【技术实现步骤摘要】
针对APT攻击的安全编排与自动化响应方法、装置及系统
[0001]本专利技术属于自动化运维
,具体涉及一种针对APT攻击的安全编排与自动化响应方法、装置及系统。
技术介绍
[0002]事件响应是企业网络安全团队的重要工作内容之一。目前,企业中很多新的安全设备,由于安全告警数量的增加,导致安全分析人员无法对这些告警分别进行过滤,分析出误报、漏报,并分析和追踪溯源,并做出合适的处置操作。事件响应的复杂性和专业性导致了低时效性。另外,在日益复杂的网络环境中,分析人员决策结果的合理性也往往存疑。因此根据当前网络环境做出快速的、合理的决策是每个安全公司需要思考的问题。
[0003]公开号为CN112508448 A的中国专利技术专利申请中,公开了基于大数据和AI驱动的安全编排及响应系统及方法,提出了一个框架模型,若想要应用于实践,则需要用户根据场景创建自己的剧本,需要手工执行的流程,且各类安全工具联动能力不足,导致安全响应的速度和效率低,平均故障响应时间长等问题。
技术实现思路
[0004]针对上述问题,...
【技术保护点】
【技术特征摘要】
1.一种针对APT攻击的安全编排与自动化响应方法,其特征在于,包括:获取日志数据;获取本地威胁情报库,所述本地威胁情报库中包括威胁主体信息、访问方式信息,攻击目标信息和攻击指标信息,用于进行威胁的判断和分析;基于大数据、人工智能分析技术,对所述日志数据进行预处理及监测分析,生成安全威胁事件告警;利用所述本地威胁情报库对所述安全威胁事件告警进行分析,识别出告警数据;对识别出的告警数据根据预设剧本,进行攻击源的威胁情报分析及针对影响资产的漏洞的研判取证;对告警根据预设剧本进行响应操作,并通报预警。2.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述日志数据的获取方法包括:利用蜜罐获取攻击模式趋势数据;利用流量威胁探针识别攻击者试图利用的漏洞,分析出攻击者使用的攻击所需的基本信息。3.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述本地威胁情报库的获取方法包括:通过爬虫脚本或第三方接口从外部开源威胁情报库中收集告警信息,并进行告警分析;基于告警分析结果,提取出威胁主体信息、访问方式信息、攻击目标信息、攻击指标信息,并范式化STIX标准化格式,形成本地威胁情报库。4.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述安全威胁事件告警的生成方法包括:对所述日志数据进行数据聚合和分解,得到范式化日志数据;将所述范式化日志数据,通过人工智能方法和规则匹配方法进行学习,找到最精确的规则模型,进而得到安全威胁事件告警。5.根据权利要求1所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述告警数据的识别方法包括:基于安全威胁事件告警中告警事件的攻击源IP,利用所述本地威胁情报库进行分析,对于误报告警数据,标记误报,并将误报告警数据反馈至所述本地威胁情报库;对于非误报告警数据,则基于所述本地威胁情报库,利用研判取证和漏洞分析对非误报告警数据进行攻击取证,并向安全专家展示。6.根据权利要求5所述的一种针对APT攻击的安全编排与自动化响应方法,其特征在于,所述研判取证包括:情报取证和网络取证;所述情报取证具体为:通过收集威胁情报追踪攻击者IP、域名,发现攻击者留下的痕迹,分析出攻击者的TTPs战略战术及过程;通过特征分析,流量载荷研判,发现网络失陷主机,自动化识别目的性黑客的攻击意图;整理上述收集到的威胁情报信息,反馈至本地情报库,实现对攻击者的溯源,为安全运维人员决策响应做支撑;所述网络取证具体为:包括查找C2服务器、Whois、DNS解析记录,记录网络连接信息;分析采样样本,通过关联分析,获取攻击过程中的证据信息。
7.根据权利要求1所述的一种针对APT攻击的安全编...
【专利技术属性】
技术研发人员:贾雪,姜训,张付存,王晔,郭靓,余军,徐胜国,俞皓,
申请(专利权)人:南京南瑞信息通信科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。