高级威胁事件的处理方法、装置、终端设备和存储介质与流程

1.本发明涉及计算机技术领域，尤其涉及一种高级威胁事件的处理方法、装置、终端设备和存储介质。


背景技术：

2.网络威胁和攻击从属性上大体可划分为以下三种类型：常规威胁(conventional threat)、大规模攻击(mass attack)、定向攻击(targeted attack)。常规威胁主要指传统的病毒、木马、蠕虫、后门、恶意程序、恶意脚本、恶意网页和站点、恶意邮件、一般漏洞攻击等，通常此类威胁只涉及单一的威胁活动，不涉及复杂攻击场景；大规模攻击特指勒索、挖矿、钓鱼、在线广告诈骗这几种有组织的大规模黑产活动；定向攻击有明确政治、经济、商业、军事等意图，针对特定价值目标长期渗透获取情报或进行破坏的有组织黑客活动，按严重性又可以划分：国家级apt(advanced persistent threat，定向威胁攻击)、商业级apt、红蓝对抗等不同级别。无论是以apt为代表的定向攻击，还是以勒索、挖矿、钓鱼、广告诈骗为代表的大规模攻击，攻击者不断尝试使用新型攻击技术，企图绕过传统检测机制对目标发起攻击以达到某种目的，这种威胁我们称之为高级威胁。
3.对一个组织来说，可通过传统的签名、特征码、信誉库等技术拦截到常规威胁，但针对高级威胁而言，大量的僵尸网络、0day/n day漏洞、钓鱼邮件、无文件攻击、各类新型恶意程序变种、各类新式攻击手法等被广泛使用，让组织防不胜防，导致各类威胁事件频出，组织被渗透和入侵、核心资产被窃取、核心业务被破坏等恶性事件屡屡发生，然而组织却缺少体系化的高级威胁对抗能力，尤其针对攻击事件，常常显得束手无策力不从心。
4.传统的文件签名、特征码、信誉库等检测技术只能拦截到已知常规威胁，比如恶意病毒、木马、蠕虫、恶意url、ip地址、域名等。然而高级威胁攻击往往可以轻易绕过传统检测方式，因此需要新型的检测方式，因此近些年出现了威胁情报、沙箱、att&ck技战术等检测方式，然而，这些检测产生了大量的告警，各类告警汇总到大数据平台，在缺少上下文的同时还要对告警进行降噪、分析，最后还要整合各类产品进行联动响应，各种类型的技术和产品分而治之，整个过程非常碎片化，各技术之间没有关联，各产品之间缺少衔接，各类人员通常仅关注在自己的工作细节上，缺少对完整事件的宏观把握，在针对高级威胁攻击事件的治理过程中，没有形成有效的方法论，缺少完整的体系支撑，导致头痛医头脚痛医脚，解决了检测问题又面临告警误报问题，接下来又发现缺少上下文数据的采集和支撑，无法深入事件的分析和研判，无法沉淀有效的攻防知识库，更谈不上进一步回补和提升检测分析能力，导致针对高级威胁攻击事件的处置漏洞百出，缺少统筹，效率低下，无法应对当前错综复杂的网络威胁形势。


技术实现要素：

5.本发明意在提供一种高级威胁事件的处理方法、装置、终端设备和存储介质，以解决现有技术中存在的不足，本发明要解决的技术问题通过以下技术方案来实现。
6.第一个方面，本发明实施例提供一种高级威胁事件的处理方法，所述方法包括：
7.根据预先设置的采集规则，获取神经元执行过程中的打点信息；
8.通过预设检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息；所述预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；
9.对所述告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；
10.对所述事件报告进行整理分析，生成与所述高级威胁事件对应的知识图谱，所述知识图谱用于确定与所述高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。
11.可选地，所述打点信息至少包括：各个神经元的打点数据，所述神经元至少包括终端、网络、主机、web系统、邮件系统、数据库系统、业务系统、应用程序中的一种或多种，其中，终端的打点数据至少包括文件、进程、通讯、注册表、用户登录、账户创建及修改中的一种或多种，所述网络的打点数据至少包括横向移动数据、外联访问数据和数据流数据中的一种或多种，以及来自邮件的附件调用进程数据和外部url访问数据，所述主机的打点数据至少包括配置修改数据、实例创建及修改数据、容器运行数据和特许访问数据、所述web系统的打点数据至少包括访问者信息、文件上传、sql语句、跨站脚本中的一种或多种；所述邮件系统的打点数据至少包括邮件发件人/收件人、邮件附件、邮件内嵌url的一种或多种；数据库系统的打点数据至少包括sql语句、访问者信息的一种或多种；其他业务系统与应用程序的打点数据至少包括创建者信息、访问者信息、业务系统日志、应用程序日志中的一种或多种。
12.可选地，所述通过预设检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：
13.通过采用静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种，对所述打点信息进行检测，并根据检测结果生成告警信息，具体包括：
14.采用静态介质检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：
15.采用特征码、信誉库、威胁情报和沙箱工具对包含文件、url、ip地址、域名的静态介质的打点信息做检测，并得到检测结果；
16.若判断所述静态介质的打点信息符合可疑规则或者恶意规则，则根据所述检测结果生成告警信息；
17.采用动态行为检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：
18.采用预先建立的行为检测模型和检测规则，对包含单一行为活动的打点信息进行检测，并确定与所述单一行为活动的打点信息相关联的上下文打点信息；
19.每隔第一预设时间段，对所述单一行为活动的打点信息和所述上下文打点信息进行检测，得到检测结果；
20.若所述检测结果满足告警检测规则，则生成告警信息；
21.采用大数据检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，
包括：
22.采用大数据统计和大数据基线模型，对第二预设时间段内的打点信息进行基线建模，并根据基线规则对所述打点信息进行检测，得到检测结果；
23.若所述检测结果满足告警检测规则，则生成告警信息。
24.可选地，所述对所述告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告，包括：
25.对所述告警信息进行确认和调查，确定与所述告警信息对应的可疑事件；
26.根据预先设置的关联规则，对所述可疑事件进行上下文关联分析，生成高级威胁事件的事件报告。
27.可选地，所述对所述告警信息进行确认和调查，确定与所述告警信息对应的可疑事件，包括：
28.借助验伤规则，通过大数据关联分析，对所述告警信息进行处理，并关联上下文打点信息，确定所述可疑事件，并确定可疑事件的优先级；
29.所述根据预先设置的关联规则，对所述可疑事件进行上下文关联分析，生成高级威胁事件的事件报告，包括：
30.采用取证规则，通过大数据关联分析，对所述可疑事件执行事件调查处理，确定与所述高级威胁事件对应的攻击信息；
31.根据所述攻击信息，生成所述事件报告，所述事件包括至少包括机读报告，所述机读报告至少包括：攻击起始时间、攻击属性、攻击者意图、攻击者属性、攻击严重性、攻击影响的资产范围、攻击检测时间及响应时间、建议响应策略、完整原始日志、完整攻击链信息、完整攻击技战术标注、完整原始攻击介质及其对应的威胁情报信息中的一种或多种。
32.可选地，所述对所述事件报告进行整理分析，生成与所述高级威胁事件对应的知识图谱，包括：
33.根据所述事件，确定攻击知识图谱并确定与所述高级威胁事件对应的攻击模式,所述攻击模式至少包括各类攻击的本质和意图，以及攻击技战术模式、攻击涉及的静态介质集合以及动态行为集合中的一种或多种；
34.根据所述攻击模式，对所述采集规则、检测规则、验伤规则和取证规则进行修正。
35.可选地，所述根据所述攻击模式，对所述采集规则、检测规则、关联规则和取证规则进行修正，包括：
36.将攻击模式中的所述攻击技战术模式、攻击涉及的静态介质集合以及动态行为集合进行转换，得到修正后的采集规则、检测规则、验伤规则和取证规则。
37.第二个方面，本发明实施例提供一种高级威胁事件的处理装置，所述装置包括：
38.采集模块，用于根据预先设置的采集规则，获取神经元执行过程中的打点信息；
39.检测模块，用于通过预设检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息；所述预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；
40.分析模块，用于对所述告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；
41.反馈模块，用于对所述事件报告进行整理分析，生成与所述高级威胁事件对应的
知识图谱，所述知识图谱用于确定与所述高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。
42.可选地，所述打点信息至少包括：各个神经元的打点数据，所述神经元至少包括终端、网络、主机、web系统、邮件系统、数据库系统、业务系统、应用程序中的一种或多种，其中，终端的打点数据至少包括文件、进程、通讯、注册表、用户登录、账户创建及修改中的一种或多种，所述网络的打点数据至少包括横向移动数据、外联访问数据和数据流数据中的一种或多种，以及来自邮件的附件调用进程数据和外部url访问数据，所述主机的打点数据至少包括配置修改数据、实例创建及修改数据、容器运行数据和特许访问数据、所述web系统的打点数据至少包括访问者信息、文件上传、sql语句、跨站脚本中的一种或多种；所述邮件系统的打点数据至少包括邮件发件人/收件人、邮件附件、邮件内嵌url的一种或多种；数据库系统的打点数据至少包括sql语句、访问者信息的一种或多种；其他业务系统与应用程序的打点数据至少包括创建者信息、访问者信息、业务系统日志、应用程序日志中的一种或多种。
43.可选地，所述检测模块，用于：
44.通过采用静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种，对所述打点信息进行检测，并根据检测结果生成告警信息，具体包括：
45.所述检测模块，具体用于：
46.采用特征码、信誉库、威胁情报和沙箱工具对包含文件、url、ip地址、域名的静态介质的打点信息做检测，并得到检测结果；
47.若判断所述静态介质的打点信息符合可疑规则或者恶意规则，则根据所述检测结果生成告警信息；
48.所述检测模块，具体用于：
49.采用预先建立的行为检测模型和检测规则，对包含单一行为活动的打点信息进行检测，并确定与所述单一行为活动的打点信息相关联的上下文打点信息；
50.每隔第一预设时间段，对所述单一行为活动的打点信息和所述上下文打点信息进行检测，得到检测结果；
51.若所述检测结果满足告警检测规则，则生成告警信息；
52.所述检测模块，具体用于：
53.采用大数据统计和大数据基线模型，对第二预设时间段内的打点信息进行基线建模，并根据基线规则对所述打点信息进行检测，得到检测结果；
54.若所述检测结果满足告警检测规则，则生成告警信息。
55.可选地，所述分析模块用于：
56.对所述告警信息进行确认和调查，确定与所述告警信息对应的可疑事件；
57.根据预先设置的关联规则，对所述可疑事件进行上下文关联分析，生成高级威胁事件的事件报告。
58.可选地，所述分析模块用于：
59.借助验伤规则，通过大数据关联分析，对所述告警信息进行处理，并关联上下文打点信息，确定所述可疑事件，并确定可疑事件的优先级；
60.所述根据预先设置的关联规则，对所述可疑事件进行上下文关联分析，生成高级
威胁事件的事件报告，包括：
61.采用取证规则，通过大数据关联分析，对所述可疑事件执行事件调查处理，确定与所述高级威胁事件对应的攻击信息；
62.根据所述攻击信息，生成所述事件报告，所述事件包括至少包括机读报告，所述机读报告至少包括：攻击起始时间、攻击属性、攻击者意图、攻击者属性、攻击严重性、攻击影响的资产范围、攻击检测时间及响应时间、建议响应策略、完整原始日志、完整攻击链信息、完整攻击技战术标注、完整原始攻击介质及其对应的威胁情报信息中的一种或多种。
63.可选地，所述反馈模块用于：
64.根据所述事件，确定攻击知识图谱并确定与所述高级威胁事件对应的攻击模式,所述攻击模式至少包括各类攻击的本质和意图，以及攻击技战术模式、攻击涉及的静态介质集合以及动态行为集合中的一种或多种；
65.根据所述攻击模式，对所述采集规则、检测规则、验伤规则和取证规则进行修正。
66.可选地，所述反馈模块具体用于：
67.将攻击模式中的所述攻击技战术模式、攻击涉及的静态介质集合以及动态行为集合进行转换，得到修正后的采集规则、检测规则、验伤规则和取证规则。
68.第三个方面，本发明实施例提供一种终端设备，包括：至少一个处理器和存储器；
69.所述存储器存储计算机程序；所述至少一个处理器执行所述存储器存储的计算机程序，以实现第一个方面提供的高级威胁事件的处理方法。
70.第四个方面，本发明实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，所述计算机程序被执行时实现第一个方面提供的高级威胁事件的处理方法。
71.本发明实施例包括以下优点：
72.本发明实施例提供的高级威胁事件的处理方法、装置、终端设备和存储介质，通过根据预先设置的采集规则，获取神经元执行过程中的打点信息；通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。通过本发明实施例，实现从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效率低下、盲目建设、缺少统筹等问题。
附图说明
73.图1是本发明的一种高级威胁事件的处理方法实施例的步骤流程图；
74.图2是本发明的高级威胁分层描述模型；
75.图3是本发明的高级威胁事件治理体系；
76.图4是本发明的高级威胁事件治理流程；
77.图5是本发明的一种高级威胁事件的处理装置实施例的结构框图；
78.图6是本发明的一种终端设备的结构示意图。
具体实施方式
79.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
80.本发明一实施例提供一种高级威胁事件的处理方法，用于处理高级威胁事件。本实施例的执行主体为高级威胁事件的处理装置，设置在终端设备上，例如，终端设备至少包括手机终端、平板终端和计算机终端等。
81.参照图1，示出了本发明的一种高级威胁事件的处理方法实施例的步骤流程图，该方法具体可以包括如下步骤：
82.s101、根据预先设置的采集规则，获取神经元执行过程中的打点信息；
83.其中，打点信息至少包括：各个神经元的打点数据，神经元至少包括终端、网络和主机中的一种或多种，其中，终端的打点数据至少包括文件、进程、通讯、注册表、用户登录、账户创建及修改中的一种或多种，网络的打点数据至少包括横向移动数据、外联访问数据和数据流数据中的一种或多种，以及来自邮件的附件调用进程数据和外部url访问数据，主机的打点数据至少包括配置修改数据、实例创建及修改数据、容器运行数据和特许访问数据中的一种或多种。
84.具体地，采用各种神经元执行业务系统，各类神经元包括终端、网络和主机，不同的神经元对应不同的打点数据，用户可以根据需要设定不同打点信息，例如可以采用预设采集规则进行设置，在采集打点信息的时候，采用预设采集规则进行采集，也可以根据专家设定的采集规则进行采集；
85.具体地，神经元至少包括终端、网络、主机、web系统、邮件系统、数据库系统、业务系统、应用程序中的一种或多种，其中，终端的打点数据至少包括文件、进程、通讯、注册表、用户登录、账户创建及修改中的一种或多种，网络的打点数据至少包括横向移动数据、外联访问数据和数据流数据中的一种或多种，以及来自邮件的附件调用进程数据和外部url访问数据，主机的打点数据至少包括配置修改数据、实例创建及修改数据、容器运行数据和特许访问数据、web系统的打点数据至少包括访问者信息、文件上传、sql语句、跨站脚本中的一种或多种；邮件系统的打点数据至少包括邮件发件人/收件人、邮件附件、邮件内嵌url的一种或多种；数据库系统的打点数据至少包括sql语句、访问者信息的一种或多种；其他业务系统与应用程序的打点数据至少包括创建者信息、访问者信息、业务系统日志、应用程序日志中的一种或多种。
86.s102、通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；
87.其中，针对不同的需求采用不同的检测规则，静态介质检测规则可用作实时检测分析；动态行为检测规则可用作准实时短周期检测分析；大数据金检测规则用于借助大数据统计和大数据基线模型对指定监控对象在较长时段内的打点信息进行基线建模，并根据基线规则发现异常，产生告警信息；
88.在具体的实施过程中，终端设备可以根据需要对上述的任一种检测规则，对打点信息进行检测，也可以采用多种对打点信息进行检测，然后生成告警信息，其中，多种是指两种以及两种以上。
89.s103、对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；
90.具体地，终端设备在获取到告警信息后，先对各个神经元的告警信息进行定性分析，验伤是指根据下层产生的告警信息进行快速分析，提升告警的可信度，初步确认攻击的真实性，攻击的本质以及攻击者意图，确定可疑事件；
91.然后采用取证规则对可疑事件进行处理，生成事件报告，也就是说取证是指针对可疑事件，借助取证规则，通过大数据上下文关联分析执行事件调查，包括回溯完整攻击场景，判断攻击严重性，评估攻击的影响和范围，溯源攻击者，提供修复补救建议，最后产生事件报告。
92.s104、对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。
93.具体地，终端设备将众多事件报告中的结构化数据归纳形成攻击知识图谱并提炼攻击模式的过程,当一个事件调查结束形成事件报告之后，可以将该事件报告归纳到所属事件类型的知识图谱中，如某类apt攻击知识图谱、加密勒索攻击知识图谱、挖矿攻击知识图谱、钓鱼攻击知识图谱等，知识图谱通常按攻击属性和场景进行分类。通过梳理各类攻击知识图谱，可以发现某类攻击常用的攻击技战术和攻击介质，总结攻击规律和攻击模式，甚至找到背后的攻击组织，得到攻击模式，攻击模式通常包括各类攻击的本质和意图，以及常用的攻击技战术模式和攻击介质集合等。
94.将攻击模式中积累的新型攻击技战术和攻击介质进一步编写成打点、检测、分析阶段所用到的打点规则、威胁情报、沙箱检测规则、行为检测规则、验伤关联分析规则、取证关联分析规则等。这些转化结果可进一步提升打点的精准度、检测的广度、告警的可信度、可疑事件的精准度、以及验伤取证的自动化程度，从而进一步提升用户的高级威胁对抗能力。从攻击知识图谱到攻击模式的学习过程，再到形成各类规则的转化过程，可以借助ai或机器学习等技术实现。
95.本发明实施例提供的高级威胁事件的处理方法，通过根据预先设置的采集规则，获取神经元执行过程中的打点信息；通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。通过本发明实施例，实现从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效率低下、盲目建设、缺少统筹等问题。
96.本发明又一实施例对上述实施例提供的高级威胁事件的处理方法做进一步补充
说明。
97.可选地，通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息，包括：
98.通过采用静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种，对打点信息进行检测，并根据检测结果生成告警信息，具体包括：
99.采用静态介质检测规则，对打点信息进行检测，并根据检测结果生成告警信息，包括：
100.采用特征码、信誉库、威胁情报和沙箱工具对包含文件、url、ip地址、域名的静态介质的打点信息做检测，并得到检测结果；
101.若判断静态介质的打点信息符合可疑规则或者恶意规则，则根据检测结果生成告警信息；
102.采用动态行为检测规则，对打点信息进行检测，并根据检测结果生成告警信息，包括：
103.采用预先建立的行为检测模型和检测规则，对包含单一行为活动的打点信息进行检测，并确定与单一行为活动的打点信息相关联的上下文打点信息；
104.每隔第一预设时间段，对单一行为活动的打点信息和上下文打点信息进行检测，得到检测结果；
105.若检测结果满足告警检测规则，则生成告警信息；
106.采用大数据检测规则，对打点信息进行检测，并根据检测结果生成告警信息，包括：
107.采用大数据统计和大数据基线模型，对第二预设时间段内的打点信息进行基线建模，并根据基线规则对打点信息进行判断；
108.若打点信息为异常信息，生成告警信息。
109.可选地，对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告，包括：
110.对告警信息进行确认和调查，确定与告警信息对应的可疑事件；
111.根据预先设置的关联规则，对可疑事件进行上下文关联分析，生成高级威胁事件的事件报告。
112.可选地，对告警信息进行确认和调查，确定与告警信息对应的可疑事件，包括：
113.借助验伤规则，通过大数据关联分析，对告警信息进行处理，并关联上下文打点信息，确定可疑事件，并确定可疑事件的优先级；
114.根据预先设置的关联规则，对可疑事件进行上下文关联分析，生成高级威胁事件的事件报告，包括：
115.采用取证规则，通过大数据关联分析，对可疑事件执行事件调查处理，确定与高级威胁事件对应的攻击信息；
116.根据攻击信息，生成事件报告，事件包括至少包括机读报告，机读报告至少包括：攻击起始时间、攻击属性、攻击者意图、攻击者属性、攻击严重性、攻击影响的资产范围、攻击检测时间及响应时间、建议响应策略、完整原始日志、完整攻击链信息、完整攻击技战术标注、完整原始攻击介质及其对应的威胁情报信息中的一种或多种。
117.可选地，对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，包括：
118.根据事件，确定攻击知识图谱并确定与高级威胁事件对应的攻击模式,攻击模式至少包括各类攻击的本质和意图，以及攻击技战术模式、攻击涉及的静态介质集合以及动态行为集合中的一种或多种；
119.根据攻击模式，对采集规则、检测规则、关联规则和取证规则进行修正。
120.可选地，根据攻击模式，对采集规则、检测规则、关联规则和取证规则进行修正，包括：
121.将攻击模式中的攻击技战术模式、攻击涉及的静态介质集合以及动态行为集合进行转换，得到修正后的采集规则、检测规则、验伤规则和取证规则。
122.图2是本发明的高级威胁分层描述模型，如图2所示，本发明实施例提供了一种网络高级威胁事件治理体系的设计方法，为了统一针对高级威胁的描述，在设计方法的过程中，本发明首先提出了一套高级威胁分层描述模型，用结构化的方式描述高级威胁的构成，把高级威胁划分为点、线、面、体四个层次，如图2所示，分别描述如下：
123.1、点(基本攻击元素)
124.构成攻击的基础元素，即攻击者使用的攻击元素。攻击元素分为静态介质元素和动态行为元素。静态介质元素主要指攻击介质，如：恶意文档、恶意url(uniform resource locator,统一资源定位器)(含ip地址、c&c等)、恶意邮件、漏洞(文档/系统/通讯/服务/应用等漏洞)、恶意app、渗透工具等；动态行为元素主要指攻击行为，如：恶意网络、终端及主机行为等，常见如端口探测、漏洞利用、c&c外联、提权、横移、爆破、资产探测等。
125.2、线(单一攻击活动)
126.由人、物、时间、渠道、威胁元素等组成的单一的攻击行为或活动，即攻击链中某阶段的具体活动，即如：攻击者在某时间通过某ip向目标企业的某用户发送社交工程攻击邮件；某后门程序通过某主机在某时间访问了恶意c&c站点；某ip在某时段多次尝试某主机的登录帐号/密码等。
127.3、面(完整攻击事件)
128.把多个相关的攻击活动有序地关联起来构成的完整攻击事件，即一个完整的攻击链。如某完整apt攻击事件：攻击者在某时间通过某ip向目标企业的某用户发送社交工程攻击邮件，致使该用户的终端被植入后门；该后门程序在某时间外联访问了某c&c站点，下载了某恶意渗透工具；该渗透工具在某时间内多次尝试渗透网络内其他主机，并成功获取某主机用户权限；攻击者某时间遍历了该主机的文件，并将某些关键文件进行了打包外传。
129.4、体(全面攻击图谱)
130.由多起攻击事件或攻击活动构成的全面攻击图谱，即全面攻击态势。可通过大数据ai/ml、统计学分析、模式分析等归因分析总结攻击模式，提取新型攻击特征，进而发现新的攻击活动、攻击事件，以及攻击发展趋势，初步具备攻击感知能力。
131.图3是本发明的高级威胁事件治理体系，如图3所示，本发明实施例提供一种针对高级威胁事件的治理方法和体系构成，该方法和体系与威胁分层描述模型一一对应，依次划分为打点、检测、分析、反馈四个层次，每个层次明确了需要执行的动作以及要准备的技术，层与层之间通过紧密的输入输出关系实现完整的治理过程，最终实现从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱转化成打点、检测、分析所需要的各项基础能
力，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力。
132.本发明通过以上方法模型和体系构成，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效率低下、更不上变化、盲目建设、缺少统筹等问题。
133.该体系模型与上述图2中的高级威胁分层描述模型一一对应，描述了每层的输入和输出、所执行的动作以及所需的技术，具体如下：
134.1、打点
135.输入：打点规则
136.输出：打点信息
137.打点是指按照指定规则采集数据。早期的打点规则由专家经验设置，随着该体系的不断迭代，打点规则可通过攻击图谱的知识转化进一步调整和优化，并下发到终端、网络、主机的各类神经元中，各类神经元根据打点规则执行数据打点，收集来自终端的文件、进程、通讯、注册表、用户登录、账户创建及修改等活动，来自网络的横向移动、外联访问、数据流等活动，来自邮件的附件调用进程、外部url访问等活动，以及来自主机的配置修改、实例创建及修改、容器运行、特许访问等活动，最终产生各种活动日志(包括活动执行者、主机/终端/网络信息、时间、渠道、介质、行为等)，即打点信息。
138.2、检测
139.输入：打点信息
140.输出：告警信息
141.检测技术可分为以下三种类型：
142.静态介质检测
143.主要借助特征码、信誉库、威胁情报和沙箱等工具对包含文件、url、ip地址、域名等静态介质的打点信息做检测，如判断静态介质可疑或者恶意，则会产生告警信息。由于判断过程只需要文件、url、ip地址、域名等静态介质，无需关联其他打点信息，因此，静态介质检测通常可用作实时检测分析。
144.动态行为检测
145.主要借助行为检测模型和检测规则对包含单一行为活动的打点信息做检测。att&ck模型中详述了很多攻击行为场景，行为检测模型和检测规则主要针对这些场景进行检测。由于此类检测通常需要关联多条互相临近的上下文打点信息，需要跨越较短的时间周期进行检测，因此动态行为检测可用作准实时短周期检测分析。这些多条互相临近的上下文打点信息有可能来自同一终端、网络或主机，也可能跨终端、网络或主机，因此，执行此类检测需要具备跨终端、网络和主机数据的获取能力。举例：某终端遭受powershell无文件攻击后，使用xp_cmdshell攻击了云服务，行为检测规则需要把终端上调用powershell的打点信息和网络上调用xp_cmdshell的打点信息关联起来做检测，如果符合检测规则，则会产生告警信息。
146.大数据检测
147.主要借助大数据统计和大数据基线模型对指定监控对象在较长时段内的打点信息进行基线建模，并根据基线规则发现异常，产生告警信息。
148.3、分析
149.分析是针对告警信息的进一步确认和调查，确认攻击的真实性，并完成事件的分析研判和攻击溯源。分析通常包括定性分析和定量分析两个阶段：定性分析即验伤(triage)，定量分析即取证(forensics)。
150.3.1验伤
151.输入：告警信息
152.输出：可疑事件
153.验伤是指根据下层产生的告警信息进行快速分析，提升告警的可信度，初步确认攻击的真实性，攻击的本质以及攻击者意图。该过程主要借助验伤规则，通过大数据关联分析，以告警信息为切入点，关联上下文的打点信息和其他数据线索，快速确认攻击的真实性、本质和意图，产生高质量的精准告警，称之为可疑事件，并确定其优先级。使得安全人员可以将注意力集中在更关键的问题上，减少误报导致的注意力转移。
154.举例：安全人员发现了网络侧告警信息1-可疑外联通讯，通过大数据关联分析(验伤规则)找到了另外两个数据线索：网络侧线索2-可疑钓鱼邮件，以及终端侧线索3-打开附件创建可疑进程。安全人员通过关联线索2和线索3，可快速确定告警信息1的可信性，并将1、2和3合并在一起，产生精准告警，即可疑事件，从而让安全人员有针对性地启动完整的事件调查活动，避免大海捞针。
155.3.2取证
156.输入：可疑事件
157.输出：事件报告
158.取证是指针对可疑事件，借助取证规则，通过大数据上下文关联分析执行事件调查，包括回溯完整攻击场景，判断攻击严重性，评估攻击的影响和范围，溯源攻击者，提供修复补救建议，最后产生事件报告。事件报告包括人读报告和机读报告，人读报告正如法院的卷宗和医院的病历，机读报告是按照结构化的方法将事件报告中的各类数据整理记录下来，以便后期机器可读取和查询，机读报告包括如下：攻击起始时间、攻击属性、攻击者意图、攻击者属性(画像信息)、攻击严重性、攻击影响的资产范围、攻击检测时间及响应时间、建议响应策略、完整原始日志(打点信息、告警信息、事件线索等)、完整攻击链信息、完整att&ck标注、完整原始攻击介质及其对应的ioc(威胁情报)信息、其他机读数据等。
159.4、反馈
160.将下层产生的各种机读事件报告进一步分类整理归纳，可沉淀出庞大的攻击知识图谱，通过学习和转化两个阶段可以将知识图谱形成打点、检测和分析阶段所使用的关键能力，形成正向能力的反馈。
161.4.1学习
162.输入：事件报告
163.输出：攻击模式
164.学习是指将众多事件报告中的结构化数据归纳形成攻击知识图谱并提炼攻击模式的过程,学习过程也可称作归因分析。当一个事件调查结束形成事件报告之后，可以将该事件报告归纳到所属事件类型的知识图谱中，如某类apt攻击知识图谱、加密勒索攻击知识图谱、挖矿攻击知识图谱、钓鱼攻击知识图谱等，知识图谱通常按攻击属性和场景进行分
类。通过梳理各类攻击知识图谱，可以发现某类攻击常用的攻击技战术和攻击介质，总结攻击规律和攻击模式，甚至找到背后的攻击组织。此过程的输出为攻击模式，攻击模式通常包括各类攻击的本质和意图，以及常用的攻击技战术模式和攻击介质集合等。
165.4.2转化
166.输入：攻击模式
167.输出：各类规则
168.转化是指将攻击模式中积累的新型攻击技战术和攻击介质进一步编写成打点、检测、分析阶段所用到的打点规则、威胁情报、沙箱检测规则、行为检测规则、验伤关联分析规则、取证关联分析规则等。这些转化结果可进一步提升打点的精准度、检测的广度、告警的可信度、可疑事件的精准度、以及验伤取证的自动化程度，从而进一步提升用户的高级威胁对抗能力。从攻击知识图谱到攻击模式的学习过程，再到形成各类规则的转化过程，可以借助ai或机器学习等技术实现。
169.图4是本发明的高级威胁事件治理流程，如图4所示，本发明实施例提出了高级威胁分层描述模型以及对应的治理体系，通过该方法和体系把高级威胁攻防事件的治理划分为打点1、检测2、分析3(验伤3.1和取证3.2)和反馈4(学习4.1和转化4.2)四个过程，这四个过程分别产生打点信息、告警信息、可疑事件&事件报告、攻击模式和各类规则，前一个过程的输出会作为下一个过程的输入，依次可完成一个高级威胁攻防事件治理的整个流程，最后又通过反馈将核心能力回补给前面几个过程，实现了治理体系的正向循环，以此可不断提升高级威胁的对抗能力。通过体系化的精密编排，实现从原始数据打点采集，检测告警，到验伤取证完成事件调查，再到沉淀知识图谱，提取攻击模式，回补所需的各种能力，最终形成治理闭环。该体系让高级威胁事件治理目标化、流程化、完整的、高效的运营起来，避免传统情况下缺少体系支撑，过程碎片化严重，各技术之间没有关联，各产品之间缺少衔接，各人员无法协同，对于攻击事件的分析研判无法深入，无法沉淀知识库进而转化正向能力等诸多问题，最终可有效提升针对网络高级威胁攻击的对抗能力。
170.需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。
171.本发明实施例提供的高级威胁事件的处理方法，通过根据预先设置的采集规则，获取神经元执行过程中的打点信息；通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。通过本发明实施例，实现从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效
率低下、盲目建设、缺少统筹等问题。
172.本发明另一实施例提供一种高级威胁事件的处理装置，用于执行上述实施例提供的高级威胁事件的处理方法。
173.参照图5，示出了本发明的一种高级威胁事件的处理装置实施例的结构框图，该装置具体可以包括如下模块：采集模块501、检测模块502、分析模块503和反馈模块504，其中：
174.采集模块501用于根据预先设置的采集规则，获取神经元执行过程中的打点信息；
175.检测模块502用于通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；
176.分析模块503用于对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；
177.反馈模块504用于对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。
178.本发明实施例提供的高级威胁事件的处理装置，通过根据预先设置的采集规则，获取神经元执行过程中的打点信息；通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。通过本发明实施例，实现从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效率低下、盲目建设、缺少统筹等问题。
179.本发明又一实施例对上述实施例提供的高级威胁事件的处理装置做进一步补充说明。
180.可选地，各个神经元的打点数据，所述神经元至少包括终端、网络、主机、web系统、邮件系统、数据库系统、业务系统、应用程序中的一种或多种，其中，终端的打点数据至少包括文件、进程、通讯、注册表、用户登录、账户创建及修改中的一种或多种，所述网络的打点数据至少包括横向移动数据、外联访问数据和数据流数据中的一种或多种，以及来自邮件的附件调用进程数据和外部url访问数据，所述主机的打点数据至少包括配置修改数据、实例创建及修改数据、容器运行数据和特许访问数据、所述web系统的打点数据至少包括访问者信息、文件上传、sql语句、跨站脚本中的一种或多种；所述邮件系统的打点数据至少包括邮件发件人/收件人、邮件附件、邮件内嵌url的一种或多种；数据库系统的打点数据至少包括sql语句、访问者信息的一种或多种；其他业务系统与应用程序的打点数据至少包括创建者信息、访问者信息、业务系统日志、应用程序日志中的一种或多种。
181.可选地，检测模块，用于：
182.通过采用静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多
种，对打点信息进行检测，并根据检测结果生成告警信息，具体包括：
183.检测模块，具体用于：
184.采用特征码、信誉库、威胁情报和沙箱工具对包含文件、url、ip地址、域名的静态介质的打点信息做检测，并得到检测结果；
185.若判断静态介质的打点信息符合可疑规则或者恶意规则，则根据检测结果生成告警信息；
186.检测模块，具体用于：
187.采用预先建立的行为检测模型和检测规则，对包含单一行为活动的打点信息进行检测，并确定与单一行为活动的打点信息相关联的上下文打点信息；
188.每隔第一预设时间段，对单一行为活动的打点信息和上下文打点信息进行检测，得到检测结果；
189.若检测结果满足告警检测规则，则生成告警信息；
190.检测模块，具体用于：
191.采用大数据统计和大数据基线模型，对第二预设时间段内的打点信息进行基线建模，并根据基线规则对打点信息进行检测，得到检测结果；
192.若所述检测结果满足告警检测规则，则生成告警信息。
193.可选地，分析模块用于：
194.对告警信息进行确认和调查，确定与告警信息对应的可疑事件；
195.根据预先设置的关联规则，对可疑事件进行上下文关联分析，生成高级威胁事件的事件报告。
196.可选地，分析模块用于：
197.借助验伤规则，通过大数据关联分析，对告警信息进行处理，并关联上下文打点信息，确定可疑事件，并确定可疑事件的优先级；
198.根据预先设置的关联规则，对可疑事件进行上下文关联分析，生成高级威胁事件的事件报告，包括：
199.采用取证规则，通过大数据关联分析，对可疑事件执行事件调查处理，确定与高级威胁事件对应的攻击信息；
200.根据攻击信息，生成事件报告，事件包括至少包括机读报告，机读报告至少包括：攻击起始时间、攻击属性、攻击者意图、攻击者属性、攻击严重性、攻击影响的资产范围、攻击检测时间及响应时间、建议响应策略、完整原始日志、完整攻击链信息、完整攻击技战术标注、完整原始攻击介质及其对应的威胁情报信息中的一种或多种。
201.可选地，反馈模块用于：
202.根据事件，确定攻击知识图谱并确定与高级威胁事件对应的攻击模式,攻击模式至少包括各类攻击的本质和意图，以及攻击技战术模式、攻击涉及的静态介质集合以及动态行为集合中的一种或多种；
203.根据所述攻击模式，对所述采集规则、检测规则、验伤规则和取证规则进行修正。
204.可选地，反馈模块具体用于：
205.将攻击模式中的所述攻击技战术模式、攻击涉及的静态介质集合以及动态行为集合进行转换，得到修正后的采集规则、检测规则、验伤规则和取证规则。
206.对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
207.本发明实施例提供的高级威胁事件的处理装置，通过根据预先设置的采集规则，获取神经元执行过程中的打点信息；通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。通过本发明实施例，实现从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效率低下、盲目建设、缺少统筹等问题。
208.本发明再一实施例提供一种终端设备，用于执行上述实施例提供的高级威胁事件的处理方法。
209.图6是本发明的一种终端设备的结构示意图，如图6所示，该终端设备包括：至少一个处理器601和存储器602；
210.存储器存储计算机程序；至少一个处理器执行存储器存储的计算机程序，以实现上述实施例提供的高级威胁事件的处理方法。
211.本实施例提供的终端设备，通过根据预先设置的采集规则，获取神经元执行过程中的打点信息；通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。通过本发明实施例，实现从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效率低下、盲目建设、缺少统筹等问题。
212.本技术又一实施例提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，计算机程序被执行时实现上述任一实施例提供的高级威胁事件的处理方法。
213.根据本实施例的计算机可读存储介质，通过根据预先设置的采集规则，获取神经元执行过程中的打点信息；通过预设检测规则，对打点信息进行检测，并根据检测结果生成告警信息；预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；对告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；对事件报告进行整理分析，生成与高级威胁事件对应的知识图谱，知识图谱用于确定与高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑
数据。通过本发明实施例，实现从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效率低下、盲目建设、缺少统筹等问题。
214.应该指出，上述详细说明都是示例性的，旨在对本技术提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语均具有与本技术所属技术领域的普通技术人员的通常理解所相同的含义。
215.需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本技术所述的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式。此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
216.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，以便这里描述的本技术的实施方式能够以除了在这里图示或描述的那些以外的顺序实施。
217.此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含。例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
218.为了便于描述，在这里可以使用空间相对术语，如“在
……
之上”、“在
……
上方”、“在
……
上表面”、“上面的”等，用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是，空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如，如果附图中的器件被倒置，则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而，示例性术语“在
……
上方”可以包括“在
……
上方”和“在
……
下方”两种方位。该器件也可以其他不同方式定位，如旋转90度或处于其他方位，并且对这里所使用的空间相对描述作出相应解释。
219.在上面详细的说明中，参考了附图，附图形成本文的一部分。在附图中，类似的符号典型地确定类似的部件，除非上下文以其他方式指明。在详细的说明书、附图及权利要求书中所描述的图示说明的实施方案不意味是限制性的。在不脱离本文所呈现的主题的精神或范围下，其他实施方案可以被使用，并且可以作其他改变。
220.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。