[發(fā)明專利]針對APT攻擊的安全編排與自動化響應(yīng)方法、裝置及系統(tǒng)有效
| 申請?zhí)枺?/td> | 202111362550.4 | 申請日: | 2021-11-16 |
| 公開(公告)號: | CN114070629B | 公開(公告)日: | 2023-10-20 |
| 發(fā)明(設(shè)計)人: | 賈雪;姜訓(xùn);張付存;王曄;郭靚;余軍;徐勝國;俞皓 | 申請(專利權(quán))人: | 南京南瑞信息通信科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 南京縱橫知識產(chǎn)權(quán)代理有限公司 32224 | 代理人: | 俞翠華 |
| 地址: | 210003 *** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 針對 apt 攻擊 安全 編排 自動化 響應(yīng) 方法 裝置 系統(tǒng) | ||
本發(fā)明公開了一種針對APT攻擊的安全編排與自動化響應(yīng)方法、裝置及系統(tǒng),所述方法包括獲取日志數(shù)據(jù);獲取本地威脅情報庫,所述本地威脅情報庫中包括威脅主體信息、訪問方式信息,攻擊目標(biāo)信息和攻擊指標(biāo)信息,用于進(jìn)行威脅的判斷和分析;基于人工智能方法,對所述日志數(shù)據(jù)進(jìn)行規(guī)則匹配,生成安全威脅事件告警;利用所述本地威脅情報庫對所述安全威脅事件告警進(jìn)行分析,識別出告警數(shù)據(jù);對識別出的告警數(shù)據(jù)進(jìn)行告警嚴(yán)重程度劃分,根據(jù)預(yù)設(shè)的告警嚴(yán)重程度與響應(yīng)劇本的關(guān)聯(lián)關(guān)系,對攻擊源進(jìn)行響應(yīng)操作,并通報預(yù)警。本發(fā)明能夠?qū)崿F(xiàn)安全響應(yīng)的速度和效率高,平均故障響應(yīng)時間短,大幅提升了安全運(yùn)營的效能和成熟度。
技術(shù)領(lǐng)域
本發(fā)明屬于自動化運(yùn)維技術(shù)領(lǐng)域,具體涉及一種針對APT攻擊的安全編排與自動化響應(yīng)方法、裝置及系統(tǒng)。
背景技術(shù)
事件響應(yīng)是企業(yè)網(wǎng)絡(luò)安全團(tuán)隊的重要工作內(nèi)容之一。目前,企業(yè)中很多新的安全設(shè)備,由于安全告警數(shù)量的增加,導(dǎo)致安全分析人員無法對這些告警分別進(jìn)行過濾,分析出誤報、漏報,并分析和追蹤溯源,并做出合適的處置操作。事件響應(yīng)的復(fù)雜性和專業(yè)性導(dǎo)致了低時效性。另外,在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中,分析人員決策結(jié)果的合理性也往往存疑。因此根據(jù)當(dāng)前網(wǎng)絡(luò)環(huán)境做出快速的、合理的決策是每個安全公司需要思考的問題。
公開號為CN112508448 A的中國發(fā)明專利申請中,公開了基于大數(shù)據(jù)和AI驅(qū)動的安全編排及響應(yīng)系統(tǒng)及方法,提出了一個框架模型,若想要應(yīng)用于實(shí)踐,則需要用戶根據(jù)場景創(chuàng)建自己的劇本,需要手工執(zhí)行的流程,且各類安全工具聯(lián)動能力不足,導(dǎo)致安全響應(yīng)的速度和效率低,平均故障響應(yīng)時間長等問題。
發(fā)明內(nèi)容
針對上述問題,本發(fā)明提出一種針對APT攻擊的安全編排與自動化響應(yīng)方法、裝置及系,能夠?qū)崿F(xiàn)安全響應(yīng)的速度和效率高,平均故障響應(yīng)時間短,大幅提升了安全運(yùn)營的效能和成熟度。
為了實(shí)現(xiàn)上述技術(shù)目的,達(dá)到上述技術(shù)效果,本發(fā)明通過以下技術(shù)方案實(shí)現(xiàn):
第一方面,本發(fā)明提供了一種針對APT攻擊的安全編排與自動化響應(yīng)方法,包括:
獲取日志數(shù)據(jù);
獲取本地威脅情報庫,所述本地威脅情報庫中包括威脅主體信息、訪問方式信息,攻擊目標(biāo)信息和攻擊指標(biāo)信息,用于進(jìn)行威脅的判斷和分析;
基于大數(shù)據(jù)、人工智能分析技術(shù),對所述日志數(shù)據(jù)進(jìn)行預(yù)處理及監(jiān)測分析,生成安全威脅事件告警;
利用所述本地威脅情報庫對所述安全威脅事件告警進(jìn)行分析,識別出告警數(shù)據(jù);
對識別出的告警數(shù)據(jù)根據(jù)預(yù)設(shè)劇本,進(jìn)行攻擊源的威脅情報分析及針對影響資產(chǎn)的漏洞的研判取證;
對告警根據(jù)預(yù)設(shè)劇本進(jìn)行響應(yīng)操作,并通報預(yù)警。
可選地,所述日志數(shù)據(jù)的獲取方法包括:
利用蜜罐獲取攻擊模式趨勢數(shù)據(jù);
利用流量威脅探針識別攻擊者試圖利用的漏洞,分析出攻擊者使用的攻擊所需的基本信息。
可選地,所述本地威脅情報庫的獲取方法包括:
通過爬蟲腳本或第三方接口從外部開源威脅情報庫中收集告警信息,并進(jìn)行告警分析;
基于告警分析結(jié)果,提取出威脅主體信息、訪問方式信息、攻擊目標(biāo)信息、攻擊指標(biāo)信息,并范式化STIX標(biāo)準(zhǔn)化格式,形成本地威脅情報庫。
可選地,所述安全威脅事件告警的生成方法包括:
對所述日志數(shù)據(jù)進(jìn)行數(shù)據(jù)聚合和分解,得到范式化日志數(shù)據(jù);
將所述范式化日志數(shù)據(jù),通過人工智能方法和規(guī)則匹配方法進(jìn)行學(xué)習(xí),找到最精確的規(guī)則模型,進(jìn)而得到安全威脅事件告警。
可選地,所述告警數(shù)據(jù)的識別方法包括:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于南京南瑞信息通信科技有限公司,未經(jīng)南京南瑞信息通信科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202111362550.4/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
