CN114928492B - 高级持续威胁攻击识别方法、装置和设备 - Google Patents

高级持续威胁攻击识别方法、装置和设备 Download PDF

Info

Publication number
CN114928492B
CN114928492B CN202210556235.3A CN202210556235A CN114928492B CN 114928492 B CN114928492 B CN 114928492B CN 202210556235 A CN202210556235 A CN 202210556235A CN 114928492 B CN114928492 B CN 114928492B
Authority
CN
China
Prior art keywords
target
dimensional
attack
identification
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210556235.3A
Other languages
English (en)
Other versions
CN114928492A (zh
Inventor
鲍青波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210556235.3A priority Critical patent/CN114928492B/zh
Publication of CN114928492A publication Critical patent/CN114928492A/zh
Application granted granted Critical
Publication of CN114928492B publication Critical patent/CN114928492B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及信息安全技术领域,提供了一种高级持续威胁攻击识别方法、装置和设备。所述方法包括:基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息;根据第一预设时长内至少两个目标网络行为分别对应的属性信息,构建目标三维张量;根据目标三维张量以及目标三维张量中的元素值,在目标三维张量中确定目标稠密块;基于目标稠密块,在至少两个目标网络行为中确定目标攻击行为;基于历史高级持续威胁攻击行为,在目标攻击行为中识别高级持续威胁攻击行为。采用该方式能够提高对高级持续威胁攻击的识别效率。

Description

高级持续威胁攻击识别方法、装置和设备
技术领域
本公开涉及信息安全技术领域,特别是涉及一种高级持续威胁攻击识别方法、装置和设备。
背景技术
高级持续威胁攻击(Advanced Persistent Threat,APT)是一种高级、持续性的攻击模式,能够利用软件、硬件漏洞对目标对象进行长期持续性的网络攻击,具体的,攻击者在发动攻击之前对目标对象的业务流程以及目标系统进行信息的收集,并进一步挖掘被攻击目标对象的在目标系统以及应用程序中存在的漏洞之后,并利用这些漏洞发起攻击,以此窃取目标对象的核心资料、情报等信息,以此对网络信息安全系统造成严重的危害。
现有技术中,主要通过水坑攻击、网络钓鱼和鱼叉式钓鱼攻击实现对APT攻击手段的检测,然而,由于APT攻击能够采取加密、零日漏洞利用等方法,可绕过对APT攻击手段的检测,导致对APT攻击存在严重的滞后性的问题,因此,如何实现提高对APT攻击的识别效率是急需解决的问题。
发明内容
基于此,有必要针对上述技术问题,提供了一种高级持续威胁攻击识别方法、装置和设备。
本公开实施例提供了一种高级持续威胁攻击识别方法,所述方法包括:
在一个实施例中,基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息,其中,所述目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种,所述属性信息至少包括源互联网协议以及目的互联网协议;
根据第一预设时长内至少两个所述目标网络行为分别对应的所述属性信息,构建目标三维张量,其中,所述目标三维张量的第一维度与第二维度均为所述源互联网协议和所述目的互联网协议,第三维度为时间,所述目标三维张量中的元素值用来表征所述目标网络行为是否为攻击行为;
根据所述目标三维张量以及所述目标三维张量中的元素值,在目标三维张量中确定目标稠密块;
基于所述目标稠密块,在至少两个目标网络行为中确定目标攻击行为,其中,所述目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为;
基于历史高级持续威胁攻击行为,在所述目标攻击行为中识别所述高级持续威胁攻击行为。
在一个实施例中,所述基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息之前,所述方法还包括:
获取至少两个初始网络行为数据;
基于至少两个初始网络行为数据以及预设白名单,判断至少两个所述初始网络行为是否存在正常网络行为;
若确定在至少两个所述初始网络行为中存在正常网络行为,则将至少两个所述初始网络行为数据中存在的所述正常网络行为数据进行过滤,得到至少两个所述目标网络行为数据。
在一个实施例中,所述根据第一预设时长内至少两个所述目标网络行为分别对应的所述属性信息,构建目标三维张量,包括:
针对至少两个所述目标网络行为,基于所述属性信息,在至少两个所述目标网络行为中确定攻击行为以及非攻击行为,并对所述攻击行为以及非攻击行为进行标识,其中,所述攻击行为标识为1,所述非攻击行为标识为0;
根据第一预设时长内所述攻击行为、非攻击行为分别对应的标识以及所述属性信息,构建目标三维张量。
在一个实施例中,所述方法还包括:所述根据第一预设时长内所述攻击行为、非攻击行为分别对应的标识以及所述属性信息,构建目标三维张量,包括:
根据所述第一预设时长内每个第二预设时长、所述源互联网协议、所述目的互联网协议以及所述标识,构建第一二维矩阵,其中,所述第一二维矩阵的两个维度为所述源互联网协议和所述目的互联网协议,所述第一二维矩阵的元素值为所述标识,所述第二预设时长小于所述第一预设时长;
基于第一预设时长内多个第二预设时长,获取第一预设时长内至少两个所述第一二维矩阵,其中,所述第一二维矩阵的数量是根据所述第二预设时长的数量确定的;
根据至少两个第一二维矩阵以及所述多个第二预设时长,构建目标三维张量。
在一个实施例中,所述根据所述目标三维张量以及所述目标三维张量中的元素值,在目标三维张量中确定目标稠密块,包括:
根据所述目标三维张量的三个维度,获取每个维度对应的至少两个二维矩阵;
基于每个维度对应的至少两个二维矩阵,获取每个维度对应的标识序列;
基于每个维度对应的所述标识序列,在所述目标三维张量确定所述目标稠密块。
在一个实施例中,所述根据所述目标三维张量的三个维度,获取每个维度对应的至少两个二维矩阵,包括:
根据所述目标三维张量的三个维度,获取第一维度对应的至少两个第二二维矩阵、第二维度对应的至少两个第三二维矩阵以及第三维度对应的至少两个第四二维矩阵;
基于每个维度对应的至少两个二维矩阵,获取每个维度对应的标识序列,包括:
针对每个第二二维矩阵,获取每个第二二维矩阵对应的目标第一标识和值;
根据至少两个所述目标第一标识和值,获取第一维度对应的第一标识序列;和
针对每个第三二维矩阵,获取每个第三二维矩阵对应的目标第二标识和值;
根据至少两个所述目标第二标识和值,获取第二维度对应的第二标识序列;和
针对每个第四二维矩阵,获取每个第四二维矩阵对应的目标第三标识和值;
根据至少两个所述目标第三标识和值,获取第三维度对应的第三标识序列;
基于每个维度对应的标识序列,在所述目标三维张量确定目标稠密块,包括:
根据所述第一标识序列、所述第二标识序列以及所述第三标识序列,在所述目标三维张量确定目标稠密块。
在一个实施例中,所述针对每个第二二维矩阵,获取每个第二二维矩阵对应的目标第一标识和值,包括:
针对每个第二二维矩阵,当确定所述第二二维矩阵存在相邻元素值均为1时,对第二二维矩阵中相邻元素值进行求和,得到至少一个第一标识和值,将最大第一标识和值作为所述目标第一标识和值;
当确定所述第二二维矩阵不存在相邻元素值为1时,确定所述目标第一标识和值为0;
针对每个第三二维矩阵,获取每个第三二维矩阵对应的目标第二标识和值,包括:
针对每个第三二维矩阵,当确定所述第三二维矩阵存在相邻元素值均为1时,对第三二维矩阵中相邻元素值进行求和,得到至少一个第二标识和值,将最大第二标识和值作为所述目标第二标识和值;
当确定所述第三二维矩阵不存在相邻元素值为1时,确定所述目标第二标识和值为0;
针对每个第四二维矩阵,获取每个第四二维矩阵对应的目标第三标识和值,包括:
针对每个第四二维矩阵,当确定所述第四二维矩阵存在相邻元素值均为1时,对第四二维矩阵中相邻元素值进行求和,得到至少一个第三标识和值,将最大第三标识和值作为所述目标第三标识和值;
当确定所述第四二维矩阵不存在相邻元素值为1时,确定所述目标第三标识和值为0。
第二方面,本公开实施例提供了一种高级持续威胁攻击识别装置,包括:
属性信息获取模块,用于基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息,其中,所述目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种,所述属性信息至少包括源互联网协议以及目的互联网协议;
目标三维张量构建模块,用于根据第一预设时长内至少两个所述目标网络行为分别对应的所述属性信息,构建目标三维张量,其中,所述目标三维张量的第一维度与第二维度均为所述源互联网协议和所述目的互联网协议,第三维度为时间,所述目标三维张量中的元素值用来表征所述目标网络行为是否为攻击行为;
目标稠密块确定模块,用于根据所述目标三维张量以及所述目标三维张量中的元素值,在目标三维张量中确定目标稠密块;
目标攻击行为确定模块,用于基于所述目标稠密块,在至少两个目标网络行为中确定目标攻击行为,其中,所述目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为;
高级持续威胁攻击行为识别模块,用于基于历史高级持续威胁攻击行为,在所述目标攻击行为中识别所述高级持续威胁攻击行为。
第三方面,本公开实施例提供了一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如第一方面中任一所述的方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例所提供的高级持续威胁攻击识别方法,通过获取预设时长内目标网络行为对应的目标三维张量,根据目标三维张量中的用于表征目标网络行为是否为攻击行为的元素值,在目标三维张量确定其对应的目标稠密块,并基于目标稠密块优先在多个目标网络行为中确定目标攻击行为,进一步的在目标攻击行为中通过历史确定的高级持续威胁攻击的特征信息进一步识别高级持续威胁攻击,无需在大量的初始网络行为数据中识别的高级持续威胁攻击,只需在确定的目标攻击行为中识别高级持续威胁攻击,从而提高了对高级持续威胁攻击的识别效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种高级持续威胁攻击识别方法的流程示意图;
图2为本公开实施例提供的另一种高级持续威胁攻击识别方法的流程示意图;
图3为本公开实施例提供的一种目标三维张量的示意图;
图4为本公开实施例提供的一种二维矩阵的示意图;
图5为本公开实施例提供的一种高级持续威胁攻击识别装置的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
在一个实施例中,如图1所示,图1为本公开实施例提供的一种高级持续威胁攻击识别方法的流程示意图,具体包括以下步骤:
S11:基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息。
其中,目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种,属性信息至少包括源互联网协议以及目的互联网协议。
具体的,根据对获取的多个目标网络行为数据,如网络审计日志、系统访问日志、安全告警日志进行解析,以此得到多个目标网络行为分别对应的源互联网协议以及目的互联网协议。
在上述实施例的基础上,在本公开一些实施例中,如图2所示,执行S11之前,还包括:
S21,获取至少两个初始网络行为数据。
S22,基于至少两个初始网络行为数据以及预设白名单,若确定在至少两个初始网络行为中存在正常网络行为,则将至少两个初始网络行为数据中存在的正常网络行为数据进行过滤,得到至少两个目标网络行为数据。
其中,正常网络行为例如可以是用户在日常办公中打开办公的网站系统进行的正常的业务访问,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
具体的,终端设备(如电脑)获取一段时长内的多个初始网络行为数据,并利用设置的预设白名单,判断多个初始网络行为数据中是否存在正常网络行为,当根据预设白名单,确定在多个初始网络行为数据中存在正常网络行为时,则将多个初始网络行为数据中存在的正常网络行为数据进行过滤处理,以此得到至少两个目标网络行为数据。
需要说明的是,当前过滤后的多个目标网络行为数据中仍存在正常网络行为数据。
这样,本实施例通过设置的白名单将至少两个初始网络行为数据中存在的正常初始网络行为数据进行过滤,以此减少后续的网络行为数据量,能够提高对攻击行为检测的效率。
S12:根据第一预设时长内至少两个目标网络行为分别对应的属性信息,构建目标三维张量。
其中,第一预设时长是指通过设置一段时间范围,以此在设置的一段时间范围内对至少两个目标网络行为进行检测的时间段,示例性的,该第一预设时长例如可以是30天,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
其中,目标三维张量的第一维度与第二维度均为源互联网协议和目的互联网协议,第三维度为时间,目标三维张量中的元素值用来表征目标网络行为是否为攻击行为。
具体的,终端设备(如电脑)根据第一预设时长内检测的多个目标网络行为分别对应的源互联网协议以及目的互联网协议,构建目标三维张量。
示例性的,如图3所示,以源互联网协议和目的互联网协议作为目标三维张量的第一维度以及第二维度,以时间作为目标三维张量的第三维度,构建目标三维张量,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
在上述实施例的基础上,在本公开一些实施例中,S12的一种可以实现的方式为:
针对至少两个目标网络行为,基于属性信息,在至少两个目标网络行为中确定攻击行为以及非攻击行为,并对攻击行为以及非攻击行为进行标识。
其中,攻击行为标识为1,非攻击行为标识为0。
示例性的,对于多个目标网络行为对应的源互联网协议和目的互联网协议,通过入侵检测设备,如防火墙,检测多个目标网络行为是否为攻击行为,或者是非攻击行为,当确定为攻击行为数据时,则标识攻击行为为1,非攻击行为标识为0。
根据第一预设时长内攻击行为、非攻击行为分别对应的标识以及属性信息,构建目标三维张量。
具体的,根据在第一预设时长内检测的多个目标网络行为中存在的攻击行为以及非攻击行为分别对应的标识,以及多个目标网络行对应的源互联网协议和目的互联网协议,构建目标三维张量。
需要说明的是,目标三维张量的元素值是根据攻击行为对应的标识1、以及非攻击行为对应的标识0确定的。
在上述实施例的基础上,在本公开一些实施例中,根据第一预设时长内攻击行为、非攻击行为分别对应的标识以及属性信息,构建目标三维张量,一种实现方式可以是:
根据第一预设时长内每个第二预设时长、源互联网协议、目的互联网协议以及标识,构建第一二维矩阵。
其中,第一二维矩阵的两个维度为源互联网协议和目的互联网协议,第一二维矩阵的元素值为标识。
第二预设时长小于第一预设时长,第一预设时长内包括多个第二预设时长,示例性的,第一预设时长为30,则设置第二预设时长为1天,则第一预设时长内包括30个第二预设时长,第二预设时长是指通过检测第二预设时长内至少两个目标网络行为,以此构建一个第一二维矩阵设置的时长,示例性的,当第二预设时长为1天时,对至少两个目标网络行为进行检测,以此构建每天对应的一个第一二维矩阵。但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
示例性的,如图4所示,当第二预设时长为1天时,以源互联网协议、目的互联网协议构成的互联网协议作为第一二维矩阵的两个维度,将第一二维矩阵的行方向作为第一维度,将第一二维矩阵的列方向作为第二维度,以此构建第一二维矩阵,即第一维度可以包括互联网协议1、互联网协议2、互联网协议3、互联网协议4、互联网协议5、互联网协议6,第二维度可以包括互联网协议1、互联网协议2、互联网协议3、互联网协议4、互联网协议5、互联网协议6,其中,该互联网协议可以是源互联网协议、目的互联网协议,通过入侵检测设备检测一天内两个维度对应的多个互联网协议之间是否存在攻击行为,若存在,则标识为1,例如,对于第一维度的互联网协议1以及第二维度的互联网协议1,通过入侵检测设备确定当前目标网络行为是攻击行为,则将其标识为1,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
基于第一预设时长内多个第二预设时长,获取第一预设时长内至少两个第一二维矩阵。
其中,第一二维矩阵的数量是根据第二预设时长的数量确定的。
具体的,对于多个第二预设时长,获取每个第二预设时长对应的第一二维矩阵,以此得到多个第二预设时长分别对应的第一二维矩阵。
示例性的,第一预设时长为30,第二预设时长为1天,则第一预设时长内包括30个第二预设时长,则能够获取到30个第二预设时长分别对应的30个第一二维矩阵,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
根据至少两个第一二维矩阵以及多个第二预设时长,构建目标三维张量。
具体的,根据得到的多个第一二维矩阵,以时间作为目标三维张量的第三个维度,以此构建构建目标三维张量。
示例性的,对于第一预设时长如30天,第二预设时长如1天,则目标三维张量的第三个维度的大小为30,对于目标三维张量的第一维度以及第二维度对应的互联网协议的数量如6,则目标三维张量的大小为6*6*30,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
这样,本实施例通过获取第一预设时长内多个第二预设时长分别对应的第一二维矩阵,并利用APT攻击长时间持续、以及具有一定攻击模式的特性,构建目标三维张量,从而使得基于目标三维张量能够更能准确的检测出攻击行为。
S13:根据目标三维张量以及目标三维张量中的元素值,在目标三维张量中确定目标稠密块。
其中,目标稠密块是指在目标三维张量中对应的三个维度上存在连续的元素值均为1,以此构成的稠密块,目标稠密块在第一预设时长内对于多个目标网络行为能够反映其具有规律的攻击行为。
具体的,根据多个第一二维矩阵构建的目标三维张量,以及目标三维张量中的元素值,在目标三维张量中确定目标稠密块。
在上述实施例的基础上,在本公开一些实施例中,S13的一种实现方式可以是:
根据目标三维张量的三个维度,获取每个维度对应的至少两个二维矩阵。
示例性的,对构建的目标三维张量,基于目标三维张量的三个维度进行切片,以此获得每个维度对应的多个二维矩阵。
在上述实施例的基础上,在本公开一些实施例中,根据目标三维张量的三个维度,获取每个维度对应的至少两个二维矩阵,一种实现方式可以是:
根据目标三维张量的三个维度,获取第一维度对应的至少两个第二二维矩阵、第二维度对应的至少两个第三二维矩阵以及第三维度对应的至少两个第四二维矩阵。
具体的,根据目标三维张量的三个维度进行切片,以此得到第一维度对应的多个第二二维矩阵,第二维度对应的多个第三二维矩阵以及第三维度对应的多个第四二维矩阵。
示例性的,对于6*6*30大小的目标三维张量,第一维度以及第二维度为互联网协议,第三维度为时间,根据目标三维张量的三个维度进行切片,以此得到第一维度对应的6个第二二维矩阵,得到第二维度对应的6个第三二维矩阵,得到第三维度对应的30个第四二维矩阵,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
基于每个维度对应的至少两个二维矩阵,获取每个维度对应的标识序列。
可选的,在本公开的一些实施例中,一种实现方式可以是:
针对每个第二二维矩阵,获取每个第二二维矩阵对应的目标第一标识和值;
具体的,针对第一维度对应的每个第二二维矩阵,根据每个第二二维矩阵中的元素值进行加和计算,以得到每个第二二维矩阵对应的目标第一标识和值。
可选的,在本公开一些实施例中,一种实现方式可以是:
针对每个第二二维矩阵,当确定第二二维矩阵存在相邻元素值均为1时,对第二二维矩阵中相邻元素值进行求和,得到至少一个第一标识和值,将最大第一标识和值作为目标第一标识和值。
示例性的,如图4所示,当前第二二维矩阵中存在相邻元素值均为1的情况,则将第二二维矩阵中相邻元素值进行求和,以此得到多个第一标识和值,如2、5、3,并将多个第一标识和值中最大的最大第一标识和值如5作为目标第一标识和值。
当确定第二二维矩阵不存在相邻元素值为1时,确定目标第一标识和值为0。
示例性的,当第二二维矩阵中的元素值全为0时,则确定目标第一标识和值为0。
根据至少两个目标第一标识和值,获取第一维度对应的第一标识序列。
具体的,计算每一个第二二维矩阵对应的目标第一标识和值,以此得到多个目标第一标识和值,将多个目标第一标识和值按照第二预设时长的时间序列进行排列,得到第一维度对应的第一标识序列。
示例性的,当第一预设时长为6天,第二预设时长为1天时,且源互联网协议以及目的互联网协议为6个,则目标三维张量的大小为6*6*6,在第一维度方向进行切片,得到第一维度对应的6个第二二维矩阵,且该6个第二二维矩阵分别对应的目标第一标识和值为5、3、0、1、2、2,则根据第二预设时长即从第一天到第六天进行排序,得到第一维度对应的第一标识序列,即5、3、0、1、2、2,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
可选的,针对每个第三二维矩阵,获取每个第三二维矩阵对应的目标第二标识和值。一种实现方式为:针对每个第三二维矩阵,当确定第三二维矩阵存在相邻元素值均为1时,对第三二维矩阵中相邻元素值进行求和,得到至少一个第二标识和值,将最大第二标识和值作为目标第二标识和值;当确定第三二维矩阵不存在相邻元素值为1时,确定目标第二标识和值为0,具体实现过程参照上述目标第一标识和值的实现方式,此处不再赘述。
根据至少两个目标第二标识和值,获取第二维度对应的第二标识序列,具体实现过程参照上述第一标识序列的实现方式,此处不再赘述。
可选的,针对每个第四二维矩阵,获取每个第四二维矩阵对应的目标第三标识和值。一种实现方式为:针对每个第四二维矩阵,当确定第四二维矩阵存在相邻元素值均为1时,对第四二维矩阵中相邻元素值进行求和,得到至少一个第三标识和值,将最大第三标识和值作为目标第三标识和值;当确定第四二维矩阵不存在相邻元素值为1时,确定目标第三标识和值为0。具体实现过程参照上述目标第一标识和值的实现方式,此处不再赘述。
根据至少两个目标第三标识和值,获取第三维度对应的第三标识序列,具体实现过程参照上述第一标识序列的实现方式,此处不再赘述。
基于每个维度对应的标识序列,在目标三维张量确定目标稠密块。
可选的,在本公开的一些实施例中,一种实现方式可以是:
根据第一标识序列、第二标识序列以及第三标识序列,在目标三维张量确定目标稠密块。
示例性的,可以通过在第一标识序列中确定连续的多个不为0的目标第一标识和值,根据该连续的多个不为0的目标第一标识和值的起始下标以及结束下标,在第二标识序列中确定连续的多个不为0的目标第二标识和值,根据该连续的多个不为0的目标第二标识和值的起始下标以及结束下标,以及在第三标识序列中确定连续的多个不为0的目标第三标识和值,根据该连续的多个不为0的目标第三标识和值的起始下标以及结束下标置,在目标三维张量确定目标稠密块,但不限于此,本公开不具体限制,本领域技术人员可根据实际情况设置。
这样,本实施例通过在目标三维张量内存在连续的相邻元素值为1时,得到目标三维张量中的目标稠密块,其中,元素值1表示存在攻击行为,以此根据攻击行为具有长时间持续性、以及具有一定规律的攻击模式,能够在目标三维张量确定能够表征具有攻击规律的目标稠密块。
S14:基于目标稠密块,在至少两个目标网络行为中确定目标攻击行为。
其中,目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为。
可选的,一种实现方式可以是:
基于目标稠密块、以及目标稠密块对应的属性信息,在至少两个目标网络行为中确定目标攻击行为。
具体的,根据在目标三维张量中获取到的目标稠密块,以及目标稠密块对应的源互联网协议、目的互联网协议,以此在多个目标网络行为中确定目标攻击行为,该目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为。
S15:基于历史高级持续威胁攻击行为,在目标攻击行为中识别高级持续威胁攻击行为。
具体的,在多个目标网络行为中确定包括高级持续威胁攻击行为以及非高级持续威胁攻击行为的目标攻击行为,进一步的,根据历史确定的高级持续威胁攻击行为的特征,人工的在目标攻击行为中识别高级持续威胁攻击行为。
这样,本公开实施例提供的高级持续威胁攻击识别方法,通过基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息,其中,目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种,属性信息至少包括源互联网协议以及目的互联网协议;根据第一预设时长内至少两个目标网络行为分别对应的属性信息,构建目标三维张量,其中,目标三维张量的第一维度与第二维度均为源互联网协议和所述目的互联网协议,第三维度为时间,目标三维张量中的元素值用来表征目标网络行为是否为攻击行为或;根据目标三维张量以及目标三维张量中的元素值,在目标三维张量中确定目标稠密块;基于目标稠密块,在至少两个目标网络行为中确定目标攻击行为,其中,目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为;基于历史高级持续威胁攻击行为,在目标攻击行为中识别高级持续威胁攻击行为。这样,通过获取预设时长内目标网络行为对应的目标三维张量,根据目标三维张量中的用于表征目标网络行为是否为攻击行为的元素值,在目标三维张量确定其对应的目标稠密块,并基于目标稠密块优先在多个目标网络行为中确定目标攻击行为,进一步的在目标攻击行为中通过历史确定的高级持续威胁攻击的特征信息进一步识别高级持续威胁攻击,无需在大量的初始网络行为数据中识别的高级持续威胁攻击,只需要在确定的目标攻击行为中识别高级持续威胁攻击,从而提高了对高级持续威胁攻击的识别效率。
图5为本公开实施例提供的一种高级持续威胁攻击识别装置,包括:
属性信息获取模块11,用于基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息,其中,目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种,属性信息至少包括源互联网协议以及目的互联网协议;
目标三维张量构建模块12,用于根据第一预设时长内至少两个目标网络行为分别对应的属性信息,构建目标三维张量,其中,目标三维张量的第一维度与第二维度均为源互联网协议和所述目的互联网协议,第三维度为时间,目标三维张量中的元素值用来表征所述目标网络行为是否为攻击行为;
目标稠密块确定模块13,用于根据目标三维张量以及目标三维张量中的元素值,在目标三维张量中确定目标稠密块;
目标攻击行为确定模块14,用于基于目标稠密块,在至少两个目标网络行为中确定目标攻击行为,其中,目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为;
高级持续威胁攻击行为识别模块15,用于基于历史高级持续威胁攻击行为,在目标攻击行为中识别高级持续威胁攻击行为。
在上述实施例中,所述装置还包括:获取模块,用于获取至少两个初始网络行为数据;基于至少两个初始网络行为数据以及预设白名单,判断至少两个初始网络行为是否存在正常网络行为;若确定在至少两个初始网络行为中存在正常网络行为,则将至少两个初始网络行为数据中存在的正常网络行为数据进行过滤,得到至少两个目标网络行为数据。
在上述实施例中,目标三维张量构建模块12,具体用于针对至少两个目标网络行为,基于属性信息,在至少两个目标网络行为中确定攻击行为以及非攻击行为,并对攻击行为以及非攻击行为进行标识,其中,攻击行为标识为1,非攻击行为标识为0;根据第一预设时长内攻击行为、非攻击行为分别对应的标识以及属性信息,构建目标三维张量。
在上述实施例中,目标三维张量构建模块12,具体还用于根据第一预设时长内每个第二预设时长、源互联网协议、目的互联网协议以及所述标识,构建第一二维矩阵,其中,第一二维矩阵的两个维度为源互联网协议和目的互联网协议,第一二维矩阵的元素值为标识,第二预设时长小于第一预设时长;基于第一预设时长内多个第二预设时长,获取第一预设时长内至少两个第一二维矩阵,其中,第一二维矩阵的数量是根据第二预设时长的数量确定的;根据至少两个第一二维矩阵以及多个第二预设时长,构建目标三维张量。
在上述实施例中,目标稠密块确定模块13,具体用于根据目标三维张量的三个维度,获取每个维度对应的至少两个二维矩阵;基于每个维度对应的至少两个二维矩阵,获取每个维度对应的标识序列;基于每个维度对应的所述标识序列,在目标三维张量确定目标稠密块。
在上述实施例中,目标稠密块确定模块13,具体还用于根据所述目标三维张量的三个维度,获取第一维度对应的至少两个第二二维矩阵、第二维度对应的至少两个第三二维矩阵以及第三维度对应的至少两个第四二维矩阵;针对每个第二二维矩阵,获取每个第二二维矩阵对应的目标第一标识和值;根据至少两个目标第一标识和值,获取第一维度对应的第一标识序列;和针对每个第三二维矩阵,获取每个第三二维矩阵对应的目标第二标识和值;根据至少两个目标第二标识和值,获取第二维度对应的第二标识序列;和针对每个第四二维矩阵,获取每个第四二维矩阵对应的目标第三标识和值;根据至少两个目标第三标识和值,获取第三维度对应的第三标识序列;根据第一标识序列、第二标识序列以及第三标识序列,在目标三维张量确定目标稠密块。
在上述实施例中,目标稠密块确定模块13,具体还用于针对每个第二二维矩阵,当确定第二二维矩阵存在相邻元素值均为1时,对第二二维矩阵中相邻元素值进行求和,得到至少一个第一标识和值,将最大第一标识和值作为所述目标第一标识和值;当确定第二二维矩阵不存在相邻元素值为1时,确定目标第一标识和值为0;针对每个第三二维矩阵,当确定第三二维矩阵存在相邻元素值均为1时,对第三二维矩阵中相邻元素值进行求和,得到至少一个第二标识和值,将最大第二标识和值作为目标第二标识和值;当确定第三二维矩阵不存在相邻元素值为1时,确定目标第二标识和值为0;针对每个第四二维矩阵,当确定第四二维矩阵存在相邻元素值均为1时,对第四二维矩阵中相邻元素值进行求和,得到至少一个第三标识和值,将最大第三标识和值作为目标第三标识和值;当确定第四二维矩阵不存在相邻元素值为1时,确定目标第三标识和值为0。
在上述实施例中,目标攻击行为确定模块14,具体用于基于目标稠密块、以及目标稠密块对应的属性信息,在至少两个目标网络行为中确定目标攻击行为。
这样,本实施例通过获取预设时长内目标网络行为对应的目标三维张量,根据目标三维张量中的用于表征目标网络行为是否为攻击行为的元素值,在目标三维张量确定其对应的目标稠密块,并基于目标稠密块优先在多个目标网络行为中确定目标攻击行为,进一步的在目标攻击行为中通过历史确定的高级持续威胁攻击的特征信息进一步识别高级持续威胁攻击,以此实现无需在大量的初始网络行为数据中识别的高级持续威胁攻击,只需要在确定的目标攻击行为中识别高级持续威胁攻击,从而提高了对高级持续威胁攻击的识别效率。
本发明实施例所提供的装置可执行本发明任意实施例所提供的方法,具备执行方法相应的功能模块和有益效果。
值得注意的是,上述装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
本公开实施例提供了一种电子设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时可以实现本公开实施例提供的高级持续威胁攻击识别方法,例如,处理器执行计算机程序时可以实现图1到图4任一所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (8)

1.一种高级持续威胁攻击行为识别方法,其特征在于,所述方法包括:
获取至少两个初始网络行为数据;
基于至少两个初始网络行为数据以及预设白名单,判断至少两个所述初始网络行为是否存在正常网络行为;
若确定在至少两个所述初始网络行为中存在正常网络行为,则将至少两个所述初始网络行为数据中存在的所述正常网络行为数据进行过滤,得到至少两个目标网络行为数据;
基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息,其中,所述目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种,所述属性信息至少包括源互联网协议以及目的互联网协议;
针对至少两个所述目标网络行为,基于所述属性信息,在至少两个所述目标网络行为中确定攻击行为以及非攻击行为,并对所述攻击行为以及非攻击行为进行标识,其中,所述攻击行为标识为1,所述非攻击行为标识为0;
根据第一预设时长内所述攻击行为、所述非攻击行为分别对应的标识以及所述属性信息,构建目标三维张量,其中,所述目标三维张量的第一维度与第二维度均为所述源互联网协议和所述目的互联网协议,第三维度为时间,所述目标三维张量中的元素值用来表征所述目标网络行为是否为攻击行为;
根据所述目标三维张量以及所述目标三维张量中的元素值,在所述目标三维张量中确定目标稠密块,其中,所述目标稠密块是指在目标三维张量中对应的三个维度上存在连续的元素值均为1构成的稠密块,所述目标稠密块用于在第一预设时长内反映多个目标网络行为的攻击行为;
基于所述目标稠密块,在至少两个所述目标网络行为中确定目标攻击行为,其中,所述目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为;
基于历史高级持续威胁攻击行为,在所述目标攻击行为中识别所述高级持续威胁攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述根据第一预设时长内所述攻击行为、非攻击行为分别对应的标识以及所述属性信息,构建目标三维张量,包括:
根据所述第一预设时长内每个第二预设时长、所述源互联网协议、所述目的互联网协议以及所述标识,构建第一二维矩阵,其中,所述第一二维矩阵的两个维度为所述源互联网协议和所述目的互联网协议,所述第一二维矩阵的元素值为所述标识,所述第二预设时长小于所述第一预设时长;
基于第一预设时长内多个第二预设时长,获取第一预设时长内至少两个所述第一二维矩阵,其中,所述第一二维矩阵的数量是根据所述第二预设时长的数量确定的;
根据至少两个第一二维矩阵以及所述多个第二预设时长,构建所述目标三维张量。
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标三维张量以及所述目标三维张量中的元素值,在目标三维张量中确定目标稠密块,包括:
根据所述目标三维张量的三个维度,获取每个维度对应的至少两个二维矩阵;
基于每个维度对应的至少两个二维矩阵,获取每个维度对应的标识序列;
基于每个维度对应的所述标识序列,在所述目标三维张量确定所述目标稠密块。
4.根据权利要求3所述的方法,其特征在于,所述根据所述目标三维张量的三个维度,获取每个维度对应的至少两个二维矩阵,包括:
根据所述目标三维张量的三个维度,获取第一维度对应的至少两个第二二维矩阵、第二维度对应的至少两个第三二维矩阵以及第三维度对应的至少两个第四二维矩阵;
基于每个维度对应的至少两个二维矩阵,获取每个维度对应的标识序列,包括:
针对每个第二二维矩阵,获取每个第二二维矩阵对应的目标第一标识和值;
根据至少两个所述目标第一标识和值,获取第一维度对应的第一标识序列;和
针对每个第三二维矩阵,获取每个第三二维矩阵对应的目标第二标识和值;
根据至少两个所述目标第二标识和值,获取第二维度对应的第二标识序列;和
针对每个第四二维矩阵,获取每个第四二维矩阵对应的目标第三标识和值;
根据至少两个所述目标第三标识和值,获取第三维度对应的第三标识序列;
基于每个维度对应的标识序列,在所述目标三维张量确定目标稠密块,包括:
根据所述第一标识序列、所述第二标识序列以及所述第三标识序列,在所述目标三维张量确定目标稠密块。
5.根据权利要求4所述的方法,其特征在于,所述针对每个第二二维矩阵,获取每个第二二维矩阵对应的目标第一标识和值,包括:
针对每个第二二维矩阵,当确定所述第二二维矩阵存在相邻元素值均为1时,对第二二维矩阵中相邻元素值进行求和,得到至少一个第一标识和值,将最大第一标识和值作为所述目标第一标识和值;
当确定所述第二二维矩阵不存在相邻元素值为1时,确定所述目标第一标识和值为0;
针对每个第三二维矩阵,获取每个第三二维矩阵对应的目标第二标识和值,包括:
针对每个第三二维矩阵,当确定所述第三二维矩阵存在相邻元素值均为1时,对第三二维矩阵中相邻元素值进行求和,得到至少一个第二标识和值,将最大第二标识和值作为所述目标第二标识和值;
当确定所述第三二维矩阵不存在相邻元素值为1时,确定所述目标第二标识和值为0;
针对每个第四二维矩阵,获取每个第四二维矩阵对应的目标第三标识和值,包括:
针对每个第四二维矩阵,当确定所述第四二维矩阵存在相邻元素值均为1时,对第四二维矩阵中相邻元素值进行求和,得到至少一个第三标识和值,将最大第三标识和值作为所述目标第三标识和值;
当确定所述第四二维矩阵不存在相邻元素值为1时,确定所述目标第三标识和值为0。
6.根据权利要求1所述的方法,其特征在于,所述基于所述目标稠密块,在至少两个目标网络行为中确定目标攻击行为,包括:
基于所述目标稠密块、以及所述目标稠密块对应的属性信息,在至少两个所述目标网络行为中确定所述目标攻击行为。
7.一种高级持续威胁攻击识别装置,其特征在于,包括:
获取模块,用于获取至少两个初始网络行为数据;
基于至少两个初始网络行为数据以及预设白名单,判断至少两个所述初始网络行为是否存在正常网络行为;
若确定在至少两个所述初始网络行为中存在正常网络行为,则将至少两个所述初始网络行为数据中存在的所述正常网络行为数据进行过滤,得到至少两个目标网络行为数据;
属性信息获取模块,用于基于至少两个目标网络行为数据,获取至少两个目标网络行为分别对应的属性信息,其中,所述目标网络行为数据为网络审计日志、系统访问日志、安全告警日志中任意一种,所述属性信息至少包括源互联网协议以及目的互联网协议;
目标三维张量构建模块,用于针对至少两个所述目标网络行为,基于所述属性信息,在至少两个所述目标网络行为中确定攻击行为以及非攻击行为,并对所述攻击行为以及非攻击行为进行标识,其中,所述攻击行为标识为1,所述非攻击行为标识为0;
根据第一预设时长内所述攻击行为、所述非攻击行为分别对应的标识以及所述属性信息,构建目标三维张量,其中,所述目标三维张量的第一维度与第二维度均为所述源互联网协议和所述目的互联网协议,第三维度为时间,所述目标三维张量中的元素值用来表征所述目标网络行为是否为攻击行为;
目标稠密块确定模块,用于根据所述目标三维张量以及所述目标三维张量中的元素值,在所述目标三维张量中确定目标稠密块,其中,所述目标稠密块是指在目标三维张量中对应的三个维度上存在连续的元素值均为1构成的稠密块,所述目标稠密块用于在第一预设时长内反映多个目标网络行为的攻击行为;
目标攻击行为确定模块,用于基于所述目标稠密块,在至少两个所述目标网络行为中确定目标攻击行为,其中,所述目标攻击行为包括高级持续威胁攻击行为和非高级持续威胁攻击行为;
高级持续威胁攻击行为识别模块,用于基于历史高级持续威胁攻击行为,在所述目标攻击行为中识别所述高级持续威胁攻击行为。
8.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的高级持续威胁攻击识别方法。
CN202210556235.3A 2022-05-20 2022-05-20 高级持续威胁攻击识别方法、装置和设备 Active CN114928492B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210556235.3A CN114928492B (zh) 2022-05-20 2022-05-20 高级持续威胁攻击识别方法、装置和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210556235.3A CN114928492B (zh) 2022-05-20 2022-05-20 高级持续威胁攻击识别方法、装置和设备

Publications (2)

Publication Number Publication Date
CN114928492A CN114928492A (zh) 2022-08-19
CN114928492B true CN114928492B (zh) 2023-11-24

Family

ID=82810861

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210556235.3A Active CN114928492B (zh) 2022-05-20 2022-05-20 高级持续威胁攻击识别方法、装置和设备

Country Status (1)

Country Link
CN (1) CN114928492B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6441821B1 (en) * 1998-07-03 2002-08-27 Hitachi, Ltd. Method and apparatus for displaying three-dimensional image by use of tensor rendering
CN104883356A (zh) * 2015-04-24 2015-09-02 北京邮电大学 一种基于目标模型的网络攻击检测方法
CN109271782A (zh) * 2018-09-14 2019-01-25 杭州朗和科技有限公司 检测攻击行为的方法、介质、系统和计算设备
CN110677287A (zh) * 2019-09-24 2020-01-10 杭州安恒信息技术股份有限公司 基于体系化攻击的威胁告警生成方法和装置
CN112995238A (zh) * 2021-05-21 2021-06-18 华中科技大学 一种减轻DDoS攻击的方法、可编程交换机及SDN控制器
CN114004277A (zh) * 2021-09-28 2022-02-01 奇安信科技集团股份有限公司 基于深度学习的小样本威胁风险预警方法及装置
WO2022037191A1 (zh) * 2020-08-17 2022-02-24 鹏城实验室 一种网络流异常检测模型的生成方法和计算机设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108664375B (zh) * 2017-03-28 2021-05-18 瀚思安信(北京)软件技术有限公司 用于检测计算机网络系统用户的异常行为的方法
TWI698102B (zh) * 2020-01-06 2020-07-01 財團法人資訊工業策進會 用於行動通訊系統之威脅偵測系統及其中心裝置與本地裝置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6441821B1 (en) * 1998-07-03 2002-08-27 Hitachi, Ltd. Method and apparatus for displaying three-dimensional image by use of tensor rendering
CN104883356A (zh) * 2015-04-24 2015-09-02 北京邮电大学 一种基于目标模型的网络攻击检测方法
CN109271782A (zh) * 2018-09-14 2019-01-25 杭州朗和科技有限公司 检测攻击行为的方法、介质、系统和计算设备
CN110677287A (zh) * 2019-09-24 2020-01-10 杭州安恒信息技术股份有限公司 基于体系化攻击的威胁告警生成方法和装置
WO2022037191A1 (zh) * 2020-08-17 2022-02-24 鹏城实验室 一种网络流异常检测模型的生成方法和计算机设备
CN112995238A (zh) * 2021-05-21 2021-06-18 华中科技大学 一种减轻DDoS攻击的方法、可编程交换机及SDN控制器
CN114004277A (zh) * 2021-09-28 2022-02-01 奇安信科技集团股份有限公司 基于深度学习的小样本威胁风险预警方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
高级持续性威胁检测与分析技术初探;陈卫平;;现代电视技术(第11期);第135-137页 *

Also Published As

Publication number Publication date
CN114928492A (zh) 2022-08-19

Similar Documents

Publication Publication Date Title
CN109922075B (zh) 网络安全知识图谱构建方法和装置、计算机设备
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
CN109302426B (zh) 未知漏洞攻击检测方法、装置、设备及存储介质
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
CN103379099A (zh) 恶意攻击识别方法及系统
CN110602032A (zh) 攻击识别方法及设备
KR101851233B1 (ko) 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
CN113949520B (zh) 欺骗诱捕的方法、装置、计算机设备和可读存储介质
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN115174251B (zh) 一种安全告警的误报识别方法、装置以及存储介质
CN112532636A (zh) 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置
CN114003904B (zh) 情报共享方法、装置、计算机设备及存储介质
CN113852597A (zh) 一种网络威胁溯源迭代分析方法、计算机设备及存储介质
CN114928492B (zh) 高级持续威胁攻击识别方法、装置和设备
CN112351002B (zh) 一种报文检测方法、装置及设备
CN109660499B (zh) 攻击拦截方法和装置、计算设备及存储介质
CN116032576A (zh) 一种基于不确定性攻击资源图谱的构建方法及系统
CN115022034A (zh) 攻击报文识别方法、装置、设备和介质
Pham et al. The quest for multi-headed worms
CN113315739A (zh) 一种恶意域名的检测方法及系统
CN114079576A (zh) 安全防御方法、装置、电子设备及介质
CN113992441B (zh) 一种蜜饵生成方法及装置
CN111737693B (zh) 确定恶意软件特征的方法、恶意软件的检测方法及装置
CN112637226B (zh) 站点访问响应方法、装置及电子设备
CN115102778B (zh) 一种状态确定方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant