CN110380896B - 基于攻击图的网络安全态势感知系统和方法 - Google Patents

基于攻击图的网络安全态势感知系统和方法 Download PDF

Info

Publication number
CN110380896B
CN110380896B CN201910597739.8A CN201910597739A CN110380896B CN 110380896 B CN110380896 B CN 110380896B CN 201910597739 A CN201910597739 A CN 201910597739A CN 110380896 B CN110380896 B CN 110380896B
Authority
CN
China
Prior art keywords
attack
data
vulnerability
asset
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910597739.8A
Other languages
English (en)
Other versions
CN110380896A (zh
Inventor
洪长山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hubei Yangzhong Jushi Information Technology Co ltd
Original Assignee
Hubei Yangzhong Jushi Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hubei Yangzhong Jushi Information Technology Co ltd filed Critical Hubei Yangzhong Jushi Information Technology Co ltd
Priority to CN201910597739.8A priority Critical patent/CN110380896B/zh
Publication of CN110380896A publication Critical patent/CN110380896A/zh
Application granted granted Critical
Publication of CN110380896B publication Critical patent/CN110380896B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于攻击图的网络安全态势感知模型和方法,该模型包括:数据预处理模块、攻击特征库构建模块、攻击状态识别模块、安全态势评估模块和安全态势预测模块;该方法包括:首先采集不同来源的数据集,预处理后得到资产漏洞威胁数据和资产攻击威胁数据;并利用资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;之后匹配攻击画像,确定当前设备的攻击状态;然后利用资产攻击威胁数据,计算整体网络的安全态势值;最后通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。本发明实现了良好的态势感知效果、以及网络安全态势的评估和预测功能,具有较好的实用性、高效性和扩展性。

Description

基于攻击图的网络安全态势感知系统和方法
技术领域:
本发明涉及计算机网络安全领域,具体涉及一种基于攻击图的网络安全态势感知系统。
背景技术:
随着计算机网络的快速发展,网络攻击事件逐年增多,网络安全问题也成为人们当前关注的焦点,通常都是对网络安全态势进行预测,这样才可以在网络攻击事件发生前掌握网络的安全状态,从而采取相应的防护措施,避免遭受不必要的攻击和损失。
但是,对于网络安全态势的研究,国内起步较晚,大多为网络威胁量化过程和入侵检测过程的研究,只能分析过去或当前的网络安全态势,无法进行网络安全态势的预测;而且有少数的预测模型,也只能适用于特定的标准体系和应用场景,一些安全漏洞库网站公布的漏洞预警信息,由于具有高度的随机性和离散性,普通的态势分析模型只能根据统计方法得到某些属性的分布状况,分析当前的网络安全状态,无法进行有效、合理的态势预测。
发明内容:
针对现有技术中存在的缺陷,本发明的目的在于提供一种基于攻击图的网络安全态势感知系统和方法,通过对网络中多源数据的关联分析,生成攻击状态图,刻画攻击画像,建立攻击特征库,实现了攻击状态识别、网络态势评估和网络态势预测的功能。
为了实现上述目的,本发明采取的技术方案为:
一种基于攻击图的网络安全态势感知系统,包括数据预处理模块、攻击特征库构建模块、攻击状态识别模块、安全态势评估模块和安全态势预测模块,其中:
所述数据预处理模块,用于收集不同来源的数据集,并从中提取出用于网络安全态势感知的主成分信息,然后再经数据关联分析,消除多源数据的冗余性后,挖掘出各数据之间的关联性,从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息,并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据;
所述攻击特征库构建模块,用于对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;
所述攻击状态识别模块,用于将预处理后的数据与攻击特征库中的攻击画像进行匹配,识别当前的攻击模式,再通过与攻击状态图的比对确定当前设备所处的攻击状态;
所述安全态势评估模块,用于根据数据预处理模块得到的资产漏洞威胁数据和资产攻击威胁数据,评估出网络设备在网络中的重要性,计算出网络设备的风险值,并评估整个网络的安全态势;
所述安全态势预测模块,用于通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。
在上述系统中,所述数据预处理模块包含数据采集子模块、数据主成分提取子模块及数据关联分析子模块;
所述数据采集子模块,用于采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集;
其中,漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到;攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问等,可从入侵检测设备、防火墙和交换机的日志信息中获取;资产信息数据是指网络中存在的安全设备和软件的信息,从设备系统对微量数据包的响应信息中获取;
所述数据主成分提取子模块,用于从数据采集子模块采集到的上述三类不同来源的数据集中,提取出对网络安全态势感知有用的主成分数据,以提升算法效率和减小模型计算负担;
其中,需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型;需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者IP、攻击者归属地、受害者IP、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息;需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量;
所述数据关联分析子模块,用于根据数据主成分提取子模块提取到的对网络安全态势感知有用的主成分数据,进行关联分析,得到相应的资产漏洞威胁数据和资产攻击威胁数据;
其中,资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到;资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到。
所述资产漏洞威胁数据,其具体是通过如下方式得到的:先将资产信息数据与漏洞信息数据进行关联,然后针对某一设备类型,统计其一段时间内各类型漏洞爆发的数量,最后根据漏洞的威胁等级计算其威胁程度,得到某一设备类型在一段时间内的漏洞爆发规律,即资产漏洞威胁数据;
所述资产攻击威胁数据,其具体是通过如下方式得到的:先将漏洞信息数据与攻击信息数据进行关联,然后针对某一漏洞类型,统计一段时间内利用该漏洞爆发攻击事件的数量,计算该类型漏洞的攻击爆发率;之后,再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析,得到某一资产类型在一段时间内的攻击爆发规律,即资产攻击威胁数据。
在上述系统中,所述攻击特征库包括攻击状态图和攻击画像;
所述攻击状态图,是攻击者实施攻击时所面临的多种系统状态组成的图结构,用于表示一次攻击事件中的多个攻击状态及其之间的相互转换,其每个节点表示一个攻击状态,即设备遭受的攻击行为和所处的安全状态的信息标签集合,每条边表示攻击状态转移的概率;
所述攻击画像,用于刻画一次攻击事件的行为特征。
在上述系统中,所述攻击状态转移概率是通过攻防博弈矩阵计算得到的,每个攻击状态对应一个攻防博弈矩阵,每个攻防博弈矩阵的行表示不同的攻击行为,列表示不同的资产防护状态。
一种基于攻击图的网络安全态势感知方法,具体包括以下步骤:
S1、数据采集:收集不同来源的数据集,并从中提取出用于网络安全态势感知的主成分信息,然后再经数据关联分析,消除多源数据的冗余性后,挖掘出各数据之间的关联性,从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息,并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据;
S2、构建攻击特征库:对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;
S3、攻击状态识别:将预处理后的数据与攻击特征库中的攻击画像进行匹配,识别当前的攻击模式,再通过与攻击状态图的比对确定当前设备所处的攻击状态;
S4、安全态势评估:根据步骤S1中得到的资产攻击威胁数据,获取设备在网络中的重要性Wi,利用风险评估函数Ei=T(Si)计算设备的风险值,并结合设备的重要性Wi,计算整体网络的安全态势值E,E=∑WiEi
S5、安全态势预测:通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。
在上述方法中,步骤S1数据采集具体包括以下步骤:
S101、通过数据采集模块采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集;漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到;攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问等,可从入侵检测设备、防火墙和交换机的日志信息中获取;资产信息数据是指网络中存在的安全设备和软件的信息,从设备系统对微量数据包的响应信息中获取;
S102、通过数据主成分提取模块从步骤S101采集到的上述三类不同来源的数据集中,提取出对网络安全态势感知有用的主成分数据,以提升算法效率和减小模型计算负担;需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型;需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者IP、攻击者归属地、受害者IP、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息;需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量;
S103、通过数据关联分析模块从步骤S102中提取到的对网络安全态势感知有用的主成分数据,进行关联分析,得到相应的资产漏洞威胁数据和资产攻击威胁数据;资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到;资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到;
S104、通过数据关联分析模块将步骤S102中提取到的资产信息数据与漏洞信息数据进行关联,然后针对某一设备类型,统计其一段时间内各类型漏洞爆发的数量,最后根据漏洞的威胁等级计算其威胁程度,得到某一设备类型在一段时间内的漏洞爆发规律,即资产漏洞威胁数据;通过数据关联分析模块将步骤S102中提取到的漏洞信息数据与攻击信息数据进行关联,然后针对某一漏洞类型,统计一段时间内利用该漏洞爆发攻击事件的数量,计算该类型漏洞的攻击爆发率;之后,再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析,得到某一资产类型在一段时间内的攻击爆发规律,即资产攻击威胁数据。
在上述方法中,步骤S2攻击特征库的构建具体包括以下步骤:
S201、攻击状态图的构建,其具体是利用一次攻击事件中的多个攻击状态及其之间的相互转换来形成的;攻击状态图是攻击者实施攻击时所面临的多种系统状态组成的图结构,其中每个节点表示一个攻击状态,即设备遭受的攻击行为和所处的安全状态的信息标签集合,每条边表示攻击状态转移的概率,通过攻防博弈矩阵计算攻击状态图的状态转移概率,每个攻击状态对应一个攻防博弈矩阵,攻防博弈矩阵的行表示不同的攻击行为,列表示不同的资产防护状态;
具体的攻防博弈矩阵的构建为:对于每个攻击状态,列出设备在此状态下所有的防护措施和所有可能的攻击行为,以攻击行为集合为行向量,防护措施集合为列向量,构建此攻击状态的攻防博弈矩阵,矩阵内容为在相应的攻击行为和防护措施的作用下设备遭受攻击的下一个状态,依次为每个攻击状态构建相应的攻防博弈矩阵;
假设当前的攻击状态为Si,可能的攻击事件E={E1,E2,E3,…,Em},可能的防护措施D={D1,D2,D3,…,Dn},则攻防博弈矩阵Qi如下:
Figure GDA0003472715470000061
其中Qkl的攻击状态为Sj,表示当前资产的防御措施为Dk,如果发生攻击事件El,则攻击状态Si会转移到Sj,在所有满足当前防护措施的列中找到攻击状态Sj,统计其所占的比例即为当前状态下Si到Sj的状态转移概率;
S202、攻击画像的刻画,其具体是为了刻画一次攻击事件的行为特征;当步骤S201完成攻击状态图的构建后,提取其关键的攻击属性信息作为刻画这类攻击画像的标签,由于攻击属性信息种类繁多,且需要快速匹配攻击画像,所以通过三级标签结构刻画攻击画像:第一级标签为攻击类型和漏洞利用两种属性,可以快速区分不同类型的网络攻击;第二级标签为攻击平台、攻击者IP、受害者IP和攻击端口四种属性,可将同类型攻击细分不同的攻击对象;第三级标签为攻击行为属性,可以划分同类型攻击的不同变种;从攻击状态图中提取这些可以准确描述一次攻击事件的属性标签,去除冗余信息后,便可将标签集合作为攻击状态图的攻击画像。
在上述方法中,步骤S3攻击状态识别具体包括以下步骤:
S301、攻击画像匹配
提取预处理数据中关于攻击信息的关键词,将关键词分为三级,攻击类型和漏洞利用为第一级,攻击平台和IP端口等信息为第二级,攻击行为等信息为第三级;并将关键词进行树型方式的匹配,计算攻击画像的匹配度,将匹配度最高的攻击画像作为预处理数据的匹配画像,并找到相应的攻击状态图为当前的攻击模式;
S302、攻击状态确定
提取预处理数据中攻击行为和设备状态的关键词,根据攻击画像找到最匹配的攻击状态图,确定与关键词符合的状态节点,即为当前设备的攻击状态。
在上述方法中,步骤S4安全态势评估具体包括以下步骤:
S401、根据设备的资产数据评估设备在网络中的重要性Wi;其评估过程具体包括如下步骤:
1)统计设备在网络中的连接数量和设备中存储的用户隐私数量;
2)根据设备类型和服务影响范围定义设备的功能等级;
3)根据硬件参数定义设备的性能等级,将这些属性值进行累加和标准化,得到设备在网络中的重要性Wi
S402、使用风险评估函数Ei=T(Si),计算设备的风险值Ei
其中,Si为设备当前所处的攻击状态,T为预先设定的风险评估函数,可由攻击状态对应到风险数值
S403、结合步骤S401得到的设备在网络中的重要性Wi,计算整体网络的安全态势值E,计算公式如下:
E=∑WiEi
其中,Wi为设备在网络中的重要性,Ei为设备的风险值。
在上述方法中,步骤S5安全态势预测具体包括以下步骤:
S501、由当前设备所处的攻击状态Si找到其对应的攻防博弈矩阵Qi,并确定当前设备的防护措施D={D1,D2,D3,…,Dk};
S502、统计攻防博弈矩阵Qi中防护措施D所对应的所有可能的攻击状态,计算状态转移概率,将概率最大的攻击状态Sj作为下一个攻击状态的预测值;
S503、利用风险评估函数Ej=T(Sj)计算设备的风险预测值,结合设备的重要性Wi,计算网络的安全态势预测值E′:
E′=∑WiEj
其中,Wi为设备的重要性,Ej为设备的风险预测值。
本发明提供的基于攻击图的网络安全态势感知系统的工作原理为:
首先采集不同来源的数据集,预处理后从中得到相应的资产漏洞威胁数据和资产攻击威胁数据;并利用资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;之后将预处理后的数据与攻击特征库中的攻击画像进行匹配,确定当前设备所处的攻击状态;然后利用资产攻击威胁数据,获取设备在网络中的重要性,利用设备的风险值,并结合设备的重要性,计算整体网络的安全态势值;最后通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。
与现有技术相比,本发明的优点为:利用大量数据采集后构建的攻击特征库,使得攻击特征库中攻击状态图的结构多样化,攻击状态识别结果准确,并且通过三级标签索引的构造,大大提高了攻击状态识别的速度,实现了良好的态势感知效果、以及网络安全态势的评估和预测功能,具有实用性、高效性和扩展性。
附图说明:
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例中基于攻击图的网络安全态势感知系统的流程图;
图2是本发明基于攻击图的网络安全态势感知方法的流程图。
具体实施方式:
为了对本发明的技术特征、目的和效果有更加清楚的理解,现对照附图详细说明本发的具体实施方式。
参阅图1所示,本发明实施例中基于攻击图的网络安全态势感知系统,包括数据预处理模块1、攻击特征库构建模块2、攻击状态识别模块3、安全态势评估模块4和安全态势预测模块5,其中:
数据预处理模块1,用于收集不同来源的数据集,并从中提取出用于网络安全态势感知的主成分信息,然后再经数据关联分析,消除多源数据的冗余性后,挖掘出各数据之间的关联性,从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息,并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据;
攻击特征库构建模块2,用于对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;
攻击状态识别模块3,用于将预处理后的数据与攻击特征库中的攻击画像进行匹配,识别当前的攻击模式,再通过与攻击状态图的比对确定当前设备所处的攻击状态;
安全态势评估模块4,用于根据数据预处理模块1得到的资产漏洞威胁数据和资产攻击威胁数据,评估出网络设备在网络中的重要性,计算出网络设备的风险值,并评估整个网络的安全态势;
安全态势预测模块5,用于通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。
更具体的说,在本发明态势感知系统实施例中数据预处理模块1包含数据采集子模块1.1、数据主成分提取子模块1.2及数据关联分析子模块1.3;
数据采集子模块1.1,用于采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集;
其中,漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到;攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问等,可从入侵检测设备、防火墙和交换机的日志信息中获取;资产信息数据是指网络中存在的安全设备和软件的信息,从设备系统对微量数据包的响应信息中获取;
数据主成分提取子模块1.2,用于从数据采集子模块1.1采集到的上述三类不同来源的数据集中,提取出对网络安全态势感知有用的主成分数据,以提升算法效率和减小模型计算负担;
其中,需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型;需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者IP、攻击者归属地、受害者IP、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息;需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量;
数据关联分析子模块1.3,用于根据数据主成分提取子模块1.2提取到的对网络安全态势感知有用的主成分数据,进行关联分析,得到相应的资产漏洞威胁数据和资产攻击威胁数据;
其中,资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到;资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到;
资产漏洞威胁数据,其具体是通过如下方式得到的:先将资产信息数据与漏洞信息数据进行关联,然后针对某一设备类型,统计其一段时间内各类型漏洞爆发的数量,最后根据漏洞的威胁等级计算其威胁程度,得到某一设备类型在一段时间内的漏洞爆发规律,即资产漏洞威胁数据;
资产攻击威胁数据,其具体是通过如下方式得到的:先将漏洞信息数据与攻击信息数据进行关联,然后针对某一漏洞类型,统计一段时间内利用该漏洞爆发攻击事件的数量,计算该类型漏洞的攻击爆发率;之后,再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析,得到某一资产类型在一段时间内的攻击爆发规律,即资产攻击威胁数据。
更具体的说,在本发明态势感知系统实施例中攻击特征库包括攻击状态图和攻击画像;
攻击状态图,是攻击者实施攻击时所面临的多种系统状态组成的图结构,用于表示一次攻击事件中的多个攻击状态及其之间的相互转换,其每个节点表示一个攻击状态,即设备遭受的攻击行为和所处的安全状态的信息标签集合,每条边表示攻击状态转移的概率;
攻击画像,用于刻画一次攻击事件的行为特征。
更具体的说,在本发明态势感知系统实施例中攻击状态转移概率是通过攻防博弈矩阵计算得到的,每个攻击状态对应一个攻防博弈矩阵,每个攻防博弈矩阵的行表示不同的攻击行为,列表示不同的资产防护状态。
更具体的说,在本发明态势感知系统实施例中,攻击状态识别模块3包括攻击画像匹配和攻击状态确定;
攻击画像匹配,具体是提取预处理数据中关于攻击信息的关键词,并将关键词进行树型方式的匹配,计算攻击画像的匹配度,将匹配度最高的攻击画像作为预处理数据的匹配画像,并找到相应的攻击状态图;
其中,关键词分为三级,攻击类型和漏洞利用为第一级,攻击平台和IP端口等信息为第二级,攻击行为等信息为第三级;
攻击状态确定,具体是提取预处理数据中攻击行为和设备状态的关键词,根据攻击画像匹配子模块找到的最匹配的攻击状态图,确定与关键词符合的状态节点,即为当前设备的攻击状态。
参阅图2所示,本发明实施例提供的一种基于攻击图的网络安全态势感知方法,具体包括以下步骤:
S1、数据采集:收集不同来源的数据集,并从中提取出用于网络安全态势感知的主成分信息,然后再经数据关联分析,消除多源数据的冗余性后,挖掘出各数据之间的关联性,从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息,并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据;
S2、构建攻击特征库:对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;
S3、攻击状态识别:将预处理后的数据与攻击特征库中的攻击画像进行匹配,识别当前的攻击模式,再通过与攻击状态图的比对确定当前设备所处的攻击状态;
S4、安全态势评估:根据步骤S1中得到的资产攻击威胁数据,获取设备在网络中的重要性Wi,利用风险评估函数Ei=T(Si)计算设备的风险值,并结合设备的重要性Wi,计算整体网络的安全态势值E,E=∑WiEi
S5、安全态势预测:通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。
更具体的说,在本发明感知方法实施例中,S1数据采集包含具体包括以下步骤:
S101、通过数据采集模块采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集;漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到;攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问等,可从入侵检测设备、防火墙和交换机的日志信息中获取;资产信息数据是指网络中存在的安全设备和软件的信息,从设备系统对微量数据包的响应信息中获取;
S102、通过数据主成分提取模块从步骤S101采集到的上述三类不同来源的数据集中,提取出对网络安全态势感知有用的主成分数据,以提升算法效率和减小模型计算负担;需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型;需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者IP、攻击者归属地、受害者IP、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息;需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量;
S103、通过数据关联分析模块从步骤S102中提取到的对网络安全态势感知有用的主成分数据,进行关联分析,得到相应的资产漏洞威胁数据和资产攻击威胁数据;资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到;资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到。
S104、通过数据关联分析模块将步骤S102中提取到的资产信息数据与漏洞信息数据进行关联,然后针对某一设备类型,统计其一段时间内各类型漏洞爆发的数量,最后根据漏洞的威胁等级计算其威胁程度,得到某一设备类型在一段时间内的漏洞爆发规律,即资产漏洞威胁数据;通过数据关联分析模块将步骤S102中提取到的漏洞信息数据与攻击信息数据进行关联,然后针对某一漏洞类型,统计一段时间内利用该漏洞爆发攻击事件的数量,计算该类型漏洞的攻击爆发率;之后,再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析,得到某一资产类型在一段时间内的攻击爆发规律,即资产攻击威胁数据。
更具体的说,在本发明态势感知方法实施例中,S2攻击特征库的构建具体包括以下步骤:
S201、攻击状态图的构建,其具体是利用一次攻击事件中的多个攻击状态及其之间的相互转换来形成的;攻击状态图是攻击者实施攻击时所面临的多种系统状态组成的图结构,其中每个节点表示一个攻击状态,即设备遭受的攻击行为和所处的安全状态的信息标签集合,每条边表示攻击状态转移的概率,通过攻防博弈矩阵计算攻击状态图的状态转移概率,每个攻击状态对应一个攻防博弈矩阵,攻防博弈矩阵的行表示不同的攻击行为,列表示不同的资产防护状态;
具体的攻防博弈矩阵的构建为:对于每个攻击状态,列出设备在此状态下所有的防护措施和所有可能的攻击行为,以攻击行为集合为行向量,防护措施集合为列向量,构建此攻击状态的攻防博弈矩阵,矩阵内容为在相应的攻击行为和防护措施的作用下设备遭受攻击的下一个状态,依次为每个攻击状态构建相应的攻防博弈矩阵;
假设当前的攻击状态为Si,可能的攻击事件E={E1,E2,E3,…,Em},可能的防护措施D={D1,D2,D3,…,Dn},则攻防博弈矩阵Qi如下:
Figure GDA0003472715470000131
其中Qkl的攻击状态为Sj,表示当前资产的防御措施为Dk,如果发生攻击事件El,则攻击状态Si会转移到Sj,在所有满足当前防护措施的列中找到攻击状态Sj,统计其所占的比例即为当前状态下Si到Sj的状态转移概率;
S202、攻击画像的刻画,其具体是为了刻画一次攻击事件的行为特征;当步骤S201完成攻击状态图的构建后,提取其关键的攻击属性信息作为刻画这类攻击画像的标签,由于攻击属性信息种类繁多,且需要快速匹配攻击画像,所以通过三级标签结构刻画攻击画像:第一级标签为攻击类型和漏洞利用两种属性,可以快速区分不同类型的网络攻击;第二级标签为攻击平台、攻击者IP、受害者IP和攻击端口四种属性,可将同类型攻击细分不同的攻击对象;第三级标签为攻击行为属性,可以划分同类型攻击的不同变种;从攻击状态图中提取这些可以准确描述一次攻击事件的属性标签,去除冗余信息后,便可将标签集合作为攻击状态图的攻击画像。
更具体的说,在本发明态势感知方法实施例中,S3攻击状态识别具体包括以下步骤:
S301、攻击画像匹配:
提取预处理数据中关于攻击信息的关键词,将关键词分为三级,攻击类型和漏洞利用为第一级,攻击平台和IP端口等信息为第二级,攻击行为等信息为第三级;并将关键词进行树型方式的匹配,计算攻击画像的匹配度,将匹配度最高的攻击画像作为预处理数据的匹配画像,并找到相应的攻击状态图为当前的攻击模式;
S302、攻击状态确定:
提取预处理数据中攻击行为和设备状态的关键词,根据攻击画像匹配子模块找到的最匹配的攻击状态图,确定与关键词符合的状态节点,即为当前设备的攻击状态。
更具体的说,在本发明态势感知方法实施例中,S4安全态势评估具体包括以下步骤:
S401、根据设备的资产数据评估设备在网络中的重要性Wi;其评估过程具体包括如下步骤:
1)统计设备在网络中的连接数量和设备中存储的用户隐私数量;
2)根据设备类型和服务影响范围定义设备的功能等级;
3)根据硬件参数定义设备的性能等级,将这些属性值进行累加和标准化,得到设备在网络中的重要性Wi
S402、使用风险评估函数Ei=T(Si),计算设备的风险值Ei
其中,其中Si为设备当前所处的攻击状态,T为预先设定的风险评估函数,可由攻击状态对应到风险数值
S403、结合步骤S401得到的设备在网络中的重要性Wi,计算整体网络的安全态势值E,计算公式如下:
E=∑WiEi
其中,Wi为设备在网络中的重要性,Ei为设备的风险值。
更具体的说,在本发明态势感知方法实施例中,S5安全态势预测具体包括以下步骤:
S501、由当前设备所处的攻击状态Si找到其对应的攻防博弈矩阵Qi,并确定当前设备的防护措施D={D1,D2,D3,…,Dk};
S502、统计攻防博弈矩阵Qi中防护措施D所对应的所有可能的攻击状态,计算状态转移概率,将概率最大的攻击状态Sj作为下一个攻击状态的预测值;
S503、利用风险评估函数Ej=T(Sj)计算设备的风险预测值,结合设备的重要性Wi,计算网络的安全态势预测值E′:
E′=∑WiEj
其中,Wi为设备的重要性,Ej为设备的风险预测值。
本发明提供的基于攻击图的网络安全态势感知系统的工作原理为:首先采集不同来源的数据集,预处理后从中得到相应的资产漏洞威胁数据和资产攻击威胁数据;并利用资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;之后将预处理后的数据与攻击特征库中的攻击画像进行匹配,确定当前设备所处的攻击状态;然后利用资产攻击威胁数据,获取设备在网络中的重要性,利用设备的风险值,并结合设备的重要性,计算整体网络的安全态势值;最后通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (10)

1.基于攻击图的网络安全态势感知系统,其特征在于:包括数据预处理模块(1)、攻击特征库构建模块(2)、攻击状态识别模块(3)、安全态势评估模块(4)和安全态势预测模块(5),其中:
所述数据预处理模块(1),用于收集不同来源的数据集,并从中提取出用于网络安全态势感知的主成分信息,然后再经数据关联分析,消除多源数据的冗余性后,挖掘出各数据之间的关联性,从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息,并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据;
其中,资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到;资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到;
所述资产漏洞威胁数据,其具体是通过如下方式得到的:先将资产信息数据与漏洞信息数据进行关联,然后针对某一设备类型,统计其一段时间内各类型漏洞爆发的数量,最后根据漏洞的威胁等级计算其威胁程度,得到某一设备类型在一段时间内的漏洞爆发规律,即资产漏洞威胁数据;
所述资产攻击威胁数据,其具体是通过如下方式得到的:先将漏洞信息数据与攻击信息数据进行关联,然后针对某一漏洞类型,统计一段时间内利用该漏洞爆发攻击事件的数量,计算该类型漏洞的攻击爆发率;之后,再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析,得到某一资产类型在一段时间内的攻击爆发规律,即资产攻击威胁数据;
所述攻击特征库构建模块(2),用于对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;
所述攻击状态识别模块(3),用于将预处理后的数据与攻击特征库中的攻击画像进行匹配,识别当前的攻击模式,再通过与攻击状态图的比对确定当前设备所处的攻击状态;
所述安全态势评估模块(4),用于根据数据预处理模块(1)得到的资产漏洞威胁数据和资产攻击威胁数据,评估出网络设备在网络中的重要性,计算出网络设备的风险值,并评估整个网络的安全态势;
所述安全态势预测模块(5),用于通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。
2.如权利要求1所述的基于攻击图的网络安全态势感知系统,其特征在于:所述数据预处理模块(1)包含数据采集子模块(1.1)、数据主成分提取子模块(1.2)及数据关联分析子模块(1.3);
所述数据采集子模块(1.1),用于采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集;
其中,漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到;攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问,可从入侵检测设备、防火墙和交换机的日志信息中获取;资产信息数据是指网络中存在的安全设备和软件的信息,从设备系统对微量数据包的响应信息中获取;
所述数据主成分提取子模块(1.2),用于从数据采集子模块(1.1)采集到的上述三类不同来源的数据集中,提取出对网络安全态势感知有用的主成分数据,以提升算法效率和减小模型计算负担;
其中,需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型;需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者IP、攻击者归属地、受害者IP、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息;需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量;
所述数据关联分析子模块(1.3),用于根据数据主成分提取子模块(1.2)提取到的对网络安全态势感知有用的主成分数据,进行关联分析,得到相应的资产漏洞威胁数据和资产攻击威胁数据。
3.如权利要求1所述的基于攻击图的网络安全态势感知系统,其特征在于:
所述攻击特征库包括攻击状态图和攻击画像;
所述攻击状态图,是攻击者实施攻击时所面临的多种系统状态组成的图结构,用于表示一次攻击事件中的多个攻击状态及其之间的相互转换,其每个节点表示一个攻击状态,即设备遭受的攻击行为和所处的安全状态的信息标签集合,每条边表示攻击状态转移的概率;
所述攻击画像,用于刻画一次攻击事件的行为特征。
4.如权利要求3所述的基于攻击图的网络安全态势感知系统,其特征在于:
所述攻击状态转移概率是通过攻防博弈矩阵计算得到的,每个攻击状态对应一个攻防博弈矩阵,每个攻防博弈矩阵的行表示不同的攻击行为,列表示不同的资产防护状态。
5.基于攻击图的网络安全态势感知方法,其特征在于:具体包括以下步骤:
S1、数据采集:收集不同来源的数据集,并从中提取出用于网络安全态势感知的主成分信息,然后再经数据关联分析,消除多源数据的冗余性后,挖掘出各数据之间的关联性,从而得到用于网络安全态势计算所需的漏洞信息、攻击信息和资产信息,并从中得到相应的资产漏洞威胁数据和资产攻击威胁数据;
资产漏洞威胁数据是通过资产信息数据与漏洞信息数据进行关联分析得到;资产攻击威胁数据是通过漏洞信息数据与攻击信息数据进行关联分析得到;
S2、构建攻击特征库:对关联分析产生的资产攻击威胁数据和攻击信息的主成分数据进一步分析和训练,建立攻击特征库;
S3、攻击状态识别:将预处理后的数据与攻击特征库中的攻击画像进行匹配,识别当前的攻击模式,再通过与攻击状态图的比对确定当前设备所处的攻击状态;
S4、安全态势评估:根据步骤S1中得到的资产攻击威胁数据,获取设备在网络中的重要性Wi,利用风险评估函数Ei=T(Si)计算设备的风险值,并结合设备的重要性Wi,计算整体网络的安全态势值E,E=∑WiEi
S5、安全态势预测:通过攻击状态图的攻防博弈矩阵预测下一个攻击状态,进而实现网络安全态势的预测。
6.如权利要求5所述的基于攻击图的网络安全态势感知方法,其特征在于,步骤S1数据采集具体包括以下步骤:
S101、通过数据采集模块采集包含漏洞信息数据、攻击信息数据和资产信息数据的这三类不同来源的数据集;漏洞信息数据是通过爬虫的方式从一些知名安全漏洞库网站发布的针对网络通信设备的漏洞预警公告中得到;攻击信息数据是指一些发生在网络通信时的攻击事件、威胁情报和风险访问,可从入侵检测设备、防火墙和交换机的日志信息中获取;资产信息数据是指网络中存在的安全设备和软件的信息,从设备系统对微量数据包的响应信息中获取;
S102、通过数据主成分提取模块从步骤S101采集到的上述三类不同来源的数据集中,提取出对网络安全态势感知有用的主成分数据,以提升算法效率和减小模型计算负担;需要从漏洞信息数据中提取出的对网络安全态势感知有用的主成分数据包含漏洞的名称、类型、发布时间、影响设备、威胁等级以及该漏洞引发的攻击类型;需要从攻击信息数据中提取出的对网络安全态势感知有用的主成分数据包含攻击者IP、攻击者归属地、受害者IP、受害者归属地、受攻击平台、攻击端口、攻击类型、攻击时间、攻击行为和漏洞利用信息;需要从资产信息数据中提取出的对网络安全态势感知有用的主成分数据包含设备类型、硬件参数、设备连接数和其中的用户隐私数据量;
S103、通过数据关联分析模块从步骤S102中提取到的对网络安全态势感知有用的主成分数据,进行关联分析,得到相应的资产漏洞威胁数据和资产攻击威胁数据;
S104、通过数据关联分析模块将步骤S102中提取到的资产信息数据与漏洞信息数据进行关联,然后针对某一设备类型,统计其一段时间内各类型漏洞爆发的数量,最后根据漏洞的威胁等级计算其威胁程度,得到某一设备类型在一段时间内的漏洞爆发规律,即资产漏洞威胁数据;通过数据关联分析模块将步骤S102中提取到的漏洞信息数据与攻击信息数据进行关联,然后针对某一漏洞类型,统计一段时间内利用该漏洞爆发攻击事件的数量,计算该类型漏洞的攻击爆发率;之后,再将得到的资产漏洞威胁数据与漏洞的攻击爆发率进行关联分析,得到某一资产类型在一段时间内的攻击爆发规律,即资产攻击威胁数据。
7.如权利要求5所述的基于攻击图的网络安全态势感知方法,其特征在于,步骤S2攻击特征库的构建具体包括以下步骤:
S201、攻击状态图的构建,其具体是利用一次攻击事件中的多个攻击状态及其之间的相互转换来形成的;攻击状态图是攻击者实施攻击时所面临的多种系统状态组成的图结构,其中每个节点表示一个攻击状态,即设备遭受的攻击行为和所处的安全状态的信息标签集合,每条边表示攻击状态转移的概率,通过攻防博弈矩阵计算攻击状态图的状态转移概率,每个攻击状态对应一个攻防博弈矩阵,攻防博弈矩阵的行表示不同的攻击行为,列表示不同的资产防护状态;
具体的攻防博弈矩阵的构建为:对于每个攻击状态,列出设备在此状态下所有的防护措施和所有可能的攻击行为,以攻击行为集合为行向量,防护措施集合为列向量,构建此攻击状态的攻防博弈矩阵,矩阵内容为在相应的攻击行为和防护措施的作用下设备遭受攻击的下一个状态,依次为每个攻击状态构建相应的攻防博弈矩阵;
假设当前的攻击状态为Si,可能的攻击事件E={E1,E2,E3,…,Em},可能的防护措施D={D1,D2,D3,…,Dn},则攻防博弈矩阵Qi如下:
Figure FDA0003472715460000051
其中Qkl的攻击状态为Sj,表示当前资产的防御措施为Dk,如果发生攻击事件El,则攻击状态Si会转移到Sj,在所有满足当前防护措施的列中找到攻击状态Sj,统计其所占的比例即为当前状态下Si到Sj的状态转移概率;
S202、攻击画像的刻画,其具体是为了刻画一次攻击事件的行为特征;当步骤S201完成攻击状态图的构建后,提取其关键的攻击属性信息作为刻画这类攻击画像的标签,由于攻击属性信息种类繁多,且需要快速匹配攻击画像,所以通过三级标签结构刻画攻击画像:第一级标签为攻击类型和漏洞利用两种属性,可以快速区分不同类型的网络攻击;第二级标签为攻击平台、攻击者IP、受害者IP和攻击端口四种属性,可将同类型攻击细分不同的攻击对象;第三级标签为攻击行为属性,可以划分同类型攻击的不同变种;从攻击状态图中提取这些可以准确描述一次攻击事件的属性标签,去除冗余信息后,便可将标签集合作为攻击状态图的攻击画像。
8.如权利要求5所述的基于攻击图的网络安全态势感知方法,其特征在于,步骤S3攻击状态识别具体包括以下步骤:
S301、攻击画像匹配
提取预处理数据中关于攻击信息的关键词,将关键词分为三级,攻击类型和漏洞利用为第一级,攻击平台和IP端口信息为第二级,攻击行为信息为第三级;并将关键词进行树型方式的匹配,计算攻击画像的匹配度,将匹配度最高的攻击画像作为预处理数据的匹配画像,并找到相应的攻击状态图为当前的攻击模式;
S302、攻击状态确定
提取预处理数据中攻击行为和设备状态的关键词,根据攻击画像找到最匹配的攻击状态图,确定与关键词符合的状态节点,即为当前设备的攻击状态。
9.如权利要求5所述的基于攻击图的网络安全态势感知方法,其特征在于,步骤S4安全态势评估具体包括以下步骤:
S401、根据设备的资产数据评估设备在网络中的重要性Wi;其评估过程具体包括如下步骤:
1)统计设备在网络中的连接数量和设备中存储的用户隐私数量;
2)根据设备类型和服务影响范围定义设备的功能等级;
3)根据硬件参数定义设备的性能等级,将这些属性值进行累加和标准化,得到设备在网络中的重要性Wi
S402、使用风险评估函数Ei=T(Si),计算设备的风险值Ei
其中,Si为设备当前所处的攻击状态,T为预先设定的风险评估函数,可由攻击状态对应到风险数值;
S403、结合步骤S401得到的设备在网络中的重要性Wi,计算整体网络的安全态势值E,计算公式如下:
E=∑WiEi
其中,Wi为设备在网络中的重要性,Ei为设备的风险值。
10.如权利要求5所述的基于攻击图的网络安全态势感知方法,其特征在于,步骤S5安全态势预测具体包括以下步骤:
S501、由当前设备所处的攻击状态Si找到其对应的攻防博弈矩阵Qi,并确定当前设备的防护措施D={D1,D2,D3,…,Dk};
S502、统计攻防博弈矩阵Qi中防护措施D所对应的所有可能的攻击状态,计算状态转移概率,将概率最大的攻击状态Sj作为下一个攻击状态的预测值;
S503、利用风险评估函数Ej=T(Sj)计算设备的风险预测值,结合设备的重要性Wi,计算网络的安全态势预测值E′:
E′=∑WiEj
其中,Wi为设备的重要性,Ej为设备的风险预测值。
CN201910597739.8A 2019-07-04 2019-07-04 基于攻击图的网络安全态势感知系统和方法 Active CN110380896B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910597739.8A CN110380896B (zh) 2019-07-04 2019-07-04 基于攻击图的网络安全态势感知系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910597739.8A CN110380896B (zh) 2019-07-04 2019-07-04 基于攻击图的网络安全态势感知系统和方法

Publications (2)

Publication Number Publication Date
CN110380896A CN110380896A (zh) 2019-10-25
CN110380896B true CN110380896B (zh) 2022-04-01

Family

ID=68251853

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910597739.8A Active CN110380896B (zh) 2019-07-04 2019-07-04 基于攻击图的网络安全态势感知系统和方法

Country Status (1)

Country Link
CN (1) CN110380896B (zh)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110417772B (zh) * 2019-07-25 2022-08-16 浙江大华技术股份有限公司 攻击行为的分析方法及装置、存储介质、电子装置
CN111885019A (zh) * 2020-07-08 2020-11-03 福建奇点时空数字科技有限公司 一种基于攻防信息对比的网络安全态势要素提取方法
CN111832017B (zh) * 2020-07-17 2023-08-11 中国移动通信集团广西有限公司 一种面向云的数据库安全态势感知系统
CN111917792B (zh) * 2020-08-10 2021-11-26 武汉思普崚技术有限公司 一种流量安全分析挖掘的方法及系统
CN112003840B (zh) * 2020-08-10 2021-11-26 武汉思普崚技术有限公司 一种基于攻击面的漏洞检测方法及系统
CN111935143B (zh) * 2020-08-10 2021-11-26 武汉思普崚技术有限公司 一种攻击防御策略可视化的方法及系统
CN112073389B (zh) * 2020-08-21 2023-01-24 苏州浪潮智能科技有限公司 云主机安全态势感知系统、方法、设备及存储介质
CN111988184B (zh) * 2020-08-31 2023-02-10 湘潭大学 一种基于态势感知的广播风暴检测与处理方法
CN111988339B (zh) * 2020-09-07 2022-03-11 珠海市一知安全科技有限公司 一种基于dikw模型的网络攻击路径发现、提取和关联的方法
CN112165462A (zh) * 2020-09-11 2021-01-01 哈尔滨安天科技集团股份有限公司 基于画像的攻击预测方法、装置、电子设备及存储介质
CN112131249A (zh) * 2020-09-28 2020-12-25 绿盟科技集团股份有限公司 一种攻击意图识别方法及装置
CN112351021B (zh) * 2020-10-30 2023-04-07 杭州安恒信息技术股份有限公司 资产风险探测方法、装置、可读存储介质及计算机设备
CN112637178B (zh) * 2020-12-18 2022-09-20 成都知道创宇信息技术有限公司 攻击相似度计算方法、装置、电子设备和可读存储介质
CN112653582B (zh) * 2020-12-21 2022-03-01 上海交通大学 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法
CN112532652A (zh) * 2020-12-21 2021-03-19 中电福富信息科技有限公司 一种基于多源数据的攻击行为画像装置及方法
CN112637207A (zh) * 2020-12-23 2021-04-09 中国信息安全测评中心 一种网络安全态势预测方法及装置
CN112904817B (zh) * 2021-01-19 2022-08-12 哈尔滨工业大学(威海) 一种面向智能制造生产线的全局安全检测系统及其工作方法
CN113079148B (zh) * 2021-03-25 2023-01-10 恒安嘉新(北京)科技股份公司 一种工业互联网安全监测方法、装置、设备及储存介质
CN113158180B (zh) * 2021-04-06 2023-09-01 中国汽车技术研究中心有限公司 汽车网络安全威胁场景构建方法、装置、设备和可读存储介质
CN113301043B (zh) * 2021-05-24 2021-11-23 珠海市鸿瑞信息技术股份有限公司 基于5g工业物联网网络安全终端
CN113438207B (zh) * 2021-06-03 2022-07-19 张宇翔 一种基于白名单的网络安全防护方法
CN113556360B (zh) * 2021-08-10 2023-04-07 杭州民润科技有限公司 基于多源攻击融合的工业互联网安全动态度量方法、装置及存储介质
CN113783874B (zh) * 2021-09-10 2023-08-29 国网数字科技控股有限公司 基于安全知识图谱的网络安全态势评估方法及系统
CN113938301B (zh) * 2021-10-12 2024-01-30 中国电信股份有限公司 生成针对网络攻击的运维策略的方法、装置及存储介质
CN114189360B (zh) * 2021-11-19 2023-09-29 上海纽盾科技股份有限公司 态势感知的网络漏洞防御方法、装置及系统
CN113824736B (zh) * 2021-11-22 2022-02-25 杭州安恒信息技术股份有限公司 一种资产风险处置方法、装置、设备及存储介质
CN114048487B (zh) * 2021-11-29 2022-06-17 北京永信至诚科技股份有限公司 网络靶场的攻击过程评估方法、装置、存储介质及设备
CN114222293A (zh) * 2021-12-21 2022-03-22 中国电信股份有限公司 网络数据安全防护方法及装置、存储介质、终端设备
CN114615016B (zh) * 2022-02-09 2023-08-01 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
CN114553558B (zh) * 2022-02-24 2024-03-08 新华三信息安全技术有限公司 一种数据处理方法及装置
CN114726601B (zh) * 2022-03-28 2023-06-02 北京计算机技术及应用研究所 一种基于图结构的信息安全仿真建模与验证评估方法
CN115134122B (zh) * 2022-05-30 2024-04-26 上海安锐信科技有限公司 一种基于工业系统网络实体的威胁图谱的构建方法
CN115037632A (zh) * 2022-06-14 2022-09-09 国网安徽省电力有限公司芜湖供电公司 一种网络安全态势感知分析系统
CN115314305A (zh) * 2022-08-10 2022-11-08 重庆电子工程职业学院 一种基于人工智能的网络安全态势感知系统及方法
CN115550077B (zh) * 2022-12-02 2023-06-20 宁波华自智能科技有限公司 一种实时在线检测危险源数据并触发自动防御方法
CN116346502B (zh) * 2023-05-24 2024-03-01 中国电子科技集团公司第十五研究所 基于标签规则的网络攻击组织画像方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106850607A (zh) * 2017-01-20 2017-06-13 北京理工大学 基于攻击图的网络安全态势的量化评估方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8327442B2 (en) * 2002-12-24 2012-12-04 Herz Frederick S M System and method for a distributed application and network security system (SDI-SCAM)
EP1544707A1 (en) * 2003-12-15 2005-06-22 Abb Research Ltd. Network security system
US7523504B2 (en) * 2004-08-02 2009-04-21 Netiq Corporation Methods, systems and computer program products for evaluating security of a network environment
CN105871882B (zh) * 2016-05-10 2019-02-19 国家电网公司 基于网络节点脆弱性和攻击信息的网络安全风险分析方法
CN107623697B (zh) * 2017-10-11 2020-07-14 北京邮电大学 一种基于攻防随机博弈模型的网络安全态势评估方法
CN108494810B (zh) * 2018-06-11 2021-01-26 中国人民解放军战略支援部队信息工程大学 面向攻击的网络安全态势预测方法、装置及系统
CN109117641A (zh) * 2018-08-15 2019-01-01 北京理工大学 一种基于i-hmm的网络安全风险评估方法
CN112165485B (zh) * 2020-09-25 2022-08-09 昆明市网络建设运营有限公司 一种大规模网络安全态势智能预测方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106850607A (zh) * 2017-01-20 2017-06-13 北京理工大学 基于攻击图的网络安全态势的量化评估方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于层次攻击图的网络安全态势感知方法(英文);朱宇辉等;《Journal of Measurement Science and Instrumentation》;20190516(第02期);全文 *
基于攻击预测的网络安全态势量化方法;胡浩等;《通信学报》;20171025(第10期);全文 *

Also Published As

Publication number Publication date
CN110380896A (zh) 2019-10-25

Similar Documents

Publication Publication Date Title
CN110380896B (zh) 基于攻击图的网络安全态势感知系统和方法
CN107623697B (zh) 一种基于攻防随机博弈模型的网络安全态势评估方法
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN111786950B (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
Gogoi et al. MLH-IDS: a multi-level hybrid intrusion detection method
CN107579956B (zh) 一种用户行为的检测方法和装置
CN110493179B (zh) 基于时间序列的网络安全态势感知系统和方法
CN114679338A (zh) 一种基于网络安全态势感知的网络风险评估方法
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
WO2019136850A1 (zh) 风险行为识别方法、存储介质、设备及系统
CN108282460B (zh) 一种面向网络安全事件的证据链生成方法及装置
CN112422537A (zh) 基于蜜罐实战生成的网络攻击知识图谱的行为预测方法
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
Cipriano et al. Nexat: A history-based approach to predict attacker actions
CN106254318A (zh) 一种网络攻击分析方法
Abdulrazaq et al. Combination of multi classification algorithms for intrusion detection system
CN109995722A (zh) 面向apt防护的海量检测数据分析系统
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN114531283A (zh) 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端
Petersen Data mining for network intrusion detection: A comparison of data mining algorithms and an analysis of relevant features for detecting cyber-attacks
CN111709021B (zh) 一种基于海量告警的攻击事件识别方法及电子装置
Riad et al. Visualize network anomaly detection by using k-means clustering algorithm
CN112925805A (zh) 基于网络安全的大数据智能分析应用方法
CN111181969B (zh) 一种基于自发流量的物联网设备识别方法
Tian et al. A transductive scheme based inference techniques for network forensic analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant