一種失陷主機的識別方法及裝置的制造方法

一種失陷主機的識別方法及裝置的制造方法
【專利摘要】本發明公開了一種失陷主機的識別方法及裝置，包括：根據流量日志對主機進行基線分析，得到主機的基線信息；根據流量日志、配置信息和所述主機的基線信息，識別主機的身份信息；根據流量日志、安全日志、所述主機的基線信息、所述主機的身份信息、外部情報數據和資產標識信息，識別所述主機所在網絡中的異常事件；根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值；根據所述主機的身份信息和所述主機在各個場景下的場景分值，確定所述主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。
【專利說明】
_種失陷主機的識別方法及裝置
技術領域
[0001]本發明涉及網絡安全領域中的失陷主機識別技術，尤其涉及一種失陷主機的識別方法及裝置。
【背景技術】
[0002]當前，公司、學校、政府等組織的IT資產受到多方面的威脅。IT資產包括組織內部的終端主機(例如員工的辦公PC和辦公用途的智能手機)、服務器主機、業務軟件和業務數據。
[0003]IT資產面臨來自外部黑客的威脅。一方面，黑客可能通過制作釣魚網站，發送惡意郵件等方式將惡意軟件植入員工的終端主機。另一方面，黑客也可能會對暴露在公網的服務器主機發起漏洞攻擊，通過軟件漏洞進行入侵。黑客攻擊主機的目的多種多樣。有些是為了將主機變成僵尸(bot)，驅使bot進行拒絕服務(DoS，Denial of Service)攻擊，發送垃圾郵件或假造廣告點擊從而獲利。有些則是以被攻陷的主機作為跳板攻擊其他更有價值的主機，例如公司核心領導的辦公電腦，從而獲得其中的關鍵數據。
[0004]IT資產也面臨來自組織內部的威脅。例如，將要離職的員工可能從公司的客戶關系管理(CRM,Customer Relat1nship Management)系統中獲取客戶數據并上傳到私人的郵箱。商業間諜可能以加入組織的方式，獲得組織內部主機的使用權，以此為跳板攻擊其他的終端主機和服務器主機。在這些情況下組織在互聯網邊界部署的防御措施，例如防火墻、入侵防御系統(IPS，Intrus1n Prevent1n System)和入侵檢測系統(IDS，Intrus1nDetect1n Systems)，都形同虛設。
[0005]從上面的描述可以看到，組織的IT資產面臨的威脅多種多樣，但其中有兩個核心，“主機”和“網絡”。此處，主機是指組織內部的終端主機，網絡設備或服務器主機。此處的網絡是指因特網(Internet)和組織的內部網絡。攻擊者將主機作為攻擊目標，或者利用被自己攻陷的主機發起惡意行為。而網絡則是攻擊者進行攻擊的渠道，攻擊者的攻擊行動和攻擊后果都會在網絡流量上有所反應。
[0006]將被外部黑客攻破，或者被內部的惡意人員用于惡意目的的主機統一稱為失陷主機。失陷主機的出現意味著組織的IT資產受到了威脅。通過對主機的網絡流量的分析，能夠有效判斷哪些主機已經成為失陷主機。
[0007]現在有很多根據網絡流量進行異常檢測的方法。例如通過網絡流量對僵尸網絡(botnet)進行啟發性分析。在這種方法中會首先判決網絡流量中哪些流量屬于異常流量，然后根據這些流量與botnet的關聯性為這些流量打上分數，最終根據主機在一段時間內各種異常流量的分數綜合對主機進行打分，進而判決主機是否成為bot。
[0008]類似的方法還有很多，但其試圖發現的異常僅僅只限于某個指定場景，例如惡意軟件。當網絡流量中的異常流量并不是由其限定場景引起時，其分析的基礎就蕩然無存了。通過網絡流量對失陷主機進行分析，需要意識到異常事件可以指示多種場景下。
[0009]在黑客進行高級持續性威脅(APT，Advanced Persistent Threat)攻擊時，可能在被入侵的主機的網絡流量中觀察到:
[0010](I)惡意軟件的植入過程；
[0011](2)對內網其他主機的掃描；
[0012](3)對內網其他主機的漏洞攻擊；
[0013](4)從公司的資源服務器上在短時間內大量下載文件；
[0014](5)在同一時間內，主機通過加密信道向外部服務器上傳文件。
[0015]將要離職的員工偷竊公司的客戶數據時，可能在其使用的主機的網絡流量中觀察到:
[0016](I)從公司的資源服務器上在短時間內大量下載文件；
[0017](2)通過加密信道向外部服務器上傳文件。
[0018]從上面的例子可以看出，從公司資源服務器下載大量文件和通過加密信道向外部服務器上傳文件這兩種行為在上面兩個場景都出現了。如果不考慮場景，僅僅從異常事件本身出發，顯然無法正確的對異常事件進行評價。
[0019]進一步地，直接通過異常流量對場景進行判決也存在其局限性。在各個場景下，威脅行為實際上可以分成多個固有環節。例如在botnet場景下，黑客入侵目標主機的過程基本上可以分為:發現目標主機_〉攻擊目標主機_〉控制目標主機_〉將目標主機作為bot進行非法活動。
[0020]在每一個環節，都可能發現多種異常流量，其背后的原因是黑客為逃逸已有的檢測方法，會嘗試多種手段，對已有手段又會進行各種變化。如果多種異常流量只能指示一個攻擊環節，那無論捕獲到的有多少，其指示作用都是有限的。

【發明內容】

[0021]為解決上述技術問題，本發明實施例提供了一種失陷主機的識別方法及裝置。
[0022]本發明實施例提供的失陷主機的識別方法，包括:
[0023]根據流量日志對主機進行基線分析，得到主機的基線信息；
[0024]根據流量日志、配置信息和所述主機的基線信息，識別主機的身份信息；
[0025]根據流量日志、安全日志、所述主機的基線信息、所述主機的身份信息、外部情報數據和資產標識信息，識別所述主機所在網絡中的異常事件；
[0026]根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值；
[0027]根據所述主機的身份信息和所述主機在各個場景下的場景分值，確定所述主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。
[0028]本發明實施例中，所述根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值，包括:
[0029]將所述異常事件映射到場景內的各個攻擊環節；
[0030]基于異常事件對攻擊環節的指示和關聯，結合所述主機的身份信息對攻擊環節發生的可能性進行打分；
[0031]基于場景下各個環節的分數，為場景發生的可能性進行打分；
[0032]基于場景發生的狀態下，為所述主機對組織的資產造成的威脅性進行打分。
[0033]本發明實施例中，所述主機的基線包括以下至少之一:
[0034]所述主機對外開放的傳輸控制協議(TCP，Transmiss1n Control Protocol)/用戶數據報協議(UDP，User Datagram Protocol)端口上的數據量和連接數；
[0035]所述主機與其他內網主機的通訊量；
[0036]所述主機上傳到因特網的數據量。
[0037]本發明實施例中，所述主機所在網絡中的異常事件包括以下至少之一:
[0038]對惡意統一資源定位符(URL，Uniform Resoure Locator)的訪問事件；
[0039]對惡意IP的訪問事件；
[0040]超出基線的數據上傳事件；
[0041]對內網其他主機的掃描事件；
[0042]IPS和AV的告警事件。
[0043]本發明實施例中，所述主機的身份信息包括主機的類型以及主機上運行的業務；
[0044]所述場景分值包括可能性評估值和威脅性評估值。
[0045]本發明實施例提供的失陷主機的識別裝置，包括:
[0046]基線分析單元，用于根據流量日志對主機進行基線分析，得到主機的基線信息；
[0047]身份識別單元，用于根據流量日志對主機進行基線分析，得到主機的基線信息；
[0048]異常分析單元，用于根據流量日志、安全日志、所述主機的基線信息、所述主機的身份信息、外部情報數據和資產標識信息，識別所述主機所在網絡中的異常事件；
[0049]場景分析單元，用于根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值；
[0050]失陷判定單元，用于根據所述主機的身份信息和所述主機在各個場景下的場景分值，確定所述主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。
[0051 ]本發明實施例中，所述場景分析單元包括:
[0052]映射子單元，用于將所述異常事件映射到場景內的各個攻擊環節；
[0053]第一評分單元，用于基于異常事件對攻擊環節的指示和關聯，結合所述主機的身份信息對攻擊環節發生的可能性進行打分；
[0054]第二評分單元，用于基于場景下各個環節的分數，為場景發生的可能性進行打分；
[0055]第三評分單元，用于基于場景發生的狀態下，為所述主機對組織的資產造成的威脅性進行打分。
[0056]本發明實施例中，所述主機的基線包括以下至少之一:
[0057]所述主機對外開放的TCP/UDP端口上的數據量和連接數；
[0058]所述主機與其他內網主機的通訊量；
[0059]所述主機上傳到因特網的數據量。
[0060]本發明實施例中，所述主機所在網絡中的異常事件包括以下至少之一:
[0061 ] 對惡意URL的訪問事件；
[0062]對惡意IP的訪問事件；
[0063]超出基線的數據上傳事件；
[0064]對內網其他主機的掃描事件；
[0065]IPS和AV的告警事件。
[0066]本發明實施例中，所述主機的身份信息包括主機的類型以及主機上運行的業務；
[0067]所述場景分值包括可能性評估值和威脅性評估值。
[0068]本發明實施例的技術方案中，根據流量日志對主機進行基線分析，得到主機的基線信息;根據流量日志、配置信息和所述主機的基線信息，識別主機的身份信息;根據流量日志、安全日志、所述主機的基線信息、所述主機的身份信息、外部情報數據和資產標識信息，識別所述主機所在網絡中的異常事件;根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值;根據所述主機的身份信息和所述主機在各個場景下的場景分值，確定所述主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。如此，通過分析組織的網絡流量，在多個預設場景下對組織的內網主機進行評分，最終發現失陷主機。通過對本發明實施例的實施，不但能夠識別被植入惡意軟件的主機，也能夠分析出被惡意員工用于盜取組織數據的主機。
【附圖說明】
[0069]圖1為本發明實施例一的失陷主機的識別方法的流程示意圖；
[0070]圖2為本發明實施例二的失陷主機的識別方法的流程示意圖；
[0071]圖3為本發明實施例的失陷主機的識別裝置的結構組成示意圖；
[0072]圖4為本發明實施例的場景分析單元的結構組成示意圖。
【具體實施方式】
[0073]為了能夠更加詳盡地了解本發明實施例的特點與技術內容，下面結合附圖對本發明實施例的實現進行詳細闡述，所附附圖僅供參考說明之用，并非用來限定本發明實施例。
[0074]本發明實施例的技術方案，通過異常流量對攻擊環節進行啟發性的分析，對各個環節發生的可能性進行判決，最終綜合各個環節關聯的判決結果最終對場景進行判決。
[0075]圖1為本發明實施例一的失陷主機的識別方法的流程示意圖，本發明實施例應用于失陷主機的識別裝置，所述失陷主機的識別裝置可以通過服務器或服務器集群來實現。所述失陷主機的識別裝置至少包括:基線分析單元、身份識別單元、異常分析單元、場景分析單元、失陷判定單元。如圖1所示，所述失陷主機的識別方法包括以下步驟:
[0076]步驟101:根據流量日志對主機進行基線分析，得到主機的基線信息。
[0077]本發明實施例中，首先獲取來自絡設備的流量日志。例如，交換機、路由器、上網行為管理設備等的流量日志。這里，流量日志不僅僅局限于網絡的三四層信息，還可以包含流量的應用層識別信息，應用層識別信息包括但不僅限于流量的應用種類、應用的請求信息和應答信息。
[0078]在本發明一實施方式中，除了獲取流量日志，還可以獲取來自安裝在各個主機上的客戶端發送過來的日志。這里，客戶端可以收集主機上的信息，生成流量日志和安全日
V 1、1、O
[0079]在本發明一實施方式中，除了流量日志以外，還可以獲取從網絡設備鏡像過來的網絡數據報文。本發明實施例中，可以設置網絡數據報文的流量審計單元和安全審計單元，通過流量審計單元能夠生成流量日志，通過安全審計單元能夠生成安全日志。
[0080]本發明實施例中，失陷主機的識別裝置還包括日志存儲單元，用于存儲各種類型的日志，包括流量日志、安全日志等。然后，由基線分析單元根據流量日志對主機進行基線分析，得到主機的基線信息。
[0081]這里，所述主機的基線包括但不局限于以下至少之一:
[0082]所述主機對外開放的TCP/UDP端口上的數據量和連接數；
[0083]所述主機與其他內網主機的通訊量；
[0084]所述主機上傳到因特網的數據量。
[0085]步驟102:根據流量日志、配置信息和所述主機的基線信息，識別主機的身份信息。
[0086]本發明實施例中，所述配置信息為用戶對IT資產的描述信息，包含特定主機上運行的業務、敏感文件名等。
[0087]本發明實施例中，身份識別單元根據流量日志、配置信息和所述主機的基線信息，識別主機的身份信息。
[0088]這里，所述主機的身份信息包括主機的類型以及主機上運行的業務。
[0089]其中，主機類型包括但不局限于為以下類型:服務器、移動終端、筆記本(PC)、網關。
[0090]主機上運行的業務包括但不局限于為以下業務:結構化查詢語言(SQL，Structured Query Language)服務、超文本傳輸協議(HTTP，Hyper Text TransferProtocol)服務。
[0091]步驟103:根據流量日志、安全日志、所述主機的基線信息、所述主機的身份信息、外部情報數據和資產標識信息，識別所述主機所在網絡中的異常事件。
[0092]本發明實施例中，需要獲取來自絡設備的安全日志。例如，統防火墻、下一代防火墻、IPS/IDS、病毒引擎等的安全日志。
[0093]本發明實施例中，還需要獲取來自外部的情報數據。例如，惡意網址、惡意URL、域名系統(DNS，Domain Name System)信息和域名注冊信息等。
[0094]本發明實施例中，所述主機所在網絡中的異常事件包括但不局限于以下信息:
[0095 ] 對惡意URL的訪問事件；
[0096]對惡意IP的訪問事件；
[0097]超出基線的數據上傳事件；
[0098]對內網其他主機的掃描事件；
[0099]IPS和AV的告警事件。
[0100]步驟104:根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值。
[0101]本發明實施例中，場景分析單元預制多個場景，包括但不局限于:Botnet場景、內部員工盜取數據場景、服務器掛馬場景。根據主機的身份信息，對主機進行與其身份相適應的場景分析。例如當主機身份為工作PC時，不會對其進行服務器掛馬場景分析。
[0102]所述根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值，包括:
[0103]將所述異常事件映射到場景內的各個攻擊環節；
[0104]基于異常事件對攻擊環節的指示和關聯，結合所述主機的身份信息對攻擊環節發生的可能性進行打分；
[0105]基于場景下各個環節的分數，為場景發生的可能性進行打分；
[0106]基于場景發生的狀態下，為所述主機對組織的資產造成的威脅性進行打分。
[0107]基于此，所述場景分值包括可能性評估值和威脅性評估值。
[0108]步驟105:根據所述主機的身份信息和所述主機在各個場景下的場景分值，確定所述主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。
[0109]本發明實施例中，綜合主機的身份信息，主機在各個場景下的場景分值，通過場景與身份的關系以及場景之間的關系，確認可能性最高的幾個場景，最終給出主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。
[0110]本發明實施例中，最終得到組織的各個內網主機在預定的每個場景下的失陷可能性分值和對組織的威脅性分值，以及綜合各個場景進行判斷后，內網主機失陷的可能性分值和對用戶組織的威脅性分值。
[0111]圖2為本發明實施例二的失陷主機的識別方法的流程圖，在本發明實施例中，由下一代防火墻對特定組織的網絡流量進行審計，包括組織網絡中內網主機之間的流量和組織網絡中內網主機去往外網的流量。下一代防火墻可以獲得流量日志、URL日志、DNS日志、IPS日志和AV日志。下一代防火墻的流量日志中包含連接的應用信息。本發明實施例的失陷主機的識別方法應用于失陷主機的識別裝置中，所述失陷主機的識別裝置包括:日志存儲單元、基線分析單元、身份識別單元、異常分析單元、場景分析單元、失陷判定單元。如圖2所示，所述流程包括以下步驟:
[0112]步驟201:日志通過日志存儲單元進入裝置。
[0113]步驟202:基線分析。
[0114]當日志進入裝置后，裝置調用基線分析單元。根據對流量日志的分析，基線分析單元對某個內網IP得到如下信息:
[0115]其他IP向該IP發起的傳輸控制協議(TCP，Transmiss1n Control Protocol)連接數和該IP主動發起的TCP連接數；
[0116]該IPtop應用的日均流量；
[0117]該IP流量和連接數的小時趨勢。
[0118]步驟203:身份識別。
[0119]裝置調用身份識別單元，根據基線分析結果，身份識別單元判定該IP為辦公用PC，主要邏輯為:
[0120]外部IP訪問該IP的日均連接數低于門限；
[0121 ]該IP的流量小時趨勢峰值連續數日在工作時間；
[0122]該IP訪問外網的主要應用為網頁(web)瀏覽類應用。
[0123]步驟204:異常分析。
[0124]異常分析單元根據外部威脅情報、URL日志、AV日志、IPS日志、流量日志，識別出發生在同一天的以下異常事件:
[0125]根據AV日志，關聯出該IP下載了病毒；
[0126]根據流量日志，關聯出該IP對內網地址段使用因特網控制報文協議(ICMP，Internet Control Message Protocol)進行了掃描；
[0127]根據IPS日志，關聯出該IP對某幾個內網地址發起了安全外殼協議(SSH，SecureShel I)暴力破解。
[0128]步驟205:場景分析。
[0129]場景分析單元根據主機身份識別結果，對異常事件基于以下場景進行了分析:Botnet場景、內部員工盜取數據場景。
[0130]其中，在Botnet場景下的可能環節為:
[0131]受到外網攻擊；
[0132]裝置權限被侵占；
[0133]尋找命令控制(Command Control)服務器；
[0134]建立CommandControl連接；
[0135]掃描其他主機；
[0136]對其他主機進行攻擊。
[0137]根據異常分析單元的結果，場景分析單元在botnet場景將異常事件映射到3個環節:受到外網攻擊、掃描其他主機、對其他主機進行攻擊。由于異常事件的信息充分，該主機在3個環節的評分都很高，最終在該場景獲得了較高的評分。
[0138]在內部員工盜取數據場景，可能環節為:
[0139]獲取服務器訪問權限；
[0140]從關鍵資源服務器獲取資源；
[0141]向外網泄露關鍵信息。
[0142]根據異常分析單元的結果，場景分析單元在盜取數據場景將異常事件映射到I個環節:獲取服務器訪問權限。由于缺乏其他兩個環節的異常事件，該場景的得分較低。
[0143]步驟206:失陷主機判定。
[OH4]綜合Botnet場景和內部員工盜取數據場景下的評分，最終確定可能性較高的場景為Botnet場景。由于兩個場景之間不具有任何關聯型，因此主機的最終評分繼承Botnet場景的評分。
[0145]圖3為本發明實施例的失陷主機的識別裝置的結構組成示意圖，如圖3所示，所述失陷主機的識別裝置包括:
[0146]基線分析單元31，用于根據流量日志對主機進行基線分析，得到主機的基線信息；
[0147]身份識別單元32，用于根據流量日志對主機進行基線分析，得到主機的基線信息；
[0148]異常分析單元33，用于根據流量日志、安全日志、所述主機的基線信息、所述主機的身份信息、外部情報數據和資產標識信息，識別所述主機所在網絡中的異常事件；
[0149]場景分析單元34，用于根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值；
[0150]失陷判定單元35，用于根據所述主機的身份信息和所述主機在各個場景下的場景分值，確定所述主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。
[0151]參照圖4，本發明實施例中，所述場景分析單元34包括:
[0152]映射子單元341，用于將所述異常事件映射到場景內的各個攻擊環節；
[0153]第一評分單元342，用于基于異常事件對攻擊環節的指示和關聯，結合所述主機的身份信息對攻擊環節發生的可能性進行打分；
[0154]第二評分單元343，用于基于場景下各個環節的分數，為場景發生的可能性進行打分；
[0155]第三評分單元344，用于基于場景發生的狀態下，為所述主機對組織的資產造成的威脅性進行打分。
[0156]所述主機的基線包括以下至少之一:
[0157]所述主機對外開放的TCP/UDP端口上的數據量和連接數；
[0158]所述主機與其他內網主機的通訊量；
[0159]所述主機上傳到因特網的數據量。
[0160]所述主機所在網絡中的異常事件包括以下至少之一:
[0161]對惡意URL的訪問事件；
[0162]對惡意IP的訪問事件；
[0163]超出基線的數據上傳事件；
[0164]對內網其他主機的掃描事件；
[0165]IPS和AV的告警事件。
[0166]所述主機的身份信息包括主機的類型以及主機上運行的業務；
[0167]所述場景分值包括可能性評估值和威脅性評估值。
[0168]本發明實施例中，所述失陷主機的識別裝置可以通過服務器或服務器集群實現。
[0169]本領域技術人員應當理解，圖3所示的失陷主機的識別裝置中的各單元及子單元的實現功能可參照前述失陷主機的識別方法的相關描述而理解。圖3所示的失陷主機的識別裝置中的各單元及子單元的功能可通過運行于處理器上的程序而實現，也可通過具體的邏輯電路而實現。
[0170]本發明實施例所記載的技術方案之間，在不沖突的情況下，可以任意組合。
[0171]在本發明所提供的幾個實施例中，應該理解到，所揭露的方法和智能設備，可以通過其它的方式實現。以上所描述的設備實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，如:多個單元或組件可以結合，或可以集成到另一個裝置，或一些特征可以忽略，或不執行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設備或單元的間接耦合或通信連接，可以是電性的、機械的或其它形式的。
[0172]上述作為分離部件說明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元，即可以位于一個地方，也可以分布到多個網絡單元上;可以根據實際的需要選擇其中的部分或全部單元來實現本實施例方案的目的。
[0173]另外，在本發明各實施例中的各功能單元可以全部集成在一個第二處理單元中，也可以是各單元分別單獨作為一個單元，也可以兩個或兩個以上單元集成在一個單元中；上述集成的單元既可以采用硬件的形式實現，也可以采用硬件加軟件功能單元的形式實現。
[0174]以上所述，僅為本發明的【具體實施方式】，但本發明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內，可輕易想到變化或替換，都應涵蓋在本發明的保護范圍之內。
【主權項】
1.一種失陷主機的識別方法，其特征在于，所述方法包括: 根據流量日志對主機進行基線分析，得到主機的基線信息； 根據流量日志、配置信息和所述主機的基線信息，識別主機的身份信息； 根據流量日志、安全日志、所述主機的基線信息、所述主機的身份信息、外部情報數據和資產標識信息，識別所述主機所在網絡中的異常事件； 根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值； 根據所述主機的身份信息和所述主機在各個場景下的場景分值，確定所述主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。2.根據權利要求1所述的失陷主機的識別方法，其特征在于，所述根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值，包括: 將所述異常事件映射到場景內的各個攻擊環節； 基于異常事件對攻擊環節的指示和關聯，結合所述主機的身份信息對攻擊環節發生的可能性進行打分； 基于場景下各個環節的分數，為場景發生的可能性進行打分； 基于場景發生的狀態下，為所述主機對組織的資產造成的威脅性進行打分。3.根據權利要求1所述的失陷主機的識別方法，其特征在于，所述主機的基線包括以下至少之一: 所述主機對外開放的傳輸控制協議TCP/用戶數據報協議UDP端口上的數據量和連接數； 所述主機與其他內網主機的通訊量； 所述主機上傳到因特網的數據量。4.根據權利要求3所述的失陷主機的識別方法，其特征在于，所述主機所在網絡中的異常事件包括以下至少之一: 對惡意統一資源定位符URL的訪問事件； 對惡意IP的訪問事件； 超出基線的數據上傳事件； 對內網其他主機的掃描事件； 入侵防御系統IPS和AV的告警事件。5.根據權利要求1至4任一項所述的失陷主機的識別方法，其特征在于， 所述主機的身份信息包括主機的類型以及主機上運行的業務； 所述場景分值包括可能性評估值和威脅性評估值。6.一種失陷主機的識別裝置，其特征在于，所述裝置包括: 基線分析單元，用于根據流量日志對主機進行基線分析，得到主機的基線信息； 身份識別單元，用于根據流量日志對主機進行基線分析，得到主機的基線信息； 異常分析單元，用于根據流量日志、安全日志、所述主機的基線信息、所述主機的身份信息、外部情報數據和資產標識信息，識別所述主機所在網絡中的異常事件； 場景分析單元，用于根據所述主機的身份信息和所述異常事件，對所述主機進行場景分析，得到所述主機在各個場景下的場景分值； 失陷判定單元，用于根據所述主機的身份信息和所述主機在各個場景下的場景分值，確定所述主機的失陷可能性分值以及所述主機對組織的資產的威脅性分值。7.根據權利要求6所述的失陷主機的識別裝置，其特征在于，所述場景分析單元包括: 映射子單元，用于將所述異常事件映射到場景內的各個攻擊環節； 第一評分單元，用于基于異常事件對攻擊環節的指示和關聯，結合所述主機的身份信息對攻擊環節發生的可能性進行打分； 第二評分單元，用于基于場景下各個環節的分數，為場景發生的可能性進行打分；第三評分單元，用于基于場景發生的狀態下，為所述主機對組織的資產造成的威脅性進行打分。8.根據權利要求6所述的失陷主機的識別裝置，其特征在于，所述主機的基線包括以下至少之一: 所述主機對外開放的TCP/UDP端口上的數據量和連接數； 所述主機與其他內網主機的通訊量； 所述主機上傳到因特網的數據量。9.根據權利要求8所述的失陷主機的識別裝置，其特征在于，所述主機所在網絡中的異常事件包括以下至少之一: 對惡意URL的訪問事件； 對惡意IP的訪問事件； 超出基線的數據上傳事件； 對內網其他主機的掃描事件； IPS和AV的告警事件。10.根據權利要求6至9任一項所述的失陷主機的識別裝置，其特征在于， 所述主機的身份信息包括主機的類型以及主機上運行的業務； 所述場景分值包括可能性評估值和威脅性評估值。
【文檔編號】H04L29/06GK105915532SQ201610345020
【公開日】2016年8月31日
【申請日】2016年5月23日
【發明人】才華, 肖春天
【申請人】北京網康科技有限公司