CN114024736B - 威胁源关联性识别处理方法、装置及电子设备、存储介质 - Google Patents
威胁源关联性识别处理方法、装置及电子设备、存储介质 Download PDFInfo
- Publication number
- CN114024736B CN114024736B CN202111288193.1A CN202111288193A CN114024736B CN 114024736 B CN114024736 B CN 114024736B CN 202111288193 A CN202111288193 A CN 202111288193A CN 114024736 B CN114024736 B CN 114024736B
- Authority
- CN
- China
- Prior art keywords
- association
- threat
- different
- nodes
- relevance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 19
- 238000013139 quantization Methods 0.000 claims abstract description 26
- 238000011002 quantification Methods 0.000 claims abstract description 15
- 230000000875 corresponding effect Effects 0.000 claims description 36
- 238000000034 method Methods 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 24
- 230000002596 correlated effect Effects 0.000 claims description 12
- 238000004458 analytical method Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 8
- 230000009467 reduction Effects 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 abstract description 7
- 238000004891 communication Methods 0.000 description 7
- 230000008520 organization Effects 0.000 description 6
- 230000006378 damage Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开一种威胁源关联性识别处理方法、装置及电子设备、存储介质,本申请基于预定数据源识别具备关联关系的多个威胁对象,并确定多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息,最终根据确定的第一关联信息、第二关联信息和/或第三关联信息,对不同威胁源之间的关联性进行量化处理,得到不同威胁源的关联性量化结果。从而,本申请通过借助威胁源的辅助对象的辅助溯源作用,实现了对不同威胁源关联性的识别与量化,相应达到进一步全面了解攻击者,对APT等网络攻击起到更好防御作用的目的。
Description
技术领域
本申请属于计算机网络安全领域,尤其涉及一种威胁源关联性识别处理方法、装置及电子设备、存储介质。
背景技术
随着大数据、物联网、云技术、人工智能等技术的发展,计算机网络安全隐患也日益严峻,数据泄露、勒索软件、钓鱼攻击、DDOS(Distributed denial of service attack,分布式拒绝服务攻击)、APT(advanced persistent threat,高级可持续威胁攻击)等网络安全事件频发,网络威胁愈加复杂,网络攻击手段更加多样。网络攻击造成的危害严重,重要信息的窃取或破坏会给企业或用户带来巨大的经济损失,甚至危害生命安全并造成严重的社会影响。
其中,APT攻击已经成为最严重的网络安全威胁之一。APT攻击通常是通过团队协作执行的攻击活动,主要以破坏基础设施、窃取敏感信息为目的,具有隐蔽性强、攻击手段高、持续时间长、高度危害性等特点。APT攻击一旦被发现时往往已经入侵目标很长时间,造成的危害巨大。
传统的攻击检测和防御手段主要有防火墙、入侵检测系统、流量监测系统、杀毒软件、安全网关等网络边界和主机边界的技术手段,申请人研究发现,这些传统手段已无法应对日益复杂的高级持续性攻击,且缺乏对事件的关联性分析。
发明内容
有鉴于此,本申请提供一种威胁源关联性识别处理方法、装置及电子设备、存储介质,用于识别并量化威胁源之间的关联关系,以全面了解攻击者,对APT等网络攻击起到更好的防御作用。
具体技术方案如下:
一种威胁源关联性识别处理方法,包括:
基于预定数据源识别具备关联关系的多个威胁对象;识别的威胁对象包括用于产生网络威胁的威胁源和用于辅助威胁源产生网络威胁的辅助对象;
确定所述多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息;
根据所述第一关联信息、所述第二关联信息和/或所述第三关联信息,对不同威胁源的关联性进行量化处理,得到不同威胁源的关联性量化结果。
可选的,所述基于预定数据源识别具备关联关系的多个威胁对象,包括如下处理中的至少一种:
基于网络恶意代码或流量信息分析具备关联关系的多个威胁对象;
获取安全分析类平台提供的具备关联关系的多个威胁对象;
基于互联网数据分析具备关联关系的多个威胁对象;
基于网络节点之间的属性关系分析具备关联关系的多个威胁对象。
可选的:
所述第一关联信息包括:具备直接关联关系的不同威胁源对应的至少一种关联类型及每种关联类型的权重;
所述第二关联信息包括:具备直接关联关系的不同辅助对象对应的至少一种关联类型及每种关联类型的权重;
所述第三关联信息包括:具备直接关联关系的威胁源和辅助对象对应的至少一种关联类型及每种关联类型的权重;
其中,不同威胁对象间的关联类型与确定所述不同威胁对象之间存在直接关联关系时所基于的数据源相关;若基于不同数据源分别确定出两个不同威胁对象间存在直接关联关系,所述两个不同威胁对象相应对应分别匹配于不同数据源的不同关联类型。
可选的,所述根据所述第一关联信息、所述第二关联信息和/或所述第三关联信息,对不同威胁源的关联性进行量化处理,得到不同威胁源的关联性量化结果,包括:
根据所述第一关联信息、所述第二关联信息和/或所述第三关联信息,构建节点关联关系图;所述节点关联关系图中的节点包括威胁源节点和辅助对象节点,所述节点关联关系图中不同节点间的连接,用于指示所连接的不同节点对应的不同威胁对象间的关联类型及关联类型的权重;
识别所述节点关联关系图中不同威胁源节点之间的连接路径;
根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值,得到所述关联性量化结果;
其中,不同威胁源之间的关联值,与所对应的不同威胁源节点间的连接路径数量正相关,与连接路径的长度反相关。
可选的,所述节点关联关系图中两个相邻节点间的连接有一条或多条;
其中,在两个相邻节点间的连接有多条的情况下,所述两个相邻节点间关联关系的权重为各条连接分别对应的权重之和。
可选的,所述根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值,包括:
利用以下的关联性量化计算式,计算不同威胁源之间的关联值:
其中:Q表示两个威胁源之间的关联值,n表示两个威胁源节点之间的连接路径数量,m表示每条路径包括的路径段的个数,l表示连接路径上两个相邻节点之间的连接个数,w表示连接路径上两个相邻节点之间关联关系的权重,ε表示消减系数,x0表示预设的路径段数量阈值。
一种威胁源关联性识别处理装置,包括:
识别模块,用于基于预定数据源识别具备关联关系的多个威胁对象;确定的威胁对象包括用于产生网络威胁的威胁源和用于辅助威胁源产生网络威胁的辅助对象;
确定模块,用于确定所述多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息;
量化处理模块,用于根据所述第一关联信息、第二关联信息和/或所述第三关联信息,对不同威胁源的关联性进行量化处理,得到不同威胁源的关联性量化结果。
可选的,所述量化处理模块,具体用于:
根据所述第一关联信息、所述第二关联信息和/或所述第三关联信息,构建节点关联关系图;所述节点关联关系图中的节点包括威胁源节点和辅助对象节点,所述节点关联关系图中不同节点间的连接,用于指示所连接的不同节点对应的不同威胁对象间的关联类型及关联类型的权重;
识别所述节点关联关系图中不同威胁源节点之间的连接路径;
根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值,得到所述关联性量化结果;
其中,不同威胁源之间的关联值,与所对应的不同威胁源节点间的连接路径数量正相关,与连接路径的长度反相关。
一种电子设备,包括:
存储器,用于存放计算机指令集;
处理器,用于通过执行存储器上存放的指令集,实现如上文任一项所述的威胁源关联性识别处理方法。
一种存储介质,所述存储介质内存放有计算机指令集,所述计算机指令集运行时能用于实现如上文任一项所述的威胁源关联性识别处理方法。
相较于传统技术,本申请具有以下有益效果:
本申请提供的威胁源关联性识别处理方法、装置及电子设备、存储介质,基于预定数据源识别具备关联关系的多个威胁对象,并确定多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息,最终根据确定的第一关联信息、第二关联信息和/或第三关联信息,对不同威胁源之间的关联性进行量化处理,得到不同威胁源的关联性量化结果。从而,本申请通过借助威胁源的辅助对象的辅助溯源作用,实现了对不同威胁源关联性的识别与量化,可充分对攻击事件进行关联性分析,相应达到进一步全面了解攻击者,对APT等网络攻击起到更好防御作用的目的。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本申请提供的威胁源关联性识别处理方法流程图;
图2是本申请提供的基于节点关联关系图量化威胁源关联性的流程图;
图3与图4分别是本申请提供的节点关联关系图的不同示例;
图5是本申请提供的威胁源关联性识别处理装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
网络溯源作为一种有效防护手段,能够及时发现攻击者或攻击组织,针对性地防御网络攻击,减少攻击危害,但攻击者往往采用匿名方式实施攻击,借助跳板、VPN(VirtualPrivate Network,虚拟专用网络)、公共云服务等手段,给网络溯源带来挑战。
