CN114915452B - 一种网络实体威胁标签的标定方法、系统及存储介质 - Google Patents

Abstract

本公开提供一种网络实体威胁标签的标定方法、系统及存储介质，所述标定方法利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签，所述网络实体行为特征至少包括事件类型特征和时序行为特征，将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架、以及TCTF、ATT&CK中的至少一种，融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定，提高了标定效率和准确率。

Description

一种网络实体威胁标签的标定方法、系统及存储介质

技术领域

本公开属于网络安全领域，具体涉及一种网络实体威胁标签的标定方法、系统及存储介质。

背景技术

基于流量日志的威胁监测方法受限于网络报文监测规则准确率和范围局限性导致监测范围仅能面向已知威胁、产出大量误报、告警碎片化程度高，无法全面准确刻画特定网络实体威胁和风险情况，无法有效支撑威胁预警、处置通报等业务场景。当前主流网络威胁检测响应技术通过威胁情报赋能提升威胁检出可靠性，其中实体威胁标签通常依赖安全研究人员人工提取构建，准确率高但受限于人工效率无法应对海量流量中多样化攻击研判，未能有效利用网空威胁框架指导网络实体威胁标定及威胁行动监测发现。

发明内容

针对现有技术中存在的上述技术问题，提出了本公开。本公开旨在提供一种网络实体威胁标签的标定方法及系统，其能够实时标定实体威胁标签，提高标定效率和标定准确率。

根据本公开的第一方案，提供一种网络实体威胁标签的标定方法，所述标定方法包括基于实时计算，利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征，基于所述网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签，所述网络实体行为特征至少包括事件类型特征和时序行为特征，将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架，以及TCTF、ATT&CK中的至少一种，融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定。

根据本公开的第二方案，提供一种网络实体威胁标签的系统，所述系统包括处理器，所述处理器被配置为：基于实时计算，利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征，基于所述网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签，所述网络实体行为特征至少包括事件类型特征和时序行为特征，将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架，以及TCTF、ATT&CK中的至少一种；融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定。

根据本公开的第三方案，提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本公开各个实施例所述的网络实体威胁标签的标定方法。

与现有技术相比，本公开实施例的有益效果在于：

本公开进行网络实体威胁标签标定，基于流量日志和安全事件告警以实时计算的方式实现网络实体威胁标定。通过引入网空杀伤链框架、TCTF、ATT&CK等多种网空威胁框架实时映射技术，基于实时计算实现将威胁实体行为映射到多个威胁框架的技战术项，通过兼容多种框架丰富威胁标签表达能力，清楚反映实体威胁情况。通过提取事件类型特征和时序行为特征，用于网络实体威胁标签标定，使用时序特征与事件特征结合方式，基于实时计算实现网络实体威胁标签实时标定，能够提高标定效率和准确度，并且可以有效利用多个网空威胁框架指导网络威胁行动的监测发现。

上述的一般描述和以下的详细描述只是示例性和说明性的，并不旨在限制要求保护的发明。

附图说明

在不一定按比例绘制的附图中，相同的附图标记可以在不同的视图中描述相似的部件。具有字母后缀或不同字母后缀的类似附图标记可以表示相似组件的不同示例。附图通过举例而不是以限制的方式大体上示出各种实施例，并且与说明书以及权利要求书一起用于对所公开的实施例进行说明。这样的实施例是说明性和示例性的，而并非旨在作为本方法、装置、系统或具有用于实现该方法的指令的非暂时性计算机可读介质的穷尽或排他的实施例。

图1示出根据本公开实施例的网络实体威胁标签的标定方法流程图；

图2示出根据本公开实施例的网络实体威胁标签模型示意图；

图3示出根据本公开实施例的用于网络实体威胁标签的标定装置示意图。

具体实施方式

为使本领域技术人员更好的理解本公开的技术方案，下面结合附图和具体实施方式对本公开作详细说明。下面结合附图和具体实施例对本公开的实施例作进一步详细描述，但不作为对本公开的限定。

本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分部分的称谓。“包括”或者“包含”等类似的词语意指在该词前的要素涵盖在该词后列举的要素，并不排除也涵盖其他要素的可能。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

在本公开中，各个步骤在图中所示的箭头仅仅作为执行顺序的示例，而不是限制，本公开的技术方案并不限于实施例中描述的执行顺序，执行顺序中的各个步骤可以合并执行，可以分解执行，可以调换顺序，只要不影响执行内容的逻辑关系即可。

本公开使用的所有术语(包括技术术语或者科学术语)与本公开所属领域的普通技术人员理解的含义相同，除非另外特别定义。还应当理解，在诸如通用字典中定义的术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义，而不应用理想化或极度形式化的意义来解释，除非这里明确地这样定义。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

图1示出根据本公开实施例的网络实体威胁标签的标定方法流程图。

在一些实施例中，如步骤101所示，基于实时计算，利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征。比如，利用网络实体行为实时抽取计算单元读取消息队列中的流量日志、安全事件告警，利用分布式实时计算引擎实现实体行为特征、网络实体威胁特征的提取。所述流量日志包括时间戳，源IP，目的IP，源端口，目的端口，进出流量，服务质量(Qos)等。所述安全事件告警可以理解为流量监测产出的安全告警事件，覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型。

在步骤102，基于所述网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签。在步骤103，所述网络实体行为特征至少包括事件类型特征和时序行为特征。具体地，所述事件类型特征，即提取得到的网络实体威胁行为类型特征，例如高频扫描探测、恶意网络外联等行为特征。所述时序行为特征，即分析一段时间内的日志和告警，提取得到实体行为先后逻辑含义，例：扫描→漏洞利用→恶意样本拉取→数据窃取→数据外带。在步骤104，将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架，以及TCTF、ATT&CK中的至少一种。威胁框架是系统认知网空威胁、构建有效防御的方法和工具体系。其中，所述TCTF指的是技术性网空威胁框架。ATT&CK指的是对手战术技术公共知识库，ATT&CK在网空杀伤链框架基础上，从大量的现实网空威胁中提炼出攻击行动的具体信息，对这些信息进行了细致的技术分解与特征描述。

具体地，该实施例支持多类网空实体威胁框架，通过网络实体行为网空威胁映射技术，实现流量日志和安全事件告警日志的技战术映射，支持映射网空杀伤链框架、TCTF、ATT&CK等网空威胁框架，利用实时计算引擎进行分布式实时技战术映射。其中，所述技战术映射是将实体行为特征、威胁特征映射到网空威胁框架具体技战术项，为网络实体添加相应技战术标签。比如，开放端口服务扫描探测在ATT&CK框架下属于侦查(Reconnaissance)战术阶段的主动扫描(Active Scanning)技术，对应技术项为T1595。

基于实时计算实现将威胁实体行为映射到多个威胁框架的技战术项，通过兼容多种框架丰富威胁标签表达能力，清楚反映实体威胁情况。如步骤105，融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定，从而提高网络实体综合威胁标定的效率和准确性。

其中，对于事件类型特征的提取，以具体示例进行详细说明。例如，在网络出入口流日志中，发现2021年11月16日2时45分左右，IP地址185.206.212.165向一台主机发起了有针对性的端口扫描。攻击者尝试探测指定端口上是否开放特定服务，如3306端口的MySQL、3389端口的RDP、6379端口的Redis、7001端口的WebLogic、9090端口的WebSphere、9200端口的ElasticSearch，以便开展后续的攻击。这些TCP数据包的IPID都为54321，符合典型的Zmap扫描特征，攻击者可能利用Zmap扫描工具对外进行扫描。据此，提取生成事件类型特征：(扫描探测，185.206.212.165，高频，【Zmap、荷兰、无状态扫描】)。对于时序特征的提取，例如，攻击者通过扫描探测确认端口服务的开放状态，随后针对开放的3389端口发起了攻击，并且是利用BlueKeep漏洞与弱口令爆破两种手段几乎同时进行。针对3389的攻击未果，攻击者转向另一个开放端口7001，利用WebLogic的远程代码执行漏洞成功入侵。利用该漏洞执行的Shellcode在失陷主机上下载后续恶意样本。在样本执行后，触发安全事件告警。据此，串联时序特征(扫描探测，185.206.212.165，高频，【Zmap、荷兰、无状态扫描】)->(漏洞利用，185.206.212.165，低频，【BlueKeep、CVE-2019-0708】)->(口令爆破，185.206.212.165，高频，【RDP】)->(漏洞利用，185.206.212.165，低频，【WebLogic、CVE-2020-14882】)->(恶意文件下载，185.206.212.165，低频，【Miner、XMRig】)。

以ATT&CK为例，说明威胁框架技战术映射。比如，基于网络实体行为映射网空威胁框架的技战术，最初的开放端口服务扫描探测在ATT&CK框架下属于侦查(Reconnaissance)战术阶段的主动扫描(Active Scanning)技术，对应技术项为T1595。在Kill Chain框架下属于侦察阶段(Reconnaissance)，在TCTF框架下属于目标勘察与环境整备阶段(Preparation)。后续的多个漏洞利用攻击在ATT&CK框架下属于建立立足点(InitialAccess)战术阶段的攻击应用程序(Exploit Public-Facing Application)技术，对应技术项为T1190，在Kill Chain框架下属于攻击利用阶段(Exploitation)，在TCTF框架下属于接触目标与进攻突防阶段(Engagement)。基于实体行为事件类型特征和时序特征，融合事件特征和时序行为信息，为网空实体生成实体威胁标签(扫描、漏洞利用)。各个实施例仅作为示例性说明，并不构成对保护范围的具体限定。

在一些实施例中，所述实体标签包括网络实体行为特征标签、网络实体威胁类别标签，其中，所述网络实体行为特征标签基于所述流量日志提取得到，所述网络实体威胁类别标签基于所述安全事件告警数据提取得到，通过综合考虑流量日志和安全时间告警数据，分别获取网络实体行为特征标签和网络实体威胁类别标签，能够提高检测的范围，降低误报率。

进一步地，融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，基于所述事件类型特征和时序行为特征实时标定网络实体威胁标签，有利于实现对海量流量的多样化攻击研判，充分利用网空威胁框架指导网络实体威胁标定和威胁行动检测发现。所述融合处理即融合实体行为特征标签、威胁类别标签、威胁框架技战术标签等多层次实体标签，实现网络实体综合威胁标定。

基于流量日志和安全时间告警数据分别获取网络实体行为特征标签和网络实体威胁类别标签，采用实时计算方式，利用网络出入口流量日志、碎片化告警日志，实现实体行为抽取，针对实体行为进行网空威胁技战术映射，对网络实体标签实时融合，有利于全面准确的刻画网络实体威胁和风险情况，有效支撑威胁预警、处置通报等业务场景。同时，不再依赖人工提取构件实体威胁标签，在提高标定准确率的同时提高标定效率。

在一些实施例中，基于所生成的所述网络实体综合威胁标签，生成用于网络实时监控的网络威胁报警信息，基于所述网络威胁报警信息，有利于提高对网络安全监控的实时性和准确性。

在一些实施例中，所述标定方法还包括利用时序库200(如图2)进行基于时序的实体威胁分析，所述时序库200中包括网络实体行为特征、网络实体威胁特征。具体地，所述网络实体行为特征相关数据存储在行为特征库201，所述网络实体威胁特征相关数据存储在威胁标签库202，便于标定的过程中，对于数据的快速抽取。进一步地，利用K-V数据库(未示出)进行威胁标签相关的检索分析，所述K-V数据库中包括所述网络实体综合威胁标签。网络实体综合威胁标签能够反映网络相关数据的安全情况，比如是否存在被攻击、是否存在被盗取、是否存在被更改等威胁情况。利用K-V数据库进行威胁标签相关的检索分析，有利于提高检索分析的速度。

如图2所示，该网络实体威胁标签模型包括时序库200和网空威胁框架映射库203，其中，所述时序库200包含行为特征库201和威胁标签库202。在一些实施例中，所述网络实体威胁标签模型中，所述网络实体至少包括IP204、样本205、域名206或邮箱207，其中，网络实体威胁类型包括：实体行为类型标签、关联事件类型标签、行为特征标签、威胁框架标签。

在一些实施例中，与所述IP204相关联的所述关联事件类型标签至少包括DDOS攻击、蠕虫传播、僵尸木马，其中，所述DDOS指的是分布式拒绝服务。与所述样本205相关联的所述关联事件类型标签至少包括窃密。与所述域名206相关联的所述关联事件类型标签至少包括钓鱼网站、仿冒网站、水坑攻击。与所述邮箱207相关联的所述关联事件类型标签至少包括邮件钓鱼、垃圾邮件。

在一些实施例中，与所述IP 204相关联的所述实体行为类型标签至少包括IP所属自治域、通联IP及端口分布、通联IP所在C段、通联时间分布信息。与所述样本205相关联的所述实体行为类型标签至少包括病毒家族、编译信息、文件机构信息、网络外联特征、进程操作特征、文件操作特征。与所述域名206相关联的所述实体行为类型标签至少包括域名解析地址、A记录、MX记录、NS记录，其中，所述A记录是用来指定主机名(或域名)对应的IP地址记录。MX记录是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。NS记录是域名服务器记录，用来指定该域名由哪个DNS服务器来进行解析。与所述邮箱207相关联的所述实体行为类型标签至少包括邮件主题类型、邮件附件类型、邮件服务商信息。

在一些实施例中，与所述IP 204相关联的所述威胁框架标签至少包括T1592收集目标主机信息技术，与所述样本205相关联的所述威胁框架标签至少包括T1022渗透战术数据加密技术，与所述域名206相关联的所述威胁框架标签至少包括T1598网络钓鱼技术。与所述邮箱207相关联的所述威胁框架标签至少包括T1003凭证转储技术。其中，T1592、T1022、T1598、T1003指的是对应技术标签。

在一些实施例中，与所述IP 204相关联的所述实体行为类型标签至少包括放马IP、C2(Command and Control即控制回连地址)、Tor节点等，与所述样本205相关联的所述实体行为类型标签至少包括恶意扫描、漏洞利用等，与所述域名206相关联的所述实体行为类型标签至少包括放马域名、C2地址、Fast-flux域名等，与所述邮箱207相关联的所述实体行为类型标签至少包括恶意邮件传播源等。其中，所述IP 204与所述域名206之间存在访问访问和解析关系，IP204与样本205之间存在传播回连关系、IP204与邮箱207之间存在访问和承载关系，样本205与邮箱207之间存在传播感染关系，样本205与域名206之间存在传播回连关系，域名206与邮箱207之间存在域名Whois信息中包含注册厂商邮箱关系。

在一些实施例中，所述实时计算包括基于streaming实时计算框架，所述标定方法具体还包括读取消息队列中的流量日志、安全事件告警数据，基于所述streaming实时计算框架提取网络实体及其相关联的网络实体行为，能够实现实时标定，提高了对网络安全监测的准确性。其次，在具体实施过程中，还包括网络实体行为网空威胁映射单元利用streaming实时计算框架实现基于提取到的网络实体行为映射网络实体行为网空威胁技战术标签，支持映射网空杀伤链框架、TCTF、ATT&CK等网空威胁框架。基于消息队列中流量日志、事件告警，利用分布式实时计算引擎实现实体行为特征实时提取、网络实体行为网空威胁映射、网络实体标签融合，并借助K-V存储引擎、时序存储引擎实现网络实体时序行为特征、网络实体威胁标签存储检索管理，进一步提高了网络实体威胁实时标定的效率和准确性。

在一些实施例中，提供一种网络实体威胁标签系统，所述系统包括处理器，所述处理器被配置为基于实时计算，利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征，以有效支撑威胁预警、处置通报等业务场景。该实施例基于所述网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签，便于后续形成准确度更高的网络实体综合威胁标签。其中，所述网络实体行为特征至少包括事件类型特征和时序行为特征，通过充分考虑事件类型和时序行为特征，有利于提高对网络实体综合威胁标定的准确度。将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架，以及TCTF、ATT&CK中的至少一种，通过多种网空威胁框架的配合，提高了对数据的处理效率。融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定。

在一些实施例中，所述实体标签包括实体行为特征标签、威胁类别标签，所述实体行为特征标签基于所述流量日志提取得到，所述威胁类别标签基于所述安全事件告警数据提取得到，融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，基于所述事件类型特征和时序行为特征实时标定网络实体威胁标签。

在一些实施例中，所述处理器进一步被配置为利用时序库进行基于时序的实体威胁分析，所述时序库中包括网络实体行为特征、网络实体威胁特征，利用K-V数据库进行威胁标签相关的检索分析，所述K-V数据库中包括所述网络实体综合威胁标签。

图3示出根据本公开实施例的用于网络实体威胁标签的标定装置示意图。在一些实施例中，网络实体威胁标签的标定装置300可以是专用智能装置或通用智能装置。例如，网络实体威胁标签的标定装置300可以是为网络实体威胁标签的标定任务定制的计算机，或者云端的服务器。

作为示例，在网络实体威胁标签的标定装置300中，至少包括接口301和处理器303，在一些实施例中，还可以包括存储器302。

在一些实施例中，接口301被配置为接收数据中心存储的结构化流量日志和安全时间告警数据，例如，接口301可以经由通信电缆、无线局域网(WLAN)、广域网(WAN)、无线网络(诸如经由无线电波、蜂窝或电信网络、和/或本地或短程无线网络(例如，蓝牙TM))或其他通信方法接收由各种存储装置存储的数据。

在一些实施例中，接口301可以包括集成服务数字网(ISDN)卡、电缆调制解调器、卫星调制解调器或调制解调器，以提供数据通信连接。在这样的实现中，接口301可以经由直接通信链路来发送和接收电信号、电磁信号和/或光学信号，其承载表示各种类型的信息的模拟/数字数据流。在另外一些实施例中，接口301还可以包括局域网(LAN)卡(例如，以太网适配器)，以提供到兼容LAN的数据通信连接。作为示例，接口301还可以包括网络接口3011，经由网络接口3011，网络实体威胁标签的标定装置300可以连接到网络(未示出)，例如包括但不限于局域网或互联网。网络可以将网络实体威胁标签的标定装置300与诸如数据采集装置(未示出)的外部装置、数据库304、标签数据存储装置305连接。

在一些实施例中，网络实体威胁标签的标定装置300可以额外包括输入/输出306和显示器307中的至少一个。

处理器303是包括一个或多个通用处理设备(诸如微处理器，中央处理单元(CPU)，图形处理单元(GPU)等)的处理设备。更具体地说，处理器303可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器、运行其他指令集的处理器或运行指令集的组合的处理器。处理器303也可以是一个或多个专用处理设备，例如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、片上系统(SoC)等等。如本领域技术人员将理解的，在一些实施例中，处理器303可以是专用处理器，而不是通用处理器。处理器303可以包括一个或多个已知处理设备，诸如由英特尔公司制造的Pentium TM、Core TM、Xeon TM或Itanium TM系列的微处理器，由AMD公司制造的TurionTM、Athlon TM、Sempron TM、Opteron TM、FX^TM、Phenom^TM系列的微处理器或太阳微系统(SunMicrosystems)制造的各种处理器的任一种。处理器303还可以包括图形处理单元，诸如来自Nvidia公司制造的

系列的GPU，由英特尔TM制造的GMA、Iris TM系列的GPU或者由AMD公司制造的Radeon TM系列GPU。处理器303还可以包括加速的处理单元，诸如AMD公司制造的桌面A-4(6,8)系列，英特尔公司制造的Xeon Phi TM系列。所公开的实施例不限于任何类型的处理器或处理器电路，这些处理器或处理器电路以其他方式被配置为满足如下计算需求：执行诸如根据本公开各实施例的网络实体综合标签标定的方法。另外，术语“处理器”可以包括多于一个处理器，例如，多核设计或多个处理器，所述多个处理器中的每个处理器具有多核设计。处理器303可以执行存储在存储器302中的计算机程序指令的序列，以执行本文公开的各种操作、过程、方法。

处理器303可以通信地耦合到存储器302并且被配置为执行存储在其中的计算机可执行指令。存储器302可以包括只读存储器(ROM)、闪存，随机存取存储器(RAM)、诸如同步DRAM(SDRAM)或Rambus DRAM的动态随机存取存储器(DRAM)、静态存储器(例如，闪存，静态随机存取存储器)等，其上以任何格式存储计算机可执行指令。计算机程序指令可以被处理器303访问，从ROM或者任何其他合适的存储位置读取，并加载到RAM中供处理器303执行。例如，存储器302可以存储一个或多个软件应用程序。存储在存储器302中的软件应用程序可以包括例如用于通用计算机系统的操作系统(未示出)以及软控制设备(未示出)。此外，存储器302可以存储整个软件应用程序或仅存储软件应用程序的一部分以能够由处理器303执行。另外，存储器302可以存储多个软件模块，用于实现与本公开一致的网络实体标签标定过程的各个步骤。

输入/输出306可以被配置为允许网络实体威胁标签的标定装置300接收和/或发送数据。输入/输出306可以包括允许网络实体威胁标签的标定装置300与用户或其他机器和装置通信的一个或多个数字和/或模拟通信设备。例如，输入/输出306可以包括允许用户提供输入的键盘和鼠标。

网络接口3011可以包括网络适配器、电缆连接器、串行连接器、USB连接器、并行连接器、诸如光纤的高速数据传输适配器、USB 3.0、闪电、无线网络适配器如WiFi适配器、电信(3G、4G/LTE等)适配器。网络实体威胁标签的标定装置300可以通过网络接口3011连接到网络。网络可以提供局域网(LAN)、无线网络、云计算环境(例如，作为服务的软件、作为服务的平台、作为服务的基础设施等)、客户端服务器、广域网(WAN)等的功能。显示器307还可以显示其他信息，诸如标定结果等。例如，显示器307可以是LCD、CRT或LED显示器。

本公开的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本公开各个实施例所述的网络实体威胁标签的标定方法。存储介质可以包括只读存储器(ROM)、闪存、随机存取存储器(RAM)、诸如同步DRAM(SDRAM)或Rambus DRAM的动态随机存取存储器(DRAM)、静态存储器(例如，闪存、静态随机存取存储器)等，其上可以以任何格式存储计算机可执行指令。

此外，尽管已经在本文中描述了示例性实施例，其范围包括任何和所有基于本公开的具有等同元件、修改、省略、组合(例如，各种实施例交叉的方案)、改编或改变的实施例。权利要求书中的元件将被基于权利要求中采用的语言宽泛地解释，并不限于在本说明书中或本申请的实施期间所描述的示例，其示例将被解释为非排他性的。因此，本说明书和示例旨在仅被认为是示例，真正的范围和精神由以下权利要求以及其等同物的全部范围所指示。

以上描述旨在是说明性的而不是限制性的。例如，上述示例(或其一个或更多方案)可以彼此组合使用。例如本领域普通技术人员在阅读上述描述时可以使用其它实施例。另外，在上述具体实施方式中，各种特征可以被分组在一起以简单化本公开。这不应解释为一种不要求保护的公开的特征对于任一权利要求是必要的意图。相反，本公开的主题可以少于特定的公开的实施例的全部特征。从而，以下权利要求书作为示例或实施例在此并入具体实施方式中，其中每个权利要求独立地作为单独的实施例，并且考虑这些实施例可以以各种组合或排列彼此组合。本发明的范围应参照所附权利要求以及这些权利要求赋权的等同形式的全部范围来确定。

Claims (10)

1.一种网络实体威胁标签的标定方法，其特征在于，所述标定方法包括：

基于实时计算，利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征；

基于所述网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签；

所述网络实体行为特征至少包括事件类型特征和时序行为特征；

将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架，以及技术性网空威胁框架TCTF、对手战术技术公共知识库ATT&CK中的至少一种；

融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定。

2.根据权利要求1所述的标定方法，其特征在于，所述实体标签包括网络实体行为特征标签、网络实体威胁类别标签；

所述网络实体行为特征标签基于所述流量日志提取得到；

所述网络实体威胁类别标签基于所述安全事件告警数据提取得到；

融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，基于所述事件类型特征和时序行为特征实时标定网络实体威胁标签；

进一步地，基于所生成的所述网络实体综合威胁标签，生成用于网络实时监控的网络威胁报警信息。

3.根据权利要求1所述的标定方法，其特征在于，所述标定方法还包括：

利用时序库进行基于时序的实体威胁分析，所述时序库中包括网络实体行为特征、网络实体威胁特征；

利用K-V数据库进行威胁标签相关的检索分析，所述K-V数据库中包括所述网络实体综合威胁标签；

进一步地，所述网络实体威胁标签模型中，所述网络实体至少包括IP、样本、域名或邮箱；

其中，网络实体威胁类型包括：实体行为类型标签、关联事件类型标签、行为特征标签、威胁标签。

4.根据权利要求3所述的标定方法，其特征在于，与所述IP相关联的所述关联事件类型标签至少包括DDOS攻击、蠕虫传播、僵尸木马；

与所述样本相关联的所述关联事件类型标签至少包括窃密；

与所述域名相关联的所述关联事件类型标签至少包括钓鱼网站、仿冒网站、水坑攻击；

与所述邮箱相关联的所述关联事件类型标签至少包括邮件钓鱼、垃圾邮件。

5.根据权利要求3所述的标定方法，其特征在于，与所述IP相关联的所述实体行为类型标签至少包括IP所属自治域、通联IP及端口分布、通联IP所在C段、通联时间分布信息；

与所述样本相关联的所述实体行为类型标签至少包括病毒家族、编译信息、文件机构信息、网络外联特征、进程操作特征、文件操作特征；

与所述域名相关联的所述实体行为类型标签至少包括域名解析地址、A记录、MX记录、NS记录；

与所述邮箱相关联的所述实体行为类型标签至少包括邮件主题类型、邮件附件类型、邮件服务商信息。

6.根据权利要求3所述的标定方法，其特征在于，与所述IP相关联的所述威胁框架标签至少包括T1592收集目标主机信息技术；

与所述样本相关联的所述威胁框架标签至少包括T1022渗透战术数据加密技术；

与所述域名相关联的所述威胁框架标签至少包括T1598网络钓鱼技术；

与所述邮箱相关联的所述威胁框架标签至少包括T1003凭证转储技术。

7.根据权利要求1所述的标定方法，其特征在于，所述实时计算包括基于streaming实时计算框架，所述标定方法具体还包括：

读取消息队列中的流量日志、安全事件告警数据，基于所述streaming实时计算框架提取网络实体及其相关联的网络实体行为。

8.一种网络实体威胁标签的系统，其特征在于，所述系统包括处理器，所述处理器被配置为：

基于实时计算，利用网络实体威胁标签模型，从网络出入口的流量日志和安全事件告警数据中提取网络实体及其相关联的网络实体行为特征、网络实体威胁特征；

基于所述网络实体及其相关联的网络实体行为特征、网络实体威胁特征，提取与所述网络实体及其相关联的网络实体行为特征相关联的实体标签；

所述网络实体行为特征至少包括事件类型特征和时序行为特征；

将所述网络实体行为及其相关联的网络实体行为特征、网络实体威胁特征映射到网空威胁框架，获取技战术标签，所述网空威胁框架包括网空杀伤链框架，以及TCTF、ATT&CK中的至少一种；

融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，实现网络实体综合威胁标定。

9.根据权利要求8所述的系统，其特征在于，所述实体标签包括实体行为特征标签、威胁类别标签；

所述实体行为特征标签基于所述流量日志提取得到；

所述威胁类别标签基于所述安全事件告警数据提取得到；

融合处理所述实体标签和不同网空威胁框架映射得到的技战术标签，基于所述事件类型特征和时序行为特征实时标定网络实体威胁标签；

进一步地，所述处理器进一步被配置为：利用时序库进行基于时序的实体威胁分析，所述时序库中包括网络实体行为特征、网络实体威胁特征；

利用K-V数据库进行威胁标签相关的检索分析，所述K-V数据库中包括所述网络实体综合威胁标签。

10.一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行如权利要求1-9中任一项所述的网络实体威胁标签的标定方法。

Images