CN113067812A - Apt攻击事件溯源分析方法、装置和计算机可读介质 - Google Patents
Apt攻击事件溯源分析方法、装置和计算机可读介质 Download PDFInfo
- Publication number
- CN113067812A CN113067812A CN202110286892.6A CN202110286892A CN113067812A CN 113067812 A CN113067812 A CN 113067812A CN 202110286892 A CN202110286892 A CN 202110286892A CN 113067812 A CN113067812 A CN 113067812A
- Authority
- CN
- China
- Prior art keywords
- attack
- gene
- genes
- apt
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种APT攻击事件溯源分析方法、装置和计算机可读介质,方法包括:从待分析APT攻击事件的相关数据中提取多个攻击基因;确定待分析APT攻击事件中包括的与多个攻击基因具有关联关系的若干个攻击实体;其中,每一个攻击实体与至少一个攻击基因相关联;根据预先构建的攻击阶段映射库,确定各攻击基因分别所属的攻击阶段;根据若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱;根据攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出待分析APT攻击事件的攻击链路;根据还原出的攻击链路,溯源出待分析APT攻击事件的攻击信息。本方案,可以准确还原出APT攻击事件的攻击链路,进而溯源出攻击信息。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种APT攻击事件溯源分析方法、装置和计算机可读介质。
背景技术
APT(Advanced Persistent Threat)攻击,即高级可持续威胁攻击,是指某组织对特定对象展开的持续有效的攻击活动。APT攻击具有针对性、连续性、先进性、阶段性、共享性、间接性等特点,其攻击手段变化多端、攻击效果显著且难以防范。因此,对APT攻击事件的溯源分析十分有必要。
传统APT攻击事件的检测往往只是基于局部的攻击相关的信息,无法还原出完整的攻击链路,在攻击检测的实际作战中,一旦攻击链路中断,往往导致无功而返,使得大量溯源分析工作变得毫无价值,导致无法溯源出APT攻击事件的攻击信息。
鉴于此,针对以上不足,需要提供一种APT攻击事件溯源分析方法、装置和计算机可读介质,以溯源出APT攻击事件的攻击信息。
发明内容
本发明要解决的技术问题在于如何溯源出APT攻击事件的攻击信息,针对现有技术中的缺陷,提供了一种APT攻击事件溯源分析方法、装置和计算机可读介质。
为了解决上述技术问题,本发明提供了一种APT攻击事件溯源分析方法,该方法包括:
获取待分析APT攻击事件的相关数据;
从所述待分析APT攻击事件的相关数据中提取多个攻击基因;所述攻击基因是所述待分析APT攻击事件的相关数据中具有恶意攻击特征的数据;
确定所述待分析APT攻击事件中包括的与所述多个攻击基因具有关联关系的若干个攻击实体;其中,每一个攻击实体与至少一个攻击基因相关联;
根据预先构建的攻击阶段映射库,确定各攻击基因分别所属的攻击阶段;所述攻击阶段映射库包括攻击基因与所属攻击阶段的映射关系;
根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱;
根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出所述待分析APT攻击事件的攻击链路;
根据还原出的所述攻击链路,溯源出所述待分析APT攻击事件的攻击信息。
优选地,所述攻击阶段映射库通过以下方式构建:
获取至少两个样本APT攻击事件分别对应的相关数据;
从每一个所述样本APT攻击事件的相关数据中分别提取出攻击基因;
针对每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因,将该攻击基因与网空威胁框架在各个攻击阶段上分别包括的技术点进行匹配,将匹配上的技术点所对应的攻击阶段确定该攻击基因的攻击阶段,并建立该攻击基因与攻击阶段的映射关系;
将每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因与攻击阶段的映射关系存储到数据库中,得到攻击阶段映射库。
优选地,所述攻击基因至少包括以下任意一项或多项静态的攻击基因:代码结构基因、代码API调用基因、文件属性基因、数字签名基因和行为基因;
所述攻击基因至少还包括以下任意一项或多项动态的攻击基因:反分析基因、漏洞利用基因、拆分基因、调用依赖基因和传播基因。
优选地,所述根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱,包括:
分析出所述多个攻击基因之间的关联关系;
根据与每一个攻击实体相关联的至少一个攻击基因,以及分析出的所述多个攻击基因之间的关联关系,确定出所述若干个攻击实体中具有关联关系的任意两个攻击实体;
将确定出具有关联关系的任意两个攻击实体之间进行连线,以形成攻击场景图谱。
优选地,所述根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出所述待分析APT攻击事件的攻击链路,包括:
根据与每一个攻击实体相关联的至少一个攻击基因以及各攻击基因分别所属的攻击阶段,确定各攻击实体所属的攻击阶段;
对各攻击实体所属的攻击阶段进行时序分析;
根据时序分析结果确定所述攻击场景图谱中各连线的方向;
将所述若干个攻击实体按照各连线的方向进行排序,得到所述待分析APT攻击事件的攻击链路。
优选地,所述根据还原出的所述攻击链路,溯源出所述待分析APT攻击事件的攻击信息,包括:
根据所述攻击链路确定出攻击组织的判定结果、被攻击组织的判定结果;所述判定结果包括IP判定结果、URL判定结果和域名判定结果中的至少一项;
融合多源情报关联拓线数据以及所述判定结果,溯源所述APT攻击事件的攻击信息;所述攻击信息包括攻击组织名称、被攻击组织名称、攻击工具、攻击手段、攻击意图和攻击过程中的至少一种。
本发明实施例还提供了一种APT攻击事件溯源分析装置,包括:
获取单元,用于获取待分析APT攻击事件的相关数据;
提取单元,用于从所述待分析APT攻击事件的相关数据中提取多个攻击基因;所述攻击基因是所述待分析APT攻击事件的相关数据中具有恶意攻击特征的数据;
确定单元,用于确定所述待分析APT攻击事件中包括的与所述多个攻击基因具有关联关系的若干个攻击实体;其中,每一个攻击实体与至少一个攻击基因相关联;
所述确定单元,还用于根据预先构建的攻击阶段映射库,确定各攻击基因分别所属的攻击阶段;
第一构建单元,用于根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱;
还原单元,用于根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出所述待分析APT攻击事件的攻击链路;
溯源单元,用于根据还原出的所述攻击链路,溯源出所述待分析APT攻击事件的攻击信息。
优选地,进一步包括:第二构建单元,用于利用如下方式构建所述攻击阶段映射库:获取至少两个样本APT攻击事件分别对应的相关数据;从每一个所述样本APT攻击事件的相关数据中分别提取出攻击基因;针对每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因,将该攻击基因与网空威胁框架在各个攻击阶段上分别包括的技术点进行匹配,将匹配上的技术点所对应的攻击阶段确定该攻击基因的攻击阶段,并建立该攻击基因与攻击阶段的映射关系;将每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因与攻击阶段的映射关系存储到数据库中,得到攻击阶段映射库;
和/或,
所述攻击基因至少包括以下任意一项或多项静态的攻击基因:代码结构基因、代码API调用基因、文件属性基因、数字签名基因和行为基因;
所述攻击基因至少还包括以下任意一项或多项动态的攻击基因:反分析基因、漏洞利用基因、拆分基因、调用依赖基因和传播基因;
和/或,
所述第一构建单元,具体用于执行:分析出所述多个攻击基因之间的关联关系;根据与每一个攻击实体相关联的至少一个攻击基因,以及分析出的所述多个攻击基因之间的关联关系,确定出所述若干个攻击实体中具有关联关系的任意两个攻击实体;将确定出具有关联关系的任意两个攻击实体之间进行连线,以形成攻击场景图谱;
和/或,
所述还原单元,具体用于执行:根据与每一个攻击实体相关联的至少一个攻击基因以及各攻击基因分别所属的攻击阶段,确定各攻击实体所属的攻击阶段;对各攻击实体所属的攻击阶段进行时序分析;根据时序分析结果确定所述攻击场景图谱中各连线的方向;将所述若干个攻击实体按照各连线的方向进行排序,得到所述待分析APT攻击事件的攻击链路;
和/或,
所述溯源单元,具体用于根据所述攻击链路确定出攻击组织的判定结果、被攻击组织的判定结果;所述判定结果包括IP判定结果、URL判定结果和域名判定结果中的至少一项;融合多源情报关联拓线数据以及所述判定结果,溯源所述APT攻击事件的攻击信息;所述攻击信息包括攻击组织名称、被攻击组织名称、攻击工具、攻击手段、攻击意图和攻击过程中的至少一种。
本发明还提供了一种APT攻击事件溯源分析装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行上述任一所述的APT攻击事件溯源分析方法。
本发明还提供了计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行上述任一所述的APT攻击事件溯源分析方法。
本发明实施例所提供的一种APT攻击事件溯源分析方法、装置和计算机可读介质,通过从待分析APT攻击事件的相关数据中提取多个攻击基因,以及确定出与多个攻击基于具有关联关系的若干个攻击实体,构建攻击场景图谱,根据攻击场景图谱和各攻击基因分别所属的攻击阶段,可以准确的还原出该待分析APT攻击事件的攻击链路,进而根据还原出的攻击链路,溯源出待分析APT攻击事件的攻击信息。本方案,是针对攻击基因进行分析的,在确定出攻击基因对应的攻击阶段之后,基于时序分析,可以准确还原出APT攻击事件的攻击链路,进而溯源出攻击信息。
附图说明
图1是本发明实施例一提供的一种APT攻击事件溯源分析方法流程图;
图2是本发明实施例一提供的一种攻击阶段映射库的构建方法流程图;
图3是本发明实施例一提供的一种攻击场景图谱的构建方法流程图;
图4是本发明实施例一提供的一种攻击链路的还原方法流程图;
图5是本发明实施例二提供的一种APT攻击事件溯源分析装置所在设备的示意图;
图6是本发明实施例二提供的一种APT攻击事件溯源分析装置的结构图;
图7是本发明实施例二提供的另一种APT攻击事件溯源分析装置的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,本发明实施例提供的一种APT攻击事件溯源分析方法,该方法包括如下步骤:
步骤101:获取待分析APT攻击事件的相关数据。
其中,该相关数据可以包括与该待分析APT攻击事件相关的代码文件。
步骤102:从该待分析APT攻击事件的相关数据中提取多个攻击基因;该攻击基因是该待分析APT攻击事件的相关数据中具有恶意攻击特征的数据。
在本发明实施例中,从相关数据中提取攻击基因之前,可以先对该待分析APT攻击事件的相关数据进行预处理,比如格式识别、解压缩包和脱壳等。然后进行攻击基因的提取。
在本发明实施例中,APT攻击事件的相关数据中包括有静态的攻击基因和动态的攻击基因。其中,静态的攻击基因至少包括以下任意一项或多项:代码结构基因、代码API调用基因、文件属性基因、数字签名基因和行为基因;动态的攻击基因至少包括以下任意一项或多项:反分析基因、漏洞利用基因、拆分基因、调用依赖基因和传播基因。
比如,以代码API调用基因为例,可以分析代码文件中使用了哪些API函数,是否存在特殊字符串等。再如,以行为基因为例,可以分析该攻击事件中是否存在下载行为、释放行为等。
在本发明实施例中,在提取攻击基因时,可以预先生成包含有攻击基因相关特征的列表,并利用攻击基因提取工具按照该列表中所包括的特征从相关数据中提取出与特征相匹配的攻击基因。
静态的攻击基因可以直接从相关数据中提取,而动态的攻击基因需要利用某些设备进行支撑,例如,追影设备,将APT攻击事件的代码文件运行起来,在动态的运行过程中可以直观的确定出哪些数据具有恶意攻击特征。通过对静态的攻击基因和动态的攻击基因进行提取,可以丰富攻击基因的类型,使得后续过程中利用攻击基因还原攻击链路时,还原的攻击链路更加完整准确。
在本发明实施例中,在提取出静态的攻击基因和动态的攻击基因之后,还可以基于威胁度评估和人工概率统计的方式对攻击基因进行特征筛选降维,以筛选出可量化的攻击基因。
步骤103:确定该待分析APT攻击事件中包括的与该多个攻击基因具有关联关系的若干个攻击实体;其中,每一个攻击实体与至少一个攻击基因相关联。
在本发明实施例中,攻击实体至少可以包括以下五类:域名、IP、URL、哈希、邮箱。
针对一个具有下载行为的攻击基因,该下载行为是邮箱中接收到的一个链接,该链接用于从一个URL处下载一个文件,那么,可以确定处与该攻击基因具有关联关系的攻击实体为该URL。
根据本步骤103可以确定出与步骤102中提取出的多个攻击基因具有关联关系的若干个攻击实体。例如,攻击实体A、攻击实体B、攻击实体C和攻击实体E。每一个攻击实体与至少一个攻击基因相关联,例如,攻击实体与攻击基因a、b相关联。
步骤104:根据预先构建的攻击阶段映射库,确定各攻击基因分别所属的攻击阶段;该攻击阶段映射库包括攻击基因与所属攻击阶段的映射关系。
在本发明实施例中,请参考图2,步骤104中的攻击阶段映射库可以通过以下方式构建:
步骤201:获取至少两个样本APT攻击事件分别对应的相关数据。
步骤202:从每一个该样本APT攻击事件的相关数据中分别提取出攻击基因。
其中,步骤201~202与步骤101~102相同,对步骤201~202的描述请参考步骤101~102,在此不再赘述。
步骤203:针对每一个从该样本APT攻击事件的相关数据中提取出的攻击基因,将该攻击基因与网空威胁框架在各个攻击阶段上分别包括的技术点进行匹配,将匹配上的技术点所对应的攻击阶段确定该攻击基因的攻击阶段,并建立该攻击基因与攻击阶段的映射关系。
在本发明实施例中,网空威胁框架是一套科学的方法和工具体系,能够更深入地认知APT形式的网空威胁,系统全面地分析其攻击意图、手法、过程与技术,达成增强防御有效性的目标。其中,该网空威胁框架可以是洛克希德-马丁的网空杀伤链框架(Cyber KillChain Framework)、MITRE的ATT&CK框架(Common Knowledge base of AdversaryTacticsandTechniques,对手战术技术公共知识库)、ODNI的CCTF框架(Common CyberThreatFramework,公共网空威胁框架)、以及NSA的TCTF框架(Technical CyberThreatFramework,技术性网空威胁框架)等。
该网空威胁框架在各个攻击阶段上都有战术点,每一个战术点包括多个技术点。其中,战术是指对攻击事件的概括性要求,表达的是目的或行动原因,常用于攻击事件规划与过程追踪。技术是指通过什么动作执行来达成战术的目标,包含预期完成的行动,但不包括完成行动的规定性指导。
在本发明实施例中,网空威胁框架中的技术点与攻击基因是相吻合的。因此,通过将攻击基因与技术点进行匹配,将匹配上的技术点对应的攻击阶段确定为该攻击基因的攻击阶段,以此可以准确的建立出该攻击基因与攻击阶段的映射关系,使得后续过程中利用该映射关系,可以准确的确定出待分析APT攻击事件的各攻击基因所属的攻击阶段。
步骤204:将每一个从该样本APT攻击事件的相关数据中提取出的攻击基因与攻击阶段的映射关系存储到数据库中,得到攻击阶段映射库。
攻击阶段映射库中包括各攻击阶段分别与攻击基因的映射关系。其中,步骤201中选取的样本APT攻击事件越多,攻击类型越丰富,得到的攻击阶段映射库中各攻击阶段对应的攻击基因的种类就越多。
在本发明实施例中,预先构建出包括攻击基因与所属攻击阶段的对应关系的攻击阶段映射库,在提取出待分析APT攻击事件的攻击基因后,可以根据该攻击阶段映射库,可以快速的确定出该待分析APT攻击事件的各攻击基因分别所属的攻击阶段。
举例来说,该攻击阶段可以包括但不限于以下几个阶段:准备阶段、交互阶段、存在阶段、影响阶段和持续阶段。
步骤105:根据该若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱。
在本发明实施例中,请参考图3,该攻击场景图谱的构建过程可以包括:
步骤301:分析出该多个攻击基因之间的关联关系。
步骤302:根据与每一个攻击实体相关联的至少一个攻击基因,以及分析出的该多个攻击基因之间的关联关系,确定出该若干个攻击实体中具有关联关系的任意两个攻击实体。
例如,攻击实体A与攻击基因a、b相关联,攻击实体B与攻击基因c、d相关联,根据步骤301分析出攻击基因a与攻击基因c具有关联关系,那么可以确定攻击实体A与攻击实体B之间具有关联关系。
步骤303:将确定出具有关联关系的任意两个攻击实体之间进行连线,以形成攻击场景图谱。
其中,连线用于表征该连线两端的攻击实体之间具有关联关系。
在本发明实施例中,攻击场景图谱是待分析APT攻击事件所涉及的各攻击实体之间的关联关系图。由于攻击实体与攻击基因相关联,因此,通过分析攻击基因之间具有的关联关系,可以确定出攻击实体之间具有的关联关系,以此可以绘制出攻击场景图谱,便于后续攻击链路的还原。
步骤106:根据该攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出该待分析APT攻击事件的攻击链路。
在本发明实施例中,请参考图4,攻击链路的还原过程可以包括:
步骤401:根据与每一个攻击实体相关联的至少一个攻击基因以及各攻击基因分别所属的攻击阶段,确定各攻击实体所属的攻击阶段。
步骤402:对各攻击实体所属的攻击阶段进行时序分析。
步骤403:根据时序分析结果确定该攻击场景图谱中各连线的方向。
步骤404:将该若干个攻击实体按照各连线的方向进行排序,得到该待分析APT攻击事件的攻击链路。
在本发明实施例中,不同攻击阶段对应不同的时序,比如,攻击阶段按照进行的时序依次可以包括:准备阶段、交互阶段、存在阶段、影响阶段和持续阶段。由于攻击实体与攻击基因相关联,根据攻击基因分别所属的攻击阶段,可以确定出攻击实体所属的攻击阶段,通过对各攻击实体所属的攻击阶段进行时序分析,可以确定出攻击场景图谱中各连线的方向。
例如,攻击实体A与攻击实体B之间通过连线相连,攻击实体A属于准备阶段,攻击实体B属于交互阶段,那么攻击实体A与攻击实体B之间的连线方向为攻击实体A指向攻击实体B。在确定出攻击场景图谱中各连线的方向后,可以得到待分析APT攻击事件的攻击链路,例如,该攻击链路为A→B→D→C。
步骤107:根据还原出的攻击链路,溯源出待分析APT攻击事件的攻击信息。
在本发明实施例中,由于攻击链路是由多个攻击实体组成,且具有攻击方向,因此,可以根据攻击链路溯源出攻击信息,具体地,该步骤107可以包括:
根据该攻击链路确定出攻击组织的判定结果、被攻击组织的判定结果;该判定结果包括IP判定结果、URL判定结果和域名判定结果中的至少一项;
融合多源情报关联拓线数据以及该判定结果,溯源该APT攻击事件的攻击信息;该攻击信息包括攻击组织名称、被攻击组织名称、攻击工具、攻击手段、攻击意图和攻击过程中的至少一种。
在本发明实施例中,在还原出攻击链路之后,可以根据攻击链路确定出攻击组织的判定结果、被攻击组织的判定结果。例如,攻击组织的判定结果为一个URL或IP地址,被攻击组织为另一个URL或IP地址。。在确定出判定结果之后,可以融合多源情报关联拓线数据,确定出APT攻击事件的攻击信息。例如,可以根据攻击组织的判定结果溯源出攻击组织名称为泰国的“白象”,可以根据被攻击组织的判定结果溯源出被攻击组织名称为某政府的办公系统。通过确定APT攻击事件的攻击信息,可以便于后续可以对该攻击组织发起的攻击进行防御,以及为持续检出APT攻击事件提供检测能力。
以一个APT攻击事件为供电系统遭受攻击为例,可以还原出该APT攻击事件中被攻击组织的整个电力系统遭受攻击的全过程。还原的攻击过程如下:
第1步:攻击组织通过鱼叉式钓鱼邮件或其他攻击手段,首先向“跳板机”植入恶意代码。
第2步:攻击组织通过恶意代码形成具备规模的僵尸网络以及定向传播能力,在电力系统中完成前期环境预置和持久化。
第3步:随后通过恶意代码建立据点,以“跳板机”作为据点进行横向渗透,之后攻陷监控/装置区的关键主机。
第4步:攻击组织一方面在线上变电站进行攻击的同时,另一方面在线下还对电力客服中心进行电话DDoS攻击,使电力人员无法判断停电区域。
第5步:攻击组织采用线上、线下两组“火力”共同配合发起攻击完成攻击者的目的。
本发明实施例中,通过从待分析APT攻击事件的相关数据中提取多个攻击基因,以及确定出与多个攻击基于具有关联关系的若干个攻击实体,构建攻击场景图谱,根据攻击场景图谱和各攻击基因分别所属的攻击阶段,可以还原出该待分析APT攻击事件的攻击链路。本方案,是针对攻击基因进行分析的,在确定出攻击基因对应的攻击阶段之后,基于时序分析,可以准确还原出APT攻击事件的攻击链路,进而溯源出APT攻击事件的攻击信息。
实施例二
如图5、图6所示,本发明实施例提供了一种APT攻击事件溯源分析装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图5所示,为本发明实施例提供的一种APT攻击事件溯源分析装置所在设备的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图6所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的一种APT攻击事件溯源分析装置,包括:
获取单元601,用于获取待分析APT攻击事件的相关数据;
提取单元602,用于从该待分析APT攻击事件的相关数据中提取多个攻击基因;该攻击基因是该待分析APT攻击事件的相关数据中具有恶意攻击特征的数据;
确定单元603,用于确定该待分析APT攻击事件中包括的与该多个攻击基因具有关联关系的若干个攻击实体;其中,每一个攻击实体与至少一个攻击基因相关联;
该确定单元603,还用于根据预先构建的攻击阶段映射库,确定各攻击基因分别所属的攻击阶段;
第一构建单元604,用于根据该若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱;
还原单元605,用于根据该攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出该待分析APT攻击事件的攻击链路;
溯源单元606,用于根据还原出的所述攻击链路,溯源出所述待分析APT攻击事件的攻击信息。
可选地,在图6所示一种APT攻击事件溯源分析装置的基础上,如图7该,进一步包括:
第二构建单元607,用于利用如下方式构建该攻击阶段映射库:获取至少两个样本APT攻击事件分别对应的相关数据;从每一个该样本APT攻击事件的相关数据中分别提取出攻击基因;针对每一个从该样本APT攻击事件的相关数据中提取出的攻击基因,将该攻击基因与网空威胁框架在各个攻击阶段上分别包括的技术点进行匹配,将匹配上的技术点所对应的攻击阶段确定该攻击基因的攻击阶段,并建立该攻击基因与攻击阶段的映射关系;将每一个从该样本APT攻击事件的相关数据中提取出的攻击基因与攻击阶段的映射关系存储到数据库中,得到攻击阶段映射库。
可选地,在图6所示一种APT攻击事件溯源分析装置的基础上,该攻击基因至少包括以下任意一项或多项静态的攻击基因:代码结构基因、代码API调用基因、文件属性基因、数字签名基因和行为基因;
该攻击基因至少还包括以下任意一项或多项动态的攻击基因:反分析基因、漏洞利用基因、拆分基因、调用依赖基因和传播基因;
可选地,在图6所示一种APT攻击事件溯源分析装置的基础上,该第一构建单元604,具体用于执行:分析出该多个攻击基因之间的关联关系;根据与每一个攻击实体相关联的至少一个攻击基因,以及分析出的该多个攻击基因之间的关联关系,确定出该若干个攻击实体中具有关联关系的任意两个攻击实体;将确定出具有关联关系的任意两个攻击实体之间进行连线,以形成攻击场景图谱。
可选地,在图6所示一种APT攻击事件溯源分析装置的基础上,该还原单元605,具体用于执行:根据与每一个攻击实体相关联的至少一个攻击基因以及各攻击基因分别所属的攻击阶段,确定各攻击实体所属的攻击阶段;对各攻击实体所属的攻击阶段进行时序分析;根据时序分析结果确定该攻击场景图谱中各连线的方向;将该若干个攻击实体按照各连线的方向进行排序,得到该待分析APT攻击事件的攻击链路。
可选地,在图6所示一种APT攻击事件溯源分析装置的基础上,该溯源单元606,具体用于根据攻击链路确定出攻击组织的判定结果、被攻击组织的判定结果;该判定结果包括IP判定结果、URL判定结果和域名判定结果中的至少一项;融合多源情报关联拓线数据以及该判定结果,溯源该APT攻击事件的攻击信息;该攻击信息包括攻击组织名称、被攻击组织名称、攻击工具、攻击手段、攻击意图和攻击过程中的至少一种。
可以理解的是,本发明实施例示意的结构并不构成对一种APT攻击事件溯源分析装置的具体限定。在本发明的另一些实施例中,一种APT攻击事件溯源分析装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种APT攻击事件溯源分析装置,包括:至少一个存储区和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行本发明任一实施例中的一种APT攻击事件溯源分析方法。
本发明实施例还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行本发明任一实施例中的一种APT攻击事件溯源分析方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种APT攻击事件溯源分析方法,其特征在于,包括:
获取待分析APT攻击事件的相关数据;
从所述待分析APT攻击事件的相关数据中提取多个攻击基因;所述攻击基因是所述待分析APT攻击事件的相关数据中具有恶意攻击特征的数据;
确定所述待分析APT攻击事件中包括的与所述多个攻击基因具有关联关系的若干个攻击实体;其中,每一个攻击实体与至少一个攻击基因相关联;
根据预先构建的攻击阶段映射库,确定各攻击基因分别所属的攻击阶段;所述攻击阶段映射库包括攻击基因与所属攻击阶段的映射关系;
根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱;
根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出所述待分析APT攻击事件的攻击链路;
根据还原出的所述攻击链路,溯源出所述待分析APT攻击事件的攻击信息。
2.根据权利要求1所述的方法,其特征在于,所述攻击阶段映射库通过以下方式构建:
获取至少两个样本APT攻击事件分别对应的相关数据;
从每一个所述样本APT攻击事件的相关数据中分别提取出攻击基因;
针对每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因,将该攻击基因与网空威胁框架在各个攻击阶段上分别包括的技术点进行匹配,将匹配上的技术点所对应的攻击阶段确定该攻击基因的攻击阶段,并建立该攻击基因与攻击阶段的映射关系;
将每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因与攻击阶段的映射关系存储到数据库中,得到攻击阶段映射库。
3.根据权利要求1或2所述的方法,其特征在于,
所述攻击基因至少包括以下任意一项或多项静态的攻击基因:代码结构基因、代码API调用基因、文件属性基因、数字签名基因和行为基因;
所述攻击基因至少还包括以下任意一项或多项动态的攻击基因:反分析基因、漏洞利用基因、拆分基因、调用依赖基因和传播基因。
4.根据权利要求1所述的方法,其特征在于,所述根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱,包括:
分析出所述多个攻击基因之间的关联关系;
根据与每一个攻击实体相关联的至少一个攻击基因,以及分析出的所述多个攻击基因之间的关联关系,确定出所述若干个攻击实体中具有关联关系的任意两个攻击实体;
将确定出具有关联关系的任意两个攻击实体之间进行连线,以形成攻击场景图谱。
5.根据权利要求4所述的方法,其特征在于,所述根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出所述待分析APT攻击事件的攻击链路,包括:
根据与每一个攻击实体相关联的至少一个攻击基因以及各攻击基因分别所属的攻击阶段,确定各攻击实体所属的攻击阶段;
对各攻击实体所属的攻击阶段进行时序分析;
根据时序分析结果确定所述攻击场景图谱中各连线的方向;
将所述若干个攻击实体按照各连线的方向进行排序,得到所述待分析APT攻击事件的攻击链路。
6.根据权利要求1所述的方法,其特征在于,所述根据还原出的所述攻击链路,溯源出所述待分析APT攻击事件的攻击信息,包括:
根据所述攻击链路确定出攻击组织的判定结果、被攻击组织的判定结果;所述判定结果包括IP判定结果、URL判定结果和域名判定结果中的至少一项;
融合多源情报关联拓线数据以及所述判定结果,溯源所述APT攻击事件的攻击信息;所述攻击信息包括攻击组织名称、被攻击组织名称、攻击工具、攻击手段、攻击意图和攻击过程中的至少一种。
7.一种APT攻击事件溯源分析装置,其特征在于,包括:
获取单元,用于获取待分析APT攻击事件的相关数据;
提取单元,用于从所述待分析APT攻击事件的相关数据中提取多个攻击基因;所述攻击基因是所述待分析APT攻击事件的相关数据中具有恶意攻击特征的数据;
确定单元,用于确定所述待分析APT攻击事件中包括的与所述多个攻击基因具有关联关系的若干个攻击实体;其中,每一个攻击实体与至少一个攻击基因相关联;
所述确定单元,还用于根据预先构建的攻击阶段映射库,确定各攻击基因分别所属的攻击阶段;
第一构建单元,用于根据所述若干个攻击实体、与每一个攻击实体相关联的至少一个攻击基因,构建攻击场景图谱;
还原单元,用于根据所述攻击场景图谱以及确定的各攻击基因分别所属的攻击阶段,还原出所述待分析APT攻击事件的攻击链路;
溯源单元,用于根据还原出的所述攻击链路,溯源出所述待分析APT攻击事件的攻击信息。
8.根据权利要求7所述的装置,其特征在于,
进一步包括:第二构建单元,用于利用如下方式构建所述攻击阶段映射库:获取至少两个样本APT攻击事件分别对应的相关数据;从每一个所述样本APT攻击事件的相关数据中分别提取出攻击基因;针对每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因,将该攻击基因与网空威胁框架在各个攻击阶段上分别包括的技术点进行匹配,将匹配上的技术点所对应的攻击阶段确定该攻击基因的攻击阶段,并建立该攻击基因与攻击阶段的映射关系;将每一个从所述样本APT攻击事件的相关数据中提取出的攻击基因与攻击阶段的映射关系存储到数据库中,得到攻击阶段映射库;
和/或,
所述攻击基因至少包括以下任意一项或多项静态的攻击基因:代码结构基因、代码API调用基因、文件属性基因、数字签名基因和行为基因;
所述攻击基因至少还包括以下任意一项或多项动态的攻击基因:反分析基因、漏洞利用基因、拆分基因、调用依赖基因和传播基因;
和/或,
所述第一构建单元,具体用于执行:分析出所述多个攻击基因之间的关联关系;根据与每一个攻击实体相关联的至少一个攻击基因,以及分析出的所述多个攻击基因之间的关联关系,确定出所述若干个攻击实体中具有关联关系的任意两个攻击实体;将确定出具有关联关系的任意两个攻击实体之间进行连线,以形成攻击场景图谱;
和/或,
所述还原单元,具体用于执行:根据与每一个攻击实体相关联的至少一个攻击基因以及各攻击基因分别所属的攻击阶段,确定各攻击实体所属的攻击阶段;对各攻击实体所属的攻击阶段进行时序分析;根据时序分析结果确定所述攻击场景图谱中各连线的方向;将所述若干个攻击实体按照各连线的方向进行排序,得到所述待分析APT攻击事件的攻击链路;
和/或,
所述溯源单元,具体用于根据所述攻击链路确定出攻击组织的判定结果、被攻击组织的判定结果;所述判定结果包括IP判定结果、URL判定结果和域名判定结果中的至少一项;融合多源情报关联拓线数据以及所述判定结果,溯源所述APT攻击事件的攻击信息;所述攻击信息包括攻击组织名称、被攻击组织名称、攻击工具、攻击手段、攻击意图和攻击过程中的至少一种。
9.一种APT攻击事件溯源分析装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至6中任一项所述的方法。
10.计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1至6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110286892.6A CN113067812B (zh) | 2021-03-17 | 2021-03-17 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110286892.6A CN113067812B (zh) | 2021-03-17 | 2021-03-17 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113067812A true CN113067812A (zh) | 2021-07-02 |
| CN113067812B CN113067812B (zh) | 2023-02-28 |
Family
ID=76561023
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110286892.6A Active CN113067812B (zh) | 2021-03-17 | 2021-03-17 | Apt攻击事件溯源分析方法、装置和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113067812B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113553584A (zh) * | 2021-07-30 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种工业互联网安全未知威胁检测方法、系统及存储介质 |
| CN114422186A (zh) * | 2021-12-21 | 2022-04-29 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114793164A (zh) * | 2021-12-22 | 2022-07-26 | 南京中孚信息技术有限公司 | 一种基于多特征的apt攻击事件关联方法 |
| CN114844681A (zh) * | 2022-04-11 | 2022-08-02 | 中国科学院信息工程研究所 | 基于关联图的分析方法、系统、电子设备、存储介质 |
| CN115664708A (zh) * | 2022-09-16 | 2023-01-31 | 深信服科技股份有限公司 | 一种攻击确定方法、装置、设备及介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130305357A1 (en) * | 2010-11-18 | 2013-11-14 | The Boeing Company | Context Aware Network Security Monitoring for Threat Detection |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN110213094A (zh) * | 2019-05-29 | 2019-09-06 | 哈尔滨安天科技集团股份有限公司 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
| CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
| CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
| CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
| CN111224953A (zh) * | 2019-12-25 | 2020-06-02 | 哈尔滨安天科技集团股份有限公司 | 基于异常点发现威胁组织攻击的方法、装置及存储介质 |
| CN111914569A (zh) * | 2020-08-10 | 2020-11-10 | 哈尔滨安天科技集团股份有限公司 | 基于融合图谱的预测方法、装置、电子设备及存储介质 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112134897A (zh) * | 2020-09-27 | 2020-12-25 | 奇安信科技集团股份有限公司 | 网络攻击数据的处理方法和装置 |
| CN112165462A (zh) * | 2020-09-11 | 2021-01-01 | 哈尔滨安天科技集团股份有限公司 | 基于画像的攻击预测方法、装置、电子设备及存储介质 |
| CN112187773A (zh) * | 2020-09-23 | 2021-01-05 | 支付宝(杭州)信息技术有限公司 | 一种网络安全漏洞的挖掘方法和装置 |
-
2021
- 2021-03-17 CN CN202110286892.6A patent/CN113067812B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130305357A1 (en) * | 2010-11-18 | 2013-11-14 | The Boeing Company | Context Aware Network Security Monitoring for Threat Detection |
| CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
| CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
| CN110213094A (zh) * | 2019-05-29 | 2019-09-06 | 哈尔滨安天科技集团股份有限公司 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
| CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
| CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
| CN111224953A (zh) * | 2019-12-25 | 2020-06-02 | 哈尔滨安天科技集团股份有限公司 | 基于异常点发现威胁组织攻击的方法、装置及存储介质 |
| CN111914569A (zh) * | 2020-08-10 | 2020-11-10 | 哈尔滨安天科技集团股份有限公司 | 基于融合图谱的预测方法、装置、电子设备及存储介质 |
| CN112165462A (zh) * | 2020-09-11 | 2021-01-01 | 哈尔滨安天科技集团股份有限公司 | 基于画像的攻击预测方法、装置、电子设备及存储介质 |
| CN112187773A (zh) * | 2020-09-23 | 2021-01-05 | 支付宝(杭州)信息技术有限公司 | 一种网络安全漏洞的挖掘方法和装置 |
| CN112134897A (zh) * | 2020-09-27 | 2020-12-25 | 奇安信科技集团股份有限公司 | 网络攻击数据的处理方法和装置 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 琚安康: ""基于多源异构数据的定向网络攻击检测关键技术研究"", 《中国优秀博士学位论文全文数据库》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113553584A (zh) * | 2021-07-30 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种工业互联网安全未知威胁检测方法、系统及存储介质 |
| CN114422186A (zh) * | 2021-12-21 | 2022-04-29 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114793164A (zh) * | 2021-12-22 | 2022-07-26 | 南京中孚信息技术有限公司 | 一种基于多特征的apt攻击事件关联方法 |
| CN114793164B (zh) * | 2021-12-22 | 2024-03-15 | 南京中孚信息技术有限公司 | 一种基于多特征的apt攻击事件关联方法 |
| CN114844681A (zh) * | 2022-04-11 | 2022-08-02 | 中国科学院信息工程研究所 | 基于关联图的分析方法、系统、电子设备、存储介质 |
| CN115664708A (zh) * | 2022-09-16 | 2023-01-31 | 深信服科技股份有限公司 | 一种攻击确定方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113067812B (zh) | 2023-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113067812B (zh) | Apt攻击事件溯源分析方法、装置和计算机可读介质 | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| CN110221977B (zh) | 基于ai的网站渗透测试方法 | |
| CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
| CN106161479B (zh) | 一种支持特征跨包的编码攻击检测方法和装置 | |
| CN108183888B (zh) | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 | |
| CN110677438A (zh) | 一种攻击链构建方法、装置、设备、介质 | |
| CA2840992A1 (en) | Syntactical fingerprinting | |
| CN107145779B (zh) | 一种离线恶意软件日志的识别方法和装置 | |
| CN110177114A (zh) | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| CN111884989B (zh) | 一种针对电力web系统的漏洞探测方法和系统 | |
| CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
| CN108256329B (zh) | 基于动态行为的细粒度rat程序检测方法、系统及相应的apt攻击检测方法 | |
| CN111104579A (zh) | 一种公网资产的识别方法、装置及存储介质 | |
| Zali et al. | Real-time attack scenario detection via intrusion detection alert correlation | |
| CN114157450A (zh) | 基于物联网蜜罐的网络攻击诱导方法及装置 | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
| CN114297632A (zh) | 主机失陷检测方法、装置、电子设备及存储介质 | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| CN111049828A (zh) | 网络攻击检测及响应方法及系统 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| Chen et al. | A survey on threat hunting: Approaches and applications | |
| Pihelgas et al. | Frankenstack: Real-time cyberattack detection and feedback system for technical cyber exercises |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: Room 506, 162 Hongqi Street, Nangang 17 building, high tech entrepreneurship center, high tech Industrial Development Zone, Songbei District, Harbin City, Heilongjiang Province Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |