基于外部威胁情报分析的资产安全预警方法及装置转让专利
申请号 : CN201710786632.9
文献号 : CN107370763B
文献日 : 2020-10-20
发明人 : 宋岍龙 , 许敬伟 , 林满佳 , 林剑鸿 , 李冠道 , 邓宇珊 , 魏丽丽 , 付宗源 , 高峰 , 张建军 , 苏砫
申请人 : 中国移动通信集团广东有限公司 , 北京神州泰岳信息安全技术有限公司
摘要 :
本发明公开了一种基于外部威胁情报分析的资产安全预警方法及装置,具体通过采集最新的源自国内外权威机构发布的威胁情报信息,并对采集威胁情报信息进行同类信息去重合并,生成外部威胁情报库中最终的威胁情报信息;然后,根据形成的外部威胁情报库中威胁情报的属性信息,检测内部受威胁资产信息库中是否存在受威胁设备。由于外部威胁情报库中的情报信息来源泛,因此可以实现对各威胁情报发布平台所发布的威胁情报信息的互补,形成内容全面、准确且及时性高的外部威胁情报库。同时,利用上述外部威胁情报库对目标网络中的资产设备进行安全预警时,可以避免只采用单一威胁情报平台发布的信息进行时,情报信息过于单一的问题。
权利要求 :
1.一种基于外部威胁情报分析的资产安全预警方法,其特征在于,所述方法包括:对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析;
根据解析得到的各所述威胁情报的属性信息,对各所述威胁情报进行同类情报合并去重,形成外部威胁情报库;
根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备;
如果存在受威胁设备,则根据所述受威胁设备的资产信息、以及与所述受威胁设备相匹配的威胁情报的属性信息,生成所述受威胁设备的安全预警信息;
其中,根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备,包括:分别根据所述外部威胁情报库中各威胁情报中的属性名称设置分析变量,以及根据所述属性名称对应的属性值设置分析函数;
根据各所述威胁情报的属性名称、属性值、与所述属性名称对应的分析变量、以及与所述属性值对应的分析函数,设置各类威胁情报的分析公式;
判断目标网络的内部受威胁资产信息库中各设备的资产信息是否符合所述分析公式的要求;
如果存在一个或多个设备的资产信息符合任一类别威胁情报的分析公式的要求,则判定所述一个或多个设备为受威胁设备。
2.根据权利要求1所述的方法,其特征在于,所述内部受威胁资产信息库的生成方法包括:根据内部资产信息采集任务,确认目标网络中的被采集设备;
利用采集服务器登录所述被采集设备、以及在所述被采集设备上执行设备类型探测脚本,检测所述被采集设备的设备类型;
根据所述被采集设备的设备类型,所述采集服务器在所述被采集设备上执行相应的资产信息采集脚本,以采集所述被采集设备的资产信息;
根据所述采集服务器采集到的资产信息的解析结果,形成内部受威胁资产信息库。
3.根据权利要求2所述的方法,其特征在于,在所述被采集设备上执行设备类型探测脚本,检测所述被采集设备的设备类型,包括:根据从预设设备信息库中获取到的所述被采集设备的设备类型信息,向所述被采集设备下发与所述设备类型信息相匹配的初始设备类型探测脚本;
根据所述初始设备类型探测脚本的执行结果,判断所述被采集设备的设备类型与所述设备类型信息是否相匹配;
如果不匹配,则根据预设优先级依次向所述被采集设备下发备选设备类型探测脚本,直至检测出所述被采集设备的设备类型。
4.根据权利要求1所述的方法,其特征在于,对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析,包括:分别检测从多个威胁情报发布平台采集到的各威胁情报是否为机器语言能识别的情报信息;
如果所述威胁情报不是机器语言能识别的情报信息,则利用自然语言处理的解析方式对所述威胁情报进行属性信息解析;
如果所述威胁情报为机器语言能识别的情报信息,则利用正则表达式和/或结构表达式的解析方式对所述威胁情报进行属性信息解析。
5.根据权利要求1所述的方法,其特征在于,根据解析得到的各所述威胁情报的属性信息,对各所述威胁情报进行同类情报合并去重,包括:根据解析得到的各所述威胁情报的属性信息,将各所述威胁情报中影响到的产品类型相同的情报作为同类威胁情报;
将所述同类威胁情报进行内容合并,形成一个威胁情报,并以所述同类威胁情报中的一个CVE编号作为合并后威胁情报的CVE编号;
或者,
根据解析得到的各所述威胁情报的属性信息,将各所述威胁情报中解决方案相同的情报作为同类威胁情报;
将所述同类威胁情报进行内容合并,形成一个威胁情报,并以所述同类威胁情报中的一个CVE编号作为合并后威胁情报的CVE编号。
6.根据权利要求1所述的方法,其特征在于,判断目标网络的内部受威胁资产信息库中各设备的资产信息是否符合所述分析公式的要求,包括:分别根据所述外部威胁情报库中各威胁情报中的属性名称,从目标网络的内部受威胁资产信息库中筛选潜在受威胁的设备、以及所述潜在受威胁的设备的资产信息;
判断所述潜在受威胁的设备的资产信息是否符合所述分析公式的要求。
7.根据权利要求1所述的方法,其特征在于,生成所述受威胁设备的安全预警信息之后,所述方法还包括:将所述安全预警信息在安全预警平台的页面上进行信息展示;
和/或,
将所述安全预警信息发送给预设终端,以通知所述受威胁设备的资产负责人。
8.一种基于外部威胁情报分析的资产安全预警装置,其特征在于,所述装置包括:威胁情报解析模块:用于对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析;
威胁情报库生成模块:用于根据解析得到的各所述威胁情报的属性信息,对各所述威胁情报进行同类情报合并去重,形成外部威胁情报库;
受威胁设备分析模块:用于根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备;
预警信息生成模块:用于如果存在受威胁设备,则根据所述受威胁设备的资产信息、以及与所述受威胁设备相匹配的威胁情报的属性信息,生成所述受威胁设备的安全预警信息;
其中,根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备,包括:分别根据所述外部威胁情报库中各威胁情报中的属性名称设置分析变量,以及根据所述属性名称对应的属性值设置分析函数;
根据各所述威胁情报的属性名称、属性值、与所述属性名称对应的分析变量、以及与所述属性值对应的分析函数,设置各类威胁情报的分析公式;
判断目标网络的内部受威胁资产信息库中各设备的资产信息是否符合所述分析公式的要求;
如果存在一个或多个设备的资产信息符合任一类别威胁情报的分析公式的要求,则判定所述一个或多个设备为受威胁设备。
9.根据权利要求8所述的装置,其特征在于,所述装置包括资产信息库生成模块,其中,所述资产信息库生成模块包括:被采集设备确认子模块:用于根据内部资产信息采集任务,确认目标网络中的被采集设备;
设备类型检测子模块:用于利用采集服务器登录所述被采集设备,以及在所述被采集设备上执行设备类型探测脚本,检测所述被采集设备的设备类型;
资产信息采集子模块:用于根据所述被采集设备的设备类型,所述采集服务器在所述被采集设备上执行相应的资产信息采集脚本,以采集所述被采集设备的资产信息;
资产信息库生成子模块:用于根据所述采集服务器采集到的资产信息的解析结果,形成内部受威胁资产信息库。
说明书 :
基于外部威胁情报分析的资产安全预警方法及装置
技术领域
[0001] 本发明涉及网络信息安全技术领域,尤其涉及一种基于外部威胁情报分析的资产安全预警方法及装置。
背景技术
[0002] 随着互联网的快速发展,信息安全攻击的方式已经从“广撒网”、“简单粗暴”转变为“精准化的定向攻击”、“精细化的DDOS(Distributed Denial of Service,分布式拒绝服务)”。这些攻击行为在攻击之前都会对攻击对象进行精确的信息收集,主动挖掘被攻击对象受信系统及相关漏洞,然后择机对目标对象进行攻击。因此,如何在攻击发生之前,对可能发生的攻击进行准确、及时预警,成为当下企业亟待解决的安全问题。
[0003] 为实现企业资产在信息安全方面的防护,目前通常在网络节点服务器安装漏洞威胁预警系统,并利用该系统从某个公开威胁情报发布平台(如国家信息安全漏洞库、中国国家信息安全漏洞库等)获取漏洞信息。然后,从获取的漏洞信息中解析取出漏洞属性值(如设备类型、解决方案等)。最后,以解析出的属性值为条件,从其内部存储的资产信息库中查找符合条件的资产,如果匹配成功,则认为该资产存在漏洞或有被威胁利用的可能,便会生成相应的预警信息、以及在该资产的显示页面上展现该预警信息。
[0004] 但是,由于上述漏洞威胁预警系统只采集某一个公开威胁情报平台发布的信息,所以导致采集的情报信息过于单一,无法保证情报的全面性及准确性,甚至有可能会错失重要情报信息。
发明内容
[0005] 本发明提供了一种基于外部威胁情报分析的资产安全预警方法及装置,以解决现有技术外部情报获取途径单一,无法确保预警的准确性、及时性及全面性的问题。
[0006] 根据本发明实施例的第一方面,提供了一种基于外部威胁情报分析的资产安全预警方法,该方法包括:
[0007] 对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析;
[0008] 根据解析得到的各所述威胁情报的属性信息,对各所述威胁情报进行同类情报合并去重,形成外部威胁情报库;
[0009] 根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备;
[0010] 如果存在受威胁设备,则根据所述受威胁设备的资产信息、以及与所述受威胁设备相匹配的威胁情报的属性信息,生成所述受威胁设备的安全预警信息。
[0011] 可选地,所述内部受威胁资产信息库的生成方法包括:
[0012] 根据内部资产信息采集任务,确认目标网络中的被采集设备;
[0013] 利用采集服务器登录所述被采集设备,以及在所述被采集设备上执行设备类型探测脚本,检测所述被采集设备的设备类型;
[0014] 根据所述被采集设备的设备类型,所述采集服务器在所述被采集设备上执行相应的资产信息采集脚本,以采集所述被采集设备的资产信息;
[0015] 根据所述采集服务器采集到的资产信息的解析结果,形成内部受威胁资产信息库。
[0016] 可选地,在所述被采集设备上执行设备类型探测脚本,检测所述被采集设备的设备类型,包括:
[0017] 根据从预设设备信息库中获取到的所述被采集设备的设备类型信息,向所述被采集设备下发与所述设备类型信息相匹配的初始设备类型探测脚本;
[0018] 根据所述初始设备类型探测脚本的执行结果,判断所述被采集设备的设备类型与所述设备类型信息是否相匹配;
[0019] 如果不匹配,则根据预设优先级依次向所述被采集设备下发备选设备类型探测脚本,直至检测出所述被采集设备的设备类型。
[0020] 可选地,对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析,包括:
[0021] 分别检测从多个威胁情报发布平台采集到的各威胁情报是否为机器语言能识别的情报信息;
[0022] 如果所述威胁情报不是机器语言能识别的情报信息,则利用自然语言处理的解析方式对所述威胁情报进行属性信息解析。
[0023] 如果所述威胁情报为机器语言能识别的情报信息,则利用正则表达式和/或结构表达式的解析方式对所述威胁情报进行属性信息解析。
[0024] 可选地,根据解析得到的各所述威胁情报的属性信息,对各所述威胁情报进行同类情报合并去重,包括:
[0025] 根据解析得到的各所述威胁情报的属性信息,将各所述威胁情报中影响到的产品类型相同的情报作为同类威胁情报;
[0026] 将所述同类威胁情报进行内容合并,形成一个威胁情报,并以所述同类威胁情报中的一个CVE编号作为合并后威胁情报的CVE编号;
[0027] 或者,
[0028] 根据解析得到的各所述威胁情报的属性信息,将各所述威胁情报中解决方案相同的情报作为同类威胁情报;
[0029] 将所述同类威胁情报进行内容合并,形成一个威胁情报,并以所述同类威胁情报中的一个CVE编号作为合并后威胁情报的CVE编号。
[0030] 可选地,根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备,包括:
[0031] 分别根据所述外部威胁情报库中各威胁情报中的属性名称设置分析变量,以及根据所述属性名称对应的属性值设置分析函数;
[0032] 根据各所述威胁情报的属性名称、属性值、与所述属性名称对应的分析变量、以及与所述属性值对应的分析函数,设置各所述威胁情报的分析公式;
[0033] 判断目标网络的内部受威胁资产信息库中各设备的资产信息是否符合所述分析公式的要求;
[0034] 如果存在一个或多个设备的资产信息是否符合所述分析公式的要求,则判定所述一个或多个设备为受威胁设备。
[0035] 可选地,判断目标网络的内部受威胁资产信息库中各设备的资产信息是否符合所述分析公式的要求,包括:
[0036] 分别根据所述外部威胁情报库中各威胁情报中的属性名称,从目标网络的内部受威胁资产信息库中筛选潜在受威胁的设备、以及所述潜在受威胁的设备的资产信息;
[0037] 判断所述潜在受威胁的设备的资产信息是否符合所述分析公式的要求。
[0038] 可选地,生成所述受威胁设备的安全预警信息之后,所述方法还包括:
[0039] 将所述安全预警信息在安全预警平台的页面上进行信息展示;
[0040] 和/或,
[0041] 将所述安全预警信息发送给预设终端,以通知所述受威胁设备的资产负责人。
[0042] 根据本发明实施例的第二方面,还提供了一种基于外部威胁情报分析的资产安全预警装置,该装置包括:
[0043] 威胁情报解析模块:用于对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析;
[0044] 威胁情报库生成模块:用于根据解析得到的各所述威胁情报的属性信息,对各所述威胁情报进行同类情报合并去重,形成外部威胁情报库;
[0045] 受威胁设备分析模块:用于根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备;
[0046] 预警信息生成模块:用于如果存在受威胁设备,则根据所述受威胁设备的资产信息、以及与所述受威胁设备相匹配的威胁情报的属性信息,生成所述受威胁设备的安全预警信息。
[0047] 可选地,所述装置包括资产信息库生成模块,其中,所述资产信息库生成模块包括:
[0048] 被采集设备确认子模块:用于根据内部资产信息采集任务,确认目标网络中的被采集设备;
[0049] 设备类型检测子模块:用于利用采集服务器登录所述被采集设备,以及在所述被采集设备上执行设备类型探测脚本,检测所述被采集设备的设备类型;
[0050] 资产信息采集子模块:用于根据所述被采集设备的设备类型,所述采集服务器在所述被采集设备上执行相应的资产信息采集脚本,以采集所述被采集设备的资产信息;
[0051] 资产信息库生成子模块:用于根据所述采集服务器采集到的资产信息的解析结果,形成内部受威胁资产信息库。
[0052] 由以上技术方案可见,本发明实施例提供的一种基于外部威胁情报分析的资产安全预警方法及装置,通过采集最新源自国内外权威机构发布的威胁情报信息,并对采集威胁情报信息进行同类信息去重合并,生成外部威胁情报库中最终的威胁情报信息。由于本发明实施例所处理生成的外部威胁情报库中的威胁情报信息初始信息来源泛,因此可以实现对各威胁情报发布平台所发布的威胁情报信息的互补,形成内容全面、准确且及时性高的外部威胁情报库。进而,利用本实施例提供的外部威胁情报库对目标网络中的资产设备进行安全预警时,可以避免只采用单一威胁情报平台发布的信息进行时,情报信息过于单一的问题,提升预警的全面性、准确性和及时性。
附图说明
[0053] 为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0054] 图1为本发明实施例提供的一种基于外部威胁情报分析的资产安全预警系统的部署架构示意图;
[0055] 图2为本发明实施例提供的一种基于外部威胁情报分析的资产安全预警方法的基本流程示意图;
[0056] 图3为本发明实施例提供的一种对内部受威胁资产信息库中的受威胁资产分析的方法的基本流程示意图;
[0057] 图4为本发明实施例提供的漏洞情报CVE-2008-0585的原始信息图;
[0058] 图5为本发明实施例提供的一种内部受威胁资产信息库的生成方法的基本流程示意图;
[0059] 图6为本发明实施例提供的对被采集设备进行设备类型检测的基本流程示意图;
[0060] 图7为本发明实施例提供的一种基于外部威胁情报分析的资产安全预警装置的基本结构示意图。
具体实施方式
[0061] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
[0062] 针对现有技术中的外部情报获取途径单一,无法确保预警的准确性、及时性及全面性的问题,本发明实施例提供的资产安全预警方法,通过采集最新源自国内外权威威胁情报发布平台发布的威胁情报信息,并进行去重合并,生成内容全面、及时性高的外部威胁情报库,再利用生成的情报库对资产设备进行安全预警。图1为本发明实施例提供的一种基于外部威胁情报分析的资产安全预警系统的部署架构示意图。如图1所示,Sever服务器20与多个威胁情报发布平台10通信连接,用于采集其发布的威胁情报信息,并对采集的信息进行情报合并去重,生成外部威胁情报库;同时,Sever服务器20还与其所属业务系统内的中的资产设备30通信连接,用于根据生成的外部威胁情报库,对该业务系统内部受威胁资产信息库进行分析,检测该系统内是否存在受威胁设备。如果存在,则对相应的受威胁设备进行安全预警。
[0063] 基于上述系统架构,下面将对本发明实施例提供的安全预警方法进行详细介绍。图2为本发明实施例提供的一种基于外部威胁情报分析的资产安全预警方法的基本流程示意图,应用于图1的中的Server服务器。如图2所示,该方法具体包括如下步骤:
[0064] 步骤S110:对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析。
[0065] 具体的,可以采用类搜索引擎的分布式网络爬虫技术,抓取NVD(National Vulnerability Database,美国国家漏洞数据库)、CNNVD(China National Vulnerability Database of Information Security,中国国家信息安全漏洞库)、CNVD(China National Vulnerability Database,国家信息安全漏洞共享平台)、乌云等权威漏洞库以及SecurityFocus等专业安全机构发布的漏洞、补丁等威胁情报信息,并且还可以抓取部分软硬件原厂或专业安全公司等机构发布的安全问题警示信息(如安全通告)、最新攻击网络、URL、邮件、恶意IP地址、恶意文件MD5等安全威胁情报信息。其中,在情报的抓取方式上,可以采用多台采集服务器定期并发的方式抓取、实时并发的抓取等方式,以提高信息采集速度,当然,也可以采用一台采集服务器进行信息抓取。
[0066] 在采集服务器完成威胁情报的采集后,便开始对采集的原始情报进行情报属性信息解析工作,即提取出原始情报中标准的属性以及对应的具体属性值,以形成格式统一的威胁情报信息,其中,该工作可以由专门的解析服务器完成。具体的,可以采用如下方式进行情报信息解析:
[0067] 步骤S111:分别检测从多个威胁情报发布平台采集到的各威胁情报是否为机器语言能识别的情报信息。
[0068] 如果不是,则执行步骤S112;相反,则执行步骤S113。
[0069] 步骤S112:如果所述威胁情报不是机器语言能识别的情报信息,则利用自然语言处理的解析方式对所述威胁情报进行属性信息解析。
[0070] 具体的,自然语言处理(NLP)解析方式对非机器读取方式输出的情报信息进行中文自然语言处理,解析其中涉及属性及属性值的关键属性信息。
[0071] 步骤S113:如果所述威胁情报为机器语言能识别的情报信息,则利用正则表达式和/或结构表达式的解析方式对所述威胁情报进行属性信息解析。
[0072] 具体的,正则表达式主要用于解析机器语言能识别的信情报信息,解析方式支持等于、大于等于、存在、包含等多种判断逻辑。而对于需要关联分析或逻辑比较复杂的情报信息,可利用“结构表达式”这样类编程语言的强大功能,并结合正则表达式进行综合解析。
[0073] 步骤S120:根据解析得到的各所述威胁情报的属性信息,对各所述威胁情报进行同类情报合并去重,形成外部威胁情报库。
[0074] 由于在步骤S110中所得到的情报信息来源于多个威胁情报发布平台,可能会存在情报信息重复或类似的情况,因此,本实施还提供对情报进行去重的步骤,以形成唯一的高质量漏洞情报。其中,对同类情报信息可按受影响的产品、解决方案两种方式进行合并去重。具体如下:
[0075] 步骤S121:根据解析得到的各所述威胁情报的属性信息,将各所述威胁情报中影响到的产品类型相同的情报作为同类威胁情报。
[0076] 如根据解析得到的漏洞情报属性信息中的漏洞类型、威胁类型等,分析出某几个威胁情报中影响到的产品类型相同,则认为上述几个威胁情报为同类情报。
[0077] 步骤S122:将所述同类威胁情报进行内容合并,形成一个威胁情报,并以所述同类威胁情报中最大的CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露)编号作为合并后威胁情报的CVE编号。
[0078] 具体的,可以删除同类情报中信息相同的字段,最终合并形成一个威胁情报,进而形成NVD、CNNVD、CNVD、SecurityFocus等威胁情报发布平台所描述的威胁信息的合集当然,还可以按照一定的筛选方式,从多个同类情报中选出一个情报作为最终的情报。然后,再对合并后的情报进行CVE编号,具体的,可以将同类威胁情报中最大的CVE编号作为合并后威胁情报的CVE编号,即以其中最新的威胁情报编号作为合并后威胁情报的CVE编号,当然,还可以使用同类威胁情报中最小的CVE编号、或者按照系统自身的编号方法等编号方式。
[0079] 除上述可将多个受影响产品相同的情报合并成一个的合并方式外,本实施还提供了将多个处理方案相同的情报合并成一个的去重方法。具体如下:
[0080] 步骤S123:根据解析得到的各所述威胁情报的属性信息,将各所述威胁情报中解决方案相同的情报作为同类威胁情报。
[0081] 如根据解析得到的漏洞情报属性信息中的解决方案字段信息,分析出某几个威胁情报所包含的解决方案相同,则认为上述几个威胁情报为同类情报。
[0082] 步骤S124:将所述同类威胁情报进行内容合并,形成一个威胁情报,并以所述同类威胁情报中的一个CVE编号作为合并后威胁情报的CVE编号。
[0083] 具体的合并方式可以采用步骤S122中的方式,此处不再赘述。
[0084] 进一步的,为了方便后续的预警分析工作,还可以在完成情报的合并去重后,对合并后的威胁情报进行情报关键字段筛选,解析情报信息中筛选出重要的属性字段,如漏洞名称、CVE编号、发布日期、更新日期、严重级别、漏洞类型、威胁类型、漏洞描述、解决方案、参考连接等。
[0085] 最后,将合并后的威胁情报存入到外部威胁情报库中,从而形成不同批次的内容全面、及时性高的漏洞信息、以及包括恶意IP地址、DNS、URL、进程、文件、服务、EMAIL等黑名单的外部威胁情报库。
[0086] 由于本步骤所处理生成的外部威胁情报库中的威胁情报信息初始信息来源泛,因此可以实现对各威胁情报发布平台所发布的威胁情报信息的互补,形成内容全面、准确且及时性高的外部威胁情报库。
[0087] 步骤S130:根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备。
[0088] 具体的,可以通过周期性任务或人工即时触发方式,利用外部威胁情报库对目标网络中的内部受威胁资产信息库的内容进行威胁性综合分析,确保及时准确发现可被威胁利用的高风险资产设备。
[0089] 其中,在威胁分析时,可以使用外部威胁情报库中威胁情报的部分或全部属性信息直接内部受威胁资产信息库中具有相应属性的资产,如果两者能够匹配,则认定该资产为可被威胁利用的高风险资产。但是,该方法只能应用于逻辑简单的情报信息,而对于具有复杂逻辑的情报信息,则无法进行比对分析,无法生成预警。
[0090] 针对上述问题,本发明实施例还提供了采用分析函数、公式的分析方法。图3为本发明实施例提供的一种对内部受威胁资产信息库中的受威胁设备分析的方法的基本流程示意图。如图3所示,该方法具体包括如下步骤:
[0091] 步骤S131:分别根据所述外部威胁情报库中各威胁情报中的属性名称设置分析变量,以及根据所述属性名称对应的属性值设置分析函数。
[0092] 具体的,首先,获取最新批次的外部威胁情报库中威胁情报中的属性信息,其内容可以包括威胁名称、威胁描述、严重级别、影响或威胁的系统类型(威胁类型)、系统版本、系统补丁、解决方案等说明。
[0093] 图4为漏洞情报CVE-2008-0585的原始信息图。如图4所示,该漏洞情报所包含的信息如下:
[0094] a、影响的系统类型:AIX;
[0095] b、影响的系统版本:5200-00,并且sysmgt.websm.webaccess文件版本大于等于5.2.0.0,小于等于5.2.0.104;5300-00,并且sysmgt.websm.webaccess文件版本大于等于
5.3.0.0,小于等于5.3.0.60;
5.3.0.0,小于等于5.3.0.60;
[0096] c、系统补丁:IY97257。
[0097] 其次,根据所述外部威胁情报库中各威胁情报中的属性名称设置分析变量,以及根据所述属性名称对应的属性值设置分析函数。
[0098] a、设置分析变量:上述漏洞情报包含三种属性、进而将AIX系统版本、AIX系统文件版本、系统补丁号三个属性,分别定义为变量:_vC_ver@aix、_vF_ver@aix、_vP@aix。
[0099] b 、设 置 分 析 函 数 :由 于 在 属性 系 统 版 本 中 涉 及 需 要 对 文 件sysmgt.websm.webaccess的版本进行判断,因此设置分析函数分别为:getF_Ver(P1,P2)、exists(P1,P2)
[0100] 步骤S132:根据各所述威胁情报的属性名称、属性值、与所述属性名称对应的分析变量、以及与所述属性值对应的分析函数,设置各所述威胁情报的分析公式。
[0101] 根据上述定义好的分析变量和分析函数,将威胁情报的属性信息描述转化为以分析变量和分析函数作为其描述方式,进而形成该威胁情报的分析公式。
[0102] 以上述漏洞情报CVE-2008-0585为例,最终形成的分析公式如下表所示:
[0103]
[0104] 进一步的,为了提高分析速度,除了上述自定义分析公式的方法外,本发明实施例例还提供了内置多种公式的方法。具体的,以获取的外部威胁情报的属性信息(如威胁类型、系统版本、系统补丁、解决方案等信息中的一种或多种)为条件,在预存分析库中查找适用的分析公式,其中,预存的分析公式的设置方法也可以按照步骤S131和S132中提供的方法。如果查找失败,则按照步骤S131和S132的方法,则形成新的分析公式。
[0105] 步骤S133:判断目标网络的内部受威胁资产信息库中各设备的资产信息是否符合所述分析公式的要求。
[0106] 具体的,以内部受威胁资产信息库中各设备的资产信息作为函数变量值,利用分析公式对资产信息库中所有设备进行分析,判断其是否符合分析公式的要求。如果符合则执行步骤S134,否则,则判定该设备为安全设备,继续对资产信息库中的其它设备进行安全分析。
[0107] 进一步的,为了提高内、外部威胁信息综合分析的速度,确保及时发现可被威胁利用的高风险资产,本实施例在本步骤中,还提供了如下分析步骤:
[0108] 1)分别根据所述外部威胁情报库中各威胁情报中的属性名称,从目标网络的内部受威胁资产信息库中筛选潜在受威胁的设备、以及所述潜在受威胁的设备的资产信息。
[0109] 其中,可以以外部威胁情报提供的受影响系统类型、版本等属性信息为匹配条件,获取内部受威胁资产信息库中潜在受威胁的设备。同时还可以获取潜在受威胁的设备的资产信息,如资产IP、系统类型、系统版本、补丁、端口、进程、负责人等信息。
[0110] 2)判断所述潜在受威胁的设备的资产信息是否符合所述分析公式的要求。
[0111] 以筛选出的潜在受威胁设备的资产信息作为函数变量值,利用分析公式对其进行分析,判断其是否符合分析公式的要求。如果符合则执行步骤S134;否则,则判定该设备为安全设备,并继续对资产库中其它设备进行安全分析。
[0112] 步骤S134:如果存在一个或多个设备的资产信息是否符合所述分析公式的要求,则判定所述一个或多个设备为受威胁设备。
[0113] 如果匹配成功,则判定该资产设备将会受该威胁情报中所提到的漏洞、黑名单的威胁。
[0114] 步骤S140:如果存在受威胁设备,则根据所述受威胁设备的资产信息、以及与所述受威胁设备相匹配的威胁情报的属性信息,生成所述受威胁设备的安全预警信息。
[0115] 根据受威胁设备的资产信息、以及与该受威胁设备相匹配的威胁情报的属性信息,生成相应的安全预警信息,如:某一设备受某一漏洞的威胁,严重级别为AAA,解决方案为BBB。
[0116] 进一步的,还可以将生成的安全预警信息发送给相应的安全预警平台,以通过安全预警平台的页面进行信息展示。但是,如果预警生成后相关信息只在页面中进行展示,若该页面信息没有被及时查看,有可能会错失排除威胁的最佳时机,造成不可挽回的安全事故发生。
[0117] 针对该问题,本实施例还提供了以图形、表格表等方式按资产类型、业务系统、资产负责人等多维度呈现预警信息,并可结合短信、邮件等系统,将所述安全预警信息发送给预设终端,以通知所述受威胁设备的资产负责人,以使资产负责人能够及时被通知到,进而可以为准确、快速排除威胁提供最佳时机。
[0118] 因此,本实施例提供的预警方法,不仅支持多种统计方式、多种维度的页面预警内容呈现,还支持通过邮件或短信系统将预警数据及时推送给相关责任人,可以提升威胁预警的及时性及准确性。
[0119] 由于目前的内部受威胁资产信息库多是采用人工录入的方式,将设备信息预先存储在数据库中,但是上述方式如果资产信息没有及时更新,便会存在变更或删除等操作后后的资产无法及时更新的问题,进而导致预警分析结果不准确。针对该问题,本发明实施例还提供了内部受威胁资产信息库的生成方法。图5为本发明实施例提供的一种内部受威胁资产信息库的生成方法的基本流程示意图。如图5所示,该方法具体包括入下步骤:
[0120] 步骤S210:根据内部资产信息采集任务,确认目标网络中的被采集设备。
[0121] 即,根据建立内部情报采集任务,选择被采集设备,确定情报采集任务的采集范围。
[0122] 步骤S220:利用采集服务器登录所述被采集设备,以及在所述被采集设备上执行设备类型探测脚本,检测所述被采集设备的设备类型。
[0123] 首先,从预设设备信息库(该数据库用于存储设备的基础信息)中获取被采集设备的初始信息,如被采集设备类型、设备IP地址、设备账号名称、账号密码等。然后,根据获取的初始信息,建立采集服务器和被采集设备之间的网络连接,其中,可以采用多台采集服务器采用分布式部署,通过并发方式建立与被采集设备之间的网络连接,连接成功后登录被检查设备。其中,目前支持的协议包括Telnet/SSH和RDP等。最后,在登录到被采集设备后,便开始利用设备类型探测脚本进行被采集对象设备类型检测的过程。
[0124] 图6为本发明实施例提供的对被采集设备进行设备类型检测的基本流程示意图。如图6所示,该检测过程具体包括步骤:
[0125] 步骤S221:根据从预设设备信息库中获取到的所述被采集设备的设备类型信息,向所述被采集设备下发与所述设备类型信息相匹配的初始设备类型探测脚本。
[0126] 根据从预设设备信息库中获取到的所述被采集设备的设备类型信息,执行该类型的采集脚本。
[0127] 步骤S222:根据所述初始设备类型探测脚本的执行结果,判断所述被采集设备的设备类型与所述设备类型信息是否相匹配。
[0128] 根据执行结果的类型,判断被采集设备的实际设备类型与存储的设备类型信息是否相匹配,即判断预设设备信息库中所存储的设备类型是否正确。如果正确,则直接执行步骤S230,否者,则执行步骤S223。
[0129] 步骤S223:如果不匹配,则根据预设优先级依次向所述被采集设备下发备选设备类型探测脚本,直至检测出所述被采集设备的设备类型。
[0130] 例如,先执行优先级高的探测脚本重新探测设备类型,以进一步探测该设备的类型,如果不匹配则继续支持下一优先级的探测脚本,直至检测出所述被采集设备的设备类型;相反,如果已经为最后一条设备类型探测脚本且还不匹配,则将该设备判定为类型待确定行列,并采用其它的方式(如人工方式)进行类型检测。
[0131] 步骤S230:根据所述被采集设备的设备类型,所述采集服务器在所述被采集设备上执行相应的资产信息采集脚本,采集所述被采集设备的资产信息。
[0132] 具体的,根据步骤S220探测到的准确设备类型信息,系统便可以自动查找并筛选出对应采集脚本,由采集服务器下发到被采集设备进行执行。
[0133] 其中,采集对象范围可以包括:
[0134] a、网络:拓扑、流量、路径等;
[0135] b、业务:架构、数据、关系等;
[0136] c、资产:档案、配置、漏洞、软件、进程、端口、服务、用户、授权等;
[0137] d、应用:网站、指纹、文件、组件等;
[0138] e、用户:账号、授权、操作行为、操作频率等。
[0139] 进一步的,采集脚本可以包括:版本、文件、进程、服务、软件、端口、补丁等类型。
[0140] 其中,各类采集脚本的采集信息可以包括:
[0141] a、版本:产品名称、产品版本、服务包、Edition、架构、语言等;
[0142] b、文件:文件版本、文件权限、文件名称、文件内容;
[0143] c、进程:进程名称、进程UID、进程信息;
[0144] d、服务:服务名称;
[0145] e、软件:软件名称、软件版本、软件信息;
[0146] f、端口:端口信息;
[0147] g、补丁:补丁版本。
[0148] 步骤S240:根据所述采集服务器采集到的资产信息的解析结果,形成内部受威胁资产信息库。
[0149] 其中,采集服务器将采集结果返回到情报解析服务器进行解析,然后调用远程接口(RMI)实现情报信息保存,形成最新批次的内部受威胁资产信息库。在保存成功后,还可以发送消息告知采集服务器本次采集任务完成,使采集服务器关闭与被采集设备的网络连接。
[0150] 由上述方案可见,利用上述登录被采集设备自动采集其资产信息的方式,可以及时发现新增或变更的资产信息,还可以保证信息的准确性。其次,本实施例提供的采集方式,采集范围网络、业务、资产、用户、应用等,具有采集范围广的特点,并且,采集的数据包括拓扑、流量、路径、架构、数据等信息,采集数据类型丰富。另外,本实施例采用设备自动采集的方式,与人工方式相比,不仅可以提高数据处理速度还可以保证存储数据的准确性。因此,最终可以形成预警资产范围覆盖全面、资产属性信息准确的内部受威胁资产信息库,为提升资产案源威胁预警的及时性及准确性提供一定的保障。
[0151] 基于上述资产安全预警方法,本发明实施例还提供了一种资产案源预警装置。图7为本发明实施例提供的一种基于外部威胁情报分析的资产安全预警装置的基本结构示意图。如图7所示,该装置具有包括:
[0152] 威胁情报解析模块710:用于对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析;
[0153] 威胁情报库生成模块720:用于根据解析得到的各所述威胁情报的属性信息,对各所述威胁情报进行同类情报合并去重,形成外部威胁情报库;
[0154] 受威胁设备分析模块730:用于根据所述外部威胁情报库中威胁情报的属性信息,判断目标网络的内部受威胁资产信息库中是否存在受威胁设备;
[0155] 预警信息生成模块740:用于如果存在受威胁设备,则根据所述受威胁设备的资产信息、以及与所述受威胁设备相匹配的威胁情报的属性信息,生成所述受威胁设备的安全预警信息。
[0156] 本发明实施例提供的资产安全预警装置,通过采集最新源自国内外权威机构发布的威胁情报信息,并对采集威胁情报信息进行同类信息去重合并,生成外部威胁情报库中最终的威胁情报信息。由于所外部威胁情报库中的情报信息来源泛,因此可以实现对各威胁情报发布平台所发布的威胁情报信息的互补,形成内容全面、准确且及时性高的外部威胁情报库。进而,利用本实施例提供的外部威胁情报库对目标网络中的资产设备进行安全预警时,可以避免只采用单一威胁情报平台发布的信息进行时,情报信息过于单一的问题,提升预警的全面性、准确性和及时性
[0157] 进一步的,本发明实施例提供的资产安全预警装置还包括资产信息库生成模块750,具体的,该资产信息库生成模块750可以包括:
[0158] 被采集设备确认子模块751:用于根据内部资产信息采集任务,确认目标网络中的被采集设备;
[0159] 设备类型检测子模块752:用于利用采集服务器登录所述被采集设备,以及在所述被采集设备上执行设备类型探测脚本,检测所述被采集设备的设备类型;
[0160] 资产信息采集子模块753:用于根据所述被采集设备的设备类型,所述采集服务器在所述被采集设备上执行相应的资产信息采集脚本,以采集所述被采集设备的资产信息;
[0161] 资产信息库生成子模块754,用于根据所述采集服务器采集到的资产信息的解析结果,形成内部受威胁资产信息库。
[0162] 本实施例提供的资产信息库生成模块可以任务设置定期或实时等方式,进行设备资产数据采集,及时发现新增或变更的预警资产信息,进而可以形成预警资产范围覆盖全面、资产属性信息准确的内部受威胁资产信息库,有助于提升资产威胁预警的及时性及准确性。
[0163] 本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0164] 以上仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。