一种针对威胁攻击的检测分析方法及系统技术方案

本发明专利技术公开了一种针对威胁攻击的检测分析方法及系统，包括：对异构安全数据进行实时采集；设置标准化格式和范式化解析规则，对标准化后字段再解析处理，根据标准化格式进行范式匹配获得情报；预先存储白名单数据，对所属情报进行恶意样本检测

【技术实现步骤摘要】
一种针对威胁攻击的检测分析方法及系统


[0001]本专利技术涉及网络安全系统
，具体为一种针对威胁攻击的检测分析方法及系统
。

技术介绍

[0002]随着数字产业化
、
产业数字化
、
数字孪生逐步加深，第四次工业革命正在推进全球的全面数字化，世界正在走向由软件定义
、
网络互联
、
数据驱动的数字化未来
。
软件成了世界的基础，一切皆可编程，可是软件都有漏洞，这使得一切皆可被攻击；世界全面实现网络互联，意味着攻击可以通过网络进行，不受时空限制；数据驱动一切和大数据计算的不可解释性，导致对数据本身的攻击破坏或者污染投毒，会危害到一切行业的安全运行
。
[0003]现有的网络威胁攻击变得复杂
、
多阶段化，一些传统的入侵检测方法已经不适用于现如今的软件系统
。
目前对网络攻击进行检测方面的研究主要是通过对网络攻击行为进行建模来实现的
。
网络攻击行为建模的主要方法有攻击描述语言
、
攻击树
、
攻击图和攻击网等方法，其中主流的方法是攻击树建模
。
攻击树建模方法是利用树型结构来表示攻击行为及步骤之间的相互依赖关系，用以对系统的安全威胁进行建模分析
。
攻击树建模方法的优点在于直观
、
易理解，有助于图形化描述攻击，因此攻击树在攻击检测
、
攻击建模
、
攻击构造
、
风险评估等方面得到了广泛应用
。
但是随着信息技术的不断发展，网络攻击手段不断更新，攻击越发复杂且呈现多阶段化，此时攻击树模型在表示复杂的多阶段网络攻击时存在对攻击行为
、
攻击过程
、
攻击结果没有区分
、
不易理解，对多阶段攻击缺少关联等方面的不足，同时攻击树无法实现以攻击者视角来模拟网络入侵的自动化检测
。
[0004]因此，亟需一种能够适应复杂
、
多阶段的威胁攻击，进行溯源分析和关联分析，能够多维度对威胁攻击进行全方位的检测和分析
。

技术实现思路

[0005]鉴于上述存在的问题，提出了本专利技术
。
[0006]因此，本专利技术解决的技术问题是：随着信息技术的不断发展，网络攻击手段不断更新，攻击越发复杂且呈现多阶段化，此时攻击树模型在表示复杂的多阶段网络攻击时存在对攻击行为
、
攻击过程
、
攻击结果没有区分
、
不易理解，对多阶段攻击缺少关联等方面的不足，同时攻击树无法实现以攻击者视角来模拟网络入侵的自动化检测
。
[0007]为解决上述技术问题，本专利技术提供如下技术方案：一种针对威胁攻击的检测分析方法，包括：
[0008]对异构安全数据进行实时采集
。
[0009]设置标准化格式和范式化解析规则，对标准化后字段再解析处理，根据标准化格式进行范式匹配获得情报
。
[0010]预先存储白名单数据，对所述情报进行恶意样本检测
、
关联分析和攻击行为分析
。
[0011]作为本专利技术所述的针对威胁攻击的检测分析方法的一种优选方案，其中：
[0012]所述异构安全数据包括各类神经元的数据，以及第三方安全设备或软件系统的安全日志
、
告警
、
事件
。
[0013]作为本专利技术所述的针对威胁攻击的检测分析方法的一种优选方案，其中：
[0014]所述范式化解析规则包括，
[0015]通过规则嵌套和逻辑组合的方式，对所述异构安全数据进行多层规则解析处理：通过添加
、
删除
、
重命名
、
合并与裁剪现有所述异构安全数据的字段获得标准化字段，对所述标准化后字段再解析处理
。
[0016]所述范式匹配为设置等式匹配
、
正则匹配后从数据一端进行二次解析的处理方式
。
[0017]作为本专利技术所述的针对威胁攻击的检测分析方法的一种优选方案，其中：
[0018]所述白名单数据包括安全日志
、
域名信息和安全大数据；
[0019]所述恶意样本检测中，终端设备上的恶意软件和文件
、
通过网络传输的恶意软件和文件以及未知的恶意软件和文件都会被检测出，步骤包括终端文件落地检测步骤
、
网络文件还原检测步骤和样本云检测步骤；
[0020]所述终端文件落地检测步骤为对落地终端的文件立即进行样本检测，监控终端设备上的文件操作，包括文件的创建
、
修改
、
删除，将所述文件与预先存储的白名单数据进行比对，若终端文件不在白名单中，认为是潜在的恶意样本；
[0021]所述网络文件还原检测步骤为在网络传输过程中获得的可执行文件
、
文档文件
、
压缩文件进行还原后进行样本检测，监控网络传输过程中的文件流量，将所述文件与预先存储的白名单数据进行比对，若网络文件不在白名单中，认为是潜在的恶意样本；
[0022]所述样本云检测步骤为将未知文件上传到云端的恶意样本数据库中进行比对，若文件在恶意样本数据库中存在匹配，就会被认为是潜在的恶意样本
。
[0023]作为本专利技术所述的针对威胁攻击的检测分析方法的一种优选方案，其中：
[0024]所述恶意样本检测还包括病毒双引擎检测及查杀步骤
。
所述病毒双引擎检测及查杀是指使用不同的反病毒引擎对样本进行检测和查杀
。
该步骤主要用于检测和查杀已知的病毒和流行的恶意软件
。
[0025]作为本专利技术所述的针对威胁攻击的检测分析方法的一种优选方案，其中：
[0026]所述关联分析包括场景化关联分析步骤和多维数据关联分析步骤；
[0027]所述场景化关联分析步骤包括以下步骤：
[0028]内置
XDR
场景关联分析规则，根据所述
XDR
场景关联分析规则从情报中分析出
XDR
场景；所述
XDR
场景关联分析规则用于从神经元数据中的打点数据
、
告警，根据预设的分析规则，将不同维度的数据关联指定的
XDR
场景，分析神经元数据中的打点数据和告警信息，获取关于安全事件的多维度信息；
[0029]所述多维数据关联分析包括基于
IP
地址的关联分析
、
基于时间维度的关联分析
、
基于用户行为的关联分析
、
基于安全漏洞的关联分析
、
基于特定文件的关联分析
。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种针对威胁攻击的检测分析方法，其特征在于，包括：对异构安全数据进行实时采集；设置标准化格式和范式化解析规则，对标准化后字段再解析处理，根据标准化格式进行范式匹配获得情报；预先存储白名单数据，对所述情报进行恶意样本检测
、
关联分析和攻击行为分析
。2.
如权利要求1所述的针对威胁攻击的检测分析方法，其特征在于：所述异构安全数据包括各类神经元的数据，以及第三方安全设备或软件系统的安全日志
、
告警
、
事件
。3.
如权利要求2所述的针对威胁攻击的检测分析方法，其特征在于：所述范式化解析规则包括，通过规则嵌套和逻辑组合的方式，对所述异构安全数据进行多层规则解析处理：通过添加
、
删除
、
重命名
、
合并与裁剪现有所述异构安全数据的字段获得标准化字段，对所述标准化后字段再解析处理；所述范式匹配为设置等式匹配
、
正则匹配后从数据一端进行二次解析的处理方式
。4.
如权利要求3所述的针对威胁攻击的检测分析方法，其特征在于：所述白名单数据包括安全日志
、
域名信息和安全大数据；所述恶意样本检测中，终端设备上的恶意软件和文件
、
通过网络传输的恶意软件和文件以及未知的恶意软件和文件都会被检测出，步骤包括终端文件落地检测步骤
、
网络文件还原检测步骤和样本云检测步骤；所述终端文件落地检测步骤为对落地终端的文件立即进行样本检测，监控终端设备上的文件操作，包括文件的创建
、
修改
、
删除，将所述文件与预先存储的白名单数据进行比对，若终端文件不在白名单中，认为是潜在的恶意样本；所述网络文件还原检测步骤为在网络传输过程中获得的可执行文件
、
文档文件
、
压缩文件进行还原后进行样本检测，监控网络传输过程中的文件流量，将所述文件与预先存储的白名单数据进行比对，若网络文件不在白名单中，认为是潜在的恶意样本；所述样本云检测步骤为将未知文件上传到云端的恶意样本数据库中进行比对，若文件在恶意样本数据库中存在匹配，就会被认为是潜在的恶意样本
。5.
如权利要求4所述的针对威胁攻击的检测分析方法，其特征在于：所述恶意样本检测还包括病毒双引擎检测及查杀步骤；所述病毒双引擎检测及查杀是指使用不同的反病毒引擎对样本进行检测和查杀；该步骤主要用于检测和查杀已知的病毒和流行的恶意软件
。6.
如权利要求5所述的针对威胁攻击的检测分析方法，其特征在于：所述关联分析包括场景化关联分析步骤和多维数据关联分析步骤；所述场景化关联分析步骤包括以下步骤：内置
XDR
场景关联分析规则，根据所述
XDR
场景关联分析规则从情报中分析出
XDR
场景；所述
XDR
场景关联分析规则用于从神经元数据中的打点数据
、
告警，根据预设的分析规则，将不同维度的数据关联指定的
XDR
场景，分析神经元数据中的打点数据和告警信息，获取关于安全事件的多维度信息；所述多维数据关联分析包括基于
IP
地址的关联分析
、
基于时间维度的关联分析
、
基于用户行为的关联分析
、
基于安全漏洞的关联分析
、
基于特定文件的关联分析
。
7.
如权利要求6所述的针对威胁攻击的检测分析方法，其特征在于：所述基于
IP
地址的关联分析包括通过对不同
IP
地址进行归属查询
、
流量分析以及白名单比对进行关联分析；所述基于时间维度的关联分析包括，将时间划分为不同的窗口，对每个窗口内的数据进...

【专利技术属性】
技术研发人员：宾冬梅，杨春燕，谢铭，韩松明，黎新，蒙亮，凌颖，贺冠博，
申请(专利权)人：广西电网有限责任公司电力科学研究院，
类型：发明
国别省市：