CN115211075A - 网络环境中的网络攻击识别 - Google Patents
网络环境中的网络攻击识别 Download PDFInfo
- Publication number
- CN115211075A CN115211075A CN202080097697.2A CN202080097697A CN115211075A CN 115211075 A CN115211075 A CN 115211075A CN 202080097697 A CN202080097697 A CN 202080097697A CN 115211075 A CN115211075 A CN 115211075A
- Authority
- CN
- China
- Prior art keywords
- network
- events
- logged
- attack
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了用于网络环境中的网络攻击识别的机制。一种方法由安全分析模块执行。该方法包括获得日志记录事件。这些事件已在网络环境中发生并被记录。每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联。该方法包括:通过将由网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配。该方法包括:通过形成这些日志记录事件的至少一个链来将这些日志记录事件链接在一起。每个链对应于由已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击。基于这些日志记录事件如何被链接在一起来更新网络安全偏差评分和网络安全偏差统计。该方法包括:基于这些日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定这些日志记录事件是善意的还是网络攻击的一部分。
Description
技术领域
本文提出的实施例涉及用于网络环境中的网络攻击识别的方法、安全分析模块、计算机程序、以及计算机程序产品。
背景技术
网络安全系统摄取日志、事件、流、以及许多其他各种格式的数据以生成警告、警报、通知以供安全运营中心(SOC)分析人员进行鉴别分类(triage)、分类排序(sort)、分析和关联。
这些数据是大量产生的,甚至每天数万亿个事件。SOC分析人员花费大量时间筛查误报的警报和警告,并传递相关的警报和警告以由下一级别进行进一步的分析。安全信息和事件管理(SIEM)工具可以被用于收集事件,并且安全编排、自动化和响应(SOAR)工具可以被用于处理(并可能地自动化)事件的分析。
当前的日志收集引擎摄取人类可读的日志事件,并将相关字段从它们解析到它们的数据库,可能地将其规范化成标准格式。日志事件全部是开发人员编写的信息,其从一个人提供给另一个人以供解译并且采用用于应用的特定格式。通过设法找到可能的入侵事件的搜索查询来分析日志数据库数据。安全分析解决方案被开发以设法在大数据数据库中查找威胁事件,并且它们会产生设法分辨事件与其他事件的不同之处的异常评分。
许多日志和事件数据本身以非上下文的方式被摄取,例如,作为人类可读的日志事件,机器不会对其进行解译而是从中收集并解析信息片段。经解析的数据不显示日志事件中的数据片段的任何关系,并且不添加来自其他事件的数据或关系。一旦被分析,数据通常不会被重新访问,或者如果数据被重新访问,那么它需要复杂的查询以分析与其他数据片段的关系。
许多网络安全解决方案会产生各种异常评分或类似的评分,但对事件的解译被留给SOC分析人员。异常评分会产生大量“假”警报,并且需要大量人工分析人员工作才能将它们整理出来。
入侵检测和预防解决方案无法扩展,因为每天都会以数百万种变体创建新的不同类型的恶意软件,并且不断地有用于僵尸主机(bots)通信的新方式被开发。检查每个文件或数据包针对数百万或者甚至数十亿个签名或文件哈希是不可行的。
因此,需要改进网络环境中的事件处理以用于检测网络攻击。
发明内容
本文的实施例的目的是在网络环境中提供有效的网络攻击识别。
根据第一方面,提供了一种用于网络环境中的网络攻击识别的方法。该方法由安全分析模块执行。该方法包括获得日志记录事件。这些事件已在网络环境中发生并被记录。每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联。该方法包括:通过将由网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配。该方法包括:通过形成这些日志记录事件的至少一个链来将这些日志记录事件链接在一起。每个链对应于由已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击。基于这些日志记录事件如何被链接在一起来更新网络安全偏差评分和网络安全偏差统计。该方法包括:基于这些日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定这些日志记录事件是善意的还是网络攻击的一部分。
根据第二方面,提供了用于网络环境中的网络攻击识别的安全分析模块。该安全分析模块包括处理电路。该处理电路被配置为使该安全分析模块获得日志记录事件。这些事件已在网络环境中发生并被记录。每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联。该处理电路被配置为通过将由网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配。该处理电路被配置为通过形成这些日志记录事件的至少一个链来将这些日志记录事件链接在一起。每个链对应于由已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击。基于这些日志记录事件如何被链接在一起来更新网络安全偏差评分和网络安全偏差统计。该处理电路被配置为基于这些日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定这些日志记录事件是善意的还是网络攻击的一部分。
根据第三方面,提供了一种用于网络环境中的网络攻击识别的安全分析模块。该安全分析模块包括获得模块,其被配置为获得日志记录事件。这些事件已在网络环境中发生并被记录。每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联。该安全分析模块包括匹配模块,其被配置为通过将由网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配。该安全分析模块包括链接模块,其被配置为通过形成这些日志记录事件的至少一个链来将这些日志记录事件链接在一起。每个链对应于由已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击。基于这些日志记录事件如何被链接在一起来更新网络安全偏差评分和网络安全偏差统计。该安全分析模块包括确定模块,其被配置为基于这些日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定这些日志记录事件是善意的还是网络攻击的一部分。
根据第四方面,提出了一种用于网络环境中的网络攻击识别的计算机程序,该计算机程序包括计算机程序代码,该计算机程序代码在安全分析模块上运行时使该安全分析模块执行根据第一方面所述的方法.
根据第五方面,提出了一种计算机程序产品,其包括根据第四方面所述的计算机程序和在其上存储该计算机程序的计算机可读存储介质。该计算机可读存储介质可以是非暂时性计算机可读存储介质。
有利地,这些方面在网络环境中提供了有效的网络攻击识别。
有利地,这些方面使能在网络环境中处理事件以用于检测网络攻击。
有利地,这些方面使能以规范化、标准化的解译格式存储日志记录事件,这减少了对存储和后续规范化的需要。
有利地,这些方面使能利用对恶意(或善意)意图的早期可能解译进行有效的事件关联和分析。
有利地,这些方面使能对网络安全事件进行有效分析,并且适于利用统计或机器学习技术进行自动化。
有利地,这些方面使能在新事件被记录时重新评估最初分析的日志记录事件。
有利地,这些方面使能利用相关上下文以及与其他事件的关系对异常评分进行自动解译。
有利地,这些方面使能识别相对于攻击阶段的安全状态并预测正在进行的网络攻击的可能的接下来的步骤以加快最佳缓解动作。
有利地,这些方面使能有效地处理日志记录事件以产生相关结果,针对攻击者的下一步行动的定时和类型并针对预测防御动作提供可能性。
所附实施例的其他目的、特征和优点从以下详细公开内容、所附从属权利要求以及附图中将变得显而易见。
一般而言,除非本文另有明确定义,否则权利要求中使用的所有术语均应根据其在技术领域中的通常含义来解释。除非另有明确说明,否则所有对“一/一个/该元件、装置、组件、部件、模块、步骤等”的引用均将被开放地解释为是指元件、装置、组件、部件、模块、步骤等的至少一个实例。除非明确说明,否则本文所公开的任何方法的步骤不必按照所公开的确切顺序执行。
附图说明
现在参考附图通过示例的方式来描述本发明构思,其中:
图1是示出根据实施例的网络环境的示意图;
图2是根据实施例的方法的流程图;
图3示意性地示出根据实施例的沿着时间线发生并被记录的事件;
图4是示出根据实施例的安全分析模块的功能单元的示意图;
图5是示出根据实施例的安全分析模块的功能模块的示意图;以及
图6示出根据实施例的包括计算机可读存储介质的计算机程序产品的一个示例。
具体实施方式
现在将在下文中参考附图更全面地描述本发明构思,其中示出了本发明构思的某些实施例。然而,本发明构思可以以许多不同的形式被体现并且不应被解释为限于本文阐述的实施例;相反,通过示例的方式提供这些实施例以使本公开将是彻底和完整的,并且将向本领域技术人员充分传达本发明构思的范围。在说明书中,相同的数字指代相同的元件。由虚线所示的任何步骤或特征都应被视为可选的。
如上所述,需要改进网络环境中的事件处理以用于检测网络攻击。
在这方面,日志记录事件链在传统上需要通过人类的聪明才智而被人工链接,并且可能地与具体的恶意软件或僵尸网络(botnet)及其作案手法进行匹配。安全分析在传统上被用于改进威胁/入侵检测,但这种安全分析通常无法分析日志记录事件的意图和上下文并且对解译几乎没有帮助。
因此,本文所公开的实施例涉及用于在网络环境中的网络攻击识别的机制。为了获得这种机制,提供一种安全分析模块、由安全分析模块所执行的方法、包括代码(例如,采用计算机程序的形式)的计算机程序产品,该代码在安全分析模块上运行时使该安全分析模块执行该方法。
图1是示出了可以在其中应用本文所提出的实施例的网络环境100的示意图。用户实体110表示善意用户,其是以善意意图操作网络的正常用户。
攻击者实体170表示具有侵入网络的恶意意图并将网络用于恶意目的的恶意用户。
应用实体120表示善意用户操作的服务的管理或应用组件。恶意用户可能会侵入应用实体120并赢得被泄露账户以通过授权通道插入恶意活动。
服务器实体160表示由恶意用户拥有/控制并且可以根据连接架构被用于针对网络单元的恶意动作的服务器。这通常是恶意软件所连接的命令和控制服务器。
核心网络实体130表示具有路由器、防火墙等的核心网络,其是网络单元之间的流量所遍历通过的传输网络。
设备实体140表示被连接到核心网络实体130的任意数量的设备,通常是终端设备,诸如物联网(IoT)设备、个人计算机、移动电话等。
网络单元实体150表示被用于向用户实体110递送所请求的服务以及用于促进用户实体110与设备实体140之间经由核心网络实体130的通信的诸如无线电设备、运营支持系统和业务支持系统服务器、移动核心单元、以及其他网络单元之类的网络单元。
安全分析模块200可以包括安全信息和事件管理(SIEM)系统180和/或安全操作和分析平台架构(SOAPA)系统190,并且被配置用于网络环境100中的网络攻击识别。安全分析模块200被配置用于从所有相关的实体120、130、140、150、160收集日志记录事件。安全分析模块200的此部分可以由SIEM系统180实现。安全分析模块200被配置用于分析这些日志记录事件以用于恶意活动的网络安全相关情报。安全分析模块200的此部分可以由SOAPA系统190实现。接下来,将公开网络环境100中的网络攻击识别的其他方面。
图2是示出用于网络环境100中的网络攻击识别的方法的实施例的流程图。这些方法由安全分析模块200执行。这些方法有利地被提供为计算机程序620。
S102:安全分析模块200获得日志记录事件。这些事件已经在网络环境100中发生并被记录。每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联。
S106:安全分析模块200通过将由网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配。
S108:安全分析模块200通过形成这些日志记录事件的至少一个链来将这些日志记录事件链接在一起。每个链对应于由已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击。基于这些日志记录事件如何被链接在一起来更新网络安全偏差评分和网络安全偏差统计。也就是说,哪些日志记录事件被链接到哪些日志记录事件。
S110:安全分析模块200基于这些日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定这些日志记录事件是善意的还是网络攻击的一部分。
日志记录事件是善意的还是网络攻击的一部分可以通过概率度量来表示。
现在,将公开与由安全分析模块200执行的网络环境100中的网络攻击识别的进一步细节有关的实施例。
一般而言,在网络环境100中,攻击是对暴露、改动、禁用、破坏、窃取、或赢得对资产的未授权访问或者对资产进行未授权使用的任何尝试。网络攻击是针对诸如计算机信息系统、基础设施、计算机网络、或个人计算机设备之类的网络环境100的任何类型的进攻性策略。
网络攻击的非限制性示例是:WannaCry勒索软件、Mirai恶意软件、NotPetya勒索软件、以及Stuxnet蠕虫程序。
现在,将公开日志记录事件的各方面。传统上,日志事件是根据事件是如何根据软件规范来描述而被创建的,这意味着每个软件以不同的方式描述类似的事件。另外,日期、地址、以及其他信息的格式可能会有所不同。在一些实施例中,所有日志记录事件因此具有统一的机器可读格式。由此,日志记录事件的数据可能会以可被用于网络攻击识别的后期阶段的格式被提供。
作为非限制性示例,与登录失败有关的事件可以被记录如下:
Aug 18 00:00:57izxvps sshd[5657]:Failed password for root from95.58.255.62port 38980ssh2
此事件可以通过例如以下方式被转换为机器可读格式的规范化事件:
{“intent”:”login”,“unix_time”:”1566086457,“dest”:”server-a”,”port”:38980,”service”:”ssh”,”user”:”root”,”success”:”false”}
作为非限制性示例,对于与网络流有关的事件,网络流可能会以由应用所设计的格式被记录,但应被转换为规范化的机器可读格式:
StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytesState
17:48:36.592155e tcp 192.168.0.68.60245->128.2.129.188.http27 1820FIN
此事件可以例如通过以下方式被转换为机器可读格式的规范化事件:
{“intent”:”http”,“unix_time”:”1566086457,“target”:”128.2.129.188”,”port”:80,”service”:”http”,”bytes”:1820,”proto”:”tcp”,”source”:”192.168.0.68”,”source_port”:60245,”state”:”FIN”}。
现在,将公开网络安全偏差评分和网络安全偏差统计的计算的各方面。
网络安全偏差评分可以被视为异常评分、置信度评分、概率、或者暗示相关联的事件(特别是与相关组中的其他数据相关的)的可疑性或恶意性或安全性相关差异的任何评分。在这方面,网络安全偏差评分是一种异常类型的评分,其提供对日志记录事件的异常程度或者日志记录事件在网络安全相关意义上与正常事件的偏差程度的度量。被用于网络安全偏差评分的计算的特征/值是网络安全相关的。可以例如使用随机森林类型的算法、统计异常值、自动编码器等来计算网络安全偏差评分。
可以从各种网络安全相关特征中计算网络安全偏差评分,进而可以对其进行评估以获得统计。在这方面,通常在某种统计意义上,网络安全偏差统计提供特征值偏离平均值多少的度量。通常,不会只针对一个特征来计算统计。网络安全偏差统计可以使用普通的统计来计算。
事件可以是网络、主机、日志、或其他类型的事件,因为基于各种因素,不仅网络事件而且日志记录事件和其他事件也可以是可疑的或明显恶意的。在一些实施例中,针对每个日志记录事件的安全偏差评分与该事件是网络攻击的一部分的概率成比例。在一些实施例中,针对每个日志记录事件的安全偏差统计被定义为针对相同事件的网络安全偏差评分的标准偏差。
可以通过多种方式来计算网络安全偏差评分,例如,使用自动编码器、随机森林、以及其他统计和机器学习方法。网络安全偏差评分可以以不同的方式进行缩放,例如,始终在0-100范围内取值,其中,100是最异常的。事件的网络安全偏差统计表示与其他(正常)事件的偏差,并且可以通过多种方式来计算。一个示例是计算在调查中的事件组的平均和标准偏差。可以例如使用特征值与均值的归一化标准偏差来估计事件的每个特征的网络安全偏差统计。在网络安全偏差评分的解译中这可以被用作此特征的重要性。
作为非限制性示例,对于涉及暴力破解的网络攻击,登录失败可能指示暴力破解或密码喷洒尝试,但它也可能是忘记密码场景的一部分。可以使用登录失败的次数以及可能的登录尝试之间的时间来计算网络安全偏差评分。提供此特征的一种方法是使用sigmoid函数以提供自动化缩放。也就是说,网络安全偏差评分=100/(1+exp(-n)),其中,n是失败尝试的次数。
作为非限制性示例,数值特征可以被用于定义针对自动编码器模型的正常行为嵌入。自动编码器可以被用于计算表示,并且对于新事件,重构误差可以被用作对网络安全偏差评分的度量。
作为非限制性示例,可以计算特征的均值和方差,并且标准偏差可以被用于计算网络安全偏差统计。可以通过特征值与平均值有多少标准偏差来估计网络安全偏差统计。
现在,将公开鉴于已知的网络攻击生命周期阶段,如何使用网络安全偏差评分和网络安全偏差统计以解译日志记录事件的各方面。
每个事件的相关特征通常取决于特定的网络攻击生命周期阶段(例如,侦察),诸如连接方向、协议、连接数量之类的网络事件数据及其与其他或正常数据值的偏差可以被用于确定背后的意图。
在一些实施例中,S106中的比较涉及选择与每个日志记录事件的事件类型、网络安全偏差评分、以及网络安全偏差统计的组合最匹配的网络攻击生命周期阶段。
作为非限制性示例,对于涉及恶意软件递送的网络攻击,如果在数据摄取(其中均值为1000字节并且测量值为275000字节)中存在网络安全偏差评分为68并且根据网络安全偏差统计的最高特征偏差为9.5的网络事件,那么这可以被解译为具有将恶意软件下载到主机上的意图的事件。它也可能是软件安装的善意事件。因此,该事件要么是恶意软件递送(恶意意图),要么是固件递送(善意意图)。
作为非限制性示例,对于涉及端口扫描的网络攻击,如果网络安全偏差评分为87并且根据网络安全偏差统计的最高特征偏差在端口数量方面为13.2,那么这将会是一个高的意图扫描目标主机的端口以找出什么服务可用并且可能易受攻击的指示。因此,该事件要么是侦察(恶意),要么是网络测试(善意)。
现在,将公开如何将网络安全偏差评分和网络安全偏差统计与概率值(与网络攻击是否正在进行有关)相关联的各方面。
一般而言,日志记录事件可以指示基于各种因素的可疑或明显恶意的行为,并且应针对是恶意还是善意的概率而被评估。例如,使用诸如连接方向、协议、连接数量之类的网络事件数据,或者使用失败登录尝试日志事件,可以估计每个事件背后的意图。特别地,在一些实施例中,安全分析模块200被配置为执行(可选的)步骤S104:
S104:安全分析模块200获得每个日志记录事件是网络攻击的一部分的概率评分。进而,步骤S106中的匹配是基于针对每个日志记录事件的网络安全偏差统计。
在一些实施例中,每一日志记录事件的概率评分是基于与该日志记录事件相关联的主机数据、诸如连接方向、协议、连接数量、失败的登录尝试之类的网络数据。
作为非限制性示例,对于涉及暴力破解的网络攻击,登录失败可以指示暴力破解或密码喷洒尝试,但它也可以只是一个忘记密码场景。新事件可能增加或减少恶意活动的概率,还可能增加或减少过去的事件被认为更具恶意的概率。登录尝试的平均计数可以被用于评估恶意概率。
作为非限制性示例,对于涉及恶意软件递送的网络攻击,该概率随着数据量与平均值的更大偏差而增加。
现在,将公开将日志记录事件标记为恶意或善意的各方面。
一般而言,每个事件可能涉及几个不同的意图。在一些实施例中,每个事件基于该日志记录事件的概率评分而被标记为恶意的或善意的,并且S106中的匹配取决于哪些日志记录事件被标记为恶意的以及哪些日志记录事件被标记为善意的。
接下来,将公开日志记录事件可以如何被链接在一起的其他方面。
在一些实施例中,日志记录事件根据这些事件的发生的有序序列而被链接在一起。由已知的网络攻击生命周期阶段的一个组合给出该有序序列。
作为非限制性示例,在可以植入恶意软件之前需要访问服务器,并且在访问服务器之前必须执行哪些服务器可用的评估,因此,事件顺序可以被用于解译正在进行什么类型的网络攻击。
在一些实施例中,已知的网络攻击生命周期阶段的这一组合是基于一组网络攻击生命周期模板,其中,每个网络攻击生命周期模板包括它自己唯一的发生顺序和该已知的网络攻击生命周期阶段的特性。
在一些实施例中,在S108中的链接期间,每个日志记录事件被提供有网络攻击生命周期阶段标签。
存在不同的方式来描述网络攻击的各阶段。在一些方面,存在主要阶段和子阶段,并且本文所公开的实施例可以被应用于这两者。例如,第一阶段“侦察(recon)”通常由设法识别任何可用且可能易受攻击的服务器的活动组成。此阶段之后可以是“武器化(weaponization)”阶段,其中,针对目标服务器开发/选择恶意软件。该恶意软件在“递送(deliver)”阶段中被传送到目标服务器。在“控制(control)”阶段中,恶意行为者使用各种隐秘的方法来指示该恶意软件采取什么行动。
作为非限制性示例,日志记录事件表明设法连接到在目标服务器处的许多不同的端口的企图。这可以在汇总的日志事件中被显示为异常,具有很高的恶意活动概率。授权日志的日志记录事件表明许多失败的登录尝试。网络事件日志的日志记录事件表明流向服务器的数据流量的异常增加(这可以是也可以不是高度异常,并且可能是善意的并且恶意意图概率很低或中等)。网络事件日志的日志记录事件表明与服务器的可疑连接,其可以是“control”阶段的指示。
本文所公开的实施例可以被用于提供异常事件、可疑事件与恶意事件之间的图表,其中,事件具有不同程度的属于恶意图表的概率。这些事件可以在图表中被链接在一起,其中各边提供给定事件属于恶意事件链的概率(与属于善意事件链相比)。该链接连接可以是基于服务器、用户、应用以及其他数据。在此,图表描绘了单个恶意攻击者或善意用户的动作。目的是识别哪些事件属于哪个行为者。
现在,将公开网络安全偏差评分、网络安全偏差统计或概率评分可以如何基于日志记录事件如何被链接在一起来进行更新的其他方面。
一般而言,本文所公开的实施例是基于以下理解:日志记录事件之间的链接可以随着更多信息的出现而改变。先前可能是善意的事件可以变成可能是恶意的,并因此进入恶意图表中。
在一些实施例中,基于其他日志记录事件的类型及其被链接到该日志记录事件的概率评分、网络安全偏差评分以及网络安全偏差统计,更新针对每个日志记录事件的概率评分、网络安全偏差评分以及网络安全偏差统计。
在一些实施例中,安全分析模块200被配置为执行(可选的)步骤S112:
S112:安全分析模块200基于日志记录事件如何被链接在一起以及经更新的概率评分、网络安全偏差评分和网络安全偏差统计,确定这些日志记录事件是否属于同一攻击者。
关于日志记录事件是否属于同一善意用户以及日志记录事件是否属于同一攻击者,可以做出类似的确定。
随着新事件被记录,不仅提供了有关可能正在进行的网络攻击的更多信息,它还提供了用于意图解译的两个方向;首先,可以重新评估可能已被评估为最可能是善意的过去(弱)链接的事件的恶意意图的概率,其次,可以从已知的链接的恶意日志记录事件评估新日志记录事件的恶意意图的概率。
在上述示例中,对于将意图解译概率表示为“deliver”阶段事件的新日志记录事件,可以采取两个步骤;首先,已链接的可能是恶意的事件可以被用于估计新日志记录事件的意图概率,其次,新日志记录事件可以被用于重新评估过去链接的事件(还有那些具有可能是善意的意图的事件)的意图概率。这也可以使用强化学习来实现。
一旦经链接的事件被识别,以及可选的针对相关日志记录事件的网络安全偏差评分和网络安全偏差统计已被更新,就可以重新评估经链接的事件是正在进行的网络攻击的一部分的概率。此外,先前未彼此链接的日志记录事件也可以基于经重新评估的概率值以及可选的网络安全偏差评分和网络安全偏差统计来进行链接。
现在,将公开日志记录事件是善意的还是网络攻击的一部分的其他方面。
统计方法可以被用于预测可能会针对某个正在进行的网络攻击而记录哪些其他事件。特别地,在一些实施例中,安全分析模块200被配置为执行(可选的)步骤S114:
S114:安全分析模块200基于日志记录事件如何被链接在一起以及可能经更新的概率评分、网络安全偏差评分和网络安全偏差统计,预测将被记录为网络攻击的一部分的其他事件。
这种信息可以被用于确定合适的反击动作以缓解网络攻击。特别地,在一些实施例中,安全分析模块200被配置为执行(可选的)步骤S116:
S116:安全分析模块200基于已被预测将被记录为网络攻击的一部分的事件,确定要采取的至少一个网络攻击缓解动作。
在进一步的各方面,作为事件链接和对意图概率的重新评估的一部分,可以使用已知的网络攻击生命周期阶段的模板。但是由于正在进行的网络攻击的细节随着所得到的图表、评分、概率、偏差、统计、以及其他数据的出现,这将生成网络攻击的签名。该签名包括图表,其中,每个顶点表示一个日志记录事件,并且其中,每条边表示概率值。诸如评分、统计、事件的时间差之类的其他数据可以被添加到该图表中。网络攻击的签名可以被变成向量,该向量可以与其他签名进行比较以用于进行接近和分组。如果该签名与其他签名相距甚远,则这是一种新类型的网络攻击的指示。因此,在一些实施例中,当在已知的网络攻击生命周期阶段的组合与任何上述网络攻击生命周期模板之间没有完全匹配时,网络攻击被识别为一种新类型的网络攻击。
在进一步的各方面,日志记录事件可以被存储在数据库中并且可以是可搜索的。这使得日志记录事件能够基于特定意图而被搜索为事件响应或威胁搜寻的一部分。
在进一步的各方面,如经链接的日志记录事件的可视化表示可以被提供给用户接口,诸如采用带有标签的时间图表或者作为图标。评分、统计、和/或概率值可以被用于确定标签的颜色,从而在评分、统计、和/或概率值被更新时提供标签的动态着色。
图3示意性地示出了四个主机计算机A、B、C、D以及沿着时间线发生并被记录的事件310a、310b、310c、310d、310e。图3进一步示出了如何随着时间的推移来评估并调整概率值。第一310a事件在320a处被评估为由于许多连接的特性而具有特定的源和目的地以及概率值的“递送(DELIVER)”事件,该事件可替代地可以是善意的。第二事件310b在320b处被评估为由于所接收的数据的“DELIVER”事件,但它可替代地可以是善意事件。但是由于主机计算机B对于事件310a、310b两者是相同的,因此,此信息可以被用于经由恶意软件作案手法链接这两个事件。因此,这两个事件都是恶意的概率值在320c处被增加。第三事件310c在320d处被评估为“执行(EXECUTE)”事件并且被链接到同一主机计算机B。因此,“DELIVER”事件的概率值在320e处经由主机计算机和恶意软件作案手法的链接再次进一步被增加。如果与第一事件310a类似的第四事件310d被记录,则由于先前所链接的事件和所增加的概率,第四事件310d在320f处立即被赋予是恶意的高概率。同样地,如果与第二事件310b类似的第五事件310e被记录,则由于先前所链接的事件和所增加的概率,第五事件310e在320g处立即被赋予是恶意的高概率。
图4示意性地按照一些功能单元示出了根据实施例的安全分析模块200的组件。使用能够执行在例如采用存储介质230的形式的计算机程序产品610(如图6中所示)中存储的软件指令的合适的中央处理单元(CPU)、多处理器、微控制器、数字信号处理器(DSP)等中的一个多个的任何组合来提供处理电路210。处理电路210还可以被提供为至少一个专用集成电路(ASIC)或现场可编程门阵列(FPGA)。
特别地,处理电路210被配置为使安全分析模块200执行如上所公开的一组操作或步骤。例如,存储介质230可以存储该组操作,并且处理电路210可以被配置为从存储介质230获取该组操作以使安全分析模块200执行该组操作。该组操作可以被提供为一组可执行指令。
因此,处理电路210由此被设置为执行如本文所公开的方法。存储介质230还可以包括永久存储设备,例如,其可以是磁存储器、光存储器、固态存储器或者甚至远程安装的存储器中的任何一个或其任何组合。安全分析模块200可以进一步包括通信接口220,通信接口220至少被配置为与网络环境100的其他功能、节点、实体、模块、以及设备进行通信。由此,通信接口220可以包括一个或多个发射机和接收机,其包括模拟和数字组件。处理电路210例如通过向通信接口220和存储介质230发送数据和控制信号,通过从通信接口220接收数据和报告,以及通过从存储介质230获取数据和指令来控制安全分析模块200的一般操作。为了不混淆本文所提出的概念,安全分析模块200的其他组件及相关功能被省略。
图5示意性地按照一些功能模块示出了根据实施例的安全分析模块200的组件。图5的安全分析模块200包括多个功能模块:获得模块210a,其被配置为执行步骤S102;匹配模块210c,其被配置为执行步骤S106;链接模块210d,其被配置为执行步骤S108;以及确定模块210e,其被配置为执行步骤S110。图5的安全分析模块200可以进一步包括若干可选的功能模块,诸如被配置为执行步骤S104的获得模块210b、被配置为执行步骤S112的确定模块210f、配置为执行步骤S114的预测模块210g、以及被配置为执行步骤S116的确定模块210h中的任意一个。
一般而言,每个功能模块210a-210h在一个实施例中可以仅以硬件实现,而在另一个实施例中借助软件实现,即,后一个实施例具有在存储介质230上存储的计算机程序指令,这些计算机程序指令在处理电路上运行时使安全分析模块200执行上面结合图5所述的对应的步骤。还应注意,即使这些模块对应于计算机程序的部分,它们也不需要是其中的单独的模块,而是它们以软件实现的方式取决于所使用的编程语言。优选地,一个或多个或所有功能模块210a-210h可以由处理电路210并可能与通信接口220和/或存储介质230协作地实现。处理电路210因此可以被配置为从存储介质230获取如由功能模块210a-210h所提供的指令并执行这些指令,从而执行如本文所公开的任何步骤。
安全分析模块200可以被提供为单独的设备或者至少一个其他设备的一部分。例如,安全分析模块200可以被提供为SIEM模块180和/或SOAPA模块190的一部分,或者包括SIEM模块180和/或SOAPA模块190。可替代地,安全分析模块300的功能可以被分布在至少两个设备或节点之间。这至少两个节点或设备可以是同一网络部分的一部分,或者可以散布在至少两个这种网络部分之间。因此,由安全分析模块200执行的指令的第一部分可以在第一设备中执行,而由安全分析模块200执行的指令的第二部分可以在第二设备中执行;本文所公开的实施例不限于可以在其上执行由安全分析模块200执行的指令的任何特定数量的设备。因此,根据本文所公开的实施例的方法适合于由驻留在云计算环境中的安全分析模块200来执行。因此,虽然在图4中示出了单个处理电路210,但处理电路210可以被分布在多个设备或节点之间。这同样适用于图5的功能模块210a-210h和图6的计算机程序620。
图6示出了包括计算机可读存储介质630的计算机程序产品610的一个示例。在此计算机可读存储介质630上可以存储计算机程序620,计算机程序620可以使处理电路210以及诸如通信接口220和存储介质230之类的与其可操作地耦接的实体和设备执行根据本文所描述的实施例的方法。因此,计算机程序620和/或计算机程序产品610可以提供用于执行本文所公开的任何步骤的部件。
在图6的示例中,计算机程序产品610被示出为光盘,诸如CD(压缩盘)或DVD(数字通用盘)或蓝光盘。计算机程序产品610还可以被体现为存储器,诸如随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM)、或者电可擦除可编程只读存储器(EEPROM),以及更特别地被体现为采用外部存储器形式的设备的非易失性存储介质,诸如USB(通用串行总线)存储器或诸如紧凑型闪存存储器之类的闪存存储器。因此,虽然计算机程序620在本文中被示意性地示出为所描绘的光盘上的轨道,但是可以以适用于计算机程序产品610的任何方式来存储计算机程序620。
在上面已经主要参考几个实施例描述了本发明构思。然而,如本领域技术人员容易理解的,在如由所附专利权利要求所限定的本发明构思的范围内,除了以上所公开的实施例之外的其他实施例同样是可能的。
Claims (21)
1.一种用于网络环境(100)中的网络攻击识别的方法,所述方法由安全分析模块(200)执行,所述方法包括:
获得(S102)日志记录事件,所述事件已在所述网络环境(100)中发生并被记录,其中,每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联;
通过将由所述网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配(S106);
通过形成所述日志记录事件的至少一个链来将所述日志记录事件链接(S108)在一起,其中,每个链对应于由所述已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击,其中,基于所述日志记录事件如何被链接在一起来更新所述网络安全偏差评分和所述网络安全偏差统计;以及
基于所述日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定(S110)所述日志记录事件是善意的还是网络攻击的一部分。
2.根据权利要求1所述的方法,其中,所有日志记录事件具有统一的机器可读格式。
3.根据权利要求1或2所述的方法,其中,针对每个日志记录事件的所述安全偏差评分与该事件是网络攻击的一部分的概率成比例。
4.根据前述权利要求中任一项所述的方法,其中,针对每个日志记录事件的所述安全偏差统计被定义为针对相同事件的网络安全偏差评分的标准偏差。
5.根据前述权利要求中任一项所述的方法,其中,所述比较涉及选择与每个日志记录事件的事件类型、网络安全偏差评分、以及网络安全偏差统计的组合最匹配的网络攻击生命周期阶段。
6.根据前述权利要求中任一项所述的方法,进一步包括:
获得(S104)每个日志记录事件是所述网络攻击的一部分的概率评分,并且其中,所述匹配是基于针对每个日志记录事件的所述网络安全偏差统计。
7.根据权利要求6所述的方法,其中,每一日志记录事件的概率评分是基于与该日志记录事件相关联的主机数据、诸如连接方向、协议、连接数量、失败的登录尝试之类的网络数据。
8.根据权利要求6或7所述的方法,其中,每个事件基于该日志记录事件的所述概率评分而被标记为恶意的或善意的,并且其中,所述匹配取决于哪些日志记录事件被标记为恶意的以及哪些日志记录事件被标记为善意的。
9.根据前述权利要求中任一项所述的方法,其中,所述日志记录事件根据所述事件的发生的有序序列而被链接在一起,并且其中,由所述已知的网络攻击生命周期阶段的一个组合给出所述有序序列。
10.根据权利要求9所述的方法,其中,所述已知的网络攻击生命周期阶段的所述一个组合是基于一组网络攻击生命周期模板,其中,每个网络攻击生命周期模板包括它自己唯一的发生顺序和所述已知的网络攻击生命周期阶段的特性。
11.根据前述权利要求中任一项所述的方法,其中,在所述链接期间,每个日志记录事件被提供有网络攻击生命周期标签。
12.根据权利要求6、7或8中任一项所述的方法,其中,基于其他日志记录事件的类型及其被链接到该日志记录事件的网络安全偏差评分和网络安全偏差统计,更新针对每个日志记录事件的所述概率评分、所述网络安全偏差评分、以及所述网络安全偏差统计。
13.根据权利要求12所述的方法,进一步包括:
基于所述日志记录事件如何被链接在一起以及经更新的概率评分、网络安全偏差评分和网络安全偏差统计,确定(S112)所述日志记录事件是否属于同一攻击者。
14.根据前述权利要求中任一项所述的方法,进一步包括:
基于所述日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,预测(S114)将被记录为所述网络攻击的一部分的其他事件。
15.根据权利要求14所述的方法,进一步包括:
基于已被预测将被记录为所述网络攻击的一部分的事件,确定(S116)要采取的至少一个网络攻击缓解动作。
16.根据权利要求10所述的方法,其中,当在所述已知的网络攻击生命周期阶段的所述组合与任何所述网络攻击生命周期模板之间没有完全匹配时,所述网络攻击被识别为一种新类型的网络攻击。
17.一种用于网络环境(100)中的网络攻击识别的安全分析模块(200),所述安全分析模块(200)包括处理电路(210),所述处理电路被配置为使所述安全分析模块(200):
获得日志记录事件,所述事件已在所述网络环境(100)中发生并被记录,其中,每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联;
通过将由所述网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配;
通过形成所述日志记录事件的至少一个链来将所述日志记录事件链接在一起,其中,每个链对应于由所述已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击,其中,基于所述日志记录事件如何被链接在一起来更新所述网络安全偏差评分和所述网络安全偏差统计;以及
基于所述日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定所述日志记录事件是善意的还是网络攻击的一部分。
18.一种用于网络环境(100)中的网络攻击识别的安全分析模块(200),所述安全分析模块(200)包括:
获得模块(210a),其被配置为获得日志记录事件,所述事件已在所述网络环境(100)中发生并被记录,其中,每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联;
匹配模块(210c),其被配置为通过将由所述网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配;
链接模块(210d),其被配置为通过形成所述日志记录事件的至少一个链来将所述日志记录事件链接在一起,其中,每个链对应于由所述已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击,其中,基于所述日志记录事件如何被链接在一起来更新所述网络安全偏差评分和所述网络安全偏差统计;以及
确定模块(210e),其被配置为基于所述日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定所述日志记录事件是善意的还是网络攻击的一部分。
19.根据权利要求17或18所述的安全分析模块(200),进一步被配置为执行根据权利要求2至16中任一项所述的方法。
20.一种用于网络环境(100)中的网络攻击识别的计算机程序(620),所述计算机程序包括计算机代码,所述计算机代码在安全分析模块(200)的处理电路(210)上运行时使所述安全分析模块(200):
获得(S102)日志记录事件,所述事件已在所述网络环境(100)中发生并被记录,其中,每个日志记录事件与网络安全偏差评分和网络安全偏差统计相关联;
通过将由所述网络安全偏差统计所给出的每个日志记录事件的特性与已知的网络攻击生命周期阶段进行比较,将每个日志记录事件与网络攻击生命周期阶段匹配(S106);
通过形成所述日志记录事件的至少一个链来将所述日志记录事件链接(S108)在一起,其中,每个链对应于由所述已知的网络攻击生命周期阶段的组合所给出的一种类型的网络攻击,其中,基于所述日志记录事件如何被链接在一起来更新所述网络安全偏差评分和所述网络安全偏差统计;以及
基于所述日志记录事件如何被链接在一起以及经更新的网络安全偏差评分和网络安全偏差统计,确定(S110)所述日志记录事件是善意的还是网络攻击的一部分。
21.一种计算机程序产品(610),包括根据权利要求20所述的计算机程序(620)、以及在其上存储所述计算机程序的计算机可读存储介质(630)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2020/055293 WO2021170249A1 (en) | 2020-02-28 | 2020-02-28 | Cyberattack identification in a network environment |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115211075A true CN115211075A (zh) | 2022-10-18 |
Family
ID=69723949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080097697.2A Pending CN115211075A (zh) | 2020-02-28 | 2020-02-28 | 网络环境中的网络攻击识别 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230087309A1 (zh) |
| EP (1) | EP4111660B1 (zh) |
| CN (1) | CN115211075A (zh) |
| WO (1) | WO2021170249A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230095870A1 (en) * | 2021-09-30 | 2023-03-30 | Palo Alto Networks, Inc. | Iot security event correlation |
| US11853173B1 (en) | 2023-03-20 | 2023-12-26 | Kyndryl, Inc. | Log file manipulation detection |
| CN116319021B (zh) * | 2023-03-23 | 2023-09-29 | 长扬科技(北京)股份有限公司 | 一种横向移动检测方法、装置、电子设备及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8739278B2 (en) * | 2006-04-28 | 2014-05-27 | Oracle International Corporation | Techniques for fraud monitoring and detection using application fingerprinting |
| US20070300300A1 (en) * | 2006-06-27 | 2007-12-27 | Matsushita Electric Industrial Co., Ltd. | Statistical instrusion detection using log files |
| US10193919B2 (en) * | 2015-08-24 | 2019-01-29 | Empow Cyber Security, Ltd | Risk-chain generation of cyber-threats |
| US10447526B2 (en) * | 2016-11-02 | 2019-10-15 | Servicenow, Inc. | Network event grouping |
| CA3041871A1 (en) * | 2018-05-01 | 2019-11-01 | Royal Bank Of Canada | System and method for monitoring security attack chains |
-
2020
- 2020-02-28 WO PCT/EP2020/055293 patent/WO2021170249A1/en unknown
- 2020-02-28 EP EP20707634.0A patent/EP4111660B1/en active Active
- 2020-02-28 US US17/802,578 patent/US20230087309A1/en active Pending
- 2020-02-28 CN CN202080097697.2A patent/CN115211075A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4111660A1 (en) | 2023-01-04 |
| US20230087309A1 (en) | 2023-03-23 |
| WO2021170249A1 (en) | 2021-09-02 |
| EP4111660B1 (en) | 2023-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Khraisat et al. | Survey of intrusion detection systems: techniques, datasets and challenges | |
| US11044264B2 (en) | Graph-based detection of lateral movement | |
| US10728263B1 (en) | Analytic-based security monitoring system and method | |
| CN109314698B (zh) | 保护计算机网络与系统的抢占式响应安全系统 | |
| Comar et al. | Combining supervised and unsupervised learning for zero-day malware detection | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| Chiramdasu et al. | Malicious url detection using logistic regression | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| Shrivastava et al. | Attack detection and forensics using honeypot in IoT environment | |
| NL2002694C2 (en) | Method and system for alert classification in a computer network. | |
| US20190095618A1 (en) | Quantitative unified analytic neural networks | |
| Manhas et al. | Implementation of intrusion detection system for internet of things using machine learning techniques | |
| US10462170B1 (en) | Systems and methods for log and snort synchronized threat detection | |
| CN115211075A (zh) | 网络环境中的网络攻击识别 | |
| Amrollahi et al. | Enhancing network security via machine learning: opportunities and challenges | |
| Abdullayev et al. | SQL injection attack: Quick view | |
| Razak | A study on IDS for preventing Denial of Service attack using outliers techniques | |
| Nazir et al. | Network intrusion detection: Taxonomy and machine learning applications | |
| Alsajri et al. | Intrusion Detection System Based on Machine Learning Algorithms:(SVM and Genetic Algorithm) | |
| CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
| Tariq | Combatting ransomware in ZephyrOS-activated industrial IoT environments | |
| Alsanad et al. | Advanced Persistent Threat Attack Detection using Clustering Algorithms | |
| Kaushik et al. | Network Security with Network Intrusion Detection System using Machine Learning Deployed in a Cloud Infrastructure | |
| Rachidi et al. | Combined data and execution flow host intrusion detection using machine learning | |
| Chauhan et al. | Intrusion detection system for securing computer networks using machine learning: a literature review |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |