自动化网络防御方法、设备及计算机可读存储介质与流程

1.本发明公开通常涉及网络安全领域，并且更具体而言，涉及自动化网络防御方法、设备及计算机可读存储介质。


背景技术：

2.随着互联网安全技术快速发展，基于传统的开源威胁情报分析方法已不能满足单一企业的安全需求。网络攻击的专业性和针对性不断提升，攻击方式从单一方式向多方位、多手段、多方法结合化发展。
3.传统的人工提取特征部署针对性的防御策略，不能实现对攻击行为的快速响应，具有较低的时效性。
4.针对传统威胁情报联动方式数据来源较为单一，对误报率较高、应对攻击时效性长等问题。提出了基于情报联盟的横向自动化威胁防御方法，该方法采用分布式收集各部门的攻击数据，对各联盟成员节点提交的威胁情报进行严判，对于可信值攻击情报下发到联盟成员节点并进行设备联动防御方式，降低了传统开源威胁情报的误报率等问题。缓解了现有技术中不能实现对攻击行为的快速响应，防御始终滞后于网络攻击的问题。采用单点攻击、多点分发、多点防御的方式，解决了不同企业网络架构下的联合防御问题。
5.因此，现有技术中存在能够解决了不同企业网络架构下的联合防御问题的需求。


技术实现要素：

6.本专利提出了首先在每个联盟成员节点中都部署端点模块，该模块用于接收联盟成员节点各自的核心交换机镜像流量，流量检测模块不断对恶意攻击行为进行识别，并将恶意流量保存并下发到端点收发模块。端点收发模块具有两个功能，恶意行为流量接收、威胁情报接收及下发。将整合的数据下发到智能运中心的分析集群进行多维度可信判别计算。威胁情报接收及下发功能，用于周期性调取威胁情报库数据，并将最新情报数据下发到设备联动模块。设备联动模块中存储不同设备的安全策略，对于端点收发模块下发的威胁情报信息，驱动不同安全产品设备更改或添加安全防护策略。
7.根据本公开的一个方面，本发明使用了多点威胁识别加开源情报融合机制。将联盟成员节点攻击情报与开源威胁情报相融合的方式，使情报来源更加广泛和及时。根据本公开的另一个方面，本发明使用了单点攻击、多点联动的防御机制。单一联盟成员节点面临的安全威胁时，所有联盟成员节点采取安全设备联动防御措施。根据本公开的再一个方面，本发明使用了多维度可信判别算法。该算法分别采用联盟成员节点与开源威胁情报融合机制对时间维度、情报来源维度、权威系数、危害值等多维度可信计算。
8.为了实现上述目的，根据本发明的一个方面提供了一种用于网络侧的自动化网络防御方法，包括：从联盟成员节点接收威胁情报信息；基于联盟成员节点提交的威胁情报信息计算该情报信息的可信值；基于开源威胁情报信息计算该情报信息的可信值；基于计算出的各个可信值，计算该威胁情报信息的综合可信值；以及当综合可信值大于预定阈值时，
将威胁情报信息下发给所述多个联盟成员节点。
9.为了实现上述目的，根据本发明的另一个方面提供了一种用于联盟成员节点侧的自动化网络防御方法，包括：从联盟成员节点的核心交换机镜像流量中识别指示恶意攻击行为的恶意流量；从识别出的恶意流量中提取并整合出威胁情报信息，其中所述威胁情报信息具有以下格式：{攻击源，攻击时间，攻击方式，特征流量
……
}；将所获得的威胁情报信息发送到网络侧。
10.为了实现上述目的，根据本发明的再一个方面提供了一种自动化网络防御装置，包括实现上述调度判决方法步骤的部件。
11.为了实现上述目的，根据本发明的再一个方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在被处理器执行时实现上述自动化网络防御方法步骤。
附图说明
12.在下文中，将参照附图详细地描述本公开内容的优选实施例。注意，在本说明书和附图中，用相同的附图标记来表示具有基本上相同的功能和结构的结构元件，并且省略对这些结构元件的重复说明。
13.图1是示出根据本公开一实施例的自动化网络防御系统的示意图；
14.图2是示出根据本公开一实施例的自动化网络防御方法的示意图；以及
15.图3是示出根据本公开一实施例的多设备联动防御示意图。
具体实施方式
16.以下对示例性实施例的详细描述参考附图。不同附图中的相同标号识别相同或相似的元件。此外，附图不一定按比例绘制。而且，以下详细描述不限制本发明。相反，本发明的范围由所附权利要求限定。
17.整个说明书中对“一个实施例”或“实施例”或“一些实施例”的引用意味着结合实施例描述的特定特征、结构或特点包括在所公开的主题的至少一个实施例中。因此，在整个说明书中各处出现的短语“在一个实施例中”或“在实施例中”或“在一些实施例中”不一定是指相同的(一个或多个)实施例。另外，特定特征、结构或特点可以在一个或多个实施例中以任何合适的方式组合。
18.本发明人针对现有技术中存在的问题，提出了一种自动化网络防御方法、装置和计算机存储介质。在网络侧，根据本发明的自动化网络防御方法包括：从多个联盟成员节点中的特定联盟成员节点接收威胁情报信息；基于接收到的威胁情报信息计算特定联盟成员节点提交的威胁情报信息的可信值；基于开源威胁情报信息计算开源威胁情报信息的可信值；基于计算出的各个可信值，计算该威胁情报信息的综合可信值；以及当综合可信值大于预定阈值时，将威胁情报信息下发给所述多个联盟成员节点。在联盟成员节点侧，根据本发明的自动化网络防御方法包括：从联盟成员节点的核心交换机镜像流量中识别指示恶意攻击行为的恶意流量；从识别出的恶意流量中提取并整合出威胁情报信息，其中所述威胁情报信息具有以下格式：{攻击源，攻击时间，攻击方式，特征流量
……
}；将所获得的威胁情报信息发送到网络侧。
19.本发明创造性提出一种基于情报联盟的横向自动化威胁防御方法，设计了一种横向多点威胁识别、分布式情报收集与分发、多点设备联动防御的安全机制。通过多点威胁识别与分发机制，有效的解决了传统开源威胁情报的实用性问题。同时本方法具有安全设备联动防御能力，解决了现有开源威胁情报的时效性较长，导致防御始终滞后于网络攻击的问题。
20.图1示出了根据本公开一实施例的自动化网络防御系统100。如图所示，自动化网络防御系统100包括一个或多个联盟成员节点，这些联盟成员节点参加了为了网络安全而签署了正式协定(或条约或合同)建立的组织或集团，从而成为其联盟成员节点。这些联盟成员节点连接到网络，相对于网络处于设备侧。
21.首先在每个联盟成员节点中都部署端点模块，该模块用于接收联盟成员节点各自的核心交换机镜像流量，流量检测模块不断对恶意攻击行为进行识别，并将恶意流量保存并下发到端点收发模块。端点收发模块具有两个功能，恶意行为流量接收、威胁情报接收及下发。将整合的数据下发到智能运中心的分析集群进行多维度可信判别计算。威胁情报接收及下发功能，用于周期性调取威胁情报库数据，并将最新情报数据下发到设备联动模块。设备联动模块中存储不同设备的安全策略，对于端点收发模块下发的威胁情报信息，驱动不同安全产品设备更改或添加安全防护策略。
22.自动化网络防御系统100还包括网络侧中的智能云中心。智能云中心可以是控制中心，其可以包括分析集群、威胁情报数据库及开源威胁情报模块。分析集群执行以下操作：
23.1.计算联盟成员节点可信值
24.当联盟成员节点节点受到攻击时，提取威胁情报关键信息并上传到分析集群。依据攻击类型、事件时间，计算联盟成员节点可信值，计算公式如下：
[0025][0026][0027]
其中i是正整数，指示提交相同类型的威胁情报信息的联盟成员节点数，si是0到1之间的正数，指示接收到当前威胁情报信息时刻与首次接收到相同威胁情报信息之间的时效性，pi指示危害值，是预先设定的值，以及a指示一次威胁事件的可信值，其等于i个联盟成员节点中每个节点的时效性
×
该攻击类型的危害值相加的和。
[0028]
当联盟成员节点受到攻击时，会将威胁情报进行上传到分析集群，分析集群对威胁情报关键信息进行提取，也就是，将情报分类、打标签，提取出攻击时间、攻击源、攻击方式、特征码等。
[0029]
在上述公式中的i指示提交威胁情报的节点数。例如联盟一先提交的i为0，联盟二再提交了i就变成了1。si是一个时效性的计算。例如，当两个联盟同时提交，有效性si就为1。如果间隔时间非常长si值就越小，直至几乎为0。pi指示危害值，其是预先规定的。a为可信值，其＝时效性*该攻击类型的危害值。可信值a为一次事件的可信值。
[0030]
例如，攻击源3.3.3.3分别攻击联盟成员节点1、2。进行邮件钓鱼。联盟成员节点1
将威胁情报上传，当联盟成员节点2再次上传。利用上面公式计算攻击源3.3.3.3进行邮件钓鱼这次事件的可信值。假设算出的结果为0.7。
[0031]
2.计算开源威胁情报可信值
[0032]
开源威胁情报可以是实时定期收集的威胁情报，依据威胁情报攻击类型、事件时间、权威系数等等，计算威胁情报可信值，计算公式如下所示：
[0033][0034][0035]
其中i是正整数，指示第i个用户提交相同类型的威胁情报信息；si是0到1之间的正数，指示接收到当前威胁情报信息时刻与首次接收到相同威胁情报信息之间的时效性；pi指示危害值，是预先设定的值；au指示开源威胁情报平台的权威系数；以及可信值b等于i个用户提交的威胁情报信息对应的危害值
×
时效性
×
权威系数相加的和。
[0036]
在上述公式中的si同样是开源威胁情报的时效性。开源威胁情报为公开的，接受社会节点提供的威胁情报。si为不同社会团体提交该威胁情报的时效性。b＝攻击对应的危害值*时效性*权威系数。au指示权威系数，其是开源威胁情报平台，官方公布的权威性。其值在网上可查。
[0037]
3.计算该威胁情报信息的综合可信值
[0038]
依据联盟成员节点可信值与开源威胁情报可信值，依据下式计算该威胁情报信息的综合可信值：
[0039]
p＝αa βb
[0040]
α和β为可调参数，且α,β≥0且α β＝1。α,β可以根据需要设定。
[0041]
4.情报下发
[0042]
当综合可信值大于设定的可信阈值时，将该威胁情报下发到联盟成员节点节点。
[0043]
威胁情报库用于存储具有高威胁性的情报。这个情报可以是联盟成员节点上报的信息，也可以来自开源情报。通常，该情报以如下格式进行存储：{攻击源，攻击时来自间，攻击方式，特征码
……
}。
[0044]
开源威胁情报模块通过互联网公开的第三方威胁情报api接口，周期性获取威胁情报信息。将获取到的威胁情报信息提取{攻击源，攻击时间，攻击方式，特征码，威胁指数
……
}。
[0045]
图2是示出根据本公开一实施例的自动化网络防御方法的示意图。在框100处，根据本公开的一些实施例的自动化网络防御处理100开始。在框100处，获取联盟成员节点上传的情报信息以及开源威胁情报信息字段。
[0046]
在框102处，判断接收到的信息是否为最新威胁情报。值得注意的是，该处理是可选的。如果判断为否，则前进到框104，在该处，可以将威胁情报信息丢弃。
[0047]
如果判断为是，则前进到框106，在该处，根据获取的情报字段，计算该威胁情报信息的综合可信值。计算的方式已经在上面进行了详细描述。
[0048]
在框108处，比较综合可信值与可信阈值。如果综合可信值小于可信阈值，则前进
到框110，在该处，分析集群临时本地存储威胁情报信息。值得注意的是，该处理是可选的。也可以直接丢弃这些威胁情报信息。
[0049]
如果综合可信值大于可信阈值，则前进到框112，在该处，将威胁情报信息上传到威胁情报库。
[0050]
在框114处，将来自开源威胁情报的高威胁性情报信息也上传到威胁情报库。
[0051]
在框116处，威胁情报库将获取的高威胁性情报信息下发到各个联盟成员节点。
[0052]
在框118处，各个联盟成员节点产生设备联动。
[0053]
以下利用具体的示例来说明根据本发明的处理过程。
[0054]
首先，进行异常流量检测。具体地，在每个联盟成员节点中都部署端点模块，该模块用于接收联盟成员节点各自的核心交换机镜像流量，流量检测模块不断对恶意攻击行为进行识别(密码猜解、命令执行、木马文件，恶意扫描等)，并将恶意流量保存并下发到端点收发模块。
[0055]
其次，进行情报提取。具体地，端点收发模块具有两个功能，恶意行为流量接收、威胁情报接收及下发。恶意行为流量接收用于接收流量检测模块发送的数据，并进行流量信息的提取及整合{攻击源，攻击时间，攻击方式，特征流量
……
}，并将整合的数据下发到智能运中心的分析集群进行为此分析计算。
[0056]
再次，确定可信等级。具体地，分析集群接收到联盟成员节点端点模块发送的威胁情报信息进行多维度可信计算，例如同时收到2个节点节点的攻击情报，相同的攻击源ip地址，攻击方式为暴力破解危害值为8，此时，开源威胁情报收到0个告警，b的值为0，依据设定调节参数计算可信值p，此时根据可信值与设定可信阈值的上下区间比较决定是否情报下发到节点节点。
[0057]
再次，联盟成员节点进行情报收集和存储。具体地，将具有高威胁性的情报提取威胁情报信息{攻击源，攻击时间，攻击方式，特征码
……
}，并下发到威胁情报库。
[0058]
再次，进行开源情报的收集和存储。具体地，通过互联网公开的第三方威胁情报api接口，周期性获取威胁情报信息。将获取到的威胁情报信息提取{攻击源，攻击时间，攻击方式，特征码，威胁指数
……
}。
[0059]
最后，进行安全防护设备联动。具体地，设备联动模块中存储不同设备的安全策略，对于端点收发模块下发的威胁情报信息，驱动不同安全产品设备更改或添加安全防护策略。
[0060]
图3是示出根据本公开一实施例的多设备联动防御示意图。如图所示，联盟成员节点1遭受到攻击，其立刻将该威胁情报信息上报给了智能云中心。智能云中心基于接收到的威胁情报信息计算联盟成员节点可信值，并且基于开源威胁情报信息计算开源威胁情报可信值。智能云中心基于计算出的这两个可信值来计算该威胁情报信息的综合可信值。通过将计算出的综合可信值与预定阈值进行比较，智能云中心确定该威胁是否具有高威胁性。如果是，则智能云中心将威胁情报信息下发给所有联盟成员节点1-8。各个联盟成员节点1-8响应于接收到威胁情报信息，驱动不同安全产品设备更改或添加安全防护策略。
[0061]
本发明提出一种基于情报联盟的横向自动化威胁防御方法，设计了一种横向多点威胁识别、分布式情报收集与分发、多点设备联动防御的安全机制。通过多点威胁识别与分发机制，有效的解决了传统开源威胁情报信息的实用性问题。同时本方法具有安全设备联
动防御能力，解决了现有开源威胁情报信息的时效性较长，导致防御始终滞后于网络攻击的问题。
[0062]
如基于前述说明书将认识到的，本公开的上述实施例可以使用计算机编程或工程技术来实现，该计算机编程或工程技术包括计算机软件、固件、硬件或其任何组合或子集，其中技术效果是建立并操作基于文件系统的应用网络。具有计算机可读代码装置的任何这样得到的程序都可以在一个或多个计算机可读介质中实施或提供，从而根据本公开所讨论的实施例制作计算机程序产品(即，制品)。计算机可读介质可以是例如但不限于固定(硬)驱动器、软盘、光盘、磁带、诸如只读存储器(rom)之类的半导体存储器，和/或任何传输/接收媒体(诸如互联网或其它通信网络或链接)。包含计算机代码的制品可以通过直接从一个介质执行代码、通过将代码从一个介质复制到另一个介质或者通过经网络发送代码来制造和/或使用。
[0063]
这些计算机程序(也称为程序、软件、软件应用、“应用”或代码)包括用于可编程处理器的机器指令，并且可以用高级过程和/或面向对象的编程语言和/或者用汇编/机器语言来实现。如本文所使用的，术语“机器可读介质”、“计算机可读介质”是指用于向可编程处理器提供机器指令和/或数据的任何计算机程序产品、装置和/或设备(例如，磁盘、光盘、存储器、可编程逻辑设备(pld))，包括将机器指令作为机器可读信号接收的机器可读介质。但是，“机器可读介质”和“计算机可读介质”不包括瞬态信号。术语“机器可读信号”是指用于向可编程处理器提供机器指令和/或数据的任何信号。
[0064]
虽然已经结合具体示例性实施例描述了本公开，但是应该理解的是，在不脱离如所附权利要求中阐述的本公开的精神和范围的情况下，可以对所公开的实施例进行对本领域技术人员显而易见的各种改变、替换和更改。