CN116089940A - 多源安全威胁检测方法和装置 - Google Patents

多源安全威胁检测方法和装置 Download PDF

Info

Publication number
CN116089940A
CN116089940A CN202111312654.4A CN202111312654A CN116089940A CN 116089940 A CN116089940 A CN 116089940A CN 202111312654 A CN202111312654 A CN 202111312654A CN 116089940 A CN116089940 A CN 116089940A
Authority
CN
China
Prior art keywords
threat
analysis
log data
protection
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111312654.4A
Other languages
English (en)
Inventor
刘海霞
陈佳科
程叶霞
陈璨璨
梁业裕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN202111312654.4A priority Critical patent/CN116089940A/zh
Publication of CN116089940A publication Critical patent/CN116089940A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例提供一种多源安全威胁检测方法和装置,该方法包括:获取不同类型的威胁检测设备的日志数据;将所述不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析;根据所述威胁情报分析的分析结果和/或态势感知分析的预测结果,将系统和/或应用程序的补丁文件发送给对应的安全防护设备。

Description

多源安全威胁检测方法和装置
技术领域
本申请实施例涉及通信技术领域,具体涉及一种多源安全威胁检测方法和装置。
背景技术
随着各种攻击事件的不断出现,以及为了应对这些攻击所部署的威胁检测设备也层出不穷,然而对于不同类型的威胁检测设备(特别是不同安全厂家)目前无法统一管理,影响威胁检检测的效率。
发明内容
本申请实施例在于提供一种多源安全威胁检测方法和装置,解决提高检测效率的问题。
第一方面,提供一种多源安全威胁检测方法,包括:
获取不同类型的威胁检测设备的日志数据;
将所述不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析;
根据所述威胁情报分析的分析结果和/或态势感知分析的预测结果,将系统和/或应用程序的补丁文件发送给对应的安全防护设备。
可选地,获取不同类型的威胁检测设备的日志数据之后,所述方法还包括:
根据所述日志数据,获得威胁响应策略;
通过Web服务对所述威胁响应策略进行展示和/或操作管理。
可选地,所述方法还包括:
根据所述威胁响应策略,向安全防护设备发送防护指令,由所述安全防护设备根据所述防护指令进行威胁防护的自动化响应。
可选地,所述威胁响应策略包括以下一项或多项:
针对网络流量的IP或端口的防护阻断;
针对网络服务的防护阻断;
针对应用的防护阻断;
针对恶意网址的防护阻断;
针对钓鱼邮件的防护阻断;
针对病毒文件传播的防护阻断;
针对敏感数据传递的防护阻断;
针对漏洞利用或攻击事件的阻断。
可选地,在获取不同类型的威胁检测设备的日志数据之后,所述方法还包括:
将不同类型的威胁检测设备的日志数据按照标准的数据格式进行存储。
可选地,将所述不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析,包括:
将所述日志数据中的可疑威胁事件发送给威胁情报中心进行威胁情报分析,得到分析结果,和/或,将所述日志数据中的可疑威胁事件发送给态势感知中心进行态势感知分析,得到预测结果。
可选地,所述方法还包括:
根据所述分析结果和/或预测结果中的可疑威胁事件、恶意文件、恶意URL中的一项或多项进行动态模拟验证,判定攻击是否有效。
可选地,所述分析结果包括以下一项或多项:在攻击者目标侦察阶段使用的恶意网站;发送的钓鱼邮件使得攻击目标被恶意文件感染;攻击者在后续数据回传过程中不断的窃取的数据;恶意文件用的漏洞;回传数据用的方式。
可选地,所述预测结果包括以下一项或多项:全网是否遭受了攻击;失陷的设备;业务受影响程度;攻击的走向;资产风险评估。
可选地,所述威胁检测设备包括以下一项或多项:终端威胁检测设备、失陷标志检测设备、Web安全检测设备、攻击标志检测设备、入侵检测设备、防火墙检测设备、流量分析设备。
可选地,所述安全防护设备包括以下一项或多项:终端病毒防护设备、Web安全防护设备、防火墙控制防护设备、邮件防护设备、入侵防护设备、数据安全防护设备。
第二方面,提供一种多源安全威胁检测装置,包括:
第一处理模块,用于获取不同类型的威胁检测设备的日志数据;
第二处理模块,用于将所述不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析;
第三处理模块,用于根据所述威胁情报分析的分析结果和/或态势感知分析的预测结果,将系统和/或应用程序的补丁文件发送给对应的安全防护设备。
可选地,所述装置还包括:
第四处理模块,用于根据所述日志数据,获得威胁响应策略;通过Web服务对所述威胁响应策略进行展示和/或操作管理。
可选地,所述装置还包括:
第五处理模块,用于根据所述威胁响应策略,向安全防护设备发送防护指令,由所述安全防护设备根据所述防护指令进行威胁防护的自动化响应。
可选地,所述装置还包括:
第六处理模块,用于将不同类型的威胁检测设备的日志数据按照标准的数据格式进行存储。
可选地,所述装置还包括:
第七处理模块,用于根据所述分析结果和/或预测结果中的可疑威胁事件、恶意文件、恶意URL中的一项或多项进行动态模拟验证,判定攻击是否有效。
第三方面,提供一种通信设备,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如第一方面所述的方法的步骤。
在本申请实施例中,可以采集不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析,提高了威胁检测的效率、准确性和全面性,进一步地,从终端安全杀毒产品到网络出口及云端都可以协同响应威胁处置策略,提升了对攻击威胁的全面应对能力。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本申请实施例提供的多源安全威胁检测方法的流程图;
图2是本申请实施例提供的多源安全威胁检测装置的示意图;
图3是本申请实施例提供的多源安全威胁检测与自动化响应联动装置的示意图;
图4是本申请实施例提供的通信设备的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“包括”以及它的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。此外,说明书以及权利要求中使用“和/或”表示所连接对象的至少其中之一,例如A和/或B,表示包含单独A,单独B,以及A和B都存在三种情况。
在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
值得指出的是,本申请实施例所描述的技术不限于长期演进型(Long TermEvolution,LTE)/LTE的演进(LTE-Advanced,LTE-A)系统,还可用于其他无线通信系统,诸如码分多址(Code Division Multiple Access,CDMA)、时分多址(Time DivisionMultiple Access,TDMA)、频分多址(Frequency Division Multiple Access,FDMA)、正交频分多址(Orthogonal Frequency Division Multiple Access,OFDMA)、单载波频分多址(Single-carrier Frequency-Division Multiple Access,SC-FDMA)和其他系统。本申请实施例中的术语“系统”和“网络”常被可互换地使用,所描述的技术既可用于以上提及的系统和无线电技术,也可用于其他系统和无线电技术。然而,以下描述出于示例目的描述了新空口(New Radio,NR)系统,并且在以下大部分描述中使用NR术语,尽管这些技术也可应用于NR系统应用以外的应用,如第6代(6th Generation,6G)通信系统。
参见图1,本申请实施例提供一种多源安全威胁检测与自动化响应联动方法,具体步骤包括:步骤101、步骤102和步骤103。
步骤101:获取不同类型的威胁检测设备的日志数据;
可选地,日志数据可以包括以下一项或多项:终端威胁检测日志、攻击标志检测日志、Web安全检测日志、入侵检测日志、防火墙日志、流量分析日志。
可选地,所述威胁检测设备包括以下一项或多项:终端威胁检测设备、失陷标志检测设备、Web安全检测设备、攻击标志检测设备、入侵检测设备、防火墙检测设备、流量分析设备,这样可以将现有的威胁检测设备(或者描述为网络安全产品)集成到一起,部署即可用。要集成的威胁检测设备可以根据使用场景的不同来选择,支持跨类别、跨厂商的威胁检测设备。
步骤102:将不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析;
步骤103:根据所述威胁情报分析的分析结果和/或态势感知分析的预测结果,将系统和/或应用程序的补丁文件发送给对应的安全防护设备。
在本申请的一种实施方式中,在步骤101之后,所述方法还包括:
步骤104:根据所述日志数据,获得威胁响应策略;
可选地,威胁响应策略包括以下一项或多项:针对网络流量的IP或端口的防护阻断;针对网络服务的防护阻断;针对应用的防护阻断;针对恶意网址的防护阻断;针对钓鱼邮件的防护阻断;针对病毒文件传播的防护阻断;针对敏感数据传递的防护阻断;针对漏洞利用或攻击事件的阻断。
步骤105:通过Web服务对所述威胁响应策略进行展示和/或操作管理。
在本申请的一种实施方式中,在步骤105之后,所述方法还包括:
步骤106:根据所述威胁响应策略,向安全防护设备发送防护指令,由所述安全防护设备根据所述防护指令进行威胁防护的自动化响应。
这样,可以使威胁检测和威胁防护响应形成闭环,覆盖云端安全、网络安全以及终端安全,无死角保护企业网络安全。
在本申请的一种实施方式中,在步骤101之后,所述方法还包括:
步骤107:将不同类型的威胁检测设备的日志数据按照标准的数据格式进行存储。
这样,不同类型的威胁检测设备输出的数据都可以统一标准化存储,并用来分析和查询,比如,利用消息队列服务器集群高性能接收各个威胁检测设备发送的海量日志数据,避免日志数据丢失。日志数据是分析安全事件的输入条件,日志数据的丰富程度决定了分析安全事件的效率及准备度,比如,利用高采集及转储服务器集群来完成海量日志数据的过滤、数据标准化转储,为海量数据的分析/查询功能奠定数据基础,提高了安全事件的分析效率,提高威胁响应的速度。
在本申请的一种实施方式中,步骤102包括:将所述日志数据中的可疑威胁事件发送给威胁情报中心进行威胁情报分析,得到分析结果,和/或,将所述日志数据中的可疑威胁事件发送给态势感知中心进行态势感知分析,得到预测结果。
可选地,所述预测结果包括以下一项或多项:(1)全网是否遭受了攻击;(2)失陷的设备;(3)业务受影响程度;(4)攻击的走向;(5)资产风险评估。
可选地,所述安全防护设备包括以下一项或多项:(1)终端病毒防护设备;(2)Web安全防护设备;(3)防火墙控制防护设备;(4)邮件防护设备;(5)入侵防护设备;(6)数据安全防护设备。
在本申请的一种实施方式中,在步骤102之后,所述方法还包括:根据所述分析结果和/或预测结果中的可疑威胁事件、恶意文件、恶意URL中的一项或多项进行动态模拟验证,判定攻击是否有效。
在本申请的一种实施方式中,所述分析结果包括以下一项或多项:在攻击者目标侦察阶段使用的恶意网站;发送的钓鱼邮件使得攻击目标被恶意文件感染;攻击者在后续数据回传过程中不断的窃取的数据;恶意文件用的漏洞;回传数据用的方式。
在本申请实施例中,可以采集不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析,提高了威胁检测的效率、准确性及全面性,进一步地,从终端安全杀毒产品到网络出口及云端都可以协同响应威胁处置策略,提升了对攻击威胁的全面应对能力。
参见图2,本申请实施例提供一种多源安全威胁检测装置,该装置200包括:
第一处理模块201,用于获取不同类型的威胁检测设备的日志数据;
第二处理模块202,用于将所述不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析;
第三处理模块203,用于根据所述威胁情报分析的分析结果和/或态势感知分析的预测结果,将系统和/或应用程序的补丁文件发送给对应的安全防护设备。
可选地,第一处理模块201可以包括图3中的中央处理模块和事务处理模块。
可选地,第二处理模块202可以包括图3中的消息队列模块、采集及转储模块、海量数据查询模块中的一项或多项。
可选地,第三处理模块202可以包括图3中的文件管理模块和文件分发模块。
在本申请的一种实施方式中,所述装置200还包括:
第四处理模块,用于根据所述日志数据,获得威胁响应策略;通过Web服务对所述威胁响应策略进行展示和/或操作管理。
第四处理模块可以包括图3中的中央处理模块和策略存储模块。
在本申请的一种实施方式中,所述装置200还包括:
第五处理模块,用于根据所述威胁响应策略,向安全防护设备发送防护指令,由所述安全防护设备根据所述防护指令进行威胁防护的自动化响应。
可选地,第五处理模块可以包括图3中的事务处理模块。
在本申请的一种实施方式中,所述威胁响应策略包括以下一项或多项:
针对网络流量的IP或端口的防护阻断;
针对网络服务的防护阻断;
针对应用的防护阻断;
针对恶意网址的防护阻断;
针对钓鱼邮件的防护阻断;
针对病毒文件传播的防护阻断;
针对敏感数据传递的防护阻断;
针对漏洞利用或攻击事件的阻断。
在本申请的一种实施方式中,所述装置200还包括:
第六处理模块,用于将不同类型的威胁检测设备的日志数据按照标准的数据格式进行存储。
可选地,第五处理模块可以包括图3中的采集及转储模块。
在本申请的一种实施方式中,第二处理模块202进一步用于:
将所述日志数据中的可疑威胁事件发送给威胁情报中心进行威胁情报分析,得到分析结果,和/或,将所述日志数据中的可疑威胁事件发送给态势感知中心进行态势感知分析,得到预测结果。
在本申请的一种实施方式中,所述装置200还包括:
第七处理模块,用于根据所述分析结果和/或预测结果中的可疑威胁事件、恶意文件、恶意URL中的一项或多项进行动态模拟验证,判定攻击是否有效。
可选地,第七处理模块可以包括图3中的中央处理模块。
在本申请的一种实施方式中,所述分析结果包括以下一项或多项:在攻击者目标侦察阶段使用的恶意网站;发送的钓鱼邮件使得攻击目标被恶意文件感染;攻击者在后续数据回传过程中不断的窃取的数据;恶意文件用的漏洞;回传数据用的方式。
在本申请的一种实施方式中,所述预测结果包括以下一项或多项:全网是否遭受了攻击;失陷的设备;业务受影响程度;攻击的走向;资产风险评估。
在本申请的一种实施方式中,所述威胁检测设备包括以下一项或多项:终端威胁检测设备、失陷标志检测设备、Web安全检测设备、攻击标志检测设备、入侵检测设备、防火墙检测设备、流量分析设备。
在本申请的一种实施方式中,所述安全防护设备包括以下一项或多项:终端病毒防护设备、Web安全防护设备、防火墙控制防护设备、邮件防护设备、入侵防护设备、数据安全防护设备。
本申请实施例提供的装置能够实现图1所示的方法实施例实现的各个过程,并达到相同的技术效果,为避免重复,这里不再赘述。
图3所示方法的整体架构图中(虚线框内的接口是内部接口),具体步骤包括:步骤1-步骤14,整体方案流程描述如下:
步骤1:事务处理模块高性能、高并发地收集各类安全检测设备的日志数据,同时,事务处理模块将指令下发给各个安全检测设备。
可选地,日志数据可以包括以下一项或多项:终端威胁检测日志、攻击标志检测日志、Web安全检测日志、入侵检测日志、防火墙日志、流量分析日志。
可选地,指令可以包括以下一项或多项:策略配置、命令控制等,该指令可以由多源威胁检测及自动化响应系统的Web服务器(管理页面)由管理员编排输入,经中央处理模块和事务处理模块下发到各类安全检测设备。
可选地,指令可以用于以下一项或多项:更新各安全检测设备的策略配置、规则升级、病毒库升级、设备重启、应用配置等。
可选地,安全检测设备包括以下一项或多项:终端威胁检测设备、Web安全检测设备、失陷标志检测设备、攻击标志检测设备、入侵检测设备、防火墙检测设备、高级持续威胁(Advanced Persistent Threat,APT)检测设备、流量分析设备等。
可选地,事务处理模块可以包括:一个或多个事务处理服务器。
步骤2:事务处理模块将从各威胁检测设备收集到的日志数据汇总上报给中央处理模块,中央处理模块下发威胁响应策略给事务处理模块。
可选地,中央处理模块可以包括多个中心处理服务器。
可选地,威胁响应策略可以通过以下方式得到:中心处理模块根据上报的日志数据,做逻辑分析处理,呈现到Web端,经过平台管理员(安全专家)确认后,由中心处理模块生成并下发。
可选地,威胁响应策略包括以下一项或多项:
1)针对网络流量的IP/端口的防护阻断;
2)针对网络服务的防护阻断(例如:FPT/SSH/HTTP/HTTPS/TELNET等);
3)针对应用的防护阻断(例如:QQ通信、远程桌面通信、视频会议通信等);
4)针对恶意网址的防护阻断;
5)针对钓鱼邮件的防护阻断;
7)针对病毒文件传播的防护阻断;
8)针对敏感数据传递的防护阻断;
9)针对漏洞利用/攻击事件的阻断。
可选地,威胁响应策略可以用于以下一项或多项:主机漏洞修补,安全防护设备本身漏洞的修补、安全防护设备本身规则库、病毒库、漏洞库的升级维护。
步骤3:中央处理模块将威胁响应策略存储到策略存储模块,用于多源安全威胁检测与自动化系统在Web端操作及统计展示。
可选地,Web端操作包括以下一项或多项:安全响应策略的图形化展示以及响应策略的创建、编辑、删除、查找、下发、应用、安全检测/防护设备的启停等。
步骤4:中央处理模块将从各个安全检测设备中取到的日志数据以生产者方式向消息队列模块发送。
可选地,消息队列模块可以包括数据库服务器集群。
在本申请实施例中,消息队列模块用于使得消息数据按先进先出的顺序来发送。
上述生产者的主要作用是生成一定量的数据放到缓冲区中,然后重复此过程。与此同时,消费者也在缓冲区消耗这些数据。需要说明的是生产者不会在缓冲区满时加入数据,消费者也不会在缓冲区中空时消耗数据。缓冲区有固定大小缓冲区满时,生产者不能再往缓冲区放数据(产品),而是被阻塞,直到缓冲区不是满的缓冲区为空时,消费者不能再从缓冲区取数据,而是被阻塞,直到缓冲区不是空的。这样对缓冲区的写数据和取数据可以同时进行。
通过执行步骤4可以实时的把各个网络安全检测设备的日志数据按顺序取出来,可以把所有网络安全检测设备的日志数据放到消息缓存区中,待步骤5取走。
步骤5:消息队列模块以消费者方式将消息队列中的日志数据发送到采集及转储模块,采集及转储模块能够支持多种来源的、多种格式、多种复杂度、多种大小的日志数据采集,以连续的流式方式传输,并能够对数据日志做过滤,脱敏。
示例性地,上述“以连续的流式方式传输”可以是:将日志文件按秒级别的时间进行分割压缩分块,文件命名规则使用:设备类型缩写-IP-开始时间戳-结束时间戳-文件hash值.后缀,接顺序进行传输,确保采集及转储模块能收到连续时间段的日志数据文件。
在步骤5中可以按顺序取出所有网络安全设备的日志数据。执行步骤5可以将取到的日志数据发送到采集及转储模块。
可选地,采集及转储模块可以包括:日志管道服务器集群。
步骤6:采集及转储模块将采集到的多种来源的、多种格式、多种复杂度、多种大小的日志数据做过滤转储后,输出到海量数据查询模块。
上述“过滤转储”中的“过滤”的操作是指过滤掉不完整的日志数据条目,归并完全重复的日志数据条目。
不同网络安全设备的日志数据是不一样的,通过步骤6可以转成标准的数据格式规范来存储,不同的日志数据中的相同数据字段,意义相同,以便于做海量数据查询时进行关联。例如,我们设定DIP为目的IP地址,那么所有日志数据中表示目的IP地址的字段都需要规范转储为DIP,SIP为源目的IP地址。
可选地,海量数据查询模块可以包括:高性能存储查询数据库集群。
步骤7:海量数据查询模块将存诸的日志数据输出给多源安全威胁检测与自动化响应Web服务器。
这样可以把存储的日志数据展示在Web平台上,方便查询/关联分析。
步骤8:多源安全威胁检测与自动化响应Web服务器将日志数据中的可疑威胁事件发送给威胁情报中心做事件分析并将分析结果返回。
在本实施例中,可疑事件及其判断规则是由上报该日志数据的网络安全设备给出的。多源安全威胁检测与自动化响应Web服务器只是对这些数据做了呈现。
在步骤8中,可以对收集到的所有网络安全设备的日志数据中的可疑事件的失陷标记内容发送到威胁情报中心进行分析,并从威胁情报中心获取分析结果,可疑事件的失陷标记包括但不限于(文件HASH值、邮箱地址、证书HASH、统一资源定位器(UniformResource Locator,URL)、域名、IP等)。
在本实施例中,威胁情报中心可以对可疑威胁事件的失陷标记进行分析,例如:查询可疑事件中给出的文件HASH值进行分析,查询该文件HASH值是否是已出现的恶意文件,已经发现的案例是什么;查询域名,是否是C&C域名,该域名的注册IP是什么?服务提供商是什么?访问该域名的IP有哪些;查询某个IP是否是被控僵尸主机等。
在本实施例中,分析结果可以包括以下一项或多项:在攻击者目标侦察阶段使用的恶意网站;发送的钓鱼邮件使得攻击目标被木马工具(恶意文件)感染;攻击者在后续数据回传过程中不断的窃取的数据;恶意文件用的漏洞;回传数据用的方式等。
步骤9:多源安全威胁检测与自动化响应Web服务器将日志数据中的可疑威胁事件发送给态势感知中心做事件分析预测并将预测结果返回。
通过执行步骤9可以根据可疑事件中的信息进行态势分析,感知全网的态势。
在本实施例中,态势感知中心可以通过“可疑事件”中涉及到的失陷标记信息以及攻击手段和攻击路线,通过对内网资产的扫描排查、全流量检测,进行资产态势、脆弱性态势等分析。
在本实施例中,预测结果包括以下一项或多项:全网是否遭受了攻击;失陷的设备;业务受影响程度;攻击的走向;资产风险评估等。
步骤10:多源安全威胁检测与自动化响应Web服务器将分析结果和/或预测结果中的可疑威胁事件(比如可疑高级持续威胁攻击事件)和/或恶意文件和/或恶意URL发送给中央处理模块做动态模拟验证(比如利用软件证书检测/动态沙箱技术等,对可疑威胁事件中的文件进行二进制动态分析,对恶意文件或恶意URL的运行/释放行为进行动态模拟),输出详细的文件打开/新建/修改、进程调用、网络连接(C&C)信息,最终确认攻击是否有效,并返回结果;同时,中央处理模块还接收来自多源安全威胁检测与自动化响应Web服务器下发的指令,并将指令执行的结果返回。
攻击有效是指对于目标的攻击行为可以顺利完成,并达到攻击目的(例如建立回连拿到数据信息、长时间静默运行、开启后门、毁坏数据等)。
攻击无效是指攻击失败,恶意样本没有被打开运行或者运行失败。
上述动态模拟验证是指将将攻击事件中用到的恶意软件/恶意文档、链接、图片等在沙箱环境里打开运行或者打开查看,记录下整个过程中的进程调用、文件操作、网络日志等信息。
上述最终确认是否攻击有效性,并返回结果中的“结果”是指威胁告警结果。
上述指令是指下发给各个安全检测设备的控制命令,包括以下一项或多项:更新各安全检测设备的策略配置、规则升级、病毒库升级、设备重启、应用配置等;以及下发给安全防护设备的威胁响应策略及指令。
上述“指令执行的结果”可以包括:“0”表示成功,“1”表示失败,“1XX”开头的表示错误原因。
在本实施例中,通过执行步骤10可以进一步确认攻击。
步骤11:策略存储模块将威胁响应策略通过多源安全威胁检测与自动化响应Web服务器进行展示及操作管理(增/删/改/流程监督)。
上述展示是指把策略存储模块中的威胁响应策略在Web管理界面显示出来,对这些策略可以增加,删除,修改以及流程监督。
在本实施例中,通过执行步骤11使得威胁响应策略可展示可操作,使得威胁响应策略可视化且可以加入安全专家的研判。
步骤12:文件管理模块存储多源安全威胁检测与自动化响应Web服务器上传的系统补丁文件及应用软件,并接收文件分发策略,解决各类网络环境下补丁下载与安全更新问题,提升信息系统的整体漏洞防护等级。
在本实施例中,当威胁检测设备上传的日志数据里判定资产的系统有漏洞,那么威胁响应策略里就会有打系统补丁的操作,这个操作可以是自动生成的(关联漏洞的紧急补丁推送)也可以是安全专家研判后新建生成。
在本实施例中,文件分发策略是通过远程连接,将文件传送到指定的客户端。内容包括要分发的文件列表以及接受文件的主机/设备/服务器的IP地址。
在本实施例中,补丁下载及安全更新本身也就是文件的分发,文件管理模块通过将指定的文件分发到网络环境中的各个主机/设备/服务器上,然后通过威胁响应策略去下达指令来执行安装补丁及安全更新命令即可完成。
步骤13-14:文件分发模块接收文件管理模块下发的文件分发策略,将指定的补丁文件/应用软件下发到各个安全防护设备,涉及到终端主机的分发,由主机上安装的代理(Agent)来完成,并返回分发结果(分发成功/失败)。
步骤15:事务处理模块根据威胁响应策略下发防护指令给安全防护设备,完成威胁防护的自动化响应。
在本实施例中,事务处理模块通过以下方式确定防护指令:
事先编排剧本,比如某个蠕虫病毒是从特定端口传播的,那么当类似的蠕虫病毒有日志告警时,就自动生成防护指令:封堵某某端口;某个FTP服务器被尝试登录N次密码错误,判定为爆力密码破解,将访问的IP进行拒绝连接,等等。
在本实施例中,安全防护设备基于防护指令可以执行预定操作。
“终端病毒防护设备”:完成病毒文件的扫描/告警/隔离及清除操作,可以执行“Web安全防护”:网页安全防护(主机访问某些恶意网站时阻断),web端邮件的防护(恶意邮箱发来的邮件可以拦截);
“邮件防护设备”:阻断恶意邮箱地址的收发邮件。
“防火墙控制防护设备”:对出入主机/设备/服务器的流量进行控制访问。设置IP白名单/黑名单,限制某些服务端口的使用及访问,限制和某些IP的通讯等等。
“入侵防护设备”:对DNS的攻击阻断,对下载恶意文件的阻断,对加载U盘的查杀及阻断,对于已经发现的系统漏洞利用的阻断,将恶意文件进行隔离,禁止恶意程序运行。
“数据安全防护设备”:监控敏感数据,对敏感数据在出口处按规则阻断,防止内部数据泄露。
本申请实施例提供的装置能够实现图3所示的方法实施例实现的各个过程,并达到相同的技术效果,为避免重复,这里不再赘述。
如图4所示,本申请实施例还提供一种通信设备400,包括处理器401,存储器402,存储在存储器402上并可在所述处理器401上运行的程序或指令,该程序或指令被处理器401执行时实现上述图1方法实施例的各个过程,且能达到相同的技术效果。为避免重复,这里不再赘述。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序或指令,该程序或指令被处理器执行时实现上述图1所示方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的终端中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以由在处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于RAM、闪存、ROM、EPROM、EEPROM、寄存器、硬盘、移动硬盘、只读光盘或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以携带在ASIC中。另外,该ASIC可以携带在核心网接口设备中。当然,处理器和存储介质也可以作为分立组件存在于核心网接口设备中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请的保护范围之内。
本领域内的技术人员应明白,本申请实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (17)

1.一种多源安全威胁检测方法,其特征在于,包括:
获取不同类型的威胁检测设备的日志数据;
将所述不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析;
根据所述威胁情报分析的分析结果和/或态势感知分析的预测结果,将系统和/或应用程序的补丁文件发送给对应的安全防护设备。
2.根据权利要求1所述的方法,其特征在于,获取不同类型的威胁检测设备的日志数据之后,所述方法还包括:
根据所述日志数据,获得威胁响应策略;
通过Web服务对所述威胁响应策略进行展示和/或操作管理。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
根据所述威胁响应策略,向安全防护设备发送防护指令,由所述安全防护设备根据所述防护指令进行威胁防护的自动化响应。
4.根据权利要求2或3所述的方法,其特征在于,所述威胁响应策略包括以下一项或多项:
针对网络流量的IP或端口的防护阻断;
针对网络服务的防护阻断;
针对应用的防护阻断;
针对恶意网址的防护阻断;
针对钓鱼邮件的防护阻断;
针对病毒文件传播的防护阻断;
针对敏感数据传递的防护阻断;
针对漏洞利用或攻击事件的阻断。
5.根据权利要求1所述的方法,其特征在于,在获取不同类型的威胁检测设备的日志数据之后,所述方法还包括:
将不同类型的威胁检测设备的日志数据按照标准的数据格式进行存储。
6.根据权利要求1或5所述的方法,其特征在于,将所述不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析,包括:
将所述日志数据中的可疑威胁事件发送给威胁情报中心进行威胁情报分析,得到分析结果,和/或,将所述日志数据中的可疑威胁事件发送给态势感知中心进行态势感知分析,得到预测结果。
7.根据权利要求1或6所述的方法,其特征在于,所述方法还包括:
根据所述分析结果和/或预测结果中的可疑威胁事件、恶意文件、恶意URL中的一项或多项进行动态模拟验证,判定攻击是否有效。
8.根据权利要求1所述的方法,其特征在于,所述分析结果包括以下一项或多项:在攻击者目标侦察阶段使用的恶意网站;发送的钓鱼邮件使得攻击目标被恶意文件感染;攻击者在后续数据回传过程中不断的窃取的数据;恶意文件用的漏洞;回传数据用的方式。
9.根据权利要求1所述的方法,其特征在于,所述预测结果包括以下一项或多项:全网是否遭受了攻击;失陷的设备;业务受影响程度;攻击的走向;资产风险评估。
10.根据权利要求1所述的方法,其特征在于,所述威胁检测设备包括以下一项或多项:终端威胁检测设备、失陷标志检测设备、Web安全检测设备、攻击标志检测设备、入侵检测设备、防火墙检测设备、流量分析设备。
11.根据权利要求1所述的方法,其特征在于,所述安全防护设备包括以下一项或多项:终端病毒防护设备、Web安全防护设备、防火墙控制防护设备、邮件防护设备、入侵防护设备、数据安全防护设备。
12.一种多源安全威胁检测装置,其特征在于,包括:
第一处理模块,用于获取不同类型的威胁检测设备的日志数据;
第二处理模块,用于将所述不同类型的威胁检测设备的日志数据进行威胁情报分析和/或态势感知分析;
第三处理模块,用于根据所述威胁情报分析的分析结果和/或态势感知分析的预测结果,将系统和/或应用程序的补丁文件发送给对应的安全防护设备。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
第四处理模块,用于根据所述日志数据,获得威胁响应策略;通过Web服务对所述威胁响应策略进行展示和/或操作管理。
14.根据权利要求12所述的装置,其特征在于,所述装置还包括:
第五处理模块,用于根据所述威胁响应策略,向安全防护设备发送防护指令,由所述安全防护设备根据所述防护指令进行威胁防护的自动化响应。
15.根据权利要求12所述的装置,其特征在于,所述装置还包括:
第六处理模块,用于将不同类型的威胁检测设备的日志数据按照标准的数据格式进行存储。
16.根据权利要求12所述的装置,其特征在于,所述装置还包括:
第七处理模块,用于根据所述分析结果和/或预测结果中的可疑威胁事件、恶意文件、恶意URL中的一项或多项进行动态模拟验证,判定攻击是否有效。
17.一种通信设备,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至11中任一项所述的方法的步骤。
CN202111312654.4A 2021-11-08 2021-11-08 多源安全威胁检测方法和装置 Pending CN116089940A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111312654.4A CN116089940A (zh) 2021-11-08 2021-11-08 多源安全威胁检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111312654.4A CN116089940A (zh) 2021-11-08 2021-11-08 多源安全威胁检测方法和装置

Publications (1)

Publication Number Publication Date
CN116089940A true CN116089940A (zh) 2023-05-09

Family

ID=86206897

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111312654.4A Pending CN116089940A (zh) 2021-11-08 2021-11-08 多源安全威胁检测方法和装置

Country Status (1)

Country Link
CN (1) CN116089940A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116436706A (zh) * 2023-06-14 2023-07-14 天津市天河计算机技术有限公司 数据中心环境下的网络攻击阻断方法、系统、设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116436706A (zh) * 2023-06-14 2023-07-14 天津市天河计算机技术有限公司 数据中心环境下的网络攻击阻断方法、系统、设备及介质
CN116436706B (zh) * 2023-06-14 2023-08-22 天津市天河计算机技术有限公司 数据中心环境下的网络攻击阻断方法、系统、设备及介质

Similar Documents

Publication Publication Date Title
US10356044B2 (en) Security information and event management
US10051010B2 (en) Method and system for automated incident response
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US10057284B2 (en) Security threat detection
US9910988B1 (en) Malware analysis in accordance with an analysis plan
US10515214B1 (en) System and method for classifying malware within content created during analysis of a specimen
EP2955894B1 (en) Deception network system
RU2417429C2 (ru) Защита от использования уязвимости программного обеспечения
US8997236B2 (en) System, method and computer readable medium for evaluating a security characteristic
US9185127B2 (en) Network protection service
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
US20130167236A1 (en) Method and system for automatically generating virus descriptions
WO2019133453A1 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11290424B2 (en) Methods and systems for efficient network protection
US20100325685A1 (en) Security Integration System and Device
CN113408948A (zh) 一种网络资产管理方法、装置、设备和介质
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
US11882128B2 (en) Improving incident classification and enrichment by leveraging context from multiple security agents
CN116089940A (zh) 多源安全威胁检测方法和装置
CN113824678B (zh) 处理信息安全事件的系统、方法和非暂时性计算机可读介质
Gheorghe et al. Attack evaluation and mitigation framework
Jacquier A monthly snapshot-based approach for threat hunting within Windows IT environments
Barreiros Exploring Security Controls for ICS/Scada Environments
CN117201062A (zh) 一种网络安全感知系统、方法、设备及存储介质
TW202217617A (zh) 網路資安威脅防護系統及相關的前攝性可疑網域示警系統

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination