CN113360892B - 攻击路径还原方法和装置、计算机可读存储介质 - Google Patents
攻击路径还原方法和装置、计算机可读存储介质 Download PDFInfo
- Publication number
- CN113360892B CN113360892B CN202010143271.8A CN202010143271A CN113360892B CN 113360892 B CN113360892 B CN 113360892B CN 202010143271 A CN202010143271 A CN 202010143271A CN 113360892 B CN113360892 B CN 113360892B
- Authority
- CN
- China
- Prior art keywords
- attack
- real
- log
- learning model
- path restoration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000003860 storage Methods 0.000 title claims abstract description 11
- 230000009471 action Effects 0.000 claims abstract description 41
- 230000006399 behavior Effects 0.000 claims description 56
- 230000002159 abnormal effect Effects 0.000 claims description 39
- 238000012544 monitoring process Methods 0.000 claims description 39
- 230000007123 defense Effects 0.000 claims description 29
- 238000004519 manufacturing process Methods 0.000 claims description 27
- 244000035744 Hura crepitans Species 0.000 claims description 22
- 238000004458 analytical method Methods 0.000 claims description 12
- 238000012549 training Methods 0.000 claims description 12
- 238000004140 cleaning Methods 0.000 claims description 5
- 238000011084 recovery Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种攻击路径还原方法和装置、计算机可读存储介质。该攻击路径还原方法包括:将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。本公开可以实现对攻守双方动作级的行为比对和攻击行为还原。
Description
技术领域
本公开涉及安全攻防领域,特别涉及一种攻击路径还原方法和装置、计算机可读存储介质。
背景技术
企业内部攻防演练中,攻击方采用各种漏洞利用工具或人工手段发动攻击,最终获取管理员权限或者获取重要数据,在攻击实现的过程中,暴露出了企业资产以及安全管理的各种漏洞,同时也能反映企业安全防护所面临的问题。
发明内容
发明人通过研究发现:在相关技术的企业内部攻防演练中,对于演练暴露问题的总结分析停留在统计级的模糊分析,很少将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对。
鉴于以上技术问题中的至少一项,本公开提供了一种攻击路径还原方法和装置、计算机可读存储介质,可以实现对攻守双方动作级的行为比对和攻击行为还原。
根据本公开的一个方面,提供一种攻击路径还原方法,包括:
将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。
在本公开的一些实施例中,所述将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原包括:
采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;
采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原。
在本公开的一些实施例中,所述采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型包括:
采用攻击脚本在沙箱环境下自动发起攻击;
获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值;
根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型。
在本公开的一些实施例中,所述采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原包括:
采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析;
对现实攻击行为进行汇总,形成有效路径识别结果;
将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对。
在本公开的一些实施例中,所述采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析包括:
获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值;
对现实攻击日志进行汇聚,对现实攻击的异常流量监测值进行流量清洗;
对现实攻击进行重新分类;
采用智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
在本公开的一些实施例中,所述对现实攻击行为进行汇总包括:
汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击。
根据本公开的另一方面,提供一种攻击路径还原装置,包括:
精准比对模块,用于将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。
在本公开的一些实施例中,所述攻击路径还原装置用于执行实现如上述任一实施例所述的攻击路径还原方法的操作。
根据本公开的另一方面,提供一种攻击路径还原装置,包括:
存储器,用于存储指令;
处理器,用于执行所述指令,使得所述攻击路径还原装置执行实现如上述任一实施例所述的攻击路径还原方法的操作。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例所述的攻击路径还原方法。
本公开可以实现对攻守双方动作级的行为比对和攻击行为还原。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为相关技术攻防演练一些实施例的示意图。
图2为本公开攻击路径还原方法一些实施例的示意图。
图3为本公开攻击路径还原方法另一些实施例的示意图。
图4为本公开攻击路径还原装置一些实施例的示意图。
图5为本公开攻击路径还原装置另一些实施例的示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为相关技术攻防演练一些实施例的示意图。在图1所示的相关技术的企业内部攻防演练中,对于演练暴露问题的总结分析停留在统计级的模糊分析,很少将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对。
发明人通过研究发现:在相关技术的攻防演练中攻击方和防守方是割裂开来的,防守方仅从自身角度对防守日志和流量进行分析,获得的有关攻击的信息是很有限的,攻防演练的效果也停留在表面。
图2为本公开攻击路径还原方法一些实施例的示意图。优选的,本实施例可由本公开攻击路径还原装置执行。该方法包括以下步骤:
步骤1,将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。
在本公开的一些实施例中,步骤1可以包括步骤11和步骤12,其中:
步骤11,采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型。
在本公开的一些实施例中,步骤11可以包括:采用攻击脚本在沙箱环境下自动发起攻击;获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值;根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型。
步骤12,采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原。
在本公开的一些实施例中,步骤12可以包括步骤121-步骤123,其中:
步骤121,采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析。
在本公开的一些实施例中,步骤121可以包括:获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值;对现实攻击日志进行汇聚,对现实攻击的异常流量监测值进行流量清洗;对现实攻击进行重新分类;采用智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
步骤122,对现实攻击行为进行汇总,形成有效路径识别结果。
在本公开的一些实施例中,步骤122可以包括:汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击。
步骤123,将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对,以实现攻击路径还原和攻击行为还原。
基于本公开上述实施例提供的攻击路径还原方法,是一种基于日志分析的实现攻防演练中攻击路径还原的方法,通过将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原。
本公开上述实施例在传统的防守方视角上,加入了攻击方的视角,采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析;与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,从而实现攻击路径还原。
图3为本公开攻击路径还原方法另一些实施例的示意图。优选的,本实施例可由本公开攻击路径还原装置执行。该方法包括以下步骤:
步骤301,采用攻击脚本在沙箱环境下自动发起攻击。
步骤302,沙箱环境下,防守方对攻击脚本自动发起的攻击进行监测和拦截。
步骤303,获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值。
步骤304,根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型,执行步骤311。
步骤305,对生产环境中发起现实攻击。生产环境中的防守方对现实攻击进行拦截,则现实攻击转变攻击实录;否则,若生产环境中的防守方未对现实攻击进行拦截,则现实攻击进行进一步攻击。
步骤306,汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击。
步骤307,根据对现实攻击行为的汇总,形成有效路径识别结果;之后,执行步骤312。
步骤308,获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值。
步骤309,对现实攻击日志进行汇聚;对现实攻击的异常流量监测值进行流量清洗。
步骤310,对现实攻击进行重新分类。
步骤311,采用步骤304获得的智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
步骤312,将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对,实现攻击行为还原和攻击路径还原。
本公开上述实施例提供了一种基于日志分析的实现攻防演练中攻守双方动作级的行为比对和攻击路径还原的方法。
本公开上述实施例可以对抗式评估中复盘总结阶段对模拟演练阶段中攻守双方的表现进行精准比对分析,通过对比攻击方和防守方的记录从攻方对漏洞利用程度、守方对攻击行为检测程度、攻方遭遇的防护手段等角度对企业内部数据资产安全性进行综合评估。
本公开上述实施例可以实现对攻守双方动作级的行为比对和攻击行为还原。
图4为本公开攻击路径还原装置一些实施例的示意图。本公开攻击路径还原装置可以包括精准比对模块41,其中:
精准比对模块41,用于将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原。
在本公开的一些实施例中,精准比对模块41可以用于采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原。
在本公开的一些实施例中,精准比对模块41在采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型的情况下,可以用于采用攻击脚本在沙箱环境下自动发起攻击;获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值;根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型。
在本公开的一些实施例中,精准比对模块41在采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原的情况下,可以用于采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析;对现实攻击行为进行汇总,形成有效路径识别结果;将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对。
在本公开的一些实施例中,精准比对模块41在采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析的情况下,可以用于获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值;对现实攻击日志进行汇聚,对现实攻击的异常流量监测值进行流量清洗;对现实攻击进行重新分类;采用智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
在本公开的一些实施例中,精准比对模块41在对现实攻击行为进行汇总的情况下,可以用于汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击。
在本公开的一些实施例中,所述攻击路径还原装置可以用于执行实现如上述任一实施例(例如图2或图3实施例)所述的攻击路径还原方法的操作。
本公开上述实施例可以通过将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原。
图5为本公开攻击路径还原装置另一些实施例的示意图。本公开攻击路径还原装置可以包括存储器51和处理器52,其中:
存储器51,用于存储指令。
处理器52,用于执行所述指令,使得所述攻击路径还原装置执行实现如上述任一实施例(例如图2或图3实施例)所述的攻击路径还原方法的操作。
本公开上述实施例可以采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,从而实现攻击路径还原。
根据本公开的另一方面,提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如上述任一实施例(例如图2或图3实施例)所述的攻击路径还原方法。
基于本公开上述实施例提供的计算机可读存储介质,通过将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原。
本公开上述实施例在传统的防守方视角上,加入了攻击方的视角,采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析;与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,从而实现攻击路径还原。
在上面所描述的攻击路径还原装置可以实现为用于执行本申请所描述功能的通用处理器、可编程逻辑控制器(PLC)、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指示相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (7)
1.一种攻击路径还原方法,其特征在于,包括:
将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原;
其中,所述将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现对攻击行为的还原包括:
采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;
采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原;
其中,所述采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原包括:
采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析;
汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击;
对现实攻击行为进行汇总,形成有效路径识别结果;
将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对,以实现攻击路径还原,其中,防守方的操作包括防守方的拦截操作。
2.根据权利要求1所述的攻击路径还原方法,其特征在于,所述采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型包括:
采用攻击脚本在沙箱环境下自动发起攻击;
获取攻击脚本在沙箱环境下自动发起攻击的日志和异常流量监测值;
根据所述日志和异常流量监测值作为学习样本,对学习模型进行模型训练,得到智能化学习模型。
3.根据权利要求1或2所述的攻击路径还原方法,其特征在于,所述采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析包括:
获取现实攻击对生产环境发起攻击情况下产生的现实攻击日志和现实攻击的异常流量监测值;
对现实攻击日志进行汇聚,对现实攻击的异常流量监测值进行流量清洗;
对现实攻击进行重新分类;
采用智能化学习模型现实攻击日志和现实攻击的异常流量监测值进行分析。
4.一种攻击路径还原装置,其特征在于,包括:
精准比对模块,用于将攻击方的攻击操作和防守方的告警记录和操作进行动作级的精准比对,实现攻击路径还原;
其中,精准比对模块,用于采用攻击脚本在沙箱环境下发起攻击,利用形成的日志和流量进行模型的训练,形成智能化学习模型;采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原;
其中,精准比对模块,用于在采用智能化学习模型对生产环境中发起的现实攻击生成的日志进行分析,与攻击行为汇总形成的有效路径识别进行攻守双方动作级的行为比对,以实现攻击路径还原的情况下,采用智能化学习模型对生产环境中发起的现实攻击生成的现实攻击日志和现实攻击的异常流量监测值进行分析;汇总初始现实攻击行为以及现实攻击被拦截后的进一步的现实攻击;对现实攻击行为进行汇总,形成有效路径识别结果;将现实攻击日志和现实攻击的异常流量监测值的分析结果,与攻击行为汇总形成的有效路径识别结果进行攻守双方动作级的行为比对。
5.根据权利要求4所述的攻击路径还原装置,其特征在于,所述攻击路径还原装置用于执行实现如权利要求2-3中任一项所述的攻击路径还原方法的操作。
6.一种攻击路径还原装置,其特征在于,包括:
存储器,用于存储指令;
处理器,用于执行所述指令,使得所述攻击路径还原装置执行实现如权利要求1-3中任一项所述的攻击路径还原方法的操作。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1-3中任一项所述的攻击路径还原方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010143271.8A CN113360892B (zh) | 2020-03-04 | 2020-03-04 | 攻击路径还原方法和装置、计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010143271.8A CN113360892B (zh) | 2020-03-04 | 2020-03-04 | 攻击路径还原方法和装置、计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113360892A CN113360892A (zh) | 2021-09-07 |
CN113360892B true CN113360892B (zh) | 2023-12-01 |
Family
ID=77523401
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010143271.8A Active CN113360892B (zh) | 2020-03-04 | 2020-03-04 | 攻击路径还原方法和装置、计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113360892B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
CN109361534A (zh) * | 2018-09-20 | 2019-02-19 | 中国航天系统科学与工程研究院 | 一种网络安全模拟系统 |
CN110166483A (zh) * | 2019-06-04 | 2019-08-23 | 南方电网科学研究院有限责任公司 | 一种电网故障以及网络攻击的辨识方法、装置及设备 |
CN110191083A (zh) * | 2019-03-20 | 2019-08-30 | 中国科学院信息工程研究所 | 面向高级持续性威胁的安全防御方法、装置与电子设备 |
WO2019222662A1 (en) * | 2018-05-18 | 2019-11-21 | Nehemiah Security, Llc | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful |
CN110602047A (zh) * | 2019-08-14 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 面向网络攻防的多步攻击动态防御决策选取方法及系统 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10699008B2 (en) * | 2017-05-17 | 2020-06-30 | Threatmodeler Software Inc. | Threat model chaining and attack simulation systems and related methods |
-
2020
- 2020-03-04 CN CN202010143271.8A patent/CN113360892B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
WO2019222662A1 (en) * | 2018-05-18 | 2019-11-21 | Nehemiah Security, Llc | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful |
CN109361534A (zh) * | 2018-09-20 | 2019-02-19 | 中国航天系统科学与工程研究院 | 一种网络安全模拟系统 |
CN110191083A (zh) * | 2019-03-20 | 2019-08-30 | 中国科学院信息工程研究所 | 面向高级持续性威胁的安全防御方法、装置与电子设备 |
CN110166483A (zh) * | 2019-06-04 | 2019-08-23 | 南方电网科学研究院有限责任公司 | 一种电网故障以及网络攻击的辨识方法、装置及设备 |
CN110602047A (zh) * | 2019-08-14 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 面向网络攻防的多步攻击动态防御决策选取方法及系统 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113360892A (zh) | 2021-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Suciu et al. | When does machine learning {FAIL}? generalized transferability for evasion and poisoning attacks | |
KR102590773B1 (ko) | 선제적 사이버 방어 | |
US10708296B2 (en) | Malware detection based on training using automatic feature pruning with anomaly detection of execution graphs | |
Xie et al. | Pagoda: A hybrid approach to enable efficient real-time provenance based intrusion detection in big data environments | |
CN116405246A (zh) | 一种基于攻防结合的漏洞利用链构建技术 | |
JP2023549284A (ja) | 分散型テレメトリデータ分析によるマルウェア検出 | |
CN114090406A (zh) | 电力物联网设备行为安全检测方法、系统、设备及存储介质 | |
Tidjon et al. | Threat assessment in machine learning based systems | |
CN113360892B (zh) | 攻击路径还原方法和装置、计算机可读存储介质 | |
CN110581857B (zh) | 一种虚拟执行的恶意软件检测方法及系统 | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
CN110414233A (zh) | 恶意代码检测方法及装置 | |
CN115604032A (zh) | 一种电力系统复杂多步攻击检测方法及系统 | |
CN113645286B (zh) | 一种面向数据泄露的Web安全事件取证方法及系统 | |
US20200382552A1 (en) | Replayable hacktraps for intruder capture with reduced impact on false positives | |
Sweet | Synthesizing cyber intrusion alerts using generative adversarial networks | |
Shrestha et al. | Provsec: Cybersecurity system provenance analysis benchmark dataset | |
JP7341380B2 (ja) | ログ処理装置、ログ処理方法及びログ処理プログラム | |
Văduva et al. | ADREM: System Call Based Intrusion Detection Framework. | |
CN113919514B (zh) | 一种基于威胁情报的样本数据获取方法及装置 | |
Locasto et al. | Bloodhound: Searching Out Malicious Input in Network Flows for Automatic Repair Validation | |
CN114925363B (zh) | 基于递归神经网络的云在线恶意软件检测方法 | |
US20240303344A1 (en) | Methods, systems, and computer readable media for breach and attack simulation | |
Suciu et al. | Technical Report: When Does Machine Learning FAIL? Generalized Transferability for Evasion and Poisoning Attacks | |
Raghuram et al. | Multistage N/W Intrusion-Detection system implementation through DL and Image Classification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |