CN113360892B - 攻击路径还原方法和装置、计算机可读存储介质 - Google Patents

攻击路径还原方法和装置、计算机可读存储介质 Download PDF

Info

Publication number
CN113360892B
CN113360892B CN202010143271.8A CN202010143271A CN113360892B CN 113360892 B CN113360892 B CN 113360892B CN 202010143271 A CN202010143271 A CN 202010143271A CN 113360892 B CN113360892 B CN 113360892B
Authority
CN
China
Prior art keywords
attack
real
log
learning model
path restoration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010143271.8A
Other languages
English (en)
Other versions
CN113360892A (zh
Inventor
黄玉娈
何昆
吴吞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202010143271.8A priority Critical patent/CN113360892B/zh
Publication of CN113360892A publication Critical patent/CN113360892A/zh
Application granted granted Critical
Publication of CN113360892B publication Critical patent/CN113360892B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本公开涉及一种攻击路径还原方法和装置、计算机可读存储介质。该攻击路径还原方法包括:将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。本公开可以实现对攻守双方动作级的行为比对和攻击行为还原。

Description

攻击路径还原方法和装置、计算机可读存储介质
技术领域
本公开涉及安全攻防领域,特别涉及一种攻击路径还原方法和装置、计算机可读存储介质。
背景技术
企业内部攻防演练中,攻击方采用各种漏洞利用工具或人工手段发动攻击,最终获取管理员权限或者获取重要数据,在攻击实现的过程中,暴露出了企业资产以及安全管理的各种漏洞,同时也能反映企业安全防护所面临的问题。
发明内容
发明人通过研究发现:在相关技术的企业内部攻防演练中,对于演练暴露问题的总结分析停留在统计级的模糊分析,很少将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对。
鉴于以上技术问题中的至少一项,本公开提供了一种攻击路径还原方法和装置、计算机可读存储介质,可以实现对攻守双方动作级的行为比对和攻击行为还原。
根据本公开的一个方面,提供一种攻击路径还原方法,包括:
将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。
在本公开的一些实施例中,所述将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原包括:
采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;
采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原。
在本公开的一些实施例中,所述采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型包括:
采用攻击脚本在沙箱环境下自动发起攻击;
获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值;
根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型。
在本公开的一些实施例中,所述采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原包括:
采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析;
对现实攻击行为进行汇总,形成有效路径识别结果;
将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对。
在本公开的一些实施例中,所述采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析包括:
获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值;
对现实攻击日志进行汇聚,对现实攻击的异常流量监测值进行流量清洗;
对现实攻击进行重新分类;
采用智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
在本公开的一些实施例中,所述对现实攻击行为进行汇总包括:
汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击。
根据本公开的另一方面,提供一种攻击路径还原装置,包括:
精准比对模块,用于将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。
在本公开的一些实施例中,所述攻击路径还原装置用于执行实现如上述任一实施例所述的攻击路径还原方法的操作。
根据本公开的另一方面,提供一种攻击路径还原装置,包括:
存储器,用于存储指令;
处理器,用于执行所述指令,使得所述攻击路径还原装置执行实现如上述任一实施例所述的攻击路径还原方法的操作。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例所述的攻击路径还原方法。
本公开可以实现对攻守双方动作级的行为比对和攻击行为还原。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为相关技术攻防演练一些实施例的示意图。
图2为本公开攻击路径还原方法一些实施例的示意图。
图3为本公开攻击路径还原方法另一些实施例的示意图。
图4为本公开攻击路径还原装置一些实施例的示意图。
图5为本公开攻击路径还原装置另一些实施例的示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为相关技术攻防演练一些实施例的示意图。在图1所示的相关技术的企业内部攻防演练中,对于演练暴露问题的总结分析停留在统计级的模糊分析,很少将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对。
发明人通过研究发现:在相关技术的攻防演练中攻击方和防守方是割裂开来的,防守方仅从自身角度对防守日志和流量进行分析,获得的有关攻击的信息是很有限的,攻防演练的效果也停留在表面。
图2为本公开攻击路径还原方法一些实施例的示意图。优选的,本实施例可由本公开攻击路径还原装置执行。该方法包括以下步骤:
步骤1,将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。
在本公开的一些实施例中,步骤1可以包括步骤11和步骤12,其中:
步骤11,采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型。
在本公开的一些实施例中,步骤11可以包括:采用攻击脚本在沙箱环境下自动发起攻击;获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值;根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型。
步骤12,采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原。
在本公开的一些实施例中,步骤12可以包括步骤121-步骤123,其中:
步骤121,采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析。
在本公开的一些实施例中,步骤121可以包括:获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值;对现实攻击日志进行汇聚,对现实攻击的异常流量监测值进行流量清洗;对现实攻击进行重新分类;采用智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
步骤122,对现实攻击行为进行汇总,形成有效路径识别结果。
在本公开的一些实施例中,步骤122可以包括:汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击。
步骤123,将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对,以实现攻击路径还原和攻击行为还原。
基于本公开上述实施例提供的攻击路径还原方法,是一种基于日志分析的实现攻防演练中攻击路径还原的方法,通过将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原。
本公开上述实施例在传统的防守方视角上,加入了攻击方的视角,采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析;与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,从而实现攻击路径还原。
图3为本公开攻击路径还原方法另一些实施例的示意图。优选的,本实施例可由本公开攻击路径还原装置执行。该方法包括以下步骤:
步骤301,采用攻击脚本在沙箱环境下自动发起攻击。
步骤302,沙箱环境下,防守方对攻击脚本自动发起的攻击进行监测和拦截。
步骤303,获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值。
步骤304,根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型,执行步骤311。
步骤305,对生产环境中发起现实攻击。生产环境中的防守方对现实攻击进行拦截,则现实攻击转变攻击实录;否则,若生产环境中的防守方未对现实攻击进行拦截,则现实攻击进行进一步攻击。
步骤306,汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击。
步骤307,根据对现实攻击行为的汇总,形成有效路径识别结果;之后,执行步骤312。
步骤308,获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值。
步骤309,对现实攻击日志进行汇聚;对现实攻击的异常流量监测值进行流量清洗。
步骤310,对现实攻击进行重新分类。
步骤311,采用步骤304获得的智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
步骤312,将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对,实现攻击行为还原和攻击路径还原。
本公开上述实施例提供了一种基于日志分析的实现攻防演练中攻守双方动作级的行为比对和攻击路径还原的方法。
本公开上述实施例可以对抗式评估中复盘总结阶段对模拟演练阶段中攻守双方的表现进行精准比对分析,通过对比攻击方和防守方的记录从攻方对漏洞利用程度、守方对攻击行为检测程度、攻方遭遇的防护手段等角度对企业内部数据资产安全性进行综合评估。
本公开上述实施例可以实现对攻守双方动作级的行为比对和攻击行为还原。
图4为本公开攻击路径还原装置一些实施例的示意图。本公开攻击路径还原装置可以包括精准比对模块41,其中:
精准比对模块41,用于将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。
在本公开的一些实施例中,精准比对模块41可以用于采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原。
在本公开的一些实施例中,精准比对模块41在采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型的情况下,可以用于采用攻击脚本在沙箱环境下自动发起攻击;获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值;根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型。
在本公开的一些实施例中,精准比对模块41在采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原的情况下,可以用于采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析;对现实攻击行为进行汇总,形成有效路径识别结果;将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对。
在本公开的一些实施例中,精准比对模块41在采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析的情况下,可以用于获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值;对现实攻击日志进行汇聚,对现实攻击的异常流量监测值进行流量清洗;对现实攻击进行重新分类;采用智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
在本公开的一些实施例中,精准比对模块41在对现实攻击行为进行汇总的情况下,可以用于汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击。
在本公开的一些实施例中,所述攻击路径还原装置可以用于执行实现如上述任一实施例(例如图2或图3实施例)所述的攻击路径还原方法的操作。
本公开上述实施例可以通过将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原。
图5为本公开攻击路径还原装置另一些实施例的示意图。本公开攻击路径还原装置可以包括存储器51和处理器52,其中:
存储器51,用于存储指令。
处理器52,用于执行所述指令,使得所述攻击路径还原装置执行实现如上述任一实施例(例如图2或图3实施例)所述的攻击路径还原方法的操作。
本公开上述实施例可以采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,从而实现攻击路径还原。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例(例如图2或图3实施例)所述的攻击路径还原方法。
基于本公开上述实施例提供的计算机可读存储介质,通过将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原。
本公开上述实施例在传统的防守方视角上,加入了攻击方的视角,采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析;与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,从而实现攻击路径还原。
在上面所描述的攻击路径还原装置可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指示相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。

Claims (7)

1.一种攻击路径还原方法,其特征在于,包括:
将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原;
其中,所述将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原包括:
采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;
采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原;
其中,所述采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原包括:
采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析;
汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击;
对现实攻击行为进行汇总,形成有效路径识别结果;
将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对,以实现攻击路径还原,其中,防守方的操作包括防守方的拦截操作。
2.根据权利要求1所述的攻击路径还原方法,其特征在于,所述采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型包括:
采用攻击脚本在沙箱环境下自动发起攻击;
获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值;
根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型。
3.根据权利要求1或2所述的攻击路径还原方法,其特征在于,所述采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析包括:
获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值;
对现实攻击日志进行汇聚,对现实攻击的异常流量监测值进行流量清洗;
对现实攻击进行重新分类;
采用智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
4.一种攻击路径还原装置,其特征在于,包括:
精准比对模块,用于将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原;
其中,精准比对模块,用于采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原;
其中,精准比对模块,用于在采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原的情况下,采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析;汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击;对现实攻击行为进行汇总,形成有效路径识别结果;将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对。
5.根据权利要求4所述的攻击路径还原装置,其特征在于,所述攻击路径还原装置用于执行实现如权利要求2-3中任一项所述的攻击路径还原方法的操作。
6.一种攻击路径还原装置,其特征在于,包括:
存储器,用于存储指令;
处理器,用于执行所述指令,使得所述攻击路径还原装置执行实现如权利要求1-3中任一项所述的攻击路径还原方法的操作。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1-3中任一项所述的攻击路径还原方法。
CN202010143271.8A 2020-03-04 2020-03-04 攻击路径还原方法和装置、计算机可读存储介质 Active CN113360892B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010143271.8A CN113360892B (zh) 2020-03-04 2020-03-04 攻击路径还原方法和装置、计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010143271.8A CN113360892B (zh) 2020-03-04 2020-03-04 攻击路径还原方法和装置、计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113360892A CN113360892A (zh) 2021-09-07
CN113360892B true CN113360892B (zh) 2023-12-01

Family

ID=77523401

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010143271.8A Active CN113360892B (zh) 2020-03-04 2020-03-04 攻击路径还原方法和装置、计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113360892B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
CN109361534A (zh) * 2018-09-20 2019-02-19 中国航天系统科学与工程研究院 一种网络安全模拟系统
CN110166483A (zh) * 2019-06-04 2019-08-23 南方电网科学研究院有限责任公司 一种电网故障以及网络攻击的辨识方法、装置及设备
CN110191083A (zh) * 2019-03-20 2019-08-30 中国科学院信息工程研究所 面向高级持续性威胁的安全防御方法、装置与电子设备
WO2019222662A1 (en) * 2018-05-18 2019-11-21 Nehemiah Security, Llc Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful
CN110602047A (zh) * 2019-08-14 2019-12-20 中国人民解放军战略支援部队信息工程大学 面向网络攻防的多步攻击动态防御决策选取方法及系统
CN110764969A (zh) * 2019-10-25 2020-02-07 新华三信息安全技术有限公司 网络攻击溯源方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10699008B2 (en) * 2017-05-17 2020-06-30 Threatmodeler Software Inc. Threat model chaining and attack simulation systems and related methods

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103824069A (zh) * 2014-03-19 2014-05-28 北京邮电大学 一种基于多主机日志关联的入侵检测方法
WO2019222662A1 (en) * 2018-05-18 2019-11-21 Nehemiah Security, Llc Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful
CN109361534A (zh) * 2018-09-20 2019-02-19 中国航天系统科学与工程研究院 一种网络安全模拟系统
CN110191083A (zh) * 2019-03-20 2019-08-30 中国科学院信息工程研究所 面向高级持续性威胁的安全防御方法、装置与电子设备
CN110166483A (zh) * 2019-06-04 2019-08-23 南方电网科学研究院有限责任公司 一种电网故障以及网络攻击的辨识方法、装置及设备
CN110602047A (zh) * 2019-08-14 2019-12-20 中国人民解放军战略支援部队信息工程大学 面向网络攻防的多步攻击动态防御决策选取方法及系统
CN110764969A (zh) * 2019-10-25 2020-02-07 新华三信息安全技术有限公司 网络攻击溯源方法及装置

Also Published As

Publication number Publication date
CN113360892A (zh) 2021-09-07

Similar Documents

Publication Publication Date Title
US11824890B2 (en) Malware detection based on training using automatic feature pruning with anomaly detection of execution graphs
Suciu et al. When does machine learning {FAIL}? generalized transferability for evasion and poisoning attacks
KR102590773B1 (ko) 선제적 사이버 방어
Holm A large-scale study of the time required to compromise a computer system
Khosravi et al. Alerts correlation and causal analysis for APT based cyber attack detection
CN112637108B (zh) 一种基于异常检测和情感分析的内部威胁分析方法及系统
CN116405246A (zh) 一种基于攻防结合的漏洞利用链构建技术
CN114090406A (zh) 电力物联网设备行为安全检测方法、系统、设备及存储介质
JP2023549284A (ja) 分散型テレメトリデータ分析によるマルウェア検出
Yang et al. {PROGRAPHER}: An Anomaly Detection System based on Provenance Graph Embedding
CN113360892B (zh) 攻击路径还原方法和装置、计算机可读存储介质
CN110581857B (zh) 一种虚拟执行的恶意软件检测方法及系统
Gulmez et al. Analysis of the dynamic features on ransomware detection using deep learning-based methods
CN111104670B (zh) 一种apt攻击的识别和防护方法
Hakimov et al. Algorithm for the development of information repositories for storing confidential information
CN110414233A (zh) 恶意代码检测方法及装置
CN113645286B (zh) 一种面向数据泄露的Web安全事件取证方法及系统
Komarudin et al. Exploring The Effectiveness of Artificial Intelligence in Detecting Malware and Improving Cybersecurity in Computer Networks
Sweet Synthesizing cyber intrusion alerts using generative adversarial networks
Shrestha et al. Provsec: Cybersecurity system provenance analysis benchmark dataset
WO2020190293A1 (en) Replayable hacktraps for intruder capture with reduced impact on false positives
JP7341380B2 (ja) ログ処理装置、ログ処理方法及びログ処理プログラム
Văduva et al. ADREM: System Call Based Intrusion Detection Framework.
CN113919514B (zh) 一种基于威胁情报的样本数据获取方法及装置
Locasto et al. Bloodhound: Searching Out Malicious Input in Network Flows for Automatic Repair Validation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant