【技术实现步骤摘要】
威胁检测方法、装置、设备和存储介质
本专利技术涉及网络安全领域,尤其涉及一种威胁检测方法、装置、设备和存储介质。
技术介绍
全行业现阶段盛行的安全防御体系依然关注网络或主机层面的防御或阻断能力,在各网络安全节点分别部署入侵检测系统进行威胁捕获,各网络节点的入侵检测系统均为独立的检测系统,只能够捕获单独的攻击场景下的威胁信息。而由于如今很多攻击者的攻击链路覆盖网络、服务器、主机、应用等多个环节和实体,当前的方案却无法从攻击链的全局视角进行安全分析,无法将该攻击者在整个攻击链内的多个环节进行同时捕获,从而无法将整个攻击链路复原,对攻击信息的追溯和举证都十分困难。因此,目前的威胁检测方式中存在由于对威胁信息检测的全局性较差导致的安全防御能力弱的问题。上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种威胁检测方法、装置、设备和存储介质,旨在解决由于对威胁信息检测的全局性较差导致的安全防御能力弱的技术问题。为实现上述目的,本专...
【技术保护点】
1.一种威胁检测方法,其特征在于,所述威胁检测方法包括以下步骤:/n采集实时监测的网络日志;/n利用威胁检测模型,对所述网络日志进行威胁检测,获得检测结果;/n若所述检测结果表征所述网络日志的行为异常,则基于网络空间安全框架的攻击链,确定所述行为异常的网络日志所属的目标攻击环节;/n将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节,完成对所述网络日志的威胁检测。/n
【技术特征摘要】
1.一种威胁检测方法,其特征在于,所述威胁检测方法包括以下步骤:
采集实时监测的网络日志;
利用威胁检测模型,对所述网络日志进行威胁检测,获得检测结果;
若所述检测结果表征所述网络日志的行为异常,则基于网络空间安全框架的攻击链,确定所述行为异常的网络日志所属的目标攻击环节;
将所述攻击链中所述目标攻击环节及该目标攻击环节的所有前序攻击环节作为被攻陷环节,完成对所述网络日志的威胁检测。
2.如权利要求1所述的威胁检测方法,其特征在于,所述基于网络空间安全框架的攻击链,确定所述行为异常的网络日志所属的目标攻击环节的步骤,具体包括:
基于所述行为异常的网络日志确定异常行为特征;
基于网络空间安全框架的攻击链,获取所述异常行为特征所属的目标攻击环节。
3.如权利要求2所述的威胁检测方法,其特征在于,所述基于网络空间安全框架的攻击链,获取所述异常行为特征所属的目标攻击环节的步骤,具体包括:
获取所述异常行为特征所采用的攻击策略;
将所述攻击策略与基于网络空间安全框架的攻击链在各攻击环节的环节策略进行匹配,获得匹配的目标环节策略;
将所述目标环节策略对应的攻击环节作为目标攻击环节。
4.如权利要求1-3中任一项所述的威胁检测方法,其特征在于,所述获取所述目标攻击环节在所述攻击链中的所有前序攻击环节,将所述目标攻击环节和各所述前序攻击环节作为被攻陷环节的步骤之后,所述威胁检测方法还包括:
根据所述异常行为特征和所述被攻陷环节,生成威胁告警信息并输出。
5.如权利要求1-3中任一项所述的威胁检测方法,其特征在于,所述采集实时监测的网络日志的步骤之前,所述威胁检测方法还包括:
从日志库中提取多条行为正常的历史网络日志作为安全日志训练集;
建立训练模型;
利用所述...
【专利技术属性】
技术研发人员:庞思铭,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。