CN116346502A - 基于标签规则的网络攻击组织画像方法及系统 - Google Patents

基于标签规则的网络攻击组织画像方法及系统 Download PDF

Info

Publication number
CN116346502A
CN116346502A CN202310588000.7A CN202310588000A CN116346502A CN 116346502 A CN116346502 A CN 116346502A CN 202310588000 A CN202310588000 A CN 202310588000A CN 116346502 A CN116346502 A CN 116346502A
Authority
CN
China
Prior art keywords
attack
organization
portrait
attack organization
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310588000.7A
Other languages
English (en)
Other versions
CN116346502B (zh
Inventor
袁士君
任祥辉
毕玉玲
周雅楠
郭振宇
张勇召
姜海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 15 Research Institute
Original Assignee
CETC 15 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 15 Research Institute filed Critical CETC 15 Research Institute
Priority to CN202310588000.7A priority Critical patent/CN116346502B/zh
Publication of CN116346502A publication Critical patent/CN116346502A/zh
Application granted granted Critical
Publication of CN116346502B publication Critical patent/CN116346502B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种基于标签规则的网络攻击组织画像方法及系统,属于网络空间攻击源分析技术领域,该方法包括:获取攻击组织画像的原始信息;对获取的攻击组织画像的原始信息进行分类识别,生成该攻击组织的原始数据标签;对注册账户信息数据、行为信息数据和攻击技术信息数据进行提取以及统计,形成属性数据标签;对属性数据标签进行抽象提取获取特征数据标签;通过原始数据标签、属性数据标签以及特征数据标签获取攻击组织画像,采用窗口滑动机制定时更新攻击组织画像。本申请提供的基于标签规则的网络攻击组织画像方法及系统,能够提高攻击组织画像的高低维度综合性,帮助分析人员多方位了解攻击者,为攻击组织定位与定向防御奠定了基础。

Description

基于标签规则的网络攻击组织画像方法及系统
技术领域
本发明涉及网络空间攻击源分析技术领域,尤其涉及一种基于标签规则的网络攻击组织画像方法及系统。
背景技术
随着网络信息技术在军事领域和社会领域的广泛应用、依赖深化,影响社会发展的各种目标与因素在网络空间内紧密交织,网络空间的独有特征及技术繁杂度、更新频度,为各国在网络空间的攻防博弈提出了严峻挑战。强化网络空间目标态势感知识别,提升威胁分析预警能力,切实保障全域信息网络疆土安全,是全球各个国家面临的核心课题。
目前在攻击源分析画像方面,尚需要利用模型分析与人工辅助分析相结合的方式进行威胁度判定。其中攻击者模型存在覆盖不够全面、特征丰富度低、识别准确度低等问题,从而不能获取有效的攻击源画像。
发明内容
本发明意在提供一种基于标签规则的网络攻击组织画像方法及系统,以解决现有技术中存在的不足,本发明要解决的技术问题通过以下技术方案来实现。
本发明提供的基于标签规则的网络攻击组织画像方法,包括:
对通过威胁检测分析得到的攻击组织的数据的文本内容进行实体要素抽取及实体属性值抽取,获取攻击组织画像的原始信息,其中,攻击组织的数据包括攻击组织的注册账户信息数据、行为信息数据和攻击技术信息数据;
对获取的攻击组织画像的原始信息按照匹配规则进行分类识别,根据分类结果生成该攻击组织的原始数据标签;
对通过威胁检测分析得到的攻击组织的注册账户信息数据、行为信息数据和攻击技术信息数据进行提取以及统计,根据统计结果形成属性数据标签;
对所述属性数据标签进行抽象提取获取特征数据标签;
设置原始数据标签、属性数据标签以及特征数据标签的权重,并对各个标签的权重进行归一化处理,对各个标签进行更新以及加权处理获取攻击组织画像,采用窗口滑动机制定时更新攻击组织画像。
在上述的方案中,所述属性数据标签包括:成员个人属性、行为统计属性和攻击能力属性。
在上述的方案中,所述成员个人属性可通过攻击组织成员的社交账号ID、攻击组织成员的ip地址或者攻击组织成员的域名形成。
在上述的方案中,所述行为统计属性的形成步骤为:
提取行为信息数据,并统计攻击组织的周登录次数、周登陆时长和日均访问时长,获取攻击组织的访问行为活跃度;
提取行为信息数据,统计用户登录的时间段以及用户的操作速度,获取攻击组织的计算访问习惯。
在上述的方案中,所述攻击能力属性的形成步骤为:
提取攻击技术信息数据,统计攻击组织使用的攻击工具、攻击资源、常攻击手法以及攻击意图,并将统计结果进行排序存储。
在上述的方案中,所述特征数据标签包括:个人心理/兴趣特征、行为习惯特征和攻击战术特征,所述个人心理/兴趣特征通过获取攻击组织成员在访问攻击目标的过程中的浏览以及收藏记录获取;所述攻击战术特征通过ATT&CK框架将同一攻击组织不同的攻击手法映射到不同的攻击阶段,并进行战术倾向性统计获取。
在上述的方案中,所述行为习惯特征通过对周登录次数、访问频率和日均访问时长进行加权求和获取,所述行为习惯特征表示为:
Figure SMS_2
其中,/>
Figure SMS_5
表示周登录次数,/>
Figure SMS_6
表示访问频率,
Figure SMS_1
,/>
Figure SMS_7
为登录访问周期,登录访问周期为周,/>
Figure SMS_8
表示日均访问时长,/>
Figure SMS_9
为周登录次数的加权参数,/>
Figure SMS_3
为访问频率的加权参数,/>
Figure SMS_4
为日均访问时长的加权参数。
在上述的方案中,对各个标签进行更新以及加权处理获取攻击组织画像,采用窗口滑动机制定时更新攻击组织画像包括:
将初始的攻击组织画像的向量记为0;
以T为周期,每间隔时间T,对各个标签进行更新以及加权处理获取攻击组织画像,并将数据更新存储到数据库中;
将当前的攻击组织画像的向量记为
Figure SMS_10
,将间隔时间T之前的攻击组织画像的向量记为/>
Figure SMS_11
,通过时间衰减因子e获取更新的攻击组织画像,其中,更新的攻击组织画像的向量表示为:
Figure SMS_12
在上述的方案中,所述攻击组织包括APT攻击组织、黑客团体、黑产团体以及窃密团伙。
本发明提供的基于标签规则的网络攻击组织画像系统,采用如上所述的基于标签规则的网络攻击组织画像方法进行网络攻击组织画像,包括:
基本信息画像分系统,用于根据原始数据标签匹配到注册账户信息以及注册账户关联的成员个人属性,并通过深度关联挖掘个人心理/兴趣特征;
行为特征画像分系统,用于采集行为信息,通过统计计算获取攻击组织的行为统计属性,并获取攻击组织的行为习惯特征;
攻击技术画像分系统,用于采集攻击技术信息,根据攻击技术信息获取攻击能力属性,并获取攻击战术特征;
画像更新分系统,用于对所述基本信息画像分系统、所述行为特征画像分系统以及所述攻击技术画像分系统获取的信息进行融合,并对获取的信息进行更新,通过窗口滑动机制以及时间衰减因子计算信息更新后的融合结果。
本发明实施例包括以下优点:
本发明实施例提供的基于标签规则的网络攻击组织画像方法及系统,通过分别生成原始数据标签、属性数据标签和特征数据标签,并基于各标签的权重对各个标签的进行加权处理获取攻击组织画像,能够提高攻击组织画像的高低维度综合性,帮助分析人员多方位了解攻击者,为攻击组织定位与定向防御奠定了基础。
附图说明
图1是本发明的一种基于标签规则的网络攻击组织画像方法的步骤图。
图2是本发明的形成各项标签的示意图。
图3是本发明的形成成员个人属性的流程图。
图4是本发明的一种基于标签规则的网络攻击组织画像系统的组成示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
如图1和图2所示,本发明提供一种基于标签规则的网络攻击组织画像方法,包括:
步骤S1:对通过威胁检测分析得到的攻击组织的数据的文本内容进行实体要素抽取及实体属性值抽取,获取攻击组织画像的原始信息。
具体地,所述攻击组织包括APT攻击组织、黑客团体、黑产团体以及窃密团伙等;攻击组织的数据包括攻击组织的注册账户信息数据、行为信息数据和攻击技术信息数据。
步骤S2:对获取的攻击组织画像的原始信息按照匹配规则进行分类识别,根据分类结果生成该攻击组织的原始数据标签。
步骤S3:对通过威胁检测分析得到的攻击组织的注册账户信息数据、行为信息数据和攻击技术信息数据进行提取以及统计,根据统计结果形成属性数据标签。
具体地,所述属性数据标签包括:成员个人属性、行为统计属性和攻击能力属性,其中,成员个人属性的具体组成内容如表1所示:
表1 成员个人属性的具体组成
Figure SMS_13
如图3所示,所述成员个人属性可通过攻击组织成员的社交账号ID、攻击组织成员的ip地址或者攻击组织成员的域名形成,在通过攻击组织成员形成成员个人属性过程中,利用ID从社工库进行匹配追溯邮箱和手机号,继续通过邮箱和手机号反追踪真实姓名,通过真实姓名在威胁情报平台找到教育工作经历;在通过攻击组织成员的ip地址或者攻击组织成员的域名形成成员个人属性过程中,通过Whois查询攻击组织成员的ip地址或域名,通过IP地址可采用IP-GEO映射查询地理位置,进一步获取攻击组织的企业备案信息,从而获取攻击组织成员的区域属性,通过域名可获取攻击组织成员的姓名、地址、电话和邮箱等,进一步通过注册网站、社工库获取攻击组织成员的自然属性;通过Whois可提取包括注册商、注册人、邮件、DNS解析服务器、注册人联系电话等信息
具体地,行为统计属性的具体组成内容如表2所示:
表2 行为统计属性的具体组成
Figure SMS_14
具体地,所述行为统计属性的形成步骤为:
提取行为信息数据,并统计攻击组织的周登录次数、周登陆时长和日均访问时长,获取攻击组织的访问行为活跃度;
提取行为信息数据,统计用户登录的时间段以及用户的操作速度,获取攻击组织的计算访问习惯。
具体地,攻击能力属性的具体组成内容如表3所示:
表3 攻击能力属性的具体组成
Figure SMS_15
具体地,所述攻击能力属性的形成步骤为:
提取攻击技术信息数据,统计攻击组织使用的攻击工具、攻击资源、常攻击手法以及攻击意图,并将统计结果进行排序存储。
步骤S4:对所述属性数据标签进行抽象提取获取特征数据标签。
具体地,所述特征数据标签包括:个人心理/兴趣特征、行为习惯特征和攻击战术特征。
具体地,所述个人心理/兴趣特征通过获取攻击组织成员在访问攻击目标的过程中的浏览以及收藏记录获取,攻击组织成员在访问攻击目标的过程中的浏览以及收藏等行为能反映攻击组织成员对于例如政务网、关键基础设施类网络等的特定目标的心理偏好或兴趣度,可以根据攻击组织成员在访问攻击目标的过程中的浏览以及收藏记录来分析攻击组织成员的显性兴趣和隐性兴趣,进而了解和发现攻击组织成员的目标需求,可使得构建的攻击组织画像更加完整。
具体地,所述行为习惯特征通过对周登录次数、访问频率和日均访问时长进行加权求和获取,所述行为习惯特征表示为:
Figure SMS_18
其中,/>
Figure SMS_21
表示周登录次数,/>
Figure SMS_26
表示访问频率,/>
Figure SMS_17
Figure SMS_20
为登录访问周期,登录访问周期为周,/>
Figure SMS_22
表示日均访问时长,/>
Figure SMS_24
为周登录次数的加权参数,/>
Figure SMS_16
为访问频率的加权参数,/>
Figure SMS_23
为日均访问时长的加权参数,其中,/>
Figure SMS_25
、/>
Figure SMS_27
和/>
Figure SMS_19
能够根据业务需求灵活调整。
具体地,所述攻击战术特征通过ATT&CK框架将同一攻击组织不同的攻击手法映射到不同的攻击阶段,并进行战术倾向性统计获取,其中,利用ATT&CK 框架将不同的网络空间攻击组织惯用战术进行总结,将同一攻击组织不同的攻击手法映射到不同的攻击阶段,开展技战术倾向性统计,可从宏观角度对攻击组织技战术倾向进行标签化,ATT&CK框架将攻击手法映射到以下攻击阶段进行识别:初始接入、执行、持久化、权限提升、逃避防御、获取凭证、探索、横向移动、收集、数据窃取、命令和控制。
步骤S5:设置原始数据标签、属性数据标签以及特征数据标签的权重,并对各个标签的权重进行归一化处理,对各个标签进行更新以及加权处理获取攻击组织画像,采用窗口滑动机制定时更新攻击组织画像。
具体地,对各个标签进行更新以及加权处理获取攻击组织画像,采用窗口滑动机制定时更新攻击组织画像包括:
将初始的攻击组织画像的向量记为0;
以T为周期,每间隔时间T,对各个标签进行更新以及加权处理获取攻击组织画像,并将数据更新存储到数据库中;
将当前的攻击组织画像的向量记为
Figure SMS_28
,将间隔时间T之前的攻击组织画像的向量记为/>
Figure SMS_29
,通过时间衰减因子e获取更新的攻击组织画像,其中,更新的攻击组织画像的向量表示为:
Figure SMS_30
具体地,距上一次更新标签间隔时间T后,攻击组织对原有的各个标签的兴趣程度会随时间变化进行相应的衰减,从而将上一次获取的攻击组织画像乘以随时间变化的时间衰减因子,得到随时间衰减的原有兴趣标签,叠加上当前产生新的攻击组织画像,得到考虑兴趣随时间变化的攻击组织画像。
如图4所示,本发明提供一种基于标签规则的网络攻击组织画像系统,采用以上所述的基于标签规则的网络攻击组织画像方法进行网络攻击组织画像,所述系统包括:
基本信息画像分系统,用于根据原始数据标签匹配到注册账户信息以及注册账户关联的成员个人属性,并通过深度关联挖掘个人心理/兴趣特征;
行为特征画像分系统,用于采集行为信息,通过统计计算获取攻击组织的行为统计属性,并获取攻击组织的行为习惯特征;
攻击技术画像分系统,用于采集攻击技术信息,根据攻击技术信息获取攻击能力属性,并获取攻击战术特征;
画像更新分系统,用于对所述基本信息画像分系统、所述行为特征画像分系统以及所述攻击技术画像分系统获取的信息进行融合,并对获取的信息进行更新,通过窗口滑动机制以及时间衰减因子计算信息更新后的融合结果。
具体地,本发明提供的基于标签规则的网络攻击组织画像系统,基于原始数据标签、属性数据标签以及特征数据标签对攻击组织进行抽取与高维特征画像,包括对攻击组织基本信息、攻击组织行为画像、攻击组织技战术使用画像。进而利用窗口滑动规律算法,针对攻击组织信息更新持续动态生成画像,从而可对攻击组织进行全面分析,帮助分析人员多方位了解攻击者,进而采取有效措施维护网络安全。
应该指出,上述详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语均具有与本申请所属技术领域的普通技术人员的通常理解所相同的含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式。此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,以便这里描述的本申请的实施方式能够以除了在这里图示或描述的那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于描述,在这里可以使用空间相对术语,如“在……之上”、“在……上方”、“在……上表面”、“上面的”等,用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是,空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如,如果附图中的器件被倒置,则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而,示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位,如旋转90度或处于其他方位,并且对这里所使用的空间相对描述作出相应解释。
在上面详细的说明中,参考了附图,附图形成本文的一部分。在附图中,类似的符号典型地确定类似的部件,除非上下文以其他方式指明。在详细的说明书、附图及权利要求书中所描述的图示说明的实施方案不意味是限制性的。在不脱离本文所呈现的主题的精神或范围下,其他实施方案可以被使用,并且可以作其他改变。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于标签规则的网络攻击组织画像方法,其特征在于,所述方法包括:
对通过威胁检测分析得到的攻击组织的数据的文本内容进行实体要素抽取及实体属性值抽取,获取攻击组织画像的原始信息,其中,攻击组织的数据包括攻击组织的注册账户信息数据、行为信息数据和攻击技术信息数据;
对获取的攻击组织画像的原始信息按照匹配规则进行分类识别,根据分类结果生成该攻击组织的原始数据标签;
对通过威胁检测分析得到的攻击组织的注册账户信息数据、行为信息数据和攻击技术信息数据进行提取以及统计,根据统计结果形成属性数据标签;
对所述属性数据标签进行抽象提取获取特征数据标签;
设置原始数据标签、属性数据标签以及特征数据标签的权重,并对各个标签的权重进行归一化处理,对各个标签进行更新以及加权处理获取攻击组织画像,采用窗口滑动机制定时更新攻击组织画像。
2.根据权利要求1所述的基于标签规则的网络攻击组织画像方法,其特征在于,所述属性数据标签包括:成员个人属性、行为统计属性和攻击能力属性。
3.根据权利要求2所述的基于标签规则的网络攻击组织画像方法,其特征在于,所述成员个人属性可通过攻击组织成员的社交账号ID、攻击组织成员的ip地址或者攻击组织成员的域名形成。
4.根据权利要求2所述的基于标签规则的网络攻击组织画像方法,其特征在于,所述行为统计属性的形成步骤为:
提取行为信息数据,并统计攻击组织的周登录次数、周登陆时长和日均访问时长,获取攻击组织的访问行为活跃度;
提取行为信息数据,统计用户登录的时间段以及用户的操作速度,获取攻击组织的计算访问习惯。
5.根据权利要求2所述的基于标签规则的网络攻击组织画像方法,其特征在于,所述攻击能力属性的形成步骤为:
提取攻击技术信息数据,统计攻击组织使用的攻击工具、攻击资源、常攻击手法以及攻击意图,并将统计结果进行排序存储。
6.根据权利要求1所述的基于标签规则的网络攻击组织画像方法,其特征在于,所述特征数据标签包括:个人心理/兴趣特征、行为习惯特征和攻击战术特征,所述个人心理/兴趣特征通过获取攻击组织成员在访问攻击目标的过程中的浏览以及收藏记录获取;所述攻击战术特征通过ATT&CK框架将同一攻击组织不同的攻击手法映射到不同的攻击阶段,并进行战术倾向性统计获取。
7.根据权利要求6所述的基于标签规则的网络攻击组织画像方法,其特征在于,所述行为习惯特征通过对周登录次数、访问频率和日均访问时长进行加权求和获取,所述行为习惯特征表示为:
Figure QLYQS_2
其中, />
Figure QLYQS_3
表示周登录次数, />
Figure QLYQS_5
表示访问频率,
Figure QLYQS_6
, />
Figure QLYQS_7
为登录访问周期,登录访问周期为周, />
Figure QLYQS_8
表示日均访问时长,
Figure QLYQS_9
为周登录次数的加权参数, />
Figure QLYQS_1
为访问频率的加权参数, />
Figure QLYQS_4
为日均访问时长的加权参数。
8.根据权利要求1所述的基于标签规则的网络攻击组织画像方法,其特征在于,对各个标签进行更新以及加权处理获取攻击组织画像,采用窗口滑动机制定时更新攻击组织画像包括:
将初始的攻击组织画像的向量记为0;
以T为周期,每间隔时间T,对各个标签进行更新以及加权处理获取攻击组织画像,并将数据更新存储到数据库中;
将当前的攻击组织画像的向量记为
Figure QLYQS_10
,将间隔时间T之前的攻击组织画像的向量记为/>
Figure QLYQS_11
,通过时间衰减因子e获取更新的攻击组织画像,其中,更新的攻击组织画像的向量表示为:/>
Figure QLYQS_12
9.根据权利要求1所述的基于标签规则的网络攻击组织画像方法,其特征在于,所述攻击组织包括APT攻击组织、黑客团体、黑产团体以及窃密团伙。
10.一种基于标签规则的网络攻击组织画像系统,采用如权利要求1-9任一项所述的基于标签规则的网络攻击组织画像方法进行网络攻击组织画像,其特征在于,所述系统包括:
基本信息画像分系统,用于根据原始数据标签匹配到注册账户信息以及注册账户关联的成员个人属性,并通过深度关联挖掘个人心理/兴趣特征;
行为特征画像分系统,用于采集行为信息,通过统计计算获取攻击组织的行为统计属性,并获取攻击组织的行为习惯特征;
攻击技术画像分系统,用于采集攻击技术信息,根据攻击技术信息获取攻击能力属性,并获取攻击战术特征;
画像更新分系统,用于对所述基本信息画像分系统、所述行为特征画像分系统以及所述攻击技术画像分系统获取的信息进行融合,并对获取的信息进行更新,通过窗口滑动机制以及时间衰减因子计算信息更新后的融合结果。
CN202310588000.7A 2023-05-24 2023-05-24 基于标签规则的网络攻击组织画像方法及系统 Active CN116346502B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310588000.7A CN116346502B (zh) 2023-05-24 2023-05-24 基于标签规则的网络攻击组织画像方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310588000.7A CN116346502B (zh) 2023-05-24 2023-05-24 基于标签规则的网络攻击组织画像方法及系统

Publications (2)

Publication Number Publication Date
CN116346502A true CN116346502A (zh) 2023-06-27
CN116346502B CN116346502B (zh) 2024-03-01

Family

ID=86879029

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310588000.7A Active CN116346502B (zh) 2023-05-24 2023-05-24 基于标签规则的网络攻击组织画像方法及系统

Country Status (1)

Country Link
CN (1) CN116346502B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110380896A (zh) * 2019-07-04 2019-10-25 湖北央中巨石信息技术有限公司 基于攻击图的网络安全态势感知模型和方法
CN112351031A (zh) * 2020-11-05 2021-02-09 中国电子信息产业集团有限公司 攻击行为画像的生成方法、装置、电子设备和存储介质
CN113055386A (zh) * 2021-03-12 2021-06-29 哈尔滨安天科技集团股份有限公司 一种攻击组织的识别分析方法和装置
DE202022103738U1 (de) * 2022-07-05 2022-09-06 Nadezda Abbas Ein sonifiziertes System zur Erkennung von Computerangriffen

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110380896A (zh) * 2019-07-04 2019-10-25 湖北央中巨石信息技术有限公司 基于攻击图的网络安全态势感知模型和方法
CN112351031A (zh) * 2020-11-05 2021-02-09 中国电子信息产业集团有限公司 攻击行为画像的生成方法、装置、电子设备和存储介质
CN113055386A (zh) * 2021-03-12 2021-06-29 哈尔滨安天科技集团股份有限公司 一种攻击组织的识别分析方法和装置
DE202022103738U1 (de) * 2022-07-05 2022-09-06 Nadezda Abbas Ein sonifiziertes System zur Erkennung von Computerangriffen

Also Published As

Publication number Publication date
CN116346502B (zh) 2024-03-01

Similar Documents

Publication Publication Date Title
CN106339428B (zh) 基于视频大数据的嫌疑人身份识别方法和装置
CN104601591B (zh) 网络攻击源组织检测方法
CN108737439B (zh) 一种基于自反馈学习的大规模恶意域名检测系统及方法
CN109359480B (zh) 一种面向数字图书馆的用户隐私保护方法及系统
CN102685145A (zh) 一种基于dns数据包的僵尸网络域名发现方法
CN110830490B (zh) 基于带对抗训练深度网络的恶意域名检测方法及系统
CN108092963A (zh) 网页识别方法、装置、计算机设备及存储介质
CN112333185B (zh) 一种基于dns解析的域名阴影检测方法和装置
Vargas et al. Knowing your enemies: Leveraging data analysis to expose phishing patterns against a major US financial institution
CN114070760A (zh) 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质
CN110225009B (zh) 一种基于通信行为画像的代理使用者检测方法
CN117332095A (zh) 一种基于资产探测的网络空间知识图谱构建方法
CN116346502B (zh) 基于标签规则的网络攻击组织画像方法及系统
Renjith et al. Smart filtering for user discovery and availing balance storage space continuity with faster big data service
CN112667875A (zh) 一种数据获取、数据分析方法、装置、设备及存储介质
CN110363023B (zh) 一种基于phmm的匿名网络溯源方法
Benkhelifa et al. Framework for mobile devices analysis
CN108540471B (zh) 移动应用网络流量聚类方法、计算机可读存储介质和终端
CN107341375A (zh) 一种基于网页图片暗记溯源攻击者的方法及系统
Youn et al. Research on Cyber IPB Visualization Method based on BGP Archive Data for Cyber Situation Awareness.
Junjing et al. Research on forensics of social network relationship based on big data
Frank et al. Location, location, location: mapping potential Canadian targets in online hacker discussion forums
CN113794731B (zh) 识别基于cdn流量伪装攻击的方法、装置、设备和介质
Zibima et al. Instrumenting the arts and the new media: the evolution of environmental activism in the Niger Delta
CN115037532A (zh) 基于异构图神经网络的恶意域名检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant