2. 专利
    3. 一种基于威胁行为的实时检测方法与系统与流程

    一种基于威胁行为的实时检测方法与系统与流程

    专利查询2022-08-13  106


    1.本技术涉及计算机安全管理技术领域,尤其涉及一种基于威胁行为的实时检测方法与系统。


    背景技术:

    2.随着云计算、大数据等新一代it技术在各行业的深入应用,政企机构的it规模和复杂程度不断提高,网络流量、日志等各类数据规模也随之提升。大量网络数据中夹杂着威胁数据,威胁政企网络的安全。因此需要对数据进行筛选以得到威胁事件的相关数据,并对威胁事件进行及时防护。
    3.针对于网络安全防护,文件(cn108924084b)提到:相关技术主要分为“传统风险评估方法”和“现代风险评估方法”两类。传统风险评估方法包括故障树分析、故障模式影响与危害度分析、马尔科夫分析法。现代风险评估方法可以建立在目标风险分析系统的基础上对网络数据进行风险评估进而保护网络安全。但这两大类方法均是对数据进行静态评估,得出评估结果时网络设备可能已经受到安全威胁,缺乏时效性。因此需要一种动态网络威胁分析方法。


    技术实现要素:

    4.本技术提供了一种基于威胁行为的实时检测方法与系统,以解决静态网络威胁分析方法缺乏时效性的问题。
    5.第一方面,本技术实施例提供了一种基于威胁行为的实时检测方法,包括:根据威胁事件的发生场景选取多个应用语义,所述多个应用语义对应至少一个日志事件,所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个;根据所述威胁事件的分析策略,将所述多个应用语义进行排序组合,得到用于分析所述威胁事件的语义规则模板;根据语义规则模板构建用于日志分析的有向无环图,所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点;将待分析的日志输入到所述有向无环图中,以通过所述有向无环图从所述待分析的日志中筛选出所述威胁事件对应的目标行为特征日志。
    6.第二方面,本技术实施例提供了一种基于威胁行为的实时检测系统,包括:规则添加模块、规则构建模块和分析模块;所述规则添加模块用于根据威胁事件的发生场景选取多个应用语义,所述多个应用语义对应至少一个日志事件,所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个;所述规则添加模块还用于根据所述威胁事件的分析策略,将所述多个应用语义进行排序组合,得到用于分析所述威胁事件的语义规则模板;
    所述规则构建模块用于根据语义规则模板构建用于日志分析的有向无环图,所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点;所述分析模块用于将待分析的日志输入到所述有向无环图中,以通过所述有向无环图从所述待分析的日志中检查出所述威胁事件对应的目标行为特征日志。
    7.由以上技术方案可知,本技术实施例提供了一种基于威胁行为的实时检测方法与系统,能够根据威胁事件的发生场景选取的应用语义,按照威胁事件的分析策略,排序组合成语义规则模板或语义规则配置文件。再根据语义规则模板或语义规则配置文件生成语义规则对象树,语义规则对象树中包含了与语义规则模板中的应用语义对应的节点。最后根据语义规则对象树生成用于筛选威胁事件对应的目标行为特征日志的有向无环图。并且,在威胁事件发生变更时,也可以重新定义语义规则模板或语义规则配置文件进而生成新的语义规则对象树,更新有向无环图对变更后的威胁事件对应的目标行为特征日志进行筛选,解决了静态网络分析威胁事件缺乏时效性的问题。
    附图说明
    8.为了更清楚地说明本技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
    9.图1是本技术实施例提供的一种基于威胁行为的实时检测方法的流程图;图2是本技术实施例提供的一种基于威胁行为的实时检测方法的步骤结构示意图;图3是本技术实施例提供的基于威胁行为的实时检测方法步骤s103的流程图;图4是本技术实施例提供的有向无环图的结构图;图5是本技术实施例提供的基于威胁行为的实时检测方法步骤s103的另一种执行方式的流程图;图6是本技术实施例提供的威胁事件发生变更时更新语义规则模板进而更新有向无环图的流程图;图7是本技术实施例提供的威胁事件发生变更时更新语义规则配置文件进而更新有向无环图的流程图;图8是本技术实施例提供的一种基于威胁行为的实时检测系统的结构框图。
    具体实施方式
    10.为了使本技术领域的人员更好地理解本技术中的技术方案,下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本技术保护的范围。
    11.针对于网络防护这一问题,相关技术主要分为“传统风险评估方法”和“现代风险评估方法”两类。传统风险评估方法包括故障树分析、故障模式影响与危害度分析、马尔科夫分析法。现代风险评估方法可以建立在目标风险分析系统的基础上对网络数据进行风险
    评估进而保护网络安全。但这两大类方法均是对数据进行静态评估,得出评估结果时网络设备可能已经受到安全威胁,缺乏时效性。
    12.为了解决在网络防护的相关技术中采用的威胁事件分析手段缺乏时效性的问题,本技术实施例提供了一种基于威胁行为的实时检测方法与系统。
    13.下面是本技术的方法实施例,提供了一种基于威胁行为的实时检测方法。
    14.图1是本技术实施例提供的一种基于威胁行为的实时检测方法的流程图。所述方法可用于服务器、数据中心等数据流量大、数据种类多且易遭受网络攻击的网络设施的威胁事件检查,进而起到网络防护的作用。如图1所示,所述方法包括以下步骤:步骤s101,根据威胁事件的发生场景选取多个应用语义,所述多个应用语义对应至少一个日志事件,所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个。
    15.具体地,威胁事件即为网络攻击手段,不同的网络攻击手段针对的网络漏洞不同,因此不同的网络攻击手段对应不同的发生场景。基于此,本技术实施例可以针对于不同的网络攻击手段在发生场景中表现出的特征,选取与所述特征对应的应用语义对威胁事件进行筛选。其中,由一个或多个应用语义组成的检查条件被称为日志事件,所述日志事件包括但不局限于步骤s101中提到的事件,所述日志事件可以根据威胁事件的特征进行添加。
    16.示例地,业务安全部门想找到自身资产中是否有“永恒之蓝”勒索病毒。首先确认“永恒之蓝”勒索病毒的攻击方式是利用漏洞ms17-010对内网主机进行攻击,进而释放勒索病毒进一步感染其他主机。根据“永恒之蓝”勒索病毒的攻击特点,选择用于筛选出“永恒之蓝”对应的日志数据的日志事件为日志过滤和序列分析。
    17.步骤s102,根据所述威胁事件的分析策略,将所述多个应用语义进行排序组合,得到用于分析所述威胁事件的语义规则模板。
    18.具体地,分析策略是多个应用语义进行排序组合的依据,其策略方式是先通过日志事件对服务器或数据中心等数据流量大的网络设施中的日志数据进行筛选,以缩小日志数据范围。在缩小日志数据范围后,再根据威胁事件的特征选择具有针对性的日志事件进行进一步筛选,将筛选过程中使用日志事件的顺序汇总组合得到语义规则模板。
    19.示例地,“永恒之蓝”在攻击主机时存在一定顺序,因此在使用日志过滤这一日志事件对“永恒之蓝”对应的日志进行筛选时,可以根据被攻击的主机中的数据源和被攻击的先后顺序分别设置日志过滤事件和序列分析,日志过滤事件中可以包括过滤条件及数据源。所述日志过滤事件可以为一个或多个事件,所述过滤条件可以根据日志过滤事件的特征设置。在一些情况下,一种威胁事件对网络设施的不同部分进行攻击,此时就需要设置多个并行的日志过滤事件对威胁事件的待分析日志进行筛选。并且由于网络设施的每个部分选取的日志过滤事件主题不同,设置的过滤条件也相应变化。
    20.在“永恒之蓝”的日志筛选中就采用了并行设置日志过滤事件的方法,所述并行的日志过滤事件设置方法如下所示:日志过滤a:数据源为dns域名解析日志,过滤条件为日志中的解析域名和威胁情报的主机名一致。
    21.日志过滤b:数据源时windows主机日志,过滤条件是日志中计划任务包含了“mssecsvc2”。
    22.日志过滤c:数据源为tcp日志,过滤条件为目的端口包含“445、135、137”。
    23.在设置完日志过滤事件之后,可以对三个日志事件发生的时间先后顺序进行序列分析,进而得到“永恒之蓝”攻击事件对应的应用语义排列顺序,建立相应的语义规则模板。
    24.步骤s103,根据语义规则模板构建用于日志分析的有向无环图,所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点。
    25.具体地,语义规则模板只是将应用语义按一定顺序排序,并不能直接用于对数据的筛选,想要对带分析日志进行排序,还需将语义规则模板转化成有向无环图。通过有向无环图的分析节点对带分析日志进行筛选,所述分析节点对应应用语义,因此具有筛选待分析日志的功能。
    26.步骤s104,将待分析的日志输入到所述有向无环图中,以通过所述有向无环图从所述待分析的日志中筛选出所述威胁事件对应的目标行为特征日志。
    27.具体地,所述有向无环图的特点为数据从有向无环图的根节点进入,从有向无环图的最后一个节点输出,期间不存在数据回流的情况,十分符合筛选威胁事件对应的日志的要求。所述有向无环图中包含多个分析节点,日志数据流经每一个分析节点相当于进行了一次筛选。直至待分析日志从有向无环图的最后一个节点输出,输出的即为威胁事件对应的目标行为特征日志。
    28.由以上技术方案可知,本技术实施例提供的基于威胁行为的实时检测方法,能够根据威胁事件的发生场景选取的应用语义,按照威胁事件的分析策略,排序组合成语义规则模板。再根据语义规则模板生成用于筛选威胁事件对应的目标行为特征日志的有向无环图。有向无环图的分析节点与语义规则模板中的应用语义对应,再通过有向无环图的分析节点对待分析日志进行特征行为检测,由最后一个节点输出威胁事件对应的目标行为特征日志。通过有向无环图对海量数据进行有序分析,解决了静态网络分析威胁事件缺乏时效性的问题。
    29.图2为一种基于威胁行为的实时检测方法的步骤结构示意图。图3为本技术实施例提供的一种基于威胁行为的实时检测方法步骤s103的流程图。
    30.在一个实施例中,如图2和图3所示,步骤s103可以包括以下步骤:步骤s201,根据所述语义规则模板是生成语义规则对象树;所述语义规则对象树中包含与所述语义规则模板中的多个所述应用语义的排序相对应的多个节点。
    31.具体地,语义规则模板不能直接转化为有向无环图,因此需要根据语义规则模板中应用语义的类别以及排序生成用于构建有向无环图的语义规则对象树。语义规则对象树的顺序结构(节点的排布)对应语义规则模板中应用语义执行的顺序。
    32.示例地,设置用于筛选“永恒之蓝”威胁事件对应的目标行为特征日志的日志过滤事件后,又通过添加序列分析事件,得到日志过滤事件的顺序,将日志过滤事件按顺序排列并于序列分析事件进行组合,得到“永恒之蓝”对应的语义规则模板。生成所述语义规则模板的过程即为图2中的页面自定义规则的过程。再根据语义规则模板生成语义规则对象树。
    33.语义规则对象树包含多个节点,例如“永恒之蓝”对应的语义规则对象树中的节点对应的应用语义为日志过滤和序列分析。且语义规则对象树中的多个节点按顺序分布,所述顺序依据语义规则模板中应用语义的执行顺序决定。例如,三个日志过滤事件在语义规则对象树中对应三个节点,所述三个节点为并行节点;序列分析事件在语义规则对象树中
    也对应一个节点,因序列分析事件与日志过滤事件并不属于同一类事件,因此二者对应的节点互为串行节点。
    34.步骤s202,根据所述语义规则对象树构建所述有向无环图。
    35.具体地,根据语义规则对象树可以构建有向无环图,有向无环图的分析节点与语义规则对象树中的节点一一对应。且待分析日志从有向无环图的根节点流入,从有向无环图的最后一个节点流出,待分析日志在有向无环图中的流动顺序与语义规则对象树中的顺序结构以及语义规则模板中应用语义的执行顺序均保持一致。
    36.示例地,图4为有向无环图的一个示例性的结构图,下面结合图4对“永恒之蓝”的目标行为特征日志筛选进行说明。用于筛选“永恒之蓝”的待分析日志从有向无环图的根节点进入,并流向最后一个节点。其流动过程中,先流经有向无环图中的水印标记节点,进行日志数据标记,以确保有向无环图不对重复的数据进行筛选,提高了筛选效率;然后经日志过滤a、日志过滤b、日志过滤c三个并行分析节点进行分流筛选,并行节点分流筛选提升了数据筛选的速度。经日志筛选过滤后的事件从各自的并行节点流出,再流入序列分析对应的串行分析节点。
    37.其中,日志过滤和序列分析是不同的应用语义,因此对应的分析节点为串行节点。而日志过滤a、日志过滤b和日志过滤c同为与日志过滤相关的应用语义,且“永恒之蓝”的攻击特点是分别对网络设施中的几个部分进行攻击,因此所述三个日志过滤事件是并列关系,因此对应三个并行节点。
    38.最后,序列分析对应的分析节点生成计算单元对待分析日志按照日志过滤事件发生的时间顺序进行先后排列,生成“永恒之蓝”的日志攻击序列,并由有向无环图的最后一个节点输出“永恒之蓝”对应的目标行为特征日志。其中,在由最后一个节点输出对应的目标行为特征日志之前,还通过数据流顺序确认分析节点保证日志数据的流向正确。
    39.进一步地,若已知“永恒之蓝”的日志攻击序列,即可以如图2所示对“永恒之蓝”进行规则预定义,将由语义规则模板生成的语义规则对象树转换为语义规则配置文件直接保存到规则库中进行使用。图5为本技术实施例提供的日志筛选方法步骤s103的另一种执行方式的流程图。
    40.在一个实施例中,如图2和图5所示,步骤s103还可以包括以下步骤:步骤s301,将所述语义规则对象树转换为语义规则配置文件,并将所述语义规则配置文件保存在规则库中。
    41.具体地,语义规则对象树和语义规则配置文件之间可以互相转换,语义规则的管理采用业务流程建模(business process modeling language,bpml),这种表述方式大大优化了软件开发和运行效率,因此语义规则配置文件多采用可扩展标记语言(extensible markup language,xml)格式。语义规则配置文件将语义规则对象树解析出的数据内容和组织方式以文件的形式体现,便于保存在规则库中以便调用。在对威胁事件进行日志筛选时,若规则库中有与威胁事件筛选相对应的语义规则配置文件,就可以直接调用,节省了构建语义规则模板的时间,提高了日志筛选的效率。
    42.示例地,因为已知“永恒之蓝”的攻击序列,所以直接解析“永恒之蓝”的语义规则对象树,得到语义规则对象树的数据内容和组织方式,并以此生成“永恒之蓝”语义规则配置文件,存入规则库中用于日后的“永恒之蓝”威胁事件的日志筛选。
    43.步骤s302,将所述规则库中的所述语义规则配置文件解析成所述语义规则对象树。
    44.具体地,在执行威胁事件对应的日志筛选前,可以根据威胁事件在规则库中对相关的语义规则配置文件进行搜索,若已经有相应的语义规则配置文件,则直接调用语义规则配置文件生成语义规则对象树。
    45.示例地,在收到筛选“永恒之蓝”对应的日志指令之后,在规则库中搜索与“永恒之蓝”对应的语义规则配置文件。搜索成功后,直接对语义规则配置文件进行调用,根据语义规则配置文件生成语义规则对象树。
    46.步骤s303,根据所述语义规则对象树构建所述有向无环图。
    47.根据对象树构建有向无环图的过程已经做出过说明,在此不再赘述。
    48.进一步地,在规则库中进行规则变更监控,在威胁事件发生变更时,对相应的语义规则模板或语义规则配置文件进行更新,生成新的语义规则对象树,进而更新有向无环图对变更后的威胁事件对应的日志进行筛选。图6为威胁事件发生变更时更新语义规则模板进而更新有向无环图的流程图。图7为威胁事件发生变更时更新语义规则配置文件进而更新有向无环图的流程图。
    49.在一个实施例中,如图6所示,当威胁事件发生变更时,还包括:步骤s401,根据变更后的所述目标威胁事件对多个应用语义进行重新排序组合,以更新所述语义规则模板。
    50.具体地,在对待分析日志进行筛选地过程中规则库中一直进行规则变更监控,当威胁事件发生变更,以及对威胁事件的筛选条件进行修改时,均会被规则变更监控发现,并对变更后的应用语义重新进行排序,生成新的语义规则模板。
    51.示例地,业务部门通常通过以下应用语义对威胁事件的日志进行筛选:在工作日时间范围内,当前3小时的tcp平均流量超过一周时间内tcp平均流量的30%的阈值。其中涉及到日志过滤以及阈值比较两个应用语义,根据所述两个应用语义建立语义规则模板,最终生成有向无环图对威胁事件对应的日志进行筛选。因阈值设置范围较为宽松,发现在工作时间内很多关于威胁事件的日志为错误输出,所以要对应用语义做出修改,更新有向无环图,提高威胁时间的日志筛选准确率。
    52.步骤s402,根据更新后的所述语义规则模板更新所述规则库中的所述语义规则对象树。
    53.示例地,将当前3小时的tcp平均流量超过一周时间内tcp平均流量的30%阈值调整为当前1小时内的tcp平均流量超过一周时间的40%阈值。在规则变更监控发现这一变化时,立刻对语义规则模板中应用语义的过滤条件做出调整,并生成新的语义规则模板。
    54.步骤s403,根据更新后的所述语义规则对象树更新有向无环图。
    55.在生成新的语义规则模板后,按照根据语义规则模板构建有向无环图的步骤构建新的有向无环图,对威胁事件对应的日志进行筛选,最终得到威胁事件对应的日志。需要说明的是,在构建新的有向无环图的过程中,旧的有向无环图仍在对数据进行筛选,因此在语义规则发生变化时,构建新的有向无环图并不影响当前待分析日志的筛选,也不会影响当前网络防护功能的正常运行。
    56.进一步地,在当前威胁事件发生变更时,若在规则库中有变更后的威胁事件对应
    的语义规则配置文件,如图7所示,当威胁事件发生变更时,还包括:步骤s501,根据变更后的所述目标威胁事件,更新所述规则库中的所述语义规则配置文件。
    57.具体地,更新所述规则库中的所述语义规则配置文件包括:调用规则库中与所述目标威胁事件对应的语义规则配置文件;根据所述目标威胁事件对应的语义规则对象树转化语义规则配置文件并保存至规则库。
    58.示例地,业务部门对变更前的威胁事件对应的日志筛选结束后,准备对变更后的威胁事件对应的日志进行筛选。在构建新的语义规则模板前,对规则库中进行搜索,发现规则库中已有变更后的威胁事件对应的语义规则配置文件,直接调用所述语义规则配置文件。
    59.在另一实施例中,对规则库进行搜索后,未发现规则库中有变更后的威胁事件对应的语义规则配置文件,由于已知变更后的威胁事件的攻击序列特征,因此直接将变更后的威胁事件对应的语义规则对象树转化成语义规则配置文件保存至规则库中以供使用。
    60.步骤s502,根据更新后的所述语义规则配置文件更新所述语义规则对象树。
    61.步骤s503,根据更新后的所述语义规则对象树更新有向无环图。
    62.示例地,业务部门根据已有的变更后的威胁事件对应的语义规则配置文件或是根据变更后的威胁事件特征在规则库中预定义的语义规则配置文件生成变更后的威胁事件的语义规则对象树。再根据语义规则对象树构建用于筛选变更后的威胁事件对应的日志的有向无环图,最后由有向无环图的最后一个节点输出目标行为特征日志。
    63.由此,在对威胁事件对应的日志进行筛选的同时还具有在线更新有向无环图的功能,以应对多发性的网络攻击,提高了威胁事件筛选的时效性。
    64.下面是本技术的系统实施例,提供了一种基于威胁行为的实时检测系统。所述系统可用于执行本技术的方法实施例,本技术的系统实施例中未公开的细节,请参照本技术的方法实施例。
    65.图8为本技术实施例提供的一种基于威胁行为的实时检测系统的结构框图。
    66.所述系统如图8所示,包括:规则添加模块、规则构建模块和分析模块;所述规则添加模块用于根据威胁事件的发生场景选取多个应用语义,所述多个应用语义对应至少一个日志事件,所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个;所述规则添加模块还用于根据所述威胁事件的分析策略,将所述多个应用语义进行排序组合,得到用于分析所述威胁事件的语义规则模板;所述规则构建模块用于根据语义规则模板构建用于日志分析的有向无环图,所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点;所述分析模块用于将待分析的日志输入到所述有向无环图中,以通过所述有向无环图从所述待分析的日志中检查出所述威胁事件对应的目标行为特征日志。
    67.本技术实施例提供的基于威胁行为的实时检测系统,能够根据威胁事件的发生场景选取的应用语义,按照威胁事件的分析策略,排序组合成语义规则模板。再根据语义规则模板生成用于筛选威胁事件对应的目标行为特征日志的有向无环图。有向无环图的分析节
    点与语义规则模板中的应用语义对应,再通过有向无环图的分析节点对待分析日志进行实时检测,由最后一个节点输出威胁事件对应的目标行为特征日志。通过有向无环图对海量数据进行有序分析,解决了静态网络分析威胁事件缺乏时效性的问题。
    68.本技术提供的实施例之间的相似部分相互参见即可,以上提供的具体实施方式只是本技术总的构思下的几个示例,并不构成本技术保护范围的限定。对于本领域的技术人员而言,在不付出创造性劳动的前提下依据本技术方案所扩展出的任何其他实施方式都属于本技术的保护范围。

    技术特征:
    1.一种基于威胁行为的实时检测方法,其特征在于,包括:根据威胁事件的发生场景选取多个应用语义,所述多个应用语义对应至少一个日志事件,所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个;根据所述威胁事件的分析策略,将所述多个应用语义进行排序组合,得到用于分析所述威胁事件的语义规则模板;根据语义规则模板构建用于日志分析的有向无环图,所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点;将待分析的日志输入到所述有向无环图中,以通过所述有向无环图从所述待分析日志中检查出所述威胁事件对应的目标行为特征日志。2.根据权利要求1所述的方法,其特征在于,所述根据语义规则模板构建用于日志分析的有向无环图之前,还包括:根据所述语义规则模板生成语义规则对象树;所述语义规则对象树中包含与所述语义规则模板中的多个所述应用语义的排序相对应的多个节点。3.根据权利要求2所述的方法,其特征在于,所述根据所述语义规则模板生成语义规则对象树之后,还包括:将所述语义规则对象树转换为语义规则配置文件,并将所述语义规则配置文件保存在规则库中。4.根据权利要求2所述的方法,其特征在于,所述根据语义规则模板构建用于日志分析的有向无环图,包括:根据所述语义规则对象树构建所述有向无环图。5.根据权利要求3所述的方法,其特征在于,所述根据语义规则模板构建用于日志分析的有向无环图,包括:将所述规则库中的所述语义规则配置文件解析成所述语义规则对象树;根据所述语义规则对象树构建所述有向无环图。6.根据权利要求1所述的方法,其特征在于,所述将待分析日志输入到所述有向无环图中,以通过所述有向无环图从所述待分析的日志中检查出所述威胁事件对应的目标行为特征日志的步骤包括:将所述待分析日志输入到所述有向无环图中的第一个节点,以使所述待分析日志从所述有向无环图中的第一个节点向所述有向无环图中的最后一个节点流动,并从所述有向无环图中的最后一个节点输出所述目标行为特征日志;其中,所述有向无环图中的各个分析节点分别根据其对应的所述应用语义对所述待分析日志进行筛选检查。7.根据权利要求1所述的方法,其特征在于,所述分析节点包括并行节点和串行节点;其中,所述语义规则模板中的一个应用语义对应一个串行节点或多个并行节点;所述串行节点用于将前一个节点输出的待分析日志数据作为输入数据;所述并行节点用于对待分析日志数据进行分流处理。8.根据权利要求2所述的方法,其特征在于,当目标威胁事件发生变更时,还包括:根据变更后的所述目标威胁事件对多个应用语义进行重新排序组合,以更新所述语义规则模板;
    根据更新后的所述语义规则模板更新所述规则库中的所述语义规则对象树;根据更新后的所述语义规则对象树更新有向无环图。9.根据权利要求3所述的方法,其特征在于,当目标威胁事件发生变更时,还包括:根据变更后的所述目标威胁事件,更新所述规则库中的所述语义规则配置文件;根据更新后的所述语义规则配置文件更新所述语义规则对象树;根据更新后的所述语义规则对象树更新有向无环图。10.一种基于威胁行为的实时检测系统,其特征在于,包括:规则添加模块、规则构建模块和分析模块;所述规则添加模块用于根据威胁事件的发生场景选取多个应用语义,所述多个应用语义对应至少一个日志事件,所述日志事件包括日志过滤、日志关联、日志统计、阈值比较和序列分析中的一个或者多个;所述规则添加模块还用于根据所述威胁事件的分析策略,将所述多个应用语义进行排序组合,得到用于分析所述威胁事件的语义规则模板;所述规则构建模块用于根据语义规则模板构建用于日志分析的有向无环图,所述有向无环图包含与所述多个应用语义及其排序相对应的多个分析节点;所述分析模块用于将待分析的日志输入到所述有向无环图中,以通过所述有向无环图从所述待分析的日志中检查出所述威胁事件对应的目标行为特征日志。

    技术总结
    本申请实施例提供了一种基于威胁行为的实时检测方法与系统,应用于计算机安全管理技术领域。通过根据威胁事件的发生场景选取应用语义,按照威胁事件的分析策略,排序组合成语义规则模板或语义规则配置文件。再根据语义规则模板或语义规则配置文件生成语义规则对象树,语义规则对象树中包含了与语义规则模板中的应用语义对应的节点。最后根据语义规则对象树生成用于分步骤检查威胁事件对应的目标行为特征日志的有向无环图。在威胁事件发生变更时,也可以重新定义语义规则模板或语义规则配置文件进而生成新的语义规则对象树,更新有向无环图对变更后的威胁事件对应的目标行为特征日志进行实时检测,解决了静态网络分析威胁事件缺乏时效性的问题。事件缺乏时效性的问题。事件缺乏时效性的问题。


    技术研发人员:张洋
    受保护的技术使用者:北京安博通金安科技有限公司
    技术研发日:2022.04.24
    技术公布日:2022/5/25
    转载请注明原文地址:https://tc.8miu.com/read-7115.html

    专利

    最新回复(0)