CN116827688B - 一种设备安全防护方法、装置、设备及介质 - Google Patents

一种设备安全防护方法、装置、设备及介质 Download PDF

Info

Publication number
CN116827688B
CN116827688B CN202311087059.4A CN202311087059A CN116827688B CN 116827688 B CN116827688 B CN 116827688B CN 202311087059 A CN202311087059 A CN 202311087059A CN 116827688 B CN116827688 B CN 116827688B
Authority
CN
China
Prior art keywords
target
equipment
network
determining
time period
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311087059.4A
Other languages
English (en)
Other versions
CN116827688A (zh
Inventor
李丹
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202311087059.4A priority Critical patent/CN116827688B/zh
Publication of CN116827688A publication Critical patent/CN116827688A/zh
Application granted granted Critical
Publication of CN116827688B publication Critical patent/CN116827688B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种设备安全防护方法、装置、设备及介质,涉及网络安全技术领域,应用于包括若干不同设备类型设备的目标网络;包括:确定目标设备;所述目标设备为目标网络中被确定为在目标时间段内会被非授权用户入侵成功的设备;获取目标设备在目标历史时间段内的行为特征;根据所述行为特征确定非授权用户对应的目标攻击类型;根据目标攻击类型确定出目标攻击类型攻击的设备的设备类型,并将其确定为目标设备类型;将目标网络中所有设备类型和所述目标设备类型相同的设备确定为第二目标设备;对目标设备和每一第二目标设备进行安全防护。本发明能够在确定即将发生网络威胁事件且网络威胁尚未入侵成功前,对目标网络中的设备进行安全防护。

Description

一种设备安全防护方法、装置、设备及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种设备安全防护方法、装置、设备及介质。
背景技术
随着网络安全技术的不断发展,网络威胁事件监测预警等设备安全防护技术的安全支撑能力不断提升。但现有的设备安全防护技术仅单独对每一设备进行安全防护,缺少在某一设备中发现不安全因素时,对该设备所属网络环境中的其他设备同时进行安全防护的过程,且仅在网络威胁已经成功渗透设备后,才能提供威胁的发现和处置能力,无法在确定某一设备即将发生网络威胁事件,且网络威胁尚未成功渗透该设备的阶段,对该设备所属网络中的各设备进行安全防护。
发明内容
有鉴于此,本发明提供一种设备安全防护方法、装置、设备及介质,能够在第一目标设备即将发生网络威胁事件且网络威胁尚未成功渗透第一目标设备前,对第一目标设备所属的目标网络中的各设备进行安全防护,充分保障目标网络中各设备的网络安全,至少部分解决现有技术中存在的问题。
具体发明内容为:
一种设备安全防护方法,应用于目标网络,所述目标网络中包括若干不同设备类型的设备;所述方法包括:
确定第一目标设备;所述第一目标设备为目标网络中被确定为在目标时间段内会被非授权用户入侵成功的设备,所述目标时间段的开始时间晚于当前时间。
获取所述第一目标设备在目标历史时间段内的行为特征;所述目标历史时间段的结束时间为当前时间。
根据所述行为特征确定所述非授权用户对应的目标攻击类型。
根据所述非授权用户对应的目标攻击类型确定出所述目标攻击类型攻击的设备的设备类型,并将其确定为目标设备类型。
将目标网络中设备类型与所述目标设备类型相同的设备确定为第二目标设备。
对所述第一目标设备和每一所述第二目标设备进行安全防护。
进一步地,所述获取所述第一目标设备在目标历史时间段内的行为特征,包括:
获取所述第一目标设备在目标历史时间段内的设备日志;所述设备日志包括:系统日志、网络日志、应用程序日志。
对所述设备日志进行数据清洗,得到目标数据。
利用时间戳分析算法对所述目标数据进行计算,得到所述第一目标设备在所述目标历史时间段内的行为特征。
进一步地,在所述确定第一目标设备之前,所述方法还包括:
获取所述目标网络内每一设备对应的网络流量数据。
根据所述网络流量数据确定所述目标网络内各设备之间的交互关系。
根据所述交互关系确定以所述目标网络内每一设备为节点的所述目标网络对应的网络拓扑结构。
进一步地,所述方法还包括:
确定所述第一目标设备在所述网络拓扑结构中的位置,以确定在所述目标网络内与所述第一目标设备存在交互关系的关键设备。
对每一所述关键设备进行安全防护。
进一步地,所述根据所述行为特征确定所述非授权用户对应的目标攻击类型,包括:
将所述行为特征与网络威胁框架中的威胁特征进行匹配,将匹配成功的威胁特征对应的攻击类型确定为所述非授权用户对应的目标攻击类型。
进一步地,所述安全防护包括:安装漏洞补丁、安装防护程序、切入隔离网。
进一步地,所述第一目标设备通过以下步骤确定,包括:
获取所述目标网络内每一设备在目标时间窗口内对应的端口信息集;所述目标时间窗口的结束时间为当前时间;所述目标时间窗口包括若干个连续排布的历史时间段,每一所述历史时间段的长度相同;所述端口信息集包括在每一所述历史时间段内被外部设备访问过的端口数量。
获取所述目标网络内每一设备在目标时间窗口内对应的前台应用特征集和后台应用特征集;所述前台应用特征集包括在每一所述历史时间段内内存占用率排序中前预设数量值个前台应用的应用特征;所述后台应用特征集包括在每一所述历史时间段内内存占用率排序中前预设数量值个后台应用的应用特征。
根据每一设备对应的端口信息集、前台应用特征集和后台应用特征集确定每一设备对应的目标特征向量。
将每一设备对应的目标特征向量输入目标模型,得到每一设备对应的在目标时间段内被非授权用户入侵成功的预测结果。
根据所述预测结果,将确定在目标时间段内会被非授权用户入侵成功的设备确定为所述第一目标设备。
一种设备安全防护装置,应用于目标网络,所述目标网络中包括若干不同设备类型的设备;所述装置包括:
第一目标设备确定模块,用于确定第一目标设备;所述第一目标设备为目标网络中被确定为在目标时间段内会被非授权用户入侵成功的设备,所述目标时间段的开始时间晚于当前时间。
特征行为获取模块,用于获取所述目标设备在目标历史时间段内的行为特征;所述目标历史时间段的结束时间为当前时间。
攻击类型确定模块,用于根据所述行为特征确定所述非授权用户对应的目标攻击类型。
目标设备类型确定模块,用于根据所述非授权用户对应的目标攻击类型确定出所述目标攻击类型攻击的设备的设备类型,并将其确定为目标设备类型。
第二目标设备确定模块,用于将目标网络中设备类型与所述目标设备类型相同的设备确定为第二目标设备。
安全防护模块,用于对所述第一目标设备和每一所述第二目标设备进行安全防护。
一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现前述方法。
一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明的有益效果体现在:
本发明首先确定在目标时间段内将会被非授权用户入侵成功的第一目标设备,然后根据第一目标设备的在距离当前时间较短的历史时间段内的行为特征确定非授权用户的目标攻击类型,再根据目标攻击类型确定即将发生的网络威胁事件攻击的设备的目标设备类型,若非授权用户入侵成功,则目标网络中目标设备类型对应的设备发生网络威胁事件的概率极大,因此将目标网络中所有设备类型与所述目标设备类型相同的设备均确定为第二目标设备,最后对第一目标设备和每一所述第二目标设备进行安全防护。本发明能够在确定即将发生网络威胁事件且网络威胁尚未成功渗透前,根据确定即将发生的网络威胁事件的攻击类型所攻击设备的设备类型,对目标网络中相应设备类型的设备进行安全防护,在实现有效避免目标网络内发生网络威胁事件、充分保障目标网络内各设备的网络安全的同时,有效降低目标网络中各设备的网络安全防护冗余,保障各设备的性能,提升终端设备侧的用户体验,并维护设备用户的数据安全和个人信息安全。本发明适用于各类网络环境,如互联网、专网、自组网等。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例一种设备安全防护方法流程图;
图2为本发明实施例一种设备安全防护装置结构图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
本发明提供一种设备安全防护方法实施例,如图1所示,应用于目标网络,所述目标网络中包括若干不同设备类型的设备,所述设备类型包括但不限于:服务器、路由器、网关、交换机、计算机、打印机;所述方法包括:
S11:确定第一目标设备;所述第一目标设备为目标网络中被确定为在目标时间段内会被非授权用户入侵成功的设备,所述目标时间段的开始时间晚于当前时间。即第一目标设备为目标网中,正处于被网络威胁渗透的过程中,尚未被成功渗透的设备。
S12:获取所述第一目标设备在目标历史时间段内的行为特征;所述目标历史时间段的结束时间为当前时间。
S13:根据所述行为特征确定所述非授权用户对应的目标攻击类型。
S14:根据所述非授权用户对应的目标攻击类型确定出所述目标攻击类型攻击的设备的设备类型,并将其确定为目标设备类型。
S15:将目标网络中设备类型与所述目标设备类型相同的设备确定为第二目标设备。
S16:对所述第一目标设备和每一所述第二目标设备进行安全防护。
图1所述实施例步骤S13中所述攻击类型包括但不限于:钓鱼攻击、恶意软件攻击、入侵攻击、拒绝服务攻击、中间人攻击、密码攻击、社会工程学攻击、侧信通攻击、WiFi攻击、物联网攻击。步骤S14可通过获取网络威胁框架中的技术信息确定出所述目标攻击类型攻击的设备的设备类型,或在步骤S11之前通过获取网络威胁框架中的技术信息生成每一攻击类型与设备类型的对应的关系,例如,SQL注入攻击与服务器相对应、路由器钓鱼攻击与路由器相对应、打印机蠕虫与打印机相对应、恶意软件攻击与计算机相对应,将对应关系写入映射表,在步骤S14读取映射表信息,以确定出所述目标攻击类型攻击的设备的设备类型。所述网络威胁框架包括但不限于:ATT&CK、Cyber Kill Chain、Diamond Model。
图1所述实施例首先确定在目标时间段内将会被非授权用户入侵成功的第一目标设备,然后根据第一目标设备的在距离当前时间较短的历史时间段内的行为特征确定非授权用户的目标攻击类型,再根据目标攻击类型确定即将发生的网络威胁事件攻击的设备的目标设备类型,若非授权用户入侵成功,则目标网络中目标设备类型对应的设备发生网络威胁事件的概率极大,因此将目标网络中所有设备类型与所述目标设备类型相同的设备均确定为第二目标设备,最后对第一目标设备和每一所述第二目标设备进行安全防护。图1所述实施例能够在确定即将发生网络威胁事件且网络威胁尚未成功渗透前,根据确定即将发生的网络威胁事件的攻击类型所攻击设备的设备类型对目标网络中相应的设备进行安全防护,在实现有效避免目标网络内发生网络威胁事件、充分保障目标网络内各设备的网络安全的同时,有效降低目标网络中各设备的网络安全防护冗余,保障各设备的性能,提升终端设备侧的用户体验,并维护设备用户的数据安全和个人信息安全。图1所述实施例适用于各类网络环境,如互联网、专网、自组网等。
优选地,所述获取所述第一目标设备在目标历史时间段内的行为特征,包括:
获取所述第一目标设备在目标历史时间段内的设备日志;所述设备日志包括:系统日志、网络日志、应用程序日志。
对所述设备日志进行数据清洗,得到目标数据。
利用时间戳分析算法对所述目标数据进行计算,得到所述第一目标设备在所述目标历史时间段内的行为特征。所述行为特征为特征向量集,特征向量集中包含目标历史时间段内每一时间戳对应的第一目标设备的行为特征向量,相邻的两个时间戳的间隔长度根据算法相关参数确定,每一行为特征向量包括设备活动频率、持续时间、事件时间间隔等特征的特征值。时间戳分析算法可以得到设备的活动频率、工作模式、周期性行为以及事件发生的时序关系,利用时间戳分析算法获取第一目标设备在目标历史时间段内的行为特征,有助于更精准地确定出所述非授权用户对应的目标攻击类型。
优选地,在所述确定第一目标设备之前,所述方法还包括:
获取所述目标网络内每一设备对应的网络流量数据。
根据所述网络流量数据确定所述目标网络内各设备之间的交互关系。
根据所述交互关系确定以所述目标网络内每一设备为节点的所述目标网络对应的网络拓扑结构。
优选地,所述方法还包括:
确定所述第一目标设备在所述网络拓扑结构中的位置,以确定在所述目标网络内与所述第一目标设备存在交互关系的关键设备。
对每一所述关键设备进行安全防护。
上述优选方案考虑到若非授权用户入侵成功,则目标网络中与第一目标设备存在交互关系的关键设备发生网络威胁事件的概率极大,因此对每一所述关键设备进行安全防护,能够进一步确保目标网络避免来自非授权用户的网络威胁攻击,更充分地保障目标网络中各设备的网络安全。
优选地,所述根据所述行为特征确定所述非授权用户对应的目标攻击类型,包括:
将所述行为特征与网络威胁框架中的威胁特征进行匹配,将匹配成功的威胁特征对应的攻击类型确定为所述非授权用户对应的目标攻击类型。
优选地,所述安全防护包括:安装漏洞补丁、安装防护程序、切入隔离网。
优选地,所述第一目标设备通过以下步骤确定,包括:
获取所述目标网络内每一设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
获取所述目标网络内每一设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排序第j的前台应用的应用特征;m为预设数量。
获取所述目标网络内每一设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最大内存占用率排序第j的后台应用的应用特征。
根据D、QTY和HTY,确定每一设备对应的目标特征向量Q =(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi)。
将每一设备对应的目标特征向量Q输入目标模型,得到每一设备对应的在目标时间段内被非授权用户入侵成功的预测结果。
根据所述预测结果,将确定在目标时间段内会被非授权用户入侵成功的设备确定为所述第一目标设备。
上述优选方案中所述的目标时间窗口的长度根据实际应用需求设置,例如考虑网络威胁行为对设备的全部端口扫描一遍的时间在10分钟内,对应地将目标时间窗口的长度设置为10分钟。所述历史时间段的长度根据实际应用需求设置,例如1分钟、30秒等,长度设置的越短获取到的目标特征向量所包含的信息越多,目标模型输出的计算结果越精确。在网络威胁行为扫描设备端口,试图攻破目标设备的过程中,可能会有部分前台应用和后台应用异常抢占内存资源,所以在目标特征向量中添加占用内存大的前台应用的应用特征和后台应用的应用特征。上述优选方案考虑到网络威胁行为在成功入侵设备前会对设备端口进行遍历,以寻找攻击突破口的特点,将设备在目标时间窗口内对应的端口信息集作为目标特征向量的一部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可能会有部分前台应用和后台应用异常抢占内存资源,将设备在目标时间窗口内内存占用率高的前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控制了目标时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分析出设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的每一设备在目标时间段内被非授权用户入侵成功的预测结果更加准确。
本发明还提供一种设备安全防护装置实施例,如图2所示,应用于目标网络,所述目标网络中包括若干不同设备类型的设备;所述装置包括:
第一目标设备确定模块21,用于确定第一目标设备;所述第一目标设备为目标网络中被确定为在目标时间段内会被非授权用户入侵成功的设备,所述目标时间段的开始时间晚于当前时间。
特征行为获取模块22,用于获取所述目标设备在目标历史时间段内的行为特征;所述目标历史时间段的结束时间为当前时间。
攻击类型确定模块23,用于根据所述行为特征确定所述非授权用户对应的目标攻击类型。
目标设备类型确定模块24,用于根据所述非授权用户对应的目标攻击类型确定出所述目标攻击类型攻击的设备的设备类型,并将其确定为目标设备类型。
第二目标设备确定模块25,用于将目标网络中设备类型与所述目标设备类型相同的设备确定为第二目标设备。
安全防护模块26,用于对所述第一目标设备和每一所述第二目标设备进行安全防护。
图2所述实施例首先确定在目标时间段内将会被非授权用户入侵成功的第一目标设备,然后根据第一目标设备的在距离当前时间较短的历史时间段内的行为特征确定非授权用户的目标攻击类型,再根据目标攻击类型确定即将发生的网络威胁事件攻击的设备的目标设备类型,若非授权用户入侵成功,则目标网络中目标设备类型对应的设备发生网络威胁事件的概率极大,因此将目标网络中所有设备类型与所述目标设备类型相同的设备均确定为第二目标设备,最后对第一目标设备和每一所述第二目标设备进行安全防护。图2所述实施例能够在确定即将发生网络威胁事件且网络威胁尚未成功渗透前,根据确定即将发生的网络威胁事件的攻击类型所攻击设备的设备类型对目标网络中相应的设备进行安全防护,在实现有效避免目标网络内发生网络威胁事件、充分保障目标网络内各设备的网络安全的同时,有效降低目标网络中各设备的网络安全防护冗余,保障各设备的性能,提升终端设备侧的用户体验,并维护设备用户的数据安全和个人信息安全。图2所述实施例适用于各类网络环境,如互联网、专网、自组网等。
优选地,所述获取所述第一目标设备在目标历史时间段内的行为特征,包括:
获取所述第一目标设备在目标历史时间段内的设备日志;所述设备日志包括:系统日志、网络日志、应用程序日志。
对所述设备日志进行数据清洗,得到目标数据。
利用时间戳分析算法对所述目标数据进行计算,得到所述第一目标设备在所述目标历史时间段内的行为特征。
优选地,还包括拓扑结构确定模块,在所述目标设备确定模块21之前执行,所述拓扑结构确定模块用于:
获取所述目标网络内每一设备对应的网络流量数据。
根据所述网络流量数据确定所述目标网络内各设备之间的交互关系。
根据所述交互关系确定以所述目标网络内每一设备为节点的所述目标网络对应的网络拓扑结构。
优选地,所述安全防护模块26还用于:
确定所述第一目标设备在所述网络拓扑结构中的位置,以确定在所述目标网络内与所述第一目标设备存在交互关系的关键设备。
对每一所述关键设备进行安全防护。
优选地,所述根据所述行为特征确定所述非授权用户对应的目标攻击类型,包括:
将所述行为特征与网络威胁框架中的威胁特征进行匹配,将匹配成功的威胁特征对应的攻击类型确定为所述非授权用户对应的目标攻击类型。
优选地,所述安全防护包括:安装漏洞补丁、安装防护程序、切入隔离网。
优选地,所述第一目标设备通过以下步骤确定,包括:
获取所述目标网络内每一设备在目标时间窗口内对应的端口信息集;所述目标时间窗口包括若干个连续排布的历史时间段,每一所述历史时间段的长度相同;所述端口信息集包括在每一所述历史时间段内被外部设备访问过的端口数量。
获取所述目标网络内每一设备在目标时间窗口内对应的前台应用特征集和后台应用特征集;所述前台应用特征集包括在每一所述历史时间段内内存占用率排序中前预设数量值个前台应用的应用特征;所述后台应用特征集包括在每一所述历史时间段内内存占用率排序中前预设数量值个后台应用的应用特征。
根据每一设备对应的端口信息集、前台应用特征集和后台应用特征集确定每一设备对应的目标特征向量。
将每一设备对应的目标特征向量输入目标模型,得到每一设备对应的在目标时间段内被非授权用户入侵成功的预测结果。
根据所述预测结果,将确定在目标时间段内会被非授权用户入侵成功的设备确定为所述第一目标设备。
图2所述实施例为图1所述方法实施例所对应的装置实施例,图2所述实施例的部分实现过程和技术效果与图1所述实施例相近,因此,对图2所述实施例的描述较为简单,相关之处请参照图1所述实施例。
本发明所述实施例中,确定目标设备的优选方案还包括:
QTYij=(QCPUij,QRAMij,QWLij);其中,QCPUij为第j个前台应用在第i个历史时间段内的最大CPU占用率,QRAMij为第j个前台应用在第i个历史时间段内的最大内存占用率,QWLij为第j个前台应用在第i个历史时间段内的最大网络占用率。
HTYij=(HCPUij,HRAMij,HWLij);其中,HCPUij为第j个后台应用在第i个历史时间段内的最大CPU占用率,HRAMij为第j个后台应用在第i个历史时间段内的最大内存占用率,HWLij为第j个后台应用在第i个历史时间段内的最大网络占用率。
优选地,所述将每一设备对应的目标特征向量Q输入目标模型,得到每一设备对应的在目标时间段内被非授权用户入侵成功的预测结果,包括:
将每一设备对应的目标特征向量Q输入目标模型,得到所述每一设备对应的发生网络威胁事件的概率集V=(V1,V2,…,Vh,…,Vk);其中,h=1,2,…,k;Vh为所述设备对应的在第h个预测时间段内发生网络威胁事件的概率;各预测时间段连续排布,且对应的时长相同;每一预测时间段均晚于当前时间;k为预设的预测时间段的数量。
确定所述每一设备对应的概率集V中数值最大的概率Vmax是否大于预设概率值。
若大于预设概率值,则将Vmax对应的预测时间段确定为对应设备被非授权用户入侵成功的目标时间段。
上述优选方案中,由于实际设备的参数、性能指标、开放端口等情况不同,各非授权用户入侵行为从端口嗅探到攻破端口成功入侵设备的时长不同,所述预测时间段的时长根据实际应用需求确定,例如30分钟、2小时、24小时等,例如,若k=7,预测时间段的时长为24小时,则V为设备在未来7天每一天被非授权用户入侵成功发生网络威胁事件的概率。所述预设概率值根据实际应用需求设定,例如0.3、0.5等。
优选地,所述目标模型内包括经过训练后得到的端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述Vh
w=(w1,w2,…,wh,…,wk);wh=(wh1,wh2,…,whi,…,whn);其中,wh为第h个预测时间段对应的端口参数列表,whi为第h个预测时间段对应的Di的参数。
e=(e1,e2,…,eh,…,ek);eh=(eh1,eh2,…,ehi,…,ehn);其中,eh为第h个预测时间段对应的前台应用特征参数列表;ehi为第h个预测时间段对应的QTYi的参数列表;ehi=(ehi1,ehi2,…,ehij,…,ehim);ehij为第h个预测时间段对应的QTYij的参数。
r=(r1,r2,…,rh,…,rk);rh=(rh1,rh2,…,rhi,…,rhn);其中,rh为第h个预测时间段对应的后台应用特征参数列表;rhi为第h个预测时间段对应的HTYi的参数列表;rhi=(rhi1,rhi2,…,rhij,…,rhim);rhij为第h个预测时间段对应的HTYij的参数。
Vh=wh1*D1+wh2*D2+…+whi*Di+…+whn*Dn+eh11*QTY11+eh12*QTY12+…+ehij*QTYij+…+ehnm*QTYnm+ rh11*HTY11+rh12*HTY12+…+rhij*HTYij+…+rhnm*HTYnm
优选地,所述端口参数集w、前台应用参数集e和后台应用参数集r,通过以下方法获取:
获取第一数据集M=(M1,M2,…,Ma,…,Mb);其中,a=1,2,…,b;Ma为第a个第一类设备在第一时间窗口内对应的特征向量集;所述第一类设备为发生过网络威胁事件的设备;每一第一类设备对应的第一时间窗口的结束时间为对应的当前状态确定为被网络威胁入侵成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k-1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h-1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的数值为1,其余标记位的数值为0。
获取第二数据集H=(H1,H2,…,Hx,…,Hg);其中,x=1,2,…,g;Hx为第x个第二类设备在第二时间窗口内对应的特征向量;所述第二类设备为未发生过网络威胁事件的设备;每一第二类设备对应的第二时间窗口与所述关键时间窗口的长度相同;H中每一特征向量对应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
根据M和H对初始模型进行训练,已得到所述端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述目标模型。
上述优选方案中,考虑到发生过网络威胁事件的第一类设备相较于未发生过网络威胁事件的第二类设备的设备数量少,为获取足够的负样本数据,通过关键时间窗口滑动的方式,采集每一第一类设备在对应的时间窗口内的k个特征向量,即获取到b个第一类设备对应的共计b*k个负样本数据。在正样本数据的获取方面,为保障正样本数据的多样性,仅获取每一第二类设备在对应的时间窗口内的一个特征向量,每一第二类设备对应的时间窗口的结束时间随机。为保障正样本数据的数量,g≥b*k。
上述优选方案举例如下:
假设t’=24小时,k=7,则每一第一设备对应的第一时间窗口的长度为312小时,即13天,每一第一类设备对应的关键时间窗口的长度为168小时,即7天,所述关键时间窗口按照每次向前滑动24小时的规则滑动,在每一第一类设备对应的第一时间窗口内共计滑动(k-1)次,关键时间窗口从初始状态起到滑动结束,得到每一第一类设备在对应的第一时间窗口内对应的7个特征向量。若第a个第一类设备在6月30日0时确定为被网络威胁入侵成功,则第a个第一类设备对应的第一时间窗口和关键时间窗口的结束时间为6月30日0时,即6月24日24时,Ma1为第a个第一类设备在6月17日24时到6月24日24时的时间内对应的特征向量,且Ma1对应的概率标签为(1,0,0,0,0,0,0),代表第a个第一类设备在6月25日被成功渗透,发生网络威胁事件,相应地Ma2为第a个第一类设备在6月16日24时到6月23日24时的时间内对应的特征向量,Ma2对应的概率标签为(0,1,0,0,0,0,0),代表第a个第一类设备在6月24日安全,在6月25日被成功渗透,发生网络威胁事件,以此类推,Ma7为第a个第一类设备在对应的第一时间窗口内对应的最后一个特征向量,Ma7对应的概率标签为(0,0,0,0,0,0,1)。每一第二类设备对应的特征向量为正样本数据,相应地,每一正样本数据对应的概率标签均为(0,0,0,0,0,0,0)。
优选地,训练所述目标模型时,第h个预测时间段对应的端口参数、前台应用特征参数和后台应用特征参数,满足如下约束条件:
wh1+wh2+…+whi+…+whn=rat1
eh11+eh12+…+ehij+…+ehnm=rat2
rh11+rh12+…+rhij+…+rhnm=rat2
wh1,wh2,…,whi,…,whn,eh11,eh12,…,ehij,…,ehnm,rh11,rh12,…,rhij,…,rhnm均不等于0;
其中,rat1和rat2为预设的系数约束值,rat1+2*rat2=1。
上述优选方案中,eh11,eh12,…,ehij,…,ehnm的和与rh11,rh12,…,rhij,…,rhnm的和相同,使得目标模型能够更好地平衡一定时间内内存占用率高的前台应用和后台应用对目标设备的影响。
优选地,所述被外部设备访问过的端口的数量为接收到Telnet数据的端口的数量;所述Telnet数据包括:Telnet数据包、Telnet指令。非授权用户入侵行为在嗅探设备端口寻找突破口时,会对设备的每一端口进行遍历并发送Telnet数据,以确定开放的端口和存在漏洞的端口,然后尝试攻击。每一设备对应的端口总数为65535个,全部遍历一遍的时间通常在10分钟之内。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (9)

1.一种设备安全防护方法,其特征在于,应用于目标网络,所述目标网络中包括若干不同设备类型的设备;所述方法包括:
确定第一目标设备;所述第一目标设备为目标网络中被确定为在目标时间段内会被非授权用户入侵成功的设备,所述目标时间段的开始时间晚于当前时间;
获取所述第一目标设备在目标历史时间段内的行为特征;所述目标历史时间段的结束时间为当前时间;
根据所述行为特征确定所述非授权用户对应的目标攻击类型;
根据所述非授权用户对应的目标攻击类型确定出所述目标攻击类型攻击的设备的设备类型,并将其确定为目标设备类型;
将目标网络中设备类型与所述目标设备类型相同的设备确定为第二目标设备;
对所述第一目标设备和每一所述第二目标设备进行安全防护;
其中,所述第一目标设备通过以下步骤确定,包括:
获取所述目标网络内每一设备在目标时间窗口内对应的端口信息集;所述目标时间窗口的结束时间为当前时间;所述目标时间窗口包括若干个连续排布的历史时间段,每一所述历史时间段的长度相同;所述端口信息集包括在每一所述历史时间段内被外部设备访问过的端口数量;
获取所述目标网络内每一设备在目标时间窗口内对应的前台应用特征集和后台应用特征集;所述前台应用特征集包括在每一所述历史时间段内内存占用率排序中前预设数量值个前台应用的应用特征;所述后台应用特征集包括在每一所述历史时间段内内存占用率排序中前预设数量值个后台应用的应用特征;
根据每一设备对应的端口信息集、前台应用特征集和后台应用特征集确定每一设备对应的目标特征向量;
将每一设备对应的目标特征向量输入目标模型,得到每一设备对应的在目标时间段内被非授权用户入侵成功的预测结果;
根据所述预测结果,将确定在目标时间段内会被非授权用户入侵成功的设备确定为所述第一目标设备。
2.根据权利要求1所述的方法,其特征在于,所述获取所述第一目标设备在目标历史时间段内的行为特征,包括:
获取所述第一目标设备在目标历史时间段内的设备日志;所述设备日志包括:系统日志、网络日志、应用程序日志;
对所述设备日志进行数据清洗,得到目标数据;
利用时间戳分析算法对所述目标数据进行计算,得到所述第一目标设备在所述目标历史时间段内的行为特征。
3.根据权利要求1或2所述的方法,其特征在于,在所述确定第一目标设备之前,所述方法还包括:
获取所述目标网络内每一设备对应的网络流量数据;
根据所述网络流量数据确定所述目标网络内各设备之间的交互关系;
根据所述交互关系确定以所述目标网络内每一设备为节点的所述目标网络对应的网络拓扑结构。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
确定所述第一目标设备在所述网络拓扑结构中的位置,以确定在所述目标网络内与所述第一目标设备存在交互关系的关键设备;
对每一所述关键设备进行安全防护。
5.根据权利要求1或4所述的方法,其特征在于,所述根据所述行为特征确定所述非授权用户对应的目标攻击类型,包括:
将所述行为特征与网络威胁框架中的威胁特征进行匹配,将匹配成功的威胁特征对应的攻击类型确定为所述非授权用户对应的目标攻击类型。
6.根据权利要求5所述的方法,其特征在于,所述安全防护包括:安装漏洞补丁、安装防护程序、切入隔离网。
7.一种设备安全防护装置,其特征在于,应用于目标网络,所述目标网络中包括若干不同设备类型的设备;所述装置包括:
第一目标设备确定模块,用于确定第一目标设备;所述第一目标设备为目标网络中被确定为在目标时间段内会被非授权用户入侵成功的设备,所述目标时间段的开始时间晚于当前时间;
特征行为获取模块,用于获取所述第一目标设备在目标历史时间段内的行为特征;所述目标历史时间段的结束时间为当前时间;
攻击类型确定模块,用于根据所述行为特征确定所述非授权用户对应的目标攻击类型;
目标设备类型确定模块,用于根据所述非授权用户对应的目标攻击类型确定出所述目标攻击类型攻击的设备的设备类型,并将其确定为目标设备类型;
第二目标设备确定模块,用于将目标网络中设备类型与所述目标设备类型相同的设备确定为第二目标设备;
安全防护模块,用于对所述第一目标设备和每一所述第二目标设备进行安全防护;
其中,所述第一目标设备通过以下步骤确定,包括:
获取所述目标网络内每一设备在目标时间窗口内对应的端口信息集;所述目标时间窗口的结束时间为当前时间;所述目标时间窗口包括若干个连续排布的历史时间段,每一所述历史时间段的长度相同;所述端口信息集包括在每一所述历史时间段内被外部设备访问过的端口数量;
获取所述目标网络内每一设备在目标时间窗口内对应的前台应用特征集和后台应用特征集;所述前台应用特征集包括在每一所述历史时间段内内存占用率排序中前预设数量值个前台应用的应用特征;所述后台应用特征集包括在每一所述历史时间段内内存占用率排序中前预设数量值个后台应用的应用特征;
根据每一设备对应的端口信息集、前台应用特征集和后台应用特征集确定每一设备对应的目标特征向量;
将每一设备对应的目标特征向量输入目标模型,得到每一设备对应的在目标时间段内被非授权用户入侵成功的预测结果;
根据所述预测结果,将确定在目标时间段内会被非授权用户入侵成功的设备确定为所述第一目标设备。
8.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-6中任意一项所述的方法。
9.一种电子设备,其特征在于,包括处理器和权利要求8中所述的非瞬时性计算机可读存储介质。
CN202311087059.4A 2023-08-28 2023-08-28 一种设备安全防护方法、装置、设备及介质 Active CN116827688B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311087059.4A CN116827688B (zh) 2023-08-28 2023-08-28 一种设备安全防护方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311087059.4A CN116827688B (zh) 2023-08-28 2023-08-28 一种设备安全防护方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN116827688A CN116827688A (zh) 2023-09-29
CN116827688B true CN116827688B (zh) 2023-11-10

Family

ID=88113073

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311087059.4A Active CN116827688B (zh) 2023-08-28 2023-08-28 一种设备安全防护方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN116827688B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110808836A (zh) * 2019-11-19 2020-02-18 武汉思普崚技术有限公司 一种网络认证攻击预测方法及系统
CN112822206A (zh) * 2021-01-29 2021-05-18 清华大学 网络协同攻击行为的预测方法、装置以及电子设备
CN114006744A (zh) * 2021-10-28 2022-02-01 中能电力科技开发有限公司 一种基于lstm的电力监控系统网络安全态势预测方法及系统
CN115314255A (zh) * 2022-07-11 2022-11-08 深信服科技股份有限公司 攻击结果的检测方法、装置、计算机设备和存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9503470B2 (en) * 2002-12-24 2016-11-22 Fred Herz Patents, LLC Distributed agent based model for security monitoring and response
US11882137B2 (en) * 2019-10-21 2024-01-23 Avast Software, S.R.O. Network security blacklist derived from honeypot statistics

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110808836A (zh) * 2019-11-19 2020-02-18 武汉思普崚技术有限公司 一种网络认证攻击预测方法及系统
CN112822206A (zh) * 2021-01-29 2021-05-18 清华大学 网络协同攻击行为的预测方法、装置以及电子设备
CN114006744A (zh) * 2021-10-28 2022-02-01 中能电力科技开发有限公司 一种基于lstm的电力监控系统网络安全态势预测方法及系统
CN115314255A (zh) * 2022-07-11 2022-11-08 深信服科技股份有限公司 攻击结果的检测方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN116827688A (zh) 2023-09-29

Similar Documents

Publication Publication Date Title
AU2019216687B2 (en) Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness
Moudoud et al. Prediction and detection of FDIA and DDoS attacks in 5G enabled IoT
CN108353079B (zh) 对针对基于云的应用的网络威胁的检测
Ray et al. Using attack trees to identify malicious attacks from authorized insiders
US20160080403A1 (en) System and method for monitoring data and providing alerts
US11757931B2 (en) Detection of brute force attacks
US9338187B1 (en) Modeling user working time using authentication events within an enterprise network
US9477839B2 (en) Methods for centralized privacy-preserving collaborative threat mitigation
US20210011999A1 (en) Method for Systematic Collection and Analysis of Forensic Data in a Unified Communications System Deployed in a Cloud Environment
Goyal et al. Discovering signals from web sources to predict cyber attacks
CA2495147A1 (en) Control systems and methods using a partially-observable markov decision process (po-mdp)
US11770409B2 (en) Intrusion management with threat type clustering
US20220278999A1 (en) Real-time detection of malicious activity through collaborative filtering
Kondakci Analysis of information security reliability: A tutorial
CN116827688B (zh) 一种设备安全防护方法、装置、设备及介质
CN116827687B (zh) 一种网络安全防护方法、装置及介质
Jagdish et al. Modeling software architecture design on data storage security in cloud computing environments
US11496508B2 (en) Centralized security package and security threat management system
Chen et al. Active event correlation in Bro IDS to detect multi-stage attacks
CN112241535A (zh) 一种基于流量数据分析的服务器安全策略配置方法
Venkatesan et al. Modeling Software Architecture Design on Data Storage Security in Cloud Computing Environments
Sharma Cybercrimes and Digital Forensics in Internet of Things
Osipov et al. Distributed profile of typical user behavior in a multi-system environment
US20240154981A1 (en) Logging configuration system and method
Choudhary et al. Detection and Isolation of Zombie Attack under Cloud Computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant