CN116389128A - 安全事件生成方法、装置、设备及计算机可读存储介质 - Google Patents
安全事件生成方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN116389128A CN116389128A CN202310378789.3A CN202310378789A CN116389128A CN 116389128 A CN116389128 A CN 116389128A CN 202310378789 A CN202310378789 A CN 202310378789A CN 116389128 A CN116389128 A CN 116389128A
- Authority
- CN
- China
- Prior art keywords
- security event
- alarm information
- generating
- attack
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 238000001514 detection method Methods 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 12
- 238000013507 mapping Methods 0.000 claims description 4
- 230000002085 persistent effect Effects 0.000 claims description 3
- 230000006403 short-term memory Effects 0.000 claims description 2
- 230000002123 temporal effect Effects 0.000 claims description 2
- 238000001914 filtration Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 230000007123 defense Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000011835 investigation Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005422 blasting Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000002347 injection Methods 0.000 description 3
- 239000007924 injection Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000001364 causal effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Alarm Systems (AREA)
Abstract
本申请实施例公开了一种安全事件生成方法、装置、设备及计算机可读存储介质,用于在提高安全事件生成的准确性的情况下,生成安全事件。本申请实施例方法包括:获得多个告警信息,其中,告警信息是待检测数据触发预设规则后产生的,基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件,若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件。
Description
技术领域
本申请实施例涉及安全事件生成领域,更具体的,是安全事件生成方法、装置、设备及计算机可读存储介质。
背景技术
在网络安全技术的快速发展,终端设备会存在越来越多的告警信息,为了保证终端设备的安全运行,因此,需要将告警信息生成安全事件,以可以对安全事件进行处置。其中,安全事件是用来描述网络中同一设备或不同设备产生对客户具有危害的行为日志的组合,通过更抽象的方式描述黑客或者不法分子等进行的一系列的网络活动。
现有的生成安全事件的方法是,获得终端设备的告警信息之后,安全防御设备可以通过预设检测查杀方式生成该终端设备的告警信息的安全事件,以对安全事件进行处置,其中,安全防御设备可以是网关出入口防火墙、AF,IDS,IPS,漏洞扫描设备,网闸等,预设检测查杀方式比如是通过网络链接信息进行检测查杀,或通过本地文件进行检测查杀等,并且,在不同的攻击阶段可以有不同的检测查杀方式。
但是,现有的生成安全事件的方法只是通过预设检测查杀方式对告警信息进行简单的检测,从而简单确定告警信息对应的安全事件,安全事件生成的准确性较低。
发明内容
本申请实施例提供了一种安全事件生成方法、装置、设备及计算机可读存储介质,用于在提高安全事件生成的准确性的情况下,生成安全事件。
第一方面,本申请实施例提供了一种安全事件生成方法,包括:
获得多个告警信息,其中,所述告警信息是待检测数据触发预设规则后产生的;
基于所述规则的属性信息,对所述告警信息进行分析以确定是否满足生成安全事件的条件;
若满足生成安全事件的条件,则根据预设方式将所述告警信息生成安全事件。
可选的,所述属性信息包括规则置信度,所述规则置信度表征所述规则对所述待检测数据检测后得到检测结果的准确程度,所述多个告警信息对应的待检测数据触发了多个规则;所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括:
确定所述多个规则各自对应的规则置信度;
根据所述多个规则的规则置信度对所述告警信息进行分析以确定是否满足生成安全事件的条件。
可选的,所述属性信息包括规则标识,所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括:
基于所述规则标识将所述多个告警信息各自映射到对应的攻击阶段;
基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件。
可选的,所述基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件,包括:
基于各个攻击阶段之间的逻辑关系确定每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型;
基于所述每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型,对所述多个告警信息进行关联以确定是否生成安全事件。
可选的,所述根据预设方式将所述告警信息生成安全事件,包括:
确定所述告警信息所属于的目标安全事件;
若所述目标安全事件为历史的安全事件,则将所述告警信息加入所述历史的安全事件;
若确定所述告警信息不属于历史的安全事件,则将所述告警信息生成新的安全事件,所述新的安全事件为所述目标安全事件。
可选的,所述根据预设方式将所述告警信息生成安全事件,包括:
将所述告警信息输入预先训练的模型,由所述模型对所述告警信息的特征进行识别和分析,得到所述预设模型输出的所述告警信息所属于的预测安全事件,并将所述预测安全事件作为所述目标安全事件;其中,所述特征包括攻击的类型、攻击的目标、攻击的资产、攻击者信息、攻击者的方法、受害者的信息、攻击的影响、攻击的频次和/或攻击的时间;和/或
根据预设安全基线对所述告警信息进行检测,得到检测结果,若所述检测结果与预设安全基线之间的差距大于预设差距阈值,则根据所述检测结果确定所述告警信息所属于的目标安全事件。
可选的,基于所述规则的属性信息,对所述告警信息进行分析以确定是否生成安全事件之后,所述方法还包括:
若生成多个安全事件,则根据多个安全事件之间的时间相似性和/或会话关联性和/或设备关联信息来生成事件链。
第二方面,本申请实施例提供了一种安全事件生成装置,包括:
获得单元,用于获得多个告警信息,其中,所述告警信息是待检测数据触发预设规则后产生的;
分析单元,用于基于所述规则的属性信息,对所述告警信息进行分析以确定是否满足生成安全事件的条件;
生成单元,用于若满足生成安全事件的条件,则根据预设方式将所述告警信息生成安全事件。
第三方面,本申请实施例提供了一种安全事件生成设备,包括:
中央处理器,存储器,输入输出接口,有线或无线网络接口以及电源;
所述存储器为短暂存储存储器或持久存储存储器;
所述中央处理器配置为与所述存储器通信,并执行所述存储器中的指令操作以执行前述安全事件处置方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质包括指令,当指令在计算机上运行时,使得计算机执行前述安全事件生成方法。
第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行前述安全事件生成方法。
从以上技术方案可以看出,本申请实施例具有以下优点:可以获得多个告警信息,其中,告警信息是待检测数据触发预设规则后产生的,可以基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件,若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件,可以基于规则的多维度的属性信对告警信息进行分析,提高了分析告警信息属于哪种安全事件的准确性,提高了安全事件生成的准确性。
附图说明
图1为本申请实施例公开的一种安全事件生成系统的架构示意图;
图2为本申请实施例公开的一种安全事件生成方法的流程示意图;
图3为本申请实施例公开的一种基于规则的对告警信息进行分析以确定是否满足生成安全事件的条件方法的流程示意图;
图4为本申请实施例公开的另一种安全事件生成系统的架构示意图;
图5为本申请实施例公开的一种安全事件生成装置的结构示意图;
图6为本申请实施例公开的一种安全事件生成设备的结构示意图。
具体实施方式
本申请实施例提供了一种安全事件生成方法、装置、设备及计算机可读存储介质,用于在提高安全事件生成的准确性的情况下,生成安全事件。
请参阅图1,本申请实施例中安全事件生成系统的架构包括:
安全事件生成设备101和终端设备102。安全事件生成设备101可以获得终端设备102发送的多个告警信息,可以对告警信息进行分析以确定是否满足生成安全事件的条件,若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件。
基于图1所示的安全事件生成系统,请参阅图2,图2为本申请实施例公开的一种安全事件生成方法的流程示意图,方法包括:
201、获得多个告警信息,其中,告警信息是待检测数据触发预设规则后产生的。
本实施例中,当生成安全事件时,可以获得多个告警信息,其中,告警信息是待检测数据触发预设规则后产生的。其中,安全事件用来描述网络中同一设备或不同设备产生对客户具有危害的行为日志的组合,通过更抽象的方式描述黑客或者不法分子等进行的一系列的网络活动。
规则是指为判断待检测数据是否为安全数据而制定的规则,当待检测数据匹配到规则之后,则会触发告警信息。
202、基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件。
获得多个告警信息之后,可以基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件。
所述属性信息表征规则自身的对安全事件生成产生影响的属性相关信息。当规则的属性信息表征其检测结果比较准确的时候,则可以认为其满足生成安全事件的条件,当规则的属性信息表征其检测结果不是非常准确的时候,可以认为该告警信息有可能是误报,不生成安全事件。
203、若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件。
基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件之后,可以若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件。
本申请实施例中,可以获得多个告警信息,其中,告警信息是待检测数据触发预设规则后产生的,可以基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件,若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件,可以基于规则的属性信对告警信息进行分析,提高了分析告警信息属于哪种安全事件的准确性,提高了安全事件生成的准确性。
本申请实施例中,基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件的方法可以有多种,基于图1所示的安全事件生成方法,下面对其中的一种方法进行描述。
本实施例中,当生成安全事件时,可以获得多个告警信息,其中,告警信息是待检测数据触发预设规则后产生的。具体的,安全事件用来描述网络中同一设备或不同设备产生对客户具有危害的行为日志的组合,通过更抽象的方式描述黑客或者不法分子等进行的一系列的网络活动。
获得多个告警信息之后,可以基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件。
其中,基于规则的属性信息,对安全告警进行分析以确定是否生成安全事件之前,可以基于相同时间区间和/或相同会话和/或相同规则对安全告警进行数据过滤处理,得到数据过滤后的安全告警。相应的,基于规则的属性信息,对安全告警进行分析以确定是否生成安全事件的方法可以是,基于规则的属性信息,对数据过滤后的安全告警进行分析以确定是否生成安全事件。
具体的,基于相同时间区间对安全告警进行数据过滤处理的方法可以是,将距离很近的时间内相同类型的事件筛选出来(比如SQL注入、webshell后门、账号爆破、XSS攻击等类型的事件),以将筛选出来(过滤出来)的安全告警进行后续的分析是否生成安全事件,需要理解的是,基于相同时间区间对安全告警进行数据过滤处理可以提高多个安全告警属于同一安全事件的可能性,从而提高了安全事件分析的准确性。
基于相同会话对安全告警进行数据过滤处理的方法可以是,两端构建会话进行数据传输,基于同一会话的两端对应的事件之间的关联筛选出(过滤出)的安全告警进行后续的分析是否生成安全事件,需要理解的是,基于相同会话对安全告警进行数据过滤处理可以将相同会话的告警信息归为一类,提高多个安全告警属于同一安全事件的可能性,从而提高了安全事件分析的准确性。
相同规则可以是标准化映射等,基于相同规则对安全告警进行数据过滤处理的方法可以是,将不同厂家(终端设备)的告警信息(比如安全日志)接入融合到一起,以使得可以不同来源的告警信息(比如安全日志)进行后续的分析以确定是否生成安全事件,其中,不同厂家(终端设备)的告警信息可以是从各个终端设备中获得的,也可以是第三方系统先从各个终端设备中获得,再从第三方系统获得的,具体不同厂家(终端设备)的告警信息的获得方法此处不做限定。可以理解的是,标准化映射处理可以提高后续对不同来源的告警信息(比如安全日志)生成安全事件的可实现性。
具体的,基于相同时间区间和/或相同会话和/或相同规则对安全告警进行数据过滤处理,得到数据过滤后的安全告警的表现形式可以是,先针对每个终端设备,将终端设备在预设时间段内的告警信息进行第一次去重处理,得到终端设备在预设时间段内第一次去重处理后保留的告警信息,然后对各个终端设备对应的第一次去重处理后保留的告警信息进行第二次去重处理,得到各个终端设备对应的第二次去重处理后保留的告警信息,最后将各个终端设备对应的第二次去重处理后保留的告警信息作为数据过滤后的各个终端设备的告警信息。再具体的,对于相同设备,可以将同一时间段内的重复数据进行去重,只保留一条,对于不同设备,可以将相同会话或者规则产生的数据进行去重,只保留一条。可以理解的是,去重处理减少了需要关注的告警信息(比如安全日志),减少了安全事件处置的工作量。
进一步地,所述规则的属性信息可以包括规则的置信度和/或规则标识。
其中,属性信息可以包括规则置信度,规则置信度表征规则对待检测数据检测后得到检测结果的准确程度,多个告警信息对应的待检测数据触发了多个规则,对告警信息进行分析以确定是否满足生成安全事件的条件的方法可以是,先确定多个规则各自对应的规则置信度,然后根据多个规则的规则置信度对告警信息进行分析以确定是否满足生成安全事件的条件。
具体的,根据多个规则的规则置信度对安全告警进行分析以确定是否生成安全事件的方法可以是,先确定多个规则各自对应的规则置信度,并对多个规则各自对应的规则置信度和权重进行加权求和,得到安全告警对应的总规则置信度,然后在总规则置信度大于或等于预设阈值的情况下,根据安全告警生成安全事件,还可以是其他合理的根据多个规则的规则置信度对安全告警进行分析以确定是否生成安全事件的方法,具体此处不做限定。
具体的,确定多个规则各自对应的规则置信度的方法可以是,针对每个规则,若告警信息严格匹配规则,则确定规则的规则置信度较高,若告警信息模糊匹配规则,则确定规则的规则置信度较低,且规则的规则置信度随着模糊匹配程度的降低而降低;和/或若规则预设有固定置信度,且告警信息匹配规则,则确定规则的规则置信度为预设规则置信度;和/或若告警信息匹配规则的次数较高,则确定规则的规则置信度较高,若告警信息匹配规则的次数较低,则规则的规则置信度较低。
其中,属性信息可以包括规则标识,对告警信息进行分析以确定是否满足生成安全事件的条件的方法可以是,先基于规则标识将多个告警信息各自映射到对应的攻击阶段,然后基于各个攻击阶段之间的逻辑关系对多个告警信息进行关联以确定是否满足生成安全事件的条件。
所述逻辑关系是指将各个攻击阶段进行组合以生成安全事件的逻辑关系,逻辑关系可以是各个攻击阶段之间存在的因果关系,比如因为存在漏洞,所以利用漏洞进行攻击等因果逻辑,逻辑关系还可以是根据时间相似性和/或会话关联性和/或设备关联信息和/或相同规则确定的逻辑关系,还可以是其他合理的逻辑关系,具体此处不做限定。
具体的,可以基于ATT&CK、杀伤链或自定义分类等方式,将多个告警信息各自映射到对应的攻击阶段。其中,ATT&CK是由MITRE机构开发的攻击模型框架,其全称为AdversarialTactics,Techniques,andCommonKnowledge(对抗性战术,技术以及公共知识库),是一个基于现实世界所观察到的攻击向量所组成的一个公开的对抗性战术和技术知识库。ATT&CK对应的攻击阶段为侦察、资源开发、初始访问、执行、持久化、特权提升、防御绕过、凭据访问、内网发现、横向运动、收集、命令和控制、渗透和攻击,杀伤链对应的攻击阶段为侦察、武器化、投递、漏洞利用、安装、指挥和控制和目标行动。
其中,基于各个攻击阶段之间的逻辑关系对多个告警信息进行关联以确定是否满足生成安全事件的条件的方法可以是,先基于各个攻击阶段之间的逻辑关系确定每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型,然后基于每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型,对多个告警信息进行关联以确定是否满足生成安全事件的条件。
具体的,比如,某一类的安全事件的预设攻击阶段数量为2,和/或各个攻击阶段各自对应的数量分别为60和40,和/或预设攻击阶段类型为侦查阶段和武器化,则可以在多个攻击阶段中确定对应的攻击阶段。再比如,预设攻击阶段数量还可以是至少两个以上,则可以在多个攻击阶段中确定至少两个的攻击阶段,将这两个以上的攻击阶段对应的告警信息进行关联以确定是否满足生成安全事件的条件。具体请参阅图3,图3为本申请实施例公开的一种基于规则的对告警信息进行分析以确定是否满足生成安全事件的条件方法的流程示意图,由图3可知,攻击阶段可以是侦查、武器化、交付、利用、安装和命令与控制,比如某一个安全事件对应的攻击阶段有侦查、武器化和交付,则可以对侦查、武器化和交付对应的告警信息进行聚合,生成该安全事件。比如租户1/主机1(终端设备1)的告警信息为数据1、数据2至数据10,侦查、武器化和交付对应的告警信息为数据2、数据3、数据4、数据5、数据6、数据7、数据8和数据9,可以对数据2、数据3、数据4、数据5、数据6、数据7、数据8和数据9进行聚合,生成该安全事件。再举个例子,对于A客户,A客户的设备a被人用工具进行爆破扫描,也就是对应侦查,那么A客户对这个设备很敏感,可以把这个发生一次就生成事件,对于客户B,客户B觉得除非有其他的行为,或者次数超过一天100以上才需要关注,因此,可以根据客户的需求灵活设置聚合数量阈值来进行控制,最终,比如,A客户可以设置只有侦查这一个,B客户可以设置侦查、武器化、交付和利用这四个。
可以理解的是,预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型的设置可以更精准的区分不同的安全事件,预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型可以是预先设置的,也可以是根据客户的需求进行自定义设置,
基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件之后,可以若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件。
其中,根据预设方式将告警信息生成安全事件的方法可以是,先确定告警信息所属于的目标安全事件,若目标安全事件为历史的安全事件,则将告警信息加入历史的安全事件,若确定告警信息不属于历史的安全事件,则将告警信息生成新的安全事件,新的安全事件为目标安全事件。
其中,根据预设方式将告警信息生成安全事件的方法还可以是,先将告警信息输入预先训练的模型,由模型对告警信息的特征进行识别和分析,得到预设模型输出的告警信息所属于的预测安全事件,然后将告警信息生成预测安全事件;其中,特征包括攻击的类型、攻击的目标、攻击的资产、攻击者信息、攻击者的方法、受害者的信息、攻击的影响、攻击的频次和/或攻击的时间;和/或先根据预设安全基线对告警信息进行检测,得到检测结果,若检测结果与预设安全基线之间的差距大于或等于预设差距阈值,则根据检测结果确定告警信息所属于的目标安全事件,然后将告警信息生成目标安全事件。
具体的,由模型可以对以下告警信息的特征进行识别和分析,告警信息的特征可以包括如下维度:1、攻击的类型(例:ddos攻击,恶意软件攻击等);2、攻击的目标(例:当前客户个人用户,企业);3、攻击的资产(例:PC,WEB服务器);4、攻击者信息(例:攻击者身份,国籍,组织,动机);5、攻击者的方法,其中,攻击者的方法包含根据流量中的相关信息(源IP地址和目标IP地址:可以用于确定攻击者和受害者的位置和身份。端口号:可以用于确定攻击者使用的攻击方式和受害者的服务类型。协议类型:可以用于确定攻击者使用的攻击方式和受害者的服务类型。数据包大小:可以用于确定攻击者使用的攻击方式和攻击强度。数据包频率:可以用于确定攻击者使用的攻击方式和攻击强度。数据包内容:可以用于确定攻击者使用的攻击方式和攻击目标。数据包来源:可以用于确定攻击者的身份和位置。数据包目的地:可以用于确定受害者的身份和位置。数据包时间戳:可以用于确定攻击发生的时间和持续时间。数据包流量分布:可以用于确定攻击的类型和强度。数据包异常行为:可以用于确定是否存在异常流量和攻击行为。数据包传输路径:可以用于确定攻击者和受害者之间的网络拓扑结构。数据包加密方式:可以用于确定是否存在加密通信和加密方式。数据包传输速率:可以用于确定攻击强度和攻击类型。数据包传输方向:可以用于确定攻击者和受害者之间的通信方向。数据包传输协议版本:可以用于确定攻击者和受害者之间的协议版本。数据包传输状态:可以用于确定攻击者和受害者之间的通信状态。数据包传输错误率:可以用于确定攻击者和受害者之间的通信质量。数据包传输延迟:可以用于确定攻击者和受害者之间的通信质量。数据包传输丢失率:可以用于确定攻击者和受害者之间的通信质量);6、受害者的信息(身份,国籍,行业,地理位置,数量);7、攻击的影响(单个主机,整个租户);8、攻击的频次(持续攻击,时间长短等);9、攻击的时间。(攻击发现的时间)。
还可以理解的是,除了上面所描述的生成安全事件的方法之外,还可以是,基于告警信息的攻击结果,对告警信息生成安全事件。具体的,基于告警信息的攻击结果,对告警信息生成安全事件的方法可以是,先确定攻击结果为成功的第一告警信息,确定攻击结果为失败的第二告警信息以及确定攻击结果为未知的第三告警信息,然后对第一目告警信息和/或第二告警信息和/或第三告警信息进行关联生成安全事件。
可以理解的是,除了上面所描述的基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件的方法之外;除了上面所描述的基于各个攻击阶段之间的逻辑关系对多个告警信息进行关联以确定是否满足生成安全事件的条件的方法之外;除了上面所描述的根据预设方式将告警信息生成安全事件的方法之外;还可以是其他合理的方法,具体此处不做限定。
值得一提的是,基于规则的属性信息,对告警信息进行分析以确定是否生成安全事件之后,若生成多个安全事件,则根据多个安全事件之间的时间相似性和/或会话关联性和/或设备关联信息来生成事件链。
时间相似性是指各个安全事件发生的时间点相似,比如SQL注入、webshell后门、账号爆破、XSS攻击等相同类型的安全事件发生的时间点距离很近;会话关联性是指各个安全事件涉及的会话具有的关联性,比如两端构建会话进行数据传输,基于同一会话的两端对应的事件之间的关联;设备关联信息是指各个安全事件各自对应关联的源设备和目的设备,比如,针对每个安全事件,数据包的源IP发送攻击数据包到目的IP,可以根据源IP和目的IP确定源设备和目的设备。
具体的,根据多个安全事件之间的时间相似性来生成事件链的方法可以是,先确定多个安全事件各自对应的时间,然后确定出将距离很近的时间内相同类型的安全事件(比如SQL注入、webshell后门、账号爆破、XSS攻击等类型的事件),然后将确定出的安全事件生成事件链。根据多个安全事件之间的会话关联性来生成事件链的方法可以是,先确定多个安全事件各自的会话关联性,会话关联性为两端构建会话进行数据传输,基于同一会话的两端对应的事件之间的关联的信息,然后根据多个安全事件各自的会话关联性生成事件链。根据多个安全事件之间的设备关联信息来生成事件链的方法可以是,先确定多个安全事件各自对应的设备关联信息,再根据多个安全事件各自对应的设备关联信息生成事件链。
值得一提的是,事件链的生成方法可以是多个主机(终端设备)对应的事件形成事件链,还可以是一个主机(终端设备)内不同类别事件形成事件链。
若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件之后,还可以确定安全事件对应的处置方案,然后确定安全事件对应的至少一个目标终端设备,最后将处置方案发送至至少一个目标终端设备以对安全事件进行处置。
其中,确定安全事件对应的至少一个目标终端设备的方法可以是,先确定安全事件对应的至少一个ID,然后根据至少一个ID确定至少一个目标终端设备,其中,告警信息对应有终端设备的ID。
具体的,请参阅图4,图4为本申请实施例公开的另一种安全事件生成系统的架构示意图,由图4可知,本实施例可以应用于在云端部署一套网络检出与响应的设备或系统,比如可以应用于安全事件生成设备401,安全事件生成设备包括数据采集子系统、数据分析子系统、安全事件展示和处置子系统,数据采集子系统可以获得各个终端设备的告警信息。其中,数据采集子系统用于对接各个终端设备402中安全防御设备的日志系统,并接收不同安全防御设备采集的遥测数据,行为数据,完全日志等。安全事件生成设备的数据分析子系统对各个终端设备的告警信息依次进行数据过滤、数据分析和数据生成,得到各个类别的安全事件之后,安全事件生成设备的安全事件展示和处置子系统可以对各个类别的安全事件进行展示,在用户在展示的各个类别的安全事件中选择目标类别的安全事件之后,可以确定目标类别的安全事件对应的至少一个ID,然后根据至少一个ID确定至少一个目标终端设备,并将目标类别的安全事件对应的处置方案发送到至少一个目标终端设备,以统一对目标类别的安全事件进行处置。其中,安全事件展示和处置子系统包括安全事件的存储模块、WEB客户端,以及包含联动各处置安全事件的关联模块。
值得一提的是,根据多个安全事件之间的时间相似性和/或会话关联性和/或设备关联信息来生成事件链之后,可以确定事件链对应的处置方案,然后确定事件链对应的至少一个目标终端设备,最后将处置方案发送至至少一个目标终端设备以对安全事件进行处置。其中,事件链对应的处置方案可以是,只对最后的终端设备需要进行处置的方案,以可以根据处置方案对最后的终端设备进行处置。事件链对应的处置方案还可以包括中间的终端设备需要各自进行处置的第一方案,以及最后的终端设备需要进行处置的第二方案,以可以根据第一方案对中间的终端设备进行处置,根据第二方案对最后的终端设备进行处置。可以理解的是,确定事件链对应的处置方案,以对最后的终端设备进行处置可以提高安全事件的处置效率和准确性。
可以理解的是,除了上面所描述的基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件的方法之外;除了上面所描述的基于各个攻击阶段之间的逻辑关系对多个告警信息进行关联以确定是否满足生成安全事件的条件的方法之外;除了上面所描述的根据预设方式将告警信息生成安全事件的方法之外;还可以是其他合理的方法,具体此处不做限定。
本实施例中,可以获得多个告警信息,其中,告警信息是待检测数据触发预设规则后产生的,可以基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件,若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件,可以基于规则的多维度的属性信对告警信息进行分析,提高了分析告警信息属于哪种安全事件的准确性,提高了安全事件生成的准确性。其次,针对的安全事件,可以确定安全事件对应的处置方案,确定安全事件对应的至少一个目标终端设备,并将处置方案发送至至少一个目标终端设备以对安全事件进行处置,当存在多个终端设备的安全事件相同时,只需要将同一个安全事件对应的终端设备进行统一查杀,安全事件处置的效率较高。再者,可以确定事件链对应的处置方案,并对最后的终端设备进行处置,提高了安全事件的处置效率和准确性。再者,可以基于各个攻击阶段之间的逻辑关系确定每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型,可以满足客户和安全防守人员等要求,进行准确的识别,检测出攻击者进行的一系列的活动事件,从而针对对应的事件进行处置,保护目标资产的安全。再者,可以应对不同类别的安全防御系统产生的可疑日志,进行收集和分析,并根据事件生成策略,生成并聚合相关的事件,可以得到一条完整的表示攻击过程和结果的事件。可以使防御更加容易进行处置和响应,从而减少了对不同设备的安全日志的分析和研判等人力成本,大大降低了防御和处置成本。最后,生成的安全事件中有相关的客户资源、设备、域名等资源,无需改动客户系统,可直观呈现给客户,可以无缝对接客户系统,并进行有效处置。
上面对本申请实施例中的安全事件生成方法进行了描述,下面对本申请实施例中的安全事件生成装置进行描述,请参阅图5,本申请实施例中的安全事件生成装置一个实施例包括:
获得单元501,用于获得多个告警信息,其中,所述告警信息是待检测数据触发预设规则后产生的;
分析单元502,用于基于所述规则的属性信息,对所述告警信息进行分析以确定是否满足生成安全事件的条件;
生成单元503,用于若满足生成安全事件的条件,则根据预设方式将所述告警信息生成安全事件。
本申请实施例中,可以获得多个告警信息,其中,告警信息是待检测数据触发预设规则后产生的,可以基于规则的属性信息,对告警信息进行分析以确定是否满足生成安全事件的条件,若满足生成安全事件的条件,则根据预设方式将告警信息生成安全事件,可以基于规则的多维度的属性信对告警信息进行分析,提高了分析告警信息属于哪种安全事件的准确性,提高了安全事件生成的准确性。
下面对本申请实施例中的安全事件生成设备进行详细描述,本申请实施例中的安全事件生成装置另一实施例包括:
获得单元,用于获得多个告警信息,其中,所述告警信息是待检测数据触发预设规则后产生的;
分析单元,用于基于所述规则的属性信息,对所述告警信息进行分析以确定是否满足生成安全事件的条件;
生成单元,用于若满足生成安全事件的条件,则根据预设方式将所述告警信息生成安全事件。
所述分析单元,具体用于确定所述多个规则各自对应的规则置信度,根据所述多个规则的规则置信度对所述告警信息进行分析以确定是否满足生成安全事件的条件,其中,所述属性信息包括规则置信度,所述规则置信度表征所述规则对所述待检测数据检测后得到检测结果的准确程度,所述多个告警信息对应的待检测数据触发了多个规则。
所述分析单元,具体用于基于所述规则标识将所述多个告警信息各自映射到对应的攻击阶段,基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件,所述属性信息包括规则标识。
所述分析单元,具体用于基于各个攻击阶段之间的逻辑关系确定每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型,基于所述每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型,对所述多个告警信息进行关联以确定是否满足生成安全事件的条件。
所述生成单元,具体用于确定所述告警信息所属于的目标安全事件,若所述目标安全事件为历史的安全事件,则将所述告警信息加入所述历史的安全事件,若确定所述告警信息不属于历史的安全事件,则将所述告警信息生成新的安全事件,所述新的安全事件为所述目标安全事件。
所述生成单元,具体用于将所述告警信息输入预先训练的模型,由所述模型对所述告警信息的特征进行识别和分析,得到所述预设模型输出的所述告警信息所属于的预测安全事件,并将所述告警信息生成所述预测安全事件;其中,所述特征包括攻击的类型、攻击的目标、攻击的资产、攻击者信息、攻击者的方法、受害者的信息、攻击的影响、攻击的频次和/或攻击的时间;和/或根据预设安全基线对所述告警信息进行检测,得到检测结果,若所述检测结果与预设安全基线之间的差距大于或等于预设差距阈值,则根据所述检测结果确定所述告警信息所属于的目标安全事件,并将所述告警信息生成所述目标安全事件。
所述生成单元,还用于若生成多个安全事件,则根据多个安全事件之间的时间相似性和/或会话关联性和/或设备关联信息来生成事件链。
本实施例中,安全事件处置设备中的各单元执行如前述图2所示实施例中安全事件生成设备的操作,具体此处不再赘述。
下面请参阅图6,本申请实施例中安全事件处置设备600的又一实施例包括:
中央处理器601,存储器605,输入输出接口604,有线或无线网络接口603以及电源602;
存储器605为短暂存储存储器或持久存储存储器;
中央处理器601配置为与存储器605通信,并执行存储器605中的指令操作以执行前述图2所示实施例中的方法。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质包括指令,当指令在计算机上运行时,使得计算机执行前述图2所示实施例中的方法。
本申请实施例还提供了一种包含指令的计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行前述图2所示实施例中的方法。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,read-onlymemory)、随机存取存储器(RAM,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (10)
1.一种安全事件生成方法,其特征在于,包括:
获得多个告警信息,其中,所述告警信息是待检测数据触发预设规则后产生的;
基于所述规则的属性信息,对所述告警信息进行分析以确定是否满足生成安全事件的条件;
若满足生成安全事件的条件,则根据预设方式将所述告警信息生成安全事件。
2.根据权利要求1所述的方法,其特征在于,所述属性信息包括规则置信度,所述规则置信度表征所述规则对所述待检测数据检测后得到检测结果的准确程度,所述多个告警信息对应的待检测数据触发了多个规则;所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括:
确定所述多个规则各自对应的规则置信度;
根据所述多个规则的规则置信度对所述告警信息进行分析以确定是否满足生成安全事件的条件。
3.根据权利要求1所述的方法,其特征在于,所述属性信息包括规则标识,所述对所述告警信息进行分析以确定是否满足生成安全事件的条件包括:
基于所述规则标识将所述多个告警信息各自映射到对应的攻击阶段;
基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件。
4.根据权利要求3所述的方法,其特征在于,所述基于各个攻击阶段之间的逻辑关系对所述多个告警信息进行关联以确定是否满足生成安全事件的条件,包括:
基于各个攻击阶段之间的逻辑关系确定每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型;
基于所述每个类别的安全事件对应的预设攻击阶段数量和/或各个攻击阶段各自对应的数量和/或预设攻击阶段类型,对所述多个告警信息进行关联以确定是否满足生成安全事件的条件。
5.根据权利要求1所述的方法,其特征在于,所述根据预设方式将所述告警信息生成安全事件,包括:
确定所述告警信息所属于的目标安全事件;
若所述目标安全事件为历史的安全事件,则将所述告警信息加入所述历史的安全事件;
若确定所述告警信息不属于历史的安全事件,则将所述告警信息生成新的安全事件,所述新的安全事件为所述目标安全事件。
6.根据权利要求1所述的方法,其特征在于,所述根据预设方式将所述告警信息生成安全事件,包括:
将所述告警信息输入预先训练的模型,由所述模型对所述告警信息的特征进行识别和分析,得到所述预设模型输出的所述告警信息所属于的预测安全事件,并将所述告警信息生成所述预测安全事件;其中,所述特征包括攻击的类型、攻击的目标、攻击的资产、攻击者信息、攻击者的方法、受害者的信息、攻击的影响、攻击的频次和/或攻击的时间;和/或
根据预设安全基线对所述告警信息进行检测,得到检测结果,若所述检测结果与预设安全基线之间的差距大于或等于预设差距阈值,则根据所述检测结果确定所述告警信息所属于的目标安全事件,并将所述告警信息生成所述目标安全事件。
7.根据权利要求1所述的方法,其特征在于,基于所述规则的属性信息,对所述告警信息进行分析以确定是否生成安全事件之后,所述方法还包括:
若生成多个安全事件,则根据多个安全事件之间的时间相似性和/或会话关联性和/或设备关联信息来生成事件链。
8.一种安全事件生成装置,其特征在于,包括:
获得单元,用于获得多个告警信息,其中,所述告警信息是待检测数据触发预设规则后产生的;
分析单元,用于基于所述规则的属性信息,对所述告警信息进行分析以确定是否满足生成安全事件的条件;
生成单元,用于若满足生成安全事件的条件,则根据预设方式将所述告警信息生成安全事件。
9.一种安全事件生成设备,其特征在于,包括:
中央处理器和存储器;
所述存储器为短暂存储存储器或持久存储存储器;
所述中央处理器配置为与所述存储器通信,并执行所述存储器中的指令操作以执行权利要求1至7中任意一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至7中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310378789.3A CN116389128A (zh) | 2023-03-31 | 2023-03-31 | 安全事件生成方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310378789.3A CN116389128A (zh) | 2023-03-31 | 2023-03-31 | 安全事件生成方法、装置、设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116389128A true CN116389128A (zh) | 2023-07-04 |
Family
ID=86965359
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310378789.3A Pending CN116389128A (zh) | 2023-03-31 | 2023-03-31 | 安全事件生成方法、装置、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116389128A (zh) |
-
2023
- 2023-03-31 CN CN202310378789.3A patent/CN116389128A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Garcia et al. | An empirical comparison of botnet detection methods | |
EP3461103B1 (en) | Ip reputation | |
Bhatt et al. | Towards a framework to detect multi-stage advanced persistent threats attacks | |
Caltagirone et al. | The diamond model of intrusion analysis | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
CN113225358B (zh) | 网络安全风险评估系统 | |
Haddadi et al. | On botnet behaviour analysis using GP and C4. 5 | |
Fallahi et al. | Automated flow-based rule generation for network intrusion detection systems | |
CN110188538A (zh) | 采用沙箱集群检测数据的方法及装置 | |
Park et al. | Performance evaluation of a fast and efficient intrusion detection framework for advanced persistent threat-based cyberattacks | |
Kumar et al. | Detecting intrusions and attacks in the network traffic using anomaly based techniques | |
CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
CN110618977A (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
Teoh et al. | Analyst intuition inspired neural network based cyber security anomaly detection | |
Dwivedi et al. | Event correlation for intrusion detection systems | |
Wattanapongsakorn et al. | Web-based monitoring approach for network-based intrusion detection and prevention | |
Gupta | Comparison of classification algorithms to detect phishing web pages using feature selection and extraction | |
CN116389128A (zh) | 安全事件生成方法、装置、设备及计算机可读存储介质 | |
Nikolov et al. | Evaluation of a multi-agent anomaly-based advanced persistent threat detection framework | |
Dayanandam et al. | Regression algorithms for efficient detection and prediction of DDoS attacks | |
Ramprasath et al. | Virtual Guard Against DDoS Attack for IoT Network Using Supervised Learning Method | |
Ramos et al. | A Machine Learning Based Approach to Detect Stealthy Cobalt Strike C &C Activities from Encrypted Network Traffic | |
Ogundokun et al. | Cyber intrusion detection system based on machine learning classification approaches | |
Subhan et al. | Unveiling Attack Patterns: A Study of Adversary Behavior from Honeypot Data | |
Maheswaran et al. | Effective Intrusion Detection System using Hybrid Ensemble Method for Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |