CN115225384A - 一种网络威胁度评估方法、装置、电子设备及存储介质 - Google Patents
一种网络威胁度评估方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115225384A CN115225384A CN202210855321.4A CN202210855321A CN115225384A CN 115225384 A CN115225384 A CN 115225384A CN 202210855321 A CN202210855321 A CN 202210855321A CN 115225384 A CN115225384 A CN 115225384A
- Authority
- CN
- China
- Prior art keywords
- control end
- network
- determining
- target control
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003860 storage Methods 0.000 title claims abstract description 10
- 238000011156 evaluation Methods 0.000 title abstract description 56
- 238000000034 method Methods 0.000 claims description 67
- 238000006116 polymerization reaction Methods 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 20
- 238000012216 screening Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 abstract description 21
- 230000008901 benefit Effects 0.000 abstract description 7
- 230000000875 corresponding effect Effects 0.000 description 61
- 230000008520 organization Effects 0.000 description 32
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000001514 detection method Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 7
- 238000009826 distribution Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000002085 persistent effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 239000002131 composite material Substances 0.000 description 3
- 230000006378 damage Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011002 quantification Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000013278 delphi method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 230000003631 expected effect Effects 0.000 description 1
- 238000000556 factor analysis Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011005 laboratory method Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000007500 overflow downdraw method Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011158 quantitative evaluation Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000000528 statistical test Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络威胁度评估方法、装置、电子设备及存储介质,首先获取可疑的目标控制端IP,并确定与目标控制端IP存在访问关系的各个目标受控端IP,进而获取目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征,基于各个网络流量特征和资产特征,确定目标控制端IP的网络威胁度。本申请提供了一种利用全网的网络流量特征和资产特征进行网络威胁度评估方法,相较于现有技术中基于样本单点分析的网络威胁度评估方法,从更全面的视角进行网络威胁度评估,使得评估得到的网络威胁度的准确性较好。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络威胁度评估方法、装置、电子设备及存储介质。
背景技术
APT(Advanced Persistent Threat),高级持续性威胁,是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
目前对于APT组织网络威胁度跟踪和评估,多是基于已发现的单点可疑攻击样本(例如邮件、文件载体等),并结合知识图谱、机器学习、逆向工程等技术进行特征筛选和描述;并基于阈值判定或者其它安全情报进行结合分析,来判定和识别APT的攻击风险。这种基于样本单点分析的方法有较强的局限性,使得评估得到的网络威胁度的准确性较差。
发明内容
本申请实施例提供了一种网络威胁度评估方法、装置、电子设备及存储介质,用以解决现有的基于样本单点分析的网络威胁度评估方法有较强的局限性,使得评估得到的网络威胁度的准确性较差的问题。
本申请提供了一种网络威胁度评估方法,所述方法包括:
获取可疑的目标控制端IP,确定与所述目标控制端IP存在访问关系的各个目标受控端IP;
分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征;
确定各个网络流量特征和资产特征分别对应的特征权重值,根据所述各个网络流量特征和资产特征,以及分别对应的特征权重值,确定所述目标控制端IP的网络威胁度。
