CN114726623B - 一种高级威胁攻击评估方法、装置、电子设备及存储介质 - Google Patents

一种高级威胁攻击评估方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114726623B
CN114726623B CN202210368010.5A CN202210368010A CN114726623B CN 114726623 B CN114726623 B CN 114726623B CN 202210368010 A CN202210368010 A CN 202210368010A CN 114726623 B CN114726623 B CN 114726623B
Authority
CN
China
Prior art keywords
attack
local maximum
advanced threat
maximum value
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210368010.5A
Other languages
English (en)
Other versions
CN114726623A (zh
Inventor
鲍青波
万卉
李金戈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210368010.5A priority Critical patent/CN114726623B/zh
Publication of CN114726623A publication Critical patent/CN114726623A/zh
Application granted granted Critical
Publication of CN114726623B publication Critical patent/CN114726623B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Complex Calculations (AREA)

Abstract

本申请实施例提供一种高级威胁攻击评估方法、装置、电子设备及存储介质,涉及网络安全技术领域。该方法包括获取任意攻击者对所有目标单位的全局攻击数据;对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量;在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量;对多个所述统计结果向量进行局部极大值的下标位置差值处理,以获得高级威胁攻击目标单位,基于高级威胁攻击的特性,能够准确定位针对性攻击的目标单位,解决了现有方法无法准确发现具有典型针对性的攻击者身份或攻击事件的问题。

Description

一种高级威胁攻击评估方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种高级威胁攻击评估方法、装置、电子设备及存储介质。
背景技术
高级持续性威胁攻击,是利用软、硬件漏洞和社会工程原理进行的长期不间断的网络攻击。攻击者在发动攻击之前对攻击对象的业务流程和目标系统进行精准的收集,并挖掘被攻击对象受信系统和应用程序的漏洞,然后利用这些漏洞组建其所需的网络,发起攻击,且以窃取核心资料、搜集情报为目的,具备高度隐蔽性,用户不易发现。
这类攻击通常是针对特定目标开展的持续性网络攻击过程,具有很强的针对性特点。如针对我国的APT攻击,主要针对重要基础设施和组织,包括能源、电力等关系民生的重要设施。而通常APT不是单一类型的威胁,攻击具有很强的隐蔽性,无法准确发现具有典型针对性的攻击者身份或攻击事件。
发明内容
本申请实施例的目的在于提供一种高级威胁攻击评估方法、装置、电子设备及存储介质,基于高级威胁攻击的针对性特性,能够准确定位针对性攻击的目标单位,解决了现有方法无法准确发现具有典型针对性的攻击者身份或攻击事件的问题。
本申请实施例提供了一种高级威胁攻击评估方法,所述方法包括:
获取任意攻击者对所有目标单位的全局攻击数据;
对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量;
在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量;
对多个所述统计结果向量进行局部极大值的下标位置差值处理,以获得高级威胁攻击目标单位。
在上述实现过程中,基于高级威胁攻击具有针对性的特性,通过分析在全局视角下攻击者的攻击的离散度及针对单一目标的持续性,综合评估其针对某目标单位的攻击针对性,从而有效识别高级别威胁攻击,解决了现有方法无法准确发现具有典型针对性的攻击者身份或攻击事件对的问题。
进一步地,所述对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量,包括:
根据预设的时间窗口对所述全局攻击数据进行切分;
获取所述时间窗口内,所述攻击者对每个目标单位的攻击次数;
基于所述攻击次数生成统计结果向量(a1,a2,…,an),其中,ai为所述时间窗口内对应的目标单位i受到的攻击次数。
在上述实现过程中,对全局攻击数据进行离散度分析,构建目标单位的攻击次数对应的统计结果向量,便于后续量化对目标单位的攻击。
进一步地,所述在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量,包括:
将所述时间跨度内的全局数据按所述时间窗口进行切分;
获取每个时间窗口内的统计结果向量。
在上述实现过程中,高级威胁攻击具有持续性特点,因此可截取预设时间跨度内的全局数据进行持续性分析,从而有效获取对目标单位的攻击行为。
进一步地,所述对多个所述统计结果向量进行局部极大值的下标位置差值处理,以获得高级威胁攻击目标单位,包括:
将多个所述统计结果向量进行拼接处理,以生成长向量;
计算所述长向量中每个局部区域的局部极大值,并记录下标位置,所述局部区域包括设定个数的所述统计结果向量中的元素;
计算每个局部极大值与其他局部极大值的差值等于目标单位总数的下标个数;
计算所述下标个数与时间窗口数的比值;
获取比值大于预设阈值的目标单位,并作为高级威胁攻击目标单位。
在上述实现过程中,基于时间跨度内的长向量进行针对性评分,量化高级威胁攻击行为,从而准确定位对目标单位的高级威胁攻击行为。
进一步地,所述计算每个局部极大值与其他元素的局部极大值的差值等于目标单位总数的下标个数,包括:
若第一个局部极大值与第二个局部极大值的下标位置之差小于目标单位总数,则从第二个局部极大值开始计算与其他元素的局部极大值的差值等于目标单位总数的下标个数。
在上述实现过程中,如果第一个局部极大值与第二个局部极大值的下标位置之差小于目标单位总数,说明还存在另一个高级威胁目标单位,可重新获取。
本申请实施例还提供一种高级威胁攻击评估装置,所述装置包括:
数据获取模块,用于获取任意攻击者对所有目标单位的全局攻击数据;
离散度分析模块,用于对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量;
持续性分析模块,用于在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量;
评估模块,用于对多个所述统计结果向量进行局部极大值的下标位置差值处理,以获得高级威胁攻击目标单位。
在上述实现过程中,基于高级威胁攻击具有针对性的特性,通过分析在全局视角下攻击者的攻击的离散度及针对单一目标的持续性,综合评估其针对某目标单位的攻击针对性,从而有效识别高级别威胁攻击,解决了现有方法无法准确发现具有典型针对性的攻击者身份或攻击事件对的问题。
进一步地,所述离散度分析模块包括:
切分模块,用于根据预设的时间窗口对所述全局攻击数据进行切分;
攻击次数获取模块,用于获取所述时间窗口内,所述攻击者对每个目标单位的攻击次数;
向量生成模块,用于基于所述攻击次数生成统计结果向量(a1,a2,…,an),其中,ai为所述时间窗口内对应的目标单位i受到的攻击次数。
在上述实现过程中,对全局攻击数据进行离散度分析,构建目标单位的攻击次数对应的统计结果向量,便于后续量化对目标单位的攻击。
进一步地,所述评估模块包括:
长向量生成模块,用于将多个所述统计结果向量进行拼接处理,以生成长向量;
下标记录模块,用于计算所述长向量中每个元素的局部极大值,并记录下标位置;
下标个数获取模块,用于计算每个局部极大值与其他元素的局部极大值的差值等于目标单位总数的下标个数;
计算模块,用于计算所述下标个数与时间窗口数的比值;
结果获取模块,用于获取比值大于预设阈值的目标单位,并作为高级威胁攻击目标单位。
在上述实现过程中,基于时间跨度内的长向量进行针对性评分,量化高级威胁攻击行为,从而准确定位对目标单位的高级威胁攻击行为。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述的高级威胁攻击评估方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述的高级威胁攻击评估方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种高级威胁攻击评估方法的流程图;
图2为本申请实施例提供的统计结果向量获取流程图;
图3为本申请实施例提供的全局数据切分流程图;
图4为本申请实施例提供的攻击的针对性评估流程图;
图5为本申请实施例提供的长向量示意图;
图6为本申请实施例提供的一种高级威胁攻击评估装置的结构框图;
图7为本申请实施例提供的另一种高级威胁攻击评估装置的结构框图。
图标:
100-数据获取模块;200-离散度分析模块;201-第一切分模块;202-攻击次数获取模块;203-向量生成模块;300-持续性分析模块;301-第二切分模块;302-向量获取模块;400-评估模块;401-长向量生成模块;402-下标记录模块;403-下标个数获取模块;404-计算模块;405-结果获取模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参看图1,图1为本申请实施例提供的一种高级威胁攻击评估方法的流程图。该方法可以应用于产品的大数据安全分析或监管单位等态势感知项目中,可通过告警和研判的方式对攻击事件的结果进行输出,也可用于高级威胁分析或威胁狩猎业务过程中。
从攻击链的角度来说,在攻击事件中,初始入侵或扫描类攻击占较大比重,大多数攻击者在攻击开始时处于目标收集阶段,采取大范围、无差别的扫描或探测活动,以获取可能的攻击目标。而对于少部分高级威胁攻击而言,特别是针对重要基础设施或重点单位的高级威胁攻击,从开始就具有较强的针对性。从监管角度分析一起攻击事件时,在获取到的海量攻击事件中,找到这种具有针对性的高级威胁攻击事件是一个业务难题。
而本申请提供的高级威胁攻击针对性的评估方法,在全局视角下,通过分析攻击者的攻击离散度以及针对单一目标单位的持续性,综合评估其针对某目标单位的攻击针对性,从而可有效识别出高级别威胁攻击。
该方法具体包括以下步骤:
步骤S100:获取任意攻击者对所有目标单位的全局攻击数据;
获取一个攻击者对所有目标单位的全局攻击数据,全局攻击数据可以包括攻击过程中各阶段的安全事件类型数据,并提取其中的攻击IP、被攻击IP、时间,攻击类型等字段信息。
步骤S200:对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量;
步骤S300:在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量;
步骤S400:对多个所述统计结果向量进行局部极大值的下标位置差值处理,以获得高级威胁攻击目标单位。
如图2所示,为统计结果向量获取流程图,步骤S200具体包括:
步骤S201:根据预设的时间窗口对所述全局攻击数据进行切分;
步骤S202:获取所述时间窗口内,所述攻击者对每个目标单位的攻击次数;
步骤S203:基于所述攻击次数生成统计结果向量(a1,a2,…,an),其中,ai为所述时间窗口内对应的目标单位i受到的攻击次数。
对攻击进行离散度分析,即高级威胁攻击离散度是针对一些范围广、无目的探测扫描等普通攻击事件进行的,便于从普通攻击事件中筛选出高级威胁攻击,离散度分析过程如下:
根据预先设定的时间窗口进行数据切分,对于时间窗口大小,例如可取一天或一周,为预设值,在此不做任何限定。统计在一个时间窗口内某攻击IP针对每个目标单位的攻击次数,设时间窗口内的目标单位的总数为n,则可得到该时间窗口内的统计结果:(a1,a2,…,an)。
如图3所示,为全局数据切分流程图。其中,步骤S300具体可以包括:
步骤S301:将所述时间跨度内的全局数据按所述时间窗口进行切分;
步骤S302:获取每个时间窗口内的统计结果向量。
该步骤为具体的对攻击进行持续性分析的执行过程。高级威胁攻击具有持续性特点,因此针对被攻击目标进行长周期的攻击行为分析,符合高级威胁攻击的持续性特性,可准确筛选出高级威胁攻击,从而可有效定位高级威胁攻击目标单位。
对于时间跨度的选取,时间跨度越长,越有利于结果的准确性,且可基于时间窗口进行选取,因为要被时间窗口进行切分成多段数据,如果时间跨度较小而时间窗口相对较大,将不利于结果的获取。例如,时间跨度为6个月,将6个月内的全局数据按照时间窗口进行切分,如果时间窗口设置为一周,则可得到24段数据。
在每个时间窗口内,对目标单位受到的攻击次数进行统计分析,在步骤S200中已经说明。若是针对一个或多个特定目标的持续性攻击,其获得的统计结果将具有相似性质,即在多个不同时间窗口内获得的统计结果,其值的分布是相似的,具有一定的规律性。假设将时间跨度内的全局数据切分成时间窗口的个数为m,则将得到m个统计结果向量。
本申请采用基于局部极大值下标位置差值的计算方法,对攻击的针对性进行评估,从而获得针对性评估结果。如图4所示,为攻击的针对性评估流程图,步骤S400具体包括:
步骤S401:将多个所述统计结果向量进行拼接处理,以生成长向量;
向量拼接处理:将所有时间窗口的统计结果组成的向量进行连接处理,将得到一个长向量,则长向量的长度为m*n。
本申请将多个时间窗口的统计结果向量进行拼接处理,从而将针对性评估问题转化为针对长向量的局部极大值的分析问题,实现了全局数据的量化分析,从而使得结果更具准确性。
步骤S402:计算所述长向量中每个局部区域的局部极大值,并记录下标位置;
首先,对于局部极大值的计算为现有技术,常规计算方法即可实现,在此不做赘述和限定。但是,此处中的局部是根据需要预先定义的,定义时可考虑每个时间窗口内的全局数据的长度以及统计结果向量的长度,例如,将某元素左右各两个元素作为求取该元素局部极大值的范围,即局部区域包括5个元素,且局部区域中元素的个数应不大于统计结果向量中元素的个数,例如a1-a5中,局部极大值为a2,则记录下标位置为2。
如图5所示,为长向量示意图,其中,横坐标表示长向量的下标,即元素在向量中的位置,对应的是目标单位;纵坐标为对应的攻击次数,即该元素的下标对应的元素值,圆圈表示该元素为某一个局部区域的局部极大值。
若攻击具有针对性,则局部极大值也应当具有一定的规律性,即在极端情况下,若某攻击者只对某个目标单位进行攻击,则其他目标单位的攻击次数为0,且在每个时间窗口内,局部极大值对应的下标位置相同;而在一般情况下,具有针对性的攻击者在目标单位的攻击次数也远远大于对其它单位的攻击次数,因此可以通过分析局部极大值的规律性来得到高级威胁攻击的针对性评分结果。
步骤S403:计算每个局部极大值与其他局部极大值的差值等于目标单位总数的下标个数;
从第一个局部极大值开始,计算下标位置与其相差等于目标单位总数n的下标个数,记为r。
基于高级威胁攻击的连续性攻击特点,在一个局部极大值所在时间窗口内对该目标单位的攻击较为活跃,即攻击次数相对较多,则在下一个时间窗口内同样的下标位置处对该目标单位的攻击也应同样活跃,即在下一个时间窗口内,同样的下标位置处也为一个局部极大值,而两个时间窗口内该目标单位的下标位置的差值应为n。
还存在另外一种情况就是,攻击者进行连续性攻击的目标单位不止一个,也即高级威胁攻击目标单位不止一个,此时两个局部极大值对应的下标位置的差值则不为n,此时,需要对存在的第二个高级威胁攻击目标单位进行同样的步骤S404到步骤S405的处理过程。
若第一个局部极大值与第二个局部极大值的下标位置之差小于目标单位总数,则从第二个局部极大值开始计算与其他元素的局部极大值的差值等于目标单位总数的下标个数。
若第二个局部极大值与第一个局部极大值下标位置之差小于n,说明第二个局部极大值对应的目标单位可能是第二个要找的高级威胁攻击目标单位,因此,可以第二个局部极大值开始重复下述过程并计算其满足条件的比值结果。
步骤S404:计算所述下标个数与时间窗口数的比值;
计算满足上述条件的下标个数与窗口数的比值r/m。
步骤S405:获取比值大于预设阈值的目标单位,并作为高级威胁攻击目标单位。
将得到的所有满足条件的比值结果,按比值从大到小的顺序进行排序,并选取比值大于预设阈值(如80%)的下标位置对应的目标单位作为针对性目标分析结果即为高级威胁攻击目标单位。
由上述计算过程可知,该评估过程充分考虑了高级威胁攻击的特点,可量化全局数据,准确获取所有的高级威胁攻击目标单位。
对于本申请所述方法的应用场景,示例地,可应用于对大数据进行安全分析的产品中:
首先部署大数据安全分析平台,并获取攻击者针对所有目标单位的攻击事件数据;
基于上述方法对攻击事件数据进行分析;
利用分析结果,获得针对性攻击目标,针对性攻击目标可能有一个或多个;
对评分结果进行研判和评估,并进入系统后续业务阶段。
该方法解决了现有方法无法准确发现具有典型针对性的攻击者身份或攻击事件的问题,并且解决了在进行高级威胁分析时如何评估攻击的针对性的问题。
本申请还适用于在监管安全分析的场景下,应用于高级威胁攻击的组织或团伙针对重要设施或重点单位实施的针对性攻击中,对该针对性攻击开展分析,基于高级威胁攻击的针对性特点,通过筛选并过滤掉非针对性的、普遍性的、非持续性的攻击过程,从而发现针对某目标单位的高级威胁攻击事件。
本申请实施例还提供一种高级威胁攻击评估装置,如图6所示,为高级威胁攻击评估装置的结构框图,该装置包括但不限于:
数据获取模块100,用于获取任意攻击者对所有目标单位的全局攻击数据;
离散度分析模块200,用于对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量;
持续性分析模块300,用于在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量;
评估模块400,用于对多个所述统计结果向量进行局部极大值的下标位置差值处理,以获得高级威胁攻击目标单位。
如图7所示,为另一种高级威胁攻击评估装置的结构框图,其中,离散度分析模块200包括:
第一切分模块201,用于根据预设的时间窗口对所述全局攻击数据进行切分;
攻击次数获取模块202,用于获取所述时间窗口内,所述攻击者对每个目标单位的攻击次数;
向量生成模块203,用于基于所述攻击次数生成统计结果向量(a1,a2,…,an),其中,ai为所述时间窗口内对应的目标单位i受到的攻击次数。
持续性分析模块300包括:
第二切分模块301,用于将所述时间跨度内的全局数据按所述时间窗口进行切分;
向量获取模块302,用于获取每个时间窗口内的统计结果向量。
评估模块400包括:
长向量生成模块401,用于将多个所述统计结果向量进行拼接处理,以生成长向量;
下标记录模块402,用于计算所述长向量中每个局部区域的局部极大值,并记录下标位置,所述局部区域包括设定个数的所述统计结果向量中的元素;
下标个数获取模块403,用于计算每个局部极大值与其他局部极大值的差值等于目标单位总数的下标个数;
计算模块404,用于计算所述下标个数与时间窗口数的比值;
结果获取模块405,用于获取比值大于预设阈值的目标单位,并作为高级威胁攻击目标单位。
基于高级威胁攻击具有针对性的特性,通过分析在全局视角下攻击者的攻击的离散度及针对单一目标的持续性,综合评估其针对某目标单位的攻击针对性,从而有效识别高级别威胁攻击,解决了现有方法无法准确发现具有典型针对性的攻击者身份或攻击事件对的问题。
本申请实施例还提供一种电子设备,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行上述的高级威胁攻击评估方法。
本申请实施例还提供一种可读存储介质,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述的高级威胁攻击评估方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (7)

1.一种高级威胁攻击评估方法,其特征在于,所述方法包括:
获取任意攻击者对所有目标单位的全局攻击数据;
对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量;
在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量;
对所述统计结果向量进行局部极大值的下标位置差值处理,以获得高级威胁攻击目标单位,具体地:
将多个所述统计结果向量进行拼接处理,以生成长向量;
计算所述长向量中每个局部区域的局部极大值,并记录下标位置,所述局部区域包括设定个数的所述统计结果向量中的元素;
计算每个局部极大值与其他局部极大值的差值等于目标单位总数的下标个数:若第一个局部极大值与第二个局部极大值的下标位置之差小于目标单位总数,则从第二个局部极大值开始计算与其他元素的局部极大值的差值等于目标单位总数的下标个数;
计算所述下标个数与时间窗口数的比值;
获取比值大于预设阈值的目标单位,并作为高级威胁攻击目标单位。
2.根据权利要求1所述的高级威胁攻击评估方法,其特征在于,所述对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量,包括:
根据预设的时间窗口对所述全局攻击数据进行切分;
获取所述时间窗口内,所述攻击者对每个目标单位的攻击次数;
基于所述攻击次数生成统计结果向量,其中,a i为所述时间窗口内对应的目标单位i受到的攻击次数。
3.根据权利要求2所述的高级威胁攻击评估方法,其特征在于,所述在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量,包括:
将所述时间跨度内的全局数据按所述时间窗口进行切分;
获取每个时间窗口内的统计结果向量。
4.一种高级威胁攻击评估装置,其特征在于,所述装置包括:
数据获取模块,用于获取任意攻击者对所有目标单位的全局攻击数据;
离散度分析模块,用于对所述全局攻击数据进行离散度分析,以获得预设时间窗口内的每个目标单位的攻击次数所构成的统计结果向量;
持续性分析模块,用于在预设的时间跨度内,对所述全局攻击数据进行持续性分析,以获得多个统计结果向量;
评估模块,用于对多个所述统计结果向量进行局部极大值的下标位置差值处理,以获得高级威胁攻击目标单位,所述评估模块具体包括:
长向量生成模块,用于将多个所述统计结果向量进行拼接处理,以生成长向量;
下标记录模块,用于计算所述长向量中每个元素的局部极大值,并记录下标位置;
下标个数获取模块,用于计算每个局部极大值与其他元素的局部极大值的差值等于目标单位总数的下标个数:若第一个局部极大值与第二个局部极大值的下标位置之差小于目标单位总数,则从第二个局部极大值开始计算与其他元素的局部极大值的差值等于目标单位总数的下标个数;
计算模块,用于计算所述下标个数与时间窗口数的比值;
结果获取模块,用于获取比值大于预设阈值的目标单位,并作为高级威胁攻击目标单位。
5.根据权利要求4所述的高级威胁攻击评估装置,其特征在于,所述离散度分析模块包括:
切分模块,用于根据预设的时间窗口对所述全局攻击数据进行切分;
攻击次数获取模块,用于获取所述时间窗口内,所述攻击者对每个目标单位的攻击次数;
向量生成模块,用于基于所述攻击次数生成统计结果向量,其中,a i为所述时间窗口内对应的目标单位i受到的攻击次数。
6.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至3中任一项所述的高级威胁攻击评估方法。
7.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至3中任一项所述的高级威胁攻击评估方法。
CN202210368010.5A 2022-04-08 2022-04-08 一种高级威胁攻击评估方法、装置、电子设备及存储介质 Active CN114726623B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210368010.5A CN114726623B (zh) 2022-04-08 2022-04-08 一种高级威胁攻击评估方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210368010.5A CN114726623B (zh) 2022-04-08 2022-04-08 一种高级威胁攻击评估方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN114726623A CN114726623A (zh) 2022-07-08
CN114726623B true CN114726623B (zh) 2023-11-28

Family

ID=82242343

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210368010.5A Active CN114726623B (zh) 2022-04-08 2022-04-08 一种高级威胁攻击评估方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114726623B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115664868B (zh) * 2022-12-28 2023-04-21 北京微步在线科技有限公司 安全等级确定方法、装置、电子设备和存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017152877A1 (zh) * 2016-03-11 2017-09-14 中兴通讯股份有限公司 网络威胁事件评估方法及装置
CN108259449A (zh) * 2017-03-27 2018-07-06 新华三技术有限公司 一种防御apt攻击的方法和系统
CN110809010A (zh) * 2020-01-08 2020-02-18 浙江乾冠信息安全研究院有限公司 威胁信息处理方法、装置、电子设备及介质
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
CN112039859A (zh) * 2020-08-18 2020-12-04 国家计算机网络与信息安全管理中心 一种变长时间窗口下复杂图网络的聚类方法
CN112839054A (zh) * 2021-02-02 2021-05-25 杭州安恒信息技术股份有限公司 一种网络攻击检测方法、装置、设备及介质
CN113572719A (zh) * 2020-04-29 2021-10-29 深信服科技股份有限公司 一种域名检测方法、装置、设备及可读存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9509690B2 (en) * 2015-03-12 2016-11-29 Eyelock Llc Methods and systems for managing network activity using biometrics
US10868825B1 (en) * 2018-08-14 2020-12-15 Architecture Technology Corporation Cybersecurity and threat assessment platform for computing environments
US10986121B2 (en) * 2019-01-24 2021-04-20 Darktrace Limited Multivariate network structure anomaly detector

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017152877A1 (zh) * 2016-03-11 2017-09-14 中兴通讯股份有限公司 网络威胁事件评估方法及装置
CN108259449A (zh) * 2017-03-27 2018-07-06 新华三技术有限公司 一种防御apt攻击的方法和系统
CN111193728A (zh) * 2019-12-23 2020-05-22 成都烽创科技有限公司 网络安全评估方法、装置、设备及存储介质
CN110809010A (zh) * 2020-01-08 2020-02-18 浙江乾冠信息安全研究院有限公司 威胁信息处理方法、装置、电子设备及介质
CN113572719A (zh) * 2020-04-29 2021-10-29 深信服科技股份有限公司 一种域名检测方法、装置、设备及可读存储介质
CN112039859A (zh) * 2020-08-18 2020-12-04 国家计算机网络与信息安全管理中心 一种变长时间窗口下复杂图网络的聚类方法
CN112839054A (zh) * 2021-02-02 2021-05-25 杭州安恒信息技术股份有限公司 一种网络攻击检测方法、装置、设备及介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种基于时间序列的入侵攻击路径溯源算法及实践;李智宏;王瑶;;科技创新导报(15);全文 *
基于LDA模型的海量APT通信日志特征研究;孙名松;韩群;;计算机工程(02);全文 *

Also Published As

Publication number Publication date
CN114726623A (zh) 2022-07-08

Similar Documents

Publication Publication Date Title
Yu et al. Alert confidence fusion in intrusion detection systems with extended Dempster-Shafer theory
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN106375331B (zh) 一种攻击组织的挖掘方法及装置
Khosravi et al. Alerts correlation and causal analysis for APT based cyber attack detection
Tang et al. Disclosure of cyber security vulnerabilities: time series modelling
CN114726623B (zh) 一种高级威胁攻击评估方法、装置、电子设备及存储介质
Moskal et al. Extracting and evaluating similar and unique cyber attack strategies from intrusion alerts
WO2016014014A1 (en) Remedial action for release of threat data
Marchetti et al. Identification of correlated network intrusion alerts
Oh et al. Advanced insider threat detection model to apply periodic work atmosphere
CN116112211A (zh) 一种基于知识图谱的网络攻击链还原方法
Rasmi et al. Improving Analysis Phase in Network Forensics By Using Attack Intention Analysis
CN111460246A (zh) 基于数据挖掘和密度检测的实时活动异常人员发现方法
CN107623677B (zh) 数据安全性的确定方法和装置
Kim et al. A study on a cyber threat intelligence analysis (CTI) platform for the proactive detection of cyber attacks based on automated analysis
CN113329026B (zh) 一种基于网络靶场漏洞演练的攻击能力确定方法及系统
Al-Saedi et al. Research Proposal: an Intrusion Detection System Alert Reduction and Assessment Framework based on Data Mining.
CN113709097B (zh) 网络风险感知方法及防御方法
CN113162904B (zh) 一种基于概率图模型的电力监控系统网络安全告警评估方法
CN112751863B (zh) 一种攻击行为分析方法及装置
US11962609B2 (en) Source entities of security indicators
Melaragno et al. Change point detection with machine learning for rapid ransomware detection
US20230376399A1 (en) Identification of similar incidents based on similarity scores
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
Li et al. A novel algorithm SF for mining attack scenarios model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant