本申请实施例公开了一种安全报警研判方法、装置及存储介质,其中方法包括:利用安全运营平台,从各个安全产品中获取相关安全数据,然后利用安全运营平台将安全数据进行结构化处理,以解析出网络会话五元组;加载免研判规则,对结构化处理后的安全数据进行过滤,以缩小安全数据中告警的需研判范围;对经过免研判规则过滤后的安全数据中的告警,利用报警元数据检测规则对其进行标注;对未被标注为误报或者威胁的告警,利用报警负载浅度检测规则对其进行标注;对未被标注为威胁的告警,利用攻击负载双向研判规则对其进行标注;对未被标注为威胁的告警,利用负载深度研判规则对其进行标注;对被标注为威胁的告警进行汇总,生成威胁情报。情报。情报。
【技术实现步骤摘要】
安全报警研判方法、装置及存储介质
[0001]本申请涉及网络安全
,具体涉及一种安全报警研判方法、装置及存储介质。
技术介绍
[0002]在网络安全领域中,安全运营平台承载着收集、泛化、分析和研判各种安全产品或设备的告警功能,由于其处于安全防护体系的顶端,故能获取的各种安全报警数据也较为抽象,即这些报警本身给出的信息极不具体,故对其进行研判存在较大问题,即使部分安全产品给出了一定的安全数据,如某些厂商的Web应用防护设备等,但从中判断是否为威胁仍是比较大的挑战,特别是从中筛除掉相关误报等。
[0003]对于误报的处理,传统上安全管理员仍是登录到各个安全设备查看其详细内容,但一般的边界安全设备,如防火墙、统一威胁管理(UTM)、Web应用防火墙、网络流量检测和响应产品等,处于性能考虑,它们一般不会留存太多细节数据,特别是不可能提供完整的攻击负载(Payload),即发生攻击时的网络访问数据,故仅凭这些产品自身提供的报警来判断是否误报,是非常困难的,因为这些设备对于安全运营平台而言都是三方设备。
[0004]因此,需要一种能记录所有相关攻击流量的方法,配合安全运营平台以提供完整的攻击取证能力,从而可以在技术细节上对各类误报提供研判依据,最终达到可以自动化运维的目的。
技术实现思路
[0005]本申请实施例的目的在于提供一种安全报警研判方法、装置及存储介质,用以解决现有技术中缺少一种能记录所有相关攻击流量的方法,导致无法配合安全运营平台提供完整的攻击取证能力,从而无法在技术细节上对各类误报提供研判依据,无法达到可以自动化运维的目的的问题。
[0006]为实现上述目的,本申请实施例提供一种安全报警研判方法,包括:利用安全运营平台,从各个安全产品中获取相关安全数据,然后利用所述安全运营平台将所述安全数据进行结构化处理,以解析出网络会话五元组;加载免研判规则,对结构化处理后的所述安全数据进行过滤,以缩小所述安全数据中告警的需研判范围;对经过所述免研判规则过滤后的所述安全数据中的所述告警,利用报警元数据检测规则对其进行标注;对未被标注为误报或者威胁的所述告警,利用报警负载浅度检测规则对其进行标注;对未被标注为威胁的所述告警,利用攻击负载双向研判规则对其进行标注;对未被标注为威胁的所述告警,利用基于机器学习的负载深度研判规则对其进行标注;
对被标注为威胁的所述告警进行汇总,生成威胁情报。
[0007]可选地,所述解析出网络会话五元组包括:根据数据性质对所述安全数据进行分类和命名,并补充地理位置信息;所述安全数据包括攻击负载的TCP初始序列。
[0008]可选地,所述报警元数据检测规则包括:基于规格化后的元数据的定义构建的筛选过滤表达式,表达式之间支持逻辑与、或、非,所述元数据包括网络会话五元组、应用协议、DNS、URI、主机名、用户名和/或邮箱。
[0009]可选地,所述利用报警负载浅度检测规则对其进行标注,包括:对所述告警中的文本数据利用自然语言进行分词并去除其中常见停止词;对于经过Base64编码方式上报的所述告警信息,使用2
‑
gram方式进行分词;完成分词后,与负载浅度特征进行比对,当高于设定阈值时将对应的所述告警标注为威胁。
[0010]可选地,所述利用攻击负载双向研判规则对其进行标注,包括:利用安全报警的网络会话五元组、告警发生时间或者TCP初始序列号向边界网络流量留存设备进行请求,以获取相关数据,将获取到的数据包与历史攻击负载双向研判规则进行比对,当没有命中时,将对应的数据展现在平台管理界面中;所述攻击负载双向研判规则包括威胁检测规则和与之对应的误报检测规则。
[0011]可选地,基于机器学习的所述负载深度研判规则为通过攻击负载进行深度学习所获得的特征而构成的机器学习规则;在所述对未被标注为威胁的所述告警,利用基于机器学习的负载深度研判规则对其进行标注之后,还包括:对请求负载进行分词处理;去除协议相关停止词;使用分词器对文本或者二进制数据进行处理,其中,对所述二进制数据采用2
‑
gram方式进行处理;针对不同的应用协议,使用TF
‑
IDF方法对所述文本或二进制数据进行分析,形成聚类数据,将每种所述聚类数据标注为被研判后的威胁类型;根据所述聚类数据,自动生成深度研判规则。
[0012]可选地,所述根据所述聚类数据,自动生成深度研判规则,包括:对所述聚类数据的签名的内容集合进行自动扩张;其中自动扩张的依据是分词或2
‑
gram片段在同类告警中的内聚程度和不同类告警中的差异程度同时决定的,即平台定义两个阈值,分词或片段未在历史检测中发现,但同时满足这两个阈值时可以自动生成所述深度研判规则,以备后续使用。
[0013]可选地,所述对被标注为威胁的所述告警进行汇总,生成威胁情报,包括:将被标注为威胁的所述告警的攻击源IP地址、攻击手法、攻击时间和/或攻击行业信息进行汇总,生成所述威胁情报,并将生成的所述威胁情报上载到云端安全运营平台。
[0014]为实现上述目的,本申请还提供一种安全报警研判装置,包括:存储器;以及与所述存储器连接的处理器,所述处理器被配置成执行如上所述的方法的步骤。
[0015]为实现上述目的,本申请还提供一种计算机存储介质,其上存储有计算机程序,其
中所述计算机程序被机器执行时实现如上所述的方法的步骤。
[0016]本申请实施例具有如下优点:本申请实施例提供一种安全报警研判方法,包括:利用安全运营平台,从各个安全产品中获取相关安全数据,然后利用所述安全运营平台将所述安全数据进行结构化处理,以解析出网络会话五元组;加载免研判规则,对结构化处理后的所述安全数据进行过滤,以缩小所述安全数据中告警的需研判范围;对经过所述免研判规则过滤后的所述安全数据中的所述告警,利用报警元数据检测规则对其进行标注;对未被标注为误报或者威胁的所述告警,利用报警负载浅度检测规则对其进行标注;对未被标注为威胁的所述告警,利用攻击负载双向研判规则对其进行标注;对未被标注为威胁的所述告警,利用基于机器学习的负载深度研判规则对其进行标注;对被标注为威胁的所述告警进行汇总,生成威胁情报。
[0017]通过上述方法,利用安全运营平台,配合全流量网络抓取设备自动化地对各类边界安全报警进行信息收集,从而与传统方法相较,其数据来源更为准确,故对安全报警或威胁的研判更为全面,避免了此类平台可能产生的大量安全告警噪音;通过多层次的安全策略体系,包括基于签名的和非签名的方式,并综合机器学习方法,在最大范围和更深的层面对安全告警进行筛选,从而降低安全运维人员的整体工作强度。
附图说明
[0018]为了更清楚地说明本申请的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其它的实施附图。...
【技术保护点】
【技术特征摘要】
1.一种安全报警研判方法,其特征在于,包括:利用安全运营平台,从各个安全产品中获取相关安全数据,然后利用所述安全运营平台将所述安全数据进行结构化处理,以解析出网络会话五元组;加载免研判规则,对结构化处理后的所述安全数据进行过滤,以缩小所述安全数据中告警的需研判范围;对经过所述免研判规则过滤后的所述安全数据中的所述告警,利用报警元数据检测规则对其进行标注;对未被标注为误报或者威胁的所述告警,利用报警负载浅度检测规则对其进行标注;对未被标注为威胁的所述告警,利用攻击负载双向研判规则对其进行标注;对未被标注为威胁的所述告警,利用基于机器学习的负载深度研判规则对其进行标注;对被标注为威胁的所述告警进行汇总,生成威胁情报。2.根据权利要求1所述的安全报警研判方法,其特征在于,所述解析出网络会话五元组包括:根据数据性质对所述安全数据进行分类和命名,并补充地理位置信息;所述安全数据包括攻击负载的TCP初始序列。3.根据权利要求1所述的安全报警研判方法,其特征在于,所述报警元数据检测规则包括:基于规格化后的元数据的定义构建的筛选过滤表达式,表达式之间支持逻辑与、或、非,所述元数据包括网络会话五元组、应用协议、DNS、URI、主机名、用户名和/或邮箱。4.根据权利要求1所述的安全报警研判方法,其特征在于,所述利用报警负载浅度检测规则对其进行标注,包括:对所述告警中的文本数据利用自然语言进行分词并去除其中常见停止词;对于经过Base64编码方式上报的所述告警信息,使用2
‑
gram方式进行分词;完成分词后,与负载浅度特征进行比对,当高于设定阈值时将对应的所述告警标注为威胁。5.根据权利要求1所述的安全报警研判方法,其特征在于,所述利用攻击负载双向研判规则对其进行标注,包括:利用安全报警的网络会话五元组、告警发生时间或者TCP初始序列号向边界网络流量留存设备进行请求,以获取相关数据,将获取到的数据包与历史攻击负载双向研判规则进行比对,当没有...
【专利技术属性】
技术研发人员:请求不公布姓名,
申请(专利权)人:南京聚铭网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。