CN112511561A - 网络攻击路径确定方法、设备、存储介质及装置 - Google Patents
网络攻击路径确定方法、设备、存储介质及装置 Download PDFInfo
- Publication number
- CN112511561A CN112511561A CN202011524313.9A CN202011524313A CN112511561A CN 112511561 A CN112511561 A CN 112511561A CN 202011524313 A CN202011524313 A CN 202011524313A CN 112511561 A CN112511561 A CN 112511561A
- Authority
- CN
- China
- Prior art keywords
- attack
- path
- security
- attack path
- events
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000012216 screening Methods 0.000 claims description 13
- 230000007704 transition Effects 0.000 claims description 10
- 238000010606 normalization Methods 0.000 claims description 9
- 238000010276 construction Methods 0.000 claims description 5
- 238000007405 data analysis Methods 0.000 abstract description 5
- 230000001419 dependent effect Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000013179 statistical model Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络攻击路径确定方法、设备、存储介质及装置,本发明通过获取安全事件集合,通过攻击场景规则库对安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树确定目标攻击路径。由于是通过筛选多个安全事件,并根据攻击场景规则库生成多个攻击路径树,遍历多个攻击路径树选取出攻击者最有可能入侵的攻击路径,相对于现有技术无法快速从大量安全事件中识别出攻击路径,本发明实现了基于大数据分析得到攻击路径树,并基于攻击路径树自动化选取攻击者最有可能入侵的攻击路径,不依赖于人工查找攻击路径,并且攻击场景基于大数据分析更具备准确性,提升了攻击路径查找的准确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击路径确定方法、设备、存储介质及装置。
背景技术
目前,随着技术进步,互联网已深入各个方面,攻击事件常有发生,网络安全问题也成为焦点,网络攻击者采用的攻击技术和攻击手段也有了新的发展趋势,传统的安全设备产生的安全事件往往缺少一定的关联性,表现较为分散,对一些安全知识理解不够深刻的技术人员或者客户群体并不能准备定位到各个安全事件之间的关联性,不能完整的掌握整个攻击流程链条,无法溯源出当前网络当中的攻击者入侵路径,导致攻击者入侵率上升,从而不能保证网络安全。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种网络攻击路径确定方法、设备、存储介质及装置,旨在解决现有技术中对于无法从大量的安全事件当中自动化快速筛选出攻击者入侵的攻击路径的技术问题。
为实现上述目的,本发明提供一种网络攻击路径确定方法,所述网络攻击路径确定方法包括以下步骤:
获取安全事件集合,其中,所述安全事件集合包括来自终端日志、流量层安全设备以及终端安全设备的多个安全事件;
通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树;
根据所述攻击路径树确定目标攻击路径。
优选地,所述通过攻击场景规则库对所述多个安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树的步骤,包括:
通过攻击场景规则库和预设时间段对所述多个安全事件进行筛选,获得筛选出的安全事件及所述筛选出的安全事件对应的攻击场景序列;
根据所述攻击场景序列、攻击时间以及筛选出的安全事件构建对应的攻击路径树。
优选地,所述根据所述攻击场景序列、攻击时间以及筛选出的安全事件构建对应的攻击路径树的步骤,包括:
根据所述攻击场景序列中攻击阶段对应的必要安全事件和非必要安全事件对筛选出的安全事件进行匹配,以获得所述筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段;
根据所述攻击时间和所述筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段构建对应的攻击路径树。
优选地,所述根据所述攻击路径树确定目标攻击路径的步骤,包括:
对所述攻击路径树中每条攻击路径进行遍历,并判断遍历到的当前攻击路径是否完整;
在所述当前攻击路径完整时,基于预设马尔科夫模型获取所述当前攻击路径的路径确定度;
在遍历结束时,根据所获得的各攻击路径的路径确定度确定目标攻击路径。
优选地,所述在所述当前攻击路径完整时,基于预设马尔科夫模型获取所述当前攻击路径的路径确定度的步骤,包括:
在所述攻击路径完整时,根据真实攻击数据和所述攻击场景规则库对完整攻击路径中的安全事件进行匹配,以获得符合攻击场景的安全事件;
基于所述预设马尔科夫模型获取符合攻击场景的安全事件的发生概率,并根据安全事件之间的概率转移度和所述发生概率计算当前攻击路径的路径确定度。
优选地,所述根据所述攻击路径树确定目标攻击路径的步骤,包括:
基于所述预设马尔科夫模型获取各完整攻击路径中符合攻击场景的安全事件,并确定所述安全事件对应的当前攻击路径;
根据所述当前攻击路径与历史攻击路径的路径拟合程度获取当前攻击路径的路径确定度;
根据预设条件和所述当前攻击路径的路径确定度确定目标攻击路径。
优选地,所述获取安全事件集合的步骤之前,还包括:
对网络安全设备的日志信息进行格式归一化,以获得安全事件信息;
根据所述安全事件信息中的报警信息确定安全事件格式信息;
根据所述安全事件格式信息和被攻击网址信息对所述安全事件信息中的安全事件进行分组,获得分组后的安全事件;
将所述分组后的安全事件作为安全事件集合。
此外,为实现上述目的,本发明还提出一种网络攻击路径确定设备,所述网络攻击路径确定设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击路径确定程序,所述网络攻击路径确定程序配置为实现如上文所述的网络攻击路径确定的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有网络攻击路径确定程序,所述网络攻击路径确定程序被处理器执行时实现如上文所述的网络攻击路径确定方法的步骤。
此外,为实现上述目的,本发明还提出一种网络攻击路径确定装置,所述网络攻击路径确定装置包括:
事件获取模块,用于获取安全事件集合,其中,所述安全事件集合包括来自终端日志、流量层安全设备以及终端安全设备的多个安全事件;
路径树构建模块,用于通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树;
路径确定模块,用于根据所述攻击路径树确定目标攻击路径。
本发明通过获取安全事件集合,其中,所述安全事件集合包括终端日志、流量层安全设备以及终端安全设备的多个安全事件,通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树,根据所述攻击路径树确定目标攻击路径。由于是通过获取多个维度下的安全事件,并根据攻击场景规则库生成多个攻击路径树,遍历多个攻击路径树选取出攻击者最有可能入侵的攻击路径,本发明相对于现有技术无法快速从大量安全事件中识别出攻击路径,攻击路径识别效率低,无法保证数据保护的时效性,本发明实现了基于大数据分析得到攻击路径树,并基于攻击路径树自动化选取攻击者最有可能入侵的攻击路径,不依赖于人工查找攻击路径,并且攻击场景基于大数据分析更具备准确性,提升了攻击路径查找的准确性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的网络攻击路径确定设备的结构示意图;
图2为本发明网络攻击路径确定方法第一实施例的流程示意图;
图3为本发明网络攻击路径确定方法一实施例的安全事件分组示意图;
图4为本发明网络攻击路径确定方法一实施例的数据采集示意图;
图5为本发明网络攻击路径确定方法一实施例的场景匹配逻辑示意图;
图6为本发明网络攻击路径确定方法第二实施例的流程示意图;
图7为本发明网络攻击路径确定方法一实施例的攻击场景序列示意图;
图8为本发明网络攻击路径确定方法一实施例的攻击路径树结构图;
图9为本发明网络攻击路径确定方法第三实施例的流程示意图;
图10为本发明网络攻击路径确定方法一实施例的安全事件转移示意图;
图11为本发明网络攻击路径确定装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的网络攻击路径确定设备结构示意图。
如图1所示,该网络攻击路径确定设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non-volatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对网络攻击路径确定设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络攻击路径确定程序。
在图1所示的网络攻击路径确定设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述网络攻击路径确定设备通过处理器1001调用存储器1005中存储的网络攻击路径确定程序,并执行本发明实施例提供的网络攻击路径确定方法。
基于上述硬件结构,提出本发明网络攻击路径确定方法的实施例。
参照图2,图2为本发明网络攻击路径确定方法第一实施例的流程示意图,提出本发明网络攻击路径确定方法第一实施例。
在第一实施例中,所述网络攻击路径确定方法包括以下步骤:
步骤S10:获取安全事件集合,其中,所述安全事件包括终端日志、流量层安全设备以及终端安全设备的多个安全事件。
需说明的是,本实施例的执行主体可以是具有网络攻击路径确定的设备,该设备可以是计算机、车载电脑、平板电脑、手机、笔记本以及网络服务器等,该实施例以计算机为说明,本实施例对此不做限制,在本实施例以及下述各实施例中以计算机为例对本发明网络攻击路径确定方法进行说明。
可理解的是,安全设备可以是处于网络环境的安全设备,安全设备可以包含流量层安全设备、终端安全设备,具有安全防护功能的操做系统等,例如:防火墙、IDS(入侵检测系统)、IPS(入侵防御系统)、漏洞扫描设备、安全隔离网闸、VPN设备、流量监控设备以及终端安全响应系统(EDR)等。安全事件集合可以是对网络安全设备的日志信息进行格式归一化后对应的安全事件集合,安全事件可以是通过各网络安全设备上传到日志收集平台形成的安全事件的集合。
应理解的是,本实施例的攻击路径主要可以以受害者资产的角度进行分析;将日志信息经过归一化处理后的安全事件进行分组,分组的依据主要依靠受害资产的IP地址并按照事件第一次发生的时间进行分排序。安全事件可以是对受害者资产进行攻击防御产生的事件,可以是各网络安全设备被尝试改变信息系统安全状态的任何事件信息;例如:安全事件可以是指改变用户口令、改变访问控制措施、改变安全级别等事件。安全事件可以根据被攻击的受害者资产网络地址和初始攻击时间进行分组。
此外,为了便于理解,参照图3的安全事件分组示意图进行举例说明:日志信息经过归一化处理后的安全事件集合包括:安全事件1、安全事件2、安全事件3、安全事件4、安全事件5,在受害者资产IP地址为1.2.4.8,根据安全事件信息确定安全事件3来源为防火墙、安全事件4来源为EDR和安全事件5来源为未知领域,根据初次攻击时间对这三个事件进行排序,获得排序后的安全事件。如:防火墙对应的安全事件3发生时间为2020年8月30日14:43:24;EDR对应的安全事件4发生时间为2020年8月30日14:55:24;未知领域对应的安全事件5发生时间为2020年8月30日14:53:24;即分组后的安全事件的排序为安全事件3、安全事件5、安全事件4。
具体实现中,通过采集在网络环境当中的安全设备的日志信息,日志信息主要包括对流量层安全设备的报警信息、终端的安全设备的报警信息、操作系统的安全日志信息等信息。设备上传的报警的协议包括但不局限于syslog、WMI等协议的方式,通过网络上传到日志收集平台形成安全事件的集合。
步骤S20:通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树。
需说明的是,攻击场景规则库可以是根据历史攻击数据生成的攻击场景库,包含攻击场景中攻击阶段对应的安全事件以及攻击路径对应的安全事件。攻击场景规则库可以是由大量的历史攻击数据中包含的攻击场景对应的安全事件构成,攻击场景规则库可以包含了大量的场景规则样例,该样例可以用于后续场景匹配,以使提高攻击路径分析速率。攻击场景规则库也可以通过实时攻击数据中包含的场景信息对场景规则进行实时更新,以使完善攻击场景,方便下次攻击场景匹配。
可理解的是,筛选可以是根据场景规则库中攻击阶段对应的安全事件以及攻击路径对应的安全事件对所述安全事件进行筛选。
应理解的是,攻击路径树可以是由安全设备在防御攻击时产生的安全事件构建的树结构。树是一种重要的非线性数据结构,将安全事件按分支关系组织起来的结构,对于一个子树的任意两个不同的结点,若从一个结点出发,按层次自上而下沿着一个个树枝达到另一个结点,即他们之间存在着一条路径,可用路径所经过的结点序列表示路径。
具体实现中,由于攻击者采用的攻击方式不同,采用简单的线性匹配容易被多种攻击方式对应的攻击手法混淆,无法确定有效攻击的开始时间,造成匹配困难,本实施例通过攻击场景规则库对安全事件进行筛选,并根据筛选出的安全事件构建攻击路径树,即通过非线性数据结构将分组后的安全事件进行关联,得到所有场景下的攻击路径,计算机可以通过缓存存储器包含的日志信息中查找各个被攻击者的网络域名与其对应的网络地址的关联存储器的数据库中的安全事件,并将各个攻击场景对应的安全事件作为结点构建攻击路径。
步骤S30:根据所述攻击路径树确定目标攻击路径。
需说明的是,攻击路径可以是指对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作的路径。对于计算机和计算机网络来说,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一台计算机的数据,都会被视为对计算机和计算机网络中的攻击,攻击路径可以是对计算机或计算机网络进行一层层攻击时的路径。
应理解的是,目标攻击路径可以是通过多个树的遍历,选取一个路径即是真实的攻击者入侵的攻击路径。
具体实现中,主要场景匹配逻辑如下,通过一段的时间内(比如48个小时内)针对某个受害者资产里面的所有安全事件进行抽取,按照发生时间、攻击阶段生成一个特殊格式的攻击路径树。通过与攻击场景规则库进行匹配,获得攻击序列并根据攻击序列得出完整的攻击路径树集合;由于一部分安全事件集合当中可能存在多个攻击路径树。可以通过深度优先的方式进行遍历当前攻击路径树,检查当前攻击路径树是否完整,再检查完整性通过后,通过与已有的真实数据中安全事件对应的场景进行匹配,计算场景间安全事件转移概率矩阵,并根据转移概率矩阵计算当前路径的确定度(最大概率),通过多个路径确定度的遍历,选取确定度最大的一个路径即是真实的攻击者入侵的攻击路径。同时在对通过大量真实案例数据的统计汇总后选择性内置一些比较经典的场景库作为基础,并对攻击路径实时分析中,可以将出现频率少的安全事件对应的场景更新到攻击场景规则库中,以便于完善攻击场景规则库,以使提高对攻击路径识别效率,如图5所示的场景匹配逻辑示意图。
进一步地,为了提高数据处理效率,所述获取安全事件集合的步骤之前,还包括:对网络安全设备的日志信息进行格式归一化,以获得安全事件信息;根据所述安全事件信息中的报警信息确定安全事件格式信息;根据所述安全事件格式信息和被攻击网址信息对所述安全事件信息中的安全事件进行分组,获得分组后的安全事件;将所述分组后的安全事件作为安全事件集合。
需说明的是,日志信息可以是网络安全设备运行产生错误时的数据信息,可以包括:流量层安全设备的报警信息、终端安全设备的报警信息、操作系统的安全日志信息进行汇总分析,设备上传的报警的协议包括但不限于syslog、WMI等协议的方式;例如:日志信息可以是各运行网络设备中每条错误信息被分配了一个严重级别,并伴随一些指示性问题或事件的描述信息,一般将日志发送至终端线路,如辅助和VTY线路、系统日志服务器和SNMP管理数据库。
可理解的是,分组的依据主要依靠被攻击网址信息,即可以是受害资产的IP地址,并按照事件第一次发生的时间进行分排序;安全事件可以是对受害者资产进行攻击防御产生的事件,可以是各网络安全设备被尝试改变信息系统安全状态的任何事件信息。
具体实现中,将网络安全设备的日志信息通过日志归一化处理得到安全事件信息,格式归一化可以是根据网络安全设备的报警事件类型将收集的日志信息进行格式的归一化处理,针对不同的报警信息统一形成一个新的安全事件格式,安全事件格式可以根据:事件ID:可以是用来描述当前事件的唯一标识;事件来源:可以是根据设备类型与网络地址信息记录当前事件来自于哪个网络安全设备;风险等级:可以是指当前安全时间的风险级别;攻击时间:可以是指安全事件每次发生的时间;攻击次数:可以是检测到的相同安全事件发生的次数;攻击状态:可以是显示被攻击状态时成功或者是失败、状态未知等状态;网络五元组:可以包含源IP、目的IP、源端口、目的端口、协议等信息;针对不同类型的安全事件往往还有一些特殊的字段举证,此处不做描述。如图4所示的数据采集示意图。
本施例通过获取安全事件集合,其中,所述安全事件集合包括来自终端日志、流量层安全设备以及终端安全设备的多个安全事件,通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树,根据所述攻击路径树确定目标攻击路径。由于是通过获取多个安全事件,并根据攻击场景规则库生成多个攻击路径树,遍历多个攻击路径树选取出攻击者最有可能入侵的攻击路径,本实施例相对于现有技术无法快速从大量安全事件中识别出攻击路径,攻击路径识别效率低,无法保证数据保护的时效性,本实施例实现了本发明实现了基于大数据分析得到攻击路径树,并基于攻击路径树自动化选取攻击者最有可能入侵的攻击路径,不依赖于人工查找攻击路径,并且攻击场景基于大数据分析更具备准确性,提升了攻击路径查找的准确性。
参照图6,图6为本发明网络攻击路径确定方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明网络攻击路径确定方法的第二实施例。
在本实施例中,所述步骤S20,包括:
步骤S201:通过攻击场景规则库和预设时间段对所述安全事件集合中的安全事件进行筛选,获得筛选出的安全事件及所述筛选出的安全事件对应的攻击场景序列。
需说明的是,预设时间段可以是计算机内置的对安全事件进行抽样的时间段,所述时间段也可以由人为手动设置,例如:通过预设时间段,如:48小时内针对某个受害者资产对应的所有安全事件进行抽样。
可理解的是,筛选可以是根据攻击场景规则库和预设时间段对某个受害者资产里面的所有安全事件进行抽样,获得抽样后的安全事件,并根据安全事件和攻击场景规则库确定抽样后的安全事件对应的攻击场景序列。
应理解的是,攻击场景序列包含了各个攻击场景对应的攻击阶段以及各个攻击阶段设置的多个安全事件。
具体实现中,通过攻击场景规则库和预设时间段对分组后的安全事件进行筛选,获得攻击场景序列,例如:在预设时间段:48小时内,对某个受害者资产对应的所有安全事件进行抽样,获得抽样后的安全事件,通过攻击场景规则库与抽样后的安全事件进行匹配,获得抽样后的安全事件对应的攻击场景序列。
步骤S202:根据所述攻击场景序列、攻击时间以及筛选出的安全事件构建对应的攻击路径树。
需说明的是,攻击时间可以是安全事件每次发生的时间。
具体实现中,通过攻击场景序列、攻击时间以及筛选出的安全事件构建攻击路径树,例如:根据攻击时间和攻击场景序列中包含的攻击阶段和攻击阶段对应的安全事件对筛选出的安全事件进行匹配,获得各阶段对应的安全事件,并根据攻击时间进行排序生成攻击路径树。
进一步地,所述步骤S202包括:根据所述攻击场景序列中攻击阶段对应的必要安全事件和非必要安全事件对筛选出的安全事件进行匹配,以获得所述筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段;根据所述攻击时间和所述筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段构建对应的攻击路径树。
需说明的是,在同个攻击场景下,可能存在多种不同的攻击方式,所以每个攻击阶段会内置多个安全事件,包含:必要事件和非必要事件,所述必要事件可以是指影响攻击路径生成的安全事件,例如网站访问事件,非必要事件可以是指不影响攻击路径生成的安全事件,例如文件编辑事件。
可理解的是,根据筛选出的安全事件与内置的安全事件进行匹配,根据内置安全事件中的必要事件和非必要事件确定筛选出的安全事件对应的必要安全事件和非必要安全事件。例如:获取到的当前安全事件有a1、a2、a3、a4、a5、a6,根据内置的场景对应的安全事件可知,a1、a2、a3是场景0对应的安全事件,且a1、a2、a3是可能构成攻击路径的事件,而a4、a5、a6是不会构成攻击路径的事件,即将a1、a2、a3作为必要安全事件,a4、a5、a6作为非必要安全事件。
应理解的是,在同一个攻击场景中存在的必要安全事件对应的阶段称为必要阶段,同一个攻击场景中存在的非必要安全事件对应的阶段称为非必要阶段。
此外,为了便于理解,参照图7的攻击场景序列示意图进行举例说明:根据场景0对应的必要事件{a1、a2、a3}和非必要事件{a4、a5、a6};场景1对应的必要事件{b1、b2、b3}和非必要事件{b4、b5、b6};场景2没有对应的必要事件,对应的非必要事件{c1、c2、c3、c4};场景3对应的必要事件{d1、d2}和非必要事件{d3、d4、d5、d6};根据筛选出的安全事件与对应的场景序列进行匹配,如:筛选出的安全事件为{a1、a2、a3};{b4、b5、b6};{d1、d2},根据{a1、a2、a3};{b4、b5、b6};{d1、d2}与场景0、场景1、场景2、场景3进行匹配,确定筛选出的安全事件为{a1、a2、a3};{b4、b5、b6};{d1、d2};对应的是场景0、场景1以及场景3,根据场景0、场景1以及场景3对应的必要攻击阶段和非必要攻击阶段构建路径树。
具体实现中,将筛选后的安全事件与攻击场景规则库中包含的攻击场景序列中对应的必要安全事件和非必要安全事件进行匹配,以获得筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段,并根据必要攻击阶段和非必要攻击阶段构建攻击路径树。
进一步地,为了提高攻击路径判断的准确性所述根据所述攻击路径树确定目标攻击路径的步骤,包括:对所述攻击路径树中每条攻击路径进行遍历,并判断遍历到的当前攻击路径是否完整;在所述当前攻击路径完整时,基于预设马尔科夫模型获取所述当前攻击路径的路径确定度;在遍历结束时,根据所获得的各攻击路径的路径确定度确定目标攻击路径。
需说明的是,马尔科夫模型是指一种统计模型。马尔科夫模型可以用来对安全事件的全面预测,不仅能够指出安全事件发生的各种可能结果,而且还能给出每一种安全事件结果出现的概率,说明被预测的安全事件在预测期内出现每一种安全事件结果的可能性程度,马尔科夫模型可以是关于安全事件发生的概率预测方法,根据安全事件的当前状态预测其将来各个时刻变动状况的一种预测模型。路径确定度可以是安全事件对应的攻击路径的概率,例如70%。遍历可以是指计算机遍历攻击路径树的所有从根到叶子结点的路径,即对路径树中所有结点的信息访问一次。为了便于理解,参照图8的攻击路径树结构图进行举例说明:根据存储器中一个主机缓存数据确定对应的场景1、场景2,并从场景1中包含的结点1、结点2、结点3判断这些路径是否符合攻击场景规则库,并查找对应的攻击路径。
可理解的是,判断遍历到的当前攻击路径是否完整可以是根据完整路径漏洞是否可以导致Web根目录被攻击者查看,完整攻击路径可以是指攻击者能够看到Web根目录或者文件的路径。
具体实现中,对各攻击路径树中每条攻击路径进行遍历,判断遍历到的当前攻击路径是否完整,在当前攻击路径不完整时,结束对攻击路径识别,在当前攻击路径完整时,根据马尔科夫模型确定当前完整的攻击路径中的安全事件发生的概率,并计算各完整攻击路径的路径确定度,根据路径确定度选取确定度最高的路径作为目标攻击路径。
本实施例通过获取安全事件集合,其中,所述安全事件集合包括来自终端日志、流量层安全设备以及终端安全设备的多个安全事件,通过攻击场景规则库和预设时间段对所述安全事件集合中的安全事件进行筛选,获得筛选出的安全事件及所述筛选出的安全事件对应的攻击场景序列,根据所述攻击场景序列、攻击时间以及筛选出的安全事件构建对应的攻击路径树,根据所述攻击路径树确定目标攻击路径。由于是通过攻击场景规则库和预设时间段对所述的安全事件进行筛选,获得筛选出的安全事件及所述筛选出的安全事件对应的攻击场景序列;根据所述攻击场景序列、攻击时间以及筛选出的安全事件构建对应的攻击路径树,遍历各个攻击路径树选取出攻击者最有可能入侵的攻击路径,本实施例相较于现有技术通过人工查找攻击路径,容易导致误判,本实施例实现了对攻击路径的精准定位,有助于后续风险预测,提升网络安全性。
参照图9,图9为本发明网络攻击路径确定方法第三实施例的流程示意图,基于上述图6所示的第二实施例,提出本发明网络攻击路径确定方法的第三实施例。
在本实施例中,所述在所述当前攻击路径完整时,基于预设马尔科夫模型获取所述当前攻击路径的路径确定度,包括:在所述攻击路径完整时,根据真实攻击数据和所述攻击场景规则库对完整攻击路径中的安全事件进行匹配,以获得符合攻击场景的安全事件。基于所述预设马尔科夫模型获取符合攻击场景的安全事件的发生概率,并根据安全事件之间的概率转移度和所述发生概率计算当前攻击路径的路径确定度。
需说明的是,真实攻击数据可以是历史攻击数据,也可以是实时攻击数据,所述攻击数据可以是攻击路径对应的安全事件中包含的攻击者入侵系统所产生的数据。
可理解的是,攻击场景可以是某种攻击发生时,对攻击者在不同攻击阶段发生的行为的描述,本实施例通过大量真实案例数据的统计汇总后选择性内置一些经典场景作为基础场景库,用作后续场景匹配。
应理解的是,基于马尔科夫模型可以用于预测安全事件发生概率,例如:在某个安全事件发生时,马尔科夫模型可以预测下一阶段安全事件发生的概率,即每个安全事件发生的概率与上一阶段发生的安全事件相关。
此外,为了便于理解,参照图10的安全事件转移示意图进行举例说明:通过概率转移度计算各个必要攻击阶段对应的安全事件转移概率,如:阶段1发生安全事件1之后阶段2的发生安全事件2的概率,再一次计算安全事件2到阶段3的安全事件6的概率以及安全事件2到阶段3的安全事件7的概率,最后通过概率与概率相乘的方式计算安全事件从阶段1至阶段4中概率组大的一条路径。由于同一场景下攻击方式不同,即存在大量攻击路径树,通过记录每一个符合攻击阶段和攻击时间要求的攻击路径。
具体实现中,场景规则库中包含了大量的场景规则样例,若存在N个必须阶段,则生成N个统计的矩阵,完整的攻击路径的概率根据每个阶段之间概率的累成,路径确定度与当前攻击路径发送概率和整个场景中路径的最大概率所确定。
在本实施例中,所述步骤S30包括:
步骤S301:基于所述预设马尔科夫模型获取各完整攻击路径中符合攻击场景的安全事件,并确定所述安全事件对应的当前攻击路径。
需说明的是,完整攻击路径可以是根据攻击者的攻击方式可以查找到攻击者所需的源文件的路径。
具体实现中,根据马尔科夫模型获取各完整攻击路径中符合攻击场景的安全事件,根据马尔科夫模型确定各个安全事件之间的关联性,从而确定所述安全事件对应的当前攻击路径。
步骤S302:根据所述当前攻击路径与历史攻击路径的路径拟合程度获取当前攻击路径的路径确定度。
需说明的是,路径拟合度可以是对当前攻击路径和历史攻击路径拟合度校验时的吻合程度,常用的拟合度校验方法有:剩余平方和校验、卡方校验和参数校验等。
具体实现中,在当前攻击路径和历史攻击路径的路径拟合程度高时,可以根据历史攻击路径的确定度作为当前攻击路径的确定度。
步骤S303:根据预设条件和所述当前攻击路径的路径确定度确定目标攻击路径。
需说明的是,预设条件可以是内置的确定度阈值,所述阈值也可以由人为设定;例如:确定度为0或者确定度低于历史攻击路径的确定度。
具体实现中,在当前攻击路径的确定度低于历史攻击路径的确定度最小值或者当前攻击路径的路径确定度为0时,将其剔除掉,选择确定度最高的路径作为攻击者入侵的攻击路径。
进一步地,所述在所述攻击路径完整时,根据真实攻击数据和所述攻击场景规则库对完整攻击路径中的安全事件进行场景匹配,以获得符合攻击场景的安全事件和伴随安全事件的步骤之后,还包括:根据所述符合攻击场景的安全事件及安全事件的出现频次对所述攻击场景规则库进行更新。
需说明的是,攻击场景规则库可以根据对攻击路径实时分析时进行更新,以保证攻击场景规则库的有效性。
具体实现中,本实施例通过大量真实案例数据的统计汇总后选择性内置一些经典场景作为基础场景库,用作后续场景匹配,在历史数据中匹配这些攻击场景并获取符合场景的安全事件以及伴随着发生的安全事件,分析出现频率较高的伴随安全事件和出现频率较少的安全事件,用以分析完善场景。
本实施例通过获取安全事件集合,其中,所述安全事件集合包括来自终端日志、流量层安全设备以及终端安全设备的多个安全事件,通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树,基于所述预设马尔科夫模型获取各完整攻击路径中符合攻击场景的安全事件,并确定所述安全事件对应的当前攻击路径;根据所述当前攻击路径与历史攻击路径的路径拟合程度获取当前攻击路径的路径确定度;根据预设条件和所述当前攻击路径的路径确定度确定目标攻击路径。由于是基于马尔科夫模型从安全事件攻击路径树对应的当前攻击路径以及历史攻击路径的路径拟合度,并根据当前攻击路径确定度确定目标路径。本实施相较于现有技术单纯的线性匹配导致误判攻击路径,本实施例实现了快速确定攻击路径,从而实现更精准的防御功能。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有网络攻击路径确定程序,所述网络攻击路径确定程序被处理器执行时实现如上文所述的网络攻击路径确定方法的步骤。
参照图11,图11为本发明网络攻击路径确定装置第一实施例的结构框图。
如图11所示,本发明实施例提出的网络攻击路径确定装置包括:
事件获取模块10,用于获取安全事件集合,其中,所述安全事件集合包括来自终端日志、流量层安全设备以及终端安全设备的多个安全事件;
路径树构建模块20,用于通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树;
路径确定模块30,用于根据所述攻击路径树确定目标攻击路径。
本施例通过获取安全事件集合,其中,所述安全事件集合包括来自终端日志、流量层安全设备以及终端安全设备的多个安全事件,通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树,根据所述攻击路径树确定目标攻击路径。由于是通过获取多个安全事件,并根据攻击场景规则库生成多个攻击路径树,遍历多个攻击路径树选取出攻击者最有可能入侵的攻击路径,本实施例相对于现有技术无法快速从大量安全事件中识别出攻击路径,攻击路径识别效率低,无法保证数据保护的时效性,本实施例实现了基于大数据分析攻击路径,自动化选取攻击者最有可能入侵的攻击路径,不依靠于人工查找攻击路径,并且攻击场景基于大数据分析更具备准确性,提升了攻击路径查找的准确性。
进一步地,所述路径树构建模块20还用于通过攻击场景规则库和预设时间段对所述安全事件集合中的安全事件进行筛选,获得筛选出的安全事件及所述筛选出的安全事件对应的攻击场景序列;根据所述攻击场景序列、攻击时间以及筛选出的安全事件构建对应的攻击路径树。
进一步地,所述路径树构建模块20还用于根据所述攻击场景序列中攻击阶段对应的必要安全事件和非必要安全事件对筛选出的安全事件进行匹配,以获得所述筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段;根据所述攻击时间和所述筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段构建对应的攻击路径树。
进一步地,所述路径确定模块30还用于对所述攻击路径树中每条攻击路径进行遍历,并判断遍历到的当前攻击路径是否完整;在所述当前攻击路径完整时,基于预设马尔科夫模型获取所述当前攻击路径的路径确定度;在遍历结束时,根据所获得的各攻击路径的路径确定度确定目标攻击路径。
进一步地,所述路径确定模块30还用于在所述攻击路径完整时,根据真实攻击数据和所述攻击场景规则库对完整攻击路径中的安全事件进行匹配,以获得符合攻击场景的安全事件;基于所述预设马尔科夫模型获取符合攻击场景的安全事件的发生概率,并根据安全事件之间的概率转移度和所述发生概率计算当前攻击路径的路径确定度。
进一步地,所述路径确定模块30还用于基于所述预设马尔科夫模型获取各完整攻击路径中符合攻击场景的安全事件,并确定所述安全事件对应的当前攻击路径;根据所述当前攻击路径与历史攻击路径的路径拟合程度获取当前攻击路径的路径确定度;根据预设条件和所述当前攻击路径的路径确定度确定目标攻击路径。
进一步地,所述事件获取模块10还用于对网络安全设备的日志信息进行格式归一化,以获得安全事件信息;根据所述安全事件信息中的报警信息确定安全事件格式信息;根据所述安全事件格式信息和被攻击网址信息对所述安全事件信息中的安全事件进行分组,获得分组后的安全事件;将所述分组后的安全事件作为安全事件集合。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有网络攻击路径确定程序,所述网络攻击路径确定程序被处理器执行时实现如上文所述的网络攻击路径确定方法的步骤。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的网络攻击路径确定方法,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络攻击路径确定方法,其特征在于,所述网络攻击路径确定方法包括以下步骤:
获取安全事件集合,其中,所述安全事件集合包括来自终端日志、流量层安全设备以及终端安全设备的多个安全事件;
通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树;
根据所述攻击路径树确定目标攻击路径。
2.如权利要求1所述的网络攻击路径确定方法,其特征在于,所述通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树的步骤,包括:
通过攻击场景规则库和预设时间段对所述安全事件集合中的安全事件进行筛选,获得筛选出的安全事件及所述筛选出的安全事件对应的攻击场景序列;
根据所述攻击场景序列、攻击时间以及筛选出的安全事件构建对应的攻击路径树。
3.如权利要求2所述的网络攻击路径确定方法,其特征在于,所述根据所述攻击场景序列、攻击时间以及筛选出的安全事件构建对应的攻击路径树的步骤,包括:
根据所述攻击场景序列中攻击阶段对应的必要安全事件和非必要安全事件对筛选出的安全事件进行匹配,以获得所述筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段;
根据所述攻击时间和所述筛选出的安全事件对应的必要攻击阶段和非必要攻击阶段构建对应的攻击路径树。
4.如权利要求2所述的网络攻击路径确定方法,其特征在于,所述根据所述攻击路径树确定目标攻击路径的步骤,包括:
对所述攻击路径树中每条攻击路径进行遍历,并判断遍历到的当前攻击路径是否完整;
在所述当前攻击路径完整时,基于预设马尔科夫模型获取所述当前攻击路径的路径确定度;
在遍历结束时,根据所获得的各攻击路径的路径确定度确定目标攻击路径。
5.如权利要求4所述的网络攻击路径确定方法,其特征在于,所述在所述当前攻击路径完整时,基于预设马尔科夫模型获取所述当前攻击路径的路径确定度的步骤,包括:
在所述攻击路径完整时,根据真实攻击数据和所述攻击场景规则库对完整攻击路径中的安全事件进行匹配,以获得符合攻击场景的安全事件;
基于所述预设马尔科夫模型获取符合攻击场景的安全事件的发生概率,并根据安全事件之间的概率转移度和所述发生概率计算当前攻击路径的路径确定度。
6.如权利要求5所述的网络攻击路径确定方法,其特征在于,所述根据所述攻击路径树确定目标攻击路径的步骤,包括:
基于所述预设马尔科夫模型获取各完整攻击路径中符合攻击场景的安全事件,并确定所述安全事件对应的当前攻击路径;
根据所述当前攻击路径与历史攻击路径的路径拟合程度获取当前攻击路径的路径确定度;
根据预设条件和所述当前攻击路径的路径确定度确定目标攻击路径。
7.如权利要求1至6中任一项所述的网络攻击路径确定方法,其特征在于,所述获取安全事件集合的步骤之前,还包括:
对网络安全设备的日志信息进行格式归一化,以获得安全事件信息;
根据所述安全事件信息中的报警信息确定安全事件格式信息;
根据所述安全事件格式信息和被攻击网址信息对所述安全事件信息中的安全事件进行分组,获得分组后的安全事件;
将所述分组后的安全事件作为安全事件集合。
8.一种网络攻击路径确定设备,其特征在于,所述网络攻击路径确定设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击路径确定程序,所述网络攻击路径确定程序被所述处理器执行时实现如权利要求1至7中任一项所述的网络攻击路径确定方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有网络攻击路径确定程序,所述网络攻击路径确定程序被处理器执行时实现如权利要求1至7中任一项所述的网络攻击路径确定方法的步骤。
10.一种网络攻击路径确定装置,其特征在于,所述网络攻击路径确定装置包括:
事件获取模块,用于获取安全事件集合,其中,所述安全事件集合包括终端日志、流量层安全设备以及终端安全设备的多个安全事件;
路径树构建模块,用于通过攻击场景规则库对所述安全事件集合中的安全事件进行筛选,并根据筛选出的安全事件构建对应的攻击路径树;
路径确定模块,用于根据所述攻击路径树确定目标攻击路径。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011524313.9A CN112511561A (zh) | 2020-12-21 | 2020-12-21 | 网络攻击路径确定方法、设备、存储介质及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011524313.9A CN112511561A (zh) | 2020-12-21 | 2020-12-21 | 网络攻击路径确定方法、设备、存储介质及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112511561A true CN112511561A (zh) | 2021-03-16 |
Family
ID=74922955
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011524313.9A Pending CN112511561A (zh) | 2020-12-21 | 2020-12-21 | 网络攻击路径确定方法、设备、存储介质及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112511561A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
CN114301699A (zh) * | 2021-12-30 | 2022-04-08 | 安天科技集团股份有限公司 | 行为预测方法及装置、电子设备和计算机可读存储介质 |
CN114826727A (zh) * | 2022-04-22 | 2022-07-29 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
CN114900359A (zh) * | 2022-05-09 | 2022-08-12 | 山东至信信息科技股份有限公司 | 一种网络安全事件回溯方法和系统 |
CN114944964A (zh) * | 2022-07-21 | 2022-08-26 | 北京未来智安科技有限公司 | 一种网络安全事件处理方法及装置 |
CN116938600A (zh) * | 2023-09-14 | 2023-10-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
US20170046519A1 (en) * | 2015-08-12 | 2017-02-16 | U.S Army Research Laboratory ATTN: RDRL-LOC-I | Methods and systems for defending cyber attack in real-time |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
CN106682502A (zh) * | 2016-12-13 | 2017-05-17 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
CN110753038A (zh) * | 2019-09-29 | 2020-02-04 | 武汉大学 | 一种异常检测自适应权限控制系统及方法 |
-
2020
- 2020-12-21 CN CN202011524313.9A patent/CN112511561A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
US20170046519A1 (en) * | 2015-08-12 | 2017-02-16 | U.S Army Research Laboratory ATTN: RDRL-LOC-I | Methods and systems for defending cyber attack in real-time |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
CN106682502A (zh) * | 2016-12-13 | 2017-05-17 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
CN110753038A (zh) * | 2019-09-29 | 2020-02-04 | 武汉大学 | 一种异常检测自适应权限控制系统及方法 |
Non-Patent Citations (3)
Title |
---|
冯学伟 等: "一种基于概率转移的Cyber攻击场景感知推理技术", 《指挥与控制学报》 * |
冯学伟 等: "一种基于马尔可夫性质的因果知识挖掘方法", 《计算机研究与发展》 * |
王月垒: "面向复杂网络攻击的安全事件检测与追踪技术研究", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
CN113312625A (zh) * | 2021-06-21 | 2021-08-27 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN113312625B (zh) * | 2021-06-21 | 2024-01-02 | 深信服科技股份有限公司 | 一种攻击路径图构建方法、装置、设备、介质 |
CN113824730A (zh) * | 2021-09-29 | 2021-12-21 | 恒安嘉新(北京)科技股份公司 | 一种攻击分析方法、装置、设备及存储介质 |
CN114301699A (zh) * | 2021-12-30 | 2022-04-08 | 安天科技集团股份有限公司 | 行为预测方法及装置、电子设备和计算机可读存储介质 |
CN114826727A (zh) * | 2022-04-22 | 2022-07-29 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
CN114826727B (zh) * | 2022-04-22 | 2024-05-07 | 南方电网数字电网研究院有限公司 | 流量数据采集方法、装置、计算机设备、存储介质 |
CN114900359A (zh) * | 2022-05-09 | 2022-08-12 | 山东至信信息科技股份有限公司 | 一种网络安全事件回溯方法和系统 |
CN114944964A (zh) * | 2022-07-21 | 2022-08-26 | 北京未来智安科技有限公司 | 一种网络安全事件处理方法及装置 |
CN114944964B (zh) * | 2022-07-21 | 2022-10-21 | 北京未来智安科技有限公司 | 一种网络安全事件处理方法及装置 |
CN116938600A (zh) * | 2023-09-14 | 2023-10-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
CN116938600B (zh) * | 2023-09-14 | 2023-11-24 | 北京安天网络安全技术有限公司 | 威胁事件的分析方法、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
US20210288995A1 (en) | Operational Network Risk Mitigation System And Method | |
Kaynar | A taxonomy for attack graph generation and usage in network security | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
US11240263B2 (en) | Responding to alerts | |
KR102079687B1 (ko) | 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법 | |
CN110933101A (zh) | 安全事件日志处理方法、装置及存储介质 | |
CN108183916A (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
RU2715025C2 (ru) | Способ автоматизированного тестирования программно-аппаратных систем и комплексов | |
CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
CN112073437A (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
CN114972827A (zh) | 资产识别方法、装置、设备及计算机可读存储介质 | |
CN116451215A (zh) | 关联分析方法及相关设备 | |
CN111598711A (zh) | 目标用户账号识别方法、计算机设备及存储介质 | |
CN114285639A (zh) | 一种网站安全防护方法及装置 | |
CN114760113B (zh) | 一种异常告警检测方法、装置及电子设备和存储介质 | |
CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
Debar et al. | Reference audit information generation for intrusion detection systems | |
CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
KR101512700B1 (ko) | 사용자 행위패턴 기반 웹 서버의 비인가 트래픽 정밀 접근제어 시스템 및 그 제어 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210316 |