CN113938301A - 生成针对网络攻击的运维策略的方法、装置及存储介质 - Google Patents
生成针对网络攻击的运维策略的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN113938301A CN113938301A CN202111186505.8A CN202111186505A CN113938301A CN 113938301 A CN113938301 A CN 113938301A CN 202111186505 A CN202111186505 A CN 202111186505A CN 113938301 A CN113938301 A CN 113938301A
- Authority
- CN
- China
- Prior art keywords
- attack
- maintenance
- attacker
- behavior
- character
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 153
- 238000000034 method Methods 0.000 title claims abstract description 73
- 238000013507 mapping Methods 0.000 claims abstract description 30
- 238000005516 engineering process Methods 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 claims description 119
- 230000015654 memory Effects 0.000 claims description 17
- 239000011159 matrix material Substances 0.000 claims description 8
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 5
- 238000012216 screening Methods 0.000 claims description 5
- 230000006378 damage Effects 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 description 13
- 230000004044 response Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 238000013500 data storage Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000007405 data analysis Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000035515 penetration Effects 0.000 description 3
- 101100153581 Bacillus anthracis topX gene Proteins 0.000 description 2
- 238000012351 Integrated analysis Methods 0.000 description 2
- 101100261006 Salmonella typhi topB gene Proteins 0.000 description 2
- 101150041570 TOP1 gene Proteins 0.000 description 2
- 230000016571 aggressive behavior Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000010998 test method Methods 0.000 description 2
- 101150032437 top-3 gene Proteins 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000010224 classification analysis Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000009528 severe injury Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种生成针对网络攻击的运维策略的方法、装置及存储介质。提供了一种生成针对网络攻击的运维策略的方法,所述方法包括:基于攻击者的前期的网络攻击行为,根据攻击者行为模型预测攻击者的性格标签;基于预测的性格标签,根据性格标签和攻击技术之间的映射预测攻击者的攻击行为;以及根据预测的攻击行为以及与攻击行为对应的历史运维策略生成针对网络攻击的运维策略。
Description
技术领域
本公开总体上涉及网络安全领域,更具体地涉及一种生成针对网络攻击的运维策略的方法、装置及存储介质。
背景技术
对于企业网络运维而言,快速且准确的运维响应是应对日益严峻的企业网络环境、维持正常网络访问并且确保自身内部网络环境安全的最重要的衡量指标之一。如何更高效、更迅速和更准确地积极应对攻击者对企业的威胁,有效地防止攻击者对自身网络产生进一步的危害,是每个企业网络安全部门的工作重点。
随着攻击者技术及各类渗透工具的研发,网络攻击日渐多样化且难以捕捉,这为企业的安全运维增加了极大的难度。在传统的运维理念中,攻击者是主动方,而运维人员是被动方,运维人员根据攻击者的攻击行为进行系统维护,阻止攻击行为,并保护系统的正常运行。这样的行为模式对于运维人员而言是困难的,并且由于各种客观原因,运维人员未必能够及时通过捕获的攻击行为发现攻击者并对攻击进行迅速且积极的响应。在响应时间期间,攻击者仍可能对系统造成严重的损伤。
另一方面,在进行企业安全环境部署时,最常用的方法之一为:基于攻击IP的攻击模式进行攻击链的建立,并且根据建立的攻击链查找相似攻击IP源,对攻击IP进行分类分析,从而方便企业制定相应的防范措施。虽然这种方法较为直接,但仍具有一定的狭隘性。比如,在攻击链为一条线性链并且每个攻击阶段无重复的情况下可能无效,同时,对攻击链分析技术及攻击累计提出了较高的要求。先分析后响应的流程状态使运维响应始终处于被动状态,极易由于响应不及时而导致严重后果。
基于上述模式,在攻击者不遵循攻击链的时间顺序以及在某攻击阶段的进行反复攻击的情况下,可能导致企业在进行安全部署和面对信息威胁的时候需要大量时间进行人工核查。在需要进行人工核查的同时,还有可能因为响应时间过久,或有可能在进行攻击链生成及映射的时候,由于大量往复攻击的存在,导致不同攻击链的建立,因此生成攻击链的误差较大,对于企业安全的部署和威胁信息的分析而言带来了较大的困难。
综上,现有技术的企业安全运维方法,即在传统的分析过程后再进行运维策略响应的过程将逐渐变得单薄甚至徒劳。因此,存在对能够在建立攻击者行为模型的同时迅速对攻击者未来的攻击行为进行预判并快速对预判的攻击进行响应的技术的需要,从而为后续运维人员的网络防护判断提供进一步的决策依据。
发明内容
在下文中给出了关于本公开的简要概述,以便提供关于本公开的一些方面的基本理解。但是,应当理解,这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分,也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念,以此作为稍后给出的更详细描述的前序。
根据本公开的第一方面,提供了一种生成针对网络攻击的运维策略的方法,所述方法包括:基于攻击者的前期的网络攻击行为,根据攻击者行为模型预测攻击者的性格标签;基于预测的性格标签,根据性格标签和攻击技术之间的映射预测攻击者的攻击行为;以及根据预测的攻击行为以及与攻击行为对应的历史运维策略生成针对网络攻击的运维策略。
根据本公开的第二方面,提供了一种生成针对网络攻击的运维策略的装置,所述装置包括:性格标签预测模块,所述性格标签预测模块被配置为基于攻击者的前期的网络攻击行为,根据攻击者行为模型预测攻击者的性格标签;攻击行为预测模块,所述攻击行为预测模块被配置为基于预测的性格标签,根据性格标签和攻击技术之间的映射预测攻击者的攻击行为;以及运维策略生成模块,所述运维策略生成模块被配置为根据预测的攻击行为以及与攻击行为对应的历史运维策略生成针对网络攻击的运维策略。
根据本公开的第三方面,提供了一种非暂态计算机可读存储介质,其上存储有程序,其特征在于,当所述程序由计算机执行时,使所述计算机执行根据本公开的第一方面所述的方法。
根据本公开的第四方面,提供了一种用于生成针对网络攻击的运维策略的装置,包括存储器和处理器,所述存储器与所述处理器通信耦合,所述存储器中存储有程序,所述程序当由处理器执行时,使得所述处理器执行根据本公开的第一方面所述的方法。
根据本公开的第五方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据本公开的第一方面所述的方法。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得更为清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更清楚地理解本公开,其中:
图1是图示根据本公开的实施例的用于生成运维策略的方法的示意图;
图2是图示根据本公开的实施例的用于生成运维策略的系统的示意图;
图3是图示根据本公开的实施例的攻击者行为模型的建立流程的示意图;
图4是图示攻击行为的非限制性示例;
图5是图示根据本公开的实施例的性格标签处理及映射的建立流程的示意图;
图6是图示根据本公开的实施例的生成运维策略的方法的流程图;
图7是图示根据本公开的实施例的生成针对网络攻击的运维策略的方法的流程图;
图8示出了可以实现根据本公开的实施例的计算设备的示例性配置。
具体实施方式
参考附图进行以下详细描述,并且提供以下详细描述以帮助全面理解本公开的各种示例实施例。以下描述包括各种细节以帮助理解,但是这些细节仅被认为是示例,而不是为了限制本公开,本公开是由随附权利要求及其等同内容限定的。在以下描述中使用的词语和短语仅用于能够清楚一致地理解本公开。另外,为了清楚和简洁起见,可能省略了对公知的结构、功能和配置的描述。本领域普通技术人员将认识到,在不脱离本公开的精神和范围的情况下,可以对本文描述的示例进行各种改变和修改。
图1是图示根据本公开的实施例的用于生成运维策略的方法的示意图。
如图1所示,在101处,首先对原始数据进行处理。具体而言,可以根据原始数据中的日志、告警或流量数据进行数据分析;根据数据分析结果,提取攻击IP、攻击方法、受害点等基础数据流参数,用于进一步分析。
在102处,可以对攻击技术进行性格标签分类,建立攻击-标签映射。具体而言,可以根据多种攻击行为的攻击方法、攻击受害点、技术矩阵及专家经验中的一种或多种,将多种攻击行为(例如,ATT&CK矩阵中包括的攻击行为)按照性格标签进行划分,以得到每种性格标签和相应的攻击行为之间的映射。如图1所示,可以将攻击行为库中的攻击行为按照性格标签(例如,性格1、性格2、……、性格n)进行分类,以得到针对每种性格的个性化的攻击行为库。
在103处,可以基于数据分析结果,根据攻击者行为模型对当前的攻击者增添性格标签。具体而言,可以基于攻击者的前期的网络攻击行为(例如,基于在101处处理得到的数据)得到攻击者的性格评分和攻击目标评分;结合性格评分及攻击目标评分对前期的网络攻击行为进行评价;以及基于对前期的网络攻击行为的评价,根据攻击者行为模型预测攻击者的性格标签。在根据本公开的实施例中,可以进一步选择根据攻击者行为模型预测的性格标签中可能性高于阈值(例如,50%)的性格标签作为预测的性格标签。
在104处,可以根据预测的性格标签和针对预测的性格标签的个性化的攻击行为库来对该攻击者未来的攻击行为进行预测。在根据本公开的实施例中,可以进一步选择预测的攻击行为中可能性高于阈值(例如,50%)的攻击行为。
在105处,可以估计攻击概率。具体而言,可以筛选与预测出的性格标签相关联的映射中的攻击行为中可能性大于阈值的攻击行为;将筛选后的存在关联的攻击行为并成攻击链;根据朴素贝叶斯算法计算与攻击链对应的历史运维策略的概率。
在106处,可以根据计算出的历史运维策略的概率,筛选历史运维策略,计算筛选出的不同运维策略的成本。这里,成本是指对系统造成的负面影响,可以由系统风险和策略风险综合计算。在根据本公开的实施例中,也可以不进行历史运维策略的筛选,直接计算各运维策略的成本。
在107处,可以生成结合现有运维状况选取运维策略。首先,可以根据一定标准对筛选出的运维策略进行排序。在根据本公开的实施例中,排序可以是按照运维成本从低到高;在根据本公开的实施例中,排序可以是按照历史上采取运维策略的频率从高到低;在根据本公开的实施例中,排序可以是结合多个标准(例如运维成本和历史频率两者)进行的。然后,可以选取排序top3的三种运维策略提供给运维人员以供选择;或者,可以自动选取排序top1的一种运维策略。
应注意的是,以上所述的方法可以包括更多或更少的步骤。例如,方法的步骤102可以被省略,在102处执行的诸如针对每种性格的个性化的攻击行为库的生成之类的过程可以是预先执行的,不必在每次需要生成运维策略时均执行一次。
图2是图示根据本公开的实施例的用于生成运维策略的系统的示意图,其中,详细示出了映射模块201、预测及策略匹配模块202以及策略选取模块203。映射模块201可以被配置为形成性格标签和攻击行为之间的映射;预测及策略匹配模块202可以被配置为进行攻击行为预测和历史运维策略匹配;策略选取模块203可以被配置为选取运维策略。在根据本公开的实施例中,可以自动选择排序top1的一种运维策略,可以由运维人员根据经验从排序top3的三种运维策略中选取,也可以按照最小成本原则选取运维策略。
图3是图示根据本公开的实施例的攻击者行为模型的建立流程的示意图。具体而言,在301处,可以根据攻击者的前期网络行为提取的攻击IP、攻击方法、受害点等基础数据流参数,得到攻击者的攻击成本、心理状况、攻击收益、技术水平和个性化水平等中的一项或多项,以评估攻击者的性格;在302处,可以得到攻击实体情况、攻击方法可复制性、攻击方法流行程度、攻击方法复杂程度等中的一项或多项,以评估攻击目标;在303处,可以根据性格评分和攻击目标评分基于综合分析表格进行分析;在304处,可以得到攻击者性格标签304。图3中所示的各部分仅仅是非限制性示例,可以根据需要进行调整。例如,可以根据需要选择综合分析表格中的部分维度以生成攻击者性格标签。在图3中所示的实施例中,选取综合分析表格中的攻击成熟度、攻击恶意度、攻击协调性、攻击目的性、攻击目标专注度这几个维度生成相应的攻击者性格标签,例如,高级(攻击成熟度)非恶意(攻击恶意度)无组织(攻击协调性)无目的(攻击目的性)非专一(攻击目标专注度)等。以下表1示出了针对如图4所示的攻击行为生成性格标签的非限制性示例,生成的该攻击者的标签为中级无恶意无组织有目的专一攻击者。
表1
图5是图示根据本公开的实施例的性格标签处理及映射的建立流程的示意图。如图5所示,可以根据性格标签关键字将攻击数据库(例如,ATT&CK矩阵)按照不同的性格标签映射为个性化的攻击行为库。作为非限制性示例,可以将攻击技术按照攻击难度分为A、B、C三类(即,三个个性化的攻击行为库),即,初级攻击者可以使用的攻击技术包括A类,中级攻击者可以使用的攻击技术包括A类+B类,高级攻击者可以使用的攻击技术包括A类+B类+C类。如图5所示,不同的个性化的攻击行为库可以用不同颜色进行标识和区分。在本公开的实施例中,可以根据攻击者的性格标签判断该攻击者属于初级、中级还是高级攻击者。
图6是图示根据本公开的实施例的生成运维策略的方法的流程图。如图6所示,在601处,对于针对预测的性格标签的个性化的攻击行为库中的攻击行为,可以按照最小成链原则将存在关联的攻击技术关联成链,这些攻击链构成的集合可以表示为例如L{a1:A*A*B*B*C,a2:A*B*C,a3:A*A*B*C,…},其中,a1、a2、a3等指示关联攻击行为按照顺序构成的攻击链,A、B、C等指示包括关联的攻击行为或攻击行为的个性化的攻击行为库;在602处,对于个性化的攻击技术库中的攻击技术,可以基于专家知识及历史推荐根据朴素贝叶斯算法计算攻击者的攻击技术对应的历史运维策略的概率,并且根据计算出的概率选取运维策略,这些运维策略构成的集合可以表示为例如D{d1:a1*a2*a3,d2:a1*a2*a3,…},其中,d1、d2等指示针对攻击链的运维策略;在603处,可以从策略组{(a1,d1),(a2,d2),…}中选择若干策略(例如,3种策略);在604处,可以基于最小成本预估或基于运维人员的人工选择进行策略的选择;然后在605处,可以生成运维策略。在根据本公开的实施例中,可以优先通过人工选择生成运维策略。
图7是图示根据本公开的实施例的生成针对网络攻击的运维策略的方法的流程图。如图7所示,在S71处,可以基于攻击者的前期的网络攻击行为,根据攻击者行为模型预测攻击者的性格标签;在S72处,可以基于预测的性格标签,根据性格标签和攻击技术之间的映射预测攻击者的攻击行为;在S73处,可以根据预测的攻击行为以及与攻击行为对应的历史运维策略生成针对网络攻击的运维策略。
图8示出了能够实现根据本公开的实施例的计算设备800的示例性配置。
计算设备800是能够应用本公开的上述方面的硬件设备的实例。计算设备800可以是被配置为执行处理和/或计算的任何机器。计算设备800可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(PDA)、智能电话、车载计算机或以上组合。
如图8所示,计算设备800可以包括可以经由一个或多个接口与总线802连接或通信的一个或多个元件。总线802可以包括但不限于,工业标准架构(Industry StandardArchitecture,ISA)总线、微通道架构(Micro Channel Architecture,MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局部总线、以及外设组件互连(PCI)总线等。计算设备800可以包括例如一个或多个处理器804。一个或多个处理器804可以是任何种类的处理器,并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。处理器例如可以被配置为实现如前文所述的方法。
计算设备800还可以包括或被连接至非暂态存储设备814,该非暂态存储设备814可以是任何非暂态的并且可以实现数据存储的存储设备,并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算设备800还可以包括随机存取存储器(RAM)810和只读存储器(ROM)812。ROM 812可以以非易失性方式存储待执行的程序、实用程序或进程。RAM 810可提供易失性数据存储,并存储与计算设备800的操作相关的指令。可单独地或以任何组合方式来使用前述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现前述实施方案的各个方面。
例如,前述实施方案可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储设备,所述数据其后可由计算机系统读取。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、DVD、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。计算机可读介质还可分布在网络耦接的计算机系统中使得计算机可读代码以分布式方式来存储和执行。
例如,前述实施方案可采用硬件电路的形式。硬件电路可以包括组合式逻辑电路、时钟存储设备(诸如软盘、触发器、锁存器等)、有限状态机、诸如静态随机存取存储器或嵌入式动态随机存取存储器的存储器、定制设计电路、可编程逻辑阵列等的任意组合。
在一个实施方案中,可以通过用诸如Verilog或VHDL的硬件描述语言(HDL)编码和设计一个或多个集成电路或者结合使用离散电路来实现根据本公开的硬件电路。计算设备800是能够应用本公开的上述方面的硬件设备的实例。计算设备800可以是被配置为执行处理和/或计算的任何机器。计算设备800可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(PDA)、智能电话、车载计算机或以上组合。
综上所述,根据本公开的第一方面,提供了一种生成针对网络攻击的运维策略的方法,所述方法包括:基于攻击者的前期的网络攻击行为,根据攻击者行为模型预测攻击者的性格标签;基于预测的性格标签,根据性格标签和攻击技术之间的映射预测攻击者的攻击行为;以及根据预测的攻击行为以及与攻击行为对应的历史运维策略生成针对网络攻击的运维策略。
在根据本公开的实施例中,所述映射是根据以下步骤生成的:根据多种攻击行为的攻击方法、攻击受害点、技术矩阵及专家经验中的一种或多种,将多种攻击行为按照性格标签进行划分,以得到每种性格标签和相应的攻击行为之间的映射。
在根据本公开的实施例中,根据攻击者行为模型预测攻击者的性格标签包括:基于攻击者的前期的网络攻击行为得到攻击者的性格评分和攻击目标评分;结合性格评分及攻击目标评分对前期的网络攻击行为进行评价;以及基于对前期的网络攻击行为的评价,根据攻击者行为模型预测攻击者的性格标签。
在根据本公开的实施例中,根据预测的攻击行为以及历史运维策略生成针对网络攻击的运维策略包括:筛选与预测出的性格标签相关联的映射中的攻击行为中可能性大于阈值的攻击行为;将筛选后的存在关联的攻击行为并成攻击链;根据朴素贝叶斯算法计算与攻击链对应的历史运维策略的概率;以及根据计算出的概率,从历史运维策略中选择针对网络攻击的运维策略。
在根据本公开的实施例中,从历史运维策略中选择针对网络攻击的运维策略包括:选择高概率的多个运维策略;以及计算每种选择出的运维策略的成本,并将成本最小的运维策略作为生成的针对网络攻击的运维策略。
根据本公开的第二方面,提供了一种生成针对网络攻击的运维策略的装置,所述装置包括:性格标签预测模块,所述性格标签预测模块被配置为基于攻击者的前期的网络攻击行为,根据攻击者行为模型预测攻击者的性格标签;攻击行为预测模块,所述攻击行为预测模块被配置为基于预测的性格标签,根据性格标签和攻击技术之间的映射预测攻击者的攻击行为;以及运维策略生成模块,所述运维策略生成模块被配置为根据预测的攻击行为以及与攻击行为对应的历史运维策略生成针对网络攻击的运维策略。
在根据本公开的实施例中,所述映射是根据以下步骤生成的:根据多种攻击行为的攻击方法、攻击受害点、技术矩阵及专家经验中的一种或多种,将多种攻击行为按照性格标签进行划分,以得到每种性格标签和相应的攻击行为之间的映射。
在根据本公开的实施例中,所述性格标签预测模块被配置为:基于攻击者的前期的网络攻击行为得到攻击者的性格评分和攻击目标评分;结合性格评分及攻击目标评分对前期的网络攻击行为进行评价;以及基于对前期的网络攻击行为的评价,根据攻击者行为模型预测攻击者的性格标签。
在根据本公开的实施例中,所述运维策略生成模块被配置为:筛选与预测出的性格标签相关联的映射中的攻击行为中可能性大于阈值的攻击行为;将筛选后的存在关联的攻击行为并成攻击链;根据朴素贝叶斯算法计算与攻击链对应的历史运维策略的概率;以及根据计算出的概率,从历史运维策略中选择针对网络攻击的运维策略。
在根据本公开的实施例中,从历史运维策略中选择针对网络攻击的运维策略包括:选择高概率的多个运维策略;以及计算每种选择出的运维策略的成本,并将成本最小的运维策略作为生成的针对网络攻击的运维策略。
根据本公开的第三方面,提供了一种非暂态计算机可读存储介质,其上存储有程序,其特征在于,当所述程序由计算机执行时,使所述计算机执行根据本公开的第一方面所述的方法。
根据本公开的第四方面,提供了一种用于生成针对网络攻击的运维策略的装置,包括存储器和处理器,所述存储器与所述处理器通信耦合,所述存储器中存储有程序,所述程序当由处理器执行时,使得所述处理器执行根据本公开的第一方面所述的方法。
根据本公开的第五方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据本公开的第一方面所述的方法。
本公开能够改善现有针对传统运维流程的局限性,缩短运维策略响应的时效,通过运维人员与攻击者之间主动及被动身份的调换,提升运维效率,降低运维风险;在传统的日志分析技术基础之上,增添攻击者性格标签,并以此为依据,通过对攻击日志的分析,将攻击者行为进行分类,建立攻击者攻击模型,同时根据性格标签对攻击进行分类,结合攻击分类及攻击者性格标签对攻击者进一步的攻击进行预测;通过分析性格标签及攻击分类相结合的模式,对攻击者行为进行深入分析,并以此为依据,推算攻击者进一步的行为,同时结合运维人员的实际情况,进行攻防博弈成本的推算,旨在为运维人员提供有价值的参考意见/建议,方便系统自动化运维。
本公开通过分析结果,优化现有运维模式,打破运维人员“被动防守”的窘境;针对不同类型的攻击者进行标签化分类,并以标签小类为单位进行类内攻击模式的预测,从而达到快速解决问题,节省资源的目的;提升运维人员响应效率及准确性,从而提高组织网络安全部署及攻击识别的工作效率。
本公开采用性格标签进行攻击者行为测绘,并基于现有攻击技术矩阵进行性格标签的映射,从而对攻击者未来攻击行为进行预判。通过根据历史运维策略及最小成本预估推算出最佳的运维测策略,方便运维人员进一步的进行系统运维响应,提升系统运维效率,对具有鲜明攻击特点的攻击者建立及系统自动化运维策略的生成具有一定的意义,提升企业在进行安全运维响应工作效率以及准确性。
本公开通过提出攻击者性格标签的概念,缩小攻击库样本,即攻击者的未来可使用攻击技术,方便进行攻击者未来行为的预测并且减少未来策略生成的运算量,节约系统算力。同时,本公开根据历史运维策略进行策略推荐,测算最小运维成本预估,从而提供运维人员的运维最优解,使运维人员从被动变为主动,减小因发生后再预防所造成损失的可能性,从实际渗透测试方法和手法出发,更加贴近实战,提升运维工作效率并降低工作量。
本公开可以用于系统的自动化运维策略生成,进一步加强系统维护的可靠性和响应的及时性。在为系统提供更为安全的防护同时,可以通过性格标签建立更为系统的攻击者行为模型库,对攻击者的行为做出更为准确的分析及预判,以便系统运维带来更为高效的响应工作模式。
本公开可以帮助运维人员针对已知/未知攻击者建立攻击性别标签库,准确识别不同类型的攻击者类型,预测攻击者的下一步攻击策略。同时建立更为完善的运维策略生成系统,为针对性组织安全部署及组织安全威胁分析提供支持。
虽然已通过示例详细展示了本发明的一些具体实施例,但是本领域技术人员应当理解,上述示例仅意图是说明性的而不限制本发明的范围。应该认识到的是,前述方法中的一些步骤不一定按照图示的顺序执行,而是它们可以被同时、以不同顺序或以重叠方式执行。此外,本领域技术人员可以根据需要增加一些步骤或省略一些步骤。前述系统中的一些部件不是必须按照图示的布置,本领域技术人员可以根据需要增加一些部件或省略一些部件。本领域技术人员应该理解,上述实施例可以在不脱离本发明的范围和实质的情况下被修改。本发明的范围是通过所附的权利要求限定的。
Claims (13)
1.一种生成针对网络攻击的运维策略的方法,所述方法包括:
基于攻击者的前期的网络攻击行为,根据攻击者行为模型预测攻击者的性格标签;
基于预测的性格标签,根据性格标签和攻击技术之间的映射预测攻击者的攻击行为;以及
根据预测的攻击行为以及与攻击行为对应的历史运维策略生成针对网络攻击的运维策略。
2.根据权利要求1所述的方法,其中,所述映射是根据以下步骤生成的:
根据多种攻击行为的攻击方法、攻击受害点、技术矩阵及专家经验中的一种或多种,将多种攻击行为按照性格标签进行划分,以得到每种性格标签和相应的攻击行为之间的映射。
3.根据权利要求1所述的方法,其中,根据攻击者行为模型预测攻击者的性格标签包括:
基于攻击者的前期的网络攻击行为得到攻击者的性格评分和攻击目标评分;
结合性格评分及攻击目标评分对前期的网络攻击行为进行评价;以及
基于对前期的网络攻击行为的评价,根据攻击者行为模型预测攻击者的性格标签。
4.根据权利要求1所述的方法,其中,根据预测的攻击行为以及历史运维策略生成针对网络攻击的运维策略包括:
筛选与预测出的性格标签相关联的映射中的攻击行为中可能性大于阈值的攻击行为;
将筛选后的存在关联的攻击行为并成攻击链;
根据朴素贝叶斯算法计算与攻击链对应的历史运维策略的概率;以及
根据计算出的概率,从历史运维策略中选择针对网络攻击的运维策略。
5.根据权利要求4所述的方法,其中,从历史运维策略中选择针对网络攻击的运维策略包括:
选择高概率的多个运维策略;以及
计算每种选择出的运维策略的成本,并将成本最小的运维策略作为生成的针对网络攻击的运维策略。
6.一种生成针对网络攻击的运维策略的装置,所述装置包括:
性格标签预测模块,所述性格标签预测模块被配置为基于攻击者的前期的网络攻击行为,根据攻击者行为模型预测攻击者的性格标签;
攻击行为预测模块,所述攻击行为预测模块被配置为基于预测的性格标签,根据性格标签和攻击技术之间的映射预测攻击者的攻击行为;以及
运维策略生成模块,所述运维策略生成模块被配置为根据预测的攻击行为以及与攻击行为对应的历史运维策略生成针对网络攻击的运维策略。
7.根据权利要求6所述的装置,其中,所述映射是根据以下步骤生成的:
根据多种攻击行为的攻击方法、攻击受害点、技术矩阵及专家经验中的一种或多种,将多种攻击行为按照性格标签进行划分,以得到每种性格标签和相应的攻击行为之间的映射。
8.根据权利要求6所述的装置,其中,所述性格标签预测模块被配置为:
基于攻击者的前期的网络攻击行为得到攻击者的性格评分和攻击目标评分;
结合性格评分及攻击目标评分对前期的网络攻击行为进行评价;以及
基于对前期的网络攻击行为的评价,根据攻击者行为模型预测攻击者的性格标签。
9.根据权利要求6所述的装置,其中,所述运维策略生成模块被配置为:
筛选与预测出的性格标签相关联的映射中的攻击行为中可能性大于阈值的攻击行为;
将筛选后的存在关联的攻击行为并成攻击链;
根据朴素贝叶斯算法计算与攻击链对应的历史运维策略的概率;以及
根据计算出的概率,从历史运维策略中选择针对网络攻击的运维策略。
10.根据权利要求9所述的装置,其中,从历史运维策略中选择针对网络攻击的运维策略包括:
选择高概率的多个运维策略;以及
计算每种选择出的运维策略的成本,并将成本最小的运维策略作为生成的针对网络攻击的运维策略。
11.一种非暂态计算机可读存储介质,其上存储有程序,其特征在于,当所述程序由计算机执行时,使所述计算机执行根据权利要求1-5中的任一项所述的方法。
12.一种用于生成针对网络攻击的运维策略的装置,包括存储器和处理器,所述存储器与所述处理器通信耦合,所述存储器中存储有程序,所述程序当由处理器执行时,使得所述处理器执行根据权利要求1-5中的任一项所述的方法。
13.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1-5中的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111186505.8A CN113938301B (zh) | 2021-10-12 | 2021-10-12 | 生成针对网络攻击的运维策略的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111186505.8A CN113938301B (zh) | 2021-10-12 | 2021-10-12 | 生成针对网络攻击的运维策略的方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113938301A true CN113938301A (zh) | 2022-01-14 |
| CN113938301B CN113938301B (zh) | 2024-01-30 |
Family
ID=79278246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111186505.8A Active CN113938301B (zh) | 2021-10-12 | 2021-10-12 | 生成针对网络攻击的运维策略的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113938301B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017143897A1 (zh) * | 2016-02-26 | 2017-08-31 | 华为技术有限公司 | 一种攻击处理方法、设备及系统 |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
| CN111935143A (zh) * | 2020-08-10 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种攻击防御策略可视化的方法及系统 |
| CN112165462A (zh) * | 2020-09-11 | 2021-01-01 | 哈尔滨安天科技集团股份有限公司 | 基于画像的攻击预测方法、装置、电子设备及存储介质 |
| CN113486339A (zh) * | 2021-06-29 | 2021-10-08 | 新华三信息安全技术有限公司 | 一种数据处理方法、装置、设备及机器可读存储介质 |
-
2021
- 2021-10-12 CN CN202111186505.8A patent/CN113938301B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017143897A1 (zh) * | 2016-02-26 | 2017-08-31 | 华为技术有限公司 | 一种攻击处理方法、设备及系统 |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
| CN111935143A (zh) * | 2020-08-10 | 2020-11-13 | 武汉思普崚技术有限公司 | 一种攻击防御策略可视化的方法及系统 |
| CN112165462A (zh) * | 2020-09-11 | 2021-01-01 | 哈尔滨安天科技集团股份有限公司 | 基于画像的攻击预测方法、装置、电子设备及存储介质 |
| CN113486339A (zh) * | 2021-06-29 | 2021-10-08 | 新华三信息安全技术有限公司 | 一种数据处理方法、装置、设备及机器可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113938301B (zh) | 2024-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2022204197B2 (en) | Security weakness and infiltration detection and repair in obfuscated website content | |
| CN108667816B (zh) | 一种网络异常的检测定位方法及系统 | |
| US20200358819A1 (en) | Systems and methods using computer vision and machine learning for detection of malicious actions | |
| Jerlin et al. | A new malware detection system using machine learning techniques for API call sequences | |
| US20200082097A1 (en) | Combination of Protection Measures for Artificial Intelligence Applications Against Artificial Intelligence Attacks | |
| US20160080410A1 (en) | Selective website vulnerability and infection testing | |
| WO2019067993A1 (en) | DETECTION OF STRIKING ATTACK | |
| CN111869176B (zh) | 用于恶意软件签名生成的系统和方法 | |
| Haruta et al. | Visual similarity-based phishing detection scheme using image and CSS with target website finder | |
| CN115840964A (zh) | 数据处理方法、装置、电子设备及计算机存储介质 | |
| Qui et al. | Strengthening IDS against evasion attacks with GAN-based adversarial samples in SDN-enabled network | |
| CN112800666A (zh) | 日志行为分析的训练方法、身份安全风险预测方法 | |
| CN113938301B (zh) | 生成针对网络攻击的运维策略的方法、装置及存储介质 | |
| CN116599747A (zh) | 一种网络与信息安全服务系统 | |
| CN114398887A (zh) | 一种文本分类方法、装置及电子设备 | |
| CN114090650A (zh) | 一种样本数据识别方法、装置、电子设备及存储介质 | |
| Apoorva et al. | Analysis of uniform resource locator using boosting algorithms for forensic purpose | |
| CN116471131B (zh) | 逻辑链信息资产的处理方法及处理装置 | |
| CN114598509B (zh) | 一种确定脆弱性结果的方法及装置 | |
| US20240126872A1 (en) | Labeling method for information security detection rules and tactic, technique and procedure labeling device for the same | |
| US20230328095A1 (en) | Generation of Predictive Cybersecurity Data Queries | |
| CN117972697A (zh) | 一种密码芯片泛在信息泄露预警分析方法、系统 | |
| CN117312943A (zh) | 威胁情报分类方法、装置、电子设备及存储介质 | |
| Singh | URL Phishing Detection using Machine Learning Technique | |
| CN117992966A (zh) | 漏洞检测方法、模型训练方法及对应装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |