CN112637178A - 攻击相似度计算方法、装置、电子设备和可读存储介质 - Google Patents
攻击相似度计算方法、装置、电子设备和可读存储介质 Download PDFInfo
- Publication number
- CN112637178A CN112637178A CN202011499777.9A CN202011499777A CN112637178A CN 112637178 A CN112637178 A CN 112637178A CN 202011499777 A CN202011499777 A CN 202011499777A CN 112637178 A CN112637178 A CN 112637178A
- Authority
- CN
- China
- Prior art keywords
- attack
- historical
- node
- chain
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种攻击相似度计算方法、装置、电子设备和可读存储介质,预先计算得到的历史采集的多条历史攻击链中各历史攻击链包含的各个历史攻击节点的概率分布式,该概率分布式中包含历史攻击节点在其后排序有不同的其他历史攻击节点的概率值。针对包含有多个当前攻击节点的当前攻击链,基于该概率分布式计算当前攻击链与历史攻击链之间的相似度。如此,计算出的相似度可用于当前攻击的后续攻击手段的预测,以提前进行攻击抵御。本方案中,采用历史统计信息进行相似度计算,使得计算结果可适于真实攻击场景,且随着攻击的产生可实现信息的不断更新。并且,将攻击节点进行分布量化的方式,以定量进行相似度计算,可达到计算结果客观、准确的效果。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种攻击相似度计算方法、装置、电子设备和可读存储介质。
背景技术
随着信息网络技术的发展,网络规模急剧增长,随之也产生了多种多样的网络攻击,危急网络信息安全。为了应对网络攻击造成的信息安全风险,通常在网络上部署多种网络监控和防御系统,例如入侵检测、安全漏洞扫描系统等。由于不同频次、不同攻击手段的网络攻击之间往往存在相似性,如果针对当前的网络攻击能够获知其与历史中的网络攻击的相似性,则可及时采取相应的应对措施,有效抵御网络攻击以避免所带来的危害。
现有技术中进行网络攻击的相似性确定时,一般是采用专家知识的方式进行确定,即通过预先人工构建字典和大量规则方法的方式来进行相似性的设置,根据该设置信息进行相似度确认。这种方式需要进行大量规则的设置,工作量大。此外,由于没有统一标准存在较强的主观性,并且由于更新需要人工重新设置,因此,存在更新难以及时的问题。
发明内容
本申请的目的包括,例如,提供了一种攻击相似度计算方法、装置、电子设备和可读存储介质,其能够客观、准确地进行攻击相似度的计算。
本申请的实施例可以这样实现:
第一方面,本申请提供一种攻击相似度计算方法,所述方法包括:
获取已产生的当前攻击链,所述当前攻击链包含多个当前攻击节点;
获取预先计算得到的历史采集的多条历史攻击链中,各所述历史攻击链包含的各个历史攻击节点的概率分布式,所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值;
针对每一历史攻击链,根据预先计算的各所述历史攻击节点的概率分布式,以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点,计算得到所述当前攻击链与所述历史攻击链之间的相似度。
在可选的实施方式中,所述方法还包括:
获得所述多条历史攻击链中与所述当前攻击链的相似度最高的目标历史攻击链;
根据所述目标历史攻击链包含的历史攻击节点,对所述当前攻击链后续的攻击手段进行预测。
在可选的实施方式中,各所述历史攻击节点为多个不同的攻击手段中的任意一种;
所述方法还包括预先获得各所述历史攻击链包含的各个历史攻击节点的概率分布式的步骤,该步骤包括:
针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在所述多条历史攻击链中出现的总频次;
根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次;
根据获得的所述总频次和多个所述频次,确定所述历史攻击节点的概率分布式。
在可选的实施方式中,所述针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在所述多条历史攻击链中出现的总频次的步骤,包括:
将各条历史攻击链包含的历史攻击节点拆分为多个节点组,各个节点组中包含相邻两个历史攻击节点;
针对各个所属不同攻击手段的历史攻击节点,筛选出多个节点组中其第一个节点为所述历史攻击节点的节点组;
统计筛选出的节点组的个数,作为所述历史攻击节点在所述多条历史攻击链中出现的总频次。
在可选的实施方式中,各所述历史攻击节点属于多个不同的攻击阶段中的任意一个,且为所属的攻击阶段包含的多个攻击手段中的任意一种;
所述针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在所述多条历史攻击链中出现的总频次的步骤,包括:
针对各个所属不同攻击手段的历史攻击节点,获得在该历史攻击节点后排序有属于相同攻击阶段的其他历史攻击节点时的总频次;
所述根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次的步骤,包括:
根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有属于所述相同攻击阶段的不同攻击手段的其他历史攻击节点的频次。
在可选的实施方式中,所述根据预先计算的各所述历史攻击节点的概率分布式,以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点,计算得到所述当前攻击链与所述历史攻击链之间的相似度的步骤,包括:
针对所述当前攻击链中包含的各个当前攻击节点,获得所述历史攻击链包含的与所述当前攻击节点位置对应的历史攻击节点;
根据预先计算的各所述历史攻击节点的概率分布式,计算所述当前攻击节点和所述历史攻击节点之间的相似度;
根据计算得到的各个当前攻击节点对应的相似度,得到所述当前攻击链与所述历史攻击链之间的相似度。
在可选的实施方式中,根据预先计算的各所述历史攻击节点的概率分布式,按以下公式计算所述当前攻击节点和所述历史攻击节点之间的相似度:
其中,t表示所述相似度,n表示所述概率分布式包含的概率值的个数,xi表示所述当前攻击节点的概率分布式中第i个概率值,yi表示所述历史攻击节点的概率分布式中的第i个概率值。
第二方面,本申请提供一种攻击相似度计算装置,所述装置包括:
第一获取模块,用于获取已产生的当前攻击链,所述当前攻击链包含多个当前攻击节点;
第二获取模块,用于获取预先计算得到的历史采集的多条历史攻击链中,各所述历史攻击链包含的各个历史攻击节点的概率分布式,所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值;
计算模块,用于针对每一历史攻击链,根据预先计算的各所述历史攻击节点的概率分布式,以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点,计算得到所述当前攻击链与所述历史攻击链之间的相似度。
第三方面,本申请提供一种电子设备,包括一个或多个存储介质和一个或多个与存储介质通信的处理器,一个或多个存储介质存储有处理器可执行的机器可执行指令,当电子设备运行时,处理器执行所述机器可执行指令,以执行前述实施方式中任意一项所述的攻击相似度计算方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质存储有机器可执行指令,所述机器可执行指令被执行时实现前述实施方式中任意一项所述的攻击相似度计算方法。
本申请实施例的有益效果包括,例如:
本申请实施例提供的攻击相似度计算方法、装置、电子设备和可读存储介质,预先计算得到的历史采集的多条历史攻击链中各历史攻击链包含的各个历史攻击节点的概率分布式,该概率分布式中包含历史攻击节点在其后排序有不同的其他历史攻击节点的概率值。针对包含有多个当前攻击节点的当前攻击链,基于该概率分布式计算当前攻击链与历史攻击链之间的相似度。如此,计算出的相似度可用于当前攻击的后续攻击手段的预测,以提前进行攻击抵御。
本方案中,采用历史统计信息进行相似度计算,使得计算结果可适于真实攻击场景,且随着攻击的产生可实现信息的不断更新。并且,将攻击节点进行分布量化的方式,以定量进行相似度计算,可达到计算结果客观、准确的效果。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备的结构框图;
图2为本申请实施例提供的攻击相似度计算方法的流程图;
图3为本申请实施例提供的攻击相似度计算方法中,预测方法的流程图;
图4为本申请实施例提供的攻击相似度计算方法中,概率分布式获得方法的流程图;
图5为图4中步骤S210的子步骤的流程图;
图6为图2中步骤S130的子步骤的流程图;
图7为本申请实施例提供的攻击相似度计算装置的功能模块框图。
图标:110-攻击相似度计算装置;111-第一获取模块;112-第二获取模块;113-计算模块;120-存储器;130-处理器;140-通信单元。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本申请的描述中,需要说明的是,在不冲突的情况下,本申请的实施例中的特征可以相互结合。
请参阅图1,为本申请实施例提供的一种电子设备,该电子设备包括攻击相似度计算装置110、存储器120、处理器130以及通信单元140。
本实施例中,电子设备可以是网络系统中的可能受到网络攻击的任意设备,例如个人计算机、服务器、笔记本电脑等设备。
所述存储器120、处理器130以及通信单元140各元件相互之间直接或间接地电性连接,以实现信息的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器120中存储有以软件或固件(Firmware)的形式存储于所述存储器120中的软件功能模块,所述处理器130通过运行存储在存储器120内的软件程序以及模块,如本申请实施例中的攻击相似度计算装置110,从而执行各种功能应用以及数据处理,即实现本申请实施例中的攻击相似度计算方法。
其中,所述存储器120可以是,但不限于,随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(ProgrammableRead-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。其中,存储器120用于存储程序,所述处理器130在接收到执行指令后,执行所述程序。所述通信单元140用于建立电子设备与其他外部设备之间的通信。
所述处理器130可能是一种集成电路芯片,具有信号的处理能力。上述的处理器130可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、图形处理器(Graphics Processing Unit,GPU)、网络处理器(Network Processor,NP)等。还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器130也可以是任何常规处理器等。
图2示出了本申请实施例提供的攻击相似度计算方法的流程示意图,本申请所提供的攻击相似度计算方法可应用于上述电子设备,由该电子设备实现。应当理解,在其它实施例中,本实施例所述的攻击相似度计算方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。该攻击相似度计算方法的详细步骤介绍如下。
步骤S110,获取已产生的当前攻击链,所述当前攻击链包含多个当前攻击节点。
步骤S120,获取预先计算得到的历史采集的多条历史攻击链中,各所述历史攻击链包含的各个历史攻击节点的概率分布式,所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值。
步骤S130,针对每一历史攻击链,根据预先计算的各所述历史攻击节点的概率分布式,以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点,计算得到所述当前攻击链与所述历史攻击链之间的相似度。
本实施例中,可预先采集多条历史攻击链,其中,历史攻击链即为历史中攻击过程已结束的攻击链。攻击链为包含有多个攻击过程的过程链,描述了从攻击的初始阶段、侦查到最后阶段,即数据泄露的整个网络攻击步骤,例如包括侦查、武器构建、载货投递、漏洞利用、安装植入、持续控制和目标达成攻击阶段等。
其中,侦查阶段主要是对目标的研究、识别和选择的阶段,武器构建阶段主要是将具有远程访问功能的木马和漏洞利用工具结合,形成可投递攻击载荷。载荷投递阶段是将构建的有效载荷传输到目标环境的过程,例如通过电子邮件附件、网页或者移动存储介质以传输到目标环境。
安装植入阶段,即在目标系统中安装可以远程访问的木马或者后门,获得持续访问权限。持续控制阶段,是指目标主机向外连接互联网上的命令与控制服务器,建立通道完成持续控制功能。目标达成阶段,即为攻击者通过一系列攻击活动实现攻击目的,该目的包括对敏感数据的窃取或破坏、入侵其他目标等。
本实施例中,历史攻击链的统计可以是以不同的源IP进行区分统计,也即将来自同一个源IP的网络攻击的攻击信息构成一条历史攻击链。此外,也可以是以不同的目的IP进行区分统计,也即将针对同一个目标IP的网络攻击的攻击信息构成一条历史攻击链。
此外,也可以是以同一个源IP且同一个目的IP进行区分统计,也即将来自同一个源IP的、且针对同一个目的IP的网络攻击的攻击信息构成一条历史攻击链。具体地区分统计方式本实施例不作具体限制。
各条历史攻击链往往包含多个历史攻击节点,各个历史攻击节点按照其产生的时间先后顺序进行排列构成历史攻击链。根据历史攻击链中各个历史攻击节点的在历史攻击链中的排序信息可以得到各个历史攻击节点的概率分布式,该概率分布式中包含有历史攻击节点在其后排序有不同的其他历史攻击节点的概率值。该概率分布式即体现了历史攻击节点在历史攻击链中的上下文信息,可表征各个历史攻击节点在历史的网络攻击中的出现情况。
本实施例中,以上过程可为预先基于历史中已结束的历史攻击链进行统计分析所获得。
在电子设备当前检测到网络攻击时,若当前已产生部分网络攻击,即所述的当前攻击链,该当前攻击链可包含多个当前攻击节点,所述的当前攻击节点即为电子设备以检测到的攻击节点。
一般性地,网络攻击可能是连续的,也即在当前攻击链之后还可能遭受后续攻击,因此,若能基于当前已产生的当前攻击链,获知其与历史中的攻击链的相似性,如此,则可以基于与其相似的历史攻击链的信息对当前攻击链后续的攻击进行预测,以便于能够提前采取相应措施,避免后续遭受攻击。
在本实施例中,由上述可知,基于历史攻击链可以计算得到的各个历史攻击节点的概率分布式,当前攻击链中包含有多个当前攻击节点,所述的历史攻击节点和当前攻击节点所实质都是采取一定攻击手段的攻击节点,因此,基于计算得到的历史攻击节点的概率分布式,可以从中查找到当前攻击节点的概率分布式。
基于当前攻击链中的当前攻击节点的概率分布式和各个历史攻击链中的各个历史攻击节点的概率分布式,则可以计算得到当前攻击链与各个历史攻击链之间的相似度。
如此,基于计算出的相似度值可以用于后续对当前攻击链的后续攻击进行预测。可选地,请参阅图3,本实施例提供的攻击相似度计算方法还可以包括以下步骤:
步骤S140,获得所述多条历史攻击链中与所述当前攻击链的相似度最高的目标历史攻击链。
步骤S150,根据所述目标历史攻击链包含的历史攻击节点,对所述当前攻击链后续的攻击手段进行预测。
本实施例中,在确定出与当前攻击链相似度最高的目标历史攻击链后,获得该目标历史攻击链包含的历史攻击节点。由上述可知,各个历史攻击节点在历史攻击链中按照产生的时间先后顺序进行排列。基于目标历史攻击链中历史攻击节点以及其排列顺序,可获得在当前攻击链的后续可能出现的攻击节点,根据该可能出现的攻击节点的信息即可预测得到当前攻击链后续的攻击手段。进而基于预测的攻击手段提前采取相应的对应措施。
本实施例中,采用预先采集历史攻击信息的方式,计算出可以体现各个历史攻击节点在攻击链中的出现情况的概率分布式,基于概率分布式来计算攻击链之间的相似性,可以避免现有技术中采用预先人工构建字典和规则方法的方式所存在的工作量大的问题。并且,在不断产生攻击信息的同时,可对攻击节点的概率分布式进行更新,从而使得用于计算相似度的概率分布式可不断更新,适应于实际应用场景。
并且,该方案中是基于实际产生的攻击信息进行相似度计算的,计算结果相较现有技术中所采用的基于专家知识进行计算的方式而言,更加客观、准确,避免主观因素造成的计算偏差。
以下首先对预先获得各个历史攻击链中的历史攻击节点的概率分布式进行说明,请参阅图4,本实施例中,可通过以下方式获得各个历史攻击节点的概率分布式:
步骤S210,针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在所述多条历史攻击链中出现的总频次。
步骤S220,根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次。
步骤S230,根据获得的所述总频次和多个所述频次,确定所述历史攻击节点的概率分布式。
本实施例中,各个历史攻击节点可为多个不同的攻击手段中的任意一种,具体地,各个历史攻击节点可属于多个不同的攻击阶段中的任意一个,且为所属的攻击阶段包含的多个攻击手段中的任意一种。
由上述可知,攻击阶段可包括,例如侦查、武器构建、载货投递、漏洞利用、安装植入、持续控制、目标达成等。而各个攻击阶段可包括多个不同的攻击手段。例如,可将不同的攻击阶段用字母A、B、C、D、E、F、G来表征,针对攻击阶段A而言,该攻击阶段A包含的不同的攻击手段可表征为如A1、A2……等。
例如,预先设置的攻击阶段和攻击手段可表征为如下表1中所示。
表1
| A | B | C | D | E | F | G |
| 侦查 | 武器构建 | 载货投递 | 漏洞利用 | 安装植入 | 持续控制 | 目标达成 |
| A1 | B1 | C1 | D1 | E1 | F1 | G1 |
| A2 | B2 | C2 | D2 | E2 | F2 | G2 |
| ... | ... | ... | ... | ... | ... | ... |
在多条历史攻击链中,有些攻击手段可能在攻击链中多次出现。因此,可针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在多条历史攻击链中出现的总频次。例如,针对攻击手段为A1的历史攻击节点,可通过在历史攻击链中,历史攻击节点A1出现的总频次。
在此基础上,可获得该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次。例如,可以统计在历史攻击节点A1后排序后历史攻击节点A2的频次、在历史攻击节点A1后排序有历史攻击节点B1的频次,以及在历史攻击节点A1后排序有历史攻击节点B2的频次等。
如此,根据上述获得的历史攻击节点A1的总频次,以及分别在A1后排序有A2、在A1后排序有B1以及在A1后排序有B2等的频次,计算得到历史攻击节点A1的概率分布式。例如,通过上述的频次的统计,在上述表1的基础上,可以统计得到如表2中的所示的频次表。
表2
| A1 | A2 | ... | B1 | B2 | ... | C1 | ... | D1 | ... | E1 | ... | F1 | ... | |
| A1 | 24 | 60 | ... | 53 | 29 | ... | 84 | ... | 74 | ... | 32 | ... | 88 | ... |
| A2 | 35 | 82 | ... | 57 | 49 | ... | 55 | ... | 47 | ... | 6 | ... | 62 | ... |
| ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... |
| B1 | 55 | 86 | ... | 80 | 56 | ... | 30 | ... | 61 | ... | 38 | ... | 14 | ... |
| B2 | 78 | 35 | ... | 3 | 72 | ... | 2 | ... | 75 | ... | 61 | ... | 99 | ... |
| ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... |
上述表2中以第一列的历史攻击节点在前,以第一行的历史攻击节点在后为例进行频次统计,例如,其中,在历史攻击节点A1后排序有历史攻击节点A2的频次为60次,在历史攻击节点A1后排序有历史攻击节点B1的频次为53次。
结合统计得到的历史攻击节点A1在历史攻击链中出现的总频次,再结合表2中所示的频次情况,即可计算得到历史攻击节点A1的概率分布式。
可选地,以计算历史攻击节点A1的概率分布式为例,首先可计算得到在历史攻击节点A1后排序有不同攻击手段的其他历史攻击节点的概率值。利用各个其他历史攻击节点排序在历史攻击节点A1后的频次除以历史攻击节点A1出现的总频次,得到对应的概率值。
本实施例中,得到的概率值的分布情况可如表3中所示,表3中PA1B1则表示在A1后排序有B1的概率值。
表3
| A1 | A2 | ... | B1 | B2 | ... | C1 | ... | D1 | ... | E1 | ... | F1 | ... | |
| A1 | P | P | PA1B1 | P | P | P | P | P | ||||||
| A2 | P | P | P | P | P | P | P | P | ||||||
| ... | ||||||||||||||
| B1 | P | P | P | P | P | P | P | P | ||||||
| B2 | P | P | P | P | P | P | P | P | ||||||
| ... |
本实施例中,考虑到在同一个攻击阶段中攻击手段的预测一般精度较低,因此,在进行攻击节点的概率分布式计算时,可考虑以相同攻击阶段的信息进行计算。具体地,可以针对各个所属不同攻击手段的历史攻击节点,获得在该历史攻击节点后排序有属于相同攻击阶段的其他历史攻击节点时的总频次。例如,在历史攻击节点A1后排序有所属于攻击阶段B的总频次,例如在A1后排序有B1、B2、B3等的总频次。
再根据历史攻击链中的历史攻击节点的排列顺序,获得在上述历史节点后排序有属于上述相同攻击阶段的不同攻击手段的其他历史攻击节点的频次。例如,分别得到A1后排序有B1的频次,A1后排序有B2的频次,A1后排序有B3的频次等。再基于分别得到的频次除以上述A1后排序有攻击阶段B的节点的总频次,得到多个概率值。得到的概率值的情况可如表3中所示。
表4
| A1 | A2 | ... | B1 | B2 | ... | C1 | ... | D1 | ... | E1 | ... | F1 | ... | |
| A1 | 0 | 0.2 | ... | 0.2 | 0.5 | ... | 0.3 | ... | 0.5 | ... | 0.8 | ... | 0.4 | ... |
| A2 | 0.3 | 0.4 | ... | 0.9 | 0.4 | ... | 0.9 | ... | 0.7 | ... | 0.3 | ... | 0.9 | ... |
| ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... |
| B1 | 0.2 | 0.2 | ... | 0.5 | 0.1 | ... | 0.3 | ... | 0.9 | ... | 0.1 | ... | 0.5 | ... |
| B2 | 0 | 0.4 | ... | 0.4 | 0.1 | ... | 0.7 | ... | 0.4 | ... | 1 | ... | 0.7 | ... |
| ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... | ... |
表4中,例如以第二行为例,表示在A1后排序后A1的概率值为0,在A1后排序有A2的概率值为0.2;在A1后排序后B1的概率值为0.2,在A1后排序后B2的概率值为0.5;在A1后排序有C1的概率值为0.3;在A1后排序有D1的概率值为0.5;在A1后排序有E1的概率值为0.8;在A1后排序有F1的概率值为0.4。
基于上述得到的多个概率值,即可得到历史攻击节点A1的概率分布式可为:
A1=[0,0.2,...0.2,0.5,...0.3,...0.5,...0.8,...0.4,...]
在历史攻击链为如下所示的攻击链形式时,则可基于上述方式,计算得到历史攻击链中各个历史攻击节点的概率分布式。
B1->B3->A1->A2->B5->B6->A4->A5->B7->A5->B8->B9->B4
上述历史攻击链表征的攻击手段可为:
SQL注入攻击(机器学习)->SQL注入(词法语法)->敏感信息扫描(机器学习)->发现尝试请求Linux下敏感文件->发现目录穿越攻击行为->路径穿越攻击(机器学习)->敏感信息扫描(机器学习)->发现尝试请求Linux下敏感文件->路径穿越攻击(机器学习)->敏感信息扫描(机器学习)->路径穿越攻击(机器学习)->发现目录穿越攻击行为->路径穿越攻击(机器学习)。
本实施例中,以上述的历史攻击链为例,请参阅图5,作为一种可能的实施方式,在统计历史攻击节点的总频次时,可通过以下方式获得:
步骤S211,将各条历史攻击链包含的历史攻击节点拆分为多个节点组,各个节点组中包含相邻两个历史攻击节点。
步骤S212,针对各个所属不同攻击手段的历史攻击节点,筛选出多个节点组中其第一个节点为所述历史攻击节点的节点组。
步骤S213,统计筛选出的节点组的个数,作为所述历史攻击节点在所述多条历史攻击链中出现的总频次。
本实施例中,以上述历史攻击链为例,在历史攻击链为B1->B3->A1->A2->B5->B6->A4->A5->B7->A5->B8->B9->B4时,拆分得到的多个节点组可如下所示:
<B1,B3>,<B3,A1>……<B9,B4>
本实施例中,可按上述方式将历史攻击链拆分为Big-Gram的形式,基于上述的拆分结果,例如,若需要统计历史攻击节点B1的概率分布式,则可筛选出节点组中其第一个节点为B1的节点组,例如上述的<B1,B3>。统计筛选出的节点组的个数,即为历史攻击节点B1的总频次。
本实施例中,通过以上方式预先计算得到各个历史攻击节点的概率分布式之后,在计算当前攻击链和各个历史攻击链之间的相似度时,可通过以下方式实现,请参阅图6:
步骤S131,针对所述当前攻击链中包含的各个当前攻击节点,获得所述历史攻击链包含的与所述当前攻击节点位置对应的历史攻击节点。
步骤S132,根据预先计算的各所述历史攻击节点的概率分布式,计算所述当前攻击节点和所述历史攻击节点之间的相似度。
步骤S133,根据计算得到的各个当前攻击节点对应的相似度,得到所述当前攻击链与所述历史攻击链之间的相似度。
由上述可知,当前攻击节点实质上是与历史攻击节点中的其中一个或多个所属相同攻击手段的节点,例如,当前攻击节点可以是上述的A1、B2等。因此,基于计算得到的多个历史攻击节点的概率分布式,也可以获知已产生的当前攻击节点的概率分布式。
如此,则可以基于位置对应的历史攻击节点和当前攻击节点计算对应两个节点之间的相似度。最后将计算得到的各个当前攻击节点对应的相似度进行累加,则可以得到当前攻击链与对应的历史攻击链之间的相似度。
例如,位置对应的两个节点可为历史攻击节点A1和当前攻击节点A2。攻击节点A1和攻击节点A2的概率分布式可分别如下:
A1=[0,0.2,...0.2,0.5,...0.3,...0.5,...0.8,...0.4,...]
A2=[0.3,0.4,...0.9,0.4,...0.9,...0.7,...0.3,...0.9,...]
本实施例中,可采用欧式距离计算公式,计算两个节点之间的距离,而得到的距离越小,则表明两个节点越相似。基于此,本实施例中,可按以下公式计算得到当前攻击节点和历史攻击节点之间的相似度:
其中,t表示相似度,n表示所述概率分布式包含的概率值的个数,xi表示所述当前攻击节点的概率分布式中第i个概率值,yi表示所述历史攻击节点的概率分布式中的第i个概率值。
本实施例中,通过以上方式,首先基于预先采集的攻击已结束的历史攻击链的信息,计算得到各个历史攻击链的概率分布式,该概率分布式可体现各个历史攻击节点在历史攻击链中的出现情况。基于当前已产生的部分的当前攻击链,可基于概率分布式计算当前攻击链与各个历史攻击链的相似度,进而从中确定出与当前攻击链相似度最高的目标历史攻击链。从而,可以根据确定出的目标历史攻击链中的历史攻击节点对当前攻击链后续的攻击手段进行预测。
本实施例所提供的攻击相似度计算方法,避免了传统的攻击相似度判断方法中均是基于字符信息进行确定,难以利用数学中的距离函数进行量化处理的缺陷,通过构建攻击节点的概率分布式表示,将攻击手段进行了数值化,即向量化标识,对攻击手段的相似度计算给出数值化的确定性的结果。
并且,本实施例所提供的方案中可基于网络攻击的产生进行概率分布式的实时更新,即能更快地适用于各种场景,更符合实际业务场景。并且,该方案是基于实际发生的网络攻击的大规模数据进行计算,其仅仅依赖于实际历史数据,避免了传统方式中基于专家知识所存在的主观性过强的缺陷。
如图7所示,为本申请实施例提供的一种攻击相似度计算装置110的功能模块框图,该装置应用于上述电子设备。所述装置包括第一获取模块111、第二获取模块112和计算模块113。
第一获取模块111,用于获取已产生的当前攻击链,所述当前攻击链包含多个当前攻击节点;
在本实施例中,关于第一获取模块111的描述具体可参考对图2所示的步骤S110的详细描述,即步骤S110可以由第一获取模块111执行。
第二获取模块112,用于获取预先计算得到的历史采集的多条历史攻击链中,各所述历史攻击链包含的各个历史攻击节点的概率分布式,所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值;
在本实施例中,关于第二获取模块112的描述具体可参考对图2所示的步骤S120的详细描述,即步骤S120可以由第二获取模块112执行。
计算模块113,用于针对每一历史攻击链,根据预先计算的各所述历史攻击节点的概率分布式,以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点,计算得到所述当前攻击链与所述历史攻击链之间的相似度。
在本实施例中,关于计算模块113的描述具体可参考对图2所示的步骤S130的详细描述,即步骤S130可以由计算模块113执行。
在一种可能的实现方式中,上述攻击相似度计算装置110还包括预测模块,该预测模块可以用于:
获得所述多条历史攻击链中与所述当前攻击链的相似度最高的目标历史攻击链;
根据所述目标历史攻击链包含的历史攻击节点,对所述当前攻击链后续的攻击手段进行预测。
在一种可能的实现方式中,各所述历史攻击节点为多个不同的攻击手段中的任意一种,上述攻击相似度计算装置110还包括获得模块,该获得模块用于预先获得各所述历史攻击链包含的各个历史攻击节点的概率分布式,该获得模块具体用于:
针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在所述多条历史攻击链中出现的总频次;
根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次;
根据获得的所述总频次和多个所述频次,确定所述历史攻击节点的概率分布式。
在一种可能的实现方式中,上述获得模块具体可以用于:
将各条历史攻击链包含的历史攻击节点拆分为多个节点组,各个节点组中包含相邻两个历史攻击节点;
针对各个所属不同攻击手段的历史攻击节点,筛选出多个节点组中其第一个节点为所述历史攻击节点的节点组;
统计筛选出的节点组的个数,作为所述历史攻击节点在所述多条历史攻击链中出现的总频次。
在一种可能的实现方式中,各所述历史攻击节点属于多个不同的攻击阶段中的任意一个,且为所属的攻击阶段包含的多个攻击手段中的任意一种,上述获得模块具体可以用于:
针对各个所属不同攻击手段的历史攻击节点,获得在该历史攻击节点后排序有属于相同攻击阶段的其他历史攻击节点时的总频次;
根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有属于所述相同攻击阶段的不同攻击手段的其他历史攻击节点的频次。
在一种可能的实现方式中,上述计算模块113具体可以用于:
针对所述当前攻击链中包含的各个当前攻击节点,获得所述历史攻击链包含的与所述当前攻击节点位置对应的历史攻击节点;
根据预先计算的各所述历史攻击节点的概率分布式,计算所述当前攻击节点和所述历史攻击节点之间的相似度;
根据计算得到的各个当前攻击节点对应的相似度,得到所述当前攻击链与所述历史攻击链之间的相似度。
在一种可能的实现方式中,上述计算模块113具体可以根据预先计算的各所述历史攻击节点的概率分布式,按以下公式计算所述当前攻击节点和所述历史攻击节点之间的相似度:
其中,t表示所述相似度,n表示所述概率分布式包含的概率值的个数,xi表示所述当前攻击节点的概率分布式中第i个概率值,yi表示所述历史攻击节点的概率分布式中的第i个概率值。
以上对攻击相似度计算装置110的描述中的未详尽之处,可参见上述实施例中对攻击相似度计算方法的相关说明,本实施例在此不作赘述。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器130运行时执行上述攻击相似度计算方法的步骤。
综上所述,本申请实施例提供的攻击相似度计算方法、装置、电子设备和可读存储介质,预先计算得到的历史采集的多条历史攻击链中各历史攻击链包含的各个历史攻击节点的概率分布式,该概率分布式中包含历史攻击节点在其后排序有不同的其他历史攻击节点的概率值。针对包含有多个当前攻击节点的当前攻击链,基于该概率分布式计算当前攻击链与历史攻击链之间的相似度。如此,计算出的相似度可用于当前攻击的后续攻击手段的预测,以提前进行攻击抵御。本方案中,采用历史统计信息进行相似度计算,使得计算结果可适于真实攻击场景,且随着攻击的产生可实现信息的不断更新。并且,将攻击节点进行分布量化的方式,以定量进行相似度计算,可达到计算结果客观、准确的效果。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种攻击相似度计算方法,其特征在于,所述方法包括:
获取已产生的当前攻击链,所述当前攻击链包含多个当前攻击节点;
获取预先计算得到的历史采集的多条历史攻击链中,各所述历史攻击链包含的各个历史攻击节点的概率分布式,所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值;
针对每一历史攻击链,根据预先计算的各所述历史攻击节点的概率分布式,以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点,计算得到所述当前攻击链与所述历史攻击链之间的相似度。
2.根据权利要求1所述的攻击相似度计算方法,其特征在于,所述方法还包括:
获得所述多条历史攻击链中与所述当前攻击链的相似度最高的目标历史攻击链;
根据所述目标历史攻击链包含的历史攻击节点,对所述当前攻击链后续的攻击手段进行预测。
3.根据权利要求1所述的攻击相似度计算方法,其特征在于,各所述历史攻击节点为多个不同的攻击手段中的任意一种;
所述方法还包括预先获得各所述历史攻击链包含的各个历史攻击节点的概率分布式的步骤,该步骤包括:
针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在所述多条历史攻击链中出现的总频次;
根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次;
根据获得的所述总频次和多个所述频次,确定所述历史攻击节点的概率分布式。
4.根据权利要求3所述的攻击相似度计算方法,其特征在于,所述针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在所述多条历史攻击链中出现的总频次的步骤,包括:
将各条历史攻击链包含的历史攻击节点拆分为多个节点组,各个节点组中包含相邻两个历史攻击节点;
针对各个所属不同攻击手段的历史攻击节点,筛选出多个节点组中其第一个节点为所述历史攻击节点的节点组;
统计筛选出的节点组的个数,作为所述历史攻击节点在所述多条历史攻击链中出现的总频次。
5.根据权利要求3所述的攻击相似度计算方法,其特征在于,各所述历史攻击节点属于多个不同的攻击阶段中的任意一个,且为所属的攻击阶段包含的多个攻击手段中的任意一种;
所述针对各个所属不同攻击手段的历史攻击节点,获得该历史攻击节点在所述多条历史攻击链中出现的总频次的步骤,包括:
针对各个所属不同攻击手段的历史攻击节点,获得在该历史攻击节点后排序有属于相同攻击阶段的其他历史攻击节点时的总频次;
所述根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次的步骤,包括:
根据各所述历史攻击链中的历史攻击节点的排列顺序,获得在该历史攻击节点后排序有属于所述相同攻击阶段的不同攻击手段的其他历史攻击节点的频次。
6.根据权利要求1所述的攻击相似度计算方法,其特征在于,所述根据预先计算的各所述历史攻击节点的概率分布式,以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点,计算得到所述当前攻击链与所述历史攻击链之间的相似度的步骤,包括:
针对所述当前攻击链中包含的各个当前攻击节点,获得所述历史攻击链包含的与所述当前攻击节点位置对应的历史攻击节点;
根据预先计算的各所述历史攻击节点的概率分布式,计算所述当前攻击节点和所述历史攻击节点之间的相似度;
根据计算得到的各个当前攻击节点对应的相似度,得到所述当前攻击链与所述历史攻击链之间的相似度。
7.根据权利要求6所述的攻击相似度计算方法,其特征在于,根据预先计算的各所述历史攻击节点的概率分布式,按以下公式计算所述当前攻击节点和所述历史攻击节点之间的相似度:
其中,t表示所述相似度,n表示所述概率分布式包含的概率值的个数,xi表示所述当前攻击节点的概率分布式中第i个概率值,yi表示所述历史攻击节点的概率分布式中的第i个概率值。
8.一种攻击相似度计算装置,其特征在于,所述装置包括:
第一获取模块,用于获取已产生的当前攻击链,所述当前攻击链包含多个当前攻击节点;
第二获取模块,用于获取预先计算得到的历史采集的多条历史攻击链中,各所述历史攻击链包含的各个历史攻击节点的概率分布式,所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值;
计算模块,用于针对每一历史攻击链,根据预先计算的各所述历史攻击节点的概率分布式,以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点,计算得到所述当前攻击链与所述历史攻击链之间的相似度。
9.一种电子设备,其特征在于,包括一个或多个存储介质和一个或多个与存储介质通信的处理器,一个或多个存储介质存储有处理器可执行的机器可执行指令,当电子设备运行时,处理器执行所述机器可执行指令,以执行权利要求1-7中任意一项所述的攻击相似度计算方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有机器可执行指令,所述机器可执行指令被执行时实现权利要求1-7中任意一项所述的攻击相似度计算方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011499777.9A CN112637178B (zh) | 2020-12-18 | 2020-12-18 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011499777.9A CN112637178B (zh) | 2020-12-18 | 2020-12-18 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112637178A true CN112637178A (zh) | 2021-04-09 |
| CN112637178B CN112637178B (zh) | 2022-09-20 |
Family
ID=75316899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011499777.9A Active CN112637178B (zh) | 2020-12-18 | 2020-12-18 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112637178B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301692A (zh) * | 2021-12-29 | 2022-04-08 | 中国电信股份有限公司 | 攻击预测方法、装置、介质及设备 |
| CN114363002A (zh) * | 2021-12-07 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
| CN115174251A (zh) * | 2022-07-19 | 2022-10-11 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN106411576A (zh) * | 2016-08-30 | 2017-02-15 | 河南理工大学 | 基于状态转移网络攻击模型的攻击图生成方法 |
| US20170223037A1 (en) * | 2016-01-29 | 2017-08-03 | Acalvio Technologies, Inc. | Using high-interaction networks for targeted threat intelligence |
| US9948663B1 (en) * | 2015-12-07 | 2018-04-17 | Symantec Corporation | Systems and methods for predicting security threat attacks |
| CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| CN109120643A (zh) * | 2018-10-11 | 2019-01-01 | 北京知道创宇信息技术有限公司 | 渗透测试方法及装置 |
| CN110012037A (zh) * | 2019-05-21 | 2019-07-12 | 北京理工大学 | 基于不确定性感知攻击图的网络攻击预测模型构建方法 |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
| CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
| CN110572409A (zh) * | 2019-09-16 | 2019-12-13 | 国家计算机网络与信息安全管理中心 | 工业互联网的安全风险预测方法、装置、设备及存储介质 |
| CN111309975A (zh) * | 2020-02-20 | 2020-06-19 | 支付宝(杭州)信息技术有限公司 | 一种增强图模型抗攻击能力的方法和系统 |
| CN111371758A (zh) * | 2020-02-25 | 2020-07-03 | 东南大学 | 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法 |
| CN112070161A (zh) * | 2020-09-08 | 2020-12-11 | 南方电网科学研究院有限责任公司 | 一种网络攻击事件分类方法、装置、终端及存储介质 |
| CN112087420A (zh) * | 2020-07-24 | 2020-12-15 | 西安电子科技大学 | 一种网络杀伤链检测方法、预测方法及系统 |
-
2020
- 2020-12-18 CN CN202011499777.9A patent/CN112637178B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| US9948663B1 (en) * | 2015-12-07 | 2018-04-17 | Symantec Corporation | Systems and methods for predicting security threat attacks |
| US20170223037A1 (en) * | 2016-01-29 | 2017-08-03 | Acalvio Technologies, Inc. | Using high-interaction networks for targeted threat intelligence |
| CN106411576A (zh) * | 2016-08-30 | 2017-02-15 | 河南理工大学 | 基于状态转移网络攻击模型的攻击图生成方法 |
| CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
| CN109120643A (zh) * | 2018-10-11 | 2019-01-01 | 北京知道创宇信息技术有限公司 | 渗透测试方法及装置 |
| CN110012037A (zh) * | 2019-05-21 | 2019-07-12 | 北京理工大学 | 基于不确定性感知攻击图的网络攻击预测模型构建方法 |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
| CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
| CN110572409A (zh) * | 2019-09-16 | 2019-12-13 | 国家计算机网络与信息安全管理中心 | 工业互联网的安全风险预测方法、装置、设备及存储介质 |
| CN111309975A (zh) * | 2020-02-20 | 2020-06-19 | 支付宝(杭州)信息技术有限公司 | 一种增强图模型抗攻击能力的方法和系统 |
| CN111371758A (zh) * | 2020-02-25 | 2020-07-03 | 东南大学 | 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法 |
| CN112087420A (zh) * | 2020-07-24 | 2020-12-15 | 西安电子科技大学 | 一种网络杀伤链检测方法、预测方法及系统 |
| CN112070161A (zh) * | 2020-09-08 | 2020-12-11 | 南方电网科学研究院有限责任公司 | 一种网络攻击事件分类方法、装置、终端及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| A. BAR等: ""Identifying Attack Propagation Patterns in Honeypots Using Markov Chains Modeling and Complex Networks Analysis"", 《2016 IEEE INTERNATIONAL CONFERENCE ON SOFTWARE SCIENCE, TECHNOLOGY AND ENGINEERING (SWSTE)》 * |
| 吕宗平等: ""基于攻击链和网络流量检测的威胁情报分析研究"", 《计算机应用研究》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363002A (zh) * | 2021-12-07 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
| CN114363002B (zh) * | 2021-12-07 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种网络攻击关系图的生成方法及装置 |
| CN114301692A (zh) * | 2021-12-29 | 2022-04-08 | 中国电信股份有限公司 | 攻击预测方法、装置、介质及设备 |
| CN114301692B (zh) * | 2021-12-29 | 2023-12-12 | 中国电信股份有限公司 | 攻击预测方法、装置、介质及设备 |
| CN115174251A (zh) * | 2022-07-19 | 2022-10-11 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
| CN115174251B (zh) * | 2022-07-19 | 2023-09-05 | 深信服科技股份有限公司 | 一种安全告警的误报识别方法、装置以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112637178B (zh) | 2022-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637178B (zh) | 攻击相似度计算方法、装置、电子设备和可读存储介质 | |
| CN111475804A (zh) | 一种告警预测方法及系统 | |
| CN109889550B (zh) | 一种DDoS攻击确定方法及装置 | |
| US11487882B2 (en) | Vulnerability influence evaluation system | |
| US20210067528A1 (en) | Information processing apparatus, information processing method, and recording medium | |
| CN110825917B (zh) | 车辆胎压异常识别方法、装置及数据分析设备 | |
| CN112217650A (zh) | 网络阻塞攻击效果评估方法、装置及存储介质 | |
| CN113239065A (zh) | 基于大数据的安全拦截规则更新方法及人工智能安全系统 | |
| CN110650140B (zh) | 基于kmeans的攻击行为监测方法及装置 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| CN113961425A (zh) | 一种告警消息的处理方法、装置及设备 | |
| CN116633682B (zh) | 一种基于安全产品风险威胁的智能识别方法及系统 | |
| CN117294497A (zh) | 一种网络流量异常检测方法、装置、电子设备及存储介质 | |
| CN116109988B (zh) | 基于人工智能和无人机的异常监控方法及系统 | |
| US20080091715A1 (en) | Method and system of creating health operating envelope for dynamic systems by unsupervised learning of a sequence of discrete event codes | |
| EP4135261A1 (en) | Information processing device, information processing method, and program | |
| CN114039837B (zh) | 告警数据处理方法、装置、系统、设备和存储介质 | |
| CN116070149A (zh) | 基于人工智能的数据分析方法、系统及云平台 | |
| KR102433581B1 (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
| CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
| CN112422573B (zh) | 攻击路径还原方法、装置、设备及存储介质 | |
| KR102136222B1 (ko) | 그래프 데이터 클러스터링 시스템 및 방법과, 이를 위한 컴퓨터 프로그램 | |
| CN114385472A (zh) | 一种异常数据的检测方法、装置、设备及存储介质 | |
| CN112836747A (zh) | 眼动数据的离群处理方法及装置、计算机设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 9/F, Building C, No. 28, North Tianfu Avenue, China (Sichuan) Pilot Free Trade Zone, Hi tech Zone, Chengdu, 610000, Sichuan Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 610000, 11th floor, building 2, no.219, Tianfu Third Street, Chengdu pilot Free Trade Zone, hi tech Zone, Chengdu, Sichuan Province 610000 Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |