CN113055386B - 一种攻击组织的识别分析方法和装置 - Google Patents
一种攻击组织的识别分析方法和装置 Download PDFInfo
- Publication number
- CN113055386B CN113055386B CN202110272294.3A CN202110272294A CN113055386B CN 113055386 B CN113055386 B CN 113055386B CN 202110272294 A CN202110272294 A CN 202110272294A CN 113055386 B CN113055386 B CN 113055386B
- Authority
- CN
- China
- Prior art keywords
- information
- attack
- virtual identity
- organization
- attack organization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/285—Clustering or classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/288—Entity relationship models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明涉及一种攻击组织的识别分析方法和装置,该识别分析方法,包括:从监控的威胁情报数据中抽取待识别的关键特征语料;其中,威胁情报数据包括多个攻击组织成员的真实身份信息;对待识别的关键特征语料进行识别,得到至少一个攻击组织;从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息;基于提取得到的虚拟身份信息和威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系;针对识别出的每一个攻击组织,从威胁情报数据和网络身份数据中获得该攻击组织的属性标签,并生成该攻击组织的攻击画像。本发明的方案能够提高攻击组织的识别分析的效率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及攻击组织的识别分析方法、装置和计算机可读介质。
背景技术
近些年来,网络攻击组织给我国造成了严重的损害。攻击组织从攻击开始到达成目的,有的甚至可能潜伏长达数年,对攻击组织的未知导致人们在面临攻击时的茫然无措。因此,对攻击组织的识别分析显得十分必要。
目前,国内对于攻击组织的识别分析尚存在较大缺口,通常采用各种信息采集和主动探测手段,获取网络空间大规模的多源数据资源,然后利用有经验的技术人员对其进行进一步识别分析。因此,目前对攻击组织的识别分析的效率不高。
因此,针对以上不足,需要提供一种攻击组织的识别分析方法和装置。
发明内容
本发明要解决的技术问题在于攻击组织的识别分析的效率不高,针对现有技术中的缺陷,提供一种攻击组织的识别分析方法和装置。
为了解决上述技术问题,本发明提供了一种攻击组织的识别分析方法,包括:
从监控的威胁情报数据中抽取待识别的关键特征语料;其中,所述威胁情报数据包括多个攻击组织成员的真实身份信息;
对待识别的关键特征语料进行识别,得到至少一个攻击组织;其中,每一个攻击组织均包括至少两个攻击组织成员;
从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息;
基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系;其中,所述目标虚拟身份用户是从多个虚拟身份用户中确定出的;
针对识别出的每一个攻击组织,从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签,并生成该攻击组织的攻击画像,以根据生成的攻击画像对各攻击组织进行态势分析。
在一种可能的实现方式中,所述对待识别的关键特征语料进行识别,得到至少一个攻击组织,包括:将待识别的关键特征语料与预先构建好的特征语料库进行匹配,得到至少一个攻击组织;
其中,预先构建好的特征语料库是通过如下方式进行构建的:
从已知的威胁情报数据中抽取关键特征语料;其中,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同;
基于抽取得到的关键特征语料,构建特征语料库。
在一种可能的实现方式中,所述对待识别的关键特征语料进行识别,得到至少一个攻击组织,包括:将待识别的关键特征语料作为输入参数输入到预先构建好的神经网络分类模型中,得到至少一个攻击组织;
其中,预先构建好的神经网络分类模型是通过如下方式进行构建的:
从已知的威胁情报数据中抽取关键特征语料;其中,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同;
对抽取得到的关键特征语料进行标注,将关键特征语料及其标注作为训练集,对堆叠式自编码神经网络进行训练,以构建出神经网络分类模型。
在一种可能的实现方式中,所述基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系,包括:
按照预设的第一属性类别对提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息进行信息提取,并生成各虚拟身份用户和各攻击组织成员分别对应的第一分类向量集;
针对每一个攻击组织成员,均执行如下操作:
对生成的各虚拟身份用户和该攻击组织成员分别对应的第一分类向量集进行相似度计算,得到各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值;
对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第一相似度阈值,如果是,则将该虚拟身份用户作为目标虚拟身份用户,并建立该攻击组织成员和所述目标虚拟身份用户的关联关系。
在一种可能的实现方式中,在所述建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系之后和在所述从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签之前,进一步包括:
基于提取得到的虚拟身份信息,建立识别出的攻击组织中各虚拟身份用户的关联关系。
在一种可能的实现方式中,所述基于提取得到的虚拟身份信息,建立识别出的攻击组织中各虚拟身份用户的关联关系,包括:
按照预设的第二属性类别对提取得到的虚拟身份信息进行信息提取,并生成各虚拟身份用户对应的第二分类向量集;
针对任意两个虚拟身份用户,对该两个虚拟身份用户对应的第二分类向量集进行相似度计算,得到该两个虚拟身份用户针对每一个第二属性类别的相似度值;
对得到的该两个虚拟身份用户针对每一个第二属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第二相似度阈值,如果是,则建立该两个虚拟身份用户的关联关系。
在一种可能的实现方式中,所述属性标签包括定量标签和定性标签;
所述从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签,包括:
从所述威胁情报数据和所述网络身份数据中,根据预设的第一匹配规则获得该攻击组织的定量标签;
基于获得的该攻击组织的定量标签,根据预设的第二匹配规则获得该攻击组织的定性标签。
本发明还提供了一种攻击组织的识别分析装置,包括:
关键特征语料抽取模块,用于从监控的威胁情报数据中抽取待识别的关键特征语料;其中,所述威胁情报数据包括多个攻击组织成员的真实身份信息;
攻击组织识别模块,用于对待识别的关键特征语料进行识别,得到至少一个攻击组织;其中,每一个攻击组织均包括至少两个攻击组织成员;
虚拟身份信息提取模块,用于从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息;
第一关联关系建立模块,用于基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系;其中,所述目标虚拟身份用户是从多个虚拟身份用户中确定出的;
攻击画像生成模块,用于针对识别出的每一个攻击组织,从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签,并生成该攻击组织的攻击画像,以根据生成的攻击画像对各攻击组织进行态势分析。
本发明还提供了一种攻击组织的识别分析装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行如上述所述的方法。
本发明还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行如上述所述的方法。
实施本发明的攻击组织的识别分析方法和装置,具有以下有益效果:
通过对从监控的威胁情报数据中抽取的待识别的关键特征语料进行识别,有利于快速识别出攻击组织;然后再通过从不同网络平台的网络身份数据中提取的多个虚拟身份用户的虚拟身份信息和威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系,使得得到的攻击组织的攻击组织成员的身份信息更加全面,便于发现重要攻击组织存在的属性特征、关联关系、网络状态等综合信息;最后通过从威胁情报数据和网络身份数据中获得的每一个攻击组织的属性标签,可以生成攻击组织的攻击画像,以利于根据生成的攻击画像对各攻击组织进行态势分析。综上,上述技术方案可以提高攻击组织的识别分析的效率。
附图说明
图1是本发明一个实施例提供的攻击组织的识别分析方法的流程图;
图2是本发明另一个实施例提供的攻击组织的识别分析方法的流程图;
图3是本发明一个实施例提供的攻击组织的识别分析装置所在设备的示意图;
图4是本发明一个实施例提供的攻击组织的识别分析装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如背景技术所述,目前,国内对于攻击组织的识别分析尚存在较大缺口,通常采用各种信息采集和主动探测手段,获取网络空间大规模的多源数据资源,但尚未形成对攻击组织进行自动属性挖掘、识别判定的系统能力,未能满足情报支撑网络空间作战的长效机制。
具体而言,发明人通过深入地调研分析总结出以下原因:1)情报数据具备多源异构的特点,由于数据来源与数据结构多样丰富,不利于对数据做统一化处理,且存在数据转化失败或关键特征语料提取失败等多种情况,导致攻击组织识别困难;2)以往的身份关联工作主要以同一现实人的多个虚拟身份关联为主,忽略了社交媒体平台中虚拟身份与实体人物之间的对应关系研究,且单一匹配某一方面特征过于片面,未必能全面反映真实的关联关系,不利于攻击组织成员身份关联分析;3)攻击组织的识别分析不再只是简单的追踪IP地址,而应通过其社会关系、行为、攻击能力等属性信息对其多层次、多维度地构建画像,从而有助于网络安全分析人员采取主动的防范措施。上述三个原因导致了对攻击组织的识别分析的效率低,因此,本发明主要针对上述存在的三个问题进行研究并解决。
下面描述本发明所提供构思的具体实现方式。
图1示出根据一个实施例的攻击组织的识别分析方法的流程图。可以理解,该方法可以通过任何具有计算、处理能力的装置、设备、平台、设备集群来执行。
参见图1,该方法包括:
步骤101:从监控的威胁情报数据中抽取待识别的关键特征语料。
在步骤101中,威胁情报数据包括多个攻击组织成员的真实身份信息。真实身份信息包括但不限于:姓名、性别、国家地区、教育信息、工作信息、社保信息、家庭成员、住址、消费、邮件、电话、短信等信息。
威胁情报数据可以通过对如下数据类型进行监控获得:公共情报、行业或联盟、黑客组织/社区跟踪、网络数据、恶意代码分析、第三方APT报告,安全防护产品自身流量侧、端点侧、蜜罐等产生的报警、预警信息以及内部威胁情报。
在一些实施方式中,可以先对监控的威胁情报数据进行结构化处理,以初步筛选得到的结构化文本数据;然后利用TF-IDF算法从筛选得到的结构化文本数据中抽取待识别的关键特征语料。
虽然TF-IDF算法对关键特征语料的抽取流程简单且算法可靠性也较高,但是该算法也存在没有考虑文档中词语不完整分类、忽略特征词之间的分布信息、没有计算词语信息熵及词语之间的相对熵、忽略词语的位置信息等不足之处,如此会导致关键特征语料抽取的准确度不高。
为解决该问题,可以考虑使用信息论中的信息熵及相对熵作为计算因子,加入到TF-IDF算法中。针对传统算法中简单依赖词频计算词语权重及未考虑词语在不同文档的分布不同对其权重的影响,将词语的信息熵和相对熵计入词语的权重;针对传统算法忽略了文本的首句和尾句为总结性语句在全文中的重要地位,本发明引入基于词语位置信息的权重因子为首句和尾句中的词语赋予更高权重,提升关键字抽取算法的准确率。
步骤102:对待识别的关键特征语料进行识别,得到至少一个攻击组织。
在步骤102中,每一个攻击组织均包括至少两个攻击组织成员。
具体可以通过如下方式实现步骤102的技术方案。
在一些可选的实施方式中,将待识别的关键特征语料与预先构建好的特征语料库进行匹配,得到至少一个攻击组织;
其中,预先构建好的特征语料库是通过如下方式进行构建的:
从已知的威胁情报数据中抽取关键特征语料;其中,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同;
基于抽取得到的关键特征语料,构建特征语料库。
在本实施方式中,特征语料库的构建依托于已知的海量威胁情报数据,通过关键词抽取,结合人工分析研判,把大量异构的已经归一化的数据信息转化为具有各类重点目标特征属性的关键特征语料,即将大量结构和内容都有巨大差异的数据分类问题,转变成一种依托关键特征语料的匹配问题。此外,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同,可以保证特征语料匹配的准确度更高。当然,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式也可以不相同。
具体实现时,根据输入的未知威胁情报数据抽取待识别的关键特征语料,在预先构建好的特征语料库中进行模板语料数据匹配,查找与该待识别的关键特征语料匹配的特征语料。如果特征语料库中存在匹配的特征语料,则从特征语料库中加载相应攻击组织名称(例如海莲花);如果特征语料库中不存在匹配的特征语料,则可以考虑将该待识别的关键特征语料执行进一步的深入识别(例如可以考虑输入到神经网络分类模型中)。
在另一些可选的实施方式中,将待识别的关键特征语料作为输入参数输入到预先构建好的神经网络分类模型中,得到至少一个攻击组织;
其中,预先构建好的神经网络分类模型是通过如下方式进行构建的:
从已知的威胁情报数据中抽取关键特征语料;其中,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同;
对抽取得到的关键特征语料进行标注,将关键特征语料及其标注作为训练集,对堆叠式自编码神经网络进行训练,以构建出神经网络分类模型。
可以理解的是,该实施方式可以是上一实施方式的进一步处理的技术方案,也可以和上一实施方式为并列的技术方案,在此不进行具体限定。
经过利用预先构建好的特征语料库进行初步目标识别,识别出具有鲜明目标特征的目标类别。但是对于多数情报信息而言,并不一定容易与目标的典型特征匹配。初步筛选只是完成少量的筛选任务,如果要完成更广泛的筛选,需要借助智能的识别模型,本实施方式基于经典神经网络学习模型构建了堆叠式自编码神经网络分类模型,用于未知目标的识别。
具体实现时,可以结合基于栈式自编码的神经网络构造深度神经网络模型,将多个稀疏自编码器堆叠形成深层结构,并在输出层构造一个多节点的罗杰斯特回归分类网络。这种结构在编码层具有强大的特征表达能力,并可以在编码阶段利用无标记语料进行无监督预训练,使接近分类器的隐层输入能够更好地表征原始数据的潜在特征。
在基于神经网络的文本分类算法中,首先是将文本字符转化成计算机可以识别的语言,然后进行特征化表示,最后选择一个合适的神经网络模型基于特征数据集来进行分类。本发明构造一个堆叠式多层自编码网络,来对原始输入数据进行自监督式的特征学习。利用深度学习中逐层训练的思路,在对输入特征进行维度放缩后,再作为分类网络的输入,最后计算出分类概率,进而得到攻击组织识别结果。
在进行模型训练时,可以运用TF-IDF算法抽取重点目标文本中特征关键特征语料,这些关键特征语料经过人工筛选和标注,作为训练数据集训练基于栈式自编码的深度神经网络模型,得到攻击组织识别模型。将待识别的数据抽取关键语料,输入训练好的模型中,输出即为攻击组织识别结果,若输出不是直接的分类结果,则需要运用专家经验进行进一步识别。
由于情报数据来源的多样性和丰富性,对于非结构化或者半结构化数据转化为结构化数据失败的情况,或是对于关键特征语料提取失败的情况,基于特征语料库和基于上述神经网络模型,进行攻击组织识别会失效。因此,在自动识别失效的情况下,可以结合专家的先验知识进行人工辅助识别是必要的。
基于人工的先验知识分类并识别攻击组织具有较高的准确率,借助领域专家的专业技能对数据进行处理,对于特定目标的数据,结合分析人员专业的领域知识体系结构,利用专家的智慧对自动识别失效的数据进行深入研判分析,准确识别攻击组织。
最后,将专家的识别结果及识别依据存入特征语料库中,建立更丰富的特征语料库。
在获得至少一个攻击组织的识别结果后,为使得到的攻击组织的攻击组织成员的身份信息更加全面,便于发现重要攻击组织存在的属性特征、关联关系、网络状态等综合信息,可以考虑对各攻击组织中的每一个攻击组织成员的身份进行关联分析。其中,身份关联分析可以包括真实身份和虚拟身份的关联分析以及虚拟身份和虚拟身份的关联分析。
步骤103:从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息。
现实社会的真实身份较稳定,网络空间的虚拟身份则带有灵活多变的特点。建立起现实社会与网络空间的身份关联,可以有效地辅助潜在攻击组织成员关系挖掘、攻击组织识别分析等工作。
在步骤103中,虚拟身份信息包括但不限于:社交账号、论坛账号、电子邮箱等信息。
需要说明的是,在此对步骤103的虚拟身份信息的提取方式不进行具体限定,只要能够实现从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息的提取方式均可,例如结构化文本处理方式。
步骤104:基于提取得到的虚拟身份信息和威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系。
在步骤104中,目标虚拟身份用户是从多个虚拟身份用户中确定出的。
需要说明的是,虚拟身份信息可以包括如下三种类型的信息,分别为:节点信息、文本信息和社交信息。
对于节点信息而言,在虚拟社交网络中,节点代表用户。节点信息包括但不限于:用户名、性别、职业、地址、生日、邮箱和学历。对于文本信息而言,在虚拟社交网络中,通过动态文本信息提取出用户的兴趣喜好和情绪状态等,同时记录文本中是否有经常@的对象。对于社交信息而言,在虚拟社交网络中,社交信息包括用户的关注和粉丝等好友信息,还包括用户的评论、@和转发等互动信息。
真实身份信息可以包括如下三种类型的信息,分别为:背景信息、兴趣信息和关系信息。
对于背景信息而言,背景信息包括但不限于:姓名、性别、出生日期、身份证号、家庭地址、电话号、教育和工作经历等;目标人员能力包括但不限于:文化水平、英语水平及计算机操作能力等级。对于兴趣信息而言,兴趣信息包括但不限于:音乐、体育、电影、军事、动漫、明星、美食和宠物。以此分析人物性格与偏好。对于关系信息而言,关系信息包括但不限于:情侣、配偶、父母、子女、兄弟、同学、老师、室友和同事。
在对真实身份和虚拟身份进行关联分析时,具体针对“节点信息-背景信息”、“文本信息-兴趣信息”和“社交信息-关系信息”三种分析角度,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系。
在具体实现时,步骤104具体包括如下步骤:
步骤一、按照预设的第一属性类别对提取得到的虚拟身份信息和威胁情报数据包括的真实身份信息进行信息提取,并生成各虚拟身份用户和各攻击组织成员分别对应的第一分类向量集。
步骤二、针对每一个攻击组织成员,均执行如下操作:
对生成的各虚拟身份用户和该攻击组织成员分别对应的第一分类向量集进行相似度计算,得到各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值;
对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第一相似度阈值,如果是,则将该虚拟身份用户作为目标虚拟身份用户,并建立该攻击组织成员和目标虚拟身份用户的关联关系。
在本实施例中,通过建立社交媒体平台中虚拟身份与实体人物之间的对应关系,进而完善攻击组织的攻击组织成员信息,以利于发现攻击组织的属性特征和关联关系等。
在步骤一中,第一属性类别即为“节点信息-背景信息”、“文本信息-兴趣信息”和“社交信息-关系信息”三种属性类别。例如,可以利用节点信息提取规则、文本信息提取规则和社交信息提取规则对虚拟身份信息进行提取,以分别提取出节点信息、文本信息和社交信息。同理,可以利用背景信息提取规则、兴趣信息提取规则和关系信息提取规则对真实身份信息进行提取,以分别提取出背景信息、兴趣信息和关系信息。在此对上述各信息提取规则不进行具体限定,只要能够实现各信息的提取即可。
提取出的信息为结构化信息,可以进一步形成第一分类向量集,从而方便根据形成的第一分类向量集确定各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值。
在步骤二中,通过对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算可以得到一个虚拟身份用户和该攻击组织成员的最终的相似度值,再根据该最终的相似度值可以确定该虚拟身份用户和该攻击组织成员能否进行关联。
虽然上述技术方案可以将攻击组织中各攻击组织成员和目标虚拟身份用户进行关联,但是仍然可能存在一些虚拟身份用户实际上为该攻击组织成员的虚拟身份,但是未被上述技术方案进行识别或关联,从而导致攻击组织中各攻击组织成员的信息并不是很全面。
为了进一步丰富攻击组织中各攻击组织成员的信息,可以再基于提取到的虚拟身份信息,建立虚拟身份用户之间的关联,即至少两个虚拟身份用户实则对应于一个实体人物。
在一些实施方式中,基于提取得到的虚拟身份信息,建立识别出的攻击组织中各虚拟身份用户的关联关系。
在具体实现该实施方式时,具体可以包括如下步骤:
按照预设的第二属性类别对提取得到的虚拟身份信息进行信息提取,并生成各虚拟身份用户对应的第二分类向量集;
针对任意两个虚拟身份用户,对该两个虚拟身份用户对应的第二分类向量集进行相似度计算,得到该两个虚拟身份用户针对每一个第二属性类别的相似度值;
对得到的该两个虚拟身份用户针对每一个第二属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第二相似度阈值,如果是,则建立该两个虚拟身份用户的关联关系。
在该实施方式中,通过计算各虚拟身份用户对应的第二分类向量集的相似度值,然后根据加权计算后的相似度值可以确定两个虚拟身份用户的关联关系。
可以理解的是,一个实体人物(即攻击组织成员)可以对应于不同网络平台的虚拟身份用户(例如用户A拥有微博账号a1、微信账号a2和知乎账号a3等多个虚拟身份用户),也可以对应于相同网络平台的虚拟身份用户(例如用户B拥有至少两个微信账号b1、b2的虚拟身份用户)。
步骤105:针对识别出的每一个攻击组织,从威胁情报数据和网络身份数据中获得该攻击组织的属性标签,并生成该攻击组织的攻击画像。
在步骤105中,通过生成各攻击组织的攻击画像,可以根据生成的攻击画像对各攻击组织进行态势分析。也就是说,有效的攻击组织画像可以帮助分析人员多方位了解攻击组织,进而采取有效措施维护网络安全,尽可能地降低因攻击造成的损失。
在具体实现步骤105的技术方案时,属性标签包括定量标签和定性标签;
从威胁情报数据和网络身份数据中获得该攻击组织的属性标签,包括:
从威胁情报数据和网络身份数据中,根据预设的第一匹配规则获得该攻击组织的定量标签;
基于获得的该攻击组织的定量标签,根据预设的第二匹配规则获得该攻击组织的定性标签。
在该实施例中,有些属性标签的确定较为简单,因此可以利用攻击场景业务规则(即第一匹配规则)获得该攻击组织的定量标签;然而,有些属性标签的确定不能通过简单的攻击场景业务规则直接确定,而是需要在确定出定量标签后,再结合进一步的匹配规则(即第二匹配规则)确定出定性标签。
在此对第一匹配规则和第二匹配规则不进行具体限定。
下面举例说明攻击画像的生成过程。
攻击画像的原始数据(即威胁情报数据和网络身份数据)来自于对攻击组织所存储的其注册信息、行为信息和关联内容信息等。原始数据是指与攻击相关的完整数据信息,表征信息比较繁杂,具有真实完整的特点。
在得到有效的原始数据后,需要将初始数据进行结构化等筛选梳理工作,并根据攻击场景业务规则(即第一匹配规则),提取出具有代表性的攻击特征,得到攻击组织的各属性信息,再对各属性信息打标签,生成攻击画像。要构建出全面细致的攻击画像,需要从不同的维度去刻画攻击组织。本发明将攻击组织的各属性信息划分为四个维度进行构建,分别为个人属性、攻击行为属性、攻击能力属性和其他属性。
■个人属性
攻击组织成员的个人属性可以理解为相对静态的人口属性,个人属性能够描述攻击组织成员的基本信息全貌,进而了解攻击组织成员的基础特征。本发明构建的个人属性标签有以下维度,如表1所示。
表1个人属性标签
■行为属性
结合攻击组织成员的工作习惯和社交特征为其设计行为属性标签,以帮助分析人员了解攻击组织成员的行为特征。本发明提供的行为属性标签如表2所示。
表2行为属性标签
■攻击能力属性
从攻击能力维度挖掘攻击组织,能够帮助分析人员更加明晰地了解攻击组织偏好,进而分析其所擅长领域与技术,本发明构建的攻击能力标签体系如表3所示。
表3攻击能力属性标签
■其他属性
攻击组织成员的社交属性通过其好友关系、社交影响力和组群特征来表现。核心影响因素包括攻击组织成员的网页访问活跃程度、攻击组织成员关注的其他用户、参与的评论点赞以及兴趣专栏等。通过了解攻击组织成员的社交属性可以分析出其社交影响力以及受影响程度,进而有针对性地采取差异化的分析手段,构建更全面的攻击组织画像。
攻击组织成员的兴趣属性反映了其喜好兴趣点,本发明将通过攻击组织成员的显性兴趣和隐性兴趣挖掘攻击组织成员的整体兴趣程度,进而了解和发现攻击组织的需求。
上述攻击画像的标签体系主要是对定量标签的表述,而定性标签的确定则需要在确定出定量标签之后,通过第二匹配规则进行确定,例如如表4所示。
表4定性标签确定规则
其中,“漏洞利用、鱼叉式网络钓鱼、社会工程学、利用脚本、C2域名伪装、使用装备shellcode、使用装备FileCrypt Manger和攻击意图窃取敏感数据”均为攻击能力属性标签,“国籍”为个人属性标签,“a、b、c、d、e、f、g和h”均为权重系数,“D和E”均为预设的数值、“潜在黑客和潜在印度黑客”均为定性标签。
在完成攻击画像的构建之后,还可以对各属性标签赋予权重,从而构建出形象准确的攻击组织的攻击画像。计算权重之后,本发明将采用反正切函数转换来对权重做归一化处理,最终将其取值范围映射到[0,1]。
上述构建出的攻击画像可实现可视化检索,例如输入攻击组织的名称,输出的内容包括但不限于该攻击组织的基本信息、动态变化情况、威胁度评级、画像信息丰富程度、重点目标价值得分。通过对海量攻击组织数据及相关线索进行多维度的高效搜索和研判,为攻击组织的态势分析提供相关线索。
可见,在上述图1所示过程中,通过对从监控的威胁情报数据中抽取的待识别的关键特征语料进行识别,有利于快速识别出攻击组织;然后再通过从不同网络平台的网络身份数据中提取的多个虚拟身份用户的虚拟身份信息和威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系,使得得到的攻击组织的攻击组织成员的身份信息更加全面,便于发现重要攻击组织存在的属性特征、关联关系、网络状态等综合信息;最后通过从威胁情报数据和网络身份数据中获得的每一个攻击组织的属性标签,可以生成攻击组织的攻击画像,以利于根据生成的攻击画像对各攻击组织进行态势分析。综上,上述技术方案可以提高攻击组织的识别分析的效率。
图2示出根据另一个实施例的攻击组织的识别分析方法的流程图。参见图2,该方法包括:
步骤201:从监控的威胁情报数据中抽取待识别的关键特征语料。
步骤202:将待识别的关键特征语料与预先构建好的特征语料库进行匹配,得到至少一个攻击组织。
步骤203:将待识别的关键特征语料作为输入参数输入到预先构建好的神经网络分类模型中,得到至少一个攻击组织。
步骤204:按照预设的第一属性类别对提取得到的虚拟身份信息和威胁情报数据包括的真实身份信息进行信息提取,并生成各虚拟身份用户和各攻击组织成员分别对应的第一分类向量集。
步骤205:针对每一个攻击组织成员,均执行如下操作:对生成的各虚拟身份用户和该攻击组织成员分别对应的第一分类向量集进行相似度计算,得到各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值;对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算;判断加权计算得到的相似度值是否大于预设的第一相似度阈值,如果是,则将该虚拟身份用户作为目标虚拟身份用户,并建立该攻击组织成员和目标虚拟身份用户的关联关系。
步骤206:基于提取得到的虚拟身份信息,建立识别出的攻击组织中各虚拟身份用户的关联关系。
步骤207:针对识别出的每一个攻击组织,从威胁情报数据和网络身份数据中获得该攻击组织的属性标签,并生成该攻击组织的攻击画像。
如图3和图4所示,本发明实施例提供了一种攻击组织的识别分析装置所在的设备和攻击组织的识别分析装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的攻击组织的识别分析装置所在设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。
如图4所示,本实施例提供的攻击组织的识别分析装置,包括:
关键特征语料抽取模块401,用于从监控的威胁情报数据中抽取待识别的关键特征语料;其中,威胁情报数据包括多个攻击组织成员的真实身份信息;
攻击组织识别模块402,用于对待识别的关键特征语料进行识别,得到至少一个攻击组织;其中,每一个攻击组织均包括至少两个攻击组织成员;
虚拟身份信息提取模块403,用于从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息;
第一关联关系建立模块404,用于基于提取得到的虚拟身份信息和威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系;其中,目标虚拟身份用户是从多个虚拟身份用户中确定出的;
攻击画像生成模块405,用于针对识别出的每一个攻击组织,从威胁情报数据和网络身份数据中获得该攻击组织的属性标签,并生成该攻击组织的攻击画像,以根据生成的攻击画像对各攻击组织进行态势分析。
在本发明实施例中,关键特征语料抽取模块401可用于执行上述方法实施例中的步骤101,攻击组织识别模块402可用于执行上述方法实施例中的步骤102,虚拟身份信息提取模块403可用于执行上述方法实施例中的步骤103,第一关联关系建立模块404可用于执行上述方法实施例中的步骤104,攻击画像生成模块405可用于执行上述方法实施例中的步骤105。
在本发明的一个实施例中,攻击组织识别模块402,用于执行如下操作:将待识别的关键特征语料与预先构建好的特征语料库进行匹配,得到至少一个攻击组织;
其中,预先构建好的特征语料库是通过如下方式进行构建的:
从已知的威胁情报数据中抽取关键特征语料;其中,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同;
基于抽取得到的关键特征语料,构建特征语料库。
在本发明的一个实施例中,攻击组织识别模块402,用于执行如下操作:将待识别的关键特征语料作为输入参数输入到预先构建好的神经网络分类模型中,得到至少一个攻击组织;
其中,预先构建好的神经网络分类模型是通过如下方式进行构建的:
从已知的威胁情报数据中抽取关键特征语料;其中,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同;
对抽取得到的关键特征语料进行标注,将关键特征语料及其标注作为训练集,对堆叠式自编码神经网络进行训练,以构建出神经网络分类模型。
在本发明的一个实施例中,第一关联关系建立模块404,用于执行如下操作:
按照预设的第一属性类别对提取得到的虚拟身份信息和威胁情报数据包括的真实身份信息进行信息提取,并生成各虚拟身份用户和各攻击组织成员分别对应的第一分类向量集;
针对每一个攻击组织成员,均执行如下操作:
对生成的各虚拟身份用户和该攻击组织成员分别对应的第一分类向量集进行相似度计算,得到各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值;
对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第一相似度阈值,如果是,则将该虚拟身份用户作为目标虚拟身份用户,并建立该攻击组织成员和目标虚拟身份用户的关联关系。
在本发明的一个实施例中,进一步包括:第二关联关系建立模块;
第二关联关系建立模块,用于基于提取得到的虚拟身份信息,建立识别出的攻击组织中各虚拟身份用户的关联关系。
在本发明的一个实施例中,第二关联关系建立模块,用于执行如下操作:
按照预设的第二属性类别对提取得到的虚拟身份信息进行信息提取,并生成各虚拟身份用户对应的第二分类向量集;
针对任意两个虚拟身份用户,对该两个虚拟身份用户对应的第二分类向量集进行相似度计算,得到该两个虚拟身份用户针对每一个第二属性类别的相似度值;
对得到的该两个虚拟身份用户针对每一个第二属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第二相似度阈值,如果是,则建立该两个虚拟身份用户的关联关系。
在本发明的一个实施例中,属性标签包括定量标签和定性标签;
攻击画像生成模块405在执行从威胁情报数据和网络身份数据中获得该攻击组织的属性标签时,用于执行如下操作:
从威胁情报数据和网络身份数据中,根据预设的第一匹配规则获得该攻击组织的定量标签;
基于获得的该攻击组织的定量标签,根据预设的第二匹配规则获得该攻击组织的定性标签。
可以理解的是,本发明实施例示意的结构并不构成对攻击组织的识别分析装置的具体限定。在本发明的另一些实施例中,攻击组织的识别分析装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种攻击组织的识别分析装置,包括:至少一个存储器和至少一个处理器;
至少一个存储器,用于存储机器可读程序;
至少一个处理器,用于调用机器可读程序,执行本发明任一实施例中的攻击组织的识别分析方法。
本发明实施例还提供了一种计算机可读介质,存储用于使一计算机执行如本文的攻击组织的识别分析方法的指令。具体地,可以提供配有存储介质的方法或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该方法或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作方法等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修复,或者对其中部分技术特征进行等同替换;而这些修复或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种攻击组织的识别分析方法,其特征在于,包括:
从监控的威胁情报数据中抽取待识别的关键特征语料;其中,所述威胁情报数据包括多个攻击组织成员的真实身份信息;
对待识别的关键特征语料进行识别,得到至少一个攻击组织;其中,每一个攻击组织均包括至少两个攻击组织成员;
从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息;
基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系;其中,所述目标虚拟身份用户是从多个虚拟身份用户中确定出的;
针对识别出的每一个攻击组织,从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签,并生成该攻击组织的攻击画像,以根据生成的攻击画像对各攻击组织进行态势分析;
所述基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系,包括:
按照预设的第一属性类别对提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息进行信息提取,并生成各虚拟身份用户和各攻击组织成员分别对应的第一分类向量集;其中,所述第一属性类别包括“节点信息-背景信息”、“文本信息-兴趣信息”和“社交信息-关系信息”,所述虚拟身份信息包括节点信息、文本信息和社交信息,所述真实身份信息包括背景信息、兴趣信息和关系信息;
针对每一个攻击组织成员,均执行如下操作:
对生成的各虚拟身份用户和该攻击组织成员分别对应的第一分类向量集进行相似度计算,得到各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值;
对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第一相似度阈值,如果是,则将该虚拟身份用户作为目标虚拟身份用户,并建立该攻击组织成员和所述目标虚拟身份用户的关联关系;
在所述建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系之后和在所述从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签之前,进一步包括:
基于提取得到的虚拟身份信息,建立识别出的攻击组织中各虚拟身份用户的关联关系;
所述基于提取得到的虚拟身份信息,建立识别出的攻击组织中各虚拟身份用户的关联关系,包括:
按照预设的第二属性类别对提取得到的虚拟身份信息进行信息提取,并生成各虚拟身份用户对应的第二分类向量集;
针对任意两个虚拟身份用户,对该两个虚拟身份用户对应的第二分类向量集进行相似度计算,得到该两个虚拟身份用户针对每一个第二属性类别的相似度值;
对得到的该两个虚拟身份用户针对每一个第二属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第二相似度阈值,如果是,则建立该两个虚拟身份用户的关联关系。
2.根据权利要求1所述的方法,其特征在于,所述对待识别的关键特征语料进行识别,得到至少一个攻击组织,包括:将待识别的关键特征语料与预先构建好的特征语料库进行匹配,得到至少一个攻击组织;
其中,预先构建好的特征语料库是通过如下方式进行构建的:
从已知的威胁情报数据中抽取关键特征语料;其中,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同;
基于抽取得到的关键特征语料,构建特征语料库。
3.根据权利要求1所述的方法,其特征在于,所述对待识别的关键特征语料进行识别,得到至少一个攻击组织,包括:将待识别的关键特征语料作为输入参数输入到预先构建好的神经网络分类模型中,得到至少一个攻击组织;
其中,预先构建好的神经网络分类模型是通过如下方式进行构建的:
从已知的威胁情报数据中抽取关键特征语料;其中,针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同;
对抽取得到的关键特征语料进行标注,将关键特征语料及其标注作为训练集,对堆叠式自编码神经网络进行训练,以构建出神经网络分类模型。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述属性标签包括定量标签和定性标签;
所述从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签,包括:
从所述威胁情报数据和所述网络身份数据中,根据预设的第一匹配规则获得该攻击组织的定量标签;
基于获得的该攻击组织的定量标签,根据预设的第二匹配规则获得该攻击组织的定性标签。
5.一种攻击组织的识别分析装置,其特征在于,包括:
关键特征语料抽取模块,用于从监控的威胁情报数据中抽取待识别的关键特征语料;其中,所述威胁情报数据包括多个攻击组织成员的真实身份信息;
攻击组织识别模块,用于对待识别的关键特征语料进行识别,得到至少一个攻击组织;其中,每一个攻击组织均包括至少两个攻击组织成员;
虚拟身份信息提取模块,用于从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息;
第一关联关系建立模块,用于基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息,建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系;其中,所述目标虚拟身份用户是从多个虚拟身份用户中确定出的;
攻击画像生成模块,用于针对识别出的每一个攻击组织,从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签,并生成该攻击组织的攻击画像,以根据生成的攻击画像对各攻击组织进行态势分析;
所述第一关联关系建立模块,用于执行如下操作:
按照预设的第一属性类别对提取得到的虚拟身份信息和威胁情报数据包括的真实身份信息进行信息提取,并生成各虚拟身份用户和各攻击组织成员分别对应的第一分类向量集;其中,所述第一属性类别包括“节点信息-背景信息”、“文本信息-兴趣信息”和“社交信息-关系信息”,所述虚拟身份信息包括节点信息、文本信息和社交信息,所述真实身份信息包括背景信息、兴趣信息和关系信息;
针对每一个攻击组织成员,均执行如下操作:
对生成的各虚拟身份用户和该攻击组织成员分别对应的第一分类向量集进行相似度计算,得到各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值;
对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第一相似度阈值,如果是,则将该虚拟身份用户作为目标虚拟身份用户,并建立该攻击组织成员和目标虚拟身份用户的关联关系;
进一步包括:第二关联关系建立模块;
所述第二关联关系建立模块,用于基于提取得到的虚拟身份信息,建立识别出的攻击组织中各虚拟身份用户的关联关系;
所述第二关联关系建立模块,用于执行如下操作:
按照预设的第二属性类别对提取得到的虚拟身份信息进行信息提取,并生成各虚拟身份用户对应的第二分类向量集;
针对任意两个虚拟身份用户,对该两个虚拟身份用户对应的第二分类向量集进行相似度计算,得到该两个虚拟身份用户针对每一个第二属性类别的相似度值;
对得到的该两个虚拟身份用户针对每一个第二属性类别的相似度值进行加权计算;
判断加权计算得到的相似度值是否大于预设的第二相似度阈值,如果是,则建立该两个虚拟身份用户的关联关系。
6.一种攻击组织的识别分析装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1-3中任一项所述的方法。
7.一种计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1-3中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110272294.3A CN113055386B (zh) | 2021-03-12 | 2021-03-12 | 一种攻击组织的识别分析方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110272294.3A CN113055386B (zh) | 2021-03-12 | 2021-03-12 | 一种攻击组织的识别分析方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113055386A CN113055386A (zh) | 2021-06-29 |
| CN113055386B true CN113055386B (zh) | 2023-03-24 |
Family
ID=76512409
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110272294.3A Active CN113055386B (zh) | 2021-03-12 | 2021-03-12 | 一种攻击组织的识别分析方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113055386B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113949582B (zh) * | 2021-10-25 | 2023-05-30 | 绿盟科技集团股份有限公司 | 一种网络资产的识别方法、装置、电子设备及存储介质 |
| CN114143109B (zh) * | 2021-12-08 | 2023-11-10 | 安天科技集团股份有限公司 | 攻击数据的可视化处理方法、交互方法及装置 |
| CN113918795B (zh) * | 2021-12-15 | 2022-04-12 | 连连(杭州)信息技术有限公司 | 一种目标标签的确定方法、装置、电子设备及存储介质 |
| CN114584351A (zh) * | 2022-02-21 | 2022-06-03 | 北京恒安嘉新安全技术有限公司 | 一种监控方法、装置、电子设备以及存储介质 |
| CN114896575B (zh) * | 2022-04-28 | 2024-04-16 | 西安电子科技大学 | 一种基于虚假属性检测的可信身份辨识方法及装置 |
| CN116346502B (zh) * | 2023-05-24 | 2024-03-01 | 中国电子科技集团公司第十五研究所 | 基于标签规则的网络攻击组织画像方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| EP3477906A1 (en) * | 2017-10-26 | 2019-05-01 | Accenture Global Solutions Limited | Systems and methods for identifying and mitigating outlier network activity |
| CN109978016A (zh) * | 2019-03-06 | 2019-07-05 | 重庆邮电大学 | 一种网络用户身份识别方法 |
| CN110598213A (zh) * | 2019-09-06 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种关键词提取方法、装置、设备及存储介质 |
| CN111476662A (zh) * | 2020-04-13 | 2020-07-31 | 中国工商银行股份有限公司 | 反洗钱识别方法及装置 |
-
2021
- 2021-03-12 CN CN202110272294.3A patent/CN113055386B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| EP3477906A1 (en) * | 2017-10-26 | 2019-05-01 | Accenture Global Solutions Limited | Systems and methods for identifying and mitigating outlier network activity |
| CN109978016A (zh) * | 2019-03-06 | 2019-07-05 | 重庆邮电大学 | 一种网络用户身份识别方法 |
| CN110598213A (zh) * | 2019-09-06 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 一种关键词提取方法、装置、设备及存储介质 |
| CN111476662A (zh) * | 2020-04-13 | 2020-07-31 | 中国工商银行股份有限公司 | 反洗钱识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113055386A (zh) | 2021-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113055386B (zh) | 一种攻击组织的识别分析方法和装置 | |
| Sharif et al. | Sentiment analysis of Bengali texts on online restaurant reviews using multinomial Naïve Bayes | |
| US20170147682A1 (en) | Automated text-evaluation of user generated text | |
| US10180988B2 (en) | Persona-based conversation | |
| WO2012126259A1 (zh) | 一种具有信息发布和搜索功能的系统及信息发布方法 | |
| CN110287314A (zh) | 基于无监督聚类的长文本可信度评估方法及系统 | |
| US9990434B2 (en) | Ingesting forum content | |
| Bacciu et al. | Bot and gender detection of twitter accounts using distortion and LSA notebook for PAN at CLEF 2019 | |
| Arefi et al. | Assessing post deletion in Sina Weibo: Multi-modal classification of hot topics | |
| US20190372998A1 (en) | Exchange-type attack simulation device, exchange-type attack simulation method, and computer readable medium | |
| Wich et al. | Explainable abusive language classification leveraging user and network data | |
| US20200097759A1 (en) | Table Header Detection Using Global Machine Learning Features from Orthogonal Rows and Columns | |
| Sagcan et al. | Toponym recognition in social media for estimating the location of events | |
| Lundquist et al. | Ontology-driven cyber-security threat assessment based on sentiment analysis of network activity data | |
| Peng et al. | Malicious URL recognition and detection using attention-based CNN-LSTM | |
| Xiao | Towards a two-phase unsupervised system for cybersecurity concepts extraction | |
| Phuvipadawat et al. | Detecting a multi-level content similarity from microblogs based on community structures and named entities | |
| Wunnasri et al. | Solving unbalanced data for Thai sentiment analysis | |
| Listık et al. | Phishing email detection based on named entity recognition | |
| CN117614748B (zh) | 一种基于大语言模型的钓鱼邮件检测方法 | |
| Qasem et al. | Leveraging contextual features to enhanced machine learning models in detecting COVID-19 fake news | |
| Hisham et al. | An Innovative Approach for Fake News Detection Using Machine Learning | |
| Bergau | Automatic humor detection on jodel | |
| Šmuc et al. | A Transfer Learning Method for Hate Speech Detection | |
| Cheng et al. | Retrieving Articles and Image Labeling Based on Relevance of Keywords |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: Room 506, 162 Hongqi Street, Nangang 17 building, high tech entrepreneurship center, high tech Industrial Development Zone, Songbei District, Harbin City, Heilongjiang Province Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |