CN116155548A - 一种威胁识别方法及系统 - Google Patents
一种威胁识别方法及系统 Download PDFInfo
- Publication number
- CN116155548A CN116155548A CN202211658439.4A CN202211658439A CN116155548A CN 116155548 A CN116155548 A CN 116155548A CN 202211658439 A CN202211658439 A CN 202211658439A CN 116155548 A CN116155548 A CN 116155548A
- Authority
- CN
- China
- Prior art keywords
- threat
- network entity
- log data
- features
- advanced persistent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000002085 persistent effect Effects 0.000 claims abstract description 218
- 230000006399 behavior Effects 0.000 claims abstract description 105
- 238000012544 monitoring process Methods 0.000 claims description 42
- 230000005540 biological transmission Effects 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 13
- 238000010276 construction Methods 0.000 claims description 11
- 238000002372 labelling Methods 0.000 claims description 8
- 230000002688 persistence Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 3
- 239000010410 layer Substances 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000000605 extraction Methods 0.000 description 7
- 238000011160 research Methods 0.000 description 6
- 230000004927 fusion Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000009411 base construction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000002346 layers by function Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种威胁识别方法及系统,涉及网络安全领域,该方法包括:获取网络实体行为发生的情况下所产生的日志数据;自所述日志数据中提取威胁特征,将所述威胁特征与预设的至少一个高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下,将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。能够对未知的高级持续性威胁进行识别,降低了高级持续性威胁识别的漏报率和误报率。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种威胁识别方法及系统。
背景技术
随着网络安全对抗的愈加激烈,高级持续性威胁攻击行为给网络安全带来了极大的挑战,在企业的网络安全防御体系中,能够及时对网络安全中的高级持续性威胁的行为进行识别尤为重要。针对在海量的日志中识别高级持续性威胁行为的需求,一种是传统简单的识别方案:通过对安全威胁情报、网络行为和恶意样本分析得到高级持续性威胁特征并建立威胁特征库,并将安全日志的威胁特征与现有已知威胁特征库进行对比,从而实现对高级持续高级持续性威胁进行识别,由于该方案只能识别已知的高级持续性威胁,已经满足不了对抗愈加激烈网络安全的实际需求。现有技术方案局限于对已知威胁进行识别和基于流量特征识别,存在漏报率高、误报率高和时效性低的弊端。
发明内容
本发明实施例提供一种威胁识别方法及系统,用以解决现有威胁识别方案的漏报率和误报率较高的问题,能够实现对未知的高级持续性威胁进行识别。
为达上述目的,一方面,本发明实施例提供一种威胁识别方法,包括:
获取网络实体行为发生的情况下所产生的日志数据;
自所述日志数据中提取威胁特征,将所述威胁特征与预设的至少一个高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;
在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下,将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
另一方面,本发明实施例提供一种威胁识别系统,包括:
数据获取单元,用于获取网络实体行为发生的情况下所产生的日志数据;
第一判断单元,用于自所述日志数据中提取威胁特征,将所述威胁特征与预设的至少一个高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;
第二判断单元,用于在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下,将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
上述技术方案具有如下有益效果:获取各网络实体行为发生时所产生的日志数据;自日志数据中提取威胁特征,将所述威胁特征与高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;实现对威胁的初步判断。
若所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配,将所述日志数据与高级持续性威胁知识图谱进行对比,如果与高级持续性威胁知识图谱内的实体相匹配,则将所述网络实体行为判定为高级持续性威胁。能够从日志数据中识别出未知的高级持续性威胁数据通过进行识别,解决了目前存在的无法识别未知的高级持续性威胁行为,降低了高级持续性威胁识别的漏报率和误报率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的一种威胁识别方法的流程图;
图2是本发明实施例的一种威胁识别系统的结构图;
图3是本发明实施例的基于知识图谱对威胁进行识别的流程架构图;
图4是本发明实施例的高级持续性威胁知识图谱的构建示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,结合本发明的实施例,提供一种威胁识别方法,包括
S101:获取网络实体行为发生的情况下所产生的日志数据;
S102:自所述日志数据中提取威胁特征,将所述威胁特征与预设的至少一个高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;
S103:在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下,将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
优选地,所述网络实体行为发生的情况下所产生的日志数据至少包括如下之一:终端行为的日志数据、下载行为的日志数据、数据传输的日志数据、域名解析的日志数据;
S101,所述获取网络实体行为发生的情况下所产生的日志数据,至少包括如下之一:
S1011:监控网络实体在运行时所加载的资源,监控所述网络实体在调用敏感系统API时所产生的第一调用数据,监控所述网络实体调用网络套接字时所产生的第二调用数据,将所加载的资源、所述第一调用数据、所述第二调用数据中至少之一作为所述网络实体的终端行为的日志数据;
S1012:监控所述网络实体的网络下载时所产生的日志数据,将网络下载时所产生的日志数据作为所述网络实体的下载行为的日志数据;
S1013:监控所述网络实体的数据传输过程,获取指令控制和数据传输流量,作为所述网络实体的数据传输的日志数据;
S1014:监控所述网络实体的域名解析请求记录,采集域名解析请求记录,作为所述网络实体的域名解析的日志数据。
优选地,威胁识别方法,还包括:
S104:获取多个网络实体的每个事件所产生的日志数据,将所述日志数据作为样本事件;其中:
针对所述样本事件所产生的日志数据,通过词法分析得到多个具有独立含义的字段,根据多个具有独立含义的字段判断所述事件是否为高级持续性威胁;根据判断结果标注所述日志数据为已知威胁事件或者未知威胁事件;
S105:通过如下方法构建高级持续性威胁名单:
针对所有已知威胁事件,自所述事件的日志数据中抽取出威胁特征,通过对所有所述威胁特征进行学习得到相应的高级持续性威胁,每个所述高级持续性威胁均具有相应的威胁特征;其中,所述威胁特征至少包括如下之一:威胁的来源域名、威胁所使用的IP、威胁所生成文件的类别;
S106:通过如下方法构建高级持续性威胁图谱:
S1061:对各已知威胁事件进行标识,通过标识表征相应的已知威胁事件,将所述标识作为实体内容;
S1062:针对每个已知威胁事件,自所述事件所产生的日志数据内提取日志特征,将日志特征进行结构化处理,将结构化处理的日志特征作为高级持续性威胁的属性信息;其中,所述日志特征至少包括威胁特征;
S1063:根据高级持续性威胁的属性信息确定两个高级持续性威胁标识之间是否具有联系,当两个高级持续性威胁标识之间具有联系时,将两个所述高级持续性威胁实体内容之间的联系作为关系;
S1064:将具有关系的两个所述实体进行连接,标明所述实体的属性信息,形成高级持续性威胁知识图谱。
优选地,S103:所述将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁,包括:
S1031:对所述网络实体行为发生时所产生的日志数据进行词法分析,得到对应的多个具有独立含义的字段;通过对独立含义的字段进行识别,得到所述网络实体行为的内容信息;
S1032:自对所述网络实体行为发生时所产生的日志数据内,提取日志特征,并对日志特征进行结构化处理,将结构化处理的日志特征均作为所述网络实体行为的属性信息,所述日志特征至少包括威胁特征;
S1033:在所述网络实体行为的内容信息与高级持续性威胁知识图谱内的实体内容相一致的情况下,将所述网络实体行为判定为高级持续性威胁;和/或
S1034:在所述网络实体行为的属性信息与高级持续性威胁知识图谱中实体的属性信息相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
优选地,所述日志特征还包括如下之一或任意组合:使用条件、适用范围、所生成文件的特征;
所生成文件的特征至少包括如下之一:所生成文件的哈希值、路径的哈希值和文件名称哈希值。
优选地,威胁识别方法,还包括:
S107:在所述网络实体行为被判定为高级持续性威胁后,发出告警;
S108:停止接收根据所述网络实体所对应的用户账户或所使用的IP地址发送的数据。
如图2所示,结合本发明的实施例,提供一种威胁识别系统,包括:
数据获取单元22,用于获取网络实体行为发生的情况下所产生的日志数据;
第一判断单元22,用于自所述日志数据中提取威胁特征,将所述威胁特征与预设的至少一个高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;
第二判断单元23,用于在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下,将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
优选地,所述网络实体行为发生的情况下所产生的日志数据至少包括如下之一:终端行为的日志数据、下载行为的日志数据、数据传输的日志数据、域名解析的日志数据;
所述数据获取单元21包括:
第一监控单元,用于监控网络实体在运行时所加载的资源,监控所述网络实体在调用敏感系统API时所产生的第一调用数据,监控所述网络实体调用网络套接字时所产生的第二调用数据,将所加载的资源、所述第一调用数据、所述第二调用数据中至少之一作为所述网络实体的终端行为的日志数据;
第二监控单元,用于监控所述网络实体的网络下载时所产生的日志数据,将网络下载时所产生的日志数据作为所述网络实体的下载行为的日志数据;
第三监控单元,用于监控所述网络实体的数据传输过程,获取指令控制和数据传输流量,作为所述网络实体的数据传输的日志数据;
第四监控单元,用于监控所述网络实体的域名解析请求记录,采集域名解析请求记录,作为所述网络实体的域名解析的日志数据。
优选地,威胁识别系统,还包括样本制作单元、高级持续性威胁收集单元和高级持续性威胁图谱构建单元;
所述样本制作单元,用于获取多个网络实体的每个事件所产生的日志数据,将所述日志数据作为样本事件;其中:针对所述样本事件所产生的日志数据,通过词法分析得到多个具有独立含义的字段,根据多个具有独立含义的字段判断所述事件是否为高级持续性威胁;根据判断结果标注所述日志数据为已知威胁事件或者未知威胁事件;
所述高级持续性威胁收集单元,用于针对所有已知威胁事件,自所述事件的日志数据中抽取出威胁特征,通过对所有所述威胁特征进行学习得到相应的高级持续性威胁,每个所述高级持续性威胁均具有相应的威胁特征;其中,所述威胁特征至少包括如下之一:威胁的来源域名、威胁所使用的IP、威胁所生成文件的类别;
所述高级持续性威胁图谱构建单元包括实体确定子单元、属性确定子单元、关系确定子单元和图谱构建子单元,其中:
所述实体确定子单元,用于对各已知威胁事件进行标识,通过标识表征相应的已知威胁事件,将所述标识作为实体内容;;
所述属性确定子单元,用于针对每个已知威胁事件,自所述事件所产生的日志数据内提取日志特征,将日志特征进行结构化处理,将结构化处理的日志特征作为高级持续性威胁的属性信息;其中,所述日志特征至少包括威胁特征;
所述关系确定子单元,用于根据高级持续性威胁的属性信息确定两个高级持续性威胁标识之间是否具有联系,当两个高级持续性威胁标识之间具有联系时,将两个所述高级持续性威胁实体内容之间的联系作为关系;
所述图谱构建子单元,用于将具有关系的两个所述实体进行连接,标明所述实体的属性信息,形成高级持续性威胁知识图谱。
优选地,所述第二判断单元22,包括:
词法分析子单元,用于对所述网络实体行为发生时所产生的日志数据进行词法分析,得到对应的多个具有独立含义的字段;
实体确定子单元,用于通过对独立含义的字段进行识别,得到所述网络实体行为的内容信息;
属性确定子单元,用于自对所述网络实体行为发生时所产生的日志数据内,提取日志特征,并对日志特征进行结构化处理,将结构化处理的日志特征均作为所述网络实体行为的属性信息,所述日志特征至少包括威胁特征;
图谱判定子单元,用于在所述网络实体行为的内容信息与高级持续性威胁知识图谱内的实体内容相一致的情况下,将所述网络实体行为判定为高级持续性威胁;和/或,在所述网络实体行为的属性信息与高级持续性威胁知识图谱中实体的属性信息相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
优选地,威胁识别系统,还包括:
告警单元,用于在所述网络实体行为被判定为高级持续性威胁后,发出告警;
溯源单元,用于停止接收根据所述网络实体所对应的用户账户或所使用的IP地址发送的数据。
优选地,所述日志特征还包括如下之一或任意组合:使用条件、适用范围、所生成文件的特征;
所生成文件的特征至少包括如下之一:所生成文件的哈希值、路径的哈希值和文件名称哈希值。
本发明实施例所取得有益效果如下:
基于高级持续性威胁知识图谱对高级持续性威胁进行识别,针对安全日志数据,具体对多种高级持续性威胁特征进行融合研判分析,对未知的威胁数据通过评分研判进行识别,从而实现对高级持续性威胁进行识别的识别,尤其是能够对未知的高级持续性威胁进行识别,解决了目前存在的无法识别未知的高级持续性威胁行为,降低了高级持续性威胁识别的漏报率和误报率。
下面结合具体的应用实例对本发明实施例上述技术方案进行详细说明,实施过程中没有介绍到的技术细节,可以参考前文的相关描述。
本发明实施例为一种基于知识图谱的威胁识别方法,用于网络安全的隐私合规领域,基于高级持续性威胁知识图谱,对高级持续性威胁的多维度进行融合研判分析,能够对已知高级持续性威胁进行识别,也能够对未知的高级持续性威胁进行识别,解决了目前存在的对未知的高级持续性威胁无法进行准确识别的问题,提高了对高级持续性威胁识别的成功率和准确率,降低了高级威胁识别的漏报率和误报率。
本发明实施例的基于知识图谱的高级持续性威胁识别方法,包括如下步骤:
步骤101,数据获取:采集终端行为、采集网络请求下载、采集数据传输和采集域名解析的日志数据。
步骤102,知识图谱构建:通过语法分析和威胁标注对日志数据处理,将威胁数据的关系抽取、规则构建和语义关联,从而建立知识图谱。
高级持续性威胁知识图谱的构建主要包括高级持续性威胁知识抽取、高级持续性威胁知识表示、高级持续性威胁知识融合三个功能模块。
步骤103,高级持续性威胁识别,是指对高级持续性威胁数据进行分析研判,确定是否存在高级持续性威胁,从而识别出高级持续性威胁行为。具体为:
获取网络实体行为发生的情况下所产生的日志数据;
自所述日志数据中提取威胁特征,将所述威胁特征与预设的至少一个高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;
在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下,将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
步骤104,安全告警,将识别为高级持续性威胁的威胁数据进行告警。
如图3所示,基于知识图谱的威胁识别方法的架构包括数据层、分析层和应用层三个功能层面。
一、数据层包括:终端软件API调用、网络请求下载、数据传输和域名解析四个功能模块,以实现对不同环境下的威胁数据采集,形成威胁日志数据;网络实体行为发生的情况下所产生的日志数据至少包括如下之一:终端行为的日志数据、下载行为的日志数据、数据传输的日志数据、域名解析的日志数据。
1、监控网络实体在运行时所加载的资源,监控所述网络实体在调用敏感系统API时所产生的第一调用数据,监控所述网络实体调用网络套接字时所产生的第二调用数据,将所加载的资源、所述第一调用数据、所述第二调用数据中至少之一作为所述网络实体的终端行为的日志数据。即:采用终端软件API调用模块监控:(1)终端程序运行时所加载的资源、(2)调用的敏感系统API的调用数据和网络套接字的调用数据,实现将终端行为的日志数据进行采集。
2、监控所述网络实体的网络下载时所产生的日志数据,将网络下载时所产生的日志数据作为所述网络实体的下载行为的日志数据。具体为通过网络请求下载模块监控程序的网络请求下载行为,包括监控下载的程序请求。
3、监控所述网络实体的数据传输过程,获取指令控制和数据传输流量,作为所述网络实体的数据传输的日志数据。具体为通过数据传输功能模块监控网络实体的数据传输状态,可以发现异常指令控制和数据传输流量。
4、监控所述网络实体的域名解析请求记录,采集域名解析请求记录,作为所述网络实体的域名解析的日志数据。具体为通过域名解析功能模块采集网络实体的域名解析请求记录,可以识别网络实体恶意域名的解析。
二、分析层包括:威胁日志数据处理、威胁分析和知识库构建三个功能模块。
通过数据层获取多个网络实体的每个事件所产生的日志数据,将所述日志数据作为样本事件;用于构建高级持续性威胁名单,以及构建高级持续性威胁图谱。
(一)、威胁日志数据处理功能模块包括对威胁数据的词法分析和威胁标注,威胁标注是指标注威胁类型。针对所述样本事件所产生的日志数据,通过词法分析得到多个具有独立含义的字段,根据多个具有独立含义的字段判断所述事件是否为高级持续性威胁;根据判断结果标注所述日志数据为已知威胁事件或者未知威胁事件。
(二)、威胁分析功能模块包括:对高级持续性威胁的已知威胁和未知威胁进行分析。并且判断出此次威胁是否存在真正安全风险,如果存在安全风险则需要进行预警或者处置,反之不存在安全风险,忽略即可。
(三)构建高级持续性威胁名单
针对所有已知威胁事件,自所述事件的日志数据中抽取出威胁特征,通过对所有所述威胁特征进行学习得到相应的高级持续性威胁,每个所述高级持续性威胁均具有相应的威胁特征;其中,所述威胁特征至少包括如下之一:威胁的来源域名、威胁所使用的IP、威胁所生成文件的类别。
通过对记录的安全威胁特征进行学习,从而建立对高级持续性威胁的规则构建。在所构建的规则中,确定了一种高级持续性威胁对应的域名、IP和生成的文件。所以不同的高级持续性威胁对应于不同的域名、IP和生成的文件;所生成的文件是指高级持续性威胁运行时所生成的文件,比如如恶意软件运行时生成的驱动文件、启动文件和可执行文件等。
(四)知识库构建功能模块包括:实体抽取、关系抽取以及属性抽取三个部分。
(1)高级持续性威胁实体抽取是对各已知威胁事件进行标识,通过标识表征相应的已知威胁事件,将所述标识作为实体内容(威胁行为)。也就是从日志数据中提取出不同场景和不同类型的高级持续性威胁的标识,标识是指标注出已知威胁和未知威胁,针对已知威胁标注出威胁的名称或代号、类似人名、地名。
(2)属性抽取:针对每个已知威胁事件,自所述事件所产生的日志数据内提取日志特征,将日志特征进行结构化处理,将结构化处理的日志特征作为高级持续性威胁的属性信息;其中,所生成文件的特征包括:所生成文件的哈希值、路径的哈希值和文件名称哈希值,只有字符值;所述日志特征至少包括威胁特征、使用条件、适用范围、所生成文件至少之一。
结构化是指具有二维关系数据,该类数据可以存储到关系型数据库中。形成过程包括:将非结构化数据的名称、大小和创建日期作为一个维度,结构化数据的内容作为另一个维度。
(3)高级持续性威胁关系抽取是不同的高级持续性威胁之间的联系。根据高级持续性威胁的属性信息确定两个高级持续性威胁标识之间是否具有联系,当两个高级持续性威胁标识之间具有联系时,将两个所述高级持续性威胁实体内容之间的联系作为关系。具体为:高级持续性威胁的关系抽取是在确定为已知的高级持续性威胁后,通过对不同的高级持续性威胁的特征进行分析,找出不同高级持续性威胁之间的联系,从而建立不同高级持续性威胁的关系。其中,特征是指威胁中的域名、IP地址和生成的文件;以不同高级持续性威胁之间的联系作为关系。
(4)将具有关系的两个所述实体进行连接,标明所述实体的属性信息,形成高级持续性威胁知识图谱。具体为:以高级持续性威胁的名称作为实体、以不同高级持续性威胁之间的联系作为关系,以高级持续性威胁的特征作为属性;通过实体内容、关系、属性信息构建起知识图谱,整体效果如图4所示。
自动化策略提取出网络威胁探测、威胁调用、威胁数据传输的日志数据,其在构建高级持续性威胁知识图谱,“融合”是将多种来源的数据(终端行为、网络请求下载、数据传输和域名解析)作为高级持续性威胁的不同阶段的行为,达到通过语义关联进行威胁特征分析;从而形成不同针对高级持续性威胁的实体、关系以及属性表示。实体、关系的语义关联用于为后面应用层的“威胁研判功能模块”评分做准备,能够在对待识别的日志数据进行推导从而识别出高级持续性威胁。
三、应用层包括:威胁研判、威胁分析、持续性威胁告警和威胁溯源四个功能模块。
(1)所述将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁,包括:
对所述网络实体行为发生时所产生的日志数据进行词法分析,得到对应的多个具有独立含义的字段;通过对独立含义的字段进行识别,得到所述网络实体行为的内容信息;自对所述网络实体行为发生时所产生的日志数据内,提取日志特征,并对日志特征进行结构化处理,将结构化处理的日志特征均作为所述网络实体行为的属性信息,所述日志特征至少包括威胁特征;在所述网络实体行为的内容信息与高级持续性威胁知识图谱内的实体内容相一致的情况下,将所述网络实体行为判定为高级持续性威胁;和/或,在所述网络实体行为的属性信息与高级持续性威胁知识图谱中实体的属性信息相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
威胁研判功能模块通过分析层根据高级持续性威胁知识图谱对网络实体在不同阶段和环境下的行为特征所形成的日志数据进行研判,对是否存在高级持续性威胁的安全风险进行评估,进行评分从而准确识别出高级持续性威胁行为。
(2)威胁分析功能模块对高级持续性威胁行为进行分析,协助对威胁事件进一步协助安全人员进一步人工研判,安全人员根据提供的信息判断是否为误报。
(3)持续性威胁告警功能模块将研判为高级持续性威胁的安全告警推送给管理员,以用于及时处置。
(4)威胁溯源功能模块为在处置威胁事件后,对高级持续性威胁事件进行溯源。溯源是指安全人员依据以上信息做的进一步安全处置,溯源具体是安全人员通过高级持续性威胁的特征(包括域名、IP和文件)进行溯源,得到发起高级持续性威胁的原因、黑客团队和来源,停止接收根据所述网络实体所对应的用户账户或所使用的IP地址发送的数据,目的是为了查缺补漏和打击网络攻击。
本发明实施例所取得有益效果如下:
基于高级持续性威胁知识图谱对高级持续性威胁进行识别,针对安全日志数据,具体对多种高级持续性威胁特征进行融合研判分析,对未知的威胁数据通过评分研判进行识别,从而实现对高级持续性威胁进行识别的识别,尤其是能够对未知的高级持续性威胁进行识别,解决了目前存在的无法识别未知的高级持续性威胁行为,降低了高级持续性威胁识别的漏报率和误报率。
通过监控获取全阶段的数据,实现对加密和非加密的流量数据进行准确识别,高级持续性威胁知识图谱的数据特征维度多,能够多角度配合能够识别出高级持续性威胁,降低误报率和漏报率,效率高。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种威胁识别方法,其特征在于,包括:
获取网络实体行为发生的情况下所产生的日志数据;
自所述日志数据中提取威胁特征,将所述威胁特征与预设的至少一个高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;
在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下,将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
2.根据权利要求1所述的威胁识别方法,其特征在于,所述网络实体行为发生的情况下所产生的日志数据至少包括如下之一:终端行为的日志数据、下载行为的日志数据、数据传输的日志数据、域名解析的日志数据;
所述获取网络实体行为发生的情况下所产生的日志数据,至少包括如下之一:
监控网络实体在运行时所加载的资源,监控所述网络实体在调用敏感系统API时所产生的第一调用数据,监控所述网络实体调用网络套接字时所产生的第二调用数据,将所加载的资源、所述第一调用数据、所述第二调用数据中至少之一作为所述网络实体的终端行为的日志数据;
监控所述网络实体的网络下载时所产生的日志数据,将网络下载时所产生的日志数据作为所述网络实体的下载行为的日志数据;
监控所述网络实体的数据传输过程,获取指令控制和数据传输流量,作为所述网络实体的数据传输的日志数据;
监控所述网络实体的域名解析请求记录,采集域名解析请求记录,作为所述网络实体的域名解析的日志数据。
3.根据权利要求1所述的威胁识别方法,其特征在于,还包括:
获取多个网络实体的每个事件所产生的日志数据,将所述日志数据作为样本事件;构建高级持续性威胁名单,以及构建高级持续性威胁图谱;其中:
针对所述样本事件所产生的日志数据,通过词法分析得到多个具有独立含义的字段,根据多个具有独立含义的字段判断所述事件是否为高级持续性威胁;根据判断结果标注所述日志数据为已知威胁事件或者未知威胁事件;
通过如下方法构建高级持续性威胁名单:
针对所有已知威胁事件,自所述事件的日志数据中抽取出威胁特征,通过对所有所述威胁特征进行学习得到相应的高级持续性威胁,每个所述高级持续性威胁均具有相应的威胁特征;其中,所述威胁特征至少包括如下之一:威胁的来源域名、威胁所使用的IP、威胁所生成文件的类别;
通过如下方法构建高级持续性威胁图谱:
对各已知威胁事件进行标识,通过标识表征相应的已知威胁事件,将所述标识作为实体内容;
针对每个已知威胁事件,自所述事件所产生的日志数据内提取日志特征,将日志特征进行结构化处理,将结构化处理的日志特征作为高级持续性威胁的属性信息;其中,所述日志特征至少包括威胁特征;
根据高级持续性威胁的属性信息确定两个高级持续性威胁标识之间是否具有联系,当两个高级持续性威胁标识之间具有联系时,将两个所述高级持续性威胁实体内容之间的联系作为关系;
将具有关系的两个所述实体进行连接,标明所述实体的属性信息,形成高级持续性威胁知识图谱。
4.根据权利要求1所述的威胁识别方法,其特征在于,所述将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁,包括:
对所述网络实体行为发生时所产生的日志数据进行词法分析,得到对应的多个具有独立含义的字段;通过对独立含义的字段进行识别,得到所述网络实体行为的内容信息;
自对所述网络实体行为发生时所产生的日志数据内,提取日志特征,并对日志特征进行结构化处理,将结构化处理的日志特征均作为所述网络实体行为的属性信息,所述日志特征至少包括威胁特征;
在所述网络实体行为的内容信息与高级持续性威胁知识图谱内的实体内容相一致的情况下,将所述网络实体行为判定为高级持续性威胁;和/或
在所述网络实体行为的属性信息与高级持续性威胁知识图谱中实体的属性信息相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
5.根据权利要求3或4所述的威胁识别方法,其特征在于,所述日志特征还包括如下之一或任意组合:使用条件、适用范围、所生成文件的特征;
所生成文件的特征至少包括如下之一:所生成文件的哈希值、路径的哈希值和文件名称哈希值。
6.根据权利要求1所述的威胁识别方法,其特征在于,还包括:
在所述网络实体行为被判定为高级持续性威胁后,发出告警;
停止接收根据所述网络实体所对应的用户账户或所使用的IP地址发送的数据。
7.一种威胁识别系统,其特征在于,包括:
数据获取单元,用于获取网络实体行为发生的情况下所产生的日志数据;
第一判断单元,用于自所述日志数据中提取威胁特征,将所述威胁特征与预设的至少一个高级持续性威胁进行对比,判断所述威胁特征是否与任一高级持续性威胁所包括的威胁特征相匹配;
第二判断单元,用于在确认所述威胁特征与任一高级持续性威胁所包括的威胁特征相匹配的情况下,将所述日志数据与高级持续性威胁知识图谱进行对比,确认所述日志数据与高级持续性威胁知识图谱内的实体相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
8.根据权利要求7所述的威胁识别系统,其特征在于,所述网络实体行为发生的情况下所产生的日志数据至少包括如下之一:终端行为的日志数据、下载行为的日志数据、数据传输的日志数据、域名解析的日志数据;
所述数据获取单元至少包括如下之一:
第一监控单元,用于监控网络实体在运行时所加载的资源,监控所述网络实体在调用敏感系统API时所产生的第一调用数据,监控所述网络实体调用网络套接字时所产生的第二调用数据,将所加载的资源、所述第一调用数据、所述第二调用数据中至少之一作为所述网络实体的终端行为的日志数据;
第二监控单元,用于监控所述网络实体的网络下载时所产生的日志数据,将网络下载时所产生的日志数据作为所述网络实体的下载行为的日志数据;
第三监控单元,用于监控所述网络实体的数据传输过程,获取指令控制和数据传输流量,作为所述网络实体的数据传输的日志数据;
第四监控单元,用于监控所述网络实体的域名解析请求记录,采集域名解析请求记录,作为所述网络实体的域名解析的日志数据。
9.根据权利要求7所述的威胁识别系统,其特征在于,还包括样本制作单元、高级持续性威胁收集单元和高级持续性威胁图谱构建单元;
所述样本制作单元,用于获取多个网络实体的每个事件所产生的日志数据,将所述日志数据作为样本事件;其中,针对所述样本事件所产生的日志数据,通过词法分析得到多个具有独立含义的字段,根据多个具有独立含义的字段判断所述事件是否为高级持续性威胁;根据判断结果标注所述日志数据为已知威胁事件或者未知威胁事件;
所述高级持续性威胁收集单元,用于针对所有已知威胁事件,自所述事件的日志数据中抽取出威胁特征,通过对所有所述威胁特征进行学习得到相应的高级持续性威胁,每个所述高级持续性威胁均具有相应的威胁特征;其中,所述威胁特征至少包括如下之一:威胁的来源域名、威胁所使用的IP、威胁所生成文件的类别;
所述高级持续性威胁图谱构建单元包括实体确定子单元、属性确定子单元、关系确定子单元和图谱构建子单元,其中:
所述实体确定子单元,用于对各已知威胁事件进行标识,通过标识表征相应的已知威胁事件,将所述标识作为实体内容;
所述属性确定子单元,用于针对每个已知威胁事件,自所述事件所产生的日志数据内提取日志特征,将日志特征进行结构化处理,将结构化处理的日志特征作为高级持续性威胁的属性信息;其中,所述日志特征至少包括威胁特征;
所述关系确定子单元,用于根据高级持续性威胁的属性信息确定两个高级持续性威胁标识之间是否具有联系,当两个高级持续性威胁标识之间具有联系时,将两个所述高级持续性威胁实体内容之间的联系作为关系;
所述图谱构建子单元,用于将具有关系的两个所述实体进行连接,标明所述实体的属性信息,形成高级持续性威胁知识图谱。
10.根据权利要求7所述的威胁识别系统,其特征在于,所述第二判断单元,包括:
词法分析子单元,用于对所述网络实体行为发生时所产生的日志数据进行词法分析,得到对应的多个具有独立含义的字段;
实体确定子单元,用于通过对独立含义的字段进行识别,得到所述网络实体行为的内容信息;
属性确定子单元,用于自对所述网络实体行为发生时所产生的日志数据内,提取日志特征,并对日志特征进行结构化处理,将结构化处理的日志特征均作为所述网络实体行为的属性信息,所述日志特征至少包括威胁特征;
图谱判定子单元,用于在所述网络实体行为的内容信息与高级持续性威胁知识图谱内的实体内容相一致的情况下,将所述网络实体行为判定为高级持续性威胁;和/或,在所述网络实体行为的属性信息与高级持续性威胁知识图谱中实体的属性信息相匹配的情况下,将所述网络实体行为判定为高级持续性威胁。
11.根据权利要求7所述的威胁识别系统,其特征在于,还包括:
告警单元,用于在所述网络实体行为被判定为高级持续性威胁后,发出告警;
溯源单元,用于停止接收根据所述网络实体所对应的用户账户或所使用的IP地址发送的数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211658439.4A CN116155548A (zh) | 2022-12-22 | 2022-12-22 | 一种威胁识别方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211658439.4A CN116155548A (zh) | 2022-12-22 | 2022-12-22 | 一种威胁识别方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116155548A true CN116155548A (zh) | 2023-05-23 |
Family
ID=86355449
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211658439.4A Pending CN116155548A (zh) | 2022-12-22 | 2022-12-22 | 一种威胁识别方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116155548A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116545740A (zh) * | 2023-05-30 | 2023-08-04 | 阿锐巴数据科技(上海)有限公司 | 一种基于大数据的威胁行为分析方法及服务器 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150312266A1 (en) * | 2014-04-28 | 2015-10-29 | Sophos Limited | Advanced persistent threat detection |
US9690931B1 (en) * | 2013-03-11 | 2017-06-27 | Facebook, Inc. | Database attack detection tool |
CN107835201A (zh) * | 2017-12-14 | 2018-03-23 | 华中师范大学 | 网络攻击检测方法及装置 |
CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
CN113242236A (zh) * | 2021-05-08 | 2021-08-10 | 国家计算机网络与信息安全管理中心 | 一种网络实体威胁图谱构建方法 |
CN114884703A (zh) * | 2022-04-19 | 2022-08-09 | 南京航空航天大学 | 基于威胁情报和消息传递模型的高级持续性威胁检测方法 |
CN115174154A (zh) * | 2022-06-13 | 2022-10-11 | 盈适慧众(上海)信息咨询合伙企业(有限合伙) | 高级威胁事件的处理方法、装置、终端设备和存储介质 |
-
2022
- 2022-12-22 CN CN202211658439.4A patent/CN116155548A/zh active Pending
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9690931B1 (en) * | 2013-03-11 | 2017-06-27 | Facebook, Inc. | Database attack detection tool |
US20150312266A1 (en) * | 2014-04-28 | 2015-10-29 | Sophos Limited | Advanced persistent threat detection |
CN107835201A (zh) * | 2017-12-14 | 2018-03-23 | 华中师范大学 | 网络攻击检测方法及装置 |
CN108123939A (zh) * | 2017-12-14 | 2018-06-05 | 华中师范大学 | 恶意行为实时检测方法及装置 |
CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
CN110875920A (zh) * | 2018-12-24 | 2020-03-10 | 哈尔滨安天科技集团股份有限公司 | 一种网络威胁分析方法、装置、电子设备及存储介质 |
CN109922075A (zh) * | 2019-03-22 | 2019-06-21 | 中国南方电网有限责任公司 | 网络安全知识图谱构建方法和装置、计算机设备 |
CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
CN113242236A (zh) * | 2021-05-08 | 2021-08-10 | 国家计算机网络与信息安全管理中心 | 一种网络实体威胁图谱构建方法 |
CN114884703A (zh) * | 2022-04-19 | 2022-08-09 | 南京航空航天大学 | 基于威胁情报和消息传递模型的高级持续性威胁检测方法 |
CN115174154A (zh) * | 2022-06-13 | 2022-10-11 | 盈适慧众(上海)信息咨询合伙企业(有限合伙) | 高级威胁事件的处理方法、装置、终端设备和存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116545740A (zh) * | 2023-05-30 | 2023-08-04 | 阿锐巴数据科技(上海)有限公司 | 一种基于大数据的威胁行为分析方法及服务器 |
CN116545740B (zh) * | 2023-05-30 | 2024-05-14 | 阿锐巴数据科技(上海)有限公司 | 一种基于大数据的威胁行为分析方法及服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109922052B (zh) | 一种结合多重特征的恶意url检测方法 | |
CN101751535B (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
CN109933984B (zh) | 一种最佳聚类结果筛选方法、装置和电子设备 | |
CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
CN110351248B (zh) | 一种基于智能分析和智能限流的安全防护方法及装置 | |
CN111064745A (zh) | 一种基于异常行为探测的自适应反爬方法和系统 | |
CN114021040B (zh) | 基于业务访问的恶意事件的告警及防护方法和系统 | |
CN113595975B (zh) | 一种Java内存Webshell的检测方法及装置 | |
CN112560031B (zh) | 一种勒索病毒检测方法及系统 | |
CN112565278A (zh) | 一种捕获攻击的方法及蜜罐系统 | |
CN116155548A (zh) | 一种威胁识别方法及系统 | |
CN111611590B (zh) | 涉及应用程序的数据安全的方法及装置 | |
CN115630404A (zh) | 一种数据安全治理服务方法 | |
KR101104300B1 (ko) | 개인정보 데이터베이스의 접근을 위한 전용 툴을 포함한 접근 관리 시스템 및 방법 | |
CN115361182A (zh) | 一种僵尸网络行为分析方法、装置、电子设备及介质 | |
CN115114676A (zh) | 一种远程网页篡改监测方法、系统、设备及存储介质 | |
CN112989403B (zh) | 一种数据库破坏的检测方法、装置、设备及存储介质 | |
CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
CN114186278A (zh) | 数据库异常操作识别方法、装置与电子设备 | |
CN113434826A (zh) | 一种仿冒移动应用的检测方法,系统及相关产品 | |
CN109271781B (zh) | 一种基于内核的应用程序获取超级权限行为检测方法与系统 | |
CN112699373A (zh) | 一种sql注入漏洞批量检测的方法及装置 | |
CN111934949A (zh) | 一种基于数据库注入测试的安全测试系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |