《一種未知威脅感知方法、裝置、設備及系統》是深信服科技股份有限公司於2017年11月27日申請的專利,該專利的公布號為CN107995179A,授權公布日為2018年5月4日,發明人是張斌、趙振洋。該發明涉及網路威脅檢測技術領域。
《一種未知威脅感知方法、裝置、設備及系統》公開了一種未知威脅感知方法,包括:每個設備檢測到未知數據後會將未知數據上傳,通過雲端的威脅分析系統對未知數據進行分析識別;若沒有檢測到惡意數據,則生成對應的匹配規則,以繼續收集與匹配規則對應的未知數據,繼續進行分析;檢測到惡意數據後,會通知所有的設備,實現每個設備對未知威脅的預警及防護,從而提高對未知威脅的防禦能力;該發明還公開了一種未知威脅感知裝置、設備、系統及計算機可讀存儲介質,同樣能實現上述技術效果。
2021年11月,《一種未知威脅感知方法、裝置、設備及系統》獲得第八屆廣東專利獎優秀獎。
(概述圖為《一種未知威脅感知方法、裝置、設備及系統》摘要附圖)
基本介紹
- 中文名:一種未知威脅感知方法、裝置、設備及系統
- 申請人:深信服科技股份有限公司
- 申請日:2017年11月27日
- 申請號:2017112055723
- 公布號:CN107995179A
- 公布日:2018年5月4日
- 發明人:張斌、趙振洋
- 地址:廣東省深圳市南山區學苑大道1001號南山智園A1棟一層
- 分類號:H04L29/06(2006.01)I、H04L12/24(2006.01)I
- 代理機構:深圳市深佳智慧財產權代理事務所
- 代理人:王仲凱
- 類別:發明專利
專利背景,發明內容,專利目的,技術方案,改善效果,附圖說明,權利要求,實施方式,榮譽表彰,
專利背景
2017年前,對用戶網路流量中隱藏的攻擊行進行檢測時,都是通過威脅感知系統進行檢測;但是2017年11月之前的安全廠商的威脅感知系統都是基於單個客戶的威脅感知,只能夠檢測這個客戶的網路環境中隱藏的威脅,很難發現整個網際網路中隱藏的未知威脅。並且,2017年前的安全廠商都是基於定時發布規則庫的形式進行安全能力提升,這種方法很難做到對未知威脅的實時防護。
因此,如何提高對未知威脅的防禦能力,是該領域技術人員需要解決的問題。
發明內容
專利目的
該發明的目的在於提供一種未知威脅感知方法、裝置、設備、系統及計算機可讀存儲介質,以實現提高對未知威脅的防禦能力。
技術方案
《一種未知威脅感知方法、裝置、設備及系統》實施例提供了如下技術方案:一種未知威脅感知方法,包括:接收每個設備上傳的未知數據;通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則將所述惡意數據下發至每個設備,以使每個設備根據所述惡意數據識別攻擊行為;若不存在惡意數據,則生成與所述未知數據對應的匹配規則,將所述匹配規則下發至每個設備,並在接收到每個設備上傳的與所述匹配規則對應的未知數據後,繼續執行所述通過威脅分析系統對未知數據進行分析識別的步驟。
其中,所述接收每個設備上傳的未知數據,包括:接收每個設備上傳的根據匹配規則匹配的未知數據;或者,接收每個設備上傳的黑白名單庫以外的未知數據。其中,所述接收每個設備上傳的未知數據之後,還包括:設定所述未知數據的數據標籤;根據所述未知數據的數據類型進行標準化處理,並存儲。
其中,所述通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據,包括:利用特徵分析系統對未知數據進行分析,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則執行所述將所述惡意數據下發至每個設備的步驟;若不存在惡意數據,則將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統,通過相對應的分析系統對所述未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據。
其中,所述將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統,通過相對應的分析系統對所述未知數據進行分析識別,包括:識別所述未知數據的數據類型;若所述數據類型為域名數據,則將所述未知數據輸入域名分析系統;若所述數據類型為URL數據,則將所述未知數據輸入URL分析系統;若所述數據類型為可疑檔案,則將所述未知數據輸入病毒分析系統。其中,所述將所述惡意數據下發至每個設備之後,還包括:將所述惡意數據輸出成標準威脅情報格式,並發布至網際網路威脅情報平台,以使所述網際網路威脅情報平台對全網發布威脅預警。
一種未知威脅感知裝置,包括:接收模組,用於接收每個設備上傳的未知數據;所述未知數據包括每個設備上傳的與所述匹配規則對應的未知數據;判斷模組,用於通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據;數據下發模組,用於存在惡意數據時,將所述惡意數據下發至每個設備,以使每個設備根據所述惡意數據識別攻擊行為;規則下發模組,用於不存在惡意數據時,生成與所述未知數據對應的匹配規則,將所述匹配規則下發至每個設備。
其中,所述接收模組,包括:第一接收單元,用於接收每個設備上傳的根據匹配規則匹配的未知數據;或者,第二接收單元,用於接收每個設備上傳的黑白名單庫以外的未知數據。其中,該方案還包括:數據處理模組,用於設定所述未知數據的數據標籤,根據所述未知數據的數據類型進行標準化處理,並存儲。其中,所述判斷模組包括:第一判斷單元,用於利用特徵分析系統對未知數據進行分析,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則調用數據下發模組;數據輸入單元,用於不存在惡意數據時,將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統;
第二判斷單元,用於通過與所述未知數據的數據類型相對應的分析系統對所述未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據。其中,所述數據輸入單元包括:數據類型識別子單元,用於識別所述未知數據的數據類型;數據輸入子單元,用於在所述數據類型為域名數據時,將所述未知數據輸入域名分析系統;所述數據類型為URL數據,將所述未知數據輸入URL分析系統;所述數據類型為可疑檔案,將所述未知數據輸入病毒分析系統。其中,該方案還包括:數據發布模組,用於將所述惡意數據輸出成標準威脅情報格式,並發布至網際網路威脅情報平台,以使所述網際網路威脅情報平台對全網發布威脅預警。
一種未知威脅感知設備,包括:存儲器,用於存儲電腦程式;處理器,用於執行所述電腦程式時實現上述未知威脅感知方法的步驟。一種計算機可讀存儲介質,所述計算機可讀存儲介質上存儲有電腦程式,所述電腦程式被處理器執行時實現上述未知威脅感知方法的步驟。一種未知威脅感知系統,包括設備及未知威脅感知雲平台;每個設備用於上傳未知數據;所述未知威脅感知雲平台,用於執行電腦程式,以實現上述未知威脅感知方法的步驟。
改善效果
《一種未知威脅感知方法、裝置、設備及系統》實施例提供的一種未知威脅感知方法,包括:接收每個設備上傳的未知數據;通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則將所述惡意數據下發至每個設備,以使每個設備根據所述惡意數據識別攻擊行為;若不存在惡意數據,則生成與所述未知數據對應的匹配規則,將所述匹配規則下發至每個設備,並在接收到每個設備上傳的與所述匹配規則對應的未知數據後,繼續執行所述通過威脅分析系統對未知數據進行分析識別的步驟。
可見,在該方案中,每個設備檢測到未知數據後會將未知數據上傳,通過雲端的威脅分析系統對未知數據進行分析識別;若沒有檢測到惡意數據,則生成對應的匹配規則,以繼續收集與匹配規則對應的未知數據,繼續進行分析;檢測到惡意數據後,會通知所有的設備,實現每個設備對未知威脅的預警及防護,從而提高對未知威脅的防禦能力;該發明還公開了一種未知威脅感知裝置、設備、系統及計算機可讀存儲介質,同樣能實現上述技術效果。
附圖說明
圖1為該發明實施例公開的一種未知威脅感知方法流程示意圖;
圖2為該發明實施例公開的另一種未知威脅感知方法流程示意圖;
圖3為該發明實施例公開的一具體的未知威脅感知方法流程示意圖;
圖4為該發明實施例公開的一種未知威脅感知裝置結構示意圖。
權利要求
1.一種未知威脅感知方法,其特徵在於,包括:接收每個設備上傳的未知數據;通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則將所述惡意數據下發至每個設備,以使每個設備根據所述惡意數據識別攻擊行為;若不存在惡意數據,則生成與所述未知數據對應的匹配規則,將所述匹配規則下發至每個設備,並在接收到每個設備上傳的與所述匹配規則對應的未知數據後,繼續執行所述通過威脅分析系統對未知數據進行分析識別的步驟。
2.根據權利要求1所述的未知威脅感知方法,其特徵在於,所述接收每個設備上傳的未知數據,包括:接收每個設備上傳的根據匹配規則匹配的未知數據;或者,接收每個設備上傳的黑白名單庫以外的未知數據。
3.根據權利要求1所述的未知威脅感知方法,其特徵在於,所述接收每個設備上傳的未知數據之後,還包括:設定所述未知數據的數據標籤;根據所述未知數據的數據類型進行標準化處理,並存儲。
4.根據權利要求3所述的未知威脅感知方法,其特徵在於,所述通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據,包括:利用特徵分析系統對未知數據進行分析,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則執行所述將所述惡意數據下發至每個設備的步驟;若不存在惡意數據,則將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統,通過相對應的分析系統對所述未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據。
5.根據權利要求4所述的未知威脅感知方法,其特徵在於,所述將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統,通過相對應的分析系統對所述未知數據進行分析識別,包括:識別所述未知數據的數據類型;若所述數據類型為域名數據,則將所述未知數據輸入域名分析系統;若所述數據類型為URL數據,則將所述未知數據輸入URL分析系統;若所述數據類型為可疑檔案,則將所述未知數據輸入病毒分析系統。
6.根據權利要求1至5中任意一項所述的未知威脅感知方法,其特徵在於,所述將所述惡意數據下發至每個設備之後,還包括:將所述惡意數據輸出成標準威脅情報格式,並發布至網際網路威脅情報平台,以使所述網際網路威脅情報平台對全網發布威脅預警。
7.一種未知威脅感知裝置,其特徵在於,包括:接收模組,用於接收每個設備上傳的未知數據;所述未知數據包括每個設備上傳的與所述匹配規則對應的未知數據;判斷模組,用於通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據;數據下發模組,用於存在惡意數據時,將所述惡意數據下發至每個設備,以使每個設備根據所述惡意數據識別攻擊行為;規則下發模組,用於不存在惡意數據時,生成與所述未知數據對應的匹配規則,將所述匹配規則下發至每個設備。
8.根據權利要求7所述的未知威脅感知裝置,其特徵在於,所述接收模組,包括:第一接收單元,用於接收每個設備上傳的根據匹配規則匹配的未知數據;或者,第二接收單元,用於接收每個設備上傳的黑白名單庫以外的未知數據。
9.根據權利要求7所述的未知威脅感知裝置,其特徵在於,還包括:數據處理模組,用於設定所述未知數據的數據標籤,根據所述未知數據的數據類型進行標準化處理,並存儲。
10.根據權利要求9所述的未知威脅感知裝置,其特徵在於,所述判斷模組包括:第一判斷單元,用於利用特徵分析系統對未知數據進行分析,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則調用數據下發模組;數據輸入單元,用於不存在惡意數據時,將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統;第二判斷單元,用於通過與所述未知數據的數據類型相對應的分析系統對所述未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據。
11.根據權利要求10所述的未知威脅感知裝置,其特徵在於,所述數據輸入單元包括:數據類型識別子單元,用於識別所述未知數據的數據類型;數據輸入子單元,用於在所述數據類型為域名數據時,將所述未知數據輸入域名分析系統;所述數據類型為URL數據,將所述未知數據輸入URL分析系統;所述數據類型為可疑檔案,將所述未知數據輸入病毒分析系統。
12.根據權利要求7至11中任意一項所述的未知威脅感知裝置,其特徵在於,還包括:數據發布模組,用於將所述惡意數據輸出成標準威脅情報格式,並發布至網際網路威脅情報平台,以使所述網際網路威脅情報平台對全網發布威脅預警。
13.一種未知威脅感知設備,其特徵在於,包括:存儲器,用於存儲電腦程式;處理器,用於執行所述電腦程式時實現如權利要求1至6任一項所述未知威脅感知方法的步驟。
14.一種計算機可讀存儲介質,其特徵在於,所述計算機可讀存儲介質上存儲有電腦程式,所述電腦程式被處理器執行時實現如權利要求1至6任一項所述未知威脅感知方法的步驟。
15.一種未知威脅感知系統,其特徵在於,包括設備及未知威脅感知雲平台;每個設備用於上傳未知數據;所述未知威脅感知雲平台,用於執行電腦程式,以實現如權利要求1至6任一項所述未知威脅感知方法的步驟。
實施方式
參見圖1,該發明實施例提供的一種未知威脅感知方法,包括:S101、接收每個設備上傳的未知數據;其中,所述接收每個設備上傳的未知數據,包括:接收每個設備上傳的根據匹配規則匹配的未知數據;或者,接收每個設備上傳的黑白名單庫以外的未知數據。具體的,在該實施例中,每個設備上傳的未知數據,包括以下兩種情況下上報的未知數據:一種是雲端首先將需要上報的數據以規則的形式下發到安全設備,設備將匹配到這些規則的流量上報到雲端。另一種是預先設定黑白名單庫,每個設備將黑白名單庫之外的DNS、HTTP等數據,按照一定的格式上報到雲端。
需要說明的是,該方案中的規則包括S104中生成的匹配規;具體來說,該規則可以是IP位址或者網址,例如:若雲端想要IP位址:1.1.1.1的流量,則需要將包括IP位址1.1.1.1的規則下發到設備;同樣的,若雲端想要baidu.com的流量,則將包括baidu.com的規則下發下去;進一步的,如果雲端想要某個病毒特徵的流量,則將包括這些特徵的規則下發下去,以使設備採集到數據後上傳至雲端進行分析。
S102、通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據;其中,所述接收每個設備上傳的未知數據之後,還包括:設定所述未知數據的數據標籤;根據所述未知數據的數據類型進行標準化處理,並存儲。具體來說,雲端將接收到的數據打上時間、數據源等標籤。並將數據按照不同維度(可疑檔案、DNS、HTTP、PCAP)進行標準化處理和存儲。
在進行標準化處理時,需要根據數據維度的不同進行標準化處理,例如:DNS數據可能最關心的是域名、目的IP、解析時間、TTL、請求類型等信息,將這些信息以一條記錄的形式進行存儲。可疑檔案可能最關心的是檔案類型、檔案大小、檔案md5、檔案哈希、檔案存儲位置、被下載次數等信息,將這些信息以一條記錄的形式進行存儲。
S103、若存在惡意數據,則將所述惡意數據下發至每個設備,以使每個設備根據所述惡意數據識別攻擊行為;具體的,在該實施例中,雲端接收到每個設備的傳送的未知數據後,會對未知數據進行檢測,來判斷未知數據中是否存在惡意數據;這裡的惡意數據是具有攻擊行為的惡意數據;若檢測到,則將該惡意數據下發至每個設備,這樣其他設備接收到該惡意數據後,就能快速的識別出來,從而實現每個設備對未知威脅的預警及防護,提高了對未知威脅的防禦能力。
S104、若不存在惡意數據,則生成與所述未知數據對應的匹配規則,將所述匹配規則下發至每個設備,並在接收到每個設備上傳的與所述匹配規則對應的未知數據後,繼續執行S102。
需要說明的是,如果該未知數據中不存在惡意數據,為了避免該未知數據是由於數據收集不充分導致識別不出的情況出現,在該實施例中,會生成與該未知數據匹配的規則,通過將該規則下發至每個設備,從而收集更多的相關數據,以實現再次進行分析。可以理解的是,若間隔預定時間或者能判定該未知數據為安全的數據時,便可將該匹配規則從每個設備中清除,不再進行相關數據的收集。
在該方案中,通過設備端和雲端的實時互動,設備端按需採集設備端的未知DNS、HTTP等數據,使雲端從中發現未知威脅,並向全網所有設備端下發攔截策略,實現了每個設備對未知威脅的預警及防護,從而提高對未知威脅的防禦能力。
參見圖2,為該實施例提供的一種具體的未知威脅感知方法,包括:
S201、接收每個設備上傳的未知數據;
S202、利用特徵分析系統對未知數據進行分析,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則執行S205;若不存在惡意數據,則執行S203;
S203、將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統,通過相對應的分析系統對所述未知數據進行分析識別;
S204、判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則執行S205;若不存在惡意數據,則執行S207;
S205、將所述惡意數據下發至每個設備,以使每個設備根據所述惡意數據識別攻擊行為;
S206、將所述惡意數據輸出成標準威脅情報格式,並發布至網際網路威脅情報平台,以使所述網際網路威脅情報平台對全網發布威脅預警;
S207、生成與所述未知數據對應的匹配規則,將所述匹配規則下發至每個設備,並在接收到每個設備上傳的與所述匹配規則對應的未知數據後,繼續執行S202。
其中,將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統,通過相對應的分析系統對所述未知數據進行分析識別,包括:識別所述未知數據的數據類型;若所述數據類型為域名數據,則將所述未知數據輸入域名分析系統;若所述數據類型為URL數據,則將所述未知數據輸入URL分析系統;若所述數據類型為可疑檔案,則將所述未知數據輸入病毒分析系統。
參見圖3,為該實施例提供的一具體的未知威脅感知方法流程示意圖;由圖3可知,外部威脅情報即為該方案中每個設備上傳的未知數據,雲平台接收到該未知數據後,會存儲至原始數據倉庫,並進行數據標準化處理,進行數據聚合後傳送至特徵分析系統,通過該特徵分析系統對標準化處理的數據進行多維度的特徵分析,例如:DGA域名、DNS隧道域名識別、URL聚類、關聯分析等。
進一步的,將特徵分析後仍然不能確定是否為惡意數據的未知數據,按照數據類型傳送到對應的分析系統,在該實施例中,提供三種不同類型的分析系統,具體包括:域名分析系統、URL分析系統、病毒沙盒分析系統。域名分析系統用於分析未識別出惡意數據的域名數據,URL分析系統用於分析未識別出惡意數據的URL數據,病毒沙盒分析系統用於分析未識別出惡意數據的可以檔案。經過上述系統分析過之後的數據,如果仍然不能確定威脅度,則將這些數據自動化生成規則下發到設備端,採集匹配到這些規則的數據,繼續分析;可以理解的是,在該方案中僅以域名分析系統、URL分析系統、病毒沙盒分析系統為例對該方案進行說明,但並不局限於此,在實際套用時,只要是與數據類型相對應的分析系統均可。
如果分析出惡意數據,則將分析的惡意數據下發到每個設備進行防護,同時將這些惡意數據輸出成標準威脅情報格式,發布到網際網路威脅情報平台,並對全網發布威脅預警;需要說明的是,標準威脅情報格式不僅包括惡意數據的規則信息,還包括惡意數據的其他維度的相關信息,例如IP連線埠、域名、規則、URL等。
可見在該方案中,通過雲端與設備端實時數據互動,基於大數據分析,做到了對未知威脅的實時防護與預警,實現了一種雲+端的新型產品形態,這種產品形態的安全分析能力主要集中於雲端,從而提高了每個設備對未知威脅的預警及防護,提高對未知威脅的防禦能力。
下面對該發明實施例提供的未知威脅感知裝置進行介紹,下文描述的未知威脅感知裝置與上文描述的未知威脅感知方法可以相互參照。
參見圖4,該發明實施例提供的一種未知威脅感知裝置,包括:接收模組100,用於接收每個設備上傳的未知數據;所述未知數據包括每個設備上傳的與所述匹配規則對應的未知數據;判斷模組200,用於通過威脅分析系統對未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據;數據下發模組300,用於存在惡意數據時,將所述惡意數據下發至每個設備,以使每個設備根據所述惡意數據識別攻擊行為;規則下發模組400,用於不存在惡意數據時,生成與所述未知數據對應的匹配規則,將所述匹配規則下發至每個設備。
其中,所述接收模組100,包括:第一接收單元,用於接收每個設備上傳的根據匹配規則匹配的未知數據;或者,第二接收單元,用於接收每個設備上傳的黑白名單庫以外的未知數據。其中,該方案還包括:數據處理模組,用於設定所述未知數據的數據標籤,根據所述未知數據的數據類型進行標準化處理,並存儲。
其中,所述判斷模組200包括:第一判斷單元,用於利用特徵分析系統對未知數據進行分析,判斷所述未知數據中是否存在惡意數據;若存在惡意數據,則調用數據下發模組;數據輸入單元,用於不存在惡意數據時,將所述未知數據輸入與所述未知數據的數據類型相對應的分析系統;第二判斷單元,用於通過與所述未知數據的數據類型相對應的分析系統對所述未知數據進行分析識別,判斷所述未知數據中是否存在惡意數據。
其中,所述數據輸入單元包括:數據類型識別子單元,用於識別所述未知數據的數據類型;數據輸入子單元,用於在所述數據類型為域名數據時,將所述未知數據輸入域名分析系統;所述數據類型為URL數據,將所述未知數據輸入URL分析系統;所述數據類型為可疑檔案,將所述未知數據輸入病毒分析系統。其中,該方案還包括:數據發布模組,用於將所述惡意數據輸出成標準威脅情報格式,並發布至網際網路威脅情報平台,以使所述網際網路威脅情報平台對全網發布威脅預警。
該發明實施例還提供一種未知威脅感知設備,包括:存儲器,用於存儲電腦程式;處理器,用於執行所述電腦程式時實現上述未知威脅感知方法的步驟。該發明實施例還提供一種未知威脅感知系統,包括設備及未知威脅感知雲平台;每個設備用於上傳未知數據;所述未知威脅感知雲平台,用於執行電腦程式,以實現上述未知威脅感知方法的步驟。
該發明實施例還提供一種計算機可讀存儲介質,所述計算機可讀存儲介質上存儲有電腦程式,所述電腦程式被處理器執行時實現上述未知威脅感知方法的步驟。具體的,該存儲介質可以包括:隨身碟、移動硬碟、唯讀存儲器(Read-Only Memory,ROM)、隨機存取存儲器(Random Access Memory,RAM)、磁碟或者光碟等各種可以存儲程式代碼的介質。
榮譽表彰
2021年11月,《一種未知威脅感知方法、裝置、設備及系統》獲得第八屆廣東專利獎優秀獎。
