一种威胁识别方法及系统技术方案

本发明专利技术实施例提供一种威胁识别方法及系统，涉及网络安全领域，该方法包括：获取网络实体行为发生的情况下所产生的日志数据；自所述日志数据中提取威胁特征，将所述威胁特征与预设的至少一个高级持续性威胁进行对比，判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配；在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下，将所述日志数据与高级持续性威胁知识图谱进行对比，确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下，将所述网络实体行为判定为高级持续性威胁。能够对未知的高级持续性威胁进行识别，降低了高级持续性威胁识别的漏报率和误报率。威胁识别的漏报率和误报率。威胁识别的漏报率和误报率。

【技术实现步骤摘要】
一种威胁识别方法及系统


[0001]本专利技术涉及网络安全领域，具体涉及一种威胁识别方法及系统。

技术介绍

[0002]随着网络安全对抗的愈加激烈，高级持续性威胁攻击行为给网络安全带来了极大的挑战，在企业的网络安全防御体系中，能够及时对网络安全中的高级持续性威胁的行为进行识别尤为重要。针对在海量的日志中识别高级持续性威胁行为的需求，一种是传统简单的识别方案：通过对安全威胁情报、网络行为和恶意样本分析得到高级持续性威胁特征并建立威胁特征库，并将安全日志的威胁特征与现有已知威胁特征库进行对比，从而实现对高级持续高级持续性威胁进行识别，由于该方案只能识别已知的高级持续性威胁，已经满足不了对抗愈加激烈网络安全的实际需求。现有技术方案局限于对已知威胁进行识别和基于流量特征识别，存在漏报率高、误报率高和时效性低的弊端。

技术实现思路

[0003]本专利技术实施例提供一种威胁识别方法及系统，用以解决现有威胁识别方案的漏报率和误报率较高的问题，能够实现对未知的高级持续性威胁进行识别。
[0004]为达上述目的，一方面，本专利技术实施例提本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种威胁识别方法，其特征在于，包括：获取网络实体行为发生的情况下所产生的日志数据；自所述日志数据中提取威胁特征，将所述威胁特征与预设的至少一个高级持续性威胁进行对比，判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配；在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下，将所述日志数据与高级持续性威胁知识图谱进行对比，确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下，将所述网络实体行为判定为高级持续性威胁。2.根据权利要求1所述的威胁识别方法，其特征在于，所述网络实体行为发生的情况下所产生的日志数据至少包括如下之一：终端行为的日志数据、下载行为的日志数据、数据传输的日志数据、域名解析的日志数据；所述获取网络实体行为发生的情况下所产生的日志数据，至少包括如下之一：监控网络实体在运行时所加载的资源，监控所述网络实体在调用敏感系统API时所产生的第一调用数据，监控所述网络实体调用网络套接字时所产生的第二调用数据，将所加载的资源、所述第一调用数据、所述第二调用数据中至少之一作为所述网络实体的终端行为的日志数据；监控所述网络实体的网络下载时所产生的日志数据，将网络下载时所产生的日志数据作为所述网络实体的下载行为的日志数据；监控所述网络实体的数据传输过程，获取指令控制和数据传输流量，作为所述网络实体的数据传输的日志数据；监控所述网络实体的域名解析请求记录，采集域名解析请求记录，作为所述网络实体的域名解析的日志数据。3.根据权利要求1所述的威胁识别方法，其特征在于，还包括：获取多个网络实体的每个事件所产生的日志数据，将所述日志数据作为样本事件；构建高级持续性威胁名单，以及构建高级持续性威胁图谱；其中：针对所述样本事件所产生的日志数据，通过词法分析得到多个具有独立含义的字段，根据多个具有独立含义的字段判断所述事件是否为高级持续性威胁；根据判断结果标注所述日志数据为已知威胁事件或者未知威胁事件；通过如下方法构建高级持续性威胁名单：针对所有已知威胁事件，自所述事件的日志数据中抽取出威胁特征，通过对所有所述威胁特征进行学习得到相应的高级持续性威胁，每个所述高级持续性威胁均具有相应的威胁特征；其中，所述威胁特征至少包括如下之一：威胁的来源域名、威胁所使用的IP、威胁所生成文件的类别；通过如下方法构建高级持续性威胁图谱：对各已知威胁事件进行标识，通过标识表征相应的已知威胁事件，将所述标识作为实体内容；针对每个已知威胁事件，自所述事件所产生的日志数据内提取日志特征，将日志特征进行结构化处理，将结构化处理的日志特征作为高级持续性威胁的属性信息；其中，所述日志特征至少包括威胁特征；根据高级持续性威胁的属性信息确定两个高级持续性威胁标识之间是否具有联系，当
两个高级持续性威胁标识之间具有联系时，将两个所述高级持续性威胁实体内容之间的联系作为关系；将具有关系的两个所述实体进行连接，标明所述实体的属性信息，形成高级持续性威胁知识图谱。4.根据权利要求1所述的威胁识别方法，其特征在于，所述将所述日志数据与高级持续性威胁知识图谱进行对比，确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下，将所述网络实体行为判定为高级持续性威胁，包括：对所述网络实体行为发生时所产生的日志数据进行词法分析，得到对应的多个具有独立含义的字段；通过对独立含义的字段进行识别，得到所述网络实体行为的内容信息；自对所述网络实体行为发生时所产生的日志数据内，提取日志特征，并对日志特征进行结构化处理，将结构化处理的日志特征均作为所述网络实体行为的属性信息，所述日志特征至少包括威胁特征；在所述网络实体行为的内容信息与高级持续性威胁知识图谱内的实体内容相一致的情况下，将所述网络实体行为判定为高级持续性威胁；和/或在所述网络实体行为的属性信息与高级持续性威胁知识图谱中实体的属性信息相匹配的情况下，将所述网络实体行为判定为高级持续性威胁。5.根据权利要求3或4所述的威胁识别方法，其特征在于，所述日志特征还包括如下之一或任意组合：使用条件、适用范围、所生成文件的特征；所生成文件的特征至少包括如下之一：所生成文件的哈希值、路径的哈希值和文件名称哈希值。6.根据权利要求1所述的威胁识别方法，其特征在于，还包括：在所述网络实体行为被判定为高级持续性威胁后，发出告警；停止接收根据所述网络实体所对应的用户账户或所使用的IP地址发送的数据。7.一种威胁识别系统，其特征在于，包括...

【专利技术属性】
技术研发人员：张天顺，康宇，
申请(专利权)人：新浪技术中国有限公司，
类型：发明
国别省市：