一種失陷主機(jī)的識別方法及裝置的制造方法
【專利摘要】本發(fā)明公開了一種失陷主機(jī)的識別方法及裝置，包括：根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息；根據(jù)流量日志、配置信息和所述主機(jī)的基線信息，識別主機(jī)的身份信息；根據(jù)流量日志、安全日志、所述主機(jī)的基線信息、所述主機(jī)的身份信息、外部情報(bào)數(shù)據(jù)和資產(chǎn)標(biāo)識信息，識別所述主機(jī)所在網(wǎng)絡(luò)中的異常事件；根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值；根據(jù)所述主機(jī)的身份信息和所述主機(jī)在各個(gè)場景下的場景分值，確定所述主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。
【專利說明】
_種失陷主機(jī)的識別方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域中的失陷主機(jī)識別技術(shù)，尤其涉及一種失陷主機(jī)的識別方法及裝置。
【背景技術(shù)】
[0002]當(dāng)前，公司、學(xué)校、政府等組織的IT資產(chǎn)受到多方面的威脅。IT資產(chǎn)包括組織內(nèi)部的終端主機(jī)(例如員工的辦公PC和辦公用途的智能手機(jī))、服務(wù)器主機(jī)、業(yè)務(wù)軟件和業(yè)務(wù)數(shù)據(jù)。
[0003]IT資產(chǎn)面臨來自外部黑客的威脅。一方面，黑客可能通過制作釣魚網(wǎng)站，發(fā)送惡意郵件等方式將惡意軟件植入員工的終端主機(jī)。另一方面，黑客也可能會(huì)對暴露在公網(wǎng)的服務(wù)器主機(jī)發(fā)起漏洞攻擊，通過軟件漏洞進(jìn)行入侵。黑客攻擊主機(jī)的目的多種多樣。有些是為了將主機(jī)變成僵尸(bot)，驅(qū)使bot進(jìn)行拒絕服務(wù)(DoS，Denial of Service)攻擊，發(fā)送垃圾郵件或假造廣告點(diǎn)擊從而獲利。有些則是以被攻陷的主機(jī)作為跳板攻擊其他更有價(jià)值的主機(jī)，例如公司核心領(lǐng)導(dǎo)的辦公電腦，從而獲得其中的關(guān)鍵數(shù)據(jù)。
[0004]IT資產(chǎn)也面臨來自組織內(nèi)部的威脅。例如，將要離職的員工可能從公司的客戶關(guān)系管理(CRM,Customer Relat1nship Management)系統(tǒng)中獲取客戶數(shù)據(jù)并上傳到私人的郵箱。商業(yè)間諜可能以加入組織的方式，獲得組織內(nèi)部主機(jī)的使用權(quán)，以此為跳板攻擊其他的終端主機(jī)和服務(wù)器主機(jī)。在這些情況下組織在互聯(lián)網(wǎng)邊界部署的防御措施，例如防火墻、入侵防御系統(tǒng)(IPS，Intrus1n Prevent1n System)和入侵檢測系統(tǒng)(IDS，Intrus1nDetect1n Systems)，都形同虛設(shè)。
[0005]從上面的描述可以看到，組織的IT資產(chǎn)面臨的威脅多種多樣，但其中有兩個(gè)核心，“主機(jī)”和“網(wǎng)絡(luò)”。此處，主機(jī)是指組織內(nèi)部的終端主機(jī)，網(wǎng)絡(luò)設(shè)備或服務(wù)器主機(jī)。此處的網(wǎng)絡(luò)是指因特網(wǎng)(Internet)和組織的內(nèi)部網(wǎng)絡(luò)。攻擊者將主機(jī)作為攻擊目標(biāo)，或者利用被自己攻陷的主機(jī)發(fā)起惡意行為。而網(wǎng)絡(luò)則是攻擊者進(jìn)行攻擊的渠道，攻擊者的攻擊行動(dòng)和攻擊后果都會(huì)在網(wǎng)絡(luò)流量上有所反應(yīng)。
[0006]將被外部黑客攻破，或者被內(nèi)部的惡意人員用于惡意目的的主機(jī)統(tǒng)一稱為失陷主機(jī)。失陷主機(jī)的出現(xiàn)意味著組織的IT資產(chǎn)受到了威脅。通過對主機(jī)的網(wǎng)絡(luò)流量的分析，能夠有效判斷哪些主機(jī)已經(jīng)成為失陷主機(jī)。
[0007]現(xiàn)在有很多根據(jù)網(wǎng)絡(luò)流量進(jìn)行異常檢測的方法。例如通過網(wǎng)絡(luò)流量對僵尸網(wǎng)絡(luò)(botnet)進(jìn)行啟發(fā)性分析。在這種方法中會(huì)首先判決網(wǎng)絡(luò)流量中哪些流量屬于異常流量，然后根據(jù)這些流量與botnet的關(guān)聯(lián)性為這些流量打上分?jǐn)?shù)，最終根據(jù)主機(jī)在一段時(shí)間內(nèi)各種異常流量的分?jǐn)?shù)綜合對主機(jī)進(jìn)行打分，進(jìn)而判決主機(jī)是否成為bot。
[0008]類似的方法還有很多，但其試圖發(fā)現(xiàn)的異常僅僅只限于某個(gè)指定場景，例如惡意軟件。當(dāng)網(wǎng)絡(luò)流量中的異常流量并不是由其限定場景引起時(shí)，其分析的基礎(chǔ)就蕩然無存了。通過網(wǎng)絡(luò)流量對失陷主機(jī)進(jìn)行分析，需要意識到異常事件可以指示多種場景下。
[0009]在黑客進(jìn)行高級持續(xù)性威脅(APT，Advanced Persistent Threat)攻擊時(shí)，可能在被入侵的主機(jī)的網(wǎng)絡(luò)流量中觀察到:
[0010](I)惡意軟件的植入過程；
[0011](2)對內(nèi)網(wǎng)其他主機(jī)的掃描；
[0012](3)對內(nèi)網(wǎng)其他主機(jī)的漏洞攻擊；
[0013](4)從公司的資源服務(wù)器上在短時(shí)間內(nèi)大量下載文件；
[0014](5)在同一時(shí)間內(nèi)，主機(jī)通過加密信道向外部服務(wù)器上傳文件。
[0015]將要離職的員工偷竊公司的客戶數(shù)據(jù)時(shí)，可能在其使用的主機(jī)的網(wǎng)絡(luò)流量中觀察到:
[0016](I)從公司的資源服務(wù)器上在短時(shí)間內(nèi)大量下載文件；
[0017](2)通過加密信道向外部服務(wù)器上傳文件。
[0018]從上面的例子可以看出，從公司資源服務(wù)器下載大量文件和通過加密信道向外部服務(wù)器上傳文件這兩種行為在上面兩個(gè)場景都出現(xiàn)了。如果不考慮場景，僅僅從異常事件本身出發(fā)，顯然無法正確的對異常事件進(jìn)行評價(jià)。
[0019]進(jìn)一步地，直接通過異常流量對場景進(jìn)行判決也存在其局限性。在各個(gè)場景下，威脅行為實(shí)際上可以分成多個(gè)固有環(huán)節(jié)。例如在botnet場景下，黑客入侵目標(biāo)主機(jī)的過程基本上可以分為:發(fā)現(xiàn)目標(biāo)主機(jī)_〉攻擊目標(biāo)主機(jī)_〉控制目標(biāo)主機(jī)_〉將目標(biāo)主機(jī)作為bot進(jìn)行非法活動(dòng)。
[0020]在每一個(gè)環(huán)節(jié)，都可能發(fā)現(xiàn)多種異常流量，其背后的原因是黑客為逃逸已有的檢測方法，會(huì)嘗試多種手段，對已有手段又會(huì)進(jìn)行各種變化。如果多種異常流量只能指示一個(gè)攻擊環(huán)節(jié)，那無論捕獲到的有多少，其指示作用都是有限的。

【發(fā)明內(nèi)容】

[0021]為解決上述技術(shù)問題，本發(fā)明實(shí)施例提供了一種失陷主機(jī)的識別方法及裝置。
[0022]本發(fā)明實(shí)施例提供的失陷主機(jī)的識別方法，包括:
[0023]根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息；
[0024]根據(jù)流量日志、配置信息和所述主機(jī)的基線信息，識別主機(jī)的身份信息；
[0025]根據(jù)流量日志、安全日志、所述主機(jī)的基線信息、所述主機(jī)的身份信息、外部情報(bào)數(shù)據(jù)和資產(chǎn)標(biāo)識信息，識別所述主機(jī)所在網(wǎng)絡(luò)中的異常事件；
[0026]根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值；
[0027]根據(jù)所述主機(jī)的身份信息和所述主機(jī)在各個(gè)場景下的場景分值，確定所述主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。
[0028]本發(fā)明實(shí)施例中，所述根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值，包括:
[0029]將所述異常事件映射到場景內(nèi)的各個(gè)攻擊環(huán)節(jié)；
[0030]基于異常事件對攻擊環(huán)節(jié)的指示和關(guān)聯(lián)，結(jié)合所述主機(jī)的身份信息對攻擊環(huán)節(jié)發(fā)生的可能性進(jìn)行打分；
[0031]基于場景下各個(gè)環(huán)節(jié)的分?jǐn)?shù)，為場景發(fā)生的可能性進(jìn)行打分；
[0032]基于場景發(fā)生的狀態(tài)下，為所述主機(jī)對組織的資產(chǎn)造成的威脅性進(jìn)行打分。
[0033]本發(fā)明實(shí)施例中，所述主機(jī)的基線包括以下至少之一:
[0034]所述主機(jī)對外開放的傳輸控制協(xié)議(TCP，Transmiss1n Control Protocol)/用戶數(shù)據(jù)報(bào)協(xié)議(UDP，User Datagram Protocol)端口上的數(shù)據(jù)量和連接數(shù)；
[0035]所述主機(jī)與其他內(nèi)網(wǎng)主機(jī)的通訊量；
[0036]所述主機(jī)上傳到因特網(wǎng)的數(shù)據(jù)量。
[0037]本發(fā)明實(shí)施例中，所述主機(jī)所在網(wǎng)絡(luò)中的異常事件包括以下至少之一:
[0038]對惡意統(tǒng)一資源定位符(URL，Uniform Resoure Locator)的訪問事件；
[0039]對惡意IP的訪問事件；
[0040]超出基線的數(shù)據(jù)上傳事件；
[0041]對內(nèi)網(wǎng)其他主機(jī)的掃描事件；
[0042]IPS和AV的告警事件。
[0043]本發(fā)明實(shí)施例中，所述主機(jī)的身份信息包括主機(jī)的類型以及主機(jī)上運(yùn)行的業(yè)務(wù)；
[0044]所述場景分值包括可能性評估值和威脅性評估值。
[0045]本發(fā)明實(shí)施例提供的失陷主機(jī)的識別裝置，包括:
[0046]基線分析單元，用于根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息；
[0047]身份識別單元，用于根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息；
[0048]異常分析單元，用于根據(jù)流量日志、安全日志、所述主機(jī)的基線信息、所述主機(jī)的身份信息、外部情報(bào)數(shù)據(jù)和資產(chǎn)標(biāo)識信息，識別所述主機(jī)所在網(wǎng)絡(luò)中的異常事件；
[0049]場景分析單元，用于根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值；
[0050]失陷判定單元，用于根據(jù)所述主機(jī)的身份信息和所述主機(jī)在各個(gè)場景下的場景分值，確定所述主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。
[0051 ]本發(fā)明實(shí)施例中，所述場景分析單元包括:
[0052]映射子單元，用于將所述異常事件映射到場景內(nèi)的各個(gè)攻擊環(huán)節(jié)；
[0053]第一評分單元，用于基于異常事件對攻擊環(huán)節(jié)的指示和關(guān)聯(lián)，結(jié)合所述主機(jī)的身份信息對攻擊環(huán)節(jié)發(fā)生的可能性進(jìn)行打分；
[0054]第二評分單元，用于基于場景下各個(gè)環(huán)節(jié)的分?jǐn)?shù)，為場景發(fā)生的可能性進(jìn)行打分；
[0055]第三評分單元，用于基于場景發(fā)生的狀態(tài)下，為所述主機(jī)對組織的資產(chǎn)造成的威脅性進(jìn)行打分。
[0056]本發(fā)明實(shí)施例中，所述主機(jī)的基線包括以下至少之一:
[0057]所述主機(jī)對外開放的TCP/UDP端口上的數(shù)據(jù)量和連接數(shù)；
[0058]所述主機(jī)與其他內(nèi)網(wǎng)主機(jī)的通訊量；
[0059]所述主機(jī)上傳到因特網(wǎng)的數(shù)據(jù)量。
[0060]本發(fā)明實(shí)施例中，所述主機(jī)所在網(wǎng)絡(luò)中的異常事件包括以下至少之一:
[0061 ] 對惡意URL的訪問事件；
[0062]對惡意IP的訪問事件；
[0063]超出基線的數(shù)據(jù)上傳事件；
[0064]對內(nèi)網(wǎng)其他主機(jī)的掃描事件；
[0065]IPS和AV的告警事件。
[0066]本發(fā)明實(shí)施例中，所述主機(jī)的身份信息包括主機(jī)的類型以及主機(jī)上運(yùn)行的業(yè)務(wù)；
[0067]所述場景分值包括可能性評估值和威脅性評估值。
[0068]本發(fā)明實(shí)施例的技術(shù)方案中，根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息;根據(jù)流量日志、配置信息和所述主機(jī)的基線信息，識別主機(jī)的身份信息;根據(jù)流量日志、安全日志、所述主機(jī)的基線信息、所述主機(jī)的身份信息、外部情報(bào)數(shù)據(jù)和資產(chǎn)標(biāo)識信息，識別所述主機(jī)所在網(wǎng)絡(luò)中的異常事件;根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值;根據(jù)所述主機(jī)的身份信息和所述主機(jī)在各個(gè)場景下的場景分值，確定所述主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。如此，通過分析組織的網(wǎng)絡(luò)流量，在多個(gè)預(yù)設(shè)場景下對組織的內(nèi)網(wǎng)主機(jī)進(jìn)行評分，最終發(fā)現(xiàn)失陷主機(jī)。通過對本發(fā)明實(shí)施例的實(shí)施，不但能夠識別被植入惡意軟件的主機(jī)，也能夠分析出被惡意員工用于盜取組織數(shù)據(jù)的主機(jī)。
【附圖說明】
[0069]圖1為本發(fā)明實(shí)施例一的失陷主機(jī)的識別方法的流程示意圖；
[0070]圖2為本發(fā)明實(shí)施例二的失陷主機(jī)的識別方法的流程示意圖；
[0071]圖3為本發(fā)明實(shí)施例的失陷主機(jī)的識別裝置的結(jié)構(gòu)組成示意圖；
[0072]圖4為本發(fā)明實(shí)施例的場景分析單元的結(jié)構(gòu)組成示意圖。
【具體實(shí)施方式】
[0073]為了能夠更加詳盡地了解本發(fā)明實(shí)施例的特點(diǎn)與技術(shù)內(nèi)容，下面結(jié)合附圖對本發(fā)明實(shí)施例的實(shí)現(xiàn)進(jìn)行詳細(xì)闡述，所附附圖僅供參考說明之用，并非用來限定本發(fā)明實(shí)施例。
[0074]本發(fā)明實(shí)施例的技術(shù)方案，通過異常流量對攻擊環(huán)節(jié)進(jìn)行啟發(fā)性的分析，對各個(gè)環(huán)節(jié)發(fā)生的可能性進(jìn)行判決，最終綜合各個(gè)環(huán)節(jié)關(guān)聯(lián)的判決結(jié)果最終對場景進(jìn)行判決。
[0075]圖1為本發(fā)明實(shí)施例一的失陷主機(jī)的識別方法的流程示意圖，本發(fā)明實(shí)施例應(yīng)用于失陷主機(jī)的識別裝置，所述失陷主機(jī)的識別裝置可以通過服務(wù)器或服務(wù)器集群來實(shí)現(xiàn)。所述失陷主機(jī)的識別裝置至少包括:基線分析單元、身份識別單元、異常分析單元、場景分析單元、失陷判定單元。如圖1所示，所述失陷主機(jī)的識別方法包括以下步驟:
[0076]步驟101:根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息。
[0077]本發(fā)明實(shí)施例中，首先獲取來自絡(luò)設(shè)備的流量日志。例如，交換機(jī)、路由器、上網(wǎng)行為管理設(shè)備等的流量日志。這里，流量日志不僅僅局限于網(wǎng)絡(luò)的三四層信息，還可以包含流量的應(yīng)用層識別信息，應(yīng)用層識別信息包括但不僅限于流量的應(yīng)用種類、應(yīng)用的請求信息和應(yīng)答信息。
[0078]在本發(fā)明一實(shí)施方式中，除了獲取流量日志，還可以獲取來自安裝在各個(gè)主機(jī)上的客戶端發(fā)送過來的日志。這里，客戶端可以收集主機(jī)上的信息，生成流量日志和安全日
V 1、1、O
[0079]在本發(fā)明一實(shí)施方式中，除了流量日志以外，還可以獲取從網(wǎng)絡(luò)設(shè)備鏡像過來的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文。本發(fā)明實(shí)施例中，可以設(shè)置網(wǎng)絡(luò)數(shù)據(jù)報(bào)文的流量審計(jì)單元和安全審計(jì)單元，通過流量審計(jì)單元能夠生成流量日志，通過安全審計(jì)單元能夠生成安全日志。
[0080]本發(fā)明實(shí)施例中，失陷主機(jī)的識別裝置還包括日志存儲(chǔ)單元，用于存儲(chǔ)各種類型的日志，包括流量日志、安全日志等。然后，由基線分析單元根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息。
[0081]這里，所述主機(jī)的基線包括但不局限于以下至少之一:
[0082]所述主機(jī)對外開放的TCP/UDP端口上的數(shù)據(jù)量和連接數(shù)；
[0083]所述主機(jī)與其他內(nèi)網(wǎng)主機(jī)的通訊量；
[0084]所述主機(jī)上傳到因特網(wǎng)的數(shù)據(jù)量。
[0085]步驟102:根據(jù)流量日志、配置信息和所述主機(jī)的基線信息，識別主機(jī)的身份信息。
[0086]本發(fā)明實(shí)施例中，所述配置信息為用戶對IT資產(chǎn)的描述信息，包含特定主機(jī)上運(yùn)行的業(yè)務(wù)、敏感文件名等。
[0087]本發(fā)明實(shí)施例中，身份識別單元根據(jù)流量日志、配置信息和所述主機(jī)的基線信息，識別主機(jī)的身份信息。
[0088]這里，所述主機(jī)的身份信息包括主機(jī)的類型以及主機(jī)上運(yùn)行的業(yè)務(wù)。
[0089]其中，主機(jī)類型包括但不局限于為以下類型:服務(wù)器、移動(dòng)終端、筆記本(PC)、網(wǎng)關(guān)。
[0090]主機(jī)上運(yùn)行的業(yè)務(wù)包括但不局限于為以下業(yè)務(wù):結(jié)構(gòu)化查詢語言(SQL，Structured Query Language)服務(wù)、超文本傳輸協(xié)議(HTTP，Hyper Text TransferProtocol)服務(wù)。
[0091]步驟103:根據(jù)流量日志、安全日志、所述主機(jī)的基線信息、所述主機(jī)的身份信息、外部情報(bào)數(shù)據(jù)和資產(chǎn)標(biāo)識信息，識別所述主機(jī)所在網(wǎng)絡(luò)中的異常事件。
[0092]本發(fā)明實(shí)施例中，需要獲取來自絡(luò)設(shè)備的安全日志。例如，統(tǒng)防火墻、下一代防火墻、IPS/IDS、病毒引擎等的安全日志。
[0093]本發(fā)明實(shí)施例中，還需要獲取來自外部的情報(bào)數(shù)據(jù)。例如，惡意網(wǎng)址、惡意URL、域名系統(tǒng)(DNS，Domain Name System)信息和域名注冊信息等。
[0094]本發(fā)明實(shí)施例中，所述主機(jī)所在網(wǎng)絡(luò)中的異常事件包括但不局限于以下信息:
[0095 ] 對惡意URL的訪問事件；
[0096]對惡意IP的訪問事件；
[0097]超出基線的數(shù)據(jù)上傳事件；
[0098]對內(nèi)網(wǎng)其他主機(jī)的掃描事件；
[0099]IPS和AV的告警事件。
[0100]步驟104:根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值。
[0101]本發(fā)明實(shí)施例中，場景分析單元預(yù)制多個(gè)場景，包括但不局限于:Botnet場景、內(nèi)部員工盜取數(shù)據(jù)場景、服務(wù)器掛馬場景。根據(jù)主機(jī)的身份信息，對主機(jī)進(jìn)行與其身份相適應(yīng)的場景分析。例如當(dāng)主機(jī)身份為工作PC時(shí)，不會(huì)對其進(jìn)行服務(wù)器掛馬場景分析。
[0102]所述根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值，包括:
[0103]將所述異常事件映射到場景內(nèi)的各個(gè)攻擊環(huán)節(jié)；
[0104]基于異常事件對攻擊環(huán)節(jié)的指示和關(guān)聯(lián)，結(jié)合所述主機(jī)的身份信息對攻擊環(huán)節(jié)發(fā)生的可能性進(jìn)行打分；
[0105]基于場景下各個(gè)環(huán)節(jié)的分?jǐn)?shù)，為場景發(fā)生的可能性進(jìn)行打分；
[0106]基于場景發(fā)生的狀態(tài)下，為所述主機(jī)對組織的資產(chǎn)造成的威脅性進(jìn)行打分。
[0107]基于此，所述場景分值包括可能性評估值和威脅性評估值。
[0108]步驟105:根據(jù)所述主機(jī)的身份信息和所述主機(jī)在各個(gè)場景下的場景分值，確定所述主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。
[0109]本發(fā)明實(shí)施例中，綜合主機(jī)的身份信息，主機(jī)在各個(gè)場景下的場景分值，通過場景與身份的關(guān)系以及場景之間的關(guān)系，確認(rèn)可能性最高的幾個(gè)場景，最終給出主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。
[0110]本發(fā)明實(shí)施例中，最終得到組織的各個(gè)內(nèi)網(wǎng)主機(jī)在預(yù)定的每個(gè)場景下的失陷可能性分值和對組織的威脅性分值，以及綜合各個(gè)場景進(jìn)行判斷后，內(nèi)網(wǎng)主機(jī)失陷的可能性分值和對用戶組織的威脅性分值。
[0111]圖2為本發(fā)明實(shí)施例二的失陷主機(jī)的識別方法的流程圖，在本發(fā)明實(shí)施例中，由下一代防火墻對特定組織的網(wǎng)絡(luò)流量進(jìn)行審計(jì)，包括組織網(wǎng)絡(luò)中內(nèi)網(wǎng)主機(jī)之間的流量和組織網(wǎng)絡(luò)中內(nèi)網(wǎng)主機(jī)去往外網(wǎng)的流量。下一代防火墻可以獲得流量日志、URL日志、DNS日志、IPS日志和AV日志。下一代防火墻的流量日志中包含連接的應(yīng)用信息。本發(fā)明實(shí)施例的失陷主機(jī)的識別方法應(yīng)用于失陷主機(jī)的識別裝置中，所述失陷主機(jī)的識別裝置包括:日志存儲(chǔ)單元、基線分析單元、身份識別單元、異常分析單元、場景分析單元、失陷判定單元。如圖2所示，所述流程包括以下步驟:
[0112]步驟201:日志通過日志存儲(chǔ)單元進(jìn)入裝置。
[0113]步驟202:基線分析。
[0114]當(dāng)日志進(jìn)入裝置后，裝置調(diào)用基線分析單元。根據(jù)對流量日志的分析，基線分析單元對某個(gè)內(nèi)網(wǎng)IP得到如下信息:
[0115]其他IP向該IP發(fā)起的傳輸控制協(xié)議(TCP，Transmiss1n Control Protocol)連接數(shù)和該IP主動(dòng)發(fā)起的TCP連接數(shù)；
[0116]該IPtop應(yīng)用的日均流量；
[0117]該IP流量和連接數(shù)的小時(shí)趨勢。
[0118]步驟203:身份識別。
[0119]裝置調(diào)用身份識別單元，根據(jù)基線分析結(jié)果，身份識別單元判定該IP為辦公用PC，主要邏輯為:
[0120]外部IP訪問該IP的日均連接數(shù)低于門限；
[0121 ]該IP的流量小時(shí)趨勢峰值連續(xù)數(shù)日在工作時(shí)間；
[0122]該IP訪問外網(wǎng)的主要應(yīng)用為網(wǎng)頁(web)瀏覽類應(yīng)用。
[0123]步驟204:異常分析。
[0124]異常分析單元根據(jù)外部威脅情報(bào)、URL日志、AV日志、IPS日志、流量日志，識別出發(fā)生在同一天的以下異常事件:
[0125]根據(jù)AV日志，關(guān)聯(lián)出該IP下載了病毒；
[0126]根據(jù)流量日志，關(guān)聯(lián)出該IP對內(nèi)網(wǎng)地址段使用因特網(wǎng)控制報(bào)文協(xié)議(ICMP，Internet Control Message Protocol)進(jìn)行了掃描；
[0127]根據(jù)IPS日志，關(guān)聯(lián)出該IP對某幾個(gè)內(nèi)網(wǎng)地址發(fā)起了安全外殼協(xié)議(SSH，SecureShel I)暴力破解。
[0128]步驟205:場景分析。
[0129]場景分析單元根據(jù)主機(jī)身份識別結(jié)果，對異常事件基于以下場景進(jìn)行了分析:Botnet場景、內(nèi)部員工盜取數(shù)據(jù)場景。
[0130]其中，在Botnet場景下的可能環(huán)節(jié)為:
[0131]受到外網(wǎng)攻擊；
[0132]裝置權(quán)限被侵占；
[0133]尋找命令控制(Command Control)服務(wù)器；
[0134]建立CommandControl連接；
[0135]掃描其他主機(jī)；
[0136]對其他主機(jī)進(jìn)行攻擊。
[0137]根據(jù)異常分析單元的結(jié)果，場景分析單元在botnet場景將異常事件映射到3個(gè)環(huán)節(jié):受到外網(wǎng)攻擊、掃描其他主機(jī)、對其他主機(jī)進(jìn)行攻擊。由于異常事件的信息充分，該主機(jī)在3個(gè)環(huán)節(jié)的評分都很高，最終在該場景獲得了較高的評分。
[0138]在內(nèi)部員工盜取數(shù)據(jù)場景，可能環(huán)節(jié)為:
[0139]獲取服務(wù)器訪問權(quán)限；
[0140]從關(guān)鍵資源服務(wù)器獲取資源；
[0141]向外網(wǎng)泄露關(guān)鍵信息。
[0142]根據(jù)異常分析單元的結(jié)果，場景分析單元在盜取數(shù)據(jù)場景將異常事件映射到I個(gè)環(huán)節(jié):獲取服務(wù)器訪問權(quán)限。由于缺乏其他兩個(gè)環(huán)節(jié)的異常事件，該場景的得分較低。
[0143]步驟206:失陷主機(jī)判定。
[OH4]綜合Botnet場景和內(nèi)部員工盜取數(shù)據(jù)場景下的評分，最終確定可能性較高的場景為Botnet場景。由于兩個(gè)場景之間不具有任何關(guān)聯(lián)型，因此主機(jī)的最終評分繼承Botnet場景的評分。
[0145]圖3為本發(fā)明實(shí)施例的失陷主機(jī)的識別裝置的結(jié)構(gòu)組成示意圖，如圖3所示，所述失陷主機(jī)的識別裝置包括:
[0146]基線分析單元31，用于根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息；
[0147]身份識別單元32，用于根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息；
[0148]異常分析單元33，用于根據(jù)流量日志、安全日志、所述主機(jī)的基線信息、所述主機(jī)的身份信息、外部情報(bào)數(shù)據(jù)和資產(chǎn)標(biāo)識信息，識別所述主機(jī)所在網(wǎng)絡(luò)中的異常事件；
[0149]場景分析單元34，用于根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值；
[0150]失陷判定單元35，用于根據(jù)所述主機(jī)的身份信息和所述主機(jī)在各個(gè)場景下的場景分值，確定所述主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。
[0151]參照圖4，本發(fā)明實(shí)施例中，所述場景分析單元34包括:
[0152]映射子單元341，用于將所述異常事件映射到場景內(nèi)的各個(gè)攻擊環(huán)節(jié)；
[0153]第一評分單元342，用于基于異常事件對攻擊環(huán)節(jié)的指示和關(guān)聯(lián)，結(jié)合所述主機(jī)的身份信息對攻擊環(huán)節(jié)發(fā)生的可能性進(jìn)行打分；
[0154]第二評分單元343，用于基于場景下各個(gè)環(huán)節(jié)的分?jǐn)?shù)，為場景發(fā)生的可能性進(jìn)行打分；
[0155]第三評分單元344，用于基于場景發(fā)生的狀態(tài)下，為所述主機(jī)對組織的資產(chǎn)造成的威脅性進(jìn)行打分。
[0156]所述主機(jī)的基線包括以下至少之一:
[0157]所述主機(jī)對外開放的TCP/UDP端口上的數(shù)據(jù)量和連接數(shù)；
[0158]所述主機(jī)與其他內(nèi)網(wǎng)主機(jī)的通訊量；
[0159]所述主機(jī)上傳到因特網(wǎng)的數(shù)據(jù)量。
[0160]所述主機(jī)所在網(wǎng)絡(luò)中的異常事件包括以下至少之一:
[0161]對惡意URL的訪問事件；
[0162]對惡意IP的訪問事件；
[0163]超出基線的數(shù)據(jù)上傳事件；
[0164]對內(nèi)網(wǎng)其他主機(jī)的掃描事件；
[0165]IPS和AV的告警事件。
[0166]所述主機(jī)的身份信息包括主機(jī)的類型以及主機(jī)上運(yùn)行的業(yè)務(wù)；
[0167]所述場景分值包括可能性評估值和威脅性評估值。
[0168]本發(fā)明實(shí)施例中，所述失陷主機(jī)的識別裝置可以通過服務(wù)器或服務(wù)器集群實(shí)現(xiàn)。
[0169]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，圖3所示的失陷主機(jī)的識別裝置中的各單元及子單元的實(shí)現(xiàn)功能可參照前述失陷主機(jī)的識別方法的相關(guān)描述而理解。圖3所示的失陷主機(jī)的識別裝置中的各單元及子單元的功能可通過運(yùn)行于處理器上的程序而實(shí)現(xiàn)，也可通過具體的邏輯電路而實(shí)現(xiàn)。
[0170]本發(fā)明實(shí)施例所記載的技術(shù)方案之間，在不沖突的情況下，可以任意組合。
[0171]在本發(fā)明所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的方法和智能設(shè)備，可以通過其它的方式實(shí)現(xiàn)。以上所描述的設(shè)備實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，如:多個(gè)單元或組件可以結(jié)合，或可以集成到另一個(gè)裝置，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設(shè)備或單元的間接耦合或通信連接，可以是電性的、機(jī)械的或其它形式的。
[0172]上述作為分離部件說明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元，即可以位于一個(gè)地方，也可以分布到多個(gè)網(wǎng)絡(luò)單元上;可以根據(jù)實(shí)際的需要選擇其中的部分或全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。
[0173]另外，在本發(fā)明各實(shí)施例中的各功能單元可以全部集成在一個(gè)第二處理單元中，也可以是各單元分別單獨(dú)作為一個(gè)單元，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中；上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。
[0174]以上所述，僅為本發(fā)明的【具體實(shí)施方式】，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種失陷主機(jī)的識別方法，其特征在于，所述方法包括: 根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息； 根據(jù)流量日志、配置信息和所述主機(jī)的基線信息，識別主機(jī)的身份信息； 根據(jù)流量日志、安全日志、所述主機(jī)的基線信息、所述主機(jī)的身份信息、外部情報(bào)數(shù)據(jù)和資產(chǎn)標(biāo)識信息，識別所述主機(jī)所在網(wǎng)絡(luò)中的異常事件； 根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值； 根據(jù)所述主機(jī)的身份信息和所述主機(jī)在各個(gè)場景下的場景分值，確定所述主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。2.根據(jù)權(quán)利要求1所述的失陷主機(jī)的識別方法，其特征在于，所述根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值，包括: 將所述異常事件映射到場景內(nèi)的各個(gè)攻擊環(huán)節(jié)； 基于異常事件對攻擊環(huán)節(jié)的指示和關(guān)聯(lián)，結(jié)合所述主機(jī)的身份信息對攻擊環(huán)節(jié)發(fā)生的可能性進(jìn)行打分； 基于場景下各個(gè)環(huán)節(jié)的分?jǐn)?shù)，為場景發(fā)生的可能性進(jìn)行打分； 基于場景發(fā)生的狀態(tài)下，為所述主機(jī)對組織的資產(chǎn)造成的威脅性進(jìn)行打分。3.根據(jù)權(quán)利要求1所述的失陷主機(jī)的識別方法，其特征在于，所述主機(jī)的基線包括以下至少之一: 所述主機(jī)對外開放的傳輸控制協(xié)議TCP/用戶數(shù)據(jù)報(bào)協(xié)議UDP端口上的數(shù)據(jù)量和連接數(shù)； 所述主機(jī)與其他內(nèi)網(wǎng)主機(jī)的通訊量； 所述主機(jī)上傳到因特網(wǎng)的數(shù)據(jù)量。4.根據(jù)權(quán)利要求3所述的失陷主機(jī)的識別方法，其特征在于，所述主機(jī)所在網(wǎng)絡(luò)中的異常事件包括以下至少之一: 對惡意統(tǒng)一資源定位符URL的訪問事件； 對惡意IP的訪問事件； 超出基線的數(shù)據(jù)上傳事件； 對內(nèi)網(wǎng)其他主機(jī)的掃描事件； 入侵防御系統(tǒng)IPS和AV的告警事件。5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的失陷主機(jī)的識別方法，其特征在于， 所述主機(jī)的身份信息包括主機(jī)的類型以及主機(jī)上運(yùn)行的業(yè)務(wù)； 所述場景分值包括可能性評估值和威脅性評估值。6.一種失陷主機(jī)的識別裝置，其特征在于，所述裝置包括: 基線分析單元，用于根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息； 身份識別單元，用于根據(jù)流量日志對主機(jī)進(jìn)行基線分析，得到主機(jī)的基線信息； 異常分析單元，用于根據(jù)流量日志、安全日志、所述主機(jī)的基線信息、所述主機(jī)的身份信息、外部情報(bào)數(shù)據(jù)和資產(chǎn)標(biāo)識信息，識別所述主機(jī)所在網(wǎng)絡(luò)中的異常事件； 場景分析單元，用于根據(jù)所述主機(jī)的身份信息和所述異常事件，對所述主機(jī)進(jìn)行場景分析，得到所述主機(jī)在各個(gè)場景下的場景分值； 失陷判定單元，用于根據(jù)所述主機(jī)的身份信息和所述主機(jī)在各個(gè)場景下的場景分值，確定所述主機(jī)的失陷可能性分值以及所述主機(jī)對組織的資產(chǎn)的威脅性分值。7.根據(jù)權(quán)利要求6所述的失陷主機(jī)的識別裝置，其特征在于，所述場景分析單元包括: 映射子單元，用于將所述異常事件映射到場景內(nèi)的各個(gè)攻擊環(huán)節(jié)； 第一評分單元，用于基于異常事件對攻擊環(huán)節(jié)的指示和關(guān)聯(lián)，結(jié)合所述主機(jī)的身份信息對攻擊環(huán)節(jié)發(fā)生的可能性進(jìn)行打分； 第二評分單元，用于基于場景下各個(gè)環(huán)節(jié)的分?jǐn)?shù)，為場景發(fā)生的可能性進(jìn)行打分；第三評分單元，用于基于場景發(fā)生的狀態(tài)下，為所述主機(jī)對組織的資產(chǎn)造成的威脅性進(jìn)行打分。8.根據(jù)權(quán)利要求6所述的失陷主機(jī)的識別裝置，其特征在于，所述主機(jī)的基線包括以下至少之一: 所述主機(jī)對外開放的TCP/UDP端口上的數(shù)據(jù)量和連接數(shù)； 所述主機(jī)與其他內(nèi)網(wǎng)主機(jī)的通訊量； 所述主機(jī)上傳到因特網(wǎng)的數(shù)據(jù)量。9.根據(jù)權(quán)利要求8所述的失陷主機(jī)的識別裝置，其特征在于，所述主機(jī)所在網(wǎng)絡(luò)中的異常事件包括以下至少之一: 對惡意URL的訪問事件； 對惡意IP的訪問事件； 超出基線的數(shù)據(jù)上傳事件； 對內(nèi)網(wǎng)其他主機(jī)的掃描事件； IPS和AV的告警事件。10.根據(jù)權(quán)利要求6至9任一項(xiàng)所述的失陷主機(jī)的識別裝置，其特征在于， 所述主機(jī)的身份信息包括主機(jī)的類型以及主機(jī)上運(yùn)行的業(yè)務(wù)； 所述場景分值包括可能性評估值和威脅性評估值。
【文檔編號】H04L29/06GK105915532SQ201610345020
【公開日】2016年8月31日
【申請日】2016年5月23日
【發(fā)明人】才華, 肖春天
【申請人】北京網(wǎng)康科技有限公司