[發(fā)明專利]基于多源安全檢測框架的檢測方法及裝置有效
| 申請?zhí)枺?/td> | 202010678002.1 | 申請日: | 2020-07-14 |
| 公開(公告)號: | CN111865959B | 公開(公告)日: | 2021-04-27 |
| 發(fā)明(設(shè)計)人: | 陳虎;唐開達 | 申請(專利權(quán))人: | 南京聚銘網(wǎng)絡(luò)科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;G06N20/00 |
| 代理公司: | 北京知果之信知識產(chǎn)權(quán)代理有限公司 11541 | 代理人: | 卜榮麗 |
| 地址: | 210000 江蘇省南京市*** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 安全 檢測 框架 方法 裝置 | ||
本申請公開了一種基于多源安全檢測框架的檢測方法及裝置,本申請的方法包括確定安全檢測的場景以及安全威脅的特征;根據(jù)檢測的場景以及安全威脅的特征,基于多源安全檢測框架創(chuàng)建對應(yīng)的檢測對象以及檢測對象的表示,并選取對應(yīng)的檢測算子,多源安全檢測模型為利用預(yù)定義的檢測算子組合得到檢測策略以對各種來源數(shù)據(jù)進行安全檢測的統(tǒng)一檢測框架;根據(jù)檢測對象以及對應(yīng)的檢測算子構(gòu)建形式化的檢測策略;基于檢測策略進行安全威脅的檢測。本申請是為了提供一種基于多源安全檢測框架的檢測方法及裝置,以提供一種能支持各種數(shù)據(jù)來源、并且可以使用戶更容易的定義一些檢測策略規(guī)則的統(tǒng)一的安全檢測框架,并基于該種安全檢測框架更高效的進行安全檢測。
技術(shù)領(lǐng)域
本申請涉及安全檢測技術(shù)領(lǐng)域,具體而言,涉及一種基于多源安全檢測框架的檢測方法及裝置。
背景技術(shù)
隨著信息技術(shù)的不斷發(fā)展,信息安全問題也日益突出。傳統(tǒng)的信息安全檢測所使用的產(chǎn)品、檢測策略一般都是較為分散且使用困難,而且伴隨黑客技術(shù)的愈發(fā)成熟,各類黑客工具的使用也是極為廣泛,其中一些工具也能在如Github等開源社區(qū)平臺上輕易獲得,例如Empire、gh0stRAT(一個遠程控制框架)等,而且諸如Sqlmap、Acunetix掃描器、MSF(Metasploit)一些滲透測試工具也被廣泛使用,雖然各類安全產(chǎn)品如下一代防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)、端點檢測響應(yīng)(EndpointDetectionResponse,簡稱EDR)等產(chǎn)品都能或多或少地檢測到一些安全問題,但對于無明顯特征的網(wǎng)絡(luò)活動或主機活動則無能為力,即對于一些未知威脅的檢測可能存在比較大的局限性,因為它們不會覆蓋一些看似正常的網(wǎng)絡(luò)訪問或主機操作,故一般企業(yè)單位會部署諸如態(tài)勢感知產(chǎn)品、安全管理產(chǎn)品或下一代安全事件管理系統(tǒng)(NG-SIEMS)會收集一般的主機日志、網(wǎng)絡(luò)訪問日志(包括各類NAT日志)、安全報警等進行集中的檢測和分析,以期從這些日志和報警中能發(fā)現(xiàn)一些在單一安全設(shè)備的報警中無法發(fā)現(xiàn)的問題。
與傳統(tǒng)的安全事件管理系統(tǒng)不同,因為集成了一些蜜罐、網(wǎng)絡(luò)流量探針、端點檢測響應(yīng)等子系統(tǒng),所以一般而言安全態(tài)勢感知、安全管理平臺或下一代安全事件管理系統(tǒng)等此類產(chǎn)品本身具備一定的安全問題發(fā)現(xiàn)以及處置能力,但它們核心的功能主要是集中對收集的相關(guān)日志、安全報警進行集中地、廣泛地和深入地分析,從而能檢測到一些單點安全設(shè)備所無法發(fā)現(xiàn)的問題;而且,通過嵌入一些人工智能/機器學習手段或方法,配合傳統(tǒng)的基于特征和簡單統(tǒng)計等方法可以發(fā)現(xiàn)安全方面的蛛絲馬跡,當然這些安全問題不僅指一般意義上的黑客入侵事件,可能還包含了諸如賬號冒用、敏感數(shù)據(jù)泄漏、數(shù)據(jù)大量獲取(存在離職傾向的員工等)等用戶行為異常問題,故與傳統(tǒng)安全相較,此類問題不是一般安全設(shè)備能夠直接檢測到的。
通過上述分析,可以看出對于現(xiàn)代的安全態(tài)勢感知、安全管理產(chǎn)品或下一代安全事件管理系統(tǒng)等集中安全管理平臺而言,就其檢測和分析手段,不僅需要集成基于一般特征的規(guī)則(一般它們叫做關(guān)聯(lián)規(guī)則,但與一般意義上的關(guān)聯(lián)規(guī)則不同,如Apriori等),而且需要包含能支持人工智能/機器學習的規(guī)則或策略。而Spark或Flink等相關(guān)開源框架可以提供相關(guān)支撐,但是這些框架存在如下問題:
其一是它們是由Java開發(fā)的,而客戶對于安全的投入較少,不太可能提供大量硬件以支撐它們的運行(相較于數(shù)據(jù)量而言;如果提供比較全面的分析,僅一臺Windows主機每日輸出的日志數(shù)量就可能達到上千萬);
其二是它們本身在提供分析語義上就存在不甚統(tǒng)一的問題,很難將基于特征、基于狀態(tài)機分析、基于機器學習等方法完整統(tǒng)一,用戶很難自定義一些策略規(guī)則;
其三是即使使用了一些機器學習技術(shù)來分析安全問題,也存在可視化和追溯困難(主要因為使用二維圖、三維圖等來展示高維數(shù)據(jù),本身就難以理解和解釋,即便使用了如主成分分析/等距線性嵌入方法)。
因此,亟需提供一種能支持各種數(shù)據(jù)來源,即不限于主機日志、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備報警、網(wǎng)絡(luò)傳輸流量、安全漏洞信息以及其它脆弱性信息的統(tǒng)一的安全檢測框架,并且還可以使用戶更容易的定義一些檢測策略規(guī)則,以解決上述現(xiàn)有框架存在的問題。
發(fā)明內(nèi)容
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于南京聚銘網(wǎng)絡(luò)科技有限公司,未經(jīng)南京聚銘網(wǎng)絡(luò)科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010678002.1/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
