CN114697057A - 获取编排剧本信息的方法、装置及存储介质 - Google Patents

获取编排剧本信息的方法、装置及存储介质 Download PDF

Info

Publication number
CN114697057A
CN114697057A CN202011583093.7A CN202011583093A CN114697057A CN 114697057 A CN114697057 A CN 114697057A CN 202011583093 A CN202011583093 A CN 202011583093A CN 114697057 A CN114697057 A CN 114697057A
Authority
CN
China
Prior art keywords
information
node
network security
sample
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011583093.7A
Other languages
English (en)
Other versions
CN114697057B (zh
Inventor
李强
安东
蒋武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202011583093.7A priority Critical patent/CN114697057B/zh
Publication of CN114697057A publication Critical patent/CN114697057A/zh
Application granted granted Critical
Publication of CN114697057B publication Critical patent/CN114697057B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Animal Behavior & Ethology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开一种获取编排剧本信息的方法、装置存储介质,属于网络安全领域。所述方法包括:获取网络安全数据,网络安全数据包括的第一组信息用于描述网络安全事件,第二组信息用于描述网络安全事件的处置措施。根据网络安全数据构建知识图谱,知识图谱包括的第一组节点中的每个节点用于保存第一组信息中的一项信息,第二组节点中的每个节点用于保存第二组信息中的一项信息。知识图谱还包括节点之间的关联关系。根据指定类型和知识图谱确定编排剧本信息,编排剧本信息包括触发条件和处置流程,触发条件是第一节点中保存的信息,处置流程是基于与第一节点存在关联关系的至少一个第二节点确定的。本申请能够提高获取编排剧本信息的效率和及时性。

Description

获取编排剧本信息的方法、装置及存储介质
技术领域
本申请涉及网络安全领域,特别涉及一种获取编排剧本信息的方法、装置存储介质。
背景技术
在网络安全防护体系中,安全编排、自动化和响应(security orchestrationautomation and response,SOAR)用于检测攻击者的网络攻击,并对该网络攻击做出相应的处置措施。
其中,SOAR中包括编排剧本信息(Playbook),Playbook中记录了处理该网络攻击的触发条件,以及在该触发条件下所采取的处置流程,该处置流程用于描述对该网络攻击的处置措施。这样SOAR在检测网络攻击,基于该网络攻击对应的触发条件,通过Playbook确定处置该网络攻击的处置措施,对该网络攻击执行该处置措施。
在实现本申请的过程中,发明人发现现有技术至少存在以下问题:
从上述内容可以看出,Playbook在SOAR中起到重要作用,但是当前Playbook的构建主要通过专门的安全分析人员,根据自身的安全分析经验来构建。这种构建方法存在效率低下,及时性不足的缺点。
发明内容
本申请提供了一种获取编排剧本信息的方法、装置及存储介质,以提高获取编排剧本信息的效率和及时性。所述技术方案如下:
第一方面,本申请提供了一种获取编排剧本信息的方法,在所述方法中,获取网络安全数据,该网络安全数据包括至少两组信息,其中,该至少两组信息中的第一组信息用于描述网络安全事件,该至少两组信息中的第二组信息用于描述网络安全事件的处置措施。根据该网络安全数据构建知识图谱,该知识图谱包括至少两组节点,其中,该至少两组节点中的第一组节点中的每个节点用于保存第一组信息中的一项信息,该至少两组节点中的第二组节点中的每个节点用于保存第二组信息中的一项信息,该知识图谱还包括节点之间的关联关系,且该知识图谱中两个节点之间的关联关系是基于该两个节点保存的信息确定的。根据指定类型和该知识图谱确定编排剧本信息Playbook,该Playbook包括所述网络安全事件的触发条件和在该触发条件下的至少一个处置流程,该触发条件是第一节点中保存的信息,第一节点保存的信息类型为指定类型,第一节点属于第一组节点,每个处置流程是基于与第一节点存在关联关系的至少一个第二节点确定的,该至少一个第二节点属于第二组节点。
由于获取的网络安全数据中的第一组信息用于描述网络安全事件,第二组信息用于描述网络安全事件的处置措施,这样基于该网络安全数据构建的知识图谱中包括至少两组节点,第一组节点中的每个节点用于保存第一组信息中的一项信息,第二组节点中的每个节点用于保存第二组信息中的一项信息。该知识图谱还包括节点之间的关联关系,该知识图谱中两个节点之间的关联关系是基于该两个节点保存的信息确定的。再根据该知识图谱获取Playbook,该Playbook包括网络安全事件的触发条件和在该触发条件下的至少一个处置流程。该触发条件是该知识图谱中保存的指定类型的信息,即是第一节点中保存的信息,第一节点属于第一组节点。每个处置流程是基于与第一节点存在关联关系的至少一个第二节点确定的,该至少一个第二节点属于第二组节点。如此实现自动构建Playbook,提高构建Playbook的效率和及时性。
在一种可能的实现方式中,至少一个处置流程中的每个处置流程包括至少一个处置条件和每个处置条件下的处置措施,该至少一个处置条件包括第一处置条件。第一处置条件是与第一节点之间存在指定关联关系的第三节点中保存的信息,第三节点属于第一组节点,第一处置条件下的处置措施是基于与第三节点之间存在关联关系的至少一个第二节点中保存的信息得到的。如此可以将知识图谱中与第一节点之间存在指定关联关系的第三节点中保存的信息作为处置条件,基于与第三节点之间存在关联关系的第二节点得到处置措施,从而丰富并完善了处置流程的内容。
在另一种可能的实现方式中,第一组信息包括网络安全事件的基础描述信息,在知识图谱中获取至少一个节点,该获取的每个节点保存的信息是该网络安全数据包括的信息中的部分信息。创建至少一个节点,该创建的每个节点保存的信息是该网络安全数据中除获取的每个节点保存的信息之外的其他信息。设置第四节点与第五节点之间的关联关系为该基础描述信息与第一信息之间的关联关系,第四节点是节点集合中保存该基础描述信息的节点,节点集合包括获取的每个节点和创建的每个节点,第一信息是该网络安全数据中除该基础描述信息之外的其他信息,第五节点是该节点集合中保存第一信息的节点。其中,获取的至少一个节点是知识图谱中已存在的节点,这样在第四节点和第五节点之间设置关联关系,将创建的节点加入到知识图谱,从而逐步完善知识图谱。
在另一种可能的实现方式中,网络安全数据还包括该基础描述信息与第一信息之间的关联关系,这样在构建知识图谱时,直接从该网络安全数据中获取该关联关系,提高构建知识图谱的效率。
在另一种可能的实现方式中,基于该基础描述信息的信息类型和第一信息的信息类型,获取该基础描述信息与第一信息之间的关联关系,这样不需要在网络安全数据中包括该关联关系,减少该网络安全数据的数据量,从而减小传输该网络安全数据所占用的网络资源。
在另一种可能的实现方式中,基于该基础描述信息的信息类型和第一信息的信息类型,从第一对应表中获取对应的至少一个关联关系,第一对应表中的每条记录包括基础描述信息的信息类型、第一信息的信息类型和关联关系。从至少一个关联关系中选择关联关系作为该基础描述信息与第一信息之间的关联关系。由于直接从第一对应表中获取关联关系,从而不需要在网络安全数据中包括该关联关系,以保证能够减少该网络安全数据的数据量。
在另一种可能的实现方式中,在知识图谱中识别第一节点,并将第一节点保存的信息确定为触发条件。将与第一节点之间存在指定关联关系的第三节点保存的信息确定为第一处置条件。获取与第三节点之间存在关联关系的至少一个第二节点,基于该至少一个第二节点保存的信息获取处置措施。如此可以将知识图谱中与第一节点之间存在指定关联关系的第三节点中保存的信息作为处置条件,基于与第三节点之间存在关联关系的第二节点得到处置措施,从而丰富并完善了处置流程的内容。
在另一种可能的实现方式中,基于该至少一个第二节点中的每个第二节点保存的信息对应的处置影响程度,选择一个第二节点,将选择的第二节点保存的信息确定为处置措施,从而可以提高获取处置措施的精度。
在另一种可能的实现方式中,基于该至少一个第二节点中的每个第二节点保存的信息对应的处置影响程度和权重,计算总处置影响程度,获取该总处置影响程度对应的处置措施,从而可以提高获取处置措施的精度。
在另一种可能的实现方式中,该网络安全数据的类型包括漏洞管理数据、日志规则特征数据、入侵防御系统IPS规则数据、样本检测特征、威胁情报数据、网络安全事件响应处置数据或沙箱分析数据。
在另一种可能的实现方式中,指定类型包括可观察信息、攻击指标、脆弱性信息和攻击模式中的一个或多个,从而基于该指定类型,从知识图谱中准确地获取到触发条件。
第二方面,本申请提供了一种获取编排剧本信息的装置,用于执行第一方面或第一方面的任意一种可能的实现方式中的方法。具体地,所述装置包括用于执行第一方面或第一方面的任意一种可能的实现方式中的方法的单元。
第三方面,本申请提供了一种获取编排剧本信息的装置,所述装置包括处理器和存储器。其中,所述所述处理器以及所述存储器之间可以通过内部连接相连。所述存储器用于存储程序,所述处理器用于执行所述存储器中的程序,使得所述装置完成第一方面或第一方面的任意可能的实现方式中的方法。
第四方面,本申请提供了一种计算机程序产品,所述计算机程序产品包括在计算机可读存储介质中存储的计算机程序,并且所述计算程序通过处理器进行加载来实现上述第一方面或第一方面任意可能的实现方式的方法。
第五方面,本申请提供了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序通过处理器进行加载来执行上述第一方面或第一方面任意可能的实现方式的方法。
第六方面,本申请提供了一种芯片,包括存储器和处理器,存储器用于存储计算机指令,处理器用于从存储器中调用并运行该计算机指令,以执行上述第一方面及其第一方面任意可能的实现方式中的方法。
附图说明
图1是本申请实施例提供的一种网络架构示意图;
图2是本申请实施例提供的另一种网络架构示意图;
图3是本申请实施例提供的一种获取编排剧本信息的方法流程图;
图4是本申请实施例提供的另一种网络架构示意图;
图5是本申请实施例提供的一种构建知识图谱的方法流程图;
图6是本申请实施例提供的一种知识图谱的示意图;
图7是本申请实施例提供的另一种知识图谱的示意图;
图8是本申请实施例提供的另一种获取编排剧本信息的方法流程图;
图9是本申请实施例提供的一种获取编排剧本信息的装置结构示意图;
图10是本申请实施例提供的另一种获取编排剧本信息的装置结构示意图。
具体实施方式
下面将结合附图对本申请实施方式作进一步地详细描述。
参见图1,本申请实施例提供了一种网络架构10,该网络架构10包括:
第一系统100和第二系统200,第一系统100能够与第二系统200通信。
可选的,第一系统100能够与第二系统200之间建立网络连接,以实现与第二系统200通信。
第二系统200产生至少一种类型的网络安全数据。对于网络安全数据的类型,第二系统200产生属于至少一种类型的至少一项网络安全数据,第二系统200向第一系统100发送网络安全数据。
第一系统100接收第二系统200发送的网络安全数据,基于接收的网络安全数据获取Playbook。
对于每项网络安全数据,该网络安全数据包括至少两组信息,其中,该至少两组信息中的第一组信息用于描述网络安全事件,该至少两组信息中的第二组信息用于描述该网络安全事件的处置措施。
第一组信息至少包括该网络安全事件的基础描述信息,该基础描述信息包括该网络安全事件的基础属性。
可选的,第一组信息除了包括该基础描述信息,还包括其他用于描述网络安全事件的描述信息。
可选的,该网络安全数据还包括该基础描述信息与第一信息之间的关联关系,第一信息是该网络安全数据中除该基础描述信息之外的其他信息。
该网络安全事件包括漏洞、日志规则、入侵防御系统(intrusion preventionsystem,IPS)检测对象、可疑样本和网络攻击等中的一个或多个。
Playbook包括该网络安全事件的触发条件和在触发条件下的至少一个处置流程,该处置流程用于描述对该网络安全事件的处置措施。
可选的,参见图2,第一系统100包括服务器101和至少一个客户端设备102。每个客户端设备102与服务器101通信,服务器101还与第二系统200通信。
可选的,服务器101接收第二系统200发送的网络安全数据,基于接收的网络安全数据构建知识图谱。
可选的,知识图谱是一种存储数据的数据结构,服务器101构建该知识图谱后,保存该知识图谱。
对于每个客户端设备102,该客户端设备102按需基于该知识图谱获取Playbook。
可选的,对于上述任意一种类型的网络安全数据,属于该类型的任一项网络安全数据包括的多项信息是不同信息类型的信息。该网络安全数据中的信息类型包括可观察信息、攻击指标、脆弱性信息、身份信息、恶意软件、入侵集合、攻击模式和处置措施等中的多个。
可选的,可观察信息表示在系统或网络上观察到的信息。例如,网际互连协议(internet protocol,IP)或端口号等信息为可观察信息,当报文在网络或系统上传输时,能够直接检测到报文中的IP或端口号等信息。
通常可观察信息包括如下任意一种或多种信息,分别为:
1:构件(Artifact)对象,包括图像数据和/或压缩包等内容,图像数据的特征包括净荷(payload),压缩包的特征包括加密算法和/或加密密码等。
2:自治系统(autonomous-system,AS)对象,包括AS编号等内容。
3:目录对象,包括目录路径等内容。
4:域名对象,包括域名值等内容。
5:邮件地址对象,包括电子邮件地址等内容。
6:邮件消息对象,包括以下至少一项:邮件的邮件标题、邮件内容、邮件附件、收发电子邮件地址等内容。
7:文件对象,包括以下至少一项:文件的文件名、大小、哈希、类型等内容。
8:网际协议版本4(internet protocol version 4,IPv4)地址对象。
9:互联网协议第6版(internet protocol version 6,IPv6)地址对象。
10:媒体接入控制(media access control,MAC)地址对象。
11:互斥体(MUTEX)对象,包括互斥体名称等内容。
12:网络流量对象,包括以下至少一项:网络流量的协议类型、源IP、目的IP、源端口号、目的端口号、字节数、数据包数目、净荷等内容。
13:进程对象,包括以下至少一项:进程的进程名称、端口标识(port identity,PID)、命令行等内容。
14:软件对象,包括以下至少一项:软件的软件名、版本、供应商等内容。
15:统一资源定位符(uniform resource locator,URL)对象。
16:用户账户对象,包括以下至少一项:用户账号的用户标识(identify,ID)、用户名、账户类型、是否是特权账号、创建时间、初始登录时间、最后登录时间等内容。
17:窗口(Windows)注册键值对象,包括以下至少一项:键、值、值类型等内容。
18:证书对象,例如为X.509证书对象,包括以下至少一项:证书的哈希(hash)、版本、序列号、签名算法、发行人、有效期开始时间、有效期结束时间、主题、扩展等内容。
可选的,攻击指标用于识别特定攻击模式的技术指标,是多个可观察信息的组合,能够用来作为检测网络安全事件的检测规则。
通常攻击指标包括如下任意一种或多种信息,分别为:
1:IP,2:Hash,3:域名,4:URL,5:Perl语言兼容正则表达式(perl compatibleregular expressions,PCRE)表达式,6:安全信息与事件管理系统的通用签名格式(generic signature format for siem systems,SIGMA)表达式,7:snort规则,8:suricate规则,9:YARA规则。其中snort是一种开源的网络入侵检测和防护系统的名称,suricate是一种开源的网络威胁检测引擎的名称,YARA是一种用于恶意软件研究和检测的工具的名称。
可选的,脆弱性信息是软件中的一个错误,能够被黑客直接用来访问系统或网络。
通常脆弱性信息包括如下任意一种或多种信息,分别为:
1:脆弱性标识名,包括以下至少一项:公共漏洞和暴露(common vulnerabilitiesand exposures,CVE)、开源漏洞数据库(open source vulnerability database,OSVDB)、通用漏洞评分系统(the common vulnerability scoring system,CVSS)等内容。
2:脆弱性描述。
可选的,身份信息是个人、组织或团体,以及个人、组织或团体的类别。
通常身份信息包括如下任意一种或多种信息,分别为:
1:名称,2:描述,3:角色类型,4:实体类型,5:所属行业部门,6:联系信息。
可选的,恶意软件又可称为恶意代码,用于攻陷受害者数据或系统的机密性、完整性或可用性。
通常恶意软件包括如下任意一种或多种信息,分别为:
1:恶意软件名称,2:描述,3:恶意软件类型,4:恶意软件所属家族。
可选的,入侵集合是指一个拥有共同属性的敌对行为和资源的分组集合,被认为是由单个威胁主体策划的。
通常入侵集合包括如下任意一种或多种信息,分别为:
1:名称,2:描述,3:首次观测到的时间,4:最后观测到的时间,5:入侵集合目标,6:资源级别,7:动机。
可选的,攻击模式用于描述威胁主体尝试攻击目标的方法。攻击模式包含该模式的文本说明,以及对外部定义的攻击分类法(如公共攻击模式枚举和分类(common attackpattern enumeration and classification,CAPEC)、对抗性战术、技术和常识(adversarial tactics,techniques,and common knowledge,ATT&CK)的引用。来自攻击模式的关系可用于将攻击模式与目标对象(脆弱性和身份),以及使用它的工具和恶意软件相关联。
通常攻击模式包括如下任意一种或多种信息,分别为:
1:名称,2:描述,例如是支持CAPEC和ATT&CK对攻击技术的描述,3:杀伤链阶段。
可选的,处置措施用于阻止或响应攻击的措施。
通常处置措施包括如下任意一种或多种信息,分别为:
1:名称,2:描述,3:行动。
对于任意一项网络安全数据,该网络安全数据包括基础描述信息和除该基础描述信息之外的第一信息,该基础描述信息与第一信息之间的关联关系是该基础描述信息的信息类型与该第一信息的信息类型之间的关联关系。
可选的,本申请实施例还能够定义如表1所示的第一对应表,第一对应表中的每条记录包括基础描述信息的信息类型、第一信息的信息类型和关联关系。
可选的,对于第一对应表中的任一条记录,该记录包括一个或多个基础描述信息的信息类型、一个或多个第一信息的信息类型和一个关联关系。
例如,对于表1所示第一对应表中的第1条记录,第1条记录中的第一信息的信息类型包括攻击模式,基础描述信息的信息类型包括恶意软件,关联关系为传递。其中,在第1条记录中,该关联关系“传递”表示在该攻击模式中投递了该恶意软件。
对于表1所示第一对应表中的第2条记录,第2条记录中的第一信息的信息类型包括攻击模式、入侵集合和恶意软件,基础描述信息的信息类型包括身份信息和脆弱性信息,关联关系为针对。其中,在第2条记录中,该关联关系“针对”表示攻击模式、入侵集合或恶意软件的目标是特定身份信息或特定脆弱性信息。
对于表1所示第一对应表中的第3条记录,第3条记录中的第一信息的信息类型包括攻击模式,基础描述信息的信息类型包括恶意软件,关联关系为使用。其中,在第3条记录中,该关联关系“使用”表示攻击模式使用了恶意软件。
对于表1所示第一对应表中的第4条记录,第4条记录中的第一信息的信息类型包括入侵集合和恶意软件,基础描述信息的信息类型包括攻击模式和恶意软件,关联关系为使用。其中,在第4条记录中,入侵集合或恶意软件使用了攻击模式或恶意软件。
对于表1所示第一对应表中的第5条记录,第5条记录中的第一信息的信息类型包括处置措施,基础描述信息的信息类型包括攻击指标,关联关系为调查。其中,在第5条记录中,该关联关系“调查”表示处置措施是针对攻击指标进行调查。
对于表1所示第一对应表中的第6条记录,第6条记录中的第一信息的信息类型包括处置措施,基础描述信息的信息类型包括攻击模式,攻击指标,恶意软件,脆弱性信息,关联关系为缓解。其中,在第6条记录中,该关联关系“缓解”表示处置措施是对攻击模式,攻击指标,恶意软件或脆弱性信息的危害进行消减。
对于表1所示第一对应表中的第7条记录,第7条记录中的第一信息的信息类型包括攻击指标,基础描述信息的信息类型包括攻击模式,入侵集合,恶意软件,关联关系为指征。其中,在第7条记录中,该关联关系“指征”表示该攻击指标用来描述特定的攻击模式,入侵集合或恶意软件。
对于表1所示第一对应表中的第8条记录,第8条记录中的第一信息的信息类型包括攻击指标,基础描述信息的信息类型包括可观察信息,关联关系为基于。其中,在第8条记录中,该关联关系“基于”表示通过对可观察信息进行分析得到攻击指标。
对于表1所示第一对应表中的第9条记录,第9条记录中的第一信息的信息类型包括恶意软件,基础描述信息的信息类型包括入侵集合,关联关系为作者是。其中,在第8条记录中,该关联关系“作者是”表示恶意软件的作者是某个特定入侵集合。
对于表1所示第一对应表中的第10条记录,第10条记录中的第一信息的信息类型包括恶意软件,基础描述信息的信息类型包括可观察信息(ipv4,ipv6,域名,URL),关联关系为通信。其中,在第10条记录中,该关联关系“通信”表示恶意软件与ipv4,ipv6,域名或URL通信。
对于表1所示第一对应表中的第11条记录,第11条记录中的第一信息的信息类型包括恶意软件,基础描述信息的信息类型包括恶意软件,关联关系为控制。其中,在第11条记录中,该关联关系“控制”表示一个恶意软件控制另一个恶意软件。
对于表1所示第一对应表中的第12条记录,第12条记录中的第一信息的信息类型包括恶意软件,基础描述信息的信息类型包括恶意软件和可观察信息(file),关联关系为下载。其中,在第12条记录中,该关联关系“下载”表示恶意软件下载了另一个恶意软件或一个文件。
对于表1所示第一对应表中的第13条记录,第13条记录中的第一信息的信息类型包括恶意软件,基础描述信息的信息类型包括脆弱性信息,关联关系为利用。其中,在第13条记录中,该关联关系“利用”表示恶意软件利用脆弱性信息。
对于表1所示第一对应表中的第14条记录,第14条记录中的第一信息的信息类型包括恶意软件,基础描述信息的信息类型包括恶意软件,关联关系为变种。其中,在第14条记录中,该关联关系“变种”表示一个恶意软件是另一个恶意软件的变种。
对于表1所示第一对应表中的第15条记录,第15条记录中的第一信息的信息类型包括入侵集合,基础描述信息的信息类型包括身份信息,关联关系为归因。其中,在第15条记录中,该关联关系“归因”表示入侵集合能够定位到某个身份信息。
对于表1所示第一对应表中的第16条记录,第16条记录中的第一信息的信息类型包括入侵集合,基础描述信息的信息类型包括身份信息,关联关系为模仿。其中,在第16条记录中,该关联关系“模仿”表示入侵集合模仿某个身份信息。
表1
Figure BDA0002866339080000081
参见图3,本申请实施例提供了一种获取编排剧本信息的方法300,所述方法300应用于上述图1或2所示的网络架构10,所述方法300的执行主体为上述图1或图2所示网络架构10中的第一系统100,包括步骤301至步骤303。
步骤301:获取网络安全数据,该网络安全数据包括至少两组信息,其中,该至少两组信息中的第一组信息用于描述网络安全事件,该至少两组信息中的第二组信息用于描述网络安全事件的处置措施。
可选的,第一系统接收第二系统发送的网络安全数据。
可选的,在第一系统包括服务器和至少一个客户端设备的情况下,服务器接收第二系统发送的网络安全数据。
步骤302:根据获取的网络安全数据构建知识图谱,知识图谱包括至少两组节点。其中,至少两组节点中的第一组节点中的每个节点用于保存第一组信息中的一项信息,至少两组节点中的第二组节点中的每个节点用于保存第二组信息中的一项信息。知识图谱还包括节点之间的关联关系,知识图谱中两个节点之间的关联关系是基于该两个节点保存的信息确定的。
可选的,在第一系统包括服务器和至少一个客户端设备的情况下,服务器根据获取的网络安全数据构建知识图谱,并保存构建的该知识图谱。
步骤303:根据指定类型和步骤302构建的知识图谱获取Playbook。Playbook包括网络安全事件的触发条件和在该触发条件下的至少一个处置流程。Playbook中的触发条件是知识图谱中的第一节点中保存的信息,第一节点保存的信息类型为指定类型,第一节点属于第一组节点。Playbook中的每个处置流程是基于知识图谱中与第一节点存在关联关系的至少一个第二节点确定的,至少一个第二节点属于第二组节点。
可选的,在第一系统包括服务器和至少一个客户端设备的情况下,对于每个客户端设备,该客户端设备根据指定类型和服务器中的知识图谱,获取Playbook。
在本申请实施例中,基于第二系统产生的网络安全数据生成知识图谱。由于该网络安全数据包括第一组信息和第二组信息,第一组信息用于描述网络安全事件,第二组信息包括该网络安全事件的处置措施,如此根据网络安全数据构建的知识图谱中包括至少两组节点,第一组节点中的每个节点用于保存第一组信息中的一项信息,第二组节点中的每个节点用于保存第二组信息中的一项信息。知识图谱还包括节点之间的关联关系,知识图谱中两个节点之间的关联关系是基于该两个节点保存的信息确定的。再根据该知识图谱确定Playbook,该Playbook包括网络安全事件的触发条件和在触发条件下的至少一个处置流程,触发条件是第一节点中保存的信息,第一节点是知识图谱中保存指定类型的信息的节点,每个处置流程是基于与第一节点存在关联关系的至少一个第二节点确定的,从而能够自动构建Playbook,提高构建Playbook的效率和及时性。
接下来本申请实施例结合一个实现示例,对上述图1或图2所示的网络架构10进行说明。
第二系统200产生的网络安全数据的类型包括漏洞管理数据、日志规则特征数据、IPS规则数据、样本检测特征、威胁情报数据、网络攻击事件响应处置数据和沙箱分析数据等中的一个或多个。
参见图4,在该实现示例中,第二系统200包括七个设备,第一系统100与该七个设备通信。
该七个设备分别为漏洞管理设备201、日志分析设备202、IPS规则管理设备203、样本检测设备204、威胁情报分析设备205、网络攻击事件管理设备206和沙箱设备207。该七个设备中的每个设备产生一种类型的网络安全数据。其中,图4仅是网络架构10的一种实现示例,该网络架构10还有其他实现示例,例如第二系统中包含更少数目的设备、或者包含更多数目的设备,或者包含其他种类的设备,在此不再一一列举。
可选的,对于该七设备中的任一个设备,该设备是由一个独立的物理设备实现,可替换的,由分布在多个物理设备上的多个软件、硬件模块协作而实现。例如,以漏洞管理设备201为例,漏洞管理设备201由一个独立的物理设备实现,可替换的,由分布在多个物理设备上的多个软件、硬件模块协作而实现。
接下来,对该七个第二设备200进行一一说明:
可选的,漏洞管理设备201用于收集并保存一项或多项漏洞管理数据。对于每项漏洞管理数据,该漏洞管理数据包括用于描述一个漏洞的第一组信息和用于描述该漏洞的处置措施的第二组信息。
该漏洞管理数据中的第一组信息包括以下至少一项:该漏洞的漏洞标识、该漏洞所在的位置信息和该漏洞产生的影响信息等。该漏洞的基础描述信息包括以下至少一项:该漏洞的漏洞标识、位置信息和影响信息,该位置信息包括该漏洞所在的平台信息或软件信息。该位置信息还包括该平台的版本或该软件的版本。该漏洞管理数据中的第二组信息包括对该漏洞做出的处置措施。
可选的,该漏洞管理数据还包括该漏洞的基础描述信息与该漏洞的处置措施之间的关联关系。
例如,假设存在一项漏洞管理数据包括用于描述远程登录漏洞的第一组信息和用于描述远程登录漏洞的第二组信息。第一组信息包括的远程登录漏洞的漏洞标识为“CVE-2019-XX”,远程登录漏洞的位置信息为“win10和64位版本”和远程登录漏洞产生的影响信息为“系统命令执行”。即远程登录漏洞的基础描述信息包括远程登录漏洞的漏洞标识“CVE-2019-XX”,位置信息“win10和64位版本”和影响信息为“系统命令执行”。第二组信息包括对远程登录漏洞做出的处置措施为“关闭端口”。
可选的,该项漏洞管理数据还包括该远程登录漏洞的基础描述信息与该远程登录漏洞的处置措施之间的关联关系,该关联关系为“缓解”。即该项漏洞管理管理数据能够表示为:
{
第一组信息:<(1),基础描述信息,包括漏洞标识“CVE-2019-XX”,位置信息“win10和64位版本”,影响信息“系统命令执行”>;
第二组信息:<(2),处置措施“关闭端口”>;
关联关系:
<(1)-(2),缓解>;
}。
该项漏洞管理数据表示的含义为:在64位版本的win10上存在远程登录漏洞,该远程登录漏洞被攻击者利用时产生的影响是导致系统命令被执行,并通过关闭端口来结束攻击者利用该远程登录漏洞。
在该项漏洞管理数据中,远程登录漏洞的基础描述信息的信息类型为脆弱性信息。参见上述表1,远程登录漏洞的基础描述信息与远程登录漏洞的处置措施“关闭端口”之间的关联关系是脆弱性信息与处置措施之间的关联关系“缓解”。
可选的,日志分析设备202用于收集日志特征,并对日志特征进行标记,得到一项或多项日志规则特征数据。对于每项日志规则特征数据,该日志规则特征数据包括用于描述一个日志规则的第一组信息和用于描述该日志规则的处置措施的第二组信息。
该日志规则特征数据中的第一组信息包括以下至少一项:该日志规则的规则内容、描述信息和危害级别等。该日志规则的基础描述信息包括以下至少一项:该日志规则的规则内容、描述信息和危害级别,该日志规则的危害级别是高危、中危或低危等级别。该日志规则特征数据中的第二组信息包括该日志规则的处置措施。
可选的,该日志规则特征数据还包括该日志规则的基础描述信息与该日志规则的处置措施之间的关联关系。
例如,假设存在一项日志规则特征数据包括用于描述登录日志规则的第一组信息和用于描述该登录日志规则的第二组信息。第一组信息包括该登录日志规则的规则内容为“短时间出现大量登录失败日志”,该登录日志规则的描述信息为“一分钟内出现100次以上登录失败日志”和该登录日志规则的危害级别为“中危”。第二组信息包括该登录日志规则的处置措施为“对相应服务进行关闭”和“对部分IP进行封堵”。
为了便于说明,在此使用Content 1表示该登录日志规则的规则内容,以及使用Description1表示该登录日志规则的描述信息。即该登录日志规则的基础描述信息包括该登录日志规则的规则内容“Content 1”,描述信息“Description 1”和危害级别“中危”。
可选的,该项日志规则特征数据还包括该登录日志规则的基础描述信息与该登录日志规则的处置措施之间的关联关系,该关联关系为“缓解”。所以该项日志规则特征数据能够表示为:
{
第一组信息:<(1),基础描述信息,包括规则内容“Content 1”,描述信息“Description 1”,危害级别“中危”>;
第二组信息:<(2),处置措施,包括“对相应服务进行关闭”、“对部分IP进行封堵”>;
关联关系:
<(1)-(2),缓解>;
}。
该项日志规则特征数据表示的含义为:对于一个登录服务,若该登录服务在一分钟内出现100次以上的登录失败日志,则确定产生的危害级别为中危,对该登录服务进行的处置措施为关闭该登录服务和/或对部分请求登录的IP进行封堵。
在该项日志规则特征数据中,该登录日志规则的基础描述信息的信息类型为攻击指标。参见上述表1,该登录日志规则的基础描述信息与该登录日志规则的处置措施之间的关联关系是攻击指标与处置措施之间的关联关系“缓解”。
可选的,IPS规则管理设备203用于保存一项或多项IPS规则数据。对于每项IPS规则数据,该IPS规则数据包括用于描述一个IPS检测对象的第一组信息和用于描述该IPS检测对象的处置措施的第二组信息。
该IPS规则数据中的第一组信息包括以下至少一项:该IPS检测对象的对象信息、检测规则内容和脆弱性信息等。该IPS检测对象的基础描述信息包括以下至少一项:该IPS检测对象的对象信息和检测规则内容。该IPS规则数据中的第二组信息包括对该IPS检测对象做出的处置措施。
可选的,该IPS规则数据还包括该IPS检测对象的基础描述信息与该脆弱性信息之间的关联关系,该IPS检测对象的基础描述信息与该IPS检测对象的处置措施之间的关联关系。
例如,假设存在一项IPS规则数据描述的IPS检测对象是远程登录漏洞。也就是说,该IPS规则数据包括用于描述远程登录漏洞的第一组信息和用于描述远程登录漏洞的第二组信息。第一组信息包括的对象信息为“远程登录漏洞检测规则”,检测规则内容为“从流量中检测利用该远程登录漏洞的规则内容”,脆弱性信息为该远程登录漏洞的漏洞标识“CVE-2019-XX”。第二组信息包括对该远程登录漏洞的处置措施为“对该流量进行告警或阻断”。
为了便于说明,在此使用Content 2表示检测规则内容。即远程登录漏洞的基础描述信息包括该远程登录漏洞的对象信息为“远程登录漏洞检测规则”和检测规则内容为“Content 2”。
可选的,该项IPS规则数据还包括该远程登录漏洞的基础描述信息与该远程登录漏洞的脆弱性信息之间的关联关系“针对”,以及,该远程登录漏洞的基础描述信息与该远程登录漏洞的处置措施之间的关联关系“缓解”。所以该项IPS规则数据能够表示为:
{
第一组信息:<(1),基础描述信息,包括对象信息“远程登录漏洞检测规则”,检测规则内容“Content 2“>,
<(2),脆弱性信息,包括远程登录漏洞的漏洞标识“CVE-2019-XX”>;
第二组信息:<(3),处置措施“对该流量进行告警或阻断”>;
关联关系:
<(1)->(2),针对>;
<(1)->(3),缓解>;
}。
该项IPS规则数据表示的含义为:检测出利用“CVE-2019-XX”对应的远程登录漏洞的流量,对该流量进行的处置措施为对该流量进行告警或阻断。
在该项漏洞管理数据中,该远程登录漏洞的基础描述信息的信息类型为攻击指标。该远程登录漏洞的基础描述信息与该远程登录漏洞的脆弱性信息之间的关联关系是攻击指标与脆弱性信息之间的关联关系“针对”,该远程登录漏洞的基础描述信息与该远程登录漏洞的处置措施之间的关联关系是攻击指标与处置措施之间的关联关系“缓解”。
可选的,样本检测设备204用于对可疑样本进行检测和分析,得到一项或多项样本检测特征。对于每项样本检测特征,该样本检测特征包括用于描述一个可疑样本的第一组信息和用于描述该可疑样本的处置措施的第二组信息。
该样本检测特征中的第一组信息包括以下至少一项:该可疑样本的样本名称、样本描述信息、危害级别、hash、样本静态特征和样本动态行为特征等中。该样本检测特征中的第二组信息包括对该可疑样本的处置措施。
可选的,该样本静态特征是YARA特征等,YARA特征是该可疑样本中的字符串。该危害级别是高危、中危或低危等值。该样本动态行为特征为攻击者的行为或行为序列。该可疑样本的基础描述信息包括以下至少一项:该可疑样本的样本名称、样本描述信息和危害级别等内容。
可选的,该样本检测特征还包括该可疑样本的基础描述信息与该可疑样本的样本静态特征之间的关联关系,该可疑样本的基础描述信息与该可疑样本的hash之间的关联关系,该可疑样本的基础描述信息与该可疑样本的样本动态行为特征之间的关联关系,该可疑样本的基础描述信息与该可疑样本的处置措施之间的关联关系。
例如,假设存在一项样本检测特征中的第一组信息包括的该可疑样本的样本名称“name1”,样本描述信息,危害级别“高危”,hash“2a6fdf9”,样本静态特征和样本动态行为特征。假设该样本静态特征为该可疑样本中的字符串“abcd”,该可疑样本的样本动态行为特征包括“行为1和行为2”,该可疑样本的样本描述信息为“该可疑样本的类型是恶意样本”。第二组信息包括对该可疑样本的处置措施为“通过杀毒软件杀毒”。
为了便于说明,在此使用Description 2表示该样本描述信息。即该可疑样本的基础描述信息包括该可疑样本的样本名称“name 1”,样本描述信息“Description 2”和危害级别“高危”。
可选的,该项样本检测特征还包括该可疑样本的基础描述信息与该可疑样本的样本静态特征之间的关联关系“指征”,该可疑样本的基础描述信息与该可疑样本的样本动态行为特征之间的关联关系“指征”,该可疑样本的基础描述信息与该可疑样本的hash之间的关联关系“指征”,该可疑样本的基础描述信息与该可疑样本的处置措施之间的关联关系“缓解”。所以该样本检测特征能够表示为:
{
第一组信息:<(1),基础描述信息,包括样本名称“name 1”,样本描述信息“Description2”,危害级别“高危”>;
<(2),样本静态特征“abcd”>;
<(3),样本动态行为特征“行为1和行为2”>;
<(4),hash“2a6fdf9”>;
第二组信息:<(5),处置措施“通过杀毒软件杀毒”>;
关联关系:
<(1)-(2),指征>;
<(1)-(3),指征>;
<(1)-(4),指征>;
<(1)-(5),缓解>;
}。
该项样本检测特征表示的含义为:通过检测可疑样本的样本名称是否为name 1,样本描述信息是否为Description 2,样本静态特征是否为“abcd”,可疑样本的样本动态行为特征是否包括“行为1和行为2”,和/或,可疑样本的hash是否为“2a6fdf9”,确定可疑样本的危害级别是否为“高危”,在确定可疑样本的危害级别为高危时,需要通过杀毒软件对该可疑样本进行杀毒。
在该项样本检测特征中,该可疑样本的基础描述信息的信息类型为恶意软件,该可疑样本的样本静态特征和hash的信息类型均为攻击指标,该可疑样本的样本动态行为特征为攻击模式。参见上述表1,该可疑样本的基础描述信息与该可疑样本的样本静态特征之间的关联关系是恶意软件与攻击指标之间的关联关系“指征”,该可疑样本的基础描述信息与该可疑样本的样本动态行为特征之间的关联关系是恶意软件与攻击模式之间的关联关系“指征”,该可疑样本的基础描述信息与该可疑样本的hash之间的关联关系是恶意软件与攻击指标之间的关联关系“指征”,该可疑样本的基础描述信息与该可疑样本的处置措施之间的关联关系是恶意软件与处置措施之间的关联关系“缓解”。
可选的,威胁情报分析设备205用于对网络攻击进行分析,得到一项或多项威胁情报数据。对于每项威胁情报数据,该威胁情报数据包括用于描述一个网络攻击的第一组信息和用于描述该网络攻击的处置措施的第二组信息。
该威胁情报数据中的第一组信息包括以下至少一项:该网络攻击的威胁情报值、标签、危害级别和攻击手法序列等。该网络攻击的基本描述信息包括以下至少一项:该网络攻击的威胁情报值、标签和危害级别。该威胁情报数据中的第二组信息包括对该网络攻击的处置措施。
可选的,该威胁情报数据还包括该网络攻击的基础描述信息与该攻击手法序列之间的关联关系,该网络攻击的基础描述信息与该处置措施之间的关联关系。
可选的,该网络攻击的威胁情报值是发起该网络攻击的IP、标签、域名或URL等。该网络攻击的标签用于描述该威胁情报值,例如标签是“该IP是暴力破解,该标签是木马,该域名是远程控制,该URL是钓鱼网站”等。该网络攻击的攻击手法序列是该网络攻击的攻击模式,该攻击模式包括攻击者执行的攻击步骤。该网络攻击的危害级别包括高危、中危或低危等级别。
例如,假设存在一项威胁情报数据中的第一组信息包括的威胁情报值是发起该网络攻击的IP1,标签是“IP 1是暴力破解”,攻击手法序列是该网络攻击的攻击模式1,危害级别是高危。即该网络攻击的基础描述信息包括该网络攻击的IP 1,标签“IP 1是暴力破解”和危害级别“高危”。该威胁情报数据中的第二组信息包括处置措施是拦截IP。
可选的,该项威胁情报数据还包括该网络攻击的基础描述信息与该网络攻击的攻击手法序列之间的关联关系“指征”,该网络攻击的基础描述信息与该网络攻击的处置措施之间的关联关系“缓解”。所以该项威胁情报数据能够表示为:
{
第一组信息:<(1),基础描述信息,包括威胁情报值“IP 1”,标签“该IP 1是暴力破解”,危害级别“高危”>;
<(2),攻击手法序列“攻击模式1”>;
第二组信息:<(3),处置措施“拦截IP”>;
关联关系:
<(1)-(2),指征>;
<(1)-(3),缓解>;
}。
该项威胁情报数据表示的含义为:检测发起网络请求的IP是否为暴力破解的IP1,和/或,该网络请求的攻击手法序列是否为攻击模式1,如果该IP是暴力破解的IP 1和/或该攻击手法序列为攻击模式1,则确定该网络请求是网络攻击,该网络攻击的危害级别为高危,对该网络攻击的处置措施是拦截IP1。
在该项威胁情报数据中,该网络攻击的基础描述信息的信息类型为攻击指标,该网络攻击的攻击手法序列的信息类型为攻击模式。参见上述表1,该网络攻击的基础描述信息与该网络攻击的攻击手法序列之间的关联关系是攻击指标与攻击模式之间的关联关系“指征”,该网络攻击的基础描述信息与该网络攻击的处置措施之间的关联关系是攻击指标与处置措施之间的关联关系“缓解”。
可选的,网络攻击事件管理设备206用于收集一项或多项网络攻击事件响应处置数据,基于该网络攻击事件响应处置数据,对网络攻击事件的分析过程和响应处置方法进行管理。对于每项网络攻击事件响应处置数据。该网络攻击事件响应处置数据包括用于描述该网络攻击的第一组信息和用于描述该网络攻击的处置措施的第二组信息。
该网络攻击事件响应处置数据中的第一组信息包括以下至少一项:该网络攻击的威胁情报值、标签、危害级别、攻击手法序列和攻击者信息等。该网络攻击的基本描述信息包括以下至少一项:该网络攻击的威胁情报值、标签和危害级别。该网络攻击事件响应处置数据中的第二组信息包括对该网络攻击的处置措施。
可选的,该网络攻击事件响应处置数据还包括该网络攻击的基础描述信息与该攻击手法序列之间的关联关系,该网络攻击的基础描述信息与该攻击者信息之间的关联关系,该网络攻击的基础描述信息与该处置措施之间的关联关系。
例如,假设存在一项网络攻击事件响应处置数据中的第一组信息包括的威胁情报值是发起该网络攻击的IP 1,标签是“IP 1是暴力破解”,攻击手法序列是该网络攻击的攻击模式1,危害级别是高危,攻击者信息包括攻击者属于的黑客组织。该网络攻击事件响应处置数据中的第二组信息包括的处置措施是“拦截IP”。
可选的,该项网络攻击事件响应处置数据还包括该网络攻击的基础描述信息与该网络攻击的攻击手法序列之间的关联关系“指征”,该网络攻击的基础描述信息与该网络攻击的攻击者信息之间的关联关系“指征”,该网络攻击的基础描述信息与该网络攻击的处置措施之间的关联关系“缓解”。所以该项网络安全事件响应处置数据能够表示为:
{
第一组信息:<(1),基础描述信息,包括威胁情报值“IP 1”,标签“该IP 1是暴力破解”,危害级别“高危”>;
<(2),攻击手法序列“攻击模式1”>;
<(3),攻击者信息“黑客组织”>;
第二组信息:<(4),处置措施“拦截IP”>;
关联关系:
<(1)-(2),指征>;
<(1)-(3),指征>;
<(1)-(4),缓解>;
}。
该项网络攻击事件响应处置数据表示的含义为:检测发起网络请求的IP是否为暴力破解的IP 1,该网络请求的攻击手法序列是否为攻击模式1,和/或,该网络攻击的攻击者是否为该黑客组织,如果该IP是暴力破解的IP 1、该攻击手法序列为攻击模式1和/或该攻击者属于该黑客组织,则确定该网络请求是网络攻击,以及确定该网络攻击的危害级别为高危,对该网络攻击的处置措施是拦截IP1。
在该项网络攻击事件响应处置数据中,该网络攻击的基础描述信息的信息类型为攻击指标,该网络攻击的攻击手法序列的信息类型为攻击模式,该网络攻击的攻击者信息的信息类型为入侵集合。参见上述表1,该网络攻击的基础描述信息与该网络攻击的攻击手法序列之间的关联关系是攻击指标与攻击模式之间的关联关系“指征”,该网络攻击的基础描述信息与该网络攻击的攻击者信息之间的关联关系是攻击指标与入侵集合之间的关联关系“指征”,该网络攻击的基础描述信息与该网络攻击的处置措施之间的关联关系是攻击指标与处置措施之间的关联关系“缓解”。
可选的,沙箱设备207用于通过模拟可执行环境对样本进行分析,得到一项或多项沙箱分析数据。对于每项沙箱分析数据,该沙箱分析数据是对一个样本进行分析得到的,该沙箱分析数据包括用于描述该样本的第一组信息和用于描述该样本的处置措施的第二组信息。
该沙箱分析数据中的第一组信息包括以下至少一项:该样本的样本名称、标签、危害级别、hash、样本攻击手法序列和样本特征等。该样本的基础描述信息包括以下至少一项:该样本的样本名称、标签和危害级别。可选的,样本攻击手法序列包括该样本的攻击模式,该样本特征是该样本中的字符串。该沙箱分析数据中的第二组信息包括对该样本的处置措施。
可选的,该沙箱分析数据还包括该样本的基础描述信息与该hash之间的关联关系,该样本的基础描述信息与该样本特征之间的关联关系,该样本的基础描述信息与该样本攻击手法序列之间的关联关系,该样本的基础描述信息与该处置措施之间的关联关系。
例如,假设存在一项沙箱分析数据,该沙箱分析数据中的第一组信息包括样本的样本名称为“name 1”,标签为“木马”,危害级别为“中危”,hash为“2a6fdf9”,样本攻击手法序列是该样本的攻击模式2和样本特征是该样本中的字符串“efgh”。该沙箱分析数据中的第二组信息包括对该样本的处置措施是“隔离样本”。该样本的基础描述信息包括样本的样本名称“name 1”,标签“木马”和危害级别“中危”。
可选的,该沙箱分析数据还包括该样本的基础描述信息与该样本的hash之间的关联关系“指征”,该样本的基础描述信息与该样本的样本攻击手法序列之间的关联关系“指征”,该样本的基础描述信息与该样本的样本特征的关联关系“指征”,该样本的基础描述信息与该样本的处置措施是之间的关联关系“缓解”。所以该沙箱分析数据能够表示为:
{
第一组信息:<(1),基础描述信息,包括样本名称“name 2”,标签“木马”,危害级别“中危”>;
<(2),hash“2a6fdf9”>;
<(3),样本特征“efgh”>;
<(4),样本攻击手法序列“攻击模式2”>;
第二组信息:<(5),处置措施“隔离样本”>。
关联关系:
<(1)-(2),指征>;
<(1)-(3),指征>;
<(1)-(4),指征>;
<(1)-(5),缓解>;
}
该项沙箱分析数据表示的含义为:对某样本进行分析检测后,获取到该样本的动态行为、样本攻击手法序列、样本特征和/或标签,在该样本的动态行为是行为3,该攻击手法序列是攻击模式2,该样本特征是“efgh”和/或该标签为木马,确定该样本是恶意样本,以及该恶意样本的危害级别为中危,对该恶意样本的处置措施是隔离该恶意样本。
在该项沙箱分析数据中,该样本的基础描述信息的信息类型为恶意软件,该样本的hash和该样本的样本特征的信息类型均为攻击指标,该样本的攻击手法序列的信息类型为攻击模式。参见上述表1,该样本的基础描述信息与该样本的hash之间的关联关系是恶意软件与攻击指标之间的关联关系“指征”,该样本的基础描述信息与该样本的样本特征之间的关联关系是恶意软件与攻击指标之间的关联关系“指征”,该样本的基础描述信息与该样本的样本攻击手法序列之间的关联关系是恶意软件与攻击模式之间的关联关系“指征”,该网络攻击的基础描述信息与该样本的处置措施之间的关联关系是攻击指标与处置措施之间的关联关系“缓解”。
对于上述图3所示的方法300,接下来本申请实施例结合图4所示的网络架构10,对所述方法300中的各步骤进行说明。详细说明如下:
对于所述方法300中的步骤301,在步骤301中,获取的网络安全数据中的第一组信息至少包括该网络安全事件的基础描述信息。
可选的,第一组信息还包括其他用于描述该网络安全事件的描述信息。
该网络安全数据中的第二组信息包括该网络安全事件的处置措施。
在步骤301中,获取至少一种类型的网络安全数据,每种类型的网络安全数据包括至少一项网络安全数据。
可选的,参见图4,通常不同类型的网络安全数据位于不同的设备上。例如,网络安全数据通常分为如下七类,该七类的网络安全数据分别为漏洞管理数据、日志规则特征数据、IPS规则数据、样本检测特征、威胁情报数据、网络攻击事件响应处置数据或沙箱分析数据。
该七类网络安全数据通常由不同设备产生。例如图4所示网络架构10包括的漏洞管理设备产生漏洞管理数据、日志分析设备产生日志规则特征数据、IPS规则管理设备产生IPS规则数据、样本检测设备产生样本检测特征、威胁情报分析设备产生威胁情报数据、网络攻击事件管理设备产生网络攻击事件响应处置数据和沙箱设备产生沙箱分析数据。
可选的,在步骤301中,获取网络安全数据的操作为:接收漏洞管理设备发送的至少一项漏洞管理数据,日志分析设备发送的至少一项日志规则特征数据,IPS规则管理设备发送的至少一项IPS规则数据,样本检测设备发送的至少一项样本检测特征,威胁情报分析设备发送的至少一项威胁情报数据,网络攻击事件管理设备发送的至少一项网络攻击事件响应处置数据和/或沙箱设备发送的至少一项沙箱分析数据。
例如,在步骤301中,获取的网络安全数据以图4中的样本检测设备发送的样本检测特征和沙箱设备发送的沙箱分析数据为例。即假设接收样本检测设备发送的一项样本检测特征以及接收沙箱设备发送的一项沙箱分析数据。
接收的该项样本检测特征如下所示:
{
第一组信息:<(1),基础描述信息,包括样本名称“name1”,样本描述信息“Description2”,危害级别“高危”>;
<(2),样本静态特征“abcd”>;
<(3),样本动态行为特征“行为1和行为2”>;
<(4),hash“2a6fdf9”>;
第二组信息:<(5),处置措施“通过杀毒软件杀毒”>;
关联关系:
<(1)-(2),指征>;
<(1)-(3),指征>;
<(1)-(4),指征>;
<(1)-(5),缓解>;
}。
接收的该项沙箱分析数据如下所示:
{
第一组信息:<(1),基础描述信息,包括样本名称“name2”,标签“木马”,危害级别“中危”>;
<(2),hash“2a6fdf9”>;
<(3),样本特征“efgh”>;
<(4),样本攻击手法序列“攻击模式2”>;
第二组信息:<(5),处置措施“隔离样本”>。
关联关系:
<(1)-(2),指征>;
<(1)-(3),指征>;
<(1)-(4),指征>;
<(1)-(5),缓解>;
}
可选的,获取网络安全数据的方式除了通过接收至少一个设备发送的网络安全数据外,还可采用其他方式。例如,技术人员能够向第一系统输入至少一种类型的网络安全数据,每种类型的网络安全数据包括一项或多项网络安全数据。因此,在步骤401中,接收技术人员输入的网络安全数据。
对于所述方法300中的步骤302,在步骤302中,由于第一组信息至少包括网络安全事件的基础描述信息,所以第一组节点包括用于保存该基础描述信息的节点。
可选的,由于第一组信息还包括除该基础描述信息之外的其他描述信息。所以第一组节点还包括至少一个其他节点,该至少一个其他节点中的每个节点用于保存第一组信息中除该基础描述信息之外的其他描述信息。
由于第二组信息包括该网络安全事件的处置措施,所以第二组节点包括用于保存该网络安全事件的处置措施的节点。
可选的,参见图5,在附图3步骤302中对于获取的任一项网络安全数据,具体通过如下3021至3023的操作在知识图谱中构建该网络安全数据中的每项信息对应的节点。
3021,在知识图谱中获取至少一个节点,该获取的每个节点保存的信息是该网络安全数据包括的部分信息。
可选的,如果知识图谱是一个空白的图谱,表明首次构建知识图谱,则直接创建多个节点,该多个节点中的每个节点保存的信息是该网络安全数据包括的信息,该网络安全数据对应的节点集合包括该创建的多个节点,然后执行操作3023。
例如,接下来列举第一示例进行说明,在第一示例中假设知识图谱是一个空白的图谱,以及网络安全数据是上述接收的样本检测特征,该样本检测特征包括五项信息。该五项信息分别为可疑样本的基础描述信息(包括样本名称“name 1”,样本描述信息“Description 2”,危害级别“高危”),样本静态特征“abcd”,样本动态行为特征“行为1和行为2”,hash“2a6fdf9”,以及处置措施“通过杀毒软件杀毒”。
参见图6,创建五个节点,分别为节点1、节点2、节点3、节点4和节点5。节点1用于保存该可疑样本的基础描述信息,即保存样本名称“name 1”,样本描述信息“Description2”,危害级别“高危”;节点2用于保存该可疑样本的样本静态特征,即保存“abcd”;节点3用于保存该可疑样本的样本动态行为特征,即保存“行为1和行为2”;节点4用于保存该可疑样本的hash,即保存“2a6fdf9”;以及节点5用于保存该可疑样本的处置措施,即保存“通过杀毒软件杀毒”。该样本检测特征对应的节点集合包括节点1、节点2、节点3、节点4和节点5。
可选的,如果知识图谱不是空白的图谱,则对于该网络安全数据中的任一项信息,查询该知识图谱中是否有保存该信息的节点,如果有保存该信息的节点,则获取保存该信息的节点。
例如,接下来列举第二示例进行说明,在第二示例中假设知识图谱是如图6所示的图谱,以及网络安全数据是上述接收的沙箱分析数据,该沙箱分析数据包括五项信息。该五项信息分别为样本的基础描述信息(包括样本名称“name 2”,标签“木马”,危害级别“中危”),hash“2a6fdf9”,样本特征“efgh”,样本攻击手法序列“攻击模式2”,以及处置措施“隔离样本”。
对于该样本的基础描述信息(包括样本名称“name2”,标签“木马”,危害级别“中危”),查询图6所示的知识图谱中没有保存该样本的基础描述信息的节点。对于该样本的hash“2a6fdf9”,查询图6所示的知识图谱中有保存“2a6fdf9”的节点4,获取节点4。对于该样本的样本特征“efgh”,查询图6所示的知识图谱中没有保存“efgh”的节点。对于该样本的样本攻击手法序列“攻击模式2”,查询图6所示的知识图谱中没有保存“攻击模式2”的节点。对于该样本的处置措施“隔离样本”,查询图6所示的知识图谱中没有保存“隔离样本”的节点。所以为该项沙箱分析数据获取的节点包括节点4。
3022,创建至少一个节点,该创建的每个节点保存的信息是该网络安全数据中除该获取的每个节点保存的信息之外的其他信息,如此得到该网络安全数据对应的节点集合,该节点集合包括该获取的每个节点和该创建的每个节点。
其中,上述获取的节点和创建的节点均为用于保存该网络安全数据中的信息的节点。
例如,在上述第二示例中,获取的节点4保存的信息为hash“2a6fdf9”,沙箱分析数据还包括除该项信息之外其他四项信息,该其他四项信息分别为样本的基础描述信息(包括样本名称“name 2”,标签“木马”,危害级别“中危”),hash“2a6fdf9”,样本特征“efgh”,样本攻击手法序列“攻击模式2”,以及处置措施“隔离样本”。因此参见图7,创建四个节点,该四个节点分别为节点6、节点7、节点8和节点9。节点6用于保存该沙箱分析数据中的该样本的基础描述信息,即保存样本名称“name 2”,标签“木马”,危害级别“中危”;节点7用于保存该样本的样本特征,即保存“efgh”;节点8用于保存该样本的样本攻击手法序列,即保存“攻击模式2”;节点9用于保存该样本的处置措施,即保存“隔离样本”。也就是说,用于保存该沙箱分析数据中的信息的节点包括节点6、节点7、节点8、节点9和节点4,即该沙箱分析数据对应的节点集合包括节点6、节点7、节点8、节点9和节点4。
3023,获取该网络安全数据中的基础描述信息和第一信息之间的关联关系,第一信息是该网络安全数据中除该基础描述信息之外的其他信息。
在3023中,通过如下方式一和方式二来获取该基础描述信息和第一信息之间的关联关系。
方式一,该网络安全数据还包括该基础描述信息与第一信息之间的关联关系,所以从该网络安全数据中获取该基础描述信息与第一信息之间的关联关系。
例如,在上述第一示例中,样本检测特征包括五项信息,分别为该可疑样本的基础描述信息、hash、样本动态行为特征、样本静态特征和处置措施,该样本检测特征还包括该基础描述信息分别与另外四项信息之间的关联关系。从样本检测特征中获取该基础描述信息与该样本静态特征之间的关联关系是“指征”,该基础描述信息与该样本动态行为特征之间的关联关系是“指征”,该基础描述信息与该hash之间的关联关系是“指征”,该基础描述信息与该处置措施之间的关联关系是“缓解”。
再例如,在上述第二示例中,沙箱分析数据包括五项信息,分别为该样本的基础描述信息、hash、样本攻击手法序列、样本特征和处置措施,该沙箱分析数据还包括该基础描述信息分别与另外四项信息之间的关联关系。从沙箱分析数据中获取该基础描述信息与该hash之间的关联关系是“指征”,该基础描述信息与该样本攻击手法序列之间的关联关系是“指征”,该基础描述信息与该样本特征之间的关联关系是“指征”,该基础描述信息与该处置措施之间的关联关系是“缓解”。
方式二、基于该网络安全数据中的基础描述信息的信息类型、第一信息的信息类型和第一对应表,获取该基础描述信息与第一信息之间的关联关系。
在方式二中,从该网络安全数据中获取基础描述信息,以及除该基础描述信息之外的一项其他信息作为第一信息,获取该基础描述信息的信息类型和第一信息的信息类型。基于该基础描述信息的信息类型和第一信息的信息类型,从第一对应表查询出对应的关联关系。如果查询出一个关联关系,将该关联关系作为该基础描述信息与第一信息之间的关联关系。如果查询出多个关联关系,从该多个关联关系中选择关联关系作为该基础描述信息与第一信息之间的关联关系。
可选的,从该多个关联关系中随机选择一个关联关系作为该基础描述信息与第一信息之间的关联关系,或者,选择该多个关联关系作为该基础描述信息与第一信息之间的关联关系。
例如,在上述第一示例中,从该样本检测特征中获取可疑样本的基础描述信息和该可疑样本的样本静态特征“abcd”。获取该基础描述信息的信息类型为“恶意软件”和该样本静态特征的信息类型为“攻击指标”。基于该基础描述信息的信息类型“恶意软件”和该样本静态特征的信息类型“攻击指标”,从上述表1所示的第一对应表获取对应的关联关系为“指征”,将该关联关系“指征”作为该可疑样本的基础描述信息和该可疑样本的样本静态特征之间的关联关系。
再例如,从该样本检测特征中获取该可疑样本的样本动态行为特征“行为1和行为2”。获取该样本动态行为特征的信息类型为“攻击模式”。基于该基础描述信息的信息类型“恶意软件”和该样本动态行为特征的信息类型“攻击模式”,从上述表1所示的第一对应表获取对应的关联关系为“指征”,将该关联关系“指征”作为该可疑样本的基础描述信息和该可疑样本的样本动态行为特征之间的关联关系。
该样本检测特征还包括该可疑样本的hash和处置措施,按上述方式获取该可疑样本的基础描述信息与该可疑样本的hash之间的关联关系为“指征”,该可疑样本的基础描述信息与该可疑样本的处置措施之间的关联关系为“缓解”。以及,在上述第二示例中,按上述相同方式获取沙箱分析数据中的样本的基础描述信息与该沙箱分析数据中的其他每项信息之间的关联关系。
3024:设置第四节点与第五节点之间的关联关系为该基础描述信息与第一信息之间的关联关系,第四节点是该网络安全数据对应的节点集合中保存该基础描述信息的节点,第五节点是该网络安全数据对应的节点集合中保存第一信息的节点。
例如,参见图6,在上述第一示例中,用于保存样本检测特征中的信息的节点包括节点1、节点2、节点3、节点4和节点5。节点1用于保存可疑样本的基础描述信息,节点2用于保存该可疑样本的样本静态特征“abcd”,该可疑样本的基础描述信息与该可疑样本的样本静态特征之间的关联关系“指征”,所以设置节点1与节点2之间的关联关系为“指征”。节点3用于保存该可疑样本的样本动态行为特征“行为1和行为2”,该可疑样本的基础描述信息与该可疑样本的样本动态行为特征之间的关联关系“指征”,所以设置节点1与节点3之间的关联关系为“指征”。节点4用于保存该可疑样本的hash“2a6fdf9”,该可疑样本的基础描述信息与该可疑样本的hash之间的关联关系“指征”,所以设置节点1与节点4之间的关联关系为“指征”。节点5用于保存该可疑样本的处置措施“通过杀毒软件杀毒”,该可疑样本的基础描述信息与该可疑样本的处置措施之间的关联关系“缓解”,所以设置节点1与节点4之间的关联关系为“缓解”。
再例如,参见图7,在上述第二示例中,用于保存沙箱分析数据中的信息的节点包括节点6、节点7、节点8、节点9和节点4。节点6用于保存样本的基础描述信息,节点7用于保存该样本的样本特征“efgh”,该样本的基础描述信息与该样本的样本特征之间的关联关系“指征”,所以设置节点6与节点7之间的关联关系为“指征”。节点8用于保存该样本的样本攻击手法序列“攻击模式2”,该样本的基础描述信息与该样本的样本攻击手法序列之间的关联关系“指征”,所以设置节点6与节点8之间的关联关系为“指征”。节点4用于保存该样本的hash“2a6fdf9”,该样本的基础描述信息与该样本的hash之间的关联关系“指征”,所以设置节点6与节点4之间的关联关系为“指征”。节点9用于保存该样本的处置措施“隔离样本”,该样本的基础描述信息与该样本的处置措施之间的关联关系“缓解”,所以设置节点6与节点9之间的关联关系为“缓解”。
图7所示的知识图谱是基于一项样本检测特征和一项沙箱分析数据建立的。在实际应用时,还会获取到其他网络安全数据,基于其他网络安全数据不断地完善和丰富该知识图谱。例如,假设图7所示知识图谱中的节点2中保存的信息是某项其他网络安全数据的基础描述信息,节点3中保存的信息是该其他网络安全数据除该基础描述信息之外的其他信息,基于该其他网络安全数据,在节点2与节点3之间设置关联关系。或者,该其他网络安全数据包括没有保存在该知识图谱中的信息,则创建保存该信息的新节点,并在该新节点与保存该基础描述信息的节点之间设置关联关系。
对于所述方法300中的步骤303,在步骤303中,获取的Playbook包括网络安全事件的触发条件和在该触发条件下的至少一个处置流程,触发条件是第一节点中保存的信息,第一节点保存的信息类型为指定类型,第一节点属于第一组节点,每个处置流程是基于与第一节点存在关联关系的至少一个第二节点确定的,至少一个第二节点属于第二组节点。
可选的,指定类型包括以下至少一项:可观察信息、攻击指标、脆弱性信息和攻击模式等。
可选的,该至少一个处置流程包括至少一个处置条件和每个处置条件下的处置措施。针对该至少一个处置条件中的每个处置条件,该处置条件是与第一节点之间存在指定关联关系的第三节点中保存的信息,第三节点属于第一组节点,该处置条件下的处置措施是基于与第三节点之间存在关联关系的至少一个第二节点中保存的信息得到的。
可选的,指定关联关系包括以下至少一项:针对、使用、攻陷、传递、调查、缓解、指征、控制、下载和利用等。
可选的,在应用于图2所示的网络架构中,服务器构建并保存知识图谱,对于每个客户端设备,该客户端设备基于服务器中的知识图谱,按需获取Playbook。
例如,客户端设备依据其所在的场景需求,基于该知识图谱获取Playbook。假设客户端设备所在场景需要阻断类型的处置措施,这样客户端设备基于该知识图谱获取的Playbook中包括的处置措施均为阻断类型的处置措施。
可选的,参见图8,在步骤303,通过如下3031至3034的操作获取Playbook。
3031,在知识图谱中识别第一节点,并将第一节点保存的信息确定为触发条件。
在3031中,在知识图谱中识别存储有指定类型的信息的每个节点,识别的每个节点即为第一节点。对于任一个第一节点,将该第一节点保存的信息作为触发条件。
例如,指定类型包括攻击指标,在图7所示的知识图谱中识别存储有攻击指标的信息的节点,假设识别出节点2,将节点2中保存的样本静态特征“abcd”作为触发条件。
3032,将与第一节点之间存在指定关联关系的第三节点保存的信息确定为处置条件,如此得到该触发件下的各处置条件。
在3032中,在知识图谱中,查询与该第一节点之间存在指定关联关系的各节点,从查询出的各节点中,将属于第一组节点中的节点确定为第三节点,将每个第三节点中保存的信息作为该触发条件对应的处置流程中的处置条件。
可选的,对于查询的每个节点,该节点与第一节点直接相连,或者,该节点与第一节点间接相连。在该节点与第一节点间接相连的情况下,该节点与第一节点之间间隔的节点数目不超过指定数目,第一节点到该节点经过的每个关联关系均为指定类型的关联关系,将该节点保存的信息和第一节点与该节点之间的节点保存的信息作为处置条件。
例如,指定关联关系包括指征,触发条件为节点2中保存的样本静态特征“abcd”,在图7所示的知识图谱中,查询与节点2之间存在“指征”关联关系的节点1,将节点1中保存的样本名称“name 1”,样本描述信息“Description 2”和危害级别“高危”作为处置条件。
可选的,再例如,假设指定数目为3,在图7所示的知识图谱中,还查询与节点2存在指定关联关系的节点1、节点4和节点6,将节点1保存的信息、节点4保存的信息以及节点6保存的信息作为处置条件。
3033,获取与该第三节点之间存在关联关系的至少一个第二节点。
该至少一个第二节点属于第二组节点,即每个第二节点用于保存处置措施。
在3033中,对于每个第三节点,在知识图谱中查询与该第三节点之间存在关联关系的各节点,从查询的各节点中,将属于第二组节点中的节点确定为第二节点,即得到与该第三节点之间存在关联关系的至少一个第二节点。
例如,节点1中存储的信息为处置条件,在图7所示的知识图谱中查询与节点1存在关联关系的节点包括节点3、节点4和节点5,其中节点5存储的信息为处置措施,属于第二组节点,因此将节点5作为第二节点。
再例如,将节点1保存的信息、节点4保存的信息和节点6保存的信息作为另一个处置条件,在图7所示的知识图谱中查询与节点6存在关联关系的节点包括节点7、节点8和节点9,其中节点9存储的信息为处置措施,属于第二组节点,因此将节点9也作为第二节点。
3034,基于至少一个第二节点保存的信息获取处置措施,如此得到该处置条件下的处置措施。
在获取到一个第二节点的情况下,将该第二节点中保存的处置措施作为该处置条件下的处置措施。
在获取到多个第二节点的情况下,通过如下两种方式获取处置措施。
第一方式,基于该多个第二节点中的每个第二节点保存的信息对应的处置影响程度,选择一个第二节点,将选择的第二节点保存的信息确定为处置措施。
在第一方式中,事先定义不同处置措施对应的处置影响程度,处置措施对应的处置影响程度用于说明执行该处置措施产生的影响。
可选的,基于该每个第二节点保存的信息对应的处置影响程度,从该每个第二节点中选择处置影响程度最高的一个第二节点,或者,选择处置影响程度最低的一个第二节点,或者,选择处置影响程度位于最高处置影响程度和最低处置影响程度之间的一个第二节点;将选择的第二节点保存的信息确定为该处置条件下的处置措施。
第二方式,基于该多个第二节点中的每个第二节点保存的信息对应的处置影响程度和权重,计算总处置影响程度,获取总处置影响程度对应的处置措施。
可选的,对于上述列举的客户端设备所在场景需要阻断类型的处置措施,在执行操作3034客户端设备从该至少一个第二节点中获取保存的处置措施是阻断类型的第二节点,基于获取的第二节点,按上述第一方式或第二方式获取处置措施,如此客户端设备实现按需获取Playbook。
例如,结合附图7,在3033中获取的第二节点包括节点5,则将节点5保存的信息作为处置措施,即该处置措施为“通过杀毒软件杀毒”。如此得到一条Playbook,该Playbook包括的触发条件为样本静态特征“abcd”,处置条件包括样本名称“name 1”,样本描述信息“Description 2”和危害级别“高危”,处置措施为“通过杀毒软件杀毒”。再例如,在3033中获取的第二节点还包括节点9,则将节点9保存的信息作为处置措施,即该处置措施为“隔离样本”。如此得到另一条Playbook,该Playbook包括的触发条件为样本静态特征“abcd”,处置条件包括样本名称“name 1或name 2”,样本描述信息“Description 2”,危害级别“高危或中危”,hash“2a6fdf9”和标签“木马”,处置措施为“隔离样本”。重复执行上述3031至3034的操作,从知识图谱中提取出其他各条Playbook。
在本申请实施例中,由于获取第二系统中的不同设备的网络安全数据,该网络安全数据包括第一组信息和第二组信息,第一组信息用于描述网络安全事件,第二组信息包括该网络安全事件的处置措施。其中第一组信息包括该网络安全事件的基础描述信息,获取该基础描述信息与第一信息之间的关联关系,第一信息为该网络安全事件除该基础描述信息之外的信息。获取包括该基础描述信息的节点和包括该第一信息的节点,设置两个节点之间关联关系为该基础描述信息与第一信息之间的关联关系,对获取的每项网络安全数据执行上述操作,从而得到知识图谱。根据该知识图谱确定Playbook,该Playbook包括网络安全事件的触发条件和在触发条件下的至少一个处置流程,触发条件是第一节点中保存的信息,第一节点是知识图谱中保存指定类型的信息的节点,每个处置流程是基于与第一节点存在关联关系的至少一个第二节点确定的,如此能够自动构建Playbook,提高构建Playbook的效率和及时性。
参见图9,本申请实施例提供了一种获取编排剧本信息的装置900,所述装置900部署在上述任意实施例提供的第一系统中,具体部署在第一系统包括的服务器或客户端设备上。例如部署在上述图1、图2或图3所示实施例提供的第一系统包括的服务器和/或客户端设备上,装置900包括获取单元901和处理单元902。
获取单元901,用于获取网络安全数据,该网络安全数据包括至少两组信息,其中,该至少两组信息中的第一组信息用于描述网络安全事件,该至少两组信息中的第二组信息用于描述该网络安全事件的处置措施;
处理单元902,用于根据该网络安全数据构建知识图谱,该知识图谱包括至少两组节点,其中,该至少两组节点中的第一组节点中的每个节点用于保存第一组信息中的一项信息,该至少两组节点中的第二组节点中的每个节点用于保存第二组信息中的一项信息,该知识图谱还包括节点之间的关联关系,且该知识图谱中两个节点之间的关联关系是基于两个节点保存的信息确定的;
处理单元902,还用于根据指定类型和该知识图谱确定编排剧本信息Playbook,该Playbook包括该网络安全事件的触发条件和在该触发条件下的至少一个处置流程,该触发条件是第一节点中保存的信息,第一节点保存的信息类型为指定类型,第一节点属于第一组节点,每个处置流程是基于与第一节点存在关联关系的至少一个第二节点确定的,该至少一个第二节点属于第二组节点。
可选的,处理单元902构建知识图谱的详细实现过程,参见上述图5所示的实施例中的相关内容,在此不再详细说明。
可选的,处理单元902确定Playbook的详细实现过程,参见上述图8所示的实施例中的相关内容,在此不再详细说明。
可选的,该至少一个处置流程中的每个处置流程包括至少一个处置条件和每个处置条件下的处置措施,该至少一个处置条件包括第一处置条件;
第一处置条件是与第一节点之间存在指定关联关系的第三节点中保存的信息,第三节点属于第一组节点,第一处置条件下的处置措施是基于与第三节点之间存在关联关系的至少一个第二节点中保存的信息得到的。
可选的,第一组信息包括网络安全事件的基础描述信息,处理单元902,用于:
在知识图谱中获取至少一个节点,获取的每个节点保存的信息是网络安全数据包括的信息中的部分信息;
创建至少一个节点,创建的每个节点保存的信息是网络安全数据中除获取的每个节点保存的信息之外的其他信息;
设置第四节点与第五节点之间的关联关系为该基础描述信息与第一信息之间的关联关系,第四节点是节点集合中保存该基础描述信息的节点,节点集合包括获取的每个节点和创建的每个节点,第一信息是网络安全数据中除该基础描述信息之外的其他信息,第五节点是节点集合中保存第一信息的节点。
可选的,处理单元902设置第四节点与第五节点之间的关联关系的详细实现过程,参见上述图5所示的实施例中的操作3023至3024的相关内容,在此不再详细说明。
可选的,该网络安全数据还包括该基础描述信息与第一信息之间的关联关系。
可选的,处理单元902,还用于:
基于该基础描述信息的信息类型和第一信息的信息类型,获取该基础描述信息与第一信息之间的关联关系。
可选的,处理单元902,用于:
基于该基础描述信息的信息类型和第一信息的信息类型,从第一对应表中获取对应的至少一个关联关系,第一对应表中的每条记录包括基础描述信息的信息类型、第一信息的信息类型和关联关系;
从该至少一个关联关系中选择关联关系作为该基础描述信息与第一信息之间的关联关系。
可选的,处理单元902,用于:
在知识图谱中识别第一节点,并将第一节点保存的信息确定为触发条件;
将与第一节点之间存在指定关联关系的第三节点保存的信息确定为第一处置条件;
获取与第三节点之间存在关联关系的至少一个第二节点;
基于该至少一个第二节点保存的信息获取该处置措施。
可选的,处理单元902获取该处置措施的详细实现过程,参见上述图8所示的实施例中的操作3034的相关内容,在此不再详细说明。
可选的,处理单元902,用于:
基于所述至少一个第二节点中的每个第二节点保存的信息对应的处置影响程度,选择一个第二节点,将选择的第二节点保存的信息确定为处置措施;或者,
基于至少一个第二节点中的每个第二节点保存的信息对应的处置影响程度和权重,计算总处置影响程度,获取总处置影响程度对应的处置措施。
可选的,该网络安全数据的类型包括漏洞管理数据、日志规则特征数据、入侵防御系统IPS规则数据、样本检测特征、威胁情报数据、网络安全事件响应处置数据或沙箱分析数据。
可选的,该指定类型包括可观察信息、攻击指标、脆弱性信息和攻击模式中的一个或多个。
在本申请实施例中,处理单元基于获取的网络安全数据生成知识图谱。由于该网络安全数据包括第一组信息和第二组信息,第一组信息用于描述网络安全事件,第二组信息包括该网络安全事件的处置措施,如此处理单元根据网络安全数据构建的知识图谱中包括至少两组节点,第一组节点中的每个节点用于保存第一组信息中的一项信息,第二组节点中的每个节点用于保存第二组信息中的一项信息。知识图谱还包括节点之间的关联关系,知识图谱中两个节点之间的关联关系是基于该两个节点保存的信息确定的。处理单元再根据该知识图谱确定Playbook,该Playbook包括网络安全事件的触发条件和在触发条件下的至少一个处置流程,触发条件是第一节点中保存的信息,第一节点是知识图谱中保存指定类型的信息的节点,每个处置流程是基于与第一节点存在关联关系的至少一个第二节点确定的,从而能够自动构建Playbook,提高构建Playbook的效率和及时性。
参见图10,本申请实施例提供了一种获取编排剧本信息的装置1000,该装置1000可以是上述任一实施例提供的第一系统中的服务器和/或客户端设备,包括:
处理器1001、存储器1002和内部连接1003,处理器1001和存储器1002通过内部连接1003连接,存储器1002中存储有操作系统和程序代码,该至少一个处理器1001从存储器1002中读取操作系统并运行该操作系统。
该装置1000是一种硬件结构的装置,可以用于实现图9所述的装置900中的功能模块。例如,本领域技术人员可以想到图9所示的装置900中的获取单元901和处理单元902可以通过该至少一个处理器1001从该存储器1002中读取程序代码,在该操作系统中通过运行程序代码来来实现。
可选的,该装置1000还包括网络接口1004,网络接口1004通过内部连接1003与处理器1001、存储器1002连接。网络接口1004能够与图1、图2或图4所示实施例中的第二系统200通信。处理器1001能够通过网络接口1004从第二系统200中获取网络安全数据。例如,处理器1001能够通过网络接口1004接收网络安全数据。
可选的,处理器1001能够通过网络接口1004接收第二系统200发送的网络安全数据。例如,处理器1001能够通过网络接口1004接收第二系统200包括的漏洞管理设备201、日志分析设备202、IPS规则管理设备203、样本检测设备204、威胁情报分析设备205、网络攻击事件管理设备206和沙箱设备207等中的一个或多个设备发送的网络安全数据。
可选的,该装置1000还包括输入设备1005,输入设备1005连接到内部连接1003上。处理器1001能够通过输入设备1005接收输入的命令或数据等。例如处理器1001通过输入设备1005接收技术人员输入的执行上述获取编排剧本信息的方法所需要的网络安全数据等。
可选的,该装置1000还包括显示设备1006,显示设备1006能够用于显示处理器1001执行上述获取编排剧本信息的方法产生的中间结果和/或最终结果等。
可选的,上述存储器1002还可能保存如上述表1所示的第一对应表。
可选的,上述处理器1001可能是一个通用中央处理器(central processingunit,CPU),网络处理器(network processor,NP),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
上述内部连接1004包括一通路,在上述组件之间传送信息。可选的,内部连接1004可能是单板或总线等。
上述存储器1002可能是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可能是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可能是独立存在,通过总线与处理器相连接。存储器也可能和处理器集成在一起。
在具体实现中,作为一种实施例,处理器1001可能包括一个或多个CPU,例如图10中的CPU0和CPU1。
在具体实现中,作为一种实施例,该主机1000可能包括多个处理器,例如图10中的处理器1001和处理器1007。这些处理器中的每一个可能是一个单核(single-CPU)处理器,也可能是一个多核(multi-CPU)处理器。这里的处理器可能指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在上述实施例中,获取编排剧本信息的方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现,例如该计算机产品是一种获取编排剧本信息的软件,用以安装于附图2或附图4所示的服务器101和客户端设备102中。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生在本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程设备。所述计算机指令可以存储在计算机可读存储介质中,上述提到的存储介质可能是只读存储器,磁盘或光盘等。所述计算机指令可以或者从一个计算机可读存储介质向另一个计算机可读存储介质传输例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (22)

1.一种获取编排剧本信息的方法,其特征在于,所述方法包括:
获取网络安全数据,所述网络安全数据包括至少两组信息,其中,所述至少两组信息中的第一组信息用于描述网络安全事件,所述至少两组信息中的第二组信息用于描述所述网络安全事件的处置措施;
根据所述网络安全数据构建知识图谱,所述知识图谱包括至少两组节点,其中,所述至少两组节点中的第一组节点中的每个节点用于保存所述第一组信息中的一项信息,所述至少两组节点中的第二组节点中的每个节点用于保存所述第二组信息中的一项信息,所述知识图谱还包括节点之间的关联关系,且所述知识图谱中两个节点之间的关联关系是基于所述两个节点保存的信息确定的;
根据指定类型和所述知识图谱确定编排剧本信息Playbook,所述Playbook包括所述网络安全事件的触发条件和在所述触发条件下的至少一个处置流程,所述触发条件是第一节点中保存的信息,所述第一节点保存的信息类型为所述指定类型,所述第一节点属于所述第一组节点,每个处置流程是基于与所述第一节点存在关联关系的至少一个第二节点确定的,所述至少一个第二节点属于所述第二组节点。
2.如权利要求1所述的方法,其特征在于,所述至少一个处置流程中的每个处置流程包括至少一个处置条件和每个处置条件下的处置措施,所述至少一个处置条件包括第一处置条件;
所述第一处置条件是与所述第一节点之间存在指定关联关系的第三节点中保存的信息,所述第三节点属于所述第一组节点,所述第一处置条件下的处置措施是基于与所述第三节点之间存在关联关系的至少一个第二节点中保存的信息得到的。
3.如权利要求1或2所述的方法,其特征在于,所述第一组信息包括所述网络安全事件的基础描述信息,所述根据所述网络安全数据构建知识图谱,包括:
在所述知识图谱中获取至少一个节点,所述获取的每个节点保存的信息是所述网络安全数据包括的信息中的部分信息;
创建至少一个节点,所述创建的每个节点保存的信息是所述网络安全数据中除所述获取的每个节点保存的信息之外的其他信息;
设置第四节点与第五节点之间的关联关系为所述基础描述信息与第一信息之间的关联关系,所述第四节点是节点集合中保存所述基础描述信息的节点,所述节点集合包括所述获取的每个节点和所述创建的每个节点,所述第一信息是所述网络安全数据中除所述基础描述信息之外的其他信息,所述第五节点是所述节点集合中保存所述第一信息的节点。
4.如权利要求3所述的方法,其特征在于,所述网络安全数据还包括所述基础描述信息与所述第一信息之间的关联关系。
5.如权利要求3所述的方法,其特征在于,所述方法还包括:
基于所述基础描述信息的信息类型和所述第一信息的信息类型,获取所述基础描述信息与所述第一信息之间的关联关系。
6.如权利要求5所述的方法,其特征在于,所述获取所述基础描述信息与所述第一信息之间的关联关系,包括:
基于所述基础描述信息的信息类型和所述第一信息的信息类型,从第一对应表中获取对应的至少一个关联关系,所述第一对应表中的每条记录包括基础描述信息的信息类型、第一信息的信息类型和关联关系;
从所述至少一个关联关系中选择关联关系作为所述基础描述信息与所述第一信息之间的关联关系。
7.如权利要求2所述的方法,其特征在于,所述根据所述知识图谱确定编排剧本信息Playbook,包括:
在所述知识图谱中识别所述第一节点,并将所述第一节点保存的信息确定为触发条件;
将与所述第一节点之间存在指定关联关系的第三节点保存的信息确定为所述第一处置条件;
获取与所述第三节点之间存在关联关系的至少一个第二节点;
基于所述至少一个第二节点保存的信息获取所述处置措施。
8.如权利要求7所述的方法,其特征在于,所述基于所述至少一个第二节点保存的信息获取所述处置措施,包括:
基于所述至少一个第二节点中的每个第二节点保存的信息对应的处置影响程度,选择一个第二节点,将所述选择的第二节点保存的信息确定为所述处置措施;或者,
基于所述至少一个第二节点中的每个第二节点保存的信息对应的处置影响程度和权重,计算总处置影响程度,获取所述总处置影响程度对应的处置措施。
9.如权利要求1至8任一项所述的方法,其特征在于,所述网络安全数据的类型包括漏洞管理数据、日志规则特征数据、入侵防御系统IPS规则数据、样本检测特征、威胁情报数据、网络安全事件响应处置数据或沙箱分析数据。
10.如权利要求1至9任一项所述的方法,其特征在于,所述指定类型包括可观察信息、攻击指标、脆弱性信息和攻击模式中的一个或多个。
11.一种获取编排剧本信息的装置,其特征在于,所述装置包括:
获取单元,用于获取网络安全数据,所述网络安全数据包括至少两组信息,其中,所述至少两组信息中的第一组信息用于描述网络安全事件,所述至少两组信息中的第二组信息用于描述所述网络安全事件的处置措施;
处理单元,用于根据所述网络安全数据构建知识图谱,所述知识图谱包括至少两组节点,其中,所述至少两组节点中的第一组节点中的每个节点用于保存所述第一组信息中的一项信息,所述至少两组节点中的第二组节点中的每个节点用于保存所述第二组信息中的一项信息,所述知识图谱还包括节点之间的关联关系,且所述知识图谱中两个节点之间的关联关系是基于所述两个节点保存的信息确定的;
所述处理单元,还用于根据指定类型和所述知识图谱确定编排剧本信息Playbook,所述Playbook包括所述网络安全事件的触发条件和在所述触发条件下的至少一个处置流程,所述触发条件是第一节点中保存的信息,所述第一节点保存的信息类型为所述指定类型,所述第一节点属于所述第一组节点,每个处置流程是基于与所述第一节点存在关联关系的至少一个第二节点确定的,所述至少一个第二节点属于所述第二组节点。
12.如权利要求11所述的装置,其特征在于,所述至少一个处置流程中的每个处置流程包括至少一个处置条件和每个处置条件下的处置措施,所述至少一个处置条件包括第一处置条件;
所述第一处置条件是与所述第一节点之间存在指定关联关系的第三节点中保存的信息,所述第三节点属于所述第一组节点,所述第一处置条件下的处置措施是基于与所述第三节点之间存在关联关系的至少一个第二节点中保存的信息得到的。
13.如权利要求11或12所述的装置,其特征在于,所述第一组信息包括所述网络安全事件的基础描述信息,所述处理单元,用于:
在所述知识图谱中获取至少一个节点,所述获取的每个节点保存的信息是所述网络安全数据包括的信息中的部分信息;
创建至少一个节点,所述创建的每个节点保存的信息是所述网络安全数据中除所述获取的每个节点保存的信息之外的其他信息;
设置第四节点与第五节点之间的关联关系为所述基础描述信息与第一信息之间的关联关系,所述第四节点是节点集合中保存所述基础描述信息的节点,所述节点集合包括所述获取的每个节点和所述创建的每个节点,所述第一信息是所述网络安全数据中除所述基础描述信息之外的其他信息,所述第五节点是所述节点集合中保存所述第一信息的节点。
14.如权利要求13所述的装置,其特征在于,所述网络安全数据还包括所述基础描述信息与所述第一信息之间的关联关系。
15.如权利要求13所述的装置,其特征在于,所述处理单元,还用于:
基于所述基础描述信息的信息类型和所述第一信息的信息类型,获取所述基础描述信息与所述第一信息之间的关联关系。
16.如权利要求15所述的装置,其特征在于,所述处理单元,用于:
基于所述基础描述信息的信息类型和所述第一信息的信息类型,从第一对应表中获取对应的至少一个关联关系,所述第一对应表中的每条记录包括基础描述信息的信息类型、第一信息的信息类型和关联关系;
从所述至少一个关联关系中选择关联关系作为所述基础描述信息与所述第一信息之间的关联关系。
17.如权利要求12所述的装置,其特征在于,所述处理单元,用于:
在所述知识图谱中识别所述第一节点,并将所述第一节点保存的信息确定为触发条件;
将与所述第一节点之间存在指定关联关系的第三节点保存的信息确定为所述第一处置条件;
获取与所述第三节点之间存在关联关系的至少一个第二节点;
基于所述至少一个第二节点保存的信息获取所述处置措施。
18.如权利要求17所述的装置,其特征在于,所述处理单元,用于:
基于所述至少一个第二节点中的每个第二节点保存的信息对应的处置影响程度,选择一个第二节点,将所述选择的第二节点保存的信息确定为所述处置措施;或者,
基于所述至少一个第二节点中的每个第二节点保存的信息对应的处置影响程度和权重,计算总处置影响程度,获取所述总处置影响程度对应的处置措施。
19.如权利要求11至18任一项所述的装置,其特征在于,所述网络安全数据的类型包括漏洞管理数据、日志规则特征数据、入侵防御系统IPS规则数据、样本检测特征、威胁情报数据、网络安全事件响应处置数据或沙箱分析数据。
20.如权利要求11至19任一项所述的装置,其特征在于,所述指定类型包括可观察信息、攻击指标、脆弱性信息和攻击模式中的一个或多个。
21.一种获取编排剧本信息的装置,其特征在于,包括存储器、处理器及存储在所述存储器上的计算机程序,所述处理器执行所述计算机程序时,使得所述装置实现如权利要求1-10任一项所述的方法。
22.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-10任一项所述的方法。
CN202011583093.7A 2020-12-28 2020-12-28 获取编排剧本信息的方法、装置及存储介质 Active CN114697057B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011583093.7A CN114697057B (zh) 2020-12-28 2020-12-28 获取编排剧本信息的方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011583093.7A CN114697057B (zh) 2020-12-28 2020-12-28 获取编排剧本信息的方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN114697057A true CN114697057A (zh) 2022-07-01
CN114697057B CN114697057B (zh) 2023-02-10

Family

ID=82129904

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011583093.7A Active CN114697057B (zh) 2020-12-28 2020-12-28 获取编排剧本信息的方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN114697057B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
CN109347798A (zh) * 2018-09-12 2019-02-15 东软集团股份有限公司 网络安全知识图谱的生成方法、装置、设备及存储介质
US10681071B1 (en) * 2016-08-02 2020-06-09 ThreatConnect, Inc. Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events
CN111353314A (zh) * 2020-02-28 2020-06-30 长沙千博信息技术有限公司 一种用于动漫生成的故事文本语义分析方法
CN111464528A (zh) * 2020-03-30 2020-07-28 绿盟科技集团股份有限公司 网络安全防护方法、系统、计算设备和存储介质
US20200336497A1 (en) * 2019-04-18 2020-10-22 International Business Machines Corporation Detecting sensitive data exposure via logging

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10681071B1 (en) * 2016-08-02 2020-06-09 ThreatConnect, Inc. Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
CN109347798A (zh) * 2018-09-12 2019-02-15 东软集团股份有限公司 网络安全知识图谱的生成方法、装置、设备及存储介质
US20200336497A1 (en) * 2019-04-18 2020-10-22 International Business Machines Corporation Detecting sensitive data exposure via logging
CN111353314A (zh) * 2020-02-28 2020-06-30 长沙千博信息技术有限公司 一种用于动漫生成的故事文本语义分析方法
CN111464528A (zh) * 2020-03-30 2020-07-28 绿盟科技集团股份有限公司 网络安全防护方法、系统、计算设备和存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
邢家鸣等: "SOAR技术在银行业应用浅析", 《中国金融电脑》 *

Also Published As

Publication number Publication date
CN114697057B (zh) 2023-02-10

Similar Documents

Publication Publication Date Title
US10673884B2 (en) Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
US9679136B2 (en) Method and system for discrete stateful behavioral analysis
US11941054B2 (en) Iterative constraint solving in abstract graph matching for cyber incident reasoning
TWI603600B (zh) 利用運行期代理器及網路探查器判定漏洞之技術
US11290484B2 (en) Bot characteristic detection method and apparatus
US8307434B2 (en) Method and system for discrete stateful behavioral analysis
JP4995170B2 (ja) 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム
IL265518B2 (en) Management of security vulnerabilities
CN116451215A (zh) 关联分析方法及相关设备
CN116340943A (zh) 应用程序保护方法、装置、设备、存储介质和程序产品
US9239907B1 (en) Techniques for identifying misleading applications
US20230344861A1 (en) Combination rule mining for malware signature generation
US20240054215A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
CN114697057B (zh) 获取编排剧本信息的方法、装置及存储介质
EP3999985A1 (en) Inline malware detection
CN106911678A (zh) 一种病毒检测方法及装置
JP6296915B2 (ja) 解析装置及び解析方法及びプログラム
CN114650146A (zh) 攻击溯源方法及装置、计算机可存储介质
KR20240021677A (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 컴퓨터 판독 가능한 저장매체

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant