CN113923003A - 一种攻击者画像生成方法、系统、设备以及介质 - Google Patents
一种攻击者画像生成方法、系统、设备以及介质 Download PDFInfo
- Publication number
- CN113923003A CN113923003A CN202111158179.XA CN202111158179A CN113923003A CN 113923003 A CN113923003 A CN 113923003A CN 202111158179 A CN202111158179 A CN 202111158179A CN 113923003 A CN113923003 A CN 113923003A
- Authority
- CN
- China
- Prior art keywords
- attacker
- acquiring
- information
- logs
- portrait
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000010219 correlation analysis Methods 0.000 claims abstract description 14
- 238000012098 association analyses Methods 0.000 claims abstract description 7
- 238000004458 analytical method Methods 0.000 claims description 17
- 238000013507 mapping Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010606 normalization Methods 0.000 abstract description 10
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012300 Sequence Analysis Methods 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004141 dimensional analysis Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种攻击者画像生成方法,包括以下步骤:获取多个设备上传的日志并对日志进行解析以得到初始告警数据;获取关联规则;根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;根据所述告警事件中的攻击者IP获取攻击者对应的信息;根据所述攻击者对应的信息生成攻击者画像。本发明还公开了一种系统、计算机设备以及可读存储介质。本发明提出的方案通过接入不同设备的海量异构日志数据,进行归一化操作,通过关联分析,提取关键信息对攻击者的画像信息进行分析和富化,能够最终生成攻击者的画像描述,对后续的攻击溯源提供一定的帮助。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种攻击者画像生成方法、系统、设备以及存储介质。
背景技术
攻击者画像,即针对网络中的攻击者所留下的线索进行自动分析产生的一些特征和关联,从而获取与攻击者自身相关的数据的过程,包括攻击者的指纹信息、社交信息、地址位置等信息。
传统的攻击者画像分析方法是基于单台网络安全设备,无法从全局上获取攻击者的全部攻击路径或者流量信息,刻画出的画像信息可以说是局部的、不完整的,给后续溯源工作带来了较大的难度。
发明内容
有鉴于此,为了克服上述问题的至少一个方面,本发明实施例提出一种攻击者画像生成方法,包括以下步骤:
获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
获取关联规则;
根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
根据所述告警事件中的攻击者IP获取攻击者对应的信息;
根据所述攻击者对应的信息生成攻击者画像。
在一些实施例中,还包括:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
在一些实施例中,根据所述告警事件中的攻击者IP获取攻击者对应的信息,进一步包括:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
在一些实施例中,对日志进行解析以得到初始告警数据,进一步包括:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种攻击者画像生成系统,包括:
解析模块,配置为获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
第一获取模块,配置为获取关联规则;
分析模块,配置为根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
第二获取模块,配置为根据所述告警事件中的攻击者IP获取攻击者对应的信息;
生成模块,配置为根据所述攻击者对应的信息生成攻击者画像。
在一些实施例中,还包括匹配模块,配置为:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
在一些实施例中,第二获取模块还配置为:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
在一些实施例中,解析模块还配置为:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行以下步骤:
获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
获取关联规则;
根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
根据所述告警事件中的攻击者IP获取攻击者对应的信息;
根据所述攻击者对应的信息生成攻击者画像。
在一些实施例中,还包括:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
在一些实施例中,根据所述告警事件中的攻击者IP获取攻击者对应的信息,进一步包括:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
在一些实施例中,对日志进行解析以得到初始告警数据,进一步包括:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时执行以下步骤:
获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
获取关联规则;
根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
根据所述告警事件中的攻击者IP获取攻击者对应的信息;
根据所述攻击者对应的信息生成攻击者画像。
在一些实施例中,还包括:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
在一些实施例中,根据所述告警事件中的攻击者IP获取攻击者对应的信息,进一步包括:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
在一些实施例中,对日志进行解析以得到初始告警数据,进一步包括:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
本发明具有以下有益技术效果之一:本发明提出的方案通过接入不同设备的海量异构日志数据,进行归一化操作,通过关联分析,提取关键信息对攻击者的画像信息进行分析和富化,能够最终生成攻击者的画像描述,对后续的攻击溯源提供一定的帮助。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明的实施例提供的攻击者画像生成方法的流程示意图;
图2为本发明的实施例提供的攻击者画像生成系统的结构示意图;
图3为本发明的实施例提供的计算机设备的结构示意图;
图4为本发明的实施例提供的计算机可读存储介质的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
根据本发明的一个方面,本发明的实施例提出一种攻击者画像生成方法,如图1所示,其可以包括步骤:
S1,获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
S2,获取关联规则;
S3,根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
S4,根据所述告警事件中的攻击者IP获取攻击者对应的信息;
S5,根据所述攻击者对应的信息生成攻击者画像。
本发明提出的方案通过接入不同设备的海量异构日志数据,进行归一化操作,通过关联分析,提取关键信息对攻击者的画像信息进行分析和富化,能够最终生成攻击者的画像描述,对后续的攻击溯源提供一定的帮助。
在一些实施例中,对日志进行解析以得到初始告警数据,进一步包括:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
在一些实施例中,步骤S1中,获取多个设备上传的日志并对日志进行解析以得到初始告警数据,具体的,首先进行多设备接入,以方便进行日志收集工作,接着对接入的设备日志进行归一化操作,使其具有统一的格式,最后对归一化数据进行信息增强,包括地理位置信息、攻击特征,攻击手段等内容。
在一些实施例中,可以设置日志接入和采集模块,以对各种设备日志进行采集,例如对蜜罐、IPS、IDS、WAF等设备进行采集,根据解析规则进行数据归一化操作,统一格式化为JSON格式,查询地理信息库,进行地理信息增强,同时根据原始日志中的数据提取攻击特征和攻击手段等内容,以上每一种日志采集器以插件方式部署。
在一些实施例中,日志接入和采集模块是为系统提供基础数据能力。包括设备日志采集,根据不同的日志类型,其采用不同的采集插件;日志归一化,根据日志类型进行数据字段映射,归一化为JSON格式;增强地理位置信息,同时提取攻击特征和攻击手段,方便后续关联分析使用;归一化数据持久化操作,将归一化的数据进行落盘存入ES。日志接入和采集具体实现如下:
a)设备日志发送到本地Kafka队列,采集模块从队列中读取数据。
b)采集模块根据日志中的厂商和设备类型,调用对应的解析插件,对日志进行解析,如果找不到解析插件,给出无法解析原因。
c)解析插件根据预置的字段映射关系,将日志字段分别归一化到对应的字段。
d)信息增强和提取:调用本地地理库,增强地理位置信息,包括所在城市、国家等信息。如果当前日志需要进行攻击特征和攻击手段提取,则进行该部分内容提取和归一化。
e)对归一化的数据进行落盘和写入Kafka队列,供后续模块使用。
在一些实施例中,步骤S2中,获取关联规则,具体的,实时关联分析,基于Flink引擎,建立特定的安全监测应用场景,通过统计学习算法、序列分析算法、聚类分析算法,对归一化数据进行异常检测,当匹配到对应的应用场景时,输出原始的安全告警事件,并将该事件放入到Kafka对列,供后续画像分析和生成模块使用。具体实施方案如下:
a)安全检测场景建立,根据场景不同建立不同的检测规则,以适应各种安全分析场景;
b)对归一化数据进行关联分析,根据匹配到的规则使用不同的算法进行对归一化数据进行分析和异常检测;
c)输出原始告警事件到Kafka队列,后续画像分析模块从该队列读取数据作为分析起点。
在一些实施例中,根据所述告警事件中的攻击者IP获取攻击者对应的信息,进一步包括:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
具体的,根据原始告警事件,取IP作为攻击者原始分析点,新增攻击者IP信息,并对攻击者画像信息进行增强,获取设备指纹信息、攻击者社交信息、地理位置信息等信息,画像合并和增强,根据相似度算法,综合地理位置、User-Agent、Cookie信息,如果能够命中已存在的画像信息,则对画像信息进行更新。在一些实施例中,实施方案如下:
a)通过获取原始告警事件中的IP作为起点初步生成攻击者画像信息;
b)画像增强,通过关联的归一化日志获取设备指纹信息、社交信息、地理位置信息,其中设备指纹信息包括操作系统、User-Agent、屏幕分辨率、设备类型、Cookie信息等;社交信息包括使用的社交软件、账号等信息;地理位置信息包括经纬度、MAC地址、省市国家地理位置;
c)情报信息增强,通过本地情报库获取情报信息,包括所属组织、置信度、攻击手段、攻击针对的国家和行业等信息;
在一些实施例中,还包括:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
具体的,首先根据设备指纹信息中的操作系统、屏幕分辨率、MAC是否在画像信息中存在,如果存在,则更新画像信息,如果不存在则认为是对目标一个新的攻击者,插入到新的攻击者列表;结合地理位置、User-Agent、Cookie、攻击目标,使用相似度算法,如果命中已经存在画像信息,更新画像信息,如果不存在则认为是对目标一个新的攻击者,插入到新的攻击者列表。
本发明提出的方案通过接入不同设备的海量异构日志数据,提取IPS、IDS、WAF、蜜罐等告警或者原始流量数据,进而提取攻击者的关键特征,能够对攻击者进行多维度分析,能够最终生成攻击者的画像描述,为下一步防御提供依据,对后续的攻击溯源提供一定的帮助。进行归一化操作,通过关联分析,提取关键信息对攻击者的画像信息进行分析和富化,能够最终生成攻击者的画像描述,对后续的攻击溯源提供一定的帮助。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种攻击者画像生成系统400,如图2所示,包括:
解析模块401,配置为获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
第一获取模块402,配置为获取关联规则;
分析模块403,配置为根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
第二获取模块404,配置为根据所述告警事件中的攻击者IP获取攻击者对应的信息;
生成模块405,配置为根据所述攻击者对应的信息生成攻击者画像。
在一些实施例中,还包括匹配模块,配置为:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
在一些实施例中,第二获取模块404还配置为:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
在一些实施例中,解析模块401还配置为:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
本发明提出的方案通过接入不同设备的海量异构日志数据,进行归一化操作,通过关联分析,提取关键信息对攻击者的画像信息进行分析和富化,能够最终生成攻击者的画像描述,对后续的攻击溯源提供一定的帮助。
基于同一发明构思,根据本发明的另一个方面,如图3所示,本发明的实施例还提供了一种计算机设备501,包括:
至少一个处理器520;以及
存储器510,存储器510存储有可在处理器上运行的计算机程序511,处理器520执行程序时执行以下步骤:
S1,获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
S2,获取关联规则;
S3,根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
S4,根据所述告警事件中的攻击者IP获取攻击者对应的信息;
S5,根据所述攻击者对应的信息生成攻击者画像。
在一些实施例中,还包括:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
在一些实施例中,根据所述告警事件中的攻击者IP获取攻击者对应的信息,进一步包括:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
在一些实施例中,对日志进行解析以得到初始告警数据,进一步包括:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
本发明提出的方案通过接入不同设备的海量异构日志数据,进行归一化操作,通过关联分析,提取关键信息对攻击者的画像信息进行分析和富化,能够最终生成攻击者的画像描述,对后续的攻击溯源提供一定的帮助。
基于同一发明构思,根据本发明的另一个方面,如图4所示,本发明的实施例还提供了一种计算机可读存储介质601,计算机可读存储介质601存储有计算机程序指令610,计算机程序指令610被处理器执行时执行以下步骤:
S1,获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
S2,获取关联规则;
S3,根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
S4,根据所述告警事件中的攻击者IP获取攻击者对应的信息;
S5,根据所述攻击者对应的信息生成攻击者画像。
在一些实施例中,还包括:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
在一些实施例中,根据所述告警事件中的攻击者IP获取攻击者对应的信息,进一步包括:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
在一些实施例中,对日志进行解析以得到初始告警数据,进一步包括:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
本发明提出的方案通过接入不同设备的海量异构日志数据,进行归一化操作,通过关联分析,提取关键信息对攻击者的画像信息进行分析和富化,能够最终生成攻击者的画像描述,对后续的攻击溯源提供一定的帮助。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。
此外,应该明白的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种攻击者画像生成方法,其特征在于,包括以下步骤:
获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
获取关联规则;
根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
根据所述告警事件中的攻击者IP获取攻击者对应的信息;
根据所述攻击者对应的信息生成攻击者画像。
2.如权利要求1所述的方法,其特征在于,还包括:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
3.如权利要求1所述的方法,其特征在于,根据所述告警事件中的攻击者IP获取攻击者对应的信息,进一步包括:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
4.如权利要求1所述的方法,其特征在于,对日志进行解析以得到初始告警数据,进一步包括:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
5.一种攻击者画像生成系统,其特征在于,包括:
解析模块,配置为获取多个设备上传的日志并对日志进行解析以得到初始告警数据;
第一获取模块,配置为获取关联规则;
分析模块,配置为根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者IP的告警事件;
第二获取模块,配置为根据所述告警事件中的攻击者IP获取攻击者对应的信息;
生成模块,配置为根据所述攻击者对应的信息生成攻击者画像。
6.如权利要求5所述的系统,其特征在于,还包括匹配模块,配置为:
根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配;
响应于相似度大于阈值,利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
7.如权利要求5所述的系统,其特征在于,第二获取模块还配置为:
获取生成所述告警事件的设备对应的指纹信息,并根据所述攻击者IP获取社交信息以及情报信息。
8.如权利要求5所述的系统,其特征在于,解析模块还配置为:
根据预设的字段映射关系将所述日志分别归一化到对应的字段。
9.一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-4任意一项所述的方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行如权利要求1-4任意一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111158179.XA CN113923003A (zh) | 2021-09-30 | 2021-09-30 | 一种攻击者画像生成方法、系统、设备以及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111158179.XA CN113923003A (zh) | 2021-09-30 | 2021-09-30 | 一种攻击者画像生成方法、系统、设备以及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113923003A true CN113923003A (zh) | 2022-01-11 |
Family
ID=79237516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111158179.XA Withdrawn CN113923003A (zh) | 2021-09-30 | 2021-09-30 | 一种攻击者画像生成方法、系统、设备以及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113923003A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448690A (zh) * | 2022-01-21 | 2022-05-06 | 苏州浪潮智能科技有限公司 | 一种攻击组织分析方法、装置、设备及介质 |
CN116319077A (zh) * | 2023-05-15 | 2023-06-23 | 鹏城实验室 | 网络攻击检测方法和装置、设备、存储介质和产品 |
CN117034260A (zh) * | 2023-10-08 | 2023-11-10 | 深圳安天网络安全技术有限公司 | 一种事件判定信息的生成方法、装置、介质及电子设备 |
-
2021
- 2021-09-30 CN CN202111158179.XA patent/CN113923003A/zh not_active Withdrawn
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448690A (zh) * | 2022-01-21 | 2022-05-06 | 苏州浪潮智能科技有限公司 | 一种攻击组织分析方法、装置、设备及介质 |
CN114448690B (zh) * | 2022-01-21 | 2023-07-14 | 苏州浪潮智能科技有限公司 | 一种攻击组织分析方法、装置、设备及介质 |
CN116319077A (zh) * | 2023-05-15 | 2023-06-23 | 鹏城实验室 | 网络攻击检测方法和装置、设备、存储介质和产品 |
CN116319077B (zh) * | 2023-05-15 | 2023-08-22 | 鹏城实验室 | 网络攻击检测方法和装置、设备、存储介质和产品 |
CN117034260A (zh) * | 2023-10-08 | 2023-11-10 | 深圳安天网络安全技术有限公司 | 一种事件判定信息的生成方法、装置、介质及电子设备 |
CN117034260B (zh) * | 2023-10-08 | 2024-01-26 | 深圳安天网络安全技术有限公司 | 一种事件判定信息的生成方法、装置、介质及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
CN110519264B (zh) | 攻击事件的追踪溯源方法、装置及设备 | |
CN114666162B (zh) | 一种流量检测方法、装置、设备及存储介质 | |
CN111818103A (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
CN112115183B (zh) | 一种基于图的蜜罐系统威胁情报分析方法 | |
CN112003869B (zh) | 一种基于流量的漏洞识别方法 | |
CN114205128B (zh) | 网络攻击分析方法、装置、电子设备及存储介质 | |
CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
CN110365636B (zh) | 工控蜜罐攻击数据来源的判别方法及装置 | |
EP3905084A1 (en) | Method and device for detecting malware | |
CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
CN111104395A (zh) | 数据库审计方法、设备、存储介质及装置 | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN110225009B (zh) | 一种基于通信行为画像的代理使用者检测方法 | |
CN114972827A (zh) | 资产识别方法、装置、设备及计算机可读存储介质 | |
CN108171053B (zh) | 一种规则发现的方法以及系统 | |
CN117040779A (zh) | 一种网络异常访问信息获取方法及装置 | |
CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
CN116170227A (zh) | 一种流量异常的检测方法、装置、电子设备及存储介质 | |
CN115834231A (zh) | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 | |
CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
CN113132340B (zh) | 一种基于视觉与主机特征的钓鱼网站识别方法及电子装置 | |
Zolotukhin et al. | Detection of anomalous http requests based on advanced n-gram model and clustering techniques | |
CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
CN113972994B (zh) | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220111 |