CN114765555A - 一种网络威胁的处理方法和通信装置 - Google Patents

一种网络威胁的处理方法和通信装置 Download PDF

Info

Publication number
CN114765555A
CN114765555A CN202110038967.9A CN202110038967A CN114765555A CN 114765555 A CN114765555 A CN 114765555A CN 202110038967 A CN202110038967 A CN 202110038967A CN 114765555 A CN114765555 A CN 114765555A
Authority
CN
China
Prior art keywords
node device
information
threat
abnormal
abnormal event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110038967.9A
Other languages
English (en)
Inventor
才宇东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202110038967.9A priority Critical patent/CN114765555A/zh
Priority to EP21918919.8A priority patent/EP4262144A4/en
Priority to PCT/CN2021/112269 priority patent/WO2022151726A1/zh
Publication of CN114765555A publication Critical patent/CN114765555A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种网络威胁的处理方法和通信装置,使得网络中的大量节点设备能够分布式地检测异常事件,降低对网络带宽资源、存储资源和处理资源的消耗。该方法,包括:第一节点设备检测到针对第一节点设备的第一异常行为;第一节点设备根据第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成威胁爆发信息,威胁爆发信息包括第二异常事件的属性描述信息和第二异常事件对应的威胁程度信息;第一节点设备根据威胁爆发信息确定针对第二异常事件的处置措施。

Description

一种网络威胁的处理方法和通信装置
技术领域
本申请涉及计算机网络技术领域,尤其涉及一种网络威胁的处理方法和通信装置。
背景技术
网络攻击和网络设备的脆弱性会影响网络的安全性,当前技术主要通过收集网络流量日志和主机日志,并对网络流量日志和主机日志进行分析,进而发现因网络攻击等异常行为产生的异常事件。
当前异常事件检测方案的实现原理是,网络中的网络设备(也被称为“网元”)将基于流经该网元的流量产生的网络流量日志发送给分析服务器,主机将产生的主机日志发送给分析服务器。由分析服务器根据网络流量日志和主机日志进行大数据关联分析,通过对大量的日志进行离线管理分析,从而发现异常事件。
在上述方案中,网元上报网络流量日志和主机上报主机日志会耗费大量网络带宽资源。同时,分析服务器保存大量日志也会消耗大量存储资源,且分析服务器分析处理大量日志也会消耗大量处理资源。
发明内容
本申请实施例提供了一种网络威胁的处理方法和通信装置,使得网络中的大量节点设备能够分布式地检测异常事件,降低对网络带宽资源、存储资源和处理资源的消耗。
为解决上述技术问题,本申请实施例提供以下技术方案:
第一方面,本申请实施例提供一种网络威胁的处理方法,包括:
第一节点设备检测到针对所述第一节点设备的第一异常行为;
所述第一节点设备根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述第一异常事件信息是所述第一节点设备检测到所述第一异常行为之前第二节点设备发送的,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;
所述第一节点设备根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
本申请实施例提供的方法中,第一节点设备和第二节点设备之间进行通信,第一节点设备能够接收到来自第二节点设备的第一异常事件信息。第一节点设备检测第一异常行为,第一节点设备根据检测到的第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成威胁爆发信息,第一节点设备还根据威胁爆发信息确定针对威胁爆发信息中的第二异常事件的处置措施,从而第一节点设备能够进行异常事件的检测,第一节点设备还确定异常事件的处置措施,因此本申请实施例不需要进行日志的上报就能够由网络中的节点设备进行异常事件的检测,降低对网络带宽资源、存储资源和处理资源的消耗,节省了网络流量、存储资源和处理资源。
可选的,所述第一节点设备根据所述第一异常行为以及所述第一异常事件信息确定达到生成威胁爆发信息的条件,包括:
所述第一节点设备获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;
所述第一节点设备根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件。
通过这种可选方式,第一节点设备在检测到第一异常行为时,能够根据第一异常行为和第一事件信息、第一节点设备的网络位置和第一节点设备的业务属性确定进行威胁爆发,并且生成了威胁爆发信息,因此通过网络内的节点设备就能够进行威胁爆发的判断,不需要进行流量的集中上报就能够实现异常行为的检测,降低对网络带宽资源、存储资源和处理资源的消耗,节省了网络流量、存储资源和处理资源。另外,第一节点设备和第二节点设备本身就处于真实网络环境中,因此本申请实施例能够基于真实网络环境进行异常事件的检测,具有实时性强的特点。进一步的,第一节点设备还结合第一节点设备所处的网络位置和第一节点设备对应的业务属性确定达到生成威胁信息的条件,第一节点设备的网络位置和业务属性用于威胁爆发的判断,相比于使用第一异常行为、第一异常事件信息进行威胁爆发的判断,能够实现针对异常事件的更精准的检测。
可选的,所述方法包括:
所述第一节点设备检测到针对所述第一节点设备的第二异常行为;
所述第一节点设备根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,并生成第四异常事件信息,其中,所述第三异常事件信息是所述第一节点设备检测到所述第二异常行为之前第三节点设备发送的,所述第三异常事件信息包括第三异常事件的属性描述信息、所述第三异常事件的攻击阶段和所述第三异常事件的攻击类型,所述第四异常事件是根据所述第三异常事件以及所述第二异常行为关联生成的;
所述第一节点设备向所述第一节点设备所属的网络中发送所述第四异常事件信息。
通过这种可选方式,第一节点设备能够进行异常事件的检测,第一节点设备还在未达到生成威胁爆发信息的条件下,向网络发送异常事件信息,从而实现了异常事件信息的及时扩散,以使得接收该第四异常事件信息的其它节点设备进行威胁爆发的判断,因此本申请实施例不需要进行日志的上报就能够由网络中的节点设备进行异常事件的检测,降低对网络带宽资源、存储资源和处理资源的消耗,节省了网络流量、存储资源和处理资源。
可选的,所述第一节点设备根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括:
所述第一节点设备获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;
所述第一节点设备根据所述第二异常行为、所述第三异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定未达到生成威胁信息的条件。
可选的,所述第一异常事件信息是所述第二节点设备根据扩散协议发送的。
可选的,所述第一节点设备根据所述第一异常行为以及所述第一异常事件信息确定达到生成威胁爆发信息的条件,包括:
所述第一节点设备根据所述第一异常行为和所述第一异常事件信息确定所述第一异常行为的攻击阶段和所述第一异常行为的攻击类型;
所述第一节点设备根据所述第一异常行为的攻击阶段确定所述第一异常行为的第一攻击阶段权重值,所述第一攻击阶段权重值用于指示所述第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一异常行为的攻击类型确定所述第一异常行为的第一攻击类型权重值,所述第一攻击类型权重值用于指示所述第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一攻击阶段权重值和所述第一攻击类型权重值获取所述第一节点设备的第一威胁爆发参数值;
当所述第一威胁爆发参数值大于预设的第一爆发阈值时,所述第一节点设备确定达到生成威胁爆发信息的条件。
通过这种可选方式,获取到第一威胁爆发参数值之后,第一节点设备将第一威胁爆发参数值与第一爆发阈值进行比较,根据比较结果确定生成威胁爆发信息的条件。例如,如果威胁爆发参数值越大表示存在威胁的风险越高,那么当第一威胁爆发参数值大于预设的第一爆发阈值时,第一节点设备确定达到生成威胁爆发信息的条件。
可选的,所述第一节点设备根据所述第一攻击阶段权重值和所述第一攻击类型权重值获取所述第一节点设备的第一威胁爆发参数值,包括:
所述第一节点设备通过如下方式获取所述第一威胁爆发参数值:
M1=S*K;
其中,所述M1表示所述第一威胁爆发参数值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述*表示相乘运算。
通过这种可选方式,第一攻击阶段权重值和第一攻击类型权重值共同用于确定第一节点设备的第一威胁爆发参数值,例如第一攻击阶段权重值和第一攻击类型权重值相乘的结果作为第一节点设备的第一威胁爆发参数值。不限定的是,上述计算方式只是一种举例,不作为对本申请实施例的限定。基于上述计算式得到的第一威胁爆发参数值能够用于判断是否进行威胁爆发。
可选的,所述第一节点设备根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件,包括:
所述第一节点设备根据所述第一异常行为和所述第一异常事件信息确定所述第一异常行为的攻击阶段和所述第一异常行为的攻击类型;
所述第一节点设备根据所述第一异常行为的攻击阶段确定所述第一异常行为的第一攻击阶段权重值,所述第一攻击阶段权重值用于指示所述第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一异常行为的攻击类型确定所述第一异常行为的第一攻击类型权重值,所述第一攻击类型权重值用于指示所述第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;
所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第二威胁爆发参数值;
当所述第二威胁爆发参数值大于预设的第二爆发阈值时,所述第一节点设备确定达到生成威胁爆发信息的条件。
通过这种可选方式,第一节点设备获取到第二威胁爆发参数值之后,将第二威胁爆发参数值与第二爆发阈值进行比较,根据比较结果确定生成威胁爆发信息的条件。例如,如果威胁爆发参数值越大表示威胁的风险越高,那么当第二威胁爆发参数值大于预设的第二爆发阈值时,第一节点设备确定达到生成威胁爆发信息的条件。
可选的,所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第二威胁爆发参数值,包括:
所述第一节点设备通过如下方式获取所述第二威胁爆发参数值:
M2=A*S*K;
其中,所述M2表示所述第二威胁爆发参数值,所述A表示所述第一网络资产权重值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述*表示相乘运算。
可选的,所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第二威胁爆发参数值,包括:
所述第一节点设备根据所述第一异常行为和所述第一异常事件的属性描述信息确定所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息;
所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值、所述第一网络资产权重值、所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息,获取所述第二威胁爆发参数值。
通过这种可选方式,第一攻击阶段权重值、第一攻击类型权重值、第一网络资产权重值、第一异常行为的攻击时长信息和第一异常行为的攻击路径深度信息为第一节点设备获取到的多个权重值,通过这些多个权重值计算出第二威胁爆发参数值。
可选的,所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值、所述第一网络资产权重值、所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息,获取所述第二威胁爆发参数值,包括:
所述第一节点设备通过如下方式获取所述第二威胁爆发参数值:
M2=N*A*S*K*T;
其中,所述M2表示所述第二威胁爆发参数值,所述N表示所述第一异常行为的攻击路径深度信息,所述A表示所述第一网络资产权重值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述T表示所述第一异常行为的攻击时长信息,所述*表示相乘运算。
可选的,所述第一节点设备根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括:
所述第一节点设备根据所述第二异常行为和所述第三异常事件信息确定所述第二异常行为的攻击阶段和所述第二异常行为的攻击类型;
所述第一节点设备根据所述第二异常行为的攻击阶段确定所述第二异常行为的第二攻击阶段权重值,所述第二攻击阶段权重值用于指示所述第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第二异常行为的攻击类型确定所述第二异常行为的第二攻击类型权重值,所述第二攻击类型权重值用于指示所述第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第二攻击阶段权重值和所述第二攻击类型权重值获取所述第一节点设备的第三威胁爆发参数值;
当所述第三威胁爆发参数值小于或等于预设的第三爆发阈值时,所述第一节点设备确定未达到生成威胁信息的条件。
可选的,所述第一节点设备根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括:
所述第一节点设备根据所述第二异常行为和所述第二异常事件信息确定所述第二异常行为的攻击阶段和所述第二异常行为的攻击类型;
所述第一节点设备根据所述第二异常行为的攻击阶段确定所述第二异常行为的第二攻击阶段权重值,所述第二攻击阶段权重值用于指示所述第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第二异常行为的攻击类型确定所述第二异常行为的第二攻击类型权重值,所述第二攻击类型权重值用于指示所述第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;
所述第一节点设备根据所述第二攻击阶段权重值、所述第二攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第四威胁爆发参数值;
当所述第四威胁爆发参数值小于或等于预设的第三爆发阈值时,所述第一节点设备确定未达到生成威胁爆发信息的条件。
可选的,所述第一节点设备根据所述威胁爆发信息确定针对所述第二异常事件的处置措施,包括:
所述第一节点设备根据所述威胁爆发信息确定执行所述处置措施的节点设备,并触发所述执行所述处置措施的节点设备执行所述处置措施。
通过这种可选方式,第一节点设备在生成威胁爆发信息之后,第一节点设备使用该威胁爆发信息从第一节点设备所属的网络中选择执行处置措施的节点设备,例如执行处置措施的节点设备是第一节点设备选择出的陷阱节点,在该陷阱节点上执行针对第二异常事件的处置措施,从而消除网络中的威胁。
可选的,所述第一节点设备根据所述威胁爆发信息确定执行所述处置措施的节点设备,包括:
所述第一节点设备根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;
所述第一节点设备获取所述第二异常事件的攻击时长信息;
所述第一节点设备根据预置的节点选择表确定与所述第一网络资产权重值和所述第二异常事件的攻击时长信息的组合对应的备选节点设备集合,所述节点选择表包括网络资产权重值、攻击时长信息与备选节点设备三者的对应关系;
所述第一节点设备从所述备选节点设备集合中选择出一个备选节点设备为执行所述处置措施的节点设备,所述选择出的备选节点设备是所述备选节点设备集合中与所述第一节点设备之间的拓扑距离最短的备选节点设备。
通过这种可选方式,第一节点设备获取到备选节点设备集合之后,第一节点设备根据拓扑距离最短原则从备选节点设备集合中选择出一个备选节点设备作为执行处置措施的节点设备,即选择出的备选节点设备是备选节点设备集合中与第一节点设备之间的拓扑距离最短的备选节点设备。
可选的,所述执行所述处置措施的节点设备为所述第一节点设备时,所述方法还包括:
所述第一节点设备根据所述威胁爆发信息执行针对所述第二异常事件的处置措施。
通过这种可选方式,第一节点设备基于该威胁爆发信息分析威胁爆发信息中包括的第二异常事件,从而确定针对第二异常事件的处置措施,若确定由第一节点设备执行处置措施,则第一节点设备根据威胁爆发信息执行针对第二异常事件的处置措施。本申请实施例中对于处置措施的具体方式需要结合应用场景。本申请实施例中第一节点设备执行针对第二异常事件的处置措施,能够在网络中发现威胁,并进行异常事件的处置,使得网络能够正常运行。
可选的,所述第一节点设备根据所述威胁爆发信息执行针对所述第二异常事件的处置措施,包括:
当所述第二异常事件为恶意的连接时,所述第一节点设备对所述连接进行封堵;和/或,
当所述第二异常事件为恶意的进程时,所述第一节点设备对所述进程进行清除;和/或,
当所述第二异常事件为恶意的权限时,所述第一节点设备对所述权限进行修改;和/或,
当所述第二异常事件为文件的篡改时,所述第一节点设备对所述文件进行修复;和/或,
当所述第二异常事件为内存的异常时,所述第一节点设备对所述内存进行软硬件重置。
通过这种可选方式,第二异常事件的属性有多种实现方式。一种实现方式中,第二异常事件为恶意的连接时,第一节点设备对连接进行封堵,因此在网络中实现恶意连接的自动封堵。
另一种实现方式中,当第二异常事件为恶意的进程时,第一节点设备对进程进行清除,因此在网络中实现恶意进程的自动清除。
另一种实现方式中,当第二异常事件为恶意的权限时,第一节点设备对权限进行修改,因此在网络中实现恶意权限的自动控制。
另一种实现方式中,当第二异常事件为文件的篡改时,第一节点设备对文件进行修复,因此在网络中实现被篡改文件的自动修复。
另一种实现方式中,当第二异常事件为内存的异常时,第一节点设备对内存进行软硬件重置,因此在网络中实现内存的自动重置。
第二方面,本申请实施例还提供一种网络威胁的处理系统,包括第一节点设备和第二节点设备;
所述第二节点设备,用于向所述第一节点设备发送第一异常事件信息,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型;
所述第一节点设备,用于检测到针对所述第一节点设备的第一异常行为;根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
可选的,所述系统还包括第三节点设备;
所述第三节点设备,用于向所述第一节点设备发送第三异常事件信息,所述第三异常事件信息包括第三异常事件的属性描述信息、所述第三异常事件的攻击阶段和所述第三异常事件的攻击类型;
所述第一节点设备,用于检测到针对所述第一节点设备的第二异常行为;根据第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,并生成第四异常事件信息,其中,所述第四异常事件是根据所述第三异常事件以及所述第二异常行为关联生成的;向所述第一节点设备所属的网络中发送所述第四异常事件信息。
可选的,所述系统,还包括:第四节点设备;
所述第一节点设备,用于根据所述威胁爆发信息确定第四节点设备执行所述处置措施,并向所述第四节点设备发送所述威胁爆发信息;
所述第四节点设备,用于接收来自所述第一节点设备的所述威胁爆发信息,并根据所述威胁爆发信息执行针对所述第二异常事件的处置措施。
可选的,所述第四节点设备,用于当所述第二异常事件为恶意的连接时,对所述连接进行封堵;和/或,当所述第二异常事件为恶意的进程时,对所述进程进行清除;和/或,当所述第二异常事件为恶意的权限时,对所述权限进行修改;和/或,当所述第二异常事件为文件的篡改时,对所述文件进行修复;和/或,当所述第二异常事件为内存的异常时,对所述内存进行软硬件重置。
第三方面,本申请实施例提供一种通信装置,包括存储器、网络接口和至少一个处理器,所述通信装置为第一节点设备,所述存储器,用于存储程序代码;
所述至少一个处理器,用于读取所述存储器中存储的程序代码后,使得所述通信装置执行以下操作:
检测到针对所述第一节点设备的第一异常行为;
根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述第一异常事件信息是所述第一节点设备检测到所述第一异常行为之前第二节点设备发送的,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;
根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
可选的,所述处理器读取所述存储器中存储的程序代码后,执行以下操作:
获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;
根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件。
第三方面提供的通信装置具有实现上述第一方面或第一方面任一种可选方式的功能。
第四方面,本申请实施例提供一种通信装置,所述通信装置为第一节点设备,所述通信装置包括:
检测模块,用于检测到针对所述第一节点设备的第一异常行为;
处理模块,用于根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述第一异常事件信息是所述第一节点设备检测到所述第一异常行为之前第二节点设备发送的,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;
确定模块,用于根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
可选的,所述处理模块,用于获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件。
第四方面提供的通信装置具有实现上述第一方面、或上述第一方面的任意一种可选方式所述方法的功能。所述功能通过硬件实现,通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
第五方面,提供了一种网络威胁的处理系统,该网络威胁的处理系统包括:第一节点设备和第二节点设备;
其中,第二节点设备,用于向所述第一节点设备发送第一异常事件信息,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型;
第一节点设备执行前述第一方面、或上述第一方面的任意一种可选方式所述方法的功能。
第六方面,提供了一种计算机可读存储介质,该存储介质中存储有至少一条指令,该指令在计算机上运行时,使得计算机执行上述第一方面,或第一方面任一种可选方式所提供的方法。
第七方面,提供了一种计算机程序产品,所述计算机程序产品包括一个或多个计算机程序指令,当所述计算机程序指令被计算机加载并运行时,使得所述计算机执行上述第一方面,或第一方面任一种可选方式所提供的方法。
第八方面,提供了一种芯片,包括存储器和处理器,存储器用于存储计算机指令,处理器用于从存储器中调用并运行该计算机指令,以执行上述第一方面,或第一方面任一种可选方式所提供的方法。
附图说明
图1a为本申请实施例提供的一种网络威胁的处理系统的架构示意图;
图1b为本申请实施例提供的一种网络威胁的处理系统的架构示意图;
图1c为本申请实施例提供的一种网络威胁的处理系统的架构示意图;
图2为本申请实施例提供的一种第一节点设备的组成结构示意图;
图3为本申请实施例提供的一种网络威胁的处理方法的流程示意图;
图4为本申请实施例提供的一种网络威胁的处理方法的流程示意图;
图5为本申请实施例提供的一种网络威胁的处理方法的流程示意图;
图6为本申请实施例提供的一种第一节点设备和第二节点设备之间的交互流程示意图;
图7为本申请实施例提供的一种第一节点设备和第二节点设备之间的交互流程示意图;
图8为本申请实施例提供的一种第一节点设备和第二节点设备之间的交互流程示意图;
图9为本申请实施例提供的一种应用场景的示意图;
图10a为本申请实施例提供的一种应用场景的示意图;
图10b至图10e为本申请实施例提供的一种异常事件的扩散过程的示意图;
图11为本申请实施例提供的一种第一节点设备的组成结构示意图。
具体实施方式
本申请实施例提供了一种网络威胁的处理方法和通信装置,使得网络中的大量节点设备能够分布式地检测异常事件,降低对网络带宽资源、存储资源和处理资源的消耗。
目前,网络攻击和网络设备的脆弱性会影响网络的安全性,当前技术主要通过网络中的专用分析服务器集中式地收集来自于各个网元的网络流量日志和主机日志,并对网络流量日志和主机日志进行关联分析,进而发现因网络攻击等异常行为产生的异常事件。这种方案只能在异常事件已经在网络中产生威胁之后,才能通过关联分析检测到网络中的异常事件。
集中分析与响应的方案主要包括以下三个方面。
1、信息收集:收集终端的日志和网络流量日志,集中保存在大数据安全分析存储中心。
2、安全检测:专用分析服务器对于保存的数据做离线的分析,发现事件中隐含的异常和威胁,例如需要基于事件的先后顺序和事件之间的关联关系进行分析。
3、事件响应:对于异常事件做人工或者自动化的恢复和阻断响应。
在上述的集中分析方案中,需要网络流量日志和主机日志的集中发送,数据量非常大,对网络和性能上消耗大,成本高。另外,集中分析是已经脱离了网络的真实环境进行的大数据分析,由于缺少了网络的真实环境,集中分析的针对性和网元的可交互验证性差,实时性弱。此外,专用分析服务器对大量各种日志进行关联分析会耗费大量时间,因此检测的滞后性往往比较明显。
有鉴于此,本申请实施例提供一种网络威胁的分析系统,该系统中的节点设备(后续简称为节点)在网络中检测异常行为,且能够判断是否达到生成威胁爆发信息的条件,在达到上述条件时生成威胁爆发信息,根据该威胁爆发信息确定针对异常事件的处置措施。本申请实施例提供的上述系统内的多个节点设备同步异常事件信息,各节点设备基于同步的异常事件信息以及自身的检测能力实现异常行为检测。换句话说,系统内的多个节点设备具备分布式协同检测的能力,与目前依赖于集中分析的方案相比,具有节省网络流量资源、减少存储资源和处理资源的优点,而且能够提升检测的及时性。
本申请实施例提供的一种网络威胁的分析系统包括:多个节点设备,多个节点设备属于一个网络,在网络中单个节点设备连接其它节点设备。节点设备之间的连接用于传播消息,例如一个节点设备能够生成异常事件,异常事件是指网络中的节点设备通过检测异常行为生成的事件,例如该异常事件是扫描事件,本申请实施例中不限定异常事件的类型,具体结合应用场景确定异常事件的类型。一个节点设备按照该节点设备与其它节点设备之间的连接向其它节点设备传播异常事件信息。例如,网络中的节点设备按照扩散协议进行异常事件的扩散。可选地,该扩散协议是流行病(Gossip)协议。
例如,本申请实施例中每个节点设备根据已接收的来自于其它节点设备的异常事件信息建立攻击图谱。该攻击图谱中包括一个或多个攻击路径,在攻击路径上包括网络中的多个节点设备。节点设备能够使用攻击图谱中的信息和节点设备检测到的异常行为生成待传播的异常事件。
如图1a所示,本申请实施例提供的一种网络威胁的分析系统包括:第一节点设备和第二节点设备。其中,第一节点设备和第二节点设备之间建立通信连接。下面首先结合附图1a对应用场景中的第一节点设备和第二节点设备分别进行介绍。
首先对图1a所示的第二节点设备进行说明,第二节点设备是网络中的一个节点设备,该第二节点设备检测网络中的异常行为,并据此生成第一异常事件信息。例如第二节点设备检测网络中的异常行为,当第二节点设备检测到异常行为时生成第一异常事件信息。
第二节点设备由网络中已安装软件的网元或者主机(即后续实施例中的网络节点)实现,其中,该软件包括本申请实施例提供的网络威胁的处理方法的程序代码。例如第二节点设备是安装安全组件的网元,第二节点设备运行安全组件之后,使得安装安全组件的网元能够执行异常行为的检测功能、以及异常事件的处置功能。例如第二节点设备基于扩散协议在第二节点设备所属的网络中扩散生成的异常事件。
接下来对图1a所示的第一节点设备进行说明,第一节点设备是网络中的一个节点设备,该第一节点设备检测网络中的异常行为。第一节点设备还能够接收网络中其它节点设备发送的异常事件信息。例如第一节点设备接收第二节点设备发送的第一异常事件信息,第一节点设备接收到第一异常事件信息之后,存储该第一异常事件信息。
第一节点设备检测针对第一节点设备的第一异常行为,该第一异常行为的目的方是第一节点设备。当第一节点设备检测到第一异常行为时,第一节点设备判断是否进行威胁爆发。威胁爆发的含义是第一节点设备根据第一异常行为以及接收到的第一异常事件信息确定达到生成威胁爆发信息的条件,并生成威胁爆发信息。第一节点设备根据威胁爆发信息确定针对威胁爆发信息中包括的第二异常事件的处置措施。
第一节点设备由网络中已安装软件的网元或者主机(即后续实施例中的网络节点)实现,其中,该软件包括本申请实施例提供的网络威胁的处理方法的程序代码。例如第一节点设备是安装安全组件的网元,第一节点设备运行安全组件之后,使得安装安全组件的网元执行异常行为的检测功能、威胁爆发的判断功能以及针对异常事件的处置功能。其中,针对异常事件的处置功能也被称为针对异常事件的捕获功能。
在本申请实施例中,上述安全组件是一个韧性部件。韧性部件指安全可信中提供网络韧性能力的组件系统。其中,网络韧性能力是指组件系统在不利的条件下能预期、承受、恢复以及适应的能力。
如图1b所示,本申请实施例提供的一种网络威胁的分析系统包括:第一节点设备和第三节点设备。其中,第一节点设备和第三节点设备之间建立通信连接。图1b与图1a的区别在于,图1a中第一节点设备针对第二节点设备发送的第一异常事件信息确定达到生成威胁爆发信息的条件,而图1b中第一节点设备针对第三节点设备发送的第三异常事件信息确定未达到生成威胁爆发信息的条件。
接下来对附图1b中的第一节点设备和第三节点设备分别进行介绍。
首先对图1b所示的第一节点设备进行说明,第一节点设备是网络中的一个节点设备,第一节点设备检测网络中的异常行为。第一节点设备还接收网络中其它节点设备发送的异常事件信息。例如第一节点设备检测到针对第一节点设备的第二异常行为。第一节点设备接收第三节点设备发送的第三异常事件信息,第一节点设备接收到第三异常事件信息之后,存储该第三异常事件信息。
第一节点设备检测第二异常行为,该第二异常行为的目的方是第一节点设备。当第一节点设备检测到第二异常行为时,第一节点设备判断是否进行威胁爆发,例如第一节点设备根据第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,此时第一节点设备不进行威胁爆发,而是生成第四异常事件信息,第四异常事件是根据第三异常事件以及第二异常行为关联生成的。在第一节点设备不进行威胁爆发的情况下,第一节点设备向第一节点设备所属的网络中发送第四异常事件信息,即第一节点设备进行异常事件的扩散。
第一节点设备由网络中已安装软件的网元或者主机(即后续实施例中的网络节点)实现,其中,该软件包括本申请实施例提供的网络威胁的处理方法的程序代码。例如第一节点设备是安装安全组件的网元,第一节点设备运行安全组件之后,使得安装安全组件的网元能够执行异常行为的检测功能、威胁爆发的判断功能以及异常事件的处置功能。例如异常事件的处置功能是第一节点设备基于扩散协议在第一节点设备所属的网络中进行异常事件的扩散。
接下来对图1b中所示的第三节点设备进行说明,第三节点设备是网络中的一个节点设备,该第三节点设备生成第三异常事件信息。例如第三节点设备能够检测网络中的异常行为,当第三节点设备检测到异常行为时生成第三异常事件信息。
第三节点设备由网络中已安装软件的网元或者主机(即后续实施例中的网络节点)实现,其中,该软件包括本申请实施例提供的网络威胁的处理方法的程序代码。例如第三节点设备是安装安全组件的网元,第三节点设备运行安全组件之后,使得安装安全组件的网元执行异常行为的检测功能、以及异常事件的处置功能。例如第三节点设备基于扩散协议在第三节点设备所属的网络中进行异常事件的扩散。
如图1c所示,本申请实施例提供的一种网络威胁的分析系统包括:第一节点设备、第二节点设备和第四节点设备。其中,第一节点设备和第二节点设备之间建立通信连接,第一节点设备和第四节点设备之间建立通信连接。接下来对附图1c中的第一节点设备和第三节点设备分别进行介绍。
图1c所示的第二节点设备与前述图1a中所示的第二节点设备的功能相同,此处不再赘述。
接下来对图1c所示的第一节点设备进行说明,第一节点设备除了具有前述图1a中所示的第一节点设备的功能之外,第一节点设备还根据威胁爆发信息确定第四节点设备执行处置措施,并向第四节点设备发送威胁爆发信息。
接下来对图1c所示的第四节点设备进行说明,第四节点设备执行针对异常事件的处置措施。例如第四节点设备接收来自第一节点设备的威胁爆发信息,并根据威胁爆发信息执行针对威胁爆发信息中包括的第二异常事件的处置措施。
第四节点设备由网络中已安装软件的网元或者主机(即后续实施例中的网络节点)实现,其中,该软件包括本申请实施例提供的网络威胁的处理方法的程序代码。例如第四节点设备是安装安全组件的网元,第四节点设备运行安全组件之后,使得安装安全组件的网元执行异常事件的处置功能。例如第四节点设备对异常事件执行预设的处置措施,并生成处置结果。可选的,第四节点设备基于扩散协议在第四节点设备所属的网络中进行处置结果的扩散。
接下来对本申请实施例中涉及的多种事件以及信息进行详细说明。
1)、异常行为。
异常行为由网络中的节点设备检测得到,例如节点设备基于接收或发送的报文内容检测出异常的控制操作,或者基于操作系统的监控机制检测到关于注册表或文件的异常操作,例如该异常操作包括添加、删除或修改等。
2)、异常事件。
异常事件是网络中的节点设备根据检测到的异常行为生成的记录。例如节点设备在判断出未达到生成威胁爆发信息的条件时,节点设备根据检测到的异常行为、该节点设备预先存储的异常事件生成新的异常事件。例如该异常事件是扫描事件,或者文件篡改事件等。
3)、威胁爆发信息。
网络中的节点设备在检测到异常行为时,节点设备判断是否达到生成威胁爆发信息的条件,若达到生成为威胁爆发信息的条件,则该节点设备生成威胁爆发信息。此时,该节点设备被称为威胁爆发节点。威胁爆发信息中包括异常事件的属性描述信息和该异常事件对应的威胁程度信息。例如该威胁程度信息包括异常事件威胁程度高或者低的指示符。
需说明的是,本申请中术语“第一”、“第二”等字样用于对作用和功能基本相同的相同项或相似项进行区分,“第一”、“第二”之间不具有逻辑或时序上的依赖关系,不对数量和执行顺序进行限定。例如上面的“第一节点设备”,“第二节点设备”,“第三节点设备等等”。上面的“第一节点设备”,“第二节点设备”,“第三节点设备等等”是以异常事件的处理过程中涉及的多个节点设备为例进行说明的,对于不同异常事件的处理过程或者在不同的时间点上,各节点设备执行的功能可能互换。例如,对于一个异常事件而言,一个节点设备不是威胁爆发节点(图1a至图1c中的第二节点设备),对于其他异常事件,同一节点设备是威胁爆发节点(图1b中的第一节点设备)。
另外,本申请实施例中,在一个实施例中出现第二节点设备时,并不局限于必须出现第一节点设备。同样的,在一个实施例中出现第三节点设备时,并不局限于必须出现第一节点设备或者第二节点设备。
接下来对网络威胁的分析系统中的节点设备的硬件结构进行说明,例如以网络威胁的分析系统中的第一节点设备为例,其它节点设备的硬件结构也参阅对第一节点设备的硬件结构的说明。附图2是本申请实施例提供的第一节点设备的结构示意图。可选地,具有附图2所示结构的第一节点设备是附图1a、图1b和图1c中的第一节点设备。
参见附图2,附图2示出了本申请一个示例性实施例提供的第一节点设备200的结构示意图,该第一节点设备200由一般性的总线体系结构来实现。
第一节点设备200包括至少一个处理器201、通信总线202、存储器203以及至少一个网络接口204。
处理器201例如是通用中央处理器(central processing unit,CPU)、网络处理器(network processer,NP)、图形处理器(graphics processing unit,GPU)、神经网络处理器(neural-network processing units,NPU)、数据处理单元(data processing unit,DPU)、微处理器或者一个或多个用于实现本申请方案的集成电路。例如,处理器201包括专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。PLD例如是复杂可编程逻辑器件(complexprogrammable logic device,CPLD)、现场可编程逻辑门阵列(field-programmable gatearray,FPGA)、通用阵列逻辑(generic array logic,GAL)或其任意组合。
通信总线202用于在上述组件之间传送信息。通信总线202分为地址总线、数据总线、控制总线等。为便于表示,附图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器203例如是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其它类型的静态存储设备,又如是随机存取存储器(random access memory,RAM)或者可存储信息和指令的其它类型的动态存储设备,又如是电可擦可编程只读存储器(electrically erasable programmable read-only Memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备,或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器203例如是独立存在,并通过通信总线202与处理器201相连接。存储器203和处理器201集成在一起。
网络接口204使用任何收发器一类的装置,用于与其它设备或通信网络通信。网络接口204包括有线通信接口,还包括无线通信接口。其中,有线通信接口例如为以太网接口。以太网接口是光接口,电接口或其组合。无线通信接口为无线局域网(wireless localarea networks,WLAN)接口,蜂窝网络通信接口或其组合等。例如第一节点设备的网络接口204可用于与网络中的其它节点设备进行通信,例如网络接口204用于与第二节点设备、第三节点设备和第四节点设备中的任意一个节点设备进行通信。
可选地,作为一种实施例,处理器201包括一个或多个CPU,如附图2中所示的处理器201和处理器205。这些处理器中的每一个是一个单核处理器(single-CPU),是一个多核处理器(multi-CPU)。这里的处理器指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。可选地,在处理器是多核CPU的情况下,一个CPU包括如附图2中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,第一节点设备200还包括输出设备和输入设备。输出设备和处理器201通信,以多种方式来显示信息。例如,输出设备是液晶显示器(liquidcrystal display,LCD)、发光二级管(light emitting diode,LED)显示设备、阴极射线管(cathode ray tube,CRT)显示设备或投影仪(projector)等。输入设备和处理器201通信,以多种方式接收用户的输入。例如,输入设备是鼠标、键盘、触摸屏设备或传感设备等。
可选的,存储器203,用于保存处理器201执行的程序代码以及接收到的其它节点设备发送的异常事件信息;存储器203还用于存储执行本申请方案的程序代码210,处理器201执行存储器203中存储的程序代码210后,执行以下操作:检测到针对所述第一节点设备的第一异常行为;根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述第一异常事件信息是所述第一节点设备检测到所述第一异常行为之前第二节点设备发送的,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:检测到针对所述第一节点设备的第二异常行为;根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,并生成第四异常事件信息,其中,所述第三异常事件信息是所述第一节点设备检测到所述第二异常行为之前第三节点设备发送的,所述第三异常事件信息包括第三异常事件的属性描述信息、所述第三异常事件的攻击阶段和所述第三异常事件的攻击类型,所述第四异常事件是根据所述第三异常事件以及所述第二异常行为关联生成的;向所述第一节点设备所属的网络中发送所述第四异常事件信息。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;根据所述第二异常行为、所述第三异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定未达到生成威胁信息的条件。
可选地,存储器203中存储的所述第一异常事件信息是所述第二节点设备根据扩散协议发送的。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:根据所述第一异常行为和所述第一异常事件信息确定所述第一异常行为的攻击阶段和所述第一异常行为的攻击类型;根据所述第一异常行为的攻击阶段确定所述第一异常行为的第一攻击阶段权重值,所述第一攻击阶段权重值用于指示所述第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一异常行为的攻击类型确定所述第一异常行为的第一攻击类型权重值,所述第一攻击类型权重值用于指示所述第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一攻击阶段权重值和所述第一攻击类型权重值获取所述第一节点设备的第一威胁爆发参数值;当所述第一威胁爆发参数值大于预设的第一爆发阈值时,确定达到生成威胁爆发信息的条件。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:通过如下方式获取所述第一威胁爆发参数值:M1=S*K;其中,所述M1表示所述第一威胁爆发参数值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述*表示相乘运算。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:根据所述第一异常行为和所述第一异常事件信息确定所述第一异常行为的攻击阶段和所述第一异常行为的攻击类型;根据所述第一异常行为的攻击阶段确定所述第一异常行为的第一攻击阶段权重值,所述第一攻击阶段权重值用于指示所述第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一异常行为的攻击类型确定所述第一异常行为的第一攻击类型权重值,所述第一攻击类型权重值用于指示所述第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;根据所述第一攻击阶段权重值、所述第一攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第二威胁爆发参数值;当所述第二威胁爆发参数值大于预设的第二爆发阈值时,确定达到生成威胁爆发信息的条件。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:
通过如下方式获取所述第二威胁爆发参数值:M2=A*S*K;其中,所述M2表示所述第二威胁爆发参数值,所述A表示所述第一网络资产权重值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述*表示相乘运算。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:根据所述第一异常行为和所述第一异常事件的属性描述信息确定所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息;根据所述第一攻击阶段权重值、所述第一攻击类型权重值、所述第一网络资产权重值、所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息,获取所述第二威胁爆发参数值。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:通过如下方式获取所述第二威胁爆发参数值:M2=N*A*S*K*T;其中,所述M2表示所述第二威胁爆发参数值,所述N表示所述第一异常行为的攻击路径深度信息,所述A表示所述第一网络资产权重值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述T表示所述第一异常行为的攻击时长信息,所述*表示相乘运算。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:根据所述第二异常行为和所述第三异常事件信息确定所述第二异常行为的攻击阶段和所述第二异常行为的攻击类型;根据所述第二异常行为的攻击阶段确定所述第二异常行为的第二攻击阶段权重值,所述第二攻击阶段权重值用于指示所述第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第二异常行为的攻击类型确定所述第二异常行为的第二攻击类型权重值,所述第二攻击类型权重值用于指示所述第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第二攻击阶段权重值和所述第二攻击类型权重值获取所述第一节点设备的第三威胁爆发参数值;当所述第三威胁爆发参数值小于或等于预设的第三爆发阈值时,确定未达到生成威胁信息的条件。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:根据所述第二异常行为和所述第二异常事件信息确定所述第二异常行为的攻击阶段和所述第二异常行为的攻击类型;根据所述第二异常行为的攻击阶段确定所述第二异常行为的第二攻击阶段权重值,所述第二攻击阶段权重值用于指示所述第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第二异常行为的攻击类型确定所述第二异常行为的第二攻击类型权重值,所述第二攻击类型权重值用于指示所述第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;根据所述第二攻击阶段权重值、所述第二攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第四威胁爆发参数值;当所述第四威胁爆发参数值小于或等于预设的第三爆发阈值时,确定未达到生成威胁爆发信息的条件。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:根据所述威胁爆发信息确定执行所述处置措施的节点设备,并触发所述执行所述处置措施的节点设备执行所述处置措施。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;获取所述第二异常事件的攻击时长信息;根据预置的节点选择表确定与所述第一网络资产权重值和所述第二异常事件的攻击时长信息的组合对应的备选节点设备集合,所述节点选择表包括网络资产权重值、攻击时长信息与备选节点设备三者的对应关系;从所述备选节点设备集合中选择出一个备选节点设备为执行所述处置措施的节点设备,所述选择出的备选节点设备是所述备选节点设备集合中与所述第一节点设备之间的拓扑距离最短的备选节点设备。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:所述执行所述处置措施的节点设备为所述第一节点设备时,根据所述威胁爆发信息执行针对所述第二异常事件的处置措施。
可选地,处理器201读取存储器203中存储的程序代码210后,还执行以下操作:当所述第二异常事件为恶意的连接时,对所述连接进行封堵;和/或,当所述第二异常事件为恶意的进程时,对所述进程进行清除;和/或,当所述第二异常事件为恶意的权限时,对所述权限进行修改;和/或,当所述第二异常事件为文件的篡改时,对所述文件进行修复;和/或,当所述第二异常事件为内存的异常时,对所述内存进行软硬件重置。
处理器201、网络接口204、存储器203等实现上述功能的更多细节请参考后面方法实施例中的描述。
下面结合附图3对本申请实施例提供的网络威胁的处理方法进行介绍。附图3所示的方法包括步骤301至步骤303。
可选地,方法中涉及的网络威胁的处理系统的网络部署场景如附图1a所示。
可选地,方法中第一节点设备的硬件具备附图2所示结构。
如图3所示,接下来对本申请实施例提供的网络威胁的处理方法进行详细说明,主要包括如下步骤301至303。
301、第一节点设备检测到针对第一节点设备的第一异常行为。
第一节点设备在网络检测针对第一节点设备的第一异常行为,该第一异常行为的目的方是第一节点设备。例如第一异常行为是异常扫描行为。
当第一节点设备检测到第一异常行为时,触发执行后续步骤302。
302、第一节点设备根据第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成威胁爆发信息。
第一节点设备所属的网络中包括多个节点设备,例如该网络包括第一节点设备和第二节点设备。第二节点设备在第一节点设备检测第一异常行为之前向第一节点设备发送第一异常事件信息。
其中,第一异常事件信息由第二节点设备生成并向第一节点设备发送,第一异常事件信息用于描述第二节点设备检测到的异常行为,例如第一异常事件信息包括第一异常事件的属性描述信息、第一异常事件的攻击阶段和第一异常事件的攻击类型。第一异常事件的属性描述信息用于描述第一异常事件的属性,例如该第一异常事件的属性描述信息描述了第一异常事件是扫描事件。
本申请实施例中,每个异常事件都对应有攻击阶段和攻击类型。其中,攻击阶段指的是异常事件在网络中进行攻击所处的阶段,例如攻击阶段包括渗透阶段(例如渗透阶段包括扫描、漏洞利用)、木马植入、控制、渗透扩散、提升权限、窃取(或者窃取也称为破坏)。攻击类型指的是异常事件在网络中的攻击手段对应的类型,例如攻击类型包括:扫描、暴力破解、提升权限等。攻击阶段和攻击类型相辅相成。例如第一异常事件的攻击阶段是指第一异常事件在网路中进行攻击所处的阶段,第一异常事件的攻击类型是指第一异常事件在网络中的攻击手段对应的类型。
可选的,本申请实施例中预先规定是否达到生成威胁爆发信息的条件。是否达到生成威胁爆发信息的条件是节点设备根据检测到的异常行为和该节点设备预先存储的异常事件信息来确定的。是否达到生成威胁爆发信息的条件用于节点设备判断是否进行威胁爆发。例如,若达到生成威胁爆发信息的条件则节点设备确定进行威胁爆发,若未达到生成威胁爆发信息的条件则节点设备确定不进行威胁爆发。
可选的,在第一节点设备确定进行威胁爆发时,第一节点设备生成威胁爆发信息。威胁爆发信息包括第二异常事件的属性描述信息和第二异常事件对应的威胁程度信息,其中,第二异常事件是根据第一异常事件以及第一异常行为关联生成的,此处关联生成指的是既需要使用第一异常事件,还需要使用第一异常行为,才能生成第二异常事件。其中,第二异常事件是第一节点设备根据当前检测到的第一异常行为和第一节点设备预先存储的第一异常事件共同累计生成的结果,即威胁爆发信息携带上述第二异常事件的属性描述信息。另外,第二异常事件对应的威胁程度信息是指第二异常事件产生的威胁程度,该威胁程度信息用于确定采用处置第二异常事件的措施。
本申请实施例中,第一节点设备和第二节点设备都是网络中的节点设备,第一节点设备存储第二节点设备预先发送的第一异常事件信息,该第一异常事件携带有异常行为在网络中传播的过程中记录下来的异常信息,第一节点设备在检测到第一异常行为时,能够根据第一异常行为和第一事件信息确定进行威胁爆发,并且生成了威胁爆发信息,因此通过网络内的节点设备就能够进行威胁爆发的判断,不需要进行流量的集中上报就能够实现异常行为的检测,降低对网络带宽资源、存储资源和处理资源的消耗,节省了网络流量、存储资源和处理资源。另外,第一节点设备和第二节点设备本身就处于真实网络环境中,因此本申请实施例能够基于真实网络环境进行异常事件的检测,具有实时性强的特点。
可选的,如图4所示,步骤302第一节点设备根据第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,包括如下步骤A1和A2。
A1、第一节点设备获取第一节点设备所处的网络位置和第一节点设备对应的业务属性。
其中,步骤302中描述了是否达到上述条件,与第一异常行为和第一异常事件有关,进一步的,是否达到生成威胁爆发信息的条件还与第一节点设备自身属性以及第一节点设备所处的网络有关。例如第一节点设备获取第一节点设备所处的网络位置和第一节点设备对应的业务属性。其中,第一节点设备所处的网络位置是指在网络中第一节点设备对应的位置,第一节点设备对应的业务属性是指第一节点设备在网络中提供什么属性的业务。
举例说明如下,节点设备所处的网络位置包括:业务支持系统(business supportsystem,B)域、管理支持系统(management support system,M)域、运行支持系统(operation support system,O)域、操作支持系统(operation support systems,OSS)管理面、O域OSS运维面、O域网元。其中,操作支持系统是电信业务开展和运营时所必需的支撑平台。O域是运行支持系统(operation support system)的数据域,B域是业务支持系统(business support system)的数据域,M域是管理支持系统(management supportsystem)的数据域。例如,B域有用户数据和业务数据,比如用户的消费习惯、终端信息、每用户平均收入(average revenue per user,ARPU)的分组、业务内容、业务受众人群等。O域有网络数据,比如信令、告警、故障、网络资源等。M域有位置信息,比如人群流动轨迹、地图信息等。从三大域进行数据分析和挖掘,是电信行业的大数据应用,比如大数据应用包括:地理化精准营销、成本精算等。
接下来对节点设备对应的业务属性进行举例说明,节点设备对应的业务属性包括如下至少一种:边界服务器、跳转主机、业务网元、网管虚拟机(virtual machine,VM)。
A2、第一节点设备根据第一异常行为、第一异常事件信息、第一节点设备所处的网络位置和第一节点设备对应的业务属性确定达到生成威胁信息的条件。
通过前述步骤302可知第一节点设备获取第一异常行为和第一异常事件信息,通过前述步骤A2可知第一节点设备获取第一节点设备所处的网络位置和第一节点设备对应的业务属性,接下来第一节点设备使用上述四种信息共同确定达到生成威胁爆发信息的条件,本申请实施例中,第一节点设备在检测到第一异常行为时,能够根据第一异常行为和第一事件信息、第一节点设备的网络位置和第一节点设备的业务属性确定进行威胁爆发,并且生成了威胁爆发信息,因此通过网络内的节点设备就能够进行威胁爆发的判断,不需要进行流量的集中上报就能够实现异常行为的检测,降低对网络带宽资源、存储资源和处理资源的消耗,节省了网络流量、存储资源和处理资源。另外,第一节点设备和第二节点设备本身就处于真实网络环境中,因此本申请实施例能够基于真实网络环境进行异常事件的检测,具有实时性强的特点。进一步的,第一节点设备还结合第一节点设备所处的网络位置和第一节点设备对应的业务属性确定达到生成威胁信息的条件,第一节点设备的网络位置和业务属性用于威胁爆发的判断,相比于使用第一异常行为、第一异常事件信息进行威胁爆发的判断,能够实现针对异常事件的更精准的检测。
可选地,第一异常事件信息是第二节点设备根据扩散协议发送的。
其中,第二节点设备在网络中基于扩散协议发送第一异常事件信息,网络中的其它节点设备(例如第一节点设备)接收到第二节点设备基于该扩散协议发送的第一异常事件信息。例如第二节点设备根据扩散协议从第二节点设备所属的网络中随机选择4个节点设备,该4个节点设备包括第一节点设备,则第一节点设备接收第一异常事件信息并存储接收到的第一异常事件信息。
可选的,步骤302第一节点设备根据第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,包括步骤B1至步骤B5。
B1、第一节点设备根据第一异常行为和第一异常事件信息确定第一异常行为的攻击阶段和第一异常行为的攻击类型。
通过前述步骤302可知第一节点设备获取第一异常行为和第一异常事件信息,第一节点设备通过分析第一异常行为和第一异常事件信息能够确定第一异常行为的攻击阶段,另外第一节点设备通过分析第一异常行为和第一异常事件信息确定第一异常行为的攻击类型。对于攻击阶段和攻击类型的说明,详见前述举例,此处不再赘述。
本申请是实施例中,第一节点设备根据第一异常行为和第一异常事件信息获取威胁爆发参数值,再将威胁爆发参数值和预设的爆发阈值进行比较,以确定是否进行威胁爆发。例如第一节点设备获取到多个权重值,通过多个权重值计算出威胁爆发参数值。后续步骤B2至B4设计了2种权重值,分别为:第一攻击阶段权重值和第一攻击类型权重值。其中,每一种权重值的取值大小根据具体应用场景的实例确定,此处不做限定。
B2、第一节点设备根据第一异常行为的攻击阶段确定第一异常行为的第一攻击阶段权重值,第一攻击阶段权重值用于指示第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度。
B3、第一节点设备根据第一异常行为的攻击类型确定第一异常行为的第一攻击类型权重值,第一攻击类型权重值用于指示第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度。
需要说明的是,上述步骤B2和B3之间没有时序或者逻辑上的先后顺序。
其中,在后续不同应用场景中,对第一节点设备的威胁爆发参数值采用不同的表述方式,例如步骤B4。
B4、第一节点设备根据第一攻击阶段权重值和第一攻击类型权重值获取第一节点设备的第一威胁爆发参数值。
例如,第一节点设备基于第一攻击阶段权重值、第一攻击类型权重值和预设的计算规则计算出一个数值,计算出的该数值作为第一节点设备的第一威胁爆发参数值。例如这种计算规则是第一攻击阶段权重值和第一攻击类型权重值直接相加,或者这种计算规则是第一攻击阶段权重值和第一攻击类型权重值相加之后,对于相加得到的结果再乘以调整因子,得到的计算结果作为第一节点设备的第一威胁爆发参数值。可选的,该调整因子是预先配置的。
B5、当第一威胁爆发参数值大于预设的第一爆发阈值时,第一节点设备确定达到生成威胁爆发信息的条件。
其中,获取到第一威胁爆发参数值之后,第一节点设备将第一威胁爆发参数值与第一爆发阈值进行比较,根据比较结果确定生成威胁爆发信息的条件。例如,如果威胁爆发参数值越大表示存在威胁的风险越高,那么当第一威胁爆发参数值大于预设的第一爆发阈值时,第一节点设备确定达到生成威胁爆发信息的条件。
可选的,步骤B4通过如下方式获取第一威胁爆发参数值:
M1=S*K;
其中,M1表示第一威胁爆发参数值,S表示第一攻击阶段权重值,K表示第一攻击类型权重值,*表示相乘运算。
在上述计算式中,第一攻击阶段权重值和第一攻击类型权重值共同用于确定第一节点设备的第一威胁爆发参数值,例如第一攻击阶段权重值和第一攻击类型权重值相乘的结果作为第一节点设备的第一威胁爆发参数值。不限定的是,上述计算方式只是一种举例,不作为对本申请实施例的限定。基于上述计算式得到的第一威胁爆发参数值能够用于判断是否进行威胁爆发。
可选地,可选的,步骤A2第一节点设备根据第一异常行为、第一异常事件信息、第一节点设备所处的网络位置和第一节点设备对应的业务属性确定达到生成威胁信息的条件,具体过程包括如下步骤A21至步骤A26。
A21、第一节点设备根据第一异常行为和第一异常事件信息确定第一异常行为的攻击阶段和第一异常行为的攻击类型。
A22、第一节点设备根据第一异常行为的攻击阶段确定第一异常行为的第一攻击阶段权重值,第一攻击阶段权重值用于指示第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度。
A23、第一节点设备根据第一异常行为的攻击类型确定第一异常行为的第一攻击类型权重值,第一攻击类型权重值用于指示第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度。
其中,此处的步骤A21至步骤A23的实现方式与前述步骤B1至步骤B3的实现方式类似,详见前述步骤B2至B3对第一攻击阶段权重值和第一攻击类型权重值的说明。
A24、第一节点设备根据第一节点设备所处的网络位置和第一节点设备对应的业务属性确定第一节点设备的第一网络资产权重值,第一网络资产权重值用于指示第一节点设备在第一节点设备所属网络中的资产重要程度。
其中,第一节点设备所处的网络位置是指在网络中第一节点设备对应的位置,第一节点设备对应的业务属性是指第一节点设备在网络中提供的业务的属性。详见前述对网络位置和业务属性的说明。
可选的,节点设备的网络位置和业务属性能够用于衡量节点设备在网络中的资产重要程度。例如,第一节点设备根据第一节点设备所处的网络位置和第一节点设备对应的业务属性确定第一节点设备的第一网络资产权重值。通过第一节点设备所处的网络位置和第一节点设备对应的业务属性能够确定第一节点设备的第一网络资产权重值。例如节点设备的网络位置和业务属性进行相加运算,将相加运算得到的结果作为网络资产权重值。不限定的是,节点设备的网络位置和业务属性进行相加运算,将相加运算得到的结果再乘以预设的调整因子所得到的作为网络资产权重值。本申请实施例中对于获取网络资产权重值的方式不做限定。
在后续不同应用场景中,对第一节点设备的威胁爆发参数值采用不同的表述方式,例如步骤A25。
A25、第一节点设备根据第一攻击阶段权重值、第一攻击类型权重值和第一网络资产权重值获取第一节点设备的第二威胁爆发参数值。
例如第一节点设备基于第一攻击阶段权重值、第一攻击类型权重值、第一网络资产权重值、以及预设的计算规则计算出一个数值,计算出的该数值作为第一节点设备的第二威胁爆发参数值。例如这种计算规则是第一攻击阶段权重值、第一攻击类型权重值和第一网络资产权重值直接相加,或者这种计算规则是第一攻击阶段权重值、第一攻击类型权重值和第一网络资产权重值进行相加运算得到的结果再乘以调整因子,以得到的结果作为第二威胁爆发参数值,该调整因子是预先配置的。
A26、当第二威胁爆发参数值大于预设的第二爆发阈值时,第一节点设备确定达到生成威胁爆发信息的条件。
其中,第一节点设备获取到第二威胁爆发参数值之后,将第二威胁爆发参数值与第二爆发阈值进行比较,根据比较结果确定生成威胁爆发信息的条件。例如,如果威胁爆发参数值越大表示威胁的风险越高,那么当第二威胁爆发参数值大于预设的第二爆发阈值时,第一节点设备确定达到生成威胁爆发信息的条件。
可选的,步骤A25中第一节点设备通过如下方式获取第二威胁爆发参数值:
M2=A*S*K;
其中,M2表示第二威胁爆发参数值,A表示第一网络资产权重值,S表示第一攻击阶段权重值,K表示第一攻击类型权重值,*表示相乘运算。
不限定的是,上述计算方式只是一种举例,不作为对本申请实施例的限定。基于上述计算式得到的第二威胁爆发参数值能够用于判断是否进行威胁爆发。
可选的,步骤A25第一节点设备根据第一攻击阶段权重值、第一攻击类型权重值和第一网络资产权重值获取第一节点设备的第二威胁爆发参数值,包括步骤A251至步骤A252。
A251、第一节点设备根据第一异常行为和第一异常事件的属性描述信息确定第一异常行为的攻击时长信息和第一异常行为的攻击路径深度信息。
其中,第一异常事件的攻击时长信息是指第一异常事件在网络中进行攻击的时间长度,例如第一异常事件的攻击时长是3天,或者第一异常事件的攻击时长是2个小时等,具体结合应用场景确定攻击时长信息的取值。
不限定的是,第一异常事件的攻击时长信息能够通过第一异常行为和第一异常事件的属性描述信息得到。
A252、第一节点设备根据第一攻击阶段权重值、第一攻击类型权重值、第一网络资产权重值、第一异常行为的攻击时长信息和第一异常行为的攻击路径深度信息,获取第二威胁爆发参数值。
其中,第一攻击阶段权重值、第一攻击类型权重值、第一网络资产权重值、第一异常行为的攻击时长信息和第一异常行为的攻击路径深度信息为第一节点设备获取到的多个权重值,通过这些多个权重值计算出第二威胁爆发参数值。本申请实施例中对于上述多个权重值计算第二威胁爆发参数值的方式不做限定。
可选的,步骤A252第一节点设备通过如下方式获取第二威胁爆发参数值:
M2=N*A*S*K*T;
其中,M2表示第二威胁爆发参数值,N表示第一异常行为的攻击路径深度信息,A表示第一网络资产权重值,S表示第一攻击阶段权重值,K表示第一攻击类型权重值,T表示第一异常行为的攻击时长信息,*表示相乘运算。
不限定的是,上述计算方式只是一种举例,不作为对本申请实施例的限定。基于上述计算式得到的第二威胁爆发参数值能够用于判断是否进行威胁爆发。
303、第一节点设备根据威胁爆发信息确定针对第二异常事件的处置措施。
第一节点设备生成威胁爆发信息,第一节点设备基于该威胁爆发信息分析该第二异常事件,从而确定针对第二异常事件的处置措施。例如针对第二异常事件的处置措施是指处置第二异常事件所采用的措施。本申请实施例中需要结合应用场景确定该处置措施的详见方案,详见后续实施例的举例说明。
可选的,步骤303第一节点设备根据威胁爆发信息确定针对第二异常事件的处置措施,包括:
第一节点设备根据威胁爆发信息确定执行处置措施的节点设备,并触发执行处置措施的节点设备执行处置措施。
其中,第一节点设备在生成威胁爆发信息之后,第一节点设备使用该威胁爆发信息从第一节点设备所属的网络中选择执行处置措施的节点设备,例如执行处置措施的节点设备是第一节点设备选择出的陷阱节点,在该陷阱节点上执行针对第二异常事件的处置措施,从而消除网络中的威胁。
不限定的是,本申请实施例中第一节点设备选择第一节点设备自身作为执行处置措施的节点设备,或者第一节点设备选择第一节点设备所属网络的其它节点设备作为执行处置措施的节点设备。例如第一节点设备按照预设的节点设备选择规则选择执行处置措施的节点设备。
可选的,第一节点设备根据威胁爆发信息确定执行处置措施的节点设备,包括如下步骤C1至步骤C4。
C1、第一节点设备根据第一节点设备所处的网络位置和第一节点设备对应的业务属性确定第一节点设备的第一网络资产权重值,第一网络资产权重值用于指示第一节点设备在第一节点设备所属网络中的资产重要程度。
其中,第一节点设备所处的网络位置是指在网络中第一节点设备对应的位置,第一节点设备对应的业务属性是指第一节点设备在网络中提供的业务的属性。详见前述对网络位置和业务属性的说明。节点设备的网络位置和业务属性用于衡量节点设备在网络中的资产重要程度,例如第一节点设备根据第一节点设备所处的网络位置和第一节点设备对应的业务属性确定第一节点设备的第一网络资产权重值。例如通过节点设备的网络位置和业务属性进行相加运算,相加得到的结果作为网络资产权重值。不限定的是,通过节点设备的网络位置和业务属性的相加得到的结果再乘以预设的调整因子之后,得到的结果也能够作为网络资产权重值。本申请实施例中对于获取网络资产权重值的方式不做限定。
C2、第一节点设备获取第二异常事件的攻击时长信息。
第二异常事件的攻击时长信息是指第二异常事件在网络中进行攻击的时间长度,例如第二异常事件的攻击时长是3天,或者攻第二异常事件的击时长是2个小时等,具体结合应用场景确定攻击时长信息的取值。
不限定的是,第二异常事件的攻击时长信息能够通过第二异常事件的属性描述信息得到。
C3、第一节点设备根据预置的节点选择表确定与第一网络资产权重值和第二异常事件的攻击时长信息的组合对应的备选节点设备集合,节点选择表包括网络资产权重值、攻击时长信息与备选节点设备三者的对应关系。
其中,第一节点设备预先设置节点选择表,该节点选择表包括网络资产权重值、攻击时长信息与备选节点设备三者的对应关系。在第一节点设备获取到第一网络资产权重值和第二异常事件的攻击时长信息之后,使用第一网络资产权重值和第二异常事件的攻击时长信息的组合查询节点选择表,通过查表得到备选节点设备集合,该备选节点设备集合中包括一个或多个的备选节点设备。
C4、第一节点设备从备选节点设备集合中选择出一个备选节点设备为执行处置措施的节点设备,选择出的备选节点设备是备选节点设备集合中与第一节点设备之间的拓扑距离最短的备选节点设备。
可选的,第一节点设备获取到备选节点设备集合之后,第一节点设备根据拓扑距离最短原则从备选节点设备集合中选择出一个备选节点设备作为执行处置措施的节点设备,即选择出的备选节点设备是备选节点设备集合中与第一节点设备之间的拓扑距离最短的备选节点设备。例如选择出的备选节点设备是图1a中所示的第一节点设备,或者是图1c中所示的第四节点设备。
可选的,执行处置措施的节点设备为第一节点设备时,本申请实施例提供的方法还包括:第一节点设备根据威胁爆发信息执行针对第二异常事件的处置措施。
其中,第一节点设备基于该威胁爆发信息分析威胁爆发信息中包括的第二异常事件,从而确定针对第二异常事件的处置措施,若确定由第一节点设备执行处置措施,则第一节点设备根据威胁爆发信息执行针对第二异常事件的处置措施。本申请实施例中对于处置措施的具体方式需要结合应用场景。本申请实施例中第一节点设备执行针对第二异常事件的处置措施,能够在网络中发现威胁,并进行异常事件的处置,使得网络能够正常运行。
可选的,第一节点设备根据威胁爆发信息执行针对第二异常事件的处置措施,包括:
当第二异常事件为恶意的连接时,第一节点设备对连接进行封堵;和/或,
当第二异常事件为恶意的进程时,第一节点设备对进程进行清除;和/或,
当第二异常事件为恶意的权限时,第一节点设备对权限进行修改;和/或,
当第二异常事件为文件的篡改时,第一节点设备对文件进行修复;和/或,
当第二异常事件为内存的异常时,第一节点设备对内存进行软硬件重置。
其中,第二异常事件的属性有多种实现方式。一种实现方式中,第二异常事件为恶意的连接时,第一节点设备对连接进行封堵,因此在网络中实现恶意连接的自动封堵。
另一种实现方式中,当第二异常事件为恶意的进程时,第一节点设备对进程进行清除,因此在网络中实现恶意进程的自动清除。
另一种实现方式中,当第二异常事件为恶意的权限时,第一节点设备对权限进行修改,因此在网络中实现恶意权限的自动控制。
另一种实现方式中,当第二异常事件为文件的篡改时,第一节点设备对文件进行修复,因此在网络中实现被篡改文件的自动修复。
另一种实现方式中,当第二异常事件为内存的异常时,第一节点设备对内存进行软硬件重置,因此在网络中实现内存的自动重置。
通过前述实施例可知,第一节点设备和第二节点设备之间进行通信,第一节点设备能够接收到来自第二节点设备的第一异常事件信息。然后第一节点设备检测到第一异常行为,第一节点设备根据检测到的第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成威胁爆发信息,第一节点设备还根据威胁爆发信息确定针对第二异常事件的处置措施,从而第一节点设备能够进行异常事件的检测,第一节点设备还确定异常事件的处置措施,因此本申请实施例不需要进行日志的上报就能够由网络中的节点设备进行异常事件的检测,降低对网络带宽资源、存储资源和处理资源的消耗,节省了网络流量、存储资源和处理资源。
下面结合附图5对本申请实施例提供的网络威胁的处理方法进行介绍,图5所示的方法包括步骤501至步骤503。该图5所示的方法是独立于图3所示的方法,或者图5所示的方法与图3所示的方法相结合。
可选地,方法中涉及的网络威胁的分析系统的网络部署场景如附图1b所示。
可选地,图5所示的方法中第一节点设备具体是附图2所示结构。
501、第一节点设备检测到针对第一节点设备的第二异常行为。
其中,第二异常行为是第一节点设备检测得到的针对第一节点设备的异常行为,第二异常行为不同于前述的第一异常行为。
502、第一节点设备根据第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,并生成第四异常事件信息。
其中,第三异常事件信息是第一节点设备检测到第二异常行为之前第三节点设备发送的,第三异常事件信息包括第三异常事件的属性描述信息、第三异常事件的攻击阶段和第三异常事件的攻击类型。第四异常事件是根据第三异常事件以及第二异常行为关联生成的。
步骤502与前述步骤302的不同之处在于,步骤502确定未达到生成威胁爆发信息的条件,而步骤302中确定达到生成威胁爆发信息的条件。另外,第一节点设备在达到生成威胁爆发信息的条件下(如附图3中步骤302)或未达到生成威胁爆发信息的条件下(附图5中步骤502),所生成的信息是不同的。例如,在步骤502中,由于第一节点设备未进行威胁爆发,第一节点设备生成第四异常事件信息。第四异常事件是根据第三异常事件以及第二异常行为关联生成的。第四异常事件信息携第三异常事件以及第二异常行为的关联结果,即第四异常事件信息携带了异常行为在网络中传播的过程中产生的异常信息。
可选的,步骤502第一节点设备根据第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括步骤D1至步骤D2。
D1、第一节点设备获取第一节点设备所处的网络位置和第一节点设备对应的业务属性。
其中,步骤D1与前述实施例中的步骤A1相类似,此处不再赘述。
D2、第一节点设备根据第二异常行为、第三异常事件信息、第一节点设备所处的网络位置和第一节点设备对应的业务属性确定未达到生成威胁信息的条件。
其中,步骤D2与前述实施例中的步骤A2相类似,不同之处在于,步骤D2中需要确定未达到生成威胁信息的条件,而前述实施例中步骤A2中需要确定达到生成威胁信息的条件。
可选的,步骤502第一节点设备根据第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括步骤E1至步骤E5。
E1、第一节点设备根据第二异常行为和第三异常事件信息确定第二异常行为的攻击阶段和第二异常行为的攻击类型;
E2、第一节点设备根据第二异常行为的攻击阶段确定第二异常行为的第二攻击阶段权重值,第二攻击阶段权重值用于指示第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
E3、第一节点设备根据第二异常行为的攻击类型确定第二异常行为的第二攻击类型权重值,第二攻击类型权重值用于指示第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
E4、第一节点设备根据第二攻击阶段权重值和第二攻击类型权重值获取第一节点设备的第三威胁爆发参数值;
E5、当第三威胁爆发参数值小于或等于预设的第三爆发阈值时,第一节点设备确定未达到生成威胁信息的条件。
其中,步骤E1至E5与前述实施例中的步骤B1至B5相类似,不同之处在于,步骤E5中威胁爆发参数值小于或等于预设的爆发阈值,而前述实施例中步骤B5中威胁爆发参数值大于预设的爆发阈值。
可选的,步骤502第一节点设备根据第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括步骤F1至步骤F6。
F1、第一节点设备根据第二异常行为和第二异常事件信息确定第二异常行为的攻击阶段和第二异常行为的攻击类型;
F2、第一节点设备根据第二异常行为的攻击阶段确定第二异常行为的第二攻击阶段权重值,第二攻击阶段权重值用于指示第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
F3、第一节点设备根据第二异常行为的攻击类型确定第二异常行为的第二攻击类型权重值,第二攻击类型权重值用于指示第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
F4、第一节点设备根据第一节点设备所处的网络位置和第一节点设备对应的业务属性确定第一节点设备的第一网络资产权重值,第一网络资产权重值用于指示第一节点设备在第一节点设备所属网络中的资产重要程度;
F5、第一节点设备根据第二攻击阶段权重值、第二攻击类型权重值和第一网络资产权重值获取第一节点设备的第四威胁爆发参数值;
F6、当第四威胁爆发参数值小于或等于预设的第三爆发阈值时,第一节点设备确定未达到生成威胁爆发信息的条件。
其中,步骤F1至F6与前述实施例中的步骤A21至A26相类似,不同之处在于,步骤F6中威胁爆发参数值小于或等于预设的爆发阈值,而前述实施例中步骤A26中威胁爆发参数值大于预设的爆发阈值。
503、第一节点设备向第一节点设备所属的网络中发送第四异常事件信息。
第一节点设备在不进行威胁爆发的情况下,第一节点设备根据扩散协议在网络中发送第四异常事件信息,以使得接收该第四异常事件信息的节点设备进行威胁爆发的判断。
通过前述实施例可知,第一节点设备能够进行异常事件的检测,第一节点设备还在未达到生成威胁爆发信息的条件下,向网络发送异常事件信息,从而实现了异常事件信息的及时扩散,以使得接收该第四异常事件信息的其它节点设备进行威胁爆发的判断,因此本申请实施例不需要进行日志的上报就能够由网络中的节点设备进行异常事件的检测,降低对网络带宽资源、存储资源和处理资源的消耗,节省了网络流量、存储资源和处理资源。
如图6所示,为本申请实施例提供的一种第一节点设备和第二节点设备之间的交互流程示意图,主要包括步骤601至步骤604。
601、第二节点设备向第一节点设备发送第一异常事件信息,第一异常事件信息包括第一异常事件的属性描述信息、第一异常事件的攻击阶段和第一异常事件的攻击类型。
602、第一节点设备检测到针对第一节点设备的第一异常行为。
603、第一节点设备根据第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成威胁爆发信息。
其中,威胁爆发信息包括第二异常事件的属性描述信息和第二异常事件对应的威胁程度信息,第二异常事件是根据第一异常事件以及第一异常行为关联生成的。
604、第一节点设备根据威胁爆发信息确定针对第二异常事件的处置措施。
其中,步骤602至步骤604与图3所示的步骤301至步骤303相类似,请参阅前述图3所示的步骤301至步骤303,此处不再赘述。
如图7所示,为本申请实施例提供的一种第一节点设备和第二节点设备之间的交互流程示意图,主要包括步骤701至步骤704。
701、第三节点设备向第一节点设备发送第三异常事件信息,第三异常事件信息包括第三异常事件的属性描述信息、第三异常事件的攻击阶段和第三异常事件的攻击类型。
702、第一节点设备检测针对第一节点设备的第二异常行为。
703、第一节点设备根据第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,并生成第四异常事件信息。
其中,第四异常事件是根据第三异常事件以及第二异常行为关联生成的。
704、第一节点设备向第一节点设备所属的网络中发送第四异常事件信息。
其中,步骤702至步骤704与图5所示的步骤501至步骤503相类似,请参阅前述图5所示的步骤501至步骤503,此处不再赘述。
如图8所示,为本申请实施例提供的一种第一节点设备和第二节点设备之间的交互流程示意图,主要包括步骤601至步骤605。
601、第二节点设备向第一节点设备发送第一异常事件信息。
其中,第一异常事件信息包括第一异常事件的属性描述信息、第一异常事件的攻击阶段和第一异常事件的攻击类型。
602、第一节点设备检测到针对第一节点设备的第一异常行为。
603、第一节点设备根据第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成威胁爆发信息。
其中,威胁爆发信息包括第二异常事件的属性描述信息和第二异常事件对应的威胁程度信息,第二异常事件是根据第一异常事件以及第一异常行为关联生成的。
其中,步骤602至步骤603与图3所示的步骤301至步骤303相类似,请参阅前述图3所示的步骤301至步骤302,此处不再赘述。
604a、第一节点设备根据威胁爆发信息确定第四节点设备执行处置措施,并向第四节点设备发送威胁爆发信息。
605、第四节点设备接收来自第一节点设备的威胁爆发信息,并根据威胁爆发信息执行针对第二异常事件的处置措施。
第一节点设备进行威胁爆发之后,第一节点设备生成威胁爆发信息,第一节点设备基于该威胁爆发信息分析该第二异常事件,从而确定针对第二异常事件的处置措施。第一节点设备确定第四节点设备执行处置措施。例如针对第二异常事件的处置措施是指处置第二异常事件所采用的措施。本申请实施例中需要结合应用场景确定该处置措施的详见方案,详见后续实施例的举例说明。
可选的,步骤605第四节点设备根据威胁爆发信息执行针对第二异常事件的处置措施,包括:
当第二异常事件为恶意的连接时,第四节点设备对连接进行封堵;和/或,
当第二异常事件为恶意的进程时,第四节点设备对进程进行清除;和/或,
当第二异常事件为恶意的权限时,第四节点设备对权限进行修改;和/或,
当第二异常事件为文件的篡改时,第四节点设备对文件进行修复;和/或,
当第二异常事件为内存的异常时,第四节点设备对内存进行软硬件重置。
其中,第二异常事件的属性有多种实现方式。一种实现方式中,第二异常事件为恶意的连接时,第四节点设备对连接进行封堵,因此在网络中实现恶意连接的自动封堵。
另一种实现方式中,当第二异常事件为恶意的进程时,第四节点设备对进程进行清除,因此在网络中实现恶意进程的自动清除。
另一种实现方式中,当第二异常事件为恶意的权限时,第四节点设备对权限进行修改,因此在网络中实现恶意权限的自动控制。
另一种实现方式中,当第二异常事件为文件的篡改时,第四节点设备对文件进行修复,因此在网络中实现被篡改文件的自动修复。
另一种实现方式中,当第二异常事件为内存的异常时,第四节点设备对内存进行软硬件重置,因此在网络中实现内存的自动重置。
如图9所示,为本申请实施例提供的一种应用场景的示意图。其中,第一节点设备的网络位置是M域或者B域,第二节点设备的网络位置是M域或者B域,第四设备的网络位置是O域。第二节点设备生成第一异常事件信息,向第一节点设备发送该第一异常事件信息,则从第二节点设备至第一节点设备存在一条攻击路径,从第二节点设备指向第一节点设备,第一节点设备生成威胁爆发信息,并发送该威胁爆发信息给第四节点设备,第四节点设备执行处置措施。
为便于更好的理解和实施本申请实施例的上述方案,下面举例相应的应用场景来进行具体说明。
如图10a所示,为本申请实施例提供的一种应用场景的示意图。网络中包括节点A、B、C、D、E、F。其中,节点A处于B域或者M域,节点B处于B域或者M域,此处B域中的“B”域与节点B中的“B”没有任何关系,两者表示不同的含义。例如,节点F位于网元中,节点C、节点D和节点E位于主机中,节点C属于OSS管理面,节点D和节点E属于OSS运维面。节点A、B、C、D、E、F构成攻击路径。节点A为源节点,节点A生成异常事件。
本申请实施例中网络威胁的处理流程包括:分布式协同韧性集群构建阶段和威胁捕获阶段两阶段。
首先对分布式协同韧性集群构建阶段进行说明,每个安装安全组件的网络节点,依据协议构建分布式协同韧性集群,该分布式协同韧性集群是非对称性集群,每个节点都具备攻击图谱信息,每一个节点都被视为一个安全神经元,具备全景攻击图谱。
在集群构建阶段,网络节点根据网络连通性以如下方式形成集群模式:各域单独形成集群,或者各域形成整体集群。此处不做限定。
接下来对威胁捕获阶段进行说明。
应用攻击图谱信息以及威胁爆发点的信息进行攻击者维度关联分析,生成该爆发环境下的威胁信息并设置后续陷阱捕获。
如图10a所示,以各域统一形成一个集群为例,本申请实施例提供的方案主要包括如下步骤1)至步骤3):
1)、集群中每个节点根据该节点所处的网络位置及业务属性定义网络资产权重值(简称为资源权重)。
2)、集群中每个节点根据该节点攻击阶段和攻击类型确定异常事件权重值(简称为异常事件权重)。
3)、威胁爆发点根据攻击图谱、攻击源、异常事件生成威胁爆发信息,并在后续的攻击路径设置陷阱进行捕获,并修复整条攻击链。
接下来基于以上的整体方案,如下实施例分为两阶段进行说明。
阶段1:
网络中每个节点(网元或主机)部署一个安全组件。
某一个节点生成异常事件,以扫描事件为例,节点向周围的其他节点传播生成的异常事件。以20个网络节点为例,每个节点传播的节点数量为4个,例如节点使用扩散协议(Gossip协议)进行扩散。例如,节点A发生了扫描事件。扫描事件的关键信息如下:源地址,目的地址,时间,事件描述等。节点A的异常事件依据扩散协议(Gossip协议)扩散至各节点,加入攻击图谱。
接下来介绍攻击图谱的一致性协议原理。如图10b所示,Gossip协议基本思想是:一个节点想要分享一些信息给网络中的其他一些节点。这个节点周期性的随机选择一些节点,并把信息传递给这些节点。这些收到信息的节点接下来会做同样的事情,即把这些信息传递给其他一些随机选择的节点。例如,信息会周期性的传递给N个目标节点。这个N被称为扇出(fanout)。Gossip协议是可扩展的,一般需要O(logN)轮就将信息传播到所有的节点,其中,O(logN)为0函数,表示时间复杂度,N代表节点的个数。
如图10c所示,其中一个节点(例如节点A)已经“受到传播”,即接下来要传播威胁信息的源头,传播路径表示这个初始化受到威胁的节点能正常连接的节点,不能连接的节点只能靠接下来被传播的节点向其传播消息。并且N等于4,假设4根带箭头的线是它第一次传播消息的线路。
如图10d所示,第一次消息完成传播后,新增了4个节点会被“传播”,即这4个节点也收到了消息。这时候,共5个节点变成灰色节点,以表示这5个节点被“传播”。
如图10e所示,在下一次传播周期时,总计有5个节点,且这5个节点每个节点都会向4个节点传播消息。最后,经过3次循环,20个节点全部被传播(都变成灰色节点),即说明需要传播的消息已经传播给了所有节点。
阶段2
共分为两个过程:1、根据关联分析确定威胁爆发点。2、威胁爆发点进行威胁爆发并制定威胁捕获路径,威胁爆发点所在节点进行威胁捕获。
首先说明威胁爆发点和捕获原则包括如下1至7。
1、集群中每个节点根据所处网络位置及业务属性定义资产权重。如资产权重分为5,4,3,2,1。
网络位置:B域(2),M域(2),O域OSS管理面(3),O域OSS运维面(4),O域网元(5)。例如B域(2)表示节点处于B域时,网络位置对应的权重值为2。
业务属性:边界服务器(5),跳转主机(3),业务网元(5),网管虚拟机(virtualmachine,VM)(5)。例如业务属性为业务网元时,业务属性对应的权重值为2。
资产权重的权重设为A,A为网络位置对应的权重值+业务属性对应的权重值。
2、根据攻击阶段和攻击类型确定异常事件权重。
攻击阶段举例:渗透阶段(扫描,漏洞利用);木马植入;控制;渗透扩散;提升权限;窃取/破坏。
攻击类型举例:扫描,暴力破解,提升权限等。攻击阶段和攻击类型相辅相成。
攻击阶段权重设为S;攻击类型权重设为K;例如共设5级权重。
攻击阶段权重举例:渗透阶段(1);木马植入(3);控制(5);渗透扩散(2);提升权限(3);窃取/破坏(5)。
攻击类型权重举例:扫描(2),漏洞利用(2),暴力破解(3),提升权限(3),篡改(5)。
3、根据异常事件的攻击时长设定时间权重,设为T。
4、威胁爆发点根据异常事件生成威胁信息,并在后续的攻击路径设置陷阱,进行捕获和整条攻击链的修复。包括如下步骤1)至步骤7)。
1)、威胁爆发点的依据:威胁爆发参数值M=N*(A*S*K*T)。对于N、A、S、K、T的说明,详见前述内容。
2)、攻击图谱中每一个节点都有一个值M,N代表攻击路径中的深度信息,根据M值的爆发阈值进行爆发。
3)、威胁爆发点确定进行威胁爆发后,根据阶段1的一致性原则,同步爆发信息。
4)、爆发点周围的节点得知信息后,根据资产权重、图谱最短路径、异常事件的攻击时长进行陷阱节点的选取。在本申请实施例中“陷阱节点”是指执行处置措施的节点。
5)、其他未作为陷阱的节点,做端口和进程及节点内数据的隔离控制。
6)、陷阱节点进行威胁确定,整合攻击路径,并通知攻击路径中的节点进行修复。
7)、攻击路径修复之后,通过一致性协议更新攻击图谱。
仍以图10a为例,举例说明如下。
1、攻击者在B/M域进行渗透攻击,对节点A进行漏洞攻击,例如劫持服务器A。
2、通过节点A进行横向扫描,发现弱点节点B。
3、通过节点B的跨网段渗透攻击,劫持O域的OSS管理面的节点C。
4、进而通过跨面攻击分别渗透攻击节点D和节点E。
5、在E上检测装置发现了该攻击威胁(根据威胁爆发点原则)。
6、由节点E将该威胁进行分析和制定阻断策略,最终由F节点进行阻断策略执行。进行威胁的最终捕获和阻断(节点F一般为防火墙)。
7、攻击图谱在各个节点上进行更新。更新使用如上的传播算法。
接下来前述的威胁爆发点和捕获原则举例如下。
1、以上例子中的攻击路径为A→B→C→D→E,资产权重计算方式如下举例。
根据以上原则节点A的资产权重:由于节点A位于B/M域,所以网络位置权重为2;由于A的业务属性为“边界服务器”,所以“业务属性”对应的权重为5;那么节点A的资产权重为2+5=7。
根据以上原则节点B的资产权重:由于节点B位于B/M域,所以网络位置权重为2;由于B的业务属性为“跳转节点”,所以“业务属性”对应的权重为3;那么节点A的资产权重为2+3=5。
根据以上原则节点C的资产权重:由于节点C位于O域OSS管理面,所以网络位置权重为3;由于A的业务属性为“跳转节点”,所以“业务属性”对应的权重为3;那么节点C的资产权重为3+5=8。
根据以上原则节点D的资产权重:由于节点D位于O域OSS运维面,所以网络位置权重为4;由于D的业务属性为“跳转节点”,所以“业务属性”对应的权重为3;那么节点D的资产权重为4+5=9。
根据以上原则节点E的资产权重:由于节点E位于O域网元,所以网络位置权重为5;由于E的业务属性为“网管VM”,所以“业务属性”对应的权重为5;那么节点E的资产权重为5+5=10。
2、以上例子中的攻击路径为A→B→C→D→E,攻击阶段权重和攻击类型权重计算方式如下举例。
节点A为渗透阶段(1),扫描(2)。
节点B为渗透扩散(2),漏洞利用(2)。
节点C为渗透扩散(2),漏洞利用(2)。
节点D为提升权限(3),提升权限(3)。
节点E为窃取/破坏(5),篡改(5)。
3、以上例子中的攻击路径为A→B→C→D→E,时间权重计算方式如下举例:
节点A攻击时间:7天。
节点B攻击时间:5天。
节点C攻击时间:3天。
节点D攻击时间:3天。
节点E攻击时间:30天。
4、以上例子中的攻击路径为A→B→C→D→E,攻击路径数量:
节点A攻击路径数量:1。
节点B攻击路径数量:2。
节点C攻击路径数量:3。
节点D攻击路径数量:4。
节点E攻击路径数量:5。
5、以上例子中的攻击路径为A→B→C→D→E,威胁爆发参数值计算方式如下举例:
节点A爆发点判定值:M=1*(7*1*2*7)=98。
节点B爆发点判定值:M=2*(5*2*2*5)=200。
节点C爆发点判定值:M=3*(8*2*2*3)=288。
节点D爆发点判定值:M=4*(9*3*3*3)=972。
节点E爆发点判定值:M=5*(10*5*5*30)=37500。
比如爆发阈值设置为10000,那么节点E符合爆发规则,节点E要进行威胁爆发和捕获。
6、以上例子中的攻击路径为A→B→C→D→E,E为爆发节点,F为捕获节点。
节点E进行威胁爆发后,对于受控的恶意连接进行封堵。其中,恶意连接为恶意进程产生。
例如,对于恶意进程和权限进行清除,恶意进程<该例中产生恶意连接>为在每个节点上产生威胁事件的事件主体。产生威胁事件时会收集事件主体的详细信息。例如收集<进程名称,ID,权限等信息>。如果是恶意进程文件,根据进程的名称ID及路径进行清除。如果是权限问题,需要通过系统调用修改该进程的权限位信息。
威胁爆发节点将此爆发信息和修复信息同步给其他节点。其中,爆发信息是指该节点爆发的威胁事件信息。例如,恶意进程产生的恶意连接事件爆发后,产生了威胁事件,那么爆发信息就为威胁事件信息,包含事件名称、类型、发生事件、事件主体、详细描述等信息。修复信息是指事件链条里面哪些事件状态是已经修复的。那么就在每个节点的事件链里面将该事件进行修复状态的恢复。例如,修复状态为“未修复”或者“已修复”。
通过前述说明可知,通过分布式网元协同,本申请实施例能够发现威胁爆发点,且节点设备具有溯源和响应的能力。
可选的,节点设备是通信技术/互联网技术(Communications technology/Internet Technology,CT/IT)网元,本申请实施例通过节点设备内置的安全组件形成韧性网络集群,支持攻击协同,攻击图谱的关联分析和实时响应,确保域内自身分布式实时的智能防御。
目前的CT/IT网元不具备网络级的威胁发现能力,整网目前没有形成分布式智能协同,本申请实施例方案为内生分布式协同的智能防御方法。相对于建设集中的大数据关联分析系统,属于不同的方向,在成本、防御效率、防御效果上竞争力较强。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤采用其他顺序或者同时进行。其次,本领域技术人员应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
为便于更好的实施本申请实施例的上述方案,下面还提供用于实施上述方案的相关系统。
请参阅图11所示,本申请实施例提供的一种第一节点设备1100,包括:检测模块1101、处理模块1102和确定模块1103。
检测模块,用于检测到针对所述第一节点设备的第一异常行为;
处理模块,用于根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述第一异常事件信息是所述第一节点设备检测到所述第一异常行为之前第二节点设备发送的,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;
确定模块,用于根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
可选的,处理模块,还执行以下操作:获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件。
可选的,处理模块,还执行以下操作:检测到针对所述第一节点设备的第二异常行为;根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,并生成第四异常事件信息,其中,所述第三异常事件信息是所述第一节点设备检测到所述第二异常行为之前第三节点设备发送的,所述第三异常事件信息包括第三异常事件的属性描述信息、所述第三异常事件的攻击阶段和所述第三异常事件的攻击类型,所述第四异常事件是根据所述第三异常事件以及所述第二异常行为关联生成的;向所述第一节点设备所属的网络中发送所述第四异常事件信息。
可选的,处理模块,还执行以下操作:获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;根据所述第二异常行为、所述第三异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定未达到生成威胁信息的条件。
可选的,所述第一异常事件信息是所述第二节点设备根据扩散协议发送的。
可选的,处理模块,还执行以下操作:根据所述第一异常行为和所述第一异常事件信息确定所述第一异常行为的攻击阶段和所述第一异常行为的攻击类型;根据所述第一异常行为的攻击阶段确定所述第一异常行为的第一攻击阶段权重值,所述第一攻击阶段权重值用于指示所述第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一异常行为的攻击类型确定所述第一异常行为的第一攻击类型权重值,所述第一攻击类型权重值用于指示所述第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一攻击阶段权重值和所述第一攻击类型权重值获取所述第一节点设备的第一威胁爆发参数值;当所述第一威胁爆发参数值大于预设的第一爆发阈值时,确定达到生成威胁爆发信息的条件。
可选的,处理模块,还执行以下操作:通过如下方式获取所述第一威胁爆发参数值:M1=S*K;其中,所述M1表示所述第一威胁爆发参数值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述*表示相乘运算。
可选的,处理模块,还执行以下操作:根据所述第一异常行为和所述第一异常事件信息确定所述第一异常行为的攻击阶段和所述第一异常行为的攻击类型;根据所述第一异常行为的攻击阶段确定所述第一异常行为的第一攻击阶段权重值,所述第一攻击阶段权重值用于指示所述第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一异常行为的攻击类型确定所述第一异常行为的第一攻击类型权重值,所述第一攻击类型权重值用于指示所述第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;根据所述第一攻击阶段权重值、所述第一攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第二威胁爆发参数值;当所述第二威胁爆发参数值大于预设的第二爆发阈值时,确定达到生成威胁爆发信息的条件。
可选的,处理模块,还执行以下操作:
通过如下方式获取所述第二威胁爆发参数值:M2=A*S*K;其中,所述M2表示所述第二威胁爆发参数值,所述A表示所述第一网络资产权重值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述*表示相乘运算。
可选的,处理模块,还执行以下操作:根据所述第一异常行为和所述第一异常事件的属性描述信息确定所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息;根据所述第一攻击阶段权重值、所述第一攻击类型权重值、所述第一网络资产权重值、所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息,获取所述第二威胁爆发参数值。
可选的,处理模块,还执行以下操作:通过如下方式获取所述第二威胁爆发参数值:M2=N*A*S*K*T;其中,所述M2表示所述第二威胁爆发参数值,所述N表示所述第一异常行为的攻击路径深度信息,所述A表示所述第一网络资产权重值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述T表示所述第一异常行为的攻击时长信息,所述*表示相乘运算。
可选的,处理模块,还执行以下操作:根据所述第二异常行为和所述第三异常事件信息确定所述第二异常行为的攻击阶段和所述第二异常行为的攻击类型;根据所述第二异常行为的攻击阶段确定所述第二异常行为的第二攻击阶段权重值,所述第二攻击阶段权重值用于指示所述第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第二异常行为的攻击类型确定所述第二异常行为的第二攻击类型权重值,所述第二攻击类型权重值用于指示所述第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第二攻击阶段权重值和所述第二攻击类型权重值获取所述第一节点设备的第三威胁爆发参数值;当所述第三威胁爆发参数值小于或等于预设的第三爆发阈值时,确定未达到生成威胁信息的条件。
可选的,处理模块,还执行以下操作:根据所述第二异常行为和所述第二异常事件信息确定所述第二异常行为的攻击阶段和所述第二异常行为的攻击类型;根据所述第二异常行为的攻击阶段确定所述第二异常行为的第二攻击阶段权重值,所述第二攻击阶段权重值用于指示所述第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第二异常行为的攻击类型确定所述第二异常行为的第二攻击类型权重值,所述第二攻击类型权重值用于指示所述第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;根据所述第二攻击阶段权重值、所述第二攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第四威胁爆发参数值;当所述第四威胁爆发参数值小于或等于预设的第三爆发阈值时,确定未达到生成威胁爆发信息的条件。
可选的,确定模块,还执行以下操作:根据所述威胁爆发信息确定执行所述处置措施的节点设备,并触发所述执行所述处置措施的节点设备执行所述处置措施。
可选的,确定模块,还执行以下操作:根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;获取所述第二异常事件的攻击时长信息;根据预置的节点选择表确定与所述第一网络资产权重值和所述第二异常事件的攻击时长信息的组合对应的备选节点设备集合,所述节点选择表包括网络资产权重值、攻击时长信息与备选节点设备三者的对应关系;从所述备选节点设备集合中选择出一个备选节点设备为执行所述处置措施的节点设备,所述选择出的备选节点设备是所述备选节点设备集合中与所述第一节点设备之间的拓扑距离最短的备选节点设备。
可选的,确定模块,还执行以下操作:所述执行所述处置措施的节点设备为所述第一节点设备时,根据所述威胁爆发信息执行针对所述第二异常事件的处置措施。
可选的,确定模块,还执行以下操作:当所述第二异常事件为恶意的连接时,对所述连接进行封堵;和/或,当所述第二异常事件为恶意的进程时,对所述进程进行清除;和/或,当所述第二异常事件为恶意的权限时,对所述权限进行修改;和/或,当所述第二异常事件为文件的篡改时,对所述文件进行修复;和/或,当所述第二异常事件为内存的异常时,对所述内存进行软硬件重置。
通过前述实施例的举例说明,第一节点设备和第二节点设备之间进行通信,第一节点设备能够接收到来自第二节点设备的第一异常事件信息。第一节点设备检测第一异常行为,第一节点设备根据检测到的第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成威胁爆发信息,第一节点设备还根据威胁爆发信息确定针对威胁爆发信息中的第二异常事件的处置措施,从而第一节点设备能够进行异常事件的检测,第一节点设备还确定异常事件的处置措施,因此本申请实施例不需要进行日志的上报就能够由网络中的节点设备进行异常事件的检测,降低对网络带宽资源、存储资源和处理资源的消耗,节省了网络流量、存储资源和处理资源。
需要说明的是,上述系统各模块/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元是或者不是物理上分开的,作为单元显示的部件是或者不是物理单元,即位于一个地方,或者分布到多个网络单元上。根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本申请提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体实现为一条或多条通信总线或信号线。
通过以上的实施方式的描述,所属领域的技术人员清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
所属领域的技术人员清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,参见前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。

Claims (27)

1.一种网络威胁的处理方法,其特征在于,所述方法包括:
第一节点设备检测到针对所述第一节点设备的第一异常行为;
所述第一节点设备根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述第一异常事件信息是所述第一节点设备检测到所述第一异常行为之前第二节点设备发送的,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;
所述第一节点设备根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
2.根据权利要求1所述的方法,其特征在于,所述第一节点设备根据所述第一异常行为以及所述第一异常事件信息确定达到生成威胁爆发信息的条件,包括:
所述第一节点设备获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;
所述第一节点设备根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件。
3.根据权利要求1或2所述的方法,其特征在于,所述方法包括:
所述第一节点设备检测到针对所述第一节点设备的第二异常行为;
所述第一节点设备根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,并生成第四异常事件信息,其中,所述第三异常事件信息是所述第一节点设备检测到所述第二异常行为之前第三节点设备发送的,所述第三异常事件信息包括第三异常事件的属性描述信息、所述第三异常事件的攻击阶段和所述第三异常事件的攻击类型,所述第四异常事件是根据所述第三异常事件以及所述第二异常行为关联生成的;
所述第一节点设备向所述第一节点设备所属的网络中发送所述第四异常事件信息。
4.根据权利要求3所述的方法,其特征在于,所述第一节点设备根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括:
所述第一节点设备获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;
所述第一节点设备根据所述第二异常行为、所述第三异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定未达到生成威胁信息的条件。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一异常事件信息是所述第二节点设备根据扩散协议发送的。
6.根据权利要求1所述的方法,其特征在于,所述第一节点设备根据所述第一异常行为以及所述第一异常事件信息确定达到生成威胁爆发信息的条件,包括:
所述第一节点设备根据所述第一异常行为和所述第一异常事件信息确定所述第一异常行为的攻击阶段和所述第一异常行为的攻击类型;
所述第一节点设备根据所述第一异常行为的攻击阶段确定所述第一异常行为的第一攻击阶段权重值,所述第一攻击阶段权重值用于指示所述第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一异常行为的攻击类型确定所述第一异常行为的第一攻击类型权重值,所述第一攻击类型权重值用于指示所述第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一攻击阶段权重值和所述第一攻击类型权重值获取所述第一节点设备的第一威胁爆发参数值;
当所述第一威胁爆发参数值大于预设的第一爆发阈值时,所述第一节点设备确定达到生成威胁爆发信息的条件。
7.根据权利要求6所述的方法,其特征在于,所述第一节点设备根据所述第一攻击阶段权重值和所述第一攻击类型权重值获取所述第一节点设备的第一威胁爆发参数值,包括:
所述第一节点设备通过如下方式获取所述第一威胁爆发参数值:
M1=S*K;
其中,所述M1表示所述第一威胁爆发参数值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述*表示相乘运算。
8.根据权利要求2所述的方法,其特征在于,所述第一节点设备根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件,包括:
所述第一节点设备根据所述第一异常行为和所述第一异常事件信息确定所述第一异常行为的攻击阶段和所述第一异常行为的攻击类型;
所述第一节点设备根据所述第一异常行为的攻击阶段确定所述第一异常行为的第一攻击阶段权重值,所述第一攻击阶段权重值用于指示所述第一异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一异常行为的攻击类型确定所述第一异常行为的第一攻击类型权重值,所述第一攻击类型权重值用于指示所述第一异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;
所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第二威胁爆发参数值;
当所述第二威胁爆发参数值大于预设的第二爆发阈值时,所述第一节点设备确定达到生成威胁爆发信息的条件。
9.根据权利要求8所述的方法,其特征在于,所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第二威胁爆发参数值,包括:
所述第一节点设备通过如下方式获取所述第二威胁爆发参数值:
M2=A*S*K;
其中,所述M2表示所述第二威胁爆发参数值,所述A表示所述第一网络资产权重值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述*表示相乘运算。
10.根据权利要求8所述的方法,其特征在于,所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第二威胁爆发参数值,包括:
所述第一节点设备根据所述第一异常行为和所述第一异常事件的属性描述信息确定所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息;
所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值、所述第一网络资产权重值、所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息,获取所述第二威胁爆发参数值。
11.根据权利要求10所述的方法,其特征在于,所述第一节点设备根据所述第一攻击阶段权重值、所述第一攻击类型权重值、所述第一网络资产权重值、所述第一异常行为的攻击时长信息和所述第一异常行为的攻击路径深度信息,获取所述第二威胁爆发参数值,包括:
所述第一节点设备通过如下方式获取所述第二威胁爆发参数值:
M2=N*A*S*K*T;
其中,所述M2表示所述第二威胁爆发参数值,所述N表示所述第一异常行为的攻击路径深度信息,所述A表示所述第一网络资产权重值,所述S表示所述第一攻击阶段权重值,所述K表示所述第一攻击类型权重值,所述T表示所述第一异常行为的攻击时长信息,所述*表示相乘运算。
12.根据权利要求3所述的方法,其特征在于,所述第一节点设备根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括:
所述第一节点设备根据所述第二异常行为和所述第三异常事件信息确定所述第二异常行为的攻击阶段和所述第二异常行为的攻击类型;
所述第一节点设备根据所述第二异常行为的攻击阶段确定所述第二异常行为的第二攻击阶段权重值,所述第二攻击阶段权重值用于指示所述第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第二异常行为的攻击类型确定所述第二异常行为的第二攻击类型权重值,所述第二攻击类型权重值用于指示所述第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第二攻击阶段权重值和所述第二攻击类型权重值获取所述第一节点设备的第三威胁爆发参数值;
当所述第三威胁爆发参数值小于或等于预设的第三爆发阈值时,所述第一节点设备确定未达到生成威胁信息的条件。
13.根据权利要求3所述的方法,其特征在于,所述第一节点设备根据所述第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,包括:
所述第一节点设备根据所述第二异常行为和所述第二异常事件信息确定所述第二异常行为的攻击阶段和所述第二异常行为的攻击类型;
所述第一节点设备根据所述第二异常行为的攻击阶段确定所述第二异常行为的第二攻击阶段权重值,所述第二攻击阶段权重值用于指示所述第二异常行为的攻击阶段对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第二异常行为的攻击类型确定所述第二异常行为的第二攻击类型权重值,所述第二攻击类型权重值用于指示所述第二异常行为的攻击类型对于确定是否达到生成威胁爆发信息的条件的重要程度;
所述第一节点设备根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;
所述第一节点设备根据所述第二攻击阶段权重值、所述第二攻击类型权重值和所述第一网络资产权重值获取所述第一节点设备的第四威胁爆发参数值;
当所述第四威胁爆发参数值小于或等于预设的第三爆发阈值时,所述第一节点设备确定未达到生成威胁爆发信息的条件。
14.根据权利要求1至7中任一项所述的方法,其特征在于,所述第一节点设备根据所述威胁爆发信息确定针对所述第二异常事件的处置措施,包括:
所述第一节点设备根据所述威胁爆发信息确定执行所述处置措施的节点设备,并触发所述执行所述处置措施的节点设备执行所述处置措施。
15.根据权利要求14所述的方法,其特征在于,所述第一节点设备根据所述威胁爆发信息确定执行所述处置措施的节点设备,包括:
所述第一节点设备根据所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定所述第一节点设备的第一网络资产权重值,所述第一网络资产权重值用于指示所述第一节点设备在所述第一节点设备所属网络中的资产重要程度;
所述第一节点设备获取所述第二异常事件的攻击时长信息;
所述第一节点设备根据预置的节点选择表确定与所述第一网络资产权重值和所述第二异常事件的攻击时长信息的组合对应的备选节点设备集合,所述节点选择表包括网络资产权重值、攻击时长信息与备选节点设备三者的对应关系;
所述第一节点设备从所述备选节点设备集合中选择出一个备选节点设备为执行所述处置措施的节点设备,所述选择出的备选节点设备是所述备选节点设备集合中与所述第一节点设备之间的拓扑距离最短的备选节点设备。
16.根据权利要求14或15所述的方法,其特征在于,所述执行所述处置措施的节点设备为所述第一节点设备时,所述方法还包括:
所述第一节点设备根据所述威胁爆发信息执行针对所述第二异常事件的处置措施。
17.根据权利要求16所述的方法,其特征在于,所述第一节点设备根据所述威胁爆发信息执行针对所述第二异常事件的处置措施,包括:
当所述第二异常事件为恶意的连接时,所述第一节点设备对所述连接进行封堵;和/或,
当所述第二异常事件为恶意的进程时,所述第一节点设备对所述进程进行清除;和/或,
当所述第二异常事件为恶意的权限时,所述第一节点设备对所述权限进行修改;和/或,
当所述第二异常事件为文件的篡改时,所述第一节点设备对所述文件进行修复;和/或,
当所述第二异常事件为内存的异常时,所述第一节点设备对所述内存进行软硬件重置。
18.一种网络威胁的处理系统,其特征在于,包括第一节点设备和第二节点设备;
所述第二节点设备,用于向所述第一节点设备发送第一异常事件信息,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型;
所述第一节点设备,用于检测到针对所述第一节点设备的第一异常行为;根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
19.根据权利要求18所述的系统,其特征在于,所述系统还包括第三节点设备;
所述第三节点设备,用于向所述第一节点设备发送第三异常事件信息,所述第三异常事件信息包括第三异常事件的属性描述信息、所述第三异常事件的攻击阶段和所述第三异常事件的攻击类型;
所述第一节点设备,用于检测到针对所述第一节点设备的第二异常行为;根据第二异常行为以及第三异常事件信息确定未达到生成威胁爆发信息的条件,并生成第四异常事件信息,其中,所述第四异常事件是根据所述第三异常事件以及所述第二异常行为关联生成的;向所述第一节点设备所属的网络中发送所述第四异常事件信息。
20.根据权利要求18或19所述的系统,其特征在于,所述系统,还包括:第四节点设备;
所述第一节点设备,用于根据所述威胁爆发信息确定第四节点设备执行所述处置措施,并向所述第四节点设备发送所述威胁爆发信息;
所述第四节点设备,用于接收来自所述第一节点设备的所述威胁爆发信息,并根据所述威胁爆发信息执行针对所述第二异常事件的处置措施。
21.根据权利要求20所述的系统,其特征在于,所述第四节点设备,用于当所述第二异常事件为恶意的连接时,对所述连接进行封堵;和/或,当所述第二异常事件为恶意的进程时,对所述进程进行清除;和/或,当所述第二异常事件为恶意的权限时,对所述权限进行修改;和/或,当所述第二异常事件为文件的篡改时,对所述文件进行修复;和/或,当所述第二异常事件为内存的异常时,对所述内存进行软硬件重置。
22.一种通信装置,包括存储器、网络接口和至少一个处理器,其特征在于,所述通信装置为第一节点设备,所述存储器,用于存储程序代码;
所述至少一个处理器,用于读取所述存储器中存储的程序代码后,使得所述通信装置执行以下操作:
检测到针对所述第一节点设备的第一异常行为;
根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述第一异常事件信息是所述第一节点设备检测到所述第一异常行为之前第二节点设备发送的,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;
根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
23.根据权利要求22所述的通信装置,其特征在于,所述处理器读取所述存储器中存储的程序代码后,执行以下操作:
获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;
根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件。
24.一种通信装置,其特征在于,所述通信装置为第一节点设备,所述通信装置包括:
检测模块,用于检测到针对所述第一节点设备的第一异常行为;
处理模块,用于根据所述第一异常行为以及第一异常事件信息确定达到生成威胁爆发信息的条件,并生成所述威胁爆发信息,其中,所述第一异常事件信息是所述第一节点设备检测到所述第一异常行为之前第二节点设备发送的,所述第一异常事件信息包括第一异常事件的属性描述信息、所述第一异常事件的攻击阶段和所述第一异常事件的攻击类型,所述威胁爆发信息包括第二异常事件的属性描述信息和所述第二异常事件对应的威胁程度信息,所述第二异常事件是根据所述第一异常事件以及所述第一异常行为关联生成的;
确定模块,用于根据所述威胁爆发信息确定针对所述第二异常事件的处置措施。
25.根据权利要求24所述的通信装置,其特征在于,所述处理模块,用于获取所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性;根据所述第一异常行为、所述第一异常事件信息、所述第一节点设备所处的网络位置和所述第一节点设备对应的业务属性确定达到生成威胁信息的条件。
26.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述指令在计算机上运行时,使得计算机执行如权利要求1至权利要求17中任一项所述的网络威胁的处理方法。
27.一种计算机程序产品,其特征在于,所述计算机程序产品包括一个或多个计算机程序指令,当所述计算机程序指令被计算机加载并运行时,使得所述计算机执行如权利要求1至权利要求17中任一项所述的网络威胁的处理方法。
CN202110038967.9A 2021-01-12 2021-01-12 一种网络威胁的处理方法和通信装置 Pending CN114765555A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202110038967.9A CN114765555A (zh) 2021-01-12 2021-01-12 一种网络威胁的处理方法和通信装置
EP21918919.8A EP4262144A4 (en) 2021-01-12 2021-08-12 NETWORK THREAT PROCESSING METHOD AND COMMUNICATION APPARATUS
PCT/CN2021/112269 WO2022151726A1 (zh) 2021-01-12 2021-08-12 一种网络威胁的处理方法和通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110038967.9A CN114765555A (zh) 2021-01-12 2021-01-12 一种网络威胁的处理方法和通信装置

Publications (1)

Publication Number Publication Date
CN114765555A true CN114765555A (zh) 2022-07-19

Family

ID=82362866

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110038967.9A Pending CN114765555A (zh) 2021-01-12 2021-01-12 一种网络威胁的处理方法和通信装置

Country Status (3)

Country Link
EP (1) EP4262144A4 (zh)
CN (1) CN114765555A (zh)
WO (1) WO2022151726A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117792804B (zh) * 2024-02-28 2024-06-11 成都九洲电子信息系统股份有限公司 基于位图和预过滤的网络威胁筛选方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101075917B (zh) * 2007-07-16 2010-08-25 华为技术有限公司 一种预测网络攻击行为的方法及装置
CN101431416B (zh) * 2008-12-10 2011-04-20 南京邮电大学 一种应用于数据网格的协同学习入侵检测方法
CN109005173B (zh) * 2018-08-02 2020-08-07 北京航空航天大学 一种基于交通流密度差异的车联网异常入侵检测方法
US11729186B2 (en) * 2018-10-04 2023-08-15 Research Foundation Of The City University Of New York Blockchain architecture for computer security applications
CN111355610A (zh) * 2020-02-25 2020-06-30 网宿科技股份有限公司 一种基于边缘网络的异常处理方法及装置

Also Published As

Publication number Publication date
EP4262144A1 (en) 2023-10-18
EP4262144A4 (en) 2024-07-03
WO2022151726A1 (zh) 2022-07-21

Similar Documents

Publication Publication Date Title
US11089045B2 (en) User and entity behavioral analysis with network topology enhancements
US11693964B2 (en) Cyber security using one or more models trained on a normal behavior
US20210092150A1 (en) Advanced cybersecurity threat mitigation using behavioral and deep analytics
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
US10609079B2 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US11968227B2 (en) Detecting KERBEROS ticket attacks within a domain
US10432660B2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
US11818169B2 (en) Detecting and mitigating attacks using forged authentication objects within a domain
US11005824B2 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
US20220060497A1 (en) User and entity behavioral analysis with network topology enhancements
US11985040B2 (en) Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
US20230370439A1 (en) Network action classification and analysis using widely distributed honeypot sensor nodes
Mahboubi et al. Stochastic modeling of IoT botnet spread: A short survey on mobile malware spread modeling
US20230388278A1 (en) Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation
US20230308459A1 (en) Authentication attack detection and mitigation with embedded authentication and delegation
Li et al. A framework of blockchain-based collaborative intrusion detection in software defined networking
WO2019018829A1 (en) MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS
CN114765555A (zh) 一种网络威胁的处理方法和通信装置
Grottke et al. On the efficiency of sampling and countermeasures to critical-infrastructure-targeted malware campaigns
KR20110015024A (ko) 통신 네트워크를 위한 침입 방지 방법 및 시스템
Karmakar et al. A trust-aware openflow switching framework for software defined networks (SDN)
Kondakci et al. Internet epidemiology: healthy, susceptible, infected, quarantined, and recovered
EP3679506A2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
US11611580B1 (en) Malware infection detection service for IoT devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination