CN115242614B - 网络信息分析方法、装置、设备及介质 - Google Patents
网络信息分析方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115242614B CN115242614B CN202211154594.2A CN202211154594A CN115242614B CN 115242614 B CN115242614 B CN 115242614B CN 202211154594 A CN202211154594 A CN 202211154594A CN 115242614 B CN115242614 B CN 115242614B
- Authority
- CN
- China
- Prior art keywords
- attack
- target
- node
- determining
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例涉及一种网络信息分析方法、装置、设备及介质,涉及计算机技术领域,其中该方法包括:获取网络告警信息,并根据网络告警信息生成目标攻击关系图;其中,目标攻击关系图由多个设备节点和多个有向边构建得到,每个有向边从一个设备节点指向另一个设备节点,每个有向边具有对应的边权重值;根据目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径;根据各候选攻击路径包括的至少一条有向边的边权重值,确定至少一个候选攻击路径中的目标攻击路径。本公开实施例,实现了对网络告警信息的挖掘,降低了后续处理的数据量,提高了进行攻击路径分析的全面性和客观性,提升了确定攻击路径的准确性。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种网络信息分析方法、装置、设备及介质。
背景技术
随着互联网技术的发展,网络安全愈加重要,通过溯源分析以及攻击路径还原技术可以确定网络攻击的攻击源、攻击目标以及攻击路径等。
相关技术中,通过日志分析系统可以对网络日志进行分析,当检测到针对设备的攻击行为时产生相应的告警信息,专业人员再对该告警信息进行研判分析,从而确定攻击路径。但是,由于告警信息的信息量较大,对该告警信息进行分析会消耗较多的人力,使得告警信息的处理效率较低,并且由于不同专业人员具备的专业能力的不同,确定的攻击路径也可能不同,无法稳定且准确的确定攻击路径。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络信息分析方法、装置、设备及介质。
本公开实施例提供了一种网络信息分析方法,所述方法包括:
获取网络告警信息,并根据所述网络告警信息生成目标攻击关系图;其中,所述目标攻击关系图由多个设备节点和多个有向边构建得到,每个所述有向边从一个设备节点指向另一个设备节点,每个所述有向边具有对应的边权重值;
根据所述目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径;
根据各所述候选攻击路径包括的至少一条有向边的边权重值,确定所述至少一个候选攻击路径中的目标攻击路径。
本公开实施例还提供了一种网络信息分析装置,所述装置包括:
获取模块,用于获取网络告警信息,并根据所述网络告警信息生成目标攻击关系图;其中,所述目标攻击关系图由多个设备节点和多个有向边构建得到,每个所述有向边从一个设备节点指向另一个设备节点,每个所述有向边具有对应的边权重值;
第一确定模块,用于根据所述目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径;
第二确定模块,用于根据各所述候选攻击路径包括的至少一条有向边的边权重值,确定所述至少一个候选攻击路径中的目标攻击路径。
本公开实施例还提供了一种电子设备,所述电子设备包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现如本公开实施例提供的网络信息分析方法。
本公开实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行如本公开实施例提供的网络信息分析方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:本公开实施例中提供的网络信息分析方案,获取网络告警信息,并根据网络告警信息生成目标攻击关系图;其中,目标攻击关系图由多个设备节点和多个有向边构建得到,每个有向边从一个设备节点指向另一个设备节点,每个有向边具有对应的边权重值;根据目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径;根据各候选攻击路径包括的至少一条有向边的边权重值,确定至少一个候选攻击路径中的目标攻击路径。采用上述技术方案,根据网络告警信息生成目标攻击关系图,基于该目标攻击关系图确定多个候选攻击路径,根据各候选攻击路径中有向边的边权重值确定目标攻击路径,实现了网络攻击路径的自动化确定,节省了人力,提升了效率,由于目标攻击关系图能够对网络告警信息的特征进行表征,实现了对网络告警信息的挖掘,降低了后续处理的数据量,进一步提高了网络攻击路径的确定效率,候选攻击路径能够覆盖从攻击源节点至攻击目标节点的各路径,提高了进行攻击路径分析的全面性和客观性,避免了人工分析的不稳定性,进而提升了攻击路径确定的准确性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种网络信息分析方法的流程示意图;
图2为本公开实施例提供的一种目标攻击关系图的示意图;
图3为本公开实施例提供的一种确定候选攻击路径的示意图;
图4为本公开实施例提供的另一种网络信息分析方法的流程示意图;
图5为本公开实施例提供的又一种网络信息分析方法的流程示意图;
图6为本公开实施例提供的又一种网络信息分析方法的流程示意图;
图7为本公开实施例提供的一种网络信息分析装置的结构示意图;
图8为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
随着互联网技术的发展,网络安全愈加重要,通过溯源分析以及攻击路径还原技术可以确定网络攻击的攻击源、攻击目标以及攻击路径等。
一种相关技术中,通过日志分析系统可以对网络日志进行分析,当检测到针对设备的攻击行为时产生相应的告警信息,专业人员再对该告警信息进行研判分析,从而确定攻击路径。但是,由于告警信息的信息量较大,对该告警信息进行分析会消耗较多的人力,使得告警信息的处理效率较低,并且由于不同专业人员具备的专业能力的不同,确定的攻击路径也可能不同,无法稳定且准确的确定攻击路径。
另一种相关技术中,可以通过脆弱点扫描工具对设备进行扫描,基于扫描结果构建状态攻防图,根据安全脆弱点评估系统确定状态攻防图中的成功概率和危害指数,基于该成功概率和危害指数确定攻击路径。但是,该方案中需要通过工具对每个设备进行全方位的扫描,该扫描的侧重性较差,效率较低。
为了解决上述问题,本公开实施例提供了一种网络信息分析方法,下面结合具体的实施例对该方法进行介绍。
图1为本公开实施例提供的一种网络信息分析方法的流程示意图,该方法可以由网络信息分析装置执行,其中该装置可以采用软件和/或硬件实现,一般可集成在电子设备中。如图1所示,该方法包括:
步骤101,获取网络告警信息,并根据网络告警信息生成目标攻击关系图;其中,目标攻击关系图由多个设备节点和多个有向边构建得到,每个有向边从一个设备节点指向另一个设备节点,每个有向边具有对应的边权重值。
本实施例对网络信息分析方法的应用场景不做限制,例如该方法可以应用于安全信息和事件管理(Security Information and Event Management,SIEM)系统中的网络攻击路径分析、溯源分析中。
本实施例中,网络告警信息可以为针对网络安全进行警告的信息,该网络告警信息可以为多个设备产生的、汇总至网络信息分析装置的信息,本实施例对该网络告警信息的数量不做限制,一条网络告警信息的组成内容包括但不限于:攻击发起的时间、攻击源设备、攻击目标设备、攻击属性信息中的一个或多个,攻击源设备可以为发起网络攻击的设备,攻击目标设备可以为被网络攻击的设备,攻击属性信息可以为表征网络攻击类型的信息,该攻击属性信息也可以为表征网络攻击阶段的信息。在设备运行的过程中,会产生记录网络安全相关信息的安全日志,网络告警信息可以为对预设时间段内的安全日志进行信息提取得到的信息。其中,从安全日志中提取网络告警信息的具体方案本实施例不做限制,例如可以通过日志分析系统从安全日志中抽取网络告警信息。
目标攻击关系图可以为表征设备之间攻击关系的有向无环图(Directed AcyclicGraph,DAG)。设备节点可以为目标攻击关系图中表征设备的顶点。有向边可以为具有方向的边,该有向边可以从一个设备节点指向另一个设备节点,其中,发出有向边的设备节点可以为发起网络攻击的攻击源节点,即攻击源节点可以为有向边的起点,有向边指向的设备节点可以为被网络攻击的攻击目标节点,即攻击目标节点可以为有向边的终点,该有向边可以为表征网络攻击的边。每个有向边可以对应有边权重值,该边权重值可以为表征有向边在确定目标攻击路径过程中重要程度的数值。
在本实施例中,网络信息分析装置可以采集多个设备产生的网络告警信息,并提取每条网络告警信息中的攻击源设备、攻击目标设备以及攻击属性信息,将攻击源设备映射为目标攻击关系图中发出有向边的节点,将攻击目标设备映射为目标攻击关系图中有向边指向的节点。进一步地,确定具有相同攻击源设备、相同攻击目标设备、相同攻击属性信息的网络攻击的发生次数,基于各网络攻击的发生次数确定有向边对应的边权重值。根据确定的设备节点以及设备节点之间的有向边组成目标攻击关系图,并且每个有向边存在对应的边权重值。
步骤102,根据目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径。
其中,目标起始节点可以为一个发起网络攻击的设备节点,目标终止节点可以为一个被网络攻击的设备节点,可以理解地,目标起始节点可以直接向目标终止节点发起网络攻击,目标起始节点也可以经由一个或多个设备节点向目标终止节点发起网络攻击。举例而言,若存在设备节点V1、设备节点V2、设备节点V5、设备节点V8,其中设备节点V1为目标起始节点,设备节点V8为目标终止节点,则设备节点V1可以直接向设备节点V8发起网络攻击,或者,设备节点V1可以攻击设备节点V2,之后设备节点V2攻击设备节点V5,之后设备节点V5攻击设备节点V8,从而实现从设备节点V1向设备节点V8的间接网络攻击。并且,该目标起始节点和目标终止节点的确定方法有多种,本实施例不做限制,例如该目标起始节点和目标终止节点可以为根据网络安全人员需求设置的设备节点。候选攻击路径可以理解为目标关系图中从目标起始节点至目标终止节点的关键路径。
在本实施例中,目标攻击关系图为有向无环图,可以计算该目标攻击关系图的拓扑序列,基于拓扑序列确定目标起始节点和目标终止节点之间的候选攻击路径。
在一些实施例中,目标起始节点为目标攻击关系图中入度为零的设备节点,目标终止节点为目标攻击关系图中出度为零的设备节点。其中,入度可以为目标攻击关系图中一个设备节点作为有向边的终点次数,出度可以为目标攻击关系图中一个设备节点作为有向边的起点次数。
在本实施例中,目标起始节点可以为目标攻击关系图中未作为有向边终点的设备节点,目标终止节点可以为目标攻击关系图中未作为有向边起点的设备节点。图2为本公开实施例提供的一种目标攻击关系图的示意图,如图2所示,图2中包括设备节点V1至设备节点V8,其中设备节点V1的入度为零,则设备节点V1为目标起始节点,设备节点V8的出度为零,则设备节点V8为目标终止节点。
在一些实施例中,根据目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径,包括:
将目标攻击关系图中目标起始节点以及目标起始节点连接的全部有向边删除,得到第一中间关系图;确定第一中间关系图的至少一个中间起始节点,并删除至少一个中间起始节点以及各中间起始节点连接的全部有向边,得到第二中间关系图,将第二中间关系图确定为新的第一中间关系图,返回执行确定新的第一中间关系图的至少一个中间起始节点,直到中间起始节点为目标终止节点时停止删除过程;根据删除过程中的中间起始节点的至少一个删除顺序,确定至少一条候选攻击路径,每个删除顺序对应一个候选攻击路径。
其中,第一中间关系图可以为目标攻击关系图中的部分节点以及部分有向边构建的有向无环图,第二中间关系图可以为第一中间关系图中的部分节点以及部分有向边构建的有向无环图。中间起始节点可以为第一中间关系图中入度为零的设备节点,对于第一中间关系图,该中间起始节点的数量可以为一个或多个。删除顺序可以为表征中间起始节点依次被删除的顺序。
在本实施例中,网络信息分析装置可以将目标攻击关系图中的目标起始节点以及以该目标起始节点作为起点的有向边均删除,得到第一中间关系图,将该第一中间关系图中入度为零的设备节点确定为中间起始节点,该中间起始节点的数量可以为一个或多个,删除其中的一个中间起始节点以及以该中间起始节点为起点或终点的有向边,保留其他的中间起始节点,得到第二中间关系图,将该第二中间关系图确定为新的第一中间关系图,并返回确定该新的第一中间关系图的至少一个中间起始节点。直至中间起始节点为目标终止节点时,停止删除。并且基于中间起始节点的依次删除顺序,确定从目标起始节点至目标终止节点的候选攻击路径。可以理解地,当其中一个删除过程中第一关系图中的中间起始节点的数量为多个时,可以获得目标起始节点与目标终止节点之间的多个候选路径。
举例而言,图3为本公开实施例提供的一种确定候选攻击路径的示意图,图3中,目标攻击关系图中包括设备节点V1至设备节点V8,其中,设备节点V1为目标起始节点,设备节点V8为目标终止节点。如图3所示,在确定候选攻击路径的过程中,首先将设备节点V1以及与V1相连的有向边删除,得到第一中间关系图,该第一中间关系图中设备节点V2和设备节点V3为入度为零的设备节点,可以将设备节点V2或设备节点V3作为中间起始节点,在本示例中,将设备节点V3作为中间起始节点,删除该设备节点V3以及与设备节点V3连接的有向边,获得第二中间关系图,将该第二中间关系图作为新的第一中间关系图,该第一中间关系图中设备节点V2和设备节点V4的入度为零,可以将设备节点V2或设备节点V4作为新的中间起始节点,在本示例中,将设备节点V4作为新的中间起始节点,删除设备节点V4以及与设备节点V4连接的有向边。以此类推,直至中间起始节点为目标终止节点时停止删除,根据目标起始节点、依次删除的中间起始节点、目标终止节点确定候选攻击路径。其中,一个候选攻击路径可以为{V1,V3,V4,V6,V7,V8},即设备节点V1攻击设备节点V3之后,设备节点V3攻击设备节点V4,之后设备节点V4攻击设备节点V6,之后设备节点V6攻击设备节点V7,之后设备节点V7攻击设备节点V8。
可以理解地,若在一个删除过程中需要从多个设备节点中选择被删除的中间起始节点,其中每种删除选择对应不同的候选攻击路径。以图2为例,该候选路径还可以包括:{V1,V3,V4,V6,V8}、{V1,V3,V4,V6,V7,V8}、{V1,V3,V5,V6,V8}、{V1,V3,V5,V6,V7,V8}、{V1,V2,V5,V6,V8}等。
步骤103,根据各候选攻击路径包括的至少一条有向边的边权重值,确定至少一个候选攻击路径中的目标攻击路径。
其中,目标攻击路径可以为最终确定的实际进行网络攻击过程中最有可能采用的攻击路径。在一些实施例中,该目标攻击路径可以为目标攻击关系图的关键路径中的最大加权关键路径,该目标攻击路径可以理解为在一个完整攻击过程生命周期中,攻击者最有可能使用的攻击路径。
在本实施例中,针对每个候选攻击路径,可以确定该候选攻击路径包括的一条或多条有向边,并确定该一条或多条有向边中每条有向边对应的边权重值,对该一个或多个边权重值进行计算,得到该候选攻击路径对应的路径权重值。其中,基于一个或多个边权重值确定边权重值的方法本实施例不做限制,例如可以对各边权重值进行加权求和,将求和结果作为路径权重值。在获得各候选攻击路径对应的路径权重值之后,基于该路径权重值,确定目标攻击路径。
图4为本公开实施例提供的另一种网络信息分析方法的流程示意图,如图4所示,在一些实施例中,根据各候选攻击路径包括的至少一条有向边的边权重值,确定至少一个候选攻击路径中的目标攻击路径,包括:
步骤401,将每个候选攻击路径包括的至少一条有向边的边权重值之和,确定为对应的路径权重值。
其中,路径权重值可以为表征攻击路径重要程度的参数。
在本实施例中,针对每个候选攻击路径,确定该候选攻击路径包括的至少一条有向边,并确定每个有向边的边权重值,计算该至少一个边权重值的和,将该和作为该候选攻击路径的路径权重值。
步骤402,将至少一个候选攻击路径中路径权重值最大的候选攻击路径确定为目标攻击路径。
在本实施例中,确定各候选攻击路径对应的路径权重值之后,可以确定路径权重值中的最大值,将该最大值对应的候选攻击路径作为目标攻击路径。
举例而言,继续以图2为例,候选攻击路径{V1,V3,V4,V6,V8}对应的路径权重值可以为10+4+15+20=49、候选攻击路径{V1,V3,V4,V6,V7,V8}对应的路径权重值可以为10+4+15+0+15=44、候选攻击路径{V1,V3,V5,V6,V8}对应的路径权重值可以为10+0+21+20=51、候选攻击路径{V1,V3,V5,V6,V7,V8}对应的路径权重值可以为10+0+21+0+15=46、候选攻击路径{V1,V2,V5,V6,V8}对应的路径权重值可以为5+4+21+20=50。以此类推,计算每个候选攻击路径的路径权重值,最终确定的路径权重值的最大值为51,则目标候选路径为{V1,V3,V5,V6,V8}。
上述方案中,从多个候选攻击路径中确定了进行网络攻击的可能性较大的目标攻击路径,从而基于该目标攻击路径可以有侧重点的进行网络安全性能的提升。
本公开实施例提供的网络信息分析方法,包括:获取网络告警信息,并根据网络告警信息生成目标攻击关系图;其中,目标攻击关系图由多个设备节点和多个有向边构建得到,每个有向边从一个设备节点指向另一个设备节点,每个有向边具有对应的边权重值;根据目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径;根据各候选攻击路径包括的至少一条有向边的边权重值,确定至少一个候选攻击路径中的目标攻击路径。采用上述技术方案,根据网络告警信息生成目标攻击关系图,基于该目标攻击关系图确定多个候选攻击路径,根据各候选攻击路径中有向边的边权重值确定目标攻击路径,实现了网络攻击路径的自动化确定,节省了人力,提升了效率,由于目标攻击关系图能够对网络告警信息的特征进行表征,实现了对网络告警信息的挖掘,降低了后续处理的数据量,进一步提高了网络攻击路径的确定效率,候选攻击路径能够覆盖从攻击源节点至攻击目标节点的各路径,提高了进行攻击路径分析的全面性和客观性,避免了人工分析的不稳定性,进而提升了攻击路径确定的准确性。
图5为本公开实施例提供的又一种网络信息分析方法的流程示意图,如图5所示,在本公开一些实施例中,根据网络告警信息生成目标攻击关系图,包括:
步骤501,解析网络告警信息,得到多个网络攻击事件。
其中,一个网络攻击事件可以表征设备节点之间的一次网络攻击,该网络攻击事件可以由网络攻击发生时间、攻击源设备、攻击目标设备、攻击属性信息等确定。
在本实施例中,可以通过事件抽取等技术对网络告警信息进行抽取,得到网络攻击事件。
步骤502,将多个网络攻击事件划分为多个攻击事件组,确定每个攻击事件组包括的网络攻击事件的事件数量。
其中,攻击事件组可以为基于攻击源设备、攻击目标设备、攻击属性信息确定的包括多个网络攻击事件的分组。
在本实施例中,根据攻击源设备、攻击目标设备、攻击属性信息对网络攻击事件进行分类,获得多个攻击事件组,并且统计每个攻击事件组中包括的网络攻击事件的事件数量,获得每个攻击事件组对应的事件数量。
步骤503,针对每个攻击事件组,将其中包括的两个设备确定为两个设备节点,并根据包括的至少一个网络攻击事件构建两个设备节点之间的有向边,将两个设备节点和有向边组合确定为该攻击事件组对应的单位攻击关系图。
其中,单位攻击关系图可以为从攻击源节点、攻击目标节点等多个维度对攻击事件组的特征进行表征的关系图,该单位攻击关系图可以理解为目标攻击关系图的一个组成单位。
在本实施例中,针对每个攻击事件组,可以将该攻击事件组涉及的两个设备映射为关系图中的设备节点,并根据事件组中的网络攻击事件中设备之间的网络攻击关系确定设备节点之间的有向边的方向,将有向边的起点设置为发起网络攻击的设备节点,有向边的终点设置为被网络攻击的设备节点。确定两个设备节点、设备节点之间的有向边之后,将该两个设备节点和有向边进行组合,得到该攻击事件组对应的单位攻击关系图。
在一些实施例中,该网络信息分析方法还包括:根据每个单位攻击关系图对应的攻击事件组的攻击属性信息,确定事件权重系数;将事件权重系数和事件数量的乘积确定为每个单位攻击关系图中有向边的边权重值。其中,事件权重系数可以表征属于同一攻击属性信息的网络攻击事件的重要程度。
在本实施例中,事件权重系数的确定方法有多种,例如,网络信息分析装置可以根据该攻击属性信息对应的数据在一个整体网络告警信息中的数据量占比,确定攻击属性信息对应的事件权重系数,或者,网络安全人员可以预先设置攻击属性信息和事件权重系数的属性权重对应关系。单位攻击关系图与攻击事件组相对应,一个攻击事件组中的网络攻击事件具有相同的攻击属性信息,根据攻击属性信息确定该攻击属性信息对应的事件权重系数。进一步的,将该攻击权重系数和攻击事件组中包括的网络攻击事件的时间数量相乘,将得到的乘积确定为该攻击事件组对应的单位攻击关系图中有向边的边权重值。
举例而言,以对抗性战术,技术和公共知识库(Adversarial Tactics,Techniques, and Common Knowledge,ATT&CK)为例,可以将ATT&CK中的攻击战术作为攻击属性信息,在本实施例中,该攻击战术的数量可以为9个,该9个攻击战术信息与事件权重系数的对应关系分别为:提取信息对应0.7、发现信息对应0.3、初始访问信息对应0.3、持久化信息对应0.7、横向移动信息对应0.7、凭据访问信息对应0.7、渗透信息对应0.3、采集信息对应0.3、命令控制信息对应0.7。举例而言,若由网络告警信息解析确定的一个攻击事件组中,该攻击事件组对应的攻击属性信息为持久化信息,该攻击事件组包括的事件数量为30,则对应的边权重值可以为0.7×30,该边权重值为21。
步骤504,将多个攻击事件组的多个单位攻击关系图组合得到目标攻击关系图。
在本实施例中,获得各攻击事件组对应的单位攻击关系图之后,可以将多个单位攻击关系图进行组合,具体地,可以判断两个单位攻击关系图中是否存在相同的设备节点,若存相同的设备节点,基于该相同的设备节点将两个单位攻击关系图进行组合,对每个单位攻击关系图进行上述组合操作,得到目标关系图。举例而言,若一个单位攻击关系图表征从设备节点V1发起至设备节点V2的网络攻击,另一个单位攻击关系图表征设备节点V2至设备节点V3的网络攻击,则可以根据两个单位攻击关系图中共同的设备节点V2建立从设备节点V1至设备节点V2,再从设备节点V2至设备节点V3的关系图。
在一些实施例中,该网络信息分析方法还包括:若攻击事件组的攻击属性信息不属于预设属性信息,则将攻击事件组对应的有向边的边权重值设置为零;其中,预设属性信息包括:提权信息、发现信息、初始访问信息、持久化信息、横向移动信息、凭据访问信息、渗透信息、采集信息、命令控制信息中的一种或多种。
其中,预设属性信息可以为预先设置的一个或多个攻击属性信息。提权信息又称提升权限信息,提权信息表征通过提升权限进行网络攻击的攻击手段。发现信息又称探索发现信息,发现信息表征通过发现软件运行过程中暴露的特定方面的内容进行网络攻击的进攻手段。初始访问信息表征通过入口向量在网络中获得初始立足点的攻击手段。持久化信息表征将网络攻击的登录过程持久化的攻击手段。横向移动信息表征针对网络的不同系统进行网络攻击,从而达到控制整个网络的目的的攻击手段。凭据访问信息表征通过凭据进行系统登录的攻击手段。渗透信息又称数据渗透信息,渗透信息表征通过数据渗透实现网络攻击的手段。采集信息又称收集信息,采集信息表征通过发现和收集数据进行网络攻击的手段。命令控制信息表征通过命令和控制权进行数据渗透实现网络攻击的手段。
在本实施例中,获取攻击事件组的攻击属性信息,并判断该攻击属性信息是否属于预设属性信息,若属于,则将攻击事件组的事件权重系数和攻击事件组包括的事件数量的乘积,作为该有向边的边权重值;否则,将边权重值置为0。基于预设属性信息确定了边权重值为0的有向边,从而能够在目标攻击关系图中区分出两个设备节点之间存在网络攻击关系但该网络攻击关系重要性较低,以及两个设备节点之间不存在网络攻击关系的情况。举例而言,如图2所示,设备节点V3和设备节点V5之间有向边的边权重值为0,表征设备节点V3和设备节点V5之间存在网络攻击,但是该网络攻击在计算路径权重值的过程中重要性较低。设备节点V3和设备节点V6之间不存在有向边,则该两个设备节点之间不存在网络攻击。
从而,通过根据预设属性信息确定边权重值为0的有向边,能够更准确的在目标攻击关系图中表示各设备节点之间的攻击关系,从而提高了最终计算的目标攻击路径的准确性。
上述方案中,通过对网络告警信息进行提取,获得能够表征一个攻击事件组的单位攻击关系图,并基于多个单位攻击关系图生成目标攻击关系图,从而提取了网络告警信息中重要性较高的信息,同时通过目标攻击关系图使得网络攻击中设备之间的攻击关系更为清晰。
接下来通过一个具体的示例对本公开实施例中的网络信息分析方法,进行进一步说明。图6为本公开实施例提供的又一种网络信息分析方法的流程示意图,如图6所示,该网络信息分析方法包括:
步骤601,提取网络告警信息中的网络攻击事件,并将网络攻击事件划分为多个攻击事件组,确定每个攻击事件组的事件数量和攻击属性信息,根据攻击属性信息确定事件权重系数,将事件权重系数和事件数量的乘积作为网络攻击事件对应的有向边的边权重值。
具体地,获取网络攻击信息,提取网络告警信息中的攻击源设备、攻击目标设备、攻击属性信息等,获得多个网络攻击事件。将网络攻击事件按照攻击源设备、攻击目标设备、攻击属性信息进行聚合,获得多个攻击事件组,统计并每个攻击事件组的事件数量。
进一步地,按照攻击属性信息在一个完整攻击过程生命周期中的占比确定事件权重系数,针对每个网络攻击事件组,将该网络攻击事件组对应的事件权重系数和事件数量的乘积作为边权重值。
步骤602,确定每个攻击事件组对应的单位攻击关系图,根据多个单位攻击关系图组成目标攻击关系图。
具体地,根据多个攻击事件组对应的多个单位攻击关系图构造有向无环图G,G=(V,E),该有向无环图即为目标攻击关系图。
其中,V为由设备节点组成的集合,该设备节点包括发起网络攻击的设备节点和被网络攻击的设备节点。E为有向边组成的集合,有向边可以表示为E={(u,v,weight)|u∈V,v∈V},其中,u可以为发起网络攻击的设备节点,v可以为被网络攻击的设备节点,weight可以为有向边对应的边权重值。
步骤603,将目标攻击关系图中入度为零的设备节点确定为目标起始节点,将目标关系图中出度为零的设备节点确定为目标终止节点,并计算目标关系图的拓扑序列。
具体地,从目标攻击关系图中选取一个入度为0的点作为目标起始节点,并计算目标攻击关系图的拓扑序列,拓扑序列VT可以为:VT=topo_order(G),其中topo_order()为计算拓扑序列的函数,G为目标攻击关系图。
步骤604,根据拓扑序列确定多条候选攻击路径,并确定多条候选攻击路径中的目标攻击路径。
具体地,在目标攻击关系图中依据拓扑序列VT的排序顺序,获取所有候选攻路径P,P={(u1,u2,…un), (v1,v2,…vn)|u∈VT, v∈VT}。其中,u1,u2,…un表示发起网络攻击的设备节点,v1,v2,…vn表示被网络攻击的设备节点,VT表示拓扑序列,计算各候选攻击路径的路径权重值,将路径权重值中的最大值对应的候选攻击路径作为目标攻击路径critical_path,其中,critical_path=max_weight(P),max_weight()为确定最大路径权重值的函数,P为候选攻击路径集合。
上述方案中,实现了基于大量安全日志的攻击路径自动分析挖掘,可以显著的提高网络攻击分析的效率。并且,基于数据分层和图算法分析,降低了数据处理的复杂程度,也为后续的灵活扩展提供了基础。
图7本公开实施例提供的一种网络信息分析装置的结构示意图,该装置可由软件和/或硬件实现,一般可集成在电子设备中。如图7所示,该装置包括:
获取模块701,用于获取网络告警信息,并根据所述网络告警信息生成目标攻击关系图;其中,所述目标攻击关系图由多个设备节点和多个有向边构建得到,每个所述有向边从一个设备节点指向另一个设备节点,每个所述有向边具有对应的边权重值;
第一确定模块702,用于根据所述目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径;
第二确定模块703,用于根据各所述候选攻击路径包括的至少一条有向边的边权重值,确定所述至少一个候选攻击路径中的目标攻击路径。
可选的,所述获取模块701,用于:
解析所述网络告警信息,得到多个网络攻击事件;
将所述多个网络攻击事件划分为多个攻击事件组,确定每个所述攻击事件组包括的网络攻击事件的事件数量;
针对每个所述攻击事件组,将其中包括的两个设备确定为两个设备节点,并根据包括的至少一个网络攻击事件构建所述两个设备节点之间的有向边,将所述两个设备节点和所述有向边组合确定为该攻击事件组对应的单位攻击关系图;
将所述多个攻击事件组的多个单位攻击关系图组合得到所述目标攻击关系图。
可选的,所述装置还包括:
第三确定模块,用于根据每个所述单位攻击关系图对应的攻击事件组的攻击属性信息,确定事件权重系数;
第四确定模块,用于将所述事件权重系数和所述事件数量的乘积确定为每个所述单位攻击关系图中有向边的边权重值。
可选地,所述装置还包括:
设置模块,用于若所述攻击事件组的攻击属性信息不属于预设属性信息,则将所述攻击事件组对应的有向边的边权重值设置为零;其中,所述预设属性信息包括一下至少一种:提权信息、发现信息、初始访问信息、持久化信息、横向移动信息、凭据访问信息、渗透信息、采集信息、命令控制信息。
可选地,所述目标起始节点为所述目标攻击关系图中入度为零的设备节点,所述目标终止节点为所述目标攻击关系图中出度为零的设备节点。
可选地,所述第一确定模块702,用于:
将所述目标攻击关系图中所述目标起始节点以及所述目标起始节点连接的全部有向边删除,得到第一中间关系图;
确定所述第一中间关系图的至少一个中间起始节点,并删除所述至少一个中间起始节点以及各所述中间起始节点连接的全部有向边,得到第二中间关系图,将所述第二中间关系图确定为新的第一中间关系图,返回执行所述确定所述新的第一中间关系图的至少一个中间起始节点,直到中间起始节点为所述目标终止节点时停止删除过程;
根据所述删除过程中的中间起始节点的至少一个删除顺序,确定至少一条候选攻击路径,每个所述删除顺序对应一个所述候选攻击路径。
可选地,所述第二确定模块703,用于:
将每个所述候选攻击路径包括的至少一条有向边的边权重值之和,确定为对应的路径权重值;
将所述至少一个候选攻击路径中路径权重值最大的候选攻击路径确定为目标攻击路径。
本公开实施例所提供的网络信息分析装置可执行本公开任意实施例所提供的网络信息分析方法,具备执行方法相应的功能模块和有益效果。
图8为本公开实施例提供的一种电子设备的结构示意图。如图8所示,电子设备800包括一个或多个处理器801和存储器802。
处理器801可以是中央处理单元(CPU)或者具有网络信息分析能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备800中的其他组件以执行期望的功能。
存储器802可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器801可以运行所述程序指令,以实现上文所述的本公开的实施例的网络信息分析方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
在一个示例中,电子设备800还可以包括:输入装置803和输出装置804,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入装置803还可以包括例如键盘、鼠标等等。
该输出装置804可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出装置804可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图8中仅示出了该电子设备800中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备800还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的网络信息分析方法。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的网络信息分析方法。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种网络信息分析方法,其特征在于,包括:
解析网络告警信息,得到多个网络攻击事件;将所述多个网络攻击事件划分为多个攻击事件组,确定每个所述攻击事件组包括的网络攻击事件的事件数量;针对每个所述攻击事件组,将其中包括的两个设备确定为两个设备节点,并根据包括的至少一个网络攻击事件构建所述两个设备节点之间的有向边,将所述两个设备节点和所述有向边组合确定为该攻击事件组对应的单位攻击关系图;将所述多个攻击事件组的多个单位攻击关系图组合得到目标攻击关系图;其中,所述目标攻击关系图由多个设备节点和多个有向边构建得到,每个所述有向边从一个设备节点指向另一个设备节点;
根据每个所述单位攻击关系图对应的攻击事件组的攻击属性信息,确定事件权重系数;将所述事件权重系数和所述事件数量的乘积确定为每个所述单位攻击关系图中有向边的边权重值;其中,每个所述有向边具有对应的边权重值;
根据所述目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径;
根据各所述候选攻击路径包括的至少一条有向边的边权重值,确定所述至少一个候选攻击路径中的目标攻击路径。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述攻击事件组的攻击属性信息不属于预设属性信息,则将所述攻击事件组对应的有向边的边权重值设置为零;其中,所述预设属性信息包括以下 至少一种:提权信息、发现信息、初始访问信息、持久化信息、横向移动信息、凭据访问信息、渗透信息、采集信息、命令控制信息。
3.根据权利要求1所述的方法,其特征在于,所述目标起始节点为所述目标攻击关系图中入度为零的设备节点,所述目标终止节点为所述目标攻击关系图中出度为零的设备节点。
4.根据权利要求1所述的方法,其特征在于,所述根据所述目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径,包括:
将所述目标攻击关系图中所述目标起始节点以及所述目标起始节点连接的全部有向边删除,得到第一中间关系图;
确定所述第一中间关系图的至少一个中间起始节点,并删除所述至少一个中间起始节点以及各所述中间起始节点连接的全部有向边,得到第二中间关系图,将所述第二中间关系图确定为新的第一中间关系图,返回执行所述确定所述新的第一中间关系图的至少一个中间起始节点,直到中间起始节点为所述目标终止节点时停止删除过程;
根据所述删除过程中的中间起始节点的至少一个删除顺序,确定至少一条候选攻击路径,每个所述删除顺序对应一个所述候选攻击路径。
5.根据权利要求1所述的方法,其特征在于,所述根据各所述候选攻击路径包括的至少一条有向边的边权重值,确定所述至少一个候选攻击路径中的目标攻击路径,包括:
将每个所述候选攻击路径包括的至少一条有向边的边权重值之和,确定为对应的路径权重值;
将所述至少一个候选攻击路径中路径权重值最大的候选攻击路径确定为目标攻击路径。
6.一种网络信息分析装置,其特征在于,包括:
获取模块,用于解析网络告警信息,得到多个网络攻击事件;将所述多个网络攻击事件划分为多个攻击事件组,确定每个所述攻击事件组包括的网络攻击事件的事件数量;针对每个所述攻击事件组,将其中包括的两个设备确定为两个设备节点,并根据包括的至少一个网络攻击事件构建所述两个设备节点之间的有向边,将所述两个设备节点和所述有向边组合确定为该攻击事件组对应的单位攻击关系图;将所述多个攻击事件组的多个单位攻击关系图组合得到目标攻击关系图;其中,所述目标攻击关系图由多个设备节点和多个有向边构建得到,每个所述有向边从一个设备节点指向另一个设备节点;
权重确定模块,用于根据每个所述单位攻击关系图对应的攻击事件组的攻击属性信息,确定事件权重系数;将所述事件权重系数和所述事件数量的乘积确定为每个所述单位攻击关系图中有向边的边权重值;其中,每个所述有向边具有对应的边权重值;
第一确定模块,用于根据所述目标攻击关系图,确定目标起始节点到目标终止节点之间的至少一条候选攻击路径;
第二确定模块,用于根据各所述候选攻击路径包括的至少一条有向边的边权重值,确定所述至少一个候选攻击路径中的目标攻击路径。
7.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求1-5中任一所述的网络信息分析方法。
8.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1-5中任一所述的网络信息分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211154594.2A CN115242614B (zh) | 2022-09-22 | 2022-09-22 | 网络信息分析方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211154594.2A CN115242614B (zh) | 2022-09-22 | 2022-09-22 | 网络信息分析方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115242614A CN115242614A (zh) | 2022-10-25 |
CN115242614B true CN115242614B (zh) | 2023-01-10 |
Family
ID=83667231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211154594.2A Active CN115242614B (zh) | 2022-09-22 | 2022-09-22 | 网络信息分析方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115242614B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599855A (zh) * | 2008-11-10 | 2009-12-09 | 南京大学 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
CN109194693A (zh) * | 2018-10-30 | 2019-01-11 | 福州大学 | 一种网络攻击模式图的生成方法 |
EP3490223A1 (en) * | 2017-11-24 | 2019-05-29 | Bayerische Motoren Werke Aktiengesellschaft | System and method for simulating and foiling attacks on a vehicle on-board network |
CN110138764A (zh) * | 2019-05-10 | 2019-08-16 | 中北大学 | 一种基于层次攻击图的攻击路径分析方法 |
CN113037776A (zh) * | 2021-04-01 | 2021-06-25 | 国网河北省电力有限公司电力科学研究院 | 一种电力系统信息资产安全监控方法 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113676484A (zh) * | 2021-08-27 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
-
2022
- 2022-09-22 CN CN202211154594.2A patent/CN115242614B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599855A (zh) * | 2008-11-10 | 2009-12-09 | 南京大学 | 基于攻击模式建模的复合攻击关联及攻击场景构建方法 |
EP3490223A1 (en) * | 2017-11-24 | 2019-05-29 | Bayerische Motoren Werke Aktiengesellschaft | System and method for simulating and foiling attacks on a vehicle on-board network |
CN109194693A (zh) * | 2018-10-30 | 2019-01-11 | 福州大学 | 一种网络攻击模式图的生成方法 |
CN110138764A (zh) * | 2019-05-10 | 2019-08-16 | 中北大学 | 一种基于层次攻击图的攻击路径分析方法 |
CN113179241A (zh) * | 2021-03-01 | 2021-07-27 | 西安理工大学 | 一种基于时序关联性分析的多步攻击表征方法 |
CN113037776A (zh) * | 2021-04-01 | 2021-06-25 | 国网河北省电力有限公司电力科学研究院 | 一种电力系统信息资产安全监控方法 |
CN113676484A (zh) * | 2021-08-27 | 2021-11-19 | 绿盟科技集团股份有限公司 | 一种攻击溯源方法、装置和电子设备 |
Non-Patent Citations (1)
Title |
---|
"一种基于ATI 的网络攻击路径预测方法";王辉,等;《计算机工程》;20160930;第42卷(第9期);第3部分 * |
Also Published As
Publication number | Publication date |
---|---|
CN115242614A (zh) | 2022-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111078513B (zh) | 日志处理方法、装置、设备、存储介质及日志告警系统 | |
CN111221625A (zh) | 文件检测方法、装置及设备 | |
KR102230441B1 (ko) | 보안 취약점 진단 결과를 기반으로 보안 조치 보고서를 생성하는 방법, 장치 및 프로그램 | |
CN114491513B (zh) | 基于知识图谱的区块链智能合约重入攻击检测系统与方法 | |
CN113515464B (zh) | 基于linux系统的蜜罐测试方法及装置 | |
CN109101234B (zh) | 确定页面与业务模块之间对应关系的方法及装置 | |
CN113886821A (zh) | 基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质 | |
CN115242614B (zh) | 网络信息分析方法、装置、设备及介质 | |
CN115146263B (zh) | 用户账号的失陷检测方法、装置、电子设备及存储介质 | |
US20130204839A1 (en) | Validating Files Using a Sliding Window to Access and Correlate Records in an Arbitrarily Large Dataset | |
CN115208938B (zh) | 用户行为管控方法及装置、计算机可读存储介质 | |
CN114817377B (zh) | 基于用户画像的数据风险检测方法、装置、设备及介质 | |
CN112632423B (zh) | Url提取方法及装置 | |
CN113656292B (zh) | 一种多维度跨时空基础软件性能瓶颈检测方法 | |
CN114338187A (zh) | 基于决策树的终端安全检测方法及装置 | |
CN114528552A (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
CN111770080A (zh) | 一种设备指纹的恢复方法及装置 | |
CN112750047A (zh) | 行为关系信息提取方法及装置、存储介质、电子设备 | |
CN116483735B (zh) | 一种代码变更的影响分析方法、装置、存储介质及设备 | |
CN115150052B (zh) | 攻击团伙的跟踪识别方法、装置、设备及存储介质 | |
US20220253529A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN113535594B (zh) | 业务场景测试用例的生成方法、装置、设备和存储介质 | |
CN115664863A (zh) | 一种网络攻击事件处理方法、装置、存储介质及设备 | |
Ni et al. | Sardine: A Threat-Aware Compression and Querying System | |
CN118233169A (zh) | 威胁事件溯源方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |