CN117220957A - 一种基于威胁情报的攻击行为响应方法及系统 - Google Patents
一种基于威胁情报的攻击行为响应方法及系统 Download PDFInfo
- Publication number
- CN117220957A CN117220957A CN202311212363.7A CN202311212363A CN117220957A CN 117220957 A CN117220957 A CN 117220957A CN 202311212363 A CN202311212363 A CN 202311212363A CN 117220957 A CN117220957 A CN 117220957A
- Authority
- CN
- China
- Prior art keywords
- attack
- threat
- threat information
- chain
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000006399 behavior Effects 0.000 claims abstract description 75
- 230000000694 effects Effects 0.000 claims abstract description 14
- 230000015654 memory Effects 0.000 claims description 24
- 238000000605 extraction Methods 0.000 claims description 19
- 230000000007 visual effect Effects 0.000 claims description 16
- 238000004422 calculation algorithm Methods 0.000 claims description 14
- 238000010801 machine learning Methods 0.000 claims description 14
- 238000010276 construction Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 11
- 238000007619 statistical method Methods 0.000 claims description 9
- 238000005065 mining Methods 0.000 claims description 7
- 238000012800 visualization Methods 0.000 claims description 5
- 238000012097 association analysis method Methods 0.000 claims description 4
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000012098 association analyses Methods 0.000 claims description 2
- 230000016571 aggressive behavior Effects 0.000 claims 2
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000012544 monitoring process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 11
- 238000004458 analytical method Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 5
- 230000001133 acceleration Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000011282 treatment Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全防护技术领域,公开了一种基于威胁情报的攻击行为响应方法及系统,该方法包括:获取多源威胁情报数据以及实时网络流量;根据多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库;根据攻击链以及威胁情报特征库建立关联攻击行为模型;将实时网络流量与关联攻击行为模型进行匹配,对实时网络流量进行响应。本发明通过对攻击行为进行分析和挖掘,建立关联攻击行为模型,将获取的实时网络流量与关联攻击行为模型进行匹配,实现了实时监测和分析流量、预测攻击模式和威胁的目的,达到了快速响应和处置威胁事件的效果,解决了相关技术中存在的基于威胁情报的攻击行为响应方法实时性较差的问题。
Description
技术领域
本发明涉及网络安全防护技术领域,具体涉及一种基于威胁情报的攻击行为响应方法及系统。
背景技术
随着互联网的普及和信息化的加速,网络攻击行为日益频繁,威胁情报的分析和利用成为了当前网络安全防护领域的重要研究方向。现有的基于威胁情报的攻击行为响应方法对数据进行攻击行为分析花费的时间较长,响应速度较慢,由于网络攻击行为变化迅速,需要及时检测和应对,现有方法难以满足实时性的要求。因此,现有技术中存在基于威胁情报的攻击行为响应方法实时性较差的问题。
发明内容
有鉴于此,本发明提供了一种基于威胁情报的攻击行为响应方法及系统,以解决基于威胁情报的攻击行为响应方法实时性较差的问题。
第一方面,本发明提供了一种基于威胁情报的攻击行为响应方法,包括:获取多源威胁情报数据以及实时网络流量;根据多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库;根据攻击链以及威胁情报特征库建立关联攻击行为模型;将实时网络流量与关联攻击行为模型进行匹配,对实时网络流量进行响应。
在本发明实施例中,通过对攻击行为进行分析和挖掘,建立关联攻击行为模型,将获取的实时网络流量与关联攻击行为模型进行匹配,实现了实时监测和分析流量、预测攻击模式和威胁的目的,达到了快速响应和处置威胁事件的效果,解决了相关技术中存在的基于威胁情报的攻击行为响应方法实时性较差的问题。
在一种可选的实施方式中,根据多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库,包括:利用机器学习算法和模型提取多源威胁情报数据中的多种攻击特征;根据多种攻击特征构建攻击链以及威胁情报特征库。
在本发明实施例中,从多源威胁情报数据中提取多种攻击特征,实现了获取更加全面、多样化数据的目的,从而达到了提高分析准确性和覆盖范围的效果。
在一种可选的实施方式中,利用机器学习算法和模型提取多源威胁情报数据中的多种攻击特征,包括:对多源威胁情报数据进行范式化处理,得到预设格式的结构化数据和非结构化数据;利用机器学习算法和模型提取结构化数据和非结构化数据包含的多种攻击特征。
在本发明实施例中,通过对多源威胁情报数据进行范式化处理,达到了提高威胁情报数据质量、统一威胁情报数据格式的目的,提高了后续对情报数据分析的效率。
在一种可选的实施方式中,根据多种攻击特征构建攻击链以及威胁情报特征库,包括:根据多种攻击特征构建威胁情报特征库;利用统计分析和关联分析方法确定多种攻击特征间的关联关系;根据多种攻击特征以及多种攻击特征间的关联关系构建攻击链。
在本发明实施例中,通过构建攻击链,实现了高效地整合和分析数据以及发现其中关联性和潜在威胁的目的,从而达到了提高响应速度的效果。
在一种可选的实施方式中,在利用统计分析和关联分析方法确定多种攻击特征间的关联关系之后,方法还包括:利用可视化工具挖掘多种攻击特征以及关联关系中隐藏的模式和趋势;在根据多种攻击特征以及多种攻击特征间的关联关系构建攻击链之后,方法还包括:将多种攻击特征和攻击链以可视化形式展示。
在本发明实施例中,利用可视化工具进一步挖掘隐藏的模式和趋势,并进行可视化展示,提高了攻击响应的可靠性和准确性以及数据分析结果的可理解性。
在一种可选的实施方式中,在根据攻击链以及威胁情报特征库建立关联攻击行为模型之后,方法还包括:采用半监督学习对多源威胁情报数据进行分类,得到分类结果。
在本发明实施例中,对威胁情报数据进行分类,以便根据类别进行相应的响应,从而提高了响应的灵活性和准确性。
在一种可选的实施方式中,分类结果包括:攻击类型分类结果,将实时网络流量与关联攻击行为模型进行匹配,对实时网络流量进行响应,包括:将实时网络流量与关联攻击行为模型匹配,确定对应的攻击链以及攻击类型;根据攻击链以及攻击类型进行告警或处置。
在本发明实施例中,确定实时网络流量对应的攻击链以及攻击类型,进行告警或处置,实现了有针对性地对分析结果进行响应的目的,从而提高了攻击行为响应的可靠性。
第二方面,本发明提供了一种基于威胁情报的攻击行为响应系统,包括:获取模块,用于获取多源威胁情报数据以及实时网络流量;提取模块,用于根据多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库;关联攻击行为模型构建模块,用于根据攻击链以及威胁情报特征库建立关联攻击行为模型;响应模块,用于将实时网络流量与关联攻击行为模型进行匹配,对实时网络流量进行响应。
在一种可选的实施方式中,提取模块,包括:攻击特征提取单元,用于利用机器学习算法和模型提取多源威胁情报数据中的多种攻击特征;构建单元,用于根据多种攻击特征构建攻击链以及威胁情报特征库。
在一种可选的实施方式中,攻击特征提取单元,包括:预处理子单元,用于对多源威胁情报数据进行范式化处理,得到预设格式的结构化数据和非结构化数据;攻击特征提取子单元,用于利用机器学习算法和模型提取结构化数据和非结构化数据包含的多种攻击特征。
在一种可选的实施方式中,构建单元,包括:特征库构建子单元,用于根据多种攻击特征构建威胁情报特征库;关联关系确定子单元,用于利用统计分析和关联响应系统确定多种攻击特征间的关联关系;攻击链构建子单元,用于根据多种攻击特征以及多种攻击特征间的关联关系构建攻击链。
在一种可选的实施方式中,系统还包括:可视化挖掘模块,用于利用可视化工具挖掘多种攻击特征以及关联关系中隐藏的模式和趋势;可视化展示模块,用于将多种攻击特征和攻击链以可视化形式展示。
在一种可选的实施方式中,系统还包括:分类模块,用于采用半监督学习对多源威胁情报数据进行分类,得到分类结果。
在一种可选的实施方式中,分类结果包括:攻击类型分类结果,响应模块,包括:模型匹配单元,用于将实时网络流量与关联攻击行为模型匹配,确定对应的攻击链以及攻击类型;响应单元,用于根据攻击链以及攻击类型进行告警或处置。
第三方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的基于威胁情报的攻击行为响应方法。
第四方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的基于威胁情报的攻击行为响应方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的基于威胁情报的攻击行为响应方法的流程示意图;
图2是根据本发明实施例的另一基于威胁情报的攻击行为响应方法的流程示意图;
图3是根据本发明实施例的基于威胁情报的攻击行为响应方法的整体框架示意图;
图4是根据本发明实施例的基于威胁情报的攻击行为响应系统的结构框图;
图5是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明的描述中,术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
随着互联网的普及和信息化的加速,网络攻击行为日益频繁,网络安全成为各行业关注的重点问题。传统的网络安全防护手段通常基于固定的规则和签名,对于动态的、变异的新型攻击方式常常无法及时应对。因此,威胁情报的分析利用成为了当前网络安全防护领域的重要研究方向。在现有技术中,威胁情报数据来源丰富,格式和结构各异,如何高效地整合和分析这些数据,并发现其中的关联性和潜在威胁,是一个具有挑战性的问题;且威胁情报数据的质量参差不齐,导致存在误报和漏报的情况,需要建立有效的机制来评估和筛选可靠的威胁情报数据;此外,由于网络攻击行为变化迅速,需要及时检测和应对,因此,如何快速响应潜在的攻击行为,也是一个关键问题。
根据本发明实施例,提供了一种基于威胁情报的攻击行为响应方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种基于威胁情报的攻击行为响应方法,可用于上述的移动终端,如中央处理单元、服务器等,图1是根据本发明实施例的基于威胁情报的攻击行为响应方法的流程示意图,如图1所示,该流程包括如下步骤:
步骤S101,获取多源威胁情报数据以及实时网络流量。可选地,多源威胁情报数据为从多个来源收集的威胁情报数据,如:恶意软件样本、网络流量数据、日志信息等。来源可以是专业威胁情报服务商的商业威胁情报数据、开源威胁情报数据、国家级威胁情报共享数据以及公司级威胁情报数据等;实时网络流量(数据)用于检测可能存在的攻击行为和异常活动,包括入站和出站的数据。
步骤S102,根据多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库。可选地,利用步骤S101获取的多源威胁情报数据提取攻击特征,其中,攻击特征是攻击行为的属性或者特点,根据提取的攻击特征构建攻击链以及威胁情报特征库,攻击链用于描述攻击行为的步骤和顺序,可以是序列形式,威胁情报特征库用于存储攻击特征和攻击链的相关信息。
步骤S103,根据攻击链以及威胁情报特征库建立关联攻击行为模型。可选地,根据步骤S102构建的攻击链以及威胁情报特征库建立关联攻击行为模型,其中,关联攻击行为模型可以是知识图谱的形式,如将攻击链中的关键信息作为知识图谱的节点,关键信息之间的关联关系作为知识图谱的边,将威胁情报特征库中存储的相关信息作为节点或边的属性,对关键信息或关联关系进行补充描述。
步骤S104,将实时网络流量与关联攻击行为模型进行匹配,对实时网络流量进行响应。可选地,将步骤S101中监测获取的实时网络流量与步骤S103建立的关联攻击行为模型进行匹配,从而实现对实时网络流量可能存在的攻击进行预测和响应的目的。
在本发明实施例中,通过对攻击行为进行分析和挖掘,建立关联攻击行为模型,将获取的实时网络流量与关联攻击行为模型进行匹配,实现了实时监测和分析流量、预测攻击模式和威胁的目的,达到了快速响应和处置威胁事件的效果,解决了相关技术中存在的基于威胁情报的攻击行为响应方法实时性较差的问题。
在本实施例中提供了一种基于威胁情报的攻击行为响应方法,可用于上述的移动终端,如中央处理单元、服务器等,图2是根据本发明实施例的另一基于威胁情报的攻击行为响应方法的流程示意图,如图2所示,该流程包括如下步骤:
步骤S201,获取多源威胁情报数据以及实时网络流量。详细请参见图1所示实施例的步骤S101,在此不再赘述。由于不同威胁情报服务商拥有不同的数据获取渠道,获取时需要通过采集服务器对多源异构的威胁情报数据进行汇聚与接入。
步骤S202,根据多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库。可选地,上述步骤S202包括:
步骤S2021,利用机器学习算法和模型提取多源威胁情报数据中的多种攻击特征。具体地,上述步骤S2021包括:
步骤a1,对多源威胁情报数据进行范式化处理,得到预设格式的结构化数据和非结构化数据。范式化处理即对多源异构的威胁情报数据进行清洗并处理为统一的情报格式,使其符合后续分析的需求。
步骤a2,利用机器学习算法和模型提取结构化数据和非结构化数据包含的多种攻击特征。可选地,对于结构化数据和非结构化数据分别采用决策树和随机森林结合文本挖掘与信息抽取技术提取多种攻击特征,示例性地,假设威胁情报数据为网络流量、日志信息等,利用上述方法从网络流量中提取源IP地址、目的IP地址、端口号、协议类型等攻击特征;从系统或应用程序的日志信息中提取有关攻击事件的时间戳、关键操作、错误信息等攻击特征;此外,对于文本数据可以提取其中的关键词、语法结构、主题等信息,分析其中包含的攻击特征,对于图像数据可利用计算机视觉技术提取图像中的形状、纹理、颜色等信息,分析其中包含的攻击特征。
步骤S2022,根据多种攻击特征构建攻击链以及威胁情报特征库。具体地,上述步骤S2022包括:
步骤b1,根据多种攻击特征构建威胁情报特征库。可选地,将提取的多种攻击特征如:时间、IP地址、域名基础信息、攻击组织信息,恶意样本信息以及恶意IP等信息进行存储,形成威胁情报特征库。
步骤b2,利用统计分析和关联分析方法确定多种攻击特征间的关联关系。可选地,使用统计学方法分析多种攻击特征的分布、频率及相关性等统计特征,通过比对不同威胁情报攻击事件中的攻击特征,找出共有的攻击特征,从而确定多种攻击特征间的关联关系。也可从事件发生概率和统计特征的角度出发,利用概率统计的关联分析,将多种攻击特征间的关系以概率形式表示,从而确定多种攻击特征间的时序和因果关系。
步骤b3,根据多种攻击特征以及多种攻击特征间的关联关系构建攻击链。可选地,攻击链是描述攻击行为步骤和顺序的序列,作为一种示例,构建攻击链可以包括以下步骤:确定攻击(链)的起始点,即攻击者进入系统的方式或初始活动;追踪攻击路径,根据攻击特征和关联关系,追踪攻击者在系统中的行动路径;识别关键环节,即确定攻击链中的关键环节,关键环节为决定攻击成功或失败的重要步骤;明确攻击目标,即识别攻击者的目标,例如攻击目标为窃取敏感数据或者破坏系统等。
在一种可选的实施方式中,在上述步骤b2之后,还包括:步骤c1,利用可视化工具挖掘多种攻击特征以及关联关系中隐藏的模式和趋势。具体地,根据数据的特征以不同形式的图表进行展示,如用折线图分析趋势,用散点图分析联系,对多类数据进行聚类展示等,从而实现发现隐藏的数据分布规律和趋势的目的,便于更好地获取有用信息。
在上述步骤b3之后,还包括:步骤c2,将多种攻击特征和攻击链以可视化形式展示。具体地,对提取的多种攻击特征和构建的攻击链进行结果呈现,如利用时序图、流程图、网络拓扑图等展示结果,图形化展示更加清晰直观,便于理解。
步骤S203,根据攻击链以及威胁情报特征库建立关联攻击行为模型。详细请参见图1所示实施例的步骤S103,在此不再赘述。
步骤S204,采用半监督学习对多源威胁情报数据进行分类,得到分类结果。可选地,采用半监督学习方式对威胁情报数据进行分类,如对攻击类型、攻击方式进行分类,从而更好地理解和预防不同的类型的攻击行为。
步骤S205,将实时网络流量与关联攻击行为模型进行匹配,对实时网络流量进行响应。具体地,上述步骤S205包括:
步骤S2051,将实时网络流量与关联攻击行为模型匹配,确定对应的攻击链以及攻击类型。对步骤S201获取的实时网络流量进行攻击特征的提取,然后与步骤S203建立的关联攻击行为模型进行匹配,确定其对应的攻击链及攻击类型。
步骤S2052,根据攻击链以及攻击类型进行告警或处置。可选地,对于不同的攻击类型配置不同的响应方法,即选择与攻击类型对应的防御策略保护网络安全。示例性地,对于匹配成功但现阶段还不确定的攻击行为生成告警信息,提示发现的攻击链和攻击类型,并给出处理建议;对不人工干预的攻击类型,按预设规则执行阻断等。达到了有针对性地对分析结果进行响应的目的,从而提高了攻击行为响应的可靠性。
图3是根据本发明实施例的基于威胁情报的攻击行为响应方法的整体框架示意图。如图3所示,一方面对多源跨域威胁情报采集,对采集的情报数据清洗与预处理,然后进行特征提取,构建关联攻击行为模型;另一方面,实时采集网络流量数据,对采集的数据清洗与预处理,进行特征提取,与构建的关联攻击行为模型进行匹配,经过关联攻击行为模型对实时流量中攻击数据进行深度关联与分析,推理出隐含的攻击链条等高价值威胁信息,进行告警与处置。上述方法和步骤详细请参见图2所示实施例,在此不再赘述。
在本实施例中还提供了一种基于威胁情报的攻击行为响应系统,该系统用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种基于威胁情报的攻击行为响应系统,如图4所示,包括:获取模块401,用于获取多源威胁情报数据以及实时网络流量;提取模块402,用于根据多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库;关联攻击行为模型构建模块403,用于根据攻击链以及威胁情报特征库建立关联攻击行为模型;响应模块404,用于将实时网络流量与关联攻击行为模型进行匹配,对实时网络流量进行响应。
在一种可选的实施方式中,提取模块,包括:攻击特征提取单元,用于利用机器学习算法和模型提取多源威胁情报数据中的多种攻击特征;构建单元,用于根据多种攻击特征构建攻击链以及威胁情报特征库。
在一种可选的实施方式中,攻击特征提取单元,包括:预处理子单元,用于对多源威胁情报数据进行范式化处理,得到预设格式的结构化数据和非结构化数据;攻击特征提取子单元,用于利用机器学习算法和模型提取结构化数据和非结构化数据包含的多种攻击特征。
在一种可选的实施方式中,构建单元,包括:特征库构建子单元,用于根据多种攻击特征构建威胁情报特征库;关联关系确定子单元,用于利用统计分析和关联响应系统确定多种攻击特征间的关联关系;攻击链构建子单元,用于根据多种攻击特征以及多种攻击特征间的关联关系构建攻击链。
在一种可选的实施方式中,系统还包括:可视化挖掘模块,用于利用可视化工具挖掘多种攻击特征以及关联关系中隐藏的模式和趋势;可视化展示模块,用于将多种攻击特征和攻击链以可视化形式展示。
在一种可选的实施方式中,系统还包括:分类模块,用于采用半监督学习对多源威胁情报数据进行分类,得到分类结果。
在一种可选的实施方式中,分类结果包括:攻击类型分类结果,响应模块,包括:模型匹配单元,用于将实时网络流量与关联攻击行为模型匹配,确定对应的攻击链以及攻击类型;响应单元,用于根据攻击链以及攻击类型进行告警或处置。
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本实施例中的基于威胁情报的攻击行为响应系统是以功能单元的形式来呈现,这里的单元是指ASIC(Application Specific Integrated Circuit,专用集成电路)电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
本发明实施例还提供一种计算机设备,具有上述图4所示的基于威胁情报的攻击行为响应系统。
请参阅图5,图5是本发明可选实施例提供的一种计算机设备的结构示意图,如图5所示,该计算机设备包括:一个或多个处理器10、存储器20,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相通信连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个计算机设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图5中以一个处理器10为例。
处理器10可以是中央处理器,网络处理器或其组合。其中,处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路,可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件,现场可编程逻辑门阵列,通用阵列逻辑或其任意组合。
其中,存储器20存储有可由至少一个处理器10执行的指令,以使至少一个处理器10执行实现上述实施例示出的方法。
存储器20可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器20可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中,存储器20可选包括相对于处理器10远程设置的存储器,这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
存储器20可以包括易失性存储器,例如,随机存取存储器;存储器也可以包括非易失性存储器,例如,快闪存储器,硬盘或固态硬盘;存储器20还可以包括上述种类的存储器的组合。
该计算机设备还包括通信接口30,用于该计算机设备与其他设备或通信网络通信。
本发明实施例还提供了一种计算机可读存储介质,上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (16)
1.一种基于威胁情报的攻击行为响应方法,其特征在于,所述方法包括:
获取多源威胁情报数据以及实时网络流量;
根据所述多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库;
根据所述攻击链以及所述威胁情报特征库建立关联攻击行为模型;
将所述实时网络流量与所述关联攻击行为模型进行匹配,对所述实时网络流量进行响应。
2.根据权利要求1所述的基于威胁情报的攻击行为响应方法,其特征在于,所述根据所述多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库,包括:
利用机器学习算法和模型提取多源威胁情报数据中的多种攻击特征;
根据所述多种攻击特征构建攻击链以及威胁情报特征库。
3.根据权利要求2所述的基于威胁情报的攻击行为响应方法,其特征在于,所述利用机器学习算法和模型提取多源威胁情报数据中的多种攻击特征,包括:
对多源威胁情报数据进行范式化处理,得到预设格式的结构化数据和非结构化数据;
利用机器学习算法和模型提取所述结构化数据和非结构化数据包含的多种攻击特征。
4.根据权利要求2所述的基于威胁情报的攻击行为响应方法,其特征在于,所述根据所述多种攻击特征构建攻击链以及威胁情报特征库,包括:
根据多种攻击特征构建威胁情报特征库;
利用统计分析和关联分析方法确定多种攻击特征间的关联关系;
根据多种攻击特征以及所述多种攻击特征间的关联关系构建攻击链。
5.根据权利要求4所述的基于威胁情报的攻击行为响应方法,其特征在于,在所述利用统计分析和关联分析方法确定多种攻击特征间的关联关系之后,所述方法还包括:
利用可视化工具挖掘多种攻击特征以及关联关系中隐藏的模式和趋势;
在所述根据多种攻击特征以及所述多种攻击特征间的关联关系构建攻击链之后,所述方法还包括:
将多种攻击特征和攻击链以可视化形式展示。
6.根据权利要求1所述的基于威胁情报的攻击行为响应方法,其特征在于,在所述根据所述攻击链以及所述威胁情报特征库建立关联攻击行为模型之后,所述方法还包括:
采用半监督学习对多源威胁情报数据进行分类,得到分类结果。
7.根据权利要求6所述的基于威胁情报的攻击行为响应方法,其特征在于,所述分类结果包括:攻击类型分类结果,所述将所述实时网络流量与所述关联攻击行为模型进行匹配,对所述实时网络流量进行响应,包括:
将实时网络流量与关联攻击行为模型匹配,确定对应的攻击链以及攻击类型;
根据所述攻击链以及攻击类型进行告警或处置。
8.一种基于威胁情报的攻击行为响应系统,其特征在于,所述系统包括:
获取模块,用于获取多源威胁情报数据以及实时网络流量;
提取模块,用于根据所述多源威胁情报数据提取攻击特征,构建攻击链以及威胁情报特征库;
关联攻击行为模型构建模块,用于根据所述攻击链以及所述威胁情报特征库建立关联攻击行为模型;
响应模块,用于将所述实时网络流量与所述关联攻击行为模型进行匹配,对所述实时网络流量进行响应。
9.根据权利要求8所述的基于威胁情报的攻击行为响应系统,其特征在于,所述提取模块,包括:
攻击特征提取单元,用于利用机器学习算法和模型提取多源威胁情报数据中的多种攻击特征;
构建单元,用于根据所述多种攻击特征构建攻击链以及威胁情报特征库。
10.根据权利要求9所述的基于威胁情报的攻击行为响应系统,其特征在于,所述攻击特征提取单元,包括:
预处理子单元,用于对多源威胁情报数据进行范式化处理,得到预设格式的结构化数据和非结构化数据;
攻击特征提取子单元,用于利用机器学习算法和模型提取所述结构化数据和非结构化数据包含的多种攻击特征。
11.根据权利要求9所述的基于威胁情报的攻击行为响应系统,其特征在于,所述构建单元,包括:
特征库构建子单元,用于根据多种攻击特征构建威胁情报特征库;
关联关系确定子单元,用于利用统计分析和关联响应系统确定多种攻击特征间的关联关系;
攻击链构建子单元,用于根据多种攻击特征以及所述多种攻击特征间的关联关系构建攻击链。
12.根据权利要求11所述的基于威胁情报的攻击行为响应系统,其特征在于,所述系统还包括:
可视化挖掘模块,用于利用可视化工具挖掘多种攻击特征以及关联关系中隐藏的模式和趋势;
可视化展示模块,用于将多种攻击特征和攻击链以可视化形式展示。
13.根据权利要求8所述的基于威胁情报的攻击行为响应系统,其特征在于,所述系统还包括:
分类模块,用于采用半监督学习对多源威胁情报数据进行分类,得到分类结果。
14.根据权利要求13所述的基于威胁情报的攻击行为响应系统,其特征在于,所述分类结果包括:攻击类型分类结果,所述响应模块,包括:
模型匹配单元,用于将实时网络流量与关联攻击行为模型匹配,确定对应的攻击链以及攻击类型;
响应单元,用于根据所述攻击链以及攻击类型进行告警或处置。
15.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至7中任一项所述的基于威胁情报的攻击行为响应方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的基于威胁情报的攻击行为响应方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311212363.7A CN117220957A (zh) | 2023-09-19 | 2023-09-19 | 一种基于威胁情报的攻击行为响应方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311212363.7A CN117220957A (zh) | 2023-09-19 | 2023-09-19 | 一种基于威胁情报的攻击行为响应方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117220957A true CN117220957A (zh) | 2023-12-12 |
Family
ID=89047771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311212363.7A Pending CN117220957A (zh) | 2023-09-19 | 2023-09-19 | 一种基于威胁情报的攻击行为响应方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117220957A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117574135A (zh) * | 2024-01-16 | 2024-02-20 | 国网浙江省电力有限公司丽水供电公司 | 一种电网攻击事件检测方法、装置、设备及存储介质 |
CN118487873A (zh) * | 2024-07-12 | 2024-08-13 | 国网浙江省电力有限公司丽水供电公司 | 一种基于攻击链视角的加密流量威胁检测方法和系统 |
-
2023
- 2023-09-19 CN CN202311212363.7A patent/CN117220957A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117574135A (zh) * | 2024-01-16 | 2024-02-20 | 国网浙江省电力有限公司丽水供电公司 | 一种电网攻击事件检测方法、装置、设备及存储介质 |
CN117574135B (zh) * | 2024-01-16 | 2024-03-26 | 国网浙江省电力有限公司丽水供电公司 | 一种电网攻击事件检测方法、装置、设备及存储介质 |
CN118487873A (zh) * | 2024-07-12 | 2024-08-13 | 国网浙江省电力有限公司丽水供电公司 | 一种基于攻击链视角的加密流量威胁检测方法和系统 |
CN118487873B (zh) * | 2024-07-12 | 2024-10-08 | 国网浙江省电力有限公司丽水供电公司 | 一种基于攻击链视角的加密流量威胁检测方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
US12058177B2 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及系统 | |
US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
US20120036577A1 (en) | Method and system for alert classification in a computer network | |
CN110766329B (zh) | 一种信息资产的风险分析方法、装置、设备及介质 | |
US9961047B2 (en) | Network security management | |
CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
CN110708292A (zh) | Ip处理方法、装置、介质、电子设备 | |
CN109255237A (zh) | 安全事件关联分析方法及装置 | |
JP2019159431A (ja) | 評価プログラム、評価方法および評価装置 | |
KR102040371B1 (ko) | 네트워크 공격 패턴 분석 및 방법 | |
CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
EP3361405A1 (en) | Enhancement of intrusion detection systems | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 | |
US20240195841A1 (en) | System and method for manipulation of secure data | |
CN116627466B (zh) | 一种业务路径提取方法、系统、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |