本发明专利技术实施例一种利用访问关系检测高级持续性威胁攻击的方法、装置、计算机设备及可读存储介质,其中方法包括:获取业务资产,并根据业务资产确定业务访问关系的业务访问策略的类型,其中业务访问策略的类型包括业务必须访问策略和业务非必须访问策略;根据业务资产对业务访问关系进行梳理,生成网络访问控制列表;若业务访问关系中的业务访问策略为业务非必访问策略,则将业务访问策略定义为拒绝;检测服务器流量,将服务器流量与网络访问控制列表进行匹配,将业务访问策略为拒绝的服务器流量确定为高级持续性威胁,并进行告警。从组织自身的业务特性出发,从路径上遏制高级持续性威胁攻击。提升安全管理工作的效率以及提升安全运维的效果。
Detection of Threat Attacks: Methods, Devices, Equipment and Storage Media
【技术实现步骤摘要】
检测威胁攻击的方法、装置、设备和存储介质
本专利技术涉及网络安全
,尤其涉及一种利用访问关系检测高级持续性威胁攻击的方法、装置、计算机设备及可读存储介质。
技术介绍
目前,一个完整的APT(AdvancedPersistentThreat,高级持续性威胁)攻击大致具备以下几个阶段:情报收集阶段:这一阶段的目标不仅仅是收集针对预定目标IT环境的战略信息,还要收集其组织结构的相关信息。收集的信息包罗万象,从企业使用的业务应用程序和软件到组织中存在的角色和关系应有尽有。入侵阶段:借助情报收集阶段获得的信息,并辅以以往对公司环境攻击积累的了解,威胁实施者能够选择并确定攻击目标所要利用的漏洞。最终渗入公司网络,攻破组织外围防护之后需要确保受攻击的主机和c&c服务器之间实现连续通信,威胁实施者利用相关技术偷偷保持c&c通信流量。横向渗透阶段:确信存在对受攻击网络的持续访问后,攻击实施者将在整个公司网络中横向移动,伺机寻找存储敏感信息的重要主机。数据窃取阶段:攻击的最终目标是将目标组织外围内部的信息传输至威胁实施者控制的位置。数据传输可以快速完成,也可以逐渐完成,在后面这种方式中,信息将进入暂存状态,之后准备好实现隐蔽泄露。APT攻击作为一个长期的、隐蔽的、持续的攻击行为,其防护方案也较为复杂,针对不同的阶段,目前有不同的针对性防护手段:阶段一:情报收集多采用社会工程学,主要目标是人,可以看做是一般犯罪案件中的踩点。由于目标是人,因此提高组织人员的安全意识即可相应降低该阶段的安全风险。阶段二:入侵方式多种多样,可采用社会工程学或技术性入侵或者两者结合的方式,比较常见的方式是通过钓鱼邮件、即时通讯、社交网络平台等,诱使目标单击链接或下载恶意软件。最终,建立与目标之间的连接。当然,也可以直接利用目标的系统、应用漏洞或者0day来入侵。因此,此阶段需要部署相应的技术防护手段进行防护,比如常见的防火墙、入侵防护系统、WEB(WorldWideWeb,万维网)防护系统、甚至针对0day漏洞的专用防护设备等。阶段三:此阶段需要在组织网络的各个关键区域部署技术防护手段,以防止攻击者在内网进行嗅探、入侵。常见的防火措施有部署防火墙、入侵防护系统、WEB防护系统、甚至针对0day漏洞的专用防护设备等。阶段四:此阶段可考虑在存放重要\敏感文件的服务器上对文档或磁盘进行加密,并阻止通过网络进行传递,常见措施为部署数据防泄密软件\硬件设备。从以上针对APT攻击的防护方案中可以看出,如果要有效降低APT攻击的风险,需要在APT攻击的各个阶段投入大量的人力\资金资源。其中,对于阶段一,人员安全意识的提高是一个持续的过程,需要大量的信息安全意识培训,需要长期的、持续大量的人力资源的投入;对于阶段二、阶段三、阶段四,由于需要部署较多的防护设备,此阶段需要大量的资金投入;与此同时,合理、有效的利用以上设备需要维护人员具有非常高的技术水平,需要高端人力资源的投入;因此,由上可以看出,现有针对APT攻击的技术防护方案的缺点在于需要大量的资源投入,尤其是资金方面,根据组织规模的不等可能需要几十或几百万的投入,成本过高。
技术实现思路
本专利技术实施例提供了一种利用访问关系检测高级持续性威胁攻击的方法、装置、设备及介质。首先进行业务资产分类,根据业务资产进一步细化和完善业务系统访问关系,建立控制列表,同时将非必要的访问策略定义为拒绝。搜集服务器网络流量访问关系,与控制列表进行比对,当服务器网络流量访问关系的访问策略为拒绝时发出告警。实现对偏离的流量行为进行严格监控,从路径上遏制高级持续性威胁攻击。第一方面,本专利技术实施例提供了一种利用访问关系检测高级持续性威胁攻击的方法,方法包括:获取业务资产,并根据业务资产确定业务访问关系的业务访问策略的类型,其中业务访问策略的类型包括业务必须访问策略和业务非必须访问策略;根据业务资产对业务访问关系进行梳理,生成网络访问控制列表;若业务访问关系中的业务访问策略为业务非必访问策略,则将业务访问策略定义为拒绝;检测服务器流量,将服务器流量与网络访问控制列表进行匹配,将业务访问策略为拒绝的服务器流量确定为高级持续性威胁,并进行告警。第二方面,本专利技术实施例提供了一种利用访问关系检测高级持续性威胁攻击的装置,装置包括:获取单元,用于获取业务资产,并根据业务资产确定业务访问关系的业务访问策略的类型,其中业务访问策略的类型包括业务必须访问策略和业务非必须访问策略;生成单元,用于根据业务资产对业务访问关系进行梳理,生成网络访问控制列表;定义单元,用于若业务访问关系中的业务访问策略为业务非必访问策略,则将业务访问策略定义为拒绝;告警单元,用于检测服务器流量,将服务器流量与网络访问控制列表进行匹配,将业务访问策略为拒绝的服务器流量确定为高级持续性威胁,并进行告警。第三方面,本专利技术实施例提供了一种计算机设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的利用访问关系检测高级持续性威胁攻击的方法。第四方面,本专利技术实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的利用访问关系检测高级持续性威胁攻击的方法。本专利技术实施例提供的利用访问关系检测高级持续性威胁攻击的方法、装置、设备及介质。进行资产分类,并且利用网络流量探针,搜集网络流量访问关系,根据资产分类进一步细化和完善业务系统访问关系。建立一套以核心系统访问关系和访问状态(访问策略)为基础的基线,并且通过基线的精准化监测,对偏离基线的流量行为进行严格监控来判断访问合法性,从路径上遏制APT攻击。与传统的威胁监测方案相比,从组织自身的业务特性出发,不依赖于威胁行为特征,解决了传统手段无法检测与防护未知威胁的问题。不仅可以提升安全管理工作的效率,还可以提升安全运维的效果,帮助生产中心缩短发现攻击、抑制攻击行为的时间,减少攻击行为带来的损失。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对本专利技术实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了本专利技术一个实施例提供的利用访问关系检测高级持续性威胁攻击的方法的流程示意图;图2示出了本专利技术另一个实施例提供的利用访问关系检测高级持续性威胁攻击的方法的流程示意图;图3示出了本专利技术一个实施例提供的D-S证据理论的原理示意图;图4示出了本专利技术一个实施例提供的BP神经网络流程图;图5示出了本专利技术一个实施例提供的信任空间划分示意图;图6示出了本专利技术一个实施例提供的流量探针部署示意图;图7示出了本专利技术一个实施例提供的告警示意图;图8示出了本专利技术一个实施例提供的利用访问关系检测高级持续性威胁攻击的装置的示意框图;图9示出了本专利技术一个实施例提供的计算机设备的示意框图。具体实施方式下面将详细描述本专利技术的各个方面的特征和示例性实施例,为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本专利技术,并不被配置为限定本专利技术。对于本本文档来自技高网...
【技术保护点】
1.一种利用访问关系检测高级持续性威胁攻击的方法,其特征在于,所述方法包括:获取业务资产,并根据所述业务资产确定业务访问关系的业务访问策略的类型,其中所述业务访问策略的类型包括业务必须访问策略和业务非必须访问策略;根据所述业务资产对所述业务访问关系进行梳理,生成网络访问控制列表;若所述业务访问关系中的业务访问策略为所述业务非必访问策略,则将所述业务访问策略定义为拒绝;检测服务器流量,将所述服务器流量与所述网络访问控制列表进行匹配,将业务访问策略为拒绝的所述服务器流量确定为高级持续性威胁,并进行告警。
【技术特征摘要】
1.一种利用访问关系检测高级持续性威胁攻击的方法,其特征在于,所述方法包括:获取业务资产,并根据所述业务资产确定业务访问关系的业务访问策略的类型,其中所述业务访问策略的类型包括业务必须访问策略和业务非必须访问策略;根据所述业务资产对所述业务访问关系进行梳理,生成网络访问控制列表;若所述业务访问关系中的业务访问策略为所述业务非必访问策略,则将所述业务访问策略定义为拒绝;检测服务器流量,将所述服务器流量与所述网络访问控制列表进行匹配,将业务访问策略为拒绝的所述服务器流量确定为高级持续性威胁,并进行告警。2.根据权利要求1所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,获取业务资产,并根据所述业务资产确定业务访问关系的业务访问策略的类型,包括:获取所述业务资产,将所述业务资产分为核心资产信息和非核心资产信息;根据所述核心资产信息确定所述业务访问关系的所述访问策略的类型。3.根据权利要求2所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,所述核心资产信息包括核心资产名称、核心资产IP地址、核心资产承载应用;所述非核心资产信息包括非核心资产名称和非核心资产IP地址。4.根据权利要求3所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,所述核心资产承载应用包括应用名称、应用使用协议类型、应用端口号。5.根据权利要求4所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,根据所述业务资产对所述业务访问关系进行梳理,生成网络访问控制列表,包括:通过BP神经网络与D-S证据理论,根据所述业务资产对所述业务访问关系进行梳理,生成基于五元组访问信息的所述网络访问控制列表;其中,所述五元组访问信息包括源IP、目的IP、目的端口、协议、所述业务访问策略。6.根据权利要求5所述的利用访问关系检测高级持续性威胁攻击的方法,其特征在于,通过BP神经网络与D-S证据理论,根据所述业务资产对所述业务访问关系进行梳理,生成基于五元组访问信息的所述网络访问控制列表,包...
【专利技术属性】
技术研发人员:袁强,李长城,
申请(专利权)人:中国移动通信集团四川有限公司,中国移动通信集团公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。