[發(fā)明專利]基于異常點(diǎn)發(fā)現(xiàn)威脅組織攻擊的方法、裝置及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 201911352786.2 | 申請日: | 2019-12-25 |
| 公開(公告)號: | CN111224953A | 公開(公告)日: | 2020-06-02 |
| 發(fā)明(設(shè)計(jì))人: | 孫守英;李柏松 | 申請(專利權(quán))人: | 哈爾濱安天科技集團(tuán)股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 150028 黑龍江省哈爾濱市哈爾濱高新技術(shù)*** | 國省代碼: | 黑龍江;23 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 異常 發(fā)現(xiàn) 威脅 組織 攻擊 方法 裝置 存儲 介質(zhì) | ||
1.一種基于異常點(diǎn)發(fā)現(xiàn)威脅組織攻擊的方法,其特征在于,包括:
采集預(yù)設(shè)采集點(diǎn)的網(wǎng)絡(luò)流量及日志信息并提取當(dāng)前網(wǎng)絡(luò)特征;
將當(dāng)前網(wǎng)絡(luò)特征與威脅知識庫進(jìn)行匹配,并判定是否存在異常;
若存在異常,則基于異常情況形成威脅線索;
基于威脅線索并結(jié)合威脅知識庫進(jìn)行拓線分析,提出威脅假設(shè);
基于威脅假設(shè)確定觀測方向繼續(xù)收集線索并判定威脅假設(shè)是否正確;
若威脅假設(shè)正確,則基于威脅知識庫定位所有受控節(jié)點(diǎn);
其中,所述威脅知識庫包括:TTP和IoC。
2.如權(quán)利要求1所述的方法,其特征在于,所述基于威脅線索并結(jié)合威脅知識庫進(jìn)行拓線分析,提出威脅假設(shè),具體包括:
基于威脅線索中的各項(xiàng)異常情況,匹配威脅知識庫中與各項(xiàng)異常情況相關(guān)的行為特征,并提出威脅假設(shè);
其中,異常情況包括:終端異常、日志異常、網(wǎng)絡(luò)異常;所述威脅假設(shè)至少包括但不限于:惡意操作、惡意組織。
3.如權(quán)利要求2所述的方法,其特征在于,所述基于威脅知識庫定位所有受控節(jié)點(diǎn),具體包括:基于威脅假設(shè),查詢威脅知識庫,獲取相關(guān)惡意操作或者惡意組織的TTP信息,基于攻擊習(xí)慣,按照不同的攻擊階段展開分析,定位所有受控節(jié)點(diǎn)。
4.如權(quán)利要求1-3任一所述的方法,其特征在于,所述采集預(yù)設(shè)采集點(diǎn)的網(wǎng)絡(luò)流量及日志信息,包括:采集網(wǎng)段的出入口、連接重要主機(jī)的交換機(jī)處的網(wǎng)絡(luò)流量;采集終端側(cè)的日志信息。
5.一種基于異常點(diǎn)發(fā)現(xiàn)威脅組織攻擊的裝置,其特征在于,包括:
信息采集模塊,用于采集預(yù)設(shè)采集點(diǎn)的網(wǎng)絡(luò)流量及日志信息并提取當(dāng)前網(wǎng)絡(luò)特征;
異常點(diǎn)發(fā)現(xiàn)模塊,用于將當(dāng)前網(wǎng)絡(luò)特征與威脅知識庫進(jìn)行匹配,并判定是否存在異常;
威脅線索構(gòu)建模塊,用于若存在異常,則基于異常情況形成威脅線索;
威脅假設(shè)提出模塊,用于基于威脅線索并結(jié)合威脅知識庫進(jìn)行拓線分析,提出威脅假設(shè);
威脅假設(shè)判定模塊,基于威脅假設(shè)確定觀測方向繼續(xù)收集線索并判定威脅假設(shè)是否正確;
受控節(jié)點(diǎn)定位模塊,用于若威脅假設(shè)正確,則基于威脅知識庫定位所有受控節(jié)點(diǎn);
其中,所述威脅知識庫包括:TTP和IoC。
6.如權(quán)利要求5所述的裝置,其特征在于,所述威脅假設(shè)提出模塊,具體用于:
基于威脅線索中的各項(xiàng)異常情況,匹配威脅知識庫中與各項(xiàng)異常情況相關(guān)的行為特征,并提出威脅假設(shè);
其中,異常情況包括:終端異常、日志異常、網(wǎng)絡(luò)異常;所述威脅假設(shè)至少包括但不限于:惡意操作、惡意組織。
7.如權(quán)利要求6所述的裝置,其特征在于,所述基于威脅知識庫定位所有受控節(jié)點(diǎn),具體包括:基于威脅假設(shè),查詢威脅知識庫,獲取相關(guān)惡意操作或者惡意組織的TTP信息,基于攻擊習(xí)慣,按照不同的攻擊階段展開分析,定位所有受控節(jié)點(diǎn)。
8.如權(quán)利要求5-7任一所述的裝置,其特征在于,所述采集預(yù)設(shè)采集點(diǎn)的網(wǎng)絡(luò)流量及日志信息,包括:采集網(wǎng)段的出入口、連接重要主機(jī)的交換機(jī)處的網(wǎng)絡(luò)流量;采集終端側(cè)的日志信息。
9.一種電子設(shè)備,其特征在于,所述電子設(shè)備包括:殼體、處理器、存儲器、電路板和電源電路,其中,電路板安置在殼體圍成的空間內(nèi)部,處理器和存儲器設(shè)置在電路板上;電源電路,用于為上述電子設(shè)備的各個(gè)電路或器件供電;存儲器用于存儲可執(zhí)行程序代碼;處理器通過讀取存儲器中存儲的可執(zhí)行程序代碼來運(yùn)行與可執(zhí)行程序代碼對應(yīng)的程序,用于執(zhí)行權(quán)利要求1-4任一所述的方法。
10.一種計(jì)算機(jī)可讀存儲介質(zhì),其特征在于,所述計(jì)算機(jī)可讀存儲介質(zhì)存儲有一個(gè)或者多個(gè)程序,所述一個(gè)或者多個(gè)程序可被一個(gè)或者多個(gè)處理器執(zhí)行,以實(shí)現(xiàn)權(quán)利要求1-4任一所述的方法。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于哈爾濱安天科技集團(tuán)股份有限公司,未經(jīng)哈爾濱安天科技集團(tuán)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911352786.2/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 知識發(fā)現(xiàn)裝置、知識發(fā)現(xiàn)程序和知識發(fā)現(xiàn)方法
- 規(guī)則發(fā)現(xiàn)程序、規(guī)則發(fā)現(xiàn)處理和規(guī)則發(fā)現(xiàn)裝置
- 發(fā)現(xiàn)協(xié)議
- 對等發(fā)現(xiàn)
- 小區(qū)發(fā)現(xiàn)
- 漏洞發(fā)現(xiàn)裝置、漏洞發(fā)現(xiàn)方法以及漏洞發(fā)現(xiàn)程序
- 使用發(fā)現(xiàn)節(jié)點(diǎn)的設(shè)備發(fā)現(xiàn)
- 漏洞發(fā)現(xiàn)裝置、漏洞發(fā)現(xiàn)方法以及存儲介質(zhì)
- 用于提供虛擬場景的裝置及方法
- 接入語音服務(wù)的方法、裝置和數(shù)據(jù)載體
- 威脅處理方法及系統(tǒng)、聯(lián)動客戶端、安全設(shè)備及主機(jī)
- 一種安全威脅管理方法和系統(tǒng)
- 一種電力系統(tǒng)移動終端安全威脅評估方法
- 一種云平臺下租戶安全威脅告警系統(tǒng)及其實(shí)現(xiàn)方法
- 一種基于決策樹的網(wǎng)絡(luò)威脅評估方法、裝置及存儲介質(zhì)
- 一種工控網(wǎng)絡(luò)威脅自動隔離方法及系統(tǒng)
- 一種威脅情報(bào)防御方法和系統(tǒng)
- 基于態(tài)勢感知告警的威脅評估系統(tǒng)及方法
- 一種威脅處置方法、威脅處置工具和計(jì)算機(jī)可讀介質(zhì)
- 一種威脅情報(bào)的評價(jià)方法、裝置、設(shè)備及存儲介質(zhì)
