CN113609234A - 一种网络实体行为关联构建方法及*** - Google Patents
一种网络实体行为关联构建方法及*** Download PDFInfo
- Publication number
- CN113609234A CN113609234A CN202110671288.5A CN202110671288A CN113609234A CN 113609234 A CN113609234 A CN 113609234A CN 202110671288 A CN202110671288 A CN 202110671288A CN 113609234 A CN113609234 A CN 113609234A
- Authority
- CN
- China
- Prior art keywords
- threat
- network entity
- network
- behavior
- extracting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/288—Entity relationship models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络实体行为关联构建方法及***,属于网络安全领域,聚焦网空威胁框架下的实体行为关联,采用实时计算结合离线计算方式,通过整合流量日志、多源威胁情报、碎片化告警日志,实现实体关系抽取,针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射,利用分布式图数据融合技术实现网络实体行为关联构建,能够充分利用威胁情报和漏洞知识数据,全方位地感知网络空间威胁。
Description
技术领域
本发明属于网络安全领域,具体提出一种基于流量日志和多源情报的网空威胁映射及网络实体行为关联构建方法。
背景技术
近年来网络中出现了各种各样的新型攻击,其中高级持续性威胁事件(AdvancedPersistent Threat,APT)频繁发生,给安全带来了严重的影响。APT组织背后的网空威胁行为体是网络空间攻击活动的来源,尤其对于超高能力网空威胁行为体通过工程体系化、装备化、规模化的攻击手段,其躲避追踪溯源的手段也日益先进,具有难追踪、攻击场景及过程难重现、攻击链难以追溯的特点。现有的监测分析手段存在以下问题:各安全监测***之间存在信息孤岛,告警碎片性程度高,无法进行有效关联;威胁描述不清晰,攻击目标和受害者分析不全面,人工分析成本高。
多个网络安全分析团队在网络安全事件分析中引入网空威胁框架,以此来描述网络攻击和防御能力,其中结构化威胁信息表达(structured threat informationexpression,STIX)从攻击模式、攻击活动、行动等12种构件方面来对网络空间威胁信息进行描述。针对STIX 2.0的结构化语言描述,MITRE公司分别构建了ATT&CK框架、CAPEC攻击模式、CWE等知识库,包括约40种战术、千级规模的技术与弱点以及百级规模的攻击模式,能够供研究者研究和了解各种网络威胁情况,为制定安全防御策略提供参考,但是由于网空威胁框架未整合流量日志、多源威胁情报、安全告警构建网络实体行为关联,无法实现攻击链溯源和攻击场景还原。
发明内容
本发明的目的是聚焦网空威胁框架下的实体行为关联,采用实时计算结合离线计算方式,通过整合流量日志、多源威胁情报、碎片化告警日志,实现实体关系抽取,针对网络空间中域名、邮箱、IP、证书、样本、URL等常用实体行为借助网空威胁框架进行网空威胁技战术映射,利用分布式图数据融合技术实现网络实体行为关联构建,能够充分利用威胁情报和漏洞知识数据,全方位地感知网络空间威胁。
为实现上述目的,本发明采用的技术方案如下:
一种网络实体行为关联构建方法,包括以下步骤:
1)实时提取网络实体的标签及行为关系:从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
2)离线提取网络实体的标签及行为关系:从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
3)基于ATT&CK网空威胁框架,对上述实时和离线提取到的网络实体行为关系映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
4)以预先构建的网络实体行为关联模型为参照,该模型包含网络实体之间的可能行为关系,利用分布式图数据计算引擎,将网络实体的标签与行为关系进行关联,实现网络实体行为关联融合;
5)利用分布式图关系数据存储管理引擎,对网络实体行为关联融合的结果进行存储管理,并构建网络实体行为关联图数据,提供检索服务。
进一步地,网络实体包括IP、样本、URL、证书、域名和邮箱。
进一步地,多源情报数据包括本地情报、情报接口服务和公共情报数据包。
进一步地,网络实体行为关联模型包含的网络实体之间的可能行为关系包括:IP与IP之间的通联或攻击关系,IP与样本之间的中马或放马关系,IP与域名之间的访问或承载关系,IP与证书之间的恶意IP实体上部署非法证书关系,IP与URL之间的访问关系,IP与邮箱之间的访问或攻击关系;样本与样本之间的衍生或拉取关系,样本与URL之间的传播或回连关系,样本与域名之间的传播或回连关系,样本与邮箱之间的传播关系;URL与URL之间的Refer链接关系,URL与域名之间的挂载或提取构建关系,URL与邮箱之间的恶意邮件含有钓鱼链接关系;证书与域名之间的域名Whois信息包含合法证书归属关系,域名与邮箱之间存在域名Whois信息中包含注册厂商邮箱关系。
进一步地,根据特异性规则与普适性规则对网络实体威胁标签和风险标签的实时自动化消歧,其中特异性规则是针对不同网空威胁框架中标准的威胁标签进行的统一化消歧规则,普适性规则为针对威胁标签别名或者简称进行的普适性消歧规则。
一种网络实体行为关联构建***,包括:
实时抽取模块,用于基于streaming从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
离线抽取模块,用于基于spark从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
网空威胁映射模块,用于基于ATT&CK网空威胁框架,对上述实时和离线提取到的网络实体行为关系映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
融合关联构建模块,用于基于spark,以网络实体行为关联模型为参照,该模型包含各网络实体之间的各种可能的行为关系,利用分布式图数据计算引擎,将网络实体的标签与行为关系进行关联,实现网络实体行为关联融合;
关联存储检索模,用于利用分布式图关系数据存储管理引擎,对网络实体行为关联融合的结果进行存储管理,并构建网络实体行为关联图数据,提供检索服务。
进一步地,融合关联构建模块还用于根据特异性规则与普适性规则对网络实体威胁标签和风险标签的实时自动化消歧,其中特异性规则是针对不同网空威胁框架中标准的威胁标签进行的统一化消歧规则,普适性规则为针对威胁标签别名或者简称进行的普适性消歧规则。
本发明使用网络实体关系抽取技术,从数据中心的威胁告警入手,提取网络空间中域名、邮箱、IP、证书、样本、URL等实体的事件威胁标签,关联流量日志补充网络空间实体行为关系,通过整合多源威胁情报(含威胁标签和漏洞威胁)补充实体威胁标签和风险标签信息,并对多源标签实时消歧。本发明使用网络实体行为网空威胁映射技术,基于ATT&CK网空威胁框架,利用分布式实时处理技术,对抽取得到的网络空间实体行为映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述。本发明使用分布式网络实体关联融合技术,针对提取得到的网络空间实体标签和实体行为关联,利用分布式图数据计算引擎,进行网络实体关联构建和实体行为关联融合,支持实体标签属性和关系属性更新,并能支持单个和批量实体标签和实体行为关联追加和更新。
本发明提出的方法具有以下的优点及效果:
1.实体标签自动化消歧。通过特异性规则与普适性规则相结合的方案,可以实现实体标签自动化消歧。针对多来源实体行为标签和威胁标签可自动化实现威胁标签规范化。
2.支持实时网空威胁映射。通过网络实体行为网空威胁映射技术,实现流量日志和报文告警日志的技战术映射,支持映射覆盖网空威胁框架全部战术阶段,利用实时计算引擎进行实时技战术映射,支持实时增加技战术映射规则,支持分布式网络实体行为网空威胁框架技战术映射。
附图说明
图1是实施例的一种网络实体行为关联构建***整体架构图。
图2是实施例的一种网络实体行为关联模型。
图3是实施例的一种网络实体行为关联构建方法流程图。
具体实施方式
为使本发明的技术方案能更明显易懂,特举实施例并结合附图详细说明如下。
本实施例公开一种网络实体行为关联构建方法及***,具体说明如下:
1.***整体架构
整个***的架构如图1所示,主要包括实时抽取模块、离线抽取模块、网空威胁映射模块、融合关联构建模块、关联存储管理模块等几个组成部分。其中实时抽取模块主要读取数据中心消息队列中的流量日志、多源情报数据,基于streaming实时计算框架提取网络实体、威胁标签和行为关系;离线抽取模块主要读取数据中心hive中存储的流量日志和事件告警,提取网络实体、威胁标签和行为关系,基于spark离线计算框架提取网络实体的威胁标签和风险标签;威胁框架映射模块利用网空威胁框架模型,基于提取得到的网络实体行为关系映射网络实体行为网空威胁技术项标签;融合关联构建模块基于spark对网络实体标签消歧,合并同义或冲突标签,并构建实体行为关联;关联存储管理模块利用分布式图数据存储管理引擎,对网络实体标签和行为关联关系进行存储管理,并提供检索服务。
2.网络实体行为关联模型
本发明预先构建包含IP、域名、URL、邮箱、样本、证书等常见网络实体行为关联模型,如图2所示,该模型包含各网络实体之间的各种可能的行为关系,其中以对应实体为中心的关键行为关系情况如下:
IP:以IP为中心,IP与IP之间存在通联或攻击等关系,IP与样本之间存在中马或放马等关系,IP与域名之间存在访问或承载等关系,IP与证书之间存在恶意IP实体上部署非法证书关系,IP与URL之间存在访问关系,IP与邮箱之间存在访问或攻击关系;
样本:以样本为中心,样本与样本之间存在衍生或拉取关系,样本与IP之间存在放马或中马等关系,样本与URL之间存在传播或回连等关系,样本与域名之间存在传播或回连关系,样本与邮箱之间存在传播关系;
URL:以URL为中心,URL与URL之间存在Refer链接关系,URL与样本之间存在回连或传播关系,URL与域名之间存在挂载或提取构建关系,URL与邮箱之间存在恶意邮件含有钓鱼链接关系;
证书:以证书为中心,证书与域名之间存在域名Whois信息包含合法证书归属关系,证书与IP之间存在IP上部署非法证书关系;
域名:以域名为中心,域名与样本之间存在回连或传播等关系,域名与URL之间存在提取或挂载等关系,域名与邮箱之间存在域名Whois信息中包含注册厂商邮箱关系,域名与证书之间存在域名Whois信息中包含合法证书归属关系,域名与IP之间存在承载或访问关系;
邮箱:以邮箱为中心,邮箱与域名之间存在域名Whois信息中包含注册厂商邮箱关系,邮箱与IP之间存在访问或攻击关联关系,邮箱与URL之间存在恶意邮件含有钓鱼链接关联关系,邮箱与样本之间存在传播关系。
3.网络实体行为关联构建流程
网络实体行为关联构建流程如图3所示,基于数据中心存储的流量日志、事件告警,结合本地情报、情报接口服务、公共情报数据包等多源情报数据,利用分布式实时和离线计算模块实现实体关系提取、网空威胁框架映射、标签融合与行为关联构建,并借助分布式图数据存储管理引擎实现图结构网络实体行为关联关系存储检索管理。
构建流程主要包括以下步骤:
1)网络实体关系实时提取:利用实时计算模块从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
2)网络实体关系离线提取:利用离线计算模块从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
3)网络实体行为网空威胁映射:借助网空威胁模型,利用实时计算模块基于提取得到的网络实体行为关系实现网络实体行为映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
4)网络实体威胁标签和风险标签消歧:利用融合关联构建模块,通过特异性规则与普适性规则相结合的方案,可以实现网络实体威胁和风险标签自动化消歧,特异性规则即针对不同网空威胁框架中标准的威胁标签进行统一化消歧的规则,普适性规则即针对威胁标签别名或者简称的消歧规则,普适性规则,多来源实体网络风险标签和威胁标签可自动化实现实体标签规范化;
5)网络实体行为关联融合:根据预先构建的网络实体行为关联模型,借助分布式图数据计算引擎将消歧的网络实体威胁和风险标签与网络实体行为进行关联,实现网络实体行为关联融合;
6)网络实体行为关联数据库:利用分布式图关系数据存储管理引擎,对网络实体行为关联融合结果提供统一存储管理,并构建实体行为关联图数据检索服务。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,本发明的保护范围以权利要求所述为准。
Claims (10)
1.一种网络实体行为关联构建方法,其特征在于,包括以下步骤:
1)实时提取网络实体的标签及行为关系:从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
2)离线提取网络实体的标签及行为关系:从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
3)基于ATT&CK网空威胁框架,对上述实时和离线提取到的网络实体行为关系映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
4)以预先构建的网络实体行为关联模型为参照,该模型包含网络实体之间的可能行为关系,利用分布式图数据计算引擎,将网络实体的标签与行为关系进行关联,实现网络实体行为关联融合;
5)利用分布式图关系数据存储管理引擎,对网络实体行为关联融合的结果进行存储管理,并构建网络实体行为关联图数据,提供检索服务。
2.如权利要求1所述的方法,其特征在于,网络实体包括IP、样本、URL、证书、域名和邮箱。
3.如权利要求1所述的方法,其特征在于,多源情报数据包括本地情报、情报接口服务和公共情报数据包。
4.如权利要求1所述的方法,其特征在于,网络实体行为关联模型包含的网络实体之间的可能行为关系包括:IP与IP之间的通联或攻击关系,IP与样本之间的中马或放马关系,IP与域名之间的访问或承载关系,IP与证书之间的恶意IP实体上部署非法证书关系,IP与URL之间的访问关系,IP与邮箱之间的访问或攻击关系;样本与样本之间的衍生或拉取关系,样本与URL之间的传播或回连关系,样本与域名之间的传播或回连关系,样本与邮箱之间的传播关系;URL与URL之间的Refer链接关系,URL与域名之间的挂载或提取构建关系,URL与邮箱之间的恶意邮件含有钓鱼链接关系;证书与域名之间的域名Whois信息包含合法证书归属关系,域名与邮箱之间存在域名Whois信息中包含注册厂商邮箱关系。
5.如权利要求1所述的方法,其特征在于,根据特异性规则与普适性规则对网络实体威胁标签和风险标签的实时自动化消歧,其中特异性规则是针对不同网空威胁框架中标准的威胁标签进行的统一化消歧规则,普适性规则为针对威胁标签别名或者简称进行的普适性消歧规则。
6.一种网络实体行为关联构建***,其特征在于,包括:
实时抽取模块,用于基于streaming从数据中心存储的结构化流量日志中实时提取网络实体及其行为关系,从数据中心存储的事件告警数据中实时提取网络实体威胁标签,从多源威胁情报中实时提取网络实体的威胁标签;
离线抽取模块,用于基于spark从数据中心存储的结构化流量日志中离线提取网络实体及其行为关系,从数据中心存储的事件告警数据中离线提取网络实体威胁标签,从多源情报数据中离线提取网络实体的威胁标签和风险标签;
网空威胁映射模块,用于基于ATT&CK网空威胁框架,对上述实时和离线提取到的网络实体行为关系映射得到具体的网空威胁框技术项,实现网络实体威胁标准化描述;
融合关联构建模块,用于基于spark,以网络实体行为关联模型为参照,该模型包含各网络实体之间的各种可能的行为关系,利用分布式图数据计算引擎,将网络实体的标签与行为关系进行关联,实现网络实体行为关联融合;
关联存储检索模,用于利用分布式图关系数据存储管理引擎,对网络实体行为关联融合的结果进行存储管理,并构建网络实体行为关联图数据,提供检索服务。
7.如权利要求6所述的***,其特征在于,网络实体包括IP、样本、URL、证书、域名和邮箱。
8.如权利要求6所述的***,其特征在于,多源情报数据包括本地情报、情报接口服务和公共情报数据包。
9.如权利要求6所述的***,其特征在于,融合关联构建模块还用于根据特异性规则与普适性规则对网络实体威胁标签和风险标签的实时自动化消歧,其中特异性规则是针对不同网空威胁框架中标准的威胁标签进行的统一化消歧规则,普适性规则为针对威胁标签别名或者简称进行的普适性消歧规则。
10.如权利要求6所述的***,其特征在于,网络实体行为关联模型包含的网络实体之间的可能行为关系包括:IP与IP之间的通联或攻击关系,IP与样本之间的中马或放马关系,IP与域名之间的访问或承载关系,IP与证书之间的恶意IP实体上部署非法证书关系,IP与URL之间的访问关系,IP与邮箱之间的访问或攻击关系;样本与样本之间的衍生或拉取关系,样本与URL之间的传播或回连关系,样本与域名之间的传播或回连关系,样本与邮箱之间的传播关系;URL与URL之间的Refer链接关系,URL与域名之间的挂载或提取构建关系,URL与邮箱之间的恶意邮件含有钓鱼链接关系;证书与域名之间的域名Whois信息包含合法证书归属关系,域名与邮箱之间存在域名Whois信息中包含注册厂商邮箱关系。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110671288.5A CN113609234B (zh) | 2021-06-17 | 2021-06-17 | 一种网络实体行为关联构建方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110671288.5A CN113609234B (zh) | 2021-06-17 | 2021-06-17 | 一种网络实体行为关联构建方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113609234A true CN113609234A (zh) | 2021-11-05 |
CN113609234B CN113609234B (zh) | 2023-08-29 |
Family
ID=78336552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110671288.5A Active CN113609234B (zh) | 2021-06-17 | 2021-06-17 | 一种网络实体行为关联构建方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113609234B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113961969A (zh) * | 2021-12-22 | 2022-01-21 | 北京金睛云华科技有限公司 | 一种安全威胁协同建模方法及*** |
CN114884703A (zh) * | 2022-04-19 | 2022-08-09 | 南京航空航天大学 | 基于威胁情报和消息传递模型的高级持续性威胁检测方法 |
CN114915452A (zh) * | 2022-04-11 | 2022-08-16 | 中国信息通信研究院 | 一种网络实体威胁标签的标定方法、***及存储介质 |
CN116319077A (zh) * | 2023-05-15 | 2023-06-23 | 鹏城实验室 | 网络攻击检测方法和装置、设备、存储介质和产品 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
US10438001B1 (en) * | 2018-12-31 | 2019-10-08 | Arceo Labs Inc. | Identification, prediction, and assessment of cyber security risk |
CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法 |
CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
CN112818131A (zh) * | 2021-02-01 | 2021-05-18 | 亚信科技(成都)有限公司 | 一种威胁情报的图谱构建方法、***及存储介质 |
-
2021
- 2021-06-17 CN CN202110671288.5A patent/CN113609234B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107196910A (zh) * | 2017-04-18 | 2017-09-22 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测***、方法及部署架构 |
US10438001B1 (en) * | 2018-12-31 | 2019-10-08 | Arceo Labs Inc. | Identification, prediction, and assessment of cyber security risk |
CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法 |
CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
CN112738126A (zh) * | 2021-01-07 | 2021-04-30 | 中国电子科技集团公司第十五研究所 | 基于威胁情报和att&ck的攻击溯源方法 |
CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
CN112818131A (zh) * | 2021-02-01 | 2021-05-18 | 亚信科技(成都)有限公司 | 一种威胁情报的图谱构建方法、***及存储介质 |
Non-Patent Citations (4)
Title |
---|
GBADEBO AYOADE等: "automated threat report classification over multi-source data", 2018 IEEE 4TH INTERNATIONAL CONFERENCE ON COLLABORATION AND INTERNET COMPUTING, pages 236 - 245 * |
刘汉生;唐洪玉;薄明霞;牛剑锋;李天博;李玲晓;: "基于机器学习的多源威胁情报质量评价方法", 电信科学, vol. 36, no. 01, pages 119 - 126 * |
贾焰等: "基于人工智能的网络空间安全防御战略研究", 中国工程科学, vol. 23, no. 3, pages 98 - 105 * |
陈瑞东;张小松;牛伟纳;蓝皓月;: "APT攻击检测与反制技术体系的研究", 电子科技大学学报, vol. 48, no. 06, pages 870 - 879 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113961969A (zh) * | 2021-12-22 | 2022-01-21 | 北京金睛云华科技有限公司 | 一种安全威胁协同建模方法及*** |
CN114915452A (zh) * | 2022-04-11 | 2022-08-16 | 中国信息通信研究院 | 一种网络实体威胁标签的标定方法、***及存储介质 |
CN114884703A (zh) * | 2022-04-19 | 2022-08-09 | 南京航空航天大学 | 基于威胁情报和消息传递模型的高级持续性威胁检测方法 |
CN114884703B (zh) * | 2022-04-19 | 2023-02-28 | 南京航空航天大学 | 基于威胁情报和消息传递模型的高级持续性威胁检测方法 |
CN116319077A (zh) * | 2023-05-15 | 2023-06-23 | 鹏城实验室 | 网络攻击检测方法和装置、设备、存储介质和产品 |
CN116319077B (zh) * | 2023-05-15 | 2023-08-22 | 鹏城实验室 | 网络攻击检测方法和装置、设备、存储介质和产品 |
Also Published As
Publication number | Publication date |
---|---|
CN113609234B (zh) | 2023-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113609234A (zh) | 一种网络实体行为关联构建方法及*** | |
AU2019403265B2 (en) | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time | |
US11431738B2 (en) | Multistage analysis of emails to identify security threats | |
US11032312B2 (en) | Programmatic discovery, retrieval, and analysis of communications to identify abnormal communication activity | |
US10867034B2 (en) | Method for detecting a cyber attack | |
US20210329035A1 (en) | Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior | |
CN107172022B (zh) | 基于入侵途径的apt威胁检测方法和*** | |
CA2840992C (en) | Syntactical fingerprinting | |
CN109413109A (zh) | 基于有限状态机的面向天地一体化网络安全状态分析方法 | |
RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
WO2015149062A1 (en) | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment | |
US11470042B2 (en) | Discovering email account compromise through assessments of digital activities | |
CN105229597A (zh) | 分布式特征收集与关联引擎 | |
CN109962927B (zh) | 基于威胁情报的防攻击方法 | |
CN103067387B (zh) | 一种反钓鱼监测***和方法 | |
Vaarandi et al. | Using security logs for collecting and reporting technical security metrics | |
CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
Tazaki et al. | MATATABI: multi-layer threat analysis platform with Hadoop | |
CN114598499A (zh) | 结合业务应用的网络风险行为分析方法 | |
CN114301659A (zh) | 网络攻击预警方法、***、设备及存储介质 | |
CN114510710A (zh) | 一种基于xss与sql注入的蜜罐攻击事件识别***及方法 | |
CN110278213B (zh) | 一种网络安全日志关键信息提取方法及*** | |
CN112487419A (zh) | 一种计算机网络信息安全事件处理方法 | |
CN110855602B (zh) | 物联网云平台事件识别方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |