[發(fā)明專利]一種攻擊組織分析方法、裝置、設(shè)備及介質(zhì)有效
| 申請?zhí)枺?/td> | 202210071848.8 | 申請日: | 2022-01-21 |
| 公開(公告)號: | CN114448690B | 公開(公告)日: | 2023-07-14 |
| 發(fā)明(設(shè)計)人: | 辛海濤 | 申請(專利權(quán))人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L41/0631 |
| 代理公司: | 北京集佳知識產(chǎn)權(quán)代理有限公司 11227 | 代理人: | 柳虹 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 攻擊 組織 分析 方法 裝置 設(shè)備 介質(zhì) | ||
1.一種攻擊組織分析方法,其特征在于,包括:
獲取各待監(jiān)測設(shè)備的數(shù)據(jù)信息,并對各所述待監(jiān)測設(shè)備的所述數(shù)據(jù)信息進(jìn)行歸一化操作,以得到歸一化數(shù)據(jù)信息;
基于預(yù)先建立的安全監(jiān)測場景判斷所述歸一化數(shù)據(jù)信息是否存在異常,若所述歸一化數(shù)據(jù)信息存在異常,則觸發(fā)攜帶有原始告警信息的告警事件;所述原始告警信息包括攻擊源信息、攻擊目標(biāo)信息以及橫向攻擊信息;
將所述原始告警信息與預(yù)先建立的攻擊組織威脅場景知識庫中的信息進(jìn)行比對,以確定所述原始告警信息是否滿足預(yù)設(shè)條件;
若所述原始告警信息滿足所述預(yù)設(shè)條件,則采集與所述原始告警信息之間存在關(guān)聯(lián)性的攻擊事件信息,以得到關(guān)聯(lián)取證信息;
對所述關(guān)聯(lián)取證信息進(jìn)行分析以確定出相應(yīng)的攻擊組織分析結(jié)果;
其中,所述將所述原始告警信息與預(yù)先建立的攻擊組織威脅場景知識庫中的信息進(jìn)行比對之前,還包括:
獲取包含有歷史攻擊源信息、歷史攻擊目標(biāo)信息、歷史橫向攻擊信息以及歷史攻擊行為時序信息的歷史攻擊組織信息,并基于所述歷史攻擊組織信息建立所述攻擊組織威脅場景知識庫;
所述采集與所述原始告警信息之間存在關(guān)聯(lián)性的攻擊事件信息,以得到關(guān)聯(lián)取證信息,包括:
基于所述攻擊目標(biāo)信息查詢歷史上針對當(dāng)前攻擊目標(biāo)的不同攻擊動作以及確定不同所述攻擊動作之間的關(guān)聯(lián)性,以得到第一關(guān)聯(lián)取證信息;查詢當(dāng)前攻擊目標(biāo)上運行的異常腳本信息、木馬信息以及相互之間存在關(guān)聯(lián)性的進(jìn)程信息、服務(wù)信息和注冊表信息,以得到第二關(guān)聯(lián)取證信息;查詢與當(dāng)前攻擊目標(biāo)存在關(guān)聯(lián)性的外部主機(jī)受攻擊行為以及所述外部主機(jī)受攻擊行為對應(yīng)的攻擊方式、攻擊工具、攻擊所用腳本以及相關(guān)木馬信息,以得到第三關(guān)聯(lián)取證信息。
2.根據(jù)權(quán)利要求1所述攻擊組織分析方法,其特征在于,所述獲取各待監(jiān)測設(shè)備的數(shù)據(jù)信息,并對各所述待監(jiān)測設(shè)備的所述數(shù)據(jù)信息進(jìn)行歸一化操作,以得到歸一化數(shù)據(jù)信息,包括:
獲取各待監(jiān)測設(shè)備的數(shù)據(jù)信息,并根據(jù)不同的所述各待監(jiān)測設(shè)備的數(shù)據(jù)信息從所有解析插件中確定出目標(biāo)解析插件;
利用目標(biāo)解析插件對各所述待監(jiān)測設(shè)備的所述數(shù)據(jù)信息進(jìn)行歸一化操作,以得到歸一化數(shù)據(jù)信息。
3.根據(jù)權(quán)利要求1所述攻擊組織分析方法,其特征在于,所述基于預(yù)先建立的安全監(jiān)測場景判斷所述歸一化數(shù)據(jù)信息是否存在異常,包括:
基于預(yù)設(shè)的框架和分布式處理引擎建立包含不同安全場景的安全監(jiān)測場景;
基于所述安全監(jiān)測場景利用統(tǒng)計學(xué)習(xí)算法、序列分析算法、聚類分析算法判斷所述歸一化數(shù)據(jù)信息是否為與所述安全場景對應(yīng)的異常信息。
4.根據(jù)權(quán)利要求1至3任一項所述攻擊組織分析方法,其特征在于,所述對所述關(guān)聯(lián)取證信息進(jìn)行分析以確定出相應(yīng)的攻擊組織分析結(jié)果,包括:
對所述關(guān)聯(lián)取證信息進(jìn)行分析以得到相應(yīng)的攻擊組織分析結(jié)果,并確定出所述攻擊組織分析結(jié)果對應(yīng)的置信度;
若所述置信度大于預(yù)設(shè)閾值,則對所述攻擊組織分析結(jié)果進(jìn)行持久化保存。
5.根據(jù)權(quán)利要求4所述攻擊組織分析方法,其特征在于,還包括:
按照預(yù)設(shè)的信息更新周期,周期性地對所述關(guān)聯(lián)取證信息以及所述攻擊組織分析結(jié)果進(jìn)行更新。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于蘇州浪潮智能科技有限公司,未經(jīng)蘇州浪潮智能科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210071848.8/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
