CN117294501A - 一种网络攻击反制方法、装置、设备以及存储介质 - Google Patents
一种网络攻击反制方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN117294501A CN117294501A CN202311272166.4A CN202311272166A CN117294501A CN 117294501 A CN117294501 A CN 117294501A CN 202311272166 A CN202311272166 A CN 202311272166A CN 117294501 A CN117294501 A CN 117294501A
- Authority
- CN
- China
- Prior art keywords
- attack
- event
- network
- determining
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 52
- 238000000605 extraction Methods 0.000 claims abstract description 29
- 238000012545 processing Methods 0.000 claims abstract description 24
- 238000004590 computer program Methods 0.000 claims description 16
- 238000005516 engineering process Methods 0.000 claims description 15
- 230000014509 gene expression Effects 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 6
- 230000008520 organization Effects 0.000 claims description 5
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 230000000116 mitigating effect Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000002347 injection Methods 0.000 description 7
- 239000007924 injection Substances 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 206010063385 Intellectualisation Diseases 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003340 mental effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- Fuzzy Systems (AREA)
- Software Systems (AREA)
- Algebra (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻击反制方法、装置、设备以及存储介质。该方法包括:响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。本发明的技术方案,可以利用知识图谱,有效挖掘攻击事件的联系,从而可以在发生网络攻击事件时,快速准确地确定出对应的缓解措施,提供更强大的网络安全保护。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络攻击反制方法、装置、设备以及存储介质。
背景技术
随着科技的发展,网络攻击已成为当今互联网世界中的一项严峻威胁,攻击者不断演化其手法,威胁范围也不断扩大。从个人信息泄露到企业数据损失,攻击可以造成巨大的经济和社会损失。传统的网络安全措施虽然有一定效果,但往往难以应对日益复杂和隐蔽的攻击方式。
因此,如何在发生网络攻击事件时,结合知识图谱,快速准确的确定出对应的缓解措施,从而提供更强大的网络安全保护,是目前亟待解决的问题。
发明内容
本发明提供了一种网络攻击反制方法、装置、设备以及存储介质,可以利用知识图谱,有效挖掘攻击事件的联系,从而可以在发生网络攻击事件时,快速准确地确定出对应的缓解措施,提供更强大的网络安全保护。
根据本发明的一方面,提供了一种网络攻击反制方法,包括:
响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;
基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;
根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。
根据本发明的另一方面,提供了一种网络攻击反制装置,包括:
确定模块,用于响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;
筛选模块,用于基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;
反制模块,用于根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的网络攻击反制方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的网络攻击反制方法。
本发明实施例的技术方案,响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。通过这样的方式,可以利用知识图谱,有效挖掘攻击事件的联系,从而可以在发生网络攻击事件时,快速准确地确定出对应的缓解措施,提供更强大的网络安全保护。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种网络攻击反制方法的流程图;
图2是本发明实施例二提供的一种网络攻击反制方法的流程图;
图3是本发明实施例三提供的一种网络攻击反制装置的结构框图;
图4是本发明实施例四提供的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“目标”、“候选”、“备选”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在相关技术中,传统的渗透测试流程包括“确定目标”、“信息收集”、“漏洞探测”、“漏洞利用”和“后渗透”五个步骤,随着网络攻击的日益复杂,各阶段之间界限越来越模糊,无法从某一阶段针对网络攻击做出反制。另一方面,随着AI技术的发展,知识图谱在网络安全中的应用变得尤为重要,它可以将白帽子(网络安全专家)在渗透测试中积累的实战经验转化为机器可存储、识别和处理的结构化知识。这一过程不仅涉及数据整合,还包括利用人工智能算法进行“智力”成长和逻辑推理决策。这种方法使得机器能够贴近实际人工渗透的方式,从信息收集到漏洞利用的完整测试过程中,主动发现信息化系统的风险点并提供反制方法。
针对上述问题,本发明利用知识图谱,有效挖掘攻击事件的联系,在发生网络攻击事件时,可以快速准确地确定出对应的缓解措施以进行网络攻击反制,具体的实现过程将在后续实施例详细介绍。
实施例一
图1是本发明实施例一提供的一种网络攻击反制方法的流程图;本实施例适用于系统在受到网络攻击时结合知识图谱进行全面分析以确定出有效的缓解措施进行网络攻击反制的情况,该方法可以由网络攻击反制装置来执行,该装置可以采用软件和/或硬件的方式实现,并可集成于具有网络攻击反制功能的电子设备中,如电网系统中。如图1所示,该方法包括:
S101、响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件。
其中,网络攻击事件是指系统(如电网系统)的网络被攻击的事件,例如通过对系统进行漏洞扫描、端口扫描等实现侵入电网系统的事件,即漏洞利用、APT(AdvancedPersistent Threat,即高级持续性威胁)攻击以及恶意软件等。攻击数据是指受到攻击时检测到的相关检测数据。当前攻击事件例如可以是IP192.168.1.1在2023年9月15日利用电网系统的CWE-119类型漏洞发起SQL注入攻击的事件。
可选的,可以周期性地对电网系统中的各种log日志进行抽取,并基于预设的规则进行检测,确定系统是否被攻击,若是,则响应于网络攻击事件,获取攻击数据以进行特征提取处理。
可选的,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件,包括:基于预设的特征提取算法,对攻击数据进行特征提取处理,确定攻击事件特征;根据攻击事件特征,确定攻击数据对应的当前攻击事件。
其中,攻击事件特征包括以下至少一种:攻击IP、攻击组织、攻击技术、攻击策略、攻击类型以及攻击组件。攻击类型例如可以为漏洞扫描或端口扫描。
可选的,可以利用预设的正则表达式对攻击数据进行提取处理以得到攻击事件特征;也可以采用预先训练好的特征提取模型,对攻击数据进行特征提取处理,确定攻击事件特征。
可选的,可以基于攻击事件的组成结构,如攻击IP+攻击技术+攻击类型,根据攻击事件特征,即攻击IP为IP192.168.1.1,攻击技术为CWE-119类型漏洞,以及攻击类型为SQL注入攻击,生成当前攻击事件,即“IP192.168.1.1利用电网系统的CWE-119类型漏洞发起SQL注入攻击”。
S102、基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件。
其中,图论算法是指预设的用于计算两个攻击事件之间关联性或相似度的算法。目标知识图谱可以是基于历史攻击事件的中历史攻击数据和事件最终缓释措施等信息构建的知识图谱。预设的图论算法可以为jaccard算法(相似度值表示两个节点之间的共同实体占它们总体实体的比例)和/或overlap算法(相似度值表示两个节点之间的共同实体占它们两者中较小集合的比例)。
可选的,基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件,包括:确定预设目标知识图谱中的候选攻击事件,并基于预设的图论算法,确定各候选攻击事件与当前攻击事件的相似度;根据相似度,从候选攻击事件中确定出符合条件的目标攻击事件。其中,候选攻击事件可以为目标知识图谱中记录的所有历史攻击事件。相似度是表征两个攻击事件关联度的衡量标准。
可选的,可以根据候选攻击事件和当前攻击事件分别包含的攻击事件特征,将候选攻击事件和当前攻击事件作为知识图谱中的节点,基于图论算法,在图论中基于点和点之间的关系,实现点与点之间相似度的计算。
示例性的,基于overlap图论算法,节点s和节点t之间的相似度可以通过如下公式进行计算:
其中,ps代表的是点s相连接的实体的集合,pt代表的是和t相连接的实体的集合。
可选的,若预设的图论算法为jaccard算法,则基于预设的图论算法,确定各候选攻击事件与当前攻击事件的相似度,包括:基于预设的图论算法,确定候选攻击事件与当前攻击事件对应实体集合的交集和并集;将交集和并集的比值,确定为该候选攻击事件与当前攻击事件的相似度。
示例性的,基于jaccard图论算法,节点s和节点t之间的相似度可以通过如下公式进行计算:
其中,ps代表的是点s相连接的实体的集合,pt代表的是和t相连接的实体的集合。
可选的,根据相似度,从候选攻击事件中确定出符合条件的目标攻击事件,包括:根据相似度,对候选攻击事件进行排序,确定排序结果;基于预设的目标匹配数量和排序结果,从候选攻击事件中确定出符合条件的目标攻击事件。
示例性的,可以根据排序结果,和目标匹配数量K,将排序结果中与当前攻击事件最相似的前K个关联的候选攻击事件,确定为符合条件的目标攻击事件。
可选的,预先构建目标知识图谱的方式为:基于预设的正规规则表达式,在预设的网络攻击公共数据集中进行匹配,抽取得到实体信息;采用图论相关算法,挖掘不同攻击事件、攻击技术、漏洞之间的关联关系,以构建目标知识图谱。
其中,一个网络攻击事件为一个实体,实体信息是指网络攻击事件和其相关的攻击数据信息,预设的网络攻击公共数据集可以为CVE、CWE、ATTCK等公共数据集。挖掘的不同攻击事件可以是指挖掘电网系统中历史的网络攻击事件数据,网络攻击事件数据包括但是不限于攻击日志、触发的系统报警信息和防御日志等。CVE是一个漏洞标准数据集,包含20万条以上的漏洞信息,在这个数据集中每一个漏洞都有一个唯一的编号,编号形式是类似CVE-2009-0001这样的,2009是年份,0001是具体的当年的漏洞编号。
可选的,对CVE、CWE以及ATTCK等公共数据集,这些数据是结构化的数据,本身就有明确的编号以及其和它相关实体的关联关系,因此可以直接使用预设的正规规则表达式进行抽取。
示例性的,根据CVE编号的标准生成正规规则表达式:CVE+年份+4到6个字符的数字,匹配到攻击数据中的CVE编号,如CVE-2009-0001,不同数据集之间关系的建立会用到类似正则规则,比如一些ATTCK数据中的描述信息有类似的ATTCK编号,通过对不同攻击事件包含攻击事件特征的比对,可以建立二者的关联关系,从而构建生成目标知识图谱。
需要说明的是,通过使用安全公开数据集,包括CVE、CWE、ATTCK等,同时从网络攻击数据集中抽取对应的实体信息构建综合知识图谱,采用图论相关算法,挖掘不同攻击事件之间的关联关系,更全面的理解攻击事件、攻击技术、漏洞之间的关联关系,可以确定出更全面准确的知识图谱。有助于后续为网络攻击提供相应的防护措施。
S103、根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。
其中,攻击信息可以目标攻击事件关联的攻击数据和其对应的历史缓解措施。具体的,攻击信息可以包括目标攻击事件关联的漏洞信息,即CVE(Common Vulnerabilities&Exposures,通用漏洞披露)信息,还可以查找关联CWE(Common Weakness Enumeration,通用缺陷枚举)信息,还可以查找关联事件的技术以及查找关联事件的组件信息。
示例性的,缓解措施主要可以包括四个部分:基于漏洞信息CVE、漏洞类型信息CWE、攻击技术信息和组件信息。漏洞信息CVE(CVE-2022-35628):TYPO3 lux扩展已经发布了修复该漏洞的版本,可以将系统升级至24.0.2版本或更高版本。漏洞类型信息(CWE-89):SQL注入是一种常见的攻击方式,攻击者往往利用不适当地中和在SQL命令中使用的特殊元素来执行恶意代码。
可选的,若目标攻击事件的数量为1,可以将目标知识图谱中目标攻击事件对应的攻击信息中的历史缓解措施,直接确定为本次网络攻击对应的缓解措施,以进行网络攻击反制;若目标攻击事件的数量为至少两个,则可以基于预设的评估规则,如将执行历史缓解措施后反制效果最好的目标攻击事件对应的历史缓解措施,确定为本次网络攻击对应的缓解措施,以进行网络攻击反制。
可选的,确定网络攻击对应的缓解措施后,系统可以利用本身的各种防御和报警模块,基于该缓解措施应对到具体的漏洞,进行网络攻击反制。
需要说明的是,通过在受到攻击时,根据攻击事件,在确定的知识图谱中匹配,确定出相似度最高的目标攻击事件,然后把目标攻击事件对应的缓解措施确定为最终需要应对攻击的措施,可以更有效地进行网络攻击反制,保障系统安全。
具体的,本发明综合了知识图谱、实体抽取、图论中的相关算法等技术,使得网络安全防御和反制更加全面,能够有效地发现和应对多种网络威胁,包括传统的漏洞利用、APT攻击、恶意软件等。另一方面,通过此方法能够实现智能化和自动化,降低人员成本、减轻相关人员的工作负担,降低了人为错误的风险。知识图谱可以根据实际情况进行调整,适应不同的任务场景。智能反制技术增强了对高级威胁的反制能力,通过实时获取攻击信息和采取快速反制措施,可以迅速应对潜在风险,减轻持续的损害。
综上,本发明提出的基于网络安全事件关联关系的网络攻击反制方法具有多重优点,包括综合网络安全增强、智能化和自动化、灵活性和持续性、高级威胁反制等,这些优点使其成为一种强大的网络安全工具,有助于应对当前不断演变的网络威胁。
本发明实施例的技术方案,响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。通过这样的方式,可以利用知识图谱,有效挖掘攻击事件的联系,从而可以在发生网络攻击事件时,快速准确地确定出对应的缓解措施,提高网络安全的整体水平,减少网络攻击造成的风险和损害。使网络环境更安全、更智能,为网络用户提供更可靠的保护,以适应不断变化的网络威胁。
实施例二
图2是本发明实施例二提供的一种网络攻击反制方法的流程图;本实施例在上述实施例的基础上,提供了一种采用知识图谱确定进行网络攻击反制的优选实例。
如图2所示,该方法可以包括如下过程:
(1)获取攻击数据,提取攻击事件相关特征,得到当前攻击事件;
示例性的,针对服务器某个时间点,系统检测到存在异常请求,此时根据各种日志,对这个异常请求进行分析,确定是否存在对系统进行了各种扫描或注入之类的异常动作,若是,则认为检测到网络攻击事件,获取攻击数据,得到当前攻击事件。
(2)利用预设的图论算法(比如jaccard、overlap算法),在知识图谱中查找关联的攻击事件,也就是挖掘与当前攻击事件节点最相似的K个关联的攻击事件(即目标攻击事件)。
(3)基于这K个攻击事件,查找其涉及的缓解措施,包括漏洞的缓解措施、组件的缓解措施、针对特定组织使用的技术的缓解措施等等。
具体的,可以查找K个攻击事件关联的漏洞信息,即CVE(CommonVulnerabilities&Exposures,通用漏洞披露)信息,还可以查找关联CWE(Common WeaknessEnumeration,通用缺陷枚举)信息,还可以查找关联事件的技术以及查找关联事件的组件信息。
(4)根据K个攻击事件的攻击信息,能够快速对新的攻击事件做出反制,防止进一步的攻击。
优选的,目标知识图谱的构建利用两部分数据,一部分是基于CVE、CWE、ATTCK等公共数据集。一部分是电网系统中的网络攻击事件数据,攻击数据包括但是不限于攻击日志、触发的系统报警信息、防御日志等。
具体的,目标知识图谱的构建可以包括如下过程:
(1)知识图谱的构建;
对CVE、CWE、ATTCK等公共数据集,这些数据是结构化的数据,本身就有明确的编号以及其和它相关实体的关联关系。可以直接使用正则规则进行抽取。例如,针对如下的CVE数据:
上述数据中的ID字段表面CVE的编号是:CVE-2009-0001,value表面了其关联的CWE类型是CWE-119,references表面了该CVE涉及的相关信息比如缓解措施、补丁、厂商建议等等,这些标签说明在tags字段说明,并对每个tag提供了对应的地址链接。在cpe23Uri字段以CPE格式说明了该漏洞的作用组件情况,cpe:2.3:a:apple:quicktime:6.5.1:*:*:*:*:*:*:*表面该漏洞的作用组件遵循CPE2.3规范,a表示影响的是软件(application),apple表示软件的厂商,quicktime表示对应的产品名,6.5.1表示的是版本号。
然后利用攻击数据集对涉及到的相关攻击事件进行抽取,由于攻击数据集的参差不齐、规则不一。经过预处理、清洗等操作以后,利用正则和机器学习相结合的方式进行特征信息提取。比如对涉及的IP地址需要满足:地址包含四4个部分,每个部分都是一个介于0和255之间的整数,由点号分隔,示例:192.168.1.1。其它的相关特征提取则是需要结合专家构建的领域分词字典,利用深度的实体抽取方法(比如Bert+CRF,Bi-lstm+CRF,TextRCNN+CRF)进行提取。比如在ATTCK数据集中的relationship--000aa4d0-315e-40d7-b2b6-76e91ecf0fe8.json文件中:
描述了从source_ref到target_ref的关系是uses,其中source_ref对应的id信息是ATTCK中的攻击组织G0119,而target_ref表示的是攻击技术编号是T1003.001。
可选的,在非结构化的攻击数据中,通过对历史攻击数据进行预处理以后,实行人工标注和打标签的方法实现实体抽取的任务。具体地示例如下:Ip192.168.1.1在2023年9月15日利用电网系统的CWE-119类型漏洞发起了SQL注入攻击,对应抽取的实体为:
[[3,13,Ip],[32,38,CWE],[47,53,攻击事件]]
其中,从第3到底13个字符表达的是一个IP实体,第32到底38实体表达的是CWE类型实体,第47到底53字符表达而是一个攻击事件实体。
(2)利用知识图谱挖掘攻击事件之间的关联关系。
在知识图谱中节点之间的相似度的计算方法有多种,借助于在Neo4j中的GDS工具中可以直接使用相关的算法进行相似度的计算,比如jaccard(相似度值表示两个节点之间的共同实体占它们总体实体的比例)、overlap(相似度值表示两个节点之间的共同实体占它们两者中较小集合的比例)相似度的计算。
通过计算,即可得到攻击事件之间的关联关系的相似度量值(取值范围是[0,1]),进而通过一定的阈值设计即可得到某个攻击事件关联的其它攻击事件。
示例性的,与攻击事件A关联的实体集合a是{1,2,3,4,5},攻击事件B相连接的实体集合b是{3,4,5,6},则利用前述jaccard算法的相似度计算公式进行计算:集合a和集合b的并集包含元素是{1,2,3,4,5,6}一共6个元素,其交集包含的元素是{3,4,5}一共3个数据,则其相似度用3除以6得到结果是50%。同理利用overlap也可以计算出对应的相似度是用3除以4结果是75%。二者有不同的含义:jaccard相似度值表示两个节点之间的共同实体占它们总体实体的比例,而overlap相似度值表示两个节点之间的共同实体占它们两者中较小集合的比例。通过对知识图谱进行计算和考量,通过预设的阈值即可挖掘两个攻击事件的隐藏的关联关系。事件A是知识图谱中的一个节点,这里特指攻击事件类型的节点,1、2、3、4、5是与这个节点直接相连接的其它的节点,在图论中节点的相似度就是通过其关联的边的个数来进行计算和实现的。
(3)利用攻击事件之间的关联关系进行反制的方法。
具体的,利用知识图谱中挖掘的关联关系,结合对新的攻击数据的处理,挖掘新的攻击事件与知识图谱中的攻击事件的关联关系。当系统检测到新的攻击事件,系统会自动的对攻击数据进行处理,即特征的抽取。抽取以后利用图论算法,挖掘当前攻击事件关联的其它满足一定阈值要求的攻击事件集合。最后基于关联的攻击事件输出需要的缓解措施信息即反制信息,缓解措施主要包括四个部分:基于漏洞信息CVE、漏洞类型信息CWE、攻击技术信息和组件信息。如下是一些缓解措施示例:漏洞信息CVE(CVE-2022-35628):TYPO3 lux扩展已经发布了修复该漏洞的版本,请升级至24.0.2版本或更高版本。漏洞类型信息(CWE-89):SQL注入是一种常见的攻击方式,攻击者可以利用不适当地中和在SQL命令中使用的特殊元素来执行恶意代码。
在知识图谱中,CVE、CWE等相关实体都有对应的属性信息,其中的一个属性信息是缓解措施,而针对攻击事件、攻击组织、攻击技术等相关实体其归属于ATTCK框架,针对该框架设计了MitreMitigations实体即缓解措施实体,缓解措施描述了针对该攻击事件、攻击技术、CVE、CWE的最有效的反制方法,利用实体的属性描述信息和相关实体比如MitreMitigations即可找到对应的缓解措施即反制方法。
本发明的技术方案,基于公共的CVE、CWE等数据集以及电网系统真实的网络安全攻击事件组成综合的目标知识图谱,通过图论相关算法挖掘攻击事件之间的关联关系,以确定当前攻击事件的网络攻击反制方法。本发明不仅关注网络攻击的表面特征,还侧重于监测网络中的异常事件。通过综合运用机器学习、行为分析和威胁情报,可以提高攻击检测的准确性,同时能够快速适应新型攻击并做出对应的反制措施。
实施例三
图3是本发明实施例三提供的一种网络攻击反制装置的结构框图;本实施例可适用于系统在受到网络攻击时结合知识图谱进行全面分析以确定出有效的缓解措施进行网络攻击反制的情况,该网络攻击反制装置可以采用硬件和/或软件的形式实现,并配置于具有网络攻击反制功能的设备中。如图3所示,该网络攻击反制装置具体包括:
确定模块301,用于响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;
筛选模块302,用于基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;
反制模块303,用于根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。
本发明实施例的技术方案,响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。通过这样的方式,可以利用知识图谱,有效挖掘攻击事件的联系,从而可以在发生网络攻击事件时,快速准确地确定出对应的缓解措施,提供更强大的网络安全保护。
进一步的,确定模块301具体用于:
基于预设的特征提取算法,对攻击数据进行特征提取处理,确定攻击事件特征;所述攻击事件特征包括以下至少一种:攻击IP、攻击组织、攻击技术、攻击策略、攻击类型以及攻击组件;
根据攻击事件特征,确定攻击数据对应的当前攻击事件。
进一步的,筛选模块302可以包括:
相似度确定单元,用于确定预设目标知识图谱中的候选攻击事件,并基于预设的图论算法,确定各候选攻击事件与当前攻击事件的相似度;
筛选单元,用于根据相似度,从候选攻击事件中确定出符合条件的目标攻击事件。
进一步的,筛选单元具体用于:
根据相似度,对候选攻击事件进行排序,确定排序结果;
基于预设的目标匹配数量和排序结果,从候选攻击事件中确定出符合条件的目标攻击事件。
进一步的,相似度确定单元具体用于:
基于预设的图论算法,确定候选攻击事件与当前攻击事件对应实体集合的交集和并集;
将所述交集和所述并集的比值,确定为该候选攻击事件与当前攻击事件的相似度。
进一步的,其中,预设的图论算法为jaccard算法和/或overlap算法。
进一步的,上述装置还用于:
基于预设的正规规则表达式,在预设的网络攻击公共数据集中进行匹配,抽取得到实体信息;
采用图论相关算法,挖掘不同攻击事件、攻击技术、漏洞之间的关联关系,以构建目标知识图谱。
实施例四
图4是本发明实施例四提供的电子设备的结构示意图。图4示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图4所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如网络攻击反制方法。
在一些实施例中,网络攻击反制方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的网络攻击反制方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行网络攻击反制方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种网络攻击反制方法,其特征在于,包括:
响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;
基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;
根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。
2.根据权利要求1所述的方法,其特征在于,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件,包括:
基于预设的特征提取算法,对攻击数据进行特征提取处理,确定攻击事件特征;所述攻击事件特征包括以下至少一种:攻击IP、攻击组织、攻击技术、攻击策略、攻击类型以及攻击组件;
根据攻击事件特征,确定攻击数据对应的当前攻击事件。
3.根据权利要求1所述的方法,其特征在于,基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件,包括:
确定预设目标知识图谱中的候选攻击事件,并基于预设的图论算法,确定各候选攻击事件与当前攻击事件的相似度;
根据相似度,从候选攻击事件中确定出符合条件的目标攻击事件。
4.根据权利要求3所述的方法,其特征在于,根据相似度,从候选攻击事件中确定出符合条件的目标攻击事件,包括:
根据相似度,对候选攻击事件进行排序,确定排序结果;
基于预设的目标匹配数量和排序结果,从候选攻击事件中确定出符合条件的目标攻击事件。
5.根据权利要求3所述的方法,其特征在于,基于预设的图论算法,确定各候选攻击事件与当前攻击事件的相似度,包括:
基于预设的图论算法,确定候选攻击事件与当前攻击事件对应实体集合的交集和并集;
将所述交集和所述并集的比值,确定为该候选攻击事件与当前攻击事件的相似度。
6.根据权利要求1所述的方法,其特征在于,其中,预设的图论算法为jaccard算法和/或overlap算法。
7.根据权利要求1所述的方法,其特征在于,还包括:
基于预设的正规规则表达式,在预设的网络攻击公共数据集中进行匹配,抽取得到实体信息;
采用图论相关算法,挖掘不同攻击事件、攻击技术、漏洞之间的关联关系,以构建目标知识图谱。
8.一种网络攻击反制装置,其特征在于,包括:
确定模块,用于响应于网络攻击事件,对攻击数据进行特征提取处理,以确定攻击数据对应的当前攻击事件;
筛选模块,用于基于预设的图论算法,根据当前攻击事件,从预设目标知识图谱中确定出符合条件的目标攻击事件;
反制模块,用于根据目标知识图谱中目标攻击事件对应的攻击信息,确定网络攻击对应的缓解措施,以进行网络攻击反制。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的网络攻击反制方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的网络攻击反制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311272166.4A CN117294501A (zh) | 2023-09-28 | 2023-09-28 | 一种网络攻击反制方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311272166.4A CN117294501A (zh) | 2023-09-28 | 2023-09-28 | 一种网络攻击反制方法、装置、设备以及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117294501A true CN117294501A (zh) | 2023-12-26 |
Family
ID=89244062
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311272166.4A Pending CN117294501A (zh) | 2023-09-28 | 2023-09-28 | 一种网络攻击反制方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117294501A (zh) |
-
2023
- 2023-09-28 CN CN202311272166.4A patent/CN117294501A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10447525B2 (en) | Validating correlation between chains of alerts using cloud view | |
| US11991191B2 (en) | Detecting a missing security alert using a machine learning model | |
| US20150106930A1 (en) | Log analysis device and method | |
| CN112953938B (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
| CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
| CN114584351A (zh) | 一种监控方法、装置、电子设备以及存储介质 | |
| Canbay et al. | A Turkish language based data leakage prevention system | |
| CN115632874A (zh) | 一种实体对象的威胁检测方法、装置、设备及存储介质 | |
| CN115333783A (zh) | Api调用的异常检测方法、装置、设备及存储介质 | |
| CN114157480A (zh) | 网络攻击方案的确定方法、装置、设备和存储介质 | |
| CN114511756A (zh) | 基于遗传算法的攻击方法、装置及计算机程序产品 | |
| CN112769595B (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
| CN115589339B (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN117499148A (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| CN107241342A (zh) | 一种网络攻击串检测方法及装置 | |
| CN116633663A (zh) | 一种网络威胁检测系统、方法、设备及存储介质 | |
| CN115603955B (zh) | 异常访问对象识别方法、装置、设备和介质 | |
| CN116743474A (zh) | 决策树生成方法、装置、电子设备及存储介质 | |
| CN117294501A (zh) | 一种网络攻击反制方法、装置、设备以及存储介质 | |
| CN114492364A (zh) | 相同漏洞的判断方法、装置、设备和存储介质 | |
| CN114444087A (zh) | 一种越权漏洞检测方法、装置、电子设备及存储介质 | |
| Arun et al. | Next Generation of Phishing Attacks using AI powered Browsers | |
| CN113868660B (zh) | 恶意软件检测模型的训练方法、装置以及设备 | |
| CN116108439B (zh) | Apt软件家族识别方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |