CN113609234A - 一种网络实体行为关联构建方法及*** - Google Patents

一种网络实体行为关联构建方法及*** Download PDF

Info

Publication number
CN113609234A
CN113609234A CN202110671288.5A CN202110671288A CN113609234A CN 113609234 A CN113609234 A CN 113609234A CN 202110671288 A CN202110671288 A CN 202110671288A CN 113609234 A CN113609234 A CN 113609234A
Authority
CN
China
Prior art keywords
threat
network entity
network
behavior
extracting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110671288.5A
Other languages
English (en)
Other versions
CN113609234B (zh
Inventor
韩志辉
贺铮
王宏宇
严寒冰
丁丽
李志辉
吕志泉
郭晶
贾子骁
肖崇蕙
虞宇琪
张腾
谭兴邦
亓子森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN202110671288.5A priority Critical patent/CN113609234B/zh
Publication of CN113609234A publication Critical patent/CN113609234A/zh
Application granted granted Critical
Publication of CN113609234B publication Critical patent/CN113609234B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/288Entity relationship models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种网络实体行为关联构建方法及***,属于网络安全领域,聚焦网空威胁框架下的实体行为关联,采用实时计算结合离线计算方式,通过整合流量日志、多源威胁情报、碎片化告警日志,实现实体关系抽取,针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射,利用分布式图数据融合技术实现网络实体行为关联构建,能够充分利用威胁情报和漏洞知识数据,全方位地感知网络空间威胁。

Description

一种网络实体行为关联构建方法及***
技术领域
本发明属于网络安全领域,具体提出一种基于流量日志和多源情报的网空威胁映射及网络实体行为关联构建方法。
背景技术
近年来网络中出现了各种各样的新型攻击,其中高级持续性威胁事件(AdvancedPersistent Threat,APT)频繁发生,给安全带来了严重的影响。APT组织背后的网空威胁行为体是网络空间攻击活动的来源,尤其对于超高能力网空威胁行为体通过工程体系化、装备化、规模化的攻击手段,其躲避追踪溯源的手段也日益先进,具有难追踪、攻击场景及过程难重现、攻击链难以追溯的特点。现有的监测分析手段存在以下问题:各安全监测***之间存在信息孤岛,告警碎片性程度高,无法进行有效关联;威胁描述不清晰,攻击目标和受害者分析不全面,人工分析成本高。
多个网络安全分析团队在网络安全事件分析中引入网空威胁框架,以此来描述网络攻击和防御能力,其中结构化威胁信息表达(structured threat informationexpression,STIX)从攻击模式、攻击活动、行动等12种构件方面来对网络空间威胁信息进行描述。针对STIX 2.0的结构化语言描述,MITRE公司分别构建了ATT&CK框架、CAPEC攻击模式、CWE等知识库,包括约40种战术、千级规模的技术与弱点以及百级规模的攻击模式,能够供研究者研究和了解各种网络威胁情况,为制定安全防御策略提供参考,但是由于网空威胁框架未整合流量日志、多源威胁情报、安全告警构建网络实体行为关联,无法实现攻击链溯源和攻击场景还原。
发明内容
本发明的目的是聚焦网空威胁框架下的实体行为关联,采用实时计算结合离线计算方式,通过整合流量日志、多源威胁情报、碎片化告警日志,实现实体关系抽取,针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射,利用分布式图数据融合技术实现网络实体行为关联构建,能够充分利用威胁情报和漏洞知识数据,全方位地感知网络空间威胁。
为实现上述目的,本发明采用的技术方案如下:
一种网络实体行为关联构建方法,包括以下步骤:
1)实时提取网络实体的标签及行为关系:从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
2)离线提取网络实体的标签及行为关系:从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
3)基于ATT&CK网空威胁框架,对上述实时和离线提取到的网络实体行为关系映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
4)以预先构建的网络实体行为关联模型为参照,该模型包含网络实体之间的可能行为关系,利用分布式图数据计算引擎,将网络实体的标签与行为关系进行关联,实现网络实体行为关联融合;
5)利用分布式图关系数据存储管理引擎,对网络实体行为关联融合的结果进行存储管理,并构建网络实体行为关联图数据,提供检索服务。
进一步地,网络实体包括IP、样本、URL、证书、域名和邮箱。
进一步地,多源情报数据包括本地情报、情报接口服务和公共情报数据包。
进一步地,网络实体行为关联模型包含的网络实体之间的可能行为关系包括:IP与IP之间的通联或攻击关系,IP与样本之间的中马或放马关系,IP与域名之间的访问或承载关系,IP与证书之间的恶意IP实体上部署非法证书关系,IP与URL之间的访问关系,IP与邮箱之间的访问或攻击关系;样本与样本之间的衍生或拉取关系,样本与URL之间的传播或回连关系,样本与域名之间的传播或回连关系,样本与邮箱之间的传播关系;URL与URL之间的Refer链接关系,URL与域名之间的挂载或提取构建关系,URL与邮箱之间的恶意邮件含有钓鱼链接关系;证书与域名之间的域名Whois信息包含合法证书归属关系,域名与邮箱之间存在域名Whois信息中包含注册厂商邮箱关系。
进一步地,根据特异性规则与普适性规则对网络实体威胁标签和风险标签的实时自动化消歧,其中特异性规则是针对不同网空威胁框架中标准的威胁标签进行的统一化消歧规则,普适性规则为针对威胁标签别名或者简称进行的普适性消歧规则。
一种网络实体行为关联构建***,包括:
实时抽取模块,用于基于streaming从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
离线抽取模块,用于基于spark从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
网空威胁映射模块,用于基于ATT&CK网空威胁框架,对上述实时和离线提取到的网络实体行为关系映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
融合关联构建模块,用于基于spark,以网络实体行为关联模型为参照,该模型包含各网络实体之间的各种可能的行为关系,利用分布式图数据计算引擎,将网络实体的标签与行为关系进行关联,实现网络实体行为关联融合;
关联存储检索模,用于利用分布式图关系数据存储管理引擎,对网络实体行为关联融合的结果进行存储管理,并构建网络实体行为关联图数据,提供检索服务。
进一步地,融合关联构建模块还用于根据特异性规则与普适性规则对网络实体威胁标签和风险标签的实时自动化消歧,其中特异性规则是针对不同网空威胁框架中标准的威胁标签进行的统一化消歧规则,普适性规则为针对威胁标签别名或者简称进行的普适性消歧规则。
本发明使用网络实体关系抽取技术,从数据中心的威胁告警入手,提取网络空间中域名、邮箱、IP、证书、样本、URL等实体的事件威胁标签,关联流量日志补充网络空间实体行为关系,通过整合多源威胁情报(含威胁标签和漏洞威胁)补充实体威胁标签和风险标签信息,并对多源标签实时消歧。本发明使用网络实体行为网空威胁映射技术,基于ATT&CK网空威胁框架,利用分布式实时处理技术,对抽取得到的网络空间实体行为映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述。本发明使用分布式网络实体关联融合技术,针对提取得到的网络空间实体标签和实体行为关联,利用分布式图数据计算引擎,进行网络实体关联构建和实体行为关联融合,支持实体标签属性和关系属性更新,并能支持单个和批量实体标签和实体行为关联追加和更新。
本发明提出的方法具有以下的优点及效果:
1.实体标签自动化消歧。通过特异性规则与普适性规则相结合的方案,可以实现实体标签自动化消歧。针对多来源实体行为标签和威胁标签可自动化实现威胁标签规范化。
2.支持实时网空威胁映射。通过网络实体行为网空威胁映射技术,实现流量日志和报文告警日志的技战术映射,支持映射覆盖网空威胁框架全部战术阶段,利用实时计算引擎进行实时技战术映射,支持实时增加技战术映射规则,支持分布式网络实体行为网空威胁框架技战术映射。
附图说明
图1是实施例的一种网络实体行为关联构建***整体架构图。
图2是实施例的一种网络实体行为关联模型。
图3是实施例的一种网络实体行为关联构建方法流程图。
具体实施方式
为使本发明的技术方案能更明显易懂,特举实施例并结合附图详细说明如下。
本实施例公开一种网络实体行为关联构建方法及***,具体说明如下:
1.***整体架构
整个***的架构如图1所示,主要包括实时抽取模块、离线抽取模块、网空威胁映射模块、融合关联构建模块、关联存储管理模块等几个组成部分。其中实时抽取模块主要读取数据中心消息队列中的流量日志、多源情报数据,基于streaming实时计算框架提取网络实体、威胁标签和行为关系;离线抽取模块主要读取数据中心hive中存储的流量日志和事件告警,提取网络实体、威胁标签和行为关系,基于spark离线计算框架提取网络实体的威胁标签和风险标签;威胁框架映射模块利用网空威胁框架模型,基于提取得到的网络实体行为关系映射网络实体行为网空威胁技术项标签;融合关联构建模块基于spark对网络实体标签消歧,合并同义或冲突标签,并构建实体行为关联;关联存储管理模块利用分布式图数据存储管理引擎,对网络实体标签和行为关联关系进行存储管理,并提供检索服务。
2.网络实体行为关联模型
本发明预先构建包含IP、域名、URL、邮箱、样本、证书等常见网络实体行为关联模型,如图2所示,该模型包含各网络实体之间的各种可能的行为关系,其中以对应实体为中心的关键行为关系情况如下:
IP:以IP为中心,IP与IP之间存在通联或攻击等关系,IP与样本之间存在中马或放马等关系,IP与域名之间存在访问或承载等关系,IP与证书之间存在恶意IP实体上部署非法证书关系,IP与URL之间存在访问关系,IP与邮箱之间存在访问或攻击关系;
样本:以样本为中心,样本与样本之间存在衍生或拉取关系,样本与IP之间存在放马或中马等关系,样本与URL之间存在传播或回连等关系,样本与域名之间存在传播或回连关系,样本与邮箱之间存在传播关系;
URL:以URL为中心,URL与URL之间存在Refer链接关系,URL与样本之间存在回连或传播关系,URL与域名之间存在挂载或提取构建关系,URL与邮箱之间存在恶意邮件含有钓鱼链接关系;
证书:以证书为中心,证书与域名之间存在域名Whois信息包含合法证书归属关系,证书与IP之间存在IP上部署非法证书关系;
域名:以域名为中心,域名与样本之间存在回连或传播等关系,域名与URL之间存在提取或挂载等关系,域名与邮箱之间存在域名Whois信息中包含注册厂商邮箱关系,域名与证书之间存在域名Whois信息中包含合法证书归属关系,域名与IP之间存在承载或访问关系;
邮箱:以邮箱为中心,邮箱与域名之间存在域名Whois信息中包含注册厂商邮箱关系,邮箱与IP之间存在访问或攻击关联关系,邮箱与URL之间存在恶意邮件含有钓鱼链接关联关系,邮箱与样本之间存在传播关系。
3.网络实体行为关联构建流程
网络实体行为关联构建流程如图3所示,基于数据中心存储的流量日志、事件告警,结合本地情报、情报接口服务、公共情报数据包等多源情报数据,利用分布式实时和离线计算模块实现实体关系提取、网空威胁框架映射、标签融合与行为关联构建,并借助分布式图数据存储管理引擎实现图结构网络实体行为关联关系存储检索管理。
构建流程主要包括以下步骤:
1)网络实体关系实时提取:利用实时计算模块从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
2)网络实体关系离线提取:利用离线计算模块从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
3)网络实体行为网空威胁映射:借助网空威胁模型,利用实时计算模块基于提取得到的网络实体行为关系实现网络实体行为映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
4)网络实体威胁标签和风险标签消歧:利用融合关联构建模块,通过特异性规则与普适性规则相结合的方案,可以实现网络实体威胁和风险标签自动化消歧,特异性规则即针对不同网空威胁框架中标准的威胁标签进行统一化消歧的规则,普适性规则即针对威胁标签别名或者简称的消歧规则,普适性规则,多来源实体网络风险标签和威胁标签可自动化实现实体标签规范化;
5)网络实体行为关联融合:根据预先构建的网络实体行为关联模型,借助分布式图数据计算引擎将消歧的网络实体威胁和风险标签与网络实体行为进行关联,实现网络实体行为关联融合;
6)网络实体行为关联数据库:利用分布式图关系数据存储管理引擎,对网络实体行为关联融合结果提供统一存储管理,并构建实体行为关联图数据检索服务。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,本发明的保护范围以权利要求所述为准。

Claims (10)

1.一种网络实体行为关联构建方法,其特征在于,包括以下步骤:
1)实时提取网络实体的标签及行为关系:从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
2)离线提取网络实体的标签及行为关系:从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
3)基于ATT&CK网空威胁框架,对上述实时和离线提取到的网络实体行为关系映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
4)以预先构建的网络实体行为关联模型为参照,该模型包含网络实体之间的可能行为关系,利用分布式图数据计算引擎,将网络实体的标签与行为关系进行关联,实现网络实体行为关联融合;
5)利用分布式图关系数据存储管理引擎,对网络实体行为关联融合的结果进行存储管理,并构建网络实体行为关联图数据,提供检索服务。
2.如权利要求1所述的方法,其特征在于,网络实体包括IP、样本、URL、证书、域名和邮箱。
3.如权利要求1所述的方法,其特征在于,多源情报数据包括本地情报、情报接口服务和公共情报数据包。
4.如权利要求1所述的方法,其特征在于,网络实体行为关联模型包含的网络实体之间的可能行为关系包括:IP与IP之间的通联或攻击关系,IP与样本之间的中马或放马关系,IP与域名之间的访问或承载关系,IP与证书之间的恶意IP实体上部署非法证书关系,IP与URL之间的访问关系,IP与邮箱之间的访问或攻击关系;样本与样本之间的衍生或拉取关系,样本与URL之间的传播或回连关系,样本与域名之间的传播或回连关系,样本与邮箱之间的传播关系;URL与URL之间的Refer链接关系,URL与域名之间的挂载或提取构建关系,URL与邮箱之间的恶意邮件含有钓鱼链接关系;证书与域名之间的域名Whois信息包含合法证书归属关系,域名与邮箱之间存在域名Whois信息中包含注册厂商邮箱关系。
5.如权利要求1所述的方法,其特征在于,根据特异性规则与普适性规则对网络实体威胁标签和风险标签的实时自动化消歧,其中特异性规则是针对不同网空威胁框架中标准的威胁标签进行的统一化消歧规则,普适性规则为针对威胁标签别名或者简称进行的普适性消歧规则。
6.一种网络实体行为关联构建***,其特征在于,包括:
实时抽取模块,用于基于streaming从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
离线抽取模块,用于基于spark从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
网空威胁映射模块,用于基于ATT&CK网空威胁框架,对上述实时和离线提取到的网络实体行为关系映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
融合关联构建模块,用于基于spark,以网络实体行为关联模型为参照,该模型包含各网络实体之间的各种可能的行为关系,利用分布式图数据计算引擎,将网络实体的标签与行为关系进行关联,实现网络实体行为关联融合;
关联存储检索模,用于利用分布式图关系数据存储管理引擎,对网络实体行为关联融合的结果进行存储管理,并构建网络实体行为关联图数据,提供检索服务。
7.如权利要求6所述的***,其特征在于,网络实体包括IP、样本、URL、证书、域名和邮箱。
8.如权利要求6所述的***,其特征在于,多源情报数据包括本地情报、情报接口服务和公共情报数据包。
9.如权利要求6所述的***,其特征在于,融合关联构建模块还用于根据特异性规则与普适性规则对网络实体威胁标签和风险标签的实时自动化消歧,其中特异性规则是针对不同网空威胁框架中标准的威胁标签进行的统一化消歧规则,普适性规则为针对威胁标签别名或者简称进行的普适性消歧规则。
10.如权利要求6所述的***,其特征在于,网络实体行为关联模型包含的网络实体之间的可能行为关系包括:IP与IP之间的通联或攻击关系,IP与样本之间的中马或放马关系,IP与域名之间的访问或承载关系,IP与证书之间的恶意IP实体上部署非法证书关系,IP与URL之间的访问关系,IP与邮箱之间的访问或攻击关系;样本与样本之间的衍生或拉取关系,样本与URL之间的传播或回连关系,样本与域名之间的传播或回连关系,样本与邮箱之间的传播关系;URL与URL之间的Refer链接关系,URL与域名之间的挂载或提取构建关系,URL与邮箱之间的恶意邮件含有钓鱼链接关系;证书与域名之间的域名Whois信息包含合法证书归属关系,域名与邮箱之间存在域名Whois信息中包含注册厂商邮箱关系。
CN202110671288.5A 2021-06-17 2021-06-17 一种网络实体行为关联构建方法及*** Active CN113609234B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110671288.5A CN113609234B (zh) 2021-06-17 2021-06-17 一种网络实体行为关联构建方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110671288.5A CN113609234B (zh) 2021-06-17 2021-06-17 一种网络实体行为关联构建方法及***

Publications (2)

Publication Number Publication Date
CN113609234A true CN113609234A (zh) 2021-11-05
CN113609234B CN113609234B (zh) 2023-08-29

Family

ID=78336552

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110671288.5A Active CN113609234B (zh) 2021-06-17 2021-06-17 一种网络实体行为关联构建方法及***

Country Status (1)

Country Link
CN (1) CN113609234B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113961969A (zh) * 2021-12-22 2022-01-21 北京金睛云华科技有限公司 一种安全威胁协同建模方法及***
CN114884703A (zh) * 2022-04-19 2022-08-09 南京航空航天大学 基于威胁情报和消息传递模型的高级持续性威胁检测方法
CN114915452A (zh) * 2022-04-11 2022-08-16 中国信息通信研究院 一种网络实体威胁标签的标定方法、***及存储介质
CN116319077A (zh) * 2023-05-15 2023-06-23 鹏城实验室 网络攻击检测方法和装置、设备、存储介质和产品

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196910A (zh) * 2017-04-18 2017-09-22 国网山东省电力公司电力科学研究院 基于大数据分析的威胁预警监测***、方法及部署架构
US10438001B1 (en) * 2018-12-31 2019-10-08 Arceo Labs Inc. Identification, prediction, and assessment of cyber security risk
CN110430190A (zh) * 2019-08-05 2019-11-08 北京经纬信安科技有限公司 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法
CN111147504A (zh) * 2019-12-26 2020-05-12 深信服科技股份有限公司 威胁检测方法、装置、设备和存储介质
CN112738126A (zh) * 2021-01-07 2021-04-30 中国电子科技集团公司第十五研究所 基于威胁情报和att&ck的攻击溯源方法
CN112769821A (zh) * 2021-01-07 2021-05-07 中国电子科技集团公司第十五研究所 一种基于威胁情报和att&ck的威胁响应方法及装置
CN112818131A (zh) * 2021-02-01 2021-05-18 亚信科技(成都)有限公司 一种威胁情报的图谱构建方法、***及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196910A (zh) * 2017-04-18 2017-09-22 国网山东省电力公司电力科学研究院 基于大数据分析的威胁预警监测***、方法及部署架构
US10438001B1 (en) * 2018-12-31 2019-10-08 Arceo Labs Inc. Identification, prediction, and assessment of cyber security risk
CN110430190A (zh) * 2019-08-05 2019-11-08 北京经纬信安科技有限公司 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法
CN111147504A (zh) * 2019-12-26 2020-05-12 深信服科技股份有限公司 威胁检测方法、装置、设备和存储介质
CN112738126A (zh) * 2021-01-07 2021-04-30 中国电子科技集团公司第十五研究所 基于威胁情报和att&ck的攻击溯源方法
CN112769821A (zh) * 2021-01-07 2021-05-07 中国电子科技集团公司第十五研究所 一种基于威胁情报和att&ck的威胁响应方法及装置
CN112818131A (zh) * 2021-02-01 2021-05-18 亚信科技(成都)有限公司 一种威胁情报的图谱构建方法、***及存储介质

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
GBADEBO AYOADE等: "automated threat report classification over multi-source data", 2018 IEEE 4TH INTERNATIONAL CONFERENCE ON COLLABORATION AND INTERNET COMPUTING, pages 236 - 245 *
刘汉生;唐洪玉;薄明霞;牛剑锋;李天博;李玲晓;: "基于机器学习的多源威胁情报质量评价方法", 电信科学, vol. 36, no. 01, pages 119 - 126 *
贾焰等: "基于人工智能的网络空间安全防御战略研究", 中国工程科学, vol. 23, no. 3, pages 98 - 105 *
陈瑞东;张小松;牛伟纳;蓝皓月;: "APT攻击检测与反制技术体系的研究", 电子科技大学学报, vol. 48, no. 06, pages 870 - 879 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113961969A (zh) * 2021-12-22 2022-01-21 北京金睛云华科技有限公司 一种安全威胁协同建模方法及***
CN114915452A (zh) * 2022-04-11 2022-08-16 中国信息通信研究院 一种网络实体威胁标签的标定方法、***及存储介质
CN114884703A (zh) * 2022-04-19 2022-08-09 南京航空航天大学 基于威胁情报和消息传递模型的高级持续性威胁检测方法
CN114884703B (zh) * 2022-04-19 2023-02-28 南京航空航天大学 基于威胁情报和消息传递模型的高级持续性威胁检测方法
CN116319077A (zh) * 2023-05-15 2023-06-23 鹏城实验室 网络攻击检测方法和装置、设备、存储介质和产品
CN116319077B (zh) * 2023-05-15 2023-08-22 鹏城实验室 网络攻击检测方法和装置、设备、存储介质和产品

Also Published As

Publication number Publication date
CN113609234B (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
CN113609234A (zh) 一种网络实体行为关联构建方法及***
AU2019403265B2 (en) Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time
US11431738B2 (en) Multistage analysis of emails to identify security threats
US11032312B2 (en) Programmatic discovery, retrieval, and analysis of communications to identify abnormal communication activity
US10867034B2 (en) Method for detecting a cyber attack
US20210329035A1 (en) Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior
CN107172022B (zh) 基于入侵途径的apt威胁检测方法和***
CA2840992C (en) Syntactical fingerprinting
CN109413109A (zh) 基于有限状态机的面向天地一体化网络安全状态分析方法
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
WO2015149062A1 (en) System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment
US11470042B2 (en) Discovering email account compromise through assessments of digital activities
CN105229597A (zh) 分布式特征收集与关联引擎
CN109962927B (zh) 基于威胁情报的防攻击方法
CN103067387B (zh) 一种反钓鱼监测***和方法
Vaarandi et al. Using security logs for collecting and reporting technical security metrics
CN111314301A (zh) 一种基于dns解析的网站访问控制方法及装置
Tazaki et al. MATATABI: multi-layer threat analysis platform with Hadoop
CN114598499A (zh) 结合业务应用的网络风险行为分析方法
CN114301659A (zh) 网络攻击预警方法、***、设备及存储介质
CN114510710A (zh) 一种基于xss与sql注入的蜜罐攻击事件识别***及方法
CN110278213B (zh) 一种网络安全日志关键信息提取方法及***
CN112487419A (zh) 一种计算机网络信息安全事件处理方法
CN110855602B (zh) 物联网云平台事件识别方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant