CN111835781B - 一种基于失陷主机发现同源攻击的主机的方法及系统 - Google Patents
一种基于失陷主机发现同源攻击的主机的方法及系统 Download PDFInfo
- Publication number
- CN111835781B CN111835781B CN202010704927.9A CN202010704927A CN111835781B CN 111835781 B CN111835781 B CN 111835781B CN 202010704927 A CN202010704927 A CN 202010704927A CN 111835781 B CN111835781 B CN 111835781B
- Authority
- CN
- China
- Prior art keywords
- host
- target
- alarm
- same
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0681—Configuration of triggering conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于失陷主机发现同源攻击的主机的方法、装置、设备及存储介质,该方法包括:获取失陷的目标主机及与目标主机位于同一网络内其他各主机的告警标记;确定告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值的主机为与目标主机类别相同的待测主机;如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与目标主机连接过相同的攻击源域名,则确定该任一待测主机为与目标主机同源攻击的主机;其中,目标标记为该任一待测主机与目标主机基于相同进程触发得到相同告警标记时该相同的告警标记。本申请能够有效准确的确定出与失陷主机被同一攻击源攻击的其他主机,便于工作人员对网络安全的控制及维护等。
Description
技术领域
本发明涉及互联网技术领域,更具体地说,涉及一种基于失陷主机发现同源攻击的主机的方法、系统、设备及存储介质。
背景技术
当今网络中存在各种各样怀揣不同目的的黑客在互联网对其他个人或企业进行网络攻击,以达到他们获取利益、提高声望、政治意图等目的;而在以往爆发的安全事件中,攻击已经失陷的主机的攻击源往往同时也会攻击其他的主机进而导致其他的主机逐渐失陷,因此确定网络中被已经失陷的主机的攻击源攻击的其他主机,对于网络安全是存在重要意义的。
发明内容
本发明的目的是提供一种基于失陷主机发现同源攻击的主机的方法、系统、设备及存储介质,能够有效准确的确定出与失陷主机被同一攻击源攻击的其他主机,便于工作人员对网络安全的控制及维护等。
为了实现上述目的,本发明提供如下技术方案:
一种基于失陷主机发现同源攻击的主机的方法,包括:
确定任一失陷主机为目标主机,获取所述目标主机及与所述目标主机位于同一网络内其他各个主机的告警标记;
确定告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值的主机为与所述目标主机类别相同的待测主机;
如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与所述目标主机连接过相同的攻击源域名,则确定该任一待测主机为与所述目标主机同源攻击的主机;其中,所述目标标记为该任一待测主机与所述目标主机基于相同进程触发得到相同告警标记时该相同的告警标记。
优选的,确定任一主机的告警标记分布与所述目标主机的告警标记分布的相似度是否达到相似度阈值,包括:
如果任一主机触发失陷规则得到相应告警标记覆盖所述目标主机触发所述失陷规则得到相应告警标记的覆盖率达到第一覆盖率阈值,且该任一主机触发可疑规则得到相应告警标记覆盖所述目标主机触发所述可疑规则得到相应告警标记的覆盖率达到第二覆盖率阈值,则确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度未达到所述相似度阈值。
优选的,确定任一主机的告警标记分布与所述目标主机的告警标记分布的相似度是否达到相似度阈值,包括:
将任一主机的告警标记处理为相应的待测样本,将所述待测样本输入至预先训练得到的检测模型中,如果所述检测模型输出的攻击源与所述目标主机的攻击源相同,则确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度未达到所述相似度阈值;其中,预先训练所述检测模型包括:将多个失陷主机的告警标记分别处理为相应的训练样本,确定每个所述失陷主机的攻击源为对应训练样本的样本标签,利用所述训练样本及相应的样本标签训练预设的网络得到检测模型。
优选的,预先设定所述数量阈值,包括:
如果所述目标标记为触发失陷规则得到的告警标记,则确定所述数量阈值为1;如果所述目标标记为触发可疑规则得到的告警标记,则确定所述数量阈值大于所述目标主机的告警标记的总数量的二分之一。
优选的,确定出与所述目标主机同源攻击的全部主机之后,还包括:
获取所述目标主机的主机标识及确定出的与所述目标主机同源攻击的每个主机的主机标识,将获取的每个主机标识均存储至预先创建的标识集合中,并输出所述标识集合。
优选的,确定出与所述目标主机同源攻击的全部主机之后,还包括:
确定任一未确定出同源攻击的主机的失陷主机为目标主机,返回执行所述获取所述目标主机及与所述目标主机位于同一网络内其他各个主机的告警标记的步骤,直至不存在未确定出同源攻击的主机的失陷主机为止;
确定出与每个所述失陷主机同源攻击的主机之后,还包括:
在包含全部主机的拓扑图上,为每个被攻击的主机设置相应的攻击源标记;其中,所述攻击源标记与攻击源一一对应。
优选的,为每个被攻击的主机设置相应的攻击源标记,包括:
为每个被攻击的主机填充相应的攻击源对应的颜色。
一种基于失陷主机发现同源攻击的主机的系统,包括:
获取模块,用于:确定任一失陷主机为目标主机,获取所述目标主机及与所述目标主机位于同一网络内其他各个主机的告警标记;
分类模块,用于:确定告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值的主机为与所述目标主机类别相同的待测主机;
发现模块,用于:如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与所述目标主机连接过相同的攻击源域名,则确定该任一待测主机为与所述目标主机同源攻击的主机;其中,所述目标标记为该任一待测主机与所述目标主机基于相同进程触发得到相同告警标记时该相同的告警标记。
一种基于失陷主机发现同源攻击的主机的设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一项所述基于失陷主机发现同源攻击的主机的方法的步骤。
一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述基于失陷主机发现同源攻击的主机的方法的步骤。
本发明提供了一种基于失陷主机发现同源攻击的主机的方法、装置、设备及存储介质,该方法包括:确定任一失陷主机为目标主机,获取所述目标主机及与所述目标主机位于同一网络内其他各个主机的告警标记;确定告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值的主机为与所述目标主机类别相同的待测主机;如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与所述目标主机连接过相同的攻击源域名,则确定该任一待测主机为与所述目标主机同源攻击的主机;其中,所述目标标记为该任一待测主机与所述目标主机基于相同进程触发得到相同告警标记时该相同的告警标记。本申请公开的技术方案中,在确定出失陷主机及与失陷主机位于同一网络内其他各个主机的告警标记后,可以确定告警标记分布与失陷主机的告警标记分布相似度较高的主机为与失陷主机类别相同的待测主机,进而在待测主机与失陷主机由相同进程触发得到相同的告警标记的数量达到相应的阈值时和/或待测主机与失陷主机连接过相同的攻击源域名时,确定待测主机与失陷主机被同一攻击源所攻击;可见,本申请能够通过告警标记分布、由相同进程触发的相同告警标记的数量及是否连接过相同的攻击源域名,有效准确的确定出与失陷主机被同一攻击源所攻击的其他主机,进而便于工作人员对网络安全的控制及维护等操作。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法的第一种流程图;
图2为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法中用级别表示规则的示例图;
图3为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法中ATT&CK矩阵图的第一种示例图;
图4为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法的第二种流程图;
图5为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法中用攻击技术表示TTP标记的示例图;
图6为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法中ATT&CK矩阵图的第二种示例图;
图7为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法中主机A的ATT&CK矩阵图的标记情况图;
图8为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法中主机B的ATT&CK矩阵图的标记情况图;
图9为本发明实施例提供的一种基于失陷主机发现同源攻击的主机的系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,其示出了本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法的流程图,可以包括:
S11:确定任一失陷主机为目标主机,获取目标主机及与目标主机位于同一网络内其他各个主机的告警标记。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法的执行主体可以为对应的装置,同源指相同的攻击源,失陷主机为已经被攻击源攻破的主机;对于网络中存在的失陷主机,可以确定其中任意一个需要进行分析的失陷主机为目标主机,进而基于目标主机确定出攻击目标主机的攻击源攻击的其他主机。
其中,告警标记可以为TTP标记,也可以为根据实际需要设定的其他标记;本申请实施例中均以告警标记为TTP标记进行具体说明。TTP为Tactic、Techniques、Procedures三要素的简写,其中,战术(Tactic)指发起一个攻击的意图,技术(Techniques)指实施一个攻击的技术,过程(Procedures)指执行一次攻击的流程,TTP及其三要素是描述高级威胁组织(即本申请中的攻击源)及其攻击的重要指标,目前可以总结出244种已知的攻击技术(攻击技术也即上述三要素中的技术)并且为其分配有唯一的编号;具体来说,攻击源通过TTP实现对主机的攻击,而主机在被攻击源通过TTP进行攻击后可以触发相应的规则进而得到对应告警标记,得到的告警标记则可以称为TTP标记;另外,触发得到TTP标记的规则可以包括失陷规则、可疑规则及审计规则,失陷规则触发代表主机失陷,可疑规则触发代表主机行为可疑(有可能被攻击至失陷),审计规则主要审计主机信息,每个规则被触发后都会增加相应的TTP标记,由于规则与TTP标记一一对应,因此本申请实施例中可以用规则表示TTP标记,具体示例可以如图2所示,其中高代表失陷规则,中代表可疑规则,低代表审计规则。另外,实施本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法的前提条件是已经设置有可用威胁检测引擎(用于检测TTP行为)、具备检测和审计TTP行为的相关规则(相关规则可以包括失陷规则、可疑规则及审计规则)。
需要说明的是,在确定出目标主机后,可以确定出与目标主机位于同一网络内的其他主机,进而可以获取目标主机及其他主机的全部的告警标记,以基于告警标记的分布确定其他主机是否存在与目标主机同类的主机;另外,本申请中的同一网络具体可以是指同一企业的网络。
S12:确定告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值的主机为与目标主机类别相同的待测主机。
其中,相似度阈值可以根据实际需要进行设定,如果两个主机的告警标记分布的相似度达到相似度阈值,则认为两者相似,否则,认为两者不相似;对应的,在得到目标主机及与目标主机位于同一网络内其他各个主机的告警标记后,可以将其他各个主机中任一主机的告警标记分布与目标主机的告警标记分布进行比对,从而确定两者的相似度,如果相似度达到相似度阈值,则说明两者的告警标记分布相似,因此认为两者很可能是被同一攻击源攻击的主机,也即为类别相同的主机,否则,说明两者的告警标记分布不相似,因此认为两者被同一攻击源攻击的可能性较小;从而通过上述方式,将告警标记分布与目标主机的告警标记分布相似的主机,均确定为与目标主机类别相同的待测主机;待测主机的数量可以为1个,可以为多个,也可以为0个,如果待测主机的数量为0个则无需再执行步骤S13,而是确定暂无和目标主机相同攻击源攻击的主机。
S13:如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与目标主机连接过相同的攻击源域名,则确定该任一待测主机为与目标主机同源攻击的主机;其中,目标标记为该任一待测主机与目标主机基于相同进程触发得到相同告警标记时该相同的告警标记。
其中,数量阈值可以根据实际需要进行设定,攻击源具体可以为远程控制服务器,而攻击源的域名则为该远程控制服务器的域名。在确定出与目标主机相同类别的其他主机后,可以进一步判断这些主机是否为被攻击目标主机的攻击源所攻击的主机;具体来说,对于任一待测主机,可以确定该任一待测主机的告警标记与目标主机中相同的告警标记是否由相同的进程触发得到,找出该任一待测主机与目标主机中由相同的进程触发得到的相同的告警标记,并判断该任一待测主机中这些告警标记的数量是否达到数量阈值,如果是,则认为该任一待测主机告警标记的生成与目标主机中告警标记的生成很相似,因此认为该任一待测主机与目标主机很可能均被同一攻击源攻击,否则认为该任一待测主机与目标主机被同一攻击源攻击的可能性比较小;同时,由于目标主机为已知的失陷主机,因此可以预先确定出目标主机所连接的攻击源的域名,如果任一待测主机与目标主机连接过相同的攻击源的域名,则基本可以确定该任一待测主机与目标主机被所连接的相同域名的相同攻击源所攻击,否则,认为该任一待测主机与目标主机被同一攻击源攻击的可能性很小。在具体实现中,可以先判断任一待测主机中目标标记的数量是否达到数量阈值,如果是,则确定该任一待测主机与目标主机被相同攻击源所攻击,如果否,则判断该任一待测主机是否与目标主机连接过相同的攻击源域名,如果该任一待测主机与目标主机连接过相同的攻击源域名,则确定该任一待测主机与目标主机被相同攻击源所攻击,如果该任一待测主机未与目标主机连接过相同的攻击源域名,则确定该任一待测主机与目标主机未被相同攻击源所攻击。
本申请公开的技术方案中,在确定出失陷主机及与失陷主机位于同一网络内其他各个主机的告警标记后,可以确定告警标记分布与失陷主机的告警标记分布相似度较高的主机为与失陷主机类别相同的待测主机,进而在待测主机与失陷主机由相同进程触发得到相同的告警标记的数量达到相应的阈值时和/或待测主机与失陷主机连接过相同的攻击源域名时,确定待测主机与失陷主机被同一攻击源所攻击;可见,本申请能够通过告警标记分布、由相同进程触发的相同告警标记的数量及是否连接过相同的攻击源域名,有效准确的确定出与失陷主机被同一攻击源所攻击的其他主机,进而便于工作人员对网络安全的控制及维护等操作。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法,确定任一主机的告警标记分布与目标主机的告警标记分布的相似度是否达到相似度阈值,可以包括:
如果任一主机触发失陷规则得到相应告警标记覆盖目标主机触发失陷规则得到相应告警标记的覆盖率达到第一覆盖率阈值,且该任一主机触发可疑规则得到相应告警标记覆盖目标主机触发可疑规则得到相应告警标记的覆盖率达到第二覆盖率阈值,则确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度未达到相似度阈值。
需要说明的是,目前利用战术Tactics、技术Techniques可以绘制一个二维的矩阵图,如图3所示,其名为Enterprise Matrix(可简称为ATT&CK矩阵图);告警标记分布则可以采用该ATT&CK矩阵图中的全部内容或者部分内容来表示,而本申请实施例均以告警标记分布采用ATT&CK矩阵图中攻击技术及攻击源采用该攻击技术进行攻击时触发得到的告警标记来表示进行具体说明,对应于TTP标记的三个规则,告警标记可以包括触发失陷规则得到的告警标记、触发可疑规则得到的告警标记以及触发审计规则得到的告警标记,由于告警标记与规则一一对应,因此可以采用规则表示对应的告警标记,从而基于此可以获知主机中攻击源采取的攻击技术及对应生成的告警标记。
在确定告警标记分布之间是否非常相似时,可以通过告警标记的覆盖率来确定,而告警标记分布则可以用告警标记及触发告警标记的攻击技术来表示;具体来说,可以确定触发上述三个规则中任一规则得到的告警标记为当前标记,如果除目标主机之外的任一主机与目标主机均包含当前标记且包含的当前标记均由相同的攻击技术触发生成,则认为该任一主机包含的当前标记覆盖目标主机包含的当前标记,从而通过这种方式可以确定出该任一主机包含的当前标记覆盖目标主机包含的当前标记的总数量,进而确定该总数量与目标主机包含的当前标记的总数量的比值则为该任一主机得到当前标记覆盖目标主机得到当前标记的覆盖率;基于此,本申请实施例可以依次确定触发失陷规则得到的告警标记及触发可疑规则得到的告警标记分别为当前标记,进而确定任一主机触发失陷规则得到相应告警标记覆盖目标主机触发失陷规则得到相应告警标记的覆盖率,以及该任一主机触发可疑规则得到相应告警标记覆盖目标主机触发可疑规则得到相应告警标记的覆盖率,在该任一主机的上述两项覆盖率均达到相应的覆盖率阈值时,确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值,也即两者的告警标记分布非常相似;由于失陷规则及可疑规则均表示相应主机存在较大的问题,因此通过这两项来综合确定告警标记分布的相似度,能够使得确定出的相似度足够有效及准确。
对本申请实施例公开的上述技术特征进行举例说明,如失陷主机为主机A,需要确定是否被攻击主机A的攻击源所攻击的主机为主机B,主机A上的告警标记分布如表1所示,主机B上的告警标记分布如表2所示,表1及表2的左侧一列均为攻击技术,而右侧一列均为触发告警标记的规则(利用规则表示相应的告警标记);确定主机A及主机B之间的告警标记分布是否相似分别如表3及表4所示,表3为主机A及主机B触发失陷规则得到相应告警标记的攻击技术,可见主机B触发失陷规则得到相应告警标记覆盖主机A触发失陷规则得到相应告警标记的覆盖率为100%,表3为主机A及主机B触发可疑规则得到相应告警标记的攻击技术,可见主机B触发可疑规则得到相应告警标记覆盖主机A触发可疑规则得到相应告警标记的覆盖率为83%,如果第一覆盖率阈值为80%,第二覆盖率阈值为50%,则可以确定主机A和主机B的告警标记分布的相似度达到相似度阈值,也即两者相似;当然第一覆盖率阈值及第二覆盖率阈值可以根据实际需要进行设定。
表1
表2
| CredentialDumping | 失陷规则 |
| Command-LineInterface | 可疑规则 |
| PowerShell | 可疑规则 |
| Rundll32 | 可疑规则 |
| SystemInformation | 可疑规则 |
| System Owner/User Discovery | 可疑规则 |
表3
| 主机A | 主机B |
| CredentialDumping | CredentialDumping |
表4
| 主机A | 主机B |
| Command-LineInterface | Command-LineInterface |
| PowerShell | PowerShell |
| Rundll32 | Rundll32 |
| Masquerading | SystemInformation |
| SystemInformation | System Owner/User Discovery |
| System Owner/User Discovery |
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法,确定任一主机的告警标记分布与目标主机的告警标记分布的相似度是否达到相似度阈值,可以包括:
将任一主机的告警标记处理为相应的待测样本,将待测样本输入至预先训练得到的检测模型中,如果检测模型输出的攻击源与目标主机的攻击源相同,则确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度未达到相似度阈值;其中,预先训练检测模型包括:将多个失陷主机的告警标记分别处理为相应的训练样本,确定每个失陷主机的攻击源为对应训练样本的样本标签,利用训练样本及相应的样本标签训练预设的网络得到检测模型。
其中,预设的网络可以为卷积神经网络,当然也可以为根据实际需要设定的其他网络,均在本发明的保护范围之内。可以预先获取多个已经失陷的主机的告警标记及触发告警标记的攻击技术,从而将每个失陷主机的告警标记及触发告警标记的攻击技术处理成相应的训练样本,具体可以是将告警标记及攻击技术均处理为预设的相应的编号,从而得到表示失陷主机的告警标记及触发告警标记的攻击技术的编号矩阵作为训练样本,而攻击每个失陷主机的攻击源的标识为相应失陷主机的训练样本的样本标签,从而利用训练样本及样本标签训练得到检测模型;进而按照得到训练样本的方式,将任一主机的告警标记及触发告警标记的攻击技术处理为待测样本,将待测样本输入至检测模型中,检测模型输出的标识则为该任一主机的攻击源的标识,进而如果该标识对应攻击源与目标主机的攻击源相同,也即两者很可能被相同的攻击源攻击,则可以确定两者的告警标记分布的相似度达到相似度阈值,也即两者相似,否则可以确定两者不相似。从而通过机器学习算法来确定不同主机的告警标记分布的相似程度,仅需训练一次检测模型即可利用检测模型实现多次相似程序的确定的步骤,大大提高了实现效率;且这种方式实现的相似程度确定也具有较高的准确性。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法,预先设定数量阈值,可以包括:
如果目标标记为触发失陷规则得到的告警标记,则确定数量阈值为1;如果目标标记为触发可疑规则得到的告警标记,则确定数量阈值大于目标主机的告警标记的总数量的二分之一。
其中,数量阈值可以根据实际需要进行设定,如果任一主机包含的目标标记为触发失陷规则得到的告警标记,也即任一主机与目标主机均基于相同的进程触发失陷规则得到对应的告警标记,则只要该任一主机存在一个目标标记则认为该任一主机与目标主机被相同攻击源攻击的可能性较大;如果任一主机包含的目标标记均为触发可疑规则得到的告警标记,也即任一主机与目标主机均基于相同的进程触发可疑规则得到对应的告警标记,则需要该任一主机存在目标标记的数量较多(即至少多于目标主机存在的告警标记的总数量的一半),则认为该任一主机与目标主机被相同攻击源攻击的可能性较大;如果任一主机包含的目标标记同时包括触发失陷规则得到的告警标记及触发可疑规则得到的告警标记,也即任一主机与目标主机均基于相同的进程触发失陷规则得到相应告警标记且均基于相同的进程触发可疑规则得到相应告警标记,则按照目标标记为触发失陷规则得到的告警标记的方式进行处理。由于失陷规则表示相应的主机已经失陷,因此此时如果不同主机基于相同的进程触发失陷规则得到对应告警标记,则该不同主机被相同攻击源攻击的可能性会比较大,由于可疑规则仅表示相应的主机行为可疑,因此此时如果不同主机基于相同的进程触发可疑规则得到对应告警标记,则需要这种情况数量较多才认为不同主机被相同攻击源攻击的可能性比较大,从而通过这种方式实现数量阈值的设定,能够结合不同告警标记的特点,准确有效的确定出不同主机是否被相同的攻击源所攻击。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法,确定出与目标主机同源攻击的全部主机之后,还可以包括:
获取目标主机的主机标识及确定出的与目标主机同源攻击的每个主机的主机标识,将获取的每个主机标识均存储至预先创建的标识集合中,并输出标识集合。
需要说明的是,本申请在对已经失陷的主机及位于同一网络内的其他各个主机进行分析后,可以确定出攻击失陷的主机的攻击源所攻击的全部主机,进而将包含失陷主机在内的全部主机的集合进行输出,以方便运维人员进行统一处理;本申请实施例中在实现上述集合输出时,可以是将被相同攻击源攻击的全部主机的主机标识均存储到标识集合中,进而将标识集合进行输出,由于主机标识与主机一一对应,从而基于标识集合中的主机标识可以快速确定出被同一攻击源攻击的各个主机,便于运维人员实现信息获取,当然根据实际需要进行的其他设置也均在本发明的保护范围之内。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法,确定出与目标主机同源攻击的全部主机之后,还可以包括:
确定任一未确定出同源攻击的主机的失陷主机为目标主机,返回执行获取目标主机及与目标主机位于同一网络内其他各个主机的告警标记的步骤,直至不存在未确定出同源攻击的主机的失陷主机为止;
确定出与每个失陷主机同源攻击的主机之后,还包括:
在包含全部主机的拓扑图上,为每个被攻击的主机设置相应的攻击源标记;其中,攻击源标记与攻击源一一对应。
可以按照本申请公开的方式实现网络内全部失陷主机的分析,从而确定出每个失陷主机同源攻击的主机,进而在包含网络内全部主机的拓扑图上,为每个被攻击的主机均设置与攻击主机的攻击源对应的攻击源标记,从而将网络内遭受的威胁划分为相应的攻击团伙,并且将每个攻击团伙影响主机范围进行展示,从而使得工作人员可以直观获知到网络内遭受的威胁,便于其实现相应的运维等工作。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法,为每个被攻击的主机设置相应的攻击源标记,可以包括:
为每个被攻击的主机填充相应的攻击源对应的颜色。
本申请中在添加攻击源标记时,可以是在拓扑图中为每个被攻击的主机填充相应的攻击源的颜色,从而使得工作人员通过查看拓扑图即可快速直观的获知不同攻击源攻击的主机范围,便于工作人员实现信息获取;当然根据实际需要设定的其他方式也均在本发明的保护范围之内。
在一种具体实现场景中,本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法如图4所示,可以按照以下方式实现:
1、前提条件是设置有可用威胁检测引擎、具备检测和审计TTP行为的相关规则,每一个规则被触发后为相应的告警添加TTP标记(由于攻击技术与规则具有对应关系,因此TTP标记也可以用攻击技术来表示,如图5中表示攻击技术的攻击方法则可以为TTP标记);
2、将TTP的规则分为3个级别:失陷规则、可疑规则、审计规则。上述3个级别的规则可以表示为如图2所示的高中低三个等级,高代表失陷规则、中代表可疑规则、低代表审计规则;
3、当主机触发TTP的规则后,使用ATT&CK矩阵图展示每个主机触发的TTP规则,ATT&CK矩阵图的具体示例图可以如图6所示。
4、建立一个定时装置,定时获取主机ATT&CK矩阵图上的TTP标记,寻找网络内是否存在其他主机覆盖该主机80%(可调节)的失陷规则对应TTP标记和50%(可调节)的可疑规则对应TTP标记,将此类主机分为一类。
5、相似的主机分类后,对比每一类主机触发的TTP告警详情,由相同的进程触发相同TTP标记的数量是否达到相应阈值,是否连接过相同的作为攻击源的远程控制服务器的域名,若满足上述两项条件中至少一个条件则判定为来自同源攻击的主机。
对本申请公开的上述方案进行举例说明:
1、遭受攻击的主机A的ATT&CK矩阵图的标记情况如图7所示:遭受攻击的主机B的ATT&CK矩阵图的标记情况如图8所示;
2、主机分类:
a.当定时采集ATT&CK矩阵图对比的装置触发后,读取主机A的告警标记(用规则表示),主机A上触发的规则如下表所示,包含1条失陷规则、6条可疑规则;
| CredentialDumping | 失陷规则 |
| Command-LineInterface | 可疑规则 |
| PowerShell | 可疑规则 |
| Rundll32 | 可疑规则 |
| Masquerading | 可疑规则 |
| SystemInformation | 可疑规则 |
| System Owner/User Discovery | 可疑规则 |
b.寻找网络中失陷规则覆盖以上列表超过80%(阈值可调节)和可疑规则覆盖以上列表超过50%(阈值可调节)的主机,这时找到了主机B;主机B上触发的规则如下表所示,包含1条失陷规则、5条可疑规则;其中,失陷规则覆盖也即触发失陷规则得到的告警标记覆盖,可疑规则覆盖也即触发可疑规则得到的告警标记覆盖;
| CredentialDumping | 失陷规则 |
| Command-LineInterface | 可疑规则 |
| PowerShell | 可疑规则 |
| Rundll32 | 可疑规则 |
| SystemInformation | 可疑规则 |
| System Owner/User Discovery | 可疑规则 |
c.失陷规则对比:
主机A与主机B触发的失陷规则对比如下表所示,主机B在主机A的失陷规则覆盖率中达到100%,满足失陷规则覆盖率条件;
| 主机A | 主机B |
| CredentialDumping | CredentialDumping |
d.可疑规则对比:
主机A与主机B触发的可疑规则对比如下表所示,主机B在主机A的可疑规则覆盖率中达到83%,满足可疑规则覆盖率条件;经过对比主机B满足主机A告警标记覆盖率的阈值,归为一类主机;
| 主机A | 主机B |
| Command-LineInterface | Command-LineInterface |
| PowerShell | PowerShell |
| Rundll32 | Rundll32 |
| Masquerading | SystemInformation |
| SystemInformation | System Owner/User Discovery |
| System Owner/User Discovery |
3、同攻击源判定
判断逻辑:查询主机A与主机B共同触发的失陷规则,其触发进程是否相同或主机是否连接过相同的情报IOC(作为攻击源的远程控制器的域名),由于主机A及主机B同样的失陷规则CredentialDumping均都是由mimikatz.exe进程触发,故判断主机A与主机B遭受来自同一攻击源的攻击并失陷。
可见,本申请中判断是否遭受同一攻击源的攻击时核心判断条件包括:主机的ATT&CK矩阵图覆盖项相似度高,主机触发TTP的规则的进程或连接的攻击源域名相同。从而通过提取被判定为失陷主机的TTP标记分布,来寻找网络中分布情况相似的主机,通过判断这些相似主机的失陷告警是否由相同的进程触发或者连接过相同的情攻击源域名,来判断是否遭受来自同一攻击源的攻击,并集体失陷。
本发明实施例还提供了一种基于失陷主机发现同源攻击的主机的系统,如图9所示,可以包括:
获取模块11,用于:确定任一失陷主机为目标主机,获取目标主机及与目标主机位于同一网络内其他各个主机的告警标记;
分类模块12,用于:确定告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值的主机为与目标主机类别相同的待测主机;
发现模块13,用于:如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与目标主机连接过相同的攻击源域名,则确定该任一待测主机为与目标主机同源攻击的主机;其中,目标标记为该任一待测主机与目标主机基于相同进程触发得到相同告警标记时该相同的告警标记。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的系统,分类模块可以包括:
第一分类单元,用于:如果任一主机触发失陷规则得到相应告警标记覆盖目标主机触发失陷规则得到相应告警标记的覆盖率达到第一覆盖率阈值,且该任一主机触发可疑规则得到相应告警标记覆盖目标主机触发可疑规则得到相应告警标记的覆盖率达到第二覆盖率阈值,则确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度未达到相似度阈值。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的系统,分类模块可以包括:
第二分类单元,用于:将任一主机的告警标记处理为相应的待测样本,将待测样本输入至预先训练得到的检测模型中,如果检测模型输出的攻击源与目标主机的攻击源相同,则确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与目标主机的告警标记分布的相似度未达到相似度阈值;其中,预先训练检测模型包括:将多个失陷主机的告警标记分别处理为相应的训练样本,确定每个失陷主机的攻击源为对应训练样本的样本标签,利用训练样本及相应的样本标签训练预设的网络得到检测模型。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的系统,还可以包括:
阈值设定模块,用于:如果目标标记为触发失陷规则得到的告警标记,则确定数量阈值为1;如果目标标记为触发可疑规则得到的告警标记,则确定数量阈值大于目标主机的告警标记的总数量的二分之一。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的系统,还可以包括:
输出模块,用于:确定出与目标主机同源攻击的全部主机之后,获取目标主机的主机标识及确定出的与目标主机同源攻击的每个主机的主机标识,将获取的每个主机标识均存储至预先创建的标识集合中,并输出标识集合。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的系统,还可以包括:
循环模块,用于:确定出与目标主机同源攻击的全部主机之后,确定任一未确定出同源攻击的主机的失陷主机为目标主机,返回执行获取目标主机及与目标主机位于同一网络内其他各个主机的告警标记的步骤,直至不存在未确定出同源攻击的主机的失陷主机为止;
标记模块,用于:确定出与每个失陷主机同源攻击的主机之后,在包含全部主机的拓扑图上,为每个被攻击的主机设置相应的攻击源标记;其中,攻击源标记与攻击源一一对应。
本发明实施例提供的一种基于失陷主机发现同源攻击的主机的系统,标记模块可以包括:
标记单元,用于:为每个被攻击的主机填充相应的攻击源对应的颜色。
本发明实施例还提供了一种基于失陷主机发现同源攻击的主机的设备,可以包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上任一项基于失陷主机发现同源攻击的主机的方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可以实现如上任一项基于失陷主机发现同源攻击的主机的方法的步骤。
需要说明的是,本发明实施例提供的一种基于失陷主机发现同源攻击的主机的系统、设备及存储介质中相关部分的说明请参见本发明实施例提供的一种基于失陷主机发现同源攻击的主机的方法中对应部分的详细说明,在此不再赘述。另外,本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种基于失陷主机发现同源攻击的主机的方法,其特征在于,包括:
确定任一失陷主机为目标主机,获取所述目标主机及与所述目标主机位于同一网络内其他各个主机的告警标记;
确定告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值的主机为与所述目标主机类别相同的待测主机;
如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与所述目标主机连接过相同的攻击源域名,则确定该任一待测主机为与所述目标主机同源攻击的主机;其中,所述目标标记为该任一待测主机与所述目标主机基于相同进程触发得到相同告警标记时该相同的告警标记;
确定任一主机的告警标记分布与所述目标主机的告警标记分布的相似度是否达到相似度阈值,包括:
如果任一主机触发失陷规则得到相应告警标记覆盖所述目标主机触发所述失陷规则得到相应告警标记的覆盖率达到第一覆盖率阈值,且该任一主机触发可疑规则得到相应告警标记覆盖所述目标主机触发所述可疑规则得到相应告警标记的覆盖率达到第二覆盖率阈值,则确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度未达到所述相似度阈值。
2.根据权利要求1所述的方法,其特征在于,确定任一主机的告警标记分布与所述目标主机的告警标记分布的相似度是否达到相似度阈值,包括:
将任一主机的告警标记处理为相应的待测样本,将所述待测样本输入至预先训练得到的检测模型中,如果所述检测模型输出的攻击源与所述目标主机的攻击源相同,则确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度未达到所述相似度阈值;其中,预先训练所述检测模型包括:将多个失陷主机的告警标记分别处理为相应的训练样本,确定每个所述失陷主机的攻击源为对应训练样本的样本标签,利用所述训练样本及相应的样本标签训练预设的网络得到检测模型。
3.根据权利要求1或2所述的方法,其特征在于,预先设定所述数量阈值,包括:
如果所述目标标记为触发失陷规则得到的告警标记,则确定所述数量阈值为1;如果所述目标标记为触发可疑规则得到的告警标记,则确定所述数量阈值大于所述目标主机的告警标记的总数量的二分之一。
4.根据权利要求3所述的方法,其特征在于,确定出与所述目标主机同源攻击的全部主机之后,还包括:
获取所述目标主机的主机标识及确定出的与所述目标主机同源攻击的每个主机的主机标识,将获取的每个主机标识均存储至预先创建的标识集合中,并输出所述标识集合。
5.根据权利要求4所述的方法,其特征在于,确定出与所述目标主机同源攻击的全部主机之后,还包括:
确定任一未确定出同源攻击的主机的失陷主机为目标主机,返回执行所述获取所述目标主机及与所述目标主机位于同一网络内其他各个主机的告警标记的步骤,直至不存在未确定出同源攻击的主机的失陷主机为止;
确定出与每个所述失陷主机同源攻击的主机之后,还包括:
在包含全部主机的拓扑图上,为每个被攻击的主机设置相应的攻击源标记;其中,所述攻击源标记与攻击源一一对应。
6.根据权利要求5所述的方法,其特征在于,为每个被攻击的主机设置相应的攻击源标记,包括:
为每个被攻击的主机填充相应的攻击源对应的颜色。
7.一种基于失陷主机发现同源攻击的主机的系统,其特征在于,包括:
获取模块,用于:确定任一失陷主机为目标主机,获取所述目标主机及与所述目标主机位于同一网络内其他各个主机的告警标记;
分类模块,用于:确定告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值的主机为与所述目标主机类别相同的待测主机;
发现模块,用于:如果任一待测主机中目标标记的数量达到预设的数量阈值和/或该任一待测主机与所述目标主机连接过相同的攻击源域名,则确定该任一待测主机为与所述目标主机同源攻击的主机;其中,所述目标标记为该任一待测主机与所述目标主机基于相同进程触发得到相同告警标记时该相同的告警标记;
所述分类模块包括:
第一分类单元,用于:如果任一主机触发失陷规则得到相应告警标记覆盖所述目标主机触发所述失陷规则得到相应告警标记的覆盖率达到第一覆盖率阈值,且该任一主机触发可疑规则得到相应告警标记覆盖所述目标主机触发所述可疑规则得到相应告警标记的覆盖率达到第二覆盖率阈值,则确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度达到相似度阈值,否则,确定该任一主机的告警标记分布与所述目标主机的告警标记分布的相似度未达到所述相似度阈值。
8.一种基于失陷主机发现同源攻击的主机的设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述基于失陷主机发现同源攻击的主机的方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述基于失陷主机发现同源攻击的主机的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010704927.9A CN111835781B (zh) | 2020-07-21 | 2020-07-21 | 一种基于失陷主机发现同源攻击的主机的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010704927.9A CN111835781B (zh) | 2020-07-21 | 2020-07-21 | 一种基于失陷主机发现同源攻击的主机的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835781A CN111835781A (zh) | 2020-10-27 |
| CN111835781B true CN111835781B (zh) | 2022-05-20 |
Family
ID=72923825
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010704927.9A Active CN111835781B (zh) | 2020-07-21 | 2020-07-21 | 一种基于失陷主机发现同源攻击的主机的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111835781B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113312625B (zh) * | 2021-06-21 | 2024-01-02 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
| CN114244809B (zh) * | 2021-12-24 | 2024-05-17 | 北京天融信网络安全技术有限公司 | 用于检测目标网络中主机失陷等级的方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795215B (zh) * | 2010-01-28 | 2012-02-01 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| US10404740B2 (en) * | 2016-10-03 | 2019-09-03 | Telepathy Labs, Inc. | System and method for deprovisioning |
| CN107104951B (zh) * | 2017-03-29 | 2020-06-19 | 国家电网公司 | 网络攻击源的检测方法和装置 |
| CN109660539B (zh) * | 2018-12-20 | 2020-12-25 | 北京神州绿盟信息安全科技股份有限公司 | 失陷设备识别方法、装置、电子设备及存储介质 |
-
2020
- 2020-07-21 CN CN202010704927.9A patent/CN111835781B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835781A (zh) | 2020-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9560063B2 (en) | Apparatus and method for detecting malicious domain cluster | |
| Park et al. | Classification of attack types for intrusion detection systems using a machine learning algorithm | |
| CN105915555B (zh) | 网络异常行为的检测方法及系统 | |
| CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
| US10728264B2 (en) | Characterizing behavior anomaly analysis performance based on threat intelligence | |
| CN112866023B (zh) | 网络检测、模型训练方法、装置、设备及存储介质 | |
| US9118704B2 (en) | Homoglyph monitoring | |
| CA2859135C (en) | System and methods for spam detection using frequency spectra of character strings | |
| US20150172303A1 (en) | Malware Detection and Identification | |
| CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
| CN111835781B (zh) | 一种基于失陷主机发现同源攻击的主机的方法及系统 | |
| WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
| CN110505202B (zh) | 一种攻击组织发现方法及系统 | |
| US11182481B1 (en) | Evaluation of files for cyber threats using a machine learning model | |
| CN117081858A (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
| CN113139025A (zh) | 一种威胁情报的评价方法、装置、设备及存储介质 | |
| CN110704841A (zh) | 一种基于卷积神经网络的大规模安卓恶意应用检测系统及方法 | |
| CN113205134A (zh) | 一种网络安全态势预测方法及系统 | |
| CN113535823B (zh) | 异常访问行为检测方法、装置及电子设备 | |
| CN114024761B (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
| CN105262730A (zh) | 基于企业域名安全的监控方法及装置 | |
| CN111970272A (zh) | 一种apt攻击操作识别方法 | |
| CN109145609B (zh) | 一种数据处理方法和装置 | |
| US9521164B1 (en) | Computerized system and method for detecting fraudulent or malicious enterprises | |
| CN116743474A (zh) | 决策树生成方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |