CN117714200A - 一种网络安全防御方法、装置、设备及存储介质 - Google Patents

一种网络安全防御方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN117714200A
CN117714200A CN202410036256.1A CN202410036256A CN117714200A CN 117714200 A CN117714200 A CN 117714200A CN 202410036256 A CN202410036256 A CN 202410036256A CN 117714200 A CN117714200 A CN 117714200A
Authority
CN
China
Prior art keywords
attack
defense
network
strategy
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410036256.1A
Other languages
English (en)
Inventor
姚灏
杨金金
严晓玲
张德方
王龙
江冬娜
黄业同
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Electric Power Design Institute Co ltd
Original Assignee
Guangzhou Electric Power Design Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Electric Power Design Institute Co ltd filed Critical Guangzhou Electric Power Design Institute Co ltd
Priority to CN202410036256.1A priority Critical patent/CN117714200A/zh
Publication of CN117714200A publication Critical patent/CN117714200A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络安全防御方法、装置、设备及存储介质,该方法包括:获取攻击数据;其中,所述攻击数据中包括至少一种攻击手段;所述攻击手段为预先设置的诱导系统受到的攻击手段;对所述攻击数据进行特征分析,获取所述攻击手段对应的攻击特征;将所述攻击特征输入防御模型,获取防御策略;基于所述防御策略进行网络防御。利用该方法:通过对网络中的攻击数据进行实时监测和捕捉,对不同的攻击特征进行防御策略的制定,同时,对不同的攻击特征进行组合从而丰富网络攻击的维度,再制定相应的防御策略,从而实现在出现网络攻击时,快速且准确地采用对应的防御策略进行安全防御,切实确保网络安全,提高安全防御效率。

Description

一种网络安全防御方法、装置、设备及存储介质
技术领域
本发明实施例涉及系统容灾领域,尤其涉及一种网络安全防御方法、装置、设备及存储介质。
背景技术
现有技术中,基于网络安全的入侵检测系统,通常是在网络层通过原始的IP包进行检测,随着网络技术的发展,该种检测方式已不能满足日益增长的网络安全需求。而基于主机系统的入侵检测,采用直接查看用户行为和操作系统日志数据来寻找入侵,很难发现来自底层的网络攻击。未来的网络是全交换的网络,网络速度越来越快,且许多数据包是采用加密方式存在的,从而导致安全防御系统在采集动态网络数据包的时候需要面临较为困难的局面。
发明内容
本发明实施例提供一种网络安全防御方法、装置、设备及存储介质,通过对网络中的攻击数据进行实时监测和捕捉,对不同的攻击特征进行防御策略的制定,同时,对不同的攻击特征进行组合从而丰富网络攻击的维度,再制定相应的防御策略,从而实现在出现网络攻击时,快速且准确地采用对应的防御策略进行安全防御,切实确保网络安全,提高安全防御效率。
第一方面,本发明实施例提供了一种网络安全防御方法,该方法包括:
获取攻击数据;其中,所述攻击数据中包括至少一种攻击手段;所述攻击手段为预先设置的诱导系统受到的攻击手段;
对所述攻击数据进行特征分析,获取所述攻击手段对应的攻击特征;
将所述攻击特征输入防御模型,获取防御策略;
基于所述防御策略进行网络防御。
第二方面,本发明实施例还提供了一种网络安全防御装置,该装置包括:
获取模块,用于获取攻击数据;其中,所述攻击数据中包括至少一种攻击手段;所述攻击手段为预先设置的诱导系统受到的攻击手段;
特征分析模块,用于对所述攻击数据进行特征分析,获取所述攻击手段对应的攻击特征;
防御策略获取模块,用于将所述攻击特征输入防御模型,获取防御策略;
网络安全防御模块,用于基于所述防御策略进行网络防御。
第三方面,本公开实施例还提供电子设备,所述电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本公开实施例提供的网络安全防御方法。
第四方面,本公开实施例还提供了包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行实现本公开实施例提供的网络安全防御方法。
本发明公开了一种网络安全防御方法、装置、设备及存储介质,该方法包括:获取攻击数据;其中,所述攻击数据中包括至少一种攻击手段;所述攻击手段为预先设置的诱导系统受到的攻击手段;对所述攻击数据进行特征分析,获取所述攻击手段对应的攻击特征;将所述攻击特征输入防御模型,获取防御策略;基于所述防御策略进行网络防御。利用该方法:通过对网络中的攻击数据进行实时监测和捕捉,对不同的攻击特征进行防御策略的制定,同时,对不同的攻击特征进行组合从而丰富网络攻击的维度,再制定相应的防御策略,从而实现在出现网络攻击时,快速且准确地采用对应的防御策略进行安全防御,切实确保网络安全,提高安全防御效率。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。
图1为本公开实施例所提供的一种网络安全防御方法的流程图;
图2为本公开实施例所提供的一种网络安全防御装置的结构示意图;
图3为本公开实施例所提供的一种电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
可以理解的是,在使用本公开各实施例公开的技术方案之前,均应当依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
例如,在响应于接收到用户的主动请求时,向用户发送提示信息,以明确地提示用户,其请求执行的操作将需要获取和使用到用户的个人信息。从而,使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。
作为一种可选的但非限定性的实现方式,响应于接收到用户的主动请求,向用户发送提示信息的方式例如可以是弹窗的方式,弹窗中可以以文字的方式呈现提示信息。此外,弹窗中还可以承载供用户选择“同意”或者“不同意”向电子设备提供个人信息的选择控件。
可以理解的是,上述通知和获取用户授权过程仅是示意性的,不对本公开的实现方式构成限定,其它满足相关法律法规的方式也可应用于本公开的实现方式中。
可以理解的是,本技术方案所涉及的数据(包括但不限于数据本身、数据的获取或使用)应当遵循相应法律法规及相关规定的要求。
实施例一
图1为本公开实施例所提供的一种网络安全防御的流程图,本公开实施例适用于提供解决很难发现来自底层的网络攻击的问题的情形,该方法可以由网络安全防御装置来执行,该装置可以通过软件和/或硬件的形式实现,可选的,通过电子设备来实现,该电子设备可以是移动终端、PC端或服务器等。
如图1所示,本公开实施例提供的一种网络安全防御方法,具体可以包括下述步骤:
S110、获取攻击数据。
其中,攻击数据中包括至少一种攻击手段;攻击手段为预先设置的诱导系统受到的攻击手段。
在本实施例中,攻击数据可以是入侵行为对应的攻击信息。攻击手段可以是入侵行为的类型。其中,攻击数据中包括至少一种攻击手段;攻击手段为预先设置的诱导系统受到的攻击手段。
具体的,获取攻击数据。
在上述实施例的基础上,获取攻击数据之前,还包括:
在网络节点中布置诱导系统,诱导系统用于发送诱导信息诱导网络中的攻击手段进行网络攻击。
在本实施例中,诱导系统可以是蜜罐。在网络节点中布置诱导系统,诱导系统用于发送诱导信息诱导网络中的攻击手段进行网络攻击。
S120、对攻击数据进行特征分析,获取攻击手段对应的攻击特征。
其中,攻击特征可以是攻击手段中的特征信息。其中,特征信息可以包括:攻击数据包协议类型、攻击数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量和被攻击子网IP地址。
在本步骤中,对攻击数据进行特征分析,分析获取上述各攻击手段所对应的攻击特征。
S130、将攻击特征输入防御模型,获取防御策略。
在本实施例中,防御模型可以是提前训练好的模型。其中,防御模型的训练过程包括:获取网络防御动态数据;网络防御动态数据包括子网网关的日志、子网网关的入侵日志、攻击类型的特征及防御策略、攻击类型对应的时空数据特征;基于网络防御动态数据对防御模型进行训练。其中,基于大数据获取的网络防御动态数据。
具体的,将攻击特征输入防御模型,获取对应的初级防御策略。对攻击手段对应的攻击特征进行比对分析,获得攻击手段的相似度。根据相似度对攻击特征进行组合,得到组合特征。将组合特征输入防御模型,获取联动防御策略。将初级防御策略和联动防御策略组合形成防御策略。
在上述实施例的基础上,本发明实施例将攻击特征输入防御模型,获取防御策略具体为下述步骤:
a1)将攻击特征输入防御模型,获取对应的初级防御策略。
b1)对攻击手段对应的攻击特征进行比对分析,获得攻击手段的相似度。
c1)根据相似度对攻击特征进行组合,得到组合特征。
d1)将组合特征输入防御模型,获取联动防御策略。
e1)将初级防御策略和联动防御策略组合形成防御策略。
在本实施例中初级防御策略可以是初始的防御策略。相似度可以是攻击特征之间的相似程度或者同源度。联动防御策略可以是补充辅助初始防御策略的防御策略。
具体的,将上述分析的攻击特征输入训练好的防御模型,获取对应的初级防御策略。对攻击手段对应的攻击特征进行比对分析,获得攻击手段之间的相似度。根据相似度的不同对攻击特征进行组合,得到组合特征。将组合特征输入防御模型,根据组合特征获取联动防御策略。将初级防御策略和联动防御策略组合同时实施形成防御策略。
在上述实施例的基础上,本发明实施例根据相似度对攻击特征进行组合,得到组合特征具体为下述步骤:
c11)将相似度的差值小于设定阈值的攻击特征进行组合,获得第一组合特征。
c12)将相似度的差值大于或者设定阈值的攻击特征进行组合,获得第二组合特征。
其中,组合特征包括第一组合特征和第二组合特征;
在上述实施例的基础上,本发明实施例将组合特征输入防御模型,获取联动防御策略具体为下述步骤:
d11)将第一组合特征输入防御模型,获得第一联动防御策略
d12)将第二组合特征输入防御模型;获得第二联动防御策略
其中,联动防御策略包括第一联动防御策略和第二联动防御策略。
在上述实施例的基础上,本发明实施例对攻击手段对应的攻击特征进行比对分析,获得攻击手段的相似度具体为下述步骤:
b11)确定一个攻击手段的攻击特征与另一个攻击手段的攻击特征之间语义相同的特征元素数以及特征元素数之和。
b12)基于特征元素数以及特征元素数之和确定相似度。
其中,特征元素包含以下一种或多种:攻击数据包协议类型、攻击数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量和被攻击子网IP地址。
相似度的计算可以如下:
其中,STFeleij为第i个攻击手段的攻击特征对应的数据串与第j个攻击手段的攻击特征对应的数据串之间语义相同的特征元素数;∑STFeleij为第一个攻击手段的攻击特征对应的数据串中的特征元素数和第二个攻击手段的攻击特征对应的数据串中的特征元素数之和。
S140、基于防御策略进行网络防御。
在本实施例中,根据初级防御策略以及上述第一联动防御策略和/或第二联动防御策略下发至该子网网关后进行深度的网络防御。
本发明公开了一种网络安全防御方法、装置、设备及存储介质,该方法包括:获取攻击数据;其中,攻击数据中包括至少一种攻击手段;攻击手段为预先设置的诱导系统受到的攻击手段;对攻击数据进行特征分析,获取攻击手段对应的攻击特征;将攻击特征输入防御模型,获取防御策略;基于防御策略进行网络防御。利用该方法:通过对网络中的攻击数据进行实时监测和捕捉,对不同的攻击特征进行防御策略的制定,同时,对不同的攻击特征进行组合从而丰富网络攻击的维度,再制定相应的防御策略,从而实现在出现网络攻击时,快速且准确地采用对应的防御策略进行安全防御,切实确保网络安全,提高安全防御效率。
实施例二
图2为本发明实施例还提供了一种网络安全防御装置结构示意图,如图2示,装置包括:获取模块210、特征分析模块220、防御策略获取模块230以及网络安全防御模块240。
获取模块210,用于获取攻击数据;其中,所述攻击数据中包括至少一种攻击手段;所述攻击手段为预先设置的诱导系统受到的攻击手段;
特征分析模块220,用于对所述攻击数据进行特征分析,获取所述攻击手段对应的攻击特征;
防御策略获取模块230,用于将所述攻击特征输入防御模型,获取防御策略;
网络安全防御模块240,用于基于所述防御策略进行网络防御。
本公开实施例所提供的技术方案,利用该方法:通过对网络中的攻击数据进行实时监测和捕捉,对不同的攻击特征进行防御策略的制定,同时,对不同的攻击特征进行组合从而丰富网络攻击的维度,再制定相应的防御策略,从而实现在出现网络攻击时,快速且准确地采用对应的防御策略进行安全防御,切实确保网络安全,提高安全防御效率。
进一步地,防御策略获取模块230可以用于:
将所述攻击特征输入防御模型,获取对应的初级防御策略;
对所述攻击手段对应的攻击特征进行比对分析,获得攻击手段的相似度;
根据所述相似度对所述攻击特征进行组合,得到组合特征;
将所述组合特征输入防御模型,获取联动防御策略;
将所述初级防御策略和所述联动防御策略组合形成防御策略。
进一步地,防御策略获取模块230可以用于:
将所述相似度的差值小于设定阈值的攻击特征进行组合,获得所述第一组合特征;
将所述相似度的差值大于或者设定阈值的攻击特征进行组合,获得所述第二组合特征。
进一步地,防御策略获取模块230可以用于:
将所述第一组合特征输入防御模型,获得所述第一联动防御策略;
将所述第二组合特征输入防御模型;获得所述第二联动防御策略;
进一步地,防御策略获取模块230可以用于:
确定一个攻击手段的攻击特征与另一个攻击手段的攻击特征之间语义相同的特征元素数以及特征元素数之和;
基于所述特征元素数以及特征元素数之和确定相似度。
进一步地,防御策略获取模块230可以用于:
所述特征元素包含以下一种或多种:攻击数据包协议类型、攻击数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量和被攻击子网IP地址。
进一步地,装置可以用于:
获取攻击数据之前,在网络节点中布置诱导系统,所述诱导系统用于发送诱导信息诱导网络中的攻击手段进行网络攻击。
进一步地,装置可以用于:
防御模型的训练过程包括:
获取网络防御动态数据;所述网络防御动态数据包括子网网关的日志、子网网关的入侵日志、攻击类型的特征及防御策略、攻击类型对应的时空数据特征;
基于所述网络防御动态数据对所述防御模型进行训练。
上述装置可执行本发明前述所有实施例所提供的方法,具备执行上述方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明前述所有实施例所提供的方法。
实施例三
图3给出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图3,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如网络安全防御方法。
在一些实施例中,网络安全防御方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的网络安全防御方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行网络安全防御方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (11)

1.一种网络安全防御方法,其特征在于,包括:
获取攻击数据;其中,所述攻击数据中包括至少一种攻击手段;所述攻击手段为预先设置的诱导系统受到的攻击手段;
对所述攻击数据进行特征分析,获取所述攻击手段对应的攻击特征;
将所述攻击特征输入防御模型,获取防御策略;
基于所述防御策略进行网络防御。
2.根据权利要求1所述的方法,其特征在于,将所述攻击特征输入防御模型,获取防御策略,包括:
将所述攻击特征输入防御模型,获取对应的初级防御策略;
对所述攻击手段对应的攻击特征进行比对分析,获得攻击手段的相似度;
根据所述相似度对所述攻击特征进行组合,得到组合特征;
将所述组合特征输入防御模型,获取联动防御策略;
将所述初级防御策略和所述联动防御策略组合形成防御策略。
3.根据权利要求2所述的方法,其特征在于,所述组合特征包括第一组合特征和第二组合特征;根据所述相似度对所述攻击特征进行组合,得到组合特征,包括:
将所述相似度的差值小于设定阈值的攻击特征进行组合,获得所述第一组合特征;
将所述相似度的差值大于或者设定阈值的攻击特征进行组合,获得所述第二组合特征。
4.根据权利要求2所述的方法,其特征在于,所述联动防御策略包括第一联动防御策略和第二联动防御策略;将所述组合特征输入防御模型,获取联动防御策略,包括:
将所述第一组合特征输入防御模型,获得所述第一联动防御策略;
将所述第二组合特征输入防御模型;获得所述第二联动防御策略。
5.根据权利要求2所述的方法,其特征在于,对所述攻击手段对应的攻击特征进行比对分析,获得攻击手段的相似度,包括:
确定一个攻击手段的攻击特征与另一个攻击手段的攻击特征之间语义相同的特征元素数以及特征元素数之和;
基于所述特征元素数以及特征元素数之和确定相似度。
6.根据权利要求5所述的方法,其特征在于,所述特征元素包含以下一种或多种:攻击数据包协议类型、攻击数据包大小、被攻击次数、网络攻击时长、被攻击端口、被攻击子网数量和被攻击子网IP地址。
7.根据权利要求1所述的方法,其特征在于,获取攻击数据之前,还包括:
在网络节点中布置诱导系统,所述诱导系统用于发送诱导信息诱导网络中的攻击手段进行网络攻击。
8.根据权利要求1所述的方法,其特征在于,防御模型的训练过程包括:
获取网络防御动态数据;所述网络防御动态数据包括子网网关的日志、子网网关的入侵日志、攻击类型的特征及防御策略、攻击类型对应的时空数据特征;
基于所述网络防御动态数据对所述防御模型进行训练。
9.一种网络安全防御装置,其特征在于,包括:
获取模块,用于获取攻击数据;其中,所述攻击数据中包括至少一种攻击手段;所述攻击手段为预先设置的诱导系统受到的攻击手段;
特征分析模块,用于对所述攻击数据进行特征分析,获取所述攻击手段对应的攻击特征;
防御策略获取模块,用于将所述攻击特征输入防御模型,获取防御策略;
网络安全防御模块,用于基于所述防御策略进行网络防御。
10.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的网络安全防御方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-8中任一项所述的网络安全防御方法。
CN202410036256.1A 2024-01-10 2024-01-10 一种网络安全防御方法、装置、设备及存储介质 Pending CN117714200A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410036256.1A CN117714200A (zh) 2024-01-10 2024-01-10 一种网络安全防御方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410036256.1A CN117714200A (zh) 2024-01-10 2024-01-10 一种网络安全防御方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN117714200A true CN117714200A (zh) 2024-03-15

Family

ID=90157168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410036256.1A Pending CN117714200A (zh) 2024-01-10 2024-01-10 一种网络安全防御方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117714200A (zh)

Similar Documents

Publication Publication Date Title
US11025674B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US10944795B2 (en) Rating organization cybersecurity using active and passive external reconnaissance
WO2022083353A1 (zh) 异常网络数据检测方法、装置、计算机设备和存储介质
AU2017268608B2 (en) Method, device, server and storage medium of detecting DoS/DDoS attack
CN113315742B (zh) 攻击行为检测方法、装置及攻击检测设备
CN112953938B (zh) 网络攻击防御方法、装置、电子设备及可读存储介质
US11770396B2 (en) Port scan detection using destination profiles
WO2019148714A1 (zh) DDoS攻击检测方法、装置、计算机设备和存储介质
CN111193633B (zh) 异常网络连接的检测方法及装置
CN113556343A (zh) 基于浏览器指纹识别的DDoS攻击防御方法及设备
CN112769595B (zh) 异常检测方法、装置、电子设备及可读存储介质
CN114157480A (zh) 网络攻击方案的确定方法、装置、设备和存储介质
CN117424743A (zh) 一种数据处理方法、装置、电子设备及存储介质
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
CN113553370B (zh) 异常检测方法、装置、电子设备及可读存储介质
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
CN117714200A (zh) 一种网络安全防御方法、装置、设备及存储介质
CN112153011A (zh) 一种机器扫描的检测方法、装置、电子设备和存储介质
US10362062B1 (en) System and method for evaluating security entities in a computing environment
CN115664839B (zh) 隐私计算进程的安全监控方法、装置、设备、介质
CN113194075B (zh) 访问请求的处理方法、装置、设备及存储介质
CN110719260B (zh) 智能网络安全分析方法、装置及计算机可读存储介质
CN117278286A (zh) 一种异常报文处理方法、装置、电子设备和存储介质
CN113591088B (zh) 一种标识识别方法、装置及电子设备
CN117978489A (zh) 网络入侵的安全防御方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination