2. 专利
  3. 一种失陷设备识别与设备失陷度评估的方法、装置与流程

一种失陷设备识别与设备失陷度评估的方法、装置与流程

专利2022-06-30  95

本发明属于网络安全
技术领域
,尤其是涉及一种失陷设备的识别方法、设备失陷度的评估方法及装置。
背景技术
:以窃取信息资产为目标的高级网络攻击造成的恶性破坏或重大损失往往发生在目标主机失陷之后,而失陷主机从被侵入、到受控、再到发起恶意访问行为,则发生在几分钟、几小时、几天甚至更长的时间里。这种攻击多是有若干个攻击阶段组成,处在不同攻击阶段的主机失陷可能性以及失陷后的威胁性是不同的。例如,在“遭受入侵”阶段,目标主机往往会遭受网络钓鱼、漏洞利用、暴力破解等形式的攻击;而一旦攻击成功进入“受到控制”阶段,目标主机将与远端的c&c服务器建立连接,并持续受到攻击者的控制;目标主机受控后,将开始“发起恶意行为”阶段,受控主机往往会作为攻击的跳板对内网或外网新的目标展开扫描攻击、拒绝服务(dos/ddos)攻击、恶意网址访问、漏洞入侵、间谍软件植入、数据窃取等一系列威胁活动。失陷主机检测试图在主机被侵入过程中或攻陷后,及时发现并告警,便于管理者迅速采取隔离、查杀、恢复等响应措施,将攻击事件的影响降至最低。失陷主机识别(检测)的准确性,影响到对主机做出的针对性操作是否正确,从而影响网络运行以及业务运营。公告号“cn105915532”的专利,根据“主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。如此,通过分析组织的网络流量,在多个预设场景下对组织的内网主机进行评分,最终发现失陷主机。”该技术方案中,随着系统部署场景的变化,相应的识别评分规则也需要变化,针对每一种新的场景都需要重新制定一套新的识别规则,适应性需要改进。而公开号“cn109660539”的专利申请,提出了改进场景分析的缺点,“在生成的安全事件的基础上,根据安全事件的连接方向对设备进行识别,并根据资设备所对应的攻击链阶段以及攻击方向判定是否为可疑失陷设备,然后,根据可疑失陷设备的攻击链信息、行为基线信息、白名单配置情况等对可疑失陷设备进行失陷度评估,若可疑失陷设备的失陷度评分大于失陷度阀值,则判定为失陷设备。”旨在提高识别准确率和场景适应性。该方案是对各种来源的日志形成的安全事件进行分析得到可疑设备,再根据失陷设备的信息进行失陷度评估确定是否为失陷设备,主要是通过横向的多种信息进行汇聚分析,缺乏纵向的逐步确定,即没有对来源信息分别分析与互相印证,识别的准确率有待进一步提高;而且没有提出失陷度评估的具体量化。技术实现要素:鉴于以上,特提出一种失陷设备识别与设备失陷度评估的方法及装置,以解决上述方案有待改进的方面:即基于场景识别的局限性和信息汇聚分析、缺乏不同信息来源互相印证,以及失陷度评估缺乏具体量化的问题。第一方面,一种失陷设备的识别方法,包括:周期性获取设备的流量日志,与正常流量基线匹配,若具有异常流量数据,将设备列为第一可疑设备;对第一可疑设备进行异常分析,标记设备所处的攻击环节,并将设备列为第二可疑设备;实时获取设备的安全日志,进行关联分析并保存告警数据;周期地获取告警数据,与所述第二可疑设备进行信息匹配,若匹配成功,将设备列为第三可疑设备;将所述第三可疑设备与威胁情报库进行数据匹配,若匹配成功,将设备列为第四可疑设备;确定第四可疑设备所处的攻击环节,若达到特定阶段,则将该设备识别为失陷设备。第二方面,一种设备失陷度的评估方法,包括对设备评估确定性与威胁性;通过确定性指数评估设备的失陷程度大小,通过威胁性指数评估设备的威胁程度大小。第三方面,一种失陷设备识别与设备失陷度评估装置,包括:日志获取模块,用于获取设备的日志数据;数据分析模块,用于对日志数据进行分析,标记设备所处的攻击环节;威胁情报库模块,用于接收安全设备与软件上报的威胁活动的情报信息;失陷设备确定模块,根据数据分析模块与威胁情报库模块的结果,确定可疑设备所处的攻击环节,识别可疑设备是否为失陷设备;失陷度评估模块,用于对设备的失陷可能性与威胁性进行量化评估。采用以上的技术方案,本发明实施例,周期性取流量日志进行流量基线分析与异常分析确定可疑设备,同时实时的获取安全日志进行关联分析对所述可疑设备进行第一轮验证,然后还利用外部的威胁情报库进行第二轮验证,最后结合异常分析识别和威胁情报验证确定的设备所处攻击环节,判断可疑设备是否为失陷设备,整体上看是一种利用周期与实时信息以及外部情报进行纵向多次验证的识别过程,有利于进一步提高识别准确性,快速地检测识别出失陷设备;同时提出具体的确定性指数和威胁性指数的评估因素,有利于更直观的评估设备的危害程度。附图说明图1为本发明的一种实施例,失陷设备的识别方法流程示意图;图2为本发明的一种实施例,设备失陷度的评估方法流程示意图;图3为本发明的一种实施例,失陷设备识别与设备失陷度评估装置的结构示意图。具体实施方式下面结合附图和实施例对本发明的技术方案,进行详细说明。为了便于理解本发明实施例,首先对涉及到的相关技术术语进行简介。以窃取信息资产为目标的高级网络攻击,通常是利用未知威胁实施的定向攻击,由多个阶段组成。例如攻击阶段(环节)的划分方法之一:侦查跟踪:攻击者通过社交网络、社会工程学等方式了解目标组织的人员信息、it架构以及防御措施等,该过程为攻击前的“踩点”阶段;常见的行为特征如端口扫描、网络扫描、系统扫描、漏洞扫描、ssh扫描等等;常用的针对系统漏洞的扫描工具有nessus、sss、iss、x-scan、retha等。针对服务端口的扫描工具有nmap、superscan、amap等;针对web页面眼务的扫描工具有sql扫播器、php扫描器、上传漏洞扫描器等;以及web站点扫描工具如appscan、acunetixwebvulnerabilityscanner、jsky等;针对数据库的扫描工具有shadowdatabasescanner、ngssquirrel、sql弱口令扫描器等。攻击者通过googlehacking、whois、dns查询以及网络拓扑扫描器(如solarwinds等),对目标网络拓扑结构、ip分布情况、网络连接设备信息、眼务器分布情况等信息进行收集。载荷投递:基于对目标的侦查跟踪结果,购买或编写针对攻击目标现存漏洞的恶意代码,并进行逃避测试,保证攻击能够成功绕过目标组织现有的防护体系;通过钓鱼邮件、钓鱼网页、usb存储等手段发起鱼叉式攻击,引诱攻击目标点击、下载事先准备好的恶意代码;常见的方式有:dos可能的memcachedddos放大查询(set),voipregister消息floodudp,voipinvite消息洪水udp,gplvoipsipinvite消息泛滥,dos可能的sentinallm放大攻击(请求)入站,dosdns放大攻击入站,dos可能的ntpddos入站频繁的未经过验证的mon_list请求impl0x03等。突防利用:恶意代码被成功植入攻击目标的设备与系统,并利用目标设备与系统存在的漏洞获取更高的执行权限;常见的方式有:暴力破解、鱼叉攻击、水坑攻击、u盘摆渡、访问恶意链接、恶意邮件。安装植入:利用成功获取的执行权限,控制目标设备下载功能更为丰富的恶意软件,安装并启动软件。通信控制:恶意软件启动后将与攻击者在远端部署的命令与控制(c&c)服务器主动建立连接,接收c&c服务器发送的控制信令;常见的如:dns隐蔽信道检测(合法的dns请求基线,频次和规律、信息熵、语义识别)、权限异常提升、服务监控等。渗透破坏:攻击者通过c&c服务器控制目标设备发起进一步的恶意行为,如扫描内网其他设备的漏洞、入侵新的目标、挖掘有价值的数据或外传已窃取的数据;常见的渗透方式有:trojanwindows可执行文件base64编码,info可疑mozilla用户代理-可能伪造(mozilla/4.0),malware可疑用户代理,etpolicywin32/sogou用户代理(sogou_updater),malware-cncwin.trojan.zeroaccess出站连接等。当设备的行为特征符合上述“通信控制”或“渗透破坏”阶段,则可以将设备定义为“失陷设备”,此时的设备具有较大的威胁;而符合前三个阶段的设备,相对来说,威胁性较小,属于可疑设备;而符合第四个阶段安装置入的设备,多处于可疑与失陷之间。此处需要说明的是,前述的攻击或被攻击设备包括服务器,路由器,交换机,pc等各种可接入网络的终端设备。本发明的失陷设备检测,主要内容是基于统计的关联分析、机器学习、行为基线分析等技术,学习网络的正常行为基线和轮廓,收集、监控、分析用户和机器的行为数据,通过大数据技术快速挖掘出偏离正常行为基线的异常行为,从而定位出可疑或失陷设备;另一方面,将下一代防火墙等安全设备上报的威胁日志和来自其他多种防护软件的攻防信息一同汇聚为威胁情报,运用海量威胁情报中提取出的已知恶意ip、恶意url、恶意dns解析以及恶意行为特征等威胁信息,与网络中已发生的可疑行为进行数据比对,快速检测失陷设备并确认其所处阶段。如图1,本发明实施例提供一种失陷设备的识别方法,包括:s101,周期性获取设备的流量日志,与正常流量基线匹配,若具有异常流量数据,将设备列为第一可疑设备。常见的设备日志包括:应用访问日志:源ip,源端口,目的ip,目的端口,协议,登录状态(登录结果),登录ip的地理位置,登录次数,操作类型,操作结果,时间,用户名称,用户权限,应用类型,应用名称(id);url访问日志:url地址,访问次数;文件传输日志:文件名称,文件标识,传输路径,文件类型,文件内容;流量日志:发送字节,接收字节,发送包个数,接收包个数,开始时间,结束时间;主机行为日志:登录状态(登录结果),登录ip的地理位置,登录次数,操作类型,操作结果,时间,用户名称,用户权限,应用类型,应用名称(id)。传统网络流量元组(ip、端口、协议)与操作日志以及环境信息等,能刻画攻击者的行为和动机。因此,通过分析日志信息,特别是将各种应用和设备上报的日志数据汇聚进行大数据机器学习,可疑提取出特定的行为数据并得到相应的特征。因此,本发明的实施例,预设一定的条件对设备的流量日志进行机器学习,比如预设一定的设备(工作pc)和时间段(工作时间8小时),对符合该条件的流量日志进行足够周期的机器学习与分析,可以得到设备在该时间段内的正常流量基线;当检测到设备的流量(包括但不限于流量总量、峰值、稳定性、特殊或超权限访问类型等)超过正常流量基线达到特定阈值,则判定设备发生了异常流量,将设备列为第一可疑设备。s102,对第一可疑设备进行异常分析,标记设备所处的攻击环节,并将设备列为第二可疑设备。所述的异常分析,是指将第一可疑设备的异常流量数据与异常分析模型进行匹配,常见的异常分析场景如:僵尸网络、木马、蠕虫,重要资产画像,隐蔽通道(dns53端口基线画像、url语义识别)、dga检测,挖矿病毒,勒索病毒,永恒之蓝,鱼叉攻击,水坑攻击等。本发明的实施例中,异常分析包括通过对异常数据进行机器学习得到用以划分异常数据类型及特征的模型,该模型具有不同攻击环节的流量特征,因此将异常数据与模型库的各攻击环节进行特征匹配,可以初步标记设备所处的攻击环节。本实施例中,异常分析模型包括了前述的六个攻击环节(即侦查跟踪、载荷投递、突防利用、安装置入、通信控制与渗透破坏等)的流量特征,因此如果异常数据与异常分析模型匹配成功,则可以将设备标记为这六个环节之一。同时,由于是周期性获取流量日志进行分析,而且网络攻击是处于动态变化中,因此每一周期异常分析模型的匹配结果可能是不同的环节。如果攻击的时间跨度很长,则也有可能若干个周期内的匹配结果都是位于同一攻击环节。本步骤的异常分析过程,一方面使通过模型标记可疑设备所处的攻击环节,另一方面是对第一可疑设备的异常验证,即如果存在异常流量数据的第一可疑设备,在异常分析模型匹配中又被成功匹配,则第一可疑设备的失陷可能性得到了增加,因此将该设备列入第二可疑设备。s103,实时获取设备的安全日志,进行关联分析并保存告警数据;周期地获取告警数据,与所述第二可疑设备进行信息匹配,若匹配成功,将设备列为第三可疑设备。关联分析是用户根据实际环境定义各类安全事件(日志信息、告警信息等)之间在发生序列、事后影响等方面关联性的规则,然后根据已知的情景作出预防响应。例如下述的一些关联分析规则:根据单条日志的部分内容作为告警信息,如日志中出现的登录、开机和关机都可以作为告警信息;根据单位时间内特殊事件出现的频率,如日志中1分钟内出现3次用户密码错误的情况就可以作为一次暴力破解;多设备日志之间的关联分析,如许多目标ip地址相同,而源ip地址不同的日志,则可以作为一次ddos攻击。若事件信息与关联分析规则匹配成功,则会发生告警,告警数据存储于数据库中,通过周期获取告警数据中的日志信息进行分析,可以得到攻击源、攻击路径等信息。本发明的实施例中,作为优选的关联分析规则,可以包括对安全日志进行机器学习分析设备所处攻击环节的规则,如果设备的安全日志与该规则匹配成功,则对应的告警数据中将包括设备的攻击环节信息。本步骤中的分析过程,与异常分析的周期性获取流量日志不同,是实时的获取安全日志进行关联分析得到告警数据,再周期的取告警数据与异常分析结果进行信息吻合度匹配,实现了第二次对异常数据进行印证。s104,将所述第三可疑设备与威胁情报库进行数据匹配,若匹配成功,将设备列为第四可疑设备。威胁情报库,包括了网络内的防火墙、ips、漏洞扫描等上报的威胁日志数据,也包括从外部获取的海量已知威胁的情报信息。本发明的实施例中,威胁情报可以包括威胁活动的攻击环节信息,即已知的各种威胁活动在各自的攻击环节特征信息。通过将第三可疑设备的数据与威胁情报库进行匹配,如果匹配成功,则可以进一步印证设备被攻击的可能性。s105,确定第四可疑设备所处的攻击环节,若达到特定阶段,则将该设备识别为失陷设备。对比第三可疑设备的攻击环节与威胁情报库的攻击环节,将最高攻击环节作为第四可疑设备所处的攻击环节。例如:异常分析所得的可疑设备处于第三环节(突防利用),关联分析的告警数据中识别为第四环节(安装植入),而威胁情报库中识别为第五环节(通信控制),则将第四可疑设备的攻击环节确定为第五环节(通信控制),而根据术语简介部分所述,通信控制环节的设备已经被攻击者控制,具有较大威胁,因此将该设备识别为失陷设备。应当可以理解的是,上述的攻击环节,包括设备作为攻击者所处的攻击环节与设备作为被攻击者所处的被攻击环节。可见,上述的失陷主机识别方法实施例,利用多种信息进行纵向多次验证识别,有利于进一步提高识别出失陷设备准确性。如图2所示,本发明实施例提供一种设备失陷度的评估方法,对可疑设备或失陷设备进行失陷度评估,所述评估方法包括对设备评估确定性与威胁性;所述确定性为评估设备的失陷可能程度大小,所述威胁性为评估设备的威胁程度大小。上述评估方法的主要步骤包括:s201,规定作为评估因素的攻击环节;具体到本发明的实施例中,包括规定作为确定性评估因素的攻击环节与规定作为威胁性评估因素的攻击环节;其中,将异常分析的侦察跟踪、载荷投递、突防利用、安装植入四个环节与威胁情报库的攻击环节作为评估确定性的因素;将异常分析的侦察跟踪、载荷投递、突防利用、安装植入、通信控制、渗透破坏六个个环节与威胁情报库的攻击环节作为评估威胁性的因素。s202,获取设备经历的所有攻击环节,即记录每一周期的异常分析得到的攻击环节信息。s203,获取威胁情报库识别的攻击环节,即威胁情报库内对应的攻击环节信息。s204,确定设备所处的攻击环节,本实施例中,根据前述的s105所述方法确定设备所处攻击环节。s205,根据评估因素确定评估指数,本发明的实施例中,根据异常分析的攻击环节与威胁情报库的攻击环节是否一致,异常分析识别的攻击环节的完整度、连续度、深度,得到可疑设备的确定性指数与失陷设备的威胁性指数。下面分别列举实施例说明确定性指数与威胁性指数的评估过程,本发明实施例,确定性指数优选百分制,其值越高则意味着其被攻陷的可能性越大。同样的,威胁性指数优选百分制,其值越高则意味着该设备对其他系统造成的危害程度越大。(1)确定性指数的评估:异常分析记录的设备经历的攻击环节:第一环节侦察跟踪为x1,第二环节载荷投递为x2,第三环节突防利用为x3,第四环节安装植入为x4;威胁情报库记录的设备经历的攻击环节:第一环节侦察跟踪为m1,第二环节载荷投递为m2,第三环节突防利用为m3,第四环节安装植入为m4;因为m4和x4有相互印证的概念,并且x4对于x1、x2、x3来说,x1、x2、x3会强化x4。若根据s105确定可疑设备所处的攻击环节为第四环节安装植入,则可以按下表所示的评分进行确定性指数评估。评估因素确定性指数(评分)x1 x2 x3 x4 m498x2 x3 x4 m496x1 x3 x4 m495x3 x4 m494x1 x2 x4 m493x2 x4 m492x1 x4 m490x4 m488x1 x2 x3 x486x2 x3 x484x1 x3 x482x1 x2 x480x3 x479x2 x477x1 x475m473x471可见,评分优先考虑的因素是异常分析与威胁情报的攻击环节一致性,即两者是否均为第四环节,如x4 m4比x1 x2 x3 x4评分高;其次是异常分析识别的攻击环节完整度,即是否各个环节都有经历,如x1 x2 x3 x4评分就比x2 x3 x4评分高;再次是异常分析识别的攻击环节的连续度,如x2 x3 x4 m4就比x1 x3 x4 m4评分要高;最后是异常分析识别的攻击环节深度,如x2 x4 m4比x1 x4 m4评分高。(2)威胁性指数的评估:异常分析记录的设备经历的攻击环节:第一环节侦察跟踪为x1,第二环节载荷投递为x2,第三环节突防利用为x3,第四环节安装植入为x4,第五环节通信控制为x5,第六环节渗透破坏为x6;威胁情报库记录的设备经历的攻击环节:第一环节侦察跟踪为m1,第二环节载荷投递为m2,第三环节突防利用为m3,第四环节安装植入为m4,第五环节通信控制为m5,第六环节渗透破坏为m6;若根据s105确定失陷设备所处的攻击环节为第六环节渗透破坏,则可以参照下表所示(因为所涉及的组合较多,只列出部分作为示例)的评分进行威胁性指数评估:评估因素威胁性指数(评分)x1 x2 x3 x4 x5 x6 m698x2 x3 x4 x5 x6 m696x1 x3 x4 x5 x6 m695x1 x2 x4 x5 x6 m694x1 x2 x3 x5 x6 m693x1 x2 x3 x4 x6 m692x3 x4 x5 x6 m690。评分优先考虑的因素是异常分析与威胁情报的攻击环节一致性,即两者是否均为第六环节,如x1 x2 x3 x4 x5 x6 m6评分比x1 x2 x3 x4 x5 x6高;其次是异常分析识别的攻击环节完整度,即是否各个环节都有经历,如x1 x2 x3 x4 x5 x6评分就比x1 x2 x3 x4 x5评分高;再次是异常分析识别的攻击环节的连续度,如x2 x3 x4 x5 x6 m6就比x1 x3 x4 x5 x6 m6评分要高;最后是异常分析识别的攻击环节深度对比,如x3 x4 x5 x6 m6比x2 x4 x5 x6 m6评分高。如上所述的本发明实施例,对设备失陷程度进行具体的量化评分,有利于直观的确定设备的失陷可能性和危害性。如图3所示,一种失陷设备识别与设备失陷度评估装置30,用于实现前述的识别失陷设备与评估设备失陷度的具体过程。日志获取模块301,用于周期性获取流量日志,实时的获取安全日志。数据分析模块302,用于对日志数据进行分析,标记设备所处的攻击环节,包括:基线分析单元,机器学习流量日志得到正常流量基线,当流量不符合正常流量基线时,将设备识别为可疑设备;异常分析单元,对异常流量数据进行分析,根据模型的流量特征标记设备所处的攻击环节;关联分析单元,根据关联分析规则,对安全日志数据进行分析,得到告警数据,周期性取告警数据验证异常分析结果的准确性。威胁情报库模块303,用于接收安全设备与软件上报的威胁活动的情报信息,对数据分析模块的结果进行验证,结合异常分析单元的攻击环节识别结果,最终确定设备所处的攻击环节。失陷设备确定模块304,根据数据分析模块与威胁情报库模块的结果,确定可疑设备所处的攻击环节,识别可疑设备是否为失陷设备;当可疑设备所处的攻击环节达到特定阶段,例如达到通信控制或渗透破坏阶段,设备的威胁性较大,将该设备识别为失陷设备。失陷度评估模块305,用于对设备的失陷可能性威胁性进行量化评估。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,所述的存储介质,如:rom/ram、磁碟、光盘等。对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页1 2 3 
技术特征:

1.一种失陷设备的识别方法,其特征在于,包括:

周期性获取设备的流量日志,与正常流量基线匹配,若具有异常流量数据,将设备列为第一可疑设备;

对第一可疑设备进行异常分析,标记设备所处的攻击环节,并将设备列为第二可疑设备;

实时获取设备的安全日志,进行关联分析并保存告警数据;周期地获取告警数据,与所述第二可疑设备进行信息匹配,若匹配成功,将设备列为第三可疑设备;

将所述第三可疑设备与威胁情报库进行数据匹配,若匹配成功,将设备列为第四可疑设备;

确定第四可疑设备所处的攻击环节,若达到特定阶段,则将该设备识别为失陷设备。

2.根据权利要求1所述的识别方法,其特征在于,所述攻击环节,包括设备作为攻击者所处的攻击环节与设备作为被攻击者所处的被攻击环节。

3.根据权利要求1所述的识别方法,其特征在于,所述第一可疑设备的识别,具体包括:

根据预设条件对设备的流量日志进行机器学习,得到设备的正常流量基线;

当检测到设备的流量超过正常流量基线达到特定阈值,则判定设备发生了异常流量,将设备列为第一可疑设备。

4.根据权利要求1所述的识别方法,其特征在于,所述标记设备所处的攻击环节,包括:异常分析的模型具有不同攻击环节的流量特征;将第一可疑设备的异常流量数据与所述不同攻击环节的流量特征进行匹配,若匹配成功,则对设备标记相应的攻击环节。

5.根据权利要求1所述的识别方法,其特征在于,所述威胁情报库具有网络安全设备与软件上报的威胁情报,威胁情报具有威胁活动的攻击环节信息,通过数据匹配识别得到设备的攻击环节;

对比第三可疑设备的攻击环节与威胁情报库识别的攻击环节,将最高攻击环节作为第四可疑设备所处的攻击环节。

6.一种设备失陷度的评估方法,对权利要求1至5任一所述的可疑设备或失陷设备进行失陷度评估,其特征在于,所述评估方法包括对设备评估确定性指数与威胁性指数,所述确定性指数为评估设备失陷的可疑程度大小,所述威胁性指数为评估设备对外的威胁程度大小。

7.根据权利要求6所述的评估方法,其特征在于,评估所述设备的确定性指数,具体过程包括:

规定作为确定性评估因素的攻击环节;

获取异常分析识别的设备经历的所有攻击环节,获取威胁情报库识别的攻击环节;

确定设备所处的攻击环节;

根据:设备所处的攻击环节,两次识别的攻击环节是否一致,异常分析识别的攻击环节的完整度、连续度、深度,得到设备的确定性指数。

8.权利要求6述的评估方法,其特征在于,评估所述设备的威胁性指数,具体过程包括:

规定作为威胁性评估因素的攻击环节;

获取异常分析识别的设备经历的所有攻击环节,获取威胁情报库识别的攻击环节;

确定设备所处的攻击环节;

根据:设备所处的攻击环节,两次识别的攻击环节是否一致,异常分析识别的攻击环节的完整度、连续度、深度,得到设备的威胁性指数。

9.一种失陷设备识别与设备失陷度评估装置,其特征在于,包括:

日志获取模块,用于获取设备的日志数据;

数据分析模块,用于对日志数据进行分析,标记设备所处的攻击环节;

威胁情报库模块,用于接收安全设备与软件上报的威胁活动的情报信息;

失陷设备确定模块,根据数据分析模块与威胁情报库模块的结果,确定可疑设备所处的攻击环节,确定可疑设备是否为失陷设备;

失陷度评估模块,用于对设备的失陷可能性与威胁性进行量化评估。

10.根据权利要求9所述的装置,其特征在于,

所述日志获取模块:周期性获取流量日志,实时的获取安全日志;

所述数据分析模块包括:

基线分析单元,机器学习流量日志得到正常流量基线,当流量不符合正常流量基线时,将设备识别为可疑设备,

异常分析单元,对异常流量数据进行分析,根据模型的流量特征标记设备所处的攻击环节,

关联分析单元,根据关联分析规则,对安全日志数据进行分析,得到告警数据,周期性取告警数据验证异常分析结果的准确性;

所述威胁情报模块,对数据分析模块的结果进行验证,结合异常分析单元的攻击环节识别结果,最终确定设备所处的攻击环节;

所述失陷设备确定模块,当可疑设备所处的攻击环节达到特定阶段,将该设备识别为失陷设备。

技术总结
本发明公开一种失陷设备识别与设备失陷度评估的方法及装置,周期性取流量日志进行流量基线分析与异常分析确定可疑设备,同时实时的获取安全日志进行关联分析对所述可疑设备进行第一轮验证,然后还利用外部的威胁情报库进行第二轮验证,最后结合异常分析识别和威胁情报验证确定的设备所处攻击环节,判断可疑设备是否为失陷设备。有利于进一步提高识别准确性,快速地检测识别出失陷设备;同时提出具体的确定性指数和威胁性指数的评估因素,有利于更直观的评估设备的危害程度。

技术研发人员:赵彦林;李福宜;王平;陈宏伟
受保护的技术使用者:西安交大捷普网络科技有限公司
技术研发日:2019.12.31
技术公布日:2020.06.05

转载请注明原文地址: https://bbs.8miu.com/read-56003.html

专利

最新回复(0)