CN113852641B - 一种基于图数据库的网络攻击溯源系统、方法及设备 - Google Patents
一种基于图数据库的网络攻击溯源系统、方法及设备 Download PDFInfo
- Publication number
- CN113852641B CN113852641B CN202111166160.XA CN202111166160A CN113852641B CN 113852641 B CN113852641 B CN 113852641B CN 202111166160 A CN202111166160 A CN 202111166160A CN 113852641 B CN113852641 B CN 113852641B
- Authority
- CN
- China
- Prior art keywords
- address
- alarm
- event
- network attack
- graph database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000004458 analytical method Methods 0.000 claims abstract description 9
- 238000001514 detection method Methods 0.000 claims abstract description 9
- 230000008569 process Effects 0.000 claims description 36
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 238000012800 visualization Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 description 5
- 238000010276 construction Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 235000008694 Humulus lupulus Nutrition 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 210000004709 eyebrow Anatomy 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于图数据库的网络攻击溯源系统、方法及设备,系统包括图数据库模块,存储有样本数据集;样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系;攻击检测模块,用于获取警报信息;溯源分析模块,用于根据警报信息,结合样本数据集,对网络攻击进行溯源。本发明利用图数据库找到数据之间的隐藏关系,可以更快地找到风险IP,提前做好预警,将可能发生的损失降低到最小。
Description
技术领域
本发明涉及网络安全技术领域,尤其是一种基于图数据库的网络攻击溯源系统、方法及设备。
背景技术
没有网络安全就没有国家安全,就没有经济社会稳定,广大人民群众利益也难以得到保障;要加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。
网络空间由互联网、通信网、计算机系统、自动化控制系统、数字设备及其承载的应用、服务和数据等组成。网络安全是指通过采用必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。根据安全法的定义,现在的网络安全涵盖了数据、系统、网络空间,成为一个国家的立国之本,是与国家海、陆、空、天等疆域同等重要的国家主权领域。可以看到,网络安全的内涵,从最初的数据信息安全,过渡到信息系统安全,进而到目前的网络空间安全。网络安全产业已经发展为以满足网络空间的可用性、可靠性和安全性为目标,融合技术开发、产品经营和提供安全服务的网络安全生态链。
在国外市场,2018年全球网络信息安全产品市场总体规模为1259.8亿美元,其中硬件为118.4亿美元,软件为330.1亿美元,服务的规模最大,为811.3亿美元,全球网络安全市场以安全服务为主,市场份额占网络信息安全市场的64.4%。随着网络攻击行为日趋复杂,防火墙、IDS等传统网络安全设备已不能阻挡恶意网络攻击,采用安全服务的商业模式越来越受到全球用户重视。2018年,安全服务市场中安全咨询、安全运维、安全集成三个细分市场份额,分别为21.8%、20.4%、17.6%。从全球范围来看,安全运维服务发展迅速,全球已有超过2万家行业领军企业和政府机构正在使用安全运维服务,尤其是北美、欧洲等发达地区,安全运维服务市场已较为成熟。
在国内市场,2018年,国内网络安全市场容量464.51亿元人民币,预计2021年达到668亿元人民币。在全球网络安全市场,2018年服务市场份额占市场比例达64.40%,但在国内安全服务市场份额占比仅约13.8%,预计到2021年,占比将达到40%~50%(欧美发达国家水平)。安全正在从传统硬件“堆砌盒子”走向“能力交付”,安全服务市场将快速成长。2019年4月,国家电投在国资委指导下,牵头中核集团、中国华电等15国有企业,以资本为纽带,共同组建中能融合智慧科技有限公司,建设全国上千个发电站网络安全态势感知运营平台,打造“国家能源大脑”;360企业安全与绵阳市政府共同建设网络安全运营服务基地,在上海、南京、济南、广州、贵阳等5个地市建设安全运营中心,为智慧城市提供安全服务;启明星辰在成都建有国内最大的安全服务运营中心,在杭州、济南、昆明、郑州、攀枝花、眉山等20个地市继续建设安全运营中心。
网络安全工作本身是一个过程,它的本质是风险的管理,安全产品不能解决所有的问题,所以安全服务已经成为网络安全工作的核心内容。在关注业务安全的大背景下,从立体层面针对用户业务系统进行管理、技术、应用系统方面的评估、咨询,可以帮助用户全面认知自身安全风险,为用户提供更完善,更有针对性的安全解决方案。
如今越来越多的企业面临网络安全攻击的持续威胁。据估计,仅2018年,网络安全攻击造成的损失就高达450亿美元,损失来源主要在于以下两方面。
1)数据泄露
2019年前企业面临的主要问题可能是恶意软件,但在2020年之后,网络钓鱼攻击将成为最大威胁。根据Verizon 2019DBIR数据泄露报道,网络钓鱼攻击是造成数据泄露的第一大因素,数据泄露、财务欺诈等可能对企业造成可怕的后果。联邦调查局发布的《互联网犯罪报告》指出,2018年期间,商业电子邮件攻击共计造成了13亿美元的损失;同时,约35%的CEO或CFO曾受过网络钓鱼攻击。因此,检测并阻止钓鱼攻击,特别是通过电子邮件发起的钓鱼攻击,将成为未来企业安全的最大刚需之一。简单讲,就是通过电子邮件对企业(个人)发起钓鱼攻击,从而出现数据泄露、财务欺诈的情况,对企业(个人)造成严重后果。
2)威胁感知
数据信息驱动的安全解决方案需要数小时才能检测到网络安全威胁,但企业对威胁感知时间的容忍度将越来越低。从恶意攻击发起至被检测到的这段时间,是攻击造成最大破坏性的窗口时段。目前即使是最复杂的安全解决方案,同样需要几个小时甚至更长时间才能检测到攻击。但正是这大段的真空时间是造成企业损失的关键,因此,如何大幅缩短企业安全系统的威胁感知反射弧,提高对未知威胁的感知速度,将是未来企业和安全产业面临的重要挑战。
传统方法不适合转移网络安全威胁,网络安全威胁检测需要具有集成和遍历多个数据源中的数据的能力,并且只需几分之一秒即可完成。互联网是巨大的,而检测威胁所需的信息则以TB为单位。建立在关系数据库上的任何威胁检测系统都难以在几分钟甚至几小时内检测到欺诈,更不用说在几分之一秒内了。传统的无法实时执行深度链接分析(即能够遍历5个以上条目的能力)的旧图,也将无法检测和阻止攻击。
同时,网络安全公司无法以基于SQL服务器的现有解决方案扩展其分类服务。新的网站以惊人的速度出现,为了提供有效的网络安全,我们需要使用准确及时的威胁数据,并在大量数据集上每秒执行数千个分类,使用一个全新的后端来为分类服务,以跟上不断扩大的互联网。因此,对于网络攻击快速溯源的研究具有重要的意义。
发明内容
针对现有技术中的缺陷,本发明提供了一种基于图数据库的网络攻击溯源系统、方法及设备,可以更快地对网络攻击进行溯源。
第一方面
本发明提供了一种基于图数据库的网络攻击溯源系统,包括:
图数据库模块,存储有样本数据集;所述样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系;
攻击检测模块,用于获取警报信息;
溯源分析模块,用于根据所述警报信息,结合所述样本数据集,对网络攻击进行溯源。
优选地,所述实体信息包括警报类型、事件、服务进程、IP、用户ID、资源和警报。
优选地,所述警报类型对应的属性信息包括警报类型名称;
所述事件对应的属性信息包括事件编号、开始时间、结束时间、事件类型、返回代码和终止点;
所述服务进程对应的属性信息包括服务进程编号、服务进行名称、服务进程类型;
所述IP对应的属性信息包括IP地址;
所述用户ID对应的属性信息包括用户ID编号;
所述资源对应的属性信息包括资源编号、资源类型和URL;
所述警报对应的属性信息包括警报编号。
优选地,所述样本数据集是依据真实用户操作习惯及网络攻击模式构建的数据集。
优选地,所述溯源分析模块还包括得到发起网络攻击的IP地址。
优选地,还包括记录模块,用于记录所述发起网络攻击的IP地址并存储为黑名单IP地址。
优选地,还包括预警模块,用于检测IP地址是否为黑名单IP地址,若是,则进行告警提醒。
优选地,还包括显示模块,用于以图表可视化的形式显示所述黑名单IP地址。
第二方面
本发明还提供了一种基于图数据库的网络攻击溯源方法,包括以下步骤:
构建样本本数据集;所述样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系;
获取警报信息;
根据所述警报信息,结合所述样本数据集,对网络攻击进行溯源。
第三方面
本发明还提供了一种基于图数据库的网络攻击溯源设备,包括存储器和处理器;所述存储器用于存储可执行程序代码;
所述处理器用于读取所述存储器中存储的可执行程序代码,以执行第一方面所述的一种基于图数据库的网络攻击溯源方法。
本发明的有益效果为:
1)可分析的数据量较大;
2)可集成较多的数据源(如日志文件、基础设施信息和用户信息);
3)可查询存储在服务和微服务、域和子域、组织层次结构中的多级结构数据;
4)可进行深度链接分析,查询穿越多个实体;
5)响应时间短,可在几秒钟内提供查询的答案。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本发明实施例一种基于图数据库的网络攻击溯源系统的结构示意图;
图2为本发明实施例一种基于图数据库的网络攻击溯源方法的网络安全图模型;
图3为本发明实施例一种基于图数据库的网络攻击溯源设备的硬件架构图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只作为示例,而不能以此来限制本发明的保护范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
图形数据库是检测网络安全威胁的理想方法,网络是一个组件和流程网络,互联网是一个由服务器、路由器、桥梁、笔记本电脑、智能手机等组成的互联系统,并且有一些流程来定义这些系统是如何协同工作的。任何攻击都依赖于这些实体的互连才能成功,攻击是这些实体之间的一系列事件。这些实体之间的互连可以在图形数据库中完美地表示。任何攻击,无论是来自外部还是内部的攻击,都可以使用图形数据库进行建模。因此,本发明实施例提供了一种基于图数据库的网络攻击溯源系统,如图1所示,包括:
图数据库模块,存储有样本数据集;样本数据集是依据真实用户操作习惯及网络攻击模式构建的数据集。
样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系;
攻击检测模块,用于获取警报信息;
溯源分析模块,用于根据警报信息,结合样本数据集,对网络攻击进行溯源,得到发起网络攻击的IP地址;具体地,溯源分析模块是根据警报信息,根据实体信息与实体信息之间的关系,对网络攻击进行溯源,得到发起网络攻击的IP地址;
其中,实体信息包括警报类型、事件、服务进程、IP、用户ID、资源和警报。警报类型对应的属性信息包括警报类型名称;事件对应的属性信息包括事件编号、开始时间、结束时间、事件类型、返回代码和终止点;服务进程对应的属性信息包括服务进程编号、服务进行名称、服务进程类型;IP对应的属性信息包括IP地址;用户ID对应的属性信息包括用户ID编号;资源对应的属性信息包括资源编号、资源类型和URL;警报对应的属性信息包括警报编号和警报类型。
本发明实施例中,样本数据集包含警报类型1个、警报10个、事件38个、服务进程10个、IP地址3个、用户ID信息3个、资源7个。
具体地,用户基础信息包括外部唯一标识为用户ID;警报类型信息为一种警报类型,里面包含了不同的警报,如本发明实施例中,样本数据集就在同一类型下设置了十个不同警报;事件信息中,用户进行操作就是一个事件,事件包含IP地址,同时它会调用计算机资源,产生服务进程。
网络攻击溯源系统还包括记录模块,用于记录发起网络攻击的IP地址并存储为黑名单IP地址。
网络攻击溯源系统还包括预警模块,用于检测IP地址是否为黑名单IP地址,若是,则进行告警提醒。
网络攻击溯源系统还包括显示模块,用于以图表可视化的形式显示黑名单IP地址。
本发明实施例可以通过多种方式帮助打击网络安全威胁,例如:
1)查找与恶意攻击相关的行为模式(这可能包括用户插入移动磁盘、复制文件然后删除移动磁盘)或用户在绕过防火墙检查后从受限文件中读取。图形数据库可用于实时发现这些模式,防止机密信息被盗。
2)将错误/警报/问题追溯到其源,例如:当有人试图向它发送和生成警报时,文件可能会损坏或在用户连接到它时收到的高CPU使用警报。图数据库可用于将这些警报追溯到用户,甚至追溯到特定的IP地址(值得注意的是,成功执行这些警报需要穿越多个跳点),而使用图形数据库可能只需要分秒的时间,但使用关系数据库需要几分钟甚或几小时。
3)检测异常情况(当服务收到比平常多得多的请求时,包括洪水检测事件)或当服务收到来自单个用户的大量请求时,该用户可能正在检测该服务的安全措施中的弱点时,发生脚踏检测事件,图数据库内建立模型正常的行为模式,可以实时检测异常事件。提取可用于机器学习的功能集(一项功能是从新用户到黑名单用户和IP地址的最短路径数量),另一项功能集是一跳、二跳、三跳等中的黑名单用户数量,而另一项功能是使用k最邻近法(KNN,K-Nearest Neighbor)描述新用户的环境。这些类型的图形功能可以很容易地生成,并用于训练人工智能,以实时检测和防止互联网规模的网络安全攻击。
本发明实施例还提供了一种基于图数据库的网络攻击溯源方法,基于上述的一种基于图数据库的网络攻击溯源系统,网络攻击溯源方法包括以下步骤:
构建样本本数据集;样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系;
获取警报信息;
根据警报信息,结合样本数据集,对网络攻击进行溯源,得到发起网络攻击的IP地址。
实体信息包括警报类型、事件、服务进程、IP、用户ID、资源和警报;
警报类型对应的属性信息包括警报类型名称;事件对应的属性信息包括事件编号、开始时间、结束时间、事件类型、返回代码和终止点;服务进程对应的属性信息包括服务进程编号、服务进行名称、服务进程类型;IP对应的属性信息包括IP地址;用户ID对应的属性信息包括用户ID编号;资源对应的属性信息包括资源编号、资源类型和URL;警报对应的属性信息包括警报编号和警报类型。
网络攻击溯源方法还包括以下步骤:
记录发起网络攻击的IP地址并存储为黑名单IP地址;
检测IP地址是否为黑名单IP地址,若是,则进行告警提醒;
以图表可视化的形式显示黑名单IP地址。
具体地,本发明实施例的图数据库是根据实体的关联关系构建的一个类似于节点网络的图谱数据库,其中实体信息为点类型,实体信息与实体信息之间的关系为边类型。如图2所示,本发明实施例基于多用户的简单网络安全图模型,包括用户ID、IP、资源、事件、服务进程、警报、警报类型。其中,图模型中的点类型如表1所示:
表1
图模型中的边类型如表2所示:
表2
起始点类型 | 边类型 | 终止点类型 | 属性 |
服务进程 | service_alert | 警报 | / |
事件 | to_service | 服务进程 | / |
事件 | has_ip | IP | / |
事件 | output_to_resource | 资源 | / |
用户ID | user_event | 事件 | / |
资源 | read_from_resource | 事件 | / |
警报 | alert_has_type | 警报类型 | / |
服务进程 | from_service | 事件 | / |
基于表1、表2和图2,本发明实施例根据点与点之间的关系,能够固定警报类型下的具体警报,分析指定警报类型下的风险来源,可以追溯到具体服务,服务被记录在事件内,事件内也记录了调用的资源,同一资源又会被其他事件调用,这些事件是由某一些用户产生的,可以追溯到他们的IP。这涉及到多表事件的关联查询,关系型数据库在处理深链查询时,耗时过长,结果不理想。而在网络安全中,时间是第一位的,耗时越长,造成的损失就会越大。通过图数据库,提前分析好风险来源,下一次有这类IP进来,就可以重点关注与其相关类型的警报,做好预警工作。
本发明实施例还提供了一种基于图数据库的网络攻击溯源设备,如图3所示,设备包括输入设备、输入接口、中央处理器、存储器、输出接口和输出设备。其中,输入接口、中央处理器、存储器及输出接口通过总线相互连接,输入设备和输出设备分别通过输入接口和输出接口与总线连接,进而与设备的其他组件连接。具体地,输入设备接收来自外部的输入信息,并通过输入接口将输入信息传送到中央处理器。中央处理器基于存储器存储的计算机可执行程序代码对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器中,然后通过输出接口将输出信息传送到输出设备,输出设备将输出信息输出到设备的外部供用户使用。
面对日益增长且关联复杂的数据,现有解决方案已经无法很好的满足企业需求。本发明实施例提供的一种基于图数据库的网络攻击溯源系统、方法及设备,利用图数据库找到数据之间的隐藏关系,可以更快地找到风险IP,提前做好预警,将可能发生的损失降低到最小。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (4)
1.一种基于图数据库的网络攻击溯源系统,其特征在于,包括:
图数据库模块,存储有样本数据集;所述样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系;所述样本数据集包含警报类型、警报、事件、服务进程、IP地址、用户ID信息和资源;用户进行操作就是一个事件,事件包含IP地址,同时它会调用计算机资源,产生服务进程;
攻击检测模块,用于获取警报信息;
溯源分析模块,用于根据所述警报信息,结合样本数据集,对网络攻击进行溯源;
所述溯源分析模块还包括得到发起网络攻击的IP地址;根据实体信息与实体信息之间的关系,对网络攻击进行溯源,得到发起网络攻击的IP地址;
还包括记录模块,用于记录所述发起网络攻击的IP地址并存储为黑名单IP地址;
还包括预警模块,用于检测IP地址是否为黑名单IP地址,若是,则进行告警提醒;
根据点与点之间的关系,能够固定警报类型下的具体警报,分析指定警报类型下的风险来源,可以追溯到具体服务,服务被记录在事件内,事件内也记录了调用的资源,同一资源又会被其他事件调用;
所述警报类型对应的属性信息包括警报类型名称;
所述事件对应的属性信息包括事件编号、开始时间、结束时间、事件类型、返回代码和终止点;
所述服务进程对应的属性信息包括服务进程编号、服务进行名称、服务进程类型;
所述IP对应的属性信息包括IP地址;
所述用户ID对应的属性信息包括用户ID编号;
所述资源对应的属性信息包括资源编号、资源类型和URL;
所述警报对应的属性信息包括警报编号;
图数据库查找与恶意攻击相关的行为模式,防止机密信息被盗;
图数据库内建立模型正常的行为模式,以实时检测和防止互联网规模的网络安全攻击。
2.根据权利要求1所述的一种基于图数据库的网络攻击溯源系统,其特征在于,所述样本数据集是依据真实用户操作习惯及网络攻击模式构建的数据集。
3.根据权利要求2所述的一种基于图数据库的网络攻击溯源系统,其特征在于,还包括显示模块,用于以图表可视化的形式显示所述黑名单IP地址。
4.一种基于图数据库的网络攻击溯源方法,其特征在于,包括以下步骤:
构建样本数据集;所述样本数据集包括实体信息、实体信息对应的属性信息及实体信息与实体信息之间的关系;所述样本数据集包含警报类型、警报、事件、服务进程、IP地址、用户ID信息和资源;用户进行操作就是一个事件,事件包含IP地址,同时它会调用计算机资源,产生服务进程;
获取警报信息;
根据所述警报信息,结合所述样本数据集,对网络攻击进行溯源;
还包括得到发起网络攻击的IP地址;根据实体信息与实体信息之间的关系,对网络攻击进行溯源,得到发起网络攻击的IP地址;
所述图数据库是根据实体的关联关系构建的一个类似于节点网络的图谱数据库,其中实体信息为点类型,实体信息与实体信息之间的关系为边类型;
记录发起网络攻击的IP地址并存储为黑名单IP地址;
检测IP地址是否为黑名单IP地址,若是,则进行告警提醒;
根据点与点之间的关系,能够固定警报类型下的具体警报,分析指定警报类型下的风险来源,可以追溯到具体服务,服务被记录在事件内,事件内也记录了调用的资源,同一资源又会被其他事件调用,从而追溯到他们的IP;
所述警报类型对应的属性信息包括警报类型名称;
所述事件对应的属性信息包括事件编号、开始时间、结束时间、事件类型、返回代码和终止点;
所述服务进程对应的属性信息包括服务进程编号、服务进行名称、服务进程类型;
所述IP对应的属性信息包括IP地址;
所述用户ID对应的属性信息包括用户ID编号;
所述资源对应的属性信息包括资源编号、资源类型和URL;
所述警报对应的属性信息包括警报编号;
图数据库查找与恶意攻击相关的行为模式,防止机密信息被盗;
图数据库内建立模型正常的行为模式,以实时检测和防止互联网规模的网络安全攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111166160.XA CN113852641B (zh) | 2021-09-30 | 2021-09-30 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111166160.XA CN113852641B (zh) | 2021-09-30 | 2021-09-30 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113852641A CN113852641A (zh) | 2021-12-28 |
CN113852641B true CN113852641B (zh) | 2024-06-04 |
Family
ID=78977562
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111166160.XA Active CN113852641B (zh) | 2021-09-30 | 2021-09-30 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113852641B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114666101B (zh) * | 2022-03-01 | 2024-03-22 | 国网新疆电力有限公司信息通信公司 | 一种攻击溯源检测系统及方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101778112A (zh) * | 2010-01-29 | 2010-07-14 | 中国科学院软件研究所 | 一种网络攻击检测方法 |
CN103226675A (zh) * | 2013-03-20 | 2013-07-31 | 华中科技大学 | 一种分析入侵行为的溯源系统及方法 |
CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
CN109005069A (zh) * | 2018-08-29 | 2018-12-14 | 中国人民解放军国防科技大学 | 基于天地一体化网络的网络安全知识图谱的关联分析方法 |
CN109391583A (zh) * | 2017-08-03 | 2019-02-26 | 武汉安天信息技术有限责任公司 | 一种基于恶意应用的攻击者溯源方法和系统 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
CN110839019A (zh) * | 2019-10-24 | 2020-02-25 | 国网福建省电力有限公司 | 一种面向电力监控系统的网络安全威胁溯源方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10721262B2 (en) * | 2016-12-28 | 2020-07-21 | Palantir Technologies Inc. | Resource-centric network cyber attack warning system |
-
2021
- 2021-09-30 CN CN202111166160.XA patent/CN113852641B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101778112A (zh) * | 2010-01-29 | 2010-07-14 | 中国科学院软件研究所 | 一种网络攻击检测方法 |
CN103226675A (zh) * | 2013-03-20 | 2013-07-31 | 华中科技大学 | 一种分析入侵行为的溯源系统及方法 |
CN108696473A (zh) * | 2017-04-05 | 2018-10-23 | 中国移动通信集团广东有限公司 | 攻击路径还原方法及装置 |
CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
CN109391583A (zh) * | 2017-08-03 | 2019-02-26 | 武汉安天信息技术有限责任公司 | 一种基于恶意应用的攻击者溯源方法和系统 |
CN109005069A (zh) * | 2018-08-29 | 2018-12-14 | 中国人民解放军国防科技大学 | 基于天地一体化网络的网络安全知识图谱的关联分析方法 |
CN110839019A (zh) * | 2019-10-24 | 2020-02-25 | 国网福建省电力有限公司 | 一种面向电力监控系统的网络安全威胁溯源方法 |
CN110764969A (zh) * | 2019-10-25 | 2020-02-07 | 新华三信息安全技术有限公司 | 网络攻击溯源方法及装置 |
Non-Patent Citations (1)
Title |
---|
基于因果关系的实时告警关联系统;林昭文;黄小红;苏玉洁;马严;;高技术通讯(12);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113852641A (zh) | 2021-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | Attribution classification method of APT malware in IoT using machine learning techniques | |
Lv | Security of internet of things edge devices | |
AU2007308830B2 (en) | Real-time identification of an asset model and categorization of an asset to assist in computer network security | |
CN105827594B (zh) | 一种基于域名可读性及域名解析行为的可疑性检测方法 | |
Wang et al. | An exhaustive research on the application of intrusion detection technology in computer network security in sensor networks | |
CN107682323B (zh) | 一种工业控制系统网络访问安全性预警系统及方法 | |
US9652597B2 (en) | Systems and methods for detecting information leakage by an organizational insider | |
Sikos | AI in digital forensics: Ontology engineering for cybercrime investigations | |
Zheng et al. | Dynamic network security mechanism based on trust management in wireless sensor networks | |
CN113852641B (zh) | 一种基于图数据库的网络攻击溯源系统、方法及设备 | |
Panigrahi et al. | Dual-stage intrusion detection for class imbalance scenarios | |
CN116980162A (zh) | 云审计的数据检测方法、装置、设备、介质及程序产品 | |
CN115174279A (zh) | 一种以太坊智能合约漏洞实时检测方法、终端及存储介质 | |
CN115630374A (zh) | 可信数控系统的测试方法、装置、计算机设备和存储介质 | |
Yan et al. | A Threat Intelligence Analysis Method Based on Feature Weighting and BERT‐BiGRU for Industrial Internet of Things | |
CN117424743A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
Lv et al. | Publishing triangle counting histogram in social networks based on differential privacy | |
CN113904828B (zh) | 接口的敏感信息检测方法、装置、设备、介质和程序产品 | |
CN113079148B (zh) | 一种工业互联网安全监测方法、装置、设备及储存介质 | |
Jurišić et al. | User behavior analysis for detecting compromised user Accounts: A review paper | |
Li et al. | LogKernel: A threat hunting approach based on behaviour provenance graph and graph kernel clustering | |
Wang et al. | Network attack detection based on domain attack behavior analysis | |
[Retracted] Design of a Network Security Audit System Based on Log Data Mining | ||
CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |