CN117134999B - 一种边缘计算网关的安全防护方法、存储介质及网关 - Google Patents
一种边缘计算网关的安全防护方法、存储介质及网关 Download PDFInfo
- Publication number
- CN117134999B CN117134999B CN202311397578.0A CN202311397578A CN117134999B CN 117134999 B CN117134999 B CN 117134999B CN 202311397578 A CN202311397578 A CN 202311397578A CN 117134999 B CN117134999 B CN 117134999B
- Authority
- CN
- China
- Prior art keywords
- attack
- intrusion
- threat
- link
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000000694 effects Effects 0.000 claims abstract description 97
- 239000013598 vector Substances 0.000 claims description 84
- 230000009545 invasion Effects 0.000 claims description 20
- 230000004927 fusion Effects 0.000 claims description 18
- 238000001514 detection method Methods 0.000 claims description 17
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 6
- 230000035515 penetration Effects 0.000 claims description 3
- 230000010354 integration Effects 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 70
- 230000008450 motivation Effects 0.000 description 9
- 238000013528 artificial neural network Methods 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000005336 cracking Methods 0.000 description 6
- 125000004122 cyclic group Chemical group 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 239000011159 matrix material Substances 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 230000003542 behavioural effect Effects 0.000 description 3
- 230000010485 coping Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241000150494 Asikkala orthohantavirus Species 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 239000003826 tablet Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种边缘计算网关的安全防护方法、存储介质及网关,通过获取第一样例攻击事件数据簇和第二样例攻击事件数据簇,分别包含了在标定会话节点区间内的威胁攻击操作。标定会话节点区间位于第一和第二会话节点区间之间。然后,结合这些样例攻击事件数据簇,估计目标攻击源在标定会话节点区间内的威胁攻击操作。最后,根据估计结果,对相应的网关会话活动进行威胁攻击防护预配置。由此,利用攻击事件数据簇来推导出目标攻击源在特定会话节点区间内的威胁攻击操作,从而能够更早地识别和预防潜在的攻击。通过对目标攻击源进行针对性的威胁攻击防护预配置,可以有效增强网关会话服务的安全性和防御能力。
Description
技术领域
本申请涉及边缘计算网关技术领域,具体而言,涉及一种边缘计算网关的安全防护方法、存储介质及网关。
背景技术
在网络安全领域,保护网关会话服务免受威胁攻击是至关重要的。边缘计算网关的会话服务是指位于网络边界的设备或系统,用于管理和转发网络流量,并提供安全访问控制等功能。然而,恶意攻击者可能利用漏洞、恶意软件或其它技术手段对网关会话服务进行攻击,从而危害网络的安全性和可靠性。
现有的网络安全技术主要侧重于检测和应对已知的攻击模式和威胁指标。常见的技术包括入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙、流量分析等。这些技术通常采用规则或者特征匹配方法来识别威胁攻击行为,然而需要预先定义特征匹配规则,其识别能力有限,并且主要是根据已发生的攻击行为进行检测和响应,无法提前预防攻击行为的发生。
发明内容
为了至少克服现有技术中的上述不足,本申请的目的在于提供一种边缘计算网关的安全防护方法、存储介质及网关。
第一方面,本申请提供一种边缘计算网关的安全防护方法,应用于边缘计算网关,所述方法包括:
获取第一样例攻击事件数据簇和第二样例攻击事件数据簇,所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇用于对网关会话服务活动中在标定会话节点区间内的威胁攻击操作进行提前估计,所述第一样例攻击事件数据簇包含所述网关会话服务活动的第一会话节点区间内的若干第一样例威胁攻击操作;所述第二样例攻击事件数据簇包含所述网关会话服务活动的第二会话节点区间内的若干第二样例威胁攻击操作;所述标定会话节点区间在所述网关会话服务活动中置于所述第一会话节点区间和所述第二会话节点区间之间,所述第一会话节点区间为当前时间节点之前的任意一个会话节点区间,所述第二会话节点区间为当前时间节点之后的任意一个假设会话节点区间,所述第一样例攻击事件数据簇为第一会话节点区间的已发生的攻击事件数据簇,所述第二样例攻击事件数据簇为第二会话节点区间的未发生的假定攻击事件数据簇,所述第一样例威胁攻击操作和所述第二样例威胁攻击操作中都涵盖目标攻击源;
结合所述第一样例攻击事件数据簇和第二样例攻击事件数据簇估计所述网关会话服务活动中所述目标攻击源在所述标定会话节点区间内的威胁攻击操作;
结合估计的所述目标攻击源在所述标定会话节点区间内的威胁攻击操作,对所述目标攻击源相对应的网关会话活动进行威胁攻击防护预配置。
一些可替代的实施例中,所述结合所述第一样例攻击事件数据簇和第二样例攻击事件数据簇估计所述网关会话服务活动中所述目标攻击源在所述标定会话节点区间内的威胁攻击操作,具体通过以下步骤实现:
对所述第一样例威胁攻击操作中及所述第二样例威胁攻击操作中的目标攻击源的攻击演进状态进行分析,生成所述目标攻击源的攻击演进状态矢量;
获取所述目标攻击源在所述标定会话节点区间内的攻击入侵链路数据;
结合所述目标攻击源的攻击演进状态矢量及所述目标攻击源在标定会话节点区间内的攻击入侵链路数据,估计所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作;
所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作包括K个;所述标定会话节点区间内的K个威胁攻击操作中的任意一个表示为第x个威胁攻击操作;若x=1,则获取所述目标攻击源在标定会话节点区间内的攻击入侵链路数据,包括:
获取第一攻击入侵链路异常信息,所述第一攻击入侵链路异常信息表征所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第一样例攻击入侵链路信息之间的差异特征,所述第一样例攻击入侵链路信息是根据所述第一样例攻击事件数据簇中的若干第一样例威胁攻击操作提取的;
对所述第一攻击入侵链路异常信息进行偏离特征估计,生成第一攻击入侵链路偏离特征;
结合所述第一攻击入侵链路偏离特征对所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择,生成所述目标攻击源在所述第x个威胁攻击操作中的攻击入侵链路信息;
结合所述目标攻击源的开始攻击入侵链路位置,所述目标攻击源的终止攻击入侵链路位置和所述目标攻击源在所述第x个威胁攻击操作中的攻击入侵链路信息,确定所述目标攻击源在标定会话节点区间内的攻击入侵链路数据;
所述目标攻击源的开始攻击入侵链路位置是根据所述第一样例威胁攻击操作确定的,所述目标攻击源的终止攻击入侵链路位置是根据所述第二样例威胁攻击操作确定的。
一些可替代的实施例中,所述对所述第一攻击入侵链路异常信息进行偏离特征估计,生成第一攻击入侵链路偏离特征,包括:
融合所述第一攻击入侵链路异常信息和所述攻击演进状态矢量,生成第一融合特征信息;
结合偏离特征估计模型对第一融合特征信息进行偏离特征估计,生成估计偏离特征;
对所述估计偏离特征进行分解,生成第一攻击入侵链路偏离特征。
一些可替代的实施例中,所述获取第一攻击入侵链路异常信息,包括:
基于攻击入侵链路观测模型对所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇进行攻击入侵链路观测,生成所述目标攻击源在所述标定会话节点区间内的观测攻击入侵链路;或者,结合所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇进行链路建模,生成所述目标攻击源在所述第一会话节点区间内的观测攻击入侵链路;
结合所述目标攻击源在所述第一会话节点区间内的观测攻击入侵链路,生成所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息;
对所述第一样例攻击事件数据簇中的若干第一样例威胁攻击操作进行攻击入侵链路提取,生成第一样例攻击入侵链路信息;
结合所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和所述第一样例攻击入侵链路信息之间的差异特征,计算第一攻击入侵链路异常信息。
一些可替代的实施例中,所述标定会话节点区间内的K个威胁攻击操作根据威胁攻击时序进行排列;若x不等于1,则获取所述目标攻击源在标定会话节点区间内的攻击入侵链路数据,包括:
获取第二攻击入侵链路异常信息,所述第二攻击入侵链路异常信息表征所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第二样例攻击入侵链路信息之间的差异特征,所述第二样例攻击入侵链路信息为所述目标攻击源在第x-1个威胁攻击操作中的攻击入侵链路信息;
对所述第二攻击入侵链路异常信息进行偏离特征估计,生成第二攻击入侵链路偏离特征;
结合所述第二攻击入侵链路偏离特征对所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择,生成所述目标攻击源在所述第x个威胁攻击操作中的攻击入侵链路信息;
结合所述目标攻击源在所述K个威胁攻击操作中的前x个威胁攻击操作中的攻击入侵链路信息,以及所述目标攻击源的开始攻击入侵链路位置和所述目标攻击源的终止攻击入侵链路位置,确定所述目标攻击源在标定会话节点区间内的攻击入侵链路数据;
所述对所述第二攻击入侵链路异常信息进行偏离特征估计,生成第二攻击入侵链路偏离特征,包括:获取所述第x个威胁攻击操作的攻击状态特征,所述第x个威胁攻击操作的攻击状态特征包括:
结合第x-1个威胁攻击操作提取的所述目标攻击源的前向攻击演进状态矢量,以及结合所述第二样例攻击事件数据簇中若干第二样例威胁攻击操作提取的所述目标攻击源的后向攻击演进状态矢量,所述前向攻击演进状态矢量指的是在威胁攻击操作序列中,从第一个操作到第x-1个操作期间,目标攻击源所经历的状态变化,用来描述攻击者在前一次攻击操作之前对目标系统进行的各种操作、渗透或侵入的情况,所述后向攻击演进状态矢量指的是在威胁攻击操作序列中,从第x+1个操作到最后一个操作期间,目标攻击源所经历的状态变化,用来描述攻击者在当前操作之后可能采取的攻击行为、数据泄露的情况;
融合所述第二攻击入侵链路异常信息和所述第x个威胁攻击操作的攻击状态特征,生成第二融合特征;
结合偏离特征估计模型对第二融合特征进行偏离特征估计,生成目标第二融合特征;
对目标第二融合特征进行分解,生成第二攻击入侵链路偏离特征;
所述获取第二攻击入侵链路异常信息,包括:
基于攻击入侵链路观测模型对所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇进行攻击入侵链路观测,生成所述目标攻击源在所述标定会话节点区间内的观测攻击入侵链路;或者,结合所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇进行链路建模,生成所述目标攻击源在所述第一会话节点区间内的观测攻击入侵链路;
结合所述目标攻击源在所述第一会话节点区间内的观测攻击入侵链路,生成所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息;
将所述目标攻击源在第x-1个威胁攻击操作中的攻击入侵链路信息,输出为第二样例攻击入侵链路信息;
结合所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和所述第二样例攻击入侵链路信息之间的差异特征,计算第二攻击入侵链路异常信息。
一些可替代的实施例中,所述第一样例攻击事件数据簇中的第一样例威胁攻击操作和所述第二样例攻击事件数据簇中的第二样例威胁攻击操作均结合在所述网关会话服务活动中的威胁攻击时序进行排列;
所述方法还包括:
将所述第一样例攻击事件数据簇中最后一个第一样例威胁攻击操作中所述目标攻击源的入侵实例输出为第一入侵实例,并将所述第二样例攻击事件数据簇中第一个第二样例威胁攻击操作中所述目标攻击源的入侵实例输出为第二入侵实例;
结合所述第一入侵实例和所述第二入侵实例的入侵实例异常信息,确定所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作的数量;
其中,所述入侵实例异常信息包括以下至少一项:所述第一入侵实例和所述第二入侵实例之间的入侵轨迹偏离特征、所述第一入侵实例对应的入侵轨迹特征、所述第二入侵实例对应的入侵轨迹特征。
一些可替代的实施例中,所述目标攻击源在所述标定会话节点区间内的攻击入侵链路数据通过K*M的矩阵空间进行表示,K为所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作的数量,M为所述目标攻击源在所述标定会话节点区间内的攻击入侵链路信息的维度。
一些可替代的实施例中,所述结合所述目标攻击源的攻击演进状态矢量及所述目标攻击源在标定会话节点区间内的攻击入侵链路数据,估计所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作,包括:
结合入侵检测模型结合所述目标攻击源在所述标定会话节点区间内的攻击入侵链路数据和所述目标攻击源的攻击演进状态矢量,估计所述目标攻击源在所述标定会话节点区间内的攻击入侵链路信息;
对所述标定会话节点区间内的攻击入侵链路信息进行虚拟估计生成,生成所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作。
一些可替代的实施例中,所述方法还包括:
结合威胁攻击操作在所述网关会话服务活动中的威胁攻击时序,对所述第一样例攻击事件数据簇中的第一样例威胁攻击操作,在所述标定会话节点区间内的威胁攻击操作和所述第二样例攻击事件数据簇中的第二样例威胁攻击操作进行攻击流整合,生成目标威胁攻击映像数据。
譬如,一些可替代的实施例中,结合估计的所述目标攻击源在所述标定会话节点区间内的威胁攻击操作,对所述目标攻击源相对应的网关会话活动进行威胁攻击防护预配置,具体通过以下步骤实现:
获取与估计的所述目标攻击源在所述标定会话节点区间内的威胁攻击操作所对应的防护配置字段,并结合所述防护配置字段从所述目标攻击源相对应的网关会话活动的预置防护配置资源数据中提取对应的初始防护配置数据;
获取所述目标攻击源在指定先验攻击阶段内的攻击特性数据,并结合所述攻击特性数据从所述初始防护配置数据中提取对应的目标防护配置数据,以将所述目标防护配置数据加载到所述网关会话活动中。
譬如,一些可替代的实施例中,所述获取所述目标攻击源在指定先验攻击阶段内的攻击特性数据,具体通过以下步骤实现:
获取获取所述目标攻击源在指定先验攻击阶段内的多个攻击行为倾向数据,并对各攻击行为倾向数据进行预处理,各所述攻击行为倾向数据包括多个行为倾向元素,各所述行为倾向元素包括攻击手段元素和攻击动机元素;
将预处理后的各攻击行为倾向数据导入第一图自编码器,生成各所述攻击行为倾向数据的图攻击特征成员及图关联特征,结合各所述攻击行为倾向数据的图攻击特征成员及图关联特征确定各所述攻击行为倾向数据的攻击特性矢量,对多个所述攻击特性矢量进行分团,并结合分团结果确定各分团特性类别的初始分团中心,所述分团特性类别反映攻击特性标签;
结合预处理后的各攻击行为倾向数据构建知识图谱,所述知识图谱的知识节点为各攻击行为倾向数据,所述知识图谱的各个节点关联属性反映连通的两个攻击行为倾向数据之间的攻击联系信息;
将预处理后的各攻击行为倾向数据导入第二图自编码器,生成各所述攻击行为倾向数据的第一图自编码矢量,将所述知识图谱导入循环神经网络,结合所述知识图谱以及所述第二图自编码器的各层自编码节点生成的第一序列重要矢量确定所述循环神经网络的各层隐藏层生成的第二序列重要矢量,并将所述循环神经网络的最后一层的隐藏层的输出作为各所述攻击行为倾向数据的第二图自编码矢量;
结合所述第二图自编码矢量及所述初始分团中心得到所述攻击行为倾向数据的第二聚类信息,并获取所述第二聚类信息中聚类元素数量大于设定元素数量的分团特性类别对应的攻击特性标签作为所述目标攻击源在指定先验攻击阶段内的攻击特性数据。
譬如,一些可替代的实施例中,结合所述第二图自编码矢量及所述初始分团中心得到所述攻击行为倾向数据的第二聚类信息,包括:
结合所述第二图自编码矢量及各所述初始分团中心得到所述攻击行为倾向数据的第一聚类信息;
结合所述第一聚类信息分别调整所述初始分团中心和第二图自编码矢量以得到调整后的分团中心和调整后的第二图自编码矢量;
结合所述调整后的第二图自编码矢量和调整后的分团中心得到所述攻击行为倾向数据的第二聚类信息。
譬如,一些可替代的实施例中,对各攻击行为倾向数据进行预处理,包括:
将所述指定先验攻击阶段平均划分为多个攻击子阶段;
获取各攻击子阶段内的各攻击行为倾向数据的各行为倾向元素,并将各攻击行为倾向数据在各攻击子阶段内的频次最多的行为倾向元素作为保留行为倾向元素。
第二方面,本申请实施例还提供一种边缘计算网关,所述边缘计算网关包括处理器和机器可读存储介质,所述机器可读存储介质中存储有计算机程序,所述计算机程序结合该处理器加载并执行以实现以上第一方面的边缘计算网关的安全防护方法。
基于以上任意方面的技术方案,用于对网关会话服务活动中的威胁攻击操作进行提前估计和防护预配置。首先,获取第一样例攻击事件数据簇和第二样例攻击事件数据簇,分别包含了在标定会话节点区间内的威胁攻击操作。标定会话节点区间位于第一和第二会话节点区间之间。然后,结合这些样例攻击事件数据簇,估计目标攻击源在标定会话节点区间内的威胁攻击操作。最后,根据估计结果,对相应的网关会话活动进行威胁攻击防护预配置。由此,利用攻击事件数据簇来推导出目标攻击源在特定会话节点区间内的威胁攻击操作,从而能够更早地识别和预防潜在的攻击。通过对目标攻击源进行针对性的威胁攻击防护预配置,可以有效增强网关会话服务的安全性和防御能力。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要启用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以结合这些附图获得其它相关的附图。
图1为本申请实施例提供的边缘计算网关的安全防护方法的流程示意图;
图2为本申请实施例提供的用于实现上述的边缘计算网关的安全防护方法的边缘计算网关的结构示意框图。
具体实施方式
以下描述是为了使本领域的普通技术人员能够实施和结合本申请,并且该描述是在特定的应用场景及其要求的环境下提供的。对于本领域的普通技术人员来讲,显然可以对所公开的实施例作出各种改变,并且在不偏离本申请的原则和范围的情况下,本申请中所定义的普遍原则可以适用于其它实施例和应用场景。因此,本申请并不限于所描述的实施例,而应该被给予与权利要求一致的最广泛的范围。
步骤S101、获取第一样例攻击事件数据簇和第二样例攻击事件数据簇。
第一样例攻击事件数据簇和第二样例攻击事件数据簇用于对网关会话服务活动中在标定会话节点区间内的威胁攻击操作进行提前估计,第一样例攻击事件数据簇包含网关会话服务活动的第一会话节点区间内的若干第一样例威胁攻击操作,第二样例攻击事件数据簇包含网关会话服务活动的第二会话节点区间内的若干第二样例威胁攻击操作,标定会话节点区间(例如标注的任意会话流程段)在网关会话服务活动中置于第一会话节点区间和第二会话节点区间之间;换言之,估计的威胁攻击操作在网关会话服务活动中的威胁攻击时序置于第一样例威胁攻击操作和第二样例威胁攻击操作之间。也即,所述第一会话节点区间为当前时间节点之前的任意一个会话节点区间,所述第二会话节点区间为当前时间节点之后的任意一个假设会话节点区间,所述第一样例攻击事件数据簇为第一会话节点区间的已发生的攻击事件数据簇,所述第二样例攻击事件数据簇为第二会话节点区间的未发生的假定攻击事件数据簇,所述第一样例威胁攻击操作和所述第二样例威胁攻击操作中都涵盖目标攻击源。
例如,可以确定两个时间段内的攻击事件数据。第一样例攻击事件数据簇包含了上周五早上8点至10点之间的登录失败、端口扫描和恶意软件传输等威胁攻击操作。第二样例攻击事件数据簇包含了假定的明天9点至12点期间的DDoS攻击、SQL注入和网络钓鱼等威胁攻击操作,也即虽然还没到明天9点至12点期间,这些DDoS攻击、SQL注入和网络钓鱼等威胁攻击操作还未发生,但是根据经验假定较大概率会发生的威胁攻击操作,例如假设在明天9点至12点期间会新上线一个隐私数据业务,此时根据历史经验在上线过程中有较大概率会发生这些威胁攻击操作,那么可以配置成第二样例攻击事件数据簇。
那么,可以选择将上周五早上8点至10点与假设的明天9点至12点之间的任意一个会话节点区间作为标定会话节点区间,以便对这个时间段内的威胁攻击进行预估和防护配置。
一些可替代的实施例中,第一样例威胁攻击操作和第二样例威胁攻击操作中都涵盖目标攻击源,也即,第一样例威胁攻击操作和第二样例威胁攻击操作中都存在与目标攻击源相关的攻击操作。
例如,假设目标攻击源是某个恶意黑客,该恶意黑客试图入侵某个网络系统。在第一样例威胁攻击事件数据簇中,可能会看到该黑客尝试使用暴力破解登录密码、扫描网络端口等攻击行为。而在第二样例威胁攻击事件数据簇中,可能会观察到该黑客发起的DDoS攻击、尝试进行SQL注入等攻击行为。
因此,无论是第一样例威胁攻击操作和第二样例威胁攻击操作,都有关于目标攻击源的攻击操作信息,这些样例威胁攻击操作通过包含目标攻击源的攻击行为,帮助进行预估和防护配置,以应对类似的威胁攻击。。
其中,当第一样例攻击事件数据簇中第一样例威胁攻击操作的数量大于1时,第一样例攻击事件数据簇中可以存在不包含目标攻击源的第一样例威胁攻击操作,由此,第一样例攻击事件数据簇中存在若干包含目标攻击源的第一样例威胁攻击操作;类似地,当第二样例攻击事件数据簇中第二样例威胁攻击操作的数量大于1时,第二样例攻击事件数据簇中可以存在不包含目标攻击源的第二样例威胁攻击操作,由此,第二样例攻击事件数据簇中存在若干包含目标攻击源的第二样例威胁攻击操作。
步骤S102、对第一样例威胁攻击操作中及第二样例威胁攻击操作中的目标攻击源的攻击演进状态进行分析,生成目标攻击源的攻击演进状态矢量。
例如,假设发现在第一样例威胁攻击操作中,目标攻击源开始进行端口扫描,接着尝试使用暴力破解方式登录系统,最后传输了一个恶意软件文件。而在第二样例威胁攻击操作中,目标攻击源首先发送了一封钓鱼电子邮件,然后利用成功的电子邮件钓鱼攻击尝试进行SQL注入,最后发起了一个大规模DDoS攻击。基于这些分析结果,可以生成目标攻击源的攻击演进状态矢量,其中包含了不同时间段内的攻击行为顺序和类型。示例性的,当生成目标攻击源的攻击演进状态矢量时,可以将攻击行为表示为向量的形式,其中每个维度代表一种特定的攻击类型或攻击步骤。以下是一个例子来说明:
假设有以下的攻击演进状态矢量示例,其中包含了三个时间段内目标攻击源的攻击行为:
时间段1:扫描
时间段2:暴力破解
时间段3:恶意软件传输
在这个示例中,攻击演进状态矢量可以表示为 [1, 1, 0],其中每个维度的含义如下:
第一个维度 (维度1):扫描,表示在时间段1中目标攻击源进行了扫描行为,可能是对网络端口的扫描。
第二个维度 (维度2):暴力破解,表示在时间段2中目标攻击源尝试使用暴力破解方式登录系统。
第三个维度 (维度3):恶意软件传输,表示在时间段3中目标攻击源传输了一份恶意软件文件。
通过这样的攻击演进状态矢量,可以描述目标攻击源在不同时间段内的攻击行为演进情况。这种向量表示有助于分析攻击者的行为模式、估计可能的下一步攻击类型,并制定相应的防御策略。请注意,这只是一个示例,实际情况中攻击演进状态矢量的维度和取值将根据具体场景和攻击行为类型而有所不同。
步骤S103、获取目标攻击源在标定会话节点区间内的攻击入侵链路数据。
目标攻击源在标定会话节点区间内的攻击入侵链路数据是根据目标攻击源的开始攻击入侵链路位置,目标攻击源在标定会话节点区间内的若干威胁攻击操作中的攻击入侵链路信息和目标攻击源的终止攻击入侵链路位置确定的。其中,目标攻击源的开始攻击入侵链路位置是根据第一样例威胁攻击操作确定的;例如,结合网关会话服务活动的威胁攻击时序对第一样例攻击事件数据簇中的第一样例威胁攻击操作进行排序,目标攻击源的开始攻击入侵链路位置是根据目标攻击源在第一样例攻击事件数据簇中的最后一个第一样例威胁攻击操作中的位置确定的。并且,目标攻击源的终止攻击入侵链路位置是根据第二样例威胁攻击操作确定的。
例如,结合网关会话服务活动的威胁攻击时序对第二样例攻击事件数据簇中的第二样例威胁攻击操作进行排序,目标攻击源的终止攻击入侵链路位置是根据目标攻击源在第二样例攻击事件数据簇中的第一个第二样例威胁攻击操作中的位置确定的。目标攻击源在标定会话节点区间内的目标威胁攻击操作中的攻击入侵链路信息用于是指目标攻击源在目标威胁攻击操作中的攻击入侵链路位置,目标威胁攻击操作为网关会话服务活动中标定会话节点区间内的任意一个威胁攻击操作,目标攻击源在目标威胁攻击操作中的攻击入侵链路信息是对目标攻击源在该威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择得到的,目标攻击源在目标威胁攻击操作中待进行特征选择的攻击入侵链路信息可以是边缘计算网关基于攻击入侵链路观测模型对第一样例攻击事件数据簇和第二样例攻击事件数据簇进行攻击入侵链路观测得到的;也可以是边缘计算网关结合第一样例攻击事件数据簇和第二样例攻击事件数据簇进行链路建模得到的。
例如,假设确定了三个威胁攻击操作:
第1个威胁攻击操作:扫描网站的开放端口
第2个威胁攻击操作:使用暴力破解尝试登录网站的管理员账户
第3个威胁攻击操作:传输恶意软件到网站服务器
针对每个威胁攻击操作,获取了目标攻击源的攻击入侵链路数据。具体来说,可以描述如下:
第1个威胁攻击操作(扫描):目标攻击源从外部IP地址开始进行了对网站的端口扫描,探测开放的服务和漏洞。
第2个威胁攻击操作(暴力破解):目标攻击源使用字典攻击等方法尝试以管理员身份登录网站后台。
第3个威胁攻击操作(恶意软件传输):目标攻击源通过利用漏洞或社会工程学手段,将包含恶意代码的文件传输到网站服务器上。
通过获取目标攻击源在标定会话节点区间内每个威胁攻击操作的入侵链路数据,可以了解攻击者的行为模式和攻击路径,从而及时检测和应对潜在的安全威胁。请注意,这只是一个示例,实际情况中的攻击入侵链路数据将根据具体的威胁场景和攻击手法而有所不同。
一些可替代的实施例中,网关会话服务活动中在标定会话节点区间内的威胁攻击操作包括K个,K为正整数。标定会话节点区间内的K个威胁攻击操作中的任意一个表示为第x个威胁攻击操作。若x=1,则边缘计算网关获取第一攻击入侵链路异常信息,第一攻击入侵链路异常信息表征目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第一样例攻击入侵链路信息之间的差异特征,第一样例攻击入侵链路信息是根据第一样例攻击事件数据簇中的若干第一样例威胁攻击操作提取的。边缘计算网关对获取的第一攻击入侵链路异常信息进行偏离特征估计,生成第一攻击入侵链路偏离特征。通过第一攻击入侵链路偏离特征对目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择,生成目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息。在得到目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息后,边缘计算网关结合目标攻击源的开始攻击入侵链路位置,目标攻击源的终止攻击入侵链路位置和目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息,确定目标攻击源在标定会话节点区间内的攻击入侵链路数据;例如,边缘计算网关可以对目标攻击源的开始攻击入侵链路位置,目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息所指示的攻击入侵链路位置和目标攻击源的终止攻击入侵链路位置进行连接,生成目标攻击源在标定会话节点区间内的攻击入侵链路数据。
另一些可替代的实施例中,网关会话服务活动中在标定会话节点区间内的威胁攻击操作包括K个,K为正整数。标定会话节点区间内的K个威胁攻击操作中的任意一个表示为第x个威胁攻击操作。标定会话节点区间内的K个威胁攻击操作根据威胁攻击时序进行排列;若x不等于1,则边缘计算网关获取第二攻击入侵链路异常信息,第二攻击入侵链路异常信息表征目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第二样例攻击入侵链路信息之间的差异特征,第二样例攻击入侵链路信息为目标攻击源在第x-1个威胁攻击操作中的攻击入侵链路信息。边缘计算网关对获取的第二攻击入侵链路异常信息进行偏离特征估计,生成第二攻击入侵链路偏离特征。通过第二攻击入侵链路偏离特征对目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择,生成目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息。在得到目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息后,边缘计算网关结合目标攻击源在K个威胁攻击操作中的前x个威胁攻击操作中的攻击入侵链路信息,以及目标攻击源的开始攻击入侵链路位置和目标攻击源的终止攻击入侵链路位置,确定目标攻击源在标定会话节点区间内的攻击入侵链路数据。
步骤S104、结合目标攻击源的攻击演进状态矢量及目标攻击源在标定会话节点区间内的攻击入侵链路数据,估计网关会话服务活动中在标定会话节点区间内的威胁攻击操作。
一些可替代的实施例中,边缘计算网关可以结合入侵检测模型结合目标攻击源在标定会话节点区间内的攻击入侵链路数据和目标攻击源的攻击演进状态矢量,估计目标攻击源在标定会话节点区间内的攻击入侵链路信息,然后对标定会话节点区间内的攻击入侵链路信息进行虚拟估计生成,生成网关会话服务活动中在标定会话节点区间内的若干威胁攻击操作。
例如,可以预先收集目标攻击源在标定会话节点区间内的攻击入侵链路数据,并获取攻击演进状态矢量。攻击演进状态矢量可以是一个向量,其中的元素代表不同的攻击行为状态或特征。针对攻击入侵链路数据和攻击演进状态矢量,进行特征提取和编码。这可能包括对入侵链路的网络流量统计特征、协议分析特征、时序特征等进行提取,同时将攻击演进状态矢量编码成机器学习算法可处理的形式。使用已准备的特征数据,训练一个入侵检测模型。这个模型可以是基于机器学习的分类器(如决策树、支持向量机、神经网络等)或其它入侵检测算法。在模型训练过程中,通过标记攻击入侵链路数据为正例和正常数据为负例来建立一个分类模型。并且,使用预留的测试数据对入侵检测模型进行评估,以确定其准确性和效果。根据评估结果,对模型进行调优,例如调整模型参数、选择更合适的特征或更换算法,以提高模型的性能。
由此,可以将目标攻击源在标定会话节点区间内的攻击入侵链路数据和攻击演进状态矢量输入经过训练和调优的所述入侵检测模型中,根据输入数据对目标攻击源的攻击入侵链路进行估计和估计。根据模型输出的结果,可以了解目标攻击源在标定会话节点区间内可能的攻击路径、攻击行为和异常活动。
通过结合入侵检测模型、攻击入侵链路数据和攻击演进状态矢量,可以利用机器学习和模型训练技术来估计目标攻击源在标定会话节点区间内的攻击入侵链路信息。这样的估计有助于识别潜在的威胁行为,进一步加强网络安全防御措施。
进一步地,边缘计算网关还可以结合威胁攻击操作在网关会话服务活动中的威胁攻击时序,对第一样例攻击事件数据簇中的第一样例威胁攻击操作,在标定会话节点区间内的威胁攻击操作和第二样例攻击事件数据簇中的第二样例威胁攻击操作进行攻击流整合,生成目标威胁攻击映像数据。
步骤S105,结合估计的所述目标攻击源在所述标定会话节点区间内的威胁攻击操作,对所述目标攻击源相对应的网关会话活动进行威胁攻击防护预配置。
例如,在步骤S105中,可以获取与估计的所述目标攻击源在所述标定会话节点区间内的威胁攻击操作所对应的防护配置字段,并结合所述防护配置字段从所述目标攻击源相对应的网关会话活动的预置防护配置资源数据中提取对应的初始防护配置数据,然后获取所述目标攻击源在指定先验攻击阶段内的攻击特性数据,并结合所述攻击特性数据从所述初始防护配置数据中提取对应的目标防护配置数据,以将所述目标防护配置数据加载到所述网关会话活动中。
例如,防护配置字段可能包括入侵检测规则、访问控制策略、数据过滤规则等。然后结合获取的防护配置字段,从目标攻击源相对应的网关会话活动的预置防护配置资源中提取对应的初始防护配置数据,所述初始防护配置数据可能包括基于目标攻击源的IP地址、端口号或协议类型的防护设置。然后,在指定的先验攻击阶段内,获取目标攻击源的攻击特性数据,例如可以包括攻击类型、攻击工具、攻击流量模式等。通过分析目标攻击源的攻击特性数据,可以更好地了解其行为和风险。结合攻击特性数据,从初始防护配置数据中提取对应的目标防护配置数据。例如,如果目标攻击源是以DDoS攻击为特征的恶意流量,可以调整防护配置以增强对DDoS攻击类型的防范措施。最后,将提取的目标防护配置数据加载到网关会话活动中。这意味着根据目标攻击源的特征和防护需求,更新或调整网关设备的防护配置,以增强对该目标攻击源的防护能力。
通过以上步骤的实施,可以根据目标攻击源的威胁特征和防护需求,从预置的防护配置资源中提取相应的防护配置数据,并加载到网关会话活动中,以加强对潜在威胁的防护能力。这样可以提前预配置防护措施,提高系统的安全性和应对能力。
譬如,获取所述目标攻击源在指定先验攻击阶段内的攻击特性数据,具体通过以下步骤实现:
1、获取所述目标攻击源在指定先验攻击阶段内的多个攻击行为倾向数据,并对各攻击行为倾向数据进行预处理,各所述攻击行为倾向数据包括多个行为倾向元素,各所述行为倾向元素包括攻击手段元素和攻击动机元素。
例如,攻击手段元素和攻击动机元素是描述攻击源行为和意图的组成部分。以下是具体举例:
攻击手段元素:
攻击源使用恶意软件通过漏洞利用获取系统管理员权限。
攻击源进行网络钓鱼攻击,诱导用户泄露其登录凭据。
攻击源使用分布式拒绝服务(DDoS)攻击,使交易系统无法正常运行。
攻击动机元素:
经济动机:攻击源试图窃取银行客户的财务信息,以获得非法利益。
竞争动机:攻击源可能来自竞争银行,试图破坏的交易系统以获取竞争优势。
报复动机:攻击源可能是之前被阻止或报告的黑客,它们试图对进行报复。
这些具体的攻击手段元素和攻击动机元素反映了攻击源在指定先验攻击阶段内可能采取的不同行为和攻击目的。通过收集和分析这些元素,可以更好地了解攻击源的特征,并制定相应的防护策略。
2、将预处理后的各攻击行为倾向数据导入第一图自编码器,生成各所述攻击行为倾向数据的图攻击特征成员及图关联特征。
例如,将预处理后的攻击行为倾向数据转换成图的形式,其中每个攻击行为倾向数据表示为一个节点,并根据它们之间的关系构建边,将每个攻击行为倾向数据的特征进行编码,例如使用向量表示。这些特征可以包含攻击手段元素和攻击动机元素等信息,将编码后的攻击行为倾向数据作为输入,将其放入第一图自编码器中进行训练,使用第一图自编码器对输入的图数据进行训练。自编码器是一种用于学习数据的低维表示的神经网络模型,它通过自我重构的方式学习数据的特征,在训练完成后,通过获取第一图自编码器的隐藏层输出或者编码器的表示,得到每个攻击行为倾向数据的图攻击特征成员。这些特征成员可以看作是对攻击行为倾向数据进行了降维和抽象,捕捉了数据的重要特征。除了图攻击特征成员外,还可以通过分析图结构和边关系,提取图的关联特征。这些关联特征可以包括节点之间的连接强度、路径长度等信息,用于描述攻击行为倾向数据之间的相似性和关联性。
3、结合各所述攻击行为倾向数据的图攻击特征成员及图关联特征确定各所述攻击行为倾向数据的攻击特性矢量,对多个所述攻击特性矢量进行分团,并结合分团结果确定各分团特性类别的初始分团中心,所述分团特性类别反映攻击特性标签。
例如,可以将每个攻击行为倾向数据的图攻击特征成员和图关联特征组合成一个综合的攻击特征向量。可以通过将特征进行拼接、加权求和等方式进行组合。
然后,使用组合后的攻击特征向量作为攻击行为倾向数据的攻击特性矢量。这些矢量将用于表示攻击源在指定先验攻击阶段内的攻击特性。
然后,使用聚类算法(如K-means、层次聚类等)对多个攻击特性矢量进行聚类分析,将相似的攻击特性矢量分为不同的分团。聚类算法会基于攻击特性矢量之间的相似度或距离将它们分配到不同的分团中。
然后,从分团结果中选择具有代表性的攻击特性矢量作为初始分团中心。这些初始分团中心将用于初始化聚类算法的中心点,并作为各分团特性类别的初始标记。
然后,基于初始分团中心,通过进一步优化聚类算法(如迭代更新中心点)确定最终的分团结果。每个分团特性类别代表一类具有相似攻击特性的攻击行为倾向数据,可以将这些类别作为攻击特性的标签。
通过上述步骤,能够结合各所述攻击行为倾向数据的图攻击特征成员及图关联特征,确定各攻击行为倾向数据的攻击特性矢量。然后,对多个攻击特性矢量进行分团,并根据分团结果确定各分团特性类别的初始分团中心。这些分团特性类别反映了攻击特性标签,有助于理解和分类不同类型的攻击行为倾向数据。攻击特性标签也可以是指攻击画像,用于描述攻击者或攻击源的特征和行为的概括性描述,以建立对攻击者的综合认识。
攻击画像可以包括攻击者身份类别、攻击模式和策略类别、攻击能力资源类别等,通过构建攻击画像,安全团队可以更好地了解攻击者的行为模式、目标和动机,并利用这些信息来改进安全防御措施、预测未来攻击和提高应对能力。攻击画像也有助于共享情报,促进跨组织间攻击信息的交流和合作。
4、结合预处理后的各攻击行为倾向数据构建知识图谱,所述知识图谱的知识节点为各攻击行为倾向数据,所述知识图谱的各个节点关联属性反映连通的两个攻击行为倾向数据之间的攻击联系信息。
5、将预处理后的各攻击行为倾向数据导入第二图自编码器,生成各所述攻击行为倾向数据的第一图自编码矢量,将所述知识图谱导入循环神经网络,结合所述知识图谱以及所述第二图自编码器的各层自编码节点生成的第一序列重要矢量确定所述循环神经网络的各层隐藏层生成的第二序列重要矢量,并将所述循环神经网络的最后一层的隐藏层的输出作为各所述攻击行为倾向数据的第二图自编码矢量。
6、结合所述第二图自编码矢量及所述初始分团中心得到所述攻击行为倾向数据的第二聚类信息,并获取所述第二聚类信息中聚类元素数量大于设定元素数量的分团特性类别对应的攻击特性标签作为所述目标攻击源在指定先验攻击阶段内的攻击特性数据。
譬如,结合所述第二图自编码矢量及所述初始分团中心得到所述攻击行为倾向数据的第二聚类信息,包括:结合所述第二图自编码矢量及各所述初始分团中心得到所述攻击行为倾向数据的第一聚类信息;结合所述第一聚类信息分别调整所述初始分团中心和第二图自编码矢量以得到调整后的分团中心和调整后的第二图自编码矢量;结合所述调整后的第二图自编码矢量和调整后的分团中心得到所述攻击行为倾向数据的第二聚类信息。
譬如,对各攻击行为倾向数据进行预处理,包括:将所述指定先验攻击阶段平均划分为多个攻击子阶段;获取各攻击子阶段内的各攻击行为倾向数据的各行为倾向元素,并将各攻击行为倾向数据在各攻击子阶段内的频次最多的行为倾向元素作为保留行为倾向元素。
基于以上步骤,首先,获取第一样例攻击事件数据簇和第二样例攻击事件数据簇,分别包含了在标定会话节点区间内的威胁攻击操作。标定会话节点区间位于第一和第二会话节点区间之间。然后,结合这些样例攻击事件数据簇,估计目标攻击源在标定会话节点区间内的威胁攻击操作。最后,根据估计结果,对相应的网关会话活动进行威胁攻击防护预配置。由此,利用攻击事件数据簇来推导出目标攻击源在特定会话节点区间内的威胁攻击操作,从而能够更早地识别和预防潜在的攻击。通过对目标攻击源进行针对性的威胁攻击防护预配置,可以有效增强网关会话服务的安全性和防御能力。
进一步地,本申请另一种实施例提供一种边缘计算网关的安全防护方法,可包括如下步骤S201-步骤S207:
步骤S201、获取第一样例攻击事件数据簇和第二样例攻击事件数据簇。
第一样例攻击事件数据簇和第二样例攻击事件数据簇用于对网关会话服务活动中在标定会话节点区间内的威胁攻击操作进行提前估计,第一样例攻击事件数据簇包含网关会话服务活动的第一会话节点区间内的若干第一样例威胁攻击操作,第二样例攻击事件数据簇包含网关会话服务活动的第二会话节点区间内的若干第二样例威胁攻击操作,标定会话节点区间在网关会话服务活动中置于第一会话节点区间和第二会话节点区间之间。
一些可替代的实施例中,第一样例攻击事件数据簇中的第一样例威胁攻击操作属于第一网关会话服务活动,第二样例攻击事件数据簇中的第二样例威胁攻击操作属于第二网关会话服务活动,第一网关会话服务活动和第二网关会话服务活动可以同属于一个网关会话服务活动(即第一网关会话服务活动和第二网关会话服务活动均为同一个网关会话服务活动中的一部分),也可以是两个不同的网关会话服务活动。第一网关会话服务活动和第二网关会话服务活动中都涵盖目标攻击源,且第一网关会话服务活动和第二网关会话服务活动可以通过估计的威胁攻击操作进行连接,生成目标威胁攻击映像数据。
步骤S202、对第一样例威胁攻击操作中及第二样例威胁攻击操作中的目标攻击源的攻击演进状态进行分析,生成目标攻击源的攻击演进状态矢量。
一些可替代的实施例中,第一样例攻击事件数据簇中的第一样例威胁攻击操作和第二样例攻击事件数据簇中的第二样例威胁攻击操作均结合在网关会话服务活动中的威胁攻击时序进行排列;边缘计算网关将第一样例攻击事件数据簇中最后一个(包含目标攻击源的)第一样例威胁攻击操作中目标攻击源的入侵实例输出为第一入侵实例,并将第二样例攻击事件数据簇中第一个(包含目标攻击源的)第二样例威胁攻击操作中目标攻击源的入侵实例输出为第二入侵实例。边缘计算网关结合第一入侵实例和第二入侵实例的入侵实例异常信息,确定网关会话服务活动中在标定会话节点区间内的威胁攻击操作的数量K,入侵实例异常信息包括以下至少一项:第一入侵实例和第二入侵实例之间的入侵轨迹偏离特征、第一入侵实例对应的入侵轨迹特征。其中,入侵轨迹特征可以包括:
访问模式特征:该特征描述了入侵者与目标系统之间的交互方式和频率。例如,入侵者可能进行多次无效的登录尝试、频繁访问敏感文件或目录、或者以异常的访问模式进行数据传输等。
权限提升特征:这个特征涉及到入侵者试图获取或提升其在目标系统中的权限级别。例如,入侵者可能尝试使用漏洞利用技术提升自己的权限、获取管理员权限、或者通过横向移动在网络中扩展其权限等。
异常操作特征:该特征表示入侵者进行了与正常用户不同的操作或行为。例如,入侵者可能删除或修改系统文件、创建新的用户账户、执行未经授权的命令或脚本,或者进行异常的网络通信等。
信息窃取特征:这个特征描述了入侵者试图获取目标系统中的敏感信息。例如,入侵者可能尝试访问数据库、窃取用户凭据、截取网络通信中的敏感数据,或者通过键盘记录等方式获取用户输入的敏感信息。
持久性特征:该特征指入侵者试图在目标系统中保持长期存在,并尽可能地隐藏自己的活动。例如,入侵者可能在系统中植入后门程序、修改系统配置文件、创建定时任务或服务,以确保它们可以再次访问和控制目标系统。
这些是入侵轨迹特征的一些示例,具体的特征内容可能会因不同的入侵检测系统或安全分析工具而有所差异。分析这些特征可以帮助识别和理解入侵者的行为模式,从而提供更准确的威胁情报和安全防护措施。
例如,在第一样例攻击事件数据簇中,最后一个威胁攻击操作的目标攻击源是IP地址为192.168.1.100的主机。将该事件输出为第一入侵实例。在第二样例攻击事件数据簇中,第一个威胁攻击操作的目标攻击源是IP地址为192.168.1.200的主机。将该事件输出为第二入侵实例。
第一入侵实例和第二入侵实例之间的入侵轨迹偏离特征是指它们在系统中的活动路径或行为模式上存在明显的差异或不一致。这些差异可能表明入侵者在不同的时间、位置或方式下进行了不同类型的攻击或采取了不同的行动。
确定入侵轨迹偏离特征可以通过以下方法:
比较活动序列:将第一入侵实例和第二入侵实例的活动序列进行对比分析。活动序列可以包括登录记录、文件访问记录、命令执行记录等。检查两个入侵实例之间的活动序列是否存在不同的操作顺序、频率、使用的工具或技术等差异,来确定入侵轨迹的偏离特征。
分析时间戳和事件间隔:比较第一入侵实例和第二入侵实例中相关事件的时间戳和事件间隔。入侵者的活动通常会遵循某种模式或节奏,如果两个入侵实例的时间戳或事件间隔存在明显的差异,那么可以认为它们之间存在入侵轨迹偏离特征。
考察攻击手段或策略:分析第一入侵实例和第二入侵实例使用的攻击手段或策略。入侵者可能在不同的入侵行动中使用不同的工具、漏洞利用技术、社会工程手法等。比较两个入侵实例之间使用的攻击手段或策略的差异,可以发现入侵轨迹的偏离特征。
通过以上方法,可以对比第一入侵实例和第二入侵实例之间的入侵轨迹,以确定它们之间的差异和偏离特征。这些特征有助于分析入侵者的行为模式和策略变化,提供更准确的威胁情报,并改进入侵检测和响应机制,以应对不断演变的安全威胁。
现在有了第一入侵实例和第二入侵实例的异常信息。通过结合这两个入侵实例的异常信息,可以确定在网关会话服务活动中,在标定会话节点区间内发生的威胁攻击操作的数量。例如,可以检查入侵实例的入侵轨迹偏离特征,比较第一入侵实例和第二入侵实例之间的入侵轨迹偏离情况。另外,还可以分别考察第一入侵实例和第二入侵实例对应的入侵轨迹特征,以确定威胁攻击操作的数量。
通过以上两个步骤,可以分析入侵事件的数据簇并输出入侵实例。然后,通过比较入侵实例之间的异常信息,特别是入侵轨迹的偏离特征和目标入侵源的特征,来确定网关会话服务活动中发生的威胁攻击操作的数量。这些技术步骤可用于网络安全领域中入侵检测和威胁情报分析等方面。。
例如,当入侵实例异常信息包括第一入侵实例和第二入侵实例之间的入侵轨迹偏离特征时,网关会话服务活动中在标定会话节点区间内的威胁攻击操作的数量与第一入侵实例和第二入侵实例之间的入侵轨迹偏离特征成正比。
进一步地,将标定会话节点区间内的K个威胁攻击操作中的任意一个表示为第x个威胁攻击操作,当x=1时,边缘计算网关继续执行步骤S203。
步骤S203、获取第一攻击入侵链路异常信息。
第一攻击入侵链路异常信息表征目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第一样例攻击入侵链路信息之间的差异特征,第一样例攻击入侵链路信息是根据第一样例攻击事件数据簇中的若干第一样例威胁攻击操作提取的。
一些可替代的实施例中,一方面,边缘计算网关可以基于攻击入侵链路观测模型对第一样例攻击事件数据簇和第二样例攻击事件数据簇进行攻击入侵链路观测,生成目标攻击源在标定会话节点区间内的观测攻击入侵链路;或者,结合第一样例攻击事件数据簇和第二样例攻击事件数据簇进行链路建模,生成目标攻击源在第一会话节点区间内的观测攻击入侵链路;或者获得相关目标用户输入的目标攻击源在标定会话节点区间内的观测攻击入侵链路。在得到目标攻击源在标定会话节点区间内的观测攻击入侵链路后,边缘计算网关结合目标攻击源在第一会话节点区间内的观测攻击入侵链路,生成目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息;例如,假设第x个威胁攻击操作对应会话节点区间位置t,边缘计算网关,从目标攻击源在第一会话节点区间内的观测攻击入侵链路中获取在会话节点区间位置t时目标攻击源的攻击入侵链路位置,并结合目标攻击源在会话节点区间位置t时的攻击入侵链路位置,生成目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息。
在得到目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第一样例攻击入侵链路信息后,边缘计算网关结合目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第一样例攻击入侵链路信息之间的差异特征,计算第一攻击入侵链路异常信息。
步骤S204、对第一攻击入侵链路异常信息进行偏离特征估计,生成第一攻击入侵链路偏离特征。
一些可替代的实施例中,边缘计算网关可以融合第一攻击入侵链路异常信息和目标攻击源的攻击演进状态矢量,生成第一融合特征信息;例如,假设第一攻击入侵链路异常信息表示为5*1的矩阵空间,目标攻击源的攻击演进状态矢量表示为4*1的矩阵空间,则连接第一攻击入侵链路异常信息和目标攻击源的攻击演进状态矢量得到的第一融合特征信息,可以表示为9*1的矩阵空间。在得到第一融合特征信息后,边缘计算网关可以结合偏离特征估计模型(如长短期记忆模型)对第一融合特征信息进行偏离特征估计,生成估计偏离特征。边缘计算网关对估计偏离特征进行分解,生成第一攻击入侵链路偏离特征。
步骤S205、通过第一攻击入侵链路偏离特征对目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择,生成目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息。
步骤S206、结合目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息,确定目标攻击源在标定会话节点区间内的攻击入侵链路数据。
目标攻击源在标定会话节点区间内的攻击入侵链路数据通过K*M的矩阵空间进行表示,K为网关会话服务活动中在标定会话节点区间内的威胁攻击操作的数量。
一些可替代的实施例中,边缘计算网关结合目标攻击源的开始攻击入侵链路位置,目标攻击源的终止攻击入侵链路位置和目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息,确定目标攻击源在标定会话节点区间内的攻击入侵链路数据,目标攻击源的开始攻击入侵链路位置是根据第一样例威胁攻击操作确定的;例如,结合网关会话服务活动的威胁攻击时序对第一样例攻击事件数据簇中的第一样例威胁攻击操作进行排序,目标攻击源的开始攻击入侵链路位置是根据目标攻击源在第一样例攻击事件数据簇中的最后一个第一样例威胁攻击操作中的链路位置确定的。类似地,目标攻击源的终止攻击入侵链路位置是根据第二样例威胁攻击操作确定的;例如,结合网关会话服务活动的威胁攻击时序对第二样例攻击事件数据簇中的第二样例威胁攻击操作进行排序,目标攻击源的终止攻击入侵链路位置是根据目标攻击源在第二样例攻击事件数据簇中的第一个第二样例威胁攻击操作中的链路位置确定的。例如,边缘计算网关可以对目标攻击源的开始攻击入侵链路位置,目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息所指示的攻击入侵链路位置和目标攻击源的终止攻击入侵链路位置进行连接,生成目标攻击源在标定会话节点区间内的攻击入侵链路数据。
步骤S207、结合目标攻击源的攻击演进状态矢量及目标攻击源在标定会话节点区间内的攻击入侵链路数据,估计网关会话服务活动中在标定会话节点区间内的威胁攻击操作。
一些可替代的实施例中,网关会话服务活动中在标定会话节点区间内的威胁攻击操作的数量为1,即K=1。边缘计算网关可以结合入侵检测模型结合目标攻击源在标定会话节点区间内的攻击入侵链路数据和目标攻击源的攻击演进状态矢量,估计目标攻击源在标定会话节点区间内的攻击入侵链路信息。边缘计算网关对标定会话节点区间内的攻击入侵链路信息进行虚拟估计生成,生成网关会话服务活动中在标定会话节点区间内的若干威胁攻击操作。例如,网关会话服务活动中在标定会话节点区间内的威胁攻击操作数量与目标攻击源在标定会话节点区间内的攻击入侵链路信息的数量匹配。
另一些可替代的实施例中,网关会话服务活动中在标定会话节点区间内的威胁攻击操作的数量大于1,即K>1。边缘计算网关可以结合入侵检测模型结合目标攻击源在标定会话节点区间内的攻击入侵链路数据和目标攻击源的攻击演进状态矢量,估计目标攻击源在标定会话节点区间内的第一个攻击入侵链路信息,并对第一个攻击入侵链路信息进行虚拟估计生成得到网关会话服务活动中在标定会话节点区间内的第一个威胁攻击操作。在得到网关会话服务活动中在标定会话节点区间内的第一个攻击入侵链路信息后,边缘计算网关结合网关会话服务活动中在标定会话节点区间内的第一个攻击入侵链路信息,估计网关会话服务活动中在标定会话节点区间内的K-1个威胁攻击操作对应的K-1个攻击入侵链路信息,并对估计的K-1个攻击入侵链路信息进行虚拟估计生成,生成标定会话节点区间内除第一个威胁攻击操作外的其余K-1个威胁攻击操作。标定会话节点区间内的K个威胁攻击操作根据威胁攻击时序进行排列,边缘计算网关生成网关会话服务活动中在标定会话节点区间内的第x个(x>1)威胁攻击操作的一种实现方式参见下述内容:
边缘计算网关获取第二攻击入侵链路异常信息,第二攻击入侵链路异常信息表征目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第二样例攻击入侵链路信息之间的差异特征,第二样例攻击入侵链路信息是目标攻击源在第x-1个威胁攻击操作中的攻击入侵链路信息。例如,一方面边缘计算网关结合目标攻击源在第一会话节点区间内的观测攻击入侵链路,生成目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息;具体可参考步骤S203中边缘计算网关结合目标攻击源在第一会话节点区间内的观测攻击入侵链路,生成目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息的实施方式,在此不再赘述。另一方面,边缘计算网关将估计的目标攻击源在第x-1个威胁攻击操作中的攻击入侵链路信息输出为第二样例攻击入侵链路信息。在得到目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第二样例攻击入侵链路信息后,边缘计算网关结合目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第二样例攻击入侵链路信息之间的差异特征,计算第二攻击入侵链路异常信息。
在得到第二攻击入侵链路异常信息后,边缘计算网关对第二攻击入侵链路异常信息进行偏离特征估计,生成第二攻击入侵链路偏离特征。例如,边缘计算网关获取第x个威胁攻击操作的攻击状态特征,第x个威胁攻击操作的攻击状态特征包括:结合第x-1个威胁攻击操作提取的目标攻击源的前向攻击演进状态矢量,以及结合第二样例攻击事件数据簇中若干第二样例威胁攻击操作提取的目标攻击源的后向攻击演进状态矢量。边缘计算网关连接第二攻击入侵链路异常信息和第x个威胁攻击操作的攻击状态特征,生成第二融合特征,并结合偏离特征估计模型对第二融合特征进行偏离特征估计,生成目标第二融合特征。接着边缘计算网关对目标第二融合特征进行分解,生成第二攻击入侵链路偏离特征。
所述前向攻击演进状态矢量指的是在威胁攻击操作序列中,从第一个操作到第x-1个操作期间,目标攻击源所经历的状态变化,用来描述攻击者在前一次攻击操作之前对目标系统进行的各种操作、渗透或侵入的情况,所述后向攻击演进状态矢量指的是在威胁攻击操作序列中,从第x+1个操作到最后一个操作期间,目标攻击源所经历的状态变化,用来描述攻击者在当前操作之后可能采取的攻击行为、数据泄露的情况。
在得到第二攻击入侵链路偏离特征后,边缘计算网关通过第二攻击入侵链路偏离特征对目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择,生成目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息。例如,边缘计算网关通过第二攻击入侵链路偏离特征对目标攻击源在第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行修正,生成目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息。在得到目标攻击源在第x个威胁攻击操作中的攻击入侵链路信息后,边缘计算网关可以结合目标攻击源在K个威胁攻击操作中的前x个威胁攻击操作中的攻击入侵链路信息,以及目标攻击源的开始攻击入侵链路位置和目标攻击源的终止攻击入侵链路位置,确定目标攻击源在标定会话节点区间内的攻击入侵链路数据,并结合该攻击入侵链路数据和目标攻击源的攻击演进状态矢量,估计网关会话服务活动中在标定会话节点区间内的第x个威胁攻击操作。
图2示意性地示出了可被用于实现本申请中所述的各个实施例的边缘计算网关100。
对于一个实施例,图2示出了边缘计算网关100,该边缘计算网关100具有多个处理器102、被耦合到(多个)处理器102中的至少一个的控制模块(芯片组)104、被耦合到控制模块104的存储器106、被耦合到控制模块104的非易失性存储器(NVM)/存储设备108、被耦合到控制模块104的多个输入/输出设备110,和被耦合到控制模块104的网络接口112。
处理器102可包括多个单核或多核处理器,处理器102可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。一些可替代的实施例中,边缘计算网关100能够作为本申请实施例中所述网关等服务器设备。
一些可替代的实施例中,边缘计算网关100可包括具有指令114的多个计算机可读介质(例如,存储器106或NVM/存储设备108)和与该多个计算机可读介质相合并被配置为执行指令114以实现模块从而执行本公开中所述的动作的多个处理器102。
对于一个实施例,控制模块104可包括任意适当的接口控制器,以向(多个)处理器102中的一个或多个和/或与控制模块104通信的任意适当的设备或组件提供任意适当的接口。
控制模块104可包括存储器控制器模块,以向存储器106提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。
存储器106可被用于例如为边缘计算网关100加载和存储数据和/或指令114。对于一个实施例,存储器106可包括任意适当的易失性存储器,例如,适当的DRAM。一些可替代的实施例中,存储器106可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。
对于一个实施例,控制模块104可包括多个输入/输出控制器,以向NVM/存储设备108及(多个)输入/输出设备110提供接口。
例如,NVM/存储设备108可被用于存储数据和/或指令114。NVM/存储设备108可包括任意适当的非易失性存储器(例如,闪存)和/或可包括任意适当的(多个)非易失性存储设备(例如,多个硬盘驱动器(HDD)、多个光盘(CD)驱动器和/或多个数字通用光盘(DVD)驱动器)。
NVM/存储设备108可包括在物理上作为边缘计算网关100被安装在其上的设备的一部分的存储资源,或者其可被该设备访问可不必作为该设备的一部分。例如,NVM/存储设备108可结合网络经由(多个)输入/输出设备110进行访问。
(多个)输入/输出设备110可为边缘计算网关100提供接口以与任意其它适当的设备通信,输入/输出设备110可以包括通信组件、拼音组件、传感器组件等。网络接口112可为边缘计算网关100提供接口以通过多个网络通信,边缘计算网关100可根据多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的多个组件进行无线通信,例如接入基于通信标准的无线网络,如WiFi、2G、3G、4G、5G等,或它们的组合进行无线通信。
对于一个实施例,(多个)处理器102中的至少一个可与控制模块104的多个控制器(例如,存储器控制器模块)的逻辑封装在一起。对于一个实施例,(多个)处理器102中的至少一个可与控制模块104的多个控制器的逻辑封装在一起以形成系统级封装(SiP)。对于一个实施例,(多个)处理器102中的至少一个可与控制模块104的多个控制器的逻辑集成在同一模具上。对于一个实施例,(多个)处理器102中的至少一个可与控制模块104的多个控制器的逻辑集成在同一模具上以形成片上系统(SoV)。
在各个实施例中,边缘计算网关100可以但不限于是:边缘计算网关、台式计算设备或移动计算设备(例如,膝上型计算设备、手持计算设备、平板电脑、上网本等)等终端设备。在各个实施例中,边缘计算网关100可具有更多或更少的组件和/或不同的架构。例如,一些可替代的实施例中,边缘计算网关100包括多个摄像机、键盘、液晶显示器屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIV)和扬声器。
以上对本申请进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,结合本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (9)
1.一种边缘计算网关的安全防护方法,其特征在于,应用于所述边缘计算网关,所述方法包括:
获取第一样例攻击事件数据簇和第二样例攻击事件数据簇,所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇用于对网关会话服务活动中在标定会话节点区间内的威胁攻击操作进行提前估计,所述第一样例攻击事件数据簇包含所述网关会话服务活动的第一会话节点区间内的若干第一样例威胁攻击操作;所述第二样例攻击事件数据簇包含所述网关会话服务活动的第二会话节点区间内的若干第二样例威胁攻击操作;所述标定会话节点区间在所述网关会话服务活动中置于所述第一会话节点区间和所述第二会话节点区间之间,所述第一会话节点区间为当前时间节点之前的任意一个会话节点区间,所述第二会话节点区间为当前时间节点之后的任意一个假设会话节点区间,所述第一样例攻击事件数据簇为第一会话节点区间的已发生的攻击事件数据簇,所述第二样例攻击事件数据簇为第二会话节点区间的未发生的假定攻击事件数据簇,所述第一样例威胁攻击操作和所述第二样例威胁攻击操作中都涵盖目标攻击源;
结合所述第一样例攻击事件数据簇和第二样例攻击事件数据簇估计所述网关会话服务活动中所述目标攻击源在所述标定会话节点区间内的威胁攻击操作;
结合估计的所述目标攻击源在所述标定会话节点区间内的威胁攻击操作,对所述目标攻击源相对应的网关会话活动进行威胁攻击防护预配置;
所述结合所述第一样例攻击事件数据簇和第二样例攻击事件数据簇估计所述网关会话服务活动中所述目标攻击源在所述标定会话节点区间内的威胁攻击操作,具体通过以下步骤实现:
对所述第一样例威胁攻击操作中及所述第二样例威胁攻击操作中的目标攻击源的攻击演进状态进行分析,生成所述目标攻击源的攻击演进状态矢量;
获取所述目标攻击源在所述标定会话节点区间内的攻击入侵链路数据;
结合所述目标攻击源的攻击演进状态矢量及所述目标攻击源在标定会话节点区间内的攻击入侵链路数据,估计所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作;
所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作包括K个;所述标定会话节点区间内的K个威胁攻击操作中的任意一个表示为第x个威胁攻击操作;如果x=1,则获取所述目标攻击源在标定会话节点区间内的攻击入侵链路数据,包括:
获取第一攻击入侵链路异常信息,所述第一攻击入侵链路异常信息表征所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第一样例攻击入侵链路信息之间的差异特征,所述第一样例攻击入侵链路信息是根据所述第一样例攻击事件数据簇中的若干第一样例威胁攻击操作提取的;
对所述第一攻击入侵链路异常信息进行偏离特征估计,生成第一攻击入侵链路偏离特征;
结合所述第一攻击入侵链路偏离特征对所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择,生成所述目标攻击源在所述第x个威胁攻击操作中的攻击入侵链路信息;
结合所述目标攻击源的开始攻击入侵链路位置,所述目标攻击源的终止攻击入侵链路位置和所述目标攻击源在所述第x个威胁攻击操作中的攻击入侵链路信息,确定所述目标攻击源在标定会话节点区间内的攻击入侵链路数据;
所述目标攻击源的开始攻击入侵链路位置是根据所述第一样例威胁攻击操作确定的,所述目标攻击源的终止攻击入侵链路位置是根据所述第二样例威胁攻击操作确定的。
2.根据权利要求1所述的边缘计算网关的安全防护方法,其特征在于,所述对所述第一攻击入侵链路异常信息进行偏离特征估计,生成第一攻击入侵链路偏离特征,包括:
融合所述第一攻击入侵链路异常信息和所述攻击演进状态矢量,生成第一融合特征信息;
结合偏离特征估计模型对第一融合特征信息进行偏离特征估计,生成估计偏离特征;
对所述估计偏离特征进行分解,生成第一攻击入侵链路偏离特征。
3.根据权利要求1所述的边缘计算网关的安全防护方法,其特征在于,所述获取第一攻击入侵链路异常信息,包括:
基于攻击入侵链路观测模型对所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇进行攻击入侵链路观测,生成所述目标攻击源在所述标定会话节点区间内的观测攻击入侵链路;或者,结合所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇进行链路建模,生成所述目标攻击源在所述第一会话节点区间内的观测攻击入侵链路;
结合所述目标攻击源在所述第一会话节点区间内的观测攻击入侵链路,生成所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息;
对所述第一样例攻击事件数据簇中的若干第一样例威胁攻击操作进行攻击入侵链路提取,生成第一样例攻击入侵链路信息;
结合所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和所述第一样例攻击入侵链路信息之间的差异特征,计算第一攻击入侵链路异常信息。
4.根据权利要求1所述的边缘计算网关的安全防护方法,其特征在于,所述标定会话节点区间内的K个威胁攻击操作根据威胁攻击时序进行排列;如果x不等于1,则获取所述目标攻击源在标定会话节点区间内的攻击入侵链路数据,包括:
获取第二攻击入侵链路异常信息,所述第二攻击入侵链路异常信息表征所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和第二样例攻击入侵链路信息之间的差异特征,所述第二样例攻击入侵链路信息为所述目标攻击源在第x-1个威胁攻击操作中的攻击入侵链路信息;
对所述第二攻击入侵链路异常信息进行偏离特征估计,生成第二攻击入侵链路偏离特征;
结合所述第二攻击入侵链路偏离特征对所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息进行特征选择,生成所述目标攻击源在所述第x个威胁攻击操作中的攻击入侵链路信息;
结合所述目标攻击源在所述K个威胁攻击操作中的前x个威胁攻击操作中的攻击入侵链路信息,以及所述目标攻击源的开始攻击入侵链路位置和所述目标攻击源的终止攻击入侵链路位置,确定所述目标攻击源在标定会话节点区间内的攻击入侵链路数据;
所述对所述第二攻击入侵链路异常信息进行偏离特征估计,生成第二攻击入侵链路偏离特征,包括:
获取所述第x个威胁攻击操作的攻击状态特征,所述第x个威胁攻击操作的攻击状态特征包括:结合第x-1个威胁攻击操作提取的所述目标攻击源的前向攻击演进状态矢量,以及结合所述第二样例攻击事件数据簇中若干第二样例威胁攻击操作提取的所述目标攻击源的后向攻击演进状态矢量,所述前向攻击演进状态矢量指的是在威胁攻击操作序列中,从第一个操作到第x-1个操作期间,目标攻击源所经历的状态变化,用来描述攻击者在前一次攻击操作之前对目标系统进行的各种操作、渗透或侵入的情况,所述后向攻击演进状态矢量指的是在威胁攻击操作序列中,从第x+1个操作到最后一个操作期间,目标攻击源所经历的状态变化,用来描述攻击者在当前操作之后可能采取的攻击行为、数据泄露的情况;
融合所述第二攻击入侵链路异常信息和所述第x个威胁攻击操作的攻击状态特征,生成第二融合特征;
结合偏离特征估计模型对第二融合特征进行偏离特征估计,生成目标第二融合特征;
对目标第二融合特征进行分解,生成第二攻击入侵链路偏离特征;
所述获取第二攻击入侵链路异常信息,包括:
基于攻击入侵链路观测模型对所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇进行攻击入侵链路观测,生成所述目标攻击源在所述标定会话节点区间内的观测攻击入侵链路;或者,结合所述第一样例攻击事件数据簇和所述第二样例攻击事件数据簇进行链路建模,生成所述目标攻击源在所述第一会话节点区间内的观测攻击入侵链路;
结合所述目标攻击源在所述第一会话节点区间内的观测攻击入侵链路,生成所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息;
将所述目标攻击源在第x-1个威胁攻击操作中的攻击入侵链路信息,输出为第二样例攻击入侵链路信息;
结合所述目标攻击源在所述第x个威胁攻击操作中待进行特征选择的攻击入侵链路信息和所述第二样例攻击入侵链路信息之间的差异特征,计算第二攻击入侵链路异常信息。
5.根据权利要求1所述的边缘计算网关的安全防护方法,其特征在于,所述第一样例攻击事件数据簇中的第一样例威胁攻击操作和所述第二样例攻击事件数据簇中的第二样例威胁攻击操作均根据在所述网关会话服务活动中的威胁攻击时序进行排列;
所述方法还包括:
将所述第一样例攻击事件数据簇中最后一个第一样例威胁攻击操作中所述目标攻击源的入侵实例输出为第一入侵实例,并将所述第二样例攻击事件数据簇中第一个第二样例威胁攻击操作中所述目标攻击源的入侵实例输出为第二入侵实例;
结合所述第一入侵实例和所述第二入侵实例的入侵实例异常信息,确定所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作的数量;
其中,所述入侵实例异常信息包括所述第一入侵实例和所述第二入侵实例之间的入侵轨迹偏离特征、所述第一入侵实例对应的入侵轨迹特征、所述第二入侵实例对应的入侵轨迹特征。
6.根据权利要求1所述的边缘计算网关的安全防护方法,其特征在于,所述结合所述目标攻击源的攻击演进状态矢量及所述目标攻击源在标定会话节点区间内的攻击入侵链路数据,估计所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作,包括:
结合入侵检测模型结合所述目标攻击源在所述标定会话节点区间内的攻击入侵链路数据和所述目标攻击源的攻击演进状态矢量,估计所述目标攻击源在所述标定会话节点区间内的攻击入侵链路信息;
对所述标定会话节点区间内的攻击入侵链路信息进行虚拟估计生成,生成所述网关会话服务活动中在所述标定会话节点区间内的威胁攻击操作。
7.根据权利要求1所述的边缘计算网关的安全防护方法,其特征在于,所述方法还包括:
结合威胁攻击操作在所述网关会话服务活动中的威胁攻击时序,对所述第一样例攻击事件数据簇中的第一样例威胁攻击操作,在所述标定会话节点区间内的威胁攻击操作和所述第二样例攻击事件数据簇中的第二样例威胁攻击操作进行攻击流整合,生成目标威胁攻击映像数据。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有机器可执行指令,该机器可执行指令由处理器加载并执行以实现权利要求1-7中任意一项的边缘计算网关的安全防护方法。
9.一种边缘计算网关,其特征在于,所述边缘计算网关包括处理器和机器可读存储介质,该机器可读存储介质中存储有机器可执行指令,该机器可执行指令由该处理器加载并执行以实现权利要求1-7中任意一项的边缘计算网关的安全防护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311397578.0A CN117134999B (zh) | 2023-10-26 | 2023-10-26 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311397578.0A CN117134999B (zh) | 2023-10-26 | 2023-10-26 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117134999A CN117134999A (zh) | 2023-11-28 |
CN117134999B true CN117134999B (zh) | 2023-12-22 |
Family
ID=88858626
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311397578.0A Active CN117134999B (zh) | 2023-10-26 | 2023-10-26 | 一种边缘计算网关的安全防护方法、存储介质及网关 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117134999B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109617865A (zh) * | 2018-11-29 | 2019-04-12 | 中国电子科技集团公司第三十研究所 | 一种基于移动边缘计算的网络安全监测与防御方法 |
WO2020060503A1 (en) * | 2018-09-20 | 2020-03-26 | Ucar Ozan | An email threat simulator for identifying security vulnerabilities in email protection mechanisms |
CN114866330A (zh) * | 2022-05-25 | 2022-08-05 | 南昌市鼎强智能科技有限公司 | 采用ai和大数据分析的威胁攻击防护决策方法及ai系统 |
CN115065545A (zh) * | 2022-07-06 | 2022-09-16 | 保定超越电子科技有限公司 | 基于大数据威胁感知的安全防护构建方法及ai防护系统 |
CN115484062A (zh) * | 2022-08-11 | 2022-12-16 | 南京赛宁信息技术有限公司 | 一种基于apt攻击图的威胁检测方法、装置与设备 |
CN116827667A (zh) * | 2023-07-31 | 2023-09-29 | 厦门金龙联合汽车工业有限公司 | 一种基于公交域控制器的云协同网络入侵特征捕捉方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220066275A (ko) * | 2019-08-19 | 2022-05-24 | 큐 네트웍스, 엘엘씨 | 종단간 보안 및 전용 5세대 통신을 제공하기 위한 방법들, 시스템들, 키트들 및 장치들 |
EP3920067B1 (en) * | 2020-06-01 | 2024-05-01 | Tata Consultancy Services Limited | Method and system for machine learning model testing and preventive measure recommendation |
-
2023
- 2023-10-26 CN CN202311397578.0A patent/CN117134999B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020060503A1 (en) * | 2018-09-20 | 2020-03-26 | Ucar Ozan | An email threat simulator for identifying security vulnerabilities in email protection mechanisms |
CN109617865A (zh) * | 2018-11-29 | 2019-04-12 | 中国电子科技集团公司第三十研究所 | 一种基于移动边缘计算的网络安全监测与防御方法 |
CN114866330A (zh) * | 2022-05-25 | 2022-08-05 | 南昌市鼎强智能科技有限公司 | 采用ai和大数据分析的威胁攻击防护决策方法及ai系统 |
CN115065545A (zh) * | 2022-07-06 | 2022-09-16 | 保定超越电子科技有限公司 | 基于大数据威胁感知的安全防护构建方法及ai防护系统 |
CN115484062A (zh) * | 2022-08-11 | 2022-12-16 | 南京赛宁信息技术有限公司 | 一种基于apt攻击图的威胁检测方法、装置与设备 |
CN116827667A (zh) * | 2023-07-31 | 2023-09-29 | 厦门金龙联合汽车工业有限公司 | 一种基于公交域控制器的云协同网络入侵特征捕捉方法 |
Non-Patent Citations (1)
Title |
---|
区块链赋能多边缘安全联邦学习模型研究;姜晓宇,顾瑞春,张欢;计算机应用研究;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117134999A (zh) | 2023-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
US10949534B2 (en) | Method for predicting and characterizing cyber attacks | |
US10558797B2 (en) | Methods for identifying compromised credentials and controlling account access | |
US10686829B2 (en) | Identifying changes in use of user credentials | |
Siadati et al. | Detecting structurally anomalous logins within enterprise networks | |
US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
Abdullayeva | Advanced persistent threat attack detection method in cloud computing based on autoencoder and softmax regression algorithm | |
CA3100378A1 (en) | System and method for unauthorized activity detection | |
JP6774881B2 (ja) | 業務処理システム監視装置および監視方法 | |
Aldauiji et al. | Utilizing cyber threat hunting techniques to find ransomware attacks: A survey of the state of the art | |
US11314860B2 (en) | Anti-impersonation techniques using device-context information and user behavior information | |
Milosevic et al. | Malware in IoT software and hardware | |
Akhtar | Malware detection and analysis: Challenges and research opportunities | |
Ávila et al. | Use of security logs for data leak detection: a systematic literature review | |
Milosevic et al. | Malware threats and solutions for trustworthy mobile systems design | |
Bensoussan et al. | Managing information system security under continuous and abrupt deterioration | |
Amar et al. | Weighted LSTM for intrusion detection and data mining to prevent attacks | |
Ni et al. | Machine learning enabled Industrial IoT Security: Challenges, Trends and Solutions | |
EP3462359B1 (en) | System and method of identifying new devices during a user's interaction with banking services | |
RU2659736C1 (ru) | Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами | |
CN117134999B (zh) | 一种边缘计算网关的安全防护方法、存储介质及网关 | |
Garcia-Cervigon et al. | Browser function calls modeling for banking malware detection | |
Kumar et al. | Enhancing Data Privacy of IoT Healthcare with Keylogger Attack Mitigation | |
KR102018348B1 (ko) | 사용자 행동 분석 기반의 목표계정 탈취 감지 장치 | |
AlMasri et al. | Detecting Spyware in Android Devices Using Random Forest |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |