CN114422257A - 信息处理方法、装置、设备、介质 - Google Patents

信息处理方法、装置、设备、介质 Download PDF

Info

Publication number
CN114422257A
CN114422257A CN202210083610.7A CN202210083610A CN114422257A CN 114422257 A CN114422257 A CN 114422257A CN 202210083610 A CN202210083610 A CN 202210083610A CN 114422257 A CN114422257 A CN 114422257A
Authority
CN
China
Prior art keywords
information
attack
attacker
intelligence
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210083610.7A
Other languages
English (en)
Other versions
CN114422257B (zh
Inventor
王鹏
闫海林
蒋家堂
贾紫倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202210083610.7A priority Critical patent/CN114422257B/zh
Publication of CN114422257A publication Critical patent/CN114422257A/zh
Application granted granted Critical
Publication of CN114422257B publication Critical patent/CN114422257B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种信息处理方法、装置、设备、介质,可以应用于网络信息安全技术领域和金融技术领域。该信息处理方法包括:获取安全设备告警信息和情报信息,其中,情报信息包括来自威胁数据平台的情报信息;通过溯源分析安全设备告警信息,获取第一攻击信息,其中,第一攻击信息包括攻击路径信息和攻击者的虚拟身份标识信息;根据攻击路径信息和虚拟身份标识信息,通过对攻击者进行反制分析,获取第二攻击信息,其中,第二攻击信息包括攻击者的真实身份标识信息;根据第一攻击信息和第二攻击信息,构建攻击者画像;以及根据情报信息和攻击者画像信息,提取第三攻击信息,其中,第三攻击信息包括攻击战术信息。

Description

信息处理方法、装置、设备、介质
技术领域
本公开涉及网络信息安全技术领域,具体地涉及一种信息处理方法、装置、设备、介质和程序产品。
背景技术
在当前的网络环境下,随着网络攻击技术的发展,如何有效防御网络攻击,保障网络安全成为亟待解决的技术问题。
相关技术中,通过路由追踪技术、日志记录分析追踪技术、数据包标记追踪技术等能够对网络攻击者进行追踪,但是,当攻击者通过伪造IP、跳板、匿名网络等手段隐藏其身份时,仅采用上述追踪技术较难获取攻击者的真实身份信息,导致较难有效防御这些攻击者的网络攻击。若要进一步确认攻击者的真实身份信息,还需要基于其他证据信息进行人工判断,导致判断过程需要消耗大量的时间和人力,且判断速度较慢。
发明内容
鉴于上述问题,本公开提供了信息处理方法、装置、设备、介质和程序产品。
根据本公开的第一个方面,提供了一种信息处理方法,包括:
获取安全设备告警信息和情报信息,其中,情报信息包括来自威胁数据平台的情报信息;
通过溯源分析安全设备告警信息,获取第一攻击信息,其中,第一攻击信息包括攻击路径信息和攻击者的虚拟身份标识信息;
根据攻击路径信息和虚拟身份标识信息,通过对攻击者进行反制分析,获取第二攻击信息,其中,第二攻击信息包括攻击者的真实身份标识信息;
根据第一攻击信息和第二攻击信息,构建攻击者画像;以及
根据情报信息和攻击者画像信息,提取第三攻击信息,其中,第三攻击信息包括攻击战术信息。
根据本公开的实施例,通过溯源分析安全设备告警信息,获取第一攻击信息,包括:
从安全设备告警信息中提取攻击特征信息,其中,攻击特征信息包括:时空特征信息、内容特征信息和行为特征信息;
通过溯源分析不同安全设备告警信息的时空特征信息、内容特征信息和行为特征信息之间的关联关系,获取第一攻击信息。
根据本公开的实施例,通过溯源分析不同安全设备告警信息的时空特征信息、内容特征信息和行为特征信息之间的关联关系,获取第一攻击信息,包括:
将第一样本数据和第二样本数据输入关联溯源分析模型,计算第一关联相似度,其中,第一样本数据包括从第一安全设备告警信息中提取到的第一时空特征信息、第一内容特征信息和第一行为特征信息;第二样本数据包括从第二安全设备告警信息中提取到的第二时空特征信息、第二内容特征信息和第二行为特征信息;
在第一关联相似度超过第一预设阈值的情况下,根据第一样本数据和第二样本数据,确定第一攻击信息。
根据本公开的实施例,根据攻击路径信息和虚拟身份标识信息,通过对攻击者进行反制分析,获取第二攻击信息,包括:
根据攻击路径信息和虚拟身份标识信息,通过主动探测漏洞信息,获取攻击者的主机权限;
通过攻击者的主机权限,获取第二攻击信息。
根据本公开的实施例,根据攻击路径信息和攻击者虚拟身份标识信息,通过对攻击者进行反制分析,获取第二攻击信息,包括:
根据攻击路径信息和攻击者虚拟身份标识信息,构建仿真***;
通过攻击者攻击仿真***时触发的告警信息,获取第二攻击信息。
根据本公开的实施例,上述信息处理方法还包括:将第一攻击信息、第二攻击信息和第三攻击信息存储在攻击者数据库中。
根据本公开的实施例,上述信息处理方法,还包括:
根据情报信息提取第四攻击信息,其中,第四攻击信息包括攻击组织的身份标识信息、攻击组织的战术信息;
计算第四攻击信息与攻击者数据库中的第二攻击信息和/或第三攻击信息的第二关联相似度;
在第二关联相似度超过第二预设阈值的情况下,确定攻击者来自攻击组织。
本公开的第二方面提供了一种信息处理装置,包括:第一获取模块、第二获取模块、第三获取模块、构建模块和第一提取模块。其中,第一获取模块,用于获取安全设备告警信息和情报信息,其中,情报信息包括来自威胁数据平台的情报信息。第二获取模块,用于通过溯源分析安全设备告警信息,获取第一攻击信息,其中,第一攻击信息包括攻击路径信息和攻击者的虚拟身份标识信息。第三获取模块,用于根据攻击路径信息和虚拟身份标识信息,通过对攻击者进行反制分析,获取第二攻击信息,其中,第二攻击信息包括攻击者的真实身份标识信息。构建模块,用于根据第一攻击信息和第二攻击信息,构建攻击者画像。第一提取模块,用于根据情报信息和攻击者画像信息,提取第三攻击信息,其中,第三攻击信息包括攻击战术信息。
根据本公开的实施例,第二获取模块包括第一提取单元和第一获取单元。其中,第一提取单元,用于从安全设备告警信息中提取攻击特征信息,其中,攻击特征信息包括:时空特征信息、内容特征信息和行为特征信息。第一获取单元,用于通过溯源分析不同安全设备告警信息的时空特征信息、内容特征信息和行为特征信息之间的关联关系,获取第一攻击信息。
根据本公开的实施例,第一获取单元包括计算子单元和确定子单元,其中,计算子单元,用于将第一样本数据和第二样本数据输入关联溯源分析模型,计算第一关联相似度,其中,第一样本数据包括从第一安全设备告警信息中提取到的第一时空特征信息、第一内容特征信息和第一行为特征信息;第二样本数据包括从第二安全设备告警信息中提取到的第二时空特征信息、第二内容特征信息和第二行为特征信息。确定子单元,用于在第一关联相似度超过第一预设阈值的情况下,根据第一样本数据和第二样本数据,确定第一攻击信息。
根据本公开的实施例,第二获取模块包括第二获取单元和第三获取单元。其中,第二获取单元,用于根据攻击路径信息和虚拟身份标识信息,通过主动探测漏洞信息,获取攻击者的主机权限。第三获取单元,用于通过攻击者的主机权限,获取第二攻击信息。
根据本公开的实施例,第二获取模块包括构建单元和第四获取单元。其中,构建单元,用于根据攻击路径信息和攻击者虚拟身份标识信息,构建仿真***。第四获取单元,用于通过攻击者攻击仿真***时触发的告警信息,获取第二攻击信息。
根据本公开的实施例,上述信息处理装置还包括存储模块,用于将第一攻击信息、第二攻击信息和第三攻击信息存储在攻击者数据库中。
根据本公开的实施例,上述信息处理装置还包括第二提取模块、计算模块和确定模块。其中,第二提取模块,用于根据情报信息提取第四攻击信息,其中,第四攻击信息包括攻击组织的身份标识信息、攻击组织的战术信息。计算模块,用于计算第四攻击信息与攻击者数据库中的第二攻击信息和/或第三攻击信息的第二关联相似度。确定模块,用于在第二关联相似度超过第二预设阈值的情况下,确定攻击者来自攻击组织。
本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述信息处理方法。
本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述信息处理方法。
本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述信息处理方法。
根据本公开的实施例,通过对安全设备告警信息的溯源分析,可以获取攻击路径信息和攻击者的虚拟身份标识信息,根据攻击路径信息和虚拟身份标识信息,对攻击者进行反制分析,以获取攻击者的真实身份信息,通过溯源和反制分析方法的结合,还原攻击路径,可以获取经过身份伪装的攻击者的真实身份信息。再根据攻击者的真实身份信息和攻击路径信息构建攻击者画像,并从攻击者画像中提取战术信息,可以通过战术信息进一步验证攻击者的身份信息,提高网络防御的有效性和判断速度。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的信息处理方法、装置、设备、介质和程序产品的示例性应用***框架;
图2示意性示出了根据本公开实施例的信息处理方法的流程图;
图3示意性示出了根据本公开实施例的反制分析方法的流程图;
图4示意性示出了根据本公开的另一些实施例的反制分析方法的流程图;
图5示意性示出了根据本公开实施例的信息处理流程的逻辑框图;
图6示意性示出了根据本公开实施例的信息处理装置的结构框图;以及
图7示意性示出了根据本公开实施例的适于实现信息处理方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。
需要说明的是,本公开的信息处理方法和装置可用于金融领域和网络信息安全技术领域,也可用于除金融领域之外的任意领域,本公开的信息处理方法和装置的应用领域不做限定。
在本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
本公开的实施例提供了一种信息处理方法,根据本公开的实施例,通过对安全设备告警信息的溯源分析,可以获取攻击路径信息和攻击者的虚拟身份标识信息,根据攻击路径信息和虚拟身份标识信息,对攻击者进行反制分析,以获取攻击者的真实身份信息,通过溯源和反制分析方法的结合,还原攻击路径,可以获取经过身份伪装的攻击者的真实身份信息。再根据攻击者的真实身份信息和攻击路径信息构建攻击者画像,并从攻击者画像中提取战术信息,可以通过战术信息进一步验证攻击者的身份信息,提高网络防御的有效性和判断速度。
图1示意性示出了根据本公开实施例的信息处理方法、装置、设备、介质和程序产品的示例性应用***框架。
如图1所示,该示例性应用***框架100包括信息采集处理模块101、溯源分析模块102、反制模块103、画像构建模块104和信息提取模块105、存储模块106。
信息采集模块101可以包括内部信息采集单元101-1、外部信息采集单元101-2和数据整理单元101-3,内部信息采集单元101-1用于采集来自内部的安全设备的告警信息,外部信息采集单元101-2用于采集来自外部威胁数据平台的情报信息。安全设备的告警信息可以包括主机的告警信息、服务器的告警信息、恶意样本运行所产生的告警信息等等。情报信息可以包括来自公共的平台上公布的威胁数据情报信息。数据整理单元101-3可以将获取的安全设备的告警信息和情报信息转换为统一数据格式,可以利用利用Levenshtein距离和LSC距离黄金分割的计算方法计算信息的相似度,将采集到的信息分类整理。
溯源分析模块102与信息采集模块101通信连接,用于溯源分析安全设备告警信息,获取第一攻击信息。其中,溯源分析模块中可以包括时空特征提取单元102-1、行为特征提取单元102-2、内容特征提取单元102-3和关联溯源分析单元102-4。关联溯源分析单元102-4可以通过关联溯源模型计算信息的相似度,将相似度高的特征信息归为一类,以获取攻击路径信息和攻击者的虚拟身份标识信息。
反制模块103与溯源分析模块102通信连接,可以包括主动反制单元103-1和被动反制单元103-2。主动反制单元103-1可以利用溯源分析模块102获取到的攻击者的虚拟身份标识信息,通过端口扫描、漏洞扫描等手段,获取漏洞信息,进而获取攻击者的主机权限,以获取攻击者的真实身份标识信息。被动反制单元103-2可以向代码托管平台投递诱饵、伪造信息泄露假象等方式构建仿真***,利用攻击者对仿真***攻击时触发的告警信息,获取攻击者的真实身份信息。
画像构建模块104与溯源分析模块102和反制模块103通信连接,可以将从溯源分析模块102获取的攻击路径信息、攻击者的虚拟身份信息和从反制模块103获取的攻击者的真实身份的信息,可以构建时空关系画像、操作行为画像、异常访问对象画像等,也可以根据时空关系画像、操作行为画像、异常访问对象画像构建攻击者的综合画像。
信息提取模块105可以与信息采集模块101通信连接。同时信息提取模块105与画像构建模块104通信连接,从画像构建模块104获取到攻击者的综合画像,结合从外部信息采集单元101-2获取的情报信息,提取攻击战术信息,进一步验证攻击者的真实身份。
存储模块106可以与信息提取模块105通信连接,存储与攻击者相关联的信息,可以包括情报信息、溯源分析得到的攻击信息、反制分析得到的攻击信息等等。
以下将基于图1描述的场景,通过图2~图5对公开实施例的信息处理方法进行详细描述。
图2示意性示出了根据本公开实施例的信息处理方法的流程图。
如图2所示,该实施例的信息处理方法200包括操作S210~操作S250。
在操作S210,获取安全设备告警信息和情报信息,其中,情报信息包括来自威胁数据平台的情报信息。
根据本公开的实施例,安全设备告警信息可以包括来自于***内部的安全设备的告警信息、主机告警信息、服务器告警信息、恶意样本运行所导致的告警信息等等。情报信息可以包括来自于外部数据平台的公共威胁情报信息,例如:基于互联网的公开可获取的相关威胁情报,主要来自互联网已公开的情报源,及各种订阅的安全信息,漏洞信息等数据。公开的信息可以包含安全态势信息、安全事件信息各种网络安全预警信息、网络监控数据分析结果、IP地址信誉等,可通过网络爬虫进行采集。
在操作S220,通过溯源分析安全设备告警信息,获取第一攻击信息,其中,第一攻击信息包括攻击路径信息和攻击者的虚拟身份标识信息。
根据本公开的实施例,以服务器告警信息为例,可以通过服务器发生异常时的时间、发生频次以及攻击服务器的代码等信息,溯源分析得到攻击路径。例如:服务器A的告警信息发生在9:00,服务器B的告警信息发生在9:02,服务器C的告警信息发生在8:59,在每个服务器均告警一次的情况下,可以得到攻击路径为服务器C-服务器A-服务器B。可以沿着攻击路径溯源找到攻击者发起攻击的服务器的IP地址,以获取攻击者的虚拟身份标识信息。
在操作S230,根据攻击路径信息和虚拟身份标识信息,通过对攻击者进行反制分析,获取第二攻击信息,其中,第二攻击信息包括攻击者的真实身份标识信息。
根据本公开的实施例,可以通过虚拟身份标识信息,对攻击者进行反制,例如:虚拟身份标识信息可以是虚拟登录账号信息,对该虚拟登录账户可以进行主动探测,在探测到该虚拟登录账号信息的弱口令时,可以通过弱口令获取攻击者的主机权限,通过攻击者的主机可以获取攻击者的真实身份标识信息,例如:可以是社交账号信息。
在操作S240,根据第一攻击信息和第二攻击信息,构建攻击者画像。
根据本公开的实施例,例如:可以根据攻击路径信息还原攻击者的操作行为、操作习惯、作息时间等等,可以根据这些信息对攻击者进行时空关系画像以及操作行为画像。可以根据攻击者的虚拟身份标识信息和真实身份标识信息对攻击者进行异常访问对象画像。可以综合上述时空关系画像、操作行为画像、异常访问对象画像,构建攻击者的综合画像。
在操作S250,根据情报信息和攻击者画像信息,提取第三攻击信息,其中,第三攻击信息包括攻击战术信息。
根据本公开的实施例,例如:情报信息由于来自公共的网络情报员,可以通过情报信息提取一部分描述攻击者行为的特征信息,例如:攻击代码特征、攻击行为路径特征等等。结合攻击者的画像信息,可以提取攻击战术信息,例如:攻击过程特征信息、攻击技术特征信息等等。
根据本公开的实施例,通过对安全设备告警信息的溯源分析,可以获取攻击路径信息和攻击者的虚拟身份标识信息,根据攻击路径信息和虚拟身份标识信息,对攻击者进行反制分析,以获取攻击者的真实身份信息,通过溯源和反制分析方法的结合,还原攻击路径,可以获取经过身份伪装的攻击者的真实身份信息。再根据攻击者的真实身份信息和攻击路径信息构建攻击者画像,并从攻击者画像中提取战术信息,可以通过战术信息进一步验证攻击者的身份信息,提高网络防御的有效性和判断速度。
根据本公开的实施例,通过溯源分析安全设备告警信息,获取第一攻击信息,包括:
从安全设备告警信息中提取攻击特征信息,其中,攻击特征信息包括:时空特征信息、内容特征信息和行为特征信息;
通过溯源分析不同安全设备告警信息的时空特征信息、内容特征信息和行为特征信息之间的关联关系,获取第一攻击信息。
根据本公开的实施例,时空特征信息可以包括攻击者发起攻击的时间特征和地点特征。内容特征信息可以包括攻击目标特征、攻击目的特征、攻击时间特征、攻击代码特征、统一资源定位符特征、域名特征等等。行为特征信息可以包括文件操作行为特征、网络探测行为特征和进程操作行为特征。
根据本公开的实施例,可以通过分析时空特征信息、内容特征信息和行为特征信息之间的关联关系,获取第一攻击信息。例如:来自安全设备A的告警信息中提取到的时空特征信息可以包括攻击者发起攻击的地点在甲地A区,来自安全设备B的告警信息中提取到的时空特征信息可以包括攻击者发起攻击的地点在甲地A区,可以通过时空特征信息推测这两起攻击的源自同一攻击者A,可以通过安全设备A的告警信息和安全设备B的告警信息,获取攻击者A的虚拟身份标识信息,例如:可以是虚拟的IP地址。
根据本公开的实施例,通过多维度提取与攻击者身份存在关联性的时空特征信息、行为特征信息、内容特征信息,可以提高溯源分析的准确度。
根据本公开的实施例,通过溯源分析不同安全设备告警信息的时空特征信息、内容特征信息和行为特征信息之间的关联关系,获取第一攻击信息,包括:
将第一样本数据和第二样本数据输入关联溯源分析模型,计算第一关联相似度,其中,第一样本数据包括从第一安全设备告警信息中提取到的第一时空特征信息、第一内容特征信息和第一行为特征信息;第二样本数据包括从第二安全设备告警信息中提取到的第二时空特征信息、第二内容特征信息和第二行为特征信息;
在第一关联相似度超过第一预设阈值的情况下,根据第一样本数据和第二样本数据,确定第一攻击信息。
根据本公开的实施例,例如:可以将从一条安全设备告警信息中提取到的时空特征信息用“Ttl”来表示,“T”表示威胁情报,“t”表示攻击时间,“l”表示空间特征;将行为特征信息用“Ta”来表示,“a”表示行为特征;将内容特征信息用“Tc”来表示,“c”表示内容特征。将时空特征信息“Ttl”,行为特征信息“Ta”,内容特征信息用“Tc”输入关联溯源分析模型,计算不同安全设备告警信息的时空特征信息、行为特征信息、内容特征信息之间的第一关联相似度,第一关联相似度可以利用如式(一)所示的欧拉计算公式计算:
Figure BDA0003485254050000111
其中,dxy表示特征向量的距离,xk、yk均表示特征向量。
根据本公开的实施例,例如:从安全设备A的告警信息中提取到的第一样本数据可以为(Ttl1、Ta1、Tc1)。从安全设备B的告警信息中提取到的第二样本数据可以为(Ttl2、Ta2、Tc2)。如果计算得到的第一关联相似度大于第一预设阈值,则可以确定安全设备A的告警信息和安全设备B的告警信息是由于同一攻击者对安全设备A、安全设备B发起网络攻击产生的,可以安全设备A的告警信息和安全设备B的告警信息中的第一时空特征Ttl1、第一行为特征Ta1、第一内容特征Tc1和第二时空特征Ttl2、第二行为特征Ta2、第二内容特征Tc2,确定攻击路径信息和攻击者的虚拟身份信息。
根据本公开的实施例,通过关联溯源分析模型计算不同样本数据的第一关联相似度,将第一关联相似度高的样本数据归为同一攻击者,将归属于同一攻击者的样本数据进行溯源分析,确定攻击路径信息和攻击者的虚拟身份信息,可以实现自动根据攻击特征信息将属于同一攻击者的信息归类分析,有效解决了人工判断的耗时问题,提高判断的速度。
图3示意性示出了根据本公开实施例的反制分析方法的流程图。
如图3所示,该实施例的反制分析方法包括操作S310~S320。
在操作S310,根据攻击路径信息和虚拟身份标识信息,通过主动探测漏洞信息,获取攻击者的主机权限。
根据本公开的实施例,可以通过端口扫描、漏洞扫描等方式主动探测漏洞信息。漏洞信息可以是防火墙漏洞,也可以是弱口令,可以通过破解防火墙或弱口令获取攻击者的主机权限。
在操作S320,通过攻击者的主机权限,获取第二攻击信息。
根据本公开的实施例,通过攻击者的主机权限,可以获取例如攻击者真实IP、攻击者作息时间、攻击者常用工具等可以直接或间接确定攻击者真实身份的信息。
根据本公开的实施例,通过主动探测漏洞信息,获取攻击者的主机权限,进而获得攻击者的真实身份信息,可以解决攻击者通过伪造IP、跳板等方式隐藏其身份导致难以追踪的问题。
图4示意性示出了根据本公开另一些实施例的反制分析方法的流程图。
如图4所示,该实施例的反制分析方法包括操作S410~S420。
在操作S410,根据攻击路径信息和攻击者虚拟身份标识信息,构建仿真***。
根据本公开的实施例,例如:可以根据攻击者虚拟IP地址,向代码托管平台投递诱饵、伪造信息泄露假象,构建仿真***,例如:仿真***可以为办公OA***。
在操作S420,通过攻击者攻击仿真***时触发的告警信息,获取第二攻击信息。
根据本公开的实施例,由于仿真***一般不会有人访问,因此,当有人访问时,是可以确定为攻击行为的。通过攻击者攻击仿真***时触发的告警信息,获取第二攻击信息的方式可以为利用JSONP(JSON with Padding)协议跨域获取攻击者浏览器的缓存数据,进行得到攻击者的真实身份标识信息,例如社交账号信息。还可以诱导攻击者下载伪装好的远程控制木马,待攻击者下载执行木马程序之后,可控制攻击者的主机,以获取攻击者的真实身份标识信息。
根据本公开的实施例,通过构建仿真***的方式反制攻击者的攻击行为,以获取攻击者的真实身份标识信息,由于这种方式可以在攻击者发起攻击行为时直接获取攻击者的相关信息,使得通过获取的信息确定攻击者身份的准确度较高。
根据本公开的实施例,上述信息处理方法,还包括将第一攻击信息、第二攻击信息和第三攻击信息存储在攻击者数据库中。
根据本公开的实施例,可以将通过溯源分析、反制分析获取到的攻击路径信息、攻击者的虚拟身份标识信息以及攻击者的战术信息存储在攻击者数据库中,以用于在获取新的情报信息时,根据攻击者数据库中的信息,将情报信息与攻击者数据库中的信息进行匹配,以验证攻击者的真实身份。例如:在获取新的安全设备A的告警信息中,溯源分析得到的攻击者攻击路径信息与攻击者数据库中攻击者A的攻击路径信息的关联相似度较高,可以初步确定此次针对安全设备A的告警信息的网络攻击的攻击者可能是攻击者A。
根据本公开的实施例,将通过溯源分析和反制分析得到的与攻击者相关的信息存储在攻击者数据库中,以便于从攻击者数据库中查询和匹配相关的攻击路径信息、攻击战术信息,用于初步确定攻击者的身份信息。还可以通过不断增加攻击者数据库中针对同一个攻击者的信息,以提高确定攻击者身份的准确度。
根据本公开的实施例,上述信息处理方法还包括:
根据情报信息提取第四攻击信息,其中,第四攻击信息包括攻击组织的身份标识信息、攻击组织的战术信息;
计算第四攻击信息与攻击者数据库中的第二攻击信息和/或第三攻击信息的第二关联相似度;
在第二关联相似度超过第二预设阈值的情况下,确定攻击者来自攻击组织。
根据本公开的实施例,某一个攻击组织对于伪造的虚拟IP通常是在真实IP地址信息的基础上经过算法A得到的。因此来自于同一攻击组织的虚拟IP会存在一定的关联相似度。例如:从情报信息中提取的攻击组织的身份标识信息可以为虚拟地址信息IP1,从攻击者数据库中的攻击组织A的虚拟地址信息为IP2
根据本公开的实施例,可以利用Levenshtein距离和LSC(longest commonsubsequence)距离黄金分割的计算方法计算虚拟地址信息IP1和虚拟地址信息为IP2的关联相似度。例如:第二预设阈值为0.85,若计算得到的虚拟地址信息IP1和虚拟地址信息为IP2的关联相似度为0.7,则可以确定攻击者A不是来自于攻击组织A的。若计算得到的虚拟地址信息IP1和虚拟地址信息为IP2的关联相似度为0.9,则可以确定攻击者A是来自于攻击组织A的。
根据本公开的实施例,通过计算情报信息中提取攻击组织的攻击信息与攻击者数据库中存储的攻击者的攻击信息的关联相似度,可以确定攻击者与攻击组织之间的关系,以便于快速通过攻击者追踪到其所属的攻击组织,解决了相关技术中无法追踪攻击组织的问题。
图5示意性示出了根据本公开实施例的信息处理流程的逻辑框图。
如图5所示,该实施例的信息处理流程包括操作S510~S560。
在操作S510,获取安全设备告警信息和情报信息,其中,情报信息包括来自威胁数据平台的情报信息。
在操作S520,通过溯源分析安全设备告警信息,获取第一攻击信息,其中,第一攻击信息包括攻击路径信息和攻击者的虚拟身份标识信息。
在操作S530,根据攻击路径信息和虚拟身份标识信息,通过对攻击者进行反制分析,获取第二攻击信息,其中,第二攻击信息包括攻击者的真实身份标识信息。
在操作S540,确定第二攻击信息是否可以确定攻击者的真实身份,若是,则执行操作S550,若不是,则返回执行操作S520。
在操作S550,根据第一攻击信息和第二攻击信息,构建攻击者画像。
在操作S560,根据情报信息和攻击者画像信息,提取第三攻击信息,其中,第三攻击信息包括攻击战术信息,并将第一攻击信息、第二攻击信息和第三攻击信息均存储攻击者数据库中。
基于上述信息处理方法,本公开还提供了一种信息处理装置。以下将结合图6对该装置进行详细描述。
图6示意性示出了根据本公开实施例的信息处理装置的结构框图。
如图6所示,该实施例的信息处理装置600包括第一获取模块610、第二获取模块620、第三获取模块630、构建模块640和第一提取模块650。
第一获取模块610用于获取安全设备告警信息和情报信息,其中,情报信息包括来自威胁数据平台的情报信息。在一实施例中,第一获取模块610可以用于执行前文描述的操作S210,在此不再赘述。
第二获取模块620用于通过溯源分析安全设备告警信息,获取第一攻击信息,其中,第一攻击信息包括攻击路径信息和攻击者的虚拟身份标识信息。在一实施例中,第二获取模块620可以用于执行前文描述的操作S220,在此不再赘述。
第三获取模块630用于根据攻击路径信息和虚拟身份标识信息,通过对攻击者进行反制分析,获取第二攻击信息,其中,第二攻击信息包括攻击者的真实身份标识信息。在一实施例中,第三获取模块630可以用于执行前文描述的操作S230,在此不再赘述。
构建模块640用于根据第一攻击信息和第二攻击信息,构建攻击者画像。在一实施例中,构建模块640可以用于执行前文描述的操作S240,在此不再赘述。
第一提取模块650用于根据情报信息和攻击者画像信息,提取第三攻击信息,其中,第三攻击信息包括攻击战术信息。在一实施例中,第一提取模块650可以用于执行前文描述的操作S250,在此不再赘述。
根据本公开的实施例,第二获取模块包括第一提取单元和第一获取单元。其中,第一提取单元,用于从安全设备告警信息中提取攻击特征信息,其中,攻击特征信息包括:时空特征信息、内容特征信息和行为特征信息。第一获取单元,用于通过溯源分析不同安全设备告警信息的时空特征信息、内容特征信息和行为特征信息之间的关联关系,获取第一攻击信息。
根据本公开的实施例,第一获取单元包括计算子单元和确定子单元,其中,计算子单元,用于将第一样本数据和第二样本数据输入关联溯源分析模型,计算第一关联相似度,其中,第一样本数据包括从第一安全设备告警信息中提取到的第一时空特征信息、第一内容特征信息和第一行为特征信息;第二样本数据包括从第二安全设备告警信息中提取到的第二时空特征信息、第二内容特征信息和第二行为特征信息。确定子单元,用于在第一关联相似度超过第一预设阈值的情况下,根据第一样本数据和第二样本数据,确定第一攻击信息。
根据本公开的实施例,第二获取模块包括第二获取单元和第三获取单元。其中,第二获取单元,用于根据攻击路径信息和虚拟身份标识信息,通过主动探测漏洞信息,获取攻击者的主机权限。第三获取单元,用于通过攻击者的主机权限,获取第二攻击信息。
根据本公开的实施例,第二获取模块包括构建单元和第四获取单元。其中,构建单元,用于根据攻击路径信息和攻击者虚拟身份标识信息,构建仿真***。第四获取单元,用于通过攻击者攻击仿真***时触发的告警信息,获取第二攻击信息。
根据本公开的实施例,上述信息处理装置还包括存储模块,用于将第一攻击信息、第二攻击信息和第三攻击信息存储在攻击者数据库中。
根据本公开的实施例,上述信息处理装置还包括第二提取模块、计算模块和确定模块。其中,第二提取模块,用于根据情报信息提取第四攻击信息,其中,第四攻击信息包括攻击组织的身份标识信息、攻击组织的战术信息。计算模块,用于计算第四攻击信息与攻击者数据库中的第二攻击信息和/或第三攻击信息的第二关联相似度。确定模块,用于在第二关联相似度超过第二预设阈值的情况下,确定攻击者来自攻击组织。
根据本公开的实施例,第一获取模块610、第二获取模块620、第三获取模块630、构建模块640和第一提取模块650中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块610、第二获取模块620、第三获取模块630、构建模块640和第一提取模块650中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块610、第二获取模块620、第三获取模块630、构建模块640和第一提取模块650中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本公开实施例的适于实现信息处理方法的电子设备的方框图。
如图7所示,根据本公开实施例的电子设备700包括处理器701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 703中,存储有电子设备700操作所需的各种程序和数据。处理器701、ROM702以及RAM 703通过总线704彼此相连。处理器701通过执行ROM 702和/或RAM 703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 702和RAM 703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备700还可以包括输入/输出(I/O)接口705,输入/输出(I/O)接口705也连接至总线704。电子设备700还可以包括连接至I/O接口705的以下部件中的一项或多项:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/***中所包含的;也可以是单独存在,而未装配入该设备/装置/***中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 702和/或RAM 703和/或ROM 702和RAM 703以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机***中运行时,该程序代码用于使计算机***实现本公开实施例所提供的信息处理方法。
在该计算机程序被处理器701执行时执行本公开实施例的***/装置中限定的上述功能。根据本公开的实施例,上文描述的***、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分709被下载和安装,和/或从可拆卸介质711被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时,执行本公开实施例的***中限定的上述功能。根据本公开的实施例,上文描述的***、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序没计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。

Claims (11)

1.一种信息处理方法,包括:
获取安全设备告警信息和情报信息,其中,所述情报信息包括来自威胁数据平台的情报信息;
通过溯源分析所述安全设备告警信息,获取第一攻击信息,其中,所述第一攻击信息包括攻击路径信息和攻击者的虚拟身份标识信息;
根据所述攻击路径信息和所述虚拟身份标识信息,通过对所述攻击者进行反制分析,获取第二攻击信息,其中,所述第二攻击信息包括攻击者的真实身份标识信息;
根据所述第一攻击信息和所述第二攻击信息,构建攻击者画像;以及
根据所述情报信息和所述攻击者画像信息,提取第三攻击信息,其中,所述第三攻击信息包括攻击战术信息。
2.根据权利要求1所述的方法,其中,通过溯源分析所述安全设备告警信息,获取第一攻击信息,包括:
从所述安全设备告警信息中提取攻击特征信息,其中,所述攻击特征信息包括:时空特征信息、内容特征信息和行为特征信息;
通过溯源分析不同安全设备告警信息的所述时空特征信息、所述内容特征信息和所述行为特征信息之间的关联关系,获取所述第一攻击信息。
3.根据权利要求2所述的方法,其中,所述通过溯源分析不同安全设备告警信息的所述时空特征信息、所述内容特征信息和所述行为特征信息之间的关联关系,获取所述第一攻击信息,包括:
将第一样本数据和第二样本数据输入关联溯源分析模型,计算第一关联相似度,其中,所述第一样本数据包括从第一安全设备告警信息中提取到的第一时空特征信息、第一内容特征信息和第一行为特征信息;所述第二样本数据包括从第二安全设备告警信息中提取到的第二时空特征信息、第二内容特征信息和第二行为特征信息;
在第一关联相似度超过第一预设阈值的情况下,根据所述第一样本数据和所述第二样本数据,确定所述第一攻击信息。
4.根据权利要求1所述的方法,其中,所述根据所述攻击路径信息和所述虚拟身份标识信息,通过对所述攻击者进行反制分析,获取第二攻击信息,包括:
根据所述攻击路径信息和所述虚拟身份标识信息,通过主动探测漏洞信息,获取所述攻击者的主机权限;
通过所述攻击者的主机权限,获取所述第二攻击信息。
5.根据权利要求4所述的方法,其中,所述根据所述攻击路径信息和所述攻击者虚拟身份标识信息,通过对所述攻击者进行反制分析,获取第二攻击信息,包括:
根据所述攻击路径信息和所述攻击者虚拟身份标识信息,构建仿真***;
通过所述攻击者攻击所述仿真***时触发的告警信息,获取所述第二攻击信息。
6.根据权利要求1所述的方法,还包括:
将所述第一攻击信息、所述第二攻击信息和所述第三攻击信息存储在攻击者数据库中。
7.根据权利要求6所述的方法,还包括:
根据所述情报信息提取第四攻击信息,其中,所述第四攻击信息包括攻击组织的身份标识信息、攻击组织的战术信息;
计算所述第四攻击信息与所述攻击者数据库中的所述第二攻击信息和/或所述第三攻击信息的第二关联相似度;
在所述第二关联相似度超过第二预设阈值的情况下,确定所述攻击者来自所述攻击组织。
8.一种信息处理装置,包括:
第一获取模块,用于获取安全设备告警信息和情报信息,其中,所述情报信息包括来自威胁数据平台的情报信息;
第二获取模块,用于通过溯源分析所述安全设备告警信息,获取第一攻击信息,其中,所述第一攻击信息包括攻击路径信息和攻击者的虚拟身份标识信息;
第三获取模块,用于根据所述攻击路径信息和所述虚拟身份标识信息,通过对所述攻击者进行反制分析,获取第二攻击信息,其中,所述第二攻击信息包括攻击者的真实身份标识信息;
构建模块,用于根据所述第一攻击信息和所述第二攻击信息,构建攻击者画像;以及
第一提取模块,用于根据所述情报信息和所述攻击者画像信息,提取第三攻击信息,其中,所述第三攻击信息包括攻击战术信息。
9.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~7中任一项所述的方法。
11.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~7中任一项所述的方法。
CN202210083610.7A 2022-01-24 2022-01-24 信息处理方法、装置、设备、介质 Active CN114422257B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210083610.7A CN114422257B (zh) 2022-01-24 2022-01-24 信息处理方法、装置、设备、介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210083610.7A CN114422257B (zh) 2022-01-24 2022-01-24 信息处理方法、装置、设备、介质

Publications (2)

Publication Number Publication Date
CN114422257A true CN114422257A (zh) 2022-04-29
CN114422257B CN114422257B (zh) 2024-05-14

Family

ID=81278079

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210083610.7A Active CN114422257B (zh) 2022-01-24 2022-01-24 信息处理方法、装置、设备、介质

Country Status (1)

Country Link
CN (1) CN114422257B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115801431A (zh) * 2022-11-29 2023-03-14 国网山东省电力公司信息通信公司 一种威胁自动溯源方法、***、设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108540441A (zh) * 2018-02-07 2018-09-14 广州锦行网络科技有限公司 一种基于真实性虚拟网络的主动防御***及方法
CN111209570A (zh) * 2019-12-31 2020-05-29 杭州安恒信息技术股份有限公司 基于mitre att&ck创建安全闭环过程的方法
CN111490970A (zh) * 2020-02-19 2020-08-04 西安交大捷普网络科技有限公司 一种网络攻击的溯源分析方法
CN112738126A (zh) * 2021-01-07 2021-04-30 中国电子科技集团公司第十五研究所 基于威胁情报和att&ck的攻击溯源方法
CN113055386A (zh) * 2021-03-12 2021-06-29 哈尔滨安天科技集团股份有限公司 一种攻击组织的识别分析方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108540441A (zh) * 2018-02-07 2018-09-14 广州锦行网络科技有限公司 一种基于真实性虚拟网络的主动防御***及方法
CN111209570A (zh) * 2019-12-31 2020-05-29 杭州安恒信息技术股份有限公司 基于mitre att&ck创建安全闭环过程的方法
CN111490970A (zh) * 2020-02-19 2020-08-04 西安交大捷普网络科技有限公司 一种网络攻击的溯源分析方法
CN112738126A (zh) * 2021-01-07 2021-04-30 中国电子科技集团公司第十五研究所 基于威胁情报和att&ck的攻击溯源方法
CN113055386A (zh) * 2021-03-12 2021-06-29 哈尔滨安天科技集团股份有限公司 一种攻击组织的识别分析方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115801431A (zh) * 2022-11-29 2023-03-14 国网山东省电力公司信息通信公司 一种威胁自动溯源方法、***、设备及介质

Also Published As

Publication number Publication date
CN114422257B (zh) 2024-05-14

Similar Documents

Publication Publication Date Title
US11310268B2 (en) Systems and methods using computer vision and machine learning for detection of malicious actions
US20230231875A1 (en) Detecting and mitigating poison attacks using data provenance
US11165815B2 (en) Systems and methods for cyber security alert triage
Naway et al. A review on the use of deep learning in android malware detection
US11570211B1 (en) Detection of phishing attacks using similarity analysis
EP2828753B1 (en) Anomaly detection to identify coordinated group attacks in computer networks
US20150047026A1 (en) Anomaly detection to identify coordinated group attacks in computer networks
CN111581643B (zh) 渗透攻击评价方法和装置、以及电子设备和可读存储介质
US20210360017A1 (en) System and method of dynamic cyber risk assessment
CN106685899B (zh) 用于识别恶意访问的方法和设备
CN107612924A (zh) 基于无线网络入侵的攻击者定位方法及装置
Lakhno et al. Design of adaptive system of detection of cyber-attacks, based on the model of logical procedures and the coverage matrices of features
Thuraisingham Cyber security and artificial intelligence for cloud-based internet of transportation systems
CN107465702A (zh) 基于无线网络入侵的预警方法及装置
CN113190839A (zh) 一种基于SQL注入的web攻击防护方法及***
CN114357447A (zh) 攻击者威胁评分方法及相关装置
CN116260628A (zh) 一种基于蜜网主动溯源方法
Suryati et al. Impact analysis of malware based on call network API with heuristic detection method
CN114422257B (zh) 信息处理方法、装置、设备、介质
CN114169456A (zh) 基于5g终端安全的数据处理方法、装置、设备及介质
CN115208643A (zh) 一种基于web动态防御的追踪溯源方法及装置
CN107509200A (zh) 基于无线网络入侵的设备定位方法及装置
Ouaguid et al. Vulnerability Detection Approaches on Application Behaviors in Mobile Environment
CN107517226A (zh) 基于无线网络入侵的报警方法及装置
CN112989355A (zh) 一种漏洞威胁感知方法、装置、存储介质和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant