CN113691550A - 一种网络攻击知识图谱的行为预测系统 - Google Patents

一种网络攻击知识图谱的行为预测系统 Download PDF

Info

Publication number
CN113691550A
CN113691550A CN202110998430.7A CN202110998430A CN113691550A CN 113691550 A CN113691550 A CN 113691550A CN 202110998430 A CN202110998430 A CN 202110998430A CN 113691550 A CN113691550 A CN 113691550A
Authority
CN
China
Prior art keywords
data
attack
path
abnormal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110998430.7A
Other languages
English (en)
Other versions
CN113691550B (zh
Inventor
朱培灿
尹纾
高超
郭森森
李晓宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northwestern Polytechnical University
Original Assignee
Northwestern Polytechnical University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northwestern Polytechnical University filed Critical Northwestern Polytechnical University
Priority to CN202110998430.7A priority Critical patent/CN113691550B/zh
Publication of CN113691550A publication Critical patent/CN113691550A/zh
Application granted granted Critical
Publication of CN113691550B publication Critical patent/CN113691550B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computational Linguistics (AREA)
  • Animal Behavior & Ethology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络攻击知识图谱的行为预测系统,下载访问路径模型、攻击数据图谱、生成数据图谱、智能巡查模块、防护网、异常数据、恶意数据分析、关节节点匹配、攻击预测、放行、拦截、诱捕节点和蜜罐、深度分析。网络攻击知识图谱的行为预测系统,通过防护网和智能巡查模块的配合,防护网在指定的路径位置上,对各种路径数据进行检测,起到基础防护作用,同时也对恶意攻击者起到迷惑作用,而智能巡查模块通过大数据抽选,随机在路径上进行检测,如此不容易被恶意攻击者发现和捕捉,也防止恶意攻击者通过简单的补丁包等技术手段绕过防护网,如此增加的攻击者的攻击成本和攻击时间,给数据图谱提供了完善时间。

Description

一种网络攻击知识图谱的行为预测系统
技术领域
本发明涉及网络安全技术领域,具体为一种网络攻击知识图谱的行为预测系统。
背景技术
随着互联网时代的到来,互联网涉及的范围越来越广泛,为了方便人们生活,许多私企、社会组织和政府都建立了自己的网站,使许多事都可以通过网络办理,如常见的产品信息查询、社会活动信息查询、电动车牌照办理等。
互联网虽然方便,当也容易因商业竞争、恶意报复等原因遭受黑客攻击,这会给网站建立单位造成很大损失和影响,因此我们提出了一种网络攻击知识图谱的行为预测系统来解决问题。
发明内容
为了克服上述现有技术的不足,本发明的目的在于提供一种网络攻击知识图谱的行为预测系统,具有对网络攻击进行预测的作用。
本发明为实现技术目的采用如下技术方案:一种网络攻击知识图谱的行为预测系统,下载访问路径模型、攻击数据图谱、生成数据图谱、智能巡查模块、防护网、异常数据、恶意数据分析、关节节点匹配、攻击预测、放行、拦截、诱捕节点和蜜罐、深度分析;
下载访问路径模型,用于整理规范下载、访问信息,方便监控、管料、分析、预测;
攻击数据图谱,用于收录、对比具有威胁的知识图谱;
生成数据图谱,用于将恶意攻击数据整理编排,制成攻击数据图谱;
智能巡查模块,用于在随机的路径位置对数据进行检测,防止攻击者在了解防护情况后,通过特定的补丁包等技术手段跳过防护网;
防护网,用于在指定的路径位置对数据进行检测;
异常数据,经分析后发现路径数据出现无法预测的情况;
关节节点匹配,用于将新生路径信息和攻击数据图谱内数据的关键部分进行对比分析,可提高效率;
攻击预测,用于在发现新生路径信息和攻击数据图谱出现60%以上相似度时,作出受攻击预判;
恶意数据分析,用于对异常数据进行分析,判断是否为新型攻击手段;
诱捕节点和蜜罐,用于欺骗、迷惑、诱导攻击方,拖延攻击方的滞留时间;深度分析,用于对复杂数据进行分析。
一种网络攻击知识图谱的行为预测系统运行方法,步骤如下:
S1、在服务器收到访问和下载的信号时,根据信息的公网IP和信息代码生成路径模型;
S2、路径模型在执行访问或下载指令时,会经过防护网,同时智能巡查模块也会在路径模型的不同位置进行随机检测;
S3、当防护网和智能巡查模块检测到路径信息出现异常,而异常数据包括:同一公网IP的短时间内重复连续发出无用信号,启用常见代码库检索,出现无法识别的信息代码;
S4、在路径模型的异常部分生成关键节点,并将这些关键节点和攻击数据图谱内信息进行匹配对比;
S5、发现新生路径信息和攻击数据图谱出现60%以上相似度时,初步判断预测为受到攻击,开启防护,降低信号发出方的网速;
S6、对异常数据进行分析,判断是否存在恶意,其中分析内容包括:同一公网IP的短时间内重复连续发出无用信号,启用全面代码库检索,出现无法识别的信息代码,出现攻击性代码;
S7、将这些数据生成新的数据图谱,并记录保存。
S8、如果判断路径信息没有问题,则对信号放行,如果判断路径信息确有问题,对信号进行拦截,并引导其进入诱捕节点和蜜罐,拖延攻击者滞留时间;
S9、在攻击者滞留时间内对路径数据进行深度分析,完善攻击图谱。
作为优化,所述S3中会对异常数据进行危险等级划分,根据等级排列处理顺序。
作为优化,所述步骤S3中无用信号识别具体步骤:
①信号发出方向目标计算机发送一个TCPSYN报文;
②目标计算机收到这个报文后,建立TCP连接控制结构TCB,并回应一个ACK,等待发起者的回应;
③如果发起者不向目标计算机回应ACK报文,目标计算机等待30S后,自
动判断为无用信号;
④如果同一公网IP连续出现无用,则判定为异常信号;
⑤同时这一公网IP也被判定为异常信号源,攻击危险等级,实现规定时间内的信号拦截。
作为优化,所述S2中智能巡查模块有2-3条随机巡查路线,而在各路径的巡查位置是大数据抽选得到的。
作为优化,所述S9中的深度分析为通过聚类算法,详细刨析攻击代码的技术手段,并人工拆解,寻找攻击性和隐藏性的关键节点,完善数据图谱。
作为优化,所述S8中诱捕节点和蜜罐包括加载错误、网络延迟。
本发明具备以下有益效果:
1、该网络攻击知识图谱的行为预测系统,通过防护网和智能巡查模块的配合,防护网在指定的路径位置上,对各种路径数据进行检测,起到基础防护作用,同时也对恶意攻击者起到迷惑作用,而智能巡查模块通过大数据抽选,随机在路径上进行检测,如此不容易被恶意攻击者发现和捕捉,也防止恶意攻击者通过简单的补丁包等技术手段绕过防护网,如此增加的攻击者的攻击成本和攻击时间,给数据图谱提供了完善时间。
2、该网络攻击知识图谱的行为预测系统,通过分阶段式对数据对比和分析,从基础到复杂,如此在保证安全的同时,也减轻了服务器的运行负担,使其可以在同一时间内处理更多的数据。
3、该网络攻击知识图谱的行为预测系统,通过已有数据建立攻击数据图谱,并根据后续攻击信息不断完善图谱,如此在监测到异常信号时,识别关键节点,将关键节点和数据图谱进行对比(数据图谱内复杂的数据,在深度分析时,也标准的关键节点),如此减少了数据处理数据,使操作更加流程,也方便对攻击信息做出预判。
附图说明
图1为本发明模块图。
图2为本发明流程图。
图3为本发明防护图。
1、下载访问目标;2、下载访问数据;3、防护网路线;4、智能巡查路线。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
请参阅图1-3,一种网络攻击知识图谱的行为预测系统,下载访问路径模型、攻击数据图谱、生成数据图谱、智能巡查模块、防护网、异常数据、恶意数据分析、关节节点匹配、攻击预测、放行、拦截、诱捕节点和蜜罐、深度分析;
下载访问路径模型,用于整理规范下载、访问信息,方便监控、管料、分析、预测;
攻击数据图谱,用于收录、对比具有威胁的知识图谱;
生成数据图谱,用于将恶意攻击数据整理编排,制成攻击数据图谱;
智能巡查模块,用于在随机的路径位置对数据进行检测,防止攻击者在了解防护情况后,通过特定的补丁包等技术手段跳过防护网;
防护网,用于在指定的路径位置对数据进行检测;
一种网络攻击知识图谱的行为预测系统运行方法,步骤如下:
S1、在服务器收到访问和下载的信号时,根据信息的公网IP和信息代码生成路径模型;
S2、路径模型在执行访问或下载指令时,会经过防护网,同时智能巡查模块也会在路径模型的不同位置进行随机检测;
所述S2中智能巡查模块有2-3条随机巡查路线,而在各路径的巡查位置是大数据抽选得到的。
通过防护网和智能巡查模块的配合,防护网在指定的路径位置上,对各种路径数据进行检测,起到基础防护作用,同时也对恶意攻击者起到迷惑作用,而智能巡查模块通过大数据抽选,随机在路径上进行检测,如此不容易被恶意攻击者发现和捕捉,也防止恶意攻击者通过简单的补丁包等技术手段绕过防护网,如此增加的攻击者的攻击成本和攻击时间,给数据图谱提供了完善时间。
实施例2
请参阅图1-2,一种网络攻击知识图谱的行为预测系统,下载访问路径模型、攻击数据图谱、生成数据图谱、智能巡查模块、防护网、异常数据、恶意数据分析、关节节点匹配、攻击预测、放行、拦截、诱捕节点和蜜罐、深度分析;
下载访问路径模型,用于整理规范下载、访问信息,方便监控、管料、分析、预测;
攻击数据图谱,用于收录、对比具有威胁的知识图谱;
生成数据图谱,用于将恶意攻击数据整理编排,制成攻击数据图谱;
智能巡查模块,用于在随机的路径位置对数据进行检测,防止攻击者在了解防护情况后,通过特定的补丁包等技术手段跳过防护网;
防护网,用于在指定的路径位置对数据进行检测;
异常数据,经分析后发现路径数据出现无法预测的情况;
关节节点匹配,用于将新生路径信息和攻击数据图谱内数据的关键部分进行对比分析,可提高效率;
攻击预测,用于在发现新生路径信息和攻击数据图谱出现60%以上相似度时,作出受攻击预判;
恶意数据分析,用于对异常数据进行分析,判断是否为新型攻击手段;
诱捕节点和蜜罐,用于欺骗、迷惑、诱导攻击方,拖延攻击方的滞留时间;深度分析,用于对复杂数据进行分析。
一种网络攻击知识图谱的行为预测系统运行方法,步骤如下:
S1、在服务器收到访问和下载的信号时,根据信息的公网IP和信息代码生成路径模型;
S2、路径模型在执行访问或下载指令时,会经过防护网,同时智能巡查模块也会在路径模型的不同位置进行随机检测;
S3、当防护网和智能巡查模块检测到路径信息出现异常,而异常数据包括:同一公网IP的短时间内重复连续发出无用信号,启用常见代码库检索,出现无法识别的信息代码;
S4、在路径模型的异常部分生成关键节点,并将这些关键节点和攻击数据图谱内信息进行匹配对比;
S5、发现新生路径信息和攻击数据图谱出现60%以上相似度时,初步判断预测为受到攻击,开启防护,降低信号发出方的网速;
S6、对异常数据进行分析,判断是否存在恶意,其中分析内容包括:同一公网IP的短时间内重复连续发出无用信号,启用全面代码库检索,出现无法识别的信息代码,出现攻击性代码;
S7、将这些数据生成新的数据图谱,并记录保存。
S8、如果判断路径信息没有问题,则对信号放行,如果判断路径信息确有问题,对信号进行拦截,并引导其进入诱捕节点和蜜罐,拖延攻击者滞留时间;
S9、在攻击者滞留时间内对路径数据进行深度分析,完善攻击图谱。
所述S3中会对异常数据进行危险等级划分,根据等级排列处理顺序。
所述S9中的深度分析为通过聚类算法,详细刨析攻击代码的技术手段,并人工拆解,寻找攻击性和隐藏性的关键节点,完善数据图谱。
所述S8中诱捕节点和蜜罐包括加载错误、网络延迟。
通过分阶段式对数据对比和分析,从基础到复杂,如此在保证安全的同时,也减轻了服务器的运行负担,使其可以在同一时间内处理更多的数据。
实施例3
请参阅图1-2,一种网络攻击知识图谱的行为预测系统,下载访问路径模型、攻击数据图谱、生成数据图谱、智能巡查模块、防护网、异常数据、恶意数据分析、关节节点匹配、攻击预测、放行、拦截、诱捕节点和蜜罐、深度分析;
下载访问路径模型,用于整理规范下载、访问信息,方便监控、管料、分析、预测;
攻击数据图谱,用于收录、对比具有威胁的知识图谱;
生成数据图谱,用于将恶意攻击数据整理编排,制成攻击数据图谱;
智能巡查模块,用于在随机的路径位置对数据进行检测,防止攻击者在了解防护情况后,通过特定的补丁包等技术手段跳过防护网;
防护网,用于在指定的路径位置对数据进行检测;
异常数据,经分析后发现路径数据出现无法预测的情况;
关节节点匹配,用于将新生路径信息和攻击数据图谱内数据的关键部分进行对比分析,可提高效率;
攻击预测,用于在发现新生路径信息和攻击数据图谱出现60%以上相似度时,作出受攻击预判;
恶意数据分析,用于对异常数据进行分析,判断是否为新型攻击手段;
诱捕节点和蜜罐,用于欺骗、迷惑、诱导攻击方,拖延攻击方的滞留时间;深度分析,用于对复杂数据进行分析。
一种网络攻击知识图谱的行为预测系统运行方法,步骤如下:
S1、在服务器收到访问和下载的信号时,根据信息的公网IP和信息代码生成路径模型;
S2、路径模型在执行访问或下载指令时,会经过防护网,同时智能巡查模块也会在路径模型的不同位置进行随机检测;
S3、当防护网和智能巡查模块检测到路径信息出现异常,而异常数据包括:同一公网IP的短时间内重复连续发出无用信号,启用常见代码库检索,出现无法识别的信息代码;
S4、在路径模型的异常部分生成关键节点,并将这些关键节点和攻击数据图谱内信息进行匹配对比;
S5、发现新生路径信息和攻击数据图谱出现60%以上相似度时,初步判断预测为受到攻击,开启防护,降低信号发出方的网速;
S6、对异常数据进行分析,判断是否存在恶意,其中分析内容包括:同一公网IP的短时间内重复连续发出无用信号,启用全面代码库检索,出现无法识别的信息代码,出现攻击性代码;
S7、将这些数据生成新的数据图谱,并记录保存。
S8、如果判断路径信息没有问题,则对信号放行,如果判断路径信息确有问题,对信号进行拦截,并引导其进入诱捕节点和蜜罐,拖延攻击者滞留时间;
S9、在攻击者滞留时间内对路径数据进行深度分析,完善攻击图谱。
所述S3中会对异常数据进行危险等级划分,根据等级排列处理顺序。
所述步骤S3中无用信号识别具体步骤:
①信号发出方向目标计算机发送一个TCPSYN报文;
②目标计算机收到这个报文后,建立TCP连接控制结构TCB,并回应一个ACK,等待发起者的回应;
③如果发起者不向目标计算机回应ACK报文,目标计算机等待30S后,自动判断为无用信号;
④如果同一公网IP连续出现无用,则判定为异常信号;
⑤同时这一公网IP也被判定为异常信号源,攻击危险等级,实现规定时间内的信号拦截。
所述S2中智能巡查模块有2-3条随机巡查路线,而在各路径的巡查位置是大数据抽选得到的。
所述S9中的深度分析为通过聚类算法,详细刨析攻击代码的技术手段,并人工拆解,寻找攻击性和隐藏性的关键节点,完善数据图谱。
所述S8中诱捕节点和蜜罐包括加载错误、网络延迟。
通过已有数据建立攻击数据图谱,并根据后续攻击信息不断完善图谱,如此在监测到异常信号时,识别关键节点,将关键节点和数据图谱进行对比(数据图谱内复杂的数据,在深度分析时,也标准的关键节点),如此减少了数据处理数据,使操作更加流程。
实施例4
请参阅图1-3,一种网络攻击知识图谱的行为预测系统,下载访问路径模型、攻击数据图谱、生成数据图谱、智能巡查模块、防护网、异常数据、恶意数据分析、关节节点匹配、攻击预测、放行、拦截、诱捕节点和蜜罐、深度分析;
下载访问路径模型,用于整理规范下载、访问信息,方便监控、管料、分析、预测;
攻击数据图谱,用于收录、对比具有威胁的知识图谱;
生成数据图谱,用于将恶意攻击数据整理编排,制成攻击数据图谱;
智能巡查模块,用于在随机的路径位置对数据进行检测,防止攻击者在了解防护情况后,通过特定的补丁包等技术手段跳过防护网;
防护网,用于在指定的路径位置对数据进行检测;
异常数据,经分析后发现路径数据出现无法预测的情况;
关节节点匹配,用于将新生路径信息和攻击数据图谱内数据的关键部分进行对比分析,可提高效率;
攻击预测,用于在发现新生路径信息和攻击数据图谱出现60%以上相似度时,作出受攻击预判;
恶意数据分析,用于对异常数据进行分析,判断是否为新型攻击手段;
诱捕节点和蜜罐,用于欺骗、迷惑、诱导攻击方,拖延攻击方的滞留时间;深度分析,用于对复杂数据进行分析。
一种网络攻击知识图谱的行为预测系统运行方法,步骤如下:
S1、在服务器收到访问和下载的信号时,根据信息的公网IP和信息代码生成路径模型;
S2、路径模型在执行访问或下载指令时,会经过防护网,同时智能巡查模块也会在路径模型的不同位置进行随机检测;
S3、当防护网和智能巡查模块检测到路径信息出现异常,而异常数据包括:同一公网IP的短时间内重复连续发出无用信号,启用常见代码库检索,出现无法识别的信息代码;
S4、在路径模型的异常部分生成关键节点,并将这些关键节点和攻击数据图谱内信息进行匹配对比;
S5、发现新生路径信息和攻击数据图谱出现60%以上相似度时,初步判断预测为受到攻击,开启防护,降低信号发出方的网速;
S6、对异常数据进行分析,判断是否存在恶意,其中分析内容包括:同一公网IP的短时间内重复连续发出无用信号,启用全面代码库检索,出现无法识别的信息代码,出现攻击性代码;
S7、将这些数据生成新的数据图谱,并记录保存。
S8、如果判断路径信息没有问题,则对信号放行,如果判断路径信息确有问题,对信号进行拦截,并引导其进入诱捕节点和蜜罐,拖延攻击者滞留时间;
S9、在攻击者滞留时间内对路径数据进行深度分析,完善攻击图谱。
所述S3中会对异常数据进行危险等级划分,根据等级排列处理顺序。
所述步骤S3中无用信号识别具体步骤:
①信号发出方向目标计算机发送一个TCPSYN报文;
②目标计算机收到这个报文后,建立TCP连接控制结构TCB,并回应一个ACK,等待发起者的回应;
③如果发起者不向目标计算机回应ACK报文,目标计算机等待30S后,自动判断为无用信号;
④如果同一公网IP连续出现无用,则判定为异常信号;
⑤同时这一公网IP也被判定为异常信号源,攻击危险等级,实现规定时间内的信号拦截。
防止发起者一直不向目标计算机回应ACK报文,导致目标计算机一直处于等待状态,消耗计算机的运算资源。
所述S2中智能巡查模块有2-3条随机巡查路线,而在各路径的巡查位置是大数据抽选得到的。
所述S9中的深度分析为通过聚类算法,详细刨析攻击代码的技术手段,并人工拆解,寻找攻击性和隐藏性的关键节点,完善数据图谱。
所述S8中诱捕节点和蜜罐包括加载错误、网络延迟。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.一种网络攻击知识图谱的行为预测系统,其特征在于:下载访问路径模型、攻击数据图谱、生成数据图谱、智能巡查模块、防护网、异常数据、恶意数据分析、关节节点匹配、攻击预测、放行、拦截、诱捕节点和蜜罐、深度分析;
下载访问路径模型,用于整理规范下载、访问信息,方便监控、管料、分析、预测;
攻击数据图谱,用于收录、对比具有威胁的知识图谱;
生成数据图谱,用于将恶意攻击数据整理编排,制成攻击数据图谱;
智能巡查模块,用于在随机的路径位置对数据进行检测,防止攻击者在了解防护情况后,通过特定的补丁包等技术手段跳过防护网;
防护网,用于在指定的路径位置对数据进行检测;
异常数据,经分析后发现路径数据出现无法预测的情况;
关节节点匹配,用于将新生路径信息和攻击数据图谱内数据的关键部分进行对比分析,可提高效率;
攻击预测,用于在发现新生路径信息和攻击数据图谱出现60%以上相似度时,作出受攻击预判;
恶意数据分析,用于对异常数据进行分析,判断是否为新型攻击手段;
诱捕节点和蜜罐,用于欺骗、迷惑、诱导攻击方,拖延攻击方的滞留时间;
深度分析,用于对复杂数据进行分析。
2.一种根据权利要求1所述的网络攻击知识图谱的行为预测系统运行方法,其特征在于:步骤如下:
S1、在服务器收到访问和下载的信号时,根据信息的公网IP和信息代码生成路径模型;
S2、路径模型在执行访问或下载指令时,会经过防护网,同时智能巡查模块也会在路径模型的不同位置进行随机检测;
S3、当防护网和智能巡查模块检测到路径信息出现异常,而异常数据包括:同一公网IP的短时间内重复连续发出无用信号,启用常见代码库检索,出现无法识别的信息代码;
S4、在路径模型的异常部分生成关键节点,并将这些关键节点和攻击数据图谱内信息进行匹配对比;
S5、发现新生路径信息和攻击数据图谱出现60%以上相似度时,初步判断预测为受到攻击,开启防护,降低信号发出方的网速;
S6、对异常数据进行分析,判断是否存在恶意,其中分析内容包括:同一公网IP的短时间内重复连续发出无用信号,启用全面代码库检索,出现无法识别的信息代码,出现攻击性代码;
S7、将这些数据生成新的数据图谱,并记录保存。
S8、如果判断路径信息没有问题,则对信号放行,如果判断路径信息确有问题,对信号进行拦截,并引导其进入诱捕节点和蜜罐,拖延攻击者滞留时间;
S9、在攻击者滞留时间内对路径数据进行深度分析,完善攻击图谱。
3.根据权利要求2所述的一种网络攻击知识图谱的行为预测系统运行方法,其特征在于:所述S3中会对异常数据进行危险等级划分,根据等级排列处理顺序。
4.根据权利要求2所述的一种网络攻击知识图谱的行为预测系统运行方法,其特征在于:所述步骤S3中无用信号识别具体步骤:
①信号发出方向目标计算机发送一个TCP SYN报文;
②目标计算机收到这个报文后,建立TCP连接控制结构TCB,并回应一个ACK,等待发起者的回应;
③如果发起者不向目标计算机回应ACK报文,目标计算机等待30S后,自动判断为无用信号;
④如果同一公网IP连续出现无用,则判定为异常信号;
⑤同时这一公网IP也被判定为异常信号源,攻击危险等级,实现规定时间内的信号拦截。
5.根据权利要求2所述的一种网络攻击知识图谱的行为预测系统运行方法,其特征在于:所述S2中智能巡查模块有2-3条随机巡查路线,而在各路径的巡查位置是大数据抽选得到的。
6.根据权利要求2所述的一种网络攻击知识图谱的行为预测系统运行方法,其特征在于:所述S9中的深度分析为通过聚类算法,详细刨析攻击代码的技术手段,并人工拆解,寻找攻击性和隐藏性的关键节点,完善数据图谱。
7.根据权利要求2所述的一种网络攻击知识图谱的行为预测系统运行方法,其特征在于:所述S8中诱捕节点和蜜罐包括加载错误、网络延迟。
CN202110998430.7A 2021-08-27 2021-08-27 一种网络攻击知识图谱的行为预测系统 Active CN113691550B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110998430.7A CN113691550B (zh) 2021-08-27 2021-08-27 一种网络攻击知识图谱的行为预测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110998430.7A CN113691550B (zh) 2021-08-27 2021-08-27 一种网络攻击知识图谱的行为预测系统

Publications (2)

Publication Number Publication Date
CN113691550A true CN113691550A (zh) 2021-11-23
CN113691550B CN113691550B (zh) 2023-02-24

Family

ID=78583650

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110998430.7A Active CN113691550B (zh) 2021-08-27 2021-08-27 一种网络攻击知识图谱的行为预测系统

Country Status (1)

Country Link
CN (1) CN113691550B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363002A (zh) * 2021-12-07 2022-04-15 绿盟科技集团股份有限公司 一种网络攻击关系图的生成方法及装置
CN114499982A (zh) * 2021-12-29 2022-05-13 中国人民解放军国防科技大学 蜜网动态配置策略生成方法、配置方法及存储介质
CN114726631A (zh) * 2022-04-12 2022-07-08 中国电信股份有限公司 一种标识解析体系架构的安全防护方法及相关设备
CN114866353A (zh) * 2022-07-06 2022-08-05 广州锦行网络科技有限公司 高速公路网络的攻击者诱捕方法、装置以及电子设备
CN115296924A (zh) * 2022-09-22 2022-11-04 中国电子科技集团公司第三十研究所 一种基于知识图谱的网络攻击预测方法及装置

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190141058A1 (en) * 2017-11-09 2019-05-09 Accenture Global Solutions Limited Detection of adversary lateral movement in multi-domain iiot environments
CN109995793A (zh) * 2019-04-12 2019-07-09 中国人民解放军战略支援部队信息工程大学 网络动态威胁跟踪量化方法及系统
CN111371758A (zh) * 2020-02-25 2020-07-03 东南大学 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法
CN111931173A (zh) * 2020-08-14 2020-11-13 广州纬通贸易有限公司 一种基于apt攻击意图的操作权限控制方法
CN111988339A (zh) * 2020-09-07 2020-11-24 珠海市一知安全科技有限公司 一种基于dikw模型的网络攻击路径发现、提取和关联的方法
CN112422537A (zh) * 2020-11-06 2021-02-26 广州锦行网络科技有限公司 基于蜜罐实战生成的网络攻击知识图谱的行为预测方法
CN112769821A (zh) * 2021-01-07 2021-05-07 中国电子科技集团公司第十五研究所 一种基于威胁情报和att&ck的威胁响应方法及装置
CN112910851A (zh) * 2021-01-16 2021-06-04 中国电子科技集团公司第十五研究所 基于知识图谱的数据包标记溯源装置
CN113114657A (zh) * 2021-04-07 2021-07-13 西北工业大学 一种网络病毒溯源方法、系统、设备、介质、处理终端
CN113271321A (zh) * 2021-07-20 2021-08-17 成都信息工程大学 一种基于网络异常攻击的传播预测处理方法及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190141058A1 (en) * 2017-11-09 2019-05-09 Accenture Global Solutions Limited Detection of adversary lateral movement in multi-domain iiot environments
CN109995793A (zh) * 2019-04-12 2019-07-09 中国人民解放军战略支援部队信息工程大学 网络动态威胁跟踪量化方法及系统
CN111371758A (zh) * 2020-02-25 2020-07-03 东南大学 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法
CN111931173A (zh) * 2020-08-14 2020-11-13 广州纬通贸易有限公司 一种基于apt攻击意图的操作权限控制方法
CN111988339A (zh) * 2020-09-07 2020-11-24 珠海市一知安全科技有限公司 一种基于dikw模型的网络攻击路径发现、提取和关联的方法
CN112422537A (zh) * 2020-11-06 2021-02-26 广州锦行网络科技有限公司 基于蜜罐实战生成的网络攻击知识图谱的行为预测方法
CN112769821A (zh) * 2021-01-07 2021-05-07 中国电子科技集团公司第十五研究所 一种基于威胁情报和att&ck的威胁响应方法及装置
CN112910851A (zh) * 2021-01-16 2021-06-04 中国电子科技集团公司第十五研究所 基于知识图谱的数据包标记溯源装置
CN113114657A (zh) * 2021-04-07 2021-07-13 西北工业大学 一种网络病毒溯源方法、系统、设备、介质、处理终端
CN113271321A (zh) * 2021-07-20 2021-08-17 成都信息工程大学 一种基于网络异常攻击的传播预测处理方法及系统

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363002A (zh) * 2021-12-07 2022-04-15 绿盟科技集团股份有限公司 一种网络攻击关系图的生成方法及装置
CN114363002B (zh) * 2021-12-07 2023-06-09 绿盟科技集团股份有限公司 一种网络攻击关系图的生成方法及装置
CN114499982A (zh) * 2021-12-29 2022-05-13 中国人民解放军国防科技大学 蜜网动态配置策略生成方法、配置方法及存储介质
CN114499982B (zh) * 2021-12-29 2023-10-17 中国人民解放军国防科技大学 蜜网动态配置策略生成方法、配置方法及存储介质
CN114726631A (zh) * 2022-04-12 2022-07-08 中国电信股份有限公司 一种标识解析体系架构的安全防护方法及相关设备
CN114726631B (zh) * 2022-04-12 2023-10-03 中国电信股份有限公司 一种标识解析体系架构的安全防护方法及相关设备
CN114866353A (zh) * 2022-07-06 2022-08-05 广州锦行网络科技有限公司 高速公路网络的攻击者诱捕方法、装置以及电子设备
CN115296924A (zh) * 2022-09-22 2022-11-04 中国电子科技集团公司第三十研究所 一种基于知识图谱的网络攻击预测方法及装置

Also Published As

Publication number Publication date
CN113691550B (zh) 2023-02-24

Similar Documents

Publication Publication Date Title
CN113691550B (zh) 一种网络攻击知识图谱的行为预测系统
CN109922075B (zh) 网络安全知识图谱构建方法和装置、计算机设备
CN100448203C (zh) 用于识别和防止恶意入侵的系统和方法
EP3588898A1 (en) Defense against apt attack
CN1771709B (zh) 用于产生网络攻击特征标记的方法和装置
US20080201779A1 (en) Automatic extraction of signatures for malware
CN108270722B (zh) 一种攻击行为检测方法和装置
SE524963C2 (sv) Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering
WO2018099206A1 (zh) 一种apt检测方法、系统及装置
CN110266650B (zh) Conpot工控蜜罐的识别方法
KR102222377B1 (ko) 위협 대응 자동화 방법
CN111970300A (zh) 一种基于行为检查的网络入侵防御系统
CN113037785B (zh) 多层次全周期物联网设备僵尸网络防御方法、装置及设备
CN109474567B (zh) Ddos攻击溯源方法、装置、存储介质及电子设备
CN114500026A (zh) 一种网络流量处理方法、装置及存储介质
US20200213355A1 (en) Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
CN111800407B (zh) 网络攻击的防御方法、装置、电子设备及存储介质
CN113709130A (zh) 基于蜜罐系统的风险识别方法及装置
Sood et al. Wip: Slow rate http attack detection with behavioral parameters
CN113518067A (zh) 一种基于原始报文的安全分析方法
CN114301689B (zh) 校园网络安全防护方法、装置、计算设备及存储介质
CN113794674B (zh) 用于检测邮件的方法、装置和系统
CN118316634A (zh) 报文检测方法、靶场系统、安全检测设备及报文检测系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant