一种失陷主机的识别方法及装置的制造方法

文档序号:10555588
一种失陷主机的识别方法及装置的制造方法
【专利摘要】本发明公开了一种失陷主机的识别方法及装置,包括:根据流量日志对主机进行基线分析,得到主机的基线信息;根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息;根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。
【专利说明】
_种失陷主机的识别方法及装置
技术领域
[0001]本发明涉及网络安全领域中的失陷主机识别技术,尤其涉及一种失陷主机的识别方法及装置。
【背景技术】
[0002]当前,公司、学校、政府等组织的IT资产受到多方面的威胁。IT资产包括组织内部的终端主机(例如员工的办公PC和办公用途的智能手机)、服务器主机、业务软件和业务数据。
[0003]IT资产面临来自外部黑客的威胁。一方面,黑客可能通过制作钓鱼网站,发送恶意邮件等方式将恶意软件植入员工的终端主机。另一方面,黑客也可能会对暴露在公网的服务器主机发起漏洞攻击,通过软件漏洞进行入侵。黑客攻击主机的目的多种多样。有些是为了将主机变成僵尸(bot),驱使bot进行拒绝服务(DoS,Denial of Service)攻击,发送垃圾邮件或假造广告点击从而获利。有些则是以被攻陷的主机作为跳板攻击其他更有价值的主机,例如公司核心领导的办公电脑,从而获得其中的关键数据。
[0004]IT资产也面临来自组织内部的威胁。例如,将要离职的员工可能从公司的客户关系管理(CRM,Customer Relat1nship Management)系统中获取客户数据并上传到私人的邮箱。商业间谍可能以加入组织的方式,获得组织内部主机的使用权,以此为跳板攻击其他的终端主机和服务器主机。在这些情况下组织在互联网边界部署的防御措施,例如防火墙、入侵防御系统(IPS,Intrus1n Prevent1n System)和入侵检测系统(IDS,Intrus1nDetect1n Systems),都形同虚设。
[0005]从上面的描述可以看到,组织的IT资产面临的威胁多种多样,但其中有两个核心,“主机”和“网络”。此处,主机是指组织内部的终端主机,网络设备或服务器主机。此处的网络是指因特网(Internet)和组织的内部网络。攻击者将主机作为攻击目标,或者利用被自己攻陷的主机发起恶意行为。而网络则是攻击者进行攻击的渠道,攻击者的攻击行动和攻击后果都会在网络流量上有所反应。
[0006]将被外部黑客攻破,或者被内部的恶意人员用于恶意目的的主机统一称为失陷主机。失陷主机的出现意味着组织的IT资产受到了威胁。通过对主机的网络流量的分析,能够有效判断哪些主机已经成为失陷主机。
[0007]现在有很多根据网络流量进行异常检测的方法。例如通过网络流量对僵尸网络(botnet)进行启发性分析。在这种方法中会首先判决网络流量中哪些流量属于异常流量,然后根据这些流量与botnet的关联性为这些流量打上分数,最终根据主机在一段时间内各种异常流量的分数综合对主机进行打分,进而判决主机是否成为bot。
[0008]类似的方法还有很多,但其试图发现的异常仅仅只限于某个指定场景,例如恶意软件。当网络流量中的异常流量并不是由其限定场景引起时,其分析的基础就荡然无存了。通过网络流量对失陷主机进行分析,需要意识到异常事件可以指示多种场景下。
[0009]在黑客进行高级持续性威胁(APT,Advanced Persistent Threat)攻击时,可能在被入侵的主机的网络流量中观察到:
[0010](I)恶意软件的植入过程;
[0011](2)对内网其他主机的扫描;
[0012](3)对内网其他主机的漏洞攻击;
[0013](4)从公司的资源服务器上在短时间内大量下载文件;
[0014](5)在同一时间内,主机通过加密信道向外部服务器上传文件。
[0015]将要离职的员工偷窃公司的客户数据时,可能在其使用的主机的网络流量中观察到:
[0016](I)从公司的资源服务器上在短时间内大量下载文件;
[0017](2)通过加密信道向外部服务器上传文件。
[0018]从上面的例子可以看出,从公司资源服务器下载大量文件和通过加密信道向外部服务器上传文件这两种行为在上面两个场景都出现了。如果不考虑场景,仅仅从异常事件本身出发,显然无法正确的对异常事件进行评价。
[0019]进一步地,直接通过异常流量对场景进行判决也存在其局限性。在各个场景下,威胁行为实际上可以分成多个固有环节。例如在botnet场景下,黑客入侵目标主机的过程基本上可以分为:发现目标主机_〉攻击目标主机_〉控制目标主机_〉将目标主机作为bot进行非法活动。
[0020]在每一个环节,都可能发现多种异常流量,其背后的原因是黑客为逃逸已有的检测方法,会尝试多种手段,对已有手段又会进行各种变化。如果多种异常流量只能指示一个攻击环节,那无论捕获到的有多少,其指示作用都是有限的。

【发明内容】

[0021]为解决上述技术问题,本发明实施例提供了一种失陷主机的识别方法及装置。
[0022]本发明实施例提供的失陷主机的识别方法,包括:
[0023]根据流量日志对主机进行基线分析,得到主机的基线信息;
[0024]根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息;
[0025]根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;
[0026]根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;
[0027]根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。
[0028]本发明实施例中,所述根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值,包括:
[0029]将所述异常事件映射到场景内的各个攻击环节;
[0030]基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分;
[0031]基于场景下各个环节的分数,为场景发生的可能性进行打分;
[0032]基于场景发生的状态下,为所述主机对组织的资产造成的威胁性进行打分。
[0033]本发明实施例中,所述主机的基线包括以下至少之一:
[0034]所述主机对外开放的传输控制协议(TCP,Transmiss1n Control Protocol)/用户数据报协议(UDP,User Datagram Protocol)端口上的数据量和连接数;
[0035]所述主机与其他内网主机的通讯量;
[0036]所述主机上传到因特网的数据量。
[0037]本发明实施例中,所述主机所在网络中的异常事件包括以下至少之一:
[0038]对恶意统一资源定位符(URL,Uniform Resoure Locator)的访问事件;
[0039]对恶意IP的访问事件;
[0040]超出基线的数据上传事件;
[0041]对内网其他主机的扫描事件;
[0042]IPS和AV的告警事件。
[0043]本发明实施例中,所述主机的身份信息包括主机的类型以及主机上运行的业务;
[0044]所述场景分值包括可能性评估值和威胁性评估值。
[0045]本发明实施例提供的失陷主机的识别装置,包括:
[0046]基线分析单元,用于根据流量日志对主机进行基线分析,得到主机的基线信息;
[0047]身份识别单元,用于根据流量日志对主机进行基线分析,得到主机的基线信息;
[0048]异常分析单元,用于根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;
[0049]场景分析单元,用于根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;
[0050]失陷判定单元,用于根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。
[0051 ]本发明实施例中,所述场景分析单元包括:
[0052]映射子单元,用于将所述异常事件映射到场景内的各个攻击环节;
[0053]第一评分单元,用于基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分;
[0054]第二评分单元,用于基于场景下各个环节的分数,为场景发生的可能性进行打分;
[0055]第三评分单元,用于基于场景发生的状态下,为所述主机对组织的资产造成的威胁性进行打分。
[0056]本发明实施例中,所述主机的基线包括以下至少之一:
[0057]所述主机对外开放的TCP/UDP端口上的数据量和连接数;
[0058]所述主机与其他内网主机的通讯量;
[0059]所述主机上传到因特网的数据量。
[0060]本发明实施例中,所述主机所在网络中的异常事件包括以下至少之一:
[0061 ] 对恶意URL的访问事件;
[0062]对恶意IP的访问事件;
[0063]超出基线的数据上传事件;
[0064]对内网其他主机的扫描事件;
[0065]IPS和AV的告警事件。
[0066]本发明实施例中,所述主机的身份信息包括主机的类型以及主机上运行的业务;
[0067]所述场景分值包括可能性评估值和威胁性评估值。
[0068]本发明实施例的技术方案中,根据流量日志对主机进行基线分析,得到主机的基线信息;根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息;根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。如此,通过分析组织的网络流量,在多个预设场景下对组织的内网主机进行评分,最终发现失陷主机。通过对本发明实施例的实施,不但能够识别被植入恶意软件的主机,也能够分析出被恶意员工用于盗取组织数据的主机。
【附图说明】
[0069]图1为本发明实施例一的失陷主机的识别方法的流程示意图;
[0070]图2为本发明实施例二的失陷主机的识别方法的流程示意图;
[0071]图3为本发明实施例的失陷主机的识别装置的结构组成示意图;
[0072]图4为本发明实施例的场景分析单元的结构组成示意图。
【具体实施方式】
[0073]为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
[0074]本发明实施例的技术方案,通过异常流量对攻击环节进行启发性的分析,对各个环节发生的可能性进行判决,最终综合各个环节关联的判决结果最终对场景进行判决。
[0075]图1为本发明实施例一的失陷主机的识别方法的流程示意图,本发明实施例应用于失陷主机的识别装置,所述失陷主机的识别装置可以通过服务器或服务器集群来实现。所述失陷主机的识别装置至少包括:基线分析单元、身份识别单元、异常分析单元、场景分析单元、失陷判定单元。如图1所示,所述失陷主机的识别方法包括以下步骤:
[0076]步骤101:根据流量日志对主机进行基线分析,得到主机的基线信息。
[0077]本发明实施例中,首先获取来自络设备的流量日志。例如,交换机、路由器、上网行为管理设备等的流量日志。这里,流量日志不仅仅局限于网络的三四层信息,还可以包含流量的应用层识别信息,应用层识别信息包括但不仅限于流量的应用种类、应用的请求信息和应答信息。
[0078]在本发明一实施方式中,除了获取流量日志,还可以获取来自安装在各个主机上的客户端发送过来的日志。这里,客户端可以收集主机上的信息,生成流量日志和安全日
V 1、1、O
[0079]在本发明一实施方式中,除了流量日志以外,还可以获取从网络设备镜像过来的网络数据报文。本发明实施例中,可以设置网络数据报文的流量审计单元和安全审计单元,通过流量审计单元能够生成流量日志,通过安全审计单元能够生成安全日志。
[0080]本发明实施例中,失陷主机的识别装置还包括日志存储单元,用于存储各种类型的日志,包括流量日志、安全日志等。然后,由基线分析单元根据流量日志对主机进行基线分析,得到主机的基线信息。
[0081]这里,所述主机的基线包括但不局限于以下至少之一:
[0082]所述主机对外开放的TCP/UDP端口上的数据量和连接数;
[0083]所述主机与其他内网主机的通讯量;
[0084]所述主机上传到因特网的数据量。
[0085]步骤102:根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息。
[0086]本发明实施例中,所述配置信息为用户对IT资产的描述信息,包含特定主机上运行的业务、敏感文件名等。
[0087]本发明实施例中,身份识别单元根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息。
[0088]这里,所述主机的身份信息包括主机的类型以及主机上运行的业务。
[0089]其中,主机类型包括但不局限于为以下类型:服务器、移动终端、笔记本(PC)、网关。
[0090]主机上运行的业务包括但不局限于为以下业务:结构化查询语言(SQL,Structured Query Language)服务、超文本传输协议(HTTP,Hyper Text TransferProtocol)服务。
[0091]步骤103:根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件。
[0092]本发明实施例中,需要获取来自络设备的安全日志。例如,统防火墙、下一代防火墙、IPS/IDS、病毒引擎等的安全日志。
[0093]本发明实施例中,还需要获取来自外部的情报数据。例如,恶意网址、恶意URL、域名系统(DNS,Domain Name System)信息和域名注册信息等。
[0094]本发明实施例中,所述主机所在网络中的异常事件包括但不局限于以下信息:
[0095 ] 对恶意URL的访问事件;
[0096]对恶意IP的访问事件;
[0097]超出基线的数据上传事件;
[0098]对内网其他主机的扫描事件;
[0099]IPS和AV的告警事件。
[0100]步骤104:根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值。
[0101]本发明实施例中,场景分析单元预制多个场景,包括但不局限于:Botnet场景、内部员工盗取数据场景、服务器挂马场景。根据主机的身份信息,对主机进行与其身份相适应的场景分析。例如当主机身份为工作PC时,不会对其进行服务器挂马场景分析。
[0102]所述根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值,包括:
[0103]将所述异常事件映射到场景内的各个攻击环节;
[0104]基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分;
[0105]基于场景下各个环节的分数,为场景发生的可能性进行打分;
[0106]基于场景发生的状态下,为所述主机对组织的资产造成的威胁性进行打分。
[0107]基于此,所述场景分值包括可能性评估值和威胁性评估值。
[0108]步骤105:根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。
[0109]本发明实施例中,综合主机的身份信息,主机在各个场景下的场景分值,通过场景与身份的关系以及场景之间的关系,确认可能性最高的几个场景,最终给出主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。
[0110]本发明实施例中,最终得到组织的各个内网主机在预定的每个场景下的失陷可能性分值和对组织的威胁性分值,以及综合各个场景进行判断后,内网主机失陷的可能性分值和对用户组织的威胁性分值。
[0111]图2为本发明实施例二的失陷主机的识别方法的流程图,在本发明实施例中,由下一代防火墙对特定组织的网络流量进行审计,包括组织网络中内网主机之间的流量和组织网络中内网主机去往外网的流量。下一代防火墙可以获得流量日志、URL日志、DNS日志、IPS日志和AV日志。下一代防火墙的流量日志中包含连接的应用信息。本发明实施例的失陷主机的识别方法应用于失陷主机的识别装置中,所述失陷主机的识别装置包括:日志存储单元、基线分析单元、身份识别单元、异常分析单元、场景分析单元、失陷判定单元。如图2所示,所述流程包括以下步骤:
[0112]步骤201:日志通过日志存储单元进入装置。
[0113]步骤202:基线分析。
[0114]当日志进入装置后,装置调用基线分析单元。根据对流量日志的分析,基线分析单元对某个内网IP得到如下信息:
[0115]其他IP向该IP发起的传输控制协议(TCP,Transmiss1n Control Protocol)连接数和该IP主动发起的TCP连接数;
[0116]该IPtop应用的日均流量;
[0117]该IP流量和连接数的小时趋势。
[0118]步骤203:身份识别。
[0119]装置调用身份识别单元,根据基线分析结果,身份识别单元判定该IP为办公用PC,主要逻辑为:
[0120]外部IP访问该IP的日均连接数低于门限;
[0121 ]该IP的流量小时趋势峰值连续数日在工作时间;
[0122]该IP访问外网的主要应用为网页(web)浏览类应用。
[0123]步骤204:异常分析。
[0124]异常分析单元根据外部威胁情报、URL日志、AV日志、IPS日志、流量日志,识别出发生在同一天的以下异常事件:
[0125]根据AV日志,关联出该IP下载了病毒;
[0126]根据流量日志,关联出该IP对内网地址段使用因特网控制报文协议(ICMP,Internet Control Message Protocol)进行了扫描;
[0127]根据IPS日志,关联出该IP对某几个内网地址发起了安全外壳协议(SSH,SecureShel I)暴力破解。
[0128]步骤205:场景分析。
[0129]场景分析单元根据主机身份识别结果,对异常事件基于以下场景进行了分析:Botnet场景、内部员工盗取数据场景。
[0130]其中,在Botnet场景下的可能环节为:
[0131]受到外网攻击;
[0132]装置权限被侵占;
[0133]寻找命令控制(Command Control)服务器;
[0134]建立CommandControl连接;
[0135]扫描其他主机;
[0136]对其他主机进行攻击。
[0137]根据异常分析单元的结果,场景分析单元在botnet场景将异常事件映射到3个环节:受到外网攻击、扫描其他主机、对其他主机进行攻击。由于异常事件的信息充分,该主机在3个环节的评分都很高,最终在该场景获得了较高的评分。
[0138]在内部员工盗取数据场景,可能环节为:
[0139]获取服务器访问权限;
[0140]从关键资源服务器获取资源;
[0141]向外网泄露关键信息。
[0142]根据异常分析单元的结果,场景分析单元在盗取数据场景将异常事件映射到I个环节:获取服务器访问权限。由于缺乏其他两个环节的异常事件,该场景的得分较低。
[0143]步骤206:失陷主机判定。
[OH4]综合Botnet场景和内部员工盗取数据场景下的评分,最终确定可能性较高的场景为Botnet场景。由于两个场景之间不具有任何关联型,因此主机的最终评分继承Botnet场景的评分。
[0145]图3为本发明实施例的失陷主机的识别装置的结构组成示意图,如图3所示,所述失陷主机的识别装置包括:
[0146]基线分析单元31,用于根据流量日志对主机进行基线分析,得到主机的基线信息;
[0147]身份识别单元32,用于根据流量日志对主机进行基线分析,得到主机的基线信息;
[0148]异常分析单元33,用于根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件;
[0149]场景分析单元34,用于根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值;
[0150]失陷判定单元35,用于根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。
[0151]参照图4,本发明实施例中,所述场景分析单元34包括:
[0152]映射子单元341,用于将所述异常事件映射到场景内的各个攻击环节;
[0153]第一评分单元342,用于基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分;
[0154]第二评分单元343,用于基于场景下各个环节的分数,为场景发生的可能性进行打分;
[0155]第三评分单元344,用于基于场景发生的状态下,为所述主机对组织的资产造成的威胁性进行打分。
[0156]所述主机的基线包括以下至少之一:
[0157]所述主机对外开放的TCP/UDP端口上的数据量和连接数;
[0158]所述主机与其他内网主机的通讯量;
[0159]所述主机上传到因特网的数据量。
[0160]所述主机所在网络中的异常事件包括以下至少之一:
[0161]对恶意URL的访问事件;
[0162]对恶意IP的访问事件;
[0163]超出基线的数据上传事件;
[0164]对内网其他主机的扫描事件;
[0165]IPS和AV的告警事件。
[0166]所述主机的身份信息包括主机的类型以及主机上运行的业务;
[0167]所述场景分值包括可能性评估值和威胁性评估值。
[0168]本发明实施例中,所述失陷主机的识别装置可以通过服务器或服务器集群实现。
[0169]本领域技术人员应当理解,图3所示的失陷主机的识别装置中的各单元及子单元的实现功能可参照前述失陷主机的识别方法的相关描述而理解。图3所示的失陷主机的识别装置中的各单元及子单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。
[0170]本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
[0171]在本发明所提供的几个实施例中,应该理解到,所揭露的方法和智能设备,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个装置,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
[0172]上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
[0173]另外,在本发明各实施例中的各功能单元可以全部集成在一个第二处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0174]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
【主权项】
1.一种失陷主机的识别方法,其特征在于,所述方法包括: 根据流量日志对主机进行基线分析,得到主机的基线信息; 根据流量日志、配置信息和所述主机的基线信息,识别主机的身份信息; 根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件; 根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值; 根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。2.根据权利要求1所述的失陷主机的识别方法,其特征在于,所述根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值,包括: 将所述异常事件映射到场景内的各个攻击环节; 基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分; 基于场景下各个环节的分数,为场景发生的可能性进行打分; 基于场景发生的状态下,为所述主机对组织的资产造成的威胁性进行打分。3.根据权利要求1所述的失陷主机的识别方法,其特征在于,所述主机的基线包括以下至少之一: 所述主机对外开放的传输控制协议TCP/用户数据报协议UDP端口上的数据量和连接数; 所述主机与其他内网主机的通讯量; 所述主机上传到因特网的数据量。4.根据权利要求3所述的失陷主机的识别方法,其特征在于,所述主机所在网络中的异常事件包括以下至少之一: 对恶意统一资源定位符URL的访问事件; 对恶意IP的访问事件; 超出基线的数据上传事件; 对内网其他主机的扫描事件; 入侵防御系统IPS和AV的告警事件。5.根据权利要求1至4任一项所述的失陷主机的识别方法,其特征在于, 所述主机的身份信息包括主机的类型以及主机上运行的业务; 所述场景分值包括可能性评估值和威胁性评估值。6.一种失陷主机的识别装置,其特征在于,所述装置包括: 基线分析单元,用于根据流量日志对主机进行基线分析,得到主机的基线信息; 身份识别单元,用于根据流量日志对主机进行基线分析,得到主机的基线信息; 异常分析单元,用于根据流量日志、安全日志、所述主机的基线信息、所述主机的身份信息、外部情报数据和资产标识信息,识别所述主机所在网络中的异常事件; 场景分析单元,用于根据所述主机的身份信息和所述异常事件,对所述主机进行场景分析,得到所述主机在各个场景下的场景分值; 失陷判定单元,用于根据所述主机的身份信息和所述主机在各个场景下的场景分值,确定所述主机的失陷可能性分值以及所述主机对组织的资产的威胁性分值。7.根据权利要求6所述的失陷主机的识别装置,其特征在于,所述场景分析单元包括: 映射子单元,用于将所述异常事件映射到场景内的各个攻击环节; 第一评分单元,用于基于异常事件对攻击环节的指示和关联,结合所述主机的身份信息对攻击环节发生的可能性进行打分; 第二评分单元,用于基于场景下各个环节的分数,为场景发生的可能性进行打分;第三评分单元,用于基于场景发生的状态下,为所述主机对组织的资产造成的威胁性进行打分。8.根据权利要求6所述的失陷主机的识别装置,其特征在于,所述主机的基线包括以下至少之一: 所述主机对外开放的TCP/UDP端口上的数据量和连接数; 所述主机与其他内网主机的通讯量; 所述主机上传到因特网的数据量。9.根据权利要求8所述的失陷主机的识别装置,其特征在于,所述主机所在网络中的异常事件包括以下至少之一: 对恶意URL的访问事件; 对恶意IP的访问事件; 超出基线的数据上传事件; 对内网其他主机的扫描事件; IPS和AV的告警事件。10.根据权利要求6至9任一项所述的失陷主机的识别装置,其特征在于, 所述主机的身份信息包括主机的类型以及主机上运行的业务; 所述场景分值包括可能性评估值和威胁性评估值。
【文档编号】H04L29/06GK105915532SQ201610345020
【公开日】2016年8月31日
【申请日】2016年5月23日
【发明人】才华, 肖春天
【申请人】北京网康科技有限公司
再多了解一些
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1