本申请公开了一种基于多重迭代验证的安全态势感知响应方法及装置。该方法包括获得网络出口以及内部边界相关数据,获得相关网络会话元数据以及网络采样包,获取主机运行的进程、端口变化、文件变化、注册表变化等相关信息,获取主机的相关配置信息,针对特殊应用采集相关内容;针对收集的相关信息对安全问题进行特征分析;根据环境中发现的安全问题以及静态、半静态以及动态数据进行聚类分析,筛选出具有类似特征的主机进行聚类评估;根据聚类评估获得的与问题主机相似的主机分析其受影响程度,生成处置请求。本申请解决了由于自动化能力低下、溯源困难、很难反复验证导致的对于处置效果基本无法评估的技术问题。处置效果基本无法评估的技术问题。处置效果基本无法评估的技术问题。
【技术实现步骤摘要】
一种基于多重迭代验证的安全态势感知响应方法及装置
[0001]本申请涉及网络安全领域,具体而言,涉及一种基于多重迭代验证的安全态势感知响应方法及装置。
技术介绍
[0002]网络安全态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。
[0003]如上所述,网络安全态势感知的主要内容包含了安全态势的获取、安全态势的理解以及安全态势的预测;另外,基于上述三点主要内容,网络安全态势感知应还包含对于安全问题或安全事件的处理,及网络安全态势的相关响应,籍此实现所谓的PPDR模型(即Policy, Prevention, Detection以及Response),因此网络安全态势的相关事件必须应得到合理的处置方能在一定范围内和一定程度内得到缓解或解决。
[0004]目前,市场上各安全厂商在网络安全态势感知类产品中一般均加入了所谓SOAR(Security Orchestration Automation Response,即安全编排自动化响应)功能,但其效果均不甚理想,这主要体现在如下几个方面:1.提出了自动化响应和处置方案,但实际上自动化处置能力较为低下,半自动或人工处置仍占有主导地位;2.无法或者非常困难发现类似问题在同类设备或应用上可能存在的问题,导致溯源困难,很难得到完整的攻击链条或导致问题的根因;3. 当出现安全问题后,进行了一定处置后如果再出现问题,很难进行反复地验证和比对,故对于处置效果基本无法评估。
[0005]针对相关技术中自动化处置能力较为低下、安全问题溯源困难、对于解决效果基本无法评估的问题,目前尚未提出有效的解决方案。
技术实现思路
[0006]本申请的主要目的在于提供一种基于多重迭代验证的安全态势感知响应方法及装置,以解决上述问题。
[0007]为了实现上述目的,根据本申请的一个方面,提供了一种基于多重迭代验证的安全态势感知响应方法。
[0008]根据本申请的基于多重迭代验证的安全态势感知响应方法包括:获得网络数据、主机数据的相关信息;针对收集的相关信息对安全问题进行特征分析;将所有数据分为静态、半静态以及动态数据,根据环境中发现的安全问题进行聚类分析,筛选出具有类似特征的主机进行聚类评估;根据聚类评估获得的与问题主机相似的主机分析其受影响程度,生成处置请求响应,反复迭代验证。
[0009]进一步的,获得的网络数据、主机数据的相关信息具体包括:网络出口以及内部边界相关数据;相关网络会话元数据以及网络采样包;主机运行的相关信息;主机的相关配置信息;针对特殊应用采集相关内容,采集特殊的内容和访问情况在内的相关内容。
[0010]进一步的,对有问题和具有类似特征的主机进行聚合评估具体包括:将相关主机数据采集探针获取的数据作为静态数据,将来自于主机运行日志所获取的端口变化数据作为半静态数据,其它数据均作为动态数据,利用上述数据对各个主机使用余弦相似性进行聚类;根据环境中发现的安全问题以及上述三种数据的特征抽取进行聚类分析筛选出具有类似特征的主机;特征的权重在整个相似性计算中所占比例不同,根据实际的静态和半静态的特征权重占比高,从偏静态角度以及整体角度来度量安全态势情况,区分静态/半静态和混合相似性进行聚类评估。
[0011]进一步的,静态数据特征抽取系统类型、语言、内核版本、补丁版本、安装应用软件及其版本;半静态数据特征抽取主机监听端口信息;动态数据特征抽取其各类网络访问信息;采用CPE方式对主机安装软件的特征进行抽取。
[0012]进一步的,分析根据聚类评估获得的与问题主机相似的主机受影响程度,具体包括:根据设定的阈值生成不同程度的处置请求响应,使用急迫指数的相对评估方法评估当前安全问题响应的急迫程度;对混合受影响评估主机,根据混合响应阈值生成处理请求响应;对静态/半静态评估主机,根据静态响应阈值生成处理请求响应。
[0013]进一步的,迭代验证对处于静态/半静态受影响主机,无法在线实时获得全部数据,使用临时部署的代理进行信息补采。
[0014]进一步的,对已生成的响应范围内的主机进行定期检测,反复迭代验证,直到评估结果收缩到可容忍阈值之下或用户主动停止。
[0015]为了实现上述目的,根据本申请的另一方面,提供了一种基于多重迭代验证的安全态势感知响应装置。
[0016]根据本申请的基于多重迭代验证的安全态势感知响应装置包括:数据采集部件,用于获得网络数据、主机数据的相关信息;安全检测部件,用于针对收集的相关信息对安全问题进行特征分析,其分析的手段是根据各类检测规则;机器学习部件,用于将所有数据分为静态、半静态以及动态数据,根据环境中发现的安全问题进行聚类分析,筛选出具有类似特征的主机进行聚类评估;响应部件,用于根据聚类评估获得的与问题主机相似的主机分析其受影响程度,
生成处置请求响应,反复迭代验证。
[0017]进一步的,所述数据采集部件包括:网络流量数据采集探针,利用网络旁路抓包获得网络出口以及内部边界相关数据;网络设备日志采集探针,使用Netflow或SFlow获得相关网络会话元数据以及网络采样包;主机运行日志采集探针,使用代理方式获取主机运行的相关信息,包括进程、端口变化、文件变化、注册表变化,采集的目标包括Windows主机、Linux主机;主机数据采集探针,使用代理方式获取主机的相关配置信息,包括系统类型、安装软件、补丁、用户账户、注册表、启动项、计划任务;应用数据采集探针,用于针对特殊应用,包括数据库、Web服务、邮件服务、文件共享等特殊的内容和访问情况在内的采集相关内容。
[0018]进一步的,所述机器学习部件将相关主机数据采集探针获取的数据作为静态数据,将来自于主机运行日志所获取的端口变化数据作为半静态数据,其它数据均作为动态数据,利用上述数据对各个主机使用余弦相似性进行聚类;根据环境中发现的安全问题以及上述三种数据抽取的特征进行聚类分析从而筛选出具有类似特征的主机;对已经发生安全问题的主机以及将要可能发生同类安全问题的主机进行聚类评估。
[0019]进一步的,所述响应部件根据机器学习部件获得的与问题主机相似的主机分析其受影响程度,生成处置请求,装置确定是否进行响应;根据设定的阈值响应产生不同程度的处置请求,在响应范围内反复迭代验证,直到用户主动停止;响应过程中补采数据,对补采数据进行猎捕分析,扩大主机的搜索范围和搜索时长。
[0020]在本申请实施例中,采用多重数据来源对相关模型进行补充的方式,通过动静结合的主机相似度评估方法、多次迭代的响应评估和处置方式,达到了对受影响主机自动检测和持续跟进的目的,从而实现了溯源安全问题、了解问题处置状况的技术效果,进而解决了由于自动化处置能力较为低下造成的安全问题溯源困难、对于解决效果基本无法评估的技术问题。
附图说明
[0021]构成本申请的一部分的附图用来提供对本申请的进一步理解,使得本申请的其它特征、目的和优点变得更明显。本申请的示意性本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于多重迭代验证的安全态势感知响应方法,其特征在于,包括:获得网络数据、主机数据的相关信息;针对收集的相关信息对安全问题进行特征分析;将所有数据分为静态、半静态以及动态数据,根据环境中发现的安全问题进行聚类分析,筛选出具有类似特征的主机进行聚类评估;根据聚类评估获得的与问题主机相似的主机分析其受影响程度,生成处置请求响应,反复迭代验证。2.根据权利要求1所述的基于多重迭代验证的安全态势感知响应方法,其特征在于,获得网络数据、主机数据的相关信息具体包括:网络出口以及内部边界相关数据;相关网络会话元数据以及网络采样包;主机运行的相关信息;主机的相关配置信息;针对特殊应用采集相关内容,采集特殊的内容和访问情况在内的相关内容。3.根据权利要求1所述的基于多重迭代验证的安全态势感知响应方法,其特征在于,对有问题和具有类似特征的主机进行聚合评估具体包括:将相关主机数据采集探针获取的数据作为静态数据,将来自于主机运行日志所获取的端口变化数据作为半静态数据,其它数据均作为动态数据,利用静态数据、半静态数据和动态数据对各个主机使用余弦相似性进行聚类;根据环境中发现的安全问题以及上述三种数据的特征抽取进行聚类分析筛选出具有类似特征的主机;特征的权重在整个相似性计算中所占比例不同,根据实际的静态和半静态的特征权重占比高,从偏静态角度以及整体角度来度量安全态势情况,区分静态/半静态和混合相似性进行聚类评估。4.根据权利要求3所述的基于多重迭代验证的安全态势感知响应方法,其特征在于,静态数据特征抽取系统类型、语言、内核版本、补丁版本、安装应用软件及其版本;半静态数据特征抽取主机监听端口信息;动态数据特征抽取其各类网络访问信息;采用CPE方式对主机安装软件的特征进行抽取。5.根据权利要求1所述的基于多重迭代验证的安全态势感知响应方法,其特征在于,分析根据聚类评估获得的与问题主机相似的主机受影响程度,具体包括:根据设定的阈值生成不同程度的处置请求响应,使用急迫指数的相对评估方法评估当前安全问题响应的急迫程度;对混合受影响评估主机,根据混合响应阈值生成处理请求响应;对静态/半静态评估主机,根据静态响应阈值生成处理请求响应。6.根据权利要求5所述的基于多重迭代...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:南京聚铭网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。