CN113486334A - 网络攻击预测方法、装置、电子设备及存储介质 - Google Patents
网络攻击预测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113486334A CN113486334A CN202110570253.2A CN202110570253A CN113486334A CN 113486334 A CN113486334 A CN 113486334A CN 202110570253 A CN202110570253 A CN 202110570253A CN 113486334 A CN113486334 A CN 113486334A
- Authority
- CN
- China
- Prior art keywords
- attack
- behavior
- path
- network
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/29—Graphical models, e.g. Bayesian networks
- G06F18/295—Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了网络攻击预测方法、装置、电子设备及存储介质,获取安全设备的各警报日志;对各警报日志进行解析,分别确定各警报日志对应的安全事件;根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径;针对每条攻击路径,利用预设序列模型对该攻击路径进行分析,得到该攻击路径指向各指定攻击行为的转移概率;根据该攻击路径指向各指定攻击行为的转移概率,预测该攻击路径下的下一网络攻击的攻击行为。利用安全事件来描述攻击路径中的攻击行为,实现对网络攻击进行预测,并且可以更细粒度的对攻击者的攻击模式进行建模,从而进行细粒度的攻击预测。
Description
技术领域
本申请涉及互联网技术领域,特别是涉及网络攻击预测方法、装置、电子设备及存储介质。
背景技术
随着计算机技术的不断发展和互联网的不断普及,网络攻击形式层出不穷,网络安全问题日益突出,造成的社会影响和经济损失越来越大,对网络威胁检测与防御提出了新的需求和挑战。对网络攻击进行预测,可以得到网络攻击下一阶段所采用的攻击手段,从而针对该攻击手段进行有效布防,以提升网络的安全性。
然而在网络攻击中,攻击者为了达到目的往往采用各种各样的攻击手段。这些攻击手段灵活多样,并且新的攻击方式也在不断涌现,如何进行网络攻击的预测成为亟待解决的问题。
发明内容
本申请实施例的目的在于提供一种网络攻击预测方法、装置、电子设备及存储介质,以实现对网络攻击进行预测。具体技术方案如下:
第一方面,本申请实施例提供了一种网络攻击预测方法,所述方法包括:
获取安全设备的各警报日志;
对所述各警报日志进行解析,分别确定所述各警报日志对应的安全事件;
根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径;
针对每条攻击路径,利用预设序列模型对该攻击路径进行分析,得到该攻击路径指向各指定攻击行为的转移概率;
根据该攻击路径指向各指定攻击行为的转移概率,预测该攻击路径下的下一网络攻击的攻击行为。
在一种可能的实施方式中,所述对各警报日志进行解析,分别确定所述各警报日志对应的安全事件,包括:
针对每个警报日志,确定该警报日志中的关键数据,将该警报日志中关键数据与各预设安全事件进行匹配,得到该警报日志的安全事件。
在一种可能的实施方式中,所述根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径,包括:
分别确定各安全事件的源节点和目的节点;
基于各安全事件的时序、源节点和目的节点,对各安全事件进行关联,得到图结构;
在所述图结构中提取攻击路径。
在一种可能的实施方式中,所述基于各安全事件的时序、源节点和目的节点,对各安全事件进行关联,得到图结构,包括:
分别确定各安全事件的行为类型,其中,所述行为类型包括端点行为及网络行为,端点行为的安全事件与其他安全事件之间不存在时序关联,网络行为的安全事件与其他安全事件之间存在时序关联;
基于各网络行为的安全事件的时序、源节点和目的节点,对各网络行为的安全事件进行关联,得到图结构。
在一种可能的实施方式中,所述在所述图结构中提取攻击路径,包括:
在所述图结构中移除不构成攻击的安全事件,得到过滤后的目标图结构;
分别以所述目标图结构中的每个节点作为最终的攻击目标,按照时间倒序的顺序进行遍历,得到各攻击路径。
在一种可能的实施方式中,所述预设序列模型为马尔科夫模型,所述马尔科夫模型为按照下述建模方法得到的:
获取安全设备的各样本警报日志,并基于各样本警报日志,得到多条样本攻击路径;
基于各样本攻击路径进行建模,得到所述马尔科夫模型。
在一种可能的实施方式中,所述预设序列模型为深度学习模型,所述深度学习模型为按照下述方法训练得到的:
获取安全设备的各样本警报日志,并基于各样本警报日志,得到多条样本攻击路径;
针对每条样本攻击路径,对该样本攻击路径进行拆分,得到该样本攻击路径的样本训练路径及真值攻击行为;
利用各样本攻击路径的样本训练路径及真值攻击行为对预设长短期记忆网络模型进行训练,得到所述深度学习模型。
第二方面,本申请实施例提供了一种网络攻击预测装置,所述装置包括:
警报日志获取模块,用于获取安全设备的各警报日志;
安全事件确定模块,用于对所述各警报日志进行解析,分别确定所述各警报日志对应的安全事件;
攻击路径确定模块,用于根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径;
转移概率确定模块,用于针对每条攻击路径,利用预设序列模型对该攻击路径进行分析,得到该攻击路径指向各指定攻击行为的转移概率;
攻击行为确定模块,用于针对每条攻击路径,根据该攻击路径指向各指定攻击行为的转移概率,预测该攻击路径下的下一网络攻击的攻击行为。
在一种可能的实施方式中,所述安全事件确定模块,具体用于:针对每个警报日志,确定该警报日志中的关键数据,将该警报日志中关键数据与各预设安全事件进行匹配,得到该警报日志的安全事件。
在一种可能的实施方式中,所述攻击路径确定模块,包括:
节点确定子模块,用于分别确定各安全事件的源节点和目的节点;
安全事件关联子模块,用于基于各安全事件的时序、源节点和目的节点,对各安全事件进行关联,得到图结构;
攻击路径提取子模块,用于在所述图结构中提取攻击路径。
在一种可能的实施方式中,所述安全事件关联子模块,具体用于:分别确定各安全事件的行为类型,其中,所述行为类型包括端点行为及网络行为,端点行为的安全事件与其他安全事件之间不存在时序关联,网络行为的安全事件与其他安全事件之间存在时序关联;基于各网络行为的安全事件的时序、源节点和目的节点,对各网络行为的安全事件进行关联,得到图结构。
在一种可能的实施方式中,所述攻击路径提取子模块具体用于:在所述图结构中移除不构成攻击的安全事件,得到过滤后的目标图结构;分别以所述目标图结构中的每个节点作为最终的攻击目标,按照时间倒序的顺序进行遍历,得到各攻击路径。
在一种可能的实施方式中,所述预设序列模型为马尔科夫模型,所述装置还包括预设序列模型获取模块,用于:获取安全设备的各样本警报日志,并基于各样本警报日志,得到多条样本攻击路径;基于各样本攻击路径进行建模,得到所述马尔科夫模型。
在一种可能的实施方式中,所述预设序列模型为深度学习模型,所述装置还包括预设序列模型获取模块,用于:获取安全设备的各样本警报日志,并基于各样本警报日志,得到多条样本攻击路径;针对每条样本攻击路径,对该样本攻击路径进行拆分,得到该样本攻击路径的样本训练路径及真值攻击行为;利用各样本攻击路径的样本训练路径及真值攻击行为对预设长短期记忆网络模型进行训练,得到所述深度学习模型。
第三方面,本申请实施例提供了一种电子设备,包括处理器及存储器;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现本申请中任一所述的网络攻击预测方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现本申请中任一所述的网络攻击预测方法。
本申请实施例有益效果:
本申请实施例提供的网络攻击预测方法、装置、电子设备及存储介质,获取安全设备的各警报日志;对各警报日志进行解析,分别确定各警报日志对应的安全事件;根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径;针对每条攻击路径,利用预设序列模型对该攻击路径进行分析,得到该攻击路径指向各指定攻击行为的转移概率;根据该攻击路径指向各指定攻击行为的转移概率,预测该攻击路径下的下一网络攻击的攻击行为。利用安全事件来描述攻击路径中的攻击行为,实现对网络攻击进行预测,并且可以更细粒度的对攻击者的攻击模式进行建模,从而进行细粒度的攻击预测。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请实施例的网络攻击预测方法的一种示意图;
图2为本申请实施例中步骤S103的一种可能的实现方式的示意图;
图3为本申请实施例中步骤S1031的一种可能的实现方式的示意图;
图4为本申请实施例的安全事件关联的一种示意图;
图5为本申请实施例中步骤S1032的一种可能的实现方式的示意图;
图6为本申请实施例的攻击路径的一种示意图;
图7为本申请实施例的网络攻击预测装置的一种示意图;
图8为本申请实施例的电子设备的一种示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本申请保护的范围。
首先,对本申请中的术语进行解释:
ATT&CK:英文全称为Adversarial Tactics Techniques and Common Knowledge,是一种网络攻击中的攻击行为知识库。
Kill Chain:是一种的威胁情报的驱动防御模型,用于指导识别攻击者为了达到入侵网络的目的所需完成的活动。
IPS(Intrusion Prevention System,入侵防御***):是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
EDR(Endpoint Detection&Response,端点检测与响应):一种端点检测防护技术。
NTA(Network Traffic Analysis,网络流量分析):一种基于流量分析的防护技术。
在网络入侵中,攻击者为了达到目的往往采用各种各样的攻击手段。虽然这些攻击手段灵活多样,新的攻击方式也在不断涌现,但是其背后的攻击路径或攻击模式却都遵循一定的原则。Kill Chain和ATT&CK都是对攻击过程进行建模的框架。Kill Chain将网络攻击的战术划分为侦察、武器化、交付、利用、安装、命令和控制、针对目标物的活动7个步骤。ATT&CK进一步将网络攻击战术扩展到12项,并详细列出了每一项战术中包括的具体技术,整个框架用矩阵的形式展现出来。
在ATT&CK中,每一项攻击技术都有详细的说明,基于检测规则可以通过IPS、EDR、NTA等安全设备有效识别ATT&CK矩阵中的技术。由于攻击者的攻击路径和攻击行为具有一定的攻击模式,因而基于网络安全设备的警报日志可以学习得到攻击者所使用的攻击手法,从而对未来的攻击行为进行有效的预测。
有鉴于此,本申请实施例提供了一种网络攻击预测方法,参见图1,该方法包括:
S101,获取安全设备的各警报日志。
本申请实施例中的网络攻击预测方法可以通过电子设备实现,具体的,该电子设备可以为智能手机、个人电脑或服务器等。
安全设备是指用户维护网络安全的设备,包括但不限于IPS、EDR、NTA等设备。安全设备可以为真实的物理设备,也可以为基于物理资源的软件模块,均在本申请的保护范围内。安全设备在防护过程中会产生警报日志,获取安全设备的各警报日志。
S102,对上述各警报日志进行解析,分别确定上述各警报日志对应的安全事件。
每个警报日志均对应有相应的安全事件,安全事件的具体类型可以根据KillChain或ATT&CK等网络攻击模型中的战术或技术设置。以ATT&CK为例,ATT&CK矩阵中列出了攻击者可能使用的技术,这些技术组合在一起可能对网络的资产造成危害。确定警报日志的安全事件,即标记报警日志对应的ATT&CK矩阵中的技术。例如,“命令与控制”战术阶段中有一项技术是“协议隧道”,而可以设置一种类型为“协议隧道”的安全事件。
在一种可能的实施方式中,上述对上述各警报日志进行解析,分别确定上述各警报日志的安全事件,包括:针对每个警报日志,确定该警报日志中的关键数据,将该警报日志中关键数据与各预设安全事件进行匹配,得到该警报日志的安全事件。
例如,预设安全事件包括“协议隧道”,提取警报日志中的关键数据,其中,关键数据为DNS(Domain Name System,域名***)或ICMP(Internet Control Message Protocol,因特网控制报文协议)等,确定关键数据与预设安全事件中的“协议隧道”匹配,确定该警报日志的安全事件为“协议隧道”。
在一种可能的实施方式中,上述对上述各警报日志进行解析,分别确定上述各警报日志的安全事件,包括:针对每个警报日志,确定该警报日志中关键数据的项目类型,将该警报日志中关键数据的项目类型与各预设安全事件进行匹配,得到该警报日志的安全事件。
例如,预设安全事件包括“协议隧道”,提取警报日志中的关键数据,其中,关键数据为DNS(Domain Name System,域名***)或ICMP(Internet Control Message Protocol,因特网控制报文协议)等,确定关键数据的项目类型为“协议隧道”,与预设安全事件中的“协议隧道”匹配,确定该警报日志的安全事件为“协议隧道”。
采用ATT&CK矩阵中的技术来描述攻击路径中的安全事件,可以更细粒度的对攻击者的攻击模式进行建模,从而进行细粒度的攻击行为预测。
S103,根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径。
对于一次网络攻击,组成该网络攻击的各安全事件一般具有逻辑关系(例如因果关系等),且在时间上有先后顺序关系,这些关***称为关联关系,基于安全事件之间的关联关系,对各安全事件进行关联,得到一条或多条攻击路径,其中,针对任一攻击路径,该攻击路径包括多个按照时序排列的安全事件。
S104,针对每条攻击路径,利用预设序列模型对该攻击路径进行分析,得到该攻击路径指向各指定攻击行为的转移概率。
预设序列模型可以根据样本攻击路径得到,具体的,该预设序列模型可以为马尔科夫模型、隐马尔科夫模型,循环神经网络或LSTM(Long Short-Term Memory,长短期记忆网络)模型等。一个例子中,获取网络攻击过程中,各安全设备的警报日志,并利用真实网络攻击过程中的警报日志,得到样本攻击路径,从而根据样本攻击路径得到预设序列模型。
在一种可能的实施方式中,上述预设序列模型为马尔科夫模型,上述马尔科夫模型为按照下述建模方法得到的:
步骤一,获取安全设备的各样本警报日志,并基于各上述样本警报日志,得到多条样本攻击路径。
样本警报日志为网络攻击过程中各安全设备的警报日志。基于样本警报日志得到样本攻击路径的方式,可以参见本申请中攻击路径的生成方式,此处不再赘述。
步骤二,基于各上述样本攻击路径进行建模,得到上述马尔科夫模型。
基于各样本攻击路径,进行马尔科夫模型的建模,从而得到马尔科夫模型,即预设序列模型。采用马尔科夫模型对攻击路径进行建模,得到攻击过程中的转移概率,既不需要对训练数据进行标注,还可以对下一跳攻击行为进行准确的预测。
在一种可能的实施方式中,上述预设序列模型为深度学习模型,上述深度学习模型为按照下述方法训练得到的:
步骤一,获取安全设备的各样本警报日志,并基于各上述样本警报日志,得到多条样本攻击路径。
步骤二,针对每条样本攻击路径,对该样本攻击路径进行拆分,得到该样本攻击路径的样本训练路径及真值攻击行为。
针对每条样本攻击路径,对该样本攻击路径进行拆分,例如可以采用随机拆分的方式或基于时序的固定拆分方式等,得到该样本攻击路径的样本训练路径及真值攻击行为,其中,样本训练路径包括至少两个节点,真值攻击行为为样本训练路径下一时间的攻击行为的真值。
步骤三,利用各上述样本攻击路径的样本训练路径及真值攻击行为对预设长短期记忆网络模型进行训练,得到上述深度学习模型。
利用样本训练路径作为预设长短期记忆网络模型的训练输入,得到预测攻击行为;根据预测攻击行为及真值攻击行为计算模型的损失,并根据模型的损失调整预设长短期记忆网络模型的参数。在训练指定次数或预设长短期记忆网络模型的损失收敛后结束训练,得到深度学习模型。
S105,根据该攻击路径指向各指定攻击行为的转移概率,预测该攻击路径下的下一网络攻击的攻击行为。
针对每条攻击路径,根据该攻击路径指向各指定攻击行为的转移概率,确定该攻击路径对应的下一步网络攻击的攻击行为。一个例子中,针对每条攻击路径,可以选取该攻击路径指中转移概率最高的指定攻击行为,作为该攻击路径对应的下一步网络攻击的攻击行为;一个例子中,针对每条攻击路径,可以选取该攻击路径指中转移概率大于预设概率阈值的指定攻击行为,作为该攻击路径对应的下一步网络攻击的攻击行为。
在确定各攻击路径对应的下一步网络攻击的攻击行为(以下称为各目标攻击行为)后,还可以利用各目标攻击行为对应的防护策略对网络攻击进行主动防护,从而实现针对网络攻击的防护。
在本申请实施例中,利用安全事件来描述攻击路径中的攻击行为,实现对网络攻击进行预测,并且可以更细粒度的对攻击者的攻击模式进行建模,从而进行细粒度的攻击预测。
在一种可能的实施方式中,参见图2,上述根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径,包括:
S1031,分别确定各上述安全事件的源节点和目的节点。
安全事件对应有源节点(例如发动攻击的节点)及目的节点(例如被攻击的节点)。一个例子中,可以根据安全事件可能产生的危害,确定该安全事件攻击的源节点和目标节点。
S1032,基于各上述安全事件的时序、源节点和目的节点,对各上述安全事件进行关联,得到图结构。
一个安全事件的目的节点可以作为其他安全事件的源节点,即一个安全事件可能会引发另一个安全事件,配合各安全事件的时序,可以得到由安全事件关联而成的图结构。
在一种可能的实施方式中,参见图3,上述基于各上述安全事件的时序、源节点和目的节点,对各上述安全事件进行关联,得到图结构,包括:
S10321,分别确定各上述安全事件的行为类型,其中,上述行为类型包括端点行为及网络行为,端点行为的安全事件与其他安全事件之间不存在时序关联,网络行为的安全事件与其他安全事件之间存在时序关联。
当安全事件的行为类型为端点行为时,说明该安全事件与其他安全事件之间不存在时序上的关联,也就无法形成路径,因此在确定攻击路径时可以不予考虑。
当安全事件的行为类型为网络行为时,说明该安全事件与其他安全事件之间存在时序上的关联,可以组成路径,因此在确定攻击路径时需要进行考虑。
一个例子中,可以根据安全事件的源节点、目的节点及时序来确定该安全事件是否与其他安全事件之间存在关联。
S10322,基于各网络行为的安全事件的时序、源节点和目的节点,对各网络行为的安全事件进行关联,得到图结构。
基于攻击行为之间的关联,按照时序将安全事件关联为成图结构。例如图4所示,A、B、C为分别为资产的三个IP,箭头表示攻击的方向,安全事件的关联的三种情况如图4所示。
S1033,在上述图结构中提取攻击路径。
在一种可能的实施方式中,参见图5,上述在上述图结构中提取攻击路径,包括:
S10331,在上述图结构中移除不构成攻击的安全事件,得到过滤后的目标图结构。
安全事件可以为攻击行为,也可以为合法行为,例如,IPS、NTA等设备识别的安全事件是攻击行为,而EDR识别的安全事件可能是攻击行为,也可能是合法行为。当合法行为和其它行为组合在一起对资产造成危害时,才判定为真正的网络攻击;当合法行为单独出现时,不是网络攻击,因此需要将不是网络攻击的安全事件从上述图结构中移除。
移除那些不构成网络攻击的安全事件,可以先确立网络攻击的标准,然后将不符合标准的安全事件移除。一个网络攻击行为在攻击路径中应该有前继攻击行为和后继攻击行为,当一个安全事件作为攻击路径的中间部分,其所有前继安全事件的最早时间要先于该安全事件,其所有后继安全事件的最后时间要晚于该安全事件,例如图6所示,B对C的攻击时间为t2,那么总存在一个对B的攻击,其发生的时间t1早于t2;同时总存在一个C发起的攻击,其发生的时间t3晚于t2。将单独由合法行为安全事件组成的路径进行过滤,保留包括攻击行为安全事件的路径。
S10332,分别以上述目标图结构中的每个节点作为最终的攻击目标,按照时间倒序的顺序进行遍历,得到各攻击路径。
在目标图结构中,以每个节点作为最终的攻击目标,按照安全事件发生时间的倒序,遍历目标图结构,得到各攻击路径。
一个例子中,上述S10332包括:
步骤A,以目标图结构中每个节点(即资产)作为树的根节点,找到针对该根节点的所有攻击节点及攻击时间,令这些节点作为根节点的子节点。
步骤B,遍历树的每个叶节点及攻击时间,令其为当前节点和当前攻击时间,找到针对当前节点的所有攻击节点和攻击时间,将那些攻击时间早于当前攻击时间的节点及攻击时间加入到树中,作为当前节点的子节点。
步骤C,重复执行步骤B,直到树的规模不发生变化。
步骤D,提取树中的每个叶节点到根节点的路径(长度大于等于2)作为攻击路径。
在本申请实施例中,利用安全事件来描述攻击路径中的攻击行为,实现对网络攻击进行预测,并且可以更细粒度的对攻击者的攻击模式进行建模,从而进行细粒度的攻击预测。
本申请实施例还提供了一种网络攻击预测装置,参见图7,该装置包括:
警报日志获取模块11,用于获取安全设备的各警报日志;
安全事件确定模块12,用于对上述各警报日志进行解析,分别确定上述各警报日志对应的安全事件;
攻击路径确定模块13,用于根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径;
转移概率确定模块14,用于针对每条攻击路径,利用预设序列模型对该攻击路径进行分析,得到该攻击路径指向各指定攻击行为的转移概率;
攻击行为确定模块15,用于针对每条攻击路径,根据该攻击路径指向各指定攻击行为的转移概率,预测该攻击路径下的下一网络攻击的攻击行为。
在一种可能的实施方式中,上述安全事件确定模块,具体用于:针对每个警报日志,确定该警报日志中的关键数据,将该警报日志中关键数据与各预设安全事件进行匹配,得到该警报日志的安全事件。
在一种可能的实施方式中,上述攻击路径确定模块,包括:
安全事件关联子模块,用于根据各上述安全事件的关联关系,按照时序将各上述安全事件关联为图结构;
攻击路径提取子模块,用于在上述图结构中提取攻击路径。
在一种可能的实施方式中,上述安全事件关联子模块,具体用于:分别确定各上述安全事件的行为类型,其中,上述行为类型包括端点行为及网络行为,端点行为的安全事件与其他安全事件之间不存在时序关联,网络行为的安全事件与其他安全事件之间存在时序关联;分别确定各网络行为的安全事件的源节点和目的节点;基于各网络行为的安全事件的时序、源节点和目的节点,对各网络行为的安全事件进行关联,得到图结构。
在一种可能的实施方式中,上述攻击路径提取子模块具体用于:在上述图结构中移除不构成攻击的安全事件,得到过滤后的目标图结构;分别以上述目标图结构中的每个节点作为最终的攻击目标,按照时间倒序的顺序进行遍历,得到各攻击路径。
在一种可能的实施方式中,上述预设序列模型为马尔科夫模型,上述装置还包括预设序列模型获取模块,用于:获取安全设备的各样本警报日志,并基于各上述样本警报日志,得到多条样本攻击路径;基于各上述样本攻击路径进行建模,得到上述马尔科夫模型。
在一种可能的实施方式中,上述预设序列模型为深度学习模型,上述装置还包括预设序列模型获取模块,用于:获取安全设备的各样本警报日志,并基于各上述样本警报日志,得到多条样本攻击路径;针对每条样本攻击路径,对该样本攻击路径进行拆分,得到该样本攻击路径的样本训练路径及真值攻击行为;利用各上述样本攻击路径的样本训练路径及真值攻击行为对预设长短期记忆网络模型进行训练,得到上述深度学习模型。
本申请实施例还提供了一种电子设备,包括:处理器及存储器;
上述存储器,用于存放计算机程序;
上述处理器用于执行上述存储器存放的计算机程序时,实现上述任一网络攻击预测方法。
可选的,参见图8,除了上述处理器21及存储器23外,本申请实施例的电子设备还包括通信接口22和通信总线24,其中,处理器21,通信接口22,存储器23通过通信总线24完成相互间的通信。
上述电子设备提到的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质内存储有计算机程序,上述计算机程序被处理器执行时实现上述任一网络攻击预测方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一网络攻击预测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
需要说明的是,在本文中,各个可选方案中的技术特征只要不矛盾均可组合来形成方案,这些方案均在本申请公开的范围内。诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机程序产品及存储介质的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种网络攻击预测方法,其特征在于,所述方法包括:
获取安全设备的各警报日志;
对各警报日志进行解析,分别确定各警报日志对应的安全事件;
根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径;
针对每条攻击路径,利用预设序列模型对该攻击路径进行分析,得到该攻击路径指向各指定攻击行为的转移概率;
根据该攻击路径指向各指定攻击行为的转移概率,预测该攻击路径下的下一网络攻击的攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述对各警报日志进行解析,分别确定所述各警报日志对应的安全事件,包括:
针对每个警报日志,确定该警报日志中的关键数据,将该警报日志中关键数据与各预设安全事件进行匹配,得到该警报日志的安全事件。
3.根据权利要求1所述的方法,其特征在于,所述根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径,包括:
分别确定各安全事件的源节点和目的节点;
基于各安全事件的时序、源节点和目的节点,对各安全事件进行关联,得到图结构;
在所述图结构中提取攻击路径。
4.根据权利要求3所述的方法,其特征在于,所述基于各安全事件的时序、源节点和目的节点,对各安全事件进行关联,得到图结构,包括:
分别确定各安全事件的行为类型,其中,所述行为类型包括端点行为及网络行为,端点行为的安全事件与其他安全事件之间不存在时序关联,网络行为的安全事件与其他安全事件之间存在时序关联;
基于各网络行为的安全事件的时序、源节点和目的节点,对各网络行为的安全事件进行关联,得到图结构。
5.根据权利要求3或4所述的方法,其特征在于,所述在所述图结构中提取攻击路径,包括:
在所述图结构中移除不构成攻击的安全事件,得到过滤后的目标图结构;
分别以所述目标图结构中的每个节点作为最终的攻击目标,按照时间倒序的顺序进行遍历,得到各攻击路径。
6.根据权利要求1所述的方法,其特征在于,所述预设序列模型为马尔科夫模型,所述马尔科夫模型为按照下述建模方法得到的:
获取安全设备的各样本警报日志,并基于各样本警报日志,得到多条样本攻击路径;
基于各样本攻击路径进行建模,得到所述马尔科夫模型。
7.根据权利要求1所述的方法,其特征在于,所述预设序列模型为深度学习模型,所述深度学习模型为按照下述方法训练得到的:
获取安全设备的各样本警报日志,并基于各样本警报日志,得到多条样本攻击路径;
针对每条样本攻击路径,对该样本攻击路径进行拆分,得到该样本攻击路径的样本训练路径及真值攻击行为;
利用各样本攻击路径的样本训练路径及真值攻击行为对预设长短期记忆网络模型进行训练,得到所述深度学习模型。
8.一种网络攻击预测装置,其特征在于,所述装置包括:
警报日志获取模块,用于获取安全设备的各警报日志;
安全事件确定模块,用于对所述各警报日志进行解析,分别确定所述各警报日志对应的安全事件;
攻击路径确定模块,用于根据确定出的安全事件之间的关联关系,得到至少一条由多个安全事件按照时序排列成的攻击路径;
转移概率确定模块,用于针对每条攻击路径,利用预设序列模型对该攻击路径进行分析,得到该攻击路径指向各指定攻击行为的转移概率;
攻击行为确定模块,用于针对每条攻击路径,根据该攻击路径指向各指定攻击行为的转移概率,预测该攻击路径下的下一网络攻击的攻击行为。
9.一种电子设备,其特征在于,包括处理器及存储器;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现权利要求1-7任一所述的网络攻击预测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一所述的网络攻击预测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110570253.2A CN113486334A (zh) | 2021-05-25 | 2021-05-25 | 网络攻击预测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110570253.2A CN113486334A (zh) | 2021-05-25 | 2021-05-25 | 网络攻击预测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113486334A true CN113486334A (zh) | 2021-10-08 |
Family
ID=77933656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110570253.2A Pending CN113486334A (zh) | 2021-05-25 | 2021-05-25 | 网络攻击预测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113486334A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024773A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种webshell文件检测方法及*** |
| CN114116853A (zh) * | 2021-12-08 | 2022-03-01 | 闪捷信息科技有限公司 | 基于时序关联分析的数据安全分析方法及装置 |
| CN114172709A (zh) * | 2021-11-30 | 2022-03-11 | 中汽创智科技有限公司 | 一种网络多步攻击检测方法、装置、设备及存储介质 |
| CN114189364A (zh) * | 2021-11-25 | 2022-03-15 | 中国电子科技集团公司第十五研究所 | 一种基于马尔科夫链的网络节点路径还原和预测的方法 |
| CN114205128A (zh) * | 2021-12-01 | 2022-03-18 | 北京安天网络安全技术有限公司 | 网络攻击分析方法、装置、电子设备及存储介质 |
| CN114301699A (zh) * | 2021-12-30 | 2022-04-08 | 安天科技集团股份有限公司 | 行为预测方法及装置、电子设备和计算机可读存储介质 |
| CN114553558A (zh) * | 2022-02-24 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种数据处理方法及装置 |
| CN115361215A (zh) * | 2022-08-22 | 2022-11-18 | 西安电子科技大学 | 一种基于因果图的网络攻击行为检测方法 |
| CN115499169A (zh) * | 2022-08-22 | 2022-12-20 | 西安电子科技大学 | 一种基于因果图的多阶段攻击过程重构方法 |
| CN115766258A (zh) * | 2022-11-23 | 2023-03-07 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
| CN116112285A (zh) * | 2023-03-07 | 2023-05-12 | 沈阳云盛互联网服务有限公司 | 一种基于人工智能的网络攻击路径预测方法及*** |
| CN116886379A (zh) * | 2023-07-21 | 2023-10-13 | 鹏城实验室 | 网络攻击重构方法、模型的训练方法及相关装置 |
-
2021
- 2021-05-25 CN CN202110570253.2A patent/CN113486334A/zh active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114189364A (zh) * | 2021-11-25 | 2022-03-15 | 中国电子科技集团公司第十五研究所 | 一种基于马尔科夫链的网络节点路径还原和预测的方法 |
| CN114189364B (zh) * | 2021-11-25 | 2022-09-16 | 中国电子科技集团公司第十五研究所 | 一种基于马尔科夫链的网络节点路径还原和预测的方法 |
| CN114172709A (zh) * | 2021-11-30 | 2022-03-11 | 中汽创智科技有限公司 | 一种网络多步攻击检测方法、装置、设备及存储介质 |
| CN114172709B (zh) * | 2021-11-30 | 2024-05-24 | 中汽创智科技有限公司 | 一种网络多步攻击检测方法、装置、设备及存储介质 |
| CN114205128A (zh) * | 2021-12-01 | 2022-03-18 | 北京安天网络安全技术有限公司 | 网络攻击分析方法、装置、电子设备及存储介质 |
| CN114205128B (zh) * | 2021-12-01 | 2024-05-24 | 北京安天网络安全技术有限公司 | 网络攻击分析方法、装置、电子设备及存储介质 |
| CN114116853A (zh) * | 2021-12-08 | 2022-03-01 | 闪捷信息科技有限公司 | 基于时序关联分析的数据安全分析方法及装置 |
| CN114301699A (zh) * | 2021-12-30 | 2022-04-08 | 安天科技集团股份有限公司 | 行为预测方法及装置、电子设备和计算机可读存储介质 |
| CN114024773B (zh) * | 2022-01-05 | 2022-03-29 | 北京微步在线科技有限公司 | 一种webshell文件检测方法及*** |
| CN114024773A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种webshell文件检测方法及*** |
| CN114553558B (zh) * | 2022-02-24 | 2024-03-08 | 新华三信息安全技术有限公司 | 一种数据处理方法及装置 |
| CN114553558A (zh) * | 2022-02-24 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种数据处理方法及装置 |
| CN115499169A (zh) * | 2022-08-22 | 2022-12-20 | 西安电子科技大学 | 一种基于因果图的多阶段攻击过程重构方法 |
| CN115361215A (zh) * | 2022-08-22 | 2022-11-18 | 西安电子科技大学 | 一种基于因果图的网络攻击行为检测方法 |
| CN115766258B (zh) * | 2022-11-23 | 2024-02-09 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
| CN115766258A (zh) * | 2022-11-23 | 2023-03-07 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
| CN116112285B (zh) * | 2023-03-07 | 2023-11-14 | 北京国联视讯信息技术股份有限公司 | 一种基于人工智能的网络攻击路径预测方法及*** |
| CN116112285A (zh) * | 2023-03-07 | 2023-05-12 | 沈阳云盛互联网服务有限公司 | 一种基于人工智能的网络攻击路径预测方法及*** |
| CN116886379A (zh) * | 2023-07-21 | 2023-10-13 | 鹏城实验室 | 网络攻击重构方法、模型的训练方法及相关装置 |
| CN116886379B (zh) * | 2023-07-21 | 2024-05-14 | 鹏城实验室 | 网络攻击重构方法、模型的训练方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113486334A (zh) | 网络攻击预测方法、装置、电子设备及存储介质 | |
| US10855706B2 (en) | System and methods for automated detection, reasoning and recommendations for resilient cyber systems | |
| Velliangiri et al. | Detection of distributed denial of service attack in cloud computing using the optimization-based deep networks | |
| US11973774B2 (en) | Multi-stage anomaly detection for process chains in multi-host environments | |
| Ramaki et al. | RTECA: Real time episode correlation algorithm for multi-step attack scenarios detection | |
| US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| US20210019674A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US20210352095A1 (en) | Cybersecurity resilience by integrating adversary and defender actions, deep learning, and graph thinking | |
| US20180013771A1 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| US7530105B2 (en) | Tactical and strategic attack detection and prediction | |
| Ibrahim et al. | The challenges of leveraging threat intelligence to stop data breaches | |
| US20160226893A1 (en) | Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof | |
| Alserhani et al. | MARS: multi-stage attack recognition system | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| US10104112B2 (en) | Rating threat submitter | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| Zouave et al. | Artificially intelligent cyberattacks | |
| Marchetti et al. | Identification of correlated network intrusion alerts | |
| Angelini et al. | An attack graph-based on-line multi-step attack detector | |
| Sukhwani et al. | A survey of anomaly detection techniques and hidden markov model | |
| Bahareth et al. | Constructing attack scenario using sequential pattern mining with correlated candidate sequences | |
| Al-Sanjary et al. | Challenges on digital cyber-security and network forensics: a survey |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |