CN116488871A - 恶意事件的检测方法、装置、计算机设备以及存储介质 - Google Patents
恶意事件的检测方法、装置、计算机设备以及存储介质 Download PDFInfo
- Publication number
- CN116488871A CN116488871A CN202310359691.3A CN202310359691A CN116488871A CN 116488871 A CN116488871 A CN 116488871A CN 202310359691 A CN202310359691 A CN 202310359691A CN 116488871 A CN116488871 A CN 116488871A
- Authority
- CN
- China
- Prior art keywords
- information
- knowledge
- static
- dynamic behavior
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 230000003068 static effect Effects 0.000 claims abstract description 112
- 238000001514 detection method Methods 0.000 claims abstract description 27
- 230000006399 behavior Effects 0.000 claims description 211
- 230000008569 process Effects 0.000 claims description 39
- 238000012545 processing Methods 0.000 claims description 14
- 230000008859 change Effects 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 9
- 238000003058 natural language processing Methods 0.000 claims description 7
- 230000000875 corresponding effect Effects 0.000 description 68
- 230000009471 action Effects 0.000 description 8
- 238000005422 blasting Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本申请公开了一种恶意事件的检测方法、装置、计算机设备以及存储介质。该方法基于静态情报信息以及动态行为信息,确定知识信息,静态情报信息包括多个威胁情报信息,动态行为信息包括攻击行为的至少一个特征行为信息;根据知识信息对安全告警信息进行检测,以确定安全告警信息中存在的恶意事件。通过由静态情报信息与动态行为信息相结合得到的知识信息,能够直接准确的确定安全告警信息中存在的恶意事件,提高恶意事件的检测效率和准确性。
Description
技术领域
本申请涉及终端安全技术领域,更具体地,涉及一种恶意事件的检测方法、装置、计算机设备以及存储介质。
背景技术
当前网络终端设备在运行过程中,会基于预设的规则产生各种类型的安全告警信息,以警示用户设备执行的动作可能存在危险。但这些安全告警信息是冗余且繁琐的,通常情况下安全运营人员会基于安全告警信息中的域名、IP地址或者哈希值等静态情报信息,综合判断历史的安全告警信息中是否存在某些攻击行为或恶意事件。但这种确定方式依赖于人工经验,效率较低并且准确性不高。
发明内容
鉴于上述问题,本申请提出了一种恶意事件的检测方法、装置、计算机设备以及存储介质,以提高在安全告警信息中确定恶意事件的效率和准确性。
第一方面,本申请实施例提供了一种恶意事件的检测方法,所述方法包括:基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息;根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。
第二方面,本申请实施例提供了一种恶意事件的检测装置,所述装置包括:信息确定模块以及事件确定模块,其中,信息确定模块用于基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息;事件确定模块用于根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。
第三方面,本申请实施例提供了一种计算机设备,包括:一个或多个处理器;存储器;一个或多个应用程序,其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序配置用于执行上述第一方面提供的恶意事件的检测方法。
第四方面,本申请实施例提供了一种计算机可读取存储介质,所述计算机可读取存储介质中存储有程序代码,所述程序代码可被处理器调用执行上述第一方面提供的恶意事件的检测方法。
本申请提供的方案,基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息;根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。通过由静态情报信息与动态行为信息相结合得到的知识信息,能够直接准确的确定安全告警信息中存在的恶意事件,提高恶意事件的检测效率和准确性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本申请一个实施例提供的恶意事件的检测方法的流程示意图。
图2示出了本申请另一个实施例提供的恶意事件的检测方法的流程示意图。
图3示出了本申请另一个实施例中步骤S240的一种流程示意图。
图4示出了本申请另一个实施例中步骤S240的另一种流程示意图。
图5示出了本申请另一个实施例中步骤S250的具体流程示意图。
图6示出了本申请实施例提供的恶意事件的检测装置的结构框图。
图7示出了本申请实施例提供的一种计算机设备的结构框图。
图8示出了本申请实施例提供的计算机可读存储介质的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
安全运营产品如威胁情报中心、微步在线等产品,可以帮助用户发现攻击行为,并对恶意事件进行追溯举证等。这些产品通常是由安全运营人员或溯源人员基于域名、IP地址或者哈希值等常见的静态情报信息,查看历史上的安全告警信息种是否存在攻击行为,进而综合判断是否存在恶意事件。例如,当主机的访问域名匹配了静态情报信息中的恶意域名,则认为主机后续存在被攻击或失陷的可能。
但这种恶意事件的检测方式只能确定静态情报信息是否在安全告警信息中出现过,但并不能直接确定安全告警信息中存在哪一种攻击行为,因为相同的静态情报信息可能存在于不同的攻击行为之中,也可能与攻击行为并不关联,这需要基于安全告警信息的上下文信息由技术人员综合判断,可能会导致误报的概率较高,并且增加了运营人员的负担。
因此,发明人提出了本申请实施例提供的恶意事件的检测方法、装置、计算机设备以及存储介质,通过由静态情报信息与动态行为信息相结合得到的知识信息,能够直接准确的确定安全告警信息中存在的恶意事件,提高恶意事件的检测效率和准确性。
下面将结合附图具体描述本申请实施例提供的恶意事件的检测方法。
请参阅图1,图1示出了本申请一个实施例提供的恶意事件的检测方法的流程示意图,下面将针对图1所示流程进行详细阐述,所述恶意事件的检测方法具体可以包括以下步骤:
步骤S110:基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息。
在本申请实施例中,计算机设备可以对态情报信息以及动态行为信息进行整合分析,综合确定多条知识信息,以便于后续基于每条知识信息在安全告警信息中排查,确定其中存在的攻击行为和恶意事件。其中,静态情报信息包括多个威胁情报信息,每个威胁情报信息是与攻击行为相关的威胁对象或者特征信息等,常用的威胁情报信息如域名、IP地址、哈希值等类型的信息。另外,动态行为信息包括攻击行为的至少一个特征行为信息,不同的动态行为信息可以对应于不同的攻击行为,常见的攻击行为如RDP爆破行为,这个攻击行为通常会包括敏感端口远程登录、种植木马、发起DDOS攻击等特征行为信息,RDP爆破对应的动态行为信息中则会包括这些特征行为信息。而由静态情报信息以及动态行为信息确定的知识信息,可以同时包括至少一项的静态情报信息以及至少一项的动态行为信息,用于表征静态情报信息对应的目标对象中可能存在的攻击行为。以便于后续基于多个不同的知识信息在安全告警信息中检测,判断安全告警信息中是否存在任意的知识信息中所表征的恶意事件。
其中,静态情报信息是通过网络情报收集机制得到的具有一定威胁性的静态信息,如IP地址、域名、哈希值等信息。动态行为信息包括攻击行为对应的至少一个特征行为信息,特征行为信息是指完成攻击行为的过程中主机所必须执行的特征动作,显然,每个攻击行为对应的特征行为的数量至少为一个,通常情况下包括两个及以上的特征行为信息。具体来说,静态情报信息中的每条威胁情报信息可以对应有多个不同的动态行为信息,每个动态行为信息包括至少两个相互关联的特征行为信息,每条知识信息包括静态情报信息中的至少一条威胁情报信息以及该威胁情报信息对应的动态行为信息。也就是说,每条知识信息可以表征其中包括的静态情报信息所对应的主机上可能存在的所有攻击行为。计算机设备将安全告警信息与每条知识信息相匹配,也就可以确定在各个不同的主机上是否存在攻击行为和恶意事件。
显然,主机产生的安全告警信息是针对主机执行的某一个动作所产生的告警。计算机设备可以基于预先设定的判定规则,在发现主机执行某个特定的动作后,认为该动作可能会对主机的安全造成威胁,因此将这个动作的相关信息形成一条告警信息输出,其中相关信息不仅可以包括域名、IP地址或者哈希值等信息,还可以包括主机所执行的动作的具体内容和执行顺序等信息。由此,计算机设备可以将每条安全告警信息与每条知识信息相匹配,判断安全告警信息与知识信息之间的匹配程度,进而确定在安全告警信息中是否存在的某个攻击行为和恶意事件。
其中,威胁情报信息是一种基于证据的知识,包含了情景、机制、指标、隐含和实际可行的建议,描述了现存的或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。也就是说,威胁情报信息是公开资源提供的关于网络安全领域威胁的信息,包含了攻击涉及的团伙、组织,使用了哪些技术,攻击目标等信息。静态情报信息可以包括域名、IP地址和/或哈希值等多种类型的威胁情报信息,这些信息都是在检测和取证中具有高置信度的威胁对象和特征信息,包括了静态情报信息的知识信息也就可以匹配出安全告警信息中存在的威胁对象。
步骤S120:根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。
在本申请实施例中,计算机设备在确定多条包括静态情报信息以及动态行为信息的知识信息后,可以将安全告警信息与每条知识信息相匹配,以判断安全告警信息与每条知识信息之间的匹配程度,进而确定安全告警信息中存在的恶意事件。
可以理解的,若安全告警信息与知识信息包括的静态情报信息中的任一条相匹配,例如主机的其中一条安全告警信息中包括了主机的访问域名,而该域名与静态情报信息中的某一条恶意域名相匹配,也就表明主机后续存在被攻击或失陷的可能性。其后计算机设备就可以将包括这个静态情报信息的知识信息中的动态行为信息与安全告警信息相匹配,进一步判断其中是否存在攻击行为的特征行为信息,进而综合判断这条知识信息与安全告警信息之间的匹配程度,确定安全告警信息中存在的恶意事件。
可以理解的,每种攻击行为通常是由多个不同的特征行为信息连续执行相互配合以达到攻陷主机的效果,若同一个攻击行为包括的所有特征行为信息中,与安全告警信息相匹配的特征行为信息的数量越多,表明该攻击行为存在的概率越大。计算机设备基于知识信息对安全告警信息进行检测,就是确定每种攻击行为在目标告警信息中存在的概率,进而定安全告警信息中存在的恶意事件。也就是说,计算机设备可以通过确定每条知识信息中与安全告警信息相匹配的特征行为信息的数量,进而判断知识信息与安全告警信息之间的匹配程度,进而确定安全告警信息中是否存在恶意事件。
具体来说,计算机设备实际受到攻击的过程存在多种影响条件,并且攻击行为对应的特征行为信息在实际发生的过程中也可能出现细微的变化,因此,并不一定只有在某一攻击行为对应的所有特征行为信息均匹配的情况下,才能确定该攻击行为的确被执行。计算机设备可以基于每个特征行为信息在安全告警信息中的匹配程度,以及每个攻击行为包括的所有特征行为信息中与安全告警信息匹配的数量,综合判断在安全告警信息中存在攻击行为的概率。
在一些实施方式中,由静态情报信息以及动态行为信息确定的知识信息,其数据结构可以为序列结构、树结构或者图结构。其中,序列结构的知识信息中的每个节点都是不同的威胁情报信息或者特征行为信息,数据结构的知识信息在与安全告警信息匹配的过程中,可以按照序列的存储顺序依次进行匹配;树结构的知识信息中,树的根节点可以是一个威胁情报信息,所有的子节点可以是动态行为信息中的任意特征行为信息,在将树结构的知识信息与安全告警信息匹配的过程中,可以优先匹配树的根节点的信息,匹配成功之后再进一步匹配子节点上的特征行为信息。其中,图结构的知识信息即图谱,两个节点之间相连的边可以表征主机所执行的任意特征行为,每个节点可以表征每个特征行为对应的攻击方或者被攻击方。
在一些实施方式中,计算机设备进行检测的安全告警信息,可以是主机在预设时间段内产生的所有安全告警信息,也可以是主机上的同一客户在预设时间段内产生的安全告警信息,或者是多个主机分别在预设时间段内所产生的安全告警信息的集合。计算机设备可以基于用户的实际需求,或对于计算效率的限制等,对预设时间段内的部分安全告警信息进行检测,以判断在这些安全告警信息中,主机是否产生了特定的攻击行为和恶意事件。
在一些实施方式中,计算机设备可以将安全告警信息与每条知识信息中的静态情报信息以及攻击行为信息进行匹配,进而基于匹配结果,确定安全告警信息中存在的恶意事件。其中,计算机设备得到的匹配结果,是基于每种攻击行为对应的特征行为信息在安全告警信息中匹配的数量确定的,用于表征每种攻击行为在目标告警信息中存在的概率,但并不直接表征该攻击行为是否存在,或者说只能表征该攻击行为在安全告警信息中执行的程度。例如,某个攻击行为包括三个特征行为信息,其中两个特征行为信息与安全告警信息匹配,那么计算机设备得到的该攻击行为的匹配结果可以用66.7%表示,这个匹配结果可以表征该攻击行为在安全告警信息中存在的概率为66.7%,也可以表征该攻击行为在主机中的执行程度仅完成了66.7%。在此基础上,计算机设备可以基于预先确定的判断标准,在匹配结果中确定安全告警信息中存在的所有恶意事件。
在一些实施方式中,计算机设备可以通过预先训练的匹配模型完成对安全告警信息的检测。或者,计算机设备还可以基于历史数据中确定安全告警信息存在恶意事件的判断基准,对当前获取的安全告警信息进行检测。
本申请实施例提供的恶意事件的检测方法,基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息;根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。通过由静态情报信息与动态行为信息相结合得到的知识信息,能够直接准确的确定安全告警信息中存在的恶意事件,提高恶意事件的检测效率和准确性。
请参阅图2,图2示出了本申请另一个实施例提供的恶意事件的检测方法的流程示意图,下面将针对图2所示流程进行详细阐述,所述恶意事件的检测方法具体可以包括以下步骤:
步骤S210:从服务器获取公开的动态攻击信息以及所述静态情报信息。
在本申请实施例中,计算机设备可以直接从服务器中得到用于对安全告警信息进行筛选的静态情报信息,还可以从服务器中获取公开的动态攻击信息,以便于对其进行处理得到后续步骤中对安全告警信息进行匹配的攻击行为及其对应的特征行为信息。
其中,服务器中存储的静态情报信息可以是任意主机在历史的安全检测过程中记录的所有具有高置信度的威胁情报,动态攻击信息可以是服务器从关于网络安全检测的开源社区等网站获取的,关于任意攻击行为及其对应的特征行为信息的公开资源。
步骤S220:基于自然语言处理技术,对所述动态攻击信息进行处理,得到所述动态行为信息。
在本申请实施例中,计算机设备在从服务器中得到公开的动态攻击信息后,可以通过自然语言处理技术,获取动态攻击信息中提供的多种攻击行为,以及每种攻击行为对应的特征行为信息。例如,计算机设备可以从网络中的开源社区获取关于攻击行为的文本信息,如“近期活跃的勒索病毒A,大多存在RDP爆破行为”,计算机设备在获取到这样文本类型的动态攻击信息后,可以通过自然语言处理技术,得到一种“RDP爆破”的攻击行为;又如,计算机设备还可以设置一种固定表述如“RDP爆破的攻击行为是()”,然后通过自然语言处理技术,在开源社区的文章中填充这个表述,得到RDP爆破这个攻击行为对应的特征行为信息;再如,计算机设备还可以通过外部工具“EXTRACTOR”快速识别和提取文本中的攻击行为及其对应的特征行为信息。
步骤S230:基于静态情报信息以及动态行为信息,确定知识信息。
在本申请实施例中,步骤S230可以参阅其他实施例的内容,在此不再赘述。
步骤S240:获取所述静态情报信息对应的第一权重,以及获取所述动态行为信息对应的第二权重。
在本申请实施例中,计算机设备基于知识信息对安全告警信息进行检测的过程,就是将安全告警信息与每条知识信息中的静态情报信息与动态行为信息分别进行匹配的过程。计算机设备可以基于安全告警信息分别与静态情报信息之间的第一匹配度,以及与动态行为信息之间的第二匹配度,确定安全告警信息中存在的恶意事件。
在一些实施方式中,计算机设备根据知识信息对安全告警信息进行检测之前,还可以对安全告警信息进行聚合和过滤处理,得到安全告警信息中存在的所有特征行为信息,以便于计算机设备在将知识信息与安全告警信息进行匹配的过程中,直接将安全告警信息中存在的特征行为信息与知识信息中记录的特征行为信息相匹配。
其中,过滤处理是将安全告警信息中用于表征完成相同行为动作的多条安全告警信息进行过滤,过滤后的安全告警信息中仍然表征该相同的特征行为信息,但安全告警信息的数量只有一个。例如,计算机设备在运行过程中,执行了多次相同的异地登录操作,每次执行这个操作都会产生相应的安全告警信息,计算机设备可以在得到多条安全告警信息后,对多个重复的安全告警信息进行过滤,使过滤后的安全告警信息中仅包括一个或者预设数量的用于表征执行该异地登录操作的安全告警信息。由此可以减少安全告警信息的数量,也可以相应地降低后续确定安全告警信息与每条知识信息之间匹配度的过程中的匹配次数,提高恶意事件的检测效率。
其中,聚合处理可以将安全告警信息中用于共同完成一个特征行为信息的多条安全告警信息进行合并,得到一条用于表征完成该特征行为信息的安全告警信息。例如,攻击行为对应的某一个特征行为信息具体包括三个先后步骤,主机在运行的过程中会相应地产生三条安全告警信息,分别对应这三个先后步骤。那么,计算机设备可以将这三条安全告警信息进行聚合处理,得到一条处理后的安全告警信息。值得注意的是,这个处理后的安全告警信息包括聚合处理之前的三条安全告警信息分别对应的所有静态情报信息,假设每条安全告警信息匹配一个威胁情报信息,那么,这个处理后的安全告警信息就能够对应匹配到静态情报信息中的三个不同的威胁情报信息。计算机设备通过对目标告警信息的聚合处理,不仅可以减少目标告警信息的数量,还可以降低后续步骤中将目标告警信息与攻击行为对应的特征行为信息进行匹配的复杂度。
在一些实施方式中,安全技术人员可以根据检测过程中的实际需求关注的侧重点,或者所关注的恶意事件的活跃程度等信息,为静态情报信息以及动态行为信息设置不同的权重大小,以使计算机设备最终确定的在安全告警信息中存在的恶意事件更符合技术人员的实际需求。例如,若技术人员所关注恶意事件在实际执行过程中可能存在多种不同的变种行为,那么可以为知识信息中的动态行为信息设置较小的第二权重,以减少动态行为信息的匹配程度对最终恶意事件的确定的影响。又如,若技术人员确定待检测的恶意事件中必然包括某些特定的静态情报信息,那么就可以为知识信息中的静态情报信息设置较大的第一权重,以增加静态情报信息的匹配程度对最终恶意事件的确定的影响。
在一些实施方式中,如图3所示,获取静态情报信息对应的第一权重的方法,可以通过下述步骤实现:
步骤S241:获取所述静态情报信息对应的置信度,其中,所述置信度表征所述威胁情报信息的可信程度。
步骤S242:根据所述置信度确定每条所述知识信息中所述静态情报信息对应的所述第一权重。
在本申请实施例中,计算机设备可以在获取静态情报信息的过程中,基于静态情报信息中的每个威胁情报信息的来源,确定每个威胁情报信息对应的置信度,即确定每个威胁情报信息的可信度,并基于不同威胁情报信息对应的不同的置信度,为每个威胁情报信息设置相应的第一权重,以便于后续对安全告警信息进行检测的过程中,基于第一权重,动态调整每条知识信息与安全告警信息之间的匹配程度。其中,静态情报信息对应的第一权重与其对应的置信度呈正相关,即静态情报信息对应的置信度越高,其对应的第一权重越大。
在一些实施方式中,计算机设备确定静态情报信息对应的置信度,可以通过静态情报信息的来源确定,例如若某个静态情报信息来源于某个知名公司,那么可以认为这个静态情报信息对应的置信度较高,若静态情报信息是通过公开资源爬取的,那么可以认为这个静态情报信息对应的置信度较低。
其中,计算机设备还可以基于安全人员在挖掘静态情报信息的过程中得到的相关信息数量来确定静态情报信息的置信度,例如若安全人员挖掘静态情报信息的过程中强关联某条威胁情报信息,但挖掘出的相关信息较少,则认为这个静态情报信息对应的置信度较小,反之若安全人员挖掘静态情报信息的过程中弱关联某个静态情报信息,但挖掘出的相关信息较多,则认为这个静态情报信息对应的置信度较高。
另外,计算机设备还可以基于静态情报信息对应的命中次数来确定静态情报信息对应的置信度。例如若某个静态情报信息在历史检测的过程中被命中的次数较多,那么可以认为这个静态情报信息对应的置信度较高,反之则认为置信度较低。又如,计算机设备还可以基于静态情报信息对应的命中准确率来确定置信度,例如在历史检测的过程中,某个静态情报信息在检测的过程中出现误报的次数较少,则认为这个静态情报信息对应的置信度较高。
在另一些实施方式中,如图4所示,获取动态行为信息对应的第二权重的方法,可以通过下述步骤实现:
步骤S243:获取所述动态行为信息对应的变化度,所述变化度为所述动态行为信息对应的所述攻击行为在不同攻击过程中的差异。
步骤S244:基于所述变化度确定每条所述知识信息中所述动态行为信息对应的所述第二权重。
在本申请实施例中,计算机设备在获取动态行为信息的过程中,也可以基于每个动态行为信息在不同攻击过程中的变化程度,确定每个动态行为信息对应的第二权重,以便于后续基于知识信息在安全告警信息中进行检测的过程中,基于不同的第二权重,确定每条知识信息对应的不同的匹配程度。
例如,若某个动态行为信息中包括5个不同的特征行为信息,但攻击者在通过这个动态行为信息攻击主机的过程中,实际并不一定会完全按照知识信息中记录的5个特征行为信息依次执行,可能会跳过其中的某一个特征行为信息,或者将其中的某个特征行为信息做出调整变形等,但仍能够实现原本动态行为信息所表征的攻击行为。也就是说相同的动态行为信息在不同的攻击过程中可能存在不同的变化,因此,计算机设备可以基于每个动态行为信息在不同攻击过程中的变化程度,确定每个动态行为信息对应的第二权重,显然,若动态行为信息对应的变化程度越大,那么其对应的第二权重越小,即动态行为信息对应的第二权重与其在不同攻击过程中的变化程度呈负相关。
值得注意的是,计算机设备确定第一权重以及第二权重的确定顺序不受限定,也就是计算机设备可以先确定静态情报信息对应的第一权重,也可以先确定动态行为信息对应的第二权重,二者之间并不相互影响,不存在特定的先后顺序。
步骤S250:基于所述第一权重、所述第二权重、以及所述知识信息,对所述安全告警信息进行检测,以确定所述安全告警信息中存在的恶意事件。
在本申请实施例中,计算机设备在确定每条知识信息中静态情报信息对应的第一权重,以及动态行为信息对应的第二权重之后,进一步基于知识信息对安全告警信息进行检测,也就是确定安全告警信息与每条知识信息中的静态情报信息之间的第一匹配度,以及安全告警信息与每条知识信息中的动态行为信息之间的第二匹配度,进而确定安全告警信息中存在的恶意事件。
在一些实施方式中,如图5所示,计算机设备基于第一权重、第二权重以及知识信息,对安全告警信息进行检测的过程可以包括下述步骤:
步骤S251:获取所述安全告警信息与每条所述知识信息中的所述静态情报信息之间的第一匹配度,以及所述安全告警信息与每条所述知识信息中的所述动态行为信息之间的第二匹配度。
在本申请实施例中,计算机设备基于多条知识信息对安全告警信息进行检测,是将安全告警信息与每条知识信息中包括的静态情报信息与动态情报信息进行匹配,并得到安全告警信息与每条知识信息中的静态情报信息之间的第一匹配度,以及安全告警信息与每条知识信息中的动态行为信息之间的第二匹配度,进而基于第一匹配度以及第二匹配度,综合确定安全告警信息中存在每条知识信息所表征的恶意事件的概率。
在一些实施方式中,计算机设备可以针对每种静态情报信息,确定每条知识信息中能够与安全告警信息相匹配的威胁情报信息的第一数量,以及每条知识信息中包括的威胁情报信息的第二数量,进而基于第一数量以及第二数量,确定安全告警信息与每条知识信息中的静态情报信息之间的第一匹配度。具体来说,计算机设备可以将第一数量与第二数量的比值作为第一匹配度。
在一些实施方式中,计算机设备还可以针对每种动态行为信息,确定每种动态行为信息中能够与安全告警信息相匹配的特征行为信息的第三数量,以及每种动态行为信息包括的所有特征行为信息对应的第四数量,进而基于第三数量以及第四数量,确定安全告警信息与每条知识信息中的每种动态行为信息之间的第二匹配度。具体来说,计算机设备可以将第三数量与第四数量的比值作为第二匹配度。其中,第二匹配度可以表征动态行为信息对应的攻击行为在安全告警信息中的存在概率。可以理解的,若每种动态行为信息中能够与安全告警信息相匹配的特征行为信息的第一数量越多,这种动态行为信息在安全告警信息中出现的概率越大。
步骤S252:基于所述第一匹配度、所述第一权重、所述第二匹配度以及所述第二权重,确定所述安全告警信息与每条所述知识信息之间的匹配度,得到匹配结果。
在本申请实施例中,计算机设备在得到安全告警信息与每条知识信息中静态情报信息之间的第一匹配度,以及与动态行为信息之间的第二匹配度后,可以综合确定安全告警信息与每条知识信息之间的匹配度,进而确定安全告警信息中是否存在恶意事件。具体来说,计算机设备可以获取第一匹配度与第一权重的之间的第一乘积,以及第二匹配度与第二权重之间的第二乘积,并将第一乘积与第二乘积之和作为安全告警信息与每条知识信息之间的匹配结果,这个匹配结果可以表征安全告警信息中存在知识信息所表征的恶意事件的概率。
在一些实施方式中,计算机设备可以基于安全告警信息与每条知识信息之间的匹配度,对每条知识信息进行排序,得到排序结果,并基于排序结果,确定安全告警信息中存在的恶意事件。具体来说,计算机设备得到的安全告警信息与每条知识信息之间的匹配度,可以表征安全告警信息中存在这条知识信息中所表征的恶意事件的概率,匹配度越大,恶意事件存在的概率也越大。计算机设备可以预先设定确定恶意事件存在的判断阈值,若匹配度所表征的概率大于判断阈值,则计算机设备可以确定安全告警信息中存在这个恶意事件。
在一些实施方式中,计算机设备在确定安全告警信息中存在的恶意事件之后,可以向用户输出提示信息,以便于用户明确在安全告警信息中存在的恶意事件,进而进行针对性处理。
本申请实施例提供的恶意事件的检测方法,通过从服务器获取公开的动态攻击信息以及静态情报信息,基于自然语言处理技术,对动态攻击行为进行处理,得到动态行为信息,进而确定多条知识信息;同时基于静态情报信息对应的第一权重、安全告警信息与每条知识信息中的静态情报信息之间的第一匹配度、动态行为信息对应的第二权重以及安全告警信息与每条知识信息中的动态行为信息之间的第二匹配度,对安全告警信息进行检测,确定安全告警信息中存在的恶意事件。通过由静态情报信息与动态行为信息相结合得到的知识信息,能够直接准确的确定安全告警信息中存在的恶意事件,提高恶意事件的检测效率和准确性。
请参阅图6,其示出了本申请实施例提供的一种恶意事件的检测装置200的结构框图,恶意事件的检测装置200包括:信息确定模块210以及事件确定模块220。其中,信息确定模块210用于基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息;事件确定模块220用于根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。
作为一种可能的实施方式,事件确定模块220包括权重确定单元以及事件检测单元。其中,权重确定单元用于获取所述静态情报信息对应的第一权重,以及获取所述动态行为信息对应的第二权重;事件检测单元用于基于所述第一权重、所述第二权重、以及所述知识信息,对所述安全告警信息进行检测。
作为一种可能的实施方式,权重确定单元还用于获取所述静态情报信息对应的置信度,其中,所述置信度表征所述威胁情报信息的可信程度;根据所述置信度确定所述第一权重。
作为一种可能的实施方式,权重确定单元还用于获取所述动态行为信息对应的变化度,所述变化度为所述动态行为信息对应的所述攻击行为在不同攻击过程中的差异;基于所述变化度确定每条所述知识信息中所述动态行为信息对应的第二权重。
作为一种可能的实施方式,事件检测单元还用于获取所述安全告警信息与每条所述知识信息中的所述静态情报信息之间的第一匹配度,以及所述安全告警信息与每条所述知识信息中的所述动态行为信息之间的第二匹配度;基于所述第一匹配度、所述第一权重、所述第二匹配度以及所述第二权重,确定所述安全告警信息与每条所述知识信息之间的匹配度,得到匹配结果。
作为一种可能的实施方式,每条所述知识信息对应的数据结构为序列、树或图。
作为一种可能的实施方式,恶意事件的检测装置200还包括信息获取模块以及信息处理模块。其中,信息获取模块用于从服务器获取公开的动态攻击信息以及所述静态情报信息;信息处理模块用于基于自然语言处理技术,对所述动态攻击信息进行处理,得到所述动态行为信息。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,模块相互之间的耦合可以是电性,机械或其它形式的耦合。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
综上所述,本申请提供的方案,基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息;根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。通过由静态情报信息与动态行为信息相结合得到的知识信息,能够直接准确的确定安全告警信息中存在的恶意事件,提高恶意事件的检测效率和准确性。
请参考图7,其示出了本申请实施例提供的一种计算机设备300的结构框图。其中,计算机设备300可以为物理服务器、云服务器等。本申请中的计算机设备300可以包括一个或多个如下部件:处理器310、存储器320、以及一个或多个应用程序,其中一个或多个应用程序可以被存储在存储器320中并被配置为由一个或多个处理器310执行,一个或多个程序配置用于执行如前述方法实施例所描述的方法。
处理器310可以包括一个或者多个处理核。处理器310利用各种接口和线路连接整个计算机设备内的各个部分,通过运行或执行存储在存储器320内的指令、程序、代码集或指令集,以及调用存储在存储器320内的数据,执行计算机设备的各种功能和处理数据。可选地,处理器310可以采用数字信号处理(Digital Signal Processing,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器310可集成中央处理器(CentralProcessing Unit,CPU)、图形处理器(Graphics Processing Unit,GPU)和调制解调器等中的一种或几种的组合。其中,CPU主要处理操作系统、用户界面和应用程序等;GPU用于负责显示内容的渲染和绘制;调制解调器用于处理无线通信。可以理解的是,上述调制解调器也可以不集成到处理器310中,单独通过一块通信芯片进行实现。
存储器320可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory)。存储器320可用于存储指令、程序、代码、代码集或指令集。存储器320可包括存储程序区和存储数据区,其中,存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现下述各个方法实施例的指令等。存储数据区还可以存储计算机设备在使用中所创建的数据(比如电话本、音视频数据、聊天记录数据)等。
请参考图8,其示出了本申请实施例提供的一种计算机可读存储介质的结构框图。该计算机可读介质800中存储有程序代码,所述程序代码可被处理器调用执行上述方法实施例中所描述的方法。
计算机可读存储介质800可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。可选地,计算机可读存储介质800包括非易失性计算机可读介质(non-transitory computer-readable storage medium)。计算机可读存储介质800具有执行上述方法中的任何方法步骤的程序代码810的存储空间。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。程序代码810可以例如以适当形式进行压缩。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不驱使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种恶意事件的检测方法,其特征在于,所述方法包括:
基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息;
根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。
2.根据权利要求1所述的方法,其特征在于,所述根据所述知识信息对安全告警进行检测,包括:
获取所述静态情报信息对应的第一权重,以及获取所述动态行为信息对应的第二权重;
基于所述第一权重、所述第二权重、以及所述知识信息,对所述安全告警信息进行检测。
3.根据权利要求2所述的方法,其特征在于,所述获取所述静态情报信息对应的第一权重包括:
获取所述静态情报信息对应的置信度,其中,所述置信度表征所述威胁情报信息的可信程度;
根据所述置信度确定每条所述知识信息中所述静态情报信息对应的所述第一权重。
4.根据权利要求2所述的方法,其特征在于,所述获取所述动态行为信息对应的第二权重,包括:
获取所述动态行为信息对应的变化度,所述变化度为所述动态行为信息对应的所述攻击行为在不同攻击过程中的差异;
基于所述变化度确定每条所述知识信息中所述动态行为信息对应的所述第二权重。
5.根据权利要求2所述的方法,其特征在于,所述基于所述第一权重、所述第二权重、以及所述知识信息,对所述安全告警信息进行检测,包括:
获取所述安全告警信息与每条所述知识信息中的所述静态情报信息之间的第一匹配度,以及所述安全告警信息与每条所述知识信息中的所述动态行为信息之间的第二匹配度;
基于所述第一匹配度、所述第一权重、所述第二匹配度以及所述第二权重,确定所述安全告警信息与每条所述知识信息之间的匹配度,得到匹配结果。
6.根据权利要求1所述的方法,其特征在于,每条所述知识信息对应的数据结构为序列、树或图。
7.根据权利要求1-6任一项所述的方法,其特征在于,在所述基于静态情报信息以及动态行为信息,确定多条知识信息之前,所述方法还包括:
从服务器获取公开的动态攻击信息以及所述静态情报信息;
基于自然语言处理技术,对所述动态攻击信息进行处理,得到所述动态行为信息。
8.一种恶意事件的检测装置,其特征在于,所述装置包括:
信息确定模块,用于基于静态情报信息以及动态行为信息,确定知识信息,所述静态情报信息包括多个威胁情报信息,所述动态行为信息包括攻击行为的至少一个特征行为信息;
事件确定模块,用于根据所述知识信息对安全告警进行检测,以确定所述安全告警信息中存在的恶意事件。
9.一种计算机设备,其特征在于,包括:
一个或多个处理器;
存储器;
一个或多个应用程序,其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序配置用于执行如权利要求1-7任一项所述的方法。
10.一种计算机可读取存储介质,其特征在于,所述计算机可读取存储介质中存储有程序代码,所述程序代码可被处理器调用执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310359691.3A CN116488871A (zh) | 2023-03-31 | 2023-03-31 | 恶意事件的检测方法、装置、计算机设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310359691.3A CN116488871A (zh) | 2023-03-31 | 2023-03-31 | 恶意事件的检测方法、装置、计算机设备以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116488871A true CN116488871A (zh) | 2023-07-25 |
Family
ID=87214770
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310359691.3A Pending CN116488871A (zh) | 2023-03-31 | 2023-03-31 | 恶意事件的检测方法、装置、计算机设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116488871A (zh) |
-
2023
- 2023-03-31 CN CN202310359691.3A patent/CN116488871A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| CN107547555B (zh) | 一种网站安全监测方法及装置 | |
| CA3016392C (en) | Systems and methods for cyber intrusion detection and prevention | |
| US11487880B2 (en) | Inferring security incidents from observational data | |
| US10430586B1 (en) | Methods of identifying heap spray attacks using memory anomaly detection | |
| CN102982284B (zh) | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 | |
| JP2020505707A (ja) | 侵入検出のための継続的な学習 | |
| CN108520180B (zh) | 一种基于多维度的固件Web漏洞检测方法及系统 | |
| CN109257390B (zh) | Cc攻击的检测方法、装置及电子设备 | |
| CN109714346B (zh) | 后门文件的查杀方法及装置 | |
| CN112016078B (zh) | 一种登录设备的封禁检测方法、装置、服务器和存储介质 | |
| US20150096019A1 (en) | Software network behavior analysis and identification system | |
| CN113051573B (zh) | 一种基于大数据的主机安全实时监控警报系统 | |
| CN109600362A (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
| EP3799367B1 (en) | Generation device, generation method, and generation program | |
| CN112769595B (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN112087414B (zh) | 挖矿木马的检测方法及装置 | |
| CN116108880A (zh) | 随机森林模型的训练方法、恶意网站检测方法及装置 | |
| CN107844702B (zh) | 基于云防护环境下网站木马后门检测方法及装置 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN116488871A (zh) | 恶意事件的检测方法、装置、计算机设备以及存储介质 | |
| CN111191234B (zh) | 一种病毒信息检测的方法及装置 | |
| US20220035906A1 (en) | Information processing apparatus, control method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |