CN115883223A - 用户风险画像的生成方法及装置、电子设备、存储介质 - Google Patents
用户风险画像的生成方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN115883223A CN115883223A CN202211557720.9A CN202211557720A CN115883223A CN 115883223 A CN115883223 A CN 115883223A CN 202211557720 A CN202211557720 A CN 202211557720A CN 115883223 A CN115883223 A CN 115883223A
- Authority
- CN
- China
- Prior art keywords
- user
- risk
- network
- data
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用户风险画像的生成方法及装置、电子设备、存储介质。其中,该方法包括:接收网络事件数据集合,其中,网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,网络事件数据集合中的每份数据都关联有I P地址;基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据;基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像。本发明解决了相关技术中进行网络风险评估时,在用户认证上网和动态I P分配的场景下存在无法准确对网络攻击行为进行关联分析的技术问题。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种用户风险画像的生成方法及装置、电子设备、存储介质。
背景技术
随着网络技术的快速发展,网络安全重要性逐渐凸显,态势感知开始在网络安全领域展露头角,为了保证用户网络资产安全,态势感知产品需要定期进行网络风险评估(评估攻击活动对当前***中各个资产的威胁情况,以及网络资产的风险状态),使得网络安全管理人员可以根据网络资产的安全状态评估结果及时发现失陷的、高风险状态资产信息,对其进行针对性的保护和处理。
相关技术中,在对态势感知产品进行网络风险评估时,基本流程为:采集网络中安全设备、用户终端等上送的流量、网络威胁、漏洞扫描信息等数据,对数据进行规范化处理,然后对其中的有效信息进行关联性分析,从而发现攻击活动,在此基础上识别该攻击活动的源头和类型,上述网络风险评估方法是根据IP地址将网络中的各个风险事件关联,针对单个IP统计威胁事件、漏洞等风险信息,将同一IP地址上发生的发起或遭受网络威胁攻击的行为归集在一起,对网络资产的健康状况进行评估分析。
但是,上述的网络风险评估方式存在如下弊端:在远程用户计费认证上网场景下,如校园网、企业网中,终端用户通过个人账号接入网络,然后通过DHCP或其它服务动态分配IP地址,同一IP地址往往在不同的时间段分配给不同的用户使用的不同设备,导致网络安全管理人员无法及时发现风险事件之间的关联性,定位到风险资产的实际责任人,及时对风险资产进行维护管理。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种用户风险画像的生成方法及装置、电子设备、存储介质,以至少解决相关技术中进行网络风险评估时,在用户认证上网和动态IP分配的场景下存在无法准确对网络攻击行为进行关联分析的技术问题。
根据本发明实施例的一个方面,提供了一种用户风险画像的生成方法,应用于网络安全***中的态势感知平台,包括:接收网络事件数据集合,其中,所述网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,所述网络事件数据集合中的每份数据都关联有I P地址;基于所述I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的所述网络风险数据对应有风险行为标签;基于所述网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,所述用户风险画像用于对所述用户对象的网络资产的健康状态进行评估。
可选地,所述在线用户列表通过以下方法生成:接收N个认证计费报文,其中,所述认证计费报文为不同用户对象通过远程网络在计费认证上网场景下产生的流量报文,N为大于等于1的正整数;解析所述认证计费报文,得到的I P地址、用户标识、物理地址、用户状态和时间戳,其中,所述用户状态包括:上线、下线和计费更新;基于所述I P地址、所述用户标识、所述物理地址、所述用户状态和所述时间戳,构建所述在线用户列表;对所述在线用户列表中关联不同所述I P地址的用户标识、用户状态进行维护,以更新所述在线用户列表中的用户信息。
可选地,在接收网络事件数据集合之后,还包括:提取所述网络事件数据集合中每份数据的数据特征;筛选出所述数据特征指示符合网络风险特征集合的数据,得到网络风险数据集合;将所述网络风险数据集合、所述在线用户列表存储至分布式数据库。
可选地,所述用户风险画像的生成方法,还包括:采用攻击链检测引擎根据多个网络事件数据的用户信息匹配网络攻击行为模式,确定复杂威胁事件,并提取所述复杂威胁事件的事件特征;采用流量检测引擎对所述每位用户对象的网络流量进行流量分析和异常行为分析,确定流量风险特征和异常行为特征;将所述复杂威胁事件的事件特征、所述流量风险特征和所述异常行为特征集成为所述网络风险特征集合。
可选地,在基于所述I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据之后,包括:将所述数据特征指示为复杂威胁事件的数据赋予威胁事件攻击类型标签,并确定所述复杂威胁事件的事件等级;将所述数据特征指示为漏洞信息的数据赋予漏洞信息等级;将所述数据特征指示密码数量低于预设数量阈值的数据赋予弱密码标识;基于所述威胁事件攻击类型标签、所述事件等级、所述漏洞信息等级和所述弱密码标识,确定所述用户对象的网络行为风险等级。
可选地,在基于所述I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据之后,包括:将所述用户对象使用终端设备产生的各类型威胁事件与扫描出的漏洞信息建立事件关联关系;在所述事件关联关系指示所述终端设备发生针对目标漏洞的威胁事件的情况下,将所述用户对象标记为失陷用户,并将所述终端设备标记为风险终端设备。
可选地,在基于所述网络风险数据对应的风险行为标签,生成与所述用户对象对应的用户风险画像之后,包括:展示存在所述网络风险数据的风险用户列表和所述风险用户列表中的每位用户对象的用户风险画像;和/或,展示所述每位用户对象的网络访问状态、持有的风险终端设备的数量、遭受网络攻击数量和网络攻击类别。
根据本发明实施例的另一方面,还提供了一种用户风险画像的生成装置,应用于网络安全***中的态势感知平台,包括:接收单元,用于接收网络事件数据集合,其中,所述网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,所述网络事件数据集合中的每份数据都关联有I P地址;确定单元,用于基于所述I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的所述网络风险数据对应有风险行为标签;生成单元,用于基于所述网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,所述用户风险画像用于对所述用户对象的网络资产的健康状态进行评估。
可选地,所述确定单元包括:第一接收模块,用于接收N个认证计费报文,其中,所述认证计费报文为不同用户对象通过远程网络在计费认证上网场景下产生的流量报文,N为大于等于1的正整数;第一解析模块,用于解析所述认证计费报文,得到的I P地址、用户标识、物理地址、用户状态和时间戳,其中,所述用户状态包括:上线、下线和计费更新;第一构建模块,用于基于所述I P地址、所述用户标识、所述物理地址、所述用户状态和所述时间戳,构建所述在线用户列表;第一维护模块,用于对所述在线用户列表中关联不同所述I P地址的用户标识、用户状态进行维护,以更新所述在线用户列表中的用户信息。
可选地,所述用户风险画像的生成装置还包括:第一提取模块,用于提取所述网络事件数据集合中每份数据的数据特征;第一筛选模块,用于筛选出所述数据特征指示符合网络风险特征集合的数据,得到网络风险数据集合;第一存储模块,用于将所述网络风险数据集合、所述在线用户列表存储至分布式数据库。
可选地,所述用户风险画像的生成装置还包括:第一确定模块,用于采用攻击链检测引擎根据多个网络事件数据的用户信息匹配网络攻击行为模式,确定复杂威胁事件,并提取所述复杂威胁事件的事件特征;第二确定模块,用于采用流量检测引擎对所述每位用户对象的网络流量进行流量分析和异常行为分析,确定流量风险特征和异常行为特征;第一集成模块,用于将所述复杂威胁事件的事件特征、所述流量风险特征和所述异常行为特征集成为所述网络风险特征集合。
可选地,所述用户风险画像的生成装置还包括:第三确定模块,用于将所述数据特征指示为复杂威胁事件的数据赋予威胁事件攻击类型标签,并确定所述复杂威胁事件的事件等级;第一指示模块,用于将所述数据特征指示为漏洞信息的数据赋予漏洞信息等级;第一标识模块,用于将所述数据特征指示密码数量低于预设数量阈值的数据赋予弱密码标识;第四确定模块,用于基于所述威胁事件攻击类型标签、所述事件等级、所述漏洞信息等级和所述弱密码标识,确定所述用户对象的网络行为风险等级。
可选地,所述用户风险画像的生成装置还包括:第一建立模块,用于将所述用户对象使用终端设备产生的各类型威胁事件与扫描出的漏洞信息建立事件关联关系;第一标记模块,用于在所述事件关联关系指示所述终端设备发生针对目标漏洞的威胁事件的情况下,将所述用户对象标记为失陷用户,并将所述终端设备标记为风险终端设备。
可选地,所述用户风险画像的生成装置还包括:第一展示模块,用于展示存在所述网络风险数据的风险用户列表和所述风险用户列表中的每位用户对象的用户风险画像;和/或,第二展示模块,用于展示所述每位用户对象的网络访问状态、持有的风险终端设备的数量、遭受网络攻击数量和网络攻击类别。
根据本发明实施例的另一方面,还提供了一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行任意一项所述的用户风险画像的生成方法。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行任意一项所述的用户风险画像的生成方法。
本公开中,采用以下步骤:接收网络事件数据集合,其中,网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,网络事件数据集合中的每份数据都关联有I P地址,基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的网络风险数据对应有风险行为标签,基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,用户风险画像用于对用户对象的网络资产的健康状态进行评估。
本公开中,在态势感知平台收集到风险事件、漏洞信息、流量数据时,根据用户认证计费报文信息将上述风险数据与用户信息进行关联后存储,然后根据不同维度的数据建立风险行为标签,创建用户风险画像,通过该用户风险画像准确地对网络攻击行为进行关联分析,以直接定位到具体用户并及时通知用户进行网络安全的维护,进而解决了相关技术中进行网络风险评估时,在用户认证上网和动态I P分配的场景下存在无法准确对网络攻击行为进行关联分析的技术问题。
本公开中,通过接收解析原始RADI US报文维护在线用户信息表,丰富态势感知平台原始流量数据和检测的威胁漏洞信息,在此条件下通过用户和主机维度进行关联分析,检测网络风险事件。
本公开中,在用户认证上网和动态I P分配的场景下,可以对多阶段的网络攻击活动进行防范,及时发现风险事件之间的关联性,定位到风险资产的实际责任人,及时对风险资产进行维护管理。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的用户风险画像的生成方法的流程图;
图2是根据本发明实施例的一种可选的用户风险画像的生成***架构示意图;
图3是根据本发明实施例的一种可选的用户风险画像的生成装置的示意图;
图4是根据本发明实施例的一种用户风险画像的生成方法的电子设备(或移动设备)的硬件结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于本领域技术人员理解本发明,下面对本发明各实施例中涉及的部分术语或者名词做出解释:
RADI US,分布式的、客户端/服务器(Cl ient/Server)结构的信息交互协议,规定了客户端与服务器之间传递用户信息和计费信息的过程和报文格式,其用途是完成用户的认证、授权、计费功能。
Kafka,一种高吞吐量的分布式发布订阅消息***,可以处理消费者在网站中的所有动作流数据。
DGA域名,全称为Domain Generat ion Aigor ithm,通过DGA算法生成的随机性较高的域名。
C&C服务器,contro l&command server的缩写,命令和控制服务器,用来控制主机,负责处理信息,下发任务的中心机器。
SMB协议,其中SMB全称是Server Message Block,网络协议名,能被用于Web连接和客户端与服务器之间的信息沟通,在会话层(sess ion l ayer)和表示层(presentation l ayer)以及小部分应用层(app l icat ion l ayer)的通信协议。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。例如,本***和相关用户或机构间设置有接口,在获取相关信息之前,需要通过接口向前述的用户或机构发送获取请求,并在接收到前述的用户或机构反馈的同意信息后,获取相关信息。
本发明可应用于各种态势感知***/产品/装置中,提供远程用户计费认证上网场景下的用户风险行为画像方法,在态势感知平台收集或检测到风险事件、漏洞信息、流量数据时,根据用户认证计费报文信息将这些风险数据与用户信息进行关联后存储,然后根据不同维度的数据建立风险行为标签,创建用户风险画像,对各个用户的网络资产安全风险整体健康状态进行评估展示,实现在用户认证上网和动态I P分配的场景下,能够准确对网络攻击行为进行关联分析,并获取到具体的用户,从而及时提醒用户防范网络攻击。
新型的高级威胁会在不同的阶段采取不同的网络攻击行为,在攻击实施过程中,网络安全产品采用入侵检测、病毒过滤、未知威胁检测、反垃圾邮件、关联分析等多维度的检测技术进行攻击行为检测和发现,以便实时采取一系列的减缓和防护措施,一旦高级威胁通过某些技术完成渗透,进入到攻击后阶段,可以通过网络流量分析、异常行为分析等技术进行风险资产定位、异常行为判定、溯源取证等。在远程用户认证计费上网的场景(如校园网络,用户可能在宿舍区域、实验室区域使用同一移动终端或者不同的终端设备通过有线或无线网络接入校园网),由于存在动态I P分配场景以及不同场馆I P段分配的不同,只通过原始网络流量的I P信息难以对网络事件进行完整有效的关联。
本发明基于生成的用户风险画像,可以更加全面地检测并发现网络中的风险事件,协助网络安全管理人员在用户维度进行威胁事件的溯源,并且及时发现网络行为风险等级高的用户,定位到对应的人员。
下面结合各个实施例对本发明进行详细说明。
实施例一
根据本发明实施例,提供了一种用户风险画像的生成的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种可选的用户风险画像的生成方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,接收网络事件数据集合,其中,网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,网络事件数据集合中的每份数据都关联有IP地址;
步骤S104,基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的网络风险数据对应有风险行为标签;
步骤S106,基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,用户风险画像用于对用户对象的网络资产的健康状态进行评估。
通过上述步骤,先接收网络事件数据集合,其中,网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,网络事件数据集合中的每份数据都关联有I P地址,然后基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的网络风险数据对应有风险行为标签,最后基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,用户风险画像用于对用户对象的网络资产的健康状态进行评估。本实施例中,在态势感知平台收集到风险事件、漏洞信息、流量数据时,根据用户认证计费报文信息将上述风险数据与用户信息进行关联后存储,然后根据不同维度的数据建立风险行为标签,创建用户风险画像,通过该用户风险画像准确地对网络攻击行为进行关联分析,以直接定位到具体用户并及时通知用户进行网络安全的维护,进而解决了相关技术中进行网络风险评估时,在用户认证上网和动态I P分配的场景下存在无法准确对网络攻击行为进行关联分析的技术问题。
下面结合上述各实施步骤来详细说明本实施例。
需要说明的是,本发明实施例的实施主体为态势感知平台,用户风险画像的生成***部署在态势感知平台中,该态势感知平台可以与各种服务器(例如,RADI US认证服务器)连接,用户相关信息可通过服务器传输到态势感知平台,用户风险画像的生成***接收有效信息,从而生成用户风险画像。
在很多局域网环境中,用户终端的I P地址是动态分配的,用户可能使用不同的终端接入网络、或者携带同一移动终端设备在不同场馆接入网络、使用VPN通道访问内部网络等,这种情况下I P地址、终端设备和用户的对应关系不断变更,对态势感知平台的网络攻击活动判断以及网络资产风险状态评估造成干扰。用户认证上网是一种广泛的终端接入局域网络的场景,如校园网络、企业内部网络中,终端用户输入帐号密码,接入设备与RADI US服务器之间进行RADI US协议报文的交互,对用户身份进行验证后访问网络,通过RADI US服务器可以获得网络中I P地址、终端设备、用户三者之间的对应关系。
需要说明的是,在接收网络事件数据集合前,需要先创建在线用户列表,该在线用户列表以I P为关键字存储在缓存中,以提供高效的查询性能。
本发明实施例中,在线用户列表通过以下方法生成:接收N个认证计费报文,其中,认证计费报文为不同用户对象通过远程网络在计费认证上网场景下产生的流量报文,N为大于等于1的正整数;解析认证计费报文,得到的I P地址、用户标识、物理地址、用户状态和时间戳,其中,用户状态包括:上线、下线和计费更新;基于I P地址、用户标识、物理地址、用户状态和时间戳,构建在线用户列表;对在线用户列表中关联不同I P地址的用户标识、用户状态进行维护,以更新在线用户列表中的用户信息。
可选的,服务器将认证计费报文转发到态势感知平台的指定端口,态势感知平台接收到原始报文信息,将其存储在kafka消息组件中,通过流式处理组件读取接收到的原始报文信息,根据RADI US协议解析出I P地址、用户名(对应于上述用户标识)、Mac地址(对应于上述物理地址)、用户状态、时间戳等数据,并根据上述数据创建在线用户列表,其中用户状态包括但不限于:上线、下线、计费更新,表1中以上线的用户状态示意说明在线用户列表搜包含的内容。
表1在线用户列表
IP地址 | 用户名 | Mac地址 | 上线时间 |
10.0.0.1 | aaa | 00-00-00-00-00-01 | 2022-09-28 23:00 |
10.0.0.2 | bbb | 00-00-00-00-00-02 | 2022-09-28 22:00 |
······ | ······ | ······ | ······ |
当创建完成在线用户列表后,根据解析出的报文字段维护在线用户列表,具体的维护规则如下:用户上线,在线用户列表中增加对应记录;用户下线,删除在线用户列表对应记录;并通过I P、Mac冲突和手动标记、超时检测降低报文丢失和乱序情况的影响;如果在线用户列表中不存在目标I P,或目标I P对应的用户名与报文中不一致,将其状态转变为上线,否则忽略该数据;用户上线后,根据上线的Mac地址将用户表中可能存在该Mac地址的用户设备下线;允许管理员通过界面操作将指定的用户标记为下线,并定时标记超时在线的用户下线。
在生成在线用户列表后,可以以I P为键值KEY存储在缓存中以提供高效的查询性能,态势感知平台接收网络事件数据集合并对其进行解析。
步骤S102,接收网络事件数据集合,其中,网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,网络事件数据集合中的每份数据都关联有IP地址。
本发明实施例中,在接收网络事件数据集合之后,还包括:提取网络事件数据集合中每份数据的数据特征;筛选出数据特征指示符合网络风险特征集合的数据,得到网络风险数据集合;将网络风险数据集合、在线用户列表存储至分布式数据库。
需要说明的是,态势感知平台收集到网络中的原始数据(对应于上述网络事件数据)后进行特征提取和行为分析,得到威胁事件、流量数据、主机漏洞等信息,然后在数据流处理模块中,根据这些事件数据的I P地址查询到对应的用户信息和主机信息,将用户和主机信息补全在事件数据中,储存到分布式数据库。
本发明实施例中,采用攻击链检测引擎根据多个网络事件数据的用户信息匹配网络攻击行为模式,确定复杂威胁事件,并提取复杂威胁事件的事件特征;采用流量检测引擎对每位用户对象的网络流量进行流量分析和异常行为分析,确定流量风险特征和异常行为特征;将复杂威胁事件的事件特征、流量风险特征和异常行为特征集成为网络风险特征集合。
需要说明的是,在获取到多个网络事件数据后,态势感知平台通过用户信息关联网络事件进行风险检测,通过攻击链检测引擎根据多个网络事件的用户信息匹配网络攻击行为模式,发现复杂威胁事件,如用户设备有查询DGA域名的行为,之后通过SMB协议与一个或多个文件服务器建立连接并读取写入文件,则可能为主机感染勒索软件后,查询域名生成算法生成的域名,若找到有效的C&C服务器,则停止查询并通过SMB协议连接文件服务器,加密敏感数据,通过流量检测引擎对单个用户的网络流量进行流量分析、异常行为分析,包括流量阈值检测、流量突变分析等。
步骤S104,基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的网络风险数据对应有风险行为标签。
可选地,势态感知平台通过用户信息维度对风险事件进行聚合,生成用户的风险行为标签,为用户的网络行为风险等级打分。
本发明实施例中,在基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据之后,包括:将数据特征指示为复杂威胁事件的数据赋予威胁事件攻击类型标签,并确定复杂威胁事件的事件等级;将数据特征指示为漏洞信息的数据赋予漏洞信息等级;将数据特征指示密码数量低于预设数量阈值的数据赋予弱密码标识;基于威胁事件攻击类型标签、事件等级、漏洞信息等级和弱密码标识,确定用户对象的网络行为风险等级。
本发明实施例中,在基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据之后,包括:将用户对象使用终端设备产生的各类型威胁事件与扫描出的漏洞信息建立事件关联关系;在事件关联关系指示终端设备发生针对目标漏洞的威胁事件的情况下,将用户对象标记为失陷用户,并将终端设备标记为风险终端设备。
需要说明的是,态势感知平台通过定时任务对风险数据进行处理,对用户设备上产生的威胁事件攻击类型标签、威胁事件等级、漏洞信息等级、弱密码数量进行统计,并根据这些数据对用户网络行为的风险等级打分,将信息存储在数据库中。
将用户发生的威胁事件与扫描出的漏洞信息关联,如果有针对某一漏洞的威胁事件产生则将该用户对象标记为失陷用户。
步骤S106,基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,用户风险画像用于对用户对象的网络资产的健康状态进行评估。
本发明实施例中,在基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像之后,包括:展示存在网络风险数据的风险用户列表和风险用户列表中的每位用户对象的用户风险画像;和/或,展示每位用户对象的网络访问状态、持有的风险终端设备的数量、遭受网络攻击数量和网络攻击类别。
需要说明的是,在生成与用户对象对应的用户风险画像后,通过可视化页面展示内网中的风险用户列表,可以通过风险等级大小排序,展示用户的失陷状态、持有的风险设备的数量、用户遭受的网络攻击数量和类别等,并及时向相关用户发送告警信息,通知用户防范网络攻击。
通过上述实施例,在用户认证上网和动态I P分配的场景下,通过用户和主机信息可以更准确地对网络攻击行为进行关联分析,并对多阶段的网络攻击活动进行防范。并通过用户维度对威胁事件、漏洞信息进行聚合,展示用户资产的风险等级和失陷状态,网络安全管理人员可以通过态势感知平台的风险用户列表直接定位到具体的用户,通知用户对进行终端的维护和升级。
下面结合一种更具体的实施例来说明本发明。
图2是根据本发明实施例的一种可选的用户风险画像的生成***架构的示意图,如图2所示,本发明实施例在进行网络风险评估时,态势感知平台的报文接收组件接收报文,将原始报文信息存储在消息队列,然后解析报文(如图2中以Rad ius报文解析示意),并对数据进行规范化处理,得到用户上下线信息,将该用户上下线信息传输至用户列表维护模块,更新列表信息,并将其传输至缓存组件进行保存,在线用户信息可通过用户列表查询,并将其展示给可视化界面,关联查询模块可通过缓存组件查询到用户信息,基于威胁事件、漏洞信息扫描事件(图2中简称为漏扫事件)以及流量信息进行关联查询(通过关联检测引擎进行关联查询),并存储风险信息,同时提供风险信息聚合评估,生成风险画像表,并通过可视化界面进行展示。
在进行网络资产安全风险评估时,具体可以包括如下步骤:
步骤一,RADI US认证服务器将认证计费报文转发到态势感知平台的指定端口,态势感知平台接收到原始报文信息,将其存储在kafka消息组件中;
步骤二,通过流式处理组件读取接收到的原始报文信息,根据RADI US协议解析出I P地址、用户名、Mac地址、用户状态、时间戳等数据;
步骤三,根据解析出的报文字段维护在线用户表;
其中,在维护在线用户表时,维护策略包括:报文信息中用户状态包含上线、下线、计费更新等,用户上线,在线用户表中增加对应记录;用户下线,删除在线用户表对应记录,并通过I P、Mac冲突和手动标记、超时检测降低报文丢失和乱序情况的影响,计费更新数据:如果在线用户表中不存在目标I P,或目标I P对应的用户名与报文中不一致,将其状态转变为上线,否则忽略该数据用户上线后,根据上线的Mac地址将用户表中可能存在该Mac地址的用户设备下线。允许管理员通过界面操作将指定的用户标记为下线,并定时标记超时在线的用户下线。
步骤四,在线用户信息以I P为键值KEY存储在缓存组件中,以提供高效的查询性能,态势感知平台收集到网络中的原始数据后进行特征提取和行为分析,得到威胁事件、流量数据、主机漏洞等信息,然后在数据流处理模块中,根据该事件数据的I P地址查询到对应的用户信息和主机信息,将用户和主机信息补全在事件数据中,储存到分布式数据库;
步骤五,态势感知平台通过用户信息关联网络事件进行风险检测;
通过攻击链检测引擎根据多个网络事件的用户信息匹配网络攻击行为模式,发现复杂威胁事件,如用户设备有查询DGA域名的行为,之后还通过SMB协议与一个或多个文件服务器建立连接并读取写入文件,则可能为主机感染勒索软件后,查询域名生成算法生成的域名,一旦找到有效的C&C服务器,则停止查询并通过SMB协议连接文件服务器,加密敏感数据。
通过流量检测引擎对单个用户的网络流量进行流量分析、异常行为分析,包括流量阈值检测、流量突变分析等。
步骤六,态势感知平台通过定时任务对风险数据进行处理,生成用户风险画像和评估用户网络风险状态;
对用户设备上产生的威胁事件攻击类型标签、威胁事件等级、漏洞信息等级、弱密码数量进行统计,并根据这些数据对用户网络行为的风险等级打分,将信息存储在数据库中。
将用户发生的威胁事件与扫描出的漏洞信息关联,如果有针对某一漏洞的威胁事件产生则将用户标记为失陷用户。
步骤七,通过可视化页面展示内网中的风险用户列表,可以通过风险等级大小排序,展示用户的失陷状态、持有的风险设备的数量、用户遭受的网络攻击数量和类别等。
通过上述实施例,通过接收解析原始RADI US报文维护在线用户信息表,丰富态势感知平台原始流量数据和检测的威胁漏洞信息,在此条件下通过用户和主机维度进行关联分析,检测网络风险事件,并通过用户信息维度对风险事件进行聚合,生成用户的风险行为标签,定位到具体用户,为用户的网络行为风险等级打分。
下面结合另一种可选的实施例来说明本发明。
实施例二
本实施例提供了一种用户风险画像的生成装置,该用户风险画像的生成装置所包含的各个实施单元对应于实施例一中的各个实施步骤。
图3是根据本发明实施例的一种可选的用户风险画像的生成装置的示意图,如图3所示,包括:接收单元30、确定单元32、生成单元34,其中,
接收单元30,用于接收网络事件数据集合,其中,网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,网络事件数据集合中的每份数据都关联有I P地址;
确定单元32,用于基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的网络风险数据对应有风险行为标签;
生成单元34,用于基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,用户风险画像用于对用户对象的网络资产的健康状态进行评估。
上述用户风险画像的生成装置,通过接收单元30接收网络事件数据集合,其中,网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,网络事件数据集合中的每份数据都关联有I P地址;通过确定单元33基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的网络风险数据对应有风险行为标签;通过生成单元34基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,用户风险画像用于对用户对象的网络资产的健康状态进行评估。本实施例中,在态势感知平台收集到风险事件、漏洞信息、流量数据时,根据用户认证计费报文信息将上述风险数据与用户信息进行关联后存储,然后根据不同维度的数据建立风险行为标签,创建用户风险画像,通过该用户风险画像准确地对网络攻击行为进行关联分析,以直接定位到具体用户并及时通知用户进行网络安全的维护,进而解决了相关技术中进行网络风险评估时,在用户认证上网和动态I P分配的场景下存在无法准确对网络攻击行为进行关联分析的技术问题。
需要说明的是,本发明实施例的实施主体为态势感知平台,用户风险画像的生成***部署在态势感知平台中,该态势感知平台与认证服务器连接,用户相关信息可通过服务器传输到态势感知平台,用户风险画像的生成***接收有效信息,从而生成用户风险画像。
在很多局域网环境中,用户终端的I P地址是动态分配的,用户可能使用不同的终端接入网络、或者携带同一移动终端设备在不同场馆接入网络、使用VPN通道访问内部网络等,这种情况下I P地址、终端设备和用户的对应关系不断变更,对态势感知平台的网络攻击活动判断以及网络资产风险状态评估造成干扰。用户认证上网是一种广泛的终端接入局域网络的场景,如校园网络、企业内部网络中,终端用户输入帐号密码,接入设备与RADI US服务器之间进行RADI US协议报文的交互,对用户身份进行验证后访问网络,通过RADI US服务器可以获得网络中I P地址、终端设备、用户三者之间的对应关系。
可选地,确定单元32包括:第一接收模块,用于接收N个认证计费报文,其中,认证计费报文为不同用户对象通过远程网络在计费认证上网场景下产生的流量报文,N为大于等于1的正整数;第一解析模块,用于解析认证计费报文,得到的I P地址、用户标识、物理地址、用户状态和时间戳,其中,用户状态包括:上线、下线和计费更新;第一构建模块,用于基于I P地址、用户标识、物理地址、用户状态和时间戳,构建在线用户列表;第一维护模块,用于对在线用户列表中关联不同I P地址的用户标识、用户状态进行维护,以更新在线用户列表中的用户信息。
可选地,RADI US认证服务器将认证计费报文转发到态势感知平台的指定端口,态势感知平台接收到原始报文信息,将其存储在kafka消息组件中,通过流式处理组件读取接收到的原始报文信息,根据RADI US协议解析出I P地址、用户名(对应于上述用户标识)、Mac地址(对应于上述物理地址)、用户状态、时间戳等数据,并根据上述数据创建在线用户列表,其中用户状态包括但不限于:上线、下线、计费更新。
当创建完成在线用户列表后,根据解析出的报文字段维护在线用户列表,具体的维护规则如下:用户上线,在线用户列表中增加对应记录;用户下线,删除在线用户列表对应记录;并通过I P、Mac冲突和手动标记、超时检测降低报文丢失和乱序情况的影响;如果在线用户列表中不存在目标I P,或目标I P对应的用户名与报文中不一致,将其状态转变为上线,否则忽略该数据;用户上线后,根据上线的Mac地址将用户表中可能存在该Mac地址的用户设备下线;允许管理员通过界面操作将指定的用户标记为下线,并定时标记超时在线的用户下线。
在生成在线用户列表,以I P为KEY存储在缓存中以提供高效的查询性能,态势感知平台接收网络事件数据集合并对其进行解析。
可选地,用户风险画像的生成装置还包括:第一提取模块,用于提取网络事件数据集合中每份数据的数据特征;第一筛选模块,用于筛选出数据特征指示符合网络风险特征集合的数据,得到网络风险数据集合;第一存储模块,用于将网络风险数据集合、在线用户列表存储至分布式数据库。
需要说明的是,态势感知平台收集到网络中的原始数据(对应于上述网络事件数据)后进行特征提取和行为分析,得到威胁事件、流量数据、主机漏洞等信息,然后在数据流处理模块中,根据这些事件数据的I P地址查询到对应的用户信息和主机信息,将用户和主机信息补全在事件数据中,储存到分布式数据库。
可选地,用户风险画像的生成装置还包括:第一确定模块,用于采用攻击链检测引擎根据多个网络事件数据的用户信息匹配网络攻击行为模式,确定复杂威胁事件,并提取复杂威胁事件的事件特征;第二确定模块,用于采用流量检测引擎对每位用户对象的网络流量进行流量分析和异常行为分析,确定流量风险特征和异常行为特征;第一集成模块,用于将复杂威胁事件的事件特征、流量风险特征和异常行为特征集成为网络风险特征集合。
需要说明的是,在获取到多个网络事件数据后,态势感知平台通过用户信息关联网络事件进行风险检测,通过攻击链检测引擎根据多个网络事件的用户信息匹配网络攻击行为模式,发现复杂威胁事件,如用户设备有查询DGA域名的行为,之后通过SMB协议与一个或多个文件服务器建立连接并读取写入文件,则可能为主机感染勒索软件后,查询域名生成算法生成的域名,若找到有效的C&C服务器,则停止查询并通过SMB协议连接文件服务器,加密敏感数据;通过流量检测引擎对单个用户的网络流量进行流量分析、异常行为分析,包括流量阈值检测、流量突变分析等。
可选地,用户风险画像的生成装置还包括:第三确定模块,用于将数据特征指示为复杂威胁事件的数据赋予威胁事件攻击类型标签,并确定复杂威胁事件的事件等级;第一指示模块,用于将数据特征指示为漏洞信息的数据赋予漏洞信息等级;第一标识模块,用于将数据特征指示密码数量低于预设数量阈值的数据赋予弱密码标识;第四确定模块,用于基于威胁事件攻击类型标签、事件等级、漏洞信息等级和弱密码标识,确定用户对象的网络行为风险等级。
本发明实施例中,通过用户信息维度对风险事件进行聚合,生成用户的风险行为标签,为用户的网络行为风险等级打分,从而通知用户进行相应操作防范网络威胁。
需要说明的是,态势感知平台通过定时任务对风险数据进行处理,对用户设备上产生的威胁事件攻击类型标签、威胁事件等级、漏洞信息等级、弱密码数量进行统计,并根据这些数据对用户网络行为的风险等级打分,将信息存储在数据库中。将用户发生的威胁事件与扫描出的漏洞信息关联,如果有针对某一漏洞的威胁事件产生则将用户标记为失陷用户。
可选地,用户风险画像的生成装置还包括:第一建立模块,用于将用户对象使用终端设备产生的各类型威胁事件与扫描出的漏洞信息建立事件关联关系;第一标记模块,用于在事件关联关系指示终端设备发生针对目标漏洞的威胁事件的情况下,将用户对象标记为失陷用户,并将终端设备标记为风险终端设备。
可选地,用户风险画像的生成装置还包括:第一展示模块,用于展示存在网络风险数据的风险用户列表和风险用户列表中的每位用户对象的用户风险画像;和/或,第二展示模块,用于展示每位用户对象的网络访问状态、持有的风险终端设备的数量、遭受网络攻击数量和网络攻击类别。
需要说明的是,在生成与用户对象对应的用户风险画像后,通过可视化页面展示内网中的风险用户列表,可以通过风险等级大小排序,展示用户的失陷状态、持有的风险设备的数量、用户遭受的网络攻击数量和类别等,并及时向相关用户发送告警信息,通知用户防范网络攻击。
上述的用户风险画像的生成装置还可以包括处理器和存储器,上述接收单元30、确定单元32、生成单元34等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
上述处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数生成用户风险画像,进而评估网络资产的网络风险。
根据本发明实施例的另一方面,还提供了一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行任意一项所述的用户风险画像的生成方法。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行任意一项所述的用户风险画像的生成方法。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:接收网络事件数据集合,其中,网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,网络事件数据集合中的每份数据都关联有I P地址;基于I P地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据;基于网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像。
图4是根据本发明实施例的一种用户风险画像的生成方法的电子设备(或移动设备)的硬件结构框图。如图4所示,电子设备可以包括一个或多个(图中采用402a、402b,……,402n来示出)处理器402(处理器402可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器404。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、键盘、电源和/或相机。本领域普通技术人员可以理解,图4所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,电子设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-On ly Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种用户风险画像的生成方法,其特征在于,应用于网络安全***中的态势感知平台,包括:
接收网络事件数据集合,其中,所述网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,所述网络事件数据集合中的每份数据都关联有IP地址;
基于所述IP地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的所述网络风险数据对应有风险行为标签;
基于所述网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,所述用户风险画像用于对所述用户对象的网络资产的健康状态进行评估。
2.根据权利要求1所述的生成方法,其特征在于,所述在线用户列表通过以下方法生成:
接收N个认证计费报文,其中,所述认证计费报文为不同用户对象通过远程网络在计费认证上网场景下产生的流量报文,N为大于等于1的正整数;
解析所述认证计费报文,得到的IP地址、用户标识、物理地址、用户状态和时间戳,其中,所述用户状态包括:上线、下线和计费更新;
基于所述IP地址、所述用户标识、所述物理地址、所述用户状态和所述时间戳,构建所述在线用户列表;
对所述在线用户列表中关联不同所述IP地址的用户标识、用户状态进行维护,以更新所述在线用户列表中的用户信息。
3.根据权利要求1所述的生成方法,其特征在于,在接收网络事件数据集合之后,还包括:
提取所述网络事件数据集合中每份数据的数据特征;
筛选出所述数据特征指示符合网络风险特征集合的数据,得到网络风险数据集合;
将所述网络风险数据集合、所述在线用户列表存储至分布式数据库。
4.根据权利要求3所述的生成方法,其特征在于,还包括:
采用攻击链检测引擎根据多个网络事件数据的用户信息匹配网络攻击行为模式,确定复杂威胁事件,并提取所述复杂威胁事件的事件特征;
采用流量检测引擎对所述每位用户对象的网络流量进行流量分析和异常行为分析,确定流量风险特征和异常行为特征;
将所述复杂威胁事件的事件特征、所述流量风险特征和所述异常行为特征集成为所述网络风险特征集合。
5.根据权利要求3所述的生成方法,其特征在于,在基于所述IP地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据之后,包括:
将所述数据特征指示为复杂威胁事件的数据赋予威胁事件攻击类型标签,并确定所述复杂威胁事件的事件等级;
将所述数据特征指示为漏洞信息的数据赋予漏洞信息等级;
将所述数据特征指示密码数量低于预设数量阈值的数据赋予弱密码标识;
基于所述威胁事件攻击类型标签、所述事件等级、所述漏洞信息等级和所述弱密码标识,确定所述用户对象的网络行为风险等级。
6.根据权利要求3所述的生成方法,其特征在于,在基于所述IP地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据之后,包括:
将所述用户对象使用终端设备产生的各类型威胁事件与扫描出的漏洞信息建立事件关联关系;
在所述事件关联关系指示所述终端设备发生针对目标漏洞的威胁事件的情况下,将所述用户对象标记为失陷用户,并将所述终端设备标记为风险终端设备。
7.根据权利要求1所述的生成方法,其特征在于,在基于所述网络风险数据对应的风险行为标签,生成与所述用户对象对应的用户风险画像之后,包括:
展示存在所述网络风险数据的风险用户列表和所述风险用户列表中的每位用户对象的用户风险画像;和/或,
展示所述每位用户对象的网络访问状态、持有的风险终端设备的数量、遭受网络攻击数量和网络攻击类别。
8.一种用户风险画像的生成装置,其特征在于,应用于网络安全***中的态势感知平台,包括:
接收单元,用于接收网络事件数据集合,其中,所述网络事件数据集合中的数据类型包括下述至少之一:流量数据、风险事件和漏洞信息,所述网络事件数据集合中的每份数据都关联有IP地址;
确定单元,用于基于所述IP地址将每份数据与在线用户列表中的用户信息进行关联,确定与每位用户对象关联的网络风险数据,其中,不同维度的所述网络风险数据对应有风险行为标签;
生成单元,用于基于所述网络风险数据对应的风险行为标签,生成与用户对象对应的用户风险画像,其中,所述用户风险画像用于对所述用户对象的网络资产的健康状态进行评估。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任意一项所述的用户风险画像的生成方法。
10.一种计算机可读存储介质,其特征在于,计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述的用户风险画像的生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211557720.9A CN115883223A (zh) | 2022-12-06 | 2022-12-06 | 用户风险画像的生成方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211557720.9A CN115883223A (zh) | 2022-12-06 | 2022-12-06 | 用户风险画像的生成方法及装置、电子设备、存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115883223A true CN115883223A (zh) | 2023-03-31 |
Family
ID=85766145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211557720.9A Pending CN115883223A (zh) | 2022-12-06 | 2022-12-06 | 用户风险画像的生成方法及装置、电子设备、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115883223A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116095683A (zh) * | 2023-04-11 | 2023-05-09 | 微网优联科技(成都)有限公司 | 无线路由器的网络安全防护方法及装置 |
CN116866069A (zh) * | 2023-08-08 | 2023-10-10 | 四川企创未来科技服务有限责任公司 | 一种基于大数据的网络风险行为识别方法 |
CN117034260A (zh) * | 2023-10-08 | 2023-11-10 | 深圳安天网络安全技术有限公司 | 一种事件判定信息的生成方法、装置、介质及电子设备 |
-
2022
- 2022-12-06 CN CN202211557720.9A patent/CN115883223A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116095683A (zh) * | 2023-04-11 | 2023-05-09 | 微网优联科技(成都)有限公司 | 无线路由器的网络安全防护方法及装置 |
CN116866069A (zh) * | 2023-08-08 | 2023-10-10 | 四川企创未来科技服务有限责任公司 | 一种基于大数据的网络风险行为识别方法 |
CN116866069B (zh) * | 2023-08-08 | 2024-03-29 | 深圳市众志天成科技有限公司 | 一种基于大数据的网络风险行为识别方法 |
CN117034260A (zh) * | 2023-10-08 | 2023-11-10 | 深圳安天网络安全技术有限公司 | 一种事件判定信息的生成方法、装置、介质及电子设备 |
CN117034260B (zh) * | 2023-10-08 | 2024-01-26 | 深圳安天网络安全技术有限公司 | 一种事件判定信息的生成方法、装置、介质及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324310B (zh) | 网络资产指纹识别方法、***及设备 | |
US12019745B2 (en) | Cyberanalysis workflow acceleration | |
US20230028382A1 (en) | Systems and Methods for Digital Certificate Security | |
CN108683687B (zh) | 一种网络攻击识别方法及*** | |
CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
CN108881263B (zh) | 一种网络攻击结果检测方法及*** | |
CN111800395A (zh) | 一种威胁情报防御方法和*** | |
Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
CN108833185B (zh) | 一种网络攻击路线还原方法及*** | |
CN110313147B (zh) | 数据处理方法、装置和*** | |
CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN113111951B (zh) | 数据处理方法以及装置 | |
CN111510463B (zh) | 异常行为识别*** | |
US11122143B2 (en) | Comparison of behavioral populations for security and compliance monitoring | |
CN117527412A (zh) | 数据安全监测方法及装置 | |
Rodríguez et al. | Superspreaders: Quantifying the role of IoT manufacturers in device infections | |
US11863577B1 (en) | Data collection and analytics pipeline for cybersecurity | |
EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
KR20170139817A (ko) | 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치 | |
KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
US20210385123A1 (en) | Generating incident response action recommendations using anonymized action implementation data | |
US20210209067A1 (en) | Network activity identification and characterization based on characteristic active directory (ad) event segments | |
CN115001724A (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |