CN114301692A - 攻击预测方法、装置、介质及设备 - Google Patents
攻击预测方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN114301692A CN114301692A CN202111643155.3A CN202111643155A CN114301692A CN 114301692 A CN114301692 A CN 114301692A CN 202111643155 A CN202111643155 A CN 202111643155A CN 114301692 A CN114301692 A CN 114301692A
- Authority
- CN
- China
- Prior art keywords
- attack
- chain
- predicted
- stage
- historical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 247
- 239000011159 matrix material Substances 0.000 claims abstract description 75
- 230000000694 effects Effects 0.000 claims description 20
- 238000009434 installation Methods 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 14
- 230000035515 penetration Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 206010001488 Aggression Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请属于网络安全技术领域,具体涉及一种攻击预测方法、攻击预测装置、计算机可读介质及电子设备。该方法包括:根据待预测攻击链所包括的攻击手法确定待预测攻击链所包括的攻击阶段;根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾;当待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链,并根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵;根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果。本申请能够通过对历史攻击链的攻击手法的分析,通过攻击链当前阶段的攻击手法对攻击链的下一步攻击手法进行预测。
Description
技术领域
本申请属于网络安全技术领域,具体涉及一种攻击预测方法、攻击预测装置、计算机可读介质及电子设备。
背景技术
随着信息化技术的发展,针对核心信息系统和关键信息基础设施的安全事件频发,网络攻击威胁和网络犯罪呈现组织化和产业化的趋势,其中有一类有组织、有特定目标、持续时间极长的新型攻击和威胁正在发展壮大,国际上称之为APT(AdvancedPersistent Threat,高级持续性威胁),又称“针对特定目标的攻击”。此类攻击多针对金融、能源、交通、政府、军工、电信等重要信息系统。由于APT攻击渠道多样化、隐蔽时间长且攻击特征难以提取,使得攻击链下一步攻击手法的预测面临较大困难。
在此背景下,如何高效、准确地待预测攻击链的下一步攻击行为是亟需解决的问题。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本申请的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本申请的目的在于提供一种攻击预测方法、攻击预测装置、计算机可读介质及电子设备,至少在一定程度上解决如何高效、准确地待预测攻击链的下一步攻击行为的技术问题。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的一个方面,提供一种攻击预测方法,所述攻击预测方法包括:
根据待预测攻击链所包括的攻击手法确定所述待预测攻击链所包括的攻击阶段;
根据所述待预测攻击链所包括的攻击阶段确定所述待预测攻击链的链尾,所述链尾用于表示所述待预测攻击链中最靠后的攻击阶段;
当所述待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据所述待预测攻击链确定与所述待预测攻击链具有匹配关系的历史攻击链,并根据与所述待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵,所述共现矩阵用于表示在所述历史攻击链中,不同攻击阶段的任意两个攻击手法在一个攻击链中出现的频次;
根据所述待预测攻击链所包括的攻击手法和所述共现矩阵,获取所述待预测攻击链的攻击预测结果,所述攻击预测结果用于表示预测得到的所述待预测攻击链的下一步攻击手法。
根据本申请实施例的一个方面,提供一种攻击预测装置,所述攻击预测装置包括:
攻击阶段确定模块,被配置为根据待预测攻击链所包括的攻击手法确定所述待预测攻击链所包括的攻击阶段;
链尾确定模块,被配置为根据所述待预测攻击链所包括的攻击阶段确定所述待预测攻击链的链尾,所述链尾用于表示所述待预测攻击链中最靠后的攻击阶段;
共现矩阵获取模块,被配置为当所述待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据所述待预测攻击链确定与所述待预测攻击链具有匹配关系的历史攻击链,并根据与所述待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵,所述共现矩阵用于表示在所述历史攻击链中,不同攻击阶段的任意两个攻击手法在一个攻击链中出现的频次;
攻击预测结果获取模块,被配置为根据所述待预测攻击链所包括的攻击手法和所述共现矩阵,获取所述待预测攻击链的攻击预测结果,所述攻击预测结果用于表示预测得到的所述待预测攻击链的下一步攻击手法。
在本申请的一些实施例中,基于以上技术方案,所述攻击预测装置还包括:
消息日志获取单元,被配置为根据待预测消息的源IP和目标IP,获取由所述源IP与所述目标IP组成的IP对的消息日志,所述消息日志用于记录所述源IP与所述目标IP之间传输的消息;
攻击手法获取单元,被配置为根据所述IP日志中的消息确定所述待预测消息所在的待预测攻击链所包括的攻击手法。
在本申请的一些实施例中,基于以上技术方案,所述链尾确定模块包括:
攻击阶段确定单元,被配置为确定所述待预测攻击所包括的攻击阶段中攻击成功的并且最靠后的攻击阶段;
链尾确定单元,被配置为将所述攻击成功的并且最靠后的攻击阶段确定为所述待预测攻击链的链尾。
在本申请的一些实施例中,基于以上技术方案,所述共现矩阵获取模块包括:
攻击阶段确定第一单元,被配置为当所述待预测攻击链的链尾处于或超过第二预设攻击阶段时,将所述待预测攻击链的链尾的上一攻击阶段确定为目标攻击阶段;
攻击链匹配单元,被配置为将所述待预测攻击链与历史攻击链在所述目标攻击阶段上进行匹配,得到与所述待预测攻击链具有匹配关系的历史攻击链,其中,与所述待预测攻击链具有匹配关系的历史攻击链中目标攻击阶段的攻击手法,包含了所述待预测攻击链中目标攻击阶段的所有攻击手法;
攻击阶段确定第二单元,被配置为当所述待预测攻击链的链尾未达到所述第二预设攻击阶段时,将所有所述历史攻击链均作为与所述待预测攻击链具有匹配关系的历史攻击链。
在本申请的一些实施例中,基于以上技术方案,所述共现矩阵获取模块还包括:
共现对次数统计单元,被配置为统计各个历史攻击链中的攻击手法的各类共现对的出现次数,同一类所述共现对由处于所述历史攻击链中的相邻阶段的两个攻击手法组成,所述共现对包括第一攻击手法和第二攻击手法,其中,第一攻击手法在攻击链的攻击阶段上先于第二攻击手法;
频次填入单元,被配组委将所述历史攻击链中存在的各类共现对的出现频次填入共现矩阵的对应位置。
在本申请的一些实施例中,基于以上技术方案,所述攻击预测结果获取模块包括:
频次查询单元,被配置为根据所述待预测攻击链的链尾所包括的攻击手法,对所述共现矩阵的第一攻击手法进行查询,得到所述第一攻击手法中所述链尾所包括的攻击手法与第二攻击手法中的各个攻击手法共现的频次;
攻击预测单元,被配置为将所述第二攻击手法中,与所述链尾所包括的攻击手法共现的共现对的频次最高的攻击手法,确定为所述待预测攻击链的攻击预测结果。
在本申请的一些实施例中,基于以上技术方案,所述待预测攻击链与所述历史攻击链中均至多包括五个攻击阶段:侦测阶段、载荷投送、攻击渗透、安装工具、恶意活动,其中,侦测阶段用于表示对目标IP的活动进行侦测,载荷投送阶段用于表示向所述目标IP投送请求信息;所述攻击渗透阶段用于表示攻击所述目标IP的系统防护;所述安装工具阶段用于表示在所述目标IP的系统中安装工具或插件;所述恶意活动阶段用于表示在所述目标IP的系统中进行恶意活动。
根据本申请实施例的一个方面,提供一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如以上技术方案中的攻击预测方法。
根据本申请实施例的一个方面,提供一种电子设备,该电子设备包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器被配置为经由执行可执行指令来执行如以上技术方案中的攻击预测方法。
根据本申请实施例的一个方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行如以上技术方案中的攻击预测方法。
在本申请实施例提供的技术方案中,根据待预测攻击链所包括的攻击手法确定待预测攻击链所包括的攻击阶段;根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾;当待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链,并根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵;根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果;从而,能够通过对历史攻击链的攻击手法的分析,通过攻击链当前阶段的攻击手法对攻击链的下一步攻击手法进行预测。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性地示出了应用本申请技术方案的示例性装置架构框图。
图2示意性地示出了本申请某些实施方式的攻击预测方法的步骤流程图。
图3示意性地示出了本申请某实施例根据待预测攻击链所包括的攻击手法确定待预测攻击链所包括的攻击阶段之前的步骤流程图。
图4示意性地示出了本申请某实施例根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾的步骤流程图。
图5示意性地示出了本申请某实施例根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链的步骤流程图。
图6示意性地示出了本申请某实施例根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵的步骤流程图。
图7示意性地示出了本申请某实施例根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果的步骤流程图。
图8示意性地示出了本申请某实施例进行攻击预测的具体流程示意图。
图9示意性地示出了本申请实施例提供的攻击预测装置的结构框图。
图10示意性地示出了用于实现本申请实施例的电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
图1示意性地示出了应用本申请技术方案的示例性装置架构框图。
如图1所示,装置架构100可以包括终端设备110、网络120和服务器130。终端设备110可以包括智能手机、平板电脑、笔记本电脑、台式电脑等各种电子设备。服务器130可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式装置,还可以是提供云计算服务的云服务器。网络120可以是能够在终端设备110和服务器130之间提供通信链路的各种连接类型的通信介质,例如可以是有线通信链路或者无线通信链路。
根据实现需要,本申请实施例中的装置架构可以具有任意数目的终端设备、网络和服务器。例如,服务器130可以是由多个服务器设备组成的服务器群组。另外,本申请实施例提供的技术方案可以应用于终端设备110,也可以应用于服务器130,或者可以由终端设备110和服务器130共同实施,本申请对此不做特殊限定。
举例而言,服务器130上可以搭载了本申请实施方式的攻击预测方法,终端设备110通过互联网发送消息与服务器130或其他服务器、客户端进行交互,服务器130可以实施本申请实施方式的攻击预测方法,根据待预测攻击链所包括的攻击手法确定待预测攻击链所包括的攻击阶段;根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾;当待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链,并根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵;根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果;从而,能够通过对历史攻击链的攻击手法的分析,通过攻击链当前阶段的攻击手法对攻击链的下一步攻击手法进行预测。
其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
下面结合具体实施方式对本申请提供的攻击预测方法做出详细说明。
图2示意性地示出了本申请某些实施方式的攻击预测方法的步骤流程图。该攻击预测方法的执行主体可以是终端设备,也可以是服务器等,本申请对此不设限。如图2所示,该攻击预测方法主要可以包括如下步骤S210~步骤S240。
S210.根据待预测攻击链所包括的攻击手法确定待预测攻击链所包括的攻击阶段。
在某些实施方式中,攻击链中的攻击阶段可以被划分为五个攻击阶段:侦测阶段、载荷投送、攻击渗透、安装工具、恶意活动。则,待预测攻击链与历史攻击链中均至多包括五个攻击阶段:侦测阶段、载荷投送、攻击渗透、安装工具、恶意活动,其中,侦测阶段用于表示对目标IP的活动进行侦测,载荷投送阶段用于表示向目标IP投送请求信息;攻击渗透阶段用于表示攻击目标IP的系统防护;安装工具阶段用于表示在目标IP的系统中安装工具或插件;恶意活动阶段用于表示在目标IP的系统中进行恶意活动。
在某些实施方式中,除了以侦测阶段、载荷投送、攻击渗透、安装工具、恶意活动五个攻击阶段对攻击链进行划分的阶段划分方式之外,还可以以其他方式对攻击阶段进行划分,例如:信息侦查、载荷投递与攻击、系统控制、内网探测/黑产牟利、数据泄露。
在某些实施方式中,除了以侦测阶段、载荷投送、攻击渗透、安装工具、恶意活动五个攻击阶段之外,攻击链中还可以包括更多其他攻击阶段。
图3示意性地示出了本申请某实施例根据待预测攻击链所包括的攻击手法确定待预测攻击链所包括的攻击阶段之前的步骤流程图。如图3所示,在以上实施例的基础上,步骤S210的根据待预测攻击链所包括的攻击手法确定待预测攻击链所包括的攻击阶段之前,可以进一步包括以下步骤S310~步骤S320。
S310.根据待预测消息的源IP和目标IP,获取由源IP与目标IP组成的IP对的消息日志,消息日志用于记录源IP与目标IP之间传输的消息;
S320.根据IP日志中的消息确定待预测消息所在的待预测攻击链所包括的攻击手法。
由此,能够不局限于处理单点处罚的告警信息,而是更多通过消息日志在一定时间区间内综合观察攻击者的攻击路径和攻击手段从而获得攻击链,从而便于根据攻击链判定系统受损和预先阻止攻击。
S220.根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾,链尾用于表示待预测攻击链中最靠后的攻击阶段。
可以理解,由于攻击链的前序阶段(侦测、载荷投送)属于信息收集阶段,攻击手法多样且组合方式复杂,难以根据攻击链前序阶段进行下一步攻击手法的预测。并且,在本申请的研发过程中发现,网络攻击转移至下一状态只与目前的状态有关,与之前的状态无关,基于这一特性,本申请不关注攻击前序阶段,重点预测当前攻击链阶段(即链尾)的下一步攻击手法,而当前攻击链阶段(即链尾)的下一步攻击手法可以是后续所有阶段的任一攻击手法,由此,本申请可以有效避免历史攻击链跨阶段攻击而无法进行预测的情况,进一步提高了攻击预测成功率,并且更加满足当前场景需求。
由此,根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾,能够便于通过链尾所在阶段以及与链尾相邻的阶段采用的攻击手法对攻击链的下一步攻击手法进行预测,得到更为准确的预测结果。
图4示意性地示出了本申请某实施例根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾的步骤流程图。如图4所示,在以上实施例的基础上,步骤S220的根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾,可以进一步包括以下步骤S410~步骤S420。
S410.确定待预测攻击所包括的攻击阶段中攻击成功的并且最靠后的攻击阶段;
S420.将攻击成功的并且最靠后的攻击阶段确定为待预测攻击链的链尾。
将攻击成功的并且最靠后的攻击阶段确定为待预测攻击链的链尾,可以理解,攻击成功的攻击手法以及攻击阶段,更有可能影响攻击链的下一步攻击手法,因此,将攻击成功的并且最靠后的攻击阶段确定为待预测攻击链的链尾,能够便于通过链尾所在阶段以及与链尾相邻的阶段采用的攻击手法对攻击链的下一步攻击手法进行预测,得到更为准确的预测结果。
S230.当待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链,并根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵,共现矩阵用于表示在历史攻击链中,不同攻击阶段的任意两个攻击手法在一个攻击链中出现的频次。
根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链,能够提高历史攻击链与待预测攻击链的匹配度,从而能够提高共现矩阵对于待预测攻击链的匹配度,进而能够提升根据共现矩阵对待预测攻击链进行预测的准确性。
在某些实施例中,不同攻击阶段的任意两个攻击手法,可以包括相邻攻击阶段的任意两个攻击手法,或者可以包括相隔不超过一个阶段的任意两个攻击手法,或者可以包括相隔不超过预设阶段数的任意两个攻击手法。
具体地,第一预设攻击阶段可以设置为待预测攻击链的第一个攻击阶段、第二个攻击阶段、第三个攻击阶段或者第四个攻击阶段等。并且,第一攻击阶段可以设置为待预测攻击链的前序阶段之后的一个攻击阶段。其中,前序阶段为待预测攻击链中主要用于信息采集的阶段。
图5示意性地示出了本申请某实施例根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链的步骤流程图。如图5所示,在以上实施例的基础上,步骤S230的根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链,可以进一步包括以下步骤S510~步骤S530。
S510.当待预测攻击链的链尾处于或超过第二预设攻击阶段时,将待预测攻击链的链尾的上一攻击阶段确定为目标攻击阶段;
S520.将待预测攻击链与历史攻击链在目标攻击阶段上进行匹配,得到与待预测攻击链具有匹配关系的历史攻击链,其中,与待预测攻击链具有匹配关系的历史攻击链中目标攻击阶段的攻击手法,包含了待预测攻击链中目标攻击阶段的所有攻击手法;
S530.当待预测攻击链的链尾未达到第二预设攻击阶段时,将所有历史攻击链均作为与待预测攻击链具有匹配关系的历史攻击链。
由此,当待预测攻击链的链尾处于或超过第二预设攻击阶段时,根据待预测攻击链的链尾的上一攻击阶段匹配对应的历史攻击链,能够提升得到的历史攻击链与待预测攻击链的匹配度,从而能够提高共现矩阵对于待预测攻击链的匹配度,进而能够提升根据共现矩阵对待预测攻击链进行预测的准确性。当待预测攻击链的链尾未达到第二预设攻击阶段时,此时链尾的上一攻击阶段可能主要是处于信息采集的攻击链前序阶段,由于攻击链前序阶段的攻击手法多样且组合方式复杂,对后续攻击手法的参照性较小,因此不对前序阶段进行匹配历史攻击链,在匹配时重点关注攻击后序阶段的匹配,能够避免因前序阶段匹配困难而造成攻击链真实数据丢失,从而能够提高历史攻击链的数据量和预测的准确性。进而,能够根据实际情况调整共现矩阵的历史攻击链的组成,可灵活应用于多种预测场景。
图6示意性地示出了本申请某实施例根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵的步骤流程图。如图6所示,在以上实施例的基础上,步骤S230的根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵,可以进一步包括以下步骤S610~步骤S620。
S610.统计各个历史攻击链中的攻击手法的各类共现对的出现次数,同一类共现对由处于同一个历史攻击链中的相邻阶段的两个攻击手法共现组成,共现对包括第一攻击手法和第二攻击手法,其中,第一攻击手法在攻击链的攻击阶段上先于第二攻击手法;
S620.将历史攻击链中存在的各类共现对的出现频次填入共现矩阵的对应位置。
由此,将历史攻击链中存在的各类共现对的出现频次填入共现矩阵的对应位置,能够将历史攻击链的数据整合为共现矩阵中的频次数据,便于后续将共现矩阵应用于对待预测攻击链的下一步手法的概率进行预测。
在一个实施例中,可以通过历史攻击链的积累数据得出每个攻击阶段及其所有攻击手法的映射关系,并按照攻击阶段的顺序展开(A阶段-E阶段)。
| A | B | C | D | E |
| 侦测 | 载荷投送 | 攻击渗透 | 安装工具 | 恶意活动 |
| A1 | B1 | C1 | D1 | E1 |
| A2 | B2 | C2 | D2 | E2 |
| … | … | … | … | … |
表1
然后,提取历史攻击链的数据,统计各个历史攻击链中的攻击手法的各类共现对的出现次数。例如历史攻击链为:A1→{B1,B2}→{C1,C2},则统计如下共现对:A1B1、A1B2、B1C1、B2C1、B1C2、B2C2。可以理解,由于A1C1、A1C2并非在该历史攻击链中的相邻阶段的两个攻击手法,因此不对A1C1、A1C2纳入共现对的统计。
在一个实施例中,例如历史攻击链中每条链出现的次数如下:
表2
S240.根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果,攻击预测结果用于表示预测得到的待预测攻击链的下一步攻击手法。
由此,根据待预测攻击链所包括的攻击手法和共现矩阵中的频次数据,预测得到待预测攻击链的攻击预测结果,能够便于后续根据攻击预测结果对下一步攻击手法进行系统防御准备,能够提升系统安全性。
具体地,根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果,可以为,根据待预测攻击链所包括的攻击手法和和共现矩阵对应可能的下一步攻击手法,统计频次并计算概率:
其中Cab表示在历史攻击链中,在攻击手法a之后出现攻击手法b的情况的攻击链次数,
表示在历史攻击链中,出现攻击手法a的所有情况的攻击链次数。
在一个实施例中,第二预设攻击阶段可以设置为第四阶段D,待预测的攻击链例如为A1→{B1,B3}→{C2,C3}。则,待预测攻击链的链尾未达到第二预设攻击阶段,将所有历史攻击链均作为与待预测攻击链具有匹配关系的历史攻击链,并根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵:
表3
具体地,共现矩阵用于表示在所述历史攻击链中,不同攻击阶段的任意两个攻击手法在一个攻击链中出现的频次。也就是说,如表3中共现对C2D1的频次数据的获取过程如下:对于不同攻击阶段的攻击手法C2D1,查表2可知,在与待预测攻击链具有匹配关系的历史攻击链中,历史攻击链1、历史攻击链2、历史攻击链3均同时含有C2D1。则将历史攻击链1的出现频次5、历史攻击链2的出现频次9、与历史攻击链3的出现频次3相加,得到攻击手法C2D1在历史攻击链中的出现频次17。也就是说,在匹配的历史攻击链中、不同攻击阶段的攻击手法C2D1在同一个攻击链中出现的频次是17,再将出现频次17填到表3的共现矩阵的对应位置中。其他情况下,共现矩阵中的其他共现对在历史攻击链中的频次数据的获取与此类似,不再重复展开描述。
待预测攻击链的链尾所包括的攻击手法为:C2、C3,将C2、C3作为索引查找共现矩阵最左列,得到共现矩阵中的共现对C2D1、C2D4、C3D1、C3D4,可以得知该待预测攻击链的下一步攻击手法可能有D1、D4两种,分别计算其概率为:
PC2D1=17/(17+22)=44% PC2D4=22/(17+22)=56%
PC3D1=17/(17+28)=38% PC3D4=28/(17+28)=62%
在一些实施例中,对于链尾所包括的攻击手法C2,可以比较概率PC2D1和PC2D4得知,PC2D1小于PC2D4,因此,判定攻击手法C2后最可能出现的攻击手法为D4,则该待预测攻击链的攻击预测结果中,对于攻击手法C2预测的下一步攻击手法D4。对于链尾所包括的攻击手法C3,可以比较概率PC3D1和PC3D4得知,PC3D1小于PC3D4,因此,判定攻击手法C3后最可能出现的攻击手法为D4,则该待预测攻击链的攻击预测结果中,对于攻击手法C3预测的下一步攻击手法D4。由此,针对攻击链链尾的各个攻击手法,均分别进行下一步攻击手法的预测,可以得到精细的预测结果,能够提高预测结果的准确度。
在另一些实施例中,也可以比较概率PC2D1+PC3D1和PC2D4+PC3D4得知,PC2D1+PC3D1小于PC2D4+PC3D4,因此,判定攻击手法C2、C3后最可能出现的攻击手法为D4,则该待预测攻击链的攻击预测结果为攻击手法D4。由此,可以预测得到待预测攻击链整体的下一步攻击手法,能够便于针对预测结果进行精准的防御。
在一个实施例中,第二预设攻击阶段可以设置为第四阶段D,待预测的攻击链例如为{A1,A2}→{B1,B2,B3}→{C4}。则,待预测攻击链的链尾未达到第二预设攻击阶段,将所有历史攻击链均作为与待预测攻击链具有匹配关系的历史攻击链,并根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵:
| C2 | C3 | C4 | D1 | D4 | E5 | E6 | |
| C2 | 0 | 0 | 0 | 17 | 22 | 0 | 0 |
| C3 | 0 | 0 | 0 | 17 | 28 | 0 | 0 |
| C4 | 0 | 0 | 0 | 0 | 0 | 0 | 7 |
| D1 | 0 | 0 | 0 | 0 | 0 | 14 | 3 |
| D4 | 0 | 0 | 0 | 0 | 0 | 20 | 8 |
| E5 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| E6 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
表4
待预测攻击链的链尾所包括的攻击手法为:C4,将C4作为索引查找共现矩阵最左列,得到共现矩阵中的共现对C4E6,可以得知该待预测攻击链的下一步攻击手法只有E6一种,计算其概率为:
PC4E6=7/7=100%,
因此,攻击手法C4后最可能出现的攻击手法为E6,则该待预测攻击链的攻击预测结果为攻击手法E6,该待预测攻击链的攻击预测结果为攻击手法E6。
在又一个实施例中,第二预设攻击阶段可以设置为第四阶段D,待预测的攻击链例如为{A1,A2}→{B1,B3}→{C2,C3}→{D4}时。则,待预测攻击链的链尾处于第二预设攻击阶段D时,将待预测攻击链的链尾的上一攻击阶段C确定为目标攻击阶段,再将待预测攻击链与历史攻击链在目标攻击阶段上进行匹配,得到与待预测攻击链具有匹配关系的历史攻击链,也即表2中的历史攻击链1、2、3、5,然后计算历史攻击链1、2、3、5中各个共现对的出现频次,得到生成的共现矩阵:
| C2 | C3 | C4 | D1 | D4 | E5 | E6 | |
| C2 | 0 | 0 | 0 | 17 | 22 | 0 | 0 |
| C3 | 0 | 0 | 0 | 17 | 22 | 0 | 0 |
| C4 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| D1 | 0 | 0 | 0 | 0 | 0 | 14 | 3 |
| D4 | 0 | 0 | 0 | 0 | 0 | 14 | 8 |
| E5 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| E6 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
表5
待预测攻击链的链尾所包括的攻击手法为:D4,将C2、C3作为索引查找共现矩阵最左列,得到共现矩阵中的共现对:D4E5、D4E6,可以得知该待预测攻击链的下一步攻击手法可能有E5、E6两种,分别计算其概率为:
PD4E5=14/(14+8)=64% PD4E6=8/(14+8)=36%
比较概率PD4E5和PD4E6可以得知,PD4E5大于PD4E6,因此,攻击手法D4之后可能出现的攻击手法为E5,则该待预测攻击链的攻击预测结果为攻击手法E5。
图7示意性地示出了本申请某实施例根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果的步骤流程图。如图7所示,在以上实施例的基础上,步骤S240的根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果,可以进一步包括以下步骤S710~步骤S720。
S710.根据待预测攻击链的链尾所包括的攻击手法,对共现矩阵的第一攻击手法进行查询,得到第一攻击手法中链尾所包括的攻击手法与第二攻击手法中的各个攻击手法共现的频次;
S720.将第二攻击手法中,与链尾所包括的攻击手法共现的共现对的频次最高的共现对中的阶段靠后的攻击手法,确定为待预测攻击链的攻击预测结果。
由此,将第二攻击手法中,与链尾所包括的攻击手法共现的共现对的频次最高的共现对中的阶段靠后的攻击手法,确定为待预测攻击链的攻击预测结果,也就是说,将共现矩阵中得到的出现概率最高的共现对中的阶段靠后的攻击手法,确定为待预测攻击链的攻击预测结果,能够通过待预测攻击链的链尾的攻击手法以及共现矩阵,实现对待预测攻击链的下一步攻击手法的预测。
图8示意性地示出了本申请某实施例进行攻击预测的具体流程示意图。
如图8的实施例所示,先获取攻击IP对的消息日志,根据消息日志确定待预测攻击链所包括的攻击手法,再根待预测攻击链所包括的攻击手法据确定待预测攻击链所包括的攻击阶段后,确定待预测攻击链的链尾以及链尾所在的攻击阶段。例如,第一预设攻击阶段为第三阶段,第二预设攻击阶段为第四阶段,信息采集的前序阶段为第一阶段和第二阶段。由此,当待预测攻击链的链尾所在的阶段为第三阶段时,提取待预测攻击链的链尾的攻击手法,并判断是否存在包括了链尾的所有攻击手法的历史攻击链,若存在,则根据历史攻击链生成共现矩阵,若不存在,则将待预测攻击链累计至用于存储历史攻击链的历史攻击链数据库中。当待预测攻击链的链尾所在的阶段为第四阶段时,判断是否存在第三阶段与待预测攻击链具有匹配关系的历史攻击链,若是,则提取链尾的攻击手法,并判断是否存在具在包括了链尾的所有攻击手法的历史攻击链,若存在,则根据历史攻击链生成共现矩阵,若不存在,则将待预测攻击链累计至用于存储历史攻击链的历史攻击链数据库中。若不存在第三阶段与待预测攻击链具有匹配关系的历史攻击链,则直接将待预测攻击链累计至用于存储历史攻击链的历史攻击链数据库中。然后,根据链尾的攻击手法以及该共现矩阵,得到各个可能的下一步攻击手法分别对应的预测概率,并比较预测概率,将概率最高的共现对中的阶段靠后的攻击手法,确定为待预测攻击链的攻击预测结果。
应当注意,尽管在附图中以特定顺序描述了本申请中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
以下介绍本申请的装置实施例。图9示意性地示出了本申请实施例提供的攻击预测装置的结构框图。本申请实施例提供的攻击预测装置可以用于执行本申请上述实施例中的攻击预测方法。如图9所示,攻击预测装置900包括:
攻击阶段确定模块910,被配置为根据待预测攻击链所包括的攻击手法确定待预测攻击链所包括的攻击阶段;
链尾确定模块920,被配置为根据待预测攻击链所包括的攻击阶段确定待预测攻击链的链尾,链尾用于表示待预测攻击链中最靠后的攻击阶段;
共现矩阵获取模块930,被配置为当待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据待预测攻击链确定与待预测攻击链具有匹配关系的历史攻击链,并根据与待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵,共现矩阵用于表示在历史攻击链中,不同攻击阶段的任意两个攻击手法在一个攻击链中出现的频次;
攻击预测结果获取模块940,被配置为根据待预测攻击链所包括的攻击手法和共现矩阵,获取待预测攻击链的攻击预测结果,攻击预测结果用于表示预测得到的待预测攻击链的下一步攻击手法。
在本申请的一些实施例中,基于以上各实施例,攻击预测装置还包括:
消息日志获取单元,被配置为根据待预测消息的源IP和目标IP,获取由源IP与目标IP组成的IP对的消息日志,消息日志用于记录源IP与目标IP之间传输的消息;
攻击手法获取单元,被配置为根据IP日志中的消息确定待预测消息所在的待预测攻击链所包括的攻击手法。
在本申请的一些实施例中,基于以上各实施例,链尾确定模块包括:
攻击阶段确定单元,被配置为确定待预测攻击所包括的攻击阶段中攻击成功的并且最靠后的攻击阶段;
链尾确定单元,被配置为将攻击成功的并且最靠后的攻击阶段确定为待预测攻击链的链尾。
在本申请的一些实施例中,基于以上各实施例,共现矩阵获取模块包括:
攻击阶段确定第一单元,被配置为当待预测攻击链的链尾处于或超过第二预设攻击阶段时,将待预测攻击链的链尾的上一攻击阶段确定为目标攻击阶段;
攻击链匹配单元,被配置为将待预测攻击链与历史攻击链在目标攻击阶段上进行匹配,得到与待预测攻击链具有匹配关系的历史攻击链,其中,与待预测攻击链具有匹配关系的历史攻击链中目标攻击阶段的攻击手法,包含了待预测攻击链中目标攻击阶段的所有攻击手法;
攻击阶段确定第二单元,被配置为当待预测攻击链的链尾未达到第二预设攻击阶段时,将所有历史攻击链均作为与待预测攻击链具有匹配关系的历史攻击链。
在本申请的一些实施例中,基于以上各实施例,共现矩阵获取模块还包括:
共现对次数统计单元,被配置为统计各个历史攻击链中的攻击手法的各类共现对的出现次数,同一类共现对由处于历史攻击链中的相邻阶段的两个攻击手法组成,共现对包括第一攻击手法和第二攻击手法,其中,第一攻击手法在攻击链的攻击阶段上先于第二攻击手法;
频次填入单元,被配组委将历史攻击链中存在的各类共现对的出现频次填入共现矩阵的对应位置。
在本申请的一些实施例中,基于以上各实施例,攻击预测结果获取模块包括:
频次查询单元,被配置为根据待预测攻击链的链尾所包括的攻击手法,对共现矩阵的第一攻击手法进行查询,得到第一攻击手法中链尾所包括的攻击手法与第二攻击手法中的各个攻击手法共现的频次;
攻击预测单元,被配置为将第二攻击手法中,与链尾所包括的攻击手法共现的共现对的频次最高的攻击手法,确定为待预测攻击链的攻击预测结果。
在本申请的一些实施例中,基于以上各实施例,待预测攻击链与历史攻击链中均至多包括五个攻击阶段:侦测阶段、载荷投送、攻击渗透、安装工具、恶意活动,其中,侦测阶段用于表示对目标IP的活动进行侦测,载荷投送阶段用于表示向目标IP投送请求信息;攻击渗透阶段用于表示攻击目标IP的系统防护;安装工具阶段用于表示在目标IP的系统中安装工具或插件;恶意活动阶段用于表示在目标IP的系统中进行恶意活动。
本申请各实施例中提供的攻击预测装置和攻击预测装置的具体细节已经在对应的方法实施例中进行了详细的描述,此处不再赘述。
图10示意性地示出了用于实现本申请实施例的电子设备的结构框图。
需要说明的是,图10示出的电子设备1000仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000包括中央处理器1001(Central Processing Unit,CPU),其可以根据存储在只读存储器1002(Read-Only Memory,ROM)中的程序或者从存储部分1008加载到随机访问存储器1003(Random Access Memory,RAM)中的程序而执行各种适当的动作和处理。在随机访问存储器1003中,还存储有系统操作所需的各种程序和数据。中央处理器1001、在只读存储器1002以及随机访问存储器1003通过总线1004彼此相连。输入/输出接口1005(Input/Output接口,即I/O接口)也连接至总线1004。
以下部件连接至输入/输出接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如局域网卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至输入/输出接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。
特别地,根据本申请的实施例,各个方法流程图中所描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。在该计算机程序被中央处理器1001执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (10)
1.一种攻击预测方法,其特征在于,所述方法包括:
根据待预测攻击链所包括的攻击手法确定所述待预测攻击链所包括的攻击阶段;
根据所述待预测攻击链所包括的攻击阶段确定所述待预测攻击链的链尾,所述链尾用于表示所述待预测攻击链中最靠后的攻击阶段;
当所述待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据所述待预测攻击链确定与所述待预测攻击链具有匹配关系的历史攻击链,并根据与所述待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵,所述共现矩阵用于表示在所述历史攻击链中,不同攻击阶段的任意两个攻击手法在一个攻击链中出现的频次;
根据所述待预测攻击链所包括的攻击手法和所述共现矩阵,获取所述待预测攻击链的攻击预测结果,所述攻击预测结果用于表示预测得到的所述待预测攻击链的下一步攻击手法。
2.根据权利要求1所述的攻击预测方法,其特征在于,在所述根据待预测攻击链所包括的攻击手法确定所述待预测攻击链所包括的攻击阶段之前,所述方法还包括:
根据待预测消息的源IP和目标IP,获取由所述源IP与所述目标IP组成的IP对的消息日志,所述消息日志用于记录所述源IP与所述目标IP之间传输的消息;
根据所述IP日志中的消息确定所述待预测消息所在的待预测攻击链所包括的攻击手法。
3.根据权利要求1所述的攻击预测方法,其特征在于,所述根据所述待预测攻击链所包括的攻击阶段确定所述待预测攻击链的链尾,包括:
确定所述待预测攻击所包括的攻击阶段中攻击成功的并且最靠后的攻击阶段;
将所述攻击成功的并且最靠后的攻击阶段确定为所述待预测攻击链的链尾。
4.根据权利要求1所述的攻击预测方法,其特征在于,所述根据所述待预测攻击链确定与所述待预测攻击链具有匹配关系的历史攻击链,包括:
当所述待预测攻击链的链尾处于或超过第二预设攻击阶段时,将所述待预测攻击链的链尾的上一攻击阶段确定为目标攻击阶段;
将所述待预测攻击链与历史攻击链在所述目标攻击阶段上进行匹配,得到与所述待预测攻击链具有匹配关系的历史攻击链,其中,与所述待预测攻击链具有匹配关系的历史攻击链中目标攻击阶段的攻击手法,包含了所述待预测攻击链中目标攻击阶段的所有攻击手法;
当所述待预测攻击链的链尾未达到所述第二预设攻击阶段时,将所有所述历史攻击链均作为与所述待预测攻击链具有匹配关系的历史攻击链。
5.根据权利要求1所述的攻击预测方法,其特征在于,所述根据与所述待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵,包括:
统计各个历史攻击链中的攻击手法的各类共现对的出现次数,同一类所述共现对由处于同一个历史攻击链中的相邻阶段的两个攻击手法共现组成,所述共现对包括第一攻击手法和第二攻击手法,其中,第一攻击手法在攻击链的攻击阶段上先于第二攻击手法;
将所述历史攻击链中存在的各类共现对的出现频次填入共现矩阵的对应位置。
6.根据权利要求5所述的攻击预测方法,其特征在于,所述根据所述待预测攻击链所包括的攻击手法和所述共现矩阵,获取所述待预测攻击链的攻击预测结果,包括:
根据所述待预测攻击链的链尾所包括的攻击手法,对所述共现矩阵的第一攻击手法进行查询,得到所述第一攻击手法中所述链尾所包括的攻击手法与第二攻击手法中的各个攻击手法共现的频次;
将所述第二攻击手法中,与所述链尾所包括的攻击手法共现的共现对的频次最高的共现对中的阶段靠后的攻击手法,确定为所述待预测攻击链的攻击预测结果。
7.根据权利要求1所述的攻击预测方法,其特征在于,所述待预测攻击链与所述历史攻击链中均至多包括五个攻击阶段:侦测阶段、载荷投送、攻击渗透、安装工具、恶意活动,其中,侦测阶段用于表示对目标IP的活动进行侦测,载荷投送阶段用于表示向所述目标IP投送请求信息;所述攻击渗透阶段用于表示攻击所述目标IP的系统防护;所述安装工具阶段用于表示在所述目标IP的系统中安装工具或插件;所述恶意活动阶段用于表示在所述目标IP的系统中进行恶意活动。
8.一种攻击预测装置,其特征在于,包括:
攻击阶段确定模块,被配置为根据待预测攻击链所包括的攻击手法确定所述待预测攻击链所包括的攻击阶段;
链尾确定模块,被配置为根据所述待预测攻击链所包括的攻击阶段确定所述待预测攻击链的链尾,所述链尾用于表示所述待预测攻击链中最靠后的攻击阶段;
共现矩阵获取模块,被配置为当所述待预测攻击链的链尾处于或超过第一预设攻击阶段时,根据所述待预测攻击链确定与所述待预测攻击链具有匹配关系的历史攻击链,并根据与所述待预测攻击链具有匹配关系的历史攻击链生成对应的共现矩阵,所述共现矩阵用于表示在所述历史攻击链中,不同攻击阶段的任意两个攻击手法在一个攻击链中出现的频次;
攻击预测结果获取模块,被配置为根据所述待预测攻击链所包括的攻击手法和所述共现矩阵,获取所述待预测攻击链的攻击预测结果,所述攻击预测结果用于表示预测得到的所述待预测攻击链的下一步攻击手法。
9.一种计算机可读介质,其特征在于,其上存储有计算机程序,该计算机程序被处理器执行时实现权利要求1至7中任意一项所述的方法。
10.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111643155.3A CN114301692B (zh) | 2021-12-29 | 2021-12-29 | 攻击预测方法、装置、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111643155.3A CN114301692B (zh) | 2021-12-29 | 2021-12-29 | 攻击预测方法、装置、介质及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301692A true CN114301692A (zh) | 2022-04-08 |
| CN114301692B CN114301692B (zh) | 2023-12-12 |
Family
ID=80971130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111643155.3A Active CN114301692B (zh) | 2021-12-29 | 2021-12-29 | 攻击预测方法、装置、介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301692B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001753A (zh) * | 2022-05-11 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
| CN116074067A (zh) * | 2022-12-29 | 2023-05-05 | 中国联合网络通信集团有限公司 | 设备的检查方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833186A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
| US20200336497A1 (en) * | 2019-04-18 | 2020-10-22 | International Business Machines Corporation | Detecting sensitive data exposure via logging |
| CN112637178A (zh) * | 2020-12-18 | 2021-04-09 | 成都知道创宇信息技术有限公司 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
| CN113162794A (zh) * | 2021-01-27 | 2021-07-23 | 国网福建省电力有限公司 | 下一步攻击事件预测方法及相关设备 |
-
2021
- 2021-12-29 CN CN202111643155.3A patent/CN114301692B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833186A (zh) * | 2018-06-29 | 2018-11-16 | 北京奇虎科技有限公司 | 一种网络攻击预测方法及装置 |
| US20200336497A1 (en) * | 2019-04-18 | 2020-10-22 | International Business Machines Corporation | Detecting sensitive data exposure via logging |
| CN112637178A (zh) * | 2020-12-18 | 2021-04-09 | 成都知道创宇信息技术有限公司 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
| CN113162794A (zh) * | 2021-01-27 | 2021-07-23 | 国网福建省电力有限公司 | 下一步攻击事件预测方法及相关设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001753A (zh) * | 2022-05-11 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
| CN115001753B (zh) * | 2022-05-11 | 2023-06-09 | 绿盟科技集团股份有限公司 | 一种关联告警的分析方法、装置、电子设备及存储介质 |
| CN116074067A (zh) * | 2022-12-29 | 2023-05-05 | 中国联合网络通信集团有限公司 | 设备的检查方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301692B (zh) | 2023-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114301692A (zh) | 攻击预测方法、装置、介质及设备 | |
| CN110610196B (zh) | 脱敏方法、系统、计算机设备和计算机可读存储介质 | |
| CN112084179B (zh) | 一种数据处理的方法、装置、设备及存储介质 | |
| CN111435393B (zh) | 对象漏洞的检测方法、装置、介质及电子设备 | |
| CN108984553B (zh) | 缓存方法和装置 | |
| CN112989348B (zh) | 攻击检测方法、模型训练方法、装置、服务器及存储介质 | |
| CN110048907B (zh) | 一种集群环境下的全局流控方法及装置 | |
| CN110198248A (zh) | 检测ip地址的方法和装置 | |
| CN111586695A (zh) | 短信识别方法及相关设备 | |
| CN112989338A (zh) | 异常应用数据检测方法、装置、电子设备及存储介质 | |
| CN116186759A (zh) | 一种面向隐私计算的敏感数据识别与脱敏方法 | |
| CN107085615A (zh) | 文本消重系统、方法、服务器及计算机存储介质 | |
| CN113761565A (zh) | 数据脱敏方法和装置 | |
| CN114363839B (zh) | 一种诈骗数据的预警方法、装置、设备及存储介质 | |
| CN115906064A (zh) | 一种检测方法、装置、电子设备、计算机可读介质 | |
| CN112435151B (zh) | 一种基于关联分析的政务信息数据处理方法及系统 | |
| CN113923190B (zh) | 设备标识跳变的识别方法及装置、服务器及存储介质 | |
| CN113472686B (zh) | 信息识别方法、装置、设备及存储介质 | |
| CN115270984A (zh) | 一种反欺诈模型构建方法、装置、电子设备及存储介质 | |
| CN109919767B (zh) | 交易风险管理方法、装置及设备 | |
| CN115222389A (zh) | 支付安全控制方法、装置、电子设备及存储介质 | |
| CN113779198A (zh) | 基于人工智能的电子名片生成方法、装置、设备及介质 | |
| US11093300B1 (en) | Method, electronic device and computer program product for processing information | |
| CN110532302B (zh) | 审计方法、系统和可读存储介质 | |
| CN116248340A (zh) | 接口攻击的检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |