CN109194605B - 一种基于开源信息的可疑威胁指标主动验证方法和系统 - Google Patents
一种基于开源信息的可疑威胁指标主动验证方法和系统 Download PDFInfo
- Publication number
- CN109194605B CN109194605B CN201810709596.0A CN201810709596A CN109194605B CN 109194605 B CN109194605 B CN 109194605B CN 201810709596 A CN201810709596 A CN 201810709596A CN 109194605 B CN109194605 B CN 109194605B
- Authority
- CN
- China
- Prior art keywords
- suspicious
- specific
- threat
- verification
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于开源信息的可疑威胁指标主动验证方法和系统。该方法包括以下步骤:1)设计特定查询语句,所述特定查询语句是可疑威胁指标与特定场景的组合;2)收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息;3)将所述结果信息中的相关开源信息进行结构化处理,得到结构化数据;4)利用所述结构化数据,充分学习其中的隐藏特征,训练相应的分类模型;5)利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性,从而识别网络威胁。该系统包括查询设计模块、信息采集模块、数据处理模块、模型训练模块、指标验证模块。本发明能够高效准确地完成对可疑威胁指标的验证,帮助人们识别高级威胁攻击,保证网络安全。
Description
技术领域
本发明属于网络空间安全技术领域,具体涉及一种基于开源信息的可疑威胁指标主动验证方法和系统。
背景技术
近年来,以APT(Advanced Persistent Threats,高级持续性威胁)为典型代表的高级网络威胁增长迅速并日益复杂。为了保证网络安全,一些安全公司、安全厂商或安全研究人员会在互联网上发布一些安全报告、技术博客等专业文章来分析已有高级威胁攻击及其技术细节。这些信息有助于人们快速了解已有网络威胁的演变及实现过程,及时发现攻击的早期迹象,并做出合适的防御响应。
可疑威胁指标是指在网络流量或日志中发现的不确定是否异常的指标,如可疑的IP地址,域名及MD5值等。对可疑威胁指标的验证不仅仅包括简单的是否恶意的验证,还包括对其适用的特定场景的验证,如一个可疑域名,不仅验证该域名是否是恶意域名,还确认其使用场景是APT攻击,还是僵尸网络攻击等。唯有掌握可疑威胁指标的场景信息,才能制定合理策略,保证网络安全。
验证可疑威胁指标,可利用网络威胁情报(Cyber Threat Intelligence,CTI)来完成。网络威胁情报是关于现有或潜在威胁的详细的证据知识,包括情境、机制、指标、推论与可行建议。这些知识是安全专家或专业团队分析整理出来的,可为威胁响应提供决策依据。威胁情报根据来源主要分为两大类:内部威胁情报和外部威胁情报。内部威胁情报多是从分析系统内部数据如恶意代码、网络日志等收集处理的,外部威胁情报主要源自企业和社区的共享情报、安全服务商的情报服务以及互联网的公开情报等。鉴于内部威胁情报的封闭性和特殊性,验证可疑威胁指标时一般不使用内部威胁情报。通过外部威胁情报的验证,主要是基于商用情报的验证与基于开源情报的验证。
基于商用情报的可疑威胁指标验证方法主要是通过购买安全公司或厂商的威胁情报服务来完成。这种方法成本较高且无法做到对已有情报的全覆盖。基于开源情报的验证方法多是人们先定点监控一些公开情报源,并收集其发布的威胁攻击信息,然后从相关信息中抽取出入侵威胁指标(Indicators of Compromise,IOC)形成威胁情报库以供后续使用。这种方法是被动的,复杂的。并且,定点监控的公开情报源不完整,无法监控所有的公开情报源。此外,还需要对不同情报源的信息进行分析整理,代价大。
发明内容
本发明的目的在于提供一种基于开源信息的可疑威胁指标主动验证方法和系统,充分利用互联网上公开的相关威胁信息,高效准确地完成对可疑威胁指标的验证,帮助人们识别高级威胁攻击,保证网络安全。
本发明采用的技术方案如下:
一种基于开源信息的可疑威胁指标主动验证方法,包括以下步骤:
1)设计特定查询语句,所述特定查询语句是可疑威胁指标与特定场景的组合;
2)收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息;
3)将所述结果信息中的相关开源信息进行结构化处理,得到结构化数据;
4)利用所述结构化数据,充分学习其中的隐藏特征,训练相应的分类模型;
5)利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性,从而识别网络威胁。
进一步地,步骤1)所述设计特定查询语句是将可疑威胁指标与特定场景两两组合,给出多种查询方案;所述可疑威胁指标包括可疑的IP地址,域名、MD5值;所述特定场景包括APT攻击,僵尸网络攻击、漏洞攻击。
进一步地,步骤2)直接利用搜索引擎配合特定查询语句,检索互联网上所有可用且相关的公开信息。
进一步地,步骤3)将相关开源信息进行结构化处理的步骤包括:针对检索得到的半结构化结果,先解析页面源码,得到具体的文本数据;然后针对每条文本数据,抽取整理标题、URL、摘要三部分内容,得到结构化文本;最后结合自然语言处理数据处理技术,对三部分内容进行分词序列化,尽可能地保留文本中的语义信息,用于挖掘与学习潜在特征。
进一步地,步骤4)训练分类模型的步骤包括:分析已知的查询场景下的黑白名单威胁指标,利用步骤3)得到的相关序列化数据,选择合适的机器学习分类算法训练有效的分类模型,用于指导后期验证。
进一步地,步骤5)对可疑威胁指标的主动验证过程包括:根据特定查询语句爬取可疑威胁指标的开源信息,经过数据处理后,使用训练好的特定场景下的分类模型进行分类验证,给出对可疑威胁指标的验证结果。
一种基于开源信息的可疑威胁指标主动验证系统,其包括:
查询设计模块,用于设计特定查询语句,所述特定查询语句是可疑威胁指标与特定场景的组合;
信息采集模块,用于收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息;
数据处理模块,用于将所述结果信息中相关开源信息进行结构化处理,得到结构化数据;
模型训练模块,用于利用所述结构化数据,充分学习其中的隐藏特征,训练相应的分类模型;
指标验证模块,用于利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性,从而识别网络威胁。
进一步地,所述查询设计模块中,可疑威胁指标和特定场景都具有多种取值:可疑威胁指标包括可疑的IP地址,域名、MD5值,特定场景包括APT攻击,僵尸网络攻击、漏洞攻击;所述设计特定查询语句是将可疑威胁指标与特定场景两两组合,给出多种查询方案。
进一步地,所述信息采集模块直接利用搜索引擎配合特定查询语句,检索互联网上所有可用且相关的公开信息。
进一步地,所述数据处理模块中,将相关开源信息进行结构化处理的步骤包括:针对检索得到的半结构化结果,先解析页面源码,得到具体的文本数据;然后针对每条文本数据,抽取整理标题、URL、摘要三部分内容,得到结构化文本;最后结合自然语言处理数据处理技术,对三部分内容进行分词序列化,尽可能地保留文本中的语义信息,用于挖掘与学习潜在特征。
进一步地,所述模型训练模块训练分类模型的步骤包括:分析已知的查询场景下的黑白名单威胁指标,利用所述数据处理模块得到的相关序列化数据,选择合适的机器学习分类算法,训练有效的分类模型,用于指导后期验证。
进一步地,所述指标验证模块对可疑威胁指标的主动验证过程包括:先根据特定查询语句爬取可疑威胁指标的开源信息,经过数据处理后,使用训练好的特定场景下的分类模型进行分类验证,给出对可疑威胁指标的验证结果。
利用本发明提供的系统验证可疑威胁指标,具有以下优点:
1、本发明利用互联网上的开源威胁信息做验证,数据易获得,且成本较低。
2、本发明主动利用搜索引擎收集威胁指标的相关信息,数据来源更为广泛,避免了被动订阅式开源信息收集的情报覆盖率低的问题。
3、本发明设计了可疑威胁指标和特定场景组合,可验证多种可疑威胁指标,通用且易实现。
4、本发明对检索结果进行了序列化处理,保留了文本语义信息,并且综合使用多条开源信息对可疑威胁指标进行验证,提高了准确率。
附图说明
图1.基于开源信息的可疑威胁指标主动验证系统结构示意图。
图2.基于开源信息的可疑威胁指标主动验证实例流程图。
图3.特定场景下的威胁指标的开源信息检索结果图。
具体实施方式
下面通过具体实施例和附图,对本发明做进一步详细说明。
本实施例提供了一种基于开源信息的可疑威胁指标主动验证系统,如图1所示,包括:查询设计模块,信息采集模块,数据处理模块,模型训练模块,指标验证模块。
所述查询设计模块,用于设计特定查询语句,完成对可疑威胁指标与特定场景的查询组合,便于快速定位互联网上所有与可疑威胁指标相关的公开信息;
所述信息采集模块,用于收集和爬取根据特定查询语句在互联网上检索得到的结果信息,为后期可疑威胁指标的验证提供知识依据。
所述数据处理模块,用于整理和统计爬取到的结果信息,将相关开源信息进行结构化处理,便于模型的使用。
所述模型训练模块,用于分析和使用经过处理的带有标签的结构化数据,充分学习数据中的隐藏特征,训练相应的分类模型,指导后期验证。
所述指标验证模块,用于验证在特定场景下的可以威胁指标的恶意性,帮助人们识别网络威胁。
在所述查询设计模块中,可疑威胁指标和特定场景都具有多种取值:可疑威胁指标具体为可疑的IP地址,域名、MD5值等等,特定场景也具体可为多种高级威胁攻击,如APT攻击,僵尸网络攻击、漏洞攻击等。特定查询的设计,便是将目标(可疑威胁指标)与特定场景两两组合,给出多种查询方案。
在所述信息采集模块中,根据特定查询在互联网上检索得到结果信息具体为:直接利用搜索引擎配合特定查询,检索互联网上所有可用且相关的公开信息。不同于被动的订阅式信息采集方式,收集来源固定,这种主动的收集方式不仅信息收集速度快,而且收集信息来源广,可检索到所有相关的公开情报源,增加情报覆盖率。
在所述数据处理模块中,将相关开源信息进行结构化处理具体为:针对检索得到的半结构化结果,先解析页面源码,得到具体的文本数据,然后针对每条文本数据,抽取整理标题、URL、摘要三部分内容,得到结构化文本,最后结合自然语言处理数据处理技术,对三部分内容进行分词序列化,尽可能地保留文本中的语义信息,用于挖掘与学习潜在特征。
在所述模型训练模块中,训练分类模型的具体做法为:分析已知的查询场景下的黑白名单威胁指标,利用收集并处理后的相关序列化数据,选择合适的机器学习分类算法,如决策树(Decision Tree,DT)、支持向量机(Support Vector Machine,SVM)等算法,或用更为先进的深度学习方法,如卷积神经网络(Convolutional Neural Network,CNN),双向长短时记忆循环神经网络(Bi-directional Long Short-Term Memory,Bi-LSTM)等,训练有效的分类模型,指导后期验证。
在所述指标验证模块中,对可疑威胁指标的主动验证具体为:先根据特定查询语句爬取可疑威胁指标的开源信息,利用数据处理模块得到结构化数据后,使用前期训练好的特定场景下的指标分类模型进行分类验证,给出对可疑威胁指标的验证结果。
上述方法的技术关键点在于:
1)提供了一种基于开源信息的可疑威胁指标主动验证系统,可低成本、高效准确地对可疑威胁指标做出验证。
2)设计了可疑威胁指标与特定场景的组合查询,可提供多种组合方案,适用于不同类型的威胁指标在不同应用场景下的主动验证。
3)利用了搜索引擎直接从互联网上采集相关的开源信息,方法简单可行,且尽可能来源广泛地收集数据,避免了定点监控的数据收集情报覆盖率低的问题。
4)定义了检索结果处理后的结构化形式,抽取结果中的标题、URL、摘要三部分信息,并根据每部分的特殊性进行分词序列化,保留住文本的语义信息。
5)使用了特定场景下的知名指标信息做数据标注依据,考虑到处理后的标注数据结构,选择适合的算法或神经网络,并训练出可用模型。
6)针对待检测可疑威胁指标,主动收集并处理与其相关可用的开源信息,将数据输入到训练好的模型中,根据模型预测结果准确实现对可疑指标的验证。
本发明可应用于不同类型的可疑威胁指标与不同特定场景组合的主动验证。下面以域名为威胁指标,APT攻击为特定场景为例,说明本发明的具体应用,完成对可疑域名在APT攻击场景下的主动验证。
针对一些网络流量中发现的可疑域名,可利用本系统主动验证其是否是APT攻击中的恶意域名,如图2所示。下面是具体步骤:
1)组合查询设计
根据威胁指标与特定场景的输入,设计两者的组合查询语句,采用并集连接,形如:“域名APT攻击”,旨在通过查询快速检索到同时包含两者的开源信息。以可疑域名“worldairpost.com”为例,其查询为“worldairpost.com APT attack”。
2)开源信息采集
开源信息的采集有两类:一类是已知域名的相关信息采集;一类是可疑域名的相关信息采集。已知域名是指确定在特定场景下的恶意域名和非恶意域名两种,即APT域名与非APT域名。对已知域名的开源信息采集是为了后面的模型训练。对可疑域名的开源信息采集是为了最后的验证。
开源信息采集主要是利用搜索引擎,如谷歌,输入组合查询语句,在互联网上检索相关的公开信息。搜索引擎可看作互联网上一个众包的开源情报源,融合了所有可检索到的信息源。直接利用搜索引擎检索相关信息,增加了情报覆盖率,有助于提高主动验证的准确率。
3)结果数据处理
根据每条查询,检索得到域名的相关开源信息,结果如图3所示。针对得到的检索结果,先进行页面解析,得到文本信息。针对每条检索结果,抽取与格式化三部分内容:标题、URL、摘要。然后根据各部分的结构进行分词处理。标题与摘要作为一种短文本,分别简要概括和间接描述了查询的域名与APT攻击的关系,利用自然语言处理技术中的分词方法对其分词序列化,尽可能地保留语义信息。URL作为一种特殊的字符串,描述了结果的来源与类型,也需经过序列化处理。
4)模型训练
利用已知域名的开源信息进行模型训练。输入标注好的序列化数据集,利用决策树算法、SVM算法、CNN网络、Bi-LSTM网络等,学习数据中的潜在特征,并将训练好的分类模型保存,以支持对可疑域名的验证。
5)域名验证
输入可疑域名的处理后的序列化数据,使用保存好的分类模型进行分类预测,输出是否是APT恶意域名。在具体实验时,分别训练并保存了上述提到的四种分类模型,它们对可疑域名的验证准确率可达92%以上,最高可到98%左右。
该实例的实验结果也再一次验证了本发明提出的基于开源信息的可疑威胁指标主动验证系统的高效性与准确性。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (8)
1.一种基于开源信息的可疑威胁指标主动验证方法,其特征在于,包括以下步骤:
1)设计特定查询语句,所述特定查询语句是可疑威胁指标与特定场景的组合;所述设计特定查询语句是将可疑威胁指标与特定场景两两组合,给出多种查询方案;所述可疑威胁指标包括可疑的IP地址、域名、MD5值;所述特定场景包括APT攻击、僵尸网络攻击、漏洞攻击;
2)收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息;
3)将所述结果信息中的相关开源信息进行结构化处理,得到结构化数据;将相关开源信息进行结构化处理的步骤包括:针对检索得到的半结构化结果,先解析页面源码,得到具体的文本数据;然后针对每条文本数据,抽取整理标题、URL、摘要三部分内容,得到结构化文本;最后结合自然语言处理数据处理技术,对三部分内容进行分词序列化,保留文本中的语义信息,用于挖掘与学习潜在特征;
4)利用所述结构化数据,充分学习其中的隐藏特征,训练相应的分类模型;
5)利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性,从而识别网络威胁。
2.根据权利要求1所述的方法,其特征在于,步骤2)直接利用搜索引擎配合特定查询语句,检索互联网上所有可用且相关的公开信息。
3.根据权利要求1所述的方法,其特征在于,步骤4)训练分类模型的步骤包括:分析已知的查询场景下的黑白名单威胁指标,利用步骤3)得到的相关序列化数据,选择合适的机器学习分类算法训练有效的分类模型,用于指导后期验证。
4.根据权利要求1所述的方法,其特征在于,步骤5)对可疑威胁指标的主动验证过程包括:根据特定查询语句爬取可疑威胁指标的开源信息,经过数据处理后,使用训练好的特定场景下的分类模型进行分类验证,给出对可疑威胁指标的验证结果。
5.一种基于开源信息的可疑威胁指标主动验证系统,其特征在于,包括:
查询设计模块,用于设计特定查询语句,所述特定查询语句是可疑威胁指标与特定场景的组合;可疑威胁指标和特定场景都具有多种取值:可疑威胁指标包括可疑的IP地址、域名、MD5值,特定场景包括APT攻击、僵尸网络攻击、漏洞攻击;所述设计特定查询语句是将可疑威胁指标与特定场景两两组合,给出多种查询方案;
信息采集模块,用于收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息;
数据处理模块,用于将所述结果信息中相关开源信息进行结构化处理,得到结构化数据;将相关开源信息进行结构化处理的步骤包括:针对检索得到的半结构化结果,先解析页面源码,得到具体的文本数据;然后针对每条文本数据,抽取整理标题、URL、摘要三部分内容,得到结构化文本;最后结合自然语言处理数据处理技术,对三部分内容进行分词序列化,保留文本中的语义信息,用于挖掘与学习潜在特征;
模型训练模块,用于利用所述结构化数据,充分学习其中的隐藏特征,训练相应的分类模型;
指标验证模块,用于利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性,从而识别网络威胁。
6.根据权利要求5所述的系统,其特征在于,所述信息采集模块直接利用搜索引擎配合特定查询语句,检索互联网上所有可用且相关的公开信息。
7.根据权利要求5所述的系统,其特征在于,所述模型训练模块训练分类模型的步骤包括:分析已知的查询场景下的黑白名单威胁指标,利用所述数据处理模块得到的相关序列化数据,选择合适的机器学习分类算法,训练有效的分类模型,用于指导后期验证。
8.根据权利要求5所述的系统,其特征在于,所述指标验证模块对可疑威胁指标的主动验证过程包括:先根据特定查询语句爬取可疑威胁指标的开源信息,经过数据处理后,使用训练好的特定场景下的分类模型进行分类验证,给出对可疑威胁指标的验证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810709596.0A CN109194605B (zh) | 2018-07-02 | 2018-07-02 | 一种基于开源信息的可疑威胁指标主动验证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810709596.0A CN109194605B (zh) | 2018-07-02 | 2018-07-02 | 一种基于开源信息的可疑威胁指标主动验证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109194605A CN109194605A (zh) | 2019-01-11 |
| CN109194605B true CN109194605B (zh) | 2020-08-25 |
Family
ID=64948827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810709596.0A Active CN109194605B (zh) | 2018-07-02 | 2018-07-02 | 一种基于开源信息的可疑威胁指标主动验证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109194605B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768955B (zh) * | 2019-09-19 | 2022-03-18 | 杭州安恒信息技术股份有限公司 | 基于多源情报主动采集与聚合数据的方法 |
| CN111787024B (zh) * | 2020-07-20 | 2023-08-01 | 杭州安恒信息安全技术有限公司 | 网络攻击证据的搜集方法、电子装置及存储介质 |
| CN115225413B (zh) * | 2022-09-20 | 2022-12-23 | 北京微步在线科技有限公司 | 一种失陷指标的提取方法、装置、电子设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101853277A (zh) * | 2010-05-14 | 2010-10-06 | 南京信息工程大学 | 一种基于分类和关联分析的漏洞数据挖掘方法 |
| CN102253948A (zh) * | 2010-05-19 | 2011-11-23 | 北京启明星辰信息技术股份有限公司 | 在多源信息系统中搜索信息的方法和装置 |
| US8180761B1 (en) * | 2007-12-27 | 2012-05-15 | Symantec Corporation | Referrer context aware target queue prioritization |
| CN105138538A (zh) * | 2015-07-08 | 2015-12-09 | 清华大学 | 一种面向跨领域知识发现的主题挖掘方法 |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN106803824A (zh) * | 2016-12-19 | 2017-06-06 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对随机域名查询攻击的防护方法 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
| CN108076006A (zh) * | 2016-11-09 | 2018-05-25 | 华为技术有限公司 | 一种查找被攻击主机的方法及日志管理服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9838422B2 (en) * | 2015-09-15 | 2017-12-05 | International Business Machines Corporation | Detecting denial-of-service attacks on graph databases |
-
2018
- 2018-07-02 CN CN201810709596.0A patent/CN109194605B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8180761B1 (en) * | 2007-12-27 | 2012-05-15 | Symantec Corporation | Referrer context aware target queue prioritization |
| CN101853277A (zh) * | 2010-05-14 | 2010-10-06 | 南京信息工程大学 | 一种基于分类和关联分析的漏洞数据挖掘方法 |
| CN102253948A (zh) * | 2010-05-19 | 2011-11-23 | 北京启明星辰信息技术股份有限公司 | 在多源信息系统中搜索信息的方法和装置 |
| CN105138538A (zh) * | 2015-07-08 | 2015-12-09 | 清华大学 | 一种面向跨领域知识发现的主题挖掘方法 |
| CN105376245A (zh) * | 2015-11-27 | 2016-03-02 | 杭州安恒信息技术有限公司 | 一种基于规则的apt攻击行为的检测方法 |
| CN108076006A (zh) * | 2016-11-09 | 2018-05-25 | 华为技术有限公司 | 一种查找被攻击主机的方法及日志管理服务器 |
| CN106803824A (zh) * | 2016-12-19 | 2017-06-06 | 互联网域名系统北京市工程研究中心有限公司 | 一种针对随机域名查询攻击的防护方法 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109194605A (zh) | 2019-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jain et al. | A machine learning based approach for phishing detection using hyperlinks information | |
| Li et al. | A stacking model using URL and HTML features for phishing webpage detection | |
| US9229977B2 (en) | Real-time and adaptive data mining | |
| Zhang et al. | Boosting the phishing detection performance by semantic analysis | |
| Ren et al. | CSKG4APT: A cybersecurity knowledge graph for advanced persistent threat organization attribution | |
| CN113647078A (zh) | 推断网络安全事件的时间关系 | |
| CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
| Ampel et al. | Labeling hacker exploits for proactive cyber threat intelligence: a deep transfer learning approach | |
| Mourtaji et al. | Hybrid rule-based solution for phishing URL detection using convolutional neural network | |
| CN109194605B (zh) | 一种基于开源信息的可疑威胁指标主动验证方法和系统 | |
| CN112989348B (zh) | 攻击检测方法、模型训练方法、装置、服务器及存储介质 | |
| Li et al. | Phishing detection based on newly registered domains | |
| Chen et al. | Ai@ ntiphish—machine learning mechanisms for cyber-phishing attack | |
| US20230033117A1 (en) | Systems and methods for analyzing cybersecurity events | |
| Li et al. | Security OSIF: Toward automatic discovery and analysis of event based cyber threat intelligence | |
| Perera et al. | Cyberattack prediction through public text analysis and mini-theories | |
| Yang et al. | Scalable detection of promotional website defacements in black hat {SEO} campaigns | |
| Vinayakumar et al. | Improved DGA domain names detection and categorization using deep learning architectures with classical machine learning algorithms | |
| Zhang et al. | Cross-site scripting (XSS) detection integrating evidences in multiple stages | |
| Shang et al. | A framework to construct knowledge base for cyber security | |
| Nowroozi et al. | An adversarial attack analysis on malicious advertisement url detection framework | |
| Du et al. | ExpSeeker: Extract public exploit code information from social media | |
| Angadi et al. | Malicious URL Detection Using Machine Learning Techniques | |
| Zhao et al. | Wsld: detecting unknown webshell using fuzzy matching and deep learning | |
| KR102357630B1 (ko) | 제어시스템 보안이벤트의 공격전략 분류 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |