[发明专利]基于异常点发现威胁组织攻击的方法、装置及存储介质

说明书

本发明实施例公开了一种基于异常点发现威胁组织攻击的方法、装置及存储介质，涉及网络安全技术领域，能够定位威胁攻击组织所有相关受控节点。包括：采集预设采集点的网络流量及日志信息并提取当前网络特征；将当前网络特征与威胁知识库进行匹配，并判定是否存在异常；若存在异常，则基于异常情况形成威胁线索；基于威胁线索并结合威胁知识库进行拓线分析，提出威胁假设；基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确；若威胁假设正确，则基于威胁知识库定位所有受控节点；其中，所述威胁知识库包括：TTP和IoC。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于异常点发现威胁组织攻击的方法、装置、电子设备及存储介质。

背景技术

目前，为了防止和避免遭受网络攻击和入侵，以确保网上信息的安全，常用的网络威胁防御方法是依靠网络安全防护系统。随着商业军火的泄露及其广泛传播，大大降低了网络攻击的难度和成本，使得缺少雄厚资金的攻击组织也能借助商业攻击平台实施高水平的攻击，导致网络威胁组织攻击活动逐年增加，技术日渐进步，攻击所具有的战术呈多样化趋势,攻击过程日益复杂。在这种网络空间安全形势日趋严峻的情况下，面对潜在的网络威胁，确定网络是否已经被攻击，避免在威胁事件发生前进行检测和告警，仅依靠网络安全防护系统进行防御的方法已不再有效。

发明内容

有鉴于此，本发明实施例提供了一种基于异常点发现威胁组织攻击的方法、装置、电子设备及存储介质，能够基于威胁知识库发现异常点并定位所有相关受控节点，进而在威胁发生前进行主动止损。

本发明实施例提供一种基于异常点发现威胁组织攻击的方法，包括：

采集预设采集点的网络流量及日志信息并提取当前网络特征；

将当前网络特征与威胁知识库进行匹配，并判定是否存在异常；

若存在异常，则基于异常情况形成威胁线索；

基于威胁线索并结合威胁知识库进行拓线分析，提出威胁假设；

基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确；

若威胁假设正确，则基于威胁知识库定位所有受控节点；

其中，所述威胁知识库包括：TTP和IoC。

进一步地，所述基于威胁线索并结合威胁知识库进行拓线分析，提出威胁假设，具体包括：

基于威胁线索中的各项异常情况，匹配威胁知识库中与各项异常情况相关的行为特征，并提出威胁假设；

其中，异常情况包括：终端异常、日志异常、网络异常；所述威胁假设至少包括但不限于：恶意操作、恶意组织。

更进一步地，所述基于威胁知识库定位所有受控节点，具体包括：基于威胁假设，查询威胁知识库，获取相关恶意操作或者恶意组织的TTP信息，基于攻击习惯，按照不同的攻击阶段展开分析，定位所有受控节点。

上述方法实施例中，所述采集预设采集点的网络流量及日志信息，包括：采集网段的出入口、连接重要主机的交换机处的网络流量；采集终端侧的日志信息。

第二方面，本发明实施例提供一种基于异常点发现威胁组织攻击的装置，包括：

信息采集模块，用于采集预设采集点的网络流量及日志信息并提取当前网络特征；

异常点发现模块，用于将当前网络特征与威胁知识库进行匹配，并判定是否存在异常；

威胁线索构建模块，用于若存在异常，则基于异常情况形成威胁线索；

威胁假设提出模块，用于基于威胁线索并结合威胁知识库进行拓线分析，提出威胁假设；