CN111277561A - 网络攻击路径预测方法、装置及安全管理平台 - Google Patents
网络攻击路径预测方法、装置及安全管理平台 Download PDFInfo
- Publication number
- CN111277561A CN111277561A CN201911399774.5A CN201911399774A CN111277561A CN 111277561 A CN111277561 A CN 111277561A CN 201911399774 A CN201911399774 A CN 201911399774A CN 111277561 A CN111277561 A CN 111277561A
- Authority
- CN
- China
- Prior art keywords
- attack
- attack path
- asset
- probability
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻击路径预测方法、装置及安全管理平台,该方法包括:获取网络运行中产生的各类告警信息,该告警信息至少包括:未知设备告警信息、外设告警信息,各告警信息中包括告警时间、源资产IP和目的资产IP;将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径;根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率;将攻击概率最大的攻击路径确定为最优攻击路径。该方法确定的最优攻击路径,可以清晰查看到攻击的来源、去向、受到攻击的资产、存在安全隐患的设备,从而可以对攻击过程中的所有资产进行具体的分析,对可能受到攻击的资产进行安全防护。
Description
技术领域
本发明涉及信息技术的网络安全技术领域,具体涉及一种网络攻击路径预测方法、装置及安全管理平台。
背景技术
在工业控制系统(简称工控系统)网络安全实践中,由于工业控制系统的进程、通讯和数据相对单一、稳定,工业控制系统对业务的可靠性、连续性有严格要求,因此工业控制环境下的白名单或黑名单技术被引入进来。
目前,对于工业级资产设备的攻击分析都是基于黑名单技术,基于黑名单技术的攻击分析都是针对已知的安全漏洞、已经受到攻击的资产进行分析,而对于攻击过程中的攻击路径没有整体的认知,不能对攻击路径进行预测,不利于对资产进行安全防护。
发明内容
有鉴于此,本发明实施例提供了一种网络攻击路径预测方法、装置及安全管理平台,以解决现有攻击分析中对于攻击过程中的攻击路径没有整体的认知,不能对攻击路径进行预测,不利于后续对资产进行安全防护的问题。
根据第一方面,本发明实施例提供了一种网络攻击路径预测方法,包括:获取网络运行中产生的各类告警信息,告警信息至少包括:未知设备告警信息、外设告警信息,各告警信息中包括告警时间、源资产IP和目的资产IP;将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径;根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率;将攻击概率最大的攻击路径确定为最优攻击路径。
可选地,根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率,包括:将各攻击路径中各资产IP的权重进行相加得到各攻击路径的攻击概率。
可选地,根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率,还包括:判断各攻击路径中是否包括第三方病毒引擎告警的资产IP;将包括第三方病毒引擎告警的资产IP的攻击路径的攻击概率增加第一预设值。
可选地,根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率,还包括:判断各攻击路径中是否包括预设高危端口产生的告警资产IP;将包括预设高危端口产生的告警资产IP的攻击路径的攻击概率增加第二预设值。
根据第二方面,本发明实施例提供了一种网络攻击路径预测装置,包括:获取单元,用于获取网络运行中产生的各类告警信息,告警信息至少包括:未知设备告警信息、外设告警信息,各告警信息中包括告警时间、源资产IP和目的资产IP;构建单元,用于将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径;计算单元,用于根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率;确定单元,用于将攻击概率最大的攻击路径确定为最优攻击路径。
可选地,计算单元包括:相加子单元,用于将各攻击路径中各资产IP的权重进行相加得到各攻击路径的攻击概率。
可选地,计算单元还包括:第一判断子单元,用于判断各攻击路径中是否包括第三方病毒引擎告警的资产IP;第一增加子单元,用于将包括第三方病毒引擎告警的资产IP的攻击路径的攻击概率增加第一预设值。
可选地,计算单元还包括:第二判断子单元,用于判断各攻击路径中是否包括预设高危端口产生的告警资产IP;第二增加子单元,用于将包括预设高危端口产生的告警资产IP的攻击路径的攻击概率增加第二预设值。
根据第三方面,本发明实施例提供了一种安全管理平台,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器执行如第一方面或第一方面任意方式中的网络攻击路径预测方法。
根据第四方面,本发明实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,计算机指令用于使计算机执行如第一方面或第一方面任意实施方式中的网络攻击路径预测方法。
本发明实施例提供的网络攻击路径预测方法、装置及安全管理平台,通过获取违反白名单的各类告警信息,将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径,并计算各攻击路径的概率,将攻击概率最大的攻击路径确定为最优攻击路径,从而根据最优攻击路径,对可能发生的攻击形成整体的分析认知,可以清晰查看到攻击的来源、去向、受到攻击的资产、存在安全隐患的设备,从而可以了解病毒的攻击方式,对攻击发起到结束的整个资产进行具体的分析,对可能受到攻击的资产及时进行安全防护,并对已经感染病毒的资产进行相应处理,从而消除可能存在的攻击。且各类告警信息都是基于白名单技术,所有不满足白名单技术的告警都获取,相比黑名单技术,告警信息更加全面,不会存在遗漏情况。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例中网络攻击路径预测方法的流程图;
图2示出了本发明实施例的网络攻击路径预测装置的结构框图;
图3示出了本发明实施例的安全管理平台的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种网络攻击路径预测方法,如图1所示,包括:
S101.获取网络运行中产生的各类告警信息,告警信息至少包括:未知设备告警信息、外设告警信息,各告警信息中包括告警时间、源资产IP和目的资产IP。
具体地,网络运行过程中的告警有来自安全管理平台(USM)获取的告警信息,也有来自安全主机卫士(IEG)上报的告警信息。安全管理平台是监测异常告警信息、异常网络流量信息的平台,异常告警信息包括:地址欺骗告警信息、未知设备告警信息。其中,地址欺骗告警是指:在USM配置允许的已知资产白名单IP/MAC信息,如果发现有不在已知资产白名单IP/MAC信息内的资产IP/MAC,产生地址欺骗告警信息。未知设备告警是指:在USM配置已知资产白名单IP信息,如果检测到有非已知资产白名单IP接入网络,产生未知设备接入告警信息。异常网络流量信息包括异常流量告警信息。异常流量告警是指:在USM配置允许的资产白名单IP网络通信基线,如果发现有不在基线内的流量信息,产生异常流量告警信息。
安全主机卫士是安装在资产上的安全防护软件、监测并上报资产设备安全状态。资产设备安全状态包括外设告警信息及非法外联告警信息。其中,外设告警是指:在IEG中监测到不在外部设备白名单列表中的外部设备接入,如U盘等,会产生外设告警。非法外联告警是指:在IEG中配置允许资产访问的安全链接,如果监测到资产访问了非法的地址链接,会产生非法外联告警。
S102.将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径;具体地,根据获得的所有告警信息按时间进行排序,每个告警信息会有告警时间、源资产IP、目的资产IP信息。每个IP资产信息就是一个节点信息,从源资产IP到目的资产IP的方向就是一个有攻击方向的有向线。根据告警信息获取到资产节点与有向线,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,可以绘制攻击路径。攻击路径中还可以包括有向线边上的告警的次数。
S103.根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率;具体地,由告警信息构建的攻击路径有多条,需要找到一条最优的路径作为攻击路径进行分析。从而可以计算各攻击路径的概率得到最优攻击路径。在计算各攻击路径的概率时,可以考虑资产权重、攻击成本等因素,从而制定概率计算规则,计算各路径的概率。
S104.将攻击概率最大的攻击路径确定为最优攻击路径。具体地,根据各路径的攻击概率,将攻击概率最大的攻击路径确定为最优攻击路径。
本发明实施例提供的网络攻击路径预测方法,通过获取违反白名单的各类告警信息,将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径,并计算各攻击路径的概率,将攻击概率最大的攻击路径确定为最优攻击路径,从而根据最优攻击路径,对可能发生的攻击形成整体的分析认知,可以清晰查看到攻击的来源、去向、受到攻击的资产、存在安全隐患的设备,从而可以了解病毒的攻击方式,对攻击发起到结束的整个资产进行具体的分析,对可能受到攻击的资产及时进行安全防护,并对已经感染病毒的资产进行相应处理,从而消除可能存在的攻击。且各类告警信息都是基于白名单技术,所有不满足白名单技术的告警都获取,相比黑名单技术,告警信息更加全面,不会存在遗漏情况。
在可选的实施例中,步骤S103中,根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率,具体包括:将各攻击路径中各资产IP的权重进行相加得到各攻击路径的攻击概率。具体地,在USM上,对各资产进行了权重的分配,如果权重越大,需要关注度就越高。从而,可以将攻击路径中各资产的权重进行相加,相加后就得到了该攻击路径的攻击概率。通过将各攻击路径中各资产IP的权重进行相加得到攻击路径的攻击概率,计算简单,且实用。
在可选的实施例中,步骤S103中,根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率,还包括:判断各攻击路径中是否包括第三方病毒引擎告警的资产IP;将包括第三方病毒引擎告警的资产IP的攻击路径的攻击概率增加第一预设值。具体地,在攻击路径中,如果有第三方病毒引擎告警的资产IP,说明已经有明确的中毒信息,此时,攻击概率增加第一预设值,该第一预设值可以例如为1。在计算攻击路径的概率时考虑已经中毒的资产IP,可以使得计算的攻击路径的概率更加合理。
在可选的实施例中,步骤S103中,根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率,还包括:判断各攻击路径中是否包括预设高危端口产生的告警资产IP;将包括预设高危端口产生的告警资产IP的攻击路径的攻击概率增加第二预设值。具体地,在攻击路径中,如果有预设高危端口(例如445)产生的告警资产IP,则该攻击路径的攻击可能性很大,则可以将包括预设高危端口产生的告警资产IP的攻击路径的攻击概率增加第二预设值,该第二预设值可以例如为0.5。将包括预设高危端口产生的告警资产IP的攻击路径的攻击概率增加第二预设值,可以使得计算的攻击路径的概率更加合理。
本发明实施例还提供了一种网络攻击路径预测装置,如图2所示,包括:
获取单元21,用于获取网络运行中产生的各类告警信息,告警信息至少包括:未知设备告警信息、外设告警信息,各告警信息中包括告警时间、源资产IP和目的资产IP;具体的描述详见上述实施例网络攻击路径预测方法中S101的描述,在此不再赘述。
构建单元22,用于将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径;具体的描述详见上述实施例网络攻击路径预测方法中S102的描述,在此不再赘述。
计算单元23,用于根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率;具体的描述详见上述实施例网络攻击路径预测方法中S103的描述,在此不再赘述。
确定单元24,用于将攻击概率最大的攻击路径确定为最优攻击路径。具体的描述详见上述实施例网络攻击路径预测方法中S104的描述,在此不再赘述。
本发明实施例提供的网络攻击路径预测装置,通过获取违反白名单的各类告警信息,将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径,并计算各攻击路径的概率,将攻击概率最大的攻击路径确定为最优攻击路径,从而根据最优攻击路径,可以清晰查看到攻击的来源、去向、受到攻击的资产、存在安全隐患的设备,从而可以了解病毒的攻击方式,对攻击发起到结束的整个资产进行具体的分析,对可能受到攻击的资产及时进行安全防护,并对已经感染病毒的资产进行相应处理,从而消除可能存在的攻击。且各类告警信息都是基于白名单技术,所有不满足白名单技术的告警都获取,相比黑名单技术,告警信息更加全面,不会存在遗漏情况。
在可选的实施例中,计算单元包括:相加子单元,用于将各攻击路径中各资产IP的权重进行相加得到各攻击路径的攻击概率。具体地,在USM上,对各资产进行了权重的分配,如果权重越大,需要关注度就越高。从而,可以将攻击路径中各资产的权重进行相加,相加后就得到了该攻击路径的攻击概率。通过将各攻击路径中各资产IP的权重进行相加得到攻击路径的攻击概率,计算简单,且实用。
在可选的实施例中,计算单元还包括:第一判断子单元,用于判断各攻击路径中是否包括第三方病毒引擎告警的资产IP;第一增加子单元,用于将包括第三方病毒引擎告警的资产IP的攻击路径的攻击概率增加第一预设值。具体地,在攻击路径中,如果有第三方病毒引擎告警的资产IP,说明已经有明确的中毒信息,此时,攻击概率增加第一预设值,该第一预设值可以例如为1。在计算攻击路径的概率时考虑已经中毒的资产IP,可以使得计算的攻击路径的概率更加合理。
在可选的实施例中,计算单元还包括:第二判断子单元,用于判断各攻击路径中是否包括预设高危端口产生的告警资产IP;第二增加子单元,用于将包括预设高危端口产生的告警资产IP的攻击路径的攻击概率增加第二预设值。具体地,在攻击路径中,如果有预设高危端口(例如445)产生的告警资产IP,则该攻击路径的攻击可能性很大,则可以将包括预设高危端口产生的告警资产IP的攻击路径的攻击概率增加第二预设值,该第二预设值可以例如为0.5。将包括预设高危端口产生的告警资产IP的攻击路径的攻击概率增加第二预设值,可以使得计算的攻击路径的概率更加合理。
本发明实施例还提供了一种安全管理平台,如图3所示,该安全管理平台可以包括处理器31和存储器32,其中处理器31和存储器22可以通过总线或者其他方式连接,图3中以通过总线连接为例。
处理器31可以为中央处理器(Central Processing Unit,CPU)。处理器31还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器32作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的网络攻击路径预测方法对应的程序指令/模块。处理器31通过运行存储在存储器32中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的网络攻击路径预测方法。
存储器32可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器31所创建的数据等。此外,存储器32可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器32可选包括相对于处理器31远程设置的存储器,这些远程存储器可以通过网络连接至处理器31。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的一个或者多个模块存储在所述存储器32中,当被所述处理器31执行时,执行如图1所示实施例中的网络攻击路径预测方法。
上述安全管理平台具体细节可以对应参阅图1所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本发明实施例提供的安全管理平台,通过获取违反白名单的各类告警信息,将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产IP作为攻击路径起点,构建多条攻击路径,并计算各攻击路径的概率,将攻击概率最大的攻击路径确定为最优攻击路径,从而根据最优攻击路径,可以清晰查看到攻击的来源、去向、受到攻击的资产、存在安全隐患的设备,从而可以了解病毒的攻击方式,对攻击发起到结束的整个资产进行具体的分析,对可能受到攻击的资产及时进行安全防护,并对已经感染病毒的资产进行相应处理,从而消除可能存在的攻击。且各类告警信息都是基于白名单技术,所有不满足白名单技术的告警都获取,相比黑名单技术,告警信息更加全面,不会存在遗漏情况。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种网络攻击路径预测方法,其特征在于,包括:
获取网络运行中产生的各类告警信息,所述告警信息至少包括:未知设备告警信息、外设告警信息,各所述告警信息中包括告警时间、源资产IP和目的资产IP;
将各所述告警信息按时间进行排序,以所述未知设备告警信息、外设告警信息中的所述目的资产IP作为攻击路径起点,构建多条攻击路径;
根据各所述攻击路径及预设概率计算规则,计算各所述攻击路径的攻击概率;
将攻击概率最大的攻击路径确定为最优攻击路径。
2.根据权利要求1所述的网络攻击路径预测方法,其特征在于,所述根据各所述攻击路径及预设概率计算规则,计算各所述攻击路径的攻击概率,包括:
将各所述攻击路径中各资产IP的权重进行相加得到各所述攻击路径的攻击概率。
3.根据权利要求2所述的网络攻击路径预测方法,其特征在于,所述根据各所述攻击路径及预设概率计算规则,计算各攻击路径的攻击概率,还包括:
判断各所述攻击路径中是否包括第三方病毒引擎告警的资产IP;
将包括第三方病毒引擎告警的资产IP的所述攻击路径的攻击概率增加第一预设值。
4.根据权利要求3所述的网络攻击路径预测方法,其特征在于,所述根据各所述攻击路径及预设概率计算规则,计算各攻击路径的攻击概率,还包括:
判断各所述攻击路径中是否包括预设高危端口产生的告警资产IP;
将包括预设高危端口产生的告警资产IP的所述攻击路径的攻击概率增加第二预设值。
5.一种网络攻击路径预测装置,其特征在于,包括:
获取单元,用于获取网络运行中产生的各类告警信息,所述告警信息至少包括:未知设备告警信息、外设告警信息,各所述告警信息中包括告警时间、源资产IP和目的资产IP;
构建单元,用于将各所述告警信息按时间进行排序,以所述未知设备告警信息、外设告警信息中的所述目的资产IP作为攻击路径起点,构建多条攻击路径;
计算单元,用于根据各所述攻击路径及预设概率计算规则,计算各所述攻击路径的攻击概率;
确定单元,用于将攻击概率最大的攻击路径确定为最优攻击路径。
6.根据权利要求5所述的网络攻击路径预测装置,其特征在于,所述计算单元包括:
相加子单元,用于将各所述攻击路径中各资产IP的权重进行相加得到各所述攻击路径的攻击概率。
7.根据权利要求6所述的网络攻击路径预测装置,其特征在于,所述计算单元还包括:
第一判断子单元,用于判断各所述攻击路径中是否包括第三方病毒引擎告警的资产IP;
第一增加子单元,用于将包括第三方病毒引擎告警的资产IP的所述攻击路径的攻击概率增加第一预设值。
8.根据权利要求7所述的网络攻击路径预测装置,其特征在于,所述计算单元还包括:
第二判断子单元,用于判断各所述攻击路径中是否包括预设高危端口产生的告警资产IP;
第二增加子单元,用于将包括预设高危端口产生的告警资产IP的所述攻击路径的攻击概率增加第二预设值。
9.一种安全管理平台,其特征在于,包括:
至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权利要求1-4任意一项所述的网络攻击路径预测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-4任意一项所述的网络攻击路径预测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911399774.5A CN111277561B (zh) | 2019-12-27 | 2019-12-27 | 网络攻击路径预测方法、装置及安全管理平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911399774.5A CN111277561B (zh) | 2019-12-27 | 2019-12-27 | 网络攻击路径预测方法、装置及安全管理平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111277561A true CN111277561A (zh) | 2020-06-12 |
| CN111277561B CN111277561B (zh) | 2022-05-24 |
Family
ID=71001540
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911399774.5A Active CN111277561B (zh) | 2019-12-27 | 2019-12-27 | 网络攻击路径预测方法、装置及安全管理平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111277561B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738071A (zh) * | 2020-12-25 | 2021-04-30 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN113228713A (zh) * | 2021-03-31 | 2021-08-06 | 华为技术有限公司 | 确定攻击路径的防护方案的方法和装置 |
| CN113518086A (zh) * | 2021-07-09 | 2021-10-19 | 绿盟科技集团股份有限公司 | 网络攻击预测的方法、装置及存储介质 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724210A (zh) * | 2012-06-29 | 2012-10-10 | 上海海事大学 | 一种求解k最大概率攻击图的网络安全分析方法 |
| US20130318616A1 (en) * | 2012-05-23 | 2013-11-28 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
| GB201414883D0 (en) * | 2013-08-23 | 2014-10-08 | Boeing Co | System and method for discovering optimal network attack paths |
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| US10178109B1 (en) * | 2016-03-31 | 2019-01-08 | Symantec Corporation | Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry |
| CN109327449A (zh) * | 2018-10-25 | 2019-02-12 | 中国移动通信集团海南有限公司 | 一种攻击路径还原方法、电子装置和计算机可读存储介质 |
| CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
| CN110049015A (zh) * | 2019-03-19 | 2019-07-23 | 中国南方电网有限责任公司 | 网络安全态势感知系统 |
| CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
| CN110572409A (zh) * | 2019-09-16 | 2019-12-13 | 国家计算机网络与信息安全管理中心 | 工业互联网的安全风险预测方法、装置、设备及存储介质 |
-
2019
- 2019-12-27 CN CN201911399774.5A patent/CN111277561B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130318616A1 (en) * | 2012-05-23 | 2013-11-28 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
| US20130318615A1 (en) * | 2012-05-23 | 2013-11-28 | International Business Machines Corporation | Predicting attacks based on probabilistic game-theory |
| CN102724210A (zh) * | 2012-06-29 | 2012-10-10 | 上海海事大学 | 一种求解k最大概率攻击图的网络安全分析方法 |
| GB201414883D0 (en) * | 2013-08-23 | 2014-10-08 | Boeing Co | System and method for discovering optimal network attack paths |
| US10178109B1 (en) * | 2016-03-31 | 2019-01-08 | Symantec Corporation | Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry |
| CN107196895A (zh) * | 2016-11-25 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 网络攻击溯源实现方法及装置 |
| CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
| CN109327449A (zh) * | 2018-10-25 | 2019-02-12 | 中国移动通信集团海南有限公司 | 一种攻击路径还原方法、电子装置和计算机可读存储介质 |
| CN109784043A (zh) * | 2018-12-29 | 2019-05-21 | 北京奇安信科技有限公司 | 攻击事件还原方法、装置、电子设备及存储介质 |
| CN110049015A (zh) * | 2019-03-19 | 2019-07-23 | 中国南方电网有限责任公司 | 网络安全态势感知系统 |
| CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
| CN110572409A (zh) * | 2019-09-16 | 2019-12-13 | 国家计算机网络与信息安全管理中心 | 工业互联网的安全风险预测方法、装置、设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| OUISSEM BEN FREDJ: "A realistic graph-based alert correlation system", 《SECURITY AND COMMUNICATION NETWORKS》 * |
| 佚名: "攻击面可视化技术如何解决传统网络防御的被动处境", 《NEWS.NEWHUA.COM/2019/0301/336590.SHTML》 * |
| 王硕: "基于因果知识网络的攻击路径预测方法", 《通信学报》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738071A (zh) * | 2020-12-25 | 2021-04-30 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN112738071B (zh) * | 2020-12-25 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN113228713A (zh) * | 2021-03-31 | 2021-08-06 | 华为技术有限公司 | 确定攻击路径的防护方案的方法和装置 |
| CN113518086A (zh) * | 2021-07-09 | 2021-10-19 | 绿盟科技集团股份有限公司 | 网络攻击预测的方法、装置及存储介质 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111277561B (zh) | 2022-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111277561B (zh) | 网络攻击路径预测方法、装置及安全管理平台 | |
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| US9948667B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| CN106716953B (zh) | 控制系统中的网络安全风险的动态量化 | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US20160021131A1 (en) | Identifying stealth packets in network communications through use of packet headers | |
| CN112073389B (zh) | 云主机安全态势感知系统、方法、设备及存储介质 | |
| CN112534432A (zh) | 不熟悉威胁场景的实时缓解 | |
| CN110602135B (zh) | 网络攻击处理方法、装置以及电子设备 | |
| KR20150124370A (ko) | 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템 | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| CN107733725B (zh) | 一种安全预警方法、装置、设备及存储介质 | |
| EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| US20120329426A1 (en) | System and method for monitoring the security of cellular device communication | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
| CN106506449B (zh) | 一种未知异常的检测方法、装置及检测设备 | |
| US20220407873A1 (en) | Analysis device and analysis method | |
| CN106899977B (zh) | 异常流量检验方法和装置 | |
| CN113098827A (zh) | 基于态势感知的网络安全预警方法及装置 | |
| US20220182260A1 (en) | Detecting anomalies on a controller area network bus | |
| CN114124560A (zh) | 一种失陷主机的检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |