CN111917793B - 一种攻击链情报分析方法、系统及存储介质 - Google Patents
一种攻击链情报分析方法、系统及存储介质 Download PDFInfo
- Publication number
- CN111917793B CN111917793B CN202010797801.0A CN202010797801A CN111917793B CN 111917793 B CN111917793 B CN 111917793B CN 202010797801 A CN202010797801 A CN 202010797801A CN 111917793 B CN111917793 B CN 111917793B
- Authority
- CN
- China
- Prior art keywords
- data
- information
- attack
- node
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/288—Entity relationship models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2216/00—Indexing scheme relating to additional aspects of information retrieval not explicitly covered by G06F16/00 and subgroups
- G06F2216/03—Data mining
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Technology Law (AREA)
- Fuzzy Systems (AREA)
- Probability & Statistics with Applications (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种攻击链情报分析方法及系统,采集多种途径的数据信息,将其预处理为情报数据流,克服现有技术信息仅来源于本地发生的事件和行为,分析情报数据流的高频项目组,得到其树状结构,使用不同的机器学习模型分别对情报数据流、树状结构进行分析,并进行并行溯源,得到传染面,方便管理员动态部署防御策略。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种攻击链情报分析的方法及系统。
背景技术
随着网络技术的飞速发展,企业信息化程度越来越高,对信息系统的依赖程度也达到了非常的高度的,也导致了各种新型网络攻击、敏感信息泄露等信息安全问题。传统的安全检测只能抵御来自某个方面的安全威胁,形成安全防御的孤岛,缺乏对海量信息的安全数据的关联分析,无法产生协同效应。
急需一种针对性的攻击链情报分析的方法及系统。
发明内容
本发明的目的在于提供一种攻击链情报分析的方法及系统,采集多种途径的数据信息,将其预处理为情报数据流,克服现有技术信息仅来源于本地发生的事件和行为,分析情报数据流的高频项目组,得到其树状结构,使用不同的机器学习模型分别对情报数据流、树状结构进行分析,并进行并行溯源,得到传染面,方便管理员动态部署防御策略。
第一方面,本申请提供一种攻击链情报分析方法,所述方法包括:
通过数据采集器收集交换机的镜像流量、网络流量日志、安全设备日志以及传输文件的原始数据,以及从多方不同数据源接收漏洞信息、病毒库信息、网络攻击行为特征的情报数据,将收集到的原始数据和情报数据进行缓存;
采集网络内的传感器、节点设备、信息平台、网络设备的运行状态数据、IP 数据、域名信息、URL信息、传输数据包、数据库动态信息,与所述收集到的原始数据和情报数据合并缓存,进行实时的预处理,得到标准化的情报数据流;
其中,所述预处理包括清除数据中冗余重复的信息,根据来源的类型,将数据初始化转换为统一的格式,分入对应的字段,合并成所述情报数据流;
从所述情报数据流中提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小中的一种或若干种,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,将更新权重后的数据进行数据融合,组成树状结构;
将所述情报数据流送入第一机器学习模型,检测是否包括第一攻击向量;
将所述树状结构的图形数据送入第二机器学习模型,进行形态分析,根据图形的树状结构,找出其中的关键节点,所述关键节点包括源点、分裂出并行的轨迹的节点、分裂出分支的节点、或者跨网的节点,比较所述树状结构的形状和覆盖范围与数据库中历史攻击面的形态数据的相似度,当相似度数值落入预设的区间内时,则认定当前所述树状结构与历史某一次攻击面形态吻合,调取所述历史某一次攻击面的攻击向量作为第二攻击向量;
将所述情报数据流再次送入第一机器学习模型,检测是否包括第二攻击向量;
当所述第一机器学习模型检测出所述情报数据流中包括所述第一攻击向量或第二攻击向量时,标记所述第一攻击向量或第二攻击向量所在的节点为异常,开始对所述第一攻击向量和第二攻击向量分别进行并行溯源;
获取数据库的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种,将每一种关系下每一个人为所述用户关系链的一个子节点;
根据业务流程规定的前后关系、具体业务动作的经办人,得到业务关系链,将每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个子节点;
获取设备上传输的数据流、用户使用情况、业务办理情况,得到设备关系链,将每一个数据包、用户账号、业务动作作为所述设备关系链的一个子节点;
上述用户关系链、业务关系链、设备关系链均隶属于一个节点,属于该节点的多维属性链,每一种属性链下又包括多个子节点,判断异常节点下的子节点是否存在安全漏洞,如果是,则标记该异常节点为漏洞点;
连接所有的漏洞点,形成完整的传染轨迹,溯源得到传染的源点,判断并行溯源的其他条传染轨迹之间是否存在逻辑关联,如果存在,则将并行溯源的其他条传染轨迹中邻近的漏洞点串联起来,形成一传染面;
管理员针对所述传染面中的关键节点动态部署防御策略。
结合第一方面,在第一方面第一种可能的实现方式中,所述防御策略包括:完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种;
根据网络节点的负载情况自动部署防御策略,若关键节点负载小于预设的阈值,则直接在关键节点部署,否则,为关键节点选择负载小于阈值的邻近网络节点部署,切断关键节点向外传输的路径;
当所述邻近网络节点的负载上升大于阈值时,先判断关键节点负载是否还大于阈值,如果是,为关键节点切换到第二邻近网络节点部署策略,所述第二邻近网络节点是在关键节点潜在的传播路径上;
定期检测关键节点的负载情况,当负载稳定小于阈值时,则将部署切换回关键节点。
结合第一方面,在第一方面第二种可能的实现方式中,所述逻辑关联包括:分析所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析所属用户是否相同、或用户之间是否存在关系链。
结合第一方面,在第一方面第三种可能的实现方式中,获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第三攻击向量;
将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练。
第二方面,本申请提供一种攻击链情报分析系统,所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的攻击链情报分析方法。
第三方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面四种可能中任一项所述的攻击链情报分析方法。
第四方面,本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得所述计算机执行第一方面四种可能中任一项所述的攻击链情报分析方法。
本发明提供一种攻击链情报分析的方法及系统,采集多种途径的数据信息,将其预处理为情报数据流,克服现有技术信息仅来源于本地发生的事件和行为,分析情报数据流的高频项目组,得到其树状结构,使用不同的机器学习模型分别对情报数据流、树状结构进行分析,并进行并行溯源,得到传染面,方便管理员动态部署防御策略。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明攻击链情报分析方法的大致流程图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的攻击链情报分析方法的大致流程图,所述方法包括:
通过数据采集器收集交换机的镜像流量、网络流量日志、安全设备日志以及传输文件的原始数据,以及从多方不同数据源接收漏洞信息、病毒库信息、网络攻击行为特征的情报数据,将收集到的原始数据和情报数据进行缓存;
采集网络内的传感器、节点设备、信息平台、网络设备的运行状态数据、IP 数据、域名信息、URL信息、传输数据包、数据库动态信息,与所述收集到的原始数据和情报数据合并缓存,进行实时的预处理,得到标准化的情报数据流;
其中,所述预处理包括清除数据中冗余重复的信息,根据来源的类型,将数据初始化转换为统一的格式,分入对应的字段,合并成所述情报数据流;
从所述情报数据流中提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小中的一种或若干种,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,将更新权重后的数据进行数据融合,组成树状结构;
将所述情报数据流送入第一机器学习模型,检测是否包括第一攻击向量;
将所述树状结构的图形数据送入第二机器学习模型,进行形态分析,根据图形的树状结构,找出其中的关键节点,所述关键节点包括源点、分裂出并行的轨迹的节点、分裂出分支的节点、或者跨网的节点,比较所述树状结构的形状和覆盖范围与数据库中历史攻击面的形态数据的相似度,当相似度数值落入预设的区间内时,则认定当前所述树状结构与历史某一次攻击面形态吻合,调取所述历史某一次攻击面的攻击向量作为第二攻击向量;
将所述情报数据流再次送入第一机器学习模型,检测是否包括第二攻击向量;
当所述第一机器学习模型检测出所述情报数据流中包括所述第一攻击向量或第二攻击向量时,标记所述第一攻击向量或第二攻击向量所在的节点为异常,开始对所述第一攻击向量和第二攻击向量分别进行并行溯源;
获取数据库的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种,将每一种关系下每一个人为所述用户关系链的一个子节点;
根据业务流程规定的前后关系、具体业务动作的经办人,得到业务关系链,将每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个子节点;
获取设备上传输的数据流、用户使用情况、业务办理情况,得到设备关系链,将每一个数据包、用户账号、业务动作作为所述设备关系链的一个子节点;
上述用户关系链、业务关系链、设备关系链均隶属于一个节点,属于该节点的多维属性链,每一种属性链下又包括多个子节点,判断异常节点下的子节点是否存在安全漏洞,如果是,则标记该异常节点为漏洞点;
连接所有的漏洞点,形成完整的传染轨迹,溯源得到传染的源点,判断并行溯源的其他条传染轨迹之间是否存在逻辑关联,如果存在,则将并行溯源的其他条传染轨迹中邻近的漏洞点串联起来,形成一传染面;
管理员针对所述传染面中的关键节点动态部署防御策略。
所述可视化的防御策略还包括可视化管控操作,可基于OMNet提供的事件信息和图形化结构,提供相关的实时展示接口和界面,管理员可以通过接口和界面,触控选择部署节点和部署范围,不同的防御策略可以作为某一个节点的部署选项,管理员可以选择部署选项中的某一个。
在一些优选实施例中,所述防御策略包括:完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种;
根据网络节点的负载情况自动部署防御策略,若关键节点负载小于预设的阈值,则直接在关键节点部署,否则,为关键节点选择负载小于阈值的邻近网络节点部署,切断关键节点向外传输的路径;
当所述邻近网络节点的负载上升大于阈值时,先判断关键节点负载是否还大于阈值,如果是,为关键节点切换到第二邻近网络节点部署策略,所述第二邻近网络节点是在关键节点潜在的传播路径上;
定期检测关键节点的负载情况,当负载稳定小于阈值时,则将部署切换回关键节点。
在一些优选实施例中,所述逻辑关联包括:分析所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析所属用户是否相同、或用户之间是否存在关系链。
在一些优选实施例中,获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第三攻击向量;
将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练。
所述机器学习模型包括神经网络模型。
在一些优选实施例中,形成攻击溯源图之后,还可以包括:梳理出攻击事件的发生脉络和攻击路径,具体为:
对采集的所述日志信息从时间、空间多重维度进行深度关联分析和数据挖掘,建立规则库;
将疑似攻击的溯源信息与规则库中的信息进行对比,通过传播查询和追溯查询构建溯源图,根据所述溯源图获取攻击事件的发生脉络和攻击路径。
本申请提供一种攻击链情报分析系统,所述系统包括:所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面所有实施例中任一项所述的攻击链情报分析方法。
本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面所有实施例中任一项所述的攻击链情报分析方法。
本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得所述计算机执行第一方面所有实施例中任一项所述的攻击链情报分析方法
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (6)
1.一种攻击链情报分析方法,其特征在于,所述方法包括:
通过数据采集器收集交换机的镜像流量、网络流量日志、安全设备日志以及传输文件的原始数据,以及从多方不同数据源接收漏洞信息、病毒库信息、网络攻击行为特征的情报数据,将收集到的原始数据和情报数据进行缓存;
采集网络内的传感器、节点设备、信息平台、网络设备的运行状态数据、IP数据、域名信息、URL信息、传输数据包、数据库动态信息,与所述收集到的原始数据和情报数据合并缓存,进行实时的预处理,得到标准化的情报数据流;
其中,所述预处理包括清除数据中冗余重复的信息,根据来源的类型,将数据初始化转换为统一的格式,分入对应的字段,合并成所述情报数据流;
从所述情报数据流中提取要素,发现要素中包括的行为动作、访问对象、来源者地址、瞬时流量大小中的一种或若干种,从中发掘高频项目组,根据高频项目组对应的信息生成高频关联规则,加大其对应的权重,将更新权重后的数据进行数据融合,组成树状结构;
将所述情报数据流送入第一机器学习模型,检测是否包括第一攻击向量;
将所述树状结构的图形数据送入第二机器学习模型,进行形态分析,根据图形的树状结构,找出其中的关键节点,所述关键节点包括源点、分裂出并行的轨迹的节点、分裂出分支的节点、或者跨网的节点,比较所述树状结构的形状和覆盖范围与数据库中历史攻击面的形态数据的相似度,当相似度数值落入预设的区间内时,则认定当前所述树状结构与历史某一次攻击面形态吻合,调取所述历史某一次攻击面的攻击向量作为第二攻击向量;
将所述情报数据流再次送入第一机器学习模型,检测是否包括第二攻击向量;
当所述第一机器学习模型检测出所述情报数据流中包括所述第一攻击向量或第二攻击向量时,标记所述第一攻击向量或第二攻击向量所在的节点为异常,开始对所述第一攻击向量和第二攻击向量分别进行并行溯源;
获取数据库的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种,将每一种关系下每一个人为所述用户关系链的一个子节点;
根据业务流程规定的前后关系、具体业务动作的经办人,得到业务关系链,将每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个子节点;
获取设备上传输的数据流、用户使用情况、业务办理情况,得到设备关系链,将每一个数据包、用户账号、业务动作作为所述设备关系链的一个子节点;
上述用户关系链、业务关系链、设备关系链均隶属于一个节点,属于该节点的多维属性链,每一种属性链下又包括多个子节点,判断异常节点下的子节点是否存在安全漏洞,如果是,则标记该异常节点为漏洞点;
连接所有的漏洞点,形成完整的传染轨迹,溯源得到传染的源点,判断并行溯源的其他条传染轨迹之间是否存在逻辑关联,如果存在,则将并行溯源的其他条传染轨迹中邻近的漏洞点串联起来,形成一传染面;
管理员针对所述传染面中的关键节点动态部署防御策略。
2.根据权利要求1所述的方法,其特征在于:所述防御策略包括:完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种;
根据网络节点的负载情况自动部署防御策略,若关键节点负载小于预设的阈值,则直接在关键节点部署,否则,为关键节点选择负载小于阈值的邻近网络节点部署,切断关键节点向外传输的路径;
当所述邻近网络节点的负载上升大于阈值时,先判断关键节点负载是否还大于阈值,如果是,为关键节点切换到第二邻近网络节点部署策略,所述第二邻近网络节点是在关键节点潜在的传播路径上;
定期检测关键节点的负载情况,当负载稳定小于阈值时,则将部署切换回关键节点。
3.根据权利要求1-2任一项所述的方法,其特征在于:所述逻辑关联包括:分析所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析所属用户是否相同、或用户之间是否存在关系链。
4.根据权利要求3所述的方法,其特征在于:获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第三攻击向量;
将模拟的所述网络攻击流量送入第一机器学习模型,此时的第一机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击,完成训练。
5.一种攻击链情报分析系统,其特征在于,所述系统包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行权利要求1-4任一项所述的攻击链情报分析方法。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行权利要求1-4任一项所述的攻击链情报分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010797801.0A CN111917793B (zh) | 2020-08-10 | 2020-08-10 | 一种攻击链情报分析方法、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010797801.0A CN111917793B (zh) | 2020-08-10 | 2020-08-10 | 一种攻击链情报分析方法、系统及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111917793A CN111917793A (zh) | 2020-11-10 |
CN111917793B true CN111917793B (zh) | 2021-09-03 |
Family
ID=73283659
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010797801.0A Active CN111917793B (zh) | 2020-08-10 | 2020-08-10 | 一种攻击链情报分析方法、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111917793B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112866271B (zh) * | 2021-02-01 | 2022-03-01 | 中国南方电网有限责任公司 | 一种基于攻击溯源的敏感文件保护方法、装置和系统 |
CN114925757B (zh) * | 2022-05-09 | 2023-10-03 | 中国电信股份有限公司 | 多源威胁情报融合方法、装置、设备和存储介质 |
CN115002025B (zh) * | 2022-07-21 | 2023-04-18 | 广州百思达数据服务有限公司 | 一种数据安全传输方法、系统及云平台 |
CN116743508B (zh) * | 2023-08-15 | 2023-11-14 | 四川新立高科科技有限公司 | 一种电力系统网络攻击链检测方法、装置、设备及介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106899601A (zh) * | 2017-03-10 | 2017-06-27 | 北京华清信安科技有限公司 | 基于云和本地平台的网络攻击防御装置和方法 |
CA3041871A1 (en) * | 2018-05-01 | 2019-11-01 | Royal Bank Of Canada | System and method for monitoring security attack chains |
CN109861995A (zh) * | 2019-01-17 | 2019-06-07 | 安徽谛听信息科技有限公司 | 一种网络空间安全大数据智能分析方法、计算机可读介质 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
-
2020
- 2020-08-10 CN CN202010797801.0A patent/CN111917793B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111917793A (zh) | 2020-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111866027B (zh) | 一种基于情报分析的资产安全评估方法及系统 | |
CN111917793B (zh) | 一种攻击链情报分析方法、系统及存储介质 | |
CN111935143B (zh) | 一种攻击防御策略可视化的方法及系统 | |
Ahmadinejad et al. | A hybrid model for correlating alerts of known and unknown attack scenarios and updating attack graphs | |
CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
CN110505241B (zh) | 一种网络攻击面检测方法及系统 | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
Chauhan et al. | A comparative study of classification techniques for intrusion detection | |
US9230102B2 (en) | Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining | |
CN112235283A (zh) | 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法 | |
CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
CN112003840B (zh) | 一种基于攻击面的漏洞检测方法及系统 | |
CN111917792B (zh) | 一种流量安全分析挖掘的方法及系统 | |
Lappas et al. | Data mining techniques for (network) intrusion detection systems | |
Sadoddin et al. | An incremental frequent structure mining framework for real-time alert correlation | |
Krishnaveni et al. | Ensemble approach for network threat detection and classification on cloud computing | |
Khosravi et al. | Alerts correlation and causal analysis for APT based cyber attack detection | |
CN111935145B (zh) | 一种实现网络流量安全分析的硬件无关化方法及系统 | |
CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
CN111866028B (zh) | 一种攻击面可视化的方法、系统及存储介质 | |
Daneshgadeh et al. | A hybrid approach to detect DDoS attacks using KOAD and the Mahalanobis distance | |
Nalavade et al. | Finding frequent itemsets using apriori algorithm to detect intrusions in large dataset | |
Sabri et al. | Hybrid of rough set theory and artificial immune recognition system as a solution to decrease false alarm rate in intrusion detection system | |
Shin et al. | An alert data mining framework for network-based intrusion detection system | |
Penmatsa et al. | Web phishing detection: feature selection using rough sets and ant colony optimisation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |