【技术实现步骤摘要】
本专利技术涉及网络安全,具体来说,涉及一种网络安全数据分析方法。
技术介绍
1、网络安全大数据、数据分析、智能分析历时已久,其基础是将具备的多种安全产品数据进行汇聚,对安全产品数据采用一定的数据分析方法发现网络威胁。数据安全分析方法通常有两种方法,一种是采用多个安全产品输出的告警数据进行归并,认为多个安全产品都确定的告警事件就是真正的网络威胁。另一种是采用海量数据输入,寄希望于通过建模(数据关联)的方式,发现网络威胁。
2、第一种方法存在的问题主要体现在以下几个方面:
3、1)告警数据误报率非常高,基于错误的数据想分析发现正确的事件,可能性极小,准确率极低,其结果就是告警数量越来越多导致安全数据分析失败。
4、2)同样由于告警误报率高的问题,即使多个告警归并一起,也并不一定就是真正的网络威胁。
5、第二种方法存在的问题主要体现在以下几个方面:
6、1)网络安全产品质量参差不齐,对于网络安全产品产生数据的准确性问题未解决,导致基础数据无法覆盖全部行为。
7、2)消耗大量人力、物力编撰的一些数据关联方式也是网络威胁发现的冰山一角,仅满足商业销售噱头,无法覆盖全部网络威胁。
8、以上两种方法在业界都属于“黑名单”方式,通过已知数据的处理发现已知威胁,发现能力低,准确率低,无法应对日益复杂的网络威胁需求。
9、针对相关技术中的问题,目前尚未提出有效的解决方案。
技术实现思路
1、针对相关技术中的
2、为此,本专利技术采用的具体技术方案如下:
3、一种网络安全数据分析方法,包括以下步骤;
4、网络行为描述;通过网络数据描述网络行为是判断网络行为是否异常的基础,一个网络会话为一个网络行为,一个完整的网络行为数据包含行为主体、行为动作、行为客体、行为结果,行为初次分析主要是基于对业务行为的理解,单纯利用行为数据判断网络行为属于正常行为、可疑行为亦或是异常行为,描述网络行为,通过行为发现网络威胁的理论基础在于只要有网络威胁一定会有网络行为,网络威胁分析覆盖每一个行为;
5、行为初次分析;基于对业务、网络行为的理解,判断每一个网络行为是正常行为、可疑行为、异常行为三个维度,并将结果数据归类到每个资产行为中;
6、行为二次分析;结合行为识别数据和线索数据等进行行为二次研判;行为识别数据主要指情报类数据如黑ip、黑域名,协助进一步精准识别行为初次分析结果中正常行为、可疑行为中是否存在异常行为,所述线索数据主要指告警类数据,集合多源安全产品的告警数据并以此为线索辅助识别行为初次分析结果中正常行为、可疑行为中是否存在异常行为,如果存在异常行为将该行为数据转向异常行为中进行处置,如果线索是误判则将该告警加白,最终将根据行为识别数据及线索类数据分析完成的结果数据归类到每个资产行为中。
7、作为优选的,通过网络数据描述网络行为是判断网络行为是否异常的基础;
8、一个网络会话为一个网络行为,一个完整的网络行为数据包含行为主体(源)、行为动作(会话)、行为客体(目标)、行为结果,由三个场景构成,终端主动访问主机;主机主动访问主机;主机主动访问终端;主机主动访问终端大概率是一种异常,存在这种行为可以忽略具体行为数据优先处理。
9、作为优选的,所述三个场景构成包括终端主动访问主机、主机主动访问主机和主机主动访问终端;如果有主机主动访问终端大概率是一种异常,存在这种行为可以忽略具体行为数据优先处理。
10、作为优选的,所述终端和主机的行为数据主要为文件名、进程、ip、端口,网络行为数据主要为时间、源ip、源端口、协议、目的ip、目的端口、持续时长(可选)、接收/发送数据量(可选),行为结果成功或失败。
11、作为优选的,所述网络行为描述中将终端数据、网络数据、主机数据、行为结果数据相关联,组成网络全流程行为描述,是网络行为分析的基础;
12、终端行为数据、网络行为数据、主机行为数据三者关联为完整网络访问行为,基于网络行为分析角度,具体落地方面可以依赖于完整网络访问行为。
13、作为优选的,所述行为初次分析基于对业务行为的理解,单纯利用行为数据判断网络行为属于正常行为、可疑行为亦或是异常行为;
14、一个网络协议如http、https、smtp、ftp、dns为一种行为,一次网络会话为一个行为,通过指定端口提供服务,即使部分协议通过更多随机端口提供服务,也可以通过该协议定位一种行为;
15、初期需要人工干预,判断哪些行为是该业务的正常行为,通过行为数据建立行为模型,后续属于该行为模型的数据都进入正常行为库;
16、正常行为以外的行为都可能有风险,通过建立正常行为模型的方法排除正常行为,剩下的行为就是可疑行为或异常行为,当明确哪些行为是明确的异常行为后,与正常行为模型建立的方式相同,建立异常行为模型,异常行为进入异常行为库。
17、作为优选的,对一部分行为既不能明确是正常行为,又不能明确是异常行为,无需建立可疑行为模型,将该类行为都进入可疑行为库,等待人工进一步分析研判;
18、针对业务的行为分析判断,初期优先考虑少量维度定义行为模型,对行为数据进行快速初筛,待后续逐步增加判断字段精细化完善正常和异常模型,提升行为判断的准确性。
19、作为优选的,行为二次分析是基于行为初次分析得出的结论基础之上,结合行为辅助识别数据、威胁交叉验证数据,进行二次行为分析;
20、所述辅助识别数据为黑ip、黑域名、黑url。
21、作为优选的,二次行为分析主要针对正常行为库中的数据进行二次核对,当现有正常行为库中的行为数据匹配上辅助识别数据后,需要对该行为进一步人工研判:
22、如果验证结果是正常行为,将该辅助识别数据加白;
23、如果验证结果是异常行为,将定义进一步细化的异常行为模型,将该行为转到异常行为库中;
24、如果暂时无法验证该行为,将该行为通过细化的正常行为模型,将该行为转到可疑行为库中;
25、异常行为模型优先级高于正常行为模型。
26、作为优选的,多源安全能力的告警数据,将其与网络行为数据关联,与正常行为库数据关联,判断是否存在异常行为,与可疑行为库数据关联,对该行为进一步研判分析,与异常行为库数据关联,进一步判断异常行为都包含哪些攻击行为,主要针对正常行为库数据进行进一步人工研判:
27、如果验证结果是正常行为,将该验证数据加白,降低告警误报率;
28、如果验证结果是异常行为,将定义进一步细化的异常行为模型,将该行为转到异常行为库中;
29、如果暂时无法验证该行为,将该行为通过细化的正常行为模型,将该行为转到可疑行为库中;
30、异常行为模型优先级本文档来自技高网...
【技术保护点】
1.一种网络安全数据分析方法,其特征在于,包括以下步骤;
2.根据权利要求1所述的一种网络安全数据分析方法,其特征在于,通过网络数据描述网络行为是判断网络行为是否异常的基础;
3.根据权利要求2所述的一种网络安全数据分析方法,其特征在于,所述三个场景构成包括终端主动访问主机、主机主动访问主机和主机主动访问终端;如果有主机主动访问终端大概率是一种异常,存在这种行为可以忽略具体行为数据优先处理。
4.根据权利要求3所述的一种网络安全数据分析方法,其特征在于,所述终端和主机的行为数据主要为文件名、进程、IP、端口,网络行为数据主要为时间、源IP、源端口、协议、目的IP、目的端口、持续时长(可选)、接收/发送数据量(可选),行为结果成功或失败。
5.根据权利要求4所述的一种网络安全数据分析方法,其特征在于,所述网络行为描述中将终端数据、网络数据、主机数据、行为结果数据相关联,组成网络全流程行为描述,是网络行为分析的基础;
6.根据权利要求5所述的一种网络安全数据分析方法,其特征在于,所述行为初次分析基于对业务行为的理解,单纯利用
7.根据权利要求6所述的一种网络安全数据分析方法,其特征在于,对一部分行为既不能明确是正常行为,又不能明确是异常行为,无需建立可疑行为模型,将该类行为都进入可疑行为库,等待人工进一步分析研判;
8.根据权利要求7所述的一种网络安全数据分析方法,其特征在于,行为二次分析是基于行为初次分析得出的结论基础之上,结合行为辅助识别数据、威胁交叉验证数据,进行二次行为分析;
9.根据权利要求8所述的一种网络安全数据分析方法,其特征在于,二次行为分析主要针对正常行为库中的数据进行二次核对,当现有正常行为库中的行为数据匹配上辅助识别数据后,需要对该行为进一步人工研判:
10.根据权利要求1所述的一种网络安全数据分析方法,其特征在于,多源安全能力的告警数据,将其与网络行为数据关联,与正常行为库数据关联,判断是否存在异常行为,与可疑行为库数据关联,对该行为进一步研判分析,与异常行为库数据关联,进一步判断异常行为都包含哪些攻击行为,主要针对正常行为库数据进行进一步人工研判:
...【技术特征摘要】
1.一种网络安全数据分析方法,其特征在于,包括以下步骤;
2.根据权利要求1所述的一种网络安全数据分析方法,其特征在于,通过网络数据描述网络行为是判断网络行为是否异常的基础;
3.根据权利要求2所述的一种网络安全数据分析方法,其特征在于,所述三个场景构成包括终端主动访问主机、主机主动访问主机和主机主动访问终端;如果有主机主动访问终端大概率是一种异常,存在这种行为可以忽略具体行为数据优先处理。
4.根据权利要求3所述的一种网络安全数据分析方法,其特征在于,所述终端和主机的行为数据主要为文件名、进程、ip、端口,网络行为数据主要为时间、源ip、源端口、协议、目的ip、目的端口、持续时长(可选)、接收/发送数据量(可选),行为结果成功或失败。
5.根据权利要求4所述的一种网络安全数据分析方法,其特征在于,所述网络行为描述中将终端数据、网络数据、主机数据、行为结果数据相关联,组成网络全流程行为描述,是网络行为分析的基础;
6.根据权利要求5所述的一种网络安全数据分析方法,其特征在于,所述行为初次分析基于对业务行为的理解...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。