CN115733646A - 网络安全威胁评估方法、装置、设备及可读存储介质 - Google Patents
网络安全威胁评估方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN115733646A CN115733646A CN202111018442.5A CN202111018442A CN115733646A CN 115733646 A CN115733646 A CN 115733646A CN 202111018442 A CN202111018442 A CN 202111018442A CN 115733646 A CN115733646 A CN 115733646A
- Authority
- CN
- China
- Prior art keywords
- network
- threat
- asset
- information
- security threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全威胁评估方法、装置、设备及可读存储介质,其中,方法包括:基于网络安全知识体系确定网络安全知识图谱,获取已有的网络资产管理系统对应的网络资产信息,基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告。本发明实现了威胁评估报告的自动生成,大大降低了人工操作成本,提高了输出威胁评估报告的效率,同时通过网络安全知识图谱以及网络资产拓扑图进行威胁评估,提高了网络安全评估的准确性和全面性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全威胁评估方法、装置、设备及可读存储介质。
背景技术
随着网络技术的高速发展,网络在人们的生活和工作中得到广泛应用。网络安全维护是网络技术的重要组成部分,其能为用户提供安全稳定的网络环境,是基于网络开展的各类活动顺利进行的重要保障。
目前,对于已知的网络安全威胁,已形成了成熟的威胁检测方案和检测系统,检测内容涵盖多个方面。而网络安全威胁评估主要是利用检测系统的检测结果(包括识别出的网络攻击和相应的告警),由安全工作人员基于这些检测结果完成告警信息筛选、网络资产关联分析、威胁评估等工作。然而,随着网络资产数量日益庞大,威胁攻击数量和种类越来越多,人工分析评估的工作量和难度越来越大,导致网络安全威胁评估的效率低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种网络安全威胁评估方法、装置、设备及可读存储介质,旨在解决网络安全威胁评估的效率低的技术问题。
为实现上述目的,本发明提供一种网络安全威胁评估方法,所述网络安全威胁评估方法包括以下步骤:
基于网络安全知识体系确定网络安全知识图谱,其中,所述网络安全知识图谱包括网络安全威胁实体、网络安全威胁实体之间的关系以及网络安全威胁实体的属性信息;
获取已有的网络资产管理系统对应的网络资产信息,获取网络资产信息中各个网络资产的IP地址或端口信息,基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系;
基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;
获取网络安全威胁对应的告警信息,基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告。
进一步地,所述确定所述网络安全威胁知识图对应的威胁评估报告的步骤包括:
基于安全推理模型以及历史网络安全威胁知识图集合,对所述网络安全威胁知识图进行网络安全威胁评估,获得所述网络安全威胁知识图对应的威胁评估报告,其中,所述威胁评估报告包括攻击路线、预测攻击路线以及威胁攻击的风险值。
进一步地,所述基于安全推理模型以及历史网络安全威胁知识图集合,对所述网络安全威胁知识图进行网络安全威胁评估,获得所述网络安全威胁知识图对应的威胁评估报告的步骤包括:
获取网络安全威胁知识图中的目标节点,基于所述安全推理模型以及历史网络安全威胁知识图集合,确定所述目标节点对应的攻击路线;
基于所述攻击路线以及网络安全威胁知识图进行预测,得到预测攻击路线;
基于所述攻击路线、所述预测攻击路线所述安全推理模型以及历史网络安全威胁知识图集合,确定各个攻击路线对应威胁攻击的风险值;
基于所述攻击路线、所述预测攻击路线以及威胁攻击的风险值,生成威胁评估报告。
进一步地,所述基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图的步骤包括:
基于所述网络安全知识图谱,确定所述告警信息对应的威胁攻击实体、网络资产实体及连接关系,基于所述威胁攻击实体、网络资产实体及连接关系确定初始网络安全威胁知识图;
在所述网络资产拓扑图中获取各个网络资产实体对应的关联网络资产,基于所述网络资产实体以及关联网络资产,确定各个网络资产实体对应的资产子图,其中,所述资产子图的根节点为所述网络资产实体;
对于每一个资产子图,遍历所述资产子图,在威胁攻击实体的属性信息与当前遍历的网络资产的属性信息匹配时,基于当前遍历的网络资产在所述初始网络安全威胁知识图中添加所述资产子图对应的网络资产实体的子节点,在初始网络安全威胁知识图中设置威胁攻击实体与当前遍历的网络资产的连接关系,并将当前遍历的网络资产添加至威胁相关资产集合;
基于网络安全知识图谱,获取所述威胁攻击实体对应的关联威胁攻击实体集合,并确定关联威胁攻击实体集合中各个威胁攻击实体的因果关系;
确定关联威胁攻击实体集合的威胁攻击实体中与威胁相关资产集合中的网络资产关联的威胁攻击实体,并在初始网络安全威胁知识图中添加所述威胁攻击实体对应的节点,获得网络安全威胁知识图。
进一步地,所述获取网络安全威胁对应的告警信息的步骤包括:
获取网络安全威胁告警信息,对所述网络安全威胁告警信息进行过滤操作,获得过滤后的网络安全威胁告警信息;
确定过滤后的网络安全威胁告警信息真实威胁攻击,并将真实威胁攻击作为所述告警信息。
进一步地,所述网络安全威胁评估方法还包括:
定时基于所述网络资产管理系统获取所述网络资产信息对应的资产变更信息;
获取所述资产变更信息对应的网络资产的第二通达关系以及第二连接关系;
基于所述资产变更信息中网络资产的属性信息、所述第二通达关系以及所述第二连接关系,更新所述网络资产拓扑图。
进一步地,所述网络安全威胁评估方法还包括:
定时获取网络安全威胁情报数据源,并从所述网络安全威胁情报数据源获取威胁情报数据;
基于网络安全知识字典对所述威胁情报数据进行筛选,获得筛选后的威胁情报数据;
基于预设属性映射关系对第一威胁情报数据进行处理,得到第一数据,其中,第一威胁情报数据为筛选后的威胁情报数据中的结构化数据;
对第一威胁情报数据进行监督学习,得到第二数据,其中,第二威胁情报数据为筛选后的威胁情报数据中的半结构化数据以及非结构化数据;
基于所述第一数据以及所述第二数据更新所述网络安全知识图谱。
此外,为实现上述目的,本发明还提供一种网络安全威胁评估装置,所述网络安全威胁评估装置包括:
第一确定模块,用于基于网络安全知识体系确定网络安全知识图谱,其中,所述网络安全知识图谱包括网络安全威胁实体、网络安全威胁实体之间的关系以及网络安全威胁实体的属性信息;
获取模块,用于获取已有的网络资产管理系统对应的网络资产信息,获取网络资产信息中各个网络资产的IP地址或端口信息,基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系;
第二确定模块,用于基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;
评估模块,用于获取网络安全威胁对应的告警信息,基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告。
此外,为实现上述目的,本发明还提供一种网络安全威胁评估设备,所述网络安全威胁评估设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全威胁评估程序,所述网络安全威胁评估程序被所述处理器执行时实现前述的网络安全威胁评估方法的步骤。
此外,为实现上述目的,本发明还提供一种可读存储介质,所述可读存储介质上存储有网络安全威胁评估程序,所述网络安全威胁评估程序被处理器执行时实现前述的网络安全威胁评估方法的步骤。
本发明通过基于网络安全知识体系确定网络安全知识图谱,其中,所述网络安全知识图谱包括网络安全威胁实体、网络安全威胁实体之间的关系以及网络安全威胁实体的属性信息;接着获取已有的网络资产管理系统对应的网络资产信息,获取网络资产信息中各个网络资产的IP地址或端口信息,并基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系,而后基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;然后获取网络安全威胁对应的告警信息,基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告,实现了威胁评估报告的自动生成,大大降低了人工操作成本,提高了输出威胁评估报告的效率,同时通过网络安全知识图谱以及网络资产拓扑图进行威胁评估,提高了网络安全评估的准确性和全面性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境中网络安全威胁评估设备的结构示意图;
图2为本发明网络安全威胁评估方法第一实施例的流程示意图;
图3为本发明网络安全威胁评估装置一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境中网络安全威胁评估设备的结构示意图。
本发明实施例网络安全威胁评估设备可以是PC。如图1所示,该网络安全威胁评估设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,网络安全威胁评估设备还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。当然,网络安全威胁评估设备还可配置气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的终端结构并不构成对网络安全威胁评估设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络安全威胁评估程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的网络安全威胁评估程序。
在本实施例中,网络安全威胁评估设备包括:存储器1005、处理器1001及存储在所述存储器1005上并可在所述处理器1001上运行的网络安全威胁评估程序,其中,处理器1001调用存储器1005中存储的网络安全威胁评估程序时,并执行以下各个实施例中网络安全威胁评估方法的步骤。
本发明还提供一种网络安全威胁评估方法,参照图2,图2为本发明网络安全威胁评估方法第一实施例的流程示意图。
本实施例中,该网络安全威胁评估方法包括以下步骤:
步骤S101,基于网络安全知识体系确定网络安全知识图谱,其中,所述网络安全知识图谱包括网络安全威胁实体、网络安全威胁实体之间的关系以及网络安全威胁实体的属性信息;
本实施例中,基于网络安全知识体系确定网络安全知识图谱,具体地,基于网络安全知识体系和安全领域专家知识,采用自顶而下的方式构建网络安全知识图谱,并将网络安全知识图谱存储在数据库中,数据库存储的内容包括网络安全威胁实体、网络安全威胁实体的属性信息、网络安全威胁实体之间的关系。网络安全威胁实体主要分为威胁攻击和网络资产两大类。
其中,威胁攻击根据攻击类型可分为漏洞、弱口令、僵木蠕、DDoS、加密劫持、命令注入、勒索病毒等等。不同类型的威胁攻击,根据攻击代号或版本再做细分。威胁攻击实体主要包含攻击目标、攻击原因、攻击模式、相关案例、危害影响、预防措施、应急响应等属性信息。
网络资产主要根据系统、端口、服务、应用程序等类型进行划分,网络资产包括操作系统类型与版本、端口号、服务名、应用程序名称与版本、域名、IP等属性信息。
网络安全威胁实体之间的关系主要分为两大类:一种是威胁攻击与网络资产之间的关系,网络资产作为威胁事件的攻击目标,两者存在关联;一种是不同威胁攻击之间的联系,不同的威胁事件存在攻击先后的因果关系。
步骤S102,获取已有的网络资产管理系统对应的网络资产信息,获取网络资产信息中各个网络资产的IP地址或端口信息,基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系;
本实施例中,先根据已有的网络资产管理系统,获取网络资产信息,网络资产信息中的网络资产主要分为终端、应用程序和服务等,应用程序和服务运行在终端上。终端主要包括联网的主机、服务器和设备。应用程序主要包括系统自带的程序和自行安装的程序,如数据库软件、办公软件、防病毒软件等等。服务包括web服务、FTP、远程桌面、VNC、API接口服务等。终端对应的属性信息主要包括名称、系统类型、系统版本、补丁信息、IP、IP组、防火墙规则、运行状态、负责人、归属、运行的服务、安装的程序等。应用程序对应的属性信息主要包括应用程序名称、版本号、调用的服务/组件、端口、运行状态、负责人、归属等。服务对应的属性信息主要包括服务名称、类型、版本、运行状态、端口号、域名、负责人、归属、调用的服务等。
接着,获取网络资产信息中各个网络资产的IP地址或端口信息,并基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,其中,第一通达关系为网络资产之间的数据传输关系等。并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系,第一连接关系包括网络资产之间的调用关系以及归属关系,例如,终端A的应用程序属于终端B提供的服务等。
步骤S103,基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;
本实施例中,在获取到第一连接关系以及第一通达关系时,基于网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图,具体地,网络资产拓扑图的节点为各个网络资产,节点的属性信息为网络资产的属性信息,网络资产拓扑图中的各个节点通过第一通达关系以及所述第一连接关系进行连线。
步骤S104,获取网络安全威胁对应的告警信息,基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告。
本实施例中,先获取网络安全威胁对应的告警信息,具体地,收集所有网络安全检测系统和其他途径发送的告警信息,对收集的信息进行处理得到网络安全威胁对应的告警信息。
而后,基于所述告警信息、网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并根据网络安全威胁知识图确定威胁评估报告,能够自动生成威胁评估报告,大大降低了人工操作成本,提高了输出威胁评估报告的效率。
进一步地,在一实施例中,该步骤S104包括:
基于安全推理模型以及历史网络安全威胁知识图集合,对所述网络安全威胁知识图进行网络安全威胁评估,获得所述网络安全威胁知识图对应的威胁评估报告,其中,所述威胁评估报告包括攻击路线、预测攻击路线以及威胁攻击的风险值。
本实施例中,先获取历史网络安全威胁知识图集合以及安全推理模型(安全专家推理模型),基于安全推理模型构建网络安全威胁评估模型,基于历史网络安全威胁知识图集合训练网络安全威胁评估模型,得到目标模型,将网络安全威胁知识图输入目标模型进行模型训练,获得网络安全威胁知识图对应的威胁评估报告,进而通过模型对网络安全威胁知识图进行威胁评估,进一步提升网络安全评估的效率。
本实施例提出的网络安全威胁评估方法,通过基于网络安全知识体系确定网络安全知识图谱,其中,所述网络安全知识图谱包括网络安全威胁实体、网络安全威胁实体之间的关系以及网络安全威胁实体的属性信息;接着获取已有的网络资产管理系统对应的网络资产信息,获取网络资产信息中各个网络资产的IP地址或端口信息,并基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系,而后基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;然后获取网络安全威胁对应的告警信息,基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告,实现了威胁评估报告的自动生成,大大降低了人工操作成本,提高了输出威胁评估报告的效率,同时通过网络安全知识图谱以及网络资产拓扑图进行威胁评估,提高了网络安全评估的准确性和全面性。
基于第一实施例,提出本发明网络安全威胁评估方法的第二实施例,在本实施例中,步骤S104包括:
步骤S201,获取网络安全威胁知识图中的目标节点,基于所述安全推理模型以及历史网络安全威胁知识图集合,确定所述目标节点对应的攻击路线,并基于所述攻击路线确定溯源攻击路线图;
步骤S202,基于所述攻击路线以及网络安全威胁知识图进行预测,得到预测攻击路线;
步骤S203,基于所述攻击路线、所述预测攻击路线所述安全推理模型以及历史网络安全威胁知识图集合,确定各个攻击路线对应威胁攻击的风险值;
步骤S204,基于所述攻击路线、所述预测攻击路线以及威胁攻击的风险值,生成威胁评估报告。
本实施例中,先获取历史网络安全威胁知识图集合以及安全推理模型(安全专家推理模型),基于安全推理模型构建网络安全威胁评估模型,基于历史网络安全威胁知识图集合训练网络安全威胁评估模型,得到目标模型,将网络安全威胁知识图输入目标模型进行模型训练,目标模型获取网络安全威胁知识图中的目标节点以及节点之间的因果关系,该目标节点包括网络安全威胁知识图中已受影响的网络资产节点以及威胁攻击节点,该目标模型根据目标节点以及节点之间的因果关系确定所述目标节点对应的可能攻击路线(所有可能的攻击路线),并计算各个可能攻击路线的置信度,根据置信度在可能攻击路线中确定攻击路线,例如,将可能攻击路线中置信度大于预设值的路线作为攻击路线。同时,还可以基于攻击路线确定溯源攻击路线图。根据攻击路线图能快速定位所有已受到威胁攻击影响的网络资产,列出网络资产受攻击的原因、负责人、应采取的应急措施等内容。
在获取到攻击路线时,目标模型基于所述攻击路线以及网络安全威胁知识图进行预测,得到预测攻击路线,具体地,目标模型根据攻击路线向后跟踪,分析所有可能的后续攻击路线,并基于所有可能的后续攻击路线的置信度,在所有可能的后续攻击路线确定预测攻击路线。根据预测攻击路线定位后续可能受到影响的网络资产,列出网络资产受影响的原因、可能性、负责人、防御措施等内容。
接着,基于所述攻击路线、所述预测攻击路线所述安全推理模型以及历史网络安全威胁知识图集合,确定各个攻击路线对应威胁攻击的风险值;具体地,模板模型分析评估威胁攻击全链路(攻击路线以及预测攻击路线)中涉及的网络资产的重要性、受影响严重程度、威胁的等级、威胁扩散范围、已经造成的损失、可能造成的影响等,输出每项的评估结果,根据每项的评估结果进行加权求和得出威胁攻击的风险值,同时还可以根据风险值进行安全事件定级。
最后,基于所述攻击路线、所述预测攻击路线以及威胁攻击的风险值,生成威胁评估报告。根据威胁评估报告中的攻击路线,安全工作人员能及时通知相关负责人采取应急响应措施,真正做到威胁攻击消杀无死角。根据威胁评估报告中的预测攻击路线,安全工作人员能及时通知相关负责人启动预防措施,遏止威胁攻击的进一步扩散。
本实施例提出的网络安全威胁评估方法,通过获取网络安全威胁知识图中的目标节点,基于所述安全推理模型以及历史网络安全威胁知识图集合,确定所述目标节点对应的攻击路线,并基于所述攻击路线确定溯源攻击路线图;接着基于所述攻击路线以及网络安全威胁知识图进行预测,得到预测攻击路线;而后基于所述攻击路线、所述预测攻击路线所述安全推理模型以及历史网络安全威胁知识图集合,确定各个攻击路线对应威胁攻击的风险值;然后基于所述攻击路线、所述预测攻击路线以及威胁攻击的风险值,生成威胁评估报告,能够准确识别最新的网络安全威胁攻击源,提高了网络安全威胁识别的准确性,根据威胁评估报告中的攻击路线,安全工作人员能及时通知相关负责人采取应急响应措施,真正做到威胁攻击消杀无死角。根据威胁评估报告中的预测攻击路线,安全工作人员能及时通知相关负责人启动预防措施,遏止威胁攻击的进一步扩散。
基于第一实施例,提出本发明网络安全威胁评估方法的第三实施例,在本实施例中,步骤S104包括:
步骤S301,基于所述网络安全知识图谱,确定所述告警信息对应的威胁攻击实体、网络资产实体及连接关系,基于所述威胁攻击实体、网络资产实体及连接关系确定初始网络安全威胁知识图;
步骤S302,在所述网络资产拓扑图中获取各个网络资产实体对应的关联网络资产,基于所述网络资产实体以及关联网络资产,确定各个网络资产实体对应的资产子图;
步骤S303,对于每一个资产子图,遍历所述资产子图,在威胁攻击实体的属性信息与当前遍历的网络资产的属性信息匹配时,基于当前遍历的网络资产在所述初始网络安全威胁知识图中添加所述资产子图对应的网络资产实体的子节点,在初始网络安全威胁知识图中设置威胁攻击实体与当前遍历的网络资产的连接关系,并将当前遍历的网络资产添加至威胁相关资产集合;
步骤S304,基于网络安全知识图谱,获取所述威胁攻击实体对应的关联威胁攻击实体集合,并确定关联威胁攻击实体集合中各个威胁攻击实体的因果关系;
步骤S305,确定关联威胁攻击实体集合的威胁攻击实体中与威胁相关资产集合中的网络资产关联的威胁攻击实体,并在初始网络安全威胁知识图中添加所述威胁攻击实体对应的节点,获得网络安全威胁知识图。
本实施例中,基于所述网络安全知识图谱,确定所述告警信息对应的威胁攻击实体、网络资产实体及连接关系,基于所述威胁攻击实体、网络资产实体及连接关系确定初始网络安全威胁知识图;具体地,获取告警信息的告警特征信息,基于网络安全知识图谱,查询与特征信息匹配的威胁攻击实体、网络资产实体及连接关系。同时,还可以根据告警特征信息更新初始网络安全威胁知识图中各个节点的节点属性,具体地,根据告警特征信息判断节点是否已受到攻击影响,在初始网络安全威胁知识图中将受到攻击影响的节点的属性isAttacked为标记1,否则标记为0。
在获取到初始网络安全威胁知识图时,在所述网络资产拓扑图中获取初始网络安全威胁知识图中各个网络资产实体对应的关联网络资产,基于所述网络资产实体以及关联网络资产,确定各个网络资产实体对应的资产子图,资产子图的数量与初始网络安全威胁知识图中网络资产实体的数量一致。
接着,对于每一个资产子图,遍历所述资产子图,得到该资产子图中当前遍历的网络资产,在威胁攻击实体的属性信息与当前遍历的网络资产的属性信息匹配时,基于当前遍历的网络资产在所述初始网络安全威胁知识图中添加所述资产子图对应的网络资产实体的子节点,将当前遍历的网络资产作为网络资产实体的子节点,并在初始网络安全威胁知识图中设置威胁攻击实体与当前遍历的网络资产的连接关系,并将当前遍历的网络资产添加至威胁相关资产集合。
在该资产子图遍历完成,且所有资产子图均遍历完成时,得到更新后的初始网络安全威胁知识图,以及各个威胁相关资产集合。
基于网络安全知识图谱,获取所述威胁攻击实体对应的关联威胁攻击实体集合,并确定关联威胁攻击实体集合中各个威胁攻击实体的因果关系;并确定关联威胁攻击实体集合的威胁攻击实体中与威胁相关资产集合中的网络资产关联的威胁攻击实体,并在初始网络安全威胁知识图中添加所述威胁攻击实体对应的节点,获得网络安全威胁知识图,具体地,在更新后的初始网络安全威胁知识图中添加所述威胁攻击实体对应的节点,获得网络安全威胁知识图。
本实施例提出的网络安全威胁评估方法,通过基于所述网络安全知识图谱,确定所述告警信息对应的威胁攻击实体、网络资产实体及连接关系,基于所述威胁攻击实体、网络资产实体及连接关系确定初始网络安全威胁知识图;接着在所述网络资产拓扑图中获取各个网络资产实体对应的关联网络资产,基于所述网络资产实体以及关联网络资产,确定各个网络资产实体对应的资产子图;而后对于每一个资产子图,遍历所述资产子图,在威胁攻击实体的属性信息与当前遍历的网络资产的属性信息匹配时,基于当前遍历的网络资产在所述初始网络安全威胁知识图中添加所述资产子图对应的网络资产实体的子节点,在初始网络安全威胁知识图中设置威胁攻击实体与当前遍历的网络资产的连接关系,并将当前遍历的网络资产添加至威胁相关资产集合;然后基于网络安全知识图谱,获取所述威胁攻击实体对应的关联威胁攻击实体集合,并确定关联威胁攻击实体集合中各个威胁攻击实体的因果关系;最后确定关联威胁攻击实体集合的威胁攻击实体中与威胁相关资产集合中的网络资产关联的威胁攻击实体,并在初始网络安全威胁知识图中添加所述威胁攻击实体对应的节点,获得网络安全威胁知识图,能够根据告警信息、网络安全知识图谱以及网络资产拓扑图准确得到网络安全威胁知识图,进一步提高了输出威胁评估报告的效率,同时通过网络安全知识图谱以及网络资产拓扑图进行威胁评估,提高了网络安全评估的准确性和全面性。
基于第一实施例,提出本发明网络安全威胁评估方法的第四实施例,在本实施例中,步骤S104包括:
步骤S401,获取网络安全威胁告警信息,对所述网络安全威胁告警信息进行过滤操作,获得过滤后的网络安全威胁告警信息;
步骤S402,确定过滤后的网络安全威胁告警信息真实威胁攻击,并将真实威胁攻击作为所述告警信息。
本实施例中,先收集所有网络安全检测系统和其他途径发送的告警信息,得到网络安全威胁告警信息,网络安全威胁告警信息的来源主要从三个方面:1)网络安全设备或网络安全检测系统检测到的安全告警信息。安全监控系统包括:IDS检测系统、网页篡改检测系统、DDoS监测系统、僵木蠕监测系统、DNS劫持监测系统、绿盟全流量监测系统、EDR监测系统、APT监测系统、绿盟扫描器、安恒扫描器等。2)安全事件信息通报。3)安全事件投诉。
对于网络安全威胁告警信息中的网络安全设备或网络安全检测系统检测到的安全告警信息,对所述网络安全威胁告警信息进行过滤操作,即通过预设的策略库对网络安全威胁告警信息进行过滤,获得过滤后的网络安全威胁告警信息,确定过滤后的网络安全威胁告警信息真实威胁攻击,并将真实威胁攻击作为所述告警信息,告警信息的告警特征信息包括:告警信息的威胁要素、资产要素、时间序列等信息。
其中,对于网络安全威胁告警信息中的安全事件通报和安全事件投诉,经过人工审核确认,提取安全事件信息中涉及的威胁要素、资产要素、时间序列等信息。
本实施例提出的网络安全威胁评估方法,通过获取网络安全威胁告警信息,对所述网络安全威胁告警信息进行过滤操作,获得过滤后的网络安全威胁告警信息;接着确定过滤后的网络安全威胁告警信息真实威胁攻击,并将真实威胁攻击作为所述告警信息,能够准确得到告警信息,进一步提升网络安全威胁评估的效率。
基于上述各个实施例,提出本发明网络安全威胁评估方法的第五实施例,在本实施例中,该网络安全威胁评估方法还包括:
步骤S501,定时基于所述网络资产管理系统获取所述网络资产信息对应的资产变更信息;
步骤S502,获取所述资产变更信息对应的网络资产的第二通达关系以及第二连接关系;
步骤S503,基于所述资产变更信息中网络资产的属性信息、所述第二通达关系以及所述第二连接关系,更新所述网络资产拓扑图。
本实施例中,定期获取网络资产管理系统的资产变更信息,资产变更信息包括网络资产的变更、新增或删除,包括设备的属性信息、安装的应用程序及程序的相关信息、运行的服务及服务的相关信息等。
接着,采用与第一通达关系以及第一连接关系相同的方式,获取所述资产变更信息对应的网络资产的第二通达关系以及第二连接关系。并基于所述资产变更信息中网络资产的属性信息、所述第二通达关系以及所述第二连接关系,更新所述网络资产拓扑图,包括在网络资产拓扑图中删除已删除的网络资产、删除已删除的网络资产与网络资产拓扑图中其他网络资产的通达关系以及连接关系、添加新增的网络资产、新增的网络资产与网络资产拓扑图中其他网络资产的通达关系以及连接关系,实现网络资产拓扑图的定期更新。
本实施例提出的网络安全威胁评估方法,通过定时基于所述网络资产管理系统获取所述网络资产信息对应的资产变更信息;接着获取所述资产变更信息对应的网络资产的第二通达关系以及第二连接关系;而后基于所述资产变更信息中网络资产的属性信息、所述第二通达关系以及所述第二连接关系,更新所述网络资产拓扑图,实现了网络资产拓扑图的定期更新,进一步提升了网络安全威胁评估的准确性以及效率。
基于上述各个实施例,提出本发明网络安全威胁评估方法的第六实施例,在本实施例中,该网络安全威胁评估方法还包括:
步骤S601,定时获取网络安全威胁情报数据源,并从所述网络安全威胁情报数据源获取威胁情报数据,其中,所述网络安全威胁情报数据源包括:在线威胁情报网站、漏洞数据库以及安全威胁权威报告网站;
步骤S602,基于网络安全知识字典对所述威胁情报数据进行筛选,获得筛选后的威胁情报数据;
步骤S603,基于预设属性映射关系对第一威胁情报数据进行处理,得到第一数据,其中,第一威胁情报数据为筛选后的威胁情报数据中的结构化数据;
步骤S604,对第一威胁情报数据进行监督学习,得到第二数据,其中,第二威胁情报数据为筛选后的威胁情报数据中的半结构化数据以及非结构化数据;
步骤S605,基于所述第一数据以及所述第二数据更新所述网络安全知识图谱。
本实施例中,定时获取网络安全威胁情报数据源,其中,网络安全威胁情报数据源包括在线威胁情报网站、漏洞数据库以及安全威胁权威报告网站等,定时获取网络安全威胁情报数据源的时间间隔可进行合理设置,例如,时间间隔可设置为一周、半个月、一个月等。
获取到网络安全威胁情报数据源时,从网络安全威胁情报数据源获取威胁情报数据,具体可采用现有的爬虫技术从网络安全威胁情报数据源获取威胁情报数据。而后,基于网络安全知识字典对所述威胁情报数据进行筛选,以过滤威胁情报数据中无关的威胁情报,获得筛选后的威胁情报数据。
接着,基于预设属性映射关系对第一威胁情报数据进行处理,即根据预设属性映射关系对第一威胁情报数据进行匹配,得到第一数据,第一威胁情报数据为筛选后的威胁情报数据中的结构化数据。
同时,对第一威胁情报数据进行监督学习,得到第二数据,具体地,对第二数据进行NLP解析提取实体对,对实体进行特征提取得到实体特征;根据实体特征将数据库数据与实体对关联,生成变量表;根据变量表和实体特征表,推导第二数据中网络安全威胁实体之间的关系。
而后,基于所述第一数据以及所述第二数据更新所述网络安全知识图谱,得到新的网络安全知识图谱。
本实施例提出的网络安全威胁评估方法,通过定时获取网络安全威胁情报数据源,并从所述网络安全威胁情报数据源获取威胁情报数据;接着基于网络安全知识字典对所述威胁情报数据进行筛选,获得筛选后的威胁情报数据;而后基于预设属性映射关系对第一威胁情报数据进行处理,得到第一数据,然后对第一威胁情报数据进行监督学习,得到第二数据;最后基于所述第一数据以及所述第二数据更新所述网络安全知识图谱,实现了网络安全知识图谱的定期更新,进一步提升了网络安全威胁评估的准确性以及效率。
本发明还提供一种网络安全威胁评估装置,参照图3,所述网络安全威胁评估装置包括:
第一确定模块10,用于基于网络安全知识体系确定网络安全知识图谱,其中,所述网络安全知识图谱包括网络安全威胁实体、网络安全威胁实体之间的关系以及网络安全威胁实体的属性信息;
获取模块20,用于获取已有的网络资产管理系统对应的网络资产信息,获取网络资产信息中各个网络资产的IP地址或端口信息,基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系;
第二确定模块30,用于基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;
评估模块40,用于获取网络安全威胁对应的告警信息,基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告。
上述各程序单元所执行的方法可参照本发明网络安全威胁评估方法各个实施例,此处不再赘述。
本发明还提供一种可读存储介质。
本发明可读存储介质上存储有网络安全威胁评估程序,所述网络安全威胁评估程序被处理器执行时实现如上所述的网络安全威胁评估方法的步骤。
其中,在所述处理器上运行的网络安全威胁评估程序被执行时所实现的方法可参照本发明网络安全威胁评估方法各个实施例,此处不再赘述。
此外,本发明实施例还提出一种计算机程序产品,该计算机程序产品上包括网络安全威胁评估程序,所述网络安全威胁评估程序被处理器执行时实现如上所述的网络安全威胁评估方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络安全威胁评估方法,其特征在于,所述网络安全威胁评估方法包括以下步骤:
基于网络安全知识体系确定网络安全知识图谱,其中,所述网络安全知识图谱包括网络安全威胁实体、网络安全威胁实体之间的关系以及网络安全威胁实体的属性信息;
获取已有的网络资产管理系统对应的网络资产信息,获取网络资产信息中各个网络资产的IP地址或端口信息,基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系;
基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;
获取网络安全威胁对应的告警信息,基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告。
2.如权利要求1所述的网络安全威胁评估方法,其特征在于,所述确定所述网络安全威胁知识图对应的威胁评估报告的步骤包括:
基于安全推理模型以及历史网络安全威胁知识图集合,对所述网络安全威胁知识图进行网络安全威胁评估,获得所述网络安全威胁知识图对应的威胁评估报告,其中,所述威胁评估报告包括攻击路线、预测攻击路线以及威胁攻击的风险值。
3.如权利要求2所述的网络安全威胁评估方法,其特征在于,所述基于安全推理模型以及历史网络安全威胁知识图集合,对所述网络安全威胁知识图进行网络安全威胁评估,获得所述网络安全威胁知识图对应的威胁评估报告的步骤包括:
获取网络安全威胁知识图中的目标节点,基于所述安全推理模型以及历史网络安全威胁知识图集合,确定所述目标节点对应的攻击路线;
基于所述攻击路线以及网络安全威胁知识图进行预测,得到预测攻击路线;
基于所述攻击路线、所述预测攻击路线所述安全推理模型以及历史网络安全威胁知识图集合,确定各个攻击路线对应威胁攻击的风险值;
基于所述攻击路线、所述预测攻击路线以及威胁攻击的风险值,生成威胁评估报告。
4.如权利要求1所述的网络安全威胁评估方法,其特征在于,所述基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图的步骤包括:
基于所述网络安全知识图谱,确定所述告警信息对应的威胁攻击实体、网络资产实体及连接关系,基于所述威胁攻击实体、网络资产实体及连接关系确定初始网络安全威胁知识图;
在所述网络资产拓扑图中获取各个网络资产实体对应的关联网络资产,基于所述网络资产实体以及关联网络资产,确定各个网络资产实体对应的资产子图,其中,所述资产子图的根节点为所述网络资产实体;
对于每一个资产子图,遍历所述资产子图,在威胁攻击实体的属性信息与当前遍历的网络资产的属性信息匹配时,基于当前遍历的网络资产在所述初始网络安全威胁知识图中添加所述资产子图对应的网络资产实体的子节点,在初始网络安全威胁知识图中设置威胁攻击实体与当前遍历的网络资产的连接关系,并将当前遍历的网络资产添加至威胁相关资产集合;
基于网络安全知识图谱,获取所述威胁攻击实体对应的关联威胁攻击实体集合,并确定关联威胁攻击实体集合中各个威胁攻击实体的因果关系;
确定关联威胁攻击实体集合的威胁攻击实体中与威胁相关资产集合中的网络资产关联的威胁攻击实体,并在初始网络安全威胁知识图中添加所述威胁攻击实体对应的节点,获得网络安全威胁知识图。
5.如权利要求1所述的网络安全威胁评估方法,其特征在于,所述获取网络安全威胁对应的告警信息的步骤包括:
获取网络安全威胁告警信息,对所述网络安全威胁告警信息进行过滤操作,获得过滤后的网络安全威胁告警信息;
确定过滤后的网络安全威胁告警信息真实威胁攻击,并将真实威胁攻击作为所述告警信息。
6.如权利要求1至5任一项所述的网络安全威胁评估方法,其特征在于,所述网络安全威胁评估方法还包括:
定时基于所述网络资产管理系统获取所述网络资产信息对应的资产变更信息;
获取所述资产变更信息对应的网络资产的第二通达关系以及第二连接关系;
基于所述资产变更信息中网络资产的属性信息、所述第二通达关系以及所述第二连接关系,更新所述网络资产拓扑图。
7.如权利要求1至5任一项所述的网络安全威胁评估方法,其特征在于,所述网络安全威胁评估方法还包括:
定时获取网络安全威胁情报数据源,并从所述网络安全威胁情报数据源获取威胁情报数据;
基于网络安全知识字典对所述威胁情报数据进行筛选,获得筛选后的威胁情报数据;
基于预设属性映射关系对第一威胁情报数据进行处理,得到第一数据,其中,第一威胁情报数据为筛选后的威胁情报数据中的结构化数据;
对第一威胁情报数据进行监督学习,得到第二数据,其中,第二威胁情报数据为筛选后的威胁情报数据中的半结构化数据以及非结构化数据;
基于所述第一数据以及所述第二数据更新所述网络安全知识图谱。
8.一种网络安全威胁评估装置,其特征在于,所述网络安全威胁评估装置包括:
第一确定模块,用于基于网络安全知识体系确定网络安全知识图谱,其中,所述网络安全知识图谱包括网络安全威胁实体、网络安全威胁实体之间的关系以及网络安全威胁实体的属性信息;
获取模块,用于获取已有的网络资产管理系统对应的网络资产信息,获取网络资产信息中各个网络资产的IP地址或端口信息,基于IP地址或端口信息、网络安全域信息以及防火墙策略配置规则,确定网络资产之间的第一通达关系,并基于网络资产信息中网络资产之间的调用关系以及归属关系,确定网络资产之间的第一连接关系;
第二确定模块,用于基于所述网络资产信息中网络资产的属性信息、所述第一通达关系以及所述第一连接关系,确定网络资产拓扑图;
评估模块,用于获取网络安全威胁对应的告警信息,基于所述告警信息、所述网络安全知识图谱以及所述网络资产拓扑图,生成网络安全威胁知识图,并确定所述网络安全威胁知识图对应的威胁评估报告。
9.一种网络安全威胁评估设备,其特征在于,所述网络安全威胁评估设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全威胁评估程序,所述网络安全威胁评估程序被所述处理器执行时实现如权利要求1至7中任一项所述的网络安全威胁评估方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有网络安全威胁评估程序,所述网络安全威胁评估程序被处理器执行时实现如权利要求1至7中任一项所述的网络安全威胁评估方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111018442.5A CN115733646A (zh) | 2021-08-31 | 2021-08-31 | 网络安全威胁评估方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111018442.5A CN115733646A (zh) | 2021-08-31 | 2021-08-31 | 网络安全威胁评估方法、装置、设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115733646A true CN115733646A (zh) | 2023-03-03 |
Family
ID=85291897
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111018442.5A Pending CN115733646A (zh) | 2021-08-31 | 2021-08-31 | 网络安全威胁评估方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115733646A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094843A (zh) * | 2023-04-10 | 2023-05-09 | 北京航空航天大学 | 一种基于知识图谱的网络威胁评估方法 |
| CN117040926A (zh) * | 2023-10-08 | 2023-11-10 | 北京网藤科技有限公司 | 应用知识图谱的工控网络安全特征分析方法和系统 |
| CN117499267A (zh) * | 2023-12-29 | 2024-02-02 | 深圳万物安全科技有限公司 | 网络设备的资产测绘方法、设备及存储介质 |
| CN118054973A (zh) * | 2024-04-11 | 2024-05-17 | 国网浙江省电力有限公司桐庐县供电公司 | 一种基于网口锁的主动防御方法、系统、设备及介质 |
-
2021
- 2021-08-31 CN CN202111018442.5A patent/CN115733646A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094843A (zh) * | 2023-04-10 | 2023-05-09 | 北京航空航天大学 | 一种基于知识图谱的网络威胁评估方法 |
| CN117040926A (zh) * | 2023-10-08 | 2023-11-10 | 北京网藤科技有限公司 | 应用知识图谱的工控网络安全特征分析方法和系统 |
| CN117040926B (zh) * | 2023-10-08 | 2024-01-26 | 北京网藤科技有限公司 | 应用知识图谱的工控网络安全特征分析方法和系统 |
| CN117499267A (zh) * | 2023-12-29 | 2024-02-02 | 深圳万物安全科技有限公司 | 网络设备的资产测绘方法、设备及存储介质 |
| CN117499267B (zh) * | 2023-12-29 | 2024-03-26 | 深圳万物安全科技有限公司 | 网络设备的资产测绘方法、设备及存储介质 |
| CN118054973A (zh) * | 2024-04-11 | 2024-05-17 | 国网浙江省电力有限公司桐庐县供电公司 | 一种基于网口锁的主动防御方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12047396B2 (en) | System and method for monitoring security attack chains | |
| US11522882B2 (en) | Detection of adversary lateral movement in multi-domain IIOT environments | |
| CN115733646A (zh) | 网络安全威胁评估方法、装置、设备及可读存储介质 | |
| US11709944B2 (en) | Intelligent adversary simulator | |
| CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| KR102225460B1 (ko) | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 | |
| KR102296215B1 (ko) | 지능형 지속 위협 방어를 위한 온톨로지 지식 베이스 기반 보안 요구사항 추천 방법, 이를 수행하는 장치 및 시스템 | |
| Anuar et al. | Incident prioritisation using analytic hierarchy process (AHP): Risk Index Model (RIM) | |
| Majeed et al. | Near-miss situation based visual analysis of SIEM rules for real time network security monitoring | |
| Snehi et al. | Global intrusion detection environments and platform for anomaly-based intrusion detection systems | |
| Sen et al. | On using contextual correlation to detect multi-stage cyber attacks in smart grids | |
| Naik et al. | Application of dynamic fuzzy rule interpolation for intrusion detection: D-FRI-Snort | |
| Maglaras et al. | Cyber security: From regulations and policies to practice | |
| KR20130020862A (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
| CN117527412A (zh) | 数据安全监测方法及装置 | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| Khan et al. | Towards augmented proactive cyberthreat intelligence | |
| Wei et al. | Comparing malware attack detection using machine learning techniques in IoT network traffic | |
| CN114189361A (zh) | 防御威胁的态势感知方法、装置及系统 | |
| WO2021130897A1 (ja) | 分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体 | |
| CN115022152B (zh) | 一种用于判定事件威胁度的方法、装置及电子设备 | |
| Wijayanto et al. | Analysis of Vulnerability Webserver Office Management of Information And Documentation Diskominfo using OWASP Scanner | |
| Maynard et al. | Using Application Layer Metrics to Detect Advanced SCADA Attacks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |