CN110213094A - 一种威胁活动拓扑图的建立方法、装置及存储设备 - Google Patents
一种威胁活动拓扑图的建立方法、装置及存储设备 Download PDFInfo
- Publication number
- CN110213094A CN110213094A CN201910458644.8A CN201910458644A CN110213094A CN 110213094 A CN110213094 A CN 110213094A CN 201910458644 A CN201910458644 A CN 201910458644A CN 110213094 A CN110213094 A CN 110213094A
- Authority
- CN
- China
- Prior art keywords
- threat
- activity
- stage
- active
- movable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开一种威胁活动拓扑图的建立方法、装置及存储设备,用以解决现有技术对网络空间威胁活动的分析停留在基于网络资产和影响范围的模糊评估,无法准确还原攻击者威胁活动过程的问题。该方法包括:基于网络空间威胁框架,对目标威胁活动进行阶段归类;结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
Description
技术领域
本发明实施例涉及网络安全领域,尤其涉及一种威胁活动拓扑图的建立方法、装置及存储设备。
背景技术
现有技术对网络空间威胁活动的分析是在基于网络资产和影响范围的基础上进行模糊评估,并未结合威胁活动的上下文分析,也未从威胁活动的目的和攻击者的方法去分析。因此现有的威胁活动分析,没有从攻击者的角度出发,无从得知该目标威胁为什么存在,目标威胁存在的前提条件是什么,攻击者实施攻击的方法又是什么。
发明内容
基于上述存在的问题,本发明实施例提供一种威胁活动拓扑图的建立方法、装置及存储设备,用以解决现有技术对网络空间威胁活动的分析停留在基于网络资产和影响范围的模糊评估,无法准确还原攻击者威胁活动过程的问题。
本发明实施例公开一种威胁活动拓扑图的建立方法,包括:
基于网络空间威胁框架,对目标威胁活动进行阶段归类;结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
进一步地,结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动,具体为:基于网络空间威胁框架,计算目标威胁活动的发生概率;结合威胁活动关系的关系系数,计算出所述目标威胁活动所处阶段的前和/或后一阶段的相关威胁活动发生的条件概率,其中,每一阶段包含多个可能发生的相关威胁活动,对每一阶段的相关威胁活动发生的条件概率进行排序;进一步计算所述目标威胁活动所处阶段前和/或后各个阶段中每一阶段的每一相关威胁活动发生的条件概率,并对每一阶段的相关威胁活动发生的条件概率进行排序;推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动。
进一步地,建立所述目标威胁活动与所述相关威胁活动的顺序关联关系,具体为:根据推理出的所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动以及相关威胁活动发生的条件概率的排序建立条件概率矩阵图;根据条件概率矩阵图建立所述目标威胁活动与所述相关威胁活动的顺序关联关系。
进一步地,根据所述拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图,具体为:评估网络资产影响范围,评估值记为P;根据所述拓扑图评估每个完整威胁活动对网络资产的影响范围,评估值记为Py,其中,y表示该完整威胁活动拓扑图对应的序号;计算min{|Py-P|},最小值对应的y值,即确定为所述目标威胁活动的完整威胁活动拓扑图。
本发明实施例公开一种威胁活动拓扑图的建立装置,包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
基于网络空间威胁框架,对目标威胁活动进行阶段归类;结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动,具体为:基于网络空间威胁框架,计算目标威胁活动的发生概率;结合威胁活动关系的关系系数,计算出所述目标威胁活动所处阶段的前和/或后一阶段的相关威胁活动发生的条件概率,其中,每一阶段包含多个可能发生的相关威胁活动,对每一阶段的相关威胁活动发生的条件概率进行排序;进一步计算所述目标威胁活动所处阶段前和/或后各个阶段中每一阶段的每一相关威胁活动发生的条件概率,并对每一阶段的相关威胁活动发生的条件概率进行排序;推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
建立所述目标威胁活动与所述相关威胁活动的顺序关联关系,具体为:根据推理出的所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动以及相关威胁活动发生的条件概率的排序建立条件概率矩阵图;根据条件概率矩阵图建立所述目标威胁活动与所述相关威胁活动的顺序关联关系。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
根据所述拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图,具体为:评估网络资产影响范围,评估值记为P;根据所述拓扑图评估每个完整威胁活动对网络资产的影响范围,评估值记为Py,其中,y表示该完整威胁活动拓扑图对应的序号;计算min{|Py-P|},最小值对应的y值,即确定为所述目标威胁活动的完整威胁活动拓扑图。
本发明实施例同时公开一种威胁活动拓扑图的建立装置,包括:
阶段归类模块:基于网络空间威胁框架,对目标威胁活动进行阶段归类;
相关威胁活动推理模块:结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;
顺序关联关系建立模块:建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;
拓扑图建立模块:根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;
拓扑图确定模块:根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
本发明实施例提供了一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的威胁活动拓扑图的建立方法步骤。
与现有技术相比,本发明实施例提供的一种威胁活动拓扑图的建立方法、装置及存储设备,至少实现了如下的有益效果:
基于网络空间威胁框架,对目标威胁活动进行阶段归类;结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。本发明实施例提供的方法是在网络空间威胁框架的基础上,对网络空间中产生的威胁活动进行前后阶段相关威胁活动分析,构建出目标威胁活动的拓扑图,可以准确还原攻击者威胁活动过程。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的威胁活动拓扑图的建立方法流程图;
图2为本发明实施例提供的又一威胁活动拓扑图的建立方法流程图;
图3为本发明实施例提供的威胁活动拓扑图的建立装置结构图;
图4为本发明实施例提供的又一威胁活动拓扑图的建立装置结构图。
具体实施方式
为了使本发明的目的,技术方案和优点更加清楚,下面结合附图,对本发明实施例提供的威胁活动拓扑图的建立方法的具体实施方式进行详细地说明。应当理解,下面所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
网络空间威胁框架:是美国国家安全局/网空安全产品与共享部门(NSA/CSS)制定的,它将攻击者的攻击步骤分为管理、准备、交互、存在、影响和持续进程这六个阶段,每个阶段包含需要达到的目标活动,每个目标活动又包含攻击者的具体行动,并对这些具体行动做了一个比较专业通用的分类和描述,以便于对网络威胁活动进行一致描述分类、趋势分析或识别网络对手的活动变化。
基于此,本发明实施例提供了一种威胁活动拓扑图的建立方法流程图,如图1所示,包括:
步骤11,基于网络空间威胁框架,对目标威胁活动进行阶段归类;
根据目标威胁活动所处的环境,网络资产运行的状态以及目标威胁活动的影响范围,对目标威胁活动进行阶段归类。
步骤12,结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;
步骤13,建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;
步骤14,根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;
步骤15,根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
本发明实施例中的威胁活动拓扑图是根据网络空间威胁框架建立的,它表达了一条完整的威胁活动路径,包括威胁活动每一个阶段的目标、行为、方法的威胁元素信息。
本发明实施例提供的方法是在网络空间威胁框架的基础上,对网络空间中产生的威胁活动进行前后阶段相关威胁活动分析,构建出目标威胁活动的拓扑图,可以准确还原攻击者威胁活动过程。
本发明实施例提供的又一威胁活动拓扑图的建立方法流程图,如图2所示,包括:
步骤201,基于网络空间威胁框架,对目标威胁活动进行阶段归类;
步骤202,计算目标威胁活动的发生概率;
基于网络空间威胁框架,对目标威胁活动以x(阶段,目标,行为,方法)为单位作为独立事件进行概率计算,得到独立事件x(阶段,目标,行为,方法)的发生概率,记为:P x(阶段,目标,行为,方法),计算公式:Px(阶段,目标,行为,方法)=n(x(阶段,目标,行为,方法))/n(s),其中:n表示数量,s表示样本空间,该样本空间基于网络空间威胁框架及历史数据建立,历史数据中包含历史威胁活动的阶段、目标、行为以及方法等数据元素。
步骤203,结合威胁活动关系的关系系数,计算出所述目标威胁活动所处阶段的前和/或后一阶段的相关威胁活动发生的条件概率;
威胁活动关系的关系系数是根据情报知识库以及领域专家经验给出的一个值,值域为[0,1],其中情报知识库根据历史威胁事件分析总结而成;
计算出所述目标威胁活动所处阶段的前和/或后一阶段的相关威胁活动发生的条件概率,记为:P(Xi-1|Xi)和P(Xi+1|Xi)。其中Xi表示目标威胁活动X所处的第i阶段,Xi-1表示处于第i-1阶段的相关威胁活动对应的i-1阶段,Xi+1表示处于第i+1阶段的相关威胁活动对应的i+1阶段;条件概率计算公式:P(Xi-1|Xi)=P(Xi-1Xi)/P(Xi),其中P(Xi-1Xi)为威胁活动关系的关系系数。
步骤204,对所述目标威胁活动所处阶段的前一阶段的相关威胁活动发生的条件概率进行排序,和/或后一阶段的相关威胁活动发生的条件概率进行排序;
对条件概率进行排序,其条件概率越大的则其可能是目标威胁活动的前/后阶段的相关威胁活动的概率就越大。
步骤205,计算所述目标威胁活动所处阶段前和/或后各个阶段中每一阶段的每一相关威胁活动发生的条件概率,并对每一阶段的相关威胁活动发生的条件概率进行排序;
将目标威胁活动所处阶段的前和/或后一阶段的相关威胁活动当作目标威胁活动,重复步骤202至步骤204,直到认为可以完成一条连续可达的完整威胁活动拓扑图为止。
步骤206,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;
步骤207,建立条件概率矩阵图,根据条件概率矩阵图建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;
步骤208,根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;
步骤209,根据所述拓扑图评估每个完整威胁活动的影响范围;
根据所述拓扑图评估每个完整威胁活动对网络资产的影响范围,评估值记为Py,其中,y表示该完整威胁活动拓扑图对应的序号;
步骤210,评估网络资产影响范围;
将实际网络资产影响范围评估值记为P;
步骤211,计算评估值间的差值,确定所述目标威胁活动的完整威胁活动拓扑图;
计算min{|Py-P|},最小值对应的y值,即确定目标威胁活动的完整威胁活动拓扑图。
本发明实施例通过建立包含威胁活动相关阶段、目标、行为、方法等威胁元素的威胁活动条件概率矩阵图,在威胁活动之间建立关系,可挖掘出相关威胁活动的多种可能性;且利用多种可能性的威胁活动过程,与实际的网络资产影响对比分析,使得建立的威胁活动拓扑图更加符合实际网络态势环境的要求。
本发明实施例还提供了一种威胁活动拓扑图的建立装置,如图3所示,包括:所述装置包括存储器310和处理器320,所述存储器310用于存储多条指令,所述处理器320用于加载所述存储器310中存储的指令以执行:
基于网络空间威胁框架,对目标威胁活动进行阶段归类;结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
所述处理器320用于加载所述存储器310中存储的指令以执行:
结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动,具体为:基于网络空间威胁框架,计算目标威胁活动的发生概率;结合威胁活动关系的关系系数,计算出所述目标威胁活动所处阶段的前和/或后一阶段的相关威胁活动发生的条件概率,其中,每一阶段包含多个可能发生的相关威胁活动,对每一阶段的相关威胁活动发生的条件概率进行排序;进一步计算所述目标威胁活动所处阶段前和/或后各个阶段中每一阶段的每一相关威胁活动发生的条件概率,并对每一阶段的相关威胁活动发生的条件概率进行排序;推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动。
所述处理器320用于加载所述存储器310中存储的指令以执行:
建立所述目标威胁活动与所述相关威胁活动的顺序关联关系,具体为:根据推理出的所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动以及相关威胁活动发生的条件概率的排序建立条件概率矩阵图;根据条件概率矩阵图建立所述目标威胁活动与所述相关威胁活动的顺序关联关系。
所述处理器320用于加载所述存储器310中存储的指令以执行:
根据所述拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图,具体为:评估网络资产影响范围,评估值记为P;根据所述拓扑图评估每个完整威胁活动对网络资产的影响范围,评估值记为Py,其中,y表示该完整威胁活动拓扑图对应的序号;计算min{|Py-P|},最小值对应的y值,即确定为所述目标威胁活动的完整威胁活动拓扑图。
本发明实施例同时提供了又一种威胁活动拓扑图的建立装置,如图4所示,包括:
阶段归类模块41:基于网络空间威胁框架,对目标威胁活动进行阶段归类;
相关威胁活动推理模块42:结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;
顺序关联关系建立模块43:建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;
拓扑图建立模块44:根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;
拓扑图确定模块45:根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
本发明实施例还提供一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的威胁活动拓扑图的建立方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种威胁活动拓扑图的建立方法,其特征在于:
基于网络空间威胁框架,对目标威胁活动进行阶段归类;
结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;
建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;
根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;
根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
2.如权利要求1所述的方法,其特征在于,结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动,具体为:
基于网络空间威胁框架,计算目标威胁活动的发生概率;
结合威胁活动关系的关系系数,计算出所述目标威胁活动所处阶段的前和/或后一阶段的相关威胁活动发生的条件概率,其中,每一阶段包含多个可能发生的相关威胁活动,对每一阶段的相关威胁活动发生的条件概率进行排序;
进一步计算所述目标威胁活动所处阶段前和/或后各个阶段中每一阶段的每一相关威胁活动发生的条件概率,并对每一阶段的相关威胁活动发生的条件概率进行排序;
推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动。
3.如权利要求2所述的方法,建立所述目标威胁活动与所述相关威胁活动的顺序关联关系,具体为:
根据推理出的所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动以及相关威胁活动发生的条件概率的排序建立条件概率矩阵图;
根据条件概率矩阵图建立所述目标威胁活动与所述相关威胁活动的顺序关联关系。
4.如权利要求1所述的方法,其特征在于,根据所述拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图,具体为:
评估网络资产影响范围,评估值记为P;
根据所述拓扑图评估每个完整威胁活动对网络资产的影响范围,评估值记为Py,其中,y表示该完整威胁活动拓扑图对应的序号;
计算min{|Py-P|},最小值对应的y值,即确定为所述目标威胁活动的完整威胁活动拓扑图。
5.一种威胁活动拓扑图的建立装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
基于网络空间威胁框架,对目标威胁活动进行阶段归类;
结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;
建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;
根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;
根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
6.如权利要求5所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动,具体为:
基于网络空间威胁框架,计算目标威胁活动的发生概率;
结合威胁活动关系的关系系数,计算出所述目标威胁活动所处阶段的前和/或后一阶段的相关威胁活动发生的条件概率,其中,每一阶段包含多个可能发生的相关威胁活动,对每一阶段的相关威胁活动发生的条件概率进行排序;
进一步计算所述目标威胁活动所处阶段前和/或后各个阶段中每一阶段的每一相关威胁活动发生的条件概率,并对每一阶段的相关威胁活动发生的条件概率进行排序;
推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动。
7.如权利要求6所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
建立所述目标威胁活动与所述相关威胁活动的顺序关联关系,具体为:
根据推理出的所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动以及相关威胁活动发生的条件概率的排序建立条件概率矩阵图;
根据条件概率矩阵图建立所述目标威胁活动与所述相关威胁活动的顺序关联关系。
8.如权利要求5所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
根据所述拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图,具体为:
评估网络资产影响范围,评估值记为P;
根据所述拓扑图评估每个完整威胁活动对网络资产的影响范围,评估值记为Py,其中,y表示该完整威胁活动拓扑图对应的序号;
计算min{|Py-P|},最小值对应的y值,即确定为所述目标威胁活动的完整威胁活动拓扑图。
9.一种威胁活动拓扑图的建立装置,其特征在于,包括:
阶段归类模块:基于网络空间威胁框架,对目标威胁活动进行阶段归类;
相关威胁活动推理模块:结合威胁活动关系,推理出所述目标威胁活动所处阶段之前和/或之后各阶段的相关威胁活动;
顺序关联关系建立模块:建立所述目标威胁活动与所述相关威胁活动的顺序关联关系;
拓扑图建立模块:根据所述顺序关联关系,得到多个完整威胁活动的拓扑图;
拓扑图确定模块:根据每一拓扑图评估每个完整威胁活动的影响范围,与实际网络资产影响范围对比,确定所述目标威胁活动的完整威胁活动拓扑图。
10.一种存储设备,其特征在于,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行权1-4任一所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910458644.8A CN110213094B (zh) | 2019-05-29 | 2019-05-29 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910458644.8A CN110213094B (zh) | 2019-05-29 | 2019-05-29 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110213094A true CN110213094A (zh) | 2019-09-06 |
| CN110213094B CN110213094B (zh) | 2021-11-16 |
Family
ID=67789453
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910458644.8A Active CN110213094B (zh) | 2019-05-29 | 2019-05-29 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110213094B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111030837A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种网络环境现状评估方法、装置、电子设备及存储介质 |
| CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090281864A1 (en) * | 2008-05-12 | 2009-11-12 | Abercrombie Robert K | System and method for implementing and monitoring a cyberspace security econometrics system and other complex systems |
| CN102148820A (zh) * | 2011-01-14 | 2011-08-10 | 中国科学技术大学 | 一种基于指对数分析的网络安全态势评估系统和方法 |
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| CN105743877A (zh) * | 2015-11-02 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种网络安全威胁情报处理方法及系统 |
| CN106572122A (zh) * | 2016-12-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于网络行为特征关联分析的主机安全评估方法及系统 |
| CN106777222A (zh) * | 2016-12-26 | 2017-05-31 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
| CN108369541A (zh) * | 2015-11-09 | 2018-08-03 | 西普霍特公司 | 用于安全威胁的威胁风险评分的系统和方法 |
| CN108712436A (zh) * | 2018-05-29 | 2018-10-26 | 北京理工大学 | 一种基于微分流形的网络空间安全度量方法 |
-
2019
- 2019-05-29 CN CN201910458644.8A patent/CN110213094B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090281864A1 (en) * | 2008-05-12 | 2009-11-12 | Abercrombie Robert K | System and method for implementing and monitoring a cyberspace security econometrics system and other complex systems |
| CN102148820A (zh) * | 2011-01-14 | 2011-08-10 | 中国科学技术大学 | 一种基于指对数分析的网络安全态势评估系统和方法 |
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| CN105743877A (zh) * | 2015-11-02 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种网络安全威胁情报处理方法及系统 |
| CN108369541A (zh) * | 2015-11-09 | 2018-08-03 | 西普霍特公司 | 用于安全威胁的威胁风险评分的系统和方法 |
| CN106572122A (zh) * | 2016-12-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于网络行为特征关联分析的主机安全评估方法及系统 |
| CN106777222A (zh) * | 2016-12-26 | 2017-05-31 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
| CN108712436A (zh) * | 2018-05-29 | 2018-10-26 | 北京理工大学 | 一种基于微分流形的网络空间安全度量方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李建华: "网络空间威胁情报感知、共享与分析技术综述", 《网络与信息安全学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111030837A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种网络环境现状评估方法、装置、电子设备及存储介质 |
| CN111030837B (zh) * | 2019-10-28 | 2023-04-18 | 安天科技集团股份有限公司 | 一种网络环境现状评估方法、装置、电子设备及存储介质 |
| CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
| CN113067812B (zh) * | 2021-03-17 | 2023-02-28 | 安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110213094B (zh) | 2021-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110991552B (zh) | 基于联邦学习的孤立森林模型构建和预测方法和装置 | |
| Hu et al. | Automated penetration testing using deep reinforcement learning | |
| Zhuang et al. | Modeling secrecy and deception in a multiple-period attacker–defender signaling game | |
| JP6898562B2 (ja) | 機械学習プログラム、機械学習方法、および機械学習装置 | |
| CN110213094A (zh) | 一种威胁活动拓扑图的建立方法、装置及存储设备 | |
| FR3044438A1 (fr) | Systeme et procede d'aide a la decision | |
| EP3961507A1 (en) | Optimal policy learning and recommendation for distribution task using deep reinforcement learning model | |
| CN110490274A (zh) | 评估交互事件的方法及装置 | |
| CN114840857A (zh) | 基于深度强化学习与多级覆盖策略的智能合约模糊测试方法及系统 | |
| CN111414549A (zh) | 一种针对推荐系统脆弱性的智能通用评估方法和系统 | |
| Andersen et al. | The dreaming variational autoencoder for reinforcement learning environments | |
| Gil et al. | Adversarial risk analysis for urban security resource allocation | |
| CN114021188A (zh) | 一种联邦学习协议交互安全验证方法、装置及电子设备 | |
| Alahakoon et al. | Estimation of the probability of epidemic fade-out from multiple outbreak data | |
| Polich et al. | Interactive dynamic influence diagrams | |
| CN116017476A (zh) | 无线传感器网络覆盖设计方法、装置 | |
| EP4116853B1 (en) | Computer-readable recording medium storing evaluation program, evaluation method, and information processing device | |
| Gupta et al. | FedMUP: Federated learning driven malicious user prediction model for secure data distribution in cloud environments | |
| CN114581086A (zh) | 基于动态时序网络的钓鱼账户检测方法及系统 | |
| CN115619607A (zh) | 基于强化学习的多阶段资源攻防分配方法及系统 | |
| Tomášek et al. | Using one-sided partially observable stochastic games for solving zero-sum security games with sequential attacks | |
| Perry et al. | Computational efficiency in multivariate adversarial risk analysis models | |
| Koutiva et al. | An Agent-Based Modelling approach to assess risk in Cyber-Physical Systems (CPS) | |
| Clancy et al. | Multi-Agent Decision Processes for Space-Based Battle Management, Command & Control Systems | |
| Hernandez et al. | Graphical trust models for agent-based systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838 Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150010 building 7, innovation and entrepreneurship Plaza, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838 Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |