【技术实现步骤摘要】
主机失陷检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种主机失陷检测方法、装置、电子设备及存储介质。
技术介绍
[0002]随着网空对抗的发展,网空威胁的作用背景、存在形式、内在机理,都发生了深刻的变化。传统对主机资产受到的威胁认知方法和分析手段,已不能有效应对威胁。
[0003]例如,当前对资产的威胁检测手段主要是利用已失陷信标(Indicator of compromise,简称IOC)进行检测,然后根据曾经已经失陷的案例,利用情报分析的方式告诉防御者哪些信标出现后,可能是潜在的网络威胁。但是,失陷信标,如样本Hash、IP和域名等很容易改变,并且攻击者不需要付出很多代价便可以对其进行改变,一旦失陷信标改变,可能难以可靠地检测出主机是否遭受威胁。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供一种主机失陷检测方法、装置及电子设备,可以在一定程度上提高主机失陷检测的可靠性。
[0005]为达到上述专利技术目的,采用如下技术方案:
...
【技术保护点】
【技术特征摘要】
1.一种主机失陷检测方法,其特征在于,所述方法包括步骤:获取第一主机上生成的资产运行数据;所述资产运行数据携带有数据类型标识特征;根据所述数据类型标识特征与预设战技术公共知识库规则,对所述资产运行数据进行战技术标签化处理,得到对应的战技术矩阵图;基于所述战技术矩阵图分析确定所述第一主机是否为失陷主机。2.根据权利要求1所述的方法,其特征在于,所述预设战技术公共知识库为ATT&CK知识库;所述根据所述数据类型标识特征与预设战技术公共知识库规则,对所述资产运行数据进行战技术标签化处理,得到对应的战技术矩阵图包括:根据所述数据类型标识特征与所述ATT&CK知识库进行匹配,确定所述运行数据是否为安全事件数据;若确定是安全事件数据,则利用ATT&CK知识库的规则对所述安全事件进行战技术标签化矩阵描述,并确定出所述安全事件对应于ATT&CK知识库中的战技术身份标识码。3.根据权利要求2所述的方法,其特征在于,所述根据所述数据类型标识特征与预设战技术公共知识库规则,对所述资产运行数据进行战技术标签化处理,得到对应的战技术矩阵图还包括:在利用ATT&CK知识库的规则对所述安全事件进行战技术标签化矩阵描述之后,根据获取的第一主机的应用环境信息及对所述安全事件进行战技术标签化矩阵描述的结果,利用ATT&CK知识库的规则确定对应的战技术标签权重;根据得到的所述安全事件的标签化矩阵描述结果及对应的战技术标签权重,对所述标签分布进行分析,得到对应的第一主机的战技术矩阵图。4.根据权利要求3所述的方法,其特征在于,所述利用ATT&CK知识库的规则确定对应的战技术标签权重包括:根据ATT&CK知识库中收录的安全事件与战技术映射关系的置信度及预设安全事件检测规则的细致程度,将所述安全事件的战技术标签确定为相应的告警等级;根据第一主机的应用环境信息及所述告警等级确定对应的所述战技术标签的权重;所述基于所述战技术矩阵图分析确定所述第一主机是否为失陷主机包括:基于所述战技术矩阵图统计第一主机对应的所述战技术标签的权重、数量和/或种类;若所述第一主机对应的所述战技术标签具有多个第一权重的标签,则判定所述第一主机为疑似失陷主机;或者,若所述第一主机对应的所述战技术标签的数量超过预设标签数量阈值,则判定所述第一主机为疑似失陷主机;或者,若所述第一主机对应的所述战技术标签的种类超过预设标签类别阈值,则判定所述第一主机为疑似失陷主机。5.根据权利要求1所述的方法,其特征在于,所述资产运行数据包括:进程行为数据、文件访问数据、系统操作数据及网络流量数据。6.根据权利要求1所述的方法,其特征在于,所述资产运行数据包括第一进程行为数据;在得到对应的战技术矩阵图之后,所述方法还包括:若所述第一进程行为数据触发告警,则溯源所述第一进程行为数据对应的进程树;根据所述战技术矩阵图获取对应的进程树上所有进程附着的战技术标签;
根据所述进程树上所有进程附着的战技术标签,分析所述进程树是否为一条失陷的攻击链。7.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取第二主机上生成的资产运行数据;所述第二主机与第一主机处于同一局域网内,所述资产运行数据为进程行为数据;在确定出所述第一主机为失陷主机之后,根据所述第一主机的进程行为数据确定所述第一主机是否有进程访问第二主机;若有,则根据检测到的第二主机的战技术信息及摘要确定第二主机对应的所述战技术标签的权重和/或种类;根据第二主机对应的所述战技术标签的权重、数量和/或种类,判定第二主机是否为失陷主机;根据第二主机是否为失陷主机的判定结果,判断对第一主机的攻击是否为横向移动攻击。8.根据权利要求6所述的方法,其特征在于,在得到对应的战技术矩阵图或者附着技战术标签的进程树之后,所述方法还包括:获取命中战技术规则的检测指标作为输入参数;所述输入参数包括:资产运行数据类型、事件发生时间信息、攻击武器、攻击实施对象及攻击结果;将所述输入参数输入预设战技术场景化描述模型,得到每类战技术标签标识的攻击事件的场景化描述语句。9.一种主机失陷检测装置,其特征在于,所述装置包括:第一获取程序模块,用于获取第一主机上生成的资产运行数据;所述资产运行数据携带有数据类型标识特征;检测程序模块,用于根据所述数据类型标识特征与预设战技术公共知识库规则,对所述资产...
【专利技术属性】
技术研发人员:郑勇,沈长伟,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。