CN112383575A - 用于信息安全的方法、电子装置和电子设备 - Google Patents
用于信息安全的方法、电子装置和电子设备 Download PDFInfo
- Publication number
- CN112383575A CN112383575A CN202110061015.9A CN202110061015A CN112383575A CN 112383575 A CN112383575 A CN 112383575A CN 202110061015 A CN202110061015 A CN 202110061015A CN 112383575 A CN112383575 A CN 112383575A
- Authority
- CN
- China
- Prior art keywords
- logical
- abstract
- physical
- physical layer
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种用于信息安全的方法、电子装置、电子设备和计算机可读存储介质。该方法包括:基于从目标系统获取的目标数据集,通过行为模型,确定目标系统中的具体逻辑主体和具体逻辑主体之间的关系;基于所确定的具体逻辑主体和具体逻辑主体之间的关系确定或预测目标系统中的安全异常;基于所确定或预测的安全异常,执行相应的故障处理;其中,行为模型是通过至少将逻辑层模型中的、与具体逻辑主体相对应的抽象逻辑主体,与物理层模型中的、与抽象逻辑主体相关联的抽象物理主体相关联来构建的;并且其中物理层模型是基于非特定于目标数据集的在先数据集而预先构建的通用模型。
Description
技术领域
本公开涉及信息安全,更具体地,涉及一种用于信息安全的方法、电子装置、电子设备和计算机可读存储介质。
背景技术
随着计算机技术、移动终端和互联网等的发展,现有网络系统越来越复杂、和人们的日常生活也越来越密切相关。随之而来的信息安全问题也越来越受到人们的关注。现有信息安全系统一般是自上而下的,即先定义信息安全问题,然后基于该信息安全问题来分析网络数据,然后基于对网络数据的分析来判断是否发生了定义的信息安全问题。这样的信息安全系统是针对定义的信息安全问题定制的,只能解决该定义的信息安全问题,不易进行扩展。
发明内容
鉴于上述问题而提出了本公开。本公开提供了一种用于信息安全的方法、电子装置、电子设备和计算机可读存储介质。
根据本公开的一方面,提供了一种用于信息安全的方法,该方法包括:基于从目标系统获取的目标数据集,通过行为模型,确定目标系统中的具体逻辑主体和具体逻辑主体之间的关系;基于所确定的具体逻辑主体和具体逻辑主体之间的关系确定或预测目标系统中的安全异常;基于所确定或预测的安全异常,执行相应的故障处理;其中,行为模型是通过至少将逻辑层模型中的、与具体逻辑主体相对应的抽象逻辑主体,与物理层模型中的、与抽象逻辑主体相关联的抽象物理主体相关联来构建的;并且其中物理层模型是基于非特定于目标数据集的在先数据集而预先构建的通用模型。
根据本公开的另一方面,提供了一种用于信息安全的电子装置,包括:确定单元,用于基于从目标系统获取的目标数据集,通过行为模型,确定目标系统中的具体逻辑主体和具体逻辑主体之间的关系;检测单元,用于基于所确定的具体逻辑主体和具体逻辑主体之间的关系确定或预测目标系统中的安全异常;和故障处理单元,用于基于所确定或预测的安全异常,执行相应的故障处理;其中,行为模型是通过至少将逻辑层模型中的、与具体逻辑主体相对应的抽象逻辑主体,与物理层模型中的、与抽象逻辑主体相关联的抽象物理主体相关联来构建的;并且其中物理层模型是基于非特定于目标数据集的在先数据集而预先构建的通用模型。
根据本公开的又一方面,提供了一种用于信息安全的电子设备,该电子设备包括:处理器和其上存储有处理器可运行指令的存储器,当所述处理器可运行指令由所述处理器运行时使得所述处理器执行根据本公开的实施例的用于信息安全的方法。
根据本公开的又一方面,提供了一种计算机可读存储介质,其上存储有处理器可运行指令,当所述处理器可运行指令由处理器运行时使得所述处理器执行根据本公开的实施例的用于信息安全的方法。
如以下将详细描述的,根据本公开的实施例的用于信息安全的方法、电子装置、电子设备和计算机可读存储介质,基于数字孪生和本体论,以自下而上的方式,通过是基于非特定于目标数据集的在先数据集而预先构建的通用模型的物理层模型构建信息安全系统,因而易于扩展,可以适用不同的安全应用场景;并且由于至少物理层模型可以由多个不同的信息安全问题所共享的,因而系统比较小,相应的处理器负载也比较小。
应该理解,前面的一般描述和下面的详细描述两者都是示例性的,并且旨在提供要求保护的技术的进一步说明,而不旨在限制本公开的技术构思。
附图说明
通过结合附图对本公开的实施例进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显。附图用来提供对本公开的实施例的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开,但是并不构成对本公开的限制。在附图中,相同的参考标号通常代表相同的部件或步骤。
图1示出了可应用根据本公开的实施例的用于信息安全的方法的网络环境;
图2是根据本公开的实施例的用于信息安全的方法的示例流程图;
图3是根据本公开的实施例的构建物理层模型的示例流程图;
图4A和图4B是用于示出根据本公开的实施例,对构建的物理层图进行处理的示意图;
图5是进一步示出图2中的步骤S120,基于所确定的具体逻辑主体和具体逻辑主体之间的关系确定或预测目标系统中的安全异常的示例流程图;
图6示出了根据本公开的实施例的知识图谱的示例架构图;
图7示出了根据本公开的实施例的网络系统的示例知识图谱;
图8是用于说明根据本公开的实施例的用于信息安全的方法的防火墙系统的示意图;
图9示出了根据本公开的实施例的防火墙的示例理论行为模型;
图10示出了根据本公开的实施例的防火墙的示例物理层模型;
图11示出了根据本公开的实施例的防火墙的一个示例行为模型;
图12示出了根据本公开的实施例的防火墙的另一个示例行为模型;
图13示出了根据本公开的实施例的用于信息安全的电子装置;和
图14示出了根据本公开的实施例的用于信息安全的电子设备。
具体实施方式
下面将结合附图对本公开的技术方案进行清楚、完整地描述。显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开的保护范围。
在本公开的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本公开和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本公开的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。同样,“一个”、“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现在该词前面的元素或者物件涵盖出现在该词后面列举的元素或者物件及其等同,而不排除其他元素或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
在本公开的描述中,需要说明的是,除非另有明确的规定和限定,否则术语“安装”、“相连”、“连接”应做广义理解。例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本公开中的具体含义。
此外,下面所描述的本公开不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
随着计算机技术、移动终端和互联网等的发展,现代生活与信息数据紧密相连。越来越多的人或组织及其在物理空间的活动过程被数据化。可以说,随着信息技术的发展,已经形成了一个数字世界(即,由数据形成的虚拟世界),其可以反映现实世界中的人或组织及其在现实世界中的活动。将人或组织及其在现实世界中的活动映射到数字世界称为数字孪生。数字孪生技术形成的数字世界可以有助于各行各业的发展。
人或组织及其在现实世界中的活动是复杂的,因此如何将其反映到数字世界是一个值得思考的问题。有学者提出通过本体论来进行数字孪生。本体论(ontology)是探究世界的本原或基质的理论。其实质的从事物的本质研究事物,旨在找到事物的“基本粒子”和“运行规则”。对于数字孪生,通过本体论来构建数字世界的核心是找到数字世界的“基本粒子”和“运行规则”。
本公开基于数字孪生和本体论提出了用于信息安全的方法、电子装置、电子设备和计算机可读存储介质。如下文将参考附图详细描述的,本公开通过网络系统的“基本粒子”和“运行规则”,以自下而上的方式构建信息安全系统。
为了便于描述和本领域技术人员更好的理解本公开,在此对本公开在下文中将使用的一些术语进行说明。
在本公开中,
具体物理主体可以指:网络物理空间内,以数据结构保存的不可拆分的基本信息主体,例如“IP(218.89.222.212)”、“MAC(C8-5B-76-7B-31-5F)”或“端口(8080)”。
抽象物理主体可以是对具有共同的本质的特征的一类具体物理主体的抽象,例如“IP”、“MAC”或“端口”等。
物理层模型可以指:由抽象物理主体组成,可提取输入数据中与该抽象物理主体相对应的具体物理主体及其之间的关系的模型(例如,如图10所示的物理层模型1000)。
具体逻辑主体可以指:业务逻辑需要的信息主体,例如“网段A”、“设备A”或“张三”等。
抽象逻辑主体可以是对具有共同的本质的特征的一类具体逻辑主体的抽象,例如“网段”、“设备”或“人”等。
逻辑层模型可以指:由抽象逻辑主体组成的模型(例如,如图11所示的逻辑层模型1110)。
行为模型可以指:至少将逻辑层模型中的抽象逻辑主体,与物理层模型中的抽象物理主体相关联,可提取输入数据(即,目标系统)中与该抽象逻辑主体相对应的具体逻辑主体及其之间的关系的模型(例如,例如,如图11所示的行为模型1100)。
图1示出了可应用根据本公开的实施例的用于信息安全的方法的网络环境。
如图1所示,可应用根据本公开的实施例的用于信息安全的方法的网络环境可以包括第一系统110、第二系统120和第三系统130。第一系统110、第二系统120和第三系统130通过网络140互连。第一系统110可以包括服务器110_2、客户端110_4和110_6。服务器110_2和客户端110_4和110_6通过网络110_8互连。第二系统120可以包括服务器120_2、客户端120_4、120_6和120_8。服务器120_2和客户端120_4、120_6和120_8通过网络120_10互连。第三系统130可以包括服务器130_2、客户端130_4、130_6、130_8和130_10。服务器130_2和客户端130_4和130_6通过网络130_12互连,服务器130_2和客户端130_8和130_10通过网络130_14互连。
在一个实施中,第一系统110可以是实施根据本公开的实施例的用于信息安全的方法的系统,第二系统120和第三系统130是目标系统。第一系统110可以通过实施根据本公开的实施例的用于信息安全的方法来确定或预测第二系统120和/或第三系统130的信息安全问题。在另一个实施中,可以由各个系统中的服务器(例如,第一系统的服务器110_2)和/或客户端设备(例如,第一系统的客户端110_4)来实施根据本公开的实施例的用于信息安全的方法来确定或预测自身的信息安全问题。在又一个实施例中,可以从系统(例如,第一系统110)收集数据,然后由另一不与其相连的系统(例如,在图1中未示出的与第一系统不相连的第四系统)通过根据本公开的实施例的用于信息安全的方法来确定或预测该系统的信息安全问题。
本公开中的服务器110_2、120_2和130_2是指提供计算服务的设备,包括但不限于文件服务器、数据库服务器、应用程序服务器、WEB服务器等。本公开中的客户端设备110_4和110_6等包括但不限于笔记本计算机、台式计算机、智能电话、平板电脑等具有数据处理能力的移动终端或者固定终端。此外,本公开中的网络140和110_8等包括但不限于无线保真(Wi-Fi)网络、无线局域网(WLAN)、局域网(LAN)和/或城域网(MAN)等。
应该理解,虽然在图1中,可应用根据本公开的实施例的用于信息安全的方法的网络环境包括三个系统,第一系统110、第二系统120和第三系统130,但是这仅仅是示例,而不是对本公开的限定,即可应用根据本公开的实施例的用于信息安全的方法的网络环境可以包括比三个系统更多或更少的系统,并且各个系统可以包括比图1所示的服务器或客户端更多或更少的服务器或客户端。此外,图1所述的三个系统也可以看作是一个系统。
图2是根据本公开的实施例的用于信息安全的方法的示例流程图。如图2所述,根据本公开的实施例的用于信息安全的方法从步骤S210处开始。在步骤S210处,基于从目标系统(例如,图1中的系统110)获取的目标数据集,通过行为模型,确定目标系统中的具体逻辑主体和具体逻辑主体之间的关系,其中,行为模型是通过至少将逻辑层模型中的、与具体逻辑主体相对应的抽象逻辑主体,与物理层模型中的、与抽象逻辑主体相关联的抽象物理主体相关联来构建的;并且其中物理层模型是基于非特定于目标数据集的在先数据集而预先构建的通用模型。在本公开中,关系可以包括静态关系,例如网段与网段之间的静态关系“允许”或“阻止”,也可以包括动态关系等各种关系,例如设备对网段的实时“访问”。关于行为模型的构建,将在后文中结合图3、图4A和图4B详细描述并结合图8至图12给出两个具体示例。之后,方法前进到步骤S220。在步骤S220处,基于在步骤S210处确定的具体逻辑主体和具体逻辑主体之间的关系确定或预测目标系统中的安全异常。之后,方法前进到步骤S230。在步骤S230处,基于在步骤S220处确定或预测的安全异常,执行相应的故障处理。例如,发出警告,阻止访问等等。
在上文中结合图2描述的用于信息安全的方法,基于数字孪生和本体论,以自下而上的方式,通过构建的行为模型确定或预测目标系统中的安全异常。由于该行为模型是基于物理层模型构建的,并且该物理层模型是基于非特定于目标数据集的在先数据集而预先构建的通用模型,因而该方法易于扩展,可以适用不同的安全应用场景;并且由于至少该物理层模型可以由多个不同的信息安全问题所共享,因而实施该方法的系统比较小,相应的处理器负载也比较小。
关于行为模型的构建,如前所述,是通过至少将逻辑层模型中的、与具体逻辑主体相对应的抽象逻辑主体,与物理层模型中的、与抽象逻辑主体相关联的抽象物理主体相关联来构建的。因此,在构建行为模型之前,可以先构建物理层模型和逻辑层模型。
在一个实施中,在构建行为模型之前可以先构建理论行为模型。示例性地,可以从与某个系统相关的大量技术文档中提取抽象物理主体和抽象逻辑主体以及各种抽象物理主体之间的关系、各种抽象逻辑主体之间的关系和/或各种抽象物理主体与抽象逻辑主体之间的关系。然后基于条件(例如设计需求、系统特性和/或抽象物理主体和抽象逻辑主体及其关系出现的次数或概率等)从提取的抽象物理主体和抽象逻辑主体及其关系中提取需要的抽象物理主体和抽象逻辑主体及其关系。这样做可以简化整个行为模型的构建。在提取了需要的抽象物理主体和抽象逻辑主体及其关系之后,可以基于其来构建理论行为模型。
在构建理论行为模型之后,在一个实施例中,可以通过图3所示的流程来构建物理层模型。如图3所示,根据本公开的实施例的用于构建物理层模型的示例方法可以从步骤S310处开始。在步骤S310处,对在先数据集进行预处理。在一个实施例中,预处理可以包括以下处理中的至少一项:逻辑处理、数据运算、数据清理、数据转换、数据理解、数据丰富、自然语言处理NLP内容识别。其中,数据转换可以将数据转换为规定的格式,以便于后续的处理。数据丰富是基于已有或已知知识对在先数据中的数据进行丰富,使得数据更完整、更有用。例如,假设在先数据仅包括航班号,数据丰富可以基于航班号补充航班信息,例如航班时间、出发点和/或目的地等。
之后,方法前进到步骤S320。在步骤S320处,基于预处理后的在先数据集构建物理层模型。在一个实施例中,可以基于预处理后的在先数据集构建物理层图,然后基于所构建的物理层图构建物理层模型,即,从所构建的物理层图中提取抽象物理主体和/或抽象物理主体之间的关系。在一个实施例中,在从物理层图中提取抽象物理主体和/或抽象物理主体之间的关系之前,可以对物理层图进行处理以丰富和/或简化该物理层图。具体地,可以增加所构建的物理层图中的具体物理主体之间的关系,和/或删除所构建的物理层图中的部分具体物理主体,如图4A和图4B所示。
图4A是基于预处理后的在先数据集构建的物理层图的示例。图4A所示的物理层图包括五个具体物理主体A、B、C、D和E。他们之间的关系是:A到B、B到C和C到D存在单连通关系410、420和430(例如,A可以访问B但是B不能访问A),E是一个孤立的具体物理主体。在对图4A所示的物理层图进行处理时,可以删除孤立的具体物理主体E,并增加A到D和B到D的单连通关系440和450,形成如图4B所示的物理层图。
应该理解,前述参考图4A和图4B描述的对物理层图的处理,仅仅是为了本领域技术人员更好的理解本公开,而不是对本公开的限定。本领域技术人员可以根据物理层图的特性或设计需求等对物理层图进行适当的处理。
在构建了物理层模型之后,可以基于构建的理论行为模型和设计需求等来构建行为模型。在一个实施例中,可以基于设计需求从构建的理论行为模型中提取抽象逻辑主体,例如提取的逻辑主体可以是“设备”;然后基于提取的抽象逻辑主体来构建逻辑层模型;之后将构建的物理层模型中的抽象物理主体与逻辑层模型中的相应逻辑主体相关联,例如,将物理层模型中的物理主体“设备ID”与逻辑层模型中的逻辑主体“设备”相关联,例如,如图13所示,从而构建行为模型。
在另一个实施例中,物理层模型还包括抽象物理主体之间的关系,逻辑层模型还包括抽象逻辑主体之间的关系。并且在该实施例中,构建行为模型还可以包括:将抽象物理主体之间的关系与抽象逻辑主体之间的关系相关联。例如,物理层模型包括的抽象物理主体之间的关系是“访问”,逻辑层模型包括的抽象逻辑主体之间的关系是“查看”,可以将“访问”与“查看”相关联。在这种情况下,可以将具体物理主体之间的所有“查看”关系映射为具体逻辑主体之间的关系“访问”。在一些情况下,将抽象物理主体之间的关系与抽象逻辑主体之间的关系相关联可以简化提取的具体逻辑主体之间的关系,从而简化后续计算。
在其他实施例中,可以不将抽象物理主体之间的关系与抽象逻辑主体之间的关系相关联,在这种情况下,具体物理主体之间的关系可以直接映射成具体逻辑主体之间的关系。例如在如上所述的示例中,如果不将“访问”与“查看”相关联,那么具体物理主体之间的关系“访问”可以直接映射为具体逻辑主体之间的关系“访问”。
应当注意,虽然在上述实施例中,抽象物理主体之间的关系和抽象逻辑主体之间的关系不同,但是在一些实施例中可以相同。此外,虽然在上述实施例中,是将抽象物理主体之间的单个关系和抽象逻辑主体之间的单个关系相关联。但是在其他实施例中,可以将抽象物理主体之间的多个关系与抽象逻辑主体之间的单个关系相关联,或者可以将抽象物理主体之间的单个关系与抽象逻辑主体之间的多个关系相关联。
在基于目标数据集,使用如上所述的行为模型,确定或预测了目标系统的安全异常之后,可以基于目标数据集来更新行为模型,例如,基于目标数据集,向行为模型增加抽象物理主体、抽象物理主体之间的关系、抽象逻辑主体和抽象逻辑主体之间的关系中的至少一者。基于目标数据集更新行为模型可以完善、扩展所构建的信息安全系统,从而适应各种不同的安全应用场景。
关于步骤S220中的基于所确定的具体逻辑主体和具体逻辑主体之间的关系确定或预测目标系统中的安全异常,在一个实施例中,可以通过图5所示的流程来进行。如图5所示,在步骤S222处,基于所确定的具体逻辑主体和具体逻辑主体之间的关系构建知识图谱。关于知识图谱,将在后文中结合图6和图7详细描述。之后,方法前进到步骤S224。在步骤S224处,基于所构建的知识图谱确定或预测目标系统中的安全异常。使用知识图谱来确定或预测目标系统中的安全异常可以简化确定或预测所需的计算量,从而加快确定或预测速度,减小处理器负载。
在一个实施例中,可以使用Lambda架构,通过预定义的规则,基于所构建的知识图谱确定或预测目标系统中的安全异常。Lambda架构具有高容错、低延时、易于维护和可扩展等特性,并且可以整合离线计算和实时计算、融合不可变性(immunability)。由于根据本公开的实施例的用于信息安全的方法是自下而上的,因而其可以充分利用Lambda架构的优点。在一些实施例中,可以通过仅改变预定义的规则就使得构建的用于信息安全的系统可以解决其他信息安全问题。当然,使用其他的架构来基于所构建的知识图谱来确定或预测目标系统中的安全异常也是可行的,对本公开对此不作限定。
知识图谱(Knowledge Graph)是显示知识发展进程与结构关系的一系列各种不同的图形,用可视化技术描述知识资源及其载体,挖掘、分析、构建、绘制和显示知识及它们之间的相互联系。图6示出了根据本公开的实施例的知识图谱的示例架构图。如图6所示,在本公开中,知识可以由主体和关系组成。主体可以包括抽象逻辑主体、抽象物理主体和具体物理主体等等;关系可以包括抽象逻辑主体之间的关系、具体逻辑主体之间的关系、具体物理主体之间的关系和抽象物理主体之间的关系等等。如图6所示,具体物理主体可以与具体逻辑主体相关联,例如,“设备ID A”可以与“设备A”相关联,在一些情况下,也可以将具体物理主体称为具体逻辑主体的属性,从而构成所属关系。抽象逻辑主体是具体逻辑主体的抽象,即具体共同的实质的属性的一类具体逻辑主体的集合,例如“设备”是多个具体设备,例如“设备A”、“设备B”和“设备C”的集合。同样如图6所示,在本公开中,具体物理主体之间的关系可以反映抽象物理主体之间的关系和具体逻辑主体之间的关系,即,具体物理主体之间的关系可以映射到或与抽象物理主体之间的关系和具体逻辑主体之间的关系相关联;而具体逻辑主体之间的关系可以反映抽象逻辑主体之间的关系。例如,具体物理主体“设备IDA”与“设备ID B”之间的关系是“访问”,即“设备ID A”“访问”“设备ID B”,由于具体物理主体“设备ID A”和“设备ID B”分别与具体逻辑主体“设备A”和“设备B”相关联,因此可以将“设备ID A”与“设备ID B”之间的关系“访问”映射到具体逻辑主体“设备A”与“设备B”之间的关系,即,具体逻辑主体“设备A”与“设备B”之间的关系可以是“访问”。由于具体逻辑主体“设备A”与“设备B”之间的关系可以是“访问”,因此与之相关联的抽象逻辑主体“设备”与“设备”之间的关系可以是“访问”。又例如,具体物理主体“IP A”和“设备ID A”之间的关系是“一一对应”,因此与之相关联的抽象物理主体“IP”与“设备ID”之间的关系可以是“一一对应”。应该理解,图6所示的知识图谱的架构图仅仅是示例,而不是对本公开的限定。例如,在一些实施例中,主体还可以包括抽象物理主体,关系还可以包括具体物理主体与具体逻辑主体之间的关系和抽象物理主体与抽象逻辑主体之间的关系。
图7示出了根据本公开的实施例的网络系统的示例知识图谱。如图7所示,在本公开中,主体可以用圆圈来表示,关系可以用箭头来表示。图7所示的示例知识图谱包括具体物理主体:“IP A”、“IP B”、“IP C”和“IP D”;具体逻辑主体“网段A”、“网段B”和“网段C”,以及“设备A”和“设备B”;抽象逻辑主体“网段”和“设备”。具体物理主体“IP A”、“IP B”、“IPC”和“IP D”与具体逻辑主体“网段A”、“网段B”和“网段C”之间的关系可以是“属于”关系,可以用单向箭头730来表示。具体逻辑主体“网段A”与“网段B”之间的关系可以是“允许”关系,可以用单向箭头710来表示,表示“网段A”可以访问“网段B”,但是“网段B”不能访问“网段A”。具体逻辑主体“网段B”与“网段C”之间的关系是“双向允许”关系,可以用双向箭头720来表示,表示“网段A”可以访问“网段B”,并且“网段B”可以访问“网段A”。具体物理主体“IP A”和“IP C”与具体逻辑主体“设备A”和“设备B”之间的关系可以是“一一对应”的关系,即,“属性”关系,换言之,可以将“IP A”称为“设备A”的属性,可以用单向箭头760来表示。具体逻辑主体“设备A”和“设备B”与抽象逻辑主体“设备”之间的关系可以是“属于”关系,可以用单向箭头750来表示。由于“IP A”和“IP B”与“设备A”和“设备B”之间的关系是“一一对应”关系,并且“IP A”和“IP B”与“网段 A”和“网段C”之间的关系是“属于”关系,因此具体逻辑主体“设备A”和“设备B”与另一具体逻辑主体“网段A”和“网段C”之间的关系可以是“属于”关系,可以用单向箭头770来表示,并且抽象逻辑主体“设备”与另一抽象逻辑主体“网段”之间的关系也是“属于”关系,用单向箭头740来表示。
在存储如图7所示的知识图谱时,可以使用多元数据(例如,三元数组)来存储知识图谱。例如,可以使用三元数组{网段A,允许,网段B}来存储图7所示的知识图谱“网段A”和“网段B”及其之间的关系“允许”。应该理解,图7所述的知识图谱以及通过多元数据来存储知识图谱的方法仅仅是示例,而不是对本公开的限定。
在上文中,本公开结合图1至图7描述了用于信息安全的方法,该方法基于数字孪生和本体论,以自下而上的方式,通过构建的行为模型来确定或预测目标系统中的安全异常。由于该行为模型是基于物理层模型构建的,并且该物理层模型是基于非特定于目标数据集的在先数据集而预先构建的通用模型,因而该方法易于扩展,可以适用不同的安全应用场景;并且由于至少该物理层模型可以由多个不同的信息安全问题所共享,因而实施该方法的系统比较小,相应的处理器负载也比较小。为了本领域技术人员更好的理解本公开,在下文中,本公开将结合图8至图12给出两个具体示例。该两个具体示例与防火墙系统相关。
具体地,图8示出了防火墙的基本结构。如图8所示,防火墙710管理源网段820_A、820_B和820_C和目标网段830_A和830_B。现有2个需求:1.查询任意两个网段之间的连通性;2.审计设备对网段的访问权限是否合法,例如设备A的权限是访问网段A、B,假如发生访问网段C的情况则告警。
首先,可以基于大量信息安全技术文档,例如,基于主体出现的频率和次数等,从中提取出信息安全主体库,在本示例中,提取的主体库如表1所示。
| 名称 | 类型 | 种类 |
| IP | 字符串 | 抽象物理主体 |
| MAC | 字符串 | 抽象物理主体 |
| 端口 | 整数 | 抽象物理主体 |
| 协议 | 字符串 | 抽象物理主体 |
| 机器名 | 字符串 | 抽象物理主体 |
| 设备ID | 字符串 | 抽象物理主体 |
| 时间 | 时间 | 抽象物理主体 |
| 邮箱 | 字符串 | 抽象物理主体 |
| 员工号 | 字符串 | 抽象物理主体 |
| 操作 | 字符串 | 抽象物理主体 |
| 员工 | - | 抽象逻辑主体 |
| 设备 | - | 抽象逻辑主体 |
| 策略 | - | 抽象逻辑主体 |
| 网段 | - | 抽象逻辑主体 |
| 域 | - | 抽象逻辑主体 |
| … | … | … |
表1 信息安全主体库。
之后,从表1所示的主体库中,例如,基于设计需求,提取构建理论防火墙行为模型所需的主体,在本示例中,所提取的用于构建理论防火墙行为模型所需的主体如表2所示。
| 名称 | 类型 | 种类 |
| IP | 字符串 | 抽象物理主体 |
| 端口 | 整数 | 抽象物理主体 |
| 设备ID | 字符串 | 抽象逻辑主体 |
| 操作 | 字符串 | 抽象逻辑主体 |
| 网段 | - | 抽象逻辑主体 |
| 设备 | - | 抽象逻辑主体 |
表2 用于构建理论防火墙行为模型的主体。
在提取了用于构建理论防火墙行为模型所需的主体之后,基于提取的主体构建如图9所示的理论防火墙行为模型。如图9所示,在本公开中的理论防火墙行为模型包括抽象逻辑主体“网段”和“设备”,“网段”由抽象物理主体“开始IP”和“结束IP”限定,“设备”由抽象物理主体“设备ID”限定。此外,还包括抽象物理主体“端口”和“关系”(即,表1和表2中的操作)。
在构建了理论防火墙行为模型之后,可以基于防火墙日志(注意,该防火墙日志可以是要进行监控的防火墙系统的先前日志,也可以不是要进行监控的防火墙系统的日志,即非特定于所述目标数据集的在先数据集)来构建物理层模型。具体地,可以先对导入的防火墙日志进行预处理,例如包括:数据运算,例如对一些特定字段进行加减运算等;数据转换,例如,对于配置中的“操作”进行转换处理,使“Allow”、“允许”、“放行”……等相同意义的词均对应到“允许”操作,以简化确定或预测目标系统中的安全异常所需的运算量;数据理解,可以利用可扩展的Lambda架构实现具体的理解算法,比如深度学习、NLP等,在一些示例中,可以不需要数据理解,例如,在该防火墙的示例中,可以不需要额外的数据理解;数据丰富,可补充该防火墙设备的管理信息,比如设备所属部门、设备负责人、联系方式等;以及NLP内容识别,可以通过NLP,对日志中包含的自然语言进行解析,提取有效的关键字段,比如对一句话进行“主谓宾”概要缩略、对关键日期或地点进行识别、对名词之间关系进行提取等,在一些示例中,可以不需要数据理解,例如,在该防火墙的示例中,可以不需要NLP内容识别,等等预处理操作。在对防火墙日志进行预处理之后,可以基于处理后的数据来构建物理层模型。在该防火墙的示例中,构建的物理层模型可以如图10所示。图10所示的物理层模型1000,包括“IP_源_开始”、“IP_源_结束”、“IP_目的_开始”、“IP_目的_结束”、“设备ID”、“端口”和“关系”。
对于需求1,即查询任意两个网段之间的连通性,在构建了如图10所示的物理层模型1000之后,可以基于图9所述的理论防火墙行为模型和需求1来构建行为模型。具体地,首先基于理论防火墙行为模型和需求1构建如图11所示的逻辑层模型1110,由于需求1是查询任意两个网段之间的连通性,因此构建的逻辑层模型1110包括的抽象逻辑主体是“网段”,并且在该示例中,抽象逻辑主体“网段”之间的关系是“允许”或“阻止”。之后,将物理层模型1000中的抽象物理主体“IP_源_开始”、“IP_源_结束”与逻辑层模型1110中的“网段”相关联,将抽象物理主体“IP_目的_开始”、“IP_目的_结束”与逻辑层模型1110中的另一“网段”相关联,并且将物理层模型1000中“关系”(即,抽象物理主体之间的关系)与逻辑层模型1110中的“关系”(即,抽象逻辑主体之间的关系)相关联,以构建适用于需求1的行为模型1100。
在构建了行为模型1100之后,可以输入目标防火墙系统的规则,例如图8所示的防火墙系统的规则,规则的形式可以例如为<IP_源_开始,IP_源_结束,IP_目的_开始,IP_目的_结束,协议,端口,允许/阻止>。当输入防火墙规则之后,构建的行为模型1100可以从日志中提取由“IP_源_开始”和“IP_源_结束”组成的网段,以及“IP_目的_开始”和“IP_目的_结束”组成的网段,并提取规则中的关系作为网段间的关系。例如,假设目标防火墙系统的一条规则是<IP_源_开始_A,IP_源_结束_A,IP_目的_开始_B,IP_目的_结束_B,协议A,端口A,允许>,那么当该条日志输入图11所示的行为模型1100后,行为模型可以提取具体逻辑主体“网段A”和“网段B”以及“网段A”与“网段B”之间的关系“允许”。在一个实施例中,可以基于提取的具体逻辑主体及其之间的关系来建立知识图谱,例如,可以为“网段A”和“网段B”建立2个节点,例如图7所示的节点“网段A”和“网段B”,并建立他们之间的关系“允许”,例如图7中连接“网段A”和“网段B”的单箭头710。通过输入多条防火墙规则,行为模型1100可以提取整个目标系统中的具体逻辑主体及其之间的关系,并建立整个目标系统的知识图谱。之后,可以基于建立的知识图谱来查询任意两个网段之间的连通性。
对于需求2,审计设备对网段的访问权限是否合法,例如设备A的权限是访问网段A、B,假如发生访问网段C的情况则告警。在构建了物理层模型1000之后,可以基于图9所述的理论防火墙行为模型和需求2来构建行为模型。具体地,首先可以基于理论防火墙行为模型和需求2构建图12所示的逻辑层模型1210。由于需求2是审计设备对网段的访问权限是否合法,因此构建的逻辑层模型1210包括的抽象逻辑主体是“网段”和“设备”。在该示例中,逻辑层模型可以不包括关系,即,在该示例中,将具体物理主体之间的关系直接提取为具体逻辑主体之间的关系。之后,将物理层模型1000中的抽象物理主体“IP_目的_开始”与逻辑层模型1210中的“网段”相关联,将物理层模型中的“设备ID”与逻辑层模型中的“设备”相关联,以构建适用于需求2的行为模型1200。注意,在该示例中,将一个IP视为一个网段,即该网段的开始IP和结束IP相同。
在构建了行为模型1200之后,可以输入目标防火墙系统,例如图8所示的防火墙系统的日志,日志的形式可以例如为<IP_源、IP_目的,协议,端口,允许/阻止>。当输入防火墙日志之后,构建的行为模型可以从日志中提取“IP_目的”作为网段,提取“设备ID”作为设备,并提取日志中的关系直接作为设备与网段之间的关系。例如,假设目标防火墙系统的一条日志是<IP_源_A,IP_目的_A,设备ID_A,协议A,端口A,阻止>,那么当该条日志输入图12所示的行为模型1200之后,行为模型可以提取具体逻辑主体“网段A”和“设备A”及其之间的关系“阻止”。在提取了具体逻辑主体“网段A”和“设备A”及其之间的关系“阻止”之后,可以基于提取的具体逻辑主体及其之间的关系来确定“设备A”是否访问了“网段C”。例如,上层规则可以响应于提取的关系为“阻止”,判断提取的“网段A”(即,“IP_目的_A”)是否属于“网段C”。如果属于,则确定“设备A”访问了其无权访问的“网段C”,并发出告警;如果不属于,则不发出告警。即,虽然“设备A”访问了其无权访问的网段,但是该网段不是要监控的网段,因而不发出告警。
从上述两个与防火墙系统相关的示例中可以看出,构建的物理层模型1000是通用的,可以适用不同的安全应用场景。此外,可以理解,物理层模型1000除了可以应用于上述两个示例外,还可以应用于其他的与防火墙系统相关的安全应用场景。另外,还可以对物理层模型1000进行扩展,例如增加物理层模型1000包括的抽象物理主体,使得其可以应用于除防火墙相关安全应用场景之外的其他信息安全场景。当然,构建的通用物理层模型也可以应用于除信息安全场景之外的其他场景,例如数据统计等等。
此外,从前述描述可以看出,行为模型的作用类似于在数字世界中修路,在构建知识图谱的情况下,数据可以通过行为模型到达知识图谱中的合适位置。
此外,应该理解,上述结合图8至图12所述的示例仅仅是为了本领域技术人员更好的理解本公开,而不是对本公开的限定。
在上文中,结合图1至图7描述了根据本公开的实施例的用于信息安全的方法,并结合图8至图12描述了两个具体示例。在下文中,本公开将结合图13和图14描述根据本公开的实施例的用于信息安全的电子装置、电子设备、计算机可读存储介质和计算机可运行程序。
图13示出了根据本公开的实施例的用于信息安全的电子装置。如图13所示,根据本公开的实施例的用于信息安全的电子装置1300可以包括:确定单元1310,用于基于从目标系统获取的目标数据集,通过行为模型,确定目标系统中的具体逻辑主体和具体逻辑主体之间的关系,其中,行为模型是通过至少将逻辑层模型中的、与具体逻辑主体相对应的抽象逻辑主体,与物理层模型中的、与抽象逻辑主体相关联的抽象物理主体相关联来构建的;并且其中物理层模型是基于非特定于目标数据集的在先数据集而预先构建的通用模型;检测单元1320,用于基于所确定的具体逻辑主体和具体逻辑主体之间的关系确定或预测目标系统中的安全异常;和故障处理单元1330,用于基于所确定或预测的安全异常,执行相应的故障处理。
此外,确定单元1310还可以执行在上文中描述的用于信息安全的方法来确定目标系统中的具体逻辑主体和具体逻辑主体之间的关系,并且检测单元1320还可以执行在上文中描述的用于信息安全的方法来确定或预测目标系统的安全异常。
图14示出了根据本公开的实施例的用于信息安全的电子设备。如图14所示,根据本公开的实施例的用于信息安全的电子设备1400可以包括处理器1420和其上存储有处理器可运行指令的存储器1410,指令在由处理器1420运行时,可以使得处理器1420执行在上文中描述的用于信息安全的方法。
此外,本公开还提供了一种计算机可读存储介质,其上存储有处理器可运行指令,指令在由处理器运行时,使得处理器执行在上文中描述的用于信息安全的方法。
此外,本公开还提供了一种计算机可运行程序,该计算机可运行程序包括在在由处理器运行时,使得处理器执行在上文中描述的用于信息安全的方法的指令。
至此,本公开已结合图1至图7描述了根据本公开的实施例的用于信息安全的方法,结合图8至图12给出了两个应用根据本公开的实施例的用于信息安全的方法的具体示例,并结合图13和图14描述了根据本公开的实施例的用于信息安全的电子装置、电子设备、计算机可读存储介质和计算机可运行程序。本公开提供的用于信息安全的方法基于数字孪生和本体论,以自下而上的方式,通过构建的行为模型来确定或预测目标系统中的安全异常。由于该行为模型是基于物理层模型构建的,并且该物理层模型是基于非特定于目标数据集的在先数据集而预先构建的通用模型,因而该方法易于扩展,可以适用不同的安全应用场景;并且由于至少该物理层模型可以由多个不同的信息安全问题所共享,因而实施该方法的系统比较小,相应的处理器负载也比较小。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定可互通的应用和设计约束条件。专业技术人员可以对每个特定的可互通的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
另外,如在此使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。
还需要指出的是,在本公开的系统和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外,本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而,所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (13)
1.一种用于信息安全的方法,所述方法包括:
基于从目标系统获取的目标数据集,通过行为模型,确定所述目标系统中的具体逻辑主体和所述具体逻辑主体之间的关系;
基于所确定的具体逻辑主体和所述具体逻辑主体之间的关系确定或预测所述目标系统中的安全异常;
基于所确定或预测的安全异常,执行相应的故障处理;
其中,所述行为模型是通过至少将逻辑层模型中的、与所述具体逻辑主体相对应的抽象逻辑主体,与物理层模型中的、与所述抽象逻辑主体相关联的抽象物理主体相关联来构建的;并且其中所述物理层模型是基于非特定于所述目标数据集的在先数据集而预先构建的通用模型。
2.根据权利要求1所述的方法,其中,所述物理层模型还包括所述抽象物理主体之间的关系,所述逻辑层模型还包括所述抽象逻辑主体之间的关系;并且其中,构建所述行为模型还包括:
将所述抽象物理主体之间的关系与所述抽象逻辑主体之间的关系相关联。
3.根据权利要求1所述的方法,所述方法还包括:
基于所述目标数据集更新所述行为模型。
4.根据权利要求3所述的方法,其中,基于所述目标数据集更新所述行为模型包括:
基于所述目标数据集,向所述行为模型增加抽象物理主体、抽象物理主体之间的关系、抽象逻辑主体和抽象逻辑主体之间的关系中的至少一者。
5.根据权利要求1所述的方法,其中,基于所确定的具体逻辑主体和所述具体逻辑主体之间的关系确定或预测所述目标系统中的安全异常包括:
基于所确定的具体逻辑主体和所述具体逻辑主体之间的关系构建知识图谱,
基于所构建的知识图谱确定或预测所述目标系统中的安全异常。
6.根据权利要求5所述的方法,其中,基于所构建的知识图谱确定或预测所述目标系统中的安全异常包括:
使用Lambda架构,通过预定义的规则,基于所构建的知识图谱确定或预测所述目标系统中的安全异常。
7.根据权利要求1所述的方法,其中,基于非特定于所述目标数据集的在先数据集而预先构建所述物理层模型包括:
对所述在先数据集进行预处理;
基于预处理后的在先数据集构建所述物理层模型。
8.根据权利要求7所述的方法,其中,对所述在先数据集进行预处理包括对所述在先数据集执行以下处理中的至少一项:逻辑处理、数据运算、数据清理、数据转换、数据理解、数据丰富、自然语言处理NLP内容识别。
9.根据权利要求8所述的方法,其中,基于预处理后的在先数据集构建所述物理层模型包括:
基于所述预处理后的在先数据集构建物理层图;
基于所构建的物理层图构建所述物理层模型。
10.根据权利要求9所述的方法,其中,基于所构建的物理层图构建所述物理层模型包括:
对所构建的物理层图执行以下处理中的至少一项:
增加所构建的物理层图中的具体物理主体之间的关系,
删除所构建的物理层图中的部分具体物理主体;
从处理后的物理层图中提取抽象物理主体和所述抽象物理主体之间的关系。
11.一种用于信息安全的电子装置,包括:
确定单元,用于基于从目标系统获取的目标数据集,通过行为模型,确定所述目标系统中的具体逻辑主体和所述具体逻辑主体之间的关系;
检测单元,用于基于所确定的具体逻辑主体和所述具体逻辑主体之间的关系确定或预测所述目标系统中的安全异常;和
故障处理单元,用于基于所确定或预测的安全异常,执行相应的故障处理;
其中,所述行为模型是通过至少将逻辑层模型中的、与所述具体逻辑主体相对应的抽象逻辑主体,与物理层模型中的、与所述抽象逻辑主体相关联的抽象物理主体相关联来构建的;并且其中所述物理层模型是基于非特定于所述目标数据集的在先数据集而预先构建的通用模型。
12.一种用于信息安全的电子设备,包括处理器和其上存储有处理器可运行指令的存储器,所述指令在由所述处理器运行时,使得所述处理器执行根据权利要求1-10中的任一项所述的方法。
13.一种计算机可读存储介质,其上存储有处理器可运行指令,所述指令在由处理器运行时,使得所述处理器执行根据权利要求1-10中的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110061015.9A CN112383575B (zh) | 2021-01-18 | 2021-01-18 | 用于信息安全的方法、电子装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110061015.9A CN112383575B (zh) | 2021-01-18 | 2021-01-18 | 用于信息安全的方法、电子装置和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112383575A true CN112383575A (zh) | 2021-02-19 |
| CN112383575B CN112383575B (zh) | 2021-05-04 |
Family
ID=74581997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110061015.9A Active CN112383575B (zh) | 2021-01-18 | 2021-01-18 | 用于信息安全的方法、电子装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112383575B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103336694A (zh) * | 2013-07-08 | 2013-10-02 | 北京航空航天大学 | 一种实体行为建模的组装方法和系统 |
| CN106778259A (zh) * | 2016-12-28 | 2017-05-31 | 北京明朝万达科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法及系统 |
| CN106973039A (zh) * | 2017-02-28 | 2017-07-21 | 国家电网公司 | 一种基于信息融合技术的网络安全态势感知模型训练方法和装置 |
| CN108182295A (zh) * | 2018-02-09 | 2018-06-19 | 重庆誉存大数据科技有限公司 | 一种企业知识图谱属性抽取方法及系统 |
| CN110059069A (zh) * | 2018-01-19 | 2019-07-26 | 西门子股份公司 | 用于检测和预测目标系统的行为的系统和方法 |
| CN110704846A (zh) * | 2019-09-27 | 2020-01-17 | 北京计算机技术及应用研究所 | 一种人在回路的智能化安全漏洞发现方法 |
| CN110865625A (zh) * | 2018-08-28 | 2020-03-06 | 中国科学院沈阳自动化研究所 | 一种基于时间序列的工艺数据异常检测方法 |
| CN111368441A (zh) * | 2020-03-07 | 2020-07-03 | 上海交通大学 | 基于SysML模型的级联失效传播效应动态分析方法 |
-
2021
- 2021-01-18 CN CN202110061015.9A patent/CN112383575B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103336694A (zh) * | 2013-07-08 | 2013-10-02 | 北京航空航天大学 | 一种实体行为建模的组装方法和系统 |
| CN106778259A (zh) * | 2016-12-28 | 2017-05-31 | 北京明朝万达科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法及系统 |
| CN106973039A (zh) * | 2017-02-28 | 2017-07-21 | 国家电网公司 | 一种基于信息融合技术的网络安全态势感知模型训练方法和装置 |
| CN110059069A (zh) * | 2018-01-19 | 2019-07-26 | 西门子股份公司 | 用于检测和预测目标系统的行为的系统和方法 |
| CN108182295A (zh) * | 2018-02-09 | 2018-06-19 | 重庆誉存大数据科技有限公司 | 一种企业知识图谱属性抽取方法及系统 |
| CN110865625A (zh) * | 2018-08-28 | 2020-03-06 | 中国科学院沈阳自动化研究所 | 一种基于时间序列的工艺数据异常检测方法 |
| CN110704846A (zh) * | 2019-09-27 | 2020-01-17 | 北京计算机技术及应用研究所 | 一种人在回路的智能化安全漏洞发现方法 |
| CN111368441A (zh) * | 2020-03-07 | 2020-07-03 | 上海交通大学 | 基于SysML模型的级联失效传播效应动态分析方法 |
Non-Patent Citations (2)
| Title |
|---|
| CHAOQIN ZHANG等: "Towards a SDN-Based Integrated Architecture for Mitigating IP Spoofing Attack", 《SPECIAL SECTION ON RESEARCH CHALLENGES AND OPPORTUNITIES IN SECURITY AND PRIVACY OF BLOCKCHAIN TECHNOLOGIES》 * |
| 蒋梦丹: "Web 服务异常检测的研究与应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112383575B (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rawat | Logical concept mapping and social media analytics relating to cyber criminal activities for ontology creation | |
| CN106713332B (zh) | 网络数据的处理方法、装置和系统 | |
| US10902468B2 (en) | Real-time, stream data information integration and analytics system | |
| WO2017084586A1 (zh) | 基于深度学习方法推断恶意代码规则的方法、系统及设备 | |
| CN111885040A (zh) | 分布式网络态势感知方法、系统、服务器及节点设备 | |
| CN104850601B (zh) | 基于图数据库的警务实时分析应用平台及其构建方法 | |
| Bahrepour et al. | Use of wireless sensor networks for distributed event detection in disaster management applications | |
| Zhang et al. | Enhancing traffic incident detection by using spatial point pattern analysis on social media | |
| US10740212B2 (en) | Content-level anomaly detector for systems with limited memory | |
| WO2009081212A2 (en) | Data normalisation for investigative data mining | |
| Bauman et al. | Using social sensors for detecting emergency events: a case of power outages in the electrical utility industry | |
| US20180276292A1 (en) | Method and system for mapping notable entities to their social profiles | |
| Pramanik et al. | A framework for criminal network analysis using big data | |
| CN109408479A (zh) | 日志数据添加方法、系统、计算机设备和存储介质 | |
| Ma et al. | Combating hard or soft disasters with privacy-preserving federated mobile buses-and-drones based networks | |
| Bhuyan et al. | Crime predictive model using big data analytics | |
| CN112383575B (zh) | 用于信息安全的方法、电子装置和电子设备 | |
| Afyouni et al. | Spatio-temporal event discovery in the big social data era | |
| Ruiz et al. | Quantitative analysis of crime incidents in Chicago using data analytics techniques | |
| CN115510116A (zh) | 数据目录构建方法、装置、介质及设备 | |
| CN111259057A (zh) | 用于民生诉求分析的数据处理方法及装置 | |
| CN107992758B (zh) | 一种安全机制动态管理方法及装置 | |
| Ribeiro et al. | A scalable data integration architecture for smart cities: implementation and evaluation | |
| CN117520112A (zh) | 计算任务的提效分析处理方法、装置、设备和存储介质 | |
| CN112395431B (zh) | 用于构建行为模型的方法、电子装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |