【技术实现步骤摘要】
本申请涉及威胁检测,具体而言,涉及一种高级威胁的检测方法、装置、系统、设备及存储介质。
技术介绍
1、高级威胁即高级持续性威胁(advanced persistent threat,apt),其是指那些具有高度隐蔽性、针对性和破坏性的网络攻击。与传统的病毒、蠕虫等简单攻击方式不同,高级威胁通常采用更为复杂和先进的手段,以规避网络安全措施,躲避检测与阻挡。由于高级威胁不仅对计算机系统和网络构成直接威胁,还可能导致敏感数据泄露、商业机密被窃取等极为严重的后果,因此,高级威胁的防御和检测成为网络安全领域的研究热点之一。
2、传统的终端检测防御措施,例如杀毒软件等已经难以应对高级威胁的挑战。目前一些检测方案虽然能够在一定程度上实现对高级威胁的检测和拦截,但仍然存在较多漏检和误检的情况,因此总体而言现有技术对高级威胁的检测准确性不高。
技术实现思路
1、本申请实施例的目的在于提供一种高级威胁的检测方法、装置、系统、设备及存储介质,用以提高检测高级威胁的准确性。
2、第一方面,本申请实施例提供了一种高级威胁的检测方法,包括:
3、实时获取目标用户终端的事件信息,并基于所述事件信息生成日志信息;
4、基于预设的时间窗口将所述日志信息与预先构建的威胁攻击链规则集合进行匹配;其中,所述威胁攻击链规则集合包括至少一攻击链规则,各个攻击链规则包括至少一攻击指标;
5、当确定所述威胁攻击链规则集合中的任一攻击链规则被匹配命中时,生成对应于所述攻击
6、在本申请实施例中,通过利用攻击链规则匹配的方式,并设定时间窗口来辅助进行攻击链规则匹配,从而能够实现对高级威胁攻击行为的针对性识别,提高了高级威胁检测的准确性。
7、在一些可能的实施例中,所述基于预设的时间窗口将所述日志信息与预先构建的威胁攻击链规则集合进行匹配,包括:
8、确定对应于所述威胁攻击链规则集合的攻击指标集合,并将所述日志信息与所述攻击指标集合进行匹配,确定被匹配命中的目标攻击指标集合;
9、基于预设的时间窗口分别将所述目标攻击指标集合与所述威胁攻击链规则集合中的每一攻击链规则进行匹配。
10、在本申请实施例中,通过首先对日志信息进行攻击指标的匹配,再基于设定时间窗口将匹配命中的攻击指标与各个攻击链规则进行匹配,进一步提高了高级威胁检测的准确性。
11、在一些可能的实施例中,所述基于预设的时间窗口分别将所述目标攻击指标集合与所述威胁攻击链规则集合中的每一攻击链规则进行匹配,包括:
12、若判断任一攻击链规则对应的匹配度超过预设的匹配度阈值,则判定所述攻击链规则被匹配命中;
13、其中,各个攻击链规则对应的匹配度为基于所述攻击链规则被匹配命中的攻击指标比例确定,或者,各个攻击链规则对应的匹配度为基于所述攻击链规则被匹配命中的攻击指标对应的权重之和确定。
14、在本申请实施例中,通过根据攻击链规则被命中的攻击指标数量或权重来判断是否满足攻击链规则匹配条件,从而增加了攻击链匹配的覆盖率,进一步提高了高级威胁检测的准确性。
15、在一些可能的实施例中,所述若判断任一攻击链规则对应的匹配度超过预设的匹配度阈值,则判定所述攻击链规则被匹配命中,包括:
16、若判断任一攻击链规则对应的匹配度超过预设的第一匹配度阈值,则将所述时间窗口扩大为第二时间窗口,并基于所述第二时间窗口将所述目标攻击指标集合与所述攻击链规则进行匹配;
17、若判断所述攻击链规则对应的匹配度超过预设的第二匹配度阈值,则判定所述攻击链规则被匹配命中;
18、其中,所述第二匹配度阈值大于所述第一匹配度阈值。
19、在本申请实施例中,通过分阶段进行攻击链规则匹配,从而进一步提高了高级威胁检测的准确性,并且能够提高高级威胁检测的效率。
20、在一些可能的实施例中,所述基于预设的时间窗口分别将所述目标攻击指标集合与所述威胁攻击链规则集合中的每一攻击链规则进行匹配,包括:
21、若威胁攻击链规则集合中的任一攻击链规则被匹配命中的攻击指标数量超过预设数量阈值,则判定所述攻击链规则被匹配命中;其中,所述预设数量阈值为基于所述攻击链规则对应配置。
22、在本申请实施例中,通过根据攻击链规则被命中的攻击指标数量来判断是否命中该攻击链规则,并且不同的攻击链规则可以配置不同的数量阈值,从而提高了高级威胁检测的灵活性和准确性。
23、在一些可能的实施例中,在所述生成对应于所述攻击链规则的威胁告警信息之后,还包括:
24、将所述威胁告警信息发送至威胁响应端,并获取所述威胁响应端针对于所述威胁告警信息反馈的威胁响应指令;
25、将所述威胁响应指令发送至所述目标用户终端,以使所述目标用户终端基于所述威胁响应指令触发威胁响应操作。
26、在本申请实施例中,通过根据威胁告警信息来获取威胁响应指令,并自动触发用户终端的威胁响应操作,进一步提高了高级威胁防御的安全性。
27、在一些可能的实施例中,所述威胁攻击链规则集合的构建方式包括:
28、将高级威胁虚拟防御系统部署至预设的虚拟机中;其中,所述高级威胁虚拟防御系统包括虚拟客户端、虚拟服务端和信息展示端,所述虚拟客户端用于收集所述虚拟机的所有事件信息并发送至所述虚拟服务端,所述虚拟服务端用于根据所述事件信息生成日志信息并输出至所述信息展示端进行展示;
29、向所述虚拟客户端输入至少一高级威胁攻击模拟事件的指令集合,并获取所述信息展示端展示的对应于各个高级威胁攻击模拟事件的日志信息;
30、基于所述日志信息确定对应于各个高级威胁攻击模拟事件的攻击链规则,得到包含至少一攻击链规则的威胁攻击链规则集合。
31、在本申请实施例中,通过利用虚拟机部署高级威胁虚拟防御系统,以对高级威胁攻击事件进行模拟,从而能够获取真实全面的攻击指标相关信息并整合成高级威胁攻击链规则,进一步提高了高级威胁检测的准确性。
32、第二方面,本申请实施例提供了一种高级威胁的检测装置,包括:
33、信息生成模块,用于实时获取目标用户终端的事件信息,并基于所述事件信息生成日志信息;
34、规则匹配模块,用于基于预设的时间窗口将所述日志信息与预先构建的威胁攻击链规则集合进行匹配;其中,所述威胁攻击链规则集合包括至少一攻击链规则,各个攻击链规则包括至少一攻击指标;
35、告警生成模块,用于当确定所述威胁攻击链规则集合中的任一攻击链规则被匹配命中时,生成对应于所述攻击链规则的威胁告警信息。
36、第三方面,本申请实施例提供了一种高级威胁的检测系统,包括客户端和服务端,其中:
37、所述客户端部署于目标用户终端中,其用于实时收集所述目标用户终端的所有事件信息并上传至所述服务端;
38、所本文档来自技高网...
【技术保护点】
1.一种高级威胁的检测方法,其特征在于,包括:
2.根据权利要求1所述的高级威胁的检测方法,其特征在于,所述基于预设的时间窗口将所述日志信息与预先构建的威胁攻击链规则集合进行匹配,包括:
3.根据权利要求2所述的高级威胁的检测方法,其特征在于,所述基于预设的时间窗口分别将所述目标攻击指标集合与所述威胁攻击链规则集合中的每一攻击链规则进行匹配,包括:
4.根据权利要求3所述的高级威胁的检测方法,其特征在于,所述若判断任一攻击链规则对应的匹配度超过预设的匹配度阈值,则判定所述攻击链规则被匹配命中,包括:
5.根据权利要求2所述的高级威胁的检测方法,其特征在于,所述基于预设的时间窗口分别将所述目标攻击指标集合与所述威胁攻击链规则集合中的每一攻击链规则进行匹配,包括:
6.根据权利要求1所述的高级威胁的检测方法,其特征在于,在所述生成对应于所述攻击链规则的威胁告警信息之后,还包括:
7.根据权利要求1所述的高级威胁的检测方法,其特征在于,所述威胁攻击链规则集合的构建方式包括:
8.一种高级威胁的检测装置,
9.一种高级威胁的检测系统,其特征在于,包括客户端和服务端,其中:
10.一种电子设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现权利要求1-7任一所述的高级威胁的检测方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1-7任一所述的高级威胁的检测方法。
...【技术特征摘要】
1.一种高级威胁的检测方法,其特征在于,包括:
2.根据权利要求1所述的高级威胁的检测方法,其特征在于,所述基于预设的时间窗口将所述日志信息与预先构建的威胁攻击链规则集合进行匹配,包括:
3.根据权利要求2所述的高级威胁的检测方法,其特征在于,所述基于预设的时间窗口分别将所述目标攻击指标集合与所述威胁攻击链规则集合中的每一攻击链规则进行匹配,包括:
4.根据权利要求3所述的高级威胁的检测方法,其特征在于,所述若判断任一攻击链规则对应的匹配度超过预设的匹配度阈值,则判定所述攻击链规则被匹配命中,包括:
5.根据权利要求2所述的高级威胁的检测方法,其特征在于,所述基于预设的时间窗口分别将所述目标攻击指标集合与所述威胁攻击链规则集合中的每一攻击链规则进行匹配,包括:
6.根...
【专利技术属性】
技术研发人员:孙晓骏,覃梓兴,张苏洵,刘铠文,李宜檑,
申请(专利权)人:戎码科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。