CN111324889A - 安全事件预测方法、装置、设备及计算机可读存储介质 - Google Patents

安全事件预测方法、装置、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN111324889A
CN111324889A CN202010146360.8A CN202010146360A CN111324889A CN 111324889 A CN111324889 A CN 111324889A CN 202010146360 A CN202010146360 A CN 202010146360A CN 111324889 A CN111324889 A CN 111324889A
Authority
CN
China
Prior art keywords
predicted
security
security event
event
prediction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010146360.8A
Other languages
English (en)
Inventor
蒲大峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202010146360.8A priority Critical patent/CN111324889A/zh
Publication of CN111324889A publication Critical patent/CN111324889A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种安全事件预测方法、装置、设备及计算机可读存储介质,该安全事件预测方法包括以下步骤:获取待预测主机中的预测安全事件;按照预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对预测安全事件进行排序,得到输入变量;将输入变量输入至预先训练的安全事件预测模型,确定待预测主机对应的预测结果,预测结果至少包括下一步出现的安全事件。本发明通过构建安全时间预测模型,对当前遭受网络攻击的网络设备进行预测即将要发生的安全事件,以预测网络系统未来可能遭受到的多步攻击行为、黑客入侵的最终目标以及可能遭受威胁的设施和设备,从而可以提前采取有效的针对性措施,加以防御和阻止,提高了网络的安全性。

Description

安全事件预测方法、装置、设备及计算机可读存储介质
技术领域
本发明涉及网络安全领域,尤其涉及一种安全事件预测方法、装置、设备及计算机可读存储介质。
背景技术
现阶段,网络攻击预警是实现网络安全主动防御的关键环节。利用海量的网络安全数据发现黑客入侵的行为和规律,预测网络系统未来可能遭受到的多步攻击行为、黑客入侵的最终目标以及可能遭受威胁的设施和设备,从而可以采取有效的针对性措施,加以对入侵的黑客进行有效的防御和阻止。
现今网络入侵攻击越来越多,因此在现有技术中,为了从最大程度来保证网络的安全性,防病毒系统、防火墙、入侵检测系统等安全防护设备被广泛应用在网络系统中,被视为网络安全研究的辅助防御阶段。这个阶段构建了多层次、立体化的安全防御体系,这些安全防御技术虽然从一定程度上提高了网络的安全性,但是大多数是基于规则匹配的,对多步攻击行为的判别无能为力,无法实时预测入侵者的网络攻击行为,而且这些安全设备大多功能不一,各自为战,形成了没有关联的“安全孤岛”。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种安全事件预测方法、装置、设备及计算机可读存储介质,旨在解决现有网络安全系统无法实时预测网络攻击行为的技术问题。
为实现上述目的,本发明提供一种安全事件预测方法,所述安全事件预测方法包括以下步骤:
获取待预测主机中的预测安全事件;
按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量;
将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果,所述预测结果至少包括下一步出现的安全事件。
可选地,所述按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量的步骤包括:
根据预设的安全事件与攻击阶段的对应关系确定所述预测安全事件对应的攻击阶段;
根据预设的安全事件与风险等级的对应关系确定所述预测安全事件对应的风险等级;
按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量。
可选地,所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤之前,还包括:
从多个受害者主机中获取安全事件集合,并按照所述安全事件集合中的安全事件发生的时序关系以及攻击阶段对所述安全事件集合进行排序,得到训练数据集;
基于所述训练数据集,确定安全事件预测模型。
可选地,所述预测模型为神经网络模型;
所述基于所述训练数据集,确定安全事件预测模型的步骤包括:
将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型。
可选地,所述将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型的步骤包括:
将所述训练数据集输入至神经网络模型,训练所述神经网络模型,确定安全事件对应的攻击规则以及所述攻击规则对应的安全事件预测模型。
可选地,所述预测结果还包括下一步出现的安全事件的概率;
所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机下一步出现的安全事件的概率。
可选地,所述预测结果还包括待预测主机最终出现的安全事件及最终出现的安全事件的概率;
所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机最终出现的安全事件及最终出现的安全事件的概率。
此外,为实现上述目的,本发明还提供一种安全事件预测装置,所述安全事件预测装置包括:
获取模块,用于获取待预测主机中的预测安全事件;
数据处理模块,用于按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量;
预测模块,用于将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果,所述预测结果至少包括下一步出现的安全事件。
此外,为实现上述目的,本发明还提供一种安全事件预测设备,所述安全事件预测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全事件预测程序,所述安全事件预测程序被所述处理器执行时实现如上述的安全事件预测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有安全事件预测程序,所述安全事件预测程序被处理器执行时实现如上述的安全事件预测方法的步骤。
本发明通过获取待预测主机中的预测安全事件;按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量;将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果,所述预测结果至少包括下一步出现的安全事件,利用海量的网络安全数据(安全事件集合)构建安全事件预测模型,对当前遭受网络攻击的网络设备进行预测即将要发生的安全事件(预测结果),使得网络系统实现预测即将要发生的安全事件网络攻击行为,则网络设备(待预测主机)可以对下一步的网络入侵攻击进行防御与对抗,从而使得网络设备对于网络攻击具备良好的准备性,提高了网络的安全性。同时,构建安全事件预测模型以发现黑客入侵的行为和规律,预测网络系统未来可能遭受到的网络攻击行为、黑客入侵的最终目标以及可能遭受威胁的设施和设备,使得网络系统能够及时采取有效的针对性措施,加以防御和阻止,对当前遭受网络攻击的网络设备预测即将要发生的安全事件,以供网络设备(待预测主机)可以对下一步的网络入侵攻击进行防御与对抗。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的安全事件预测设备结构示意图;
图2为本发明安全事件预测方法第一实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的安全事件预测设备结构示意图。
本发明实施例安全事件预测设备可以是PC,也可以是智能手机、平板电脑、便携计算机等具有显示功能的可移动式终端设备。
如图1所示,该安全事件预测设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,安全事件预测设备还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。
本领域技术人员可以理解,图1中示出的安全事件预测设备结构并不构成对安全事件预测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及安全事件预测程序。
在图1所示的安全事件预测设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的安全事件预测程序。
在本实施例中,安全事件预测装置包括:存储器1005、处理器1001及存储在所述存储器1005上并可在所述处理器1001上运行的安全事件预测程序,其中,处理器1001调用存储器1005中存储的安全事件预测程序时,并执行以下操作:
获取待预测主机中的预测安全事件;
按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量;
将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果,所述预测结果至少包括下一步出现的安全事件
进一步地,处理器1001可以调用存储器1005中存储的安全事件预测程序,还执行以下操作:
根据预设的安全事件与攻击阶段的对应关系确定所述预测安全事件对应的攻击阶段;
根据预设的安全事件与风险等级的对应关系确定所述预测安全事件对应的风险等级;
按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量。
进一步地,处理器1001可以调用存储器1005中存储的安全事件预测程序,还执行以下操作:
从多个受害者主机中获取安全事件集合,并按照所述安全事件集合中的安全事件发生的时序关系以及攻击阶段对所述安全事件集合进行排序,得到训练数据集;
基于所述训练数据集,确定安全事件预测模型。
进一步地,处理器1001可以调用存储器1005中存储的安全事件预测程序,还执行以下操作:
所述基于所述训练数据集,确定安全事件预测模型的步骤包括:
将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型。
进一步地,处理器1001可以调用存储器1005中存储的安全事件预测程序,还执行以下操作:
将所述训练数据集输入至神经网络模型,训练所述神经网络模型,确定安全事件对应的攻击规则以及所述攻击规则对应的安全事件预测模型。
进一步地,处理器1001可以调用存储器1005中存储的安全事件预测程序,还执行以下操作:
所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机下一步出现的安全事件的概率。
进一步地,处理器1001可以调用存储器1005中存储的安全事件预测程序,还执行以下操作:
所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机最终出现的安全事件及最终出现的安全事件的概率。
本发明还提供一种安全事件预测方法,参照图2,图2为本发明安全事件预测方法第一实施例的流程示意图。
在本实施例中,该安全事件预测方法包括以下步骤:
步骤S10,获取待预测主机中的预测安全事件;
一实施例中,待预测主机为已被网络攻击的网络设备,并需要进行预测下一次网络攻击的有可能发生的事件。对待检测设备进行实时的监测,以获取待预测主机中的预测安全事件,其中,从待预测主机中获取的预测安全事件可以是一个或多个。对待检测设备进行实时的监测可以是基于预设时间间隔,通过安全事件扫描软件,采集待检测设备的预测安全事件。待预测主机是网络组织中使用的任一网络设备,包括但不限于服务器、网络设备、个人计算机、移动终端、笔记本、网关等。受害者主机是指感染程序病毒,从而被黑客程序控制的网络设备,其可以随时按照黑客的命令与控制(C&C,command and control)指令展开拒绝服务(DoS)攻击或发送垃圾信息等,包括但不限于服务器、网络设备、个人计算机、移动终端、笔记本、网关等。预测安全事件指网络攻击在任一生命周期阶段发生在网络设备上的入侵活动,且预测安全事件用于预测待预测设备可能发生的安全事件。
步骤S20,按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量;
一实施例中,通过实时监控待预测主机,从待预测主机中实时采集预测安全事件,由于所采集到的预测安全事件的顺序杂乱,不适合用于直接输入安全事件预测模型,因此在采集预测安全事件后,按照预测安全事件中发生的时序关系(时间顺序关系)和/或攻击阶段和/或风险等级对从待预测主机中采集的预测安全事件进行排序,以对系列安全事件进行数据处理,得到输入变量,其中,预测安全事件包括多个安全事件。由于预测安全事件具有多个维度的标签,主要从发生的时间序列、事件的风险等级、攻击阶段进行整理归类,即每个预测安全事件对应的数据中都具有对于时序关系、攻击阶段和风险等级三个标签。其中,时序关系代表了安全事件发生的时间点;攻击阶段代表恶意攻击者处于的阶段;风险等级代表当前安全事件的危害程度。较优地,将预测安全事件发生的攻击阶段作为第一标签,将时序关系作为第二标签,基于第一标签和第二标签两个维度,对预测安全事件进行二维排序,排序完成得到输入变量。例如,将预测安全事件发生的攻击阶段作为横坐标,将时序关系作为纵坐标,对预测安全事件进行排序。
步骤S30,将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果,所述预测结果至少包括下一步出现的安全事件。
一实施例中,可以理解的是,在把输入变量输入安全事件预测模型进行预测之前,对一预设神经网络模型进行训练,训练该神经网络模型完成后,得到安全事件预测模型。确定安全事件预测模型后,将待预测主机中所监测到的预测安全事件作为输入变量输入至安全事件预测模型中,对待预测主机可能会发生的安全事件进行预测,以确定预测结果,则从安全事件预测模型中输出的结果则为预测结果,从而预测待预测主机可能会发生的安全事件。对当前受害者主机(待预测主机)的输入变量,通过安全事件预测模型进行分析可以得出根据当前的安全事件的情况,预测下一个阶段可能发生的安全事件是什么,即预测下一个阶段可能发生的预测结果,从而使得网络设备对于网络攻击具备良好的准备性,以供网络设备(待预测主机)对下一步的网络入侵攻击进行防御与对抗。
本实施例提出的安全事件预测方法,通过获取待预测主机中的预测安全事件;以及,按照所述预测安全事件中发生的时序关系以及攻击阶段对所述预测安全事件进行数据处理,得到输入变量;以及,将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果,利用海量的网络安全数据(安全事件集合)构建安全事件预测模型,对当前遭受网络攻击的网络设备进行预测即将要发生的安全事件(预测结果),使得网络系统实现预测即将要发生的安全事件网络攻击行为,则网络设备(待预测主机)可以对下一步的网络入侵攻击进行防御与对抗,从而使得网络设备对于网络攻击具备良好的准备性,提高了网络的安全性。同时,构建安全事件预测模型以发现黑客入侵的行为和规律,预测网络系统未来可能遭受到的网络攻击行为、黑客入侵的最终目标以及可能遭受威胁的设施和设备,使得网络系统能够及时采取有效的针对性措施,加以防御和阻止,对当前遭受网络攻击的网络设备预测即将要发生的安全事件,以供网络设备(待预测主机)可以对下一步的网络入侵攻击进行防御与对抗。
基于第一实施例,提出本发明安全事件预测方法的第二实施例,在本实施例中,步骤S20包括:
步骤a,根据预设的安全事件与攻击阶段的对应关系确定所述预测安全事件对应的攻击阶段;
步骤b,根据预设的安全事件与风险等级的对应关系确定所述预测安全事件对应的风险等级;
步骤c,按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量。
一实施例中,安全事件中包含相关安全信息如日志等,根据安全事件中的相关安全信息以及预设对应关系,可以确定安全事件对应的攻击阶段和/或风险等级和/或时间。具体地,根据安全事件中的相关安全信息以及预设的安全事件与攻击阶段的对应关系确定预测安全事件对应的攻击阶段,根据相关安全信息以及预设的安全事件与风险等级的对应关系确定预测安全事件对应的风险等级,根据相关安全信息确定预测安全事件发生的时间,从而得到预测安全事件的攻击阶段、风险等级和发生的时间。得到预测安全事件的攻击阶段、风险等级和发生的时间之后,按照预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对预测安全事件进行排序,得到输入变量。
进一步地,一实施例中,所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤之前,还包括:
步骤d,从多个受害者主机中获取安全事件集合,按照所述安全事件集合中的安全事件发生的时序关系以及攻击阶段对所述安全事件集合进行排序,得到训练数据集;
一实施例中,训练神经网络模型时,需要预先采集训练数据集,或者采集训练数据集构建训练数据库,训练数据库用于集中在训练数据库处理训练数据以及存储训练数据。具体地,通过扫描受害者主机,从多个受害者主机中采集安全事件集合,每个受害者主机中可以获取多个安全事件例如,从n个受害者主机中采集安全事件集合,若每个受害者主机中均可以采集到m个安全事件,则共有m*n个安全事件组合成安全事件集合。由于所采集到的安全事件集合中的安全事件的顺序杂乱,不适合用于直接训练神经网络模型,因此在采集安全事件集合后,按照时序关系和/或攻击阶段和/或对安全事件集合进行排序,以对安全事件集合进行数据处理,以对安全事件集合进行数据处理,以构建训练数据库。可以是按照时序关系以及攻击阶段对安全事件集合进行排序,以对安全事件集合进行数据处理,或者,在训练数据库中,按照时序关系以及风险等级对安全事件集合进行排序,或者,按照风险等级系以及攻击阶段对安全事件集合进行排序,以对安全事件集合进行数据处理,等等。按照时序关系以及攻击阶段对安全事件集合进行排序,具体地,将安全事件集合中安全事件发生的攻击阶段作为第一标签,将安全事件集合中安全事件发生的时序关系作为第二标签,基于第一标签和第二标签两个维度,对安全事件集合进行二维排序,排序完成得到训练数据集。例如,将安全事件集合发生的攻击阶段作为横坐标,将时序关系作为纵坐标,对安全事件集合进行二维排序。可以理解的是,由于这些安全事件具有多个维度的标签,主要从发生的时间序列、事件的风险等级、攻击阶段进行整理归类,即每个安全事件对应的数据中都具有对于时序关系、攻击阶段和风险等级三个标签。其中,时序关系代表了安全事件发生的时间点;攻击阶段代表恶意攻击者处于的阶段;风险等级代表当前安全事件的危害程度。
可以理解的是,从每个受害者主机中可以获取多个安全事件,每个安全事件包括但不限于时序关系(即安全事件发生的时间)、攻击阶段以及风险高低,时序关系记录了网络设备在被网络攻击时的系统时间,以时间的年月日时分秒记录并存储。风险等级可以是高风险等级、中风险等级、低风险等级;或者以危害程度百分比做标识;风险等级的标识规则在本实施例中不做限定。攻击阶段为网络攻击网络设备所处于的生命周期阶段,在入侵活动中,攻击阶段包括但不限于以下几个典型步骤:阶段一,侦察。第一阶段在于确定潜在目标满足攻击者实施入侵的条件(例如具备理想的经济收益、有针对性地获取敏感信息或者造成品牌损害)。一旦确定了现有防御机制之后,攻击者将据此选择自己的攻击武器——具体包括利用零日安全漏洞、实施鱼叉式网络钓鱼活动或者收买贿赂内部员工等等。阶段二:初步入侵。在初步入侵当中,攻击者通常会绕过边界防御机制并通过存在安全漏洞的系统或者用户帐户访问机制渗透至内部网络当中。阶段三:命令与控制。已遭入侵的网络设备随后会被作为接入组织内部的跳板。一般来讲,攻击者会利用其下载并安装远程访问木马(简称RAT),以便建立针对目标环境的持久性长期远程访问能力。阶段四:横向移动。一旦攻击者与内部网络建立起连接,其即会试图危害其它系统及用户帐户。攻击者通常会冒充授权用户,因此安全方案将很难发现系统遭遇入侵的证据。阶段五:目标达成。在这一阶段当中,攻击者通常已经建立起多个远程访问入口点,并可能已经成功入侵了数百(甚至数千)套内部系统及用户帐户。攻击者在此阶段中已深入了解IT环境中的各方面状况,并能够顺利实现自己的恶意目标。阶段六:渗透、破坏与中断。如果未能有效扼止恶意活动,企业将在最终阶段中遭受严重的经济损失。在此阶段中,攻击者将逐步实现其任务的终极目标,包括窃取知识产权或其它敏感数据、破坏关键性任务系统并常常会中断正常业务运营。一般而言,网络攻击的阶段越深入,风险程度越高,对网络系统的危害程度越高。
步骤e,基于所述训练数据集,确定安全事件预测模型。
一实施例中,将训练数据集输入至神经网络模型,训练该神经网络模型,训练神经网络模型完成,确定安全事件预测模型;或者,从训练数据库中获取训练数据集,并将训练数据集输入至神经网络模型,训练该神经网络模型,训练神经网络模型完成,确定安全事件预测模型。也就是说,将安全事件输入神经网络模型中,训练该神经网络模型,训练完成后确定安全事件预测模型。其中,用于训练的神经网络模型可以是卷积神经网络模型、循环神经网络模型、BP神经网络模型(Back Propagation Neural Network,多层前馈神经网络)或者其它人工神经网络等,神经网络模型在本实施例中不做限定,其中,人工神经网络(Artificial Neural Networks,简写为ANNs)也简称为神经网络(NNs)或称作连接模型(Connection Model),它是一种模仿动物神经网络行为特征,进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度,通过调整内部大量节点之间相互连接的关系,从而达到处理信息的目的。神经网络模型包括输入层、隐藏层以及输出层,每一层都具有输入量和输出量,输入层与隐藏层之间以及隐藏层与输出层之间都具有权值和阈值。
本发明实施例以BP神经网络模型进行举例说明,训练神经网络模型开始,将训练数据集输入到神经网络的输入层中。首先,对神经网络进行正向传播过程的运算,确定神经网络中所有的激活值,激活值包括神经网络隐含层的输出控制量等。之后,对神经网络进行反向传播过程的运算,针对神经网络每一层的每一个节点,确定每个节点的新的权值和阈值,新的权值和阈值表明了该节点对输出层的最终的输出控制量对应的权值和阈值产生了多少影响。最后,确定并输出神经网络输出层的输出控制量。其中,神经网络的训练过程由正向传播过程和反向传播过程组成,正向传播过程,输入模式从输入层经隐单元层逐层处理,并转向输出层,每一层神经元的状态只影响下一层神经元的状态;反向传播过程,将误差信号沿原来的连接通路返回,通过修改各神经元的权值和阈值,使误差最小。
进一步地,一实施例中,所述从多个受害者主机中获取安全事件集合的步骤包括:
步骤f,从每个受害者主机中提取多个安全事件;
步骤g,基于每个受害者主机对应的多个安全事件,确定所述安全事件集合。
一实施例中,扫描多个受害者主机,从每个受害者主机中采集多个安全事件,确定安全事件集合,也就是说,每个受害者主机中可以获取多个安全事件,可以理解的是,从n个受害者主机中采集安全事件,安全事件集合中安全事件的个数的计算公式如下:
m1+m2+...+mn
其中,mn为第n个受害者主机中获取的安全事件数量。
特别地,从n个受害者主机中采集安全事件集合,若每个受害者主机中均采集到m个安全事件,则共有m*n个安全事件组合成安全事件集合。
进一步地,一实施例中,所述将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
步骤h,将所述输入变量输入至所述安全事件预测模型,根据同一预测主机的所有所述预测安全事件发生的时序关系和/或攻击阶段和/或风险等级,确定该同一预测主机的所述预测安全事件之间的攻击规则,确定所述待预测主机对应的预测结果。
一实施例中,将待预测主机中所监测到的预测安全事件作为输入变量输入至安全事件预测模型中,在安全事件预测模型中根据同一预测主机的所有预测安全事件发生的时序关系和/或攻击阶段和/或风险等级,确定该同一预测主机的预测安全事件之间的攻击规则,对待预测主机可能会发生的预测结果进行预测,得到预测待预测主机可能会发生的预测结果,可以是下一步出现的安全事件或者下一步出现的安全事件对应的概率,对当前受害者主机(待预测主机)的输入变量,通过安全事件预测模型进行分析可以得出根据当前的安全事件的情况,预测下一个阶段可能发生的安全事件是什么或者安全事件发生的可能性,即预测下一个阶段可能发生的安全事件或者所发生安全事件对应的概率,从而使得网络设备对于网络攻击具备良好的准备性,以供网络设备(待预测主机)对下一步的网络入侵攻击进行防御与对抗。
进一步地,一实施例中,所述预测模型为神经网络模型;
所述基于所述训练数据集,确定安全事件预测模型的步骤包括:
步骤i,将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型。
一实施例中,将训练数据集输入至神经网络模型,训练该神经网络模型,训练神经网络模型完成,确定安全事件预测模型;或者,从训练数据库中获取训练数据集,并将训练数据集输入至神经网络模型,训练该神经网络模型,训练神经网络模型完成,确定安全事件预测模型。也就是说,将安全事件输入神经网络模型中,训练该神经网络模型,训练完成后确定安全事件预测模型。其中,用于训练的神经网络模型可以是BP神经网络模型(BackPropagation Neural Network,多层前馈神经网络)或者其它人工神经网络,神经网络模型在本实施例中不做限定,其中,人工神经网络(Artificial Neural Networks,简写为ANNs)也简称为神经网络(NNs)或称作连接模型(Connection Model),它是一种模仿动物神经网络行为特征,进行分布式并行信息处理的算法数学模型。这种网络依靠系统的复杂程度,通过调整内部大量节点之间相互连接的关系,从而达到处理信息的目的。神经网络模型包括输入层、隐藏层以及输出层,每一层都具有输入量和输出量,输入层与隐藏层之间以及隐藏层与输出层之间都具有权值和阈值。
本发明实施例以BP神经网络模型进行举例说明,训练神经网络模型开始,将训练数据集输入到神经网络的输入层中。首先,对神经网络进行正向传播过程的运算,确定神经网络中所有的激活值,激活值包括神经网络隐含层的输出控制量等。之后,对神经网络进行反向传播过程的运算,针对神经网络每一层的每一个节点,确定每个节点的新的权值和阈值,新的权值和阈值表明了该节点对输出层的最终的输出控制量对应的权值和阈值产生了多少影响。最后,确定并输出神经网络输出层的输出控制量。其中,神经网络的训练过程由正向传播过程和反向传播过程组成,正向传播过程,输入模式从输入层经隐单元层逐层处理,并转向输出层,每一层神经元的状态只影响下一层神经元的状态;反向传播过程,将误差信号沿原来的连接通路返回,通过修改各神经元的权值和阈值,使误差最小。
进一步地,一实施例中,所述将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型的步骤包括:
步骤j,将所述训练数据集输入至神经网络模型,训练所述神经网络模型,确定安全事件对应的攻击规则以及所述攻击规则对应的安全事件预测模型。
一实施例中,将训练数据集输入至神经网络模型,训练该神经网络模型,根据同一受害者主机的所有安全事件发生的时序关系和/或攻击阶段和/或风险等级,确定该同一受害者主机的预测安全事件之间的攻击规则,从而确定攻击规则对应的安全事件预测模型。也就是说,将安全事件输入神经网络模型中,训练该神经网络模型,训练完成后确定安全事件对应的攻击规则和攻击规则对应的安全事件预测模型。
进一步地,一实施例中,所述预测结果还包括下一步出现的安全事件的概率;
所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
步骤k,将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机下一步出现的安全事件的概率。
一实施例中,将待预测主机中所监测到的预测安全事件作为输入变量输入至安全事件预测模型中,在安全事件预测模型中根据同一预测主机的所有预测安全事件发生的时序关系和/或攻击阶段和/或风险等级,确定该同一预测主机的预测安全事件之间的攻击规则,对待预测主机可能会发生的预测结果进行预测,得到预测待预测主机可能会发生的预测结果,可以是下一步出现的安全事件或者下一步出现的安全事件对应的概率,具体地,对当前受害者主机(待预测主机)的输入变量,通过安全事件预测模型进行分析可以得出根据当前的安全事件的情况,预测下一个阶段可能发生的安全事件发生的可能性,即预测下一个阶段可能发生安全事件对应的概率,从而使得网络设备对于网络攻击具备良好的准备性,以供网络设备(待预测主机)对下一步的网络入侵攻击进行防御与对抗。
进一步地,一实施例中,所述预测结果还包括待预测主机最终出现的安全事件及最终出现的安全事件的概率;
所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
步骤m,将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机最终出现的安全事件及最终出现的安全事件的概率。
一实施例中,将待预测主机中所监测到的预测安全事件作为输入变量输入至安全事件预测模型中,在安全事件预测模型中根据同一预测主机的所有预测安全事件发生的时序关系和/或攻击阶段和/或风险等级,确定该同一预测主机的预测安全事件之间的攻击规则,对待预测主机可能会发生的预测结果进行预测,得到预测待预测主机可能会发生的预测结果,可以是下一步出现的安全事件或者下一步出现的安全事件对应的概率,对当前受害者主机(待预测主机)的输入变量,通过安全事件预测模型进行分析可以得出根据当前的安全事件的情况,预测下一个阶段可能发生的安全事件是什么或者安全事件发生的可能性,即预测下一个阶段可能发生的安全事件或者所发生安全事件对应的概率,从而使得网络设备对于网络攻击具备良好的准备性,以供网络设备(待预测主机)对下一步的网络入侵攻击进行防御与对抗。
进一步地,一实施例中,所述将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型的步骤包括:
步骤n,将所述训练数据集输入至神经网络模型,训练所述神经网络模型,并检测所述神经网络模型是否满足预设的训练停止条件;
步骤o,若检测到所述神经网络模型满足所述训练停止条件,则确定所述神经网络模型训练完成,得到所述安全事件预测模型。
一实施例中,将训练数据集输入至神经网络模型,训练该神经网络模型,在训练神经网络模型的过程中,实时检测神经网络模型是否满足训练停止条件,其中,训练停止条件包括训练神经网络模型的训练步骤达最大训练步骤和/或损失函数值小于预设阈值和/或当前所训练的当前训练数据集为最后训练数据集。具体地,实时获取训练步骤和/或损失函数值和/或当前训练数据集,检测训练神经网络的训练步骤是否大于最大训练步骤,以及损失函数值是否小于预设阈值,以及当前所训练的当前训练数据集是否为最后训练数据集,若上述满足上述任一训练停止条件,则训练神经网络模型完成,确定安全事件预测模型。也就是说,若训练神经网络的训练步骤大于最大训练步骤,或者损失函数值小于预设阈值,或者当前所训练的当前训练数据集为最后训练数据集,则训练神经网络模型完成,确定安全事件预测模型。
本实施例提出的安全事件预测方法,通过将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型,利用海量的网络安全数据(安全事件集合)构建安全时间预测模型,以发现黑客入侵的行为和规律,预测网络系统未来可能遭受到的多步攻击行为、黑客入侵的最终目标以及可能遭受威胁的设施和设备,才能采取有效的针对性措施,加以防御和阻止。即对当前遭受网络攻击的网络设备进行预测即将要发生的安全事件,则网络设备(待预测主机)可以对下一步的网络入侵攻击进行防御与对抗,从而使得网络设备对于网络攻击具备良好的准备性,提高了网络的安全性。
本实施例提出的安全事件预测方法,通过根据预设的安全事件与攻击阶段的对应关系确定所述预测安全事件对应的攻击阶段;根据预设的安全事件与风险等级的对应关系确定所述预测安全事件对应的风险等级;按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量,为后续对于安全事件的预测提供了准备基础。同时,利用海量的网络安全数据(安全事件集合)构建安全时间预测模型,从而可以发现黑客入侵的行为和规律,预测网络系统未来可能遭受到的多步攻击行为、黑客入侵的最终目标以及可能遭受威胁的设施和设备,才能采取有效的针对性措施,加以防御和阻止。即对当前遭受网络攻击的网络设备进行预测即将要发生的安全事件,则网络设备(待预测主机)可以对下一步的网络入侵攻击进行防御与对抗,从而使得网络设备对于网络攻击具备良好的准备性,提高了网络的安全性。
此外,本发明实施例还提出一种安全事件预测装置,所述安全事件预测装置包括:
获取模块,用于获取待预测主机中的预测安全事件;
数据处理模块,用于按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量;
预测模块,用于将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果,所述预测结果至少包括下一步出现的安全事件。
进一步地,所述数据处理模块还用于:
根据预设的安全事件与攻击阶段的对应关系确定所述预测安全事件对应的攻击阶段;
根据预设的安全事件与风险等级的对应关系确定所述预测安全事件对应的风险等级;
按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量。
进一步地,所述预测模块还用于:
从多个受害者主机中获取安全事件集合,并按照所述安全事件集合中的安全事件发生的时序关系以及攻击阶段对所述安全事件集合进行排序,得到训练数据集;
基于所述训练数据集,确定安全事件预测模型。
进一步地,所述预测模块还用于:
所述基于所述训练数据集,确定安全事件预测模型的步骤包括:
将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型。
进一步地,所述预测模块还用于:
将所述训练数据集输入至神经网络模型,训练所述神经网络模型,确定安全事件对应的攻击规则以及所述攻击规则对应的安全事件预测模型。
进一步地,所述预测模块还用于:
将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机下一步出现的安全事件的概率。
进一步地,所述预测模块还用于:
所述将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机最终出现的安全事件及最终出现的安全事件的概率。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有安全事件预测程序,所述安全事件预测程序被处理器执行时实现如上述中任一项所述的安全事件预测方法的步骤。
本发明计算机可读存储介质具体实施例与上述安全事件预测方法的各实施例基本相同,在此不再详细赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种安全事件预测方法,其特征在于,所述安全事件预测方法包括以下步骤:
获取待预测主机中的预测安全事件;
按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量;
将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果,所述预测结果至少包括下一步出现的安全事件。
2.如权利要求1所述的安全事件预测方法,其特征在于,所述按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量的步骤包括:
根据预设的安全事件与攻击阶段的对应关系确定所述预测安全事件对应的攻击阶段;
根据预设的安全事件与风险等级的对应关系确定所述预测安全事件对应的风险等级;
按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量。
3.如权利要求1所述的安全事件预测方法,其特征在于,所述将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果的步骤之前,还包括:
从多个受害者主机中获取安全事件集合,并按照所述安全事件集合中的安全事件发生的时序关系以及攻击阶段对所述安全事件集合进行排序,得到训练数据集;
基于所述训练数据集,确定安全事件预测模型。
4.如权利要求3所述的安全事件预测方法,其特征在于,所述预测模型为神经网络模型;
所述基于所述训练数据集,确定安全事件预测模型的步骤包括:
将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型。
5.如权利要求4所述的安全事件预测方法,其特征在于,所述将所述训练数据集输入至神经网络模型,训练所述神经网络模型,得到所述安全事件预测模型的步骤包括:
将所述训练数据集输入至神经网络模型,训练所述神经网络模型,确定安全事件对应的攻击规则以及所述攻击规则对应的安全事件预测模型。
6.如权利要求1所述的安全事件预测方法,其特征在于,所述预测结果还包括下一步出现的安全事件的概率;
所述将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机下一步出现的安全事件的概率。
7.如权利要求1至6任一项所述的安全事件预测方法,其特征在于,所述预测结果还包括待预测主机最终出现的安全事件及最终出现的安全事件的概率;
所述将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果的步骤包括:
将所述输入变量输入至所述安全事件预测模型,确定所述待预测主机最终出现的安全事件及最终出现的安全事件的概率。
8.一种安全事件预测装置,其特征在于,所述安全事件预测装置包括:
获取模块,用于获取待预测主机中的预测安全事件;
数据处理模块,用于按照所述预测安全事件中发生的时序关系和/或攻击阶段和/或风险等级对所述预测安全事件进行排序,得到输入变量;
预测模块,用于将所述输入变量输入至预先训练的安全事件预测模型,确定所述待预测主机对应的预测结果,所述预测结果至少包括下一步出现的安全事件。
9.一种安全事件预测设备,其特征在于,所述安全事件预测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的安全事件预测程序,所述安全事件预测程序被所述处理器执行时实现如权利要求1至7中任一项所述的安全事件预测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有安全事件预测程序,所述安全事件预测程序被处理器执行时实现如权利要求1至7中任一项所述的安全事件预测方法的步骤。
CN202010146360.8A 2020-03-04 2020-03-04 安全事件预测方法、装置、设备及计算机可读存储介质 Pending CN111324889A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010146360.8A CN111324889A (zh) 2020-03-04 2020-03-04 安全事件预测方法、装置、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010146360.8A CN111324889A (zh) 2020-03-04 2020-03-04 安全事件预测方法、装置、设备及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN111324889A true CN111324889A (zh) 2020-06-23

Family

ID=71173160

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010146360.8A Pending CN111324889A (zh) 2020-03-04 2020-03-04 安全事件预测方法、装置、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN111324889A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112269990A (zh) * 2020-10-15 2021-01-26 深信服科技股份有限公司 一种安全事件类型确定方法、设备、系统及存储介质
CN112395810A (zh) * 2020-11-20 2021-02-23 大连海洋大学 基于人工神经网络的鱼类攻击行为量化方法、装置及存储介质
CN112637215A (zh) * 2020-12-22 2021-04-09 北京天融信网络安全技术有限公司 网络安全检测方法、装置、电子设备及可读存储介质
CN112702342A (zh) * 2020-12-22 2021-04-23 北京天融信网络安全技术有限公司 网络事件处理方法、装置、电子设备及可读存储介质
CN112861122A (zh) * 2021-01-15 2021-05-28 新华三信息安全技术有限公司 一种建立预测模型、安全风险预测的方法和设备
CN114422186A (zh) * 2021-12-21 2022-04-29 深信服科技股份有限公司 一种攻击检测方法、装置、电子设备及存储介质
CN114780810A (zh) * 2022-04-22 2022-07-22 中国电信股份有限公司 数据处理方法、装置、存储介质及电子设备
CN115348184A (zh) * 2022-08-16 2022-11-15 江苏商贸职业学院 一种物联网数据安全事件预测方法及系统
CN115659243A (zh) * 2022-12-22 2023-01-31 四川九通智路科技有限公司 基于mems的基础设施风险监测方法及监测系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102469103A (zh) * 2011-07-01 2012-05-23 中国人民解放军国防科学技术大学 基于bp神经网络的木马事件预测方法
CN106411921A (zh) * 2016-10-31 2017-02-15 中国人民解放军信息工程大学 基于因果贝叶斯网络的多步攻击预测方法
CN108337223A (zh) * 2017-11-30 2018-07-27 中国电子科技集团公司电子科学研究院 一种网络攻击的评估方法
CN108881250A (zh) * 2018-06-28 2018-11-23 广东电网有限责任公司 电力通信网络安全态势预测方法、装置、设备及存储介质
CN110572362A (zh) * 2019-08-05 2019-12-13 北京邮电大学 针对多类不均衡异常流量的网络攻击检测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102469103A (zh) * 2011-07-01 2012-05-23 中国人民解放军国防科学技术大学 基于bp神经网络的木马事件预测方法
CN106411921A (zh) * 2016-10-31 2017-02-15 中国人民解放军信息工程大学 基于因果贝叶斯网络的多步攻击预测方法
CN108337223A (zh) * 2017-11-30 2018-07-27 中国电子科技集团公司电子科学研究院 一种网络攻击的评估方法
CN108881250A (zh) * 2018-06-28 2018-11-23 广东电网有限责任公司 电力通信网络安全态势预测方法、装置、设备及存储介质
CN110572362A (zh) * 2019-08-05 2019-12-13 北京邮电大学 针对多类不均衡异常流量的网络攻击检测方法及装置

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112269990A (zh) * 2020-10-15 2021-01-26 深信服科技股份有限公司 一种安全事件类型确定方法、设备、系统及存储介质
CN112395810B (zh) * 2020-11-20 2024-03-26 大连海洋大学 基于人工神经网络的鱼类攻击行为量化方法、装置及存储介质
CN112395810A (zh) * 2020-11-20 2021-02-23 大连海洋大学 基于人工神经网络的鱼类攻击行为量化方法、装置及存储介质
CN112637215A (zh) * 2020-12-22 2021-04-09 北京天融信网络安全技术有限公司 网络安全检测方法、装置、电子设备及可读存储介质
CN112702342A (zh) * 2020-12-22 2021-04-23 北京天融信网络安全技术有限公司 网络事件处理方法、装置、电子设备及可读存储介质
CN112702342B (zh) * 2020-12-22 2022-12-13 北京天融信网络安全技术有限公司 网络事件处理方法、装置、电子设备及可读存储介质
CN112861122A (zh) * 2021-01-15 2021-05-28 新华三信息安全技术有限公司 一种建立预测模型、安全风险预测的方法和设备
CN114422186A (zh) * 2021-12-21 2022-04-29 深信服科技股份有限公司 一种攻击检测方法、装置、电子设备及存储介质
CN114422186B (zh) * 2021-12-21 2024-05-28 深信服科技股份有限公司 一种攻击检测方法、装置、电子设备及存储介质
CN114780810A (zh) * 2022-04-22 2022-07-22 中国电信股份有限公司 数据处理方法、装置、存储介质及电子设备
CN114780810B (zh) * 2022-04-22 2024-02-27 中国电信股份有限公司 数据处理方法、装置、存储介质及电子设备
CN115348184B (zh) * 2022-08-16 2024-01-26 江苏商贸职业学院 一种物联网数据安全事件预测方法及系统
CN115348184A (zh) * 2022-08-16 2022-11-15 江苏商贸职业学院 一种物联网数据安全事件预测方法及系统
CN115659243A (zh) * 2022-12-22 2023-01-31 四川九通智路科技有限公司 基于mems的基础设施风险监测方法及监测系统

Similar Documents

Publication Publication Date Title
CN111324889A (zh) 安全事件预测方法、装置、设备及计算机可读存储介质
Arivudainambi et al. Malware traffic classification using principal component analysis and artificial neural network for extreme surveillance
Bhatt et al. Towards a framework to detect multi-stage advanced persistent threats attacks
EP2922268B1 (en) Autonomous detection of incongruous behaviors
CN113661693A (zh) 经由日志检测敏感数据暴露
US10862926B2 (en) Cybersecurity threat detection and mitigation system
Kholidy et al. A finite state hidden markov model for predicting multistage attacks in cloud systems
Jadidi et al. A threat hunting framework for industrial control systems
Katipally et al. Attacker behavior analysis in multi-stage attack detection system
CN112491803A (zh) 拟态waf中执行体的裁决方法
Khalaf et al. An adaptive model for detection and prevention of DDoS and flash crowd flooding attacks
CN114157450A (zh) 基于物联网蜜罐的网络攻击诱导方法及装置
Möller et al. Challenges for vehicular cybersecurity
Kajal et al. A hybrid approach for cyber security: improved intrusion detection system using Ann-Svm
Shi et al. Quantitative security analysis of a dynamic network system under lateral movement-based attacks
Taylor et al. Analysis of apt actors targeting IoT and big data systems: Shell_crew, nettraveler, projectsauron, copykittens, volatile cedar and transparent tribe as a case study
CN116260628A (zh) 一种基于蜜网主动溯源方法
Georgina et al. Deception Based Techniques Against Ransomwares: a Systematic Review
Alserhani et al. Detection of coordinated attacks using alert correlation model
Kinneer et al. Modeling observability in adaptive systems to defend against advanced persistent threats
Bishtawi et al. Cyber Security of Mobile Applications Using Artificial Intelligence
CN114448718A (zh) 一种并行检测和修复的网络安全保障方法
Nallaperumal CyberSecurity Analytics to Combat Cyber Crimes
Butsik et al. A Mathematical Model of a Trusted Download Violator Process" Hardware Thin Client".
Paddalwar et al. Cyber threat mitigation using machine learning, deep learning, artificial intelligence, and blockchain

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200623

RJ01 Rejection of invention patent application after publication