CN111030986A - 一种攻击组织溯源分析的方法、装置及存储介质 - Google Patents
一种攻击组织溯源分析的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111030986A CN111030986A CN201911043846.2A CN201911043846A CN111030986A CN 111030986 A CN111030986 A CN 111030986A CN 201911043846 A CN201911043846 A CN 201911043846A CN 111030986 A CN111030986 A CN 111030986A
- Authority
- CN
- China
- Prior art keywords
- attack
- ttp
- organization
- model
- matched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种攻击组织溯源分析的方法、装置及存储介质,涉及网络安全技术领域,能够发现已知攻击组织的未知攻击行动,或发现新的攻击组织。所述方法包括:获取已公开攻击组织相关的攻击事件数据;分析各攻击事件数据并提取攻击组织所使用的TTP信息;将攻击组织相关的TTP信息映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库;针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型;将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击行动,或发现新的攻击组织。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种攻击组织溯源分析的方法、装置、电子设备及计算机可读存储介质。
背景技术
攻击组织是网络空间攻击活动的来源,它们有不同的目的和动机,其能力也存在明显的层级差异。根据作业动机、攻击能力、掌控资源等角度,可将网络空间攻击组织划分为七个层级,分别是业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为体、超高能力国家/地区行为体。
如今网络空间的安全形势日趋严峻,随着商业军火的泄露及其广泛传播,大大降低了网络攻击的难度和成本,使得缺少雄厚资金的攻击组织也能借助商业攻击平台实施高水平的攻击,加剧了攻击组织进行网络攻击的频率。此起彼伏的网络攻击事件表明,攻击组织的规模、目标、动机都在发生转变,给国家的网络安全带来严重威胁。因此,及时发现并对攻击组织进行追溯分析,遏制其攻击行动对于维护国家安全至关重要。
发明内容
有鉴于此,本发明实施例提供了一种攻击组织溯源分析的方法、装置及存储介质,通过分析已知攻击组织相关的攻击事件数据,提取攻击组织在特定攻击活动中的TTP信息,并将其映射到威胁框架中建立TTP映射模型库,基于异常事件形成待匹配TTP模型,将所述待匹配TTP模型与TTP映射模型库进行相似性匹配,进而准确发现已知攻击组织的未知攻击行动或发现新的攻击组织。
第一方面,本发明实施例提供一种攻击组织溯源分析的方法,包括:
获取已公开攻击组织相关的攻击事件数据;
分析各攻击事件数据并提取攻击组织所使用的TTP信息;
将攻击组织相关的TTP信息映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库;
针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型;
将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织;
其中,所述TTP信息包括攻击组织基本信息和攻击行动信息;攻击行动信息包括:行动基本信息、行动行为信息和行动指纹信息。
根据本发明实施例的一种具体实现方式,所述针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型,具体包括:
接收客户端上报的异常事件,并提取相关动静态特征,进一步提取异常事件涉及的攻击组织的TTP信息并映射到威胁框架,形成待匹配TTP模型;
其中,所述动静态特征包括:恶意代码传播特征、判定特征、属性特征、静态结构特征、API调用特征、动态行为特征、反分析特征、网络特征、漏洞利用特征或者切片特征。
根据本发明实施例的一种具体实现方式,还包括:对所述TTP信息进行规范化处理,形成标准且结构化的数据格式。
根据本发明实施例的一种具体实现方式,所述将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织,具体包括:
利用相似性匹配算法将待匹配TTP模型与TTP映射模型库进行多阶段相似性匹配;
当所述多阶段中小于第一阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织不相似;
当所述多阶段中大于等于第一阈值个数但小于第二阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织达到第一程度的相似;
当所述多阶段中大于等于第二阈值个数的阶段相匹配,则待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似;
其中,多阶段包括但不限于:攻击目标、攻击意图、攻击过程、攻击手段或者使用的武器装备;所述第一阈值小于第二阈值。
根据本发明实施例的一种具体实现方式,还包括:当判定待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似,则将所述待检测TTP模型存储至所述TTP映射模型库中。
上述方法实施例中,还包括:基于攻击组织特点对TTP映射模型库中的已知攻击组织进行分层定级,并将分层定级以标签的形式存储至TTP映射模型库中。
第二方面,本发明实施例提供一种攻击组织溯源分析的装置,包括:
TTP提取模块,用于获取已公开攻击组织相关的攻击事件数据;分析各攻击事件数据并提取攻击组织所使用的TTP信息;
TTP映射建模模块,用于将攻击组织相关的TTP信息映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库;
多维度特征提取模块,用于针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型;
匹配模块,用于将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织;
其中,所述TTP信息包括攻击组织基本信息和攻击行动信息;攻击行动信息包括:行动基本信息、行动行为信息和行动指纹信息。
根据本发明实施例的一种具体实现方式,所述多维度特征提取模块,具体用于:
接收客户端上报的异常事件,并提取相关动静态特征,进一步提取异常事件涉及的攻击组织的TTP信息并映射到威胁框架,形成待匹配TTP模型;
其中,所述动静态特征包括:恶意代码传播特征、判定特征、属性特征、静态结构特征、API调用特征、动态行为特征、反分析特征、网络特征、漏洞利用特征或者切片特征。
根据本发明实施例的一种具体实现方式,还包括:TTP规范模块,用于对所述TTP信息进行规范化处理,形成标准且结构化的数据格式。
根据本发明实施例的一种具体实现方式,所述匹配模块,具体用于:
利用相似性匹配算法将待匹配TTP模型与TTP映射模型库进行多阶段相似性匹配;
当所述多阶段中小于第一阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织不相似;
当所述多阶段中大于等于第一阈值个数但小于第二阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织达到第一程度的相似;
当所述多阶段中大于等于第二阈值个数的阶段相匹配,则待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似;
其中,多阶段包括但不限于:攻击目标、攻击意图、攻击过程、攻击手段或者使用的武器装备;所述第一阈值小于第二阈值。
根据本发明实施例的一种具体实现方式,还包括:模型库更新模块,用于当判定待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似,则将所述待检测TTP模型存储至所述TTP映射模型库中。
其中,还包括:攻击组织分层定级模块,用于基于攻击组织特点对TTP映射模型库中的已知攻击组织进行分层定级,并将分层定级以标签的形式存储至TTP映射模型库中。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
本发明实施例提供的一种攻击组织溯源分析的方法、装置及存储介质,通过获取已公开攻击组织的攻击事件数据;分析各攻击事件数据并提取攻击组织所使用的TTP信息;将攻击组织相关的TTP信息映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库;针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型;将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织。
本发明实施例不依赖于单一信标、单一特征检测(例如攻击事件的域名/HASH/IP等单一信标是不稳定的),而是基于TTP映射模型进行多阶段相似性匹配,进而避免单一信标、特征匹配造成的误判,能够准确、快速识别已知攻击组织的未知攻击事件或发现新的攻击组织。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种攻击组织溯源分析的方法的一实施例流程图;
图2为本发明的一种攻击组织溯源分析的方法的又一实施例流程图;
图3为本发明的一种攻击组织溯源分析的装置的一实施例结构示意图;
图4为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为了更清楚地说明本发明中的实施例,因此对涉及到的技术术语进行解释和说明:
TTP:Tatics、Technique、Procedure的缩写,指的是攻击组织在网空攻击行动中使用的策略、技术和程序。
NSA/CSS网空威胁技术框架,本发明又称威胁框架:美国国家安全局/中央安全署(NSA/CSS)网空威胁技术框架(以下简称“威胁框架”)是作为国家情报总监网空威胁框架的技术扩展而开发的。旨在通过使用与操作系统无关的,而与行业定义紧密结合的通用技术词典,对攻击活动进行标准化的描述和分类。该“威胁框架”由Administration(行动管理与资源保障)、Preparation(行动准备筹措)、Engagement(接触目标与进攻突防)、Presence(持久化驻留潜伏)、Effect(致效能力运用)、Ongoing Processes(全程持续支撑作业)在内的相关环节构成。
TTP映射模型:基于“威胁框架”,将攻击组织的TTP信息映射到“威胁框架”不同阶段的具体行动中,建立攻击组织的攻击行动到“威胁框架”的细粒度TTP映射模型,还原攻击组织在攻击行动/事件中的完整攻击链路。TTP映射模型中涉及攻击组织在不同阶段的目标、意图、行为、方法、攻击装备、利用的漏洞等。
多维度:将提取的攻击组织的TTP信息多维度映射到“威胁框架”,这里的多维度一方面是指恶意代码的多维度特征向量提取,包括恶意代码传播、判定、属性、静态结构、API调用、动态行为、反分析、网络漏洞利用等多维度特征;另一方面是指,攻击组织的TTP信息到“威胁框架”的映射,不单单是IoC的映射,还包括攻击目标、攻击装备、攻击意图、攻击方法、利用漏洞等多维度的映射。
细粒度:将提取的攻击组织的TTP信息细粒度映射到“威胁框架”,细粒度是指映射过程中要对攻击组织TTP信息进行细粒度的拆解、映射,列举一个简单的示例,攻击者针对目标系统进行了Presence(持久化驻留潜伏),那么在进行映射的时候,不能只映射到这个阶段,而是要映射到更细粒度的层级,如攻击者如何维持持久化驻留潜伏,具体修改了哪一项注册表项等。
第一方面,本发明实施例提供一种攻击组织溯源分析的方法,能够发现已知攻击组织的未知攻击行动或发现新的攻击组织。
图1为本发明一种攻击组织溯源分析的方法的一实施例流程图,包括:
S101:获取已公开攻击组织相关的攻击事件数据。其中,所述攻击事件数据,包括但不限于:公共情报、行业或联盟、黑客组织/社区跟踪、网络数据、恶意代码分析、第三方APT报告,安全防护产品自身流量侧、端点侧、蜜罐等产生的报警、预警信息以及内部威胁情报。
S102:分析各攻击事件数据并提取攻击组织所使用的TTP信息。其中,提取攻击组织所使用的TTP信息,包括但不限于:自动化智能匹配和/或人工辅助提取的方式。进一步地,还包括,对所述TTP信息进行规范化处理,形成标准且结构化的数据格式;进而方便后续数据的交互、共享、协作等。
进一步地,针对具体的业务场景在S102之后可以判定是否需要进一步提取向量特征;具体包括但不限于所有根据需要进一步提取向量特征的情况,例如:针对不同的业务场景,重点关注的攻击组织也不同,如TA505攻击组织主要针对金融行业,那么对于金融行业,TA505就是重点关注的攻击组织之一,就要在已有的攻击组织TTP信息基础上进一步提取攻击组织TTP信息涉及的向量特征。
S103:将攻击组织相关的TTP信息映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库。
S104:针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型。
具体包括但不限于:接收客户端上报的异常事件,并提取相关动静态特征,进一步提取异常事件涉及的攻击组织的TTP信息并映射到威胁框架,形成待匹配TTP模型。
其中,提取多维特征向量可以包括但不限于:自动化或者人工辅助提取的方式;提取异常事件涉及的攻击组织的TTP信息的方式可以包括但不限于:自动化或者人工辅助提取的方式。
其中,所述提取异常事件涉及的攻击组织的TTP信息并映射到威胁框架,包括但不限于:将规范化处理后的TTP信息多维度、细粒度的映射到威胁框架中的多阶段具体行动中,包括但不限于:攻击目标、攻击意图、攻击过程、攻击手段、使用的武器装备、攻击行业、利用的漏洞类型及漏洞编号、漏洞利用装备、持久化方式、规避方式、使用的加密算法等。
其中,所述动静态特征包括:恶意代码传播特征、判定特征、属性特征、静态结构特征、API调用特征、动态行为特征、反分析特征、网络特征、漏洞利用特征或者切片特征。
其中,所述客户端上报异常事件的方式不作具体限定,包括主动和被动两种方式,例如利用客户端设备的用户交互界面主动提交到本系统。
S105:将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织。
其中,所述TTP信息包括攻击组织基本信息和攻击行动信息;攻击行动信息包括:行动基本信息、行动行为信息和行动指纹信息。
更为具体地,攻击组织基本信息包括但不限于:组织名称、组织别名(包含多个)、组织性质、组织归属国家、组织描述以及组织成员等;进一步地,还包含姓名、虚拟ID、社交账号、联系方式等组织人员信息。
更为具体地,行动基本信息包括但不限于:行动名称、行动公开时间、公开的厂商或机构、最早的样本时间、是否活跃等。行动行为信息包括但不限于:遭受攻击的国家、攻击的领域、具体攻击的机构或部门名称、受影响的系统平台、攻击中所使用的漏洞信息、攻击中所使用的持久化方法、攻击中使用的算法、攻击手段以及攻击意图等。行动指纹信息包括但不限于:样本信息、或者远控地址信息等。其中,样本信息包括但不限于:样本的原始文件名、样本PDB路径、样本hash、样本大小、样本格式、样本版本信息或者样本恶意类别等;远控地址信息包括但不限于:域名、IP或URL等信息,以及其对应的whois信息及地理位置等。
上述方法实施例中,还包括:基于攻击组织特点对TTP映射模型库中的已知攻击组织进行分层定级,并将分层定级以标签的形式存储至TTP映射模型库中。具体地,根据其作业动机、攻击能力、掌控资源等设定威胁等级,具体层级设定根据场景和需要而定,本实施例设定为七个层级,包括:业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为体、超高能力国家/地区行为体。
本方法实施例基于已知攻击组织相关的TTP信息生成TTP映射模型库,并基于异常事件生成待匹配TTP模型,并将待匹配TTP模型与TTP映射模型库进行匹配,进而判定是否是已知攻击组织的未知攻击事件或者发现新的攻击组织。
图2为本发明一种攻击组织溯源分析的方法的又一实施例方法流程图,包括:
S201:获取已公开攻击组织相关的攻击事件数据。其中,所述攻击事件数据,包括但不限于:公共情报、行业或联盟、黑客组织/社区跟踪、网络数据、恶意代码分析、第三方APT报告,安全防护产品自身流量侧、端点侧、蜜罐等产生的报警、预警信息以及内部威胁情报。
S202:分析各攻击事件数据并提取攻击组织所使用的TTP信息。其中,所述TTP信息包括攻击组织基本信息和攻击行动信息;攻击行动信息包括:行动基本信息、行动行为信息和行动指纹信息。
S203:将攻击组织相关的TTP信息进行规范化处理后,细粒度、多维度映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库。
更为具体地,S203包括但不限于如下实现方式:将各攻击组织相关的TTP信息细粒度、多维度地映射到“网空威胁”的各个阶段的具体行动中,形成攻击组织的完整攻击链路,形成针对特定场景的攻击组织的TTP映射模型,并将其存储至TTP映射模型库中,形成由海量TTP映射模型构成的知识库。
S204:针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型。
S205:利用相似性匹配算法将待匹配TTP模型与TTP映射模型库进行多阶段相似性匹配。具体来说,所述多阶段包括但不限于:攻击目标、攻击意图、攻击过程、攻击手段、使用的武器装备等。利用多阶段相似性匹配避免了单一特征相似性匹配可能造成的误判。
S206:当所述多阶段中小于第一阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织不相似。
例如,若待匹配TTP模型与TTP映射模型库匹配后,发现各阶段均不相似,则当前待匹配TTP模型相关的攻击组织与已知攻击组织不相似。
S207:当所述多阶段中大于等于第一阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织相似,并继续执行S208。
S208:当所述多阶段中小于第二阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织达到第一程度的相似。
例如,若待匹配TTP模型与TTP映射模型库匹配后,发现攻击目标、攻击行业的阶段信息相匹配,则判定与已知攻击组织达到第一程度相似。
S209:当所述多阶段中大于等于第二阈值个数的阶段相匹配,则待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似,并将所述待检测TTP模型存储至所述TTP映射模型库中。
例如,若待匹配TTP模型与TTP映射模型库匹配后,发现攻击目标、攻击行业、使用装备、使用的持久化驻留方法、采用的规避手段等阶段信息相匹配,则判定与已知攻击组织达到第二程度相似。
其中,多阶段包括但不限于:攻击目标、攻击意图、攻击过程、攻击手段或者使用的武器装备;所述第一阈值小于第二阈值。其中,需要注意的是,第一阈值或者第二阈值的设置要基于特定的应用场景而定,阈值设置过大容易造成漏判,设置过小容易造成误判,因此要基于特定场景选取最优阈值。
其中,还包括:对所述TTP信息进行规范化处理,形成标准且结构化的数据格式;易于后续的扩展和共享。
上述方法实施例中,还包括:基于攻击组织特点对TTP映射模型库中的已知攻击组织进行分层定级,并将分层定级以标签的形式存储至TTP映射模型库中。
本方法实施例中将待匹配TTP模型与TTP映射模型库进行匹配,利用相似性匹配算法将待匹配TTP模型与TTP映射模型库进行多阶段相似性匹配,并根据所述多阶段相匹配个数与设定阈值之间的关系判定相似程度,避免单一特征相似性匹配可能造成的误判。
第二方面,本发明实施例提供一种攻击组织溯源分析的装置,能够发现已知攻击组织的未知攻击行动或发现新的攻击组织。
图3为本发明一种攻击组织溯源分析的装置的一实施例结构示意图,本实施例的装置可以包括:
TTP提取模块301,用于获取已公开攻击组织相关的攻击事件数据;分析各攻击事件数据并提取攻击组织所使用的TTP信息;
TTP映射建模模块302,用于将攻击组织相关的TTP信息映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库;
多维度特征提取模块303,用于针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型;
匹配模块304,用于将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织;
其中,所述TTP信息包括攻击组织基本信息和攻击行动信息;攻击行动信息包括:行动基本信息、行动行为信息和行动指纹信息。
优选地,所述多维度特征提取模块,具体用于:
接收客户端上报的异常事件,并提取相关动静态特征,进一步提取异常事件涉及的攻击组织的TTP信息并映射到威胁框架,形成待匹配TTP模型;
其中,所述动静态特征包括:恶意代码传播特征、判定特征、属性特征、静态结构特征、API调用特征、动态行为特征、反分析特征、网络特征、漏洞利用特征或者切片特征。
优选地,还包括:TTP规范模块,用于对所述TTP信息进行规范化处理,形成标准且结构化的数据格式。
优选地,所述匹配模块,具体用于:
利用相似性匹配算法将待匹配TTP模型与TTP映射模型库进行多阶段相似性匹配;
当所述多阶段中小于第一阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织不相似;
当所述多阶段中大于等于第一阈值个数但小于第二阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织达到第一程度的相似;
当所述多阶段中大于等于第二阈值个数的阶段相匹配,则待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似;
其中,多阶段包括但不限于:攻击目标、攻击意图、攻击过程、攻击手段或者使用的武器装备;所述第一阈值小于第二阈值。
优选地,还包括:模型库更新模块,用于当判定待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似,则将所述待检测TTP模型存储至所述TTP映射模型库中。
其中,还包括:攻击组织分层定级模块,用于基于攻击组织特点对TTP映射模型库中的已知攻击组织进行分层定级,并将分层定级以标签的形式存储至TTP映射模型库中。
本装置实施例基于已知攻击组织相关的TTP信息生成TTP映射模型库,并基于异常事件生成待匹配TTP模型,并将待匹配TTP模型与TTP映射模型库进行匹配,进而判定是否是已知攻击组织的未知攻击事件或者发现新的攻击组织。
第三方面,本发明实施例还提供一种电子设备,能够发现已知攻击组织的未知攻击行动或发现新的攻击组织。
图4为本发明电子设备一个实施例的结构示意图,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种攻击组织溯源分析的方法,其特征在于,包括:
获取已公开攻击组织相关的攻击事件数据;
分析各攻击事件数据并提取攻击组织所使用的TTP信息;
将攻击组织相关的TTP信息映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库;
针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型;
将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织;
其中,所述TTP信息包括攻击组织基本信息和攻击行动信息;攻击行动信息包括:行动基本信息、行动行为信息和行动指纹信息。
2.如权利要求1所述的方法,其特征在于,所述针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型,具体包括:
接收客户端上报的异常事件,并提取相关动静态特征,进一步提取异常事件涉及的攻击组织的TTP信息并映射到威胁框架,形成待匹配TTP模型;
其中,所述动静态特征包括:恶意代码传播特征、判定特征、属性特征、静态结构特征、API调用特征、动态行为特征、反分析特征、网络特征、漏洞利用特征或者切片特征。
3.如权利要求2所述的方法,其特征在于,还包括:对所述TTP信息进行规范化处理,形成标准且结构化的数据格式。
4.如权利要求1所述的方法,其特征在于,所述将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织,具体包括:
利用相似性匹配算法将待匹配TTP模型与TTP映射模型库进行多阶段相似性匹配;
当所述多阶段中小于第一阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织不相似;
当所述多阶段中大于等于第一阈值个数但小于第二阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织达到第一程度的相似;
当所述多阶段中大于等于第二阈值个数的阶段相匹配,则待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似;
其中,多阶段包括但不限于:攻击目标、攻击意图、攻击过程、攻击手段或者使用的武器装备;所述第一阈值小于第二阈值。
5.如权利要求4所述的方法,其特征在于,还包括:当判定待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似,则将所述待检测TTP模型存储至所述TTP映射模型库中。
6.如权利要求1-5任一所述的方法,其特征在于,还包括:基于攻击组织特点对TTP映射模型库中的已知攻击组织进行分层定级,并将分层定级以标签的形式存储至TTP映射模型库中。
7.一种攻击组织溯源分析的装置,其特征在于,包括:
TTP提取模块,用于获取已公开攻击组织相关的攻击事件数据;分析各攻击事件数据并提取攻击组织所使用的TTP信息;
TTP映射建模模块,用于将攻击组织相关的TTP信息映射到威胁框架中,形成TTP映射模型,汇集形成各攻击组织相关的TTP映射模型库;
多维度特征提取模块,用于针对上报的异常事件,提取其多维特征向量形成待匹配TTP模型;
匹配模块,用于将待匹配TTP模型与TTP映射模型库进行相似性匹配,进而发现已知攻击组织的未知攻击事件或发现新的攻击组织;
其中,所述TTP信息包括攻击组织基本信息和攻击行动信息;攻击行动信息包括:行动基本信息、行动行为信息和行动指纹信息。
8.如权利要求7所述的装置,其特征在于,所述多维度特征提取模块,具体用于:
接收客户端上报的异常事件,并提取相关动静态特征,进一步提取异常事件涉及的攻击组织的TTP信息并映射到威胁框架,形成待匹配TTP模型;
其中,所述动静态特征包括:恶意代码传播特征、判定特征、属性特征、静态结构特征、API调用特征、动态行为特征、反分析特征、网络特征、漏洞利用特征或者切片特征。
9.如权利要求8所述的装置,其特征在于,还包括:TTP规范模块,用于对所述TTP信息进行规范化处理,形成标准且结构化的数据格式。
10.如权利要求7所述的装置,其特征在于,所述匹配模块,具体用于:
利用相似性匹配算法将待匹配TTP模型与TTP映射模型库进行多阶段相似性匹配;
当所述多阶段中小于第一阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织不相似;
当所述多阶段中大于等于第一阈值个数但小于第二阈值个数的阶段相匹配,则待匹配TTP模型相关的攻击组织与已知攻击组织达到第一程度的相似;
当所述多阶段中大于等于第二阈值个数的阶段相匹配,则待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似;
其中,多阶段包括但不限于:攻击目标、攻击意图、攻击过程、攻击手段或者使用的武器装备;所述第一阈值小于第二阈值。
11.如权利要求10所述的装置,其特征在于,还包括:模型库更新模块,用于当判定待检测TTP模型相关的攻击组织与已知攻击组织达到第二程度的相似,则将所述待检测TTP模型存储至所述TTP映射模型库中。
12.如权利要求7-11任一所述的装置,其特征在于,还包括:攻击组织分层定级模块,用于基于攻击组织特点对TTP映射模型库中的已知攻击组织进行分层定级,并将分层定级以标签的形式存储至TTP映射模型库中。
13.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行权利要求1-6任一所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1-6任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911043846.2A CN111030986B (zh) | 2019-10-30 | 2019-10-30 | 一种攻击组织溯源分析的方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911043846.2A CN111030986B (zh) | 2019-10-30 | 2019-10-30 | 一种攻击组织溯源分析的方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111030986A true CN111030986A (zh) | 2020-04-17 |
CN111030986B CN111030986B (zh) | 2022-10-21 |
Family
ID=70204712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911043846.2A Active CN111030986B (zh) | 2019-10-30 | 2019-10-30 | 一种攻击组织溯源分析的方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111030986B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111541705A (zh) * | 2020-04-29 | 2020-08-14 | 四川大学 | 一种ttp自动化提取与攻击团队聚类的方法 |
CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
CN112084504A (zh) * | 2020-09-21 | 2020-12-15 | 腾讯科技(深圳)有限公司 | 病毒文件的处理方法、装置、电子设备及可读存储介质 |
CN112131571A (zh) * | 2020-11-20 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 威胁溯源方法及相关设备 |
CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
CN112367315A (zh) * | 2020-11-03 | 2021-02-12 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
CN113225356A (zh) * | 2021-07-08 | 2021-08-06 | 广东云智安信科技有限公司 | 一种基于ttp的网络安全威胁狩猎方法及网络设备 |
CN114205161A (zh) * | 2021-12-13 | 2022-03-18 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
CN114793164A (zh) * | 2021-12-22 | 2022-07-26 | 南京中孚信息技术有限公司 | 一种基于多特征的apt攻击事件关联方法 |
CN115022063A (zh) * | 2022-06-14 | 2022-09-06 | 安天科技集团股份有限公司 | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160315956A1 (en) * | 2015-04-24 | 2016-10-27 | Vid Scale, Inc. | Detecting man-in-the-middle attacks in adaptive streaming |
CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
US20180137277A1 (en) * | 2016-11-15 | 2018-05-17 | General Electric Company | Dynamic normalization of monitoring node data for threat detection in industrial asset control system |
CN108600212A (zh) * | 2018-04-19 | 2018-09-28 | 北京邮电大学 | 基于多维度可信特征的威胁情报可信性判别方法及装置 |
CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
CN109088869A (zh) * | 2018-08-14 | 2018-12-25 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
US20190042738A1 (en) * | 2018-06-28 | 2019-02-07 | Intel Corporation | Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles |
CN109818964A (zh) * | 2019-02-01 | 2019-05-28 | 长沙市智为信息技术有限公司 | 一种DDoS攻击检测方法、装置、设备以及存储介质 |
-
2019
- 2019-10-30 CN CN201911043846.2A patent/CN111030986B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160315956A1 (en) * | 2015-04-24 | 2016-10-27 | Vid Scale, Inc. | Detecting man-in-the-middle attacks in adaptive streaming |
US20180137277A1 (en) * | 2016-11-15 | 2018-05-17 | General Electric Company | Dynamic normalization of monitoring node data for threat detection in industrial asset control system |
CN107483425A (zh) * | 2017-08-08 | 2017-12-15 | 北京盛华安信息技术有限公司 | 基于攻击链的复合攻击检测方法 |
CN108600212A (zh) * | 2018-04-19 | 2018-09-28 | 北京邮电大学 | 基于多维度可信特征的威胁情报可信性判别方法及装置 |
US20190042738A1 (en) * | 2018-06-28 | 2019-02-07 | Intel Corporation | Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles |
CN108769077A (zh) * | 2018-07-06 | 2018-11-06 | 武汉思普崚技术有限公司 | 一种网络安全溯源分析的方法及装置 |
CN109088869A (zh) * | 2018-08-14 | 2018-12-25 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
CN109818964A (zh) * | 2019-02-01 | 2019-05-28 | 长沙市智为信息技术有限公司 | 一种DDoS攻击检测方法、装置、设备以及存储介质 |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111541705A (zh) * | 2020-04-29 | 2020-08-14 | 四川大学 | 一种ttp自动化提取与攻击团队聚类的方法 |
CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
CN111565205B (zh) * | 2020-07-16 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
CN112084504A (zh) * | 2020-09-21 | 2020-12-15 | 腾讯科技(深圳)有限公司 | 病毒文件的处理方法、装置、电子设备及可读存储介质 |
CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
CN112182567B (zh) * | 2020-09-29 | 2022-12-27 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
CN112367315B (zh) * | 2020-11-03 | 2021-09-28 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
CN112367315A (zh) * | 2020-11-03 | 2021-02-12 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
CN112131571A (zh) * | 2020-11-20 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 威胁溯源方法及相关设备 |
CN112131571B (zh) * | 2020-11-20 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 威胁溯源方法及相关设备 |
CN113067812A (zh) * | 2021-03-17 | 2021-07-02 | 哈尔滨安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
CN113067812B (zh) * | 2021-03-17 | 2023-02-28 | 安天科技集团股份有限公司 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
CN113225356A (zh) * | 2021-07-08 | 2021-08-06 | 广东云智安信科技有限公司 | 一种基于ttp的网络安全威胁狩猎方法及网络设备 |
CN114205161A (zh) * | 2021-12-13 | 2022-03-18 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
CN114205161B (zh) * | 2021-12-13 | 2024-03-29 | 北京影安电子科技有限公司 | 一种网络攻击者的发现和追踪方法 |
CN114793164A (zh) * | 2021-12-22 | 2022-07-26 | 南京中孚信息技术有限公司 | 一种基于多特征的apt攻击事件关联方法 |
CN114793164B (zh) * | 2021-12-22 | 2024-03-15 | 南京中孚信息技术有限公司 | 一种基于多特征的apt攻击事件关联方法 |
CN115022063A (zh) * | 2022-06-14 | 2022-09-06 | 安天科技集团股份有限公司 | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 |
CN115022063B (zh) * | 2022-06-14 | 2023-08-29 | 安天科技集团股份有限公司 | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111030986B (zh) | 2022-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN114205128B (zh) | 网络攻击分析方法、装置、电子设备及存储介质 | |
Ramesh et al. | Identification of phishing webpages and its target domains by analyzing the feign relationship | |
CN113810395B (zh) | 一种威胁情报的检测方法、装置及电子设备 | |
CN114329448A (zh) | 一种系统安全检测方法、装置、电子设备及存储介质 | |
CN110740117B (zh) | 仿冒域名检测方法、装置、电子设备及存储介质 | |
CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
CN114297632A (zh) | 主机失陷检测方法、装置、电子设备及存储介质 | |
CN110659493A (zh) | 威胁告警方式生成的方法、装置、电子设备及存储介质 | |
El Attar et al. | A Gaussian mixture model for dynamic detection of abnormal behavior in smartphone applications | |
CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN111062035A (zh) | 一种勒索软件检测方法、装置、电子设备及存储介质 | |
CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 | |
CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
CN113596044B (zh) | 一种网络防护方法、装置、电子设备及存储介质 | |
CN116032576A (zh) | 一种基于不确定性攻击资源图谱的构建方法及系统 | |
CN111027071B (zh) | 一种威胁程序全行为关联分析方法及装置 | |
CN108875363B (zh) | 一种加速虚拟执行的方法、装置、电子设备及存储介质 | |
CN111800391A (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |