CN114398632A - 一种蜜罐场景的可视化方法及装置 - Google Patents
一种蜜罐场景的可视化方法及装置 Download PDFInfo
- Publication number
- CN114398632A CN114398632A CN202111628540.0A CN202111628540A CN114398632A CN 114398632 A CN114398632 A CN 114398632A CN 202111628540 A CN202111628540 A CN 202111628540A CN 114398632 A CN114398632 A CN 114398632A
- Authority
- CN
- China
- Prior art keywords
- behavior
- intrusion
- risk
- intrusion device
- scene
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种蜜罐场景的可视化方法,该方法通过对多源异构数据进行分析处理,得到每一入侵设备对应的有向拓扑层级图以及各个风险行为的综合评价参数,这便可根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数生成入侵设备地层级逻辑图,实现根据多源异构数据,生成全局视角的场景可视化,这样,便实现从统一的场景维度和视角,解决了场景多层细分/设备复杂导致的难以理解的问题,使蜜罐场景展示更加直观、全面、有效,简化技术人员理解和认知的成本,增强对态势的理解,支撑更深层的关联分析,指引下一步的安全决策,同时可以全方位反馈应用情况,让用户可进一步探究蜜罐场景的应用,持续产生收益。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种蜜罐场景的可视化方法及装置。
背景技术
蜜罐技术是一种欺骗性防御技术,它通过诱骗入侵者进行攻击,从而监视和跟踪入侵者的行为并已日志形式记录,然后借助一定的工具进行分析,知晓入侵者的工具、策略和方法,从而相应的采取措施进行防御,实现防御能力的提升。
但当前缺少蜜罐场景有效的可视化实践,导致技术人员认知成本很高,影响了产品在客户环境中的价值最大化无成形的方法和指导,数据的可视化表达漫无目的,逻辑性不强。
发明内容
本申请提供一种蜜罐场景的可视化方法及装置,以可以实现从统一的场景维度和视角,解决了场景多层细分/设备复杂导致的难以理解的问题,使蜜罐场景展示更加直观、全面、有效,简化技术人员理解和认知的成本,增强对态势的理解,支撑更深层的关联分析,指引下一步的安全决策,同时可以全方位反馈应用情况,让用户可进一步探究蜜罐场景的应用,持续产生收益。
第一方面,本申请提供了一种蜜罐场景的可视化方法,所述方法包括:
获取多源异构数据;
根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系;
针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数;
根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。
可选的,所述多源异构数据包括流量监控数据、状态监控数据、事件监控数。
可选的,所述根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系,包括:
根据所述多源异构数据,获取若干入侵设备的风险行为的行为数据和发生时间;
对所述若干入侵设备的风险行为的行为数据进行同类属性聚合分析,得到每一入侵设备的各个风险行为的行为属性;
根据各个入侵设备的各个风险行为的行为属性以及各个入侵设备的风险行为的发生时间,确定各个入侵设备的各个风险行为的交互关系。
可选的,针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数,包括:
针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性以及预设的解释结构模型,生成所述入侵设备对应的有向拓扑层级图;根据所述入侵设备的各个风险行为的交互关系,生成各个风险行为的综合评价参数。
可选的,所述根据所述入侵设备的各个风险行为的交互关系,生成各个风险行为的综合评价参数,包括:
根据各个风险行为的交互关系,确定各个风险行为各自分别对应的发生频率;
根据各个风险行为各自分别对应的发生频率,确定各个风险行为各自分别对应的综合评价参数。
可选的,所述根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图,包括:
对所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数进行可视化处理,得到各个入侵设备对应的场景可视化图;
根据各个入侵设备对应的场景可视化图,生成入侵设备地层级逻辑图。
第二方面,本申请提供了一种蜜罐场景的可视化装置,所述装置包括:
数据获取单元,用于获取多源异构数据;
参数提取单元,用于根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系;
数据生成单元,用于针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数;
逻辑图生成单元,用于根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。
可选的,所述多源异构数据包括流量监控数据、状态监控数据、事件监控数。
可选的,所述参数提取单元,用于:
根据所述多源异构数据,获取若干入侵设备的风险行为的行为数据和发生时间;
对所述若干入侵设备的风险行为的行为数据进行同类属性聚合分析,得到每一入侵设备的各个风险行为的行为属性;
根据各个入侵设备的各个风险行为的行为属性以及各个入侵设备的风险行为的发生时间,确定各个入侵设备的各个风险行为的交互关系。
可选的,所述数据生成单元,用于:
针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性以及预设的解释结构模型,生成所述入侵设备对应的有向拓扑层级图;根据所述入侵设备的各个风险行为的交互关系,生成各个风险行为的综合评价参数。
可选的,所述数据生成单元,具体用于:
根据各个风险行为的交互关系,确定各个风险行为各自分别对应的发生频率;
根据各个风险行为各自分别对应的发生频率,确定各个风险行为各自分别对应的综合评价参数。
可选的,所述逻辑图生成单元,用于:
对所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数进行可视化处理,得到各个入侵设备对应的场景可视化图;
根据各个入侵设备对应的场景可视化图,生成入侵设备地层级逻辑图。
第三方面,本申请提供了一种可读介质,包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行如第一方面中任一所述的方法。
第四方面,本申请提供了一种电子设备,包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行如第一方面中任一所述的方法。
由上述技术方案可以看出,本申请可以先获取多源异构数据;然后,可以根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系;针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数;接着,可以根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。可见,本申请通过对多源异构数据进行分析处理,得到每一入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数,这样,便可以根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。即实现了根据多源异构数据,生成全局视角的场景可视化,即最终形成场景的可视化交互界面,这样,便实现了从统一的场景维度和视角,解决了场景多层细分/设备复杂导致的难以理解的问题,使蜜罐场景展示更加直观、全面、有效,简化技术人员理解和认知的成本,增强对态势的理解,支撑更深层的关联分析,指引下一步的安全决策,同时可以全方位反馈应用情况,让用户可进一步探究蜜罐场景的应用,持续产生收益。
上述的非惯用的优选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
为了更清楚地说明本申请实施例或现有的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一种蜜罐场景的可视化方法的流程示意图;
图2为本申请一实施例提供的风险行为的发生频率示意图;
图3为本申请一实施例提供的风险行为的综合评价参数示意图;
图4为本申请一实施例提供的一种蜜罐场景的可视化装置的结构示意图;
图5为本申请一实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
发明人发现现有技术中,缺少蜜罐场景有效的可视化实践,导致技术人员认知成本很高,影响了产品在客户环境中的价值最大化无成形的方法和指导,数据的可视化表达漫无目的,逻辑性不强。
故此,本申请提供了一种蜜罐场景的可视化方法,本申请通过对多源异构数据进行分析处理,得到每一入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数,这样,便可以根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。即实现了根据多源异构数据,生成全局视角的场景可视化,即最终形成场景的可视化交互界面,这样,便实现了从统一的场景维度和视角,解决了场景多层细分/设备复杂导致的难以理解的问题,使蜜罐场景展示更加直观、全面、有效,简化技术人员理解和认知的成本,增强对态势的理解,支撑更深层的关联分析,指引下一步的安全决策,同时可以全方位反馈应用情况,让用户可进一步探究蜜罐场景的应用,持续产生收益。
下面结合附图,详细说明本申请的各种非限制性实施方式。
参见图1,示出了本申请实施例中的一种蜜罐场景的可视化方法。在本实施例中,所述方法例如可以包括以下步骤:
S101:获取多源异构数据。
在本实施例中,多源异构数据可以包括流量监控数据、状态监控数据、事件监控数。
流量监控数据,指来自蜜罐场景中资产设备产生的流量分析数据,主要来源于虚拟防火墙设备、虚拟交换机设备,虚拟IDS设备、蜜罐系统。每种设备提供的流量监控数据的丰富度和维度不一样,只有核心元素具有相同性。
状态监控数据,指来自蜜罐场景中的资产设备产生的状态分析数据。主要来源于虚拟防火墙的运行数据、虚拟交换机的运行数据、虚拟IDS设备的运行数据、蜜罐系统的运行数据以及其中的蜜标、诱饵、应用等运行数据。每种设备提供的状态监控数据不相同,只有部分核心元素具有相通性。
事件监控数据,指来自蜜罐蜜罐场景中的资产设备通过安全规则匹配,检测分析的异常数据;主要来源于虚拟防火墙、虚拟IDS设备、蜜罐内的监测分析引擎,通过与默认的安全规则进行匹配,产生的告警事件。每种设备提供的事件监控数据不相同,只有核心元素具有相通性。事件监控数据还可以包括安全分析设备或引擎的在当前安全域中的安全策略配置,包括但不限于基线、控制策略或者审计策略。
S102:根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系。
在本实施例中,获取到多源异构数据后,可以先根据所述多源异构数据,获取若干入侵设备的风险行为的行为数据和发生时间。其中,入侵设备的风险行为的行为数据可以理解为该风险行为的具体行为内容,即入侵设备所执行的入侵事件的具体内容;风险行为的发生时间可以理解为该风险行为所发生的时间。
对所述若干入侵设备的风险行为的行为数据进行同类属性聚合分析,得到每一入侵设备的各个风险行为的行为属性。根据入侵设备的风险行为的行为数据,对若干入侵设备的风险行为的行为数据进行同类属性聚合分析,即将行为数据属于同一属性的风险行为归为一类,得到每一入侵设备的各个风险行为的行为属性,也就是说,可以对单个攻击IP在场景中被检测到的所有风险行为按顺序进行链路划分。
根据各个入侵设备的各个风险行为的行为属性以及各个入侵设备的风险行为的发生时间,确定各个入侵设备的各个风险行为的交互关系。当至少两个风险行为的行为属性之间存在交互和/或风险行为的发生时间存在关联时,可以认为所述至少两个风险行为存在交互关系;例如,虚拟防火墙设备同时发现同一入侵设备在侦察跟踪的探测活动,以及在命令与控制的控制行为,可以认为这两个风险行为存在交互关系;又例如,虚拟IDS设备发现载荷投递和漏洞利用的行为同时发生,可以认为这两个风险行为存在交互关系;又例如,蜜罐主机审计系统发现入侵设备对蜜罐主机的敏感文件编辑、查阅、删除,对所提供系统的重启、账号添加等诸多行为,则可以认为所述至少两个风险行为存在交互关系。
S103:针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数。
在本实施例中,针对每一入侵设备,可以根据所述入侵设备的各个风险行为的行为属性以及预设的解释结构模型,生成所述入侵设备对应的有向拓扑层级图。
解释结构模型的构成要素包括侦察跟踪S1、载荷投递S2、漏洞利用S3、安装植入S4、命令与控制S5、目标达成S6。每个构成元素的可能受不同的因素影响,比如(目标达成S6之前,可能是漏洞利用S3的直接结果,无需受S4、S5元素影响);所述构成要素之间关系详细说明参见表1。
表1
具体地,针对每一入侵设备,可以基于所述入侵设备的各个风险行为的行为属性,将各个风险行为填充至预设的解释结构模型的构成要素分析表(即表1),从而得到入侵设备对应的有向拓扑层级图。
针对每一入侵设备,可以根据所述入侵设备的各个风险行为的交互关系,生成各个风险行为的综合评价参数。具体地,可以选根据各个风险行为的交互关系,确定各个风险行为各自分别对应的发生频率;然后,可以根据各个风险行为各自分别对应的发生频率,确定各个风险行为各自分别对应的综合评价参数。作为一种示例,当Si(i=1...6)之间存在交互关系时(即某一IP(入侵设备)进行风险行为顺序为SiSj),记录风险行为的行为属性和执行频率,且将该风险行为记为直接相关属性,以及输出多层分解数据间相关属性关系。如图2所示,记单次交互的风险行为发生频率为q,交互的行为发生总量为Q,Si、Sj之间发生交互频率为qij,根据场景具体需求为qij赋权值,记权值量为ωij,以q和权值相关量为综合相关指数计算参数。确定交互的风险行为间相关属性关系和权值,并统计交互频数值后,将交互的风险行为的交互关系以邻接矩阵L表示,并计算各交互的风险行为的Xij值(即邻接矩阵的特征值),其中,将Xij值作为风险行为的综合评价参数,例如,如图3所示,有交互关系的两个风险行为的综合评价参数是一样的。
S104:根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。
在本实施例中,可以对所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数进行可视化处理,得到各个入侵设备对应的场景可视化图。接着,可以根据各个入侵设备对应的场景可视化图,生成入侵设备地层级逻辑图。
可以理解的是,汇总全部攻击IP(即入侵设备)的有向拓扑层级图,统计发生层级图种类和数据,作为整体层次逻辑评价。进行层级图种类统计,以可视化呈现数据类别分为:整体层级逻辑图及其统计分类,综合评价参数。这样,便可选地呈现单个或选中多个入侵设备地层级逻辑图。这样,便可以将分析结果以可视化的界面进行展示,提供人性化的报告界面,实现人机交互。
如图4所示,为本申请所述蜜罐场景的可视化装置的一个具体实施例。本实施例所述装置,即用于执行上述实施例所述方法的实体装置。其技术方案本质上与上述实施例一致,上述实施例中的相应描述同样适用于本实施例中。所述装置应用于虚拟机系统中的终端安全代理,本实施例中所述装置包括:
数据获取单元401,用于获取多源异构数据;
参数提取单元402,用于根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系;
数据生成单元403,用于针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数;
逻辑图生成单元404,用于根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。
可选的,所述多源异构数据包括流量监控数据、状态监控数据、事件监控数。
可选的,所述参数提取单元402,用于:
根据所述多源异构数据,获取若干入侵设备的风险行为的行为数据和发生时间;
对所述若干入侵设备的风险行为的行为数据进行同类属性聚合分析,得到每一入侵设备的各个风险行为的行为属性;
根据各个入侵设备的各个风险行为的行为属性以及各个入侵设备的风险行为的发生时间,确定各个入侵设备的各个风险行为的交互关系。
可选的,所述数据生成单元403,用于:
针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性以及预设的解释结构模型,生成所述入侵设备对应的有向拓扑层级图;根据所述入侵设备的各个风险行为的交互关系,生成各个风险行为的综合评价参数。
可选的,所述数据生成单元403,具体用于:
根据各个风险行为的交互关系,确定各个风险行为各自分别对应的发生频率;
根据各个风险行为各自分别对应的发生频率,确定各个风险行为各自分别对应的综合评价参数。
可选的,所述逻辑图生成单元404,用于:
对所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数进行可视化处理,得到各个入侵设备对应的场景可视化图;
根据各个入侵设备对应的场景可视化图,生成入侵设备地层级逻辑图。
图5是本申请实施例提供的一种电子设备的结构示意图。在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-AccessMemory,RAM),也可能还包括非易失性存储器(non-volatilememory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(IndustryStandardArchitecture,工业标准体系结构)总线、PCI(PeripheralComponentInterconnect,外设部件互连标准)总线或EISA(ExtendedIndustryStandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放执行指令。具体地,执行指令即可被执行的计算机程序。存储器可以包括内存和非易失性存储器,并向处理器提供执行指令和数据。
在一种可能实现的方式中,处理器从非易失性存储器中读取对应的执行指令到内存中然后运行,也可从其它设备上获取相应的执行指令,以在逻辑层面上形成蜜罐场景的可视化装置。处理器执行存储器所存放的执行指令,以通过执行的执行指令实现本申请任一实施例中提供的蜜罐场景的可视化方法。
上述如本申请图1所示实施例提供的蜜罐场景的可视化装置执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(CentralProcessingUnit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现场可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
本申请实施例还提出了一种可读介质,该可读存储介质存储有执行指令,存储的执行指令被电子设备的处理器执行时,能够使该电子设备执行本申请任一实施例中提供的蜜罐场景的可视化方法,并具体用于执行上述蜜罐场景的可视化的方法。
前述各个实施例中所述的电子设备可以为计算机。
本领域内的技术人员应明白,本申请的实施例可提供为方法或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例,或软件和硬件相结合的形式。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种蜜罐场景的可视化方法,其特征在于,所述方法包括:
获取多源异构数据;
根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系;
针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数;
根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。
2.根据权利要求1所述的方法,其特征在于,所述多源异构数据包括流量监控数据、状态监控数据、事件监控数。
3.根据权利要求1所述的方法,其特征在于,所述根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系,包括:
根据所述多源异构数据,获取若干入侵设备的风险行为的行为数据和发生时间;
对所述若干入侵设备的风险行为的行为数据进行同类属性聚合分析,得到每一入侵设备的各个风险行为的行为属性;
根据各个入侵设备的各个风险行为的行为属性以及各个入侵设备的风险行为的发生时间,确定各个入侵设备的各个风险行为的交互关系。
4.根据权利要求1所述的方法,其特征在于,所述针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数,包括:
针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性以及预设的解释结构模型,生成所述入侵设备对应的有向拓扑层级图;根据所述入侵设备的各个风险行为的交互关系,生成各个风险行为的综合评价参数。
5.根据权利要求4所述的方法,其特征在于,所述根据所述入侵设备的各个风险行为的交互关系,生成各个风险行为的综合评价参数,包括:
根据各个风险行为的交互关系,确定各个风险行为各自分别对应的发生频率;
根据各个风险行为各自分别对应的发生频率,确定各个风险行为各自分别对应的综合评价参数。
6.根据权利要求1-5任一所述的方法,其特征在于,所述根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图,包括:
对所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数进行可视化处理,得到各个入侵设备对应的场景可视化图;
根据各个入侵设备对应的场景可视化图,生成入侵设备地层级逻辑图。
7.一种蜜罐场景的可视化装置,其特征在于,所述装置包括:
数据获取单元,用于获取多源异构数据;
参数提取单元,用于根据所述多源异构数据,获取每一入侵设备的各个风险行为的行为属性和交互关系;
数据生成单元,用于针对每一入侵设备,根据所述入侵设备的各个风险行为的行为属性和交互关系,生成所述入侵设备对应的有向拓扑层级图,以及,各个风险行为的综合评价参数;
逻辑图生成单元,用于根据所有入侵设备各自分别对应的有向拓扑层级图和风险行为的综合评价参数,生成入侵设备地层级逻辑图。
8.根据权利要求7所述的装置,其特征在于,所述多源异构数据包括流量监控数据、状态监控数据、事件监控数。
9.一种可读介质,其特征在于,所述可读介质包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行如权利要求1-7中任一所述的方法。
10.一种电子设备,其特征在于,所述电子设备包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行如权利要求1-7中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111628540.0A CN114398632B (zh) | 2021-12-28 | 2021-12-28 | 一种蜜罐场景的可视化方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111628540.0A CN114398632B (zh) | 2021-12-28 | 2021-12-28 | 一种蜜罐场景的可视化方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114398632A true CN114398632A (zh) | 2022-04-26 |
CN114398632B CN114398632B (zh) | 2022-11-04 |
Family
ID=81228034
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111628540.0A Active CN114398632B (zh) | 2021-12-28 | 2021-12-28 | 一种蜜罐场景的可视化方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114398632B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111683055A (zh) * | 2020-05-14 | 2020-09-18 | 北京邮电大学 | 一种工控蜜罐方法及装置 |
CN111865960A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种网络入侵场景分析处理方法、系统、终端及存储介质 |
CN112422537A (zh) * | 2020-11-06 | 2021-02-26 | 广州锦行网络科技有限公司 | 基于蜜罐实战生成的网络攻击知识图谱的行为预测方法 |
CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
-
2021
- 2021-12-28 CN CN202111628540.0A patent/CN114398632B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111683055A (zh) * | 2020-05-14 | 2020-09-18 | 北京邮电大学 | 一种工控蜜罐方法及装置 |
CN111865960A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种网络入侵场景分析处理方法、系统、终端及存储介质 |
CN112422537A (zh) * | 2020-11-06 | 2021-02-26 | 广州锦行网络科技有限公司 | 基于蜜罐实战生成的网络攻击知识图谱的行为预测方法 |
CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN114398632B (zh) | 2022-11-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10909241B2 (en) | Event anomaly analysis and prediction | |
CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
US11269995B2 (en) | Chain of events representing an issue based on an enriched representation | |
Husák et al. | SoK: Contemporary issues and challenges to enable cyber situational awareness for network security | |
RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
Cipriano et al. | Nexat: A history-based approach to predict attacker actions | |
CN113259316A (zh) | 电力系统内部的攻击路径可视化方法、系统和电子设备 | |
Faiella et al. | Enriching Threat Intelligence Platforms Capabilities. | |
Nour et al. | A survey on threat hunting in enterprise networks | |
CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
Miranda-Calle et al. | Exploratory data analysis for cybersecurity | |
CN112925805B (zh) | 基于网络安全的大数据智能分析应用方法 | |
Bezas et al. | Comparative analysis of open source security information & event management systems (SIEMs) | |
CN114398632B (zh) | 一种蜜罐场景的可视化方法及装置 | |
Gonzalez-Granadillo et al. | Enhancing information sharing and visualization capabilities in security data analytic platforms | |
Wen et al. | Detecting and predicting APT based on the study of cyber kill chain with hierarchical knowledge reasoning | |
CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
CN110460558B (zh) | 一种基于可视化的攻击模型发现的方法及系统 | |
Elshoush | An innovative framework for collaborative intrusion alert correlation | |
Meng et al. | SePanner: Analyzing Semantics of Controller Variables in Industrial Control Systems based on Network Traffic | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
CN114397988A (zh) | 安全分析数据的展示方法、装置、系统、电子设备和介质 | |
CN115600195A (zh) | 一种web攻击检测方法、装置、设备及可读存储介质 | |
CN113055362A (zh) | 异常行为的预防方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee after: Yongxin Zhicheng Technology Group Co.,Ltd. Address before: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD. |