CN117375923A - 一种威胁信息检测方法、装置、设备及存储介质 - Google Patents

一种威胁信息检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117375923A
CN117375923A CN202311334259.5A CN202311334259A CN117375923A CN 117375923 A CN117375923 A CN 117375923A CN 202311334259 A CN202311334259 A CN 202311334259A CN 117375923 A CN117375923 A CN 117375923A
Authority
CN
China
Prior art keywords
information
detected
preset
reliability
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311334259.5A
Other languages
English (en)
Inventor
郭虎伟
王瑞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202311334259.5A priority Critical patent/CN117375923A/zh
Publication of CN117375923A publication Critical patent/CN117375923A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

本申请公开了一种威胁信息检测方法、装置、设备及存储介质,涉及网络安全检测领域,包括:通过预设终端将告警信息及日志信息发送至预设Kafka集群中得到待检测信息集合;待检测信息集合中的每条待检测信息均包含相应的告警信息及日志信息;利用基于告警信息中的攻击行为判定信息确定的告警可信度信息确定满足预设低可信度条件的第一待检测信息及满足预设高可信度条件的第二待检测信息;对满足预设低可信度条件的各第一待检测信息进行可信度提升;基于当前满足预设高可信度条件的各待检测信息执行图数据库信息关联操作、关联性查询操作,以得到与各待检测信息对应的威胁检测结果。这样一来,有效提高了威胁信息检测的准确性以及可靠性。

Description

一种威胁信息检测方法、装置、设备及存储介质
技术领域
本发明涉及网络安全检测领域,特别涉及一种威胁信息检测方法、装置、设备及存储介质。
背景技术
当前领域内,随着网络攻击技术的不断发展,在进行威胁信息检测的过程中的往往需要考虑存在的未知威胁(指尚未被发现或记录在已知威胁数据库中的威胁,这些未知威胁可能会利用新的攻击方式或漏洞,对网络安全造成威胁),若直接对其进行检测无法提供令人信服的检测结果。因此,目前一般是通过威胁情报分析和机器学习手段来进行检测,由已知来推导未知来解决未知威胁信息。在此方法实施过程中,往往需要多种情报源信息,需要收集和分析大量的网络流量和日志数据,可能涉及到用户的隐私信息。这样一来,不仅依赖外部数据源,存在引发隐私泄露的风险,还无法准确地识别威胁信息。
发明内容
有鉴于此,本发明的目的在于提供一种威胁信息检测方法、装置、设备及存储介质,能够有效提高威胁信息检测的准确性以及可靠性,并避免现有技术中由于大量收集网络流量以及日志所导致的隐私泄露。其具体方案如下:
第一方面,本申请提供了一种威胁信息检测方法,包括:
通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息;
基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息;
利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息;
基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。
可选的,所述通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,包括:
通过预设终端并基于预设主题将本地基于预设信息生成规则得到的告警信息以及对应的日志信息发送至预设Kafka集群中。
可选的,所述基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,包括:
通过利用各所述告警信息中的攻击行为判定信息判断与各所述告警信息对应的攻击行为是否为可疑攻击行为,以得到与各所述待检测信息对应的告警可信度信息。
可选的,所述通过利用各所述告警信息中的攻击行为判定信息判断与各所述告警信息对应的攻击行为是否为可疑攻击行为,以得到与各所述待检测信息对应的告警可信度信息,包括:
若是,则确定对应的所述待检测信息为满足预设低可信度条件的第一待检测信息;
若否,则确定对应的所述待检测信息为满足预设高可信度条件的第二待检测信息。
可选的,所述基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,包括:
通过将满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息发送至预设信息解析程序,对满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息进行拆分,以得到相应的可导入数据;
通过将所述可导入数据导入预设图数据库中进行信息关联,以构建相应的场景化溯源数据,得到目标场景;
通过分析所述目标场景分别针对当前各所述待检测信息执行相应的查询语句构造操作,得到与当前各所述待检测信息分别对应的查询语句;
基于各所述查询语句对所述目标场景进行关联性查询,以便基于接收到的相应查询结果确定与各所述待检测信息分别对应的威胁检测结果。
可选的,所述基于接收到的相应查询结果确定与各所述待检测信息对应的威胁检测结果,包括:
在接收到与任一所述查询语句对应的查询结果之后,通过对所述查询结果进行筛选以及整合,完成相应的数据归并操作,并将得到的相应的攻击拓扑图作为对应的威胁检测结果。
可选的,所述利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,包括:
基于所述攻击行为判定信息对满足所述预设低可信度条件的各所述第一待检测信息以及满足所述预设高可信度条件的各所述第二待检测信息进行数据分类,以得到相应的分类结果;
基于所述分类结果对各类信息进行合并,并结合上下文进行相应的解析以及预测,以完成针对满足所述预设低可信度条件的各所述第一待检测信息的可信度提升操作。
第二方面,本申请提供了一种威胁信息检测装置,包括:
信息集合获取模块,用于通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息;
可信度信息确定模块,用于基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息;
可信度提升模块,用于利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息;
检测结果获取模块,用于基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。
第三方面,本申请提供了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的威胁信息检测方法的步骤。
第四方面,本申请提供了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的威胁信息检测方法的步骤。
可见,本申请中,首先通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息。然后基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息。然后利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息。然后基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。本申请先基于告警信息中的攻击行为判定信息对得到的待检测信息集合进行拆分,并对确定的满足预设低可信度条件的第一待检测信息进行可信度提升,然后基于满足预设高可信度条件的各待检测信息执行相应的图数据库信息关联操作、关联性查询操作,以设计详细的场景化图结构并通过图数据库高效的关系型查询输出相应的攻击路径信息以及攻击拓扑信息,以得到直观的威胁检测结果。这样一来,不仅能够有效提高威胁信息检测的准确性以及可靠性,并避免现有技术中由于大量收集网络流量以及日志所导致的隐私泄露,还降低了理解威胁检测结果的难度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种威胁信息检测方法流程图;
图2为本申请提供的一种具体的威胁信息检测方法流程示意图;
图3为本申请提供的一种具体的威胁信息检测方法流程图;
图4为本申请提供的一种威胁信息检测装置结构示意图;
图5为本申请提供的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前一般是通过威胁情报分析和机器学习手段来进行检测,由已知来推导未知来解决未知威胁信息。在此方法实施过程中,往往需要多种情报源信息,需要收集和分析大量的网络流量和日志数据,可能涉及到用户的隐私信息。这样一来,不仅依赖外部数据源,存在引发隐私泄露的风险,还无法准确地识别威胁信息。为此,本申请提供了一种威胁信息检测方案,能够有效提高威胁信息检测的准确性以及可靠性,并避免现有技术中由于大量收集网络流量以及日志所导致的隐私泄露。
参见图1所示,本发明实施例公开了一种威胁信息检测方法,包括:
步骤S11、通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息。
结合图2所示,本实施例中,具体存在若干个预设终端,具体的终端数量以实际需求而定,每个所述预设终端均利用与自身对应的预设信息生成规则将通过捕获当前网络的操作行为生成的日志信息以及对应的告警信息,通过预设主题(也即topic)发送到预设Kafka(Apache Kafka,是由Apache软件基金会开发的一个开源流处理平台)集群中,这样一来,得到相应的待处理信息集合。所述待处理信息集合中包括若干条待检测信息且每条所述待检测信息均包含相应的所述告警信息以及对应的所述日志信息。
步骤S12、基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息。
本实施例中,各所述预设终端将会基于自身自带的评分策略对产生的告警进行判定,得到的判定结果,也即攻击行为判定信息将被保存在对应的所述告警信息中。由于针对大部分告警,各所述预设终端是无法判定其是否真的为攻击行为,所以如果终端自身能够判定是攻击行为的可确定满足预设高可信度条件,如果终端自身判定不了的则可确定满足预设低可信度条件。因此,所述基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,包括:通过利用各所述告警信息中的攻击行为判定信息判断与各所述告警信息对应的攻击行为是否为可疑攻击行为,以得到与各所述待检测信息对应的告警可信度信息。
可以理解的是,本实施例中,所述通过利用各所述告警信息中的攻击行为判定信息判断与各所述告警信息对应的攻击行为是否为可疑攻击行为,以得到与各所述待检测信息对应的告警可信度信息,包括:若是,则确定对应的所述待检测信息为满足预设低可信度条件的第一待检测信息;若否,则确定对应的所述待检测信息为满足预设高可信度条件的第二待检测信息。这样一来,将所述待检测信息集合中的所有所述待检测信息拆分为满足所述预设低可信度条件的第一待检测信息以及满足所述预设高可信度条件的第二待检测信息。
步骤S13、利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息。
本实施例中,对于满足所述预设低可信度条件的各所述第一待检测信息,需要通过相应的模式化处理得到满足所述预设高可信度条件的各所述第一待检测信息。具体的,先利用所述攻击行为判定信息对满足所述预设低可信度条件的各所述第一待检测信息以及满足所述预设高可信度条件的各所述第二待检测信息进行数据分类,得到不同类型的数据,也即相应的分类结果。例如:登陆类型告警和日志、命令注入利用行为告警和日志、可疑脚本利用告警和日志、注册表修改告警和日志、远程工具控制告警和日志、可疑进程控制告警和日志、可疑脚本创建告警和日志、可疑数据采集告警和日志。然后通过所述分类结果对不同类型的数据进行合并以及解析,以针对满足所述预设低可信度条件的各所述第一待检测信息中未知的攻击手段告警输出新的可信度较高的告警,得到满足所述预设高可信度条件的各所述第一待检测信息。
需要进一步理解的是,在基于所述分类结果进行处理的过程中,需要结合上下文进行相应的解析以及预测。具体的,对于登陆行为而言,攻击者和受害者是相对应的,当一个用户连续多次尝试使用错误的凭据登录时,可能是在进行暴力破解攻击。此时可适当提高用户的可信值,然后对于IP(Internet Protocol,网际互连协议)地址的检测和账户锁定等手段,继续提高可信值,最后达到阈值输出高可信的新的告警信息;对于可疑攻击行为而言,可采用ATT&CK模型(Adversarial Tactics Techniques and Common Knowledge,即对抗战术、技术和常识,它是一个站在攻击者的视角来描述攻击中各阶段用到的技术的模型,该模型的战术和技术均是基于现实生活中攻击团伙所为)来进行采集攻击行为,在告警中寻找与正常行为模式不符的异常行为,这可能包括登录失败、异常访问行为、大量数据传输、异常系统行为等。结合异常行为和ATT&CK模型的战术和技术,满足条件即可输出阈值输出新的告警信息;对于命令注入、文件修改等行为,对输入数据的验证和检测,异常字符的检测,文件完整性,文件修改记录日志等进行监控和日志解析,输出可信度较高的新的告警信息。此外,对于已知行为而言,通过读取上下文的日志和告警,整理特定的场景,从多个跨度的告警提取,整合可信度高的数据,并结合上下文信息和设计场景化链条,输出未知行为的告警信息,比如上下文出现了启动项文件夹创建行为,大量可以文件和图片创建行为和敏感文件修改行为,可提高启动项利用行为告警的可信度。
步骤S14、基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。
本实施例中,所述基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,包括:通过将满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息发送至预设信息解析程序,对满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息进行拆分,以得到相应的可导入数据;通过将所述可导入数据导入预设图数据库中进行信息关联,以构建相应的场景化溯源数据,得到目标场景;通过分析所述目标场景分别针对当前各所述待检测信息执行相应的查询语句构造操作,得到与当前各所述待检测信息分别对应的查询语句;基于各所述查询语句对所述目标场景进行关联性查询,以便基于接收到的相应查询结果确定与各所述待检测信息分别对应的威胁检测结果。所述基于接收到的相应查询结果确定与各所述待检测信息对应的威胁检测结果,包括:在接收到与任一所述查询语句对应的查询结果之后,通过对所述查询结果进行筛选以及整合,完成相应的数据归并操作,并将得到的相应的攻击拓扑图作为对应的威胁检测结果。
需要理解的是,在进行图数据库信息关联时,先整理所述预设图数据库点边结构和场景,分为文件,进程,终端,attck,行为,命令执行多个tag(标签,在图数据库中,标签用于对节点进行分类和标记。标签可以看作是节点的属性,用于描述节点所属的类别或类型)结构,创建关系型边edge(边结构,是图数据库中节点之间的连接或关系,它描述了节点之间的关联性。边可以具有方向和属性,用于表示不同类型的关系)。然后创建图空间,并建立tag结构和相关数据限制。之后分类告警,将所述日志信息和所述告警信息通过文件,进程,终端,attck,行为,命令执行分为不同的分类,从日志,告警数据的字段中提取相对应数据,并插入vex(点结构)数据和edge数据,以将数据关系建立起来。
此外,针对通过分析所述目标场景完成关联性查询的操作,需要理解的是。在一种具体实施方式中,通过获取失陷信息(指在攻击过程中哪些设备是已经被攻击成功,成为受害机器的信息),结合告警攻击者和受害者关系,解析真实受攻击IP地址,通过嵌套的方式呈树状结构逐层获取和受攻击IP地址相关联的点边信息,输出受害者攻击路径。在另一种具体实施方式中,需要结合情报和恶意IP信息,并基于告警攻击者和受害者关系,提取较为准确的外部攻击IP,通过发散性的树状结构获取该点指向的所有有关系的点边信息,输出攻击者攻击路径。这样一来,得到了可调节的攻击溯源路径,通过上述发散性的获取结构,攻击路径的体量是非常大的,而且存在很多无效信息。而最终基于攻击路径得到威胁检测结果,也即攻击拓扑图使用可筛选的方式进行展示,提供可去除选择场景边的功能,输出最后的有效攻击路径。也就是说,本实施例可以通过解析的日志和告警的关联性关系,完整输出攻击路径,并进而将复杂的安全数据呈现为直观的图形形式,帮助安全分析人员更好地理解和分析安全事件。
进一步的,本实施例中,场景不同则查询语句也不同,可设定不同场景加条件构造后查询。并且各所述告警信息会提供字段来支持构造查询语句。
由此可见,本申请实施例中,首先通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息。然后基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息。然后利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息。然后基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。本申请先基于告警信息中的攻击行为判定信息对得到的待检测信息集合进行拆分,并对确定的满足预设低可信度条件的第一待检测信息进行可信度提升,然后基于满足预设高可信度条件的各待检测信息执行相应的图数据库信息关联操作、关联性查询操作,以设计详细的场景化图结构并通过图数据库高效的关系型查询输出相应的攻击路径信息以及攻击拓扑信息,以得到直观的威胁检测结果。这样一来,不仅能够有效提高威胁信息检测的准确性以及可靠性,并避免现有技术中由于大量收集网络流量以及日志所导致的隐私泄露,还降低了理解威胁检测结果的难度。
参见图3所示,本发明实施例公开了一种威胁信息检测方法,包括:
步骤S21、通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息。
步骤S22、基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息。
步骤S23、基于所述攻击行为判定信息对满足所述预设低可信度条件的各所述第一待检测信息以及满足所述预设高可信度条件的各所述第二待检测信息进行数据分类,以得到相应的分类结果。
步骤S24、基于所述分类结果对各类信息进行合并,并结合上下文进行相应的解析以及预测,以完成针对满足所述预设低可信度条件的各所述第一待检测信息的可信度提升操作,得到满足所述预设高可信度条件的各所述第一待检测信息。
步骤S25、基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。
其中,关于上述步骤S21至步骤S26的具体过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
由此可见,本申请实施例中,通过结合满足预设高可信度条件的第二待检测信息对满足预设低可信度条件的第一待检测信息进行模式化处理,以输出新的满足所述预设高可信度条件的各所述第一待检测信息。这样一来,有效完成了可信度的提升,解决了由于预设终端中对于未知攻击行为判定的不准确所导致的威胁检测不准确的情况,从而能够提高检测结果的准确性。
参见图4所示,本申请实施例还相应公开了一种威胁信息检测装置,包括:
信息集合获取模块11,用于通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息;
可信度信息确定模块12,用于基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息;
可信度提升模块13,用于利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息;
检测结果获取模块14,用于基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。
其中,关于上述各个模块更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
由此可见,本申请中,首先通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息。然后基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息。然后利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息。然后基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。本申请先基于告警信息中的攻击行为判定信息对得到的待检测信息集合进行拆分,并对确定的满足预设低可信度条件的第一待检测信息进行可信度提升,然后基于满足预设高可信度条件的各待检测信息执行相应的图数据库信息关联操作、关联性查询操作,以设计详细的场景化图结构并通过图数据库高效的关系型查询输出相应的攻击路径信息以及攻击拓扑信息,以得到直观的威胁检测结果。这样一来,不仅能够有效提高威胁信息检测的准确性以及可靠性,并避免现有技术中由于大量收集网络流量以及日志所导致的隐私泄露,还降低了理解威胁检测结果的难度。
在一些具体实施例中,所述信息集合获取模块11,具体可以包括:
信息发送单元,用于通过预设终端并基于预设主题将本地基于预设信息生成规则得到的告警信息以及对应的日志信息发送至预设Kafka集群中。
在一些具体实施例中,所述可信度信息确定模块12,具体可以包括:
告警可信度信息获取子模块,用于通过利用各所述告警信息中的攻击行为判定信息判断与各所述告警信息对应的攻击行为是否为可疑攻击行为,以得到与各所述待检测信息对应的告警可信度信息。
在一些具体实施例中,所述告警可信度信息获取子模块,具体可以包括:
第一结果确定单元,用于若是,则确定对应的所述待检测信息为满足预设低可信度条件的第一待检测信息;
第二结果确定单元,用于若否,则确定对应的所述待检测信息为满足预设高可信度条件的第二待检测信息。
在一些具体实施例中,所述检测结果获取模块14,具体可以包括:
信息拆分单元,用于通过将满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息发送至预设信息解析程序,对满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息进行拆分,以得到相应的可导入数据;
场景构建单元,用于通过将所述可导入数据导入预设图数据库中进行信息关联,以构建相应的场景化溯源数据,得到目标场景;
查询语句构造单元,用于通过分析所述目标场景分别针对当前各所述待检测信息执行相应的查询语句构造操作,得到与当前各所述待检测信息分别对应的查询语句;
检测结果确定子模块,用于基于各所述查询语句对所述目标场景进行关联性查询,以便基于接收到的相应查询结果确定与各所述待检测信息分别对应的威胁检测结果。
在一些具体实施例中,所述检测结果确定子模块,具体可以包括:
结果确定单元,用于在接收到与任一所述查询语句对应的查询结果之后,通过对所述查询结果进行筛选以及整合,完成相应的数据归并操作,并将得到的相应的攻击拓扑图作为对应的威胁检测结果。
在一些具体实施例中,所述可信度提升模块13,具体可以包括:
信息分类单元,用于基于所述攻击行为判定信息对满足所述预设低可信度条件的各所述第一待检测信息以及满足所述预设高可信度条件的各所述第二待检测信息进行数据分类,以得到相应的分类结果;
可信度提升单元,用于基于所述分类结果对各类信息进行合并,并结合上下文进行相应的解析以及预测,以完成针对满足所述预设低可信度条件的各所述第一待检测信息的可信度提升操作。
进一步的,本申请实施例还公开了一种电子设备,图5是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的威胁信息检测方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的威胁信息检测方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的威胁信息检测方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种威胁信息检测方法,其特征在于,包括:
通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息;
基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息;
利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息;
基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。
2.根据权利要求1所述的威胁信息检测方法,其特征在于,所述通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,包括:
通过预设终端并基于预设主题将本地基于预设信息生成规则得到的告警信息以及对应的日志信息发送至预设Kafka集群中。
3.根据权利要求1所述的威胁信息检测方法,其特征在于,所述基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,包括:
通过利用各所述告警信息中的攻击行为判定信息判断与各所述告警信息对应的攻击行为是否为可疑攻击行为,以得到与各所述待检测信息对应的告警可信度信息。
4.根据权利要求3所述的威胁信息检测方法,其特征在于,所述通过利用各所述告警信息中的攻击行为判定信息判断与各所述告警信息对应的攻击行为是否为可疑攻击行为,以得到与各所述待检测信息对应的告警可信度信息,包括:
若是,则确定对应的所述待检测信息为满足预设低可信度条件的第一待检测信息;
若否,则确定对应的所述待检测信息为满足预设高可信度条件的第二待检测信息。
5.根据权利要求1所述的威胁信息检测方法,其特征在于,所述基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,包括:
通过将满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息发送至预设信息解析程序,对满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息进行拆分,以得到相应的可导入数据;
通过将所述可导入数据导入预设图数据库中进行信息关联,以构建相应的场景化溯源数据,得到目标场景;
通过分析所述目标场景分别针对当前各所述待检测信息执行相应的查询语句构造操作,得到与当前各所述待检测信息分别对应的查询语句;
基于各所述查询语句对所述目标场景进行关联性查询,以便基于接收到的相应查询结果确定与各所述待检测信息分别对应的威胁检测结果。
6.根据权利要求5所述的威胁信息检测方法,其特征在于,所述基于接收到的相应查询结果确定与各所述待检测信息对应的威胁检测结果,包括:
在接收到与任一所述查询语句对应的查询结果之后,通过对所述查询结果进行筛选以及整合,完成相应的数据归并操作,并将得到的相应的攻击拓扑图作为对应的威胁检测结果。
7.根据权利要求1至6任一项所述的威胁信息检测方法,其特征在于,所述利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,包括:
基于所述攻击行为判定信息对满足所述预设低可信度条件的各所述第一待检测信息以及满足所述预设高可信度条件的各所述第二待检测信息进行数据分类,以得到相应的分类结果;
基于所述分类结果对各类信息进行合并,并结合上下文进行相应的解析以及预测,以完成针对满足所述预设低可信度条件的各所述第一待检测信息的可信度提升操作。
8.一种威胁信息检测装置,其特征在于,包括:
信息集合获取模块,用于通过预设终端将已生成的告警信息以及对应的日志信息发送至预设Kafka集群中,以得到相应的待检测信息集合;其中,所述待检测信息集合中的每条待检测信息均包含相应的所述告警信息以及对应的所述日志信息;
可信度信息确定模块,用于基于各所述告警信息中的攻击行为判定信息确定对应的告警可信度信息,并利用所述告警可信度信息从所述待检测信息集合中确定相应数量的满足预设低可信度条件的第一待检测信息以及满足预设高可信度条件的第二待检测信息;
可信度提升模块,用于利用预设未知威胁检测程序对满足所述预设低可信度条件的各所述第一待检测信息执行相应的可信度提升操作,以得到满足所述预设高可信度条件的各所述第一待检测信息;
检测结果获取模块,用于基于满足所述预设高可信度条件的各所述第一待检测信息以及各所述第二待检测信息依次执行相应的图数据库信息关联操作、关联性查询操作,以得到与各所述待检测信息对应的威胁检测结果。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的威胁信息检测方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的威胁信息检测方法。
CN202311334259.5A 2023-10-13 2023-10-13 一种威胁信息检测方法、装置、设备及存储介质 Pending CN117375923A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311334259.5A CN117375923A (zh) 2023-10-13 2023-10-13 一种威胁信息检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311334259.5A CN117375923A (zh) 2023-10-13 2023-10-13 一种威胁信息检测方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117375923A true CN117375923A (zh) 2024-01-09

Family

ID=89394061

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311334259.5A Pending CN117375923A (zh) 2023-10-13 2023-10-13 一种威胁信息检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117375923A (zh)

Similar Documents

Publication Publication Date Title
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108366045B (zh) 一种风控评分卡的设置方法和装置
EP2691848B1 (en) Determining machine behavior
CN111866016B (zh) 日志的分析方法及系统
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN112468347B (zh) 一种云平台的安全管理方法、装置、电子设备及存储介质
CN112165462A (zh) 基于画像的攻击预测方法、装置、电子设备及存储介质
CN113642023A (zh) 数据安全检测模型训练、数据安全检测方法、装置及设备
CN112560029A (zh) 基于智能分析技术的网站内容监测和自动化响应防护方法
CN114465741B (zh) 一种异常检测方法、装置、计算机设备及存储介质
US20230291657A1 (en) Statistical Control Rules for Detecting Anomalies in Times Series Data
CN114528457A (zh) Web指纹检测方法及相关设备
CN113886829B (zh) 一种失陷主机检测方法、装置、电子设备及存储介质
CN113132316A (zh) 一种Web攻击检测方法、装置、电子设备及存储介质
CN112367340B (zh) 一种内网资产风险评估方法、装置、设备及介质
CN117220961B (zh) 一种基于关联规则图谱的入侵检测方法、装置及存储介质
CN112436969A (zh) 一种物联网设备管理方法、系统、设备及介质
CN115296892B (zh) 数据信息服务系统
CN113852625B (zh) 一种弱口令监测方法、装置、设备及存储介质
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置
CN117375923A (zh) 一种威胁信息检测方法、装置、设备及存储介质
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN113177791A (zh) 一种恶意挖矿行为识别方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination