【技术实现步骤摘要】
基于多源安全检测框架的检测方法及装置
本申请涉及安全检测
,具体而言,涉及一种基于多源安全检测框架的检测方法及装置。
技术介绍
随着信息技术的不断发展,信息安全问题也日益突出。传统的信息安全检测所使用的产品、检测策略一般都是较为分散且使用困难,而且伴随黑客技术的愈发成熟,各类黑客工具的使用也是极为广泛,其中一些工具也能在如Github等开源社区平台上轻易获得,例如Empire、gh0stRAT(一个远程控制框架)等,而且诸如Sqlmap、Acunetix扫描器、MSF(Metasploit)一些渗透测试工具也被广泛使用,虽然各类安全产品如下一代防火墙、入侵检测系统、防病毒系统、端点检测响应(EndpointDetectionResponse,简称EDR)等产品都能或多或少地检测到一些安全问题,但对于无明显特征的网络活动或主机活动则无能为力,即对于一些未知威胁的检测可能存在比较大的局限性,因为它们不会覆盖一些看似正常的网络访问或主机操作,故一般企业单位会部署诸如态势感知产品、安全管理产品或下一代安全事件管理系统(NG-S...
【技术保护点】
1.一种基于多源安全检测框架的检测方法,其特征在于,所述方法包括:/n确定安全检测的场景以及安全威胁的特征;/n根据检测的场景以及安全威胁的特征,基于多源安全检测框架创建对应的检测对象以及检测对象的表示,并选取对应的检测算子,所述多源安全检测模型为利用预定义的检测算子组合得到检测策略以对各种来源数据进行安全检测的统一检测框架;/n根据检测对象以及对应的检测算子构建形式化的检测策略;/n基于检测策略进行安全威胁的检测。/n
【技术特征摘要】
1.一种基于多源安全检测框架的检测方法,其特征在于,所述方法包括:
确定安全检测的场景以及安全威胁的特征;
根据检测的场景以及安全威胁的特征,基于多源安全检测框架创建对应的检测对象以及检测对象的表示,并选取对应的检测算子,所述多源安全检测模型为利用预定义的检测算子组合得到检测策略以对各种来源数据进行安全检测的统一检测框架;
根据检测对象以及对应的检测算子构建形式化的检测策略;
基于检测策略进行安全威胁的检测。
2.根据权利要求1所述的基于多源安全检测框架的检测方法,其特征在于,所述方法还包括:
基于安全威胁情报技术构建多源安全检测框架。
3.根据权利要求2所述的基于多源安全检测框架的检测方法,其特征在于,所述基于危险安全威胁情报技术构建多源安全检测框架包括:
基于STIX设置安全检测框架的对象以及对象的表示,所述对象至少包括资产对象、脆弱性对象、日志或安全报警对象、威胁情报对象;
设置检测算子以及检测算子的形式化表示,所述检测算子包括基于关系代数的基础算子、机器学习算子、辅助函数。
4.根据权利要求1所述的基于多源安全检测框架的检测方法,其特征在于,所述检测对象至少包括主机日志、网络设备日志、安全设备报警信息、网络传输流量、安全漏洞信息中的一种数据。
5.根据权利要求4所述的基于多源安全检测框架的检测方法,其特征在于,所述多源安全检测框架基于C/C++进行构建。
6.根据权利要求4所述的基于多源安全检测框架的检测方法,其特征在于,安全检测的场景包括:
基于基础规则的检测场景、基于时序状态的检测场景以...
【专利技术属性】
技术研发人员:陈虎,唐开达,
申请(专利权)人:南京聚铭网络科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。