CN113114690A - 威胁事件识别方法、装置、设备及存储介质 - Google Patents
威胁事件识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113114690A CN113114690A CN202110407357.1A CN202110407357A CN113114690A CN 113114690 A CN113114690 A CN 113114690A CN 202110407357 A CN202110407357 A CN 202110407357A CN 113114690 A CN113114690 A CN 113114690A
- Authority
- CN
- China
- Prior art keywords
- network traffic
- threat event
- traffic data
- target
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种威胁事件识别方法、装置、设备及存储介质。其中,方法包括:获取至少一条网络流量数据,并确定与各网络流量数据对应的目标属性参数;网络流量数据为非威胁事件;对各目标属性参数进行建模,生成行为特征模型;当接收到目标网络流量数据的访问指令时,根据行为特征模型确定目标网络流量数据是否为威胁事件。本发明实施例的方案,可以实现对工业互联网中存在的威胁事件进行识别,有效地提升了工业互联网的安全性。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种威胁事件识别方法、装置、设备及存储介质。
背景技术
随着科学技术的不断发展,工业互联网得到了迅猛的发展。工业互联网可以极大地提高生产效率以及管理效率。
在工业互联网极大地提高生产效率以及管理效率的同时,工业互联网面临的安全问题也越来越复杂,工业互联网面临的安全挑战也日益凸显,成为制约工业互联网发展的关键问题。
如何对工业互联网中可能存在的威胁事件进行识别是业内关注的重点问题。
发明内容
本发明实施例提供一种威胁事件识别方法、装置、设备及存储介质,以实现对工业互联网中存在的威胁事件进行识别,提升工业互联网的安全性。
第一方面,本发明实施例提供了一种威胁事件识别方法,包括:
获取至少一条网络流量数据,并确定与各所述网络流量数据对应的目标属性参数;所述网络流量数据为非威胁事件;
对各所述目标属性参数进行建模,生成行为特征模型;
当接收到目标网络流量数据的访问指令时,根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件。
第二方面,本发明实施例还提供了一种威胁事件识别装置,包括:
目标属性参数确定模块,用于获取至少一条网络流量数据,并确定与各所述网络流量数据对应的目标属性参数;所述网络流量数据为非威胁事件;
行为特征模型生成模块,用于对各所述目标属性参数进行建模,生成行为特征模型;
威胁事件确定模块,用于当接收到目标网络流量数据的访问指令时,根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件。
第三方面,本发明实施例还提供了一种威胁事件识别设备,所述威胁事件识别设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例中任一实施例所述的威胁事件识别方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明实施例中任一实施例所述的威胁事件识别方法。
本发明实施例通过获取至少一条网络流量数据,并确定与各网络流量数据对应的目标属性参数;网络流量数据为非威胁事件;对各目标属性参数进行建模,生成行为特征模型;当接收到目标网络流量数据的访问指令时,根据行为特征模型确定目标网络流量数据是否为威胁事件,可以实现对工业互联网中存在的威胁事件进行识别,有效地提升了工业互联网的安全性。
附图说明
图1是本发明实施例一中的一种威胁事件识别方法的流程图;
图2是本发明实施例二中的一种威胁事件识别方法的流程图;
图3是本发明实施例三中的一种威胁事件识别方法的流程图;
图4是本发明实施例四中的一种威胁事件识别装置的结构示意图;
图5是本发明实施例五中的一种威胁事件识别设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明实施例作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明实施例,而非对本发明实施例的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明实施例相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种威胁事件识别方法的流程图,本实施例可适用于对工业互联网中的威胁事件进行识别的情况,该方法可以由威胁事件识别装置来执行,该装置可以通过软件和/或硬件的方式实现,并集成在威胁事件识别设备中。在本实施例中,威胁事件识别设备可以为计算机、服务器或者平板电脑等电子设备。具体的,参考图1,该方法具体包括如下步骤:
步骤110、获取至少一条网络流量数据,并确定与各网络流量数据对应的目标属性参数。
其中,网络流量数据为非威胁事件,即为正常的网络流量数据,安全事件。
在本实施例中,可以从互联网的管道侧,例如车联网的管道侧或者车端侧采集多条网络流量数据,并确定与每个网络流量数据对应的目标属性参数;其中,目标属性参数可以包括下述至少一项:源互联网协议(Internet Protocol,IP)地址、源端口、网络协议、目的IP地址以及目的端口。
在本实施例的一个可选实现方式中,在获取到多条网络流量数据之后,可以进一步的,获取与各网络流量数据对应的数据包,并对各数据包进行解析,得到与各网络流量数据对应的目标属性参数。
在本实施例的一个具体例子中,可以通过接入网络流量数据或系统运行日志方式实现数据的采集,通过规则下发实现安全事件的监测与分析。在不影响其他各类业务正常运行的情况下,收集分析所需的基础数据;获取的数据可以包括云端数据、车端数据、网络通信数据或者车联网业务应用数据等,其中车端数据可以包括车内网网关数据、TBOX数据或者IVI数据等,本实施例中对其不加以限定。
进一步的,可以对获取到的各数据的数据包进行解析,从而得到与每个数据对应的目标属性参数。例如,可以对获取到的车端数据的数据包进行解析,从而得到与车端数据对应的目标属性参数。
步骤120、对各目标属性参数进行建模,生成行为特征模型。
在本实施例的一个可选实现方式中,在确定与各网络流量数据对应的目标属性参数之后,还可以根据各目标属性参数进行建模,从而生成行为特征模型;其中,行为特征模型可以为数学模型,例如,数学函数;也可以为机器学习模型,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在确定与各网络流量数据对应的目标属性参数之后,可以对各目标属性参数进行迭代训练,从而得到行为特征模型中;也可以将各目标属性参数输入至目标函数中进行解算,从而求解得到行为特征模型。
步骤130、当接收到目标网络流量数据的访问指令时,根据行为特征模型确定目标网络流量数据是否为威胁事件。
其中,目标网络流量数据可以为获取到的任一流量数据,其可以为非威胁事件也可以为威胁事件,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在接收到目标网络流量数据的访问指令之后,可以根据步骤120中生成的行为特征模型确定接收到的目标网络流量数据是否为威胁事件。
在本实施例的一个可选实现方式中,在接收到目标网络流量数据的访问指令之后,可以对接收到的目标网络流量数据的数据包进行解析,确定与目标网络流量数据对应的属性参数,并将与目标网络流量数据对应的属性参数输入至行为特征模型中,获取行为特征模型的输出结果,根据输出结果确定目标网络流量数据为威胁事件还是非威胁事件。
本发明实施例通过获取至少一条网络流量数据,并确定与各网络流量数据对应的目标属性参数;网络流量数据为非威胁事件;对各目标属性参数进行建模,生成行为特征模型;当接收到目标网络流量数据的访问指令时,根据行为特征模型确定目标网络流量数据是否为威胁事件,可以实现对工业互联网中存在的威胁事件进行识别,有效地提升了工业互联网的安全性。
实施例二
图2是本发明实施例二中的一种威胁事件识别方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图2所示,威胁事件识别方法可以包括如下步骤:
步骤210、获取与各网络流量数据对应的数据包,并对各数据包进行解析,得到与各网络流量数据对应的目标属性参数。
步骤220、对各目标属性参数进行分类,生成与每个目标属性参数类别对应的集合;提取各集合的特征向量,将各特征向量输入至预设的机器学习模型中进行迭代训练,生成行为特征模型。
在本实施例的一个可选实现方式中,在得到与各网络流量数据对应的目标属性参数之后,可以进一步的对各目标属性参数进行分类,从而生成与每个目标属性参数类别对应的集合;其中,目标属性参数类别即为上述实施例中涉及到的源IP地址、源端口、网络协议、目的IP地址或者目的端口等。
进一步的,可以提取每个集合的特征向量,并将提前的各特征向量输入至预设的机器学习模型中进行迭代训练,从而生成最终的行为特征模型。
示例性的,获取到1万条网络流量数据之后,解析得到每条网络流量数据包含的一条或者多条目标属性参数之后,可以根据属性参数的类别进行各目标属性参数的分类,得到与各目标属性参数类别对应的集合。进一步的,可以提取每个集合的特征向量,并将提前的各特征向量输入至预设的机器学习模型中进行迭代训练,从而生成最终的行为特征模型。
步骤230、将与目标网络流量数据对应的参考属性参数输入至行为特征模型中,根据行为特征模型的输出结果确定目标网络流量数据是否为威胁事件。
在本实施例的一个可选实现方式中,在对各目标属性参数进行分类,生成与每个目标属性参数类别对应的集合;提取各集合的特征向量,将各特征向量输入至预设的机器学习模型中进行迭代训练,生成行为特征模型之后,可以进一步的在接收到目标网络流量数据之后,解析得到与目标网络流量数据对应的参考属性参数,并将各参考属性参数输入至训练得到的行为特征模型中,得到行为特征模型针对目标网络流量数据的输出结果;进一步的,可以根据输出结果确定目标网络流量数据是否为威胁事件。
需要说明的是,在本实施例中,行为特征模型针对目标网络流量数据的输出结果可以为一个概率值,例如,0.8、0.87或者0.9等,其表示目标网络流量数据为威胁事件的概率,可以理解的是,其数值越大,目标网络流量数据为威胁事件的概率也就越大。
步骤240、对威胁事件进行拦截,可视化展示威胁事件的攻击链路,并提示对已遭到攻击的攻击链路进行修复。
在本实施例的一个可选实现方式中,在确定目标网络流量为威胁事件之后,可以进一步的对威胁事件即目标网络流量数据进行拦截处理;同时还可以对目标网络流量数据的攻击链路进行可视化展示,例如,对目标网络流量数据的完整链路在大屏幕中显示,在此过程中,可以对被攻击的部分链路进行标记,并提示用户对已遭到攻击的(标记的)攻击链路进行修复。
这样设置的好处在于,可以使维修人员快速确定被威胁事件攻击的链路,可以实现快速地对攻击链路进行修复,防止网络瘫痪时间较长而造成过多的经济损失。
本实施例的方案,在获取到各目标属性参数之后,可以对各目标属性参数进行分类,生成与每个目标属性参数类别对应的集合;提取各集合的特征向量,将各特征向量输入至预设的机器学习模型中进行迭代训练,生成行为特征模型;将与目标网络流量数据对应的参考属性参数输入至行为特征模型中,根据行为特征模型的输出结果确定目标网络流量数据是否为威胁事件,可以通过训练得到的行为特征模型快速地确定威胁事件,为有效地提升了工业互联网的安全性提供依据。
实施例三
图3是本发明实施例三中的一种威胁事件识别方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图3所示,威胁事件识别方法可以包括如下步骤:
步骤310、获取与各网络流量数据对应的数据包,并对各数据包进行解析,得到与各网络流量数据对应的目标属性参数。
步骤320、将各目标属性参数输入至目标函数中,并对目标函数进行求解,生成行为特征模型。
在本实施例的一个可选实现方式中,在得到与各网络流量数据对应的目标属性参数之后,可以进一步的将各目标属性参数代入至目标函数中,从而对目标函数进行求解,求解得到的各未知数的解再代入至目标函数中,即可得到行为特征模型。其中,目标函数可以包含多个未知数,例如,10个或者20个等,本实施例中对其不加以限定
示例性的,获取到1万条网络流量数据之后,解析得到每条网络流量数据包含的一条或者多条目标属性参数之后,可以将各目标属性参数代入至目标函数中,对目标函数进行求解,求解得到的各未知数的解再代入至目标函数中,从而可得到行为特征模型。
步骤330、将与目标网络流量数据对应的参考属性参数输入至行为特征模型对应的目标函数中,输出目标函数对参考属性参数的求解结果;当求解结果大于设定阈值时,确定目标网络流量数据为威胁事件。
其中,设定阈值可以为5、10或者100等数值,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在将各目标属性参数输入至目标函数中,并对目标函数进行求解,生成行为特征模型之后,可以进一步的在接收到目标网络流量数据之后,解析得到与目标网络流量数据对应的参考属性参数,并将各参考属性参数代入至目标函数中,输出目标函数对参考属性参数的求解结果;当求解结果大于设定阈值时,确定目标网络流量数据为威胁事件。
步骤340、对威胁事件进行拦截,可视化展示威胁事件的攻击链路,并提示对已遭到攻击的攻击链路进行修复。
本实施例的方案,在获取到各目标属性参数之后,可以将各目标属性参数输入至目标函数中,并对目标函数进行求解,生成行为特征模型;将与目标网络流量数据对应的参考属性参数输入至行为特征模型对应的目标函数中,输出目标函数对参考属性参数的求解结果;当求解结果大于设定阈值时,确定目标网络流量数据为威胁事件,可以通过对各目标属性参数进行建模,快速地得到行为特征模型,为有效地提升了工业互联网的安全性提供依据。
为了使本领域技术人员更好地理解本实施例威胁事件识别方法,下面采用一个具体示例进行说明,具体过程包括有:
1、通过接入网络流量数据或系统运行日志方式实现数据的采集,通过规则下发实现安全事件的监测与分析。在不影响其他各类业务正常运行的情况下,收集分析所需的基础数据,获取的数据包括云端数据、车端数据、网络通信数据、车联网业务应用数据,其中车端数据包括车内网网关数据、TBOX数据、IVI数据等。
2、车联网协议解析。
对GB_T_32960、JTT808、JTT905等车联网协议进行解析,识别车联网终端类型、终端型号、制造商、车牌标识、车联网平台等车联网资产及通联记录。
3、全局视角,互访关系梳理。
从全局视角出发,梳理对象间访问关系,可视化呈现关键资产的网络连接情况,有效帮助安全人员了解网络流向、资产连接状态、发现信息孤岛等问题。
4、行为建模,发现异常。
基于NTA网络流量分析技术,通过学习正常的网络行为流量,建立网络行为特征模型,实时监测分析车联网对象间访问频次、访问时段、流量大小、协议类型、数据类型等特征值,发现异常网络行为及异常访问流量,同时结合采用传统的安全规则库匹配的方法,综合发现威胁事件。
5、威胁事件,全局追踪。
通过可疑网络行为及异常访问流量识别相应的威胁事件,直观展示威胁事件在整个车联网上的影响范围和攻击路径,可视化呈现当前网络流量的威胁状况,助力安全人员对威胁事件的追踪处理。利用对象间的连接关系,将单个威胁事件进行整体呈现,还原攻击路径。
本发明实施例的方案,通过管道侧流量实时采集、实时分析,为车联网提供自动化的实时安全监测能力,可及时发现针对车联网的攻击和异常行为,为车联网安全提供持续保护能力。
实施例四
图4是本发明实施例四中的一种威胁事件识别装置的结构示意图,该装置可以执行上述各实施例中涉及到的威胁事件识别方法。参照图4,该装置包括:目标属性参数确定模块410、行为特征模型生成模块420以及威胁事件确定模块430。
目标属性参数确定模块410,用于获取至少一条网络流量数据,并确定与各所述网络流量数据对应的目标属性参数;所述网络流量数据为非威胁事件;
行为特征模型生成模块420,用于对各所述目标属性参数进行建模,生成行为特征模型;
威胁事件确定模块430,用于当接收到目标网络流量数据的访问指令时,根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件。
本实施例的方案,通过目标属性参数确定模块获取至少一条网络流量数据,并确定与各所述网络流量数据对应的目标属性参数;通过行为特征模型生成模块对各所述目标属性参数进行建模,生成行为特征模型;通过威胁事件确定模块在接收到目标网络流量数据时,根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件,可以实现对工业互联网中存在的威胁事件进行识别,有效地提升了工业互联网的安全性。
在本实施例的一个可选实现方式中,目标属性参数确定模块410,具体用于
获取与各所述网络流量数据对应的数据包,并对各所述数据包进行解析,得到与各所述网络流量数据对应的目标属性参数;
所述目标属性参数包括下述至少一项:源互联网协议IP地址、源端口、网络协议、目的IP地址以及目的端口。
在本实施例的一个可选实现方式中,行为特征模型生成模块420,具体用于
对各所述目标属性参数进行分类,生成与每个目标属性参数类别对应的集合;
提取各所述集合的特征向量,将各所述特征向量输入至预设的机器学习模型中进行迭代训练,生成所述行为特征模型。
在本实施例的一个可选实现方式中,行为特征模型生成模块420,具体用于
将各所述目标属性参数输入至目标函数中,并对所述目标函数进行求解,生成所述行为特征模型。
在本实施例的一个可选实现方式中,威胁事件确定模块430,具体用于
将与所述目标网络流量数据对应的参考属性参数输入至所述行为特征模型中,根据所述行为特征模型的输出结果确定所述目标网络流量数据是否为威胁事件。
在本实施例的一个可选实现方式中,威胁事件确定模块430,具体用于
将与所述目标网络流量数据对应的参考属性参数输入至所述行为特征模型对应的目标函数中,输出所述目标函数对所述参考属性参数的求解结果;
当所述求解结果大于设定阈值时,确定所述目标网络流量数据为威胁事件。
在本实施例的一个可选实现方式中,威胁事件识别装置还包括,拦截模块,用于对所述威胁事件进行拦截,可视化展示所述威胁事件的攻击链路,并提示对已遭到攻击的攻击链路进行修复。
本发明实施例所提供的威胁事件识别装置可执行本发明任意实施例所提供的威胁事件识别方法,具备执行方法相应的功能模块和有益效果。
实施例五
图5为本发明实施例五提供的一种威胁事件识别设备的结构示意图,如图5所示,该威胁事件识别设备包括处理器50、存储器51、输入装置52和输出装置53;威胁事件识别设备中处理器50的数量可以是一个或多个,图5中以一个处理器50为例;威胁事件识别设备中的处理器50、存储器51、输入装置52和输出装置53可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器51作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的威胁事件识别方法对应的程序指令/模块(例如,威胁事件识别装置中的目标属性参数确定模块410、行为特征模型生成模块420以及威胁事件确定模块430)。处理器50通过运行存储在存储器51中的软件程序、指令以及模块,从而执行威胁事件识别设备的各种功能应用以及数据处理,即实现上述的威胁事件识别方法。
存储器51可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器51可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器51可进一步包括相对于处理器50远程设置的存储器,这些远程存储器可以通过网络连接至威胁事件识别设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置52可用于接收输入的数字或字符信息,以及产生与威胁事件识别设备的用户设置以及功能控制有关的键信号输入。输出装置53可包括显示屏等显示设备。
实施例六
本发明实施例六还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种威胁事件识别方法,该方法包括:
获取至少一条网络流量数据,并确定与各所述网络流量数据对应的目标属性参数;所述网络流量数据为非威胁事件;
对各所述目标属性参数进行建模,生成行为特征模型;
当接收到目标网络流量数据的访问指令时,根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的威胁事件识别方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述威胁事件识别装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种威胁事件识别方法,其特征在于,包括:
获取至少一条网络流量数据,并确定与各所述网络流量数据对应的目标属性参数;所述网络流量数据为非威胁事件;
对各所述目标属性参数进行建模,生成行为特征模型;
当接收到目标网络流量数据的访问指令时,根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件。
2.根据权利要求1所述的方法,其特征在于,所述确定与各所述网络流量数据对应的目标属性参数,包括:
获取与各所述网络流量数据对应的数据包,并对各所述数据包进行解析,得到与各所述网络流量数据对应的目标属性参数;
所述目标属性参数包括下述至少一项:源互联网协议IP地址、源端口、网络协议、目的IP地址以及目的端口。
3.根据权利要求2所述的方法,其特征在于,所述对各所述目标属性参数进行建模,生成行为特征模型,包括:
对各所述目标属性参数进行分类,生成与每个目标属性参数类别对应的集合;
提取各所述集合的特征向量,将各所述特征向量输入至预设的机器学习模型中进行迭代训练,生成所述行为特征模型。
4.根据权利要求2所述的方法,其特征在于,所述对各所述目标属性参数进行建模,生成行为特征模型,包括:
将各所述目标属性参数输入至目标函数中,并对所述目标函数进行求解,生成所述行为特征模型。
5.根据权利要求3所述的方法,其特征在于,所述根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件,包括:
将与所述目标网络流量数据对应的参考属性参数输入至所述行为特征模型中,根据所述行为特征模型的输出结果确定所述目标网络流量数据是否为威胁事件。
6.根据权利要求4所述的方法,其特征在于,所述根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件,包括:
将与所述目标网络流量数据对应的参考属性参数输入至所述行为特征模型对应的目标函数中,输出所述目标函数对所述参考属性参数的求解结果;
当所述求解结果大于设定阈值时,确定所述目标网络流量数据为威胁事件。
7.根据权利要求1-6中任一项所述的方法,其特征在于,在确定所述目标网络流量数据为威胁事件之后,还包括:
对所述威胁事件进行拦截,可视化展示所述威胁事件的攻击链路,并提示对已遭到攻击的攻击链路进行修复。
8.一种威胁事件识别装置,其特征在于,包括:
目标属性参数确定模块,用于获取至少一条网络流量数据,并确定与各所述网络流量数据对应的目标属性参数;所述网络流量数据为非威胁事件;
行为特征模型生成模块,用于对各所述目标属性参数进行建模,生成行为特征模型;
威胁事件确定模块,用于当接收到目标网络流量数据的访问指令时,根据所述行为特征模型确定所述目标网络流量数据是否为威胁事件。
9.一种威胁事件识别设备,其特征在于,所述威胁事件识别设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的威胁事件识别方法。
10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的威胁事件识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110407357.1A CN113114690B (zh) | 2021-04-15 | 2021-04-15 | 威胁事件识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110407357.1A CN113114690B (zh) | 2021-04-15 | 2021-04-15 | 威胁事件识别方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113114690A true CN113114690A (zh) | 2021-07-13 |
| CN113114690B CN113114690B (zh) | 2022-12-13 |
Family
ID=76717375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110407357.1A Active CN113114690B (zh) | 2021-04-15 | 2021-04-15 | 威胁事件识别方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113114690B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113408948A (zh) * | 2021-07-15 | 2021-09-17 | 恒安嘉新(北京)科技股份公司 | 一种网络资产管理方法、装置、设备和介质 |
| CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
| CN113706177A (zh) * | 2021-09-02 | 2021-11-26 | 赵琦 | 一种基于大数据安防的威胁识别方法及数据安防服务器 |
| CN114218566A (zh) * | 2021-12-06 | 2022-03-22 | 辽宁融汇互联网科技有限公司 | 一种结合人工智能的远程办公威胁行为分析方法及介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017128693A1 (de) * | 2016-12-07 | 2018-06-07 | General Electric Company | Merkmal- und Grenzeinstellung zur Bedrohungserkennung in einem industriellen Anlagensteuersystem |
| CN110826617A (zh) * | 2019-10-31 | 2020-02-21 | 中国人民公安大学 | 态势要素分类方法及其模型的训练方法、装置及服务器 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| CN111935137A (zh) * | 2020-08-08 | 2020-11-13 | 詹能勇 | 基于大数据和人工智能的通信信息处理方法及云计算平台 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN112187710A (zh) * | 2020-08-17 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
| CN112272176A (zh) * | 2020-10-23 | 2021-01-26 | 常州市同济科技有限公司 | 一种基于大数据平台的网络安全防护方法及系统 |
| CN112367334A (zh) * | 2020-11-23 | 2021-02-12 | 中国科学院信息工程研究所 | 网络流量识别方法、装置、电子设备和存储介质 |
| CN112395608A (zh) * | 2020-12-14 | 2021-02-23 | 深圳中兴网信科技有限公司 | 网络安全威胁监测方法、装置和可读存储介质 |
-
2021
- 2021-04-15 CN CN202110407357.1A patent/CN113114690B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| DE102017128693A1 (de) * | 2016-12-07 | 2018-06-07 | General Electric Company | Merkmal- und Grenzeinstellung zur Bedrohungserkennung in einem industriellen Anlagensteuersystem |
| CN110826617A (zh) * | 2019-10-31 | 2020-02-21 | 中国人民公安大学 | 态势要素分类方法及其模型的训练方法、装置及服务器 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| CN111935137A (zh) * | 2020-08-08 | 2020-11-13 | 詹能勇 | 基于大数据和人工智能的通信信息处理方法及云计算平台 |
| CN112187710A (zh) * | 2020-08-17 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
| CN112134877A (zh) * | 2020-09-22 | 2020-12-25 | 北京华赛在线科技有限公司 | 网络威胁检测方法、装置、设备及存储介质 |
| CN112272176A (zh) * | 2020-10-23 | 2021-01-26 | 常州市同济科技有限公司 | 一种基于大数据平台的网络安全防护方法及系统 |
| CN112367334A (zh) * | 2020-11-23 | 2021-02-12 | 中国科学院信息工程研究所 | 网络流量识别方法、装置、电子设备和存储介质 |
| CN112395608A (zh) * | 2020-12-14 | 2021-02-23 | 深圳中兴网信科技有限公司 | 网络安全威胁监测方法、装置和可读存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113408948A (zh) * | 2021-07-15 | 2021-09-17 | 恒安嘉新(北京)科技股份公司 | 一种网络资产管理方法、装置、设备和介质 |
| CN113556354A (zh) * | 2021-07-29 | 2021-10-26 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
| CN113556354B (zh) * | 2021-07-29 | 2022-03-01 | 国家工业信息安全发展研究中心 | 一种基于流量分析的工业互联网安全威胁检测方法与系统 |
| CN113706177A (zh) * | 2021-09-02 | 2021-11-26 | 赵琦 | 一种基于大数据安防的威胁识别方法及数据安防服务器 |
| CN114218566A (zh) * | 2021-12-06 | 2022-03-22 | 辽宁融汇互联网科技有限公司 | 一种结合人工智能的远程办公威胁行为分析方法及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113114690B (zh) | 2022-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113114690B (zh) | 威胁事件识别方法、装置、设备及存储介质 | |
| CN111277578A (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
| CN111147513B (zh) | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 | |
| CN110324323B (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN114301712B (zh) | 一种基于图方法的工业互联网告警日志关联分析方法及系统 | |
| CN112114995A (zh) | 基于进程的终端异常分析方法、装置、设备及存储介质 | |
| CN109144023A (zh) | 一种工业控制系统的安全检测方法和设备 | |
| CN114070629A (zh) | 针对apt攻击的安全编排与自动化响应方法、装置及系统 | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN114039758A (zh) | 一种基于事件检测模式的网络安全威胁识别方法 | |
| CN114297661A (zh) | 一种漏洞的去重处理方法、装置、设备及存储介质 | |
| CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 | |
| RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
| CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
| CN112925805A (zh) | 基于网络安全的大数据智能分析应用方法 | |
| KR20070077517A (ko) | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 | |
| CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及系统 | |
| CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
| EP3826242B1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device | |
| CN114221805A (zh) | 一种工业互联网数据的监测方法、装置、设备及介质 | |
| CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN114372497A (zh) | 多模态安全数据分类方法和分类系统 | |
| Yu et al. | Mining anomaly communication patterns for industrial control systems | |
| CN113296831B (zh) | 应用标识的提取方法、装置、计算机设备及存储介质 | |
| CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |