基于ATT&CK模型的安全防御方法、装置、电子设备及存储介质制造方法及图纸

本说明书实施例涉及网络安全技术领域，特别涉及一种基于ATT&CK模型的安全防御方法、装置、电子设备及存储介质。其中，基于ATT&CK模型的安全防御方法包括：对所述终端设备上的进程启动情况进行监控，确定所述终端设备当前进行安全防御使用的规则库；响应于监控到所述终端设备上进程的启动，确定所述进程开始启动后终端设备上的硬件资源消耗情况、以及所述进程与所述规则库中规则的匹配情况；基于所述硬件资源消耗情况和所述匹配情况，对所述规则库进行更新，以使所述终端设备使用更新后的目标规则库进行安全防御，返回确定所述终端设备当前进行安全防御使用的规则库的步骤。本说明书提供的技术方案解决ATT&CK模型不能够适配不同终端设备的问题。端设备的问题。端设备的问题。

【技术实现步骤摘要】
基于ATT＆CK模型的安全防御方法、装置、电子设备及存储介质


[0001]本说明书实施例涉及网络安全
，特别涉及一种基于ATT&CK模型的安全防御方法、装置、电子设备及存储介质。

技术介绍

[0002]ATT&CK模型作为一种细颗粒度的攻防框架，提供了可被非法利用的进程及其对应的启动参数的防御规则信息。
[0003]虽然ATT&CK模型的规则覆盖较广，但由于不同终端设备具有各自的使用场景，因此ATT&CK模型的规则并不能适配不同终端设备(例如并非所有的疑似攻击行为都是非法并需要拦截的)。

技术实现思路

[0004]为了解决ATT&CK模型不能够适配不同终端设备的问题，本说明书实施例提供了一种基于ATT&CK模型的安全防御方法、装置、电子设备及存储介质。
[0005]第一方面，本说明书实施例提供了一种基于ATT&CK模型的安全防御方法，应用于终端设备，所述终端设备上预先安装有初始的规则库，所述规则库是对已有的ATT&CK模型的规则按照预设方式进行提取得到的，该方法包括：
[0006]对所述终端设备上的进程启动情况进行监控，确定所述终端设备当前进行安全防御使用的规则库；
[0007]响应于监控到所述终端设备上进程的启动，确定所述进程开始启动后终端设备上的硬件资源消耗情况、以及所述进程与所述规则库中规则的匹配情况；
[0008]基于所述硬件资源消耗情况和所述匹配情况，对所述规则库进行更新，以使所述终端设备使用更新后的目标规则库进行安全防御，返回确定所述终端设备当前进行安全防御使用的规则库的步骤。
[0009]在一种可能的设计中，所述规则库中的规则存储在按照指定算法加密的XML文件中；
[0010]所述规则至少包括：进程名、启动参数和当前规则的默认操作，所述默认操作包括拦截和放行。
[0011]在一种可能的设计中，所述规则还包括父进程和自定义参数，所述自定义参数包括数字签名的验证结果，和/或微软CAT签名的验证结果，和/或厂商信息。
[0012]在一种可能的设计中，所述响应于监控到所述终端设备上进程的启动，确定所述进程开始启动后终端设备上的硬件资源消耗情况、以及所述进程与所述规则库中规则的匹配情况，包括：
[0013]响应于监控到所述终端设备上进程的启动，监控所述进程开始启动后所述终端设备上的总CPU占用率和总内存占用率，将所述总CPU占用率和所述总内存占用率作为所述终
端设备上的硬件资源消耗情况；
[0014]和/或，
[0015]响应于监控到所述终端设备上进程的启动，监控所述进程开始启动后所述进程对应的CPU占用率和内存占用率，将所述进程对应的CPU占用率和内存占用率作为所述终端设备上的硬件资源消耗情况；
[0016]将所述进程的进程名和启动参数与所述规则库中的规则进行匹配，得到所述进程与所述规则库中规则的匹配情况。
[0017]在一种可能的设计中，所述基于所述硬件资源消耗情况和所述匹配情况，对所述规则库进行更新，包括：
[0018]在第一指定时间内所述总CPU占用率高于第一预设阈值和/或所述总内存占用率高于第二预设阈值的情况下；
[0019]或者，在第一指定时间内所述总CPU占用率不高于第一预设阈值且所述总内存占用率不高于第二预设阈值，但是在所述进程完全启动之后的第二指定时间内，所述进程对应的CPU占用率高于第三预设阈值和/或所述进程对应的内存占用率高于第四预设阈值的情况下；
[0020]若未在所述规则库匹配到与所述进程相对应的进程名和启动参数，则将与所述进程相对应的进程名和启动参数存储到所述XML文件中；其中，所述进程的默认操作设定为拦截；
[0021]若在所述规则库匹配到与所述进程相对应的进程名和启动参数，则将所述XML文件中与所述进程相匹配的规则的默认操作修改为拦截。
[0022]在一种可能的设计中，所述基于所述硬件资源消耗情况和所述匹配情况，对所述规则库进行更新，包括：
[0023]在所述进程未完全启动时，所述进程对应的CPU占用率高于第五预设阈值和/或所述进程对应的内存占用率高于第六预设阈值的情况下；
[0024]和/或，在所述进程未完全启动时，所述进程对应的CPU占用率升高的速率高于第七预设阈值和/或所述进程对应的内存占用率升高的速率高于第八预设阈值的情况下；
[0025]若未在所述规则库匹配到与所述进程相对应的进程名和启动参数，则将与所述进程相对应的进程名和启动参数存储到所述XML文件中；其中，所述进程的默认操作设定为拦截；
[0026]若在所述规则库匹配到与所述进程相对应的进程名和启动参数，则将所述XML文件中与所述进程相匹配的规则的默认操作修改为拦截。
[0027]在一种可能的设计中，所述规则库具有对外调用接口，所述对外调用接口用于对规则进行添加、删除和/或修改；
[0028]所述方法还包括：
[0029]响应于检测到所述规则库的对外调用接口被调用，将所述对外调用接口针对的进程与所述规则库中的规则进行匹配；
[0030]获取所述对外调用接口返回的进程的匹配结果，响应于接收到的用户基于所述匹配结果发送的修改指令，依据所述修改指令对所述规则库进行更新。
[0031]第二方面，本说明书实施例还提供了一种基于ATT&CK模型的安全防御装置，应用
于终端设备，所述终端设备上预先安装有初始的规则库，所述规则库是对已有的ATT&CK模型的规则按照预设方式进行提取得到的，该装置包括：
[0032]第一确定模块，用于对所述终端设备上的进程启动情况进行监控，确定所述终端设备当前进行安全防御使用的规则库；
[0033]第二确定模块，用于响应于监控到所述终端设备上进程的启动，确定所述进程开始启动后终端设备上的硬件资源消耗情况、以及所述进程与所述规则库中规则的匹配情况；
[0034]更新模块，用于基于所述硬件资源消耗情况和所述匹配情况，对所述规则库进行更新，以使所述终端设备使用更新后的目标规则库进行安全防御，返回确定所述终端设备当前进行安全防御使用的规则库的步骤。
[0035]第三方面，本说明书实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
[0036]第四方面，本说明书实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
[0037]本说明书实施例提供了一种基于ATT&CK模型的安全防御方法、装置、电子设备及存储介质，首先对终端设备上的进程启动情况进行监控，确定终端设备当前进行安全防御使用的规则库；然本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于ATT&CK模型的安全防御方法，其特征在于，应用于终端设备，所述终端设备上预先安装有初始的规则库，所述规则库是对已有的ATT&CK模型的规则按照预设方式进行提取得到的，该方法包括：对所述终端设备上的进程启动情况进行监控，确定所述终端设备当前进行安全防御使用的规则库；响应于监控到所述终端设备上进程的启动，确定所述进程开始启动后终端设备上的硬件资源消耗情况、以及所述进程与所述规则库中规则的匹配情况；基于所述硬件资源消耗情况和所述匹配情况，对所述规则库进行更新，以使所述终端设备使用更新后的目标规则库进行安全防御，返回确定所述终端设备当前进行安全防御使用的规则库的步骤。2.根据权利要求1所述的方法，其特征在于，所述规则库中的规则存储在按照指定算法加密的XML文件中；所述规则至少包括：进程名、启动参数和当前规则的默认操作，所述默认操作包括拦截和放行。3.根据权利要求2所述的方法，其特征在于，所述规则还包括父进程和自定义参数，所述自定义参数包括数字签名的验证结果，和/或微软CAT签名的验证结果，和/或厂商信息。4.根据权利要求2所述的方法，其特征在于，所述响应于监控到所述终端设备上进程的启动，确定所述进程开始启动后终端设备上的硬件资源消耗情况、以及所述进程与所述规则库中规则的匹配情况，包括：响应于监控到所述终端设备上进程的启动，监控所述进程开始启动后所述终端设备上的总CPU占用率和总内存占用率，将所述总CPU占用率和所述总内存占用率作为所述终端设备上的硬件资源消耗情况；和/或，响应于监控到所述终端设备上进程的启动，监控所述进程开始启动后所述进程对应的CPU占用率和内存占用率，将所述进程对应的CPU占用率和内存占用率作为所述终端设备上的硬件资源消耗情况；将所述进程的进程名和启动参数与所述规则库中的规则进行匹配，得到所述进程与所述规则库中规则的匹配情况。5.根据权利要求4所述的方法，其特征在于，所述基于所述硬件资源消耗情况和所述匹配情况，对所述规则库进行更新，包括：在第一指定时间内所述总CPU占用率高于第一预设阈值和/或所述总内存占用率高于第二预设阈值的情况下；或者，在第一指定时间内所述总CPU占用率不高于第一预设阈值且所述总内存占用率不高于第二预设阈值，但是在所述进程完全启动之后的第二指定时间内，所述进程对应的CPU占用率高于第三预设阈值和/或所述进程对应的内存占用率高于第四预设阈值的情况下；若未在所述规则库匹配到与所述进程相对应的进程名和启动参数，则将与所述进程相对应的进程名和启动参数存储到所述XML文件中；其中，所述进程的默认操作设定为拦截...

【专利技术属性】
技术研发人员：潘东东，孙洪伟，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：