CN110875920B - 一种网络威胁分析方法、装置、电子设备及存储介质 - Google Patents
一种网络威胁分析方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110875920B CN110875920B CN201811587757.XA CN201811587757A CN110875920B CN 110875920 B CN110875920 B CN 110875920B CN 201811587757 A CN201811587757 A CN 201811587757A CN 110875920 B CN110875920 B CN 110875920B
- Authority
- CN
- China
- Prior art keywords
- threat
- type
- data
- threat analysis
- knowledge graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开一种网络威胁分析方法、装置、电子设备及存储介质,涉及网络信息安全领域。所述方法包括:获取当前网络环境中网络设备的历史数据;根据预设的语义标签类型,对所述历史数据进行语义化处理,得到标签数据;根据所述标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱;通过所述威胁知识图谱以及预配置的威胁样本数据,构建威胁分析模型;当接收到网络设备的当前数据时,将所述当前数据输入至所述威胁分析模型,得到所述当前数据的威胁分析结果;根据所述威胁分析结果,更新所述威胁知识图谱。本发明实现了将人工经验与自动化分析技术的有效融合,可以更为全面的对抗网络安全领域的对抗性和不确定性。
Description
技术领域
本发明涉及网络信息安全领域,尤其涉及一种网络威胁分析方法、装置、电子设备及存储介质。
背景技术
目前,基于大数据的网络空间安全态势感知系统,属于新兴高技术领域范畴。在骨干网络和国家级的网络空间安全领域,建立全天候全方位的安全态势感知体系,同时通过汇聚和分享安全数据,可以为安全情报分享、安全分析协同提供基础平台和数据支撑。
现有的网络安全监控和安全处置管理平台中,在对网络威胁进行分析时,由技术人员依据自己的工作经验,判断出现的网络威胁,并进行威胁分类。这种分析方式需要耗费大量的人力,并且耗费大量的时间。而且,由于网络安全领域的对抗性和不确定性,现有的自动化分析技术(如机器学习、数据挖掘、统计分析等)无法实现对网络威胁的全面化分析。
发明内容
有鉴于此,本发明实施例提供一种网络威胁分析方法、装置、电子设备及存储介质,实现了将人工经验与自动化分析技术的有效融合,可以更为全面的对抗网络安全领域的对抗性和不确定性。
第一方面,本发明实施例提供一种网络威胁分析方法,所述方法包括:
获取当前网络环境中网络设备的历史数据;
根据预设的语义标签类型,对所述历史数据进行语义化处理,得到标签数据;
根据所述标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱;
通过所述威胁知识图谱以及预配置的威胁样本数据,构建威胁分析模型;
当接收到网络设备的当前数据时,将所述当前数据输入至所述威胁分析模型,得到所述当前数据的威胁分析结果;
根据所述威胁分析结果,更新所述威胁知识图谱。
可选地,所述语义标签类型包括攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个;
所述根据预设的语义标签类型,对所述历史数据进行语义化处理,得到标签数据,具体包括:
根据所述攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个,从所述历史数据中,抽取出与每个类型对应匹配的标签信息;
将抽取出的标签信息作为所述标签数据。
可选地,所述根据所述标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱,具体包括:
获取所述网络环境威胁方式的至少一个威胁属性;
当所述标签数据中存在与所述至少一个威胁属性对应匹配的标签信息时,建立所述网络设备与所述标签信息之间的映射关系;
将所述映射关系作为所述威胁知识图谱。
可选地,所述方法还包括:
显示所述威胁分析结果;
接收用户根据所述威胁分析结果输入的调整指令,所述调整指令包括用于修正所述语义标签类型的第一字段、用于修正所述映射关系的第二字段以及用于修正所述威胁分析模型参数的第三字段;
利用所述第一字段、第二字段以及第三字段,对所述语义标签类型、所述映射关系以及所述威胁分析模型参数进行修正。
第二方面,本发明实施例提供一种网络威胁分析装置,所述装置包括:
第一获取单元,用于获取当前网络环境中网络设备的历史数据;
处理单元,用于根据预设的语义标签类型,对所述历史数据进行语义化处理,得到标签数据;
创建单元,用于根据所述标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱;
构建单元,用于通过所述威胁知识图谱以及预配置的威胁样本数据,构建威胁分析模型;
第二获取单元,用于当接收到网络设备的当前数据时,将所述当前数据输入至所述威胁分析模型,得到所述当前数据的威胁分析结果;
更新单元,用于根据所述威胁分析结果,更新所述威胁知识图谱。
可选地,所述语义标签类型包括攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个;
所述处理单元具体用于,根据所述攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个,从所述历史数据中,抽取出与每个类型对应匹配的标签信息;
将抽取出的标签信息作为所述标签数据。
可选地,所述创建单元具体用于,获取所述网络环境威胁方式的至少一个威胁属性;
当所述标签数据中存在与所述至少一个威胁属性对应匹配的标签信息时,建立所述网络设备与所述标签信息之间的映射关系;
将所述映射关系作为所述威胁知识图谱。
可选地,所述装置还包括:
显示单元,用于显示所述威胁分析结果;
接收单元,用于接收用户根据所述威胁分析结果输入的调整指令,所述调整指令包括用于修正所述语义标签类型的第一字段、用于修正所述映射关系的第二字段以及用于修正所述威胁分析模型参数的第三字段;
修正单元,用于利用所述第一字段、第二字段以及第三字段,对所述语义标签类型、所述映射关系以及所述威胁分析模型参数进行修正。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面所述的一种网络威胁分析方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述第一方面所述的一种网络威胁分析方法。
本发明实施例提供的一种网络威胁分析方法、装置、电子设备及存储介质,电子设备对网络设备的历史数据进行语义化处理,得到标签数据。根据标签数据以及已知的网络环境威胁方式,电子设备创建威胁知识图谱。电子设备通过威胁知识图谱以及预配置的威胁样本数据构建威胁分析模型。在接收到网络设备的当前数据时,利用威胁分析模型,得到威胁分析结果,并对威胁知识图谱进行更新。前述方案实现了将人工经验与自动化分析技术的有效融合,可以更为全面的对抗网络安全领域的对抗性和不确定性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种网络威胁分析方法流程图;
图2为本发明实施例提供的另一种网络威胁分析方法流程图;
图3为本发明实施例提供的一种网络威胁分析装置结构示意图;
图4为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
下面结合附图1,详细说明本发明实施例提供的方案进行说明,图1为本发明实施例提供的一种网络威胁分析方法流程图,在本发明实施例中实施主体为电子设备。该电子设备可为终端设备,例如,个人电脑、台式电脑等。该电子设备也可为服务器。如图1所示,本实施例的方法具体包括以下步骤:
步骤110、获取当前网络环境中网络设备的历史数据。
本发明实施例中,网络设备的历史数据具体是指在当前网络环境中,记录网络设备是否遭受过攻击、攻击类型、攻击来源、网络设备不安全因素等信息。
步骤120、根据预设的语义标签类型,对历史数据进行语义化处理,得到标签数据。
本发明实施例中,语义标签类型为用户(或技术人员)在先设置。用户(或技术人员)预先在数据库中创建一个存储结构,在存储结构中存储语义标签类型。数据库可设置在电子设备内部,也可以设置在电子设备外部,本发明实施例不做限定。
语义标签类型具体包括:攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个。
电子设备可根据攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个,从历史数据中,抽取出与每个类型对应匹配的标签信息。电子设备将抽取出的多条标签信息作为标签数据。
步骤130、根据标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱。
本发明实施例中,用户(或技术人员)可通过对网络设备的历史数据进行分析后,得到对现有网络环境形成安全威胁的一些威胁方式(或威胁认知)。例如,恶意代码传输行为、C&C攻击等等。
用户得到这些威胁方式(或威胁认知)后,将其存储在电子设备中。电子设备根据获取的标签数据以及威胁方式(或威胁认知),创建威胁知识图谱。
在本发明实施例中,威胁知识图谱是由一条条知识组成。每条知识表示为一个SPO三元组(subject-predicate-object)。在一种实现方式中,三元组示例为:实体1-关系-实体2(例如,中国-首都-北京);在另一种实现方式中,三元组示例为:实体-属性-属性值(例如:北京-人口-2069.3万)。
在一个例子中,已知的威胁方式(或威胁认知)为利用网络设备的xxx漏洞,对网络设备执行yyy行为。电子设备将该威胁方式(或威胁认知)映射到网络设备上,映射的内容有该资产可被利用点,获取到的威胁行为数据等。
电子设备形成的威胁知识图谱为:攻击目标A为实体,受过威胁类型是属性,威胁次数为属性值。
步骤140、通过威胁知识图谱以及预配置的威胁样本数据,构建威胁分析模型。
本发明实施例中,电子设备形成威胁知识图谱后,获取预配置的威胁样本数据。该预配置的威胁样本数据也可称之为威胁训练数据,在威胁训练数据中存在着大量的已知的威胁方式(或威胁认知)。
电子设备通过学习已知的威胁方式(或威胁认知)以及步骤130中构建的威胁知识图谱,电子设备构建威胁分析模型。
该威胁分析模型通过威胁训练数据学习到已知类别的威胁行为模式。
需要说明的是,本发明实施例中的威胁分析模型可为一机器学习组件(或模块)。
步骤150、当接收到网络设备的当前数据时,将当前数据输入至威胁分析模型,得到当前数据的威胁分析结果。
本发明实施例中,电子设备构建威胁分析模型后,可以对后续再次接收到的网络设备的当前数据进行威胁分析,得到当前数据的威胁分析结果。该威胁分析结果即为该当前数据所属的威胁类型。
例如,电子设备接收到当前数据后,对当前数据进行语义化处理。电子设备确定当前数据包括的标签数据具体为:″攻击行为类型″为“邮件”、“通讯”;″不安全因素类型″、″攻击目标类型″等字段不为空等等。电子设备将上述标签数据输入只威胁分析模型中,此时,威胁分析模型给出的威胁分析结果为:该当前数据属于邮件威胁。
步骤160、根据所述威胁分析结果,更新所述威胁知识图谱。
本发明实施例中,电子设备得到当前数据的威胁分析结果后,将当前数据进行语义化处理的结果,存储至威胁知识图谱中,进而更新威胁知识图谱。
因此,通过应用本发明实施例提供的网络威胁分析,电子设备对网络设备的历史数据进行语义化处理,得到标签数据。根据标签数据以及已知的网络环境威胁方式,电子设备创建威胁知识图谱。电子设备通过威胁知识图谱以及预配置的威胁样本数据构建威胁分析模型。在接收到网络设备的当前数据时,利用威胁分析模型,得到威胁分析结果,并对威胁知识图谱进行更新。前述方案实现了将人工经验与自动化分析技术的有效融合,可以更为全面的对抗网络安全领域的对抗性和不确定性。
本发明实施例提供的网络威胁分析方法,实现了可控的网络威胁的自动发现、识别以及自动分析,提升了对网络威胁掌控的准确度。
下面结合附图2,详细说明本发明实施例提供的方案进行说明,图2为本发明实施例提供的另一种网络威胁分析方法流程图,在本发明实施例中实施主体为电子设备。该电子设备可为终端设备,例如,个人电脑、台式电脑等。该电子设备也可为服务器。如图2所示,本实施例的方法具体包括以下步骤:
步骤200、电子设备获取当前网络环境中网络设备的历史数据。
步骤201、根据预设的语义标签类型,电子设备对历史数据进行语义化处理,得到标签数据。
本发明实施例中,步骤200-步骤201的实现过程和上述方法实施例的步骤110-步骤120类似,此处不再赘述。
在一个例子中,电子设备根据前述实施例中描述的语义标签类型,将历史数据处理为如下格式。
具体格式如下所示,其中,“label”表示攻击行为类型,“beacon”表示信标类型,“is_malicious”表示恶意代码类型,“utilize”表示不安全因素类型,例如,漏洞等,“tool”表示攻击工具类型,“source”表示威胁来源类型,“object”表示攻击目标类。
进一步地,“cp”表示信标类型中存储的是关于电子设备的地址、端口信息,“domain”表示域名信息。
步骤202、电子设备将标签数据存储至数据库存储结构包括的语义标签类型中。
在本发明实施例中,电子设备将步骤201格式中记载的与每个语义标签类型匹配的标签信息,逐条存储至数据库中已创建的存储结构中。
步骤203、根据标签数据以及已存储的网络环境威胁方式,电子设备创建威胁知识图谱。
在本发明实施例中,电子设备获取网络环境威胁方式的至少一个威胁属性(例如,通过何种漏洞,具体的威胁行为等等);当标签数据中存在与至少一个威胁属性对应匹配的标签信息时,电子设备建立网络设备与标签信息之间的映射关系;电子设备将映射关系作为威胁知识图谱。
在前述实施例中已详细说明威胁知识图谱的具体形式,在此不再复述。
步骤204、通过威胁知识图谱以及预配置的威胁样本数据,电子设备构建威胁分析模型。
步骤205、当接收到网络设备的当前数据时,电子设备将当前数据输入至威胁分析模型,得到当前数据的威胁分析结果。
步骤206、根据威胁分析结果,电子设备更新威胁知识图谱。
本发明实施例中,步骤204-步骤206的实现过程和上述方法实施例的步骤140-步骤160类似,此处不再赘述。
步骤207、电子设备显示威胁分析结果。
本发明实施例中,电子设备在步骤206中得到威胁分析结果后,电子设备在自身的显示屏中显示威胁分析结果。
步骤208、电子设备接收用户根据威胁分析结果输入的调整指令。
本发明实施例中,电子设备显示威胁分析结果后,用户根据显示的威胁分析结果,输入调整指令。
例如,用户可以根据威胁分析结果,对语义标签类型、威胁知识图谱中建立的映射关系以及威胁分析模型中的算法参数进行调整。用户输入调整指令,该调整指令包括用于修正语义标签类型的第一字段、用于修正所述映射关系的第二字段以及用于修正所述威胁分析模型参数的第三字段。
可以理解的是,用户可以单独对语义标签类型、映射关系或算法参数进行调整,也可多次分别对语义标签类型、映射关系或算法参数进行调整。
其中,算法参数具体指超参数,也即是在威胁分析模型开始学习过程之前由用户人为设置值的参数,而不是通过训练得到的参数。
在一个例子中,对学习率的调整。一般随着迭代次数的提高,当损失函数(loSS)无法再次得到合理数值时,此时,会暂停训练模型。然后,将学习率调整至原来的1/10再继续训练。
步骤209、利用第一字段、第二字段以及第三字段,电子设备对语义标签类型、映射关系以及威胁分析模型参数进行修正。
本发明实施例中,电子设备从调整指令中获取指示修改相关内容对应的字段,依据字段内容,对相关内容进行修改中。
可以理解的是,电子你设备还将依据用户输入的调整指令修正的相关内容对应存储至存储结构中,进而更新威胁知识图谱。电子设备重复执行前述步骤200-209,逐步迭代形成对网络威胁的自动化分析能力。
需要说明的是,电子设备可通过自身的显示装置、输入装置执行显示威胁分析结果、以及接收用户输入的调整指令的过程。在实际应用中,电子设备还可构建一交互模块,通过该交互模块完成显示威胁分析结果、以及接收用户输入的调整指令的过程。
本发明实施例,电子设备对网络设备的历史数据进行语义化处理,得到标签数据。根据标签数据以及已知的网络环境威胁方式,电子设备创建威胁知识图谱。电子设备通过威胁知识图谱以及预配置的威胁样本数据构建威胁分析模型。在接收到网络设备的当前数据时,利用威胁分析模型,得到威胁分析结果,并对威胁知识图谱进行更新。前述方案实现了将人工经验与自动化分析技术的有效融合,可以更为全面的对抗网络安全领域的对抗性和不确定性。
本发明实施例提供的网络威胁分析方法,实现了可控的网络威胁的自动发现、识别以及自动分析,提升了对网络威胁掌控的准确度。
图3为本发明实施例提供的一种网络威胁分析装置结构示意图,如图3所示,本发明实施例的网络威胁分析装置可以包括:第一获取单元310、处理单元320、创建单元330、构建单元340、第二获取单元350以及更新单元360。
其中,所述第一获取单元310,用于获取当前网络环境中网络设备的历史数据;
处理单元320,用于根据预设的语义标签类型,对所述历史数据进行语义化处理,得到标签数据;
创建单元330,用于根据所述标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱;
构建单元340,用于通过所述威胁知识图谱以及预配置的威胁样本数据,构建威胁分析模型;
第二获取单元350,用于当接收到网络设备的当前数据时,将所述当前数据输入至所述威胁分析模型,得到所述当前数据的威胁分析结果;
更新单元360,用于根据所述威胁分析结果,更新所述威胁知识图谱。
可选地,所述语义标签类型包括攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个;
所述处理单元320具体用于,根据所述攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个,从所述历史数据中,抽取出与每个类型对应匹配的标签信息;
将抽取出的标签信息作为所述标签数据。
可选地,所述创建单元330具体用于,获取所述网络环境威胁方式的至少一个威胁属性;
当所述标签数据中存在与所述至少一个威胁属性对应匹配的标签信息时,建立所述网络设备与所述标签信息之间的映射关系;
将所述映射关系作为所述威胁知识图谱。
可选地,所述装置还包括:
显示单元(图中未示出),用于显示所述威胁分析结果;
接收单元(图中未示出),用于接收用户根据所述威胁分析结果输入的调整指令,所述调整指令包括用于修正所述语义标签类型的第一字段、用于修正所述映射关系的第二字段以及用于修正所述威胁分析模型参数的第三字段;
修正单元(图中未示出),用于利用所述第一字段、第二字段以及第三字段,对所述语义标签类型、所述映射关系以及所述威胁分析模型参数进行修正。
本发明实施例的装置,可以用于执行图1、图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
相应地,本发明实施例提供的一种网络威胁分析装置还可用另一种结构实现。图4为本发明提供的一个电子设备实施例的结构示意图,可以实现本发明图1-2所示实施例的流程,如图4所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45。其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例所述的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-2所示实施例的描述,在此不再赘述。
该电子设备:提供计算服务的设备,电子设备的构成包括处理器、硬盘、内存、系统总线等,电子设备和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
相应地,本发明实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有一个或者多个程序。其中,一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例所述的网络威胁分析方法。
需要说明的是,在本文中,诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,″计算机可读介质″可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。
在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
Claims (10)
1.一种网络威胁分析方法,其特征在于,所述方法包括:
获取当前网络环境中网络设备的历史数据;
根据预设的语义标签类型,对所述历史数据进行语义化处理,得到标签数据;
根据所述标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱;其中,所述威胁知识图谱由至少一条知识组成,每条知识表示为一个SPO三元组;
通过所述威胁知识图谱以及预配置的威胁样本数据,构建威胁分析模型;
当接收到网络设备的当前数据时,将所述当前数据输入至所述威胁分析模型,得到所述当前数据的威胁分析结果;
根据所述威胁分析结果,更新所述威胁知识图谱。
2.根据权利要求1所述的方法,其特征在于,所述语义标签类型包括攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个;
所述根据预设的语义标签类型,对所述历史数据进行语义化处理,得到标签数据,具体包括:
根据所述攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个,从所述历史数据中,抽取出与每个类型对应匹配的标签信息;
将抽取出的标签信息作为所述标签数据。
3.根据权利要求1所述的方法,其特征在于,所述根据所述标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱,具体包括:
获取所述网络环境威胁方式的至少一个威胁属性;
当所述标签数据中存在与所述至少一个威胁属性对应匹配的标签信息时,建立所述网络设备与所述标签信息之间的映射关系;
将所述映射关系作为所述威胁知识图谱。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
显示所述威胁分析结果;
接收用户根据所述威胁分析结果输入的调整指令,所述调整指令包括用于修正所述语义标签类型的第一字段、用于修正所述映射关系的第二字段以及用于修正所述威胁分析模型参数的第三字段;
利用所述第一字段、第二字段以及第三字段,对所述语义标签类型、所述映射关系以及所述威胁分析模型参数进行修正。
5.一种网络威胁分析装置,其特征在于,所述装置包括:
第一获取单元,用于获取当前网络环境中网络设备的历史数据;
处理单元,用于根据预设的语义标签类型,对所述历史数据进行语义化处理,得到标签数据;
创建单元,用于根据所述标签数据以及已存储的网络环境威胁方式,创建威胁知识图谱;其中,所述威胁知识图谱由至少一条知识组成,每条知识表示为一个SPO三元组;
构建单元,用于通过所述威胁知识图谱以及预配置的威胁样本数据,构建威胁分析模型;
第二获取单元,用于当接收到网络设备的当前数据时,将所述当前数据输入至所述威胁分析模型,得到所述当前数据的威胁分析结果;
更新单元,用于根据所述威胁分析结果,更新所述威胁知识图谱。
6.根据权利要求5所述的装置,其特征在于,所述语义标签类型包括攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个;
所述处理单元具体用于,根据所述攻击行为类型、信标类型、恶意代码类型、不安全因素类型、攻击工具类型、威胁来源类型、攻击目标类型中的至少一个,从所述历史数据中,抽取出与每个类型对应匹配的标签信息;
将抽取出的标签信息作为所述标签数据。
7.根据权利要求5所述的装置,其特征在于,所述创建单元具体用于,获取所述网络环境威胁方式的至少一个威胁属性;
当所述标签数据中存在与所述至少一个威胁属性对应匹配的标签信息时,建立所述网络设备与所述标签信息之间的映射关系;
将所述映射关系作为所述威胁知识图谱。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
显示单元,用于显示所述威胁分析结果;
接收单元,用于接收用户根据所述威胁分析结果输入的调整指令,所述调整指令包括用于修正所述语义标签类型的第一字段、用于修正所述映射关系的第二字段以及用于修正所述威胁分析模型参数的第三字段;
修正单元,用于利用所述第一字段、第二字段以及第三字段,对所述语义标签类型、所述映射关系以及所述威胁分析模型参数进行修正。
9.一种电子设备、其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一权利要求1-4所述的一种网络威胁分析方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一权利要求1-4所述的一种网络威胁分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811587757.XA CN110875920B (zh) | 2018-12-24 | 2018-12-24 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811587757.XA CN110875920B (zh) | 2018-12-24 | 2018-12-24 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110875920A CN110875920A (zh) | 2020-03-10 |
| CN110875920B true CN110875920B (zh) | 2022-11-01 |
Family
ID=69717041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811587757.XA Active CN110875920B (zh) | 2018-12-24 | 2018-12-24 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110875920B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111597353B (zh) * | 2020-05-18 | 2022-06-07 | 中国人民解放军国防科技大学 | 网络空间威胁知识抽取方法和装置 |
| CN111859969B (zh) * | 2020-07-20 | 2024-05-03 | 航天科工智慧产业发展有限公司 | 数据分析方法及装置、电子设备、存储介质 |
| CN111950197A (zh) * | 2020-08-04 | 2020-11-17 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于人工智能语义的配网攻击及故障采集分析系统 |
| CN111988341B (zh) * | 2020-09-10 | 2022-08-02 | 奇安信科技集团股份有限公司 | 数据处理方法、装置、计算机系统和存储介质 |
| CN112165462A (zh) * | 2020-09-11 | 2021-01-01 | 哈尔滨安天科技集团股份有限公司 | 基于画像的攻击预测方法、装置、电子设备及存储介质 |
| CN112866291B (zh) * | 2021-03-03 | 2023-02-28 | 安天科技集团股份有限公司 | 一种威胁处置脚本的生成方法、装置和计算机可读介质 |
| CN113067812B (zh) * | 2021-03-17 | 2023-02-28 | 安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
| CN113315760A (zh) * | 2021-05-13 | 2021-08-27 | 杭州木链物联网科技有限公司 | 一种基于知识图谱的态势感知方法、系统、设备及介质 |
| CN113364802B (zh) * | 2021-06-25 | 2021-12-17 | 中国电子科技集团公司第十五研究所 | 安全告警威胁性研判方法及装置 |
| CN113595994B (zh) * | 2021-07-12 | 2023-03-21 | 深信服科技股份有限公司 | 一种异常邮件检测方法、装置、电子设备及存储介质 |
| CN113783874B (zh) * | 2021-09-10 | 2023-08-29 | 国网数字科技控股有限公司 | 基于安全知识图谱的网络安全态势评估方法及系统 |
| CN113992371B (zh) * | 2021-10-18 | 2023-08-18 | 安天科技集团股份有限公司 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
| CN114338349B (zh) * | 2021-12-27 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 威胁分析方法、装置、电子设备及存储介质 |
| CN114844681A (zh) * | 2022-04-11 | 2022-08-02 | 中国科学院信息工程研究所 | 基于关联图的分析方法、系统、电子设备、存储介质 |
| CN114844691B (zh) * | 2022-04-20 | 2023-07-14 | 安天科技集团股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| CN114866297B (zh) * | 2022-04-20 | 2023-11-24 | 中国科学院信息工程研究所 | 网络数据检测方法、装置、电子设备及存储介质 |
| CN116155548A (zh) * | 2022-12-22 | 2023-05-23 | 新浪技术(中国)有限公司 | 一种威胁识别方法及系统 |
| CN116545740B (zh) * | 2023-05-30 | 2024-05-14 | 阿锐巴数据科技(上海)有限公司 | 一种基于大数据的威胁行为分析方法及服务器 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607388A (zh) * | 2013-11-18 | 2014-02-26 | 浪潮(北京)电子信息产业有限公司 | 一种apt威胁预测方法及系统 |
| CN103944915A (zh) * | 2014-04-29 | 2014-07-23 | 浙江大学 | 一种工业控制系统威胁检测防御装置、系统及方法 |
| CN108234419A (zh) * | 2016-12-21 | 2018-06-29 | 江苏神州信源系统工程有限公司 | 一种基于大数据的网络攻击监测方法和装置 |
| CN108875364A (zh) * | 2017-12-29 | 2018-11-23 | 北京安天网络安全技术有限公司 | 未知文件的威胁性判定方法、装置、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9602529B2 (en) * | 2014-04-02 | 2017-03-21 | The Boeing Company | Threat modeling and analysis |
-
2018
- 2018-12-24 CN CN201811587757.XA patent/CN110875920B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607388A (zh) * | 2013-11-18 | 2014-02-26 | 浪潮(北京)电子信息产业有限公司 | 一种apt威胁预测方法及系统 |
| CN103944915A (zh) * | 2014-04-29 | 2014-07-23 | 浙江大学 | 一种工业控制系统威胁检测防御装置、系统及方法 |
| CN108234419A (zh) * | 2016-12-21 | 2018-06-29 | 江苏神州信源系统工程有限公司 | 一种基于大数据的网络攻击监测方法和装置 |
| CN108875364A (zh) * | 2017-12-29 | 2018-11-23 | 北京安天网络安全技术有限公司 | 未知文件的威胁性判定方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110875920A (zh) | 2020-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110875920B (zh) | 一种网络威胁分析方法、装置、电子设备及存储介质 | |
| CN107809331B (zh) | 识别异常流量的方法和装置 | |
| Costin et al. | A {Large-scale} analysis of the security of embedded firmwares | |
| US10237296B2 (en) | Automated penetration testing device, method and system | |
| CN112217656B (zh) | Sd-wan系统中的网络设备的配置信息同步方法和装置 | |
| CN109800258A (zh) | 数据文件部署方法、装置、计算机设备及存储介质 | |
| CN110909168B (zh) | 知识图谱的更新方法和装置、存储介质及电子装置 | |
| CN111368289A (zh) | 一种恶意软件检测方法和装置 | |
| CN112685746A (zh) | 一种面向物联网设备固件的漏洞检测方法及系统 | |
| CN117240575A (zh) | 网络攻击数据处理方法、装置、设备及介质 | |
| CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN110543756B (zh) | 设备识别方法、装置、存储介质及电子设备 | |
| CN113704058B (zh) | 一种业务模型的监控方法、装置及电子设备 | |
| CN113094287A (zh) | 页面兼容性检测方法、装置、设备及存储介质 | |
| CN113032257B (zh) | 自动化测试方法、装置、计算机系统和可读存储介质 | |
| CN108108299B (zh) | 一种用户界面测试方法及装置 | |
| CN113688423A (zh) | 一种移动疫苗接种车的数据管理方法、系统及设备 | |
| CN105302715A (zh) | 应用程序用户界面的获取方法和装置 | |
| CN107977225B (zh) | 一种安全漏洞的统一描述方法和描述系统 | |
| CN115437663A (zh) | 升级策略更新方法及装置、电子设备、存储介质和车辆 | |
| CN114281668A (zh) | 异常用例生成方法、装置、电子设备以及存储介质 | |
| CN114510409A (zh) | 一种应用程序代码检测方法和计算机可读存储介质 | |
| CN114816965A (zh) | 一种数据验证方法及装置 | |
| CN114049686A (zh) | 签名识别模型训练方法、装置及电子设备 | |
| CN115309785B (zh) | 文件规则引擎库的生成、文件信息检测方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150090 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Harbin, Heilongjiang Province (838 Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150090 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Harbin, Heilongjiang Province (838 Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |