一种网络威胁检测方法、装置及网络管理设备制造方法及图纸
【技术实现步骤摘要】
一种网络威胁检测方法、装置及网络管理设备
本申请涉及网络安全
,特别涉及一种网络威胁检测方法、装置及网络管理设备。
技术介绍
安全攻防一直存在并愈演愈烈,由最初的单一攻击发展到如今的目的性强、持续时间久、分阶段发生的APT(AdvancedPersistentThreat,高级持续性威胁)攻击。为了描述APT攻击出现了击杀链模型,而基于攻击者进行APT攻击的攻击思路,现有的击杀链模型由七个攻击阶段构成,即侦查、武装、分发、利用、安装、命令和控制和目标行动。其中,击杀链模型的端到端的“链”的特征,决定了任何阶段的中断都可以导致整个过程中断。作为防御者,可以根据击杀链模型的端到端的“链”的特征建立反击杀链模型。目前的反击杀链模型,如F2T2EA(Find-Fix-Track-Target-Engage-Assess)模型,主要包括六个阶段,分别是“发现-定位-跟踪-瞄准-打击-评估”。在反击杀链模型中,发现能力是先决条件,只有发现目标,才有可能击毙目标,也就是说,网络威胁检测是反击杀过程中至关重要的第一步。现有技术中,在网络威胁检测时,防御者所利用的网络威胁检测...
【技术保护点】
一种网络威胁检测方法,其特征在于,应用于网络管理设备;所述方法包括:接收网络安全设备上报的目标日志信息;其中,所述目标日志信息为关于所述网络安全设备所监控网络节点的日志信息;确定所述目标日志信息对应的目标分类特征;其中,所述目标分类特征为所述目标日志信息中的预定属性,所述预定属性为表征事件本质的属性;在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定所述目标分类特征对应的目标攻击阶段;其中,所述目标击杀链模型包括:对高级持续性威胁APT攻击按照时间顺序划分的多个攻击阶段;并且,在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一...
【技术特征摘要】
1.一种网络威胁检测方法,其特征在于,应用于网络管理设备;所述方法包括:接收网络安全设备上报的目标日志信息;其中,所述目标日志信息为关于所述网络安全设备所监控网络节点的日志信息;确定所述目标日志信息对应的目标分类特征;其中,所述目标分类特征为所述目标日志信息中的预定属性,所述预定属性为表征事件本质的属性;在关于各个分类特征与预设的目标击杀链模型中各个攻击阶段的映射关系中,确定所述目标分类特征对应的目标攻击阶段;其中,所述目标击杀链模型包括:对高级持续性威胁APT攻击按照时间顺序划分的多个攻击阶段;并且,在确定出至少两个目标攻击阶段后,当基于当前已确定出的各个目标攻击阶段判断出一网络节点符合预定威胁条件时,确定该网络节点受到网络威胁;其中,所述预定威胁条件为:在时间轴上按照时间先后顺序,发生所述目标击杀链模型中的正向顺序的阶段组合,所述阶段组合包括至少两种攻击阶段。2.根据权利要求1所述的方法,其特征在于,所述多个攻击阶段包括:环境侦查、定向攻击、系统攻陷和恶意活动四个攻击阶段。3.根据权利要求1或2所述的方法,其特征在于,当所述目标日志信息为攻击日志、防病毒日志或分布式拒绝服务DDoS日志中的信息时,所述预定属性为表示日志类型的属性;当所述目标日志信息为入侵防御系统IPS日志中的信息时,所述预定属性为表示攻击ID的属性;当所述目标日志信息为包含技术手段属性的第一类日志中的信息时,所述预定属性为表示技术手段的属性,其中,所述第一类日志为由第三方采集器采集并解析的日志;当所述目标日志信息为关联分析事件日志中的信息时,所述预定属性为表示关联事件名称的属性。4.根据权利要求1或2所述的方法,其特征在于,所述确定该网络节点受到网络威胁之后,所述方法还包括:输出关于该网络节点收到网络威胁的告警信息;或者,根据预先设置的攻击阻断方式,阻断攻击源对该网络节点的网络攻击。5.根据权利要求4所述的方法,其特征在于,所述攻击阻断方式包括:将攻击源加入黑名单、结束该网络节点中与所检测到威胁相关的恶意进程、关闭该网络节点的被入侵端口中的至少一种。6.一种网络威胁检测装置,其特征在于,应用于网络管理设备;所述装置包括:日志信息接收单元,用于接收网络安全设备上报的目标日志信息;其中,所述目标日志信息为关于所述网...
【专利技术属性】
技术研发人员:吕照明,陈友琨,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。