进一步地,所述获取可疑的目标控制端IP包括:
获取输入的可疑的目标控制端IP;或
获取输入的可疑域名,通过域名***DNS查询所述可疑域名对应的受控端IP集合,根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP。
进一步地,所述根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP包括:
根据受控端IP集合的关联拓扑关系,确定各个候选控制端IP;
根据所述各个候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的所述可疑域名的可疑度,确定所述各个候选控制端IP的聚合度;
根据所述各个候选控制端IP的聚合度,获取可疑的目标控制端IP。
进一步地,所述分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征之后,确定各个网络流量特征和资产特征分别对应的特征权重值之前,所述方法还包括:
确定所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征的区分度和相关性,根据所述区分度和相关性对所述网络流量特征和资产特征进行筛选。
进一步地,所述确定各个网络流量特征和资产特征分别对应的特征权重值包括:
确定各个网络流量特征和资产特征分别对应的主观权重值及客观权重值;
根据所述各个网络流量特征和资产特征分别对应的主观权重值和客观权重值,确定所述各个网络流量特征和资产特征分别对应的特征权重值。
另一方面,本申请实施例提供了一种网络威胁度评估转置,所述转置包括:
第一确定模块,用于获取可疑的目标控制端IP,确定与所述目标控制端IP存在访问关系的各个目标受控端IP;
获取模块,用于分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征;
第二确定模块,用于确定各个网络流量特征和资产特征分别对应的特征权重值,根据所述各个网络流量特征和资产特征,以及分别对应的特征权重值,确定所述目标控制端IP的网络威胁度。
进一步地,所述第一确定模块,具体用于获取输入的可疑的目标控制端IP;或获取输入的可疑域名,通过域名***DNS查询所述可疑域名对应的受控端IP集合,根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP。
进一步地,所述第一确定模块,具体用于根据受控端IP集合的关联拓扑关系,确定各个候选控制端IP;根据所述各个候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的所述可疑域名的可疑度,确定所述各个候选控制端IP的聚合度;根据所述各个候选控制端IP的聚合度,获取可疑的目标控制端IP。
进一步地,所述转置还包括:
筛选模块,用于确定所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征的区分度和相关性,根据所述区分度和相关性对所述网络流量特征和资产特征进行筛选。
进一步地,所述第二确定模块,具体用于确定各个网络流量特征和资产特征分别对应的主观权重值及客观权重值;根据所述各个网络流量特征和资产特征分别对应的主观权重值和客观权重值,确定所述各个网络流量特征和资产特征分别对应的特征权重值。
另一方面,本申请实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一项所述的方法步骤。
另一方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本申请提供了一种网络威胁度评估方法、装置、电子设备及存储介质,所述方法包括:获取可疑的目标控制端IP,确定与所述目标控制端IP存在访问关系的各个目标受控端IP;分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征;确定各个网络流量特征和资产特征分别对应的特征权重值,根据所述各个网络流量特征和资产特征,以及分别对应的特征权重值,确定所述目标控制端IP的网络威胁度。
上述的技术方案具有如下优点或有益效果:
本申请首先获取可疑的目标控制端IP,并确定与目标控制端IP存在访问关系的各个目标受控端IP,进而获取目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征,基于各个网络流量特征和资产特征,确定目标控制端IP的网络威胁度。本申请提供了一种利用全网的网络流量特征和资产特征进行网络威胁度评估方法,相较于现有技术中基于样本单点分析的网络威胁度评估方法,从更全面的视角进行网络威胁度评估,使得评估得到的网络威胁度的准确性较好。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的网络威胁度评估过程示意图;
图2为本申请提供的特征示意图;
图3为本申请提供的另一网络威胁度评估过程示意图;
图4为本申请提供的网络威胁度评估***示意图;
图5为本申请提供的网络威胁度评估整体流程图;
图6为本申请提供的受控端关联拓扑示意图;
图7为本申请提供的网络威胁度评估装置结构示意图;
图8为本申请提供的电子设备结构示意图。
具体实施方式
下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
图1为本申请实施例提供的网络威胁度评估过程示意图,该过程包括以下步骤:
S101:获取可疑的目标控制端IP,确定与所述目标控制端IP存在访问关系的各个目标受控端IP。
S102:分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征。
S103:确定各个网络流量特征和资产特征分别对应的特征权重值,根据所述各个网络流量特征和资产特征,以及分别对应的特征权重值,确定所述目标控制端IP的网络威胁度。
本申请实施例提供的网络威胁度评估方法应用于电子设备,该电子设备可以是网关、PC、平板电脑、服务器等设备。
电子设备获取可疑的目标控制端IP,通过定向流量捕获的方式,获取与目标控制端IP相关的网络流量,根据网络流量确定出与目标控制端IP存在访问关系的各个目标受控端IP。
确定目标控制端IP和各个目标受控端IP之后,通过定向流量捕获的方式,从全网捕获与目标控制端IP和各个目标受控端IP相关的网络流量,根据网络流量提取出目标控制端IP及各个目标受控端IP各自的网络流量特征。具体的,根据网络流量提取出目标控制端IP及各个目标受控端IP各自的域名***DNS、传输控制协议TCP/网络之间互联协议IP五元组等。根据DNS、TCP/IP五元组等信息确定目标控制端IP的网络流量特征及各个目标受控端IP各自的网络流量特征。如图2所示,目标控制端IP的网络流量特征包括:目标受控端IP的数量、访问Flow流数量、传输包个数、流间隔时间、包间隔时间、目标控制端IP对应的聚合度等。各个目标受控端IP各自的网络流量特征包括:IP日访问流量、每用户访问频次、用户访问时长等。
通过目标资产探测的方式,利用各类自动进行IP资产探测的工具集,分别获取目标控制端IP及各个目标受控端IP各自的资产特征。如图2所示,目标控制端IP的资产特征包括:历史发起攻击数、可疑端口开放数、地理位置等。各个目标受控端IP各自的资产特征包括:地理位置、所属行业、行业重要度、历史被攻击数等。其中,不同行业的行业重要度可以预先设定。
电子设备确定各个网络流量特征和资产特征分别对应的特征权重值,其中,可以预先设定各个网络流量特征和资产特征分别对应的特征权重值。然后根据各个网络流量特征和资产特征,以及分别对应的特征权重值,进行线性加权计算,确定出目标控制端IP的网络威胁度。
本申请首先获取可疑的目标控制端IP,并确定与目标控制端IP存在访问关系的各个目标受控端IP,进而获取目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征,基于各个网络流量特征和资产特征,确定目标控制端IP的网络威胁度。本申请提供了一种利用全网的网络流量特征和资产特征进行网络威胁度评估方法,相较于现有技术中基于样本单点分析的网络威胁度评估方法,从更全面的视角进行网络威胁度评估,使得评估得到的网络威胁度的准确性较好。
本申请中,所述获取可疑的目标控制端IP包括:
获取输入的可疑的目标控制端IP;或
获取输入的可疑域名,通过域名***DNS查询所述可疑域名对应的受控端IP集合,根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP。
电子设备获取可疑的目标控制端IP可以包括以下两种方式:
方式一、直接由用户向电子设备输入可疑的目标控制端IP,电子设备根据用户输入的信息获取可疑的目标控制端IP。
方式二、由用户向电子设备输入可疑域名,电子设备根据用户输入的信息获取可疑域名之后,通过域名***DNS查询可疑域名对应的受控端IP集合。然后确定受控端IP集合的关联拓扑关系,根据关联拓扑关系确定出可疑的目标控制端IP。
其中,可以将受控端IP集合的关联拓扑关系所指向的控制端IP均确定为可疑的目标控制端IP,然后进行后续确定目标控制端IP的网络威胁度的过程。
较佳的,所述根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP包括:
根据受控端IP集合的关联拓扑关系,确定各个候选控制端IP;
根据所述各个候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的所述可疑域名的可疑度,确定所述各个候选控制端IP的聚合度;
根据所述各个候选控制端IP的聚合度,获取可疑的目标控制端IP。
本申请中,将受控端IP集合的关联拓扑关系所指向的控制端IP先确定为候选控制端IP,然后针对每个候选控制端IP,根据该候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的可疑域名的可疑度,确定该候选控制端IP的聚合度。其中,可以根据该候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的可疑域名的可疑度的乘积,确定该候选控制端IP的聚合度。确定该候选控制端IP对应的关联拓扑关系中的结构边数时,首先确定该候选控制端IP与受控端IP集合的第一结构边数,确定可疑域名与受控端IP集合的第二结构边数。可以将第一结构边数和第二结构边数中的任一项结构边数作为该候选控制端IP对应的关联拓扑关系中的结构边数。较佳的,可以将第一结构边数作为该候选控制端IP对应的关联拓扑关系中的结构边数。
其中,第一结构边数为该候选控制端IP与受控端IP集合的结构边数,第二结构边数为可疑域名与受控端IP集合的结构边数,第一结构边数是第二结构边数的子集。为了准确定位可疑的目标控制端IP,本申请中,考虑到有些主机可能连接了可疑域名,但并没有与受控端发生联系,即控制端无法控制受控端;或者假如控制端连接的受控端IP,但该受控端IP并未访问过可疑域名,均认为此时无法确认该控制端IP造成的实际影响,基于上述考虑,本申请将第一结构边数作为该候选控制端IP对应的关联拓扑关系中的结构边数,可以使得后续确定的各个候选控制端IP的聚合度更准确,进而使确定可疑的目标控制端IP更准确。
根据各个候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的可疑域名的可疑度,确定各个候选控制端IP的聚合度之后,根据各个候选控制端IP的聚合度,获取可疑的目标控制端IP。其中,可以预先设定聚合度阈值,将聚合度大于聚合度阈值的候选控制端IP确定为可疑的目标控制端IP;或者是按照各个候选控制端IP的聚合度按照从小到大的顺序或者按照从大到小的顺序进行排序,然后从大到小选取设定数量的候选控制端IP作为可疑的目标控制端IP。
确定各个目标控制端IP之后,针对每个目标控制端IP,分别获取该目标控制端IP及该目标控制端IP对应的各个目标受控端IP各自的网络流量特征和资产特征;确定各个网络流量特征和资产特征分别对应的特征权重值,根据各个网络流量特征和资产特征,以及分别对应的特征权重值,确定该目标控制端IP的网络威胁度。
大部分的网络攻击均采用DNS***作为攻击中介。采用可疑域名作为输入,初步判定访问该可疑域名的受控端IP已经失陷。进一步,通过观察这些失陷受控端IP发生过连接的控制端IP地址,如果这些分布在不同地域,不同场景的受控端IP均与相同的控制端IP地址发生过连接,则该控制端IP地址具备成为目标控制端的嫌疑,如果受控端IP连接该控制端IP的比例越大,则该控制端IP为目标控制端IP的概率也越大。因此聚合度越大,越认为是目标控制端IP。
本申请中,为了降低网络威胁度评估的计算量,并且不影响网络威胁度评估的准确性,所述分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征之后,确定各个网络流量特征和资产特征分别对应的特征权重值之前,所述方法还包括:
确定所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征的区分度和相关性,根据所述区分度和相关性对所述网络流量特征和资产特征进行筛选。
特征的区分度用于表征特征是否分布足够均匀,分布极端化的特征被认为在评价时无法发挥作用,例如在评估威胁度影响时,一般认为受控端IP的访问量是有差异的,有些网站访问量巨大,有些访问量相对小;但如果采集的数据中所有的网站访问量都很小,认为该特征在评估威胁度时无额外信息增益,没有区分度。
本申请中,将目标控制端IP与存在访问关系的一个目标受控端IP作为一个样本,这样若存在多个目标受控端IP则会存在多个样本。每个样本都包含目标控制端IP和目标受控端IP的网络流量特征和资产特征。在确定特征区分度时,针对每个待确定区分度的特征,获取每个样本中该特征的特征值,然后确定每个样本中该特征的特征值分布是否均匀,根据每个样本中该特征的特征值是否均匀确定该特征的区分度。例如,一般认为目标受控端IP的访问量是有差异的,有些网站访问量巨大,有些访问量相对小,如果采集的数据中所有的网站访问量都很小,认为该特征在评估威胁度时无额外信息增益,区分度较小,对该特征进行滤除。
相关性是指,一些特征之间表达的信息可能存在重复,在评价威胁度时仅需要选择其中一个特征即可,确定特征之间的相关性可以采用各类相关系数算法,例如皮尔逊相关系数算法来确定特征之间的相关性。
可选的,针对任意两个特征,获取每个样本中该任意两个特征的特征值,然后在二维统计图中对每个样本中该任意两个特征的特征值进行标点。通过二维统计图中标点可以判断该任意两个特征是否正相关或负相关。如果该任意两个特征正相关或负相关,则确定该任意两个特征相关性较高,滤除该任意两个特征中的其中一个特征。如果该任意两个特征不呈正相关,也不呈负相关,则该任意两个特征相关性较低,保留该任意两个特征。
本申请中,为了使确定各个网络流量特征和资产特征分别对应的特征权重值更准确,所述确定各个网络流量特征和资产特征分别对应的特征权重值包括:
确定各个网络流量特征和资产特征分别对应的主观权重值及客观权重值;
根据所述各个网络流量特征和资产特征分别对应的主观权重值和客观权重值,确定所述各个网络流量特征和资产特征分别对应的特征权重值。
其中,确定主观权重值的方法可采用但不限于:古林法、德尔菲法、层次分析法AHP、决策实验室法DEMATEL、环比评分、二项系数法;确定客观权重值的方法可采用但不限于:熵值法、均方差法、变异系数法、相关系数法、主成分分析、因子分析、灰色关联分析、CRITIC权重法;主客观权重值融合方法可采用但不限于:加法线性组合、非线性组合、权重向量集的优化组合、方案向量集的优化组合等。
以根据层次分析法AHP确定各个网络流量特征和资产特征分别对应的主观权重值为例进行说明。AHP为一种通用的决策时确定各因素影响权重的方法。AHP的基本思路是根据专家标注的各特征之间的相对重要偏序关系构建层次化模型,最后通过总体调整及检验给出最合理的特征影响系数,最后输出各特征对总目标的影响权重,得到各个特征分别对应的主观权重值 表示特征j的主观权重值。
以根据熵值法确定各个网络流量特征和资产特征分别对应的客观权重值为例进行说明。熵值法是一种客观方法,完全基于特征自身分布确定影响权重的一种方法。根据信息论基本理论,根据数据分布情况计算各个基础指标的信息熵,再结合指标熵值确定权重。首先确定特征的信息熵根据信息熵确定特征的客观权重值式中,i表示样本,n表示样本数量,j表示特征,m表示特征的数量,pij表示样本i特征j的概率,k表示归一化参数,ej表示特征j的信息熵,表示特征j的客观权重值。
确定出各个网络流量特征和资产特征分别对应的主观权重值和客观权重值之后,根据各个网络流量特征和资产特征分别对应的主观权重值和客观权重值,确定各个网络流量特征和资产特征分别对应的特征权重值。其中,可以预设主观权重值对应的权重参数k1,客观权重值对应的权重参数k2,特征权重值
本申请中,确定目标控制端IP的网络威胁度之后,通过肯德尔和谐系数对网络威胁度进行信效度检验。信效度包括信度和效度。信度表示多次网络威胁度评估的一致性,比如统一组织多次相似威胁程度的评估结果是否相互一致。效度表示最终评估得到的网络威胁度的有效性,是否能够真实反映实际的威胁程度,是否足够敏感和准确等。通过应用中多次计算,收集指标样本后,可以进行统计检验,观察评估得到的网络威胁度是否能够通过检验,具备信效度并真正可用;如果未通过需重新确定目标控制端IP的网络威胁度,包括重新确定与目标控制端IP存在访问关系的各个目标受控端IP,或者重新确定目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征,或者重新制定特征筛选规则等。
本申请提出一种网络威胁度评估方法,主要是通过综合利用基础网络运营商网络数据定向获取能力,并借助安全情报及资产主动探测能力,通过构建综合风险评估指标,实现针对包括APT组织在内的网络威胁度的量化表征,达到实时、全面的评估追踪APT组织安全威胁度的目标。具体的,本申请主要解决的问题包括:1、当前缺乏宏观追踪APT组织的方法,目前已知方法多是从攻击样本出发进行分析,通过样本特征综合研判确认某个APT组织的危害程度,并未从真实影响面和真实受害者视角进行有效评价,这就容易造成相对局部和片面的判断;因此,需要从更全面的视角评价APT组织的实际影响及风险。2、网络拓扑特征的有效引入APT评价:如何挖掘并充分利用APT组织在网络层面活动的特定行为和组织形式,通过发现异常结构并实现度量量化,能够更好的描述其造成的风险,提升判断的准确性。3、多特征的有效融合和验证:在充分采集并挖掘各类与APT影响有关的指标(网络侧、资产侧等)后,需要解决如何将各分项指标有效融合为宏观整体指标的问题。
图3为本申请提供的网络威胁度评估过程示意图,包括如下的步骤:
S201:利用输入或挖掘特定网络线索,通过全网数据定位和捕获APT组织控制端的IP地址等信息。
具体的,输入APT组织可疑域名,通过DNS***查询得到可疑域名对应的IP地址;通过可疑域名对应的IP地址,进行定向流量查询,得到最近时间周期内连接过该IP地址的所有独立受控端IP集合,这些受控端IP通常是疑似被攻击的受害者IP;进一步的,查询这些受控端IP最近时间周期内的连接过的IP集合,如果不同受控端的IP集合中存在连接IP交集,则此交集中的IP可能为疑似的APT组织控制端IP地址,利用这种连接拓扑特性及连接强度识别出目标控制端IP,目标控制端IP作为下一步进行影响评估的研究对象。可选的,可直接通过外部安全样本挖掘或其它手段等输入目标控制端IP,则无需如上识别步骤。
S202:通过已经得到的APT组织控制端IP,进一步采集其网络及资产特征,形成基础特征集。
具体的,确定目标控制端IP后,通过流量定向捕获模块,得到与该目标控制端IP连接过的所有受控端IP地址集合,作为下一步评估网络威胁度的所有目标受控端IP;从目标控制端IP视角,采集并统计这些目标控制端IP的网络侧特征,包括连接的受控IP数、Flow数等流量特征,各类间隔时间等时序模式,以及前述的拓扑聚合特征等;此外,可以采用外部威胁情报或主动目标资产探测的方式,引入资产类特征,包括但不限于历史攻击数、可疑端口、地理位置等特征。同样的,从目标受控端IP视角,统计网络侧包括访问流量,用户连接时长等特征及资产类特征,包括地理位置、行业、历史被攻击数等,此类特征从目标受控端IP角度描述其收到威胁后可能造成的影响及严重程度。
S203:基于控制端IP的网络及资产特征,进一步构建全局整体网络威胁度指标;可用于不同APT组织之间,或者同一APT组织不同时间点之间威胁度的量化表征。
具体的,得到目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征之后,对用于构建网络威胁度指标的特征进行筛选;通过观察单一基础指标内的数据分布特性(区分度),以及不同指标间的信息量冗余(相关性)来选择可用于最终威胁度指标计算采纳的基础特征。选定构建威胁度指标的基础特征后,进一步对指标进行预处理步骤,该步骤主要保证各指标类型一致化,即都转变为方向一致的表征,例如均为数值越大,风险度越高,及无量纲化即各指标均归一化为固定范围内数值或标度,比如0~1之间。通过主客观相结合的方法,确定每个特征在最终威胁度指标的影响权重。针对上述方法确定出的各基础特征权重,进行信息集结和组合,从而构建最终的特征权重值。通过各类理论检验,确定威胁度指标的一致性、信效度等,确认指标的稳定性、准确性;确认后可以作为真实生产***中的指标计算方式,投入到对于APT组织威胁的量化和评估中,并在使用过程中不断通过实践检验其应用效果,并指导后续进一步优化和迭代。
本申请提供了一种从全局视角描述和刻画APT组织网络威胁度的评估方法及装置。通过APT组织控制端线索(例如可疑域名),利用网络结构特征构建起控制端和受控端集合,通过流量定向捕获、主动资产探测、威胁情报等手段,构建起一套多源的、全局的指标及特征体系;并通过基础指标的筛选和组合,构建出对于APT组织整体网络威胁度和影响面的复合评估指标,通过该指标的持续计算和观测,我们能够从更全面的视角实时的、自动化感知并评估APT组织活跃程度及其持续性影响。
本申请相对现有技术具备的优点包括:1、利用全网数据,使用流量特征及网络结构特征,更准确的评价APT组织攻击的影响面及攻势变化,便于更好的洞察攻击态势和持续影响;2、提出了一整套对于APT组织影响的通用量化评估方法,能够量化比较不同APT组织在网络空间中的威胁程度;无需针对每一个APT组织样本进行一对一专门分析,大幅降低了分析和评估成本;3、可以自动化基于全网数据进行周期(小时级/天级等)评估,延时较小;对于危害和影响巨大的APT攻击便于快速干预和处理。
下面通过具体应用对本申请提供的网络威胁度评估方法进行说明。在实践过程中,此方法可以在多个场景下实施并运用,具体实施例如下列举:
1、APT组织活跃度及攻击舆情把控。
利用基础网络运营商的全网数据优势,挖掘APT攻击网络特性并进行指标量化,可以从更全面和时变的视角观测APT攻击全貌,具备很重要的实用和指导防范业务价值。
步骤一:接受到外部输入的几个APT组织的目标控制端IP地址,通过定向流量捕获,可以发现近一月之内与这些目标控制端IP地址发生过连接的网络五元组,定位到可能受到攻击的目标受控端IP,例如组织A发现关联目标受控端IP地址128个,组织B发现关联目标受控端IP地址53个。
步骤二:进一步统计目标控制端IP与这些目标受控端IP的网络连接特征,包括捕获到的flow数量,包数量、以及时间特征(流时间间隔、包时间间隔),从这些特征的数据特征来看(与常规流量相比),可以初步判断这些流量请求和通信方式存在较大的异常(比如流间隔呈现一定周期特征,包数不多等),需要进一步评价其影响。
步骤三:通过目标主动探测工具集及历史情报数据,可以进一步探测目标控制端及目标受控端与威胁相关的IP资产类特征。从目标控制端视角,发现组织A的目标控制端多位于美国,并且IP曾经被报道过属于某组织并曾经被情报捕获过3次;而组织B的目标控制端多位于东南亚地区,之前从未有过攻击报道等;从目标受控端视角,发现组织A的目标对象多为位于北京、广东等政府部门网站,这些网站重要度高,且覆盖人群范围大,日访问流量较大;而组织B目标为各地金融类企业网站,行业重要度较高,历史被攻击次数较多等。
步骤四:综合上述特征,经过特征筛选(比如去掉在威胁度判断上无关的特征,例如IP协议类型),一致化(采用数学处理方法,保证各特征表达风险方向一致,比如均为数值越大是风险越高),无量纲化(将各基础指标特征均转换为0-1之间的数据,防止后续模型造成“大数吃小数”现象),定权(通过专家知识和数据客观分布等特征综合判定每个基础指标在风险判断上的重要性权重),综合评价(对各基础指标特征及权重进行集结,形成最终复合指标)。需要说明的是,当累积较多APT攻击实例后,可以预先构建实施步骤四所述的建模过程,在实际评价APT组织网络威胁度时直接运用该模型计算最终风险度得分。
步骤五:通过步骤四的统一评价模型,得到APT组织A和B的网络威胁度,例如A的网络威胁度A-score为5.8,B的网络威胁度B-score为3.2。综合判断组织A当前风险更大,需要更高级别的安全处置。此外,通过大量此类Case的追踪,我们可以进一步验证步骤四中模型的稳定性和准确性(信效度),进一步通过实践检验该网络威胁度的准确性。
2、度量攻防专项措施的有效性。
APT组织隐蔽性强,攻击手段多样化,且周期较长,尽管采取过很多临时措施,但是对于措施的后续有效性度量,一直是难以解决的一个问题,采用本专利技术方案,观测各项措施实施前后的时序评估结论,本申请能够更好的评价各项措施在APT攻击防控中的效果,从而更好的部署,降低布防成本,做到可见、可控、可反馈。
针对高风险APT组织A,采取一些有效的措施(比如尝试封禁几个主控IP/封禁DNS域名等),需要观察其策略实施效果的评估。
步骤一~步骤五与上一个实施例相似,此处不再赘述。
步骤六:分别计算采取措施前/后的多天数据(比如前7天,后7天等),分别计算组织的网络威胁度,并通过假设检验的方法(如ttest),对比前七天与后七天网络威胁度的变化是否显著,如显著,则初步判断该措施取得了预期的成效。
步骤七:应用维度下钻等分析手法,判断是哪个主要基础指标的变化导致了风险的下降,例如发现是由于封禁DNS导致受控IP数量下降,还是由于被攻击政府类网站的访问量剧降,因问题而异,需要进一步确认下一步的防范措施,协同各方应对安全威胁。
步骤八:通过较长时间的验证,可以在基础网络运营商内部累积应对方案经验知识库,针对不同的复杂情况,制定一整套行之有效的行动预案等。
3、快速高效的智能安全运维。
由于本申请可以针对任意控制端和受控端群体进行度量和描述,对于重点行业例如政府、金融等的情况可以做到主动攻击情况探测和反馈,由于整体实施成本不高,采用例行大数据计算开发即可实现;且随着样本数量增多,具备自学习和自完善的特性,不断提升评估的准确性和有效性。保证运维工作更加智能和高效。
在一些场景下,若并未提前掌握到APT组织的信息,需要从网络侧或情报侧挖掘线索,组织成网络安全风险视图,例行评估安全风险度,防患于未然。
步骤一:通过基础网络运营商的网络侧数据,例如DNS数据中,发现当天一些异常域名突然出现,且查询量飙升,怀疑存在安全事件和隐患;进一步的,定向捕获与这些域名连接过的IP地址(此处命名为一跳地址),再以一跳IP为中心,捕获与这些一跳IP地址发生过联系的IP地址(此处命名为二跳地址)。
步骤二:进一步分析不同一跳地址是否连接过相同的二跳地址,如果多个一跳地址指向相同二跳地址,则可以初步判定该二跳地址具有很大的嫌疑,正在发起某一类安全攻击事件。
步骤三~七与上述步骤一~五类似,此处不再赘述。
本申请采用基础网络运营商网络侧定向流量捕获能力,相比之前基于单独攻击样本的分析和评估而言,可以从主控和被控视角更加全面、准确的刻画APT组织的活动范围、危害程度,以及攻击趋势;对于网络流量特征及拓扑结构(连接关系),进行主控端识别的技术,能够有效定位到隐藏在多台被控后的主控设备;技术要点3:综合网络侧指标,以及采用主动探测模块,或威胁情报得到的IP资产信息指标,并将其纳入一整套APT风险评估框架;并最终通过风险指标度——这一复合指标进行APT整体风险的评价属业内首创;该指标通用型好,可用于描述不同APT组织间,以及单一APT组织随时间变化的趋势变化,对于APT组织攻击的防范和措施评价,具备很强的实用价值。
图4为本申请提供的网络威胁度评估***示意图,包括定向流量捕获模块、目标资产探测模块和APT组织威胁度分析评估模块,定向流量捕获模块用于捕获网络流量,提取网络流量特征并发送至APT组织威胁度分析评估模块,目标资产探测模块用于探测重点行业客户库和APT攻击威胁库中的资产特征并发送至APT组织威胁度分析评估模块,APT组织威胁度分析评估模块根据网络流量特征和资产特征进行网络威胁度的评估。
图5为本申请提供的网络威胁度评估整体流程图,如图5所示,输入可疑APT域名,DNS***查询IP,利用DNSIP捕获可疑受控端IP集合,利用受控端关联拓扑性质定位控制端IP;或者直接输入可疑APT组织控制端IP。捕获控制-受控IP对流量,找全受控IP集。统计控制端和受控端连接网络流量特征,控制/受控资产采集及探测,抽取控制/受控IP资产类特征,威胁度分析评估计算,影响面指标及风险评估。
图6为本申请提供的受控端关联拓扑示意图,图6仅为示意,可疑域名分别连接一跳IP1、一跳IP2和一跳IP3,一跳IP1、一跳IP2和一跳IP3共同连接疑似主控IP。
图7为本申请提供的网络威胁度评估装置结构示意图,包括:
第一确定模块71,用于获取可疑的目标控制端IP,确定与所述目标控制端IP存在访问关系的各个目标受控端IP;
获取模块72,用于分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征;
第二确定模块73,用于确定各个网络流量特征和资产特征分别对应的特征权重值,根据所述各个网络流量特征和资产特征,以及分别对应的特征权重值,确定所述目标控制端IP的网络威胁度。
所述第一确定模块71,具体用于获取输入的可疑的目标控制端IP;或获取输入的可疑域名,通过域名***DNS查询所述可疑域名对应的受控端IP集合,根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP。
所述第一确定模块71,具体用于根据受控端IP集合的关联拓扑关系,确定各个候选控制端IP;根据所述各个候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的所述可疑域名的可疑度,确定所述各个候选控制端IP的聚合度;根据所述各个候选控制端IP的聚合度,获取可疑的目标控制端IP。
所述转置还包括:
筛选模块74,用于确定所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征的区分度和相关性,根据所述区分度和相关性对所述网络流量特征和资产特征进行筛选。
所述第二确定模块73,具体用于确定各个网络流量特征和资产特征分别对应的主观权重值及客观权重值;根据所述各个网络流量特征和资产特征分别对应的主观权重值和客观权重值,确定所述各个网络流量特征和资产特征分别对应的特征权重值。
本申请还提供了一种电子设备,如图8所示,包括:处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信;
所述存储器803中存储有计算机程序,当所述程序被所述处理器801执行时,使得所述处理器801执行以上任一方法步骤。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口802用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
本申请还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现以上任一方法步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种网络威胁度评估方法,其特征在于,所述方法包括:
获取可疑的目标控制端IP,确定与所述目标控制端IP存在访问关系的各个目标受控端IP;
分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征;
确定各个网络流量特征和资产特征分别对应的特征权重值,根据所述各个网络流量特征和资产特征,以及分别对应的特征权重值,确定所述目标控制端IP的网络威胁度。
2.如权利要求1所述的方法,其特征在于,所述获取可疑的目标控制端IP包括:
获取输入的可疑的目标控制端IP;或
获取输入的可疑域名,通过域名***DNS查询所述可疑域名对应的受控端IP集合,根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP。
3.如权利要求2所述的方法,其特征在于,所述根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP包括:
根据受控端IP集合的关联拓扑关系,确定各个候选控制端IP;
根据所述各个候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的所述可疑域名的可疑度,确定所述各个候选控制端IP的聚合度;
根据所述各个候选控制端IP的聚合度,获取可疑的目标控制端IP。
4.如权利要求1所述的方法,其特征在于,所述分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征之后,确定各个网络流量特征和资产特征分别对应的特征权重值之前,所述方法还包括:
确定所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征的区分度和相关性,根据所述区分度和相关性对所述网络流量特征和资产特征进行筛选。
5.如权利要求1所述的方法,其特征在于,所述确定各个网络流量特征和资产特征分别对应的特征权重值包括:
确定各个网络流量特征和资产特征分别对应的主观权重值及客观权重值;
根据所述各个网络流量特征和资产特征分别对应的主观权重值和客观权重值,确定所述各个网络流量特征和资产特征分别对应的特征权重值。
6.一种网络威胁度评估转置,其特征在于,所述转置包括:
第一确定模块,用于获取可疑的目标控制端IP,确定与所述目标控制端IP存在访问关系的各个目标受控端IP;
获取模块,用于分别获取所述目标控制端IP及各个目标受控端IP各自的网络流量特征和资产特征;
第二确定模块,用于确定各个网络流量特征和资产特征分别对应的特征权重值,根据所述各个网络流量特征和资产特征,以及分别对应的特征权重值,确定所述目标控制端IP的网络威胁度。
7.如权利要求6所述的转置,其特征在于,所述第一确定模块,具体用于获取输入的可疑的目标控制端IP;或获取输入的可疑域名,通过域名***DNS查询所述可疑域名对应的受控端IP集合,根据受控端IP集合的关联拓扑关系,获取可疑的目标控制端IP。
8.如权利要求7所述的转置,其特征在于,所述第一确定模块,具体用于根据受控端IP集合的关联拓扑关系,确定各个候选控制端IP;根据所述各个候选控制端IP对应的关联拓扑关系中的结构边数和预先保存的所述可疑域名的可疑度,确定所述各个候选控制端IP的聚合度;根据所述各个候选控制端IP的聚合度,获取可疑的目标控制端IP。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-5任一项所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210855321.4A CN115225384B (zh) | 2022-07-19 | 2022-07-19 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210855321.4A CN115225384B (zh) | 2022-07-19 | 2022-07-19 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115225384A true CN115225384A (zh) | 2022-10-21 |
CN115225384B CN115225384B (zh) | 2024-01-23 |
Family
ID=83613658
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210855321.4A Active CN115225384B (zh) | 2022-07-19 | 2022-07-19 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115225384B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116112287A (zh) * | 2023-04-07 | 2023-05-12 | 国家计算机网络与信息安全管理中心 | 基于时空关联的网络攻击组织追踪方法与装置 |
CN116723059A (zh) * | 2023-08-10 | 2023-09-08 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析*** |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140068763A1 (en) * | 2012-08-31 | 2014-03-06 | Damballa, Inc. | Data mining to identify malicious activity |
US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
EP3343867A1 (en) * | 2016-12-30 | 2018-07-04 | Lookingglass Cyber Solutions, Inc. | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset |
CN109413088A (zh) * | 2018-11-19 | 2019-03-01 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略分解方法及*** |
CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别*** |
CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和*** |
CN112184091A (zh) * | 2020-12-01 | 2021-01-05 | 杭州木链物联网科技有限公司 | 工控***安全威胁评估方法、装置和*** |
US20210099476A1 (en) * | 2019-09-27 | 2021-04-01 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
CN113408948A (zh) * | 2021-07-15 | 2021-09-17 | 恒安嘉新(北京)科技股份公司 | 一种网络资产管理方法、装置、设备和介质 |
CN113691566A (zh) * | 2021-10-26 | 2021-11-23 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
CN114006726A (zh) * | 2021-09-27 | 2022-02-01 | 中债金科信息技术有限公司 | 基于关联图的异常分析方法及装置 |
CN114615016A (zh) * | 2022-02-09 | 2022-06-10 | 广东能源集团科学技术研究院有限公司 | 一种企业网络安全评估方法、装置、移动终端及存储介质 |
CN114640508A (zh) * | 2022-02-28 | 2022-06-17 | 天翼安全科技有限公司 | 网络反欺诈的方法及装置 |
-
2022
- 2022-07-19 CN CN202210855321.4A patent/CN115225384B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140068763A1 (en) * | 2012-08-31 | 2014-03-06 | Damballa, Inc. | Data mining to identify malicious activity |
US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
EP3343867A1 (en) * | 2016-12-30 | 2018-07-04 | Lookingglass Cyber Solutions, Inc. | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset |
CN109413088A (zh) * | 2018-11-19 | 2019-03-01 | 中国科学院信息工程研究所 | 一种网络中的威胁处置策略分解方法及*** |
CN109660557A (zh) * | 2019-01-16 | 2019-04-19 | 光通天下网络科技股份有限公司 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
US20210099476A1 (en) * | 2019-09-27 | 2021-04-01 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别*** |
CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和*** |
CN112184091A (zh) * | 2020-12-01 | 2021-01-05 | 杭州木链物联网科技有限公司 | 工控***安全威胁评估方法、装置和*** |
CN113408948A (zh) * | 2021-07-15 | 2021-09-17 | 恒安嘉新(北京)科技股份公司 | 一种网络资产管理方法、装置、设备和介质 |
CN114006726A (zh) * | 2021-09-27 | 2022-02-01 | 中债金科信息技术有限公司 | 基于关联图的异常分析方法及装置 |
CN113691566A (zh) * | 2021-10-26 | 2021-11-23 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
CN114615016A (zh) * | 2022-02-09 | 2022-06-10 | 广东能源集团科学技术研究院有限公司 | 一种企业网络安全评估方法、装置、移动终端及存储介质 |
CN114640508A (zh) * | 2022-02-28 | 2022-06-17 | 天翼安全科技有限公司 | 网络反欺诈的方法及装置 |
Non-Patent Citations (3)
Title |
---|
何伟;谭曙光;陈平;: "一种基于STRIDE威胁模型的风险评估方法", 信息安全与通信保密, no. 10 * |
刘世文;司成;张红旗;: "一种细粒度的网络威胁态势评估方法", 计算机工程与应用, no. 10 * |
常帅;孙一品;王勇军;宋洪涛;: "网络攻击源威胁行为评估方法研究", 小型微型计算机***, no. 01 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116112287A (zh) * | 2023-04-07 | 2023-05-12 | 国家计算机网络与信息安全管理中心 | 基于时空关联的网络攻击组织追踪方法与装置 |
CN116723059A (zh) * | 2023-08-10 | 2023-09-08 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析*** |
CN116723059B (zh) * | 2023-08-10 | 2023-10-20 | 湖南润科通信科技有限公司 | 一种针对网络信息的安全分析*** |
Also Published As
Publication number | Publication date |
---|---|
CN115225384B (zh) | 2024-01-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其*** | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
CN115225384A (zh) | 一种网络威胁度评估方法、装置、电子设备及存储介质 | |
CN113542279B (zh) | 一种网络安全风险评估方法、***及装置 | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
Li et al. | [Retracted] Intelligent Intrusion Detection Method of Industrial Internet of Things Based on CNN‐BiLSTM | |
Nadiammai et al. | A comprehensive analysis and study in intrusion detection system using data mining techniques | |
CN115795330A (zh) | 一种基于ai算法的医疗信息异常检测方法及*** | |
CN116996286A (zh) | 一种基于大数据分析的网络攻击和安全漏洞治理框架平台 | |
CN117478433B (zh) | 一种网络与信息安全动态预警*** | |
He et al. | [Retracted] Research on DoS Traffic Detection Model Based on Random Forest and Multilayer Perceptron | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
CN116827697B (zh) | 网络攻击事件的推送方法、电子设备及存储介质 | |
Simmons et al. | ADAPT: a game inspired attack-defense and performance metric taxonomy | |
CN117478358A (zh) | 一种决策推荐方法及装置 | |
CN116405306A (zh) | 一种基于异常流量识别的信息拦截方法及*** | |
Rastogi et al. | Network anomalies detection using statistical technique: a chi-square approach | |
Yan et al. | Detect and identify DDoS attacks from flash crowd based on self-similarity and Renyi entropy | |
CN113923021B (zh) | 基于沙箱的加密流量处理方法、***、设备及介质 | |
Dayanandam et al. | Regression algorithms for efficient detection and prediction of DDoS attacks | |
CN113132414B (zh) | 一种多步攻击模式挖掘方法 | |
Jeong et al. | Analysis and detection of anomalous network traffic | |
Chae et al. | Adaptive threshold selection for trust-based detection systems | |
Hassanzadeh et al. | Intrusion detection with data correlation relation graph | |
Ye et al. | An attack-norm separation approach for detecting cyber attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |