CN112291260A - 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 - Google Patents
一种面向apt攻击的网络安全威胁隐蔽目标识别方法 Download PDFInfo
- Publication number
- CN112291260A CN112291260A CN202011262602.6A CN202011262602A CN112291260A CN 112291260 A CN112291260 A CN 112291260A CN 202011262602 A CN202011262602 A CN 202011262602A CN 112291260 A CN112291260 A CN 112291260A
- Authority
- CN
- China
- Prior art keywords
- threat
- data
- network security
- communication data
- target identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
一种面向APT攻击的网络安全威胁隐蔽目标识别方法,包括以下具体步骤:S1、收集网络中的通信数据;S2、对收集的的通信数据进行关联分析,根据关联分析结果筛选出通信数据中的威胁数据;S3、根据不同威胁数据对网络安全的威胁等级,计算不同威胁数据之间的相似度值;S4、利用关联规则算法对所有威胁数据之间的相似度值进行关联分析,确定不同威胁数据之间的关联关系,并构建网络安全威胁隐蔽目标识别模型;S5、对网络中的通信数据进行实时获取,并通过网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别。本发明能快速高效的识别出APT攻击下网络安全威胁的隐蔽目标,对隐藏目标识别的准确率高,极大的提高了网络的安全性。
Description
技术领域
本发明涉及APT攻击检测技术领域,尤其涉及一种面向APT攻击的网络安全威胁隐蔽目标识别方法。
背景技术
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击;也正因为APT攻击都是基于特定攻击目标,在精心策划后展开的,且可进一步通过远控,结合人工的技能更针对性地执行攻击过程,整个过程长期潜伏难以察觉,所以攻击一旦成功,对攻击目标会造成非常大的威胁;APT攻击在爆发之前能够很好的躲避防御设施的检测,潜伏期越来越长,搜集大量机密信息。基于其的隐蔽性,可能存在大量其他未被发现的威胁,正在严重地威胁着国家安全和公民权益;为此,本申请中提出一种面向APT攻击的网络安全威胁隐蔽目标识别方法。
发明内容
(一)发明目的
为解决背景技术中存在的技术问题,本发明提出一种面向APT攻击的网络安全威胁隐蔽目标识别方法,本发明能快速高效的识别出APT攻击下网络安全威胁的隐蔽目标,对隐藏目标识别的准确率高,极大的提高了网络的安全性。
(二)技术方案
为解决上述问题,本发明提供了一种面向APT攻击的网络安全威胁隐蔽目标识别方法,包括以下具体步骤:
S1、收集网络中的通信数据;
S2、对收集的的通信数据进行关联分析,根据关联分析结果筛选出通信数据中的威胁数据;
S3、根据不同威胁数据对网络安全的威胁等级,计算不同威胁数据之间的相似度值;
S4、利用关联规则算法对所有威胁数据之间的相似度值进行关联分析,确定不同威胁数据之间的关联关系,并构建网络安全威胁隐蔽目标识别模型;
S5、对网络中的通信数据进行实时获取,并通过网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别。
优选的,通信数据包括事件、流量、威胁情报和漏洞数据;事件包括安全事件、操作系统事件、数据库事件、应用事件和认证事件;流量包括与攻击有关的原始流量和用于记录网络访问通信行为的流量日志。
优选的,根据不同的威胁数据对网络安全的威胁等级不同,采用对称的JS距离计算不组威胁数据的相似度;
不同威胁数据之间的相似度值的计算公式为:
其中,DJS(p,q)表示两个不同威胁数据之间的相似度,JS距离越小,表明不同威胁数据之间的相似度越大;p、q分别表示两个不同的威胁数据的威胁等级分布,
为两个不同威胁等级之间的KL距离公式,DKL(p,q)表示两个不同威胁数据之间的KL距离;pj表示一个威胁数据对应的威胁等级;qj表示另一个威胁数据对应的威胁等级;T为威胁等级的总级数。
优选的,关联规则算法为Apriori算法或者FP-Growth算法。
优选的,S1中对收集网络中的通信数据进行归一化处理,以去除通信数据中的错误数据以及冗余数据。
优选的,S5中网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别,
当待识别的通信数据与网络安全威胁隐蔽目标识别模型中威胁数据的相似度一致时,则对上述待识别的通信数据进行截留并进行安全处理;
当待识别的通信数据与网络安全威胁隐蔽目标识别模型中威胁数据的相似度不同时,待识别的通信数据为安全数据,继续对下一组待识别的通信数据进行识别。
优选的,将识别得到的具有威胁的通信数据更新至网络安全威胁隐蔽目标识别模型中。
优选的,面向APT攻击的网络安全威胁隐蔽目标识别系统,包括
收集模块,用于收集网络中的通信数据;
分析筛选模块,用于对收集的的通信数据进行关联分析,根据关联分析结果筛选出通信数据中的威胁数据;
相似度计算模块,用于根据不同威胁数据对网络安全的威胁等级,计算不同威胁数据之间的相似度值;
网络安全威胁隐蔽目标识别模型构建模块,用于利用关联规则算法对所有威胁数据之间的相似度值进行关联分析,确定不同威胁数据之间的关联关系,并构建网络安全威胁隐蔽目标识别模型;
实时获取模块,用于对网络中的通信数据进行实时获取,以通过网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别。
优选的,面向APT攻击的网络安全威胁隐蔽目标识别系统,还包括
安全处理模块,用于对具有安全威胁的通信数据进行截留并进行安全处理。
优选的,面向APT攻击的网络安全威胁隐蔽目标识别系统,还包括
更新模块,用于将识别得到的具有威胁的通信数据更新至网络安全威胁隐蔽目标识别模型中。
本发明的上述技术方案具有如下有益的技术效果:
本发明中,先收集网络中的通信数据并进行关联分析,根据关联分析结果筛选出通信数据中的威胁数据;根据不同威胁数据对网络安全的威胁等级,计算不同威胁数据之间的相似度值;利用关联规则算法构建网络安全威胁隐蔽目标识别模型;通过网络安全威胁隐蔽目标识别模型实时对网络中的通信数据进行识别,以快速高效的识别出APT攻击下网络安全威胁的隐蔽目标,另外,隐藏目标识别的准确率高;
还能将识别出的威胁数据进一步更新至网络安全威胁隐蔽目标识别模型以提高网络安全威胁隐蔽目标识别模型对网络中通信数据的识别效率和准确度。
附图说明
图1为本发明提出的一种面向APT攻击的网络安全威胁隐蔽目标识别方法的流程图。
图2为本发明提出的一种面向APT攻击的网络安全威胁隐蔽目标识别方法中面向APT攻击的网络安全威胁隐蔽目标识别系统的原理框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
如图1-2所示,本发明提出的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,包括以下具体步骤:
S1、收集网络中的通信数据;
S2、对收集的的通信数据进行关联分析,根据关联分析结果筛选出通信数据中的威胁数据;
S3、根据不同威胁数据对网络安全的威胁等级,计算不同威胁数据之间的相似度值;
S4、利用关联规则算法对所有威胁数据之间的相似度值进行关联分析,确定不同威胁数据之间的关联关系,并构建网络安全威胁隐蔽目标识别模型;
S5、对网络中的通信数据进行实时获取,并通过网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别,通过得到的网络安全威胁隐蔽目标识别模型在网络运行过程中,对网络中的通信数据进行实时识别,以快速准确的得到威胁数据。
在一个可选的实施例中,通信数据包括事件、流量、威胁情报和漏洞数据;事件包括安全事件、操作系统事件、数据库事件、应用事件和认证事件;流量包括与攻击有关的原始流量和用于记录网络访问通信行为的流量日志。
在一个可选的实施例中,根据不同的威胁数据对网络安全的威胁等级不同,采用对称的JS距离计算不组威胁数据的相似度;
不同威胁数据之间的相似度值的计算公式为:
其中,DJS(p,q)表示两个不同威胁数据之间的相似度,JS距离越小,表明不同威胁数据之间的相似度越大;p、q分别表示两个不同的威胁数据的威胁等级分布,
为两个不同威胁等级之间的KL距离公式,DKL(p,q)表示两个不同威胁数据之间的KL距离;pj表示一个威胁数据对应的威胁等级;qj表示另一个威胁数据对应的威胁等级;T为威胁等级的总级数。
在一个可选的实施例中,关联规则算法为Apriori算法或者FP-Growth算法。
在一个可选的实施例中,S1中对收集网络中的通信数据进行归一化处理,以去除通信数据中的错误数据以及冗余数据。
在一个可选的实施例中,S5中网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别,
当待识别的通信数据与网络安全威胁隐蔽目标识别模型中威胁数据的相似度一致时,则对上述待识别的通信数据进行截留并进行安全处理;
当待识别的通信数据与网络安全威胁隐蔽目标识别模型中威胁数据的相似度不同时,待识别的通信数据为安全数据,继续对下一组待识别的通信数据进行识别。
在一个可选的实施例中,将识别得到的具有威胁的通信数据更新至网络安全威胁隐蔽目标识别模型中,进而能大大的提高网络安全威胁隐蔽目标识别模型对网络中通信数据的识别能力,大大提高网络的安全性能。
在一个可选的实施例中,面向APT攻击的网络安全威胁隐蔽目标识别系统,包括
收集模块,用于收集网络中的通信数据;
分析筛选模块,用于对收集的的通信数据进行关联分析,根据关联分析结果筛选出通信数据中的威胁数据;
相似度计算模块,用于根据不同威胁数据对网络安全的威胁等级,计算不同威胁数据之间的相似度值;
网络安全威胁隐蔽目标识别模型构建模块,用于利用关联规则算法对所有威胁数据之间的相似度值进行关联分析,确定不同威胁数据之间的关联关系,并构建网络安全威胁隐蔽目标识别模型;
实时获取模块,用于对网络中的通信数据进行实时获取,以通过网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别。
在一个可选的实施例中,面向APT攻击的网络安全威胁隐蔽目标识别系统,还包括
安全处理模块,用于对具有安全威胁的通信数据进行截留并进行安全处理。
在一个可选的实施例中,面向APT攻击的网络安全威胁隐蔽目标识别系统,还包括
更新模块,用于将识别得到的具有威胁的通信数据更新至网络安全威胁隐蔽目标识别模型中。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,包括以下具体步骤:
S1、收集网络中的通信数据;
S2、对收集的的通信数据进行关联分析,根据关联分析结果筛选出通信数据中的威胁数据;
S3、根据不同威胁数据对网络安全的威胁等级,计算不同威胁数据之间的相似度值;
S4、利用关联规则算法对所有威胁数据之间的相似度值进行关联分析,确定不同威胁数据之间的关联关系,并构建网络安全威胁隐蔽目标识别模型;
S5、对网络中的通信数据进行实时获取,并通过网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别。
2.根据权利要求1所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,通信数据包括事件、流量、威胁情报和漏洞数据;事件包括安全事件、操作系统事件、数据库事件、应用事件和认证事件;流量包括与攻击有关的原始流量和用于记录网络访问通信行为的流量日志。
3.根据权利要求1所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,根据不同的威胁数据对网络安全的威胁等级不同,采用对称的JS距离计算不组威胁数据的相似度;
不同威胁数据之间的相似度值的计算公式为:
其中,DJS(p,q)表示两个不同威胁数据之间的相似度,JS距离越小,表明不同威胁数据之间的相似度越大;p、q分别表示两个不同的威胁数据的威胁等级分布,
为两个不同威胁等级之间的KL距离公式,DKL(p,q)表示两个不同威胁数据之间的KL距离;pj表示一个威胁数据对应的威胁等级;qj表示另一个威胁数据对应的威胁等级;T为威胁等级的总级数。
4.根据权利要求1所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,关联规则算法为Apriori算法或者FP-Growth算法。
5.根据权利要求1所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,S1中对收集网络中的通信数据进行归一化处理,以去除通信数据中的错误数据以及冗余数据。
6.根据权利要求1所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,S5中网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别,
当待识别的通信数据与网络安全威胁隐蔽目标识别模型中威胁数据的相似度一致时,则对上述待识别的通信数据进行截留并进行安全处理;
当待识别的通信数据与网络安全威胁隐蔽目标识别模型中威胁数据的相似度不同时,待识别的通信数据为安全数据,继续对下一组待识别的通信数据进行识别。
7.根据权利要求6所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,将识别得到的具有威胁的通信数据更新至网络安全威胁隐蔽目标识别模型中。
8.根据权利要求1所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,面向APT攻击的网络安全威胁隐蔽目标识别系统,包括
收集模块,用于收集网络中的通信数据;
分析筛选模块,用于对收集的的通信数据进行关联分析,根据关联分析结果筛选出通信数据中的威胁数据;
相似度计算模块,用于根据不同威胁数据对网络安全的威胁等级,计算不同威胁数据之间的相似度值;
网络安全威胁隐蔽目标识别模型构建模块,用于利用关联规则算法对所有威胁数据之间的相似度值进行关联分析,确定不同威胁数据之间的关联关系,并构建网络安全威胁隐蔽目标识别模型;
实时获取模块,用于对网络中的通信数据进行实时获取,以通过网络安全威胁隐蔽目标识别模型对获取的通信数据进行识别。
9.根据权利要求8所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,面向APT攻击的网络安全威胁隐蔽目标识别系统,还包括安全处理模块,用于对具有安全威胁的通信数据进行截留并进行安全处理。
10.根据权利要求9所述的一种面向APT攻击的网络安全威胁隐蔽目标识别方法,其特征在于,面向APT攻击的网络安全威胁隐蔽目标识别系统,还包括
更新模块,用于将识别得到的具有威胁的通信数据更新至网络安全威胁隐蔽目标识别模型中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011262602.6A CN112291260A (zh) | 2020-11-12 | 2020-11-12 | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011262602.6A CN112291260A (zh) | 2020-11-12 | 2020-11-12 | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112291260A true CN112291260A (zh) | 2021-01-29 |
Family
ID=74398748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011262602.6A Pending CN112291260A (zh) | 2020-11-12 | 2020-11-12 | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112291260A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584345A (zh) * | 2022-01-26 | 2022-06-03 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
| CN116074127A (zh) * | 2023-04-03 | 2023-05-05 | 成都工业职业技术学院 | 一种基于大数据的自适应网络安全态势评估模型 |
| CN117811841A (zh) * | 2024-02-29 | 2024-04-02 | 深圳市常行科技有限公司 | 一种针对内部网络的威胁监测防御系统、方法及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486141A (zh) * | 2014-11-26 | 2015-04-01 | 国家电网公司 | 一种误报自适应的网络安全态势预测方法 |
| CN107172022A (zh) * | 2017-05-03 | 2017-09-15 | 成都国腾实业集团有限公司 | 基于入侵途径的apt威胁检测方法和系统 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN109088869A (zh) * | 2018-08-14 | 2018-12-25 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
| CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
| CN110958220A (zh) * | 2019-10-24 | 2020-04-03 | 中国科学院信息工程研究所 | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 |
-
2020
- 2020-11-12 CN CN202011262602.6A patent/CN112291260A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486141A (zh) * | 2014-11-26 | 2015-04-01 | 国家电网公司 | 一种误报自适应的网络安全态势预测方法 |
| CN108259449A (zh) * | 2017-03-27 | 2018-07-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN107172022A (zh) * | 2017-05-03 | 2017-09-15 | 成都国腾实业集团有限公司 | 基于入侵途径的apt威胁检测方法和系统 |
| CN109088869A (zh) * | 2018-08-14 | 2018-12-25 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
| CN109922069A (zh) * | 2019-03-13 | 2019-06-21 | 中国科学技术大学 | 高级持续性威胁的多维关联分析方法及系统 |
| CN110958220A (zh) * | 2019-10-24 | 2020-04-03 | 中国科学院信息工程研究所 | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 姜宏等: "基于流指纹的DDoS flooding攻击检测方法", 《信息工程大学学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584345A (zh) * | 2022-01-26 | 2022-06-03 | 北京邮电大学 | 轨道交通网络安全处理方法、装置及设备 |
| CN116074127A (zh) * | 2023-04-03 | 2023-05-05 | 成都工业职业技术学院 | 一种基于大数据的自适应网络安全态势评估模型 |
| CN116074127B (zh) * | 2023-04-03 | 2023-07-04 | 成都工业职业技术学院 | 一种基于大数据的自适应网络安全态势评估系统 |
| CN117811841A (zh) * | 2024-02-29 | 2024-04-02 | 深圳市常行科技有限公司 | 一种针对内部网络的威胁监测防御系统、方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN112291260A (zh) | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| RU2018136768A (ru) | Упреждающая киберзащита | |
| CN105681286A (zh) | 关联分析方法和关联分析系统 | |
| CN110213226A (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| CN114422224A (zh) | 面向攻击溯源的威胁情报智能分析方法及系统 | |
| Parmar et al. | On the Use of Cyber Threat Intelligence (CTI) in Support of Developing the Commander's Understanding of the Adversary | |
| CN111818102A (zh) | 一种应用于网络靶场的防御效能评估方法 | |
| CN106375303A (zh) | 攻击防御方法及装置 | |
| Chen et al. | Advanced persistent threat organization identification based on software gene of malware | |
| Zheng et al. | Wmdefense: Using watermark to defense byzantine attacks in federated learning | |
| Sree et al. | Artificial intelligence based predictive threat hunting in the field of cyber security | |
| CN117375997A (zh) | 一种基于蜜点的恶意流量攻击安全知识平面构建方法 | |
| KR102433581B1 (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
| KR102562671B1 (ko) | 사회이슈형 사이버 표적공격의 대응을 위한 유전 알고리즘을 이용한 위협 헌팅 시스템 및 그 방법 | |
| CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
| Olszewski | Advanced persistent threats as a manifestation of states’ military activity in cyber space | |
| CN114726623A (zh) | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 | |
| CN115473667A (zh) | 一种基于子图匹配的apt攻击序列检测方法 | |
| Li et al. | FlPhish: Reputation-based phishing byzantine defense in ensemble federated learning | |
| CN110611636A (zh) | 一种基于大数据算法的失陷主机检测技术 | |
| Wang et al. | SWIM: An Effective Method to Perceive Cyberspace Situation from Honeynet | |
| KR102556463B1 (ko) | 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 방법 | |
| Wei et al. | Extracting novel attack strategies for industrial cyber-physical systems based on cyber range |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210129 |