CN112241439A - 一种攻击组织发现方法、装置、介质和设备 - Google Patents
一种攻击组织发现方法、装置、介质和设备 Download PDFInfo
- Publication number
- CN112241439A CN112241439A CN202011085247.XA CN202011085247A CN112241439A CN 112241439 A CN112241439 A CN 112241439A CN 202011085247 A CN202011085247 A CN 202011085247A CN 112241439 A CN112241439 A CN 112241439A
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- security event
- internet protocol
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24568—Data stream processing; Continuous queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computational Linguistics (AREA)
- Fuzzy Systems (AREA)
- Software Systems (AREA)
- Probability & Statistics with Applications (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种攻击组织发现方法、装置、介质和设备。本发明方案有效利用现网中已经部署的各类安全设备产生的告警数据,结合大数据流式计算框架,定义范式化攻击模型对海量异构告警数据进行快速范式化,并利用攻击模式信息、攻击目标信息和攻击源信息进行范式化安全事件关联,再根据关联结果进行基于攻击源的攻击特征图构建,最后利用图聚类方法进行攻击源聚类,从而发现攻击组织。由于目前主流的安全设备往往都具有非常高效的原始流量识别和检测能力,基于大数据流式计算框架,直接利用安全设备告警数据作为输入数据进行实时分析,告警数据直接高效地滤除了原始流量中不需要关注的特征信息,保证了攻击组织发现的实时性、准确性和鲁棒性。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种攻击组织发现方法、装置、介质和设备。
背景技术
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
在实际的网络环境当中,绝大多数的告警数据都是由少数攻击组织发起攻击时触发的,因此如何实时、快速和有效地发现攻击组织成为网络安全防护和管理中非常具有意义的工作。
目前业界进行攻击组织的追踪和发现的方法,主要包括基于网络流量进行特征建模和基于样本代码进行特征建模来进行攻击组织发现。但是由于原始流量数据量级往往过于巨大,且其中的噪声特征往往占据非常大的比例,因此直接基于原始流量构建的特征模型的鲁棒性往往不太好,某些情况下只能基于离线保存的历史数据进行分析,无法满足实时分析和追踪的需求,并且这一类方法通常需要耗费较多的人工分析成本。
发明内容
本发明实施例提供一种攻击组织发现方法、装置、介质和设备,用于解决攻击组织发现的实时性较差的问题。
第一方面,本发明提供了一种攻击组织发现方法,所述方法包括:
通过大数据流式消息队列,接收至少一个安全设备发送的至少两条告警数据;
基于预先建立的攻击范式化模型,针对每条告警数据生成一个包括指定信息的安全事件,所述指定信息包括安全事件对应的攻击模式信息、攻击目标信息和攻击源信息;
利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联;
根据关联结果,基于攻击源信息构建攻击特征图,针对所述攻击特征图,利用图聚类方法进行攻击源信息聚类,每组聚类得到的攻击源信息对应一个攻击组织。
可选的,所述指定信息包括安全事件起始时间信息、安全事件结束时间信息、五元组信息、攻击源互联网协议地址地理信息、攻击目标互联网协议地址地理信息、攻击模式信息和恶意代码信息;
所述攻击模式信息包括攻击模式标识、攻击模式名称以及攻击链阶段;所述恶意代码信息包括恶意代码哈希值、恶意代码动作标识、恶意代码动作名称以及动作相关参数。
可选的,针对每条告警数据生成一个包括指定信息的安全事件之后,利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联之前,所述方法还包括:
归并攻击模式信息相同的所述安全事件;以及,
修正指定信息中存在信息缺失的所述安全事件,并删除指定信息中存在信息矛盾的所述安全事件。
可选的,利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联,包括:
根据每个安全事件对应的攻击模式信息,将指定时间段内,针对同一攻击目标互联网协议地址的安全事件整合为一条攻击链,并将设定时间段内整合得到的具有相同攻击源互联网协议地址的攻击链关联为一个攻击链簇;
根据关联结果,基于攻击源信息构建攻击特征图,包括:
针对每个攻击链簇,将每个攻击源互联网协议地址作为一个核心点,连接每个核心点,并以指定的至少一个特征作为特征点,将每个核心点与该核心点对应的每个特征点连接,获得一个攻击特征子图;
针对任意两个攻击特征子图,确定一个攻击特征子图的每个核心点与另一个攻击特征子图的每个核心点之间的距离,连接距离小于设定阈值的核心点,获得一个攻击特征图。
可选的,根据每个安全事件对应的攻击模式信息,将指定时间段内,针对同一攻击目标互联网协议地址的安全事件整合为一条攻击链,包括:
针对生成的一个安全事件确定该安全事件对应的指定时间段内,是否存在攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链;
若确定存在,针对每条与该安全事件对应的攻击目标互联网协议地址一致的攻击链,确定按照该安全事件对应的攻击链阶段,将该安全事件整合到该攻击链,是否会导致该攻击链对应的各攻击链阶段错序,若不会,则将该安全事件整合到该攻击链。
可选的,所述方法还包括:若确定不存在攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链,或者,针对存在的攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的每条攻击链,未将该安全事件整合到其中任意一条攻击链,则:
生成一条攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链,将该安全事件整合到该攻击链。
可选的,针对所述攻击特征图,利用图聚类算法进行攻击源信息聚类,包括:
针对所述攻击特征图中的每个攻击源互联网协议地址利用图聚类算法进行聚类,得到至少一组攻击源互联网协议地址;
针对得到的每组攻击源互联网协议地址,确定是否存在攻击源互联网协议地址数量大于设定值的组;
若确定存在,针对攻击源互联网协议地址数量大于设定值的每个组,判断再次利用图聚类算法进行聚类,该分组对应的模块度是否大于设定的最小模块度阈值,若大于,再次得到至少一组攻击源互联网协议地址;并,
针对再次得到的每组攻击源互联网协议地址,返回执行确定是否存在攻击源互联网协议地址数量大于设定值的组。
第二方面,本发明还提供了一种攻击组织发现装置,所述装置包括接收模块、理解模块、关联模块和聚类模块,其中:
所述接收模块,用于通过大数据流式消息队列,接收至少一个安全设备发送的至少两条告警数据;
所述理解模块,用于基于预先建立的攻击范式化模型,针对每条告警数据生成一个包括指定信息的安全事件,所述指定信息包括安全事件对应的攻击模式信息、攻击目标信息和攻击源信息;
所述关联模块,用于利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联;
所述聚类模块,用于根据关联结果,基于攻击源信息构建攻击特征图,针对所述攻击特征图,利用图聚类方法进行攻击源信息聚类,每组聚类得到的攻击源信息对应一个攻击组织。
第三方面,本发明还提供了一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现如上所述的方法。
第四方面,本发明还提供了一种攻击组织发现设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存储的程序时,实现如上所述的方法步骤。
本发明方案并非直接基于原始流量进行特征建模,而是有效利用现网中已经部署的各类安全设备产生的告警数据,结合大数据流式计算框架,定义范式化攻击模型对海量异构告警数据进行快速范式化,并利用攻击模式信息、攻击目标信息和攻击源信息进行范式化安全事件关联,再根据关联结果进行基于攻击源的攻击特征图构建,最后利用图聚类方法进行攻击源聚类,从而发现攻击组织。由于目前主流的安全设备往往都具有非常高效的原始流量识别和检测能力,基于大数据流式计算框架,直接利用安全设备告警数据作为输入数据进行实时分析,告警数据直接高效地滤除了原始流量中不需要关注的特征信息,可以有效支撑实时分析的需求,保证了攻击组织发现的实时性、准确性和鲁棒性。
需要指出的是,如果接入多个不同安全设备的告警数据,还可以在一定程度上避免由于单个安全设备检测能力缺陷造成的告警误报和漏报问题,进一步保证攻击组织发现的准确性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的攻击组织发现方法的流程示意图;
图2为本发明实施例提供的安全事件包括的指定信息的示意图;
图3为本发明实施例提供的将安全事件加入攻击链的流程示意图;
图4为本发明实施例提供的对攻击特征图进行图聚类的流程示意图;
图5为本发明实施例提供的攻击组织发现装置的结构示意图;
图6为本发明实施例提供的攻击组织发现装置的结构示意图;
图7为本发明实施例提供的攻击组织发现设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中提及的“多个或者若干个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了解决基于原始流量进行攻击组织发现,无法保证攻击组织发现的实时性的问题,考虑到现网中已经部署的各类安全设备产生的告警数据已经对原始流量中不需要关注的特征信息进行了滤除,本发明实施例提出可以利用告警数据进行攻击组织发现。
而考虑到在进行网络安全防护和管理过程中产生的来自于各种安全设备的告警数据,往往具有海量、多源和异构的特点。例如,在某实验环境2G流量场景下,部署入侵检测设备、沙箱设备和Web应用程序防护设备后,平均每天约产生告警数据18万条左右。
因此,在本实施例中,可以结合大数据流式计算框架,通过大数据流式消息队列,接收安全设备发送的告警数据,并对告警数据进行实时分析,实时地实现攻击组织发现。
基于上述说明,本发明实施例提供一种攻击组织发现方法,该方法的步骤流程可以如图1所示,包括:
步骤101、通过大数据流式消息队列,接收至少一个安全设备发送的至少两条告警数据。
在本实施例中,考虑到各安全产生的告警数据的海量、多源、异构的特点,可以基于大数据流式计算框架,通过大数据流式消息队列,例如,kafka,接收至少一个安全设备发送的至少两条告警数据。
步骤102、基于预先建立的攻击范式化模型,针对每条告警数据生成一个包括指定信息的安全事件。
在通过步骤101接收到告警数据后,可以将告警数据导入预先建立的攻击范式化模型,快速地将海量、多源、异构的告警数据,转换为统一格式的包括指定信息的安全事件。指定信息可以包括安全事件对应的攻击模式信息、攻击目标信息和攻击源信息。
在一种可能的实现方式中,指定信息可以包括安全事件起始时间信息、安全事件结束时间信息、五元组信息、攻击源互联网协议地址地理信息、攻击目标互联网协议地址地理信息、攻击模式信息和恶意代码信息。
五元组信息可以理解为包括攻击源互联网协议(IP)地址、攻击源端口、攻击目标IP地址、攻击目标端口和协议。
攻击模式信息可以理解为描述攻击模式的信息。在本实施例中,攻击模式信息可以但不限于参考MITRE的通用攻击模式枚举及分类(CAPEC,Common Attack PatternEnumeration and Classification)标准中的攻击机制视角(Mechanisms of Attack)来定义,旨在从TTP层面针对所有告警数据进行标准分类,将告警数据转换为范式化的攻击模式信息。
可选的,攻击模式信息可以包括攻击模式标识(ID)、攻击模式名称以及攻击链阶段。
其中,攻击链阶段可以对应Lockheed Martin公司提出的攻击链(kill chain)模型的7个阶段,包括侦查追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制和目标达成。
在本实施例中,考虑到告警数据可能是来自沙箱设备类的安全设备,因此,可以通过恶意代码信息,针对来自沙箱设备类的安全设备的恶意代码文件类的告警数据进行范式化。旨在通过定义标准的恶意代码动作(例如,创建进程(create-process)等),将告警数据范式化地转换成为标准的恶意代码动作及动作相关参数。
可选的,恶意代码信息可以包括恶意代码哈希值(hash)、恶意代码动作标识、恶意代码动作名称以及动作相关参数。
其中,恶意代码hash可以用于唯一地标识一个恶意代码文件的内容信息。恶意代码动作ID可以用于唯一地标识一个恶意代码动作。
动作相关参数可以理解为与恶意代码动作相对应。一个恶意代码动作对应的动作相关参数可以理解为该恶意代码动作相关的作用对象内容,例如,对于一个创建进程动作,对应的动作相关参数可以包括创建的进程名称等等。
需要说明的是,一个安全事件可以理解为对应一个恶意代码文件,但一个恶意代码文件中通常包括多个恶意代码动作及其对应的动作相关参数。因此,恶意代码信息可以作为一个安全事件对应的数据结构的附加内容进行关联。
以指定信息包括安全事件起始时间信息、安全事件结束时间信息、五元组信息、攻击源互联网协议地址地理信息、攻击目标互联网协议地址地理信息、攻击模式信息和恶意代码信息为例,一个安全事件包括的指定信息的示意图可以如图2所示。如图2所示,一个安全事件可以对应一个事件ID。且,假设该安全事件可以对应的恶意代码文件中包括N个恶意代码动作,那么可以针对每个恶意代码动作,对应一个恶意代码动作ID、恶意代码动作名称以及动作相关参数。
需要说明的是,如果指定信息包括攻击模式信息和恶意代码信息,那么可以理解为,在本步骤中,通过预先配置好的各个安全设备对应的告警数据与攻击模式信息、恶意代码信息的映射关系,通过大数据键值关联,将告警数据转换得到攻击模式信息和恶意代码信息。
步骤103、利用安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对安全事件进行关联。
在本步骤中,可以根据每个安全事件包括的该安全事件对应的攻击模式信息、攻击目标信息和攻击源信息,寻找安全事件之间关联,以发现攻击组织。
步骤104、根据关联结果,基于攻击源信息构建攻击特征图。
在本步骤中,可以根据安全事件之间的关联结果,基于攻击源信息构建攻击特征图,从而可以利用构建出的攻击特征图,基于攻击源信息发现攻击组织。
步骤105、针对攻击特征图,利用图聚类方法进行攻击源信息聚类,每组聚类得到的攻击源信息对应一个攻击组织。
在本步骤中,针对构建出的攻击特征图,可以利用图聚类的方法,进行攻击源信息聚类,每组聚类得到的攻击源信息可以理解为对应一个攻击组织。
需要说明的是,在步骤102之后,步骤103之前,在本实施例中,还可以包括步骤103’。
步骤103’、对安全事件进行预处理。
在本步骤中,可以对安全事件进行预处理,例如,可以归并攻击模式信息相同的安全事件,也可以修正指定信息中存在信息缺失的安全事件,还可以删除指定信息中存在信息矛盾的安全事件。
在一种可能的实现方式中,可以假设归并攻击模式信息相同的安全事件、修正指定信息中存在信息缺失的安全事件以及删除指定信息中存在信息矛盾的安全事件均在本步骤被执行。如果三者均在本步骤被执行,那么可以在对安全事件进行归并之后,再对安全事件进行修正和删除。
即在本实施例中,可以基于攻击模式对安全事件进行归并,从而可以大大减少安全事件数量,并可以基于归并后的安全事件进行关联,加快安全事件关联速度。
另外,在本步骤中,还可以对安全事件进行修正(例如,用指定值填充指定信息中缺失的信息)或删除,以提高生成的安全事件的准确性,从而进一步提高攻击组织发现的准确性。
此时,在一种可能的实现方式中,仍以指定信息如图2所示为例,在步骤103中,可以根据每个安全事件对应的攻击模式信息,将指定时间段内,针对同一攻击目标互联网协议地址的安全事件整合为一条攻击链,并将设定时间段内整合得到的具有相同攻击源互联网协议地址的攻击链关联为一个攻击链簇。
进一步的,根据每个安全事件对应的攻击模式信息,将指定时间段内,针对同一攻击目标互联网协议地址的安全事件整合为一条攻击链,可以包括:
针对生成的一个安全事件确定该安全事件对应的指定时间段内,是否存在攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链;
若确定存在,针对每条与该安全事件对应的攻击目标互联网协议地址一致的攻击链,确定按照该安全事件对应的攻击链阶段,将该安全事件整合到该攻击链,是否会导致该攻击链对应的各攻击链阶段错序,若不会,则将该安全事件整合到该攻击链。
更进一步的,若确定不存在攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链,或者,针对存在的攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的每条攻击链,未将该安全事件整合到其中任意一条攻击链,则可以:
生成一条攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链,将该安全事件整合到该攻击链。
将安全事件加入攻击链的流程示意图可以如图3所示。也就是说,生成一个安全事件后,可以确定该安全事件对应的时间段,即可以理解为根据该安全事件对应的安全事件起始时间信息和/或安全事件结束时间信息,确定该安全事件对应的时间段。
进而可以确定该安全事件对应的时间段内,是否存在攻击目标IP地址与该安全事件对应的攻击目标IP地址一致的攻击链。
如果不存在,则可以生成一条攻击目标IP地址与该安全事件对应的攻击目标IP地址一致的攻击链,将该安全事件整合到该攻击链,并结束本流程。
如果存在,则可以判断是否遍历完毕存在的攻击目标IP地址与该安全事件对应的攻击目标IP地址一致的攻击链,若未遍历完毕,则针对一条与该安全事件对应的攻击目标IP地址一致的攻击链,对该攻击链整合的所有安全事件对应的时间(例如,安全事件起始时间信息对应的时间)进行排序。
确定按照该安全事件对应的攻击链阶段,将该安全事件整合到该攻击链,是否会导致该攻击链对应的各攻击链阶段错序。
一个安全事件导致一条攻击链对应的各攻击链阶段错序,可以理解为该安全事件对应的时间,与该安全事件在该攻击链对应的攻击链阶段不相符,即可以理解为该安全事件对应的时间,会早于该攻击链中,攻击模式ID相同、攻击链阶段早于该安全事件的安全事件对应的时间,或者会晚于该攻击链中,攻击模式ID相同、攻击链阶段晚于该安全事件的安全事件对应的时间。
如果不会导致该攻击链对应的各攻击链阶段错序,则可以将该安全事件整合到该攻击链,并返回执行判断是否遍历完毕存在的攻击目标与该安全事件对应的攻击目标一致的攻击链。
如果会导致该攻击链对应的各攻击链阶段错序,则返回执行判断是否遍历完毕存在的攻击目标IP地址与该安全事件对应的攻击目标IP地址一致的攻击链。
而如果直到遍历完毕,仍然未能将该安全事件整合到任意一条存在的攻击链,则可以生成一条攻击目标IP地址与该安全事件对应的攻击目标IP地址一致的攻击链,将该安全事件整合到该攻击链,并结束本流程。
一个安全事件经过如图3所示的流程后,可以加入一条或者多条已经存在的攻击链,如果无法加入至少一条已经存在的攻击链,则生成一条新的攻击链,并将该安全事件加入该新生成的攻击链,从而可以将指定时间段内,针对同一攻击目标IP地址发起的一系列攻击(安全事件)进行关联。
在得到攻击链之后,可以在设定时间段内,按照攻击源IP地址,将整合得到的具有相同攻击源IP地址的攻击链关联为一个攻击链簇,从而可以在设定时间段内,按照相同的攻击源IP地址,进一步对安全事件进行关联。
如果在步骤103中,关联得到了攻击链簇,在步骤104中,可以包括:
针对每个攻击链簇,将每个攻击源IP地址作为一个核心点,连接每个核心点,并以指定的至少一个特征作为特征点,将每个核心点与该核心点对应的每个特征点连接,获得一个攻击特征子图;
针对任意两个攻击特征子图,确定一个攻击特征子图的每个核心点与另一个攻击特征子图的每个核心点之间的距离,连接距离小于设定阈值的核心点,获得一个攻击特征图。
也就是说,在本实施例中,可以基于每个实时生成的包含多条攻击链的攻击链簇,以攻击源IP地址为核心,抽取攻击链簇对应的特征生成特征点,并连接特征点和核心点。
特征可以从攻击链簇对应的每个安全事件所包括的指定信息中抽取。在一种可能的实现方式中,还可以从攻击链簇对应的每个告警数据对应的威胁情报关联补充的信息中抽取。且特征点与核心点之间的连接边可以为带权边。
抽取的特征,及对应的特征说明可以但不限于如表1所示。
表1
如表1所示,各特征均可以从攻击链簇对应的每个安全事件所包括的指定信息中抽取。此时可以理解为一个安全事件包括的指定信息除了包括安全事件起始时间信息、安全事件结束时间信息、五元组信息、攻击源互联网协议地址地理信息、攻击目标互联网协议地址地理信息、攻击模式信息和恶意代码信息之外,还可以包括服务类型信息。
且如表1所示,动作相关参数对应的特征点,可以通过恶意代码动作对应的特征点,与攻击源IP地址核心点连接。
也就是说,在本实施例中,针对每个攻击链簇,除了将每个核心点和该核心点对应的特征点进行连接,表征核心点与特征点之间存在的关联关系之外,还可以将所有核心点进行连接,表征核心点之间存在的关联关系,从而获得一个攻击特征子图。
而在针对每个攻击链簇获得一个攻击特征子图之后,还可以针对任意两个攻击特征子图,连接距离小于设定阈值的核心点,以表征不同的攻击特征子图中的核心点之间存在的关联关系,从而获得一个攻击特征图,更好地表征攻击特征。
另外,需要说明的是,在步骤105中,针对攻击特征图,利用图聚类算法进行攻击源信息聚类,可以包括:
针对攻击特征图中的每个攻击源IP地址利用图聚类算法进行聚类,得到至少一组攻击源IP地址;
针对得到的每组攻击源IP地址,确定是否存在攻击源IP地址数量大于设定值的组;
若确定存在,针对攻击源IP地址数量大于设定值的每个组,判断再次利用图聚类算法进行聚类,该分组对应的模块度是否大于设定的最小模块度阈值,若大于,再次得到至少一组攻击源IP地址;并,
针对再次得到的每组攻击源IP地址,返回执行确定是否存在攻击源IP地址数量大于设定值的组。
也就是说,在本实施例中,在获得带权无向的攻击特征图之后,可以基于图聚类算法进行攻击源IP地址聚类,每组聚类得到的攻击源IP地址可以理解为对应一个攻击组织。
而考虑到进行图聚类的过程中,基于全局模块度最优化进行聚类,往往会产生一些聚类特征不是特别明显的聚类。因此本发明实施例提出,可以采用多次迭代的图聚类算法,将聚类特征不是特别明显的聚类进一步划分成更小的聚类。
其中,可以设定每个聚类包括的攻击源IP地址数量的最大值,以及每个聚类对应的最小模块度阈值。在每次利用图聚类算法进行攻击源IP地址聚类之后,针对攻击源IP地址数量超过设定的最大值的每个分组,判断如果再次利用图聚类算法进行攻击源IP地址聚类,该分组对应的模块度是否大于设定的最小模块度阈值,若大于,则针对该分组再次得到至少一组攻击源IP地址。
对攻击特征图进行图聚类的流程示意图可以如图4所示,首先可以针对攻击特征图中的所有攻击源IP地址利用图聚类算法进行聚类,得到至少一组攻击源IP地址之后,可以进一步判断是否存在攻击源IP地址数量超过设定的每个聚类包括的攻击源IP地址数量的最大值(可以简单记为设定值)的组:
若确定不存在,则可以结束本流程。
若确定存在,则可以判断是否遍历完毕攻击源IP地址数量大于设定值的组,若遍历完毕,则返回执行判断是否存在攻击源IP地址数量超过设定的每个聚类包括的攻击源IP地址数量的最大值(可以简单记为设定值)的组,由此可以针对每次得到的至少一组攻击源IP地址,实现包括多次迭代的聚类。若未遍历完毕,则针对一个攻击源IP地址数量大于设定值的组,判断再次利用图聚类算法进行聚类,该分组对应的模块度是否大于设定的最小模块度阈值,若大于,再次得到至少一组攻击源IP地址,若不大于,则返回执行判断是否遍历完毕攻击源IP地址数量大于设定值的组。
本发明实施例基于海量异构的告警数据,提出一种基于攻击特征图聚类的攻击组织发现方法,设计了基于攻击范式化模型的异构告警数据范式化理解方法,结合大数据流式计算框架,实现将实时海量异构的告警数据快速理解成为具有范式化特征的安全事件,支撑后续的关联和聚类。
进一步的,可以结合安全事件的攻击特征,利用攻击链模型、攻击目标IP地址和攻击源IP地址将安全事件进行关联,进一步凸显攻击特征,增强了各个安全事件中各个攻击源IP地址的联系,支撑后续攻击特征图的构建和聚类。
更进一步的,通过构建攻击特征图,并利用多次迭代的图聚类方式进行带权图聚类,经实际实验和研判,发现聚类生成的社群聚簇能够有效反映海量安全事件中的组织特征。
与提供的方法对应的,进一步提供以下的装置。
本发明实施例提供一种攻击组织发现装置,该装置的结构可以如图5所示,包括接收模块11、理解模块12、关联模块13和聚类模块14,其中:
所述接收模块11用于通过大数据流式消息队列,接收至少一个安全设备发送的至少两条告警数据;
所述理解模块12用于基于预先建立的攻击范式化模型,针对每条告警数据生成一个包括指定信息的安全事件,所述指定信息包括安全事件对应的攻击模式信息、攻击目标信息和攻击源信息;
所述关联模块13用于利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联;
所述聚类模块14用于根据关联结果,基于攻击源信息构建攻击特征图,针对所述攻击特征图,利用图聚类方法进行攻击源信息聚类,每组聚类得到的攻击源信息对应一个攻击组织。
可选的,所述指定信息包括安全事件起始时间信息、安全事件结束时间信息、五元组信息、攻击源互联网协议地址地理信息、攻击目标互联网协议地址地理信息、攻击模式信息和恶意代码信息;
所述攻击模式信息包括攻击模式标识、攻击模式名称以及攻击链阶段;所述恶意代码信息包括恶意代码哈希值、恶意代码动作标识、恶意代码动作名称以及动作相关参数。
可选的,所述理解模块12还用于归并攻击模式信息相同的所述安全事件;以及,修正指定信息中存在信息缺失的所述安全事件,并删除指定信息中存在信息矛盾的所述安全事件。
可选的,所述关联模块13具体用于根据每个安全事件对应的攻击模式信息,将指定时间段内,针对同一攻击目标互联网协议地址的安全事件整合为一条攻击链,并将设定时间段内整合得到的具有相同攻击源互联网协议地址的攻击链关联为一个攻击链簇;
所述聚类模块14用于根据关联结果,基于攻击源信息构建攻击特征图,包括:针对每个攻击链簇,将每个攻击源互联网协议地址作为一个核心点,连接每个核心点,并以指定的至少一个特征作为特征点,将每个核心点与该核心点对应的每个特征点连接,获得一个攻击特征子图;
针对任意两个攻击特征子图,确定一个攻击特征子图的每个核心点与另一个攻击特征子图的每个核心点之间的距离,连接距离小于设定阈值的核心点,获得一个攻击特征图。
可选的,所述关联模块13用于根据每个安全事件对应的攻击模式信息,将指定时间段内,针对同一攻击目标互联网协议地址的安全事件整合为一条攻击链,包括:
针对生成的一个安全事件确定该安全事件对应的指定时间段内,是否存在攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链;
若确定存在,针对每条与该安全事件对应的攻击目标互联网协议地址一致的攻击链,确定按照该安全事件对应的攻击链阶段,将该安全事件整合到该攻击链,是否会导致该攻击链对应的各攻击链阶段错序,若不会,则将该安全事件整合到该攻击链。
可选的,所述关联模块13还进一步用于若确定不存在攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链,或者,针对存在的攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的每条攻击链,未将该安全事件整合到其中任意一条攻击链,则:
生成一条攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链,将该安全事件整合到该攻击链。
可选的,所述聚类模块14用于针对所述攻击特征图,利用图聚类算法进行攻击源信息聚类,包括:
针对所述攻击特征图中的每个攻击源互联网协议地址利用图聚类算法进行聚类,得到至少一组攻击源互联网协议地址;
针对得到的每组攻击源互联网协议地址,确定是否存在攻击源互联网协议地址数量大于设定值的组;
若确定存在,针对攻击源互联网协议地址数量大于设定值的每个组,判断再次利用图聚类算法进行聚类,该分组对应的模块度是否大于设定的最小模块度阈值,若大于,再次得到至少一组攻击源互联网协议地址;并,
针对再次得到的每组攻击源互联网协议地址,返回执行确定是否存在攻击源互联网协议地址数量大于设定值的组。
下面通过图6对如图5所示的装置进行进一步说明。
在一种可能的实现方式中,如图6所示,接收模块11可以通过大数据流式消息队列接收海量异构多源的告警数据,而理解模块12可以基于接收模块11接收到的告警数据,以及预先建立的包括向攻击模式信息和恶意代码信息的映射的攻击范式化模型,进行范式化事件理解,针对每条告警数据生成一个包括指定信息的安全事件,并可以进行安全事件归并,以及安全事件的修正和删除。然后关联模块13可以基于攻击链阶段进行攻击链关联,并可以进一步基于攻击源IP地址进行关联。聚类模块14可以根据关联模块13的关联结果,进行攻击特征图构建,并利用图聚类方法进行攻击源IP地址聚类。
本发明上述实施例提供的各装置的各功能单元的功能,可以通过上述对应的各方法的步骤来实现,因此,本发明实施例提供的各装置中的各个功能单元的具体工作过程和有益效果,在此不复赘述。
基于同一发明构思,本发明实施例提供以下的设备和介质。
本发明实施例提供一种攻击组织发现设备,该设备的结构可以如图7所示,包括处理器21、通信接口22、存储器23和通信总线24,其中,所述处理器21,所述通信接口22,所述存储器23通过所述通信总线24完成相互间的通信;
所述存储器23,用于存放计算机程序;
所述处理器21,用于执行所述存储器上所存储的程序时,实现本发明上述方法实施例所述的步骤。
可选的,所述处理器21具体可以包括中央处理器(CPU)、特定应用集成电路(ASIC,Application Specific Integrated Circuit),可以是一个或多个用于控制程序执行的集成电路,可以是使用现场可编程门阵列(FPGA,Field Programmable Gate Array)开发的硬件电路,可以是基带处理器。
可选的,所述处理器21可以包括至少一个处理核心。
可选的,所述存储器23可以包括只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)和磁盘存储器。存储器23用于存储至少一个处理器21运行时所需的数据。存储器23的数量可以为一个或多个。
本发明实施例还提供一种非易失性计算机存储介质,所述计算机存储介质存储有可执行程序,当可执行程序被处理器执行时,实现本发明上述方法实施例提供的方法。
在具体的实施过程中,计算机存储介质可以包括:通用串行总线闪存盘(USB,Universal Serial Bus Flash Drive)、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的存储介质。
在本发明实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性或其它的形式。
在本发明实施例中的各功能单元可以集成在一个处理单元中,或者各个单元也可以均是独立的物理模块。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如可以是个人计算机,服务器,或者网络设备等,或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(Universal Serial Bus Flash Drive)、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种攻击组织发现方法,其特征在于,所述方法包括:
通过大数据流式消息队列,接收至少一个安全设备发送的至少两条告警数据;
基于预先建立的攻击范式化模型,针对每条告警数据生成一个包括指定信息的安全事件,所述指定信息包括安全事件对应的攻击模式信息、攻击目标信息和攻击源信息;
利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联;
根据关联结果,基于攻击源信息构建攻击特征图,针对所述攻击特征图,利用图聚类方法进行攻击源信息聚类,每组聚类得到的攻击源信息对应一个攻击组织。
2.如权利要求1所述的方法,其特征在于,所述指定信息包括安全事件起始时间信息、安全事件结束时间信息、五元组信息、攻击源互联网协议地址地理信息、攻击目标互联网协议地址地理信息、攻击模式信息和恶意代码信息;
所述攻击模式信息包括攻击模式标识、攻击模式名称以及攻击链阶段;所述恶意代码信息包括恶意代码哈希值、恶意代码动作标识、恶意代码动作名称以及动作相关参数。
3.如权利要求2所述的方法,其特征在于,针对每条告警数据生成一个包括指定信息的安全事件之后,利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联之前,所述方法还包括:
归并攻击模式信息相同的所述安全事件;以及,
修正指定信息中存在信息缺失的所述安全事件,并删除指定信息中存在信息矛盾的所述安全事件。
4.如权利要求3所述的方法,其特征在于,利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联,包括:
根据每个安全事件对应的攻击模式信息,将指定时间段内,针对同一攻击目标互联网协议地址的安全事件整合为一条攻击链,并将设定时间段内整合得到的具有相同攻击源互联网协议地址的攻击链关联为一个攻击链簇;
根据关联结果,基于攻击源信息构建攻击特征图,包括:
针对每个攻击链簇,将每个攻击源互联网协议地址作为一个核心点,连接每个核心点,并以指定的至少一个特征作为特征点,将每个核心点与该核心点对应的每个特征点连接,获得一个攻击特征子图;
针对任意两个攻击特征子图,确定一个攻击特征子图的每个核心点与另一个攻击特征子图的每个核心点之间的距离,连接距离小于设定阈值的核心点,获得一个攻击特征图。
5.如权利要求4所述的方法,其特征在于,根据每个安全事件对应的攻击模式信息,将指定时间段内,针对同一攻击目标互联网协议地址的安全事件整合为一条攻击链,包括:
针对生成的一个安全事件确定该安全事件对应的指定时间段内,是否存在攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链;
若确定存在,针对每条与该安全事件对应的攻击目标互联网协议地址一致的攻击链,确定按照该安全事件对应的攻击链阶段,将该安全事件整合到该攻击链,是否会导致该攻击链对应的各攻击链阶段错序,若不会,则将该安全事件整合到该攻击链。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:若确定不存在攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链,或者,针对存在的攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的每条攻击链,未将该安全事件整合到其中任意一条攻击链,则:
生成一条攻击目标互联网协议地址与该安全事件对应的攻击目标互联网协议地址一致的攻击链,将该安全事件整合到该攻击链。
7.如权利要求4所述的方法,其特征在于,针对所述攻击特征图,利用图聚类算法进行攻击源信息聚类,包括:
针对所述攻击特征图中的每个攻击源互联网协议地址利用图聚类算法进行聚类,得到至少一组攻击源互联网协议地址;
针对得到的每组攻击源互联网协议地址,确定是否存在攻击源互联网协议地址数量大于设定值的组;
若确定存在,针对攻击源互联网协议地址数量大于设定值的每个组,判断再次利用图聚类算法进行聚类,该分组对应的模块度是否大于设定的最小模块度阈值,若大于,再次得到至少一组攻击源互联网协议地址;并,
针对再次得到的每组攻击源互联网协议地址,返回执行确定是否存在攻击源互联网协议地址数量大于设定值的组。
8.一种攻击组织发现装置,其特征在于,所述装置包括接收模块、理解模块、关联模块和聚类模块,其中:
所述接收模块,用于通过大数据流式消息队列,接收至少一个安全设备发送的至少两条告警数据;
所述理解模块,用于基于预先建立的攻击范式化模型,针对每条告警数据生成一个包括指定信息的安全事件,所述指定信息包括安全事件对应的攻击模式信息、攻击目标信息和攻击源信息;
所述关联模块,用于利用所述安全事件对应的攻击模式信息、攻击目标信息和攻击源信息对所述安全事件进行关联;
所述聚类模块,用于根据关联结果,基于攻击源信息构建攻击特征图,针对所述攻击特征图,利用图聚类方法进行攻击源信息聚类,每组聚类得到的攻击源信息对应一个攻击组织。
9.一种非易失性计算机存储介质,其特征在于,所述计算机存储介质存储有可执行程序,该可执行程序被处理器执行实现权利要求1~7任一所述的方法。
10.一种攻击组织发现设备,其特征在于,所述设备包括处理器、通信接口、存储器和通信总线,其中,所述处理器,所述通信接口,所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存储的程序时,实现权利要求1~7任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011085247.XA CN112241439B (zh) | 2020-10-12 | 2020-10-12 | 一种攻击组织发现方法、装置、介质和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011085247.XA CN112241439B (zh) | 2020-10-12 | 2020-10-12 | 一种攻击组织发现方法、装置、介质和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112241439A true CN112241439A (zh) | 2021-01-19 |
CN112241439B CN112241439B (zh) | 2023-07-21 |
Family
ID=74168757
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011085247.XA Active CN112241439B (zh) | 2020-10-12 | 2020-10-12 | 一种攻击组织发现方法、装置、介质和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112241439B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114944956A (zh) * | 2022-05-27 | 2022-08-26 | 深信服科技股份有限公司 | 一种攻击链路检测方法、装置、电子设备及存储介质 |
CN115189968A (zh) * | 2022-09-07 | 2022-10-14 | 南京怡晟安全技术研究院有限公司 | 一种基于安全朔源图和攻击链关联技术的态势感知方法 |
CN115484209A (zh) * | 2022-09-23 | 2022-12-16 | 绿盟科技集团股份有限公司 | 一种网络流量回放方法、装置、介质和电子设备 |
CN115514582A (zh) * | 2022-11-21 | 2022-12-23 | 国家工业信息安全发展研究中心 | 基于att&ck的工业互联网攻击链关联方法及系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006067605A (ja) * | 2002-08-20 | 2006-03-09 | Nec Corp | 攻撃検知装置および攻撃検知方法 |
US20070277242A1 (en) * | 2006-05-26 | 2007-11-29 | Microsoft Corporation | Distributed peer attack alerting |
CN101252487A (zh) * | 2008-04-11 | 2008-08-27 | 杭州华三通信技术有限公司 | 一种处理安全告警的方法及安全策略设备 |
JP2010050939A (ja) * | 2008-08-25 | 2010-03-04 | Hitachi Information Systems Ltd | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
US20160103992A1 (en) * | 2014-10-14 | 2016-04-14 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
US20170099306A1 (en) * | 2015-10-02 | 2017-04-06 | Trend Micro Incorporated | Detection of advanced persistent threat attack on a private computer network |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN110474931A (zh) * | 2019-09-29 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 一种攻击源的联网告警方法和系统 |
-
2020
- 2020-10-12 CN CN202011085247.XA patent/CN112241439B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006067605A (ja) * | 2002-08-20 | 2006-03-09 | Nec Corp | 攻撃検知装置および攻撃検知方法 |
US20070277242A1 (en) * | 2006-05-26 | 2007-11-29 | Microsoft Corporation | Distributed peer attack alerting |
CN101252487A (zh) * | 2008-04-11 | 2008-08-27 | 杭州华三通信技术有限公司 | 一种处理安全告警的方法及安全策略设备 |
JP2010050939A (ja) * | 2008-08-25 | 2010-03-04 | Hitachi Information Systems Ltd | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
US20160103992A1 (en) * | 2014-10-14 | 2016-04-14 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
US20170099306A1 (en) * | 2015-10-02 | 2017-04-06 | Trend Micro Incorporated | Detection of advanced persistent threat attack on a private computer network |
CN108881294A (zh) * | 2018-07-23 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 基于网络攻击行为的攻击源ip画像生成方法以及装置 |
CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
CN110474931A (zh) * | 2019-09-29 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 一种攻击源的联网告警方法和系统 |
Non-Patent Citations (1)
Title |
---|
成世鑫: "计算机网络作战C2组织模型研究", 《中国优秀硕士学位论文电子期刊网》, pages 1 - 20 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114944956A (zh) * | 2022-05-27 | 2022-08-26 | 深信服科技股份有限公司 | 一种攻击链路检测方法、装置、电子设备及存储介质 |
CN115189968A (zh) * | 2022-09-07 | 2022-10-14 | 南京怡晟安全技术研究院有限公司 | 一种基于安全朔源图和攻击链关联技术的态势感知方法 |
CN115484209A (zh) * | 2022-09-23 | 2022-12-16 | 绿盟科技集团股份有限公司 | 一种网络流量回放方法、装置、介质和电子设备 |
CN115484209B (zh) * | 2022-09-23 | 2024-04-02 | 绿盟科技集团股份有限公司 | 一种网络流量回放方法、装置、介质和电子设备 |
CN115514582A (zh) * | 2022-11-21 | 2022-12-23 | 国家工业信息安全发展研究中心 | 基于att&ck的工业互联网攻击链关联方法及系统 |
CN115514582B (zh) * | 2022-11-21 | 2023-02-03 | 国家工业信息安全发展研究中心 | 基于att&ck的工业互联网攻击链关联方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112241439B (zh) | 2023-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112241439A (zh) | 一种攻击组织发现方法、装置、介质和设备 | |
CN110943961B (zh) | 数据处理方法、设备以及存储介质 | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
CN112100545A (zh) | 网络资产的可视化方法、装置、设备和可读存储介质 | |
CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
KR20170060280A (ko) | 탐지 규칙 자동 생성 장치 및 방법 | |
CN111294233A (zh) | 网络告警统计分析方法、系统及计算机可读存储介质 | |
EP4080842A1 (en) | Method and apparatus for obtaining malicious event information, and electronic device | |
US8782092B2 (en) | Method and apparatus for streaming netflow data analysis | |
CN104871171A (zh) | 分布式模式发现 | |
CN111414619B (zh) | 一种数据安全检测方法、装置、设备及可读存储介质 | |
CN112738003B (zh) | 恶意地址管理方法和装置 | |
CN111159702B (zh) | 一种进程名单生成方法和装置 | |
CN114679327B (zh) | 网络攻击等级确定方法、装置、计算机设备和存储介质 | |
CN111224831A (zh) | 用于生成话单的方法和系统 | |
CN111314379A (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN113987492A (zh) | 一种告警事件的确定方法及装置 | |
CN106570160B (zh) | 一种海量时空数据清洗方法及装置 | |
CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
CN110995489B (zh) | 大数据平台服务器管理方法、装置、服务器及存储介质 | |
CN114205146B (zh) | 一种多源异构安全日志的处理方法及装置 | |
CN114531306B (zh) | 一种基于威胁行为的实时检测方法与系统 | |
CN105827627A (zh) | 一种信息获取方法和装置 | |
CN113079148B (zh) | 一种工业互联网安全监测方法、装置、设备及储存介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |