本发明专利技术公开了一种失陷主机的识别方法及装置,包括:根据流量日志对主机进行基线分析,得到主机的基线信息;根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息;根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。
【技术实现步骤摘要】
本专利技术涉及网络安全领域中的失陷主机识别技术,尤其涉及一种失陷主机的识别方法及装置。
技术介绍
当前,公司、学校、政府等组织的IT资产受到多方面的威胁。IT资产包括组织内部的终端主机(例如员工的办公PC和办公用途的智能手机)、服务器主机、业务软件和业务数据。IT资产面临来自外部黑客的威胁。一方面,黑客可能通过制作钓鱼网站,发送恶意邮件等方式将恶意软件植入员工的终端主机。另一方面,黑客也可能会对暴露在公网的服务器主机发起漏洞攻击,通过软件漏洞进行入侵。黑客攻击主机的目的多种多样。有些是为了将主机变成僵尸(bot),驱使bot进行拒绝服务(DoS,Denial of Service)攻击,发送垃圾邮件或假造广告点击从而获利。有些则是以被攻陷的主机作为跳板攻击其他更有价值的主机,例如公司核心领导的办公电脑,从而获得其中的关键数据。IT资产也面临来自组织内部的威胁。例如,将要离职的员工可能从公司的客户关系管理(CRM,Customer Relationship Management)系统中获取客户数据并上传到私人的邮箱。商业间谍可能以加入组织的方式,获得组织内部主机的使用权,以此为跳板攻击其他的终端主机和服务器主机。在这些情况下组织在互联网边界部署的防御措施,例如防火墙、入侵防御系统(IPS,Intrusion Prevention System)和入侵检测系统(IDS,Intrusion Detection Systems),都形同虚设。从上面的描述可以看到,组织的IT资产面临的威胁多种多样,但其中有两
个核心,“主机”和“网络”。此处,主机是指组织内部的终端主机,网络设备或服务器主机。此处的网络是指因特网(Internet)和组织的内部网络。攻击者将主机作为攻击目标,或者利用被自己攻陷的主机发起恶意行为。而网络则是攻击者进行攻击的渠道,攻击者的攻击行动和攻击后果都会在网络流量上有所反应。将被外部黑客攻破,或者被内部的恶意人员用于恶意目的的主机统一称为失陷主机。失陷主机的出现意味着组织的IT资产受到了威胁。通过对主机的网络流量的分析,能够有效判断哪些主机已经成为失陷主机。现在有很多根据网络流量进行异常检测的方法。例如通过网络流量对僵尸网络(botnet)进行启发性分析。在这种方法中会首先判决网络流量中哪些流量属于异常流量,然后根据这些流量与botnet的关联性为这些流量打上分数,最终根据主机在一段时间内各种异常流量的分数综合对主机进行打分,进而判决主机是否成为bot。类似的方法还有很多,但其试图发现的异常仅仅只限于某个指定场景,例如恶意软件。当网络流量中的异常流量并不是由其限定场景引起时,其分析的基础就荡然无存了。通过网络流量对失陷主机进行分析,需要意识到异常事件可以指示多种场景下。在黑客进行高级持续性威胁(APT,Advanced Persistent Threat)攻击时,可能在被入侵的主机的网络流量中观察到:(1)恶意软件的植入过程;(2)对内网其他主机的扫描;(3)对内网其他主机的漏洞攻击;(4)从公司的资源服务器上在短时间内大量下载文件;(5)在同一时间内,主机通过加密信道向外部服务器上传文件。将要离职的员工偷窃公司的客户数据时,可能在其使用的主机的网络流量中观察到:(1)从公司的资源服务器上在短时间内大量下载文件;(2)通过加密信道向外部服务器上传文件。从上面的例子可以看出,从公司资源服务器下载大量文件和通过加密信道向外部服务器上传文件这两种行为在上面两个场景都出现了。如果不考虑场景,仅仅从异常事件本身出发,显然无法正确的对异常事件进行评价。进一步地,直接通过异常流量对场景进行判决也存在其局限性。在各个场景下,威胁行为实际上可以分成多个固有环节。例如在botnet场景下,黑客入侵目标主机的过程基本上可以分为:发现目标主机-〉攻击目标主机-〉控制目标主机–〉将目标主机作为bot进行非法活动。在每一个环节,都可能发现多种异常流量,其背后的原因是黑客为逃逸已有的检测方法,会尝试多种手段,对已有手段又会进行各种变化。如果多种异常流量只能指示一个攻击环节,那无论捕获到的有多少,其指示作用都是有限的。
技术实现思路
为解决上述技术问题,本专利技术实施例提供了一种失陷主机的识别方法及装置。本专利技术实施例提供的失陷主机的识别方法,包括:根据流量日志对主机进行基线分析,得到主机的基线信息;根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息;根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。本专利技术实施例中,所述根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值,包括:将所述异常事件映射到场景内的各个攻击环节;基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分;基于场景下各个环节的分数,为场景发生的可能性进行打分;基于场景发生的状态下,为所述主机对组织的资产造成的威胁性进行打分。本专利技术实施例中,所述主机的基线包括以下至少之一:所述主机对外开放的传输控制协议(TCP,Transmission Control Protocol)/用户数据报协议(UDP,User Datagram Protocol)端口上的数据量和连接数;所述主机与其他内网主机的通讯量;所述主机上传到因特网的数据量。本专利技术实施例中,所述主机所在网络中的异常事件包括以下至少之一:对恶意统一资源定位符(URL,Uniform Resoure Locator)的访问事件;对恶意IP的访问事件;超出基线的数据上传事件;对内网其他主机的扫描事件;IPS和AV的告警事件。本专利技术实施例中,所述主机的身份信息包括主机的类型以及主机上运行的业务;所述场景分值包括可能性评估值和威胁性评估值。本专利技术实施例提供的失陷主机的识别装置,包括:基线分析单元,用于根据流量日志对主机进行基线分析,得到主机的基线信息;身份识别单元,用于根据流量日志对主机进行基线分析,得到主机的基线信息;异常分析单元,用于根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;场景分析单元,用于根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;失陷判定单元,用于根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。本专利技术实施例中,所述场景分析单元包括:映射子单元,用于将所述异常事件映射到场景内的各个攻击环节;第一评分单元,用于基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分;第二评分单元,用于基于场景下各个环节的分数,为场景发生的可能性进行打分;第三评分单元,用于基于场景发生的状态下,本文档来自技高网...
【技术保护点】
一种失陷主机的识别方法,其特征在于,所述方法包括:根据流量日志对主机进行基线分析,得到主机的基线信息;根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息;根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。
【技术特征摘要】
1.一种失陷主机的识别方法,其特征在于,所述方法包括:根据流量日志对主机进行基线分析,得到主机的基线信息;根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息;根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。2.根据权利要求1所述的失陷主机的识别方法,其特征在于,所述根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值,包括:将所述异常事件映射到场景内的各个攻击环节;基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分;基于场景下各个环节的分数,为场景发生的可能性进行打分;基于场景发生的状态下,为所述主机对组织的资产造成的威胁性进行打分。3.根据权利要求1所述的失陷主机的识别方法,其特征在于,所述主机的基线包括以下至少之一:所述主机对外开放的传输控制协议TCP/用户数据报协议UDP端口上的数据量和连接数;所述主机与其他内网主机的通讯量;所述主机上传到因特网的数据量。4.根据权利要求3所述的失陷主机的识别方法,其特征在于,所述主机所在网络中的异常事件包括以下至少之一:对恶意统一资源定位符URL的访问事件;对恶意IP的访问事件;超出基线的数据上传事件;对内网其他主机的扫描事件;入侵防御系统IPS和AV的告警事件。5.根据权利要求1至4任一项所述的失陷主机的识别方法,其特征在于,所述主机的身份信息包括主机的类型以及主机上运行的业务;所述场景分值包括可能性评估值和威胁性评估值。6.一种失陷...
【专利技术属性】
技术研发人员:才华,肖春天,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。