为了解决上述问题,本申请公开一种威胁源关联性识别处理方法、装置及电子设备、存储介质,用于识别并量化不同威胁源之间的关联关系,为分析威胁组织的内部结构和威胁事件的攻击活动提供帮助,以全面了解攻击组织,发现更多的未知信息,从而更加有效的实现网络溯源,有针对性地防御网络攻击。
参见图1提供的威胁源关联性识别处理方法的流程图,本申请实施例公开的威胁源关联性识别处理方法包括如下的各个步骤:
步骤101、基于预定数据源识别具备关联关系的多个威胁对象;确定的威胁对象包括用于产生网络威胁的威胁源和用于辅助威胁源产生网络威胁的辅助对象。
本申请方法主要是在网络溯源中发挥作用,网络溯源主要是对网络中威胁源的识别,威胁源包括攻击者和攻击组织。
申请人研究发现,网络空间中除了用于产生网络威胁的威胁源,还有很多用于辅助威胁源产生网络威胁的辅助对象,本实施例相应基于威胁源的辅助对象获取对应的辅助溯源的指标,并结合这些指标来辅助溯源。
网络空间中,威胁源可以采用代表攻击者或攻击组织的唯一身份表示,包括但不限于威胁源的身份证号、社保卡号、组织名称等,本步骤中,在识别具备关联关系的多个威胁对象时,识别出的威胁源相应是指威胁源的身份证号、社保卡号、组织名称等身份表示信息。辅助对象可以包括但不限于网络空间中用于辅助威胁源产生威胁的相关hash值、域名、IP地址、注册表、邮箱等等,本实施例同时将这些hash值、域名、IP地址、注册表、邮箱等作为用来辅助溯源的指标。
威胁对象之间的关联关系是多类型多来源的,可选的,本实施例主要提供威胁对象间关联关系的四种来源:第一种是从恶意代码或内部流量中直接分析得到,具有最大的关联性;第二种是从安全分析类平台获取,这些平台一般是通过安全人员分析的具有高度可信的信息,例如微步在线、360威胁情报中心;第三种是互联网数据,来自博客、论坛、社交网络等;第四种表示节点之间的属性关系,比如某IP(Internet Protocol,网际互连协议)地址属于哪个地区。
相应的,本步骤中,基于预定数据源识别具备关联关系的多个威胁对象,可以实现为包括如下处理中的任意一种或多种:
11)基于网络恶意代码或流量信息分析具备关联关系的多个威胁对象;
12)获取安全分析类平台提供的具备关联关系的多个威胁对象;
13)基于互联网数据分析具备关联关系的多个威胁对象;
14)基于网络节点之间的属性关系分析具备关联关系的多个威胁对象。
实施中,优选的,可结合对上述四种来源的数据识别处理,得到所需的具备关联关系的多个威胁对象,如具备关联关系的不同威胁源、不同辅助对象等。
以下提供一个具体示例:
例如,假设存在一个威胁组织T(威胁源),通过对其恶意代码进行逆向分析发现了一个人员名称U(威胁源),以及一个邮箱地址Mail(辅助对象),通过互联网搜索引擎分别搜索T和U,当搜索T时,出现了相同的邮箱地址Mail,说明通过上述的处理11)、13)分析得出,T、U和Mail之间存在关联关系。
步骤102、确定识别出的多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息。
之后,进一步确定所识别出的多个威胁对象具备直接关联关系的不同威胁对象及其之间的关联信息。具体包括具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息。
上述第一关联信息包括:具备直接关联关系的不同威胁源对应的至少一种关联类型及每种关联类型的权重;第二关联信息包括:具备直接关联关系的不同辅助对象对应的至少一种关联类型及每种关联类型的权重;第三关联信息包括:具备直接关联关系的威胁源和辅助对象对应的至少一种关联类型及每种关联类型的权重。
其中,不同威胁对象间的关联类型与确定所述不同威胁对象之间存在直接关联关系时所基于的数据源相关;若基于不同数据源分别确定出两个不同威胁对象间存在直接关联关系,则该两个不同威胁对象相应对应分别匹配于不同数据源的不同关联类型。
示例性的,本实施例将确定不同威胁对象之间存在直接关联关系时所基于的数据源的类型,作为不同威胁对象之间存在的直接关联关系类型,并为不同类型的关联关系配置不同的权重,也即,本实施例针对威胁对象之间关联关系的多类型多来源,根据不同来源的可信性、权威性区别,认为威胁对象间关联关系的不同类型/不同来源分别代表着威胁对象间的不同紧密性或不同关联程度,相应为其分配对应的权重,针对上述四种来源,以下提供关联关系的不同类型所对应的不同权重的一个示例:
表1
| 序号 | 关联类型 | 权重 |
| 1 | 恶意代码/内部流量 | 1.5 |
| 2 | 安全分析类平台 | 0.6 |
| 3 | 互联网数据 | 0.4 |
| 4 | 属性关系 | 0.2 |
具备关联关系的不同威胁对象间的关联关系类型可以是一种或多种,如果两个威胁对象之间的关联关系类型有多种,说明两者的关联性很明显,多方面表示有关联,则两者之间关联关系的权重进一步确定为不同类型关联关系的权重之和。
步骤103、根据上述第一关联信息、第二关联信息和/或第三关联信息,对不同威胁源间的关联性进行量化处理,得到不同威胁源间的关联性量化结果。
申请人研究发现,辅助对象如hash值、域名、IP地址、注册表、邮箱等指标,并不是唯一不变的,而是可以动态变换,攻击者可以轻易对其作出改变来辅助其攻击行为,且这些辅助对象对于溯源威胁源有着重要的作用,由此,本实施例具体借助辅助对象的辅助溯源作用,最终确定不同威胁源之间的关联关系并对其进行量化,而对于辅助对象,鉴于其动态可变性、临时使用特征,则不对这类威胁对象间的关联关系进行量化。
进一步,本实施例通过节点关联关系图的方式,对不同威胁源间的关联性进行量化处理,参见图2所述,该节点关联关系图执行的量化处理可实现为:
步骤201、根据上述第一关联信息、第二关联信息和/或第三关联信息,构建节点关联关系图。
其中,构建的节点关联关系图包括一系列节点和不同节点间的连接(即节点间的“关系”),针对威胁源和辅助对象这两种威胁对象,节点关联关系图中的节点相应包括两种:威胁源节点和辅助对象节点,可选的,辅助对象节点具体可以是IOC(Indicator ofcompromise,威胁指示器)节点。
节点关联关系图中不同节点间的连接,用于指示所连接的不同节点对应的不同威胁对象间的关联类型及关联类型的权重,鉴于不同关联类型分别对应不同权重,因此,可直接基于不同节点间的连接所对应的权重信息,来表征其所对应的关联类型,例如,结合表1的示例,如果某条连接上携带的权重信息为“0.6”,则表示该连接体现的两节点间的关联类型为表1中的第二种关联类型。
两个威胁源节点可以通过IOC节点连接形成一条路径,也可以是两个威胁源节点直接连接形成一条路径,后者的关联性更强,多条路径的路径信息共同组成两个威胁源节点间关联关系的关联值,威胁源节点之间的连接路径越多(即路径数越大),关联性越大。也即,不同威胁源之间的关联值,与所对应的不同威胁源节点间的连接路径数量正相关,与连接路径的长度反相关。
为方便表示和计算,本实施例使用图结构的邻接矩阵方式来存储和表示节点之间复杂的关联关系。其中,图(G)由节点集合V和表示节点之间关系的集合E(即节点间的“连接”)组成,记为G=<V,E>。图分为有向图和无向图,鉴于本申请中节点之间的关联关系是相互的,因此采用无向图表示,该图中还有一个重要的元素即是节点间连接上的权重,用于表示一个节点到另一个节点的距离、代价、关联程度等。
其中,具体将所涉及的节点、连接及图结构定义如下:
定义节点结构为:
Vertex{
String id //节点id
String type //节点类型
};
定义节点间关联关系结构体为:
EdgeEntry{
Edge edge[] //数组表示多个关联
};
定义连接(E)为:
Edge{
StringsourceType //表示关联类型
String weight //权重
}
接下来使用邻接矩阵的方式将图的结构表示为:
例如,针对上述关于T、U和Mail的示例,通过方式11)、13)的分析,可知,T和Mail之间的关联关系比较紧密,权重值为1.9,即两种类型的关联关系权重之和(1.5+0.4=1.9),T和U之间的关联关系权重值为1.5,构建的节点关联关系图具体如图3所示。
步骤202、识别节点关联关系图中不同威胁源节点之间的至少一条连接路径。
在构建得到节点关联关系图的基础上,继续识别该图中任两个威胁源节点之间的连接路径,两个威胁源节点之间的连接路径为一条或多条,以用于为不同威胁源节点之间关联关系的量化提供准备。
步骤203、根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值,得到不同威胁源的关联性量化结果。
其中,连接路径包括的路径段数量即为连接路径上IOC节点数加1,两个相邻节点之间关联关系的权重为两个相邻节点之间所有连接(关联类型)对应的权重之和。
在识别出两个威胁源节点之间的连接路径后,本实施例进一步结合连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算两个威胁源之间的关联值,以此实现对不同威胁源之间关联关系的量化。
具体的,根据三度影响力原则,即节点对邻居节点的影响,只要在三度以内都属于强连接关系,如果超过三度以上,节点相互间的影响则会消失。所以两个威胁源节点之间的IOC节点个数小于或等于5,则属于强连接关系,超过5个IOC节点后,两威胁源节点的关联关系也将大大减弱,基于此,本实施例定义消减系数来描述不同威胁源节点之间随其路径上IOC节点的递增呈指数级减小的关联关系,以用于定量计算威胁源节点之间IOC节点超过预设阈值(如,5个)时的关联性。
威胁源节点之间的连接路径越多,关联性越大。但是在一个庞大的网络结构中,两个威胁源节点之间可能会有很多条有重复节点的路径,根据三度影响力原则,如果两个威胁源节点之间的IOC节点超过5个,影响力将大大减弱,基于此,本实施例中,如果两条路径中重复节点大于或等于预设阈值(如,5个),取最优路径,即最短路径,如果路径长短相同则取最高值(路径上各路径段权重值之和)路径。
根据以上陈述,定义两个威胁源节点的关联性量化公式,具体定义如下:
其中:Q表示两个威胁源之间的关联值,n表示两个威胁源节点之间的连接路径数量,m表示每条路径包括的路径段的个数,l表示连接路径上两个相邻节点之间的连接个数,w表示连接路径上两个相邻节点之间关联关系的权重,ε表示消减系数,x0表示预设的路径段数量阈值。
x0具体为针对两条路径中重复IOC节点所设定的阈值加1,例如,基于三度影响力原则,优选的,为两条路径中重复节点设定阈值为5,则x0=6,在该示例中,消减系数具体如下:
基于构建的节点关联关系图,并通过定义的两个威胁源节点的关联性量化公式,最终计算出节点关联关系图中任意两个威胁源节点之间的关联性量化值,作为所对应的两个威胁源间的关联性量化结果,以帮助全面了解攻击者或攻击组织,发现更多未知信息,为进一步的溯源提供有效支撑。
以下进一步提供基于本申请方法的威胁源节点的关联性量化示例:
结合参见图4的节点关联关系图,该示例中,节点U和T是威胁源节点,其他节点是IOC节点。
量化威胁源节点U和T的关联性的实现过程如下:
21)过滤掉U和T之间IOC节点重复数大于或等于5的路径。
其中,如图4所示,U和T之间存在3条路径,分别是U-V9-T,U-V1-V2-V3-V4-V5-V6-V7-T,U-V1-V2-V3-V4-V5-V8-T。后两条路径中存在5个重复的IOC节点(V1-V2-V3-V4-V5),故过滤掉较长路径。最后剩余两条路径,分别是U-V9-T,U-V1-V2-V3-V4-V5-V8-T。
22)第一条路径U-V9-T的威胁源关联值为两条路径段的权重的乘积,即0.36。
23)第二条路径U-V1-V2-V3-V4-V5-V8-T,首先计算V8-T这个路径段的权重,为两条连线的和,即1.9,然后将每个路径段权重相乘,即0.022。最后,由于这条路径上的IOC节点为6个(路径段个数为7个),根据三度影响力原则,需要乘以消减系数ε,为1/e(e=2.718),即0.368。所以第二条路径的威胁源关联值为0.008。可见,第二条路径太长,威胁源之间的关联性较弱。
24)威胁源节点U和T的关联性为两条路径的关联值之和,为0.368。
综上所述,本实施例的方法,基于预定数据源识别具备关联关系的多个威胁对象,并确定多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息,最终根据确定的第一关联信息、第二关联信息和/或第三关联信息,对不同威胁源之间的关联性进行量化处理,得到不同威胁源的关联性量化结果。从而,本申请通过借助威胁源的辅助对象的辅助溯源作用,实现了对不同威胁源关联性的识别与量化,可充分对攻击事件进行关联性分析,相应达到进一步全面了解攻击者,对APT等网络攻击起到更好防御作用的目的。
对应于上述的威胁源关联性识别处理方法,本申请实施例还公开一种威胁源关联性识别处理装置,如图5所示,该装置包括:
识别模块501,用于基于预定数据源识别具备关联关系的多个威胁对象;确定的威胁对象包括用于产生网络威胁的威胁源和用于辅助威胁源产生网络威胁的辅助对象;
确定模块502,用于确定所述多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息;
量化处理模块503,用于根据所述第一关联信息、第二关联信息和/或所述第三关联信息,对不同威胁源的关联性进行量化处理,得到不同威胁源的关联性量化结果。
在一实施方式中,识别模块501,具体用于执行如下处理中的至少一种:
基于网络恶意代码或流量信息分析具备关联关系的多个威胁对象;
获取安全分析类平台提供的具备关联关系的多个威胁对象;
基于互联网数据分析具备关联关系的多个威胁对象;
基于网络节点之间的属性关系分析具备关联关系的多个威胁对象。
在一实施方式中,第一关联信息包括:具备直接关联关系的不同威胁源对应的至少一种关联类型及每种关联类型的权重;
第二关联信息包括:具备直接关联关系的不同辅助对象对应的至少一种关联类型及每种关联类型的权重;
第三关联信息包括:具备直接关联关系的威胁源和辅助对象对应的至少一种关联类型及每种关联类型的权重;
其中,不同威胁对象间的关联类型与确定所述不同威胁对象之间存在直接关联关系时所基于的数据源相关;若基于不同数据源分别确定出两个不同威胁对象间存在直接关联关系,所述两个不同威胁对象相应对应分别匹配于不同数据源的不同关联类型。
在一实施方式中,量化处理模块503,具体用于:
根据所述第一关联信息、第二关联信息和/或所述第三关联信息,构建节点关联关系图;所述节点关联关系图中的节点包括威胁源节点和辅助对象节点,所述节点关联关系图中不同节点间的连接,用于指示所连接的不同节点对应的不同威胁对象间的关联类型及关联类型的权重;
识别所述节点关联关系图中不同威胁源节点之间的连接路径;
根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值,得到所述关联性量化结果;
其中,不同威胁源之间的关联值,与所对应的不同威胁源节点间的连接路径数量正相关,与连接路径的长度反相关。
在一实施方式中,节点关联关系图中两个相邻节点间的连接有一条或多条;其中,在两个相邻节点间的连接有多条的情况下,所述两个相邻节点间关联关系的权重为各条连接分别对应的权重之和。
在一实施方式中,量化处理模块503在根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值时,具体用于:
利用以下的关联性量化计算式,计算不同威胁源之间的关联值:
其中:Q表示两个威胁源之间的关联值,n表示两个威胁源节点之间的连接路径数量,m表示每条路径包括的路径段的个数,l表示连接路径上两个相邻节点之间的连接个数,w表示连接路径上两个相邻节点之间关联关系的权重,ε表示消减系数,x0表示预设的路径段数量阈值。
对于本申请实施例公开的威胁源关联性识别处理装置而言,由于其与上文方法实施例公开的威胁源关联性识别处理方法相对应,所以描述的比较简单,相关相似之处请参见上文相应方法实施例的说明即可,此处不再详述。
本申请实施例还公开一种电子设备,该电子设备具体包括:
存储器,用于存放计算机指令集;
计算机指令集可以通过计算机程序的形式实现。
处理器,用于通过执行计算机指令集,实现如上文任一方法实施例公开的威胁源关联性识别处理方法。
处理器可以为中央处理器(Central Processing Unit,CPU),特定应用集成电路(application-specific integrated circuit,ASIC),数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件等。
除此之外,电子设备还可以包括通信接口、通信总线等组成部分。存储器、处理器和通信接口通过通信总线完成相互间的通信。
通信接口用于电子设备与其他设备之间的通信。通信总线可以是外设部件互连标准(Peripheral Component Interconnect,PCI)总线或扩展工业标准结构(ExtendedIndustry Standard Architecture,EISA)总线等,该通信总线可以分为地址总线、数据总线、控制总线等。
另外,本申请实施例还公开一种存储介质,该存储介质内存储有计算机指令集,所存储的计算机指令集在运行时能用于实现如上文任一方法实施例公开的威胁源关联性识别处理方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
为了描述的方便,描述以上系统或装置时以功能分为各种模块或单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
最后,还需要说明的是,在本文中,诸如第一、第二、第三和第四等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (8)
1.一种威胁源关联性识别处理方法,其特征在于,包括:
基于预定数据源识别具备关联关系的多个威胁对象;识别的威胁对象包括用于产生网络威胁的威胁源和用于辅助威胁源产生网络威胁的辅助对象;
确定所述多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息;
根据所述第一关联信息、所述第二关联信息和/或所述第三关联信息,对不同威胁源的关联性进行量化处理,得到不同威胁源的关联性量化结果;
其中,所述根据所述第一关联信息、所述第二关联信息和/或所述第三关联信息,对不同威胁源的关联性进行量化处理,得到不同威胁源的关联性量化结果,包括:根据所述第一关联信息、所述第二关联信息和/或所述第三关联信息,构建节点关联关系图;所述节点关联关系图中的节点包括威胁源节点和辅助对象节点,所述节点关联关系图中不同节点间的连接,用于指示所连接的不同节点对应的不同威胁对象间的关联类型及关联类型的权重;识别所述节点关联关系图中不同威胁源节点之间的连接路径;根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值,得到所述关联性量化结果;其中,不同威胁源之间的关联值,与所对应的不同威胁源节点间的连接路径数量正相关,与连接路径的长度反相关。
2.根据权利要求1所述的方法,其特征在于,所述基于预定数据源识别具备关联关系的多个威胁对象,包括如下处理中的至少一种:
基于网络恶意代码或流量信息分析具备关联关系的多个威胁对象;
获取安全分析类平台提供的具备关联关系的多个威胁对象;
基于互联网数据分析具备关联关系的多个威胁对象;
基于网络节点之间的属性关系分析具备关联关系的多个威胁对象。
3.根据权利要求2所述的方法,其特征在于:
所述第一关联信息包括:具备直接关联关系的不同威胁源对应的至少一种关联类型及每种关联类型的权重;
所述第二关联信息包括:具备直接关联关系的不同辅助对象对应的至少一种关联类型及每种关联类型的权重;
所述第三关联信息包括:具备直接关联关系的威胁源和辅助对象对应的至少一种关联类型及每种关联类型的权重;
其中,不同威胁对象间的关联类型与确定所述不同威胁对象之间存在直接关联关系时所基于的数据源相关;若基于不同数据源分别确定出两个不同威胁对象间存在直接关联关系,所述两个不同威胁对象相应对应分别匹配于不同数据源的不同关联类型。
4.根据权利要求3所述的方法,其特征在于,所述节点关联关系图中两个相邻节点间的连接有一条或多条;
其中,在两个相邻节点间的连接有多条的情况下,所述两个相邻节点间关联关系的权重为各条连接分别对应的权重之和。
5.根据权利要求4所述的方法,其特征在于,所述根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值,包括:
利用以下的关联性量化计算式,计算不同威胁源之间的关联值:
其中:Q表示两个威胁源之间的关联值,n表示两个威胁源节点之间的连接路径数量,m表示每条路径包括的路径段的个数,l表示连接路径上两个相邻节点之间的连接个数,w表示连接路径上两个相邻节点之间关联关系的权重,ε表示消减系数,x0表示预设的路径段数量阈值。
6.一种威胁源关联性识别处理装置,其特征在于,包括:
识别模块,用于基于预定数据源识别具备关联关系的多个威胁对象;确定的威胁对象包括用于产生网络威胁的威胁源和用于辅助威胁源产生网络威胁的辅助对象;
确定模块,用于确定所述多个威胁对象中具备直接关联关系的不同威胁源及其之间的第一关联信息、具备直接关联关系的不同辅助对象及其之间的第二关联信息,和/或具备直接关联关系的威胁源与辅助对象及其之间的第三关联信息;
量化处理模块,用于根据所述第一关联信息、第二关联信息和/或所述第三关联信息,对不同威胁源的关联性进行量化处理,得到不同威胁源的关联性量化结果;
所述量化处理模块,具体用于:根据所述第一关联信息、所述第二关联信息和/或所述第三关联信息,构建节点关联关系图;所述节点关联关系图中的节点包括威胁源节点和辅助对象节点,所述节点关联关系图中不同节点间的连接,用于指示所连接的不同节点对应的不同威胁对象间的关联类型及关联类型的权重;识别所述节点关联关系图中不同威胁源节点之间的连接路径;根据不同威胁源节点之间的连接路径的数量、每条连接路径包括的路径段数量、连接路径中两个相邻节点之间的连接个数及两个相邻节点之间关联关系的权重,计算不同威胁源之间的关联值,得到所述关联性量化结果;其中,不同威胁源之间的关联值,与所对应的不同威胁源节点间的连接路径数量正相关,与连接路径的长度反相关。
7.一种电子设备,其特征在于,包括:
存储器,用于存放计算机指令集;
处理器,用于通过执行存储器上存放的指令集,实现如权利要求1-5任一项所述的威胁源关联性识别处理方法。
8.一种存储介质,其特征在于,所述存储介质内存放有计算机指令集,所述计算机指令集运行时能用于实现如权利要求1-5任一项所述的威胁源关联性识别处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111288193.1A CN114024736B (zh) | 2021-11-02 | 2021-11-02 | 威胁源关联性识别处理方法、装置及电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111288193.1A CN114024736B (zh) | 2021-11-02 | 2021-11-02 | 威胁源关联性识别处理方法、装置及电子设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114024736A CN114024736A (zh) | 2022-02-08 |
| CN114024736B true CN114024736B (zh) | 2024-04-12 |
Family
ID=80059659
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111288193.1A Active CN114024736B (zh) | 2021-11-02 | 2021-11-02 | 威胁源关联性识别处理方法、装置及电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114024736B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| CN105765940A (zh) * | 2013-11-27 | 2016-07-13 | 思科技术公司 | 用于连接的交通工具的云辅助威胁防御 |
| CN112019519A (zh) * | 2020-08-06 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 网络安全情报威胁度的检测方法、装置和电子装置 |
| CN112288143A (zh) * | 2020-10-14 | 2021-01-29 | 昆明电力交易中心有限责任公司 | 一种基于关联分析的地区能源消耗研究方法 |
| WO2021077642A1 (zh) * | 2019-10-24 | 2021-04-29 | 中国科学院信息工程研究所 | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10438207B2 (en) * | 2015-04-13 | 2019-10-08 | Ciena Corporation | Systems and methods for tracking, predicting, and mitigating advanced persistent threats in networks |
| US10600295B2 (en) * | 2017-05-05 | 2020-03-24 | Tg-17, Inc. | System and method for threat monitoring, detection, and response |
-
2021
- 2021-11-02 CN CN202111288193.1A patent/CN114024736B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105765940A (zh) * | 2013-11-27 | 2016-07-13 | 思科技术公司 | 用于连接的交通工具的云辅助威胁防御 |
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| WO2021077642A1 (zh) * | 2019-10-24 | 2021-04-29 | 中国科学院信息工程研究所 | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 |
| CN112019519A (zh) * | 2020-08-06 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 网络安全情报威胁度的检测方法、装置和电子装置 |
| CN112288143A (zh) * | 2020-10-14 | 2021-01-29 | 昆明电力交易中心有限责任公司 | 一种基于关联分析的地区能源消耗研究方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114024736A (zh) | 2022-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Vinayakumar et al. | Scalable framework for cyber threat situational awareness based on domain name systems data analysis | |
| Ahmed et al. | Real time detection of phishing websites | |
| Rahbarinia et al. | Segugio: Efficient behavior-based tracking of malware-control domains in large ISP networks | |
| EP3151511B1 (en) | Domain reputation evaluation process and method | |
| Jiang et al. | Identifying suspicious activities through dns failure graph analysis | |
| US8205258B1 (en) | Methods and apparatus for detecting web threat infection chains | |
| US11606385B2 (en) | Behavioral DNS tunneling identification | |
| Nathezhtha et al. | WC-PAD: web crawling based phishing attack detection | |
| Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
| Ghafir et al. | Proposed approach for targeted attacks detection | |
| US10642906B2 (en) | Detection of coordinated cyber-attacks | |
| Do Xuan | Detecting APT attacks based on network traffic using machine learning | |
| CN102685145A (zh) | 一种基于dns数据包的僵尸网络域名发现方法 | |
| Hong et al. | Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data | |
| Debashi et al. | Sonification of network traffic for detecting and learning about botnet behavior | |
| Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
| EP1990973A2 (en) | Deployment of distributed network intrusion detection systems in social networks | |
| Zeebaree et al. | Application layer distributed denial of service attacks defense techniques: A review | |
| CN114024736B (zh) | 威胁源关联性识别处理方法、装置及电子设备、存储介质 | |
| Al-Hamami et al. | Development of a network-based: Intrusion Prevention System using a Data Mining approach | |
| Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts | |
| Prathibha et al. | Analysis of hybrid intrusion detection system based on data mining techniques | |
| Obied et al. | Fraudulent and malicious sites on the web | |
| Chen et al. | Doctrina: annotated bipartite graph mining for malware-control domain detection | |
| AT&T |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room c403-1, building 7, Caizhi Tiandi Park, No. 255, Renmin Middle Road, Guanyinshan street, Chongchuan District, Nantong City, Jiangsu Province 226014 Applicant after: Dingniu information security technology (Jiangsu) Co.,Ltd. Applicant after: BEIJING DIGAPIS TECHNOLOGY CO.,LTD. Address before: 100081 501-6, building 2 (information building), West District, yard 12, Zhongguancun South Street, Haidian District, Beijing Applicant before: BEIJING DIGAPIS TECHNOLOGY CO.,LTD. Applicant before: Dingniu information security technology (Jiangsu) Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |