CN114205128B - 网络攻击分析方法、装置、电子设备及存储介质 - Google Patents
网络攻击分析方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114205128B CN114205128B CN202111456112.4A CN202111456112A CN114205128B CN 114205128 B CN114205128 B CN 114205128B CN 202111456112 A CN202111456112 A CN 202111456112A CN 114205128 B CN114205128 B CN 114205128B
- Authority
- CN
- China
- Prior art keywords
- threat
- attack
- network
- threat event
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 claims abstract description 76
- 238000001514 detection method Methods 0.000 claims abstract description 74
- 238000005516 engineering process Methods 0.000 claims abstract description 39
- 230000006399 behavior Effects 0.000 claims description 42
- 230000008569 process Effects 0.000 claims description 36
- 238000013507 mapping Methods 0.000 claims description 26
- 230000006698 induction Effects 0.000 claims description 5
- 230000001502 supplementing effect Effects 0.000 claims description 5
- 239000000523 sample Substances 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 239000011159 matrix material Substances 0.000 description 7
- 230000009471 action Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种网络攻击分析方法、装置及电子设备,涉及网络安全技术领域。所述方法包括:从网络安全设备上获取网络流量信息及攻击载荷;根据威胁情报检测规则特征库对所述网络流量数据进行情报检测,发现威胁事件,形成结构化的事件信息库,并自动提取威胁事件的上下文特征信息;根据威胁事件的上下文特征信息与ATT&CK的上下文特征信息库进行比对,确定威胁事件采用的技战术以及目前所处的攻击阶段。本发明可以在一定程度上提高网络攻击分析效率,适用于网络攻击行为分析场景中。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击分析方法、装置、电子设备及存储介质。
背景技术
ATT&CK作为分析攻击者行为(包括:战术、技术及过程,简称TTPs)的威胁分析框架,其汇总或者集合了攻击战术、技术及过程,是一个更加底层的公共“知识库”。通过将已知攻击者行为转换为结构化列表,再将这些已知的行为汇总成战术和技术,并通过几个矩阵以及结构化威胁信息表达式(STIX)、指标信息的可信自动化交换(TAXII)来表示,可以相当全面地呈现攻击者在攻击网络时所采用的行为。
基于威胁情报检测攻击事件,并进行ATT&CK映射,能够有助于对攻击者行为的“理解”,比如对攻击者所关注的关键资产进行标识,对攻击者会使用的技术进行追踪和利用威胁情报对攻击者进行持续观察。
发明人在实现本发明创造的过程中发现:现有基于攻击事件与ATT&CK映射的安全分析方法,安全分析人员在分析过程中,需要通过分析人员的安全分析经验,人工将攻击过程中的上下文信息到ATT&CK框架(矩阵列表形式)中去匹配,由于分析人员经验参差不齐,且人工精力有限,在对于海量攻击事件进行分析时,分析效率会受到较大影响。
发明内容
有鉴于此,本发明实施例提供一种网络攻击分析方法、装置及电子设备,可在一定程度上快速发现网络攻击事件、提高网络攻击事件的分析效率、提升威胁事件的处置能力。
为达到上述发明目的,采用如下技术方案:
第一方面,本发明实施例提供一种网络攻击分析方法,所述方法包括步骤:
获取网络流量数据;
根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件;
根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息。
结合第一方面,在第一方面的第一种实施方式中,所述根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息包括:
提取所述威胁事件的上下文信息;
根据所述威胁事件的上下文信息与战技术特征库进行匹配,得到对应的威胁事件的战、技术及过程标签;所述战技术特征库中维护有威胁事件的上下文信息与对应的威胁事件的战、技术及过程标签之间的映射关系;
根据所述威胁事件的战、技术及过程标签查询匹配所述ATT&CK知识库,确定所述威胁事件指示的网络攻击行为信息。
结合第一方面及第一方面的第一种实施方式,在第一方面的第二种实施方式中,所述上下文信息包括:威胁特征、执行环境特征、攻击目标以及攻击方式。
结合第一方面,第一方面的第一种及第二种实施方式,在第一方面的第三种实施方式中,所述威胁特征包括:威胁类型及对应的检测规则;
所述执行环境特征用于指示威胁事件利用的攻击环境,包括:网络协议、操作系统及内存;
所述攻击目标用于指示威胁事件实施攻击所利用的目标载体,包括:资产、文件及应用软件;
所述攻击方式用于指示攻击者对攻击目标实施攻击采用的行为或手段,包括:主机登录、传输恶意文件、释放恶意文件、网络请求、回传数据及清除数据。
结合第一方面,第一方面的第一种、第二种及第三种实施方式,在第一方面的第四种实施方式中,在所述获取网络流量数据之前,所述方法还包括:获取历史威胁事件样本及ATT&CK知识库中的战、技术及过程;
对所述历史威胁事件样本进行归纳分析,建立所述历史威胁事件样本与所述战、技术及过程之间的映射关系,并补充对应的历史威胁事件的上下文信息,形成战技术特征库。
结合第一方面,第一方面的第一种、第二种、第三及第四种实施方式,在第一方面的第五种实施方式中,在所述获取网络流量数据之前,所述方法还包括:获取对应各种类型的威胁事件的威胁检测规则;所述威胁检测规则中包含:用于检测是否为威胁事件的检测特征;
对所述威胁检测规则打标,以建立威胁检测规则特征库。
第二方面,本发明实施例还提供一种网络攻击分析装置,所述装置包括:获取程序模块,用于获取网络流量数据;检测程序模块,用于根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件;分析程序模块,用于根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息。
第三方面,本发明实施例提供一种电子设备,所述电子设备,包括:一个或者多个处理器;存储器;所述存储器中存储有一个或者多个可执行程序,所述一个或者多个处理器读取存储器中存储的可执行程序代码,来运行与可执行程序代码对应的程序,以用于执行第一方面任一所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面任一所述的方法。
本发明实施例提供的网络攻击分析检测方法、装置、电子设备及存储介质,所述方法包括:获取网络流量数据;根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件;根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息。通过上述方法步骤,由于预先在威胁事件与ATT&CK知识库之间建立自动化映射关系,当获取到网络流量数据之后,可以根据检测到的威胁事件与ATT&CK知识库进行匹配,自动确定出当前威胁事件指示的网络攻击者采用的手段及攻击阶段等攻击行为信息,从而可在一定程度上提高网络攻击分析效率。
进一步地,通过实现威胁事件与ATT&CK知识库间的映射,在检测威胁事件之后,可以实现标准化分析流程,避免了因分析人员经验不同导致的分析结果质量参差不齐的问题,从而便于提高网络攻击分析质量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明网络攻击分析方法一实施例的流程示意图;
图2为本发明网络攻击分析方法另一实施例的流程示意图;
图3为本发明网络攻击分析方法又一实施例的流程示意图;
图4为本发明网络攻击分析方法又一实施例的流程示意图;
本发明网络攻击分析装置一实施例架构示意框图;
图5为本发明网络攻击分析装置一实施例架构示意框图;
图6为本发明网络攻击分析装置再一实施例架构示意框图;
图7为本发明网络攻击分析装置又一实施例架构示意框图;
图8为本发明电子设备的一个实施例结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明网络攻击分析方法一实施例的流程示意图;参看图1所示,本发明实施例提供的网络攻击分析方法,可应用于网络攻击行为分析场景中,用于分析确定攻击行为的攻击阶段及采用的攻击手段等。需要说明的是,该方法可以以软件的形式固化于某一制造的产品中,当用户在使用该产品时,可以再现本申请的方法流程。
例如,本实施例提供的网络攻击分析方法以应用软件的形式安装于计算机、手机等电子设备上,当用户在计算机或手机上触发该产品运行,先前被固化于电子产品中的所述方法机械重演再现,以执行本实施中的攻击行为分析的方法步骤。
所述网络攻击方法可以包括:
步骤110、从网络节点上获取网络流量数据。
所述网络节点可以为各种网络设备及网络安全设备,例如,网关、路由器、网络端口、防火墙、UTM、IPS(入侵检测)、IDP(入侵检测防御)设备等。
网络流量数据可以包括:源IP、源端口、目的IP、目的端口、协议、URL、MD5、域名、html(超文本标记语言)、端口、SSL证书等信息。
120、根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件(有也称为安全事件或攻击事件)。
本实施例中,所述威胁检测规则特征库中预设有各种类型的威胁事件检测规则,例如,DOS攻击、DDOS攻击、口令爆破、端口扫描、域名访问等检测规则,所述检测规则中预设检测特征可以包含:执行的威胁事件类型、IP、威胁事件指向的攻击目标标识名、频次阈值及攻击时间节点等。
本实施例中,可以根据网络流量数据中对应上述预设检测特征的失陷信标(IOC,Indicators of Compromise)的具体信息检测网络流量数据中的威胁事件。
示例性地,所述网络流量数据中携带有攻击载荷(Payload),所述攻击载荷是传递的恶意文件等,所述根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件包括:根据威胁检测规则特征库对所述网络流量数据进行多个维度失陷信标检测,如,IP域名、URL、MD5值等检测,得到威胁事件及其上下文信息;例如,威胁事件的威胁类型、检测规则、威胁方式及MD5的静/动态行为信息。其中,MD5值用于确定威胁事件的威胁类型,比如木马、蠕虫、勒索软件等。
所述威胁事件及其上下文信息可以用矩阵列表对其信息进行结构化表示。
参看图2所示,在所述从网络节点上获取网络流量数据(步骤110)之前,所述方法还包括:110a、建立威胁检测规则特征库。
所述步骤110a具体包括:获取对应各种类型的威胁事件的威胁检测规则;所述威胁检测规则中包含:用于检测是否为威胁事件的检测特征;对所述威胁检测规则打标,以建立威胁检测规则特征库。
130、根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息。
所述ATT&CK知识库是一个TTPs(Tactics、Techniques、及Procedures,战术、技术及过程)的共享知识库,也可认为是一个描述对抗战术、技术和过程的结构化框架,其维护的列表数据中全面呈现了攻击者在攻击网络时所采用的行为,对于各种进攻性和防御性度量、表示和分析等攻击事件处置具有重要价值。
本实施例中,通过对网络流量数据进行威胁情报检测得到威胁事件(也称为攻击事件或安全事件),进行ATT&CK知识库的映射,能够有助于对攻击者行为信息理解及发现,比如可以对攻击者所针对的关键资产进行标识,对攻击者使用的技术进行追踪和对攻击者的攻击阶段进行确定,以及对攻击者的攻击行为持续观测等。
本发明实施例提供的网络攻击分析检测方法,通过预先在威胁事件与ATT&CK知识库之间建立自动化映射关系,经过上述方法步骤,当获取到网络流量数据之后,可以根据检测到的威胁事件与ATT&CK知识库进行匹配,自动确定出当前威胁事件指示的网络攻击者采用的手段及攻击阶段等攻击行为信息,相比于人工匹配的方式,可在一定程度上提高网络攻击分析效率。
另外,可以理解的是,传统人工匹配分析攻击行为信息的方式,由于分析人员经验参差不齐,对同一威胁事件的分析结果可能不一致,影响分析质量的稳定性。
本实施例中,通过实现威胁事件与ATT&CK知识库间的映射,在检测威胁事件之后,可以实现标准化分析流程,避免了因分析人员经验不同导致的分析结果质量参差不齐的问题,从而便于提高网络攻击分析质量及其稳定性。
可以理解的是,尽管现有的ATT&CK知识库提供了统一标准且结构化的方式,描述攻击者的各种行为信息,但由于其缺少攻击过程中的上下文信息,简单理解就是缺乏可观测对象特征进行匹配。所以如何从原子数据(海量威胁事件)中判别出哪些信息是同一个攻击动作,这是实现威胁事件与ATT&CK知识库自动化映射的核心难点。
为了解决上述实现威胁事件到ATT&CK知识库自动化映射的核心难点,参看图3所示,具体的,所述根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息(步骤130)包括:131、提取所述威胁事件的上下文信息;132、根据所述威胁事件的上下文信息与战技术特征库进行匹配,得到对应的威胁事件的战、技术及过程标签;所述战技术特征库中维护有威胁事件的上下文信息与对应的威胁事件的战、技术及过程标签之间的映射关系;133、根据所述威胁事件的战、技术及过程标签查询匹配所述ATT&CK知识库,确定所述威胁事件指示的网络攻击行为信息。
本实施例中,通过预先对ATT&CK知识库(以矩阵结构形式描述)中的各阶段的技战术进行归纳,从执行环境、攻击方式、攻击对象(攻击目标)、威胁特征等多个维度对ATT&CK知识库中的实例进行分割,将其划分成可观测特征对象,形成所述战技术特征库,相当于在威胁事件与ATT&CK知识库之间搭建联系的中间桥梁,从而建立起威胁事件与ATT&CK知识库间的映射关系。
这样,在根据威胁检测规则特征库检测出威胁事件之后,提取威胁事件携带的上下文信息,先与战技术特征库进行匹配得到对应的威胁事件的战、技术及过程标签(TTPs),之后再根据该TTPs从ATT&CK知识库中查询匹配,确定威胁事件指示的网络攻击行为信息,例如,攻击阶段、攻击动向、以及攻击者身份及攻击手段等信息。
在一些实施例中,所述上下文信息包括:威胁特征、执行环境特征、攻击目标以及攻击方式。
可以理解的是,通过日志、探针数据、流量等源数据进行威胁情报分析得到的数据,有些数据有比较明显的检测特征,映射检测分析比较方便,例如,对于T1156:.bash_profile and.bashrc,T1086:Powershell,T1170:MSHTA等,其中,字符T开头的标记号为TTPs标签,当检测到修改“.bash_profile”文件,可以直接匹配T1156,因为该文件特征是T1156独有的特征,匹配结果具有唯一性,可以直接映射到ATT&CK知识库TTPs标签对应表项,从表项中即可确定对应的攻击行为信息。
然而,有些数据的特征匹配结果则可能有多个,自动化映射的结果就可能出错,例如,对于T1182:AppCert DLL、T1168:Local Job Scheduling、T1038:DLL Search OrderHijacking、T1073:DLL Side-Loading,当检测到“释放dll”操作特征时,可能是T1038(DLLSearch Order Hijacking),也可能是T1073(DLL Side-Loading),此时则需要去理解上下文,根据上下文判断究竟应该匹配哪个TTPs标签。
参看图4所示,在一些实施例中,在所述从网络节点上获取网络流量数据(步骤110)之前,所述方法还包括:100b、建立战技术特征库;具体为:
获取历史威胁事件样本及ATT&CK知识库中的战、技术及过程;
对所述历史威胁事件样本进行归纳分析,建立所述历史威胁事件样本与所述战、技术及过程之间的映射关系,并补充对应的历史威胁事件的上下文信息,形成战技术特征库。
其中,可以通过具有丰富经验的安全分析人员人工对ATT&CK矩阵中的各个阶段的技战术攻击上下文进行归纳和总结,基于知识体系与人工经验,提取出具体技战术实施时所需的攻击上下文信息,形成战、技战术对应的攻击上下文知识矩阵,可以理解的是,知识矩阵中描述的越细越好,分析结果越详实,旨在建立一个ATT&CK上下文知识库。
所述补充对应的威胁事件的上下文信息可以为:提取威胁事件样本的上下文信息,将所述上下文信息对应所述战、技术及过程的列表存储,以形成战技术矩特征库,即前述的上下文知识矩阵。
本实施例中,通过根据ATT&CK知识库建立战技术特征库,在战技术特征库中维护有威胁事件的上下文信息与对应的威胁事件的战、技术及过程标签之间的映射关系,可以在一定程度上解决映射结果存在的不唯一问题,从而便于实现威胁事件到ATT&CK知识库之间的自动化映射。
其中,所述威胁特征包括:威胁类型及对应的检测规则,例如除前述威胁事件类型外,还可以为:攻击者生成Powershell代码进行攻击及对应Powershell检测机制。
所述执行环境特征用于指示威胁事件利用的攻击环境,包括:网络协议、操作系统及内存;
所述攻击目标用于指示威胁事件实施攻击所利用的目标载体,包括:资产、文件及应用软件;
所述攻击方式用于指示攻击者对攻击目标实施攻击采用的行为或手段,包括:主机登录、传输恶意文件、释放恶意文件、网络请求、回传数据及清除数据。
本发明实施例通过解决威胁事件的战、技术映射难题,实现了对威胁事件指示的网络攻击行为信息的自动化分析,有助于安全分析人员快速从海量攻击事件中发现高危网络安全问题,提高网络攻击分析效率,并直观理解已知攻击者行为可能带来的安全风险,降低了安全分析成本。
实施例二
图5为本发明网络攻击分析装置一实施例架构示意框图;如图5所示,所述网络攻击分析装置包括:
获取程序模块210,用于从网络节点上获取网络流量数据;
检测程序模块220,用于根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件;
分析程序模块230,用于根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息。
本实施例的装置可以用于执行图1所示方法实施例的技术方案,本实施例的装置,其实现原理和技术效果类似,此处不再多赘述,可相互参看。
参看图6所示,本实施例中,作为一可选实施例,提供的装置与前述实施例所述的装置类似,不同之处在于:所述分析程序模块230包括:
提取程序单元231,用于提取所述威胁事件的上下文信息;
匹配程序单元232,用于根据所述威胁事件的上下文信息与战技术特征库进行匹配,得到对应的威胁事件的战、技术及过程标签;所述战技术特征库中维护有威胁事件的上下文信息与对应的威胁事件的战、技术及过程标签之间的映射关系;
确定程序单元233,用于根据所述威胁事件的战、技术及过程标签查询匹配所述ATT&CK知识库,确定所述威胁事件指示的网络攻击行为信息。
本实施例中,作为另一可选实施例,所述上下文信息包括:威胁特征、执行环境特征、攻击目标以及攻击方式。
具体的,所述威胁特征包括:威胁类型及对应的检测规则;
所述执行环境特征用于指示威胁事件利用的攻击环境,包括:网络协议、操作系统及内存;
所述攻击目标用于指示威胁事件实施攻击所利用的目标载体,包括:资产、文件及应用软件;
所述攻击方式用于指示攻击者对攻击目标实施攻击采用的行为或手段,包括:主机登录、传输恶意文件、释放恶意文件、网络请求、回传数据及清除数据。
参看图7所示,作为另一可选实施例,所述装置还包括:战技术特征库建立程序模块200a,用于:
在所述从网络节点上获取网络流量数据之前,获取历史威胁事件样本及ATT&CK知识库中的战、技术及过程;
对所述历史威胁事件样本进行归纳分析,建立所述历史威胁事件样本与所述战、技术及过程之间的映射关系,并补充对应的历史威胁事件的上下文信息,形成战技术特征库。
本实施例中,作为另一可选实施例,所述装置还包括:检测规则特征库建立程序模块200b,用于:
在所述从网络节点上获取网络流量数据之前,获取对应各种类型的威胁事件的威胁检测规则;所述威胁检测规则中包含:用于检测是否为威胁事件的检测特征;
对所述威胁检测规则打标,以建立威胁检测规则特征库。
本发明实施例提供的网络攻击分析装置,基于与实施例一相同的特定技术特征,可以在一定程度上提高网络攻击分析效率及分析质量。
对于本发明提供的威胁检测装置的各实施例而言,由于其基本相似于方法实施例,相关之处参见方法实施例部分的说明即可。
本发明还实施例提供了一种电子设备,包括一个或者多个处理器;存储器;所述存储器中存储有一个或者多个可执行程序,所述一个或者多个处理器读取存储器中存储的可执行程序代码,来运行与可执行程序代码对应的程序,以用于执行实施例一任一所述的方法。
图8为本发明电子设备一个实施例的结构示意图,其可以实现本发明实施例一任一所述的方法,如图8所示,作为一可选实施例,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述是实施例一任一所述的网络攻击分析方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明网络攻击分析方法实施例一的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。(5)其他具有数据交互功能的电子设备。
本发明还实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例一任一所述的网络攻击分析方法。
综上,根据上述各实施例描述可知,本实施例公开的网络攻击分析方法及装置,基于对网络流量数据进行威胁情报检测,将威胁事件与ATT&CK知识库自动映射匹配,可有效的对海量威胁事件进行自动化处理,极大的减少人工分析成本,快速有效发现高威胁事件。
进一步地,由于可以提高网络攻击行为分析效率,进而使防御者可快速响应,及时止损。
再进一步地,本方案可针对已发现的威胁事件指示的攻击行为迅速进行评估及定性,了解其对于资产及业务的影响程度以及采取相关响应举措的紧迫程度,从而降低并最终消除由此给业务带来的风险。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质还可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (6)
1.一种网络攻击分析方法,其特征在于,所述方法包括步骤:
获取网络流量数据;
根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件;
根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息;
所述根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件包括:根据威胁检测规则特征库对所述网络流量数据进行多个维度失陷信标检测,得到威胁事件及其上下文信息;
在所述获取网络流量数据之前,所述方法还包括:获取历史威胁事件样本及ATT&CK知识库中的战、技术及过程;
对所述历史威胁事件样本进行归纳分析,建立所述历史威胁事件样本与所述战、技术及过程之间的映射关系,并补充对应的历史威胁事件的上下文信息,形成战技术特征库;
所述根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息包括:
提取所述威胁事件的上下文信息;所述上下文信息包括:威胁特征、执行环境特征、攻击目标以及攻击方式;
根据所述威胁事件的上下文信息与战技术特征库进行匹配,得到对应的威胁事件的战、技术及过程标签;所述战技术特征库中维护有威胁事件的上下文信息与对应的威胁事件的战、技术及过程标签之间的映射关系;
根据所述威胁事件的战、技术及过程标签查询匹配所述ATT&CK知识库,确定所述威胁事件指示的网络攻击行为信息,包括:攻击阶段、攻击动向、以及攻击者身份及攻击手段;
所述威胁特征包括:威胁类型及对应的检测规则;
所述执行环境特征用于指示威胁事件利用的攻击环境,包括:网络协议、操作系统及内存;
所述攻击目标用于指示威胁事件实施攻击所利用的目标载体,包括:资产、文件及应用软件;
所述攻击方式用于指示攻击者对攻击目标实施攻击采用的行为或手段,包括:主机登录、传输恶意文件、释放恶意文件、网络请求、回传数据及清除数据。
2.根据权利要求1所述的方法,其特征在于,在所述获取网络流量数据之前,所述方法还包括:获取对应各种类型的威胁事件的威胁检测规则;所述威胁检测规则中包含:用于检测是否为威胁事件的检测特征;
对所述威胁检测规则打标,以建立威胁检测规则特征库。
3.一种网络攻击分析装置,其特征在于,所述装置包括:
获取程序模块,用于获取网络流量数据;
检测程序模块,用于根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件;
分析程序模块,用于根据所述威胁事件与ATT&CK知识库进行匹配,确定所述威胁事件指示的网络攻击行为信息;
所述根据威胁检测规则特征库对所述网络流量数据进行情报检测,得到威胁事件包括:根据威胁检测规则特征库对所述网络流量数据进行多个维度失陷信标检测,得到威胁事件及其上下文信息;
所述装置还包括:战技术特征库建立程序模块,用于:
在所述获取网络流量数据之前,获取历史威胁事件样本及ATT&CK知识库中的战、技术及过程;
对所述历史威胁事件样本进行归纳分析,建立所述历史威胁事件样本与所述战、技术及过程之间的映射关系,并补充对应的历史威胁事件的上下文信息,形成战技术特征库;
所述分析程序模块包括:
提取程序单元,用于提取所述威胁事件的上下文信息;所述上下文信息包括:威胁特征、执行环境特征、攻击目标以及攻击方式;
匹配程序单元,用于根据所述威胁事件的上下文信息与战技术特征库进行匹配,得到对应的威胁事件的战、技术及过程标签;所述战技术特征库中维护有威胁事件的上下文信息与对应的威胁事件的战、技术及过程标签之间的映射关系;
确定程序单元,用于根据所述威胁事件的战、技术及过程标签查询匹配所述ATT&CK知识库,确定所述威胁事件指示的网络攻击行为信息,包括:攻击阶段、攻击动向、以及攻击者身份及攻击手段;
所述威胁特征包括:威胁类型及对应的检测规则;
所述执行环境特征用于指示威胁事件利用的攻击环境,包括:网络协议、操作系统及内存;
所述攻击目标用于指示威胁事件实施攻击所利用的目标载体,包括:资产、文件及应用软件;
所述攻击方式用于指示攻击者对攻击目标实施攻击采用的行为或手段,包括:主机登录、传输恶意文件、释放恶意文件、网络请求、回传数据及清除数据。
4.根据权利要求3所述的装置,其特征在于,所述装置还包括:检测规则特征库建立程序模块,用于:
在所述获取网络流量数据之前,获取对应各种类型的威胁事件的威胁检测规则;所述威胁检测规则中包含:用于检测是否为威胁事件的检测特征;
对所述威胁检测规则打标,以建立威胁检测规则特征库。
5.一种电子设备,其特征在于,包括:一个或者多个处理器;存储器;所述存储器中存储有一个或者多个可执行程序,所述一个或者多个处理器读取存储器中存储的可执行程序代码,来运行与可执行程序代码对应的程序,以用于执行权利要求1至2任一所述的方法。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至2任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111456112.4A CN114205128B (zh) | 2021-12-01 | 2021-12-01 | 网络攻击分析方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111456112.4A CN114205128B (zh) | 2021-12-01 | 2021-12-01 | 网络攻击分析方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114205128A CN114205128A (zh) | 2022-03-18 |
CN114205128B true CN114205128B (zh) | 2024-05-24 |
Family
ID=80650026
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111456112.4A Active CN114205128B (zh) | 2021-12-01 | 2021-12-01 | 网络攻击分析方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114205128B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114697110B (zh) * | 2022-03-30 | 2024-08-16 | 杭州安恒信息技术股份有限公司 | 一种网络攻击检测方法、装置、设备及存储介质 |
CN114584402B (zh) * | 2022-05-07 | 2022-08-05 | 浙江御安信息技术有限公司 | 基于攻击特征识别标签库的威胁过滤研判方法 |
CN115208659A (zh) * | 2022-07-13 | 2022-10-18 | 杭州安恒信息技术股份有限公司 | 一种内网攻击的模拟检测方法、装置、设备及介质 |
CN115664708A (zh) * | 2022-09-16 | 2023-01-31 | 深信服科技股份有限公司 | 一种攻击确定方法、装置、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11444960B2 (en) * | 2019-06-05 | 2022-09-13 | Vmware, Inc. | Stateful rule generation for behavior based threat detection |
-
2021
- 2021-12-01 CN CN202111456112.4A patent/CN114205128B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114205128A (zh) | 2022-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114205128B (zh) | 网络攻击分析方法、装置、电子设备及存储介质 | |
CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
US20180063146A1 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
CN111221625B (zh) | 文件检测方法、装置及设备 | |
CN113496033B (zh) | 访问行为识别方法和装置及存储介质 | |
CN113810395B (zh) | 一种威胁情报的检测方法、装置及电子设备 | |
CN111581643A (zh) | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 | |
CN114124507B (zh) | 一种数据请求频次统计方法、装置、电子设备及存储介质 | |
CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
JP2015222471A (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
CN106878240B (zh) | 僵尸主机识别方法及装置 | |
CN114329448A (zh) | 一种系统安全检测方法、装置、电子设备及存储介质 | |
CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
CN113596044B (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
CN114297632A (zh) | 主机失陷检测方法、装置、电子设备及存储介质 | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
CN117220961A (zh) | 一种基于关联规则图谱的入侵检测方法及装置 | |
CN116846610A (zh) | 网络安全威胁检测方法、装置、设备和介质 | |
CN114528552B (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
CN116015808A (zh) | 一种网络端口异常开放感知方法、装置、电子设备及存储介质 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN113361597B (zh) | 一种url检测模型的训练方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |