【技术实现步骤摘要】
一种多维度识别攻击行为的方法与系统
[0001]本专利技术涉及计算机系统和网络安全
,尤其涉及一种多维度识别攻击行为的方法与系统。
技术介绍
[0002]在目前的网络安全防护方面主要通过攻击检出率和攻击准确率来表示一个安全系统或者安全工具对网络安全防护能力的水平高低,市面上常见的安全防护产品包括:防火墙、web应用防火墙、IPS、APT、蜜罐、威胁情报等。但攻击检出率和攻击准确率往往两者在一定程度上是相悖的,提高检出率的同时,会造成准确率的下降,反之亦然;同时,目前在网络安全领域,对检出率有更多的偏好,对检出率的方法检测多种多样,可以说是百花齐放,这导致了安全告警和安全日志的数量呈现爆发式增长,但是在攻击准确性这个检测领域中,除了传统意义上的蜜罐可以增加准确性和通过语义分析引擎有限地提高了SQL注入和XSS准确性外,并没有更好的提高准确性的方案。目前主流安全防护产品对攻击的识别一定程度上依靠攻击特征做正则匹配,该技术会产生较多的安全告警,会有较高的误报率,同时需要不停更新特征库,也不能防御未知攻击。
[0003...
【技术保护点】
【技术特征摘要】
1.一种多维度识别攻击行为的方法,其特征在于,包括:S1、第一安全设备将第一安全防护日志通过syslog形式发送给日志审计平台;S2、所述日志审计平台对所述第一安全防护日志进行标准化处理,获得第二安全数据;S3、所述日志审计平台将第二安全数据以kafka方式发送给态势感知平台,所述态势感知平台基于各种网络攻击思路和第一安全防护日志预建立第一剧本库;S4、基于第一剧本库识别第二安全数据的第一攻击行为并进行自动化防御。2.根据权利要求1所述的方法,其特征在于,所述第一安全设备包括WAF、IPS、APT、防火墙、AD域、VPN、堡垒机,所述第一安全防护日志包括第一安全设备的安全告警、原始告警、统一认证登录平台的账户类告警信息。3.根据权利要求1所述的方法,其特征在于,所述标准化处理包括对第一安全数据集中采集、标准化、语义解析、存储、全文检索、统一分析,使得第二安全数据具备第一数据治理能力,所述第一数据治理能力包括数据自动识别、智能解析、用户和实体行为捕获以及威胁情报关联碰撞和管理。4.根据权利要求1所述的方法,其特征在于,所述第一剧本库包括各种网络攻击行为特征与对应剧本的关系。5.根据权利要求4所述的方法,其特征在于,所述网络攻击行为包括信息收集、外网打点、内网横向扩展,所述剧本为SOAR剧本,所述自动化防御包括:联动防火墙封禁IP,联动运维事件管理平台建立告警工单、联动企业微信通知系统管理员和联动安全事件处置工单进行人工处置。6.根据权利要求1所述的方法,其特征在于,所述步骤S4包括以下分步骤:S401、...
【专利技术属性】
技术研发人员:刘建辉,
申请(专利权)人:中信百信银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。