CN113037713B - 网络攻击的对抗方法、装置、设备及存储介质 - Google Patents

网络攻击的对抗方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN113037713B
CN113037713B CN202110169837.9A CN202110169837A CN113037713B CN 113037713 B CN113037713 B CN 113037713B CN 202110169837 A CN202110169837 A CN 202110169837A CN 113037713 B CN113037713 B CN 113037713B
Authority
CN
China
Prior art keywords
attack
defense
index
indexes
action
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110169837.9A
Other languages
English (en)
Other versions
CN113037713A (zh
Inventor
郑天时
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202110169837.9A priority Critical patent/CN113037713B/zh
Publication of CN113037713A publication Critical patent/CN113037713A/zh
Application granted granted Critical
Publication of CN113037713B publication Critical patent/CN113037713B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于网络安全技术领域,公开了一种网络攻击的对抗方法、装置、设备及存储介质。该方法包括:获取当前访问动作;根据所述当前访问动作确定攻击指标;根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱;根据所述攻击指标确定所述当前访问动作的攻击者画像;根据所述防御指标确定防御动作;根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。通过上述方式,可以快速确定网络攻击行为的原因,并根据原因快速确定防御手段,从而对攻击进行防御,极大地提高了用户的网络安全。

Description

网络攻击的对抗方法、装置、设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击的对抗方法、装置、设备及存储介质。
背景技术
网络空间安全形势日趋复杂和严峻。席卷全球的勒索病毒在全球范围大爆发,对企业的正常工作,造成巨大影响。高级持续性威胁(APT攻击)、鱼叉攻击、内部员工和外包人员的越权操作,也在不断的威胁着企业核心数据安全。
而这些危险行为及攻击动作难以溯源且全面性的防护,对网络信息安全产生巨大威胁。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种网络攻击的对抗方法、装置、设备及存储介质,旨在解决现有技术中攻击动作难以溯源且全面性的防护的技术问题。
为实现上述目的,本发明提供了一种网络攻击的对抗方法,所述方法包括以下步骤:
获取当前访问动作;
根据所述当前访问动作确定攻击指标;
根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱;
根据所述攻击指标确定所述当前访问动作的攻击者画像;
根据所述防御指标确定防御动作;
根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。
可选地,所述获取当前访问动作之前,还包括:
获取采样攻击动作以及对应的采样防御动作;
根据所述采样攻击动作确定攻击指标,根据所述采样防御动作确定防御指标;
将所述攻击指标以及所述防御指标进行聚类,确定聚类关系;
根据所述聚类关系以及关联标签,建立所述攻击指标及所述防御指标的攻击对抗图谱。
可选地,所述获取采样攻击动作以及对应的采样防御动作,包括:
获取网络攻防日志;
根据所述网络攻防日志,将符合预设攻击方式的攻击动作作为采样攻击动作;
根据所述网络攻防日志,将所述采样攻击行为对应防御行为作为采样防御动作。
可选地,所述根据所述采样攻击动作确定攻击指标,根据所述采样防御动作确定防御指标,包括:
获取攻击流程以及防御流程;
确定所述采样攻击动作对应的攻击流程,确定所述采样防御动作确定对应的防御流程;
根据所述采样攻击动作以及对应的采样防御动作,建立所述攻击流程与所述防御流程的映射关系;
根据所述映射关系确定攻击指标以及防御指标。
可选地,所述将所述攻击指标以及所述防御指标进行聚类,确定聚类关系,包括:
将所述攻击指标与对应的防御指标进行融合,获得融合指标;
将所述攻击指标、所述防御指标及所述融合指标进行聚类,获得聚类关系。
可选地,所述根据所述聚类关系以及关联标签,建立所述攻击指标及所述防御指标的攻击对抗图谱,包括:
确定所述融合指标的关联标签;
将所述关联标签相同的融合指标建立关联关系;
根据所述聚类关系以及所述关联关系,建立所述网络攻击指标及所述防御指标的攻击对抗图谱。
可选地,所述确定所述融合指标的关联标签,包括:
获取所述融合指标对应的防御指标以及对应的攻击指标;
判定所述对应的防御指标以及所述对应的攻击指标的攻防基准;
将所述攻防基准作为关联标签。
此外,为实现上述目的,本发明还提出一种网络攻击的对抗装置,所述网络攻击的对抗装置包括:
动作获取模块,用于获取当前访问动作;
攻击确定模块,用于根据所述当前访问动作确定攻击指标;
图谱查询模块,用于根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱;
画像确定模块,用于根据所述攻击指标确定所述当前访问动作的攻击者画像;
防御确定模块,用于根据所述防御指标确定防御动作;
对抗模块,用于根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。
此外,为实现上述目的,本发明还提出一种网络攻击的对抗设备,所述网络攻击的对抗设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击的对抗程序,所述网络攻击的对抗程序配置为实现如上文所述的网络攻击的对抗方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有网络攻击的对抗程序,所述网络攻击的对抗程序被处理器执行时实现如上文所述的网络攻击的对抗方法的步骤。
本发明获取当前访问动作;根据所述当前访问动作确定攻击指标;根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱;根据所述攻击指标确定所述当前访问动作的攻击者画像;根据所述防御指标确定防御动作;根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。通过上述方式,可以快速确定网络攻击行为的原因,并根据原因快速确定防御手段,从而对攻击进行防御,极大地提高了用户的网络安全。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的网络攻击的对抗设备的结构示意图;
图2为本发明网络攻击的对抗方法第一实施例的流程示意图;
图3为本发明网络攻击的对抗方法一实施例的攻击流程示意图;
图4为本发明网络攻击的对抗方法一实施例的攻击对抗图谱;
图5为本发明网络攻击的对抗方法一实施例的攻击流程与防御流程示意图;
图6为本发明网络攻击的对抗方法第二实施例的流程示意图;
图7为本发明网络攻击的对抗装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的网络攻击的对抗设备结构示意图。
如图1所示,该网络攻击的对抗设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对网络攻击的对抗设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络攻击的对抗程序。
在图1所示的网络攻击的对抗设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明网络攻击的对抗设备中的处理器1001、存储器1005可以设置在网络攻击的对抗设备中,所述网络攻击的对抗设备通过处理器1001调用存储器1005中存储的网络攻击的对抗程序,并执行本发明实施例提供的网络攻击的对抗方法。
本发明实施例提供了一种网络攻击的对抗方法,参照图2,图2为本发明一种网络攻击的对抗方法第一实施例的流程示意图。
本实施例中,所述网络攻击的对抗方法包括以下步骤:
步骤S10:获取当前访问动作;
需要说明的是,本实施例的执行主体为网络安全设备,网络安全设备可为防火墙,网络安全设备中设有网络攻击的对抗程序。
可以理解的是,当前访问动作为外部网络终端对内部网络发起的访问行为,而当前访问动作可为正常访问,也可为恶意攻击,恶意攻击的示意图如图3所示。
步骤S20:根据所述当前访问动作确定攻击指标;
需要说明的是,攻击指标是指攻击动作的标准。攻击指标可用于识别系统或网络上的潜在恶意活动,在当前访问动作达到攻击指标时,则可以识别出对应的攻击动作。
可以理解的是,在当前的访问动作被识别为攻击动作时,确定攻击动作对应的攻击指标,不同的攻击动作有不同对应的攻击指标,例如:利用弱口令漏洞攻击时可以确定相应的口令攻击指标。
步骤S30:根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱;
需要说明的是,防御指标是与攻击指标相对应的指标,当攻击指标识别出攻击动作时,攻击指标存在对应的防御指标,可使用达到防御指标的防御动作进行防御。
需要说明的是,网络安全是一组动态对抗的过程,在对抗中攻击动作和防御动作都是需要持续,每次动作都有对应的指标,指标是一种多对多的关系,通过各类指标构造一个去中心化的模型模拟成一个清晰的攻击对抗图谱。攻击对抗图谱如图4所示。
需要说明的是,关联标签是将攻击指标与对应的防御指标建立攻防关系映射的标签,例如:主机端口22提供SSH服务,SSH服务可能存在OpenSSL漏洞,攻击者会利用此漏洞进行弱口令爆破,通过此攻击动作确定利用漏洞攻击的攻击指标,此时防御端(即网络安全设备)则需要根据对应的修复漏洞的防御指标修复OpenSSL漏洞达到防御的目的,其中,“漏洞”则为攻击指标与防御指标的关联标签。通常攻击指标与对应的防御指标存在多个关联标签。
可以理解的是,通过查询攻击对抗图谱,可以查询到与攻击指标存在关联关系防御指标,并且指标是一种多对多的关系,所以攻击指标可存在多个存在关联的防御指标,可以更加全面性的防御。例如:根据图4的攻击对抗图谱,在发现用户对外有对ip进行通信的行为,通过溯源应急事件恶意软件的类型从而确定高级持续性威胁攻击(AdvancedPersistent Threat,APT),通过捕获对应的APT样本进行分析,可以得到APT组织通过使用哪些漏洞和攻击手法针对哪种资产进行批量攻击,并通过防护方案去针对性的加固。
步骤S40:根据所述攻击指标确定所述当前访问动作的攻击者画像。
需要说明的是,通过对多个攻击动作样本的分析,根据攻击动作样本确定此攻击动作样本中包含的攻击指标,并且攻击动作样本中已知具体的攻击者组织,通过为攻击者组织设置对应的攻击指标从而获得此攻击者组织的预设攻击者画像,简而言之,攻击者画像是利用攻击指标描述攻击者的攻击指标集合。根据分析攻击动作样本可以提前建立攻击者画像库,当检测到未知的攻击动作时,可以利用攻击者画像库获知可能的攻击者组织。例如:通过APT样本进行分析,可以得到APT组织通过使用哪些漏洞和攻击手法针对哪种资产进行批量攻击,并通过防护方案去针对性的加固。在检测到未知APT攻击时,通过未知APT攻击的攻击指标获得最接近的攻击者画像,并根据相应的对抗方案进行对抗,也可以根据攻击者画像库判定发起未知APT攻击的APT组织。
步骤S50:根据所述防御指标确定防御动作;
可以理解的是,防御指标可对应多个防御动作,通过对攻击动作采用对应的防御动作进行防御,例如:攻击者利用开放端口进行突破,实现入侵,确定是“端口”防御指标,防御动作可以为关闭一些不必要但容易被攻击者利用的端口,可以提高主机的安全性。
步骤S60:根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。
需要说明的是,防御动作可以为预先设定的动作,针对不同的攻击动作采用对应的防御动作。并根据预设攻击者画像对应对抗方案与此当前访问动作进行对抗。例如:攻击者很可能会用到大量钓鱼攻击尝试拿到企业内部账号、身份信息;当攻击者进入内网后,会搜集和窃取企业内各种敏感凭证;当攻击者拿下了内网某一设备时,一定会尝试横向渗透,并尝试对内网主机进行远程命令执行,此时,根据对应防御动作去尽可能消耗掉有限的攻击资源,逼迫攻击者使用真实IP,便于网络安全设备对业务进行防御,并追溯到攻击者的身份,达到实时对抗的目的。
本实施例通过获取当前访问动作;根据所述当前访问动作确定攻击指标;根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱;根据所述攻击指标确定所述当前访问动作的攻击者画像;根据所述防御指标确定防御动作;根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。通过上述方式,可以快速确定网络攻击行为的原因,并且识别出攻击动作类型,并根据原因和动作类型快速确定防御手段,从而对攻击进行防御,极大地提高了用户的网络安全。
参考图6,图6为本发明一种网络攻击的对抗方法第二实施例的流程示意图。
基于上述第一实施例,本实施例网络攻击的对抗方法在所述步骤S10之前,还包括:
步骤S01:获取采样攻击动作以及对应的采样防御动作。
进一步地,步骤S01包括:获取网络攻防日志;根据所述网络攻防日志,将符合预设攻击方式的攻击动作作为采样攻击动作;根据所述网络攻防日志,将所述采样攻击行为对应防御行为作为采样防御动作。
需要说明的是,网络攻防日志可以为在网络安全设备上发生的攻击动作以及防御动作的信息记录,也可以由管理人员将现有的攻防动作的信息录入,攻击动作例如:利用弱口令漏洞获得初始权限。则相应的防御动作可为:改用更复杂的密码,推荐字母、数字、特殊符号组合,增加口令复杂度。
可以理解的是,符合预设攻击方式的攻击动作是指网络安全设备预设有现有网络攻击动作标准,当攻击行为满足网络攻击动作标准时,则可以分辨出是何种攻击动作,例如:当检测到木马程序作为电子邮件的附件时,则表明此为鱼叉攻击。然后从网络攻防日志中获取到鱼叉攻击对应的防御手段。可通过机器学习的方法,学习针对攻击动作进行的防御动作。
步骤S02:根据所述采样攻击动作确定攻击指标,根据所述采样防御动作确定防御指标。
进一步地,步骤S02包括:获取攻击流程以及防御流程;确定所述采样攻击动作对应的攻击流程,确定所述采样防御动作确定对应的防御流程;根据所述采样攻击动作以及对应的采样防御动作,建立所述攻击流程与所述防御流程的映射关系;根据所述映射关系确定攻击指标以及防御指标
需要说明的是,攻击流程包括:前期信息收集、获得初始权限、权限提升、通道构建、内部信息收集、横向移动、数据获取、痕迹处理。防御流程包括:资产梳理、安全意识、事前预防(持续监控)、事中检测、事中防御、事后溯源。例如:资产梳理流程包括内部接口人信息管理、网络拓扑管理等。攻击流程与防御流程如图5所示。
可以理解的是,攻击流程中的攻击动作对应有防御流程中的防御动作进行防御,根据攻防关系可以将攻击流程与防御流程建立多对多的映射关系,如图5所示。例如:在横向移动流程中攻击动作有漏洞利用,而在事中检测流程中防御动作有漏洞利用检测,则可以说明横向移动流程与事中检测流程具有映射关系。
在具体实现中,网络攻防日志中的攻击动作确定攻击的标准及类型,将攻击动作的标准及类型作为攻击指标。同时根据映射关系查找对应防御流程的防御动作,根据防御动作确定攻击标准及类型,将防御动作的标准及类型作为防御指标。同时攻击指标与防御指标也存在映射关系。
Figure GDA0003075868910000081
Figure GDA0003075868910000091
表1
步骤S03:将所述攻击指标以及所述防御指标进行聚类,确定聚类关系。
进一步地,步骤S03包括:将所述攻击指标与对应的防御指标进行融合,获得融合指标;将所述攻击指标、所述防御指标及所述融合指标进行聚类,获得聚类关系。
需要说明的是,将攻击指标与对应的防御指标进行融合是指,将具有映射关系的攻击指标与防御指标进行标准类型融合,得到融合指标,融合指标如表1所示。例如:将对端口进行的攻击指标与对端口进行防御的防御指标结合得到“端口”指标。
可以理解的是,聚类是指将具有同类关系的指标进行聚类,例如:口令、指纹、端口、地址指标可以聚类为资产聚类关系。
步骤S04:根据所述聚类关系以及关联标签,建立所述攻击指标及所述防御指标的攻击对抗图谱。
进一步地,步骤S04包括:确定所述融合指标的关联标签;将所述关联标签相同的融合指标建立关联关系;根据所述聚类关系以及所述关联关系,建立所述网络攻击指标及所述防御指标的攻击对抗图谱。
进一步地,确定所述融合指标的关联标签,包括:获取所述融合指标对应的防御指标以及对应的攻击指标;判定所述对应的防御指标以及所述对应的攻击指标的攻防基准;将所述攻防基准作为关联标签。
可以理解的是,攻防基准为攻击指标与防御指标的共同的攻防对象,例如:当攻击指标与防御指标的攻防对象为端口的漏洞时,即攻击者针对端口的漏洞进行攻击,防御者通过修复端口漏洞进行防御,此时攻防基准为“漏洞”。
需要说明的是,漏洞利用是指利用规则的漏洞进行攻击,则需要完善规则进行防御,则融合指标漏洞的攻防基准则为“规则”。融合指标的攻防基准可存在多个,所以融合指标的关联标签可存在多个。例如:防火墙中的访问控制列表可为规则,若访问控制列表规定任何满足userName=“admin"且IP=xx.xx.xx.xx且port=80或port=51的IP包允许通过,此条规则存在一个漏洞,若构造一个userName=""且port=51的IP包,就能绕过规则从而通过防火墙,则此为利用规则的漏洞。
可以理解的是,不同聚类的融合指标可存在同样的关联标签,通过使用聚类关系和关联标签建立攻击对抗图谱,可以建立更加完善的关联关系。
本实施例通过获取采样攻击动作以及对应的采样防御动作;根据所述采样攻击动作确定攻击指标,根据所述采样防御动作确定防御指标;将所述攻击指标以及所述防御指标进行聚类,确定聚类关系;根据所述聚类关系以及关联标签,建立所述攻击指标及所述防御指标的攻击对抗图谱。本实施例通过对已知的攻防动作确定攻击指标以及防御指标,可以通过攻击指标识别未知攻击动作,通过将攻击指标与防御指标进行融合得到融合指标,并进行聚类,可以针对攻击动作快速获得全面的防御动作。通过根据聚类关系以及关联标签建立攻击对抗图谱,可以对未知攻击动作生成更为全面的防御动作,提高了网络的安全性。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有网络攻击的对抗程序,所述网络攻击的对抗程序被处理器执行时实现如上文所述的网络攻击的对抗方法的步骤。
参照图7,图7为本发明网络攻击的对抗装置第一实施例的结构框图。
如图7所示,本发明实施例提出的网络攻击的对抗装置包括:
动作获取模块10,用于获取当前访问动作;
攻击确定模块20,用于根据所述当前访问动作确定攻击指标;
图谱查询模块30,用于根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱;
画像确定模块40,用于根据所述攻击指标确定所述当前访问动作的攻击者画像;
防御确定模块50,用于根据所述防御指标确定防御动作;
对抗模块60,用于根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。
本实施例通过获取当前访问动作;根据所述当前访问动作确定攻击指标;根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱;根据所述攻击指标确定所述当前访问动作的攻击者画像;根据所述防御指标确定防御动作;根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。通过上述方式,可以快速确定网络攻击行为的原因,并且识别出攻击动作类型,并根据原因和动作类型快速确定防御手段,从而对攻击进行防御,极大地提高了用户的网络安全。
在一实施例中,所述图谱查询模块30,还用于获取采样攻击动作以及对应的采样防御动作;根据所述采样攻击动作确定攻击指标,根据所述采样防御动作确定防御指标;将所述攻击指标以及所述防御指标进行聚类,确定聚类关系;根据所述聚类关系以及关联标签,建立所述攻击指标及所述防御指标的攻击对抗图谱。
在一实施例中,所述图谱查询模块30,还用于获取网络攻防日志;根据所述网络攻防日志,将符合预设攻击方式的攻击动作作为采样攻击动作;根据所述网络攻防日志,将所述采样攻击行为对应防御行为作为采样防御动作。
在一实施例中,所述图谱查询模块30,还用于获取攻击流程以及防御流程;确定所述采样攻击动作对应的攻击流程,确定所述采样防御动作确定对应的防御流程;根据所述采样攻击动作以及对应的采样防御动作,建立所述攻击流程与所述防御流程的映射关系;根据所述映射关系确定攻击指标以及防御指标。
在一实施例中,所述图谱查询模块30,还用于将所述攻击指标与对应的防御指标进行融合,获得融合指标;将所述攻击指标、所述防御指标及所述融合指标进行聚类,获得聚类关系。
在一实施例中,所述图谱查询模块30,还用于确定所述融合指标的关联标签;将所述关联标签相同的融合指标建立关联关系;根据所述聚类关系以及所述关联关系,建立所述网络攻击指标及所述防御指标的攻击对抗图谱。
在一实施例中,所述图谱查询模块30,还用于获取所述融合指标对应的防御指标以及对应的攻击指标;判定所述对应的防御指标以及所述对应的攻击指标的攻防基准;将所述攻防基准作为关联标签。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的网络攻击的对抗方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (7)

1.一种网络攻击的对抗方法,其特征在于,所述网络攻击的对抗方法包括:
获取采样攻击动作以及对应的采样防御动作;
根据所述采样攻击动作确定攻击指标,根据所述采样防御动作确定防御指标;
将所述攻击指标与对应的防御指标进行融合,获得融合指标;
将所述攻击指标、所述防御指标及所述融合指标进行聚类,获得聚类关系;
确定所述融合指标的关联标签;
将所述关联标签相同的融合指标建立关联关系;
根据所述聚类关系以及所述关联关系,建立所述网络攻击指标及所述防御指标的攻击对抗图谱;
获取当前访问动作;
根据所述当前访问动作确定攻击指标,所述攻击指标指的是识别系统或网络上潜在恶意活动的指标;
根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱,所述关联标签为将攻击指标与对应的防御指标建立攻防关系映射的标签;
根据所述攻击指标确定所述当前访问动作的攻击者画像;
根据所述防御指标确定防御动作;
根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗。
2.如权利要求1所述的网络攻击的对抗方法,其特征在于,所述获取采样攻击动作以及对应的采样防御动作,包括:
获取网络攻防日志;
根据所述网络攻防日志,将符合预设攻击方式的攻击动作作为采样攻击动作;
根据所述网络攻防日志,将所述采样攻击动作 对应防御行为作为采样防御动作。
3.如权利要求1所述的网络攻击的对抗方法,其特征在于,所述根据所述采样攻击动作确定攻击指标,根据所述采样防御动作确定防御指标,包括:
获取攻击流程以及防御流程;
确定所述采样攻击动作对应的攻击流程,确定所述采样防御动作确定对应的防御流程;
根据所述采样攻击动作以及对应的采样防御动作,建立所述攻击流程与所述防御流程的映射关系;
根据所述映射关系确定攻击指标以及防御指标。
4.如权利要求1所述的网络攻击的对抗方法,其特征在于,所述确定所述融合指标的关联标签,包括:
获取所述融合指标对应的防御指标以及对应的攻击指标;
判定所述对应的防御指标以及所述对应的攻击指标的攻防基准;
将所述攻防基准作为关联标签。
5.一种网络攻击的对抗装置,其特征在于,所述网络攻击的对抗装置包括:
动作获取模块,用于获取当前访问动作;
攻击确定模块,用于根据所述当前访问动作确定攻击指标,所述攻击指标指的是识别系统或网络上潜在恶意活动的指标;
图谱查询模块,用于根据所述攻击指标查询攻击对抗图谱,得到防御指标,其中,所述攻击对抗图谱为通过关联标签关联攻击指标与防御指标的图谱,所述关联标签为将攻击指标与对应的防御指标建立攻防关系映射的标签;
画像确定模块,用于根据所述攻击指标确定所述当前访问动作的攻击者画像;
防御确定模块,用于根据所述防御指标确定防御动作;
对抗模块,用于根据所述攻击者画像以及所述防御动作对所述当前访问动作进行对抗;
所述动作获取模块,还用于获取采样攻击动作以及对应的采样防御动作;根据所述采样攻击动作确定攻击指标,根据所述采样防御动作确定防御指标;将所述攻击指标以及所述防御指标进行聚类,确定聚类关系;根据所述聚类关系以及关联标签,建立所述攻击指标及所述防御指标的攻击对抗图谱;
所述动作获取模块,还用于将所述攻击指标与对应的防御指标进行融合,获得融合指标;将所述攻击指标、所述防御指标及所述融合指标进行聚类,获得聚类关系;
所述动作获取模块,还用于确定所述融合指标的关联标签;将所述关联标签相同的融合指标建立关联关系;根据所述聚类关系以及所述关联关系,建立所述网络攻击指标及所述防御指标的攻击对抗图谱。
6.一种网络攻击的对抗设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击的对抗程序,所述网络攻击的对抗程序配置为实现如权利要求1至4中任一项所述的网络攻击的对抗方法的步骤。
7.一种存储介质,其特征在于,所述存储介质上存储有网络攻击的对抗程序,所述网络攻击的对抗程序被处理器执行时实现如权利要求1至4任一项所述的网络攻击的对抗方法的步骤。
CN202110169837.9A 2021-02-07 2021-02-07 网络攻击的对抗方法、装置、设备及存储介质 Active CN113037713B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110169837.9A CN113037713B (zh) 2021-02-07 2021-02-07 网络攻击的对抗方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110169837.9A CN113037713B (zh) 2021-02-07 2021-02-07 网络攻击的对抗方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN113037713A CN113037713A (zh) 2021-06-25
CN113037713B true CN113037713B (zh) 2023-02-03

Family

ID=76460240

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110169837.9A Active CN113037713B (zh) 2021-02-07 2021-02-07 网络攻击的对抗方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN113037713B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113992435A (zh) * 2021-12-27 2022-01-28 北京微步在线科技有限公司 一种攻击检测溯源方法、装置及系统
CN114598507B (zh) * 2022-02-22 2023-06-30 烽台科技(北京)有限公司 攻击者画像生成方法、装置、终端设备及存储介质
CN115118500B (zh) * 2022-06-28 2023-11-07 深信服科技股份有限公司 攻击行为规则获取方法、装置及电子设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111163086A (zh) * 2019-12-27 2020-05-15 北京工业大学 一种多源异构的网络安全知识图谱构建与应用方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108259449B (zh) * 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统
US11455427B2 (en) * 2018-07-24 2022-09-27 Arizona Board Of Regents On Behalf Of Arizona State University Systems, methods, and apparatuses for implementing a privacy-preserving social media data outsourcing model
CN109302380B (zh) * 2018-08-15 2022-10-25 全球能源互联网研究院有限公司 一种安全防护设备联动防御策略智能决策方法及系统
CN111988285B (zh) * 2020-08-03 2023-04-14 中国电子科技集团公司第二十八研究所 一种基于行为画像的网络攻击溯源方法
CN111931173A (zh) * 2020-08-14 2020-11-13 广州纬通贸易有限公司 一种基于apt攻击意图的操作权限控制方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111163086A (zh) * 2019-12-27 2020-05-15 北京工业大学 一种多源异构的网络安全知识图谱构建与应用方法

Also Published As

Publication number Publication date
CN113037713A (zh) 2021-06-25

Similar Documents

Publication Publication Date Title
Arivudainambi et al. Malware traffic classification using principal component analysis and artificial neural network for extreme surveillance
US10230750B2 (en) Secure computing environment
CN113037713B (zh) 网络攻击的对抗方法、装置、设备及存储介质
Vukalović et al. Advanced persistent threats-detection and defense
CN101667232B (zh) 基于可信计算的终端可信保障系统与方法
Rakha Ensuring Cyber-security in Remote Workforce: Legal Implications and International Best Practices
Gonzalez-Granadillo et al. Selecting optimal countermeasures for attacks against critical systems using the attack volume model and the RORI index
Hatada et al. Empowering anti-malware research in Japan by sharing the MWS datasets
Flores et al. Bring your own disclosure: analysing BYOD threats to corporate information
CN113411297A (zh) 基于属性访问控制的态势感知防御方法及系统
Crawford et al. Insider threat detection using virtual machine introspection
CN115694928A (zh) 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法
Filiol et al. A method for automatic penetration testing and mitigation: A red hat approach
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
Elgohary et al. Detecting Mimikatz in Lateral Movements Using Windows API Call Sequence Analysis
CN113079182B (zh) 一种网络安全控制系统
Nallaperumal CyberSecurity Analytics to Combat Cyber Crimes
Hatada et al. Finding new varieties of malware with the classification of network behavior
CN106993005A (zh) 一种网络服务器的预警方法及系统
Egerton et al. Applying zero trust security principles to defence mechanisms against data exfiltration attacks
Sandhu et al. A study of the novel approaches used in intrusion detection and prevention systems
Gheorghică et al. A new framework for enhanced measurable cybersecurity in computer networks
Cahill Combatting Advanced Malware Designed to Evade Detection
Deepalakshmi et al. Application of artificial intelligence in cybersecurity: a detailed survey on intrusion detection systems
Droppa et al. Cyber security state in real environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant