高级威胁事件的处理方法、装置、终端设备和存储介质制造方法及图纸

本发明专利技术涉及一种高级威胁事件的处理方法、装置、终端设备和存储介质，通过从原始数据的采集，威胁的检测，事件的分析，再形成知识图谱，最后完成事件治理的一个生命周期，如此持续循环构成了不断迭代的治理过程，最终又能不断提升各类高级威胁的应对能力，可有效地将高级威胁事件治理通过体系化、框架化、流程化的方式构建起来，解决以往应对高级威胁事件过程中碎片化严重、效率低下、盲目建设、缺少统筹等问题。问题。问题。

【技术实现步骤摘要】
高级威胁事件的处理方法、装置、终端设备和存储介质


[0001]本专利技术涉及计算机
，尤其涉及一种高级威胁事件的处理方法、装置、终端设备和存储介质。

技术介绍

[0002]网络威胁和攻击从属性上大体可划分为以下三种类型：常规威胁(Conventional Threat)、大规模攻击(Mass Attack)、定向攻击(Targeted Attack)。常规威胁主要指传统的病毒、木马、蠕虫、后门、恶意程序、恶意脚本、恶意网页和站点、恶意邮件、一般漏洞攻击等，通常此类威胁只涉及单一的威胁活动，不涉及复杂攻击场景；大规模攻击特指勒索、挖矿、钓鱼、在线广告诈骗这几种有组织的大规模黑产活动；定向攻击有明确政治、经济、商业、军事等意图，针对特定价值目标长期渗透获取情报或进行破坏的有组织黑客活动，按严重性又可以划分：国家级APT(Advanced Persistent Threat，定向威胁攻击)、商业级APT、红蓝对抗等不同级别。无论是以APT为代表的定向攻击，还是以勒索、挖矿、钓鱼、广告诈骗为代表的大规模攻击，攻击者不断尝试使用新型攻击技术，企图绕过传统检测机制对目标发起攻击以达到某种目的，这种威胁我们称之为高级威胁。
[0003]对一个组织来说，可通过传统的签名、特征码、信誉库等技术拦截到常规威胁，但针对高级威胁而言，大量的僵尸网络、0Day/N day漏洞、钓鱼邮件、无文件攻击、各类新型恶意程序变种、各类新式攻击手法等被广泛使用，让组织防不胜防，导致各类威胁事件频出，组织被渗透和入侵、核心资产被窃取、核心业务被破坏等恶性事件屡屡发生，然而组织却缺少体系化的高级威胁对抗能力，尤其针对攻击事件，常常显得束手无策力不从心。
[0004]传统的文件签名、特征码、信誉库等检测技术只能拦截到已知常规威胁，比如恶意病毒、木马、蠕虫、恶意URL、IP地址、域名等。然而高级威胁攻击往往可以轻易绕过传统检测方式，因此需要新型的检测方式，因此近些年出现了威胁情报、沙箱、ATT&CK技战术等检测方式，然而，这些检测产生了大量的告警，各类告警汇总到大数据平台，在缺少上下文的同时还要对告警进行降噪、分析，最后还要整合各类产品进行联动响应，各种类型的技术和产品分而治之，整个过程非常碎片化，各技术之间没有关联，各产品之间缺少衔接，各类人员通常仅关注在自己的工作细节上，缺少对完整事件的宏观把握，在针对高级威胁攻击事件的治理过程中，没有形成有效的方法论，缺少完整的体系支撑，导致头痛医头脚痛医脚，解决了检测问题又面临告警误报问题，接下来又发现缺少上下文数据的采集和支撑，无法深入事件的分析和研判，无法沉淀有效的攻防知识库，更谈不上进一步回补和提升检测分析能力，导致针对高级威胁攻击事件的处置漏洞百出，缺少统筹，效率低下，无法应对当前错综复杂的网络威胁形势。

技术实现思路

[0005]本专利技术意在提供一种高级威胁事件的处理方法、装置、终端设备和存储介质，以解决现有技术中存在的不足，本专利技术要解决的技术问题通过以下技术方案来实现。
[0006]第一个方面，本专利技术实施例提供一种高级威胁事件的处理方法，所述方法包括：
[0007]根据预先设置的采集规则，获取神经元执行过程中的打点信息；
[0008]通过预设检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息；所述预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；
[0009]对所述告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；
[0010]对所述事件报告进行整理分析，生成与所述高级威胁事件对应的知识图谱，所述知识图谱用于确定与所述高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。
[0011]可选地，所述打点信息至少包括：各个神经元的打点数据，所述神经元至少包括终端、网络、主机、Web系统、邮件系统、数据库系统、业务系统、应用程序中的一种或多种，其中，终端的打点数据至少包括文件、进程、通讯、注册表、用户登录、账户创建及修改中的一种或多种，所述网络的打点数据至少包括横向移动数据、外联访问数据和数据流数据中的一种或多种，以及来自邮件的附件调用进程数据和外部URL访问数据，所述主机的打点数据至少包括配置修改数据、实例创建及修改数据、容器运行数据和特许访问数据、所述Web系统的打点数据至少包括访问者信息、文件上传、SQL语句、跨站脚本中的一种或多种；所述邮件系统的打点数据至少包括邮件发件人/收件人、邮件附件、邮件内嵌URL的一种或多种；数据库系统的打点数据至少包括SQL语句、访问者信息的一种或多种；其他业务系统与应用程序的打点数据至少包括创建者信息、访问者信息、业务系统日志、应用程序日志中的一种或多种。
[0012]可选地，所述通过预设检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：
[0013]通过采用静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种，对所述打点信息进行检测，并根据检测结果生成告警信息，具体包括：
[0014]采用静态介质检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：
[0015]采用特征码、信誉库、威胁情报和沙箱工具对包含文件、URL、IP地址、域名的静态介质的打点信息做检测，并得到检测结果；
[0016]若判断所述静态介质的打点信息符合可疑规则或者恶意规则，则根据所述检测结果生成告警信息；
[0017]采用动态行为检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：
[0018]采用预先建立的行为检测模型和检测规则，对包含单一行为活动的打点信息进行检测，并确定与所述单一行为活动的打点信息相关联的上下文打点信息；
[0019]每隔第一预设时间段，对所述单一行为活动的打点信息和所述上下文打点信息进行检测，得到检测结果；
[0020]若所述检测结果满足告警检测规则，则生成告警信息；
[0021]采用大数据检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，
包括：
[0022]采用大数据统计和大数据基线模型，对第二预设时间段内的打点信息进行基线建模，并根据基线规则对所述打点信息进行检测，得到检测结果；
[0023]若所述检测结果满足告警检测规则，则生成告警信息。
[0024]可选地，所述对所述告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告，包括：
[0025]对所述告警信息进行确认和调查，确定与所述告警信息对应的可疑事件；
[0026]根据预先设置的关联规则，对所述可疑事件进行上下文关联分析，生成高级威胁事件的事件报告。
[0027]可选地，所述对所述告警信息进行确认和调查，确定与所述告警信息对应的可疑事件，包括：
[0028]借助验伤规则，通过大数据关联分析，对所述告警信息进行处理，并关联上下文打点信息，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种高级威胁事件的处理方法，其特征在于，所述方法包括：根据预先设置的采集规则，获取神经元执行过程中的打点信息；通过预设检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息；所述预设检测规则至少包括静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种；对所述告警信息分别进行定性分析和定量分析，并根据分析结果确定高级威胁事件的事件报告；对所述事件报告进行整理分析，生成与所述高级威胁事件对应的知识图谱，所述知识图谱用于确定与所述高级威胁事件对应的攻击模式，并转化为上述步骤中的各类规则或支撑数据。2.根据权利要求1所述的方法，其特征在于，所述打点信息至少包括：各个神经元的打点数据，所述神经元至少包括终端、网络、主机、Web系统、邮件系统、数据库系统、业务系统、应用程序中的一种或多种，其中，终端的打点数据至少包括文件、进程、通讯、注册表、用户登录、账户创建及修改中的一种或多种，所述网络的打点数据至少包括横向移动数据、外联访问数据和数据流数据中的一种或多种，以及来自邮件的附件调用进程数据和外部URL访问数据，所述主机的打点数据至少包括配置修改数据、实例创建及修改数据、容器运行数据和特许访问数据、所述Web系统的打点数据至少包括访问者信息、文件上传、SQL语句、跨站脚本中的一种或多种；所述邮件系统的打点数据至少包括邮件发件人/收件人、邮件附件、邮件内嵌URL的一种或多种；数据库系统的打点数据至少包括SQL语句、访问者信息的一种或多种；其他业务系统与应用程序的打点数据至少包括创建者信息、访问者信息、业务系统日志、应用程序日志中的一种或多种。3.根据权利要求2所述的方法，其特征在于，所述通过预设检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：通过采用静态介质检测规则、动态行为检测规则或大数据检测规则中的一种或多种，对所述打点信息进行检测，并根据检测结果生成告警信息，具体包括：采用静态介质检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：采用特征码、信誉库、威胁情报和沙箱工具对包含文件、URL、IP地址、域名的静态介质的打点信息做检测，并得到检测结果；若判断所述静态介质的打点信息符合可疑规则或者恶意规则，则根据所述检测结果生成告警信息；采用动态行为检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包括：采用预先建立的行为检测模型和检测规则，对包含单一行为活动的打点信息进行检测，并确定与所述单一行为活动的打点信息相关联的上下文打点信息；每隔第一预设时间段，对所述单一行为活动的打点信息和所述上下文打点信息进行检测，得到检测结果；若所述检测结果满足告警检测规则，则生成告警信息；采用大数据检测规则，对所述打点信息进行检测，并根据检测结果生成告警信息，包
括：采用大数据统计和大数据基线模型，对第二预设时间段内的打点信息进行基线建模，并根据基线规则对所述打点信息进行检测，得到检测结果；若所述检测结果满足告警检测规则，则生成告警信息。4.根据权利要求1所述的方法，其特征在于，所述对所述告警信息分别进行定性分析和定...

【专利技术属性】
技术研发人员：白日，
申请(专利权)人：盈适慧众上海信息咨询合伙企业有限合伙，
类型：发明
国别省市：