【技術實現步驟摘要】
本專利技術涉及信息安全,具體涉及一種基于加密流量的威脅判斷方法和裝置。
技術介紹
1、對加密流量進行威脅判斷是信息安全的重要組成部分,而基于加密流量的威脅判斷一直以來存在廣泛的誤報問題,相比基于明文的威脅判斷來說誤報量更多且難以根除,因此在實際運維場景下,基于規則、行為模型、ai等各類判斷方法產生的告警仍然需要進行人工判斷,人工判斷是運維過程中不可或缺的一環,而相比于基于明文的威脅判斷,基于加密流量的威脅判斷存在告警判斷難度高、判斷工作量大的問題,導致加密流量威脅判斷類產品可運維性較差。
2、鑒于此,提供一種基于加密流量的威脅判斷方法和裝置,以解決加密流量的威脅判斷判斷工作量較大,告警判斷難度較大的問題,就成為本領域技術人員亟待解決的問題。
技術實現思路
1、為此,本專利技術實施例提供一種基于加密流量的威脅判斷方法和裝置,以解決加密流量的威脅判斷判斷工作量較大,告警判斷難度較大的問題,從而通過自動化判斷降低威脅判斷的難度,減少人工判斷的工作量。
2、為了實現上述目的,本專利技術實施例提供如下技術方案:
3、本專利技術提供一種基于加密流量的威脅判斷方法,所述方法包括:
4、獲取待判斷的告警數據;
5、基于待判斷的告警數據的威脅類型,將所述告警數據輸入與其威脅類型相匹配的判斷模型,以得到所述判斷模型輸出的置信度;
6、根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,所述威脅判斷結果至少包括告警標簽、判斷依
7、在一些實施例中,獲取待判斷的告警數據,具體包括:
8、從預先構建的告警信息多維度數據庫中提取所述告警數據,這些數據主要是由加密流量產生的原始數據和基于流量進行統計和計算產生的數據
9、所述告警信息多維數據庫是利用告警數據信息構建的數據庫,所述告警數據信息包括加密流量產生的原始數據和基于流量進行統計和計算產生的數據。
10、在一些實施例中,告警信息多維度數據庫中至少包括以下類型的數據:
11、基于ip的多維數據、基于多流告警的多維數據、基于單流告警的多維數據、基于當前告警的多維數據、基于告警歷史的多維數據、基于加密情報平臺的多維數據和基于告警原始數據的多維數據。
12、在一些實施例中,所述判斷模型包括以下至少一者:
13、加密webshell自動判斷模型、加密木馬回連自動判斷模型、加密代理轉發自動判斷模型、加密icmp隧道自動判斷模型、加密dns隧道自動判斷模型、加密tcp/udp隧道自動判斷模型、https加密掃描自動判斷模型、加密暴力破解自動判斷模型。
14、在一些實施例中,在所述攻擊類型為命令控制類的情況下,根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,具體包括:
15、若處于高置信度,則所述威脅判斷結果為失陷;
16、若處于中置信度,則所述威脅判斷結果為可能失陷;
17、若處于低置信度,則所述威脅判斷結果為誤報。
18、在一些實施例中,在所述攻擊類型為橫向工具類的情況下,根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,具體包括:
19、若處于高置信度,則所述威脅判斷結果為失陷;
20、若處于中置信度,則所述威脅判斷結果為可能失陷;
21、若處于低置信度,則所述威脅判斷結果為誤報。
22、在一些實施例中,在所述攻擊類型為加密掃描類的情況下,根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,具體包括:
23、若處于高置信度,則所述威脅判斷結果為嘗試攻擊;
24、若處于中置信度,則所述威脅判斷結果為未知掃描;
25、若處于低置信度,則所述威脅判斷結果為業務流量。
26、本專利技術還提供一種基于加密流量的威脅判斷裝置,所述裝置包括:
27、數據獲取單元,用于獲取待判斷的告警數據;
28、模型匹配單元,用于基于待判斷的告警數據的威脅類型,將所述告警數據輸入與其威脅類型相匹配的判斷模型,以得到所述判斷模型輸出的置信度;
29、結果輸出單元,用于根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,所述威脅判斷結果至少包括告警標簽、判斷依據和建議處置方式。
30、本專利技術還提供一種智能終端,所述智能終端包括:數據采集裝置、處理器和存儲器;
31、所述數據采集裝置用于采集數據;所述存儲器用于存儲一個或多個程序指令;所述處理器,用于執行一個或多個程序指令,用以執行如上所述的方法。
32、本專利技術還提供一種計算機可讀存儲介質,所述計算機存儲介質中包含一個或多個程序指令,所述一個或多個程序指令用于執行如上所述的方法。
33、本專利技術所提供的基于加密流量的威脅判斷方法和裝置,通過獲取待判斷的告警數據;基于待判斷的告警數據的威脅類型,將所述告警數據輸入與其威脅類型相匹配的判斷模型,以得到所述判斷模型輸出的置信度;根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,所述威脅判斷結果至少包括告警標簽、判斷依據和建議處置方式。該方法和裝置將人工判斷的工作盡可能地轉化為自動化判斷,自動化判斷可以將大部分人工判斷的經驗和方法進行代碼化、自動化,可以有效減少加密威脅告警的判斷難度和工作量。本專利技術從多種維度去判斷告警的合理性,這些維度重點不在于產生惡意流量的工具的本身特點,而是對這些惡意工具流量特征的有效補充,它能從更多的維度模擬人工判斷,從而自動判斷告警是否為誤報,最后產出判斷結果提供給運維人員,供運維人員進行判斷參考。解決了加密流量的威脅判斷判斷工作量較大,告警判斷難度較大的問題,從而通過自動化判斷降低威脅判斷的難度,減少了人工判斷的工作量。
本文檔來自技高網...【技術保護點】
1.一種基于加密流量的威脅判斷方法,其特征在于,所述方法包括:
2.根據權利要求1所述的基于加密流量的威脅判斷方法,其特征在于,獲取待判斷的告警數據,具體包括:
3.根據權利要求2所述的基于加密流量的威脅判斷方法,其特征在于,告警信息多維度數據庫中至少包括以下類型的數據:
4.根據權利要求1所述的基于加密流量的威脅判斷方法,其特征在于,所述判斷模型包括以下至少一者:
5.根據權利要求1所述的基于加密流量的威脅判斷方法,其特征在于,在所述攻擊類型為命令控制類的情況下,根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,具體包括:
6.根據權利要求1所述的基于加密流量的威脅判斷方法,其特征在于,在所述攻擊類型為橫向工具類的情況下,根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,具體包括:
7.根據權利要求1所述的基于加密流量的威脅判斷方法,其特征在于,在所述攻擊類型為加密掃描類的情況下,根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,具體包括:
8.一種基于加密流量的威脅判斷
9.一種智能終端,其特征在于,所述智能終端包括:數據采集裝置、處理器和存儲器;
10.一種計算機可讀存儲介質,其特征在于,所述計算機存儲介質中包含一個或多個程序指令,所述一個或多個程序指令用于執行如權利要求1-7任一項所述的方法。
...【技術特征摘要】
1.一種基于加密流量的威脅判斷方法,其特征在于,所述方法包括:
2.根據權利要求1所述的基于加密流量的威脅判斷方法,其特征在于,獲取待判斷的告警數據,具體包括:
3.根據權利要求2所述的基于加密流量的威脅判斷方法,其特征在于,告警信息多維度數據庫中至少包括以下類型的數據:
4.根據權利要求1所述的基于加密流量的威脅判斷方法,其特征在于,所述判斷模型包括以下至少一者:
5.根據權利要求1所述的基于加密流量的威脅判斷方法,其特征在于,在所述攻擊類型為命令控制類的情況下,根據所述置信度和所述告警數據的攻擊類型,得到威脅判斷結果,具體包括:
6.根據權利要求1所述的基于加密流量的威脅...
【專利技術屬性】
技術研發人員:張舟,梁易超,
申請(專利權)人:北京觀成科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。