CN114301699A - 行为预测方法及装置、电子设备和计算机可读存储介质 - Google Patents
行为预测方法及装置、电子设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN114301699A CN114301699A CN202111651790.6A CN202111651790A CN114301699A CN 114301699 A CN114301699 A CN 114301699A CN 202111651790 A CN202111651790 A CN 202111651790A CN 114301699 A CN114301699 A CN 114301699A
- Authority
- CN
- China
- Prior art keywords
- attack
- behavior
- link
- predicted
- attack behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种行为预测方法及装置、电子设备和计算机可读存储介质,应用于网络安全技术领域,该方法包括:从网络信息中提取攻击威胁信息;根据所述攻击威胁信息,确定当前攻击行为链路;基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;将置信度最大的所述预测攻击行为确定为目标攻击行为。本发明的技术方案,利用APT攻击中难以更改自身的攻击路径的特征,在攻击路径这一层面上,基于预设链路模型来预测可能出现的攻击行为,能够有效提升APT攻击防护的有效性,保护网络安全。
Description
【技术领域】
本发明涉及网络安全技术领域,尤其涉及一种行为预测方法及装置、电子设备和计算机可读存储介质。
【背景技术】
随着网络攻击手段和渠道的多元化发展,APT攻击已经成为网络安全行业面临的主要威胁之一。近年来,APT攻击事件频发,给网络安全带来严重威胁。传统的网络安全防护手段本质上是一种被动防御机制,而目前具有高针对性、持续性、隐蔽性的APT攻击活动,已可规避现有的网络安全防护手段,导致防护手段失效。
因此,如何提升应对APT攻击的有效性,成为目前亟待解决的技术问题。
【发明内容】
本发明实施例提供了一种行为预测方法及装置、电子设备和计算机可读存储介质,旨在解决相关技术中针对APT攻击的防护措施有效性不足的技术问题。
第一方面,本发明实施例提供了一种行为预测方法,包括:从网络信息中提取攻击威胁信息;根据所述攻击威胁信息,确定当前攻击行为链路;基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;将置信度最大的所述预测攻击行为确定为目标攻击行为。
在本发明上述实施例中,可选地,所述根据所述攻击威胁信息,确定当前攻击行为链路的步骤,包括:按照预定的匹配规则,在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息,并以匹配结果生成为所述当前攻击行为链路。
在本发明上述实施例中,可选地,若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路,则将所述已知攻击行为链路确定为目标攻击行为链路,将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。
在本发明上述实施例中,可选地,所述根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度的步骤,包括:对于每个所述预测攻击行为,获取所述预测攻击行为在多个所述预定设备中发生的概率;对多个所述预定设备各自对应的概率加权求平均值,得到所述预测攻击行为的置信度。
在本发明上述实施例中,可选地,在所述基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为之前,还包括:基于攻击行为数据库,确定所述当前攻击行为链路的攻击意图;在多个类型的预设链路模型中选择与所述当前攻击行为链路的攻击意图类型相匹配的所述预设链路模型。
在本发明上述实施例中,可选地,所述预设链路模型的类型,包括:窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。
第二方面,本发明实施例提供了一种行为预测装置,包括:攻击威胁信息获取单元,用于从网络信息中提取攻击威胁信息;攻击行为链路确定单元,用于根据所述攻击威胁信息,确定当前攻击行为链路;预测攻击行为确定单元,用于基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;置信度计算单元,用于根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;目标攻击行为确定单元,用于将置信度最大的所述预测攻击行为确定为目标攻击行为。
在本发明上述实施例中,可选地,所述攻击行为链路确定单元用于:按照预定的匹配规则,在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息,并以匹配结果生成为所述当前攻击行为链路。
在本发明上述实施例中,可选地,所述预设链路模型中设置有多种已知攻击行为链路;所述预测攻击行为确定单元用于:若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路,则将所述已知攻击行为链路确定为目标攻击行为链路,将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。
在本发明上述实施例中,可选地,所述置信度计算单元用于:对于每个所述预测攻击行为,获取所述预测攻击行为在多个所述预定设备中发生的概率;对多个所述预定设备各自对应的概率加权求平均值,得到所述预测攻击行为的置信度。
在本发明上述实施例中,可选地,所述预测攻击行为确定单元用于:基于攻击行为数据库,确定所述当前攻击行为链路的攻击意图;在多个类型的预设链路模型中选择与所述当前攻击行为链路的攻击意图类型相匹配的所述预设链路模型。
在本发明上述实施例中,可选地,所述预设链路模型的类型,包括:窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。
第三方面,本发明实施例提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述第一方面中任一项所述的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述第一方面中任一项所述的方法流程。
以上技术方案,针对相关技术中针对APT攻击的防护措施有效性不足的技术问题,利用APT攻击中难以更改自身的攻击路径的特征,在攻击路径这一层面上,基于预设链路模型来预测可能出现的攻击行为,能够有效提升APT攻击防护的有效性,保护网络安全。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出了根据本发明的一个实施例的行为预测方法的流程图;
图2示出了根据本发明的一个实施例的行为预测装置的框图;
图3示出了根据本发明的一个实施例的电子设备的框图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
图1示出了根据本发明的一个实施例的行为预测方法的流程图。
如图1所示,根据本发明的一个实施例的行为预测方法的流程包括:
步骤102,从网络信息中提取攻击威胁信息。
其中,网络信息包括但不限于网络设备、网络安全设备、终端设备等各种设备产生的流量、日志等数据,可选地,网络信息包括已知APT攻击的分析报告,对这些数据进行自动化关联、拓线分析,可得到相应的攻击威胁信息。具体地,攻击威胁信息包括但不限于攻击组织、目标国家、目标行业/领域、影响平台、攻击手法、攻击装备、使用漏洞、攻击意图、IoC以及关联数据等。
步骤104,根据所述攻击威胁信息,确定当前攻击行为链路。
攻击威胁信息能够反映当前APT攻击的具体攻击过程,因此,基于攻击威胁信息可以还原出当前APT攻击的具体攻击过程,当前APT攻击的具体攻击过程包括APT攻击中的多个连续攻击行为,多个连续攻击行为即形成当前攻击行为链路。
具体地,按照预定的匹配规则,在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息,并以匹配结果生成为所述当前攻击行为链路。
其中,攻击行为数据库是基于ATT&CK框架构建,可随着ATT&CK框架的更新而更新。其中,攻击行为数据库存储有多种攻击战术信息,以及每种攻击战术信息下的攻击技术信息,而对于每种攻击技术信息,还对应设置有其下的多种子技术信息。进一步地,攻击行为数据库中针对任一子技术信息,都设置有对应的匹配规则。
因此,在得到本次APT攻击的攻击威胁信息后,可在攻击行为数据库中通过匹配规则确定攻击威胁信息与哪些攻击战术信息、攻击技术信息和子技术信息能够匹配,匹配到的攻击战术信息、攻击技术信息和子技术信息,即本次APT攻击所包括的攻击行为。
一般地,APT攻击包括多种连续攻击行为,则基于其攻击威胁信息,也就能还原出这多种连续攻击行为,即当前攻击行为链路。
如下表1所示,攻击行为数据库存储有大量已知的攻击行为,每种已知的攻击行为包括战术、攻击技术、攻击子技术以及针对所述攻击行为所产生的攻击威胁信息的匹配规则。
表1
步骤106,基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为。
在一种可能的设计中,所述预设链路模型中设置有多种已知攻击行为链路;所述基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为的步骤,包括:若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路,则将所述已知攻击行为链路确定为目标攻击行为链路,将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。
对此,可同样基于ATT&CK框架构建预设链路模型,并可随着ATT&CK框架的更新而更新预设链路模型。具体地,预设链路模型由多种已知的攻击行为链路组成,当确定当前攻击行为链路后,可将当前攻击行为链路内的各攻击行为与多种已知攻击行为链路内的攻击行为进行匹配,若当前攻击行为链路存在于任一已知攻击行为链路内,或者说,若当前攻击行为链路内的各攻击行为的顺序与任一已知攻击行为链路内的部分攻击行为一一对应,则说明本次APT攻击具有采用该已知攻击行为链路的可能,那么该已知攻击行为链路中,位于其当前攻击行为链路相匹配的部分链路后的首个攻击行为,即本次APT攻击中在当前攻击行为链路后可能发生的预测攻击行为。
在另一种可能的设计中,所述预设链路模型是基于输入样本和输出样本训练得到的,其中,所述输入样本为样本攻击行为的总链路,所述输出样本为所述样本攻击行为的总链路中的各攻击行为。
此时,即通过大数据训练的方式,以大量已知的样本攻击行为的总链路与样本攻击行为的总链路中的各个攻击行为为训练样本,生成预设链路模型,则该预设链路模型反映了攻击行为的总链路与链路中各个攻击行为的关联关系。因此,对于本次APT攻击,可将本次APT攻击的当前攻击行为链路输入预设链路模型,通过预设链路模型输出当前攻击行为链路后的攻击行为,作为预测攻击行为。
当然,无论采取哪种方式的预设链路模型,由于APT攻击的多样性和不确定性,最终所得的预测攻击行为往往为多个。比如,若当前攻击行为链路与多个已知攻击行为链路相匹配,则这多个已知攻击行为链路中位于当前攻击行为链路后的首个攻击行为均可被确定为预测攻击行为。
步骤108,根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度。
由于不同的网络设备具有不同的能力和属性,其对于APT攻击的应对能力也就各不相同,并且,APT攻击中各攻击行为因攻击意图、攻击目的不同,针对不同网络设备时采取的攻击行为以及采取攻击行为的概率也有所差异。
因此,对于每个所述预测攻击行为,获取所述预测攻击行为在多个所述预定设备中发生的概率;对多个所述预定设备各自对应的概率加权求平均值,得到所述预测攻击行为的置信度。换言之,单个预定设备中发生攻击行为的概率不能概括地反映该攻击行为在多种预定设备中发生的概率,故可将攻击行为在多个预定设备中发生的概率综合考量,生成置信度,该置信度反映了攻击行为在多种预定设备中发生的可能性。
步骤110,将置信度最大的所述预测攻击行为确定为目标攻击行为。
最终,将在多种预定设备中发生的可能性最高的预测攻击行为确定为目标攻击行为,作为最终的预测结果。
以上技术方案,由于APT攻击难以更改自身攻击路径,换言之,其攻击行为产生的攻击行为链路往往比较确定,因此,在攻击路径这一层面上,基于预设链路模型来预测可能出现的攻击行为,能够有效提升APT攻击防护的有效性,保护网络安全。
另外,需要补充的是,在基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为之前,还可以包括:基于攻击行为数据库,确定所述当前攻击行为链路的攻击意图;在多个类型的预设链路模型中选择与所述当前攻击行为链路的攻击意图类型相匹配的所述预设链路模型。具体来说,APT攻击组织在针对不同业务场景的攻击活动中,具有窃密、获利、破坏等不同的攻击意图类型。在不同的攻击意图类型下,相同攻击组织的攻击行为链路也会存在一定差异,而在相同的攻击意图下,不同攻击组织的攻击行为链路会具有一定的相似性。因此,将提取的攻击行为按照不同的攻击意图类型进行划分,形成攻击组织的窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。
由此,有针对性地为不同攻击意图的攻击行为提供了适应各自实际需求的预设链路模型,有助于针对攻击路径更为有效、准确地预测后续的攻击行为,提升了网络安全。
在本申请的一个实施例中,多源异构数据库自动化/人工采集公开的APT攻击行动/事件的分析报告等,攻击组织攻击行为预测分析平台接收多源异构数据库的数据。攻击行为预测分析服务器对采集的多源异构数据进行人工分析,基于ATT&CK提取特定攻击行动中的攻击路径,构建基于不同攻击意图下的预设链路模型,将攻击路径存储至攻击路径库中并进行持续更新。
攻击组织攻击行为预测分析平台接收客户侧设备的数据,包括网络设备、网络安全设备、终端设备产生的流量、日志数据,对流量、日志等数据进行自动化关联、拓线分析,发现威胁线索,并进行标签标记。将从客户侧发现的威胁线索与规则库进行匹配,评估攻击组织所采用的攻击战术,攻击技术甚至子技术。基于目标网络业务场景结合人工研判,将评估的攻击技战术映射到攻击路径库的相应预设链路模型中,融合计算不同设备数据对该攻击行为的可信度,预测攻击组织的攻击行为,将攻击行为预测结果返回客户侧设备,支撑快速阻断威胁进程。
规则库是基于ATT&CK框架构建的,通过匹配规则将威胁线索与ATT&CK框架的战术、技术、子技术进行匹配,评估威胁线索所处的攻击阶段。规则库会随着ATT&CK框架的更新而更新,基于ATT&CK框架构建的规则库,样例如下:
攻击行为预测分析服务器包含一个或多个处理器、持续性存储模块以及网络接口。处理器负责执行攻击行为预测分析服务器的各个模块的不同逻辑功能,通过网络接口与不同的外部数据库/数据进行交互。持续性存储模块负责对攻击行为预测分析服务器的各个逻辑组件进行持续性存储并持续进行更新。
网络接口支撑攻击行为预测分析服务器与不同的外部数据库/数据进行交互,包括多源异构数据库、基于ATT&CK的规则库、攻击路径库以及客户侧的设备。
持续性存储模块持续性存储不同的逻辑组件并对特定逻辑组件进行持续性更新,包括攻击路径提取逻辑、预设链路模型构建逻辑、关联拓线分析逻辑、威胁线索匹配逻辑、预设链路模型匹配逻辑、概率计算逻辑、融合分析逻辑、GUI逻辑、可配置逻辑、通知产生逻辑。
攻击路径提取逻辑是基于ATT&CK框架,人工提取多源异构数据库中APT攻击组织在特定攻击行动/事件中的攻击路径。攻击组织的攻击路径提取主要是获取攻击组织在特定攻击行动中的攻击步骤及特征数据,提取特定战术下的技术以及子技术。ATT&CK框架的攻击战术包括侦察、资源开发、初始访问、执行、持久化、提权、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出、影响,每个战术下包含不同的技术,每个技术下又包含不同的子技术。ATT&CK框架是基于真实的APT攻击事件构建的攻击组织技战术知识库,因此能够准确、规范化攻击组织的攻击路径。
将通过攻击路径提取逻辑提取的攻击路径存储至攻击路径库。值得注意的是,APT攻击组织在针对不同业务场景的攻击活动中,可能具有窃密、获利、破坏等不同的攻击意图。在不同的攻击意图下,相同攻击组织的攻击路径也会存在一定差异,而在相同的攻击意图下,不同攻击组织的攻击路径也会具有一定的相似性。因此,将提取的攻击路径按照不同的攻击意图进行划分,形成攻击组织的窃密型攻击路径库、获利型攻击路径库、破坏型攻击路径库。不同攻击路径库中包含相同/不同攻击组织在特定攻击行动中提取的攻击路径,形成了海量攻击路径组成的知识库。
预设链路模型构建逻辑是基于窃密型攻击路径库、获利型攻击路径库、破坏型攻击路径库分别构建窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。由于攻击路径库是基于ATT&CK框架提取的,因此预设链路模型本质上也是基于ATT&CK框架构建的。以构建窃密型预设链路模型为例,基于窃密型攻击路径库,对库中包含的相同/不同攻击组织的攻击路径进行融合分析,消除冗余的技战术,结合人工研判抽象出窃密型预设链路模型。窃密型预设链路模型覆盖了攻击组织在窃密型攻击活动中可能发生的所有攻击路径,涉及ATT&CK框架不同战术阶段的技术以及子技术。同样的方式,构建获利型预设链路模型和破坏型预设链路模型。需要注意的是,随着攻击路径库的不断更新,预设链路模型也需要不断进行优化。
攻击行为预测分析服务器从客户侧设备接收网络设备、网络安全设备、终端设备产生的日志、流量数据,经过关联拓线分析逻辑,结合内外部威胁情报对不同设备产生的威胁数据进行关联拓线分析,生成威胁线索,并对威胁线索进行标签化处理。
预设链路模型映射逻辑将从规则库匹配出的攻击技战术映射到预设链路模型的相应节点。基于客户侧业务场景结合人工研判选择映射的预设链路模型,简单来说,如果客户侧是政企类业务场景,且可能遭受窃密类型的APT攻击活动,则将匹配到的攻击技战术映射到窃密型预设链路模型。如果客户侧是金融类业务场景,且可能遭受获利类型的APT攻击活动,则将匹配到的攻击技战术映射到获利型预设链路模型。如果客户侧是工业控制类业务场景,且可能遭受破坏类型的APT攻击活动,则将匹配到的攻击技战术映射到破坏型预设链路模型。
由于不同网络设备、网络安全设备、终端等产生的日志、流量数据对映射到预设链路模型特定节点的概率是不同的,因此通过概率计算逻辑分别计算不同设备对映射到预设链路模型特定节点的行为可能发生的概率。通过融合分析逻辑将不同设备计算的特定攻击行为可能发生的概率进行融合计算,通过融合计算后的值预测攻击组织攻击行为,增强预测的准确性,防止误报。通过通知产生逻辑将预测的攻击组织攻击行为返回客户侧,结合人工研判,及时阻断网络环境中的潜伏的攻击行为。基于上述逻辑进行迭代分析,追溯攻击组织的完整攻击链路,支撑对威胁的全网排查。
综上,与传统的被动防御策略相比,不依赖于单一的威胁指标,而是基于海量攻击路径构建预设链路模型,主动发现目标网络环境中潜伏的安全威胁,在安全威胁造成更大的数据泄露或资产损害之前及时阻断威胁链路。本技术方案的劣势:建设攻击路径库需要海量的数据积累。
需要补充的是,在本申请中,多个攻击行为先后发生形成攻击链路,攻击链路即为APT攻击依附的攻击路径,在此基础上,在上述任一实施例的描述中,攻击链路与攻击路径可替换使用和表述。
图2示出了根据本发明的一个实施例的行为预测装置的框图。
如图2所示,根据本发明的一个实施例的行为预测装置200包括:攻击威胁信息获取单元202,用于从网络信息中提取攻击威胁信息;攻击行为链路确定单元204,用于根据所述攻击威胁信息,确定当前攻击行为链路;预测攻击行为确定单元206,用于基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;置信度计算单元208,用于根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;目标攻击行为确定单元210,用于将置信度最大的所述预测攻击行为确定为目标攻击行为。
在本发明上述实施例中,可选地,所述攻击行为链路确定单元204用于:按照预定的匹配规则,在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息,并以匹配结果生成为所述当前攻击行为链路。
在本发明上述实施例中,可选地,所述预设链路模型中设置有多种已知攻击行为链路;所述预测攻击行为确定单元206用于:若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路,则将所述已知攻击行为链路确定为目标攻击行为链路,将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。
在本发明上述实施例中,可选地,所述置信度计算单元208用于:对于每个所述预测攻击行为,获取所述预测攻击行为在多个所述预定设备中发生的概率;对多个所述预定设备各自对应的概率加权求平均值,得到所述预测攻击行为的置信度。
在本发明上述实施例中,可选地,所述预测攻击行为确定单元206用于:基于攻击行为数据库,确定所述当前攻击行为链路的攻击意图;在多个类型的预设链路模型中选择与所述当前攻击行为链路的攻击意图类型相匹配的所述预设链路模型。
在本发明上述实施例中,可选地,所述预设链路模型的类型,包括:窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。
图3示出了本发明的一个实施例的电子设备的框图。
如图3所示,本发明的一个实施例的电子设备300,包括至少一个存储器302;以及,与所述至少一个存储器302通信连接的处理器304;其中,所述存储器存储有可被所述至少一个处理器304执行的指令,所述指令被设置为用于执行上述任一实施例中所述的方案。因此,该电子设备300具有和上述任一实施例中相同的技术效果,在此不再赘述。
本发明实施例的电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子装置。
另外,本发明实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一实施例中所述的方法流程。
以上结合附图详细说明了本发明的技术方案,通过本发明的技术方案,利用APT攻击中难以更改自身的攻击路径的特征,在攻击路径这一层面上,基于预设链路模型来预测可能出现的攻击行为,能够有效提升APT攻击防护的有效性,保护网络安全。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
在本发明所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种行为预测方法,其特征在于,包括:
从网络信息中提取攻击威胁信息;
根据所述攻击威胁信息,确定当前攻击行为链路;
基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;
根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;
将置信度最大的所述预测攻击行为确定为目标攻击行为。
2.根据权利要求1所述的行为预测方法,其特征在于,所述根据所述攻击威胁信息,确定当前攻击行为链路的步骤,包括:
按照预定的匹配规则,在攻击行为数据库中为所述攻击威胁信息匹配对应的攻击战术信息、攻击技术信息和子技术信息,并以匹配结果生成所述当前攻击行为链路。
3.根据权利要求1所述的行为预测方法,其特征在于,所述预设链路模型中设置有多种已知攻击行为链路;
所述基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为的步骤,包括:
若所述当前攻击行为链路是所述已知攻击行为链路中的部分链路,则将所述已知攻击行为链路确定为目标攻击行为链路,将所述目标攻击行为链路中位于所述当前攻击行为链路后的首个攻击行为确定为预测攻击行为。
4.根据权利要求1至3中任一项所述的行为预测方法,其特征在于,所述根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度的步骤,包括:
对于每个所述预测攻击行为,获取所述预测攻击行为在多个所述预定设备中发生的概率;
对多个所述预定设备各自对应的概率加权求平均值,得到所述预测攻击行为的置信度。
5.根据权利要求2所述的行为预测方法,其特征在于,在所述基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为之前,还包括:
基于攻击行为数据库,确定所述当前攻击行为链路的攻击意图;
在多个类型的预设链路模型中选择与所述当前攻击行为链路的攻击意图类型相匹配的所述预设链路模型。
6.根据权利要求5所述的行为预测方法,其特征在于,所述预设链路模型的类型,包括:窃密型预设链路模型、获利型预设链路模型、破坏型预设链路模型。
7.一种行为预测装置,其特征在于,包括:
攻击威胁信息获取单元,用于从网络信息中提取攻击威胁信息;
攻击行为链路确定单元,用于根据所述攻击威胁信息,确定当前攻击行为链路;
预测攻击行为确定单元,用于基于预设链路模型,确定所述当前攻击行为链路后的多个预测攻击行为;
置信度计算单元,用于根据多个预定设备中发生每个所述预测攻击行为的概率,确定每个所述预测攻击行为的置信度;
目标攻击行为确定单元,用于将置信度最大的所述预测攻击行为确定为目标攻击行为。
8.一种电子设备,其特征在于,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述权利要求1至6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1至6中任一项所述的方法流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111651790.6A CN114301699A (zh) | 2021-12-30 | 2021-12-30 | 行为预测方法及装置、电子设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111651790.6A CN114301699A (zh) | 2021-12-30 | 2021-12-30 | 行为预测方法及装置、电子设备和计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114301699A true CN114301699A (zh) | 2022-04-08 |
Family
ID=80974091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111651790.6A Pending CN114301699A (zh) | 2021-12-30 | 2021-12-30 | 行为预测方法及装置、电子设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301699A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743502A (zh) * | 2023-08-11 | 2023-09-12 | 四川新立高科科技有限公司 | 电力***网络攻击检测方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160205122A1 (en) * | 2013-04-10 | 2016-07-14 | Gabriel Bassett | System and Method for Cyber Security Analysis and Human Behavior Prediction |
| CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
| CN112511561A (zh) * | 2020-12-21 | 2021-03-16 | 深信服科技股份有限公司 | 网络攻击路径确定方法、设备、存储介质及装置 |
| CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
| CN113742718A (zh) * | 2021-07-30 | 2021-12-03 | 国家工业信息安全发展研究中心 | 一种工业互联网设备攻击路径还原方法、相关设备及*** |
| CN113824676A (zh) * | 2020-11-13 | 2021-12-21 | 北京沃东天骏信息技术有限公司 | 针对漏洞的攻击链的确定方法及装置 |
-
2021
- 2021-12-30 CN CN202111651790.6A patent/CN114301699A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160205122A1 (en) * | 2013-04-10 | 2016-07-14 | Gabriel Bassett | System and Method for Cyber Security Analysis and Human Behavior Prediction |
| CN110417772A (zh) * | 2019-07-25 | 2019-11-05 | 浙江大华技术股份有限公司 | 攻击行为的分析方法及装置、存储介质、电子装置 |
| CN113824676A (zh) * | 2020-11-13 | 2021-12-21 | 北京沃东天骏信息技术有限公司 | 针对漏洞的攻击链的确定方法及装置 |
| CN112511561A (zh) * | 2020-12-21 | 2021-03-16 | 深信服科技股份有限公司 | 网络攻击路径确定方法、设备、存储介质及装置 |
| CN113486334A (zh) * | 2021-05-25 | 2021-10-08 | 新华三信息安全技术有限公司 | 网络攻击预测方法、装置、电子设备及存储介质 |
| CN113742718A (zh) * | 2021-07-30 | 2021-12-03 | 国家工业信息安全发展研究中心 | 一种工业互联网设备攻击路径还原方法、相关设备及*** |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743502A (zh) * | 2023-08-11 | 2023-09-12 | 四川新立高科科技有限公司 | 电力***网络攻击检测方法、装置、电子设备及存储介质 |
| CN116743502B (zh) * | 2023-08-11 | 2023-11-14 | 四川新立高科科技有限公司 | 电力***网络攻击检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109816397B (zh) | 一种欺诈判别方法、装置及存储介质 | |
| CN111914569B (zh) | 基于融合图谱的预测方法、装置、电子设备及存储介质 | |
| CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
| US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| CN113486334A (zh) | 网络攻击预测方法、装置、电子设备及存储介质 | |
| CN111401416A (zh) | 异常网站的识别方法、装置和异常对抗行为的识别方法 | |
| Chia et al. | Rethinking blockchain security: Position paper | |
| CN113973012B (zh) | 一种威胁检测方法、装置、电子设备及可读存储介质 | |
| EP4102772B1 (en) | Method and apparatus of processing security information, device and storage medium | |
| CN115329770A (zh) | 基于语义分析的威胁情报提取方法和*** | |
| CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| CN116112211A (zh) | 一种基于知识图谱的网络攻击链还原方法 | |
| CN114301699A (zh) | 行为预测方法及装置、电子设备和计算机可读存储介质 | |
| CN117240632B (zh) | 一种基于知识图谱的攻击检测方法和*** | |
| CN114297632A (zh) | 主机失陷检测方法、装置、电子设备及存储介质 | |
| CN116702159B (zh) | 一种主机防护方法、装置、计算机设备及存储介质 | |
| CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
| CN106651183B (zh) | 工控***的通信数据安全审计方法及装置 | |
| CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
| CN115567325B (zh) | 一种基于图匹配的威胁狩猎方法 | |
| RU2724783C1 (ru) | Система и способ отбора кандидатов для сравнения отпечатков устройств | |
| CN115935358A (zh) | 一种恶意软件识别方法、装置、电子设备及存储介质 | |
| CN114817928A (zh) | 网络空间数据融合分析方法、***、电子设备及存储介质 | |
| CN112651764B (zh) | 一种目标用户识别方法、装置、设备和存储介质 | |
| CN112434894A (zh) | 一种实时风险控制方法、计算机设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |