CN110417772B - 攻击行为的分析方法及装置、存储介质、电子装置 - Google Patents
攻击行为的分析方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN110417772B CN110417772B CN201910678313.5A CN201910678313A CN110417772B CN 110417772 B CN110417772 B CN 110417772B CN 201910678313 A CN201910678313 A CN 201910678313A CN 110417772 B CN110417772 B CN 110417772B
- Authority
- CN
- China
- Prior art keywords
- target
- attack
- behavior
- attack behavior
- parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Geophysics And Detection Of Objects (AREA)
Abstract
本发明实施例提供了一种攻击行为的分析方法及装置、存储介质、电子装置,所述方法包括:获取第一安全数据,其中,第一安全数据中至少包括:攻击对象和攻击行为;根据攻击对象和所述攻击行为对第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;使用目标对象的目标风险分析模型对目标攻击行为进行分析,得到针对目标攻击行为的分析结果。解决了相关技术中网络安全分析无法对特定目标作出针对性地威胁预测的问题。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种攻击行为的分析方法及装置、存储介质、电子装置。
背景技术
随着网络安全越来越受重视,大部分安全公司开始在自身产品中引入行为分析技术以有效提升安全产品检测异常行为的能力。通过对来自网络设备和终端设备的通信数据进行深度分析和检测来识别潜在的威胁。目前网络安全分析的相关技术中,使用的分析数据一般是通用设备的安全数据,例如防火墙、安全日志等数据,对这些数据进行分析可以获取网络的整体安全状况,但是针对性不强,无法对特定目标作出针对性地威胁预测。
针对相关技术中,网络安全分析无法对特定目标作出针对性地威胁预测的问题,目前尚未有完善的解决办法。
发明内容
本发明实施例提供了一种攻击行为的分析方法及装置、存储介质、电子装置,以至少解决相关技术中网络安全分析无法对特定目标作出针对性地威胁预测的问题。
根据本发明的一个实施例,提供了一种攻击行为的分析方法,包括:获取第一安全数据,其中,所述第一安全数据中至少包括:攻击对象和攻击行为;根据所述攻击对象和所述攻击行为对所述第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;使用所述目标对象的目标风险分析模型对所述目标攻击行为进行分析,得到针对所述目标攻击行为的分析结果。
可选地,使用所述目标对象的目标风险分析模型对所述目标攻击行为进行分析之前,所述方法还包括:建立所述目标风险分析模型,其中,所述目标风险分析模型是以所述目标对象的资产为中心,以模型参数为向量建立的模型,在所述目标风险分析模型中,所述模型参数与所述分析结果的参数之间具有对应关系,所述模型参数至少包括以下之一:所述目标对象在应用环境中存在的攻击面、所述目标对象的资产分布与价值评估、面向所述资产的攻击路径、面向所述资产的攻击矢量,所述分析结果的参数至少包括:所述目标攻击行为发生的概率以及当所述目标攻击行为发生时造成的损失。
可选地,使用所述目标对象的目标风险分析模型对所述目标攻击行为进行分析,得到针对所述目标攻击行为的分析结果包括:将所述目标攻击行为的参数与所述目标风险分析模型中所述模型参数进行匹配,其中,所述目标攻击行为的参数至少包括以下之一:攻击的对象、攻击的路径;根据匹配结果输出针对所述目标攻击行为的分析结果。
可选地,获取第一安全数据包括:从网络安全设备中获取以下至少之一的所述第一安全数据:配置管理日志、系统运行日志、连接日志、访问控制日志、入侵检测日志、防病毒日志、虚拟专用网络日志、应用服务日志。
可选地,从网络安全设备中获取所述第一安全数据之后,所述方法还包括:分析所述第一安全数据中攻击行为的行为类型,其中,所述行为类型至少包括以下之一:网络行为、系统行为、应用行为、用户行为。
可选地,根据所述攻击对象和所述攻击行为对所述第一安全数据进行分类统计,得到针对目标对象的目标攻击行为包括:根据所述攻击行为的行为类型对所述第一安全数据依次执行分类、时间归一化、格式统一化处理,得到针对目标对象的目标攻击行为,并保存所述目标攻击行为的参数。
根据本发明的另一个实施例,还提供了一种攻击行为的分析装置,包括:获取模块,用于获取第一安全数据,其中,所述第一安全数据中至少包括:攻击对象和攻击行为;分类模块,用于根据所述攻击对象和所述攻击行为对所述第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;分析模块,用于使用所述目标对象的目标风险分析模型对所述目标攻击行为进行分析,得到针对所述目标攻击行为的分析结果。
可选地,所述装置还包括:建立模块,用于建立所述目标风险分析模型,其中,所述目标风险分析模型是以所述目标对象的资产为中心,以模型参数为向量建立的模型,在所述目标风险分析模型中,所述模型参数与所述分析结果的参数之间具有对应关系,所述模型参数至少包括以下之一:所述目标对象在应用环境中存在的攻击面、所述目标对象的资产分布与价值评估、面向所述资产的攻击路径、面向所述资产的攻击矢量,所述分析结果的参数至少包括:所述目标攻击行为发生的概率以及当所述目标攻击行为发生时造成的损失。
可选地,所述分析模块包括:匹配单元,用于将所述目标攻击行为的参数与所述目标风险分析模型中所述模型参数进行匹配,其中,所述目标攻击行为的参数至少包括以下之一:攻击的对象、攻击的路径;输出单元,用于根据匹配结果输出针对所述目标攻击行为的分析结果。
可选地,所述获取模块包括:获取单元,用于从网络安全设备中获取以下至少之一的所述第一安全数据:配置管理日志、系统运行日志、连接日志、访问控制日志、入侵检测日志、防病毒日志、虚拟专用网络日志、应用服务日志。
可选地,所述获取模块包括还包括:分析单元,用于分析所述第一安全数据中攻击行为的行为类型,其中,所述行为类型至少包括以下之一:网络行为、系统行为、应用行为、用户行为。
可选地,所述分类模块包括:处理单元,用于根据所述攻击行为的行为类型对所述第一安全数据依次执行分类、时间归一化、格式统一化处理,得到针对目标对象的目标攻击行为;保存单元,用于保存所述目标攻击行为的参数。
根据本发明的另一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的另一个实施例,还提供了一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明实施例,获取第一安全数据,其中,第一安全数据中至少包括:攻击对象和攻击行为;根据攻击对象和攻击行为对第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;使用目标对象的目标风险分析模型对目标攻击行为进行分析,得到针对目标攻击行为的分析结果,通过针对性地获取目标对象以及针对目标对象的攻击行为,并使用每个目标对象单独的风险分析模型进行分析,可以针对性获取每一个目标对象的,饿一个目标攻击行为的分析结果,解决了现有技术中网络安全分析无法对特定目标作出针对性地威胁预测的问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种攻击行为的分析方法的移动终端的硬件结构框图;
图2是本发明实施例中一种可选的攻击行为的分析方法的流程图;
图3是根据本发明实施例的一种可选的攻击行为的分析装置的结构框图;
图4是根据本发明实施例中一种可选的攻击行为的分析方法的流程图;
图5是根据本发明实施例的一种可选的风险分析模型示意图;
图6是根据本发明实施例的一种可选的风险分析结果矩阵示意图;
图7是根据本发明实施例的一种可选的攻击行为的分析系统的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种攻击行为的分析方法的移动终端的硬件结构框图。如图1所示,移动终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的调度吞吐量的获取方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本发明实施例提供了一种攻击行为的分析方法。图2是本发明实施例中一种可选的攻击行为的分析方法的流程图,如图2所示,该方法包括:
步骤S202,获取第一安全数据,其中,第一安全数据中至少包括:攻击对象和攻击行为;
步骤S204,根据攻击对象和攻击行为对第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;
步骤S206,使用目标对象的目标风险分析模型对目标攻击行为进行分析,得到针对目标攻击行为的分析结果。
可选地,使用目标对象的目标风险分析模型对目标攻击行为进行分析之前,所述方法还包括:建立目标风险分析模型,其中,目标风险分析模型是以目标对象的资产为中心,以模型参数为向量建立的模型,在目标风险分析模型中,模型参数与分析结果的参数之间具有对应关系,模型参数至少包括以下之一:目标对象在应用环境中存在的攻击面、目标对象的资产分布与价值评估、面向资产的攻击路径、面向资产的攻击矢量,分析结果的参数至少包括:目标攻击行为发生的概率以及当目标攻击行为发生时造成的损失。
可选地,使用目标对象的目标风险分析模型对目标攻击行为进行分析,得到针对目标攻击行为的分析结果包括:将目标攻击行为的参数与目标风险分析模型中所述模型参数进行匹配,其中,目标攻击行为的参数至少包括以下之一:攻击的对象、攻击的路径;根据匹配结果输出针对目标攻击行为的分析结果。
可选地,获取第一安全数据包括:从网络安全设备中获取以下至少之一的所述第一安全数据:配置管理日志、系统运行日志、连接日志、访问控制日志、入侵检测日志、防病毒日志、虚拟专用网络日志、应用服务日志。
可选地,从网络安全设备中获取所述第一安全数据之后,还包括:分析所述第一安全数据中攻击行为的行为类型,其中,行为类型至少包括以下之一:网络行为、系统行为、应用行为、用户行为。
可选地,根据攻击对象和攻击行为对第一安全数据进行分类统计,得到针对目标对象的目标攻击行为包括:根据攻击行为的行为类型对第一安全数据依次执行分类、时间归一化、格式统一化处理,得到针对目标对象的目标攻击行为,并保存目标攻击行为的参数。
根据本发明的另一个实施例,还提供了一种攻击行为的分析装置,用于实现上述任一项方法实施例,已经说明过的内容此处不再重复。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本发明实施例的一种可选的攻击行为的分析装置的结构框图,如图3所示,该装置包括:
获取模块302,用于获取第一安全数据,其中,第一安全数据中至少包括:攻击对象和攻击行为;
分类模块304,用于根据攻击对象和攻击行为对第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;
分析模块306,用于使用目标对象的目标风险分析模型对目标攻击行为进行分析,得到针对目标攻击行为的分析结果。
可选地,所述装置还包括:建立模块,用于建立目标风险分析模型,其中,目标风险分析模型是以目标对象的资产为中心,以模型参数为向量建立的模型,在目标风险分析模型中,模型参数与分析结果的参数之间具有对应关系,模型参数至少包括以下之一:目标对象在应用环境中存在的攻击面、目标对象的资产分布与价值评估、面向资产的攻击路径、面向所述资产的攻击矢量,分析结果的参数至少包括:目标攻击行为发生的概率以及当目标攻击行为发生时造成的损失。
可选地,分析模块包括:匹配单元,用于将目标攻击行为的参数与目标风险分析模型中模型参数进行匹配,其中,目标攻击行为的参数至少包括以下之一:攻击的对象、攻击的路径;输出单元,用于根据匹配结果输出针对目标攻击行为的分析结果。
可选地,获取模块包括:获取单元,用于从网络安全设备中获取以下至少之一的第一安全数据:配置管理日志、系统运行日志、连接日志、访问控制日志、入侵检测日志、防病毒日志、虚拟专用网络日志、应用服务日志。
可选地,获取模块包括还包括:分析单元,用于分析第一安全数据中攻击行为的行为类型,其中,行为类型至少包括以下之一:网络行为、系统行为、应用行为、用户行为。
可选地,分类模块包括:处理单元,用于根据攻击行为的行为类型对第一安全数据依次执行分类、时间归一化、格式统一化处理,得到针对目标对象的目标攻击行为;保存单元,用于保存目标攻击行为的参数。
为了更好地理解本发明实施例中提供的技术方案,以从通用安全设中获取的安全数据为例进行具体说明。本发明实施例结合通用安全事件分析与响应技术的优势,整合防火墙、入侵检测防御系统、网络防病毒、访问控制、数据泄露防护系统、审计、日志等数据,结合对目标产品、系统、或解决方案的以资产为核心的威胁建模分析结果,将目标主体的攻击面、主要的攻击矢量、以及资产分析结果导入到攻击行为分析引擎,攻击行为分析引擎自动化运行定量与定性的风险分析方法得出最终的风险分析结果。
图4是根据本发明实施例中一种可选的攻击行为的分析方法的流程图,如图4所示,该方法包括:
步骤1:收集通用安全设备与解决方案的日志和基于通用规则的攻击分析结果。通用安全设备与解决方案的日志一般包括配置管理日志、系统运行日志、连接日志、访问控制日志、入侵检测日志、防病毒日志、VPN(Virtual Private Network,虚拟专用网络)日志、应用服务日志等,基于通用规则的攻击分析结果一般包括网络行为、系统行为、应用行为、用户行为等;
步骤2:对通用安全设备与解决方案日志和基于通用规则的攻击分析结果进行分类、时间归一化、格式统一化,归并攻击行为。对从不同安全设备和解决方案中收集的数据按照不同的行为进行分类,归一化时间的格式、排序,统一归并数据的格式,以便可以清晰分析出攻击的过程和效果;
步骤3:获取以资产为中心的目标威胁模型。以资产为中心的威胁模型是以目标主体的资产或者有价值的信息为中心的威胁分析结果,主要包括目标主体在应用环境中的攻击面、资产的分布与价值评估、面向资产的攻击路径,以及可行的面向资产的攻击矢量;图5是根据本发明实施例的一种可选的风险分析模型示意图,如图5所示网络摄像机(InternetProtocol Camera,简称为IPC)威胁模型,可以看到图中首字母A标记的核心资产,以及首字母TA标记的威胁代理(也称威胁源)、对资产造成攻击路径等等,同时也会评估实现对资产攻击的可能性及损失资产的价值,存储时会使用结构化语言存储这些数据,以便攻击行为分析引擎处理;
步骤4:匹配攻击行为与威胁模型,得到攻击行为风险分析矩阵。通过定量与定性的风险分析方法对攻击行为和威胁模型进行匹配,得到安全风险发生可能性与影响的风险分析结果矩阵。图6是根据本发明实施例的一种可选的风险分析结果矩阵示意图,如图6所示,攻击行为Att1匹配到威胁模型中的一条攻击路径,该攻击路径有30%概率会导致数据库遭到破坏,造成用户损失10000美元。
风险分析具有定量与定性两种方法。定量的风险分析会尝试为风险分析过程的所有元素都赋予具体的和有意义的数字。分析中的每个元素(资产价值、威胁频率、脆弱性的严重程度、损失影响、防护成本、防护有效性、不确定性和可能性)都被量化并输入公式,然后计算出总风险和剩余风险。与定性方法相比,定量的风险分析方法是一种数学方法,更为科学。定性风险分析对风险分析中的数据元素采用“较软”的方法,它不量化那些数据,即它并不赋予那些数据数值以放到公式中计算。比如,对一个组织进行量化的风险分析后,可能得到这样的结果:如果web服务器上的缓冲区溢出被利用,损失100000美元;如果数据库遭到破坏,损失25000美元;如果文件服务器遭到破坏,损失1000美元。定性的风险分析不会呈现这样用金钱来衡量的结果,只是给出风险评级,如高危、中危、低危。
定量分析使用风险计算来预测经济损失的程度以及每种威胁发生的可能性。相反,定性分析并不使用计算,而是更多地以观点和场景为基础,使用评级的方式来评定风险的关键性级别。
步骤5:根据攻击行为风险分析矩阵辅助安全事件响应。根据安全风险发生可能性与影响的风险分析结果矩阵,自动化进行快速计算,得到攻击行为未来可能导致的资产损失的数值,以确定选用的安全对策。例如:30%概率会导致数据库遭到破坏,造成用户损失10000美元,设定安全对策为:采取控制或防护措施来阻止这种损失的发生,应当花费3000美元或更少的费用来提供必要的保护级别。
图7是根据本发明实施例的一种可选的攻击行为的分析系统的结构框图,如图7所示,该装置包括:
通用安全设备与解决方案平台11,一般基于可配置规则的安全事件发现与攻击行为分析,主要包括防火墙、入侵检测防御系统、网络防病毒系统、访问控制设备、数据泄露防护系统等。当监控到有安全事件发生时,对识别到的攻击行为进行记录,并基于通用规则对攻击行为进行初步分析;
安全事件与信息管理平台12,监视、收集和报告通用安全设备与解决方案中产生的攻击行为日志及攻击行为分析结果,整合各种安全信息,汇总到一起进行分类、统一时间和数据格式,对数据进行排序、去重;
攻击行为分析引擎13,对攻击行为进行定量与定性的风险分析,主要包含以下三个模块:
威胁建模服务模块131,提供以目标主体的资产或者有价值的信息为中心的威胁分析服务,并将威胁模型存储到威胁模型存储模块132;
威胁模型存储模块132,负责存储威胁建模服务模块131提供的威胁模型;
攻击行为匹配模块133,主要负责对攻击行为和威胁模型进行匹配,以得到安全风险发生可能性与影响的风险分析结果矩阵。
安全事件响应中心14,根据风险分析结果辅助安全事件响应分析、决策、实行、运营管理等。
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取第一安全数据,其中,第一安全数据中至少包括:攻击对象和攻击行为;
S2,根据攻击对象和攻击行为对第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;
S3,使用目标对象的目标风险分析模型对目标攻击行为进行分析,得到针对目标攻击行为的分析结果。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取第一安全数据,其中,第一安全数据中至少包括:攻击对象和攻击行为;
S2,根据攻击对象和攻击行为对第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;
S3,使用目标对象的目标风险分析模型对目标攻击行为进行分析,得到针对目标攻击行为的分析结果。
本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种攻击行为的分析方法,其特征在于,包括:
获取第一安全数据,其中,所述第一安全数据中至少包括:攻击对象和攻击行为;
根据所述攻击对象和所述攻击行为对所述第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;
使用所述目标对象的目标风险分析模型对所述目标攻击行为进行分析,得到针对所述目标攻击行为的分析结果;
使用所述目标对象的目标风险分析模型对所述目标攻击行为进行分析之前,所述方法还包括:
建立所述目标风险分析模型,其中,所述目标风险分析模型是以所述目标对象的资产为中心,以模型参数为向量建立的模型,在所述目标风险分析模型中,所述模型参数与所述分析结果的参数之间具有对应关系,所述模型参数至少包括:所述目标对象在应用环境中存在的攻击面、所述目标对象的资产分布与价值评估、面向所述资产的攻击路径、面向所述资产的攻击矢量,所述分析结果的参数至少包括:所述目标攻击行为发生的概率以及当所述目标攻击行为发生时造成的损失。
2.根据权利要求1所述的方法,其特征在于,使用所述目标对象的目标风险分析模型对所述目标攻击行为进行分析,得到针对所述目标攻击行为的分析结果包括:
将所述目标攻击行为的参数与所述目标风险分析模型中所述模型参数进行匹配,其中,所述目标攻击行为的参数至少包括以下之一:攻击的对象、攻击的路径;
根据匹配结果输出针对所述目标攻击行为的分析结果。
3.根据权利要求1所述的方法,其特征在于,获取第一安全数据包括:
从网络安全设备中获取以下至少之一的所述第一安全数据:配置管理日志、系统运行日志、连接日志、访问控制日志、入侵检测日志、防病毒日志、虚拟专用网络日志、应用服务日志。
4.根据权利要求3所述的方法,其特征在于,从网络安全设备中获取所述第一安全数据之后,所述方法还包括:
分析所述第一安全数据中攻击行为的行为类型,其中,所述行为类型至少包括以下之一:网络行为、系统行为、应用行为、用户行为。
5.根据权利要求4所述的方法,其特征在于,根据所述攻击对象和所述攻击行为对所述第一安全数据进行分类统计,得到针对目标对象的目标攻击行为包括:
根据所述攻击行为的行为类型对所述第一安全数据依次执行分类、时间归一化、格式统一化处理,得到针对目标对象的目标攻击行为,并保存所述目标攻击行为的参数。
6.一种攻击行为的分析装置,其特征在于,包括:
获取模块,用于获取第一安全数据,其中,所述第一安全数据中至少包括:攻击对象和攻击行为;
分类模块,用于根据所述攻击对象和所述攻击行为对所述第一安全数据进行分类统计,得到针对目标对象的目标攻击行为;
分析模块,用于使用所述目标对象的目标风险分析模型对所述目标攻击行为进行分析,得到针对所述目标攻击行为的分析结果,
建立模块,用于建立所述目标风险分析模型,其中,所述目标风险分析模型是以所述目标对象的资产为中心,以模型参数为向量建立的模型,在所述目标风险分析模型中,所述模型参数与所述分析结果的参数之间具有对应关系,所述模型参数至少包括以下之一:所述目标对象在应用环境中存在的攻击面、所述目标对象的资产分布与价值评估、面向所述资产的攻击路径、面向所述资产的攻击矢量,所述分析结果的参数至少包括:所述目标攻击行为发生的概率以及当所述目标攻击行为发生时造成的损失。
7.根据权利要求6所述的装置,其特征在于,所述分析模块包括:
匹配单元,用于将所述目标攻击行为的参数与所述目标风险分析模型中所述模型参数进行匹配,其中,所述目标攻击行为的参数至少包括以下之一:攻击的对象、攻击的路径;
输出单元,用于根据匹配结果输出针对所述目标攻击行为的分析结果。
8.根据权利要求6所述的装置,其特征在于,所述获取模块包括:
获取单元,用于从网络安全设备中获取以下至少之一的所述第一安全数据:配置管理日志、系统运行日志、连接日志、访问控制日志、入侵检测日志、防病毒日志、虚拟专用网络日志、应用服务日志。
9.根据权利要求8所述的装置,其特征在于,所述获取模块包括还包括:
分析单元,用于分析所述第一安全数据中攻击行为的行为类型,其中,所述行为类型至少包括以下之一:网络行为、系统行为、应用行为、用户行为。
10.根据权利要求9所述的装置,其特征在于,所述分类模块包括:
处理单元,用于根据所述攻击行为的行为类型对所述第一安全数据依次执行分类、时间归一化、格式统一化处理,得到针对目标对象的目标攻击行为;
保存单元,用于保存所述目标攻击行为的参数。
11.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至5任一项中所述的方法。
12.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至5任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910678313.5A CN110417772B (zh) | 2019-07-25 | 2019-07-25 | 攻击行为的分析方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910678313.5A CN110417772B (zh) | 2019-07-25 | 2019-07-25 | 攻击行为的分析方法及装置、存储介质、电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110417772A CN110417772A (zh) | 2019-11-05 |
| CN110417772B true CN110417772B (zh) | 2022-08-16 |
Family
ID=68363231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910678313.5A Active CN110417772B (zh) | 2019-07-25 | 2019-07-25 | 攻击行为的分析方法及装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110417772B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110917619B (zh) * | 2019-11-18 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 互动道具控制方法、装置、终端及存储介质 |
| CN111277561B (zh) * | 2019-12-27 | 2022-05-24 | 北京威努特技术有限公司 | 网络攻击路径预测方法、装置及安全管理平台 |
| CN111198900B (zh) * | 2019-12-31 | 2023-06-09 | 成都烽创科技有限公司 | 工业控制网络的数据缓存方法、装置、终端设备及介质 |
| CN111222777A (zh) * | 2019-12-31 | 2020-06-02 | 嘉兴太美医疗科技有限公司 | 一种基于风险管理的数据泄露防护方法及集成系统 |
| CN111368302B (zh) * | 2020-03-08 | 2024-02-02 | 北京工业大学 | 基于攻击者攻击策略生成的自动威胁检测方法 |
| CN111581643B (zh) * | 2020-05-07 | 2024-02-02 | 中国工商银行股份有限公司 | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 |
| CN112272186B (zh) * | 2020-10-30 | 2023-07-18 | 深信服科技股份有限公司 | 一种网络流量检测装置、方法及电子设备和存储介质 |
| CN112637178B (zh) * | 2020-12-18 | 2022-09-20 | 成都知道创宇信息技术有限公司 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
| CN112989353A (zh) * | 2021-01-14 | 2021-06-18 | 新华三信息安全技术有限公司 | 一种区域安全评分方法及装置 |
| CN113037555B (zh) * | 2021-03-12 | 2022-09-20 | 中国工商银行股份有限公司 | 风险事件标记方法、风险事件标记装置和电子设备 |
| CN114301699A (zh) * | 2021-12-30 | 2022-04-08 | 安天科技集团股份有限公司 | 行为预测方法及装置、电子设备和计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103366244A (zh) * | 2013-06-19 | 2013-10-23 | 深圳市易聆科信息技术有限公司 | 一种实时获取网络风险值的方法及系统 |
| CN107454103B (zh) * | 2017-09-07 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
| CN109167781B (zh) * | 2018-08-31 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种基于动态关联分析的网络攻击链识别方法和装置 |
| CN109271782B (zh) * | 2018-09-14 | 2021-06-08 | 杭州朗和科技有限公司 | 检测攻击行为的方法、介质、系统和计算设备 |
| CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
-
2019
- 2019-07-25 CN CN201910678313.5A patent/CN110417772B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109660526A (zh) * | 2018-12-05 | 2019-04-19 | 国网江西省电力有限公司信息通信分公司 | 一种应用于信息安全领域的大数据分析方法 |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110417772A (zh) | 2019-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417772B (zh) | 攻击行为的分析方法及装置、存储介质、电子装置 | |
| CN111866016B (zh) | 日志的分析方法及系统 | |
| US20150301515A1 (en) | Method, Device and Computer Program for Monitoring an Industrial Control System | |
| KR100755000B1 (ko) | 보안 위험 관리 시스템 및 방법 | |
| CN105009132A (zh) | 基于置信因子的事件关联 | |
| Gerostathopoulos et al. | How do we evaluate self-adaptive software systems?: A ten-year perspective of SEAMS | |
| CN116032602A (zh) | 一种自动识别威胁数据的方法、装置、设备及存储介质 | |
| Angelini et al. | An attack graph-based on-line multi-step attack detector | |
| KR20040104853A (ko) | 정보 자산의 위험 분석 시스템 | |
| KR102590081B1 (ko) | 보안 규제 준수 자동화 장치 | |
| Kalugina et al. | Development of a tool for modeling security threats of an enterprise information system | |
| CN113055368A (zh) | 一种Web扫描识别方法、装置及计算机存储介质 | |
| Erfan | DDoS attack detection scheme using hybrid ensemble learning and ga algorithm for Internet of Things | |
| CN112580089A (zh) | 信息泄露的预警方法及装置、系统、存储介质、电子装置 | |
| CN111859400B (zh) | 风险评估方法、装置、计算机系统和介质 | |
| CN111815442B (zh) | 一种链接预测的方法、装置和电子设备 | |
| CN116405287B (zh) | 工控系统网络安全评估方法、设备和介质 | |
| CN114884740B (zh) | 一种基于ai的入侵防护应答数据处理方法及服务器 | |
| CN113448955B (zh) | 数据集质量评估方法、装置、计算机设备及存储介质 | |
| Xiaoyuan | AI for Finance (AIFF): from Abnormal Data Recognition to Information System Intrusion Detection | |
| CN116961945A (zh) | 一种虚拟资源的漏洞评估方法、装置、存储介质及电子装置 | |
| Hassan et al. | Improving of network security via use machine learning | |
| SRIVASTVA | Big Data and Cyber Security: Challenges and Solutions | |
| Chakir et al. | Risk assessment and alert prioritization for intrusion detection systems | |
| Setiawan et al. | Designing a Cybersecurity Risk Assessment Framework for Local Government Web-Based Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |