CN116346442A - 基于威胁情报的威胁检测方法及装置 - Google Patents

基于威胁情报的威胁检测方法及装置 Download PDF

Info

Publication number
CN116346442A
CN116346442A CN202310233278.2A CN202310233278A CN116346442A CN 116346442 A CN116346442 A CN 116346442A CN 202310233278 A CN202310233278 A CN 202310233278A CN 116346442 A CN116346442 A CN 116346442A
Authority
CN
China
Prior art keywords
information
weblog
backtracking
detection
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310233278.2A
Other languages
English (en)
Inventor
唐路路
张旭
白敏�
汪列军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qax Technology Group Inc
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Secworld Information Technology Beijing Co Ltd filed Critical Qax Technology Group Inc
Priority to CN202310233278.2A priority Critical patent/CN116346442A/zh
Publication of CN116346442A publication Critical patent/CN116346442A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提供一种基于威胁情报的威胁检测方法及装置。该方法包括:响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,威胁情报为实时更新的;根据IOC信息生成回溯检测结果。本申请实施例通过威胁情报对离线网络日志进行回溯分析,可与实时检测形成互补,降低对主机漏判的风险。

Description

基于威胁情报的威胁检测方法及装置
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种基于威胁情报的威胁检测方法及装置。
背景技术
随着网络信息化的高速发展与全面建设,网络中承担了越来越多核心业务和网络应用,这些信息网络技术为工作生活带来了相当便利的科技手段,同时对各行业网络信息和数据的依赖程度也越来越高,因此带来了不可忽视的网络安全问题。
目前的大多数安全设备基于威胁情报对网络安全进行实时检测,考虑到系统负载,安全设备并不会对主机产生的所有日志都进行实时检测,从而会导致对主机的漏判。
发明内容
本申请实施例的目的在于提供一种基于威胁情报的威胁检测方法及装置,用以降低对主机漏判的风险。
第一方面,本申请实施例提供一种基于威胁情报的威胁检测方法,包括:响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,威胁情报为实时更新的;根据IOC信息生成回溯检测结果。
本申请实施例通过威胁情报对离线网络日志进行回溯分析,可与实时检测形成互补,降低对主机漏判的风险。
在任一实施例中,在对离线网络日志进行分析时,可以利用预设时间范围对离线网络日志进行筛选,获得筛选后网络日志;利用威胁情报对筛选后网络日志进行分析。
本申请实施例通过对离线网络日志进行筛选,实现对离线网络日志的降维处理,提高了后续分析的效率。
在任一实施例中,利用预设时间范围对所述离线网络日志进行筛选,获得筛选后网络日志,包括:
利用所述预设时间范围对所述离线网络日志进行筛选,获得预筛选网络日志;
对离预筛选网络日志进行去重操作,获得去重后网络日志;
基于白名单库对去重后网络日志进行过滤,获得筛选后网络日志;其中,白名单库包括威胁情报白名单和主机白名单;其中,威胁情报白名单包括被威胁情报判定为异常日志的日志,但不属于威胁的日志信息;主机白名单包括不需要进行安全检测的主机信息。
本申请实施例通过对离线网络日志进行去重及白名单过滤后,获得准确地需要进行回溯分析的离线网络日志,提高了对离线网络日志回溯分析的效率。
在任一实施例中,筛选后网络日志包括资产与外联网络资源的对应记录;根据所述IOC信息生成回溯检测结果,包括:
将IOC信息与对应的资产与外联网络资源的对应记录进行组合,生成回溯检测结果。
本申请实施例通过利用资产与外联网络资源对应的记录对IOC信息进行富化,使得回溯检测结果中的信息更加全面。
在任一实施例中,响应于回溯检测任务,包括:
获取当前负载情况和实时分析任务的资源占用情况;
根据当前负载情况和资源占用情况判断是否满足检测推迟策略;
若不满足,则响应于回溯检测任务;
其中,检测推迟策略包括:当前负载超过预设负载,且实时分析任务的资源占用情况大于预设资源。
本申请实施例通过检测推迟策略判断是否需要推迟或限制回溯检测任务的资源,从而降低对系统的负载压力,进而降低对业务的影响。
在任一实施例中,该方法还包括:
若满足检测推迟策略,且回溯检测任务的优先级为第一优先级,则触发回溯检测任务,并限制回溯检测任务的资源;
若满足检测推迟策略,且回溯检测任务的优先级为第二优先级,则延迟触发回溯检测任务;其中,第一优先级高于第二优先级。
本申请实施例通过综合考虑系统负载即回溯检测任务的重要性,使得在降低对业务影响的同时,可以更及时、更全面地发现威胁。
在任一实施例中,该方法还包括:
获取实时网络日志;
利用威胁情报对实时网络日志进行分析,获得实时检测记录。
本申请实施例基于威胁情报对实时网络日志进行实时分析,可以更加及时地发现主机上的威胁。
在任一实施例中,在生成回溯检测结果之后,该方法还包括:
基于回溯检测结果中的IOC信息确定对应的资产信息;
根据资产信息获取对应的目标网络日志,并对目标网络日志进行规则匹配,获得资产信息对应的主机信息,主机信息用于表征主机是否为被控主机;
根据资产信息读取对应的实时检测记录和历史的回溯检测结果;
根据IOC信息、主机信息、实时检测记录和历史的回溯检测结果生成回溯分析报告。
本申请实施例通过利用主机信息、实施检测记录和历史的回溯检测结果对回溯检测结果进行富化,从而可以输出更清晰、全面的安全威胁情况,并与后续安全管理人员进行分析处理。
第二方面,本申请实施例提供一种基于威胁情报的威胁检测装置,包括:
日志分析模块,用于响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,所述威胁情报为实时更新的;
结果生成模块,用于根据IOC信息生成回溯检测结果。
第三方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种基于威胁情报的威胁检测方法流程示意图;
图2为本申请实施例提供的另一种威胁检测方法流程示意图;
图3为本申请实施例提供的又一种威胁检测方法流程示意图;
图4为本申请实施例提供的一种任务评估方法流程示意图;
图5为本申请实施例提供的一种回溯分析报告生成流程示意图;
图6为本申请实施例提供的一种基于威胁情报的威胁检测装置结构示意图;
图7为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
下面将结合附图对本申请技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本申请的技术方案,因此只作为示例,而不能以此来限制本申请的保护范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。
在本申请实施例的描述中,技术术语“第一”“第二”等仅用于区别不同对象,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量、特定顺序或主次关系。在本申请实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在本申请实施例的描述中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
在本申请实施例的描述中,术语“多个”指的是两个以上(包括两个),同理,“多组”指的是两组以上(包括两组),“多片”指的是两片以上(包括两片)。
在本申请实施例的描述中,除非另有明确的规定和限定,技术术语“安装”“相连”“连接”“固定”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;也可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请实施例中的具体含义。
随着信息技术的迅猛发展,企业内部网络威胁形式呈现了多样化、复杂化的特点,也面临着如APT攻击等新一代威胁的挑战,这一类威胁不仅传播速度更快,其利用的攻击面也越来越宽广,在这种威胁的常态下仅仅依靠传统的防火墙、入侵检测等安全防护设备已经不能完全满足企业用户的网络安全防护需要。以网络安全PDR模型来看,传统网络安全还是以“防护(P)”为主,但是随着攻击技术的发展,原有的防御手段不能满足需求时,攻防的平衡被打破,整个安全体系出现了缺失,因此,为了满足企业应对新形势威胁的安全防护需求,需要加强PDR模型中“检测(D)”和“响应(R)的安全防御能力,以使得整个安全体系重新恢复平衡,这其中在现阶段又以检测能力最为关键。
失陷主机通常是指网络入侵攻击者以某种方式获得控制权的主机,在获得控制权后,攻击者可能以该主机为跳板继续攻击企业内网的其他主机;另外,失陷主机往往具有无规律性、高隐蔽性的特点,很多入侵动作本身难以识别或无法确认攻击是否成功,但通过攻陷后的各种动作可以判断该主机已经被攻陷。政府、机关、企业的网络都会进行网络划分,比如说办公网络区、DMZ(外网服务器区域),以此来保证网络的安全,所有和互联网通信的设备都会通过路由器设备,在路由器设备处采集流量将还原网络日志,通过网络日志分析,是否存在和恶意IP通信行为;办公设备或者服务器受攻击后被非法组织控制,此设备就会主动向非法组织服务器指定IP或者域名进行通信,并传输数据,针对这种向恶意IP或域名进行通信的设备我们就叫做失陷主机。
利用威胁情报对失陷主机的检测是有效检测手段之一,为了能够及时地发现主机是否失陷,可以采用实时检测的方式,但是这种方式会增加系统负载,严重时会导致系统上的正常业务无法被处理。为了避免上述问题,可采用将部分重要的日志进行实时检测,这种方法会使得部分日志无法被检测,存在主机漏判的情况。再有,威胁情报也在不断地更新,采用当时的威胁情报进行安全检测,也可能存在对主机漏判的情况。
为了解决上述技术问题,本申请实施例提供一种基于威胁情报的威胁检测方法及装置,该方法通过定期利用最新的威胁情报对历史时间段的离线网络日志进行回溯检测,获得回溯检测结果,实现了对过去一段时间主机上产生的日志进行全面分析,降低对主机漏判的情况。
为了便于对本申请技术方案的理解,先对本申请实施例中涉及到的相关概念进行解释:
威胁情报:是安全情报的一种,其中包括了可疑、恶意活动的详细信息和元数据、可能的攻击媒介,攻击方法,以及可以采取的遏制措施,可以帮助企业了解已经、现在或将来的针对企业的威胁信息,从而更好地帮助识别和预防可能会对企业安全产生威胁的信息,或是针对即将到来的威胁信息做好准备。因此,威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略。
入侵指标(IOC)指的是在网络或设备上发现的数据物件,可作为系统疑遭入侵的证据:例如,不属于系统目录的文件或可疑IP地址。IOC是“确凿证据”,即已遭受损害的事后指标。网络安全专业人员利用IOC来调查事件造成的影响,并训练他们的工具和技术,以更好地检测和隔离日后可能出现的威胁。
IOC常见的示例包括:异常DNS查找、可疑文件、应用程序和进程、属于僵尸网络或恶意软件命令和控制(C&C或C2)服务器的IP地址和域名、已知恶意软件的攻击签名或文件哈希值、异常大小的HTML响应、对配置文件、寄存器或设备设置的未经授权修改等。
可以理解的是,本申请实施例提供的基于威胁情报的威胁检测方法可以应用于安全设备,安全设备可以包括防火墙,还可以包括其他用于网络安全防护的设备,本申请实施例对此不作具体限定。该方法应用场景可为对某一台主机进行安全监测,还可以对集群进行安全监测,被监测的主机产生的流量数据可经过安全设备,由安全设备对其进行威胁检测。
图1为本申请实施例提供的一种基于威胁情报的威胁检测方法流程示意图,如图1所示,该方法包括:
步骤101:响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息。
其中,回溯检测任务的启动时间可以预先配置,例如:可以配置每天晚上11点开始,或每周日晚上11点开始等。回溯检测任务也可以人工启动,即,在需要进行回溯检测时,人工触发该回溯检测任务。可以理解的是,回溯检测任务的启动方式本申请实施例不作具体限定。
由于威胁情报为实时更新的,安全设备中可以只存储当前时刻最新的威胁情报,也可以存储历史各个版本的威胁情报,当存储历史各个版本的威胁情报时,安全设备可从多个版本的威胁情报中获取最新版本的威胁情报。
预设范围可以是预先设定的时间段,例如:可以是距离当前时刻最近的一周、三天、或两周等,也可以是从上次回溯检测任务启动的时刻到当前时刻之间的这段时间。预设范围还可以是预先指定的待检测的日志范围,例如:特定网络、指定的主机产生的日志等。在实际应用中,预设范围可根据实际情况进行设定。
离线任务网络日志可以是在预设历史时间段内,所有经过安全设备的日志。可通过接引部署在被检测主机上的流量探针发送的各类日志,其日志格式包括log、txt、syslog等。若安全设备在进行实时检测时,对所有经过安全设备的日志都进行检测,那么,离线任务网络日志包括经过实时检测的网络日志。若安全设备在进行实时检测时,对所有经过安全设备的日志都进行检测,那么,离线任务网络日志中包括经过实时检测的网络日志和未经过实时检测的网络日志。若安全设备未启动实时检测,那么离线任务网络日志包括未经过实时检测的网络日志。
安全设备可以利用威胁情报对筛选后网络日志进行分析,从而获得筛选后网络日志是否属于异常日志,对于异常日志,可获得对应的IOC信息。
步骤104:根据IOC信息生成回溯检测结果。
对于异常日志,安全设备可根据IOC信息生成其对应的回溯检测结果。其中,回溯检测结果中包含异常主机对应的IOC信息。可以理解的是,回溯检测结果中,除了包括IOC信息,还可以包括其他信息,本申请实施例对此不作具体限定。
本申请实施例通过威胁情报对离线网络日志进行回溯分析,可与实时检测形成互补,并且通过可重复地对过去一定时间内的网络日志进行分析,有助于安全分析人员获得更多信息,进而根据获取到的今夕作为合理、准确的判断依据,降低对主机漏判的风险。
在上述实施例的基础上,利用威胁情报对预设范围内的离线网络日志进行分析,包括:
利用预设时间范围对所述离线网络日志进行筛选,获得筛选后网络日志;
利用所述威胁情报对所述筛选后网络日志进行分析。
其中,用户可根据实际需要在安全设备上设置对离线网络日志进行回溯分析的时间段,例如:可以是获取最近一周的离线网络日志进行分析,那么安全设备可从存储的离线网络日志中筛选最近一周的离线网络日志。另外,安全设备采集到的离线网络日志中,可能存在重复的日志、信息不完整的日志、乱码日志等,这些日志不属于要进行回溯检测的范围,因此,可通过预先设定的筛选范围将其剔除。
被控主机(也称为失陷主机),往往会与外部服务器连接,因此,经过筛选后获得的筛选后网络日志中包括资产与外联网络资源的对应记录。资产用于表征该产生该筛选后网络日志的主机情况,例如:主机的IP地址等,外联网络资源用于表征主机连接的外部服务器的情况,例如:外部服务器的IP地址等。
本申请实施例通过对离线网络日志进行筛选,实现对离线网络日志的降维处理,提高了后续分析的效率。
在上述实施例的基础上,利用预设时间范围对离线网络日志进行筛选,获得筛选后网络日志,包括:
利用预设时间范围对离线网络日志进行筛选,获得预筛选网络日志;
对预筛选网络日志进行去重操作,获得去重后网络日志;
基于白名单库对去重后网络日志进行过滤,获得筛选后网络日志;白名单库包括威胁情报白名单和主机白名单。
在具体的实施过程中,在根据预设时间范围对离线网络日志进行筛选后,获得的日志称为预筛选网络日志。由于安全设备采集到的离线网络日志中可能存在有重复的情况,因此,可对相同的离线网络日志进行去重操作,获得去重后网络日志。可以理解的是,对于离线网络日志,其可能存在内容不完整或乱码等情况,本申请实施例将这类的离线网络日志称为“脏数据”,为了提高后续威胁检测的准确性及效率,本申请实施例可以将这些“脏数据”删除处理。
安全设备中还存储有白名单库,该白名单库中包括威胁情报白名单和主机白名单,其中,威胁情报白名单中包括了预先配置的即便被威胁情报判定为异常日志的日志,但其并不属于威胁的日志信息。主机白名单中预先配置了不需要进行安全检测的主机信息。例如:对于某个企业,若不需要监控总裁所使用的主机,那么可将总裁做使用的主机的IP地址存储该主机白名单中。
图2为本申请实施例提供的另一种威胁检测方法流程示意图,如图2所示:
1)将安全设备采集的离线网络日志称为回溯一级数据,其中,回溯一级数据包括:去重后的网络外联资源:包含Domain(Domain+Port)、IP(IP+Port)、URL数据等;资产与网络外联资源的对应记录。
2)根据筛选范围,筛选出范围内的回溯一级数据,对数据进行去重,产生回溯二级数据,回溯二级数据仍然包含上述两个维度。
3)基于回溯二级数据,通过威胁情报白名单、主机白名单进行数据过滤,产生回溯三级数据。
4)基于回溯三级数据,与威胁情报大数据碰撞,产生IOC信息。
5)将IOC信息与回溯三级数据中的资产与外联网络资源的对应记录进行匹配,生成回溯结果。
本申请实施例通过对离线网络日志进行去重及白名单过滤后,获得准确地需要进行回溯分析的离线网络日志,提高了对离线网络日志回溯分析的效率。
图3为本申请实施例提供的又一种威胁检测方法流程示意图,如图3所示,包括:
1)将安全设备采集的离线网络日志称为回溯一级数据,其中,回溯一级数据包括:去重后的网络外联资源:包含Domain(Domain+Port)、IP(IP+Port)、URL数据等;资产与网络外联资源的对应记录。
2)因网络外联资源已经确认,通过回溯一级数据筛选计算范围内的数据,并进行去重,生成资产与网络外联资源的对应记录,构造回溯二级数据。
3)基于回溯二级数据,通过威胁情报白名单、主机白名单进行数据过滤,产生回溯三级数据。
4)基于回溯三级数据,与威胁情报大数据碰撞,产生IOC信息。
5)将IOC信息与回溯三级数据中的资产与外联网络资源的对应记录进行匹配,生成回溯结果。
本申请实施例通过对离线网络日志进行去重及白名单过滤后,获得准确地需要进行回溯分析的离线网络日志,提高了对离线网络日志回溯分析的效率。
在上述实施例的基础上,筛选后网络日志包括资产与外联网络资源的对应记录,根据IOC信息生成回溯检测结果,包括:
将IOC信息与对应的资产与外联网络资源的对应记录进行组合,生成回溯检测结果。
其中,当主机失陷后,往往会连接外部网络,例如连接外部的服务器,针对此行为,安全设备会记录哪个主机连接了哪个外部资源,从而生成资产(例如:主机的IP地址)与外联网络资源(例如:外部服务器的IP地址)的对应记录。
安全设备将IOC信息与资产与外联网络资源的对应记录进行组合,从而可使得回溯检测结果中包含IOC信息和资产与外联网络资源的对应记录,实现对回溯检测结果的富化,即,可以获知是哪个主机发生异常,并且发生异常的主机外联的哪个网络资源,从而获得对应的回溯检测结果。
本申请实施例通过利用资产与外联网络资源对应的记录对IOC信息进行富化,使得回溯检测结果中的信息更加全面。
在上述实施例的基础上,响应于回溯检测任务,包括:
获取当前负载情况和实时分析任务的资源占用情况;
根据当前负载情况和资源占用情况判断是否满足检测推迟策略;
若不满足则响应于回溯检测任务;
其中,检测推迟策略包括:当前负载超过预设负载,且实时分析任务的资源占用情况大于预设资源。
在具体的实施过程中,安全设备中可以设置任务评估功能,该任务评估功能可根据实际需求启用或禁止。
若任务评估功能启用,则在到达预先设定的回溯检测任务启动的时间点时,安全设备可在启动回溯检测任务之前获取被检测主机的当前负载情况和实时分析任务的资源占用情况。其中,当前负载情况包括被检测主机的CPU占用率、内存使用率等。实时分析任务的资源占用情况包括待处理日志的积压情况等。
安全设备中预先配置有检测推迟策略,将采集到的当前负载情况和实时分析任务的资源占用情况与检测推迟策略进行匹配,从而获得主机当前是否满足检测推迟策略。其中,检测推迟策略包括主机的当前负载超过预设负载,例如:超过70%等,并且,实时分析任务的资源占用情况大于10%。具体的,资源占用可以为待处理日志条数大于预设条数,例如100万条等。如果不满足上述检测推迟策略,则说明主机当前较为空闲,可以执行回溯检测任务,因此,可响应于回溯检测任务。
相反的,如果满足检测推迟策略,则说明主机当前负载较大,为了不影响主机中的业务的正常执行,可以执行相应的推迟操作,例如:
可获取即将执行的回溯检测任务的任务优先级,可以理解的是,安全设备在生成回溯检测任务时,可为该回溯检测任务生成对应的任务优先级,任务优先级可根据回溯检测任务被推迟执行的次数和/或任务的重要程度得出。例如;若回溯检测任务生成后没有被推迟过,则可将该回溯检测任务的任务优先级确定为低优先级。若回溯检测任务生成后,推迟过一次,则可将该回溯检测任务的任务优先级确定为中优先级。若回溯检测任务生成后,推迟过两次,则可将该回溯检测任务的任务优先级确定为高优先级。
如果主机满足检测推迟策略,且回溯检测任务的优先级为高优先级,则触发回溯检测任务,并限制所述回溯检测任务的资源,例如:限制回溯检测任务占用的资源最多为10%等。
如果主机满足检测推迟策略,且回溯检测任务的优先级为中优先级或低优先级,则延迟触发回溯检测任务,具体可将回溯检测任务推迟预设时间段,例如30分钟或更长时间。
应当说明的是,上述满足检测推迟策略后的执行方法还可以根据实际情况进行设定,例如:第一优先级的回溯检测任务不推迟,立即处理回溯检测任务;第二优先级的回溯检测任务立即处理回溯检测任务,并需要限制资源;第三优先级的回溯检测任务推迟30分钟后执行,但是若推迟次数超过三次,则可立即处理回溯检测任务,且需要限制资源。
图4为本申请实施例提供的一种任务评估方法流程示意图,如图4所示:当安全设备新建了回溯检测任务后,读取该回溯检测任务的任务优先级,判断主机负载是否超过70%,若超过则判断实时分析任务中待处理日志的条数是否超过100万条,如果超过,则确定满足检测推迟策略,对于任务优先级为立即执行的,触发回溯检测任务;对于任务优先级为高优先级,限制资源执行该回溯检测任务;对于任务优先级为中优先级或低优先级,则单次推迟30分钟,但是若推迟次数超过三次,则可立即处理回溯检测任务,且需要限制资源。
本申请实施例通过检测推迟策略灵活的判断是否需要推迟或限制回溯检测任务的资源,动态调整回溯检测任务的执行,从而高效的利用了计算资源,降低对系统的负载压力,进而降低对业务的影响。
在上述实施例的基础上,安全设备在对主机进行离线回溯检测的基础上,还可以进行实时检测。在实时检测时,获取实时网络日志,实时网络日志是指安全设备实时获取到的被检测主机产生的网络日志。安全设备利用威胁情报对获取到的实时网络日志进行分析,从而获得实时检测记录。可以理解的是,威胁情报可采用横向分析或纵向分析,具体可采用关联融合、时间序列、流数据技术等可应用于从海量的网络信息中提取威胁特征。威胁情报对实时网络日志分析的具体过程可参见现有的分析方法,本申请实施例不对其做具体限定。
本申请实施例通过结合实时分析和离线回溯检测的方法,形成更为全面的威胁发现和分析机制,在对主机进行及时检测的同时,提高了检测的全面性。
在上述实施例的基础上,安全设备在生成回溯检测结果后,可对回溯检测结果进行富化,从而生成回溯分析报告。回溯分析报告中除了包含IOC信息外,还包括与IOC信息相关联的更多信息。
图5为本申请实施例提供的一种回溯分析报告生成流程示意图,如图5所示,资产信息是指IOC信息对应的主机的相关信息,例如:可以是主机的IP地址、域名、指纹、画像等。
安全设备在获取到资产信息后,可根据该资产信息获取对应的目标网络日志,可以理解的是,目标网络日志为安全设备采集到的离线网络日志中的日志。
利用预设规则对目标网络日志进行分析,以确定该主机的主机信息,即,获得该主机是否为被控主机。
安全设备还可以根据资产信息读取对应的主机的实时检测记录和历史的回溯检测结果。其中,实时检测记录是指安全设备在过去利用威胁情况对该主机进行实时检测的相关记录。历史的回溯检测结果是指安全设备在过去对该主机进行回溯检测的记录。
安全设备在获取到上述信息后,将获取到的IOC信息、主机信息、实时检测记录和历史的回溯检测结果进行融合,生成回溯分析报告。
本申请实施例通过利用主机信息、实施检测记录和历史的回溯检测结果对回溯检测结果进行富化,从而可以输出更清晰、全面的安全威胁情况,并与后续安全管理人员进行分析处理。
图6为本申请实施例提供的一种基于威胁情报的威胁检测装置结构示意图,该装置可以是电子设备上的模块、程序段或代码。应理解,该装置与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。所述装置包括:日志分析模块601和结果生成模块602,其中:
日志分析模块601用于响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,所述威胁情报为实时更新的;
结果生成模块602用于根据所述IOC信息生成回溯检测结果。
在上述实施例的基础上,日志分析模块601具体用于:
利用预设时间范围对所述离线网络日志进行筛选,获得筛选后网络日志;
利用所述威胁情报对所述筛选后网络日志进行分析。
在上述实施例的基础上,日志分析模块601具体用于:
利用所述预设时间范围对所述离线网络日志进行筛选,获得预筛选网络日志;
对所述预筛选网络日志进行去重操作,获得去重后网络日志;
基于白名单库对所述去重后网络日志进行过滤,获得所述筛选后网络日志;所述白名单库包括威胁情报白名单和主机白名单;其中,所述威胁情报白名单包括被威胁情报判定为异常日志的日志,但不属于威胁的日志信息;所述主机白名单包括不需要进行安全检测的主机信息。
在上述实施例的基础上,所述筛选后网络日志包括资产与外联网络资源的对应记录;结果生成模块602具体用于:
将所述IOC信息与对应的所述资产与外联网络资源的对应记录进行组合,生成所述回溯检测结果。
在上述实施例的基础上,日志分析模块601具体用于:
获取当前负载情况和实时分析任务的资源占用情况;
根据所述当前负载情况和所述资源占用情况判断是否满足检测推迟策略;
若不满足,则响应于回溯检测任务;
其中,所述检测推迟策略包括:所述当前负载超过预设负载,且所述实时分析任务的资源占用情况大于预设资源。
在上述实施例的基础上,该装置还包括:
任务推迟模块,用于若满足所述检测推迟策略,且所述回溯检测任务的优先级为第一优先级,则触发所述回溯检测任务,并限制所述回溯检测任务的资源;
若满足所述检测推迟策略,且所述回溯检测任务的优先级为第二优先级,则延迟触发所述回溯检测任务;其中,所述第一优先级高于所述第二优先级。
在上述实施例的基础上,该装置还包括实时检测模块,用于:
获取实时网络日志;
利用所述威胁情报对所述实时网络日志进行分析,获得所述实时检测记录。
在上述实施例的基础上,该装置还包括报告生成模块,用于:
基于所述回溯检测结果中的IOC信息确定对应的资产信息;
根据所述资产信息获取对应的目标网络日志,并对所述目标网络日志进行规则匹配,获得所述资产信息对应的主机信息,所述主机信息用于表征所述主机是否为被控主机;
根据所述资产信息读取对应的实时检测记录和历史的回溯检测结果;
根据所述IOC信息、所述主机信息、所述实时检测记录和历史的回溯检测结果生成回溯分析报告。
图7为本申请实施例提供的电子设备实体结构示意图,如图7所示,所述电子设备,包括:处理器(processor)701、存储器(memory)702和总线703;其中,
所述处理器701和存储器702通过所述总线703完成相互间的通信;
所述处理器701用于调用所述存储器702中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,所述威胁情报为实时更新的;根据所述IOC信息生成回溯检测结果。
处理器701可以是一种集成电路芯片,具有信号处理能力。上述处理器701可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中公开的各种方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器702可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)等。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,所述威胁情报为实时更新的;根据所述IOC信息生成回溯检测结果。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,所述威胁情报为实时更新的;根据所述IOC信息生成回溯检测结果。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (11)

1.一种基于威胁情报的威胁检测方法,其特征在于,包括:
响应于回溯检测任务,利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,所述威胁情报为实时更新的;
根据所述IOC信息生成回溯检测结果。
2.根据权利要求1所述的方法,其特征在于,所述利用威胁情报对预设范围内的离线网络日志进行分析,包括:
利用预设时间范围对所述离线网络日志进行筛选,获得筛选后网络日志;
利用所述威胁情报对所述筛选后网络日志进行分析。
3.根据权利要求2所述的方法,其特征在于,所述利用预设时间范围对所述离线网络日志进行筛选,获得筛选后网络日志,包括:
利用所述预设时间范围对所述离线网络日志进行筛选,获得预筛选网络日志;
对所述预筛选网络日志进行去重操作,获得去重后网络日志;
基于白名单库对所述去重后网络日志进行过滤,获得所述筛选后网络日志;所述白名单库包括威胁情报白名单和主机白名单;其中,所述威胁情报白名单包括被威胁情报判定为异常日志的日志,但不属于威胁的日志信息;所述主机白名单包括不需要进行安全检测的主机信息。
4.根据权利要求2所述的方法,其特征在于,所述筛选后网络日志包括资产与外联网络资源的对应记录;所述根据所述IOC信息生成回溯检测结果,包括:
将所述IOC信息与对应的所述资产与外联网络资源的对应记录进行组合,生成所述回溯检测结果。
5.根据权利要求1所述的方法,其特征在于,所述响应于回溯检测任务,包括:
获取当前负载情况和实时分析任务的资源占用情况;
根据所述当前负载情况和所述资源占用情况判断是否满足检测推迟策略;
若不满足,则响应于所述回溯检测任务;
其中,所述检测推迟策略包括:所述当前负载超过预设负载,且所述实时分析任务的资源占用情况大于预设资源。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若满足所述检测推迟策略,且所述回溯检测任务的优先级为第一优先级,则触发所述回溯检测任务,并限制所述回溯检测任务的资源;
若满足所述检测推迟策略,且所述回溯检测任务的优先级为第二优先级,则延迟触发所述回溯检测任务;其中,所述第一优先级高于所述第二优先级。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
获取实时网络日志;
利用所述威胁情报对所述实时网络日志进行分析,获得实时检测记录。
8.根据权利要求7所述的方法,其特征在于,在生成回溯检测结果之后,所述方法还包括:
基于所述回溯检测结果中的IOC信息确定对应的资产信息;
根据所述资产信息获取对应的目标网络日志,并对所述目标网络日志进行规则匹配,获得所述资产信息对应的主机信息,所述主机信息用于表征所述主机是否为被控主机;
根据所述资产信息读取对应的实时检测记录和历史的回溯检测结果;
根据所述IOC信息、所述主机信息、所述实时检测记录和历史的回溯检测结果生成回溯分析报告。
9.一种基于威胁情报的威胁检测装置,其特征在于,包括:
日志分析模块,用于响应于回溯检测任务利用威胁情报对预设范围内的离线网络日志进行分析,获得入侵指标IOC信息;其中,所述威胁情报为实时更新的;
结果生成模块,用于根据所述IOC信息生成回溯检测结果。
10.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-8任一项所述的方法。
11.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令被计算机运行时,使所述计算机执行如权利要求1-8任一项所述的方法。
CN202310233278.2A 2023-03-06 2023-03-06 基于威胁情报的威胁检测方法及装置 Pending CN116346442A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310233278.2A CN116346442A (zh) 2023-03-06 2023-03-06 基于威胁情报的威胁检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310233278.2A CN116346442A (zh) 2023-03-06 2023-03-06 基于威胁情报的威胁检测方法及装置

Publications (1)

Publication Number Publication Date
CN116346442A true CN116346442A (zh) 2023-06-27

Family

ID=86881605

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310233278.2A Pending CN116346442A (zh) 2023-03-06 2023-03-06 基于威胁情报的威胁检测方法及装置

Country Status (1)

Country Link
CN (1) CN116346442A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118413352A (zh) * 2024-04-08 2024-07-30 南京聚铭网络科技有限公司 一种虚拟检测环境下的威胁检测方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118413352A (zh) * 2024-04-08 2024-07-30 南京聚铭网络科技有限公司 一种虚拟检测环境下的威胁检测方法及装置

Similar Documents

Publication Publication Date Title
JP7544738B2 (ja) ロギングによる機密データの暴露の検出
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10645110B2 (en) Automated forensics of computer systems using behavioral intelligence
US10505986B1 (en) Sensor based rules for responding to malicious activity
US9747446B1 (en) System and method for run-time object classification
US8549645B2 (en) System and method for detection of denial of service attacks
US7941854B2 (en) Method and system for responding to a computer intrusion
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
WO2019084072A1 (en) GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM
CN106850647B (zh) 基于dns请求周期的恶意域名检测算法
CN112134877A (zh) 网络威胁检测方法、装置、设备及存储介质
CN110035062A (zh) 一种网络验伤方法及设备
CN111464526A (zh) 一种网络入侵检测方法、装置、设备及可读存储介质
CN112784268A (zh) 一种主机行为数据的分析方法、装置、设备及存储介质
CN116451215A (zh) 关联分析方法及相关设备
CN116346442A (zh) 基于威胁情报的威胁检测方法及装置
EP3331210B1 (en) Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination
CN114257403B (zh) 误报检测方法、设备及可读存储介质
Tiwari et al. Refinements in Zeek intrusion detection system
CN112650180B (zh) 安全告警方法、装置、终端设备及存储介质
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
CN113037689A (zh) 基于日志的病毒发现方法、装置、计算设备及存储介质
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
TW201928746A (zh) 偵測惡意程式的方法和裝置
CN114238279A (zh) 数据库安全防护方法、装置、系统、存储介质和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination