CN111224953A - 基于异常点发现威胁组织攻击的方法、装置及存储介质 - Google Patents

基于异常点发现威胁组织攻击的方法、装置及存储介质 Download PDF

Info

Publication number
CN111224953A
CN111224953A CN201911352786.2A CN201911352786A CN111224953A CN 111224953 A CN111224953 A CN 111224953A CN 201911352786 A CN201911352786 A CN 201911352786A CN 111224953 A CN111224953 A CN 111224953A
Authority
CN
China
Prior art keywords
threat
knowledge base
hypothesis
attack
abnormality
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911352786.2A
Other languages
English (en)
Inventor
孙守英
李柏松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antian Science And Technology Group Co ltd
Harbin Antiy Technology Group Co Ltd
Original Assignee
Harbin Antian Science And Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antian Science And Technology Group Co ltd filed Critical Harbin Antian Science And Technology Group Co ltd
Priority to CN201911352786.2A priority Critical patent/CN111224953A/zh
Publication of CN111224953A publication Critical patent/CN111224953A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种基于异常点发现威胁组织攻击的方法、装置及存储介质,涉及网络安全技术领域,能够定位威胁攻击组织所有相关受控节点。包括:采集预设采集点的网络流量及日志信息并提取当前网络特征;将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;若存在异常,则基于异常情况形成威胁线索;基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;若威胁假设正确,则基于威胁知识库定位所有受控节点;其中,所述威胁知识库包括:TTP和IoC。

Description

基于异常点发现威胁组织攻击的方法、装置及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于异常点发现威胁组织攻击的方法、装置、电子设备及存储介质。
背景技术
目前,为了防止和避免遭受网络攻击和入侵,以确保网上信息的安全,常用的网络威胁防御方法是依靠网络安全防护系统。随着商业军火的泄露及其广泛传播,大大降低了网络攻击的难度和成本,使得缺少雄厚资金的攻击组织也能借助商业攻击平台实施高水平的攻击,导致网络威胁组织攻击活动逐年增加,技术日渐进步,攻击所具有的战术呈多样化趋势,攻击过程日益复杂。在这种网络空间安全形势日趋严峻的情况下,面对潜在的网络威胁,确定网络是否已经被攻击,避免在威胁事件发生前进行检测和告警,仅依靠网络安全防护系统进行防御的方法已不再有效。
发明内容
有鉴于此,本发明实施例提供了一种基于异常点发现威胁组织攻击的方法、装置、电子设备及存储介质,能够基于威胁知识库发现异常点并定位所有相关受控节点,进而在威胁发生前进行主动止损。
本发明实施例提供一种基于异常点发现威胁组织攻击的方法,包括:
采集预设采集点的网络流量及日志信息并提取当前网络特征;
将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;
若存在异常,则基于异常情况形成威胁线索;
基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;
基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;
若威胁假设正确,则基于威胁知识库定位所有受控节点;
其中,所述威胁知识库包括:TTP和IoC。
进一步地,所述基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设,具体包括:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
更进一步地,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
上述方法实施例中,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
第二方面,本发明实施例提供一种基于异常点发现威胁组织攻击的装置,包括:
信息采集模块,用于采集预设采集点的网络流量及日志信息并提取当前网络特征;
异常点发现模块,用于将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;
威胁线索构建模块,用于若存在异常,则基于异常情况形成威胁线索;
威胁假设提出模块,用于基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;
威胁假设判定模块,基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;
受控节点定位模块,用于若威胁假设正确,则基于威胁知识库定位所有受控节点;
其中,所述威胁知识库包括:TTP和IoC。
进一步地,所述威胁假设提出模块,具体用于:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
更进一步地,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
上述装置实施例中,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行上述任一所述的基于异常点发现威胁组织攻击的方法。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的基于异常点发现威胁组织攻击的方法。
本发明实施例提供的一种基于异常点发现威胁组织攻击的方法、装置、电子设备及存储介质,首先基于威胁知识库判定是否存在异常点,若存在,则收集威胁线索,并进行拓线分析提出威胁假设,基于威胁假设继续收集线索并判定威胁假设是否成立,若成立则基于威胁知识库定位所有相关受控节点。本发明实施例可及时对网络威胁进行主动排查,及时止损。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种基于异常点发现威胁组织攻击的方法的一实施例方法流程图;
图2为本发明的一种基于异常点发现威胁组织攻击的方法的又一实施例方法流程图;
图3为本发明的一种基于异常点发现威胁组织攻击的装置的一实施例结构示意图;
图4为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为了更清楚地说明本发明中的实施例,因此对涉及到的技术术语进行解释和说明:
TTP:Tatics、Technique、Procedure的缩写,指的是攻击组织在网空攻击行动中使用的策略、技术和程序。
IoC:Indicator of Compromise的缩写,指的是在计算机取证中,在网络或操作系统中观察到的具有高可信度表示计算机入侵的信标。
第一方面,本发明实施例提供一种基于异常点发现威胁组织攻击的方法,能够基于威胁知识库发现异常点并定位所有相关受控节点,进而在威胁发生前进行主动止损。
图1为本发明一种基于异常点发现威胁组织攻击的方法的一实施例方法流程图,包括:
S101:采集预设采集点的网络流量及日志信息并提取当前网络特征。
S102:将当前网络特征与威胁知识库进行匹配,并判定是否存在异常。其中,所述威胁知识库包括:TTP和IoC。
S103:若存在异常,则基于异常情况形成威胁线索。
S104:基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设。
S105:基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确。
S106:若威胁假设正确,则基于威胁知识库定位所有受控节点。
优选地,所述基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设,具体包括:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
更优选地,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。其中,所述TTP信息包括但不限于:攻击目标、攻击行业、攻击手法、攻击装备、使用漏洞、利用算法或者攻击意图。
上述方法实施例中,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
本实施例结合威胁知识库定位异常点,并基于威胁线索进行拓线分析提出威胁假设,基于威胁假设确定观测方向,并最终基于威胁知识库定位所有受控节点,本实施例是一种积极防御方法,能够定位异常点,并以异常点为基础定位所有相关的受控节点。
图2为本发明一种基于异常点发现威胁组织攻击的方法的又一实施例方法流程图,包括:
S201:采集预设采集点的网络流量及日志信息并提取当前网络特征。
S202:将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;其中,所述威胁知识库包括:TTP和IoC。
例如:所述异常包括但不限于:采集账户被添加到域管理员组或者系统管理员组的相关日志,发现存在新的账户被添加到域管理员组。
S203:若存在异常,则基于异常情况形成威胁线索。
S204:基于威胁线索并结合威胁知识库进行拓线分析,是否可提出威胁假设,若是,则继续执行S205,否则继续执行S201。
例如:基于新的账户被添加到域管理员组相关的威胁线索进行拓线分析,发现多个账户被添加到域管理员组,基于上述情况提出威胁假设:该异常为通过提权进行的侧向移动,应该是一个恶意操作,可能是APT28常用的攻击手段。
S205:基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确,若正确,则继续执行S206,否则继续执行S201;
例如:假设异常为与APT28相关的恶意操作,则确定观测方向,继续调查发现工业监控层节点,OPC服务器日志异常,也存在恶意操作,进而判定确实为APT28。
S206:基于威胁假设查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
例如:基于威胁知识库中与APT28相关的TTP相关的内容可知,该威胁组织惯用攻击手段为通过鱼叉式网络钓鱼植入恶意软件,并通过弱口令渗透传播到主机,利用漏洞获取主机权限,并通过控制域控制器的方式侧向移动到工业监控层节点,其中,OPC服务器节点存储有敏感数据。
S207:对所有受控节点进行查杀,在网络威胁发生前主动止损。
例如:基于威胁知识库所反映的信息进行重点排查可疑邮件,确定受控主机,受控主机又连接了哪些主机,将所有相关受控节点都排查出来。最终进行处置和查杀,进而消除所有相关威胁隐患。
本实施例能够基于威胁知识库发现异常点,并基于威胁线索提出威胁假设,并基于特定的观测方向收集线索进而判定威胁假设是否正确,最终定位威胁假设相关的所有可能的受控节点,进而实现主动排查可能的潜在威胁点,在威胁发生前及时止损。
第二方面,本发明实施例提供一种基于异常点发现威胁组织攻击的装置,能够基于威胁知识库发现异常点并定位所有相关受控节点,进而在威胁发生前进行主动止损。
图3为本发明一种基于异常点发现威胁组织攻击的装置的一实施例结构示意图,包括:
信息采集模块301,用于采集预设采集点的网络流量及日志信息并提取当前网络特征;
异常点发现模块302,用于将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;
威胁线索构建模块303,用于若存在异常,则基于异常情况形成威胁线索;
威胁假设提出模块304,用于基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;
威胁假设判定模块305,基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;
受控节点定位模块306,用于若威胁假设正确,则基于威胁知识库定位所有受控节点;
其中,所述威胁知识库包括:TTP和IoC。
优选地,所述威胁假设提出模块,具体用于:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
更优选地,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
上述装置实施例中,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
本实施例结合威胁知识库定位异常点,并基于威胁线索进行拓线分析提出威胁假设,基于威胁假设确定观测方向,并最终基于威胁知识库定位所有受控节点,本实施例是一种积极防御方法,能够定位异常点,并以异常点为基础定位所有相关的受控节点。
第三方面,本发明实施例还提供一种电子设备,能够基于威胁知识库发现异常点并定位所有相关受控节点,进而在威胁发生前进行主动止损。
图4为本发明电子设备一个实施例的结构示意图,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的基于异常点发现威胁组织攻击的方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1、2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的基于异常点发现威胁组织攻击的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于方法实施例而言,由于其基本相似于装置实施例,所以描述的比较简单,相关之处参见装置实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于异常点发现威胁组织攻击的方法,其特征在于,包括:
采集预设采集点的网络流量及日志信息并提取当前网络特征;
将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;
若存在异常,则基于异常情况形成威胁线索;
基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;
基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;
若威胁假设正确,则基于威胁知识库定位所有受控节点;
其中,所述威胁知识库包括:TTP和IoC。
2.如权利要求1所述的方法,其特征在于,所述基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设,具体包括:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
3.如权利要求2所述的方法,其特征在于,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
4.如权利要求1-3任一所述的方法,其特征在于,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
5.一种基于异常点发现威胁组织攻击的装置,其特征在于,包括:
信息采集模块,用于采集预设采集点的网络流量及日志信息并提取当前网络特征;
异常点发现模块,用于将当前网络特征与威胁知识库进行匹配,并判定是否存在异常;
威胁线索构建模块,用于若存在异常,则基于异常情况形成威胁线索;
威胁假设提出模块,用于基于威胁线索并结合威胁知识库进行拓线分析,提出威胁假设;
威胁假设判定模块,基于威胁假设确定观测方向继续收集线索并判定威胁假设是否正确;
受控节点定位模块,用于若威胁假设正确,则基于威胁知识库定位所有受控节点;
其中,所述威胁知识库包括:TTP和IoC。
6.如权利要求5所述的装置,其特征在于,所述威胁假设提出模块,具体用于:
基于威胁线索中的各项异常情况,匹配威胁知识库中与各项异常情况相关的行为特征,并提出威胁假设;
其中,异常情况包括:终端异常、日志异常、网络异常;所述威胁假设至少包括但不限于:恶意操作、恶意组织。
7.如权利要求6所述的装置,其特征在于,所述基于威胁知识库定位所有受控节点,具体包括:基于威胁假设,查询威胁知识库,获取相关恶意操作或者恶意组织的TTP信息,基于攻击习惯,按照不同的攻击阶段展开分析,定位所有受控节点。
8.如权利要求5-7任一所述的装置,其特征在于,所述采集预设采集点的网络流量及日志信息,包括:采集网段的出入口、连接重要主机的交换机处的网络流量;采集终端侧的日志信息。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行权利要求1-4任一所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1-4任一所述的方法。
CN201911352786.2A 2019-12-25 2019-12-25 基于异常点发现威胁组织攻击的方法、装置及存储介质 Pending CN111224953A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911352786.2A CN111224953A (zh) 2019-12-25 2019-12-25 基于异常点发现威胁组织攻击的方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911352786.2A CN111224953A (zh) 2019-12-25 2019-12-25 基于异常点发现威胁组织攻击的方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN111224953A true CN111224953A (zh) 2020-06-02

Family

ID=70827891

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911352786.2A Pending CN111224953A (zh) 2019-12-25 2019-12-25 基于异常点发现威胁组织攻击的方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN111224953A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073437A (zh) * 2020-10-09 2020-12-11 腾讯科技(深圳)有限公司 多维度的安全威胁事件分析方法、装置、设备及存储介质
CN113067812A (zh) * 2021-03-17 2021-07-02 哈尔滨安天科技集团股份有限公司 Apt攻击事件溯源分析方法、装置和计算机可读介质
CN114154019A (zh) * 2022-02-10 2022-03-08 奇安信科技集团股份有限公司 一种拓线分析方法、装置、电子设备及存储介质
CN114866358A (zh) * 2022-07-07 2022-08-05 中国人民解放军国防科技大学 一种基于知识图谱的自动化渗透测试方法及系统
CN115022063A (zh) * 2022-06-14 2022-09-06 安天科技集团股份有限公司 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170085584A1 (en) * 2014-11-17 2017-03-23 Vade Retro Technology Inc. Detecting and thwarting spear phishing attacks in electronic messages
CN108234419A (zh) * 2016-12-21 2018-06-29 江苏神州信源系统工程有限公司 一种基于大数据的网络攻击监测方法和装置
CN108965349A (zh) * 2018-10-19 2018-12-07 周红梅 一种监测高级持续性网络攻击的方法和系统
CN109495471A (zh) * 2018-11-15 2019-03-19 东信和平科技股份有限公司 一种对web攻击结果判定方法、装置、设备及可读存储介质
CN109688105A (zh) * 2018-11-19 2019-04-26 中国科学院信息工程研究所 一种威胁报警信息生成方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170085584A1 (en) * 2014-11-17 2017-03-23 Vade Retro Technology Inc. Detecting and thwarting spear phishing attacks in electronic messages
CN108234419A (zh) * 2016-12-21 2018-06-29 江苏神州信源系统工程有限公司 一种基于大数据的网络攻击监测方法和装置
CN108965349A (zh) * 2018-10-19 2018-12-07 周红梅 一种监测高级持续性网络攻击的方法和系统
CN109495471A (zh) * 2018-11-15 2019-03-19 东信和平科技股份有限公司 一种对web攻击结果判定方法、装置、设备及可读存储介质
CN109688105A (zh) * 2018-11-19 2019-04-26 中国科学院信息工程研究所 一种威胁报警信息生成方法及系统

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073437A (zh) * 2020-10-09 2020-12-11 腾讯科技(深圳)有限公司 多维度的安全威胁事件分析方法、装置、设备及存储介质
CN112073437B (zh) * 2020-10-09 2023-12-19 腾讯科技(深圳)有限公司 多维度的安全威胁事件分析方法、装置、设备及存储介质
CN113067812A (zh) * 2021-03-17 2021-07-02 哈尔滨安天科技集团股份有限公司 Apt攻击事件溯源分析方法、装置和计算机可读介质
CN113067812B (zh) * 2021-03-17 2023-02-28 安天科技集团股份有限公司 Apt攻击事件溯源分析方法、装置和计算机可读介质
CN114154019A (zh) * 2022-02-10 2022-03-08 奇安信科技集团股份有限公司 一种拓线分析方法、装置、电子设备及存储介质
CN114154019B (zh) * 2022-02-10 2022-04-12 奇安信科技集团股份有限公司 一种拓线分析方法、装置、电子设备及存储介质
CN115022063A (zh) * 2022-06-14 2022-09-06 安天科技集团股份有限公司 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质
CN115022063B (zh) * 2022-06-14 2023-08-29 安天科技集团股份有限公司 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质
CN114866358A (zh) * 2022-07-07 2022-08-05 中国人民解放军国防科技大学 一种基于知识图谱的自动化渗透测试方法及系统
CN114866358B (zh) * 2022-07-07 2022-09-09 中国人民解放军国防科技大学 一种基于知识图谱的自动化渗透测试方法及系统

Similar Documents

Publication Publication Date Title
CN111224953A (zh) 基于异常点发现威胁组织攻击的方法、装置及存储介质
CN111030986B (zh) 一种攻击组织溯源分析的方法、装置及存储介质
US8370389B1 (en) Techniques for authenticating users of massive multiplayer online role playing games using adaptive authentication
CN108875364B (zh) 未知文件的威胁性判定方法、装置、电子设备及存储介质
CN110868377B (zh) 一种网络攻击图的生成方法、装置及电子设备
CN114329489A (zh) Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质
CN110866248B (zh) 一种勒索病毒识别方法、装置、电子设备及存储介质
CN113973012A (zh) 一种威胁检测方法、装置、电子设备及可读存储介质
US20190081970A1 (en) Specifying system, specifying device, and specifying method
CN106203092B (zh) 一种拦截恶意程序关机的方法、装置及电子设备
CN111062027A (zh) 防止bad HID设备入侵的方法、装置、电子设备及存储介质
CN112926055A (zh) 基于时间概率攻击图的病毒攻击防御方法
CN111030974A (zh) 一种apt攻击事件检测方法、装置及存储介质
CN114297632A (zh) 主机失陷检测方法、装置、电子设备及存储介质
CN110826837A (zh) 一种网站资产实时风险的评估方法、装置及存储介质
CN111030977A (zh) 一种攻击事件追踪方法、装置及存储介质
CN113987489A (zh) 一种网络未知威胁的检测方法、装置、电子设备及存储介质
CN113225356B (zh) 一种基于ttp的网络安全威胁狩猎方法及网络设备
CN112090087B (zh) 游戏外挂的检测方法及装置、存储介质、计算机设备
CN114281587A (zh) 一种终端设备资产异常检测方法、装置、电子设备及存储介质
CN114285608A (zh) 一种网络攻击诱捕方法、装置、电子设备及存储介质
CN115766285A (zh) 网络攻击防御检测方法、装置、电子设备及存储介质
CN114301699A (zh) 行为预测方法及装置、电子设备和计算机可读存储介质
CN108875363B (zh) 一种加速虚拟执行的方法、装置、电子设备及存储介质
CN114285619A (zh) 一种网络信息展示方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200602

WD01 Invention patent application deemed withdrawn after publication