【技术实现步骤摘要】
基于安全云平台的威胁检测与响应方法及系统
[0001]本专利技术涉及网络安全
更具体地说,本专利技术涉及一种基于安全云平台的威胁检测与响应方法。
技术介绍
[0002]由于网络犯罪愈发复杂,攻击方式的多样性日益增加,自动化攻击、机器学习以及人工智能加持的高级复杂攻击方式也在快速的增长,企业和部门的安全防线越来越无法跟上威胁发展的节奏。传统安全团队由于缺乏网络安全技能而在工作中受到制约。威胁检测与响应技术对企业安全防护越来越重要,但是目前还存在诸多问题:
[0003](1)不同用户的安全产品来源越来越广泛,安全设备品牌越来越多,日志数据存在格式化上的差异;安全日志的数据量比较大,平均客户每天的安全日志数据在0.5G左右,并且数据的冗余比较大,传统安全数据需要人工处理和分析,存在分析慢、成本高和准确性低等问题;
[0004](2)常见安全产品对攻击的检测都是基于已知的攻击匹配特别的检测规则来实现攻击的拦截,对未知攻击防护和发现速度较慢,往往造成被攻击出问题后才可发现并且处理,响应周期长,风险高;
...
【技术保护点】
【技术特征摘要】
1.基于安全云平台的威胁检测与响应方法,其特征在于,包括以下步骤:步骤一,提取安全云平台的日志文件,提取日志文件的二类特征数据;步骤二,对所述二类特征数据基于业务访问白数据进行数据清洗,并提取灰数据;步骤三,将所述灰数据进行聚类模型检测,得出未知数据;步骤四,针对步骤三获得的未知数据进行攻击类型分类模型检测和评分;根据分值定义恶意数据;步骤五,对最终恶意数据结果进行响应。2.如权利要求1所述的基于安全云平台的威胁检测与响应方法,其特征在于,所述步骤一中的所述二类特征数据包括:源IP、目的IP、请求URL、请求体、请求时间、访问端口、地区、拦截标识、检测标识、攻击类型、请求方式以及日志来源中的一个或多个。3.如权利要求2所述的基于安全云平台的威胁检测与响应方法,其特征在于,所述步骤一中,基于正则表达式进行数据提取,二类特征提取策略用于对采集的数据的处理,包括Source IP、Destination IP、请求URL、请求体、请求时间、访问端口、地区、拦截标识、检测标识、攻击类型、请求方式、日志来源进行关联分析和特征标记。4.如权利要求3所述的基于安全云平台的威胁检测与响应方法,其特征在于,步骤二中,数据清洗时,依据拦截标识、检测标识属性组合的条件,提取未被拦截的数据,并进行标记为灰数据。5.如权利要求1所述的基于安全云平台的威胁检测与响应方法,其特征在于,所述步骤三中,在对灰数据进行聚类模型检测前,先对灰数据进行攻击特征库命中匹配;具体包括:对灰数据进行历史访问组合,包括访问频率分析、恶意情报关联命中分析和恶意事件库关联分析,通过灰数据中业务访问的目的IP关联资产,并对访问资产的IP来源、URL、请求体与恶意事件库和情报库中历史的攻击事件进行匹配标记。6.如权利要求5所述的基于安全云平台的威胁检测与响应方法,其特征在于,所述步骤三中,所述灰数据聚类模型检测...
【专利技术属性】
技术研发人员:田新远,
申请(专利权)人:北京华清信安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。