CN113783896A - 一种网络攻击路径追踪方法和装置 - Google Patents

一种网络攻击路径追踪方法和装置 Download PDF

Info

Publication number
CN113783896A
CN113783896A CN202111323285.9A CN202111323285A CN113783896A CN 113783896 A CN113783896 A CN 113783896A CN 202111323285 A CN202111323285 A CN 202111323285A CN 113783896 A CN113783896 A CN 113783896A
Authority
CN
China
Prior art keywords
attack
entity
network
threat
weight
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111323285.9A
Other languages
English (en)
Other versions
CN113783896B (zh
Inventor
曲武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinjing Yunhua Shenyang Technology Co ltd
Beijing Jinjingyunhua Technology Co ltd
Original Assignee
Jinjing Yunhua Shenyang Technology Co ltd
Beijing Jinjingyunhua Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinjing Yunhua Shenyang Technology Co ltd, Beijing Jinjingyunhua Technology Co ltd filed Critical Jinjing Yunhua Shenyang Technology Co ltd
Priority to CN202111323285.9A priority Critical patent/CN113783896B/zh
Publication of CN113783896A publication Critical patent/CN113783896A/zh
Application granted granted Critical
Publication of CN113783896B publication Critical patent/CN113783896B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

发明属于计算机安全技术、高级威胁检测和人工智能技术领域,具体涉及一种网络攻击路径追踪方法和装置:利用网络流量分析传感器获取包含各种类别网络流量威胁事件集合,利用主机行为捕获传感器获取白名单进程之外的进程通信数据集合;进行数据清洗、过滤、丰富操作,获取与威胁告警相关的数据集合;利用AttackGraph算法构建网络攻击知识图谱;利用AttackCampaign算法对数据库中的知识图谱进行分析,标识出攻击行动;利用攻击行动和攻击实体威胁权重,进行攻击路径复原和追踪,并进行攻击场景还原。本发明能够满足基于现有的数据积累对高级威胁进行追踪溯源,实现对网络攻击行动的攻击路径和攻击场景进行复盘。

Description

一种网络攻击路径追踪方法和装置
技术领域
本发明属于计算机安全技术、高级威胁检测和人工智能技术领域,具体涉及一种网络攻击路径追踪方法和装置,能够满足网络安全研究人员基于现有的数据积累对高级威胁进行追踪溯源,便捷地实现对网络攻击行动的攻击路径和攻击场景复盘。
背景技术
随着网络创新应用的快速发展,其中承载的黑色利益链条越来越大,攻击形式也纷繁多样且不断创新,网络攻击的检测难度不断增大。其中,高级威胁已经成为变化形式最快、技术最为复杂和精密、最具有针对性、高隐蔽性、直接危害最为严重的网络威胁之一。高级威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。
现有的研究表明,已知的高级威胁家族的攻击过程通常包含多个阶段,不同阶段的攻击实施者,使用不同的恶意程序、漏洞、恶意主机(跳板机、受控主机等)、域名、URL、邮箱等工具完成整个攻击过程。典型的,高级威胁的开始阶段始于一次成功的社会工程渗透行为,例如钓鱼邮件、暴力破解、水坑攻击、木马程序、非官方的包含恶意负载的程序升级包等。在受害者网络内部建立驻点之后,侦查工具将被部署,例如建立C&C通信隧道、窃取密码、利用漏洞提权等。随后,攻击者在网络上中缓慢的横向移动,搜寻和窃取机密数据,或者干扰关键服务。
然而,利用传统技术检测上述高级威胁是难以实现的。利用多种攻击技术实施的多阶段攻击构造的驻点在日志中是时空分布的,即分布到不同的检测设备和不同的受害主机中。例如,下载恶意程序的日志通常存在沙箱设备中,访问机密数据的日志通常存在系统审计设备中,建立C&C通信隧道、数据外泄隧道的日志通常存在异常流量检测设备中。而且,细粒度的主机日志审计系统通常不会被部署到终端用户的系统中。因此,拼凑高级威胁的攻击路径过程需要大量检测设备的上下文信息,而拼凑技术的工程化仍需要安全研究人员的不断努力。
针对拼凑高级威胁的攻击路径已经存在不少研究成果和检测技术,主要包括沙箱系统、入侵检测系统、日志审计系统、异常流量分析系统等。但是,当前技术主要存在以下三个限制:(1)缺乏理解整个攻击过程的全景视图,现有检测技术仅仅聚焦攻击的一个阶段或者一种攻击技术。例如,入侵检测系统聚焦于深度包解析和包头检测,沙箱检测系统聚焦于文件分析等;(2)日志收集系统是一个负载密集型的设备,产生较大的性能开销。例如,为了获取系统进程的调用信息,需要开启Windows的ETW日志;(3)大量表面无关的告警看起来就是误报,这些告警既没有提供可采取行动的情报,也没有足够的攻击证据,耗费了系统管理员大量的时间用于辨别。例如,“userfailed to login”告警日志是一种疑似受控的指示符,与其他告警日志关联,例如“reverseTCPactivity”告警日志,则可能表明攻击者的驻点。
为了解决以上挑战,相关专利也提出了一些方案试图缓解或部分解决以上问题。CN110290116B,一种基于知识图谱的恶意域名检测方法,发明人针对的现有静态黑名单策略无法灵活扩充的问题,提出利用知识图谱的关联能力预测存在恶意行为的域名,与本发明不属于同一技术领域。
CN108933793A,基于知识图谱的攻击图生成方法及其装置,发明人针对网络安全中存在的漏洞(脆弱性)为实体进行建模,生成用于分析原子攻击及攻击路径的攻击成功率和攻击收益的攻击图。但是,该专利提出的攻击图构建方法过于抽象,实体数据过于单一,生成的图谱数据以漏洞、软件、硬件和攻击为实体。此外,生成的攻击知识图谱,作者并没有详细说明如何利用攻击知识图谱进行原子攻击及攻击路径分析。该专利虽然在名称上与本发明类似,但解决问题的领域、攻击知识图谱生成算法完全不同。
N110113314B,用于动态威胁分析的网络安全领域知识图谱构建方法及装置,发明人基于漏洞评分标准及贝叶斯分析网络威胁转移概率,对知识图谱进行修正,并消解多节点间威胁传递环路,获取最终网络威胁知识图谱,解决威胁传播环路对威胁分析影响。但是,该专利在解决问题的领域与本发明不同。
CN108270785A,一种基于知识图谱的分布式安全事件关联分析方法,该专利利用了当前大数据处理分析相关技术用于应对大规模的数据量,将关联分析算法并行化,实现了基于知识图谱的分布式关联分析算法设计。但是,该专利重点在于如果利用大数据技术(Storm、Neo4j、MongoDB等)构建一套基于知识图谱的分布式网络安全事件管理分析平台,以知识图谱方式存储CVE漏洞知识、CAPEC攻击分类知识、CWE主机软件知识、Snort报警事件知识以及攻击规则等网络安全数据。而本发明的重点在于提出一种攻击知识图谱的构建算法AttackGraph,以及基于攻击知识图谱挖掘算法AttackGraph算法,实现网络攻击行动的攻击路径追踪和溯源。
US20180159876A1,Consolidating structured and unstructured securityand threat intelligence with knowledge graphs,该专利主要是解决利用知识图谱整合结构化和非结构的网络安全情报数据问题,本质上是一种构建垂直专用领域知识图谱的方法,在解决问题的领域与本发明不同。
US10958672B2,Cognitive offense analysis using contextual data andknowledge graphs,该专利主要是解决用于处理与网络安全知识图关联的安全事件的自动化方法,本质上是一种构建垂直专用领域知识图谱的方法,在解决问题的领域与本发明不同。
由于上述方法在网络攻击路径追踪和溯源领域存在着不同程度的缺点,从而使得这些方法不能够真正能够满足网络安全研究人员基于现有的数据积累对高级威胁进行追踪溯源,便捷地实现对网络攻击行动的攻击路径和攻击场景复盘。
为此,本发明提出了一种网络攻击路径追踪方法和装置。
发明内容
为了解决上述技术问题,本发明提供一种网络攻击路径追踪方法和装置,能够满足网络安全研究人员基于现有的数据积累对高级威胁进行追踪溯源,便捷地实现对网络攻击行动的攻击路径和攻击场景进行复盘。
本发明是这样实现的,提供一种网络攻击路径追踪方法,包括如下步骤:
步骤1),威胁事件、主机进程通信数据获取,利用网络流量分析传感器分析网络实时流量,获取包含各种类别网络流量威胁事件集合,利用主机行为捕获传感器分析主机进程通信行为,获取白名单进程之外的进程通信数据集合;
步骤2),数据预处理,对于网络流量威胁事件和主机进程通信行为进行数据清洗、过滤、丰富操作,获取与威胁告警相关的数据集合;
步骤3),攻击知识图谱构建,利用AttackGraph算法构建网络攻击知识图谱,其中包括实体定义、实体关联和权重评估;
步骤4),攻击行动发现,利用AttackCampaign算法对于数据库中的知识图谱进行分析,标识出攻击行动;
步骤5),利用标识出的攻击行动和攻击实体威胁权重,进行攻击路径复原和追踪,并进行攻击场景还原。
优选地,对于步骤1)中网络流量威胁事件集合的数据获取过程,包括如下步骤:
1-1-1)利用专用的网络流量分析传感器分析实时流量或离线流量PCAP包,分析方法包括协议识别和解析、特征分析、异常行为分析、人工智能威胁检测模型,分析流量协议的3层和7层数据,进而获取异常信息;
1-1-2)对异常信息进行归一化并关联异常描述特征字段生成告警事件信息;
1-1-3)获取各种分析方法生成的告警事件,进而生成网络流量威胁事件集合。
进一步优选,对于步骤1)中主机进程通信行为中白名单进程之外的进程通信数据的获取过程,包括如下步骤:
1-2-1)利用主机行为捕获传感器,包括沙箱、沙盒、蜜罐、蜜网、虚拟机、EDR,触发样本运行;
1-2-2)过滤白名单的进程族,获取样本生成的进程列表;
1-2-3)获取主机进程行为,包括漏洞利用行为、网络行为,同时,分析和提取漏洞编号、HTTPS加密指纹、IP、域名、URL信息;
1-2-4)将上一步获取的信息与样本哈希进行关联,生成样本哈希、漏洞编号、HTTPS加密指纹、IP、域名、URL信息构成的白名单进程之外的进程通信数据集合。
进一步优选,对于步骤2)中的数据预处理过程,包括如下步骤:
2-1)获取网络流量分析传感器和主机行为捕获传感器生成的网络流量威胁事件集合和主机进程通信行为中白名单进程之外的进程通信数据集合,生成威胁事件集合;
2-2)对威胁事件集合进行数据清洗和过滤;
2-3)获取上一步的数据,以威胁告警事件为基础,关联合并样本行为事件,生成预处理后的数据集合。
进一步优选,对于步骤3)中的AttackGraph算法,包括如下步骤:
3-1)实体构建,对于预处理后的数据集合,分析其字段特性并定义实体,利用信息获取工具对实体的描述信息进行补全;
3-2)实体关联,为实体之间的关系定义连接规则并构建攻击知识图谱,将攻击知识图谱存储到数据库;
3-3)权重评估,对数据库中的攻击知识图谱进行分析,标注实体的威胁权重和边的可信权重。
进一步优选,对于步骤3-2)中的实体关联,包括如下步骤:
3-2-1)定义实体之间的关系生成规则集,并且定义关系类型、关系描述、关系权重信息;
3-2-2)基于关系规则集,处理实体信息集合,为实体之间建立关系,并定义关系类型、关系描述、关系权重信息;
3-2-3)基于实体和关系数据集合,以实体为点,以关系为边,构建攻击知识图谱数据结构;
3-2-4)将攻击知识图谱结构存储到数据库中,并建立相关索引。
进一步优选,对于步骤3-3)中的权重评估,包括如下步骤:
3-3-1)定义权重评估,包括定义实体的威胁权重和边的可信权重,其中,实体的威胁权重表示该实体在网络攻击中的重要性,边的可信权重表示与两个实体相关的攻击可信度;
3-3-2)提出实体标签扩散和定向权重传播机制,迭代对攻击知识图谱进行遍历,进而标注每个威胁实体的威胁权重和实体之间边的攻击可信度;
3-3-3)最后,对攻击知识图谱的相关权重数据进行更新。
进一步优选,对于步骤4)中的AttackCampaign算法,包括如下步骤:
4-1)获取攻击知识图谱权重数据;
4-2)对攻击社区发现算法进行初始化,将权重知识图谱中每个节点表现为一个社区;
4-3)在社区初始化之后,分两个阶段重复 LV方法,随着算法的进展利用贪心算法优化局部社区联系密度对比函数D,迭代聚合实体和关系生成新的社区网络,进而生成攻击社区;
4-4)根据攻击社区中的实体描述信息标注,对社区进行类别和特性标注,进而标注出攻击行动或攻击社区;
4-5)更新攻击知识图谱数据库。
进一步优选,对于步骤5)中的攻击路径追踪过程,包括如下步骤:
5-1)获取标注出的攻击行动以及攻击行动包含的攻击实体,以及攻击实体的威胁权重数据;
5-2)利用图遍历算法结合人工分析,对攻击路径进行分析;
5-3)基于上一步的分析结果,对攻击路径和攻击过程进行复原和追踪。
本发明还提出一种网络攻击路径追踪装置,包括下列模块:
主机进程通信获取模块,利用主机行为捕获传感器分析主机进程行为,获取白名单进程之外的进程通信数据集合;
流量威胁事件获取模块,利用网络流量分析传感器分析网络实时流量,获取包含各种类别的网络流量威胁事件集合;
攻击知识图谱构建模块,包括实体构建子模块、实体关联子模块和权重评估子模块;其中,实体构建子模块,对于预处理后的数据集合,分析其字段特性并定义实体,利用爬虫等信息获取工具对实体的描述信息进行信息补全;实体关联子模块,为实体之间的关系定义连接规则并构建攻击知识图谱,将攻击知识图谱存储到数据库;权重评估子模块,对数据库中的攻击知识图谱进行分析,标注实体的威胁权重和边的可信权重;
攻击行动发现模块,对于数据库中的知识图谱进行分析,标识出攻击行动;
攻击路径追踪模块,利用标识出的攻击行动和攻击实体威胁权重,进行攻击路径复原和追踪,并进行攻击场景还原。
与现有技术相比,本发明的优点在于:
1)通过关联主机进程通信数据和网络流量威胁事件,有利于对网络攻击进行主机确认,更有助于新威胁的发现;
2)通过攻击知识图谱构建和攻击知识图谱挖掘技术的使用,使得本发明能够快速和准确检测出攻击行动,并进行攻击场景还原和攻击路径追踪;
3)大幅度提高了高级威胁的标注能力,并且能够通过流量持续分析不断对于攻击行动的网络结构进行画像,进而掌握攻击行动的影响能力和潜在的破坏力,有利于提高计算机系统的网络安全;
4)最后,本发明提出的基于知识图谱挖掘的攻击路径追踪装置支持商用服务器硬件,对比其他方案对专业硬件的需求,本申请极大地降低了用户的整体拥有成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络攻击路径追踪方法的系统流程图;
图2为本发明实施例提供的网络攻击路径追踪方法的系统框架示意图;
图3为本发明实施例提供的网络攻击路径追踪方法的AttackGraph算法流程图;
图4为本发明实施例提供的网络攻击路径追踪方法的实体定义和关联示意图;
图5为本发明实施例提供的网络攻击路径追踪方法的AttackCampaign算法流程图;
图6为本发明实施例提供的网络攻击路径追踪方法生成的网络攻击路径追溯示意图;
图7为本发明实施例提供的网络攻击路径追踪装置的处理流程图。
具体实施方式
为了实现背景技术中的目的,本发明提供了一种网络攻击路径追踪方法,其系统流程图和系统框架示意图如图1和图2所示,本方法包括下列步骤:
步骤1),威胁事件、主机进程通信数据获取,利用网络流量分析传感器分析网络实时流量,获取包含各种类别网络流量威胁事件集合;利用主机行为捕获传感器分析主机进程行为,获取白名单进程之外的进程通信数据集合;
步骤2),数据预处理,对于网络流量威胁事件和主机进程通信行为数据进行清洗、过滤、丰富等操作,获取与威胁告警相关的数据集合;
步骤3),攻击知识图谱构建,提出AttackGraph算法构建网络攻击知识图谱,其中包括实体定义、实体关联和权重评估;
步骤4),攻击行动发现,提出AttackCampaign算法对于数据库中的知识图谱进行分析,标识出攻击行动;
步骤5),利用标识出的攻击行动和攻击实体威胁权重,进行攻击路径复原和追踪,并进行攻击场景还原。
对于步骤1)中,网络流量威胁事件数据获取过程,包括如下步骤:
1-1-1)利用专用的网络流量分析传感器分析离线流量PCAP包或实时流量,分析方法包括协议识别和解析、特征分析、异常行为分析、人工智能威胁检测模型等,分析流量协议的3层和7层数据,进而获取异常信息;
1-1-2)对异常信息进行归一化并关联异常描述特征字段生成告警事件信息;
1-1-3)获取各种分析方法生成的告警事件,生成网络流量威胁事件集合。
对于步骤1)中的网络流量威胁事件数据获取过程,还具有如下特征:至少包含以下字段信息,8元组(src_ip、dst_ip、src_port、dst_port、src_mac、dst_mac、pro_3、pro_7)、timestamp、event_type、event_get_path、event_post_path、event_code_return、event_domain、event_referer、event_location_redirect、event_object_name、event_authentication、event_threat_type、event_confidence、event_sid、event_vid、device_id、session_id等;
对于步骤1)中的网络流量威胁事件数据获取过程,字段描述如下:
src_ip:源主机IP地址;
dst_ip:目标主机IP地址;
src_port:源主机端口地址;
dst_port:目标主机端口地址;
src_mac:源主机MAC地址;
dst_mac:目标主机MAC地址;
pro_3:3层传输层协议;
pro_7:7层应用层协议;
timestamp:时间戳;
re_type:访问类型,包括request和response;
event_get_path:GET绝对路径;
event_post_path:POST绝对路径;
event_code_return:请求返回码;
event_domain:主机域名;
event_referer:请求URI的引用;
event_location_redirect:位置重定向;
event_object_name:对象名;
event_authentication:授权信息;
event_threat_type:威胁类型;
event_confidence:可信度;
event_sid:规则ID;
event_vid:漏洞ID;
device_id:设备ID。
对于步骤1)中的主机进程通信数据获取过程,包括如下步骤:
1-2-1)利用主机行为捕获传感器,包括沙箱、沙盒、蜜罐、蜜网、虚拟机、EDR等,触发样本运行;
1-2-2)过滤白名单的进程族,获取样本生成的进程列表;
1-2-3)获取主机进程行为,包括漏洞利用行为、网络行为等。同时,分析和提取漏洞编号、HTTPS加密指纹、IP、域名、URL等信息;
1-2-4)将上一步获取的信息与样本哈希进行关联,生成样本哈希、漏洞编号、HTTPS加密指纹、IP、域名、URL等信息构成的样本行为事件集合。
对于步骤1)中的主机进程通信数据获取过程,至少包含以下字段信息,8元组(src_ip、dst_ip、src_port、dst_port、src_mac、dst_mac、pro_3、pro_7)、timestamp、event_pid、event_ppid、event_pname、event_pid_path、event_ppid_path、event_ppid_hash、device_id、session_id、OS等;
对于步骤1)中的主机进程通信数据获取过程,字段描述如下:
event_pid:进程ID;
event_ppid:父进程ID;
event_pname:进程名;
event_ppid_path:父进程程序路径;
event_ppid_hash:父进程程序hash;
device_id:设备ID;
session_id:会话ID;
OS:操作系统类别、大版本号和小版本号。
对于步骤2)中的数据预处理过程,包括如下步骤:
2-1)获取网络流量传感器和主机行为捕获传感器生成的网络流量威胁事件集合和样本行为事件集合,生成威胁事件集合;
2-2)对威胁事件集合进行数据清洗和过滤;
2-3)获取上一步的数据,以威胁告警事件为基础,关联合并样本行为事件,生成预处理后的数据集合。
对于步骤2)中的数据预处理过程,网络流量威胁事件集合和样本行为事件可以通过五元组或session_id(会话ID)进行关联,能够利用流量威胁事件定位主机上恶意代码,无论该恶意代码在系统目录或内存中,都可以成功定位。
对于步骤3)中的AttackGraph算法,其流程图如图3所示,包括如下步骤:
3-1)实体构建,对于预处理后的数据集合,分析其字段特性并定义实体,利用爬虫等信息获取工具对实体的描述信息进行补全;
3-2)实体关联,为实体之间的关系定义连接规则并构建攻击知识图谱,将攻击知识图谱存储到数据库;
3-3)权重评估,对数据库中的攻击知识图谱进行分析,标注实体的威胁权重和边的可信权重。
对于AttackGraph算法中的实体构建,即定义以下实体,IP实体、域名实体、文件实体、漏洞实体、邮件实体、操作系统实体和证书实体。此外,可以根据攻击场景的需要扩充实体。
对于AttackGraph算法中的实体构建,即定义以下实体,IP实体,从访问角度分为源IP和目标IP,从攻击角度分为受害者IP和攻击者IP。IP实体又包含很多特性,例如MAC地址、端口、OS、终端/服务器等;域名实体,简写为Dom,从攻击角度分为合法域名和恶意域名。Dom实体包含很多特性,例如WHOIS信息、子域名、URL等;文件实体,简写为File,用HASH表示,从攻击角度分为合法文件和恶意文件,而恶意文件又被分成多个家族,例如后门、远控、键盘记录等;漏洞实体,简写为Vul,用漏洞编号表示,包括CVE、NVD、SecurityFocus、CXSECURITY、Secunia、CNVD(中国国家漏洞数据库)、CNNVD和SCAP(安全内容自动化协议中国社区),多来源漏洞需要进行归一化标注,统一漏洞编号,并进行威胁度分级。此威胁度定义为该漏洞能够被利用的容易程度;邮件实体,用Email表示,从攻击角度分为合法邮件和钓鱼邮件,而钓鱼邮件通过恶意附件或恶意URL进行网络攻击;操作系统实体,用OS表示,主要是描述操作系统类别、大版本和小版本信息,操作系统与漏洞具有较强的关联性;证书实体,特指X.509数据证书标准,用X509表示,从攻击角度证书能够被盗窃或伪造。此外,可以根据攻击场景的需要扩充实体。
对于AttackGraph算法中的实体关联,包含如下步骤:
3-2-1)定义实体之间的关系生成规则集,并且定义关系类型、关系描述、关系权重等信息;
3-2-2)基于关系规则集,处理实体信息集合,为实体之间建立关系,并定义关系类型、关系描述、关系权重等信息;
3-2-3)基于实体和关系数据集合,以实体为点,以关系为边,构建攻击知识图谱数据结构;
3-2-4)将攻击知识图谱结构存储到数据库中,并建立相关索引。
对于AttackGraph算法,实体之间的关系如图4所示,以IP实体出发的关系为例,即知识图谱之IP实体对外的边,描述如下:
(1)IP1—>IP2(图4中左侧IP称为IP1,右侧IP称为IP2),包含正常访问关系和攻击关系,而这些关系以知识图谱的边形式表示,边具有特性集合,例如攻击边包含端口、协议、会话ID、请求、返回码等;
(2)左侧IP—>Dom,包含访问关系,即IP访问某个域名Domain;
(3)左侧IP—>FH,包含运行关系和下载关系,即IP可以运行某个文件FH(FileHash),或该IP下载了某个文件FH;
(4)左侧IP—>Vul,包含利用关系和具有关系,即攻击者IP利用了某个漏洞Vul,或者被分配此IP的设备具有某个漏洞Vul;
(5)左侧IP—>Email,包含下载关系、承载关系和发送关系,即IP下载该邮件到本地,或被分配此IP的设备为Email服务器,承载了该邮件,或IP发送了该邮件;
(6)左侧IP—>OS,包含运行关系,即被分配此IP的设备运行该版本的操作系统OS;
(7)左侧IP—>X509,包含合法使用关系、窃取使用关系和伪造使用关系,即被分配此IP的设备合法使用该X509证书、窃取使用该X509证书、使用伪造的X509证书。
对于AttackGraph算法,实体之间的关系,可以根据攻击场景的需要进行扩充。
对于AttackGraph算法中的权重评估,包括如下步骤:
3-3-1)定义权重评估,包括定义实体的威胁权重和边的可信权重。其中,实体的威胁权重表示该实体在网络攻击中的重要性,边的可信权重表示与两个实体相关的攻击可信度;
3-3-2)提出实体标签扩散和定向权重传播机制,迭代对攻击知识图谱进行遍历,进而标注每个威胁实体的威胁权重和实体之间边的攻击可信度;
3-3-3)最后,对攻击知识图谱的相关权重数据进行更新。
对于AttackGraph算法,其算法形式化描述如下:
(1)有向权重攻击知识图谱定义
Figure 84377DEST_PATH_IMAGE002
,其中
Figure 142463DEST_PATH_IMAGE004
为知识图谱实体节点集合,包括IP实体、域名实体、文件实体、漏洞实体、邮件实体、操作系统实体和证书实体,实体节点
Figure 374730DEST_PATH_IMAGE006
Figure 238781DEST_PATH_IMAGE008
为知识图谱实体节点之间关系集合,实体节点之间关系,即知识图谱的边
Figure 974525DEST_PATH_IMAGE010
(2)对于实体节点
Figure 203512DEST_PATH_IMAGE012
的先验威胁权重为
Figure 923075DEST_PATH_IMAGE014
Figure DEST_PATH_IMAGE015
。若利用完备的威胁情报库,实体节点
Figure 981030DEST_PATH_IMAGE012
为明确合法,则
Figure DEST_PATH_IMAGE017
,若明确恶意,则
Figure DEST_PATH_IMAGE019
。而往往威胁情报库是不完备的,由各种情报源组成,情报源的可信度又各不相同,定义实体可信度
Figure 305701DEST_PATH_IMAGE020
。若情报源完全可信,则
Figure 236748DEST_PATH_IMAGE022
,若情报源完全不可信,则
Figure 443607DEST_PATH_IMAGE024
。对于实体节点之间的边
Figure 321564DEST_PATH_IMAGE026
的先验攻击可信权重为
Figure 297480DEST_PATH_IMAGE028
Figure DEST_PATH_IMAGE029
。若利用完备的网络威胁告警判定系统,实体节点之间的边
Figure 586378DEST_PATH_IMAGE026
,即网络攻击事件,明确为可信的,则
Figure DEST_PATH_IMAGE031
,若明确为误报,则
Figure DEST_PATH_IMAGE033
。而往往网络威胁告警判定系统是不完备的,更多依赖人以及对不同厂家设备的评价,而人的技术能力有存在较大差异,且大多数威胁检测设备告警量往往都超过了人力处理范围。
(3)在攻击知识图谱构建过程中,对于实体节点
Figure 483796DEST_PATH_IMAGE012
和攻击边
Figure 962182DEST_PATH_IMAGE026
的权重标注问题是AttackGraph算法的核心,权重标注问题基于以下假设,即关联罪假设,若住户的邻居为罪犯的比例超过阈值
Figure DEST_PATH_IMAGE035
,则判定为该住户也为罪犯。该假设推广到社区,若社区中的罪犯比例超过阈值
Figure DEST_PATH_IMAGE037
,则判定该社区为帮派,即罪犯聚集地。基于以上假设,提出利用实体标签扩散机制和定向权重传播机制,分别用于对实体节点的威胁权重和实体节点之间边的攻击可信度进行评估;
(4)实体标签扩散机制,若一个实体节点与大量合法的实体节点进行通信,则判定该实体为合法;若一个实体节点与大量恶意的实体节点进行通信,则判定该实体为恶意。超级实体,对于存在大量合法和恶意通信的实体,例如CDN节点、网关节点、广告网络节点等,这些超级实体将被进行标注为合法。故,实体节点的威胁度定义如下:
Figure 464708DEST_PATH_IMAGE038
其中,
Figure 455666DEST_PATH_IMAGE014
为实体节点
Figure 387850DEST_PATH_IMAGE012
的先验威胁权重
Figure 997823DEST_PATH_IMAGE015
Figure 682751DEST_PATH_IMAGE040
为实体可信度,
Figure 860923DEST_PATH_IMAGE020
Figure 77140DEST_PATH_IMAGE042
为实体节点
Figure 412176DEST_PATH_IMAGE012
的邻居实体节点集合,
Figure 171184DEST_PATH_IMAGE044
为实体节点
Figure 300683DEST_PATH_IMAGE012
和实体节点
Figure 269776DEST_PATH_IMAGE046
之间的边特性集合;对于特性
Figure 831339DEST_PATH_IMAGE048
Figure 835067DEST_PATH_IMAGE050
为从实体节点
Figure 604308DEST_PATH_IMAGE012
到实体节点
Figure 732801DEST_PATH_IMAGE046
之间有向边的最大/最小攻击可信度。
(5)定向权重传播机制,控制权重传播主要包含三个因素,一、针对不同边的特性,传播衰减的影响不同。对于实体节点
Figure 222689DEST_PATH_IMAGE012
和实体节点
Figure 939978DEST_PATH_IMAGE046
之间的边特性
Figure 427591DEST_PATH_IMAGE048
Figure 105697DEST_PATH_IMAGE052
表示攻击可信权重,与
Figure 586226DEST_PATH_IMAGE028
等价。二、攻击知识图谱为有向图,
Figure DEST_PATH_IMAGE053
,即同样的实体节点,不同的方向边具有不同的攻击可信权重,而且大概率出现
Figure 705491DEST_PATH_IMAGE054
Figure DEST_PATH_IMAGE055
。最后,定义最大/最小攻击可信度
Figure 82115DEST_PATH_IMAGE056
,用于调节传播衰减的能力,描述如下:
Figure DEST_PATH_IMAGE057
其中,
Figure 654042DEST_PATH_IMAGE058
表示实体节点
Figure 875945DEST_PATH_IMAGE012
和实体节点
Figure 115296DEST_PATH_IMAGE046
之间具有边特性
Figure 459559DEST_PATH_IMAGE048
的初始攻击可信度。
Figure 253202DEST_PATH_IMAGE060
定义为膨胀因子,越大的
Figure 888583DEST_PATH_IMAGE060
则可以进一步放大新的攻击可信度权重。
(6)攻击知识图谱迭代遍历,描述如下:
Figure DEST_PATH_IMAGE061
Figure 966129DEST_PATH_IMAGE062
通过对攻击知识图谱迭代遍历,利用
Figure 169709DEST_PATH_IMAGE064
Figure 309703DEST_PATH_IMAGE066
完成攻击知识图谱的实体和边的权重标注,即完成实体节点的威胁度权重和攻击边的攻击可信度权重标注。
对于步骤4)中的AttackCampaign算法,其算法流程图如图5所示,包括如下步骤:
4-1)从数据库中获取攻击知识图谱权重数据;
4-2)对攻击社区发现算法进行初始化,将权重知识图谱中每个节点表现为一个社区;
4-3)在社区初始化之后,分两个阶段重复LV方法,随着算法的进展利用贪心算法优化局部社区联系密度对比函数D,迭代聚合实体和关系生成新的社区网络,进而生成攻击社区;
4-4)根据攻击社区中的实体描述信息标注,对社区进行类别和特性标注,进而标注出攻击行动或攻击社区;
4-5)更新攻击知识图谱数据库。
对于AttackCampaign算法,其算法形式化描述如下:
(1)定义每个实体节点
Figure 162425DEST_PATH_IMAGE012
的加权图为一个社区
Figure 704265DEST_PATH_IMAGE068
Figure 78745DEST_PATH_IMAGE052
为实体节点
Figure 706036DEST_PATH_IMAGE012
和实体节点
Figure 73432DEST_PATH_IMAGE046
之间具有边特性
Figure 469778DEST_PATH_IMAGE048
的初始攻击可信度权重;
Figure DEST_PATH_IMAGE069
定义为实体节点
Figure 546319DEST_PATH_IMAGE012
和实体节点
Figure 785539DEST_PATH_IMAGE046
之间的初始攻击可信度权重和;
Figure 566413DEST_PATH_IMAGE070
;社区密度对比函数
Figure 958212DEST_PATH_IMAGE072
,该函数作为社区合并的估值标准,定义如下:
Figure DEST_PATH_IMAGE073
其中,
Figure DEST_PATH_IMAGE075
Figure DEST_PATH_IMAGE077
(2)在社区初始化之后,分两个阶段重复 LV方法,描述如下;
(3)阶段一,利用贪心算法优化局部社区联系密度对比函数
Figure 189342DEST_PATH_IMAGE072
。对于每个实体节点
Figure 994487DEST_PATH_IMAGE012
,将该实体节点从自己的社区移除,并分为移动实体节点
Figure 500423DEST_PATH_IMAGE012
Figure 74624DEST_PATH_IMAGE012
的每个邻居实体节点
Figure 961809DEST_PATH_IMAGE046
的社区
Figure DEST_PATH_IMAGE079
。然后,分别评估密度对比函数
Figure 237938DEST_PATH_IMAGE072
,选择密度对比函数
Figure 501560DEST_PATH_IMAGE072
增益
Figure DEST_PATH_IMAGE081
最大的移动方式,将
Figure 461426DEST_PATH_IMAGE012
移动到该社区
Figure 768779DEST_PATH_IMAGE079
,结束;若密度对比函数
Figure 345254DEST_PATH_IMAGE072
增益
Figure 146988DEST_PATH_IMAGE081
为负值,则不移动实体节点
Figure 226940DEST_PATH_IMAGE012
(4)密度对比函数
Figure 970774DEST_PATH_IMAGE072
增益
Figure 768965DEST_PATH_IMAGE081
,定义如下:
Figure 374390DEST_PATH_IMAGE082
其中,
Figure 308848DEST_PATH_IMAGE084
为实体节点
Figure 223583DEST_PATH_IMAGE012
被移入之前的攻击社区
Figure 509071DEST_PATH_IMAGE079
内部攻击边的可信度权重之和,
Figure DEST_PATH_IMAGE085
为实体节点
Figure 183766DEST_PATH_IMAGE012
被移入之后的攻击社区
Figure 362944DEST_PATH_IMAGE079
内部攻击边的可信度权重之和,
Figure DEST_PATH_IMAGE087
为社区
Figure 730471DEST_PATH_IMAGE079
中实体节点
Figure 237676DEST_PATH_IMAGE012
和实体节点
Figure DEST_PATH_IMAGE089
之间的攻击可信度权重和,
Figure DEST_PATH_IMAGE091
为知识图谱中所有攻击边可信度权重之和。
(5)持续迭代,直到知识图谱中密度对比函数
Figure 371854DEST_PATH_IMAGE072
增益
Figure 546483DEST_PATH_IMAGE081
不在变化,即密度对比函数
Figure 537442DEST_PATH_IMAGE072
达到了局部最优解;
(6)阶段二,聚合同一攻击社区中的所有实体节点合并为一个节点,并构建一个新知识图谱网络。在该社区中,实体节点之间的边则被表示为一条自链接边。一旦该网络重建完成,阶段二结束。并对于新生成的知识图谱网络开启阶段一迭代。
(7)当攻击知识图谱迭代遍历完成,密度对比函数
Figure 797522DEST_PATH_IMAGE072
增益
Figure 282861DEST_PATH_IMAGE081
不在变化,则生成了攻击社区;
(8)对于生成的多个攻击社区进行分析,根据攻击社区中的实体描述信息标注,对社区进行类别和特性标注,进而标注出攻击行动或攻击社区;
(9)更新攻击知识图谱数据库。
对于步骤5)中的攻击路径追踪过程,其攻击路径追溯结果示意图如图6所示,包括如下步骤:
5-1)获取标注出的攻击行动以及攻击行动包含的攻击实体,以及攻击实体的威胁权重数据;
5-2)利用图遍历算法结合人工分析,对攻击路径进行分析;
5-3)基于上一步的分析结果,对攻击路径和攻击过程进行复原和追踪。
对于攻击路径追踪过程,其攻击路径追溯结果示意图如图6所示,说明如下:
(1)实体说明,ip1、Em、tro、Sh、ip4、ip10、drop、File、ip14表示疑似攻击资产,ip2、ip3、ip5、ip6、ip7、ip8、ip9、ip11、ip12、ip13、win、FF表示受害者资产;
(2)“Em”表示Email实体,“tro”表示文件实体中的trojan木马,“win”表示OS实体中的Windows系统;“Sh”表示文件实体中的shell应用,“drop”表示文件实体中的Dropped恶意程序家族,“FF”表示文件实体中的Firefox浏览器应用,“File”表示文件实体中的用户私有数据;
(3)利用AttackCampaign算法对知识图谱进行分析,生成两次网络攻击行动。对于网络攻击行动-1,攻击路径追溯结果包括了初始化入侵、建立驻点、横向渗透和数据外泄等关键场景,其攻击路径也非常明确。对于网络攻击行动-2,攻击路径追溯结果包括了初始化入侵、足迹清理、数据收集、数据外泄和C&C通信等关键场景,其攻击路径也非常明确。
本发明还提供了一种网络攻击路径追踪装置,基于知识图谱,如图7所示,其特征在于,包含下列模块:
(1)主机进程通信获取模块,利用主机传感器分析主机进程行为,获取白名单进程之外的进程通信数据集合;
(2)流量威胁事件获取模块,利用网络流量分析传感器分析网络实时流量,获取包含各种类别网络安全威胁事件集合;
(3)攻击知识图谱构建模块,包括实体构建子模块、实体关联子模块和权重评估子模块。其中,实体构建子模块,对于预处理后的数据集合,分析其字段特性并定义实体,利用爬虫等信息获取工具对实体的描述信息进行信息补全。实体关联子模块,为实体之间的关系定义连接规则并构建攻击知识图谱,将攻击知识图谱存储到数据库。权重评估子模块,对数据库中的攻击知识图谱进行分析,标注实体的威胁权重和边的可信权重;
(4)攻击行动发现模块,对于数据库中的知识图谱进行分析,标识出攻击行动;
(5)攻击路径追踪模块,利用标识出的攻击行动和攻击实体威胁权重,进行攻击路径复原和追踪,并进行攻击场景还原。

Claims (10)

1.一种网络攻击路径追踪方法,其特征在于,包括如下步骤:
步骤1),威胁事件、主机进程通信数据获取,利用网络流量分析传感器分析网络实时流量,获取包含各种类别网络流量威胁事件集合,利用主机行为捕获传感器分析主机进程通信行为,获取白名单进程之外的进程通信数据集合;
步骤2),数据预处理,对于网络流量威胁事件和主机进程通信行为进行数据清洗、过滤、丰富操作,获取与威胁告警相关的数据集合;
步骤3),攻击知识图谱构建,利用AttackGraph算法构建网络攻击知识图谱,其中包括实体定义、实体关联和权重评估;
步骤4),攻击行动发现,利用AttackCampaign算法对于数据库中的知识图谱进行分析,标识出攻击行动;
步骤5),利用标识出的攻击行动和攻击实体威胁权重,进行攻击路径复原和追踪,并进行攻击场景还原。
2.根据权利要求1所述的网络攻击路径追踪方法,其特征在于,对于步骤1)中网络流量威胁事件集合的数据获取过程,包括如下步骤:
1-1-1)利用专用的网络流量分析传感器分析实时流量或离线流量PCAP包,分析方法包括协议识别和解析、特征分析、异常行为分析、人工智能威胁检测模型,分析流量协议的3层和7层数据,进而获取异常信息;
1-1-2)对异常信息进行归一化并关联异常描述特征字段生成告警事件信息;
1-1-3)获取各种分析方法生成的告警事件,进而生成网络流量威胁事件集合。
3.根据权利要求1所述的网络攻击路径追踪方法,其特征在于,对于步骤1)中主机进程通信行为中白名单进程之外的进程通信数据的获取过程,包括如下步骤:
1-2-1)利用主机行为捕获传感器,包括沙箱、沙盒、蜜罐、蜜网、虚拟机、EDR,触发样本运行;
1-2-2)过滤白名单的进程族,获取样本生成的进程列表;
1-2-3)获取主机进程行为,包括漏洞利用行为、网络行为,同时,分析和提取漏洞编号、HTTPS加密指纹、IP、域名、URL信息;
1-2-4)将上一步获取的信息与样本哈希进行关联,生成样本哈希、漏洞编号、HTTPS加密指纹、IP、域名、URL信息构成的白名单进程之外的进程通信数据集合。
4.根据权利要求1所述的网络攻击路径追踪方法,其特征在于,对于步骤2)中的数据预处理过程,包括如下步骤:
2-1)获取网络流量分析传感器和主机行为捕获传感器生成的网络流量威胁事件集合和主机进程通信行为中白名单进程之外的进程通信数据集合,生成威胁事件集合;
2-2)对威胁事件集合进行数据清洗和过滤;
2-3)获取上一步的数据,以威胁告警事件为基础,关联合并样本行为事件,生成预处理后的数据集合。
5.根据权利要求1所述的网络攻击路径追踪方法,其特征在于,对于步骤3)中的AttackGraph算法,包括如下步骤:
3-1)实体构建,对于预处理后的数据集合,分析其字段特性并定义实体,利用信息获取工具对实体的描述信息进行补全;
3-2)实体关联,为实体之间的关系定义连接规则并构建攻击知识图谱,将攻击知识图谱存储到数据库;
3-3)权重评估,对数据库中的攻击知识图谱进行分析,标注实体的威胁权重和边的可信权重。
6.根据权利要求5所述的网络攻击路径追踪方法,其特征在于,对于步骤3-2)中的实体关联,包括如下步骤:
3-2-1)定义实体之间的关系生成规则集,并且定义关系类型、关系描述、关系权重信息;
3-2-2)基于关系规则集,处理实体信息集合,为实体之间建立关系,并定义关系类型、关系描述、关系权重信息;
3-2-3)基于实体和关系数据集合,以实体为点,以关系为边,构建攻击知识图谱数据结构;
3-2-4)将攻击知识图谱结构存储到数据库中,并建立相关索引。
7.根据权利要求5所述的网络攻击路径追踪方法,其特征在于,对于步骤3-3)中的权重评估,包括如下步骤:
3-3-1)定义权重评估,包括定义实体的威胁权重和边的可信权重,其中,实体的威胁权重表示该实体在网络攻击中的重要性,边的可信权重表示与两个实体相关的攻击可信度;
3-3-2)提出实体标签扩散和定向权重传播机制,迭代对攻击知识图谱进行遍历,进而标注每个威胁实体的威胁权重和实体之间边的攻击可信度;
3-3-3)最后,对攻击知识图谱的相关权重数据进行更新。
8.根据权利要求1所述的网络攻击路径追踪方法,其特征在于,对于步骤4)中的AttackCampaign算法,包括如下步骤:
4-1)获取攻击知识图谱权重数据;
4-2)对攻击社区发现算法进行初始化,将权重知识图谱中每个节点表现为一个社区;
4-3)在社区初始化之后,分两个阶段重复 LV方法,随着算法的进展利用贪心算法优化局部社区联系密度对比函数D,迭代聚合实体和关系生成新的社区网络,进而生成攻击社区;
4-4)根据攻击社区中的实体描述信息标注,对社区进行类别和特性标注,进而标注出攻击行动或攻击社区;
4-5)更新攻击知识图谱数据库。
9.根据权利要求1所述的网络攻击路径追踪方法,其特征在于,对于步骤5)中的攻击路径追踪过程,包括如下步骤:
5-1)获取标注出的攻击行动以及攻击行动包含的攻击实体,以及攻击实体的威胁权重数据;
5-2)利用图遍历算法结合人工分析,对攻击路径进行分析;
5-3)基于上一步的分析结果,对攻击路径和攻击过程进行复原和追踪。
10.一种网络攻击路径追踪装置,其特征在于,包括下列模块:
主机进程通信获取模块,利用主机行为捕获传感器分析主机进程行为,获取白名单进程之外的进程通信数据集合;
流量威胁事件获取模块,利用网络流量分析传感器分析网络实时流量,获取包含各种类别的网络流量威胁事件集合;
攻击知识图谱构建模块,包括实体构建子模块、实体关联子模块和权重评估子模块;其中,实体构建子模块,对于预处理后的数据集合,分析其字段特性并定义实体,利用爬虫等信息获取工具对实体的描述信息进行信息补全;实体关联子模块,为实体之间的关系定义连接规则并构建攻击知识图谱,将攻击知识图谱存储到数据库;权重评估子模块,对数据库中的攻击知识图谱进行分析,标注实体的威胁权重和边的可信权重;
攻击行动发现模块,对于数据库中的知识图谱进行分析,标识出攻击行动;
攻击路径追踪模块,利用标识出的攻击行动和攻击实体威胁权重,进行攻击路径复原和追踪,并进行攻击场景还原。
CN202111323285.9A 2021-11-10 2021-11-10 一种网络攻击路径追踪方法和装置 Active CN113783896B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111323285.9A CN113783896B (zh) 2021-11-10 2021-11-10 一种网络攻击路径追踪方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111323285.9A CN113783896B (zh) 2021-11-10 2021-11-10 一种网络攻击路径追踪方法和装置

Publications (2)

Publication Number Publication Date
CN113783896A true CN113783896A (zh) 2021-12-10
CN113783896B CN113783896B (zh) 2022-02-15

Family

ID=78873660

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111323285.9A Active CN113783896B (zh) 2021-11-10 2021-11-10 一种网络攻击路径追踪方法和装置

Country Status (1)

Country Link
CN (1) CN113783896B (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499982A (zh) * 2021-12-29 2022-05-13 中国人民解放军国防科技大学 蜜网动态配置策略生成方法、配置方法及存储介质
CN114978765A (zh) * 2022-07-06 2022-08-30 济南邦杰电子科技有限公司 服务于信息攻击防御的大数据处理方法及ai攻击防御系统
CN115021979A (zh) * 2022-05-18 2022-09-06 中国人民解放军国防科技大学 网络安全威胁底图生成方法、系统、存储介质和电子设备
CN115037535A (zh) * 2022-06-01 2022-09-09 上海磐御网络科技有限公司 一种针对网络攻击行为的智能识别方法
CN115048533A (zh) * 2022-06-21 2022-09-13 四维创智(北京)科技发展有限公司 知识图谱构建的方法、装置、电子设备及可读存储介质
CN115134250A (zh) * 2022-06-29 2022-09-30 北京计算机技术及应用研究所 一种网络攻击溯源取证方法
CN115174154A (zh) * 2022-06-13 2022-10-11 盈适慧众(上海)信息咨询合伙企业(有限合伙) 高级威胁事件的处理方法、装置、终端设备和存储介质
CN115225304A (zh) * 2022-03-24 2022-10-21 国家计算机网络与信息安全管理中心 一种基于概率图模型的网络攻击路径预测方法及系统
CN115348109A (zh) * 2022-09-28 2022-11-15 北京珞安科技有限责任公司 工业生产威胁预警方法、系统、电子设备及存储介质
CN115883218A (zh) * 2022-12-02 2023-03-31 中国人民解放军国防科技大学 基于多模态数据模型的复合攻击链补全方法、系统及介质
CN116132989A (zh) * 2023-04-13 2023-05-16 问策师信息科技南京有限公司 一种工业互联网安全态势感知系统及方法
CN116319077A (zh) * 2023-05-15 2023-06-23 鹏城实验室 网络攻击检测方法和装置、设备、存储介质和产品
CN116545740A (zh) * 2023-05-30 2023-08-04 阿锐巴数据科技(上海)有限公司 一种基于大数据的威胁行为分析方法及服务器
CN116976434A (zh) * 2023-07-05 2023-10-31 长江大学 一种基于知识点扩散表示的知识追踪方法及存储介质
CN116996392A (zh) * 2023-09-27 2023-11-03 山东省计算中心(国家超级计算济南中心) 一种基于加权有向图算法的流量路径重构方法及系统
CN117294023A (zh) * 2023-11-24 2023-12-26 成都汉度科技有限公司 一种运行设备的远程监控方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108933793A (zh) * 2018-07-24 2018-12-04 中国人民解放军战略支援部队信息工程大学 基于知识图谱的攻击图生成方法及其装置
CN110138764A (zh) * 2019-05-10 2019-08-16 中北大学 一种基于层次攻击图的攻击路径分析方法
CN110688456A (zh) * 2019-09-25 2020-01-14 北京计算机技术及应用研究所 一种基于知识图谱的漏洞知识库构建方法
US20200327223A1 (en) * 2019-04-09 2020-10-15 International Business Machines Corporation Affectedness scoring engine for cyber threat intelligence services
CN111935192A (zh) * 2020-10-12 2020-11-13 腾讯科技(深圳)有限公司 网络攻击事件溯源处理方法、装置、设备和存储介质
CN112468440A (zh) * 2020-10-28 2021-03-09 北京工业大学 基于知识图谱的工控系统攻击线索发现系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108933793A (zh) * 2018-07-24 2018-12-04 中国人民解放军战略支援部队信息工程大学 基于知识图谱的攻击图生成方法及其装置
US20200327223A1 (en) * 2019-04-09 2020-10-15 International Business Machines Corporation Affectedness scoring engine for cyber threat intelligence services
CN110138764A (zh) * 2019-05-10 2019-08-16 中北大学 一种基于层次攻击图的攻击路径分析方法
CN110688456A (zh) * 2019-09-25 2020-01-14 北京计算机技术及应用研究所 一种基于知识图谱的漏洞知识库构建方法
CN111935192A (zh) * 2020-10-12 2020-11-13 腾讯科技(深圳)有限公司 网络攻击事件溯源处理方法、装置、设备和存储介质
CN112468440A (zh) * 2020-10-28 2021-03-09 北京工业大学 基于知识图谱的工控系统攻击线索发现系统

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499982B (zh) * 2021-12-29 2023-10-17 中国人民解放军国防科技大学 蜜网动态配置策略生成方法、配置方法及存储介质
CN114499982A (zh) * 2021-12-29 2022-05-13 中国人民解放军国防科技大学 蜜网动态配置策略生成方法、配置方法及存储介质
CN115225304B (zh) * 2022-03-24 2023-05-05 国家计算机网络与信息安全管理中心 一种基于概率图模型的网络攻击路径预测方法及系统
CN115225304A (zh) * 2022-03-24 2022-10-21 国家计算机网络与信息安全管理中心 一种基于概率图模型的网络攻击路径预测方法及系统
CN115021979A (zh) * 2022-05-18 2022-09-06 中国人民解放军国防科技大学 网络安全威胁底图生成方法、系统、存储介质和电子设备
CN115037535A (zh) * 2022-06-01 2022-09-09 上海磐御网络科技有限公司 一种针对网络攻击行为的智能识别方法
CN115174154A (zh) * 2022-06-13 2022-10-11 盈适慧众(上海)信息咨询合伙企业(有限合伙) 高级威胁事件的处理方法、装置、终端设备和存储介质
CN115048533A (zh) * 2022-06-21 2022-09-13 四维创智(北京)科技发展有限公司 知识图谱构建的方法、装置、电子设备及可读存储介质
CN115134250A (zh) * 2022-06-29 2022-09-30 北京计算机技术及应用研究所 一种网络攻击溯源取证方法
CN115134250B (zh) * 2022-06-29 2024-03-15 北京计算机技术及应用研究所 一种网络攻击溯源取证方法
CN114978765A (zh) * 2022-07-06 2022-08-30 济南邦杰电子科技有限公司 服务于信息攻击防御的大数据处理方法及ai攻击防御系统
CN115348109A (zh) * 2022-09-28 2022-11-15 北京珞安科技有限责任公司 工业生产威胁预警方法、系统、电子设备及存储介质
CN115348109B (zh) * 2022-09-28 2023-02-03 北京珞安科技有限责任公司 工业生产威胁预警方法、系统、电子设备及存储介质
CN115883218A (zh) * 2022-12-02 2023-03-31 中国人民解放军国防科技大学 基于多模态数据模型的复合攻击链补全方法、系统及介质
CN115883218B (zh) * 2022-12-02 2024-04-12 中国人民解放军国防科技大学 基于多模态数据模型的复合攻击链补全方法、系统及介质
CN116132989A (zh) * 2023-04-13 2023-05-16 问策师信息科技南京有限公司 一种工业互联网安全态势感知系统及方法
CN116132989B (zh) * 2023-04-13 2023-08-22 南京艾牛科技有限公司 一种工业互联网安全态势感知系统及方法
CN116319077B (zh) * 2023-05-15 2023-08-22 鹏城实验室 网络攻击检测方法和装置、设备、存储介质和产品
CN116319077A (zh) * 2023-05-15 2023-06-23 鹏城实验室 网络攻击检测方法和装置、设备、存储介质和产品
CN116545740A (zh) * 2023-05-30 2023-08-04 阿锐巴数据科技(上海)有限公司 一种基于大数据的威胁行为分析方法及服务器
CN116545740B (zh) * 2023-05-30 2024-05-14 阿锐巴数据科技(上海)有限公司 一种基于大数据的威胁行为分析方法及服务器
CN116976434A (zh) * 2023-07-05 2023-10-31 长江大学 一种基于知识点扩散表示的知识追踪方法及存储介质
CN116976434B (zh) * 2023-07-05 2024-02-20 长江大学 一种基于知识点扩散表示的知识追踪方法及存储介质
CN116996392A (zh) * 2023-09-27 2023-11-03 山东省计算中心(国家超级计算济南中心) 一种基于加权有向图算法的流量路径重构方法及系统
CN116996392B (zh) * 2023-09-27 2023-12-29 山东省计算中心(国家超级计算济南中心) 一种基于加权有向图算法的流量路径重构方法及系统
CN117294023A (zh) * 2023-11-24 2023-12-26 成都汉度科技有限公司 一种运行设备的远程监控方法及系统
CN117294023B (zh) * 2023-11-24 2024-02-02 成都汉度科技有限公司 一种运行设备的远程监控方法及系统

Also Published As

Publication number Publication date
CN113783896B (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
CN113783896B (zh) 一种网络攻击路径追踪方法和装置
Shibahara et al. Efficient dynamic malware analysis based on network behavior using deep learning
Gao et al. Ontology-based model of network and computer attacks for security assessment
Catak et al. Distributed denial of service attack detection using autoencoder and deep neural networks
Sabir et al. Machine learning for detecting data exfiltration: A review
Corona et al. Information fusion for computer security: State of the art and open issues
Kumar et al. A robust intelligent zero-day cyber-attack detection technique
Kaur et al. Automatic attack signature generation systems: A review
Hatada et al. Empowering anti-malware research in Japan by sharing the MWS datasets
Jiang et al. Novel intrusion prediction mechanism based on honeypot log similarity
Hamed et al. A survey and taxonomy on data and pre-processing techniques of intrusion detection systems
Rizvi et al. Application of artificial intelligence to network forensics: Survey, challenges and future directions
Wu et al. Detect repackaged android application based on http traffic similarity
Kheir Behavioral classification and detection of malware through http user agent anomalies
Surnin et al. Probabilistic estimation of honeypot detection in Internet of things environment
Dodia et al. Exposing the rat in the tunnel: Using traffic analysis for tor-based malware detection
Wang et al. Using honeypots to model botnet attacks on the internet of medical things
Li et al. Network-based and attack-resilient length signature generation for zero-day polymorphic worms
Cigoj et al. An intelligent and automated WCMS vulnerability-discovery tool: the current state of the web
Mondal et al. Review Study on Different Attack Strategies of Worm in a Network.
Amar et al. Weighted LSTM for intrusion detection and data mining to prevent attacks
Chiba et al. Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts
Alhaj et al. An effective attack scenario construction model based on identification of attack steps and stages
Alserhani et al. Detection of coordinated attacks using alert correlation model
Yin et al. Optimal remote access Trojans detection based on network behavior.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant