本发明专利技术公开了一种失陷主机检测方法,包括如下步骤:日志上传步骤:各边界安全探针类设备将由各安全域间流量所产生的,包括应用访问日志、URL访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台;数据提取步骤:安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎,云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为,生成异常行为数据,并将威胁日志汇聚为威胁情报;数据匹配步骤:安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞,预测可疑的失陷主机。
【技术实现步骤摘要】
一种失陷主机检测方法
本专利技术涉及网络安全领域的一种失陷主机检测方法。
技术介绍
在过往,大部分攻击者在选择攻击目标时往往抱有“机会主义”的心态,会以“遍地开花”的形式广泛扫描存在已知漏洞的目标进行渗透。理论上讲,企业的防护强度超过平均水平,就可以获得相对的安全,防护措施薄弱的系统往往会先于他们被攻击者发现并攻陷。因此,传统网络安全以“防范”为中心,始终遵循P2DR策略,建立防护-检测-响应的模型,即首先对信息系统的风险进行全面评估,然后制定相应的防护策略,包括:在关键风险点部署访问控制设备,如防火墙,IPS,认证授权等,修复系统漏洞,正确配置系统,定期升级维护,教育用户正确使用系统等。检测是响应和加强防护的依据,通过检测网络流量和行为,与预设策略进行匹配,如果触发防护策略,则认为发生了网络攻击,响应系统就执行预设动作阻止攻击,并进行报警和恢复处理。与之对应的,传统安全产品,如终端杀毒、防火墙、IPS、Web应用防火墙等,均是基于已知特征和预设规则展开工作,其理论依据同样是P2DR防护模型,这是一种静态的、被动的、防御思维的安全模型。然而,近年来曝出的安全事件不断证明,黑客攻击手段已从传统的泛攻击演进为高级威胁。利用系统的0-day漏洞,无法预先防御,目标明确,定向攻击,损失巨大,难以挽回。随着攻击过程的逐步深入,被攻击者锁定的目标主机将会经历遭受入侵、受到控制、发起恶意行为等几个阶段。在“遭受入侵”阶段,目标主机往往会遭受网络钓鱼、漏洞利用、暴力破解等形式的攻击;一旦成功则将进入“受到控制”阶段,在此阶段目标主机将与远端的C&C服务器建立连接,并持续受到攻击者的控制;目标主机受控后,将开始“发起恶意行为”阶段,目标主机往往会作为跳板对内网或外网新的目标展开扫描攻击、拒绝服务(DoS/DDoS)攻击、恶意网址访问、漏洞入侵、间谍软件植入、数据窃取等一系列活动。“失陷主机”是指被攻击者成功侵入,行为特征符合上述“受到控制”或“发起恶意行为”阶段的主机。
技术实现思路
本专利技术的目的是为了克服现有技术的不足,提供一种失陷主机检测方法,其在全局上保证了网络安全性和长周期的可见性,实现失陷主机检测及与其他与高级威胁对抗的能力。实现上述目的的一种技术方案是:一种失陷主机检测方法,包括如下步骤:日志上传步骤:各边界安全探针类设备将由各安全域间流量所产生的,包括应用访问日志、URL访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台;数据提取步骤:安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎,云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为,生成用户异常行为数据,并将威胁日志汇聚为威胁情报;数据匹配步骤:安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞,预测可疑的失陷主机。进一步的,威胁情报来还来自于安全云预警平台的云沙盘以及与安全云预警平台相连的第三方情报共享平台。进一步的,用户异常行为数据的生成依据边界安全探针类设备中统一威胁管理探针采集的日志数据,威胁日志的生成依据边界安全探针类设备中防毒安全探针采集的日志数据。进一步的,威胁情报包括攻击事件的源IP、目标IP、使用的域名网址、采取的攻击手段。进一步的,数据匹配步骤后还有结果展示步骤,通过安全云预警平台以统计的形式呈现网络内主机用户异常行为数据与威胁情报的匹配对撞结果,继而确定可疑的失陷主机。再进一步的,结果展示步骤中,通过安全云预警平台,以情报地图形式展现整个因特网内的安全态势。再进一步的,结果展示步骤中,安全云预警平台通过云端大数据分析引擎,判断可疑的失陷主机处于遭受入侵、受到控制、发起内部攻击、发起恶意行为中的可能的阶段,判断可疑的失陷主机的失陷确定性。再进一步的,所述结果展示步骤后还有失陷主机分析步骤,安全云预警平台通过情境分析和日志搜索,对选定的可疑的失陷主机进行分析,呈现该可疑的失陷主机在选定时间段内具体的用户异常行为。更进一步的,情境分析中进行统计总览和关联分析;统计总览以柱状图或饼状图的形式呈现选定时间段内该可疑的失陷主机的网络攻击信息的统计结果;关联分析向管理者呈现该可疑的失陷主机的攻击事件的关联信息。进一步的,数据匹配步骤后还有反哺步骤,安全云预警平台在全网范围内分发威胁情报,反哺位于边界的防火墙和各边界安全探针类设备的威胁特征库。采用了本专利技术的一种失陷主机检测方法的技术方案,包括如下步骤:日志上传步骤:各边界安全探针类设备将由各安全域间流量所产生的,包括应用访问日志、URL访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台;数据提取步骤:安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎,云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为,生成异常行为数据,并将威胁日志汇聚为威胁情报;数据匹配步骤:安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞,预测可疑的失陷主机。其技术效果是:采用安全云预警平台和边界安全探针类设备实时协同的策略,依靠安全云预警平台提供的云端大数据分析、快速检索和海量云存储,进一步在全局上保证了网络安全性和长周期的可见性,实现失陷主机检测及与其他与高级威胁对抗的能力。附图说明图1为本专利技术的一种失陷主机检测方法的结流程图。具体实施方式请参阅图1,本专利技术的专利技术人为了能更好地对本专利技术的技术方案进行理解,下面通过具体地实施例,并结合附图进行详细地说明:本专利技术的一种失陷主机检测方法包括如下步骤:日志上传步骤:各边界安全探针类设备将由各安全域间流量所产生的,包括应用访问日志、URL访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台。边界安全探针类设备的作用在于:基于其自身对网络中用户行为、威胁信息的感知能力,将有价值的日志数据源源不断上传汇总至安全云预警平台。数据提取步骤:安全云预警平台将各边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎,云端大数据分析引擎提取网络内主机的用户异常行为数据;挖掘网络内主机偏离正常基线的用户异常行为,并从威胁日志中提取威胁情报。由于边界安全探针类设备至少可分为威胁管理探针和防毒安全探针,因此:通过具备应用层信息识别能力的威胁管理探针,洞察网络流量中的用户、应用和内容,分析记录网络内主机的用户异常行为,上传给安全云预警平台。威胁管理探针在传统应用识别技术的基础上,扩展了应用行为检测、应用源信息检测等机制,提升对网络流量中应用、用户、终端、内容的识别精度和广度。威胁管理探针基于对网络流量应用类型、用户信息以及内容,如URL、文件类型、文件内容等的深度识别,对用户网络行为进行洞察力,为失陷主机检测所必须的用户异常行为分析奠定了基础。通过防毒安全探针识别利用漏洞进行攻击和植入间谍软件的活动,基于对病毒植入、恶意网址访问、漏洞利用攻击、间谍软件的活动的感知,将产生的网络攻击日志实时上传安全云预警平台,供安全云预警平台生成威胁情报。数据匹配步骤:安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞,从多个维度预测可能失陷的疑似失陷主机。威胁情报除本文档来自技高网...
【技术保护点】
1.一种失陷主机检测方法,包括如下步骤:日志上传步骤:各边界安全探针类设备将由各安全域间流量所产生的,包括应用访问日志、URL访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台;数据提取步骤:安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎,云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为,生成用户异常行为数据,并将威胁日志汇聚为威胁情报;数据匹配步骤:安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞,预测可疑的失陷主机。
【技术特征摘要】
1.一种失陷主机检测方法,包括如下步骤:日志上传步骤:各边界安全探针类设备将由各安全域间流量所产生的,包括应用访问日志、URL访问日志、文件传输日志、威胁日志在内的日志数据上传安全云预警平台;数据提取步骤:安全云预警平台将边界安全探针类设备上报的日志数据汇聚至云端大数据分析引擎,云端大数据分析引擎挖掘网络内主机偏离正常基线的用户异常行为,生成用户异常行为数据,并将威胁日志汇聚为威胁情报;数据匹配步骤:安全云预警平台通过云端大数据分析引擎将威胁情报与网络内主机偏离正常基线的用户异常行为进行匹配对撞,预测可疑的失陷主机。2.根据权利要求1所述的一种失陷主机检测方法,其特征在于:威胁情报来还来自于安全云预警平台的云沙盘以及与安全云预警平台相连的第三方情报共享平台。3.根据权利要求1所述的一种失陷主机检测方法,其特征在于:用户异常行为数据的生成依据边界安全探针类设备中统一威胁管理探针采集的日志数据,威胁日志的生成依据边界安全探针类设备中防毒安全探针采集的日志数据。4.根据权利要求1所述的一种失陷主机检测方法,其特征在于:威胁情报包括攻击事件的源IP、目标IP、使用的域名网址、采取的攻击手段。5.根据权利要求1所述的一种失陷主机检测方法,其特征在于:数据匹配步骤后还有结果展示步骤,通过安全云预警...
【专利技术属性】
技术研发人员:李荣正,孙玮泽,袁鹏,闫旭东,陈学军,戴国银,
申请(专利权)人:上海工程技术大学,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。