh) * 2022-10-09 2022-11-08 安徽华云安科技有限公司 基于流量的漏洞检测确认方法、装置、设备以及存储介质
CN115865477A (zh) * 2022-11-29 2023-03-28 国网山东省电力公司信息通信公司 一种安全威胁协同处理方法、设备及介质
CN116996326A (zh) * 2023-09-26 2023-11-03 国网江西省电力有限公司信息通信分公司 基于蜜网的协同式主动防御方法
CN116996326B (zh) * 2023-09-26 2023-12-26 国网江西省电力有限公司信息通信分公司 基于蜜网的协同式主动防御方法

Also Published As

Publication number Publication date
CN114070629B (zh) 2023-10-20

Similar Documents

Publication Publication Date Title
CN114070629B (zh) 针对apt攻击的安全编排与自动化响应方法、装置及系统
CN108471429B (zh) 一种网络攻击告警方法及系统
CN112738126B (zh) 基于威胁情报和att&ck的攻击溯源方法
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN111800395A (zh) 一种威胁情报防御方法和系统
CN112738016A (zh) 一种面向威胁场景的智能化安全事件关联分析系统
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
WO2011153227A2 (en) Dynamic multidimensional schemas for event monitoring priority
Hatada et al. Empowering anti-malware research in Japan by sharing the MWS datasets
CN112039862A (zh) 一种面向多维立体网络的安全事件预警方法
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
CN113783886A (zh) 一种基于情报和数据的电网智慧运维方法及其系统
CN111541655A (zh) 网络异常流量检测方法、控制器及介质
Zali et al. Real-time attack scenario detection via intrusion detection alert correlation
CN113810408A (zh) 网络攻击组织的探测方法、装置、设备及可读存储介质
US10805326B1 (en) Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion
CN115941317A (zh) 一种网络安全综合分析及态势感知平台
CN113746832B (zh) 多方法混合的分布式apt恶意流量检测防御系统及方法
CN113381980B (zh) 信息安全防御方法及系统、电子设备、存储介质
Skendžić et al. Management and monitoring security events in a business organization-siem system
CN112596984A (zh) 业务弱隔离环境下的数据安全态势感知系统
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant