CN113992355A - 一种攻击预测方法、装置、设备及机器可读存储介质 - Google Patents

一种攻击预测方法、装置、设备及机器可读存储介质 Download PDF

Info

Publication number
CN113992355A
CN113992355A CN202111143066.2A CN202111143066A CN113992355A CN 113992355 A CN113992355 A CN 113992355A CN 202111143066 A CN202111143066 A CN 202111143066A CN 113992355 A CN113992355 A CN 113992355A
Authority
CN
China
Prior art keywords
assets
attack
matrix
security
attacked
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111143066.2A
Other languages
English (en)
Other versions
CN113992355B (zh
Inventor
金兆岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202111143066.2A priority Critical patent/CN113992355B/zh
Publication of CN113992355A publication Critical patent/CN113992355A/zh
Application granted granted Critical
Publication of CN113992355B publication Critical patent/CN113992355B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种攻击预测方法、装置、设备及机器可读存储介质,该方法包括:对资产进行漏洞扫描,记录各资产具有的安全漏洞;获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件;根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击。通过本公开的技术方案,根据各资产间访问关系、已发生的攻击及各资产的具有的漏洞,找出具有相同/相似漏洞的已被攻击的资产和未被攻击的资产,预测可同时访问已被攻击的资产和未被攻击的资产的资产将对未被攻击的资产发起攻击,从而预测出每个资产的下一步攻击的攻击源。

Description

一种攻击预测方法、装置、设备及机器可读存储介质
技术领域
本公开涉及通信技术领域,尤其是涉及一种攻击预测方法、装置、设备及机器可读存储介质。
背景技术
通用漏洞披露(Common Vulnerabilities and Exposures,CVE),是一个漏洞知识库,对漏洞与暴露进行统一标识,使得用户和厂商对漏洞与暴露有统一的认识,从而更加快速而有效地去鉴别、发现和修复软件产品的脆弱性。
通用缺陷列表(Common Weakness Enumeration,CWE)是已经在电脑软件中发现缺陷的通用在线词典。CWE旨在促进一些工具的有效使用,这些工具可以在程序面向公众发布或销售之前识别、发现并解决电脑软件中的bug、缺陷和易受攻击点。
入侵检测系统(Intrusion Detection System,IDS)是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
当前,缺少一种可以预测出每个资产的下一步攻击的攻击源的技术方案。
发明内容
有鉴于此,本公开提供一种攻击预测方法、装置及电子设备、机器可读存储介质,以改善上述不能预测出每个资产的下一步攻击的攻击源的问题。
具体地技术方案如下:
本公开提供了一种攻击预测方法,应用于安全设备,所述方法包括:对资产进行漏洞扫描,记录各资产具有的安全漏洞;获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件;根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击。
作为一种技术方案,所述对资产进行漏洞扫描,记录各资产具有的安全漏洞,包括:根据漏洞扫描结果,生成资产×漏洞的安全漏洞矩阵。
作为一种技术方案,所述获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件,包括:根据各资产间的访问关系和安全漏洞矩阵,生成资产×可访问资产的潜在攻击矩阵,根据安全事件告警日志,生成攻击源资产×资产的攻击矩阵。
作为一种技术方案,所述根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击,包括:根据安全漏洞矩阵和攻击矩阵,生成第一预测矩阵,使用潜在攻击矩阵对第一预测矩阵进行过滤,生成攻击源资产×资产的第二预测矩阵,根据第二预测矩阵得到攻击预测结果。
本公开同时提供了一种攻击预测装置,应用于安全设备,所述装置包括:扫描模块,用于对资产进行漏洞扫描,记录各资产具有的安全漏洞;资产模块,用于获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件;预测模块,用于根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击。
作为一种技术方案,所述对资产进行漏洞扫描,记录各资产具有的安全漏洞,包括:根据漏洞扫描结果,生成资产×漏洞的安全漏洞矩阵。
作为一种技术方案,所述获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件,包括:根据各资产间的访问关系和安全漏洞矩阵,生成资产×可访问资产的潜在攻击矩阵,根据安全事件告警日志,生成攻击源资产×资产的攻击矩阵。
作为一种技术方案,所述根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击,包括:根据安全漏洞矩阵和攻击矩阵,生成第一预测矩阵,使用潜在攻击矩阵对第一预测矩阵进行过滤,生成攻击源资产×资产的第二预测矩阵,根据第二预测矩阵得到攻击预测结果。
本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的攻击预测方法。
本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的攻击预测方法。
本公开提供的上述技术方案至少带来了以下有益效果:
根据各资产间访问关系、已发生的攻击及各资产的具有的漏洞,找出具有相同/相似漏洞的已被攻击的资产和未被攻击的资产,预测可同时访问已被攻击的资产和未被攻击的资产的资产将对未被攻击的资产发起攻击,从而预测出每个资产的下一步攻击的攻击源。
附图说明
为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
图1是本公开一种实施方式中的攻击预测方法的流程图;
图2是本公开一种实施方式中的攻击预测装置的结构图;
图3是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本公开提供一种攻击预测方法、装置及电子设备、机器可读存储介质,以改善上述不能预测出每个资产的下一步攻击的攻击源的问题。
具体地,技术方案如后述。
在一种实施方式中,本公开提供了一种攻击预测方法,应用于安全设备,所述方法包括:对资产进行漏洞扫描,记录各资产具有的安全漏洞;获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件;根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击。
具体地,如图1,包括以下步骤:
步骤S11,对资产进行漏洞扫描,记录各资产具有的安全漏洞;
步骤S12,获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件;
步骤S13,根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击。
根据各资产间访问关系、已发生的攻击及各资产的具有的漏洞,找出具有相同/相似漏洞的已被攻击的资产和未被攻击的资产,预测可同时访问已被攻击的资产和未被攻击的资产的资产将对未被攻击的资产发起攻击,从而预测出每个资产的下一步攻击的攻击源。
在一种实施方式中,所述对资产进行漏洞扫描,记录各资产具有的安全漏洞,包括:根据漏洞扫描结果,生成资产×漏洞的安全漏洞矩阵。
在一种实施方式中,所述获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件,包括:根据各资产间的访问关系和安全漏洞矩阵,生成资产×可访问资产的潜在攻击矩阵,根据安全事件告警日志,生成攻击源资产×资产的攻击矩阵。
在一种实施方式中,所述根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击,包括:根据安全漏洞矩阵和攻击矩阵,生成第一预测矩阵,使用潜在攻击矩阵对第一预测矩阵进行过滤,生成攻击源资产×资产的第二预测矩阵,根据第二预测矩阵得到攻击预测结果。
在一种实施方式中,提取网络中的资产访问关系,资产的漏扫结果,以及安全事件告警日志,依据资产的漏扫结果生成“资产×漏洞”安全漏洞矩阵,依据安全漏洞矩阵和资产之间的访问关系生成“资产×资产”潜在攻击矩阵,依据安全事件告警日志生成“资产×资产”攻击矩阵,依据“资产×漏洞”属性矩阵和“资产×资产”攻击矩阵计算“资产×资产”第一预测矩阵,依据“资产×资产”潜在攻击矩阵对“资产×资产”第一预测矩阵进行过滤,得到最终的第二预测矩阵。
提取所需要的数据包括资产访问关系、资产的漏扫结果,以及安全事件告警日志。资产访问关系:资产用IP表示,资产访问关系包含源IP和目的IP,可以从网络流量中提取出内网所有资产的访问关系,也可以从防火墙的策略中得到资产的访问关系。资产的漏扫结果:使用漏扫工具对所有资产进行扫描得到的结果,包含CVE和CWE。安全事件告警日志:IDS、防火墙、WAF等安全设备产生的告警日志,安全事件用源IP、目的IP、攻击类型三元组表示。
根据漏扫结果,得到每个资产的漏洞列表作为属性,对资产进行量化,得到“资产×漏洞”安全漏洞矩阵。
如果IP1存在一个或多个CVE(或者CWE)漏洞,并且IP2可以访问IP1,那么IP2可以实现对IP1通过以上漏洞进行攻击,依据资产漏扫结果和资产访问关系生成“资产×资产”潜在攻击矩阵。如果两个资产之间存在一个或者多个有向的攻击关系,那么矩阵中的对应元素为1,否则为0。
对于告警日志中的安全事件(源IP、目的IP、攻击类型),令所有安全事件的权重相同,对相同“源IP—目的IP”对的攻击进行次数累加,得到(源IP、目的IP、攻击次数)。所有的(源IP、目的IP、攻击次数)组合在一起构成了“资产×资产”攻击矩阵。
IP4和IP5含有相同的漏洞CVE1,IP1攻击了IP4,并且IP1可以访问IP5,那么IP1攻击IP5的概率很高。IP2也攻击了IP4,但是IP2不能访问IP5,那么IP2攻击IP5的概率很低。IP3攻击了IP6,IP3可以访问IP5,但是IP5和IP6含有不同的漏洞,那么IP3攻击IP5的概率很低。
对任意一个资产i,基于“资产×漏洞”属性矩阵计算i与其它资产之间的相似度(与自身的相似度为1),取相似度高的前k个资产及其相似度,所得的k个资产对应“资产×资产”攻击矩阵中的k列。“资产×资产”攻击矩阵中k个相关列向量与相似度相乘,再将k个加权(权重为相似度)后的列向量相加,作为资产i的攻击预测列向量。所有资产的攻击预测列向量组成了“资产×资产”第一预测矩阵。
使用“资产×资产”潜在攻击矩阵对上述所得“资产×资产”攻击预测矩阵进行过滤,将两个矩阵中的对应元素相乘。例如,IP1对IP2进行攻击的预测值是v,如果IP1理论上可以攻击IP2,那么预测值仍是v;如果理论上IP1不能攻击IP2,那么将预测值得到0。
在得到最终的“资产×资产”第二预测矩阵后,可以按照阈值将预测值描述成高、中、低等不同的优先级别;也可以将每一列中预测值较大的若干项展示出来。
在一种实施方式中,本公开同时提供了一种攻击预测装置,如图2,应用于安全设备,所述装置包括:扫描模块21,用于对资产进行漏洞扫描,记录各资产具有的安全漏洞;资产模块22,用于获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件;预测模块23,用于根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击。
在一种实施方式中,所述对资产进行漏洞扫描,记录各资产具有的安全漏洞,包括:根据漏洞扫描结果,生成资产×漏洞的安全漏洞矩阵。
在一种实施方式中,所述获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件,包括:根据各资产间的访问关系和安全漏洞矩阵,生成资产×可访问资产的潜在攻击矩阵,根据安全事件告警日志,生成攻击源资产×资产的攻击矩阵。
在一种实施方式中,所述根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击,包括:根据安全漏洞矩阵和攻击矩阵,生成第一预测矩阵,使用潜在攻击矩阵对第一预测矩阵进行过滤,生成攻击源资产×资产的第二预测矩阵,根据第二预测矩阵得到攻击预测结果。
装置实施方式与对应的方法实施方式相同或相似,在此不再赘述。
在一种实施方式中,本公开提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的攻击预测方法,从硬件层面而言,硬件架构示意图可以参见图3所示。
在一种实施方式中,本公开提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的攻击预测方法。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施方式阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本公开的实施方式可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本公开的实施方式可提供为方法、系统或计算机程序产品。因此,本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且,本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本公开的实施方式而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的权利要求范围之内。

Claims (10)

1.一种攻击预测方法,其特征在于,应用于安全设备,所述方法包括:
对资产进行漏洞扫描,记录各资产具有的安全漏洞;
获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件;
根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击。
2.根据权利要求1所述的方法,其特征在于,
所述对资产进行漏洞扫描,记录各资产具有的安全漏洞,包括:
根据漏洞扫描结果,生成资产×漏洞的安全漏洞矩阵。
3.根据权利要求2所述的方法,其特征在于,
所述获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件,包括:
根据各资产间的访问关系和安全漏洞矩阵,生成资产×可访问资产的潜在攻击矩阵,根据安全事件告警日志,生成攻击源资产×资产的攻击矩阵。
4.根据权利要求3所述的方法,其特征在于,
所述根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击,包括:
根据安全漏洞矩阵和攻击矩阵,生成第一预测矩阵,使用潜在攻击矩阵对第一预测矩阵进行过滤,生成攻击源资产×资产的第二预测矩阵,根据第二预测矩阵得到攻击预测结果。
5.一种攻击预测装置,其特征在于,应用于安全设备,所述装置包括:
扫描模块,用于对资产进行漏洞扫描,记录各资产具有的安全漏洞;
资产模块,用于获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件;
预测模块,用于根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击。
6.根据权利要求5所述的装置,其特征在于,
所述对资产进行漏洞扫描,记录各资产具有的安全漏洞,包括:
根据漏洞扫描结果,生成资产×漏洞的安全漏洞矩阵。
7.根据权利要求6所述的装置,其特征在于,
所述获取各资产间的访问关系,根据安全事件告警日志,获取已发生的资产间的攻击事件,包括:
根据各资产间的访问关系和安全漏洞矩阵,生成资产×可访问资产的潜在攻击矩阵,根据安全事件告警日志,生成攻击源资产×资产的攻击矩阵。
8.根据权利要求7所述的装置,其特征在于,
所述根据受攻击的资产存在的安全漏洞,预测具有相似/相同安全漏洞的其他可被同一攻击源资产访问的资产被该攻击源进行攻击,包括:
根据安全漏洞矩阵和攻击矩阵,生成第一预测矩阵,使用潜在攻击矩阵对第一预测矩阵进行过滤,生成攻击源资产×资产的第二预测矩阵,根据第二预测矩阵得到攻击预测结果。
9.一种电子设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令,以实现权利要求1-4任一所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1-4任一所述的方法。
CN202111143066.2A 2021-09-28 2021-09-28 一种攻击预测方法、装置、设备及机器可读存储介质 Active CN113992355B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111143066.2A CN113992355B (zh) 2021-09-28 2021-09-28 一种攻击预测方法、装置、设备及机器可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111143066.2A CN113992355B (zh) 2021-09-28 2021-09-28 一种攻击预测方法、装置、设备及机器可读存储介质

Publications (2)

Publication Number Publication Date
CN113992355A true CN113992355A (zh) 2022-01-28
CN113992355B CN113992355B (zh) 2023-11-07

Family

ID=79737024

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111143066.2A Active CN113992355B (zh) 2021-09-28 2021-09-28 一种攻击预测方法、装置、设备及机器可读存储介质

Country Status (1)

Country Link
CN (1) CN113992355B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230085509A1 (en) * 2021-09-14 2023-03-16 The Mitre Corporation Optimizing network microsegmentation policy for cyber resilience
US12034758B2 (en) * 2021-09-14 2024-07-09 The Mitre Corporation Optimizing network microsegmentation policy for cyber resilience

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130318616A1 (en) * 2012-05-23 2013-11-28 International Business Machines Corporation Predicting attacks based on probabilistic game-theory
US20170346839A1 (en) * 2014-12-05 2017-11-30 T-Mobile Usa, Inc. Similarity search for discovering multiple vector attacks
CN110336784A (zh) * 2019-05-22 2019-10-15 北京瀚海思创科技有限公司 基于大数据的网络攻击识别预测系统、方法以及存储介质
US10454963B1 (en) * 2015-07-31 2019-10-22 Tripwire, Inc. Historical exploit and vulnerability detection
CN110365674A (zh) * 2019-07-11 2019-10-22 武汉思普崚技术有限公司 一种预测网络攻击面的方法、服务器和系统
CN110874470A (zh) * 2018-12-29 2020-03-10 北京安天网络安全技术有限公司 基于网络攻击预测网络空间安全性的方法及装置
US10686820B1 (en) * 2016-07-03 2020-06-16 Skybox Security Ltd Scoping cyber-attack incidents based on similarities, accessibility and network activity
US20200213346A1 (en) * 2018-12-27 2020-07-02 Paypal, Inc. Predicting online electronic attacks based on other attacks
JP2020155098A (ja) * 2019-03-22 2020-09-24 株式会社日立製作所 コンピュータネットワークにおける攻撃経路を予測するための方法およびシステム
CN112187773A (zh) * 2020-09-23 2021-01-05 支付宝(杭州)信息技术有限公司 一种网络安全漏洞的挖掘方法和装置
KR20210074891A (ko) * 2019-12-12 2021-06-22 국방과학연구소 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130318616A1 (en) * 2012-05-23 2013-11-28 International Business Machines Corporation Predicting attacks based on probabilistic game-theory
US20170346839A1 (en) * 2014-12-05 2017-11-30 T-Mobile Usa, Inc. Similarity search for discovering multiple vector attacks
US10454963B1 (en) * 2015-07-31 2019-10-22 Tripwire, Inc. Historical exploit and vulnerability detection
US10686820B1 (en) * 2016-07-03 2020-06-16 Skybox Security Ltd Scoping cyber-attack incidents based on similarities, accessibility and network activity
US20200213346A1 (en) * 2018-12-27 2020-07-02 Paypal, Inc. Predicting online electronic attacks based on other attacks
CN110874470A (zh) * 2018-12-29 2020-03-10 北京安天网络安全技术有限公司 基于网络攻击预测网络空间安全性的方法及装置
JP2020155098A (ja) * 2019-03-22 2020-09-24 株式会社日立製作所 コンピュータネットワークにおける攻撃経路を予測するための方法およびシステム
CN110336784A (zh) * 2019-05-22 2019-10-15 北京瀚海思创科技有限公司 基于大数据的网络攻击识别预测系统、方法以及存储介质
CN110365674A (zh) * 2019-07-11 2019-10-22 武汉思普崚技术有限公司 一种预测网络攻击面的方法、服务器和系统
KR20210074891A (ko) * 2019-12-12 2021-06-22 국방과학연구소 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치
CN112187773A (zh) * 2020-09-23 2021-01-05 支付宝(杭州)信息技术有限公司 一种网络安全漏洞的挖掘方法和装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230085509A1 (en) * 2021-09-14 2023-03-16 The Mitre Corporation Optimizing network microsegmentation policy for cyber resilience
US12034758B2 (en) * 2021-09-14 2024-07-09 The Mitre Corporation Optimizing network microsegmentation policy for cyber resilience

Also Published As

Publication number Publication date
CN113992355B (zh) 2023-11-07

Similar Documents

Publication Publication Date Title
US9870470B2 (en) Method and apparatus for detecting a multi-stage event
US8549645B2 (en) System and method for detection of denial of service attacks
WO2016014014A1 (en) Remedial action for release of threat data
WO2020209958A1 (en) Adaptive severity functions for alerts
CN112995236B (zh) 一种物联网设备安全管控方法、装置和系统
CN113486339A (zh) 一种数据处理方法、装置、设备及机器可读存储介质
CN114374566B (zh) 一种攻击检测方法及装置
CN114091039A (zh) 基于rasp的攻击防护系统及应用设备
US10686820B1 (en) Scoping cyber-attack incidents based on similarities, accessibility and network activity
CN112966264A (zh) Xss攻击检测方法、装置、设备及机器可读存储介质
CN113992355B (zh) 一种攻击预测方法、装置、设备及机器可读存储介质
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
CN114760113B (zh) 一种异常告警检测方法、装置及电子设备和存储介质
CN112235312B (zh) 一种安全事件的可信度确定方法、装置及电子设备
CN112491820B (zh) 异常检测方法、装置及设备
CN112966002B (zh) 一种安全管理方法、装置、设备及机器可读存储介质
CN114021127A (zh) 入侵防御数据处理方法、装置及计算机设备、存储介质
CN113783850A (zh) 一种网络防护方法、装置、设备及机器可读存储介质
CN113127855A (zh) 安全防护系统及方法
CN113779575A (zh) 一种攻击分析处理方法、装置、设备及机器可读存储介质
CN113139179A (zh) 基于web攻击的分析方法及装置
CN114640529B (zh) 攻击防护方法、装置、设备、存储介质和计算机程序产品
CN112437093B (zh) 安全状态的确定方法、装置及设备
CN112511372B (zh) 一种异常检测方法、装置及设备
CN113965356A (zh) 一种安全事件分析方法、装置、设备及机器可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant