CN108416211B - 一种基于向量标签的场景化检测方法及系统 - Google Patents

一种基于向量标签的场景化检测方法及系统 Download PDF

Info

Publication number
CN108416211B
CN108416211B CN201710010458.9A CN201710010458A CN108416211B CN 108416211 B CN108416211 B CN 108416211B CN 201710010458 A CN201710010458 A CN 201710010458A CN 108416211 B CN108416211 B CN 108416211B
Authority
CN
China
Prior art keywords
metadata
matrix
scene
original data
calculation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710010458.9A
Other languages
English (en)
Other versions
CN108416211A (zh
Inventor
肖新光
关墨辰
李林哲
童志明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Antiy Technology Group Co Ltd filed Critical Antiy Technology Group Co Ltd
Priority to CN201710010458.9A priority Critical patent/CN108416211B/zh
Publication of CN108416211A publication Critical patent/CN108416211A/zh
Application granted granted Critical
Publication of CN108416211B publication Critical patent/CN108416211B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Alarm Systems (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

本发明提出一种基于向量标签的场景化检测方法及系统,通过选择标签,构建传输场景,筛选出元数据;基于构建的传输场景,对筛选出的元数据构建稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算稀疏矩阵与计算矩阵的乘积;多次应用计算矩阵进行乘积计算,得到最终结果;若元数据对应的最终结果为命中,则当前构建的场景下存在可疑事件;对可疑事件元数据对应的原始数据发出告警,并呈现告警信息。通过本发明的方法及系统,能够形成用于私有化的检测能力。

Description

一种基于向量标签的场景化检测方法及系统
技术领域
本发明涉及计算机网络安全领域,特别涉及一种基于向量标签的场景化检测方法及系统。
背景技术
目前而言,现有的恶意事件检测方法,几乎全部的检测能力都由反病毒厂商提供,难以提供给用户其形成私有安全检测规则的机会。在用户侧,一旦厂商的检测能力被恶意势力掌握,则会对用户形成威胁。而形成此类私有检测规则,是一种即便在防御能力被敌对势力完全掌握的同时,也能形成战略纵深,防止被敌对势力全面击破的重要能力。
发明内容
本发明提出一种基于向量标签的场景化检测方法及系统,通过实现用户自定义场景,形成用户私有安全检测规则及检测能力。
一种基于向量标签的场景化检测方法,包括:
选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;
基于用户自定义向量,构建计算矩阵;
计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;
多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;
若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
所述的方法中,还包括,若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建。
所述的方法中,所述计算矩阵的元素包括算子、函数、数值。
所述的方法中,所述原始数据至少为一条。
所述的方法中,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。
本发明还提出一种基于向量标签的场景化检测系统,包括:
场景构建模块,用于选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
向量计算模块,用于基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
告警模块,用于对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
所述的系统中,还包括,标注模块,用于若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建。
所述的系统中,所述计算矩阵的元素包括算子、函数、数值。
所述的系统中,所述原始数据至少为一条。
所述的系统中,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。
本发明提出一种基于向量标签的场景化检测方法及系统,通过选择标签,构建传输场景,筛选出元数据;基于构建的传输场景,对筛选出的元数据构建稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算稀疏矩阵与计算矩阵的乘积;多次应用计算矩阵进行乘积计算,得到最终结果;若元数据对应的最终结果为命中,则当前构建的场景下存在可疑事件;对可疑事件元数据对应的原始数据发出告警,并呈现告警信息。通过本发明的方法及系统,能够形成用于私有化的检测能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于向量标签的场景化检测方法实施例流程图;
图2为本发明一种基于向量标签的场景化检测系统实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出一种基于向量标签的场景化检测方法及系统,通过实现用户自定义场景,形成用户私有安全检测规则及检测能力。
本发明方法实施例一种基于向量标签的场景化检测方法,如图1所示,包括:
S101:选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
原始数据可以包括一个文件、一段数据流、一个文件的分析序列等。每条元数据都包含一系列从厂家规则、外部知识附加、资产附加、用户条件等来源附加上的一系列标签。通过对多个标签的选择,构建出传输场景,筛选出在该传输场景下的元数据。例如,所选择的标签可以包括:如“跨境通讯”、“邮件传输”、“文件传输”、“可执行文件”等。通过这些标签可以筛选出通过邮件传递可执行文件的元数据。而所选择的标签就构成了元数据对应的场景。元数据的提取特定于原始数据,例如:对流量原始数据,可以包括源IP、目的IP、源端口、目的端口、协议。对HTTP协议流量,又可以额外包括HTTP的请求方法、HTTP的响应结果、HTTP的请求的URI、HTTP的Host、HTTP的全部请求头、HTTP的全部响应头等一系列信息。
S102:基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;
S103:基于用户自定义向量,构建计算矩阵;
S104:计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;
S105:多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;
S106:若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
计算矩阵有多个,每个矩阵均由厂家或用户规则提供。计算结果如何被视为命中由厂家或用户规则提供。
计算结果为布尔值时,将用户规则指定的标签作为元数据附加到原始数据上。最终计算结果为字符串时,将字符串作为元数据附加到原始数据上。最终计算结果为数值时,将数值作为元数据附加到原始数据上。最终计算结果为向量时,将向量作为多个元数据附加到数据上。最终计算结果为矩阵时,将矩阵整体作为每个原始数据的多个元数据分别附加到数据上。
以最终结果为布尔值为例,若布尔值为True,则为命中,即当前构建的场景下存在用户定义事件,如:
Figure GDA0003073290900000041
S107:对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
所述的方法中,还包括,若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建。用户可以选择在发现可疑事件时的动作,可以在发现可疑事件时,对原始数据进行新的用户自定义标签标注,而用户自定义标签标注也可以参与下一轮场景构建工作。
所述的方法中,所述计算矩阵的元素包括算子、函数、数值。所述计算矩阵的每一行,是一条元数据。每一列是元数据的一个项;所述计算矩阵的行向量与列向量可以互换。
所述的方法中,所述原始数据至少为一条。
所述的方法中,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。上述标签类型主要为网络传输中可能出现的标签类型,但标签是依赖于元数据类型的,因此文件的标签和流量的标签也是不同的。如文件标签可以为文件类型等,流量的标签可以为源IP、目的IP等。
本发明还提出一种基于向量标签的场景化检测系统,如图2所示,包括:
场景构建模块201,用于选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
向量计算模块202,用于基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
标注模块203,用于若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建;若用户选择标注,此模块负责维护元数据与用户自定义标注的对应关系;可以应用于私有APT事件的标注,可维护对应元数据作为控制指示器(IoC)或检测指示器(IoD),指示该事件表明网内正遭遇何种定向攻击,及当前处于该攻击的何种阶段;
告警模块204,用于对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
所述的系统中,所述计算矩阵的元素包括算子、函数、数值。
所述的系统中,所述原始数据至少为一条。
所述的系统中,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。
本发明提出一种基于向量标签的场景化检测方法及系统,通过选择标签,构建传输场景,筛选出元数据;基于构建的传输场景,对筛选出的元数据构建稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算稀疏矩阵与计算矩阵的乘积;多次应用计算矩阵进行乘积计算,得到最终结果;若元数据对应的结果为命中,则当前构建的场景下存在可疑事件;对可疑事件元数据对应的原始数据发出告警,并呈现告警信息。通过本发明的方法及系统,能够形成用于私有化的检测能力。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (10)

1.一种基于向量标签的场景化检测方法,其特征在于,包括:
选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;
基于用户自定义向量,构建计算矩阵;
计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;
多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;
若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
2.如权利要求1所述的方法,其特征在于,还包括,若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建。
3.如权利要求1或2所述的方法,其特征在于,所述计算矩阵的元素包括算子、函数、数值。
4.如权利要求1或2所述的方法,其特征在于,所述原始数据至少为一条。
5.如权利要求1或2所述的方法,其特征在于,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。
6.一种基于向量标签的场景化检测系统,其特征在于,包括:
场景构建模块,用于选择标签,构建传输场景,根据构建的传输场景筛选原始数据,并从所述原始数据中提取元数据;所述元数据中包含能标识原始数据特点的元素;
向量计算模块,用于基于构建的传输场景,对筛选出的元数据构建元数据稀疏矩阵;基于用户自定义向量,构建计算矩阵;计算元数据稀疏矩阵与计算矩阵的差乘,即为每个元数据应用计算矩阵的表达式;多次应用计算矩阵进行差乘计算,得到最终结果,所述最终结果为布尔值、字符串、数值、向量或矩阵;若元数据对应的最终结果为命中,则当前构建的场景下存在用户定义事件;
告警模块,用于对用户定义事件的元数据对应的原始数据发出告警,并呈现告警信息。
7.如权利要求6所述的系统,其特征在于,还包括,标注模块,用于若用户自定义事件中存在可疑事件,则对所述可疑事件对应的原始数据定义新的标签,且所述新的标签可用于后续传输场景构建。
8.如权利要求6或7所述的系统,其特征在于,所述计算矩阵的元素包括算子、函数、数值。
9.如权利要求6或7所述的系统,其特征在于,所述原始数据至少为一条。
10.如权利要求6或7所述的系统,其特征在于,所述标签至少包括通讯方式、传输方式、传输文件类别及文件类型。
CN201710010458.9A 2017-01-06 2017-01-06 一种基于向量标签的场景化检测方法及系统 Active CN108416211B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710010458.9A CN108416211B (zh) 2017-01-06 2017-01-06 一种基于向量标签的场景化检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710010458.9A CN108416211B (zh) 2017-01-06 2017-01-06 一种基于向量标签的场景化检测方法及系统

Publications (2)

Publication Number Publication Date
CN108416211A CN108416211A (zh) 2018-08-17
CN108416211B true CN108416211B (zh) 2021-08-31

Family

ID=63124758

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710010458.9A Active CN108416211B (zh) 2017-01-06 2017-01-06 一种基于向量标签的场景化检测方法及系统

Country Status (1)

Country Link
CN (1) CN108416211B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102025705A (zh) * 2009-09-18 2011-04-20 中国移动通信集团公司 用于ims系统的漏洞挖掘方法和系统
CN104243408A (zh) * 2013-06-14 2014-12-24 中国移动通信集团公司 域名解析服务dns系统中监控报文的方法、装置及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150215329A1 (en) * 2012-07-31 2015-07-30 Anurag Singla Pattern Consolidation To Identify Malicious Activity

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102025705A (zh) * 2009-09-18 2011-04-20 中国移动通信集团公司 用于ims系统的漏洞挖掘方法和系统
CN104243408A (zh) * 2013-06-14 2014-12-24 中国移动通信集团公司 域名解析服务dns系统中监控报文的方法、装置及系统

Also Published As

Publication number Publication date
CN108416211A (zh) 2018-08-17

Similar Documents

Publication Publication Date Title
US11030311B1 (en) Detecting and protecting against computing breaches based on lateral movement of a computer file within an enterprise
EP3152869B1 (en) Real-time model of states of monitored devices
US10121000B1 (en) System and method to detect premium attacks on electronic networks and electronic devices
Bhavsar et al. Intrusion detection system using data mining technique: Support vector machine
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
CN107749859B (zh) 一种面向网络加密流量的恶意移动应用检测方法
US20170054745A1 (en) Method and device for processing network threat
CN113315742B (zh) 攻击行为检测方法、装置及攻击检测设备
US10484408B2 (en) Malicious communication pattern extraction apparatus, malicious communication pattern extraction method, and malicious communication pattern extraction program
CN109155774A (zh) 用于检测安全威胁的系统和方法
US8014310B2 (en) Apparatus and method for visualizing network situation using security cube
EP3261012A1 (en) System and method for protecting computers from unauthorized remote administration
WO2018027226A1 (en) Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
CN110149318B (zh) 邮件元数据的处理方法及装置、存储介质、电子装置
Rupa Devi et al. A review on network intrusion detection system using machine learning
US10454959B2 (en) Importance-level calculation device, output device, and recording medium in which computer program is stored
Haruta et al. A novel visual similarity-based phishing detection scheme using hue information with auto updating database
CN108416211B (zh) 一种基于向量标签的场景化检测方法及系统
US10187404B2 (en) System and method for detecting attacks on mobile ad hoc networks based on network flux
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
Kalamaras et al. A multi-objective clustering approach for the detection of abnormal behaviors in mobile networks
CN108429714B (zh) 一种基于向量标注的针对安全对象的画像方法及系统
KR20190070583A (ko) 사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치
KR102155240B1 (ko) 디지털 포렌식 데이터 복호화 장치
Yüksel et al. Towards useful anomaly detection for back office networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 506 room 162, Hongqi Avenue, Nangang District, Harbin Development Zone, Heilongjiang, 150090

Applicant before: Harbin Antiy Technology Co., Ltd.

CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

GR01 Patent grant
GR01 Patent grant