CN112738003B - 恶意地址管理方法和装置 - Google Patents
恶意地址管理方法和装置 Download PDFInfo
- Publication number
- CN112738003B CN112738003B CN201910973060.4A CN201910973060A CN112738003B CN 112738003 B CN112738003 B CN 112738003B CN 201910973060 A CN201910973060 A CN 201910973060A CN 112738003 B CN112738003 B CN 112738003B
- Authority
- CN
- China
- Prior art keywords
- attack
- address
- malicious
- predicted
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提出一种恶意地址管理方法和装置,涉及信息安全技术领域。本公开的一种恶意地址管理方法,包括:采集设备日志数据;根据日志数据获取攻击信息,攻击信息包括攻击源、攻击类型、攻击事件和被攻击方;基于神经网络和日志数据获取预测攻击源地址;将预测攻击源地址补充至恶意地址列表中。通过这样的方法,能够采集网络中的攻击信息,进而进行预测并更新至恶意地址列表,从而能够实现对恶意地址的预估和提前防护,提高设备的安全性。
Description
技术领域
本公开涉及信息安全技术领域,特别是一种恶意地址管理方法和装置。
背景技术
网络安全防护设备在对设备的安全防护过程中,会生成恶意IP(InternetProtocol,互联网地址协议)列表的操作,通常是采用固定周期从互联网开源数据集中更新列表,而对于未在列表中的IP需要根据其发送的数据包和行为分析其是否为攻击。
发明内容
本公开的一个目的在于提高网络设备的安全性。
根据本公开的一个方面,提出一种恶意地址管理方法,包括:采集设备日志数据;根据日志数据获取攻击信息,攻击信息包括攻击源、攻击类型、攻击事件和被攻击方;基于神经网络和攻击信息获取预测攻击源地址;将预测攻击源地址补充至恶意地址列表中。
在一些实施例中,基于神经网络和攻击信息获取预测攻击地址包括:根据攻击信息构建知识图谱,知识图谱的源节点为攻击源,目的节点为被攻击方,边为攻击事件,边的属性为攻击类型;将知识图谱输入神经网络,获取预测的边;根据预测的边的源节点确定预测攻击源地址。
在一些实施例中,恶意地址管理方法还包括:配置预测攻击源地址为预定生命周期;在达到预定生命周期的情况下,从恶意地址列表中删除。
在一些实施例中,恶意地址管理方法还包括:基于预定第一频率从开源数据中获取恶意地址信息,生成或更新静态恶意地址列表;将预测攻击源地址补充至恶意地址列表中为:将预测攻击源地址补充至动态恶意地址列表。
在一些实施例中,恶意地址管理方法还包括:根据神经网络获取确定预测攻击源地址的可信度;在动态恶意地址列表中的地址与静态恶意地址列表中的地址矛盾的情况下:若发生矛盾的预测攻击源地址的可信度大于预定可信度,则采用动态恶意地址列表中对预测攻击源地址的处理方案同步静态恶意地址列表;否则,采用静态恶意地址列表中对预测攻击源地址的处理方案同步动态恶意地址列表。
在一些实施例中,恶意地址管理方法还包括:在各个设备中配置数据采集代理;采集设备日志数据为:数据采集代理以预定第二频率获取所处设备的设备日志数据;汇总来自各个设备的数据采集代理的设备日志数据。
在一些实施例中,根据日志数据获取攻击信息包括:清洗获取的日志数据;通过自然语言理解提取日志数据中的攻击信息。
通过这样的方法,能够采集网络中的攻击信息,进而进行预测并更新至恶意地址列表,从而能够实现对恶意地址的预估和提前防护,提高设备的安全性。
根据本公开的另一个方面,提出一种恶意地址管理装置,包括:日志采集单元,被配置为采集设备日志数据;攻击信息获取单元,被配置为根据日志数据获取攻击信息,攻击信息包括攻击源、攻击类型、攻击事件和被攻击方;预测单元,被配置为基于神经网络和攻击信息获取预测攻击源地址;列表更新单元,被配置为将预测攻击源地址补充至恶意地址列表中。
在一些实施例中,恶意地址管理装置还包括:过期管理单元,被配置为配置预测攻击源地址为预定生命周期;在达到预定生命周期的情况下,从恶意地址列表中删除。
在一些实施例中,恶意地址管理装置还包括:静态列表管理单元,被配置为基于预定第一频率从开源数据中获取恶意地址信息,生成或更新静态恶意地址列表;列表更新单元,被配置为将预测攻击源地址补充至动态恶意地址列表。
在一些实施例中,恶意地址管理装置还包括:矛盾管理单元,被配置为根据神经网络获取确定预测攻击源地址的可信度;在动态恶意地址列表中的地址与静态恶意地址列表中的地址矛盾的情况下:若发生矛盾的预测攻击源地址的可信度大于预定可信度,则采用动态恶意地址列表中对预测攻击源地址的处理方案同步静态恶意地址列表;否则,采用静态恶意地址列表中对预测攻击源地址的处理方案同步动态恶意地址列表。
根据本公开的又一个方面,提出一种恶意地址管理装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行上文中任意一种恶意地址管理方法。
这样的装置能够采集网络中的攻击信息,进而进行预测并更新至恶意地址列表,从而能够实现对恶意地址的预估和提前防护,提高设备的安全性。
根据本公开的再一个方面,提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上文中任意一种恶意地址管理方法的步骤。
通过执行这样的计算机可读存储介质上的指令,能够采集网络中的攻击信息,进而进行预测并更新至恶意地址列表,从而能够实现对恶意地址的预估和提前防护,提高设备的安全性。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本公开的一部分,本公开的示意性实施例及其说明用于解释本公开,并不构成对本公开的不当限定。在附图中:
图1为本公开的恶意地址管理方法的一些实施例的流程图。
图2为本公开的恶意地址管理方法的另一些实施例的流程图。
图3为本公开的恶意地址管理方法中网络设备管理过程的一些实施例的流程图。
图4为本公开的恶意地址管理装置的一些实施例的示意图。
图5为本公开的恶意地址管理装置的另一些实施例的示意图。
图6为本公开的恶意地址管理装置的又一些实施例的示意图。
具体实施方式
下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
发明人发现,相关技术中的网路安全防护存在许多不足,比如:
时效性差、误报漏报率高:攻击者进行攻击行为时往往使用IP欺骗技术,每个恶意IP的生命周期很短,固定周期的更新方式时效性较差,导致攻击拦截的误报和漏报率较高;
静态、被动的更新方式:传统网络安全防护设备,此类方式浪费设备计算资源,且无法提前感知攻击者的攻击行为;
准确率低:基于人工智能的攻击检测方式利用关系型、攻击链和拓扑等历史数据,而此类数据在处理时会丢失原始数据的相互关系信息,降低人工智能算法的准确性。
本公开的恶意地址管理方法的一些实施例的流程图如图1所示。
在步骤101中,采集设备日志数据。在一些实施例中,可以在网络防护设备中安装数据采集代理,如智能agent,定期、批量的对于设备日志进行采集。在一些实施例中,还可以对采集的日志进行预处理,如清洗掉不相关的、重复的数据等。在一些实施例中,各个数据采集代理可以以预定的频率获取所处设备的设备日志数据,进而汇总来自各个设备的数据采集代理的设备日志数据执行接下来的操作。
在步骤102中,根据日志数据获取攻击信息,攻击信息包括攻击源、攻击类型、攻击事件和被攻击方。在一些实施例中,可以基于自然语言算法,在多格式的网络安全防护设备中对于实体和关系进行抽取。实体包括攻击源和被攻击方,以其IP地址标识。关系可以为攻击事件。
在一些实施例中,以某网络安全防护设备为例,其解析的命令为:
output alert_syslog:LOG_AUTH LOG_ALERT facility priority options
在步骤103中,基于神经网络和攻击信息获取预测攻击源地址。在一些实施例中,可以将攻击信息作为数据集输入神经网络算法中,通过智能预测得到预测攻击源地址,如预测其IP地址。
在步骤104中,将预测攻击源地址补充至恶意地址列表中。
通过这样的方法,能够采集网络中的攻击信息,进而进行预测并更新至恶意地址列表,从而能够实现对恶意地址的预估和提前防护,提高设备的安全性。
在一些实施例中,为提高神经网络预测的目标性和准确性,可以基于攻击信息生成知识图谱,攻击和被攻击设备地址为图谱的节点,攻击事件为知识图谱的边。在一些实施例中,知识图谱的源节点为攻击源,目的节点为被攻击方,边为攻击事件,边的属性为攻击类型;将知识图谱输入神经网络,神经网络获取预测的边。预测的边的源节点即为预测攻击源地址。在一些实施例中,还可以利用知识图谱的逻辑推理能力发现实体相互之间隐含的关系。ILP(Inductive Logic Programming,归纳逻辑程序设计)使用一阶谓词逻辑来进行知识表示,通过修改和扩充逻辑表达式来完成对数据的归纳:FOIL_GAIN=m^+*(log2m^+m^++m^--log2m+m++m-)。
通过这样的方法,能够将零散的攻击行为转化成图谱形式表示,将预测定向化为预测图谱的边,从而提高了神经网络预测的目标性和准确性,提高预测效率;结合传统更新方式和人工智能分析的优点,在保证传统恶意地址列表工作方式优点以外,利用知识图谱的关系推理能力和神经网络的预测能力,提高恶意地址分析的准确性和感知能力。
在一些实施例中,预测的边的一端攻击源地址,另一端为被攻击节点地址,可以着重将预测攻击源地址加入被攻击节点的恶意地址列表中,加强对该节点的保护,从而使预测的结果得到充分应用。
本公开的恶意地址管理方法的另一些实施例的流程图如图2所示。
在步骤201中,基于预定第一频率从开源数据中获取恶意地址信息,生成或更新静态恶意地址列表。该静态恶意地址列表可以以相关技术中的操作来生成和维护。
与静态恶意地址列表的生成相对独立的,可以采用如下步骤202~204的方式生成动态恶意地址列表。
在步骤202中,采集设备日志数据,根据日志数据获取攻击信息,攻击信息包括攻击源、攻击类型、攻击事件和被攻击方。
在步骤203中,基于神经网络和日志数据获取预测攻击源地址,并配置预定生命周期,预定生命周期可以为4~8小时,如6小时。
在步骤204中,将预测攻击源地址补充至动态恶意地址列表中。
通过这样的方法,能够相对独立的产生静态恶意地址列表和动态恶意地址列表,通过两个列表的配合提高对安全防护的可靠性。
在一些实施例中,为了避免恶意地址列表过于庞大占据过多空间,可以通过步骤205、206维护地址列表:
在步骤205中,判断动态恶意地址列表中的各个地址是否达到预定生命周期。若达到其预定生命周期,则执行步骤206。
在步骤206中,将到达预定生命周期的地址从动态恶意地址列表中删除。
通过这样的方法,能够及时更新恶意地址列表,一方面避免恶意地址列表过于庞大占据过多空间,另一方面也能充分利用恶意地址更新快的特点,减少不必要的搜索,提高拦截效率。
在一些实施例中,由于动态恶意地址列表与静态恶意地址列表的生成方式不同,则有可能产生信息矛盾,如静态恶意地址列表中不包括某地址,或将该地址列入白名单,但动态恶意地址列表中包括该地址;或动态恶意地址列表中曾经记录的某地址由于过期已删除,但动态恶意地址列表中仍然包括该地址。
在步骤207中,根据神经网络获取确定预测攻击源地址的可信度。在一些实施例中,根据神经网络预测模型的准确率对于此地址的可信度打分,该预测模型的准确率可以为神经网络本身的准确度,随着使用逐渐提高;也可以为神经网络针对本次预测行为输出的预计准确度
在步骤208中,判断动态恶意地址列表中的地址与静态恶意地址列表中的地址是否有矛盾之处。若存在信息矛盾,则执行步骤209;否则,可以将动态恶意地址列表与静态恶意地址列表合并,作为拦截恶意数据包的地址依据。
在步骤209中,判断发生矛盾的预测攻击源地址的可信度是否大于预定可信度。预定可信度可以根据经验设定,在应用过程中根据效果调整。若发生矛盾的预测攻击源地址的可信度大于预定可信度,则执行步骤210。
在步骤210中,以动态恶意地址列表中对该预测攻击源地址的处理为准。在一些实施例中,可以将该处理方案同步至静态恶意地址列表。
在步骤211中,以静态恶意地址列表中对该预测攻击源地址的处理为准。在一些实施例中,可以将该处理方案同步至动态恶意地址列表。
通过这样的方法,能够将动态恶意地址列表与静态恶意地址列表相互印证,以可信度作为标准,提高恶意流量拦截的准确度。
本公开的恶意地址管理方法中网络设备管理过程的一些实施例的流程图如图3所示。
在301~306中,防护设备基于恶意地址列表进行流量、访问的拦截;对于未在列表中的IP,根据其发送的数据包和行为分析其是否为攻击,在确定非异常访问的情况下,放过该访问、流量。基于的恶意地址列表包括两部分,分别为动态恶意地址列表(如图中的动态IP黑名单)和静态恶意地址列表(如图中的静态IP黑名单)。如304所示,基于网络开源数据或厂商数据集更新静态恶意地址列表。
在307~312中,基于采集的日志进行攻击信息的提取,并预测将要发生的攻击行为,更新动态恶意地址列表。在一些实施例中,可以采用上文中任意一项所述的恶意地址管理方法生成、管理动态恶意地址列表。在一些实施例中,可以采用如上文图2所示实施例中的方式,结合动态、静态恶意地址列表生成供网络安全防护设备使用的恶意地址列表。
通过这样的方法,实现了基于关系推理预测的恶意IP列表生成。利用隐藏在网络安全防护设备日志和交互数据流中的语义特征、上下文关系、实体攻击关系、行为相似度等特征,实现高准确性、低误报率、强感知能力的恶意IP列表生成,解决了传统恶意IP列表更新方式滞后、时效性差和神经网络预测算法中使用关系型、攻击链、拓扑关系等数据丢失原始数据部分信息的问题,实现高准确性、低误报率、强感知能力的恶意IP列表生成方法。这样的方法使恶意地址列表由传统天周月级别静态更新提升为毫秒级动态更新,通过测试,准确率达到98.52%以上。
本公开的恶意地址管理装置的一些实施例的示意图如图4所示。
日志采集单元401,能够采集设备日志数据。在一些实施例中,可以在网络防护设备中安装数据采集代理,如智能agent,定期、批量的对于设备日志进行采集。在一些实施例中,还可以对采集的日志进行预处理,如清洗掉不相关的、重复的数据等。
攻击信息获取单元402能够根据日志数据获取攻击信息,攻击信息包括攻击源、攻击类型、攻击事件和被攻击方。在一些实施例中,可以基于自然语言算法,在多格式的网络安全防护设备中对于实体和关系进行抽取。实体包括攻击源和被攻击方,以其IP地址标识。关系可以为攻击事件。
预测单元403能够基于神经网络和攻击信息获取预测攻击源地址。在一些实施例中,可以将攻击信息作为数据集输入神经网络算法中,通过智能预测得到预测攻击源地址,如预测其IP地址。
列表更新单元404能够将预测攻击源地址补充至恶意地址列表中。
这样的装置能够采集网络中的攻击信息,进而进行预测并更新至恶意地址列表,从而能够实现对恶意地址的预估和提前防护,提高设备的安全性。
在一些实施例中,恶意地址管理装置可以包括过期管理单元405,能够基于神经网络和日志数据获取预测攻击源地址,并配置预定生命周期,预定生命周期可以为4~8小时,如6小时;过期管理单元405监控每一个预测攻击源地址的生命周期,将到达预定生命周期的地址从动态恶意地址列表中删除。
在一些实施例中,恶意地址管理装置还可以包括静态列表管理单元406基于预定第一频率从开源数据中获取恶意地址信息,生成或更新静态恶意地址列表。该静态恶意地址列表可以以相关技术中的操作来生成和维护,从而能够相对独立的产生静态恶意地址列表和动态恶意地址列表,通过两个列表的配合提高对安全防护的可靠性。
在一些实施例中,恶意地址管理装置还可以包括矛盾管理单元407,能够判断动态恶意地址列表中的地址与静态恶意地址列表中的地址是否有矛盾之处。若不存在信息矛盾,则将动态恶意地址列表与静态恶意地址列表合并,作为拦截恶意数据包的地址依据。若存在矛盾,则判断发生矛盾的预测攻击源地址的可信度是否大于预定可信度。
若发生矛盾的预测攻击源地址的可信度大于预定可信度,则以动态恶意地址列表中对该预测攻击源地址的处理为准,在一些实施例中,可以将该处理方案同步至静态恶意地址列表;否则以静态恶意地址列表中对该预测攻击源地址的处理为准;在一些实施例中,可以将该处理方案同步至动态恶意地址列表。
这样的装置能够将动态恶意地址列表与静态恶意地址列表相互印证,以可信度作为标准,提高恶意流量拦截的准确度。
本公开恶意地址管理装置的一个实施例的结构示意图如图5所示。恶意地址管理装置包括存储器501和处理器502。其中:存储器501可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储上文中恶意地址管理方法的对应实施例中的指令。处理器502耦接至存储器501,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器502用于执行存储器中存储的指令,能够实现对恶意地址的预估和提前防护,提高设备的安全性。
在一个实施例中,还可以如图6所示,恶意地址管理装置600包括存储器601和处理器602。处理器602通过BUS总线603耦合至存储器601。该恶意地址管理装置600还可以通过存储接口604连接至外部存储装置605以便调用外部数据,还可以通过网络接口606连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,能够实现对恶意地址的预估和提前防护,提高设备的安全性。
在另一个实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现恶意地址管理方法对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
可能以许多方式来实现本公开的方法以及装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
最后应当说明的是:以上实施例仅用以说明本公开的技术方案而非对其限制;尽管参照较佳实施例对本公开进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本公开的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本公开技术方案的精神,其均应涵盖在本公开请求保护的技术方案范围当中。
Claims (10)
1.一种恶意地址管理方法,包括:
采集设备日志数据;
根据所述日志数据获取攻击信息,所述攻击信息包括攻击源、攻击类型、攻击事件和被攻击方;
基于神经网络和所述攻击信息获取预测攻击源地址;
将所述预测攻击源地址补充至动态恶意地址列表中;
基于预定第一频率从开源数据中获取恶意地址信息,生成或更新静态恶意地址列表;
根据所述神经网络获取确定所述预测攻击源地址的可信度;
在所述动态恶意地址列表中的地址与所述静态恶意地址列表中的地址矛盾的情况下:若发生矛盾的所述预测攻击源地址的可信度大于预定可信度,则采用动态恶意地址列表中对预测攻击源地址的处理方案同步静态恶意地址列表;否则,采用静态恶意地址列表中对预测攻击源地址的处理方案同步动态恶意地址列表。
2.根据权利要求1所述的方法,其中,所述基于神经网络和所述攻击信息获取预测攻击地址包括:
根据所述攻击信息构建知识图谱,所述知识图谱的源节点为攻击源,目的节点为被攻击方,边为攻击事件,边的属性为攻击类型;
将所述知识图谱输入所述神经网络,获取预测的边;
根据预测的边的源节点确定预测攻击源地址。
3.根据权利要求1所述的方法,还包括:
配置所述预测攻击源地址为预定生命周期;
在达到所述预定生命周期的情况下,从所述恶意地址列表中删除。
4.根据权利要求1所述的方法,还包括:在各个设备中配置数据采集代理;
所述采集设备日志数据为:
所述数据采集代理以预定第二频率获取所处设备的设备日志数据;
汇总来自各个设备的数据采集代理的所述设备日志数据。
5.根据权利要求4所述的方法,其中,所述根据所述日志数据获取攻击信息包括:
清洗获取的所述日志数据;
通过自然语言理解提取所述日志数据中的攻击信息。
6.一种恶意地址管理装置,包括:
日志采集单元,被配置为采集设备日志数据;
攻击信息获取单元,被配置为根据所述日志数据获取攻击信息,所述攻击信息包括攻击源、攻击类型、攻击事件和被攻击方;
预测单元,被配置为基于神经网络和所述攻击信息获取预测攻击源地址;
列表更新单元,被配置为将所述预测攻击源地址补充至动态恶意地址列表中;
静态列表管理单元,被配置为基于预定第一频率从开源数据中获取恶意地址信息,生成或更新静态恶意地址列表;
矛盾管理单元,被配置为根据所述神经网络获取确定所述预测攻击源地址的可信度;在所述动态恶意地址列表中的地址与所述静态恶意地址列表中的地址矛盾的情况下:若发生矛盾的所述预测攻击源地址的可信度大于预定可信度,则采用动态恶意地址列表中对预测攻击源地址的处理方案同步静态恶意地址列表;否则,采用静态恶意地址列表中对预测攻击源地址的处理方案同步动态恶意地址列表。
7.根据权利要求6所述的装置,还包括:
过期管理单元,被配置为配置所述预测攻击源地址为预定生命周期;在达到所述预定生命周期的情况下,从所述恶意地址列表中删除。
8.根据权利要求6所述的装置,其中:
所述预测单元被配置为根据所述攻击信息构建知识图谱,所述知识图谱的源节点为攻击源,目的节点为被攻击方,边为攻击事件,边的属性为攻击类型;将所述知识图谱输入所述神经网络,获取预测的边;根据预测的边的源节点确定预测攻击源地址。
9.一种恶意地址管理装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至5任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至5任意一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910973060.4A CN112738003B (zh) | 2019-10-14 | 2019-10-14 | 恶意地址管理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910973060.4A CN112738003B (zh) | 2019-10-14 | 2019-10-14 | 恶意地址管理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112738003A CN112738003A (zh) | 2021-04-30 |
CN112738003B true CN112738003B (zh) | 2022-09-16 |
Family
ID=75588468
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910973060.4A Active CN112738003B (zh) | 2019-10-14 | 2019-10-14 | 恶意地址管理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738003B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364764B (zh) * | 2021-06-02 | 2022-07-12 | 中国移动通信集团广东有限公司 | 基于大数据的信息安全防护方法及装置 |
CN113596058A (zh) * | 2021-08-13 | 2021-11-02 | 广东电网有限责任公司 | 一种恶意地址的处理方法、装置、计算机设备和存储介质 |
CN114285663A (zh) * | 2021-12-28 | 2022-04-05 | 赛尔网络有限公司 | 攻击源地址的管理方法、装置、设备和介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
US10129288B1 (en) * | 2014-02-11 | 2018-11-13 | DataVisor Inc. | Using IP address data to detect malicious activities |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11146578B2 (en) * | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
-
2019
- 2019-10-14 CN CN201910973060.4A patent/CN112738003B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10129288B1 (en) * | 2014-02-11 | 2018-11-13 | DataVisor Inc. | Using IP address data to detect malicious activities |
CN106453417A (zh) * | 2016-12-05 | 2017-02-22 | 国网浙江省电力公司电力科学研究院 | 一种基于近邻相似性的网络攻击目标预测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112738003A (zh) | 2021-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111177417B (zh) | 基于网络安全知识图谱的安全事件关联方法、系统、介质 | |
CN112738003B (zh) | 恶意地址管理方法和装置 | |
EP3205072B1 (en) | Differential dependency tracking for attack forensics | |
US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN107786564B (zh) | 基于威胁情报的攻击检测方法、系统及电子设备 | |
CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
US10476752B2 (en) | Blue print graphs for fusing of heterogeneous alerts | |
US7983900B2 (en) | Method, computer program and apparatus for analysing symbols in a computer system | |
US9210057B2 (en) | Cross-cutting event correlation | |
KR20210074891A (ko) | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 | |
CN112241439B (zh) | 一种攻击组织发现方法、装置、介质和设备 | |
CN112272186A (zh) | 一种网络流量检测框架、方法及电子设备和存储介质 | |
CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
CN104871171A (zh) | 分布式模式发现 | |
TWI553502B (zh) | 用於應用程式層之防火牆裝置的保護方法與其電腦系統 | |
CN112491883A (zh) | 一种检测web攻击的方法、装置、电子装置和存储介质 | |
Wu et al. | Bayesian model updating method based android malware detection for IoT services | |
CN112804204B (zh) | 一种基于大数据分析的智能网络安全系统 | |
CN113987492A (zh) | 一种告警事件的确定方法及装置 | |
WO2017176676A1 (en) | Graph-based fusing of heterogeneous alerts | |
CN102982282A (zh) | 程序漏洞的检测系统和方法 | |
CN117134938A (zh) | Goose数据的入侵检测方法、装置和入侵检测系统 | |
CN110555308B (zh) | 一种终端应用行为跟踪和威胁风险评估方法及系统 | |
CN115296849B (zh) | 关联告警方法及系统、存储介质和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |