一种攻击行为分析方法、装置、设备及可读存储介质

技术领域

本发明涉及网络安全领域，特别涉及一种攻击行为分析方法、装置、设备及可读存储介质。

背景技术

在目前的互联网环境下，通过探针获取大量的原始日志，原始日志中可能包含有攻击信息。目前大环境下资产安全的分析流程，主要是通过设置资产(探针)扫描，获取原始日志，通过日志分析得到安全告警信息。这样会产生大量重复或无效数据，无法得到具体的攻击行为。而且原始日志量级很大，攻击方式多种多样的，并且会随着技术环境进行更新，会产生许多新型的攻击行为。

发明内容

有鉴于此，本发明的目的在于提供一种攻击行为分析方法、装置、设备及可读存储介质，解决了现有技术中无法具体攻击行为的问题。

为解决上述技术问题，本发明提供了一种攻击行为分析方法，包括：

获取原始日志和安全模型库；

当获取到个性化需求时，根据所述个性化需求从所述安全模型库中选择对应的安全模型；

根据所述安全模型对所述原始日志进行分析，确定攻击行为。

可选的，所述安全模型库，包括：

所述安全模型库包括SQL注入攻击模型、SQL注入二分法模型、生产虚拟货币主机处置响应模型、生产虚拟货币尝试模型和域名请求数量异常检测模型。

可选的，所述根据所述安全模型对所述原始日志进行分析，确定攻击行为，包括：

当所述安全模型数量大于1时，则对所述安全模型进行排序操作，确定所述安全模型的顺序；

根据所述顺序和所述安全模型对所述原始日志进行分析，确定攻击行为。

在所述根据所述安全模型对所述原始日志进行分析之前，包括：

可选的，所述则对所述安全模型进行排序操作，包括：

对所述安全模型设定粒度；

根据所述粒度对所述安全模型进行排序操作。

可选的，在所述确定攻击行为之后，还包括：

对所述攻击行为进行溯源，确定攻击入口；

根据所述攻击入口判断所述攻击行为是否为平台漏洞；

若是，则对所述平台漏洞进行修复；

若否，则封禁所述攻击行为的IP。

可选的，在所述根据所述安全模型对所述原始日志进行分析之后，还包括：

保留所述原始日志中与所述安全模型匹配的数据信息，其中所述数据信息包括来源IP、目的IP、目的端口和起始时间；

根据所述数据信息生成安全告警信息，其中所述安全告警信息包括告警类型、事件名称、安全告警威胁等级、告警结果、处置状态和平台编号。

本发明还提供了一种攻击行为分析装置，包括：

获取模块，用于获取原始日志和安全模型库；

选择模块，当获取到个性化需求时，根据所述个性化需求从所述安全模型库中选择对应的安全模型；

分析确定模块，用于根据所述安全模型对所述原始日志进行分析，确定攻击行为。

可选的，在所述分析确定模块之后，还包括：

攻击入口确定模块，用于对所述攻击行为进行溯源，确定攻击入口；

判断模块，用于根据所述攻击入口判断所述攻击行为是否为平台漏洞；

修复模块，用于若是，则对所述平台漏洞进行修复；

封禁模块，用于若否，则封禁所述攻击行为的IP。

本发明还提供了一种攻击行为分析设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序，以实现上述的攻击行为分析方法的步骤。

本发明还提供了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时用于实现上述的攻击行为分析方法的步骤。

可见，本发明通过获取个性化需求，根据个性化需求从安全模型库中选择对应的安全模型，利用安全模型对原始日志进行过滤分析确定重点攻击行为，可以高效地筛选出原始日志中资产或企业所关注的攻击行为，细化攻击行为；通过获取的个性化需求，可以将自身所关注的攻击行为筛选出来，同时可以根据互联网环境的变化选择安全模型，使得该攻击行为分析方法具有很高的时效性。

此外，本发明还提供了一种攻击行为分析装置、设备及可读存储介质，同样具有上述有益效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种攻击行为分析方法的流程图；

图2为本发明实施例提供的一种安全模型分析的流程图；

图3为本发明实施例提供的一种攻击行为确定的流程图；

图4为本发明实施例提供的一种攻击行为后续处理的流程图；

图5为本发明实施例提供的一种攻击行为分析装置的结构示意图；

图6为本发明实施例提供的一种攻击行为分析设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参考图1，图1为本发明实施例提供的一种攻击行为分析方法的流程图。该方法可以包括：

S101：获取原始日志和安全模型库。

本实施例的执行主体为终端。本实施例并不限定终端的种类，只要是能够完成本实施例中文件断电续传的操作即可，例如，可以是通用型终端，也可以是专用型终端。

本实施例并不限定获取原始日志的方式，例如可以是探针采集原始日志；或者还可以是SOC(Security Operation Center，明御综合日志审计分析平台)采集原始日志；或者还可以是APT(Advanced Persistent Threat，明御APT攻击预警平台)采集原始日志；或者还可以是NTA(Network Traffic Analyzer，明御入侵检测系统)采集原始日志；或者还可以是AINTI(Ai Network Traffic Analyzer，流量分析系统)采集原始日志。其中原始日志为获取的数据源，内部可能包含有攻击信息。本实施例可以通过探针对内部和外部的原始数据进行收集和处理，生成固定格式的原始日志(包含异常记录)。获取的原始日志可以包括来源IP(Internet Protocol Address，网际协议地址)、目的IP、来源端口、目的端口、来源地理位置信息、目的地理位置信息、行为描述、域名、操作系统详情、触发时间等关键及相关信息。

本实施例并不限定安全模型库中安全模型的种类。例如，该安全模型可以是规则型的安全模型，用于根据安全分析的应用场景，从日志数据中筛选出异常记录，触发告警或进行后续高级安全分析；或者该安全模型还可以是关联型的安全模型，用于跨越多个设备来源及数据种类，从多个异常记录中检测行为模式，发现隐藏的高级威胁及安全风险，触发严重安全告警；或者该安全模型还可以是统计型的安全模型，用于从异常记录中，发现重要的统计型特征，通过阈值过滤，找出异常指标，可以发现如频繁暴力破解尝试等恶意行为；或者该安全模型还可以是情报型的安全模型，用于利用威胁情报增强网络安全威胁检测和应急处置能力，支持通过已知线索筛选原始日志，进行恶意IP、恶意域名、恶意文件识别等威胁分析；或者该安全模型还可以是AI型的安全模型，用于根据历史数据，AI引擎持续构建并更新基线信息，自适应的发现异常和偏离，发现不曾想象过的攻击来源及方式。

本实施例并不限定安全模型库中安全模型的内容。例如，该安全模型库中的内容可以是SQL(Structured Query Language，结构化查询语言)注入攻击模型；或者该安全模型库中的内容还可以是SQL注入二分法模型；或者该安全模型库中的内容还可以是生产虚拟货币主机处置响应模型；或者该安全模型库中的内容还可以是生产虚拟货币尝试模型；或者该安全模型库中的内容还可以是域名请求数量异常检测模型；或者该安全模型库中的内容还可以是根据互联网环境的变化构建新的安全模型，放置于安全模型库中。其中生产虚拟货币尝试模型，是检测资产是否存在于矿池交互通信的行为。生产虚拟货币木马是指利用受害者主机的CPU(Central Processing Unit/Processor，中央处理器)、GPU(Graphics Processing Unit，图形处理器)帮攻击者进行复杂运算的恶意程序，受感染的主机会被消耗大量系统资源(CPU、内存等)用来为远程矿池提供算例。可以查阅目的IP(destAddress，目的地址)、目的主机名(destHostName，Est主机名)或者dns请求域名(requestDomain，请求域)的威胁情报。其中SQL注入攻击模型对原始日志进行分析，获取所携带的有效数据payload(有效载荷)，对payload中包含的信息进行匹配，如果与该安全模型匹配，则将该请求定为该安全模型的攻击类型。除此之外，SQL注入攻击类型还包括但不限于通过其他模型获取到的通过外部网络直连数据库等一系列敏感操作从而达到访问用户资产数据的行为，都可以通过不同类型的模型定义。

本实施例并不限定安全模型的设定依据，例如可以是依据攻击类型的种类，可以是SQL注入攻击，获取、修改和删除数据库信息；或者还可以是XSS(Cross Site Scripting，跨站脚本漏洞)攻击；或者还可以是CSRF(Cross—Site Request Forgery，跨站点请求伪造)攻击；或者还可以是DNS(Domain Name System，域名系统)欺骗；或者还可以是URL(Uniform Resource Locator，统一资源定位符)解释；或者还可以是DDOS(DistributedDenial of Service，分布式拒绝服务)攻击，借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDOS攻击，从而成倍地提高拒绝服务攻击的威力。

进一步地，为了使安全模型库更充分，上述安全模型库，可以包括以下步骤，具体可以包括：

安全模型库包括SQL注入攻击模型、SQL注入二分法模型、生产虚拟货币主机处置响应模型、生产虚拟货币尝试模型和域名请求数量异常检测模型。

本实施例中安全模型库包括SQL注入攻击模型、SQL注入二分法模型、生产虚拟货币主机处置响应模型、生产虚拟货币尝试模型和域名请求数量异常检测模型，但不仅限于上述模型，还可以包括其它模型。

S102：当获取到个性化需求时，根据个性化需求从安全模型库中选择对应的安全模型。

本实施例并不限定个性化需求的具体内容。例如，当个性化需求为关注是否存在SQL注入攻击行为，则对应的安全模型为SQL注入攻击模型；或者还可以当个性化需求为关注是否存在SQL注入攻击行为和域名请求数据是否异常，则对应的安全模型为SQL注入攻击模型和域名请求数量异常检测模型。

本实施例并不限定个性化需求的制定规则，例如可以是当虚拟货币大涨时，个性化需求为是否存在生产虚拟货币尝试，对应的安全模型为生产虚拟货币尝试模型，通过对生产虚拟货币相关信息的筛选过滤，及时响应生产虚拟货币情报从而保护资产免受生产虚拟货币程序攻击；或者可以根据用户经验分析，制定个性化需求。

S103：根据安全模型对原始日志进行分析，确定攻击行为。

根据安全模型对原始日志进行分析，以此确定具体的攻击行为。本实施例并不限定安全模型的个数。例如，可以是一个安全模型；或者还可以是多个安全模型协同作用。安全模型的个数与内容是依据个性化需求进行设定的，当安全模型为多个时，本实施例并不限定多个安全模型协同的方式。例如，可以是共同分析；或者还可以是设定分析顺序，按照顺序依次分析。

进一步地，为了更好地对原始日志进行分析，上述根据安全模型对原始日志进行分析，确定攻击行为，可以包括以下步骤，具体可以包括：

当安全模型的个数大于1时，即安全模型为多个时，需要对安全模型进行排序操作，确定安全模型的顺序；

根据顺序和安全模型对原始日志进行分析，确定攻击行为。

本实施例并不限定顺序的设定方式。例如，可以根据安全模型设定粒度来设定顺序；或者还可以是根据安全模型设定权重来设定顺序。

进一步地，为了更好地对安全模型进行分析，提高分析效率，上述则对安全模型进行排序操作，可以包括以下步骤，具体可以包括：

对安全模型设定粒度；

根据粒度对安全模型进行排序操作。

本实施例中用户根据自身需求对安全模型设定粒度，根据粒度对安全模型排序，粗粒度的排序靠前，细粒度的排序靠后，以此可以提高分析效率。

本实施例并不限定确定攻击行为的后续处理。例如，后续处理可以是对攻击行为进行溯源；或者后续处理还可以是对攻击行为进行安全告警。

进一步地，为了从攻击根源避免后续攻击，在上述确定攻击行为之后，还可以包括以下步骤，具体还可以包括：

对攻击行为进行溯源，确定攻击入口；

根据攻击入口判断攻击行为是否为平台漏洞；

若是，则对平台漏洞进行修复；

若否，则封禁攻击行为的IP。

本实施例通过行为分析溯源获取攻击者入口，从而修复漏洞或封堵入口提高系统安全系数减少攻击发生次数。

进一步地，为了及时对攻击行为做出处置，在上述根据安全模型对原始日志进行分析之后，还可以包括以下步骤，具体还可以包括：

保留原始日志中与安全模型匹配的数据信息，其中数据信息包括来源IP、目的IP、目的端口和起始时间；

根据数据信息生成安全告警信息，其中安全告警信息包括告警类型、事件名称、安全告警威胁等级、告警结果、处置状态和平台编号。

本实施例中安全告警属于大数据平台内部数据，可以通过告警信息进行相关后续。若原始日志与安全模型匹配，则保留来源IP、目的IP、目的端口和起始时间信息，本实施例中的保留信息不仅限于上述信息，还可以包括其它信息。根据保留信息生成安全告警信息，其中安全告警信息包括告警类型、事件名称、安全告警威胁等级、告警结果、处置状态、平台编号，本实施例中的安全告警信息不仅限于上述内容，还可以包括其它的告警内容。可以理解的是，当安全告警信息越详细时，越有利于后期的处置。通过告警信息记录的基础信息，根据该信息可以直观地看到攻击者的IP、我方受到攻击的IP及端口、攻击事件，例如自动封禁就可以将源IP添加到封禁库中以阻止该IP的后续请求。

应用本发明实施例提供的获取原始日志和安全模型库；当获取到个性化需求时，根据个性化需求从安全模型库中选择对应的安全模型；根据安全模型对原始日志进行分析，确定攻击行为。本发明通过获取个性化需求，根据个性化需求从安全模型库中选择对应的安全模型，利用安全模型对原始日志进行过滤分析确定重点攻击行为，可以高效地筛选出原始日志中资产或企业所关注的攻击行为，细化攻击行为；通过获取的个性化需求，可以将自身所关注的攻击行为筛选出来，同时根据互联网环境的变化选择相应的安全模型，因此具有很高的时效性。并且安全模型库中的安全模型包括基础的攻击模型，更有利于后期根据用户输入的个性化需求选择对应的安全模型；并且在根据安全模型对原始日志进行分析之前，判断安全模型个数，当安全模型为多个时，设定分析顺序，提高分析有效性；并且对安全模型设定粒度，先利用粗粒度的安全模型对原始日志进行分析，再利用细粒度的安全模型对原始日志进行分析，提高分析效率；并且在确定攻击行为之后，对攻击行为进行溯源，找到攻击根源，对攻击进行防护的同时，修复自身系统的漏洞；并且在根据安全模型对原始日志分析之后，保留与安全模型匹配的数据信息，并根据数据信息生成安全告警信息，有利于后期的处置。

为了使本发明更便于理解，具体可以包括：

具体请参考图2，图2为本发明实施例提供的一种安全模型分析的流程图；利用探针获取原始日志数据，获取安全模型数据库和个性化需求，当个性化需求为检测SQL是否注入攻击，SQL是否注入二分法，是否存在生产虚拟货币主机处置响应，是否存在生产虚拟货币尝试，域名请求数据是否异常时，从安全模型数据库中筛选出个性化需求对应的安全模型，即SQL注入攻击模型、SQL注入二分法模型、生产虚拟货币主机处置响应模型、生产虚拟货币尝试模型和域名请求数量异常检测模型。利用安全模型对原始日志进行分析，生成攻击行为，此攻击行为是具体的攻击行为。利用安全模型对原始日志进行分析，当与安全模型匹配时，输出相应的安全告警信息，当与SQL注入攻击模型和生产虚拟货币尝试模型匹配时，相应的输出SQL注入攻击安全告警信息和生产虚拟货币尝试安全告警信息，具体请参考图3，图3为本发明实施例提供的一种攻击行为确定的流程图。当攻击行为确定后，可以对攻击行为进行溯源，根据攻击入口确定是否为平台漏洞，若是，则对漏洞进行修复，若否，则对路径进行封堵，具体请参考图4，图4为本发明实施例提供的一种攻击行为后续处理的流程图。

下面对本发明实施例提供的一种攻击行为分析装置进行介绍，下文描述的一种攻击行为分析装置与上文描述的一种攻击行为分析方法可相互对应参照。

具体请参考图5，图5为本发明实施例提供的一种攻击行为分析装置的结构示意图，可以包括：

获取模块100，用于获取原始日志和安全模型库；

选择模块200，当获取到个性化需求时，根据个性化需求从安全模型库中选择对应的安全模型；

分析确定模块300，用于根据安全模型对原始日志进行分析，确定攻击行为。

基于上述实施例，所述分析确定模块300，可以包括：

排序单元，用于当安全模型数量大于1时，则对安全模型进行排序操作，确定安全模型的顺序；

分析单元，用于根据顺序和安全模型对原始日志进行分析，确定攻击行为。

基于上述实施例，所述排序单元，可以包括：

设定子单元，用于对安全模型设定粒度；

排序子单元，用于根据粒度对安全模型进行排序操作。

基于上述实施例，所述攻击行为分析装置，还可以包括：

攻击入口确定模块，用于对攻击行为进行溯源，确定攻击入口；

判断模块，用于根据攻击入口判断攻击行为是否为平台漏洞；

修复模块，用于若是，则对平台漏洞进行修复；

封禁模块，用于若否，则封禁攻击行为的IP。

基于上述任意实施例，所述攻击行为分析装置，还可以包括：

保留模块，用于保留原始日志中与安全模型匹配的数据信息，其中数据信息包括来源IP、目的IP、目的端口和起始时间；

安全告警信息生成模块，用于根据数据信息生成安全告警信息，其中安全告警信息包括告警类型、事件名称、安全告警威胁等级、告警结果、处置状态和平台编号。

需要说明的是，上述一种攻击行为分析装置中的模块以及单元在不影响逻辑的情况下，其顺序可以前后进行更改。

应用本装置实施例提供的获取模块100，用于获取原始日志和安全模型库；选择模块200，用于当获取到个性化需求时，根据个性化需求从安全模型库中选择对应的安全模型；分析确定模块300，用于根据安全模型对原始日志进行分析，确定攻击行为。本装置通过获取个性化需求，根据个性化需求从安全模型库中选择对应的安全模型，利用安全模型对原始日志进行过滤分析确定重点攻击行为，可以高效地筛选出原始日志中资产或企业所关注的攻击行为，细化攻击行为；通过获取的个性化需求，可以将自身所关注的攻击行为筛选出来，同时根据互联网环境的变化，选择相应的安全模型，具有很高的时效性。并且安全模型库中的安全模型包括基础的攻击模型，更有利于后期根据用户输入的个性化需求选择对应的安全模型；并且在根据安全模型对原始日志进行分析之前，判断安全模型个数，当安全模型为多个时，设定分析顺序，提高分析有效性；并且对安全模型设定粒度，先利用粗粒度的安全模型对原始日志进行分析，再利用细粒度的安全模型对原始日志进行分析，提高分析效率；并且在确定攻击行为之后，对攻击行为进行溯源，找到攻击根源，对攻击进行防护的同时，修复自身系统的漏洞；并且在根据安全模型对原始日志分析之后，保留与安全模型匹配的数据信息，并根据数据信息生成安全告警信息，有利于后期的处置。

下面对本发明实施例提供的一种攻击行为分析设备进行介绍，下文描述的一种攻击行为分析设备与上文描述的一种攻击行为分析方法可相互对应参照。

请参考图6，图6为本发明实施例提供的一种攻击行为分析设备的结构示意图，可以包括：

存储器10，用于存储计算机程序；

处理器20，用于执行计算机程序，以实现上述的一种攻击行为分析方法。

存储器10、处理器20、通信接口31和通信总线32。存储器10、处理器20、通信接口31均通过通信总线32完成相互间的通信。

在本发明实施例中，存储器10中用于存放一个或者一个以上程序，程序可以包括程序代码，程序代码包括计算机操作指令，在本申请实施例中，存储器10中可以存储有用于实现以下功能的程序：

获取原始日志和安全模型库；

当获取到个性化需求时，根据个性化需求从安全模型库中选择对应的安全模型；

根据安全模型对原始日志进行分析，确定攻击行为。

在一种可能的实现方式中，存储器10可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统，以及至少一个功能所需的应用程序等；存储数据区可存储使用过程中所创建的数据。

此外，存储器10可以包括只读存储器和随机存取存储器，并向处理器提供指令和数据。存储器的一部分还可以包括NVRAM。存储器存储有操作系统和操作指令、可执行模块或者数据结构，或者它们的子集，或者它们的扩展集，其中，操作指令可包括各种操作指令，用于实现各种操作。操作系统可以包括各种系统程序，用于实现各种基础任务以及处理基于硬件的任务。

处理器20可以为中央处理器(Central Processing Unit，CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件，处理器20可以是微处理器或者也可以是任何常规的处理器等。处理器20可以调用存储器10中存储的程序。

通信接口31可以为通信模块的接口，用于与其他设备或者系统连接。

当然，需要说明的是，图6所示的结构并不构成对本申请实施例中攻击行为分析设备的限定，在实际应用中攻击行为分析设备可以包括比图6所示的更多或更少的部件，或者组合某些部件。

下面对本发明实施例提供的可读存储介质进行介绍，下文描述的可读存储介质与上文描述的一种攻击行为分析方法可相互对应参照。

本发明还提供一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述的一种攻击行为分析方法的步骤。

该计算机可读存储介质可以包括：U盘、移动硬盘、只读存储器(Read-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应该认为超出本发明的范围。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其他任何变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

以上对本发明所提供的一种攻击行为分析方法、装置、设备及可读存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。