CN116232708A - 一种基于文本型威胁情报的攻击链构建与攻击溯源方法和*** - Google Patents

一种基于文本型威胁情报的攻击链构建与攻击溯源方法和*** Download PDF

Info

Publication number
CN116232708A
CN116232708A CN202310124597.XA CN202310124597A CN116232708A CN 116232708 A CN116232708 A CN 116232708A CN 202310124597 A CN202310124597 A CN 202310124597A CN 116232708 A CN116232708 A CN 116232708A
Authority
CN
China
Prior art keywords
attack
text
network security
threat information
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310124597.XA
Other languages
English (en)
Inventor
�田润
连一峰
彭媛媛
张海霞
黄克振
张立武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Software of CAS
Original Assignee
Institute of Software of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Software of CAS filed Critical Institute of Software of CAS
Priority to CN202310124597.XA priority Critical patent/CN116232708A/zh
Publication of CN116232708A publication Critical patent/CN116232708A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出一种基于文本型威胁情报的攻击链构建与攻击溯源方法和***。该方法包括:采集已知攻击组织的攻击事件的文本型威胁情报,对采集的数据进行数据预处理操作,使其符合后续分析需求;其次,利用采集的文本型威胁情报抽取网络安全实体与关系,构成网络安全事件描述三元组;然后,对于网络安全事件描述三元组,基于时间线与逻辑顺序,构建安全事件攻击链;最后,利用安全事件攻击链训练攻击组织特征模型,并基于该模型进行未知来源攻击事件的溯源预测。本发明从文本型威胁情报出发,从中抽取网络安全事件攻击链,并结合已知攻击来源,为攻击组织刻画攻击特征模型,能够有效服务于网络安全人员对未知来源的网络安全事件的溯源与追责工作。

Description

一种基于文本型威胁情报的攻击链构建与攻击溯源方法和 ***
技术领域
本发明提出了一种基于文本型威胁情报的攻击链构建与攻击溯源方法和***,属于网络安全技术领域。
背景技术
随着网络信息技术的飞速发展,网络攻击事件的频度、烈度不断加剧,对网络安全监测与防范能力的要求持续提升,其中攻击事件溯源是监测防范工作中的重要一环。但伴随着网络攻击技术水平的不断提高,网络攻击从单一攻击逐步向有组织有计划的多步攻击发展,如高级可持续攻击(APT)等。近年来,利用大数据分析、机器学习等技术发现网络攻击链中的各类恶意行为及其关联关系,逐步实现攻击链的复盘与溯源,一直是网络安全领域的难点问题。目前攻击事件描述信息主要以文本型威胁情报的形式在网络安全行业内流动,从文本型威胁情报等非结构化数据向攻击链信息转化的工作通常由人工完成,自动化程度较低,因此有必要基于自然语言处理技术,实现从文本型威胁情报等非结构化文本信息中自动化抽取网络安全事件攻击链,提高网络安全事件分析效率。
传统的基于攻击链溯源工作针对单次安全事件攻击链进行分析,缺少与其他安全事件的横向对比与关联分析,同时缺乏与安全事件背后的攻击组织的关联分析。然而实现相同的攻击目标具有多种不同的方式,每个攻击组织都有其独特的攻击链偏好、人员与武器库,这些攻击组织特征信息对攻击组织识别工作具有较大意义。因此有必要基于攻击链信息,为已知的攻击组织进行建模,并利用攻击组织模型实现未来安全事件攻击链的溯源预测,为网络安全溯源追责工作提供依据和支持。
发明内容
本发明提出了一种基于文本型威胁情报的攻击链构建与攻击溯源方法和***,基于网络安全服务商等安全机构提供的文本型威胁情报,提取安全事件攻击链,建立攻击组织攻击路径模型,从而实现对未来安全事件攻击链的溯源预测。
为实现上述目的,本发明提出一种基于文本型威胁情报的攻击链构建与攻击溯源方法,包含以下步骤:
采集已知攻击组织的攻击事件的文本型威胁情报,对采集的文本型威胁情报进行数据预处理操作,使其符合后续分析需求;
利用采集的文本型威胁情报抽取网络安全实体与关系,构成网络安全事件描述三元组;
对于抽取的网络安全事件描述三元组,基于时间线与逻辑顺序,构建安全事件攻击链;
利用已知攻击组织的安全事件攻击链训练攻击组织特征模型,并基于训练完成的攻击组织特征模型进行未知来源攻击事件的溯源预测。
进一步地,所述数据预处理操作包括对数据进行补全、去重、修正等操作。
进一步地,所述构成网络安全事件描述三元组,包括以下步骤:根据采集处理得到的文本型威胁情报,运用BERT、双向长短时神经网络等自然语言处理技术,从威胁情报中抽取攻击组织、IP、攻击工具、攻击方法等网络安全实体,并运用远程监督学习方法,抽取实体间关系,形成实体——关系——实体格式的网络安全事件描述三元组。
进一步地,所述构建安全事件攻击链,包括以下步骤:基于人工设定的攻击子事件定义,将网络安全事件描述三元组划分为不同的网络安全子事件,并基于时间线与文本描述逻辑,按照实际发生顺序与因果逻辑排列网络安全子事件,形成对本次网络安全事件的攻击链描述。
进一步地,所述利用已知攻击组织的的安全事件攻击链训练攻击组织特征模型,包括以下步骤:将网络安全子事件类别组成贝叶斯条件概率网络,输入已知攻击组织的安全事件攻击链,训练各个节点的条件概率作为该攻击组织的攻击特征画像,即攻击组织特征模型。
进一步地,所述基于训练完成的攻击组织特征模型进行未知来源攻击事件的溯源预测,包括:对于未知来源的攻击事件文本型威胁情报,通过前述步骤转化为安全事件攻击链,匹配已知攻击组织的攻击特征画像,选择置信度最高的攻击组织作为溯源预测结果。
基于同一发明构思,本发明还提供一种采用上述方法的一种基于文本型威胁情报的攻击链构建与攻击溯源***,其包括:
数据采集与预处理模块,用于采集已知攻击组织的攻击事件的文本型威胁情报,对采集的文本型威胁情报进行数据预处理操作,使其符合后续模型分析需求;
实体与关系抽取模块,用于抽取网络安全实体与关系,构成网络安全事件描述三元组;
攻击链生成模块,用于归纳网络安全子事件,并基于时间线与逻辑顺序,构建安全事件攻击链,描述安全事件过程;
特征模型训练与溯源预测模块,用于基于生成的安全事件攻击链,训练攻击组织特征模型,并对未知攻击来源的网络安全事件进行溯源预测。
本发明从文本型威胁情报出发,从中抽取网络安全事件攻击链,从整体上描述安全事件经过与内在逻辑,并结合已知攻击来源,为攻击组织刻画攻击特征模型,有效服务于网络安全人员对未知来源的网络安全事件的溯源与追责工作。
附图说明
图1是本发明的一种基于文本型威胁情报的攻击链构建与攻击溯源方法的流程图。
具体实施方式
为使本发明的技术方案能更明显易懂,特举实施例并结合附图详细说明如下。
本发明的一种基于文本型威胁情报的攻击链构建与攻击溯源方法,其流程如图1所示,包括以下步骤:
步骤1:数据采集与预处理
安全事件文本型威胁情报包括行动的顺序、对被攻击***的影响、破坏指标等(IOC),其中对本次攻击事件中攻击者的攻击行动顺序与目标的描述对后续的分析与建模价值更大。数据预处理过程去除文本型威胁情报中的无关数据、重复数据、异常符号等,基于已有网络安全数据库对部分残缺信息进行补全,解决信息的不一致性问题,以提高采集数据的质量,保证采集数据的完整性、准确性。数据清洗包括但不限于以下几点:
1)应支持采集数据的缺失信息的处理,如在威胁情报中未详细给出或标注为未知信息,但可以在已有网络安全数据库中查询得到的信息;
2)应支持采集数据的异常信息处理,异常信息包括重复信息和错误信息,在对多个来源的文本型威胁情报进行合并时可能会出现重复信息,错误信息可能由于数据采集模块不够健全,获取到的威胁情报存在错误字符或乱码等;
3)应支持采集数据的非需求信息清洗,为了避免信息的冗余对算法准确性造成干扰,需要对采集数据中的非需求信息进行删除。
步骤2:抽取网络安全事件描述三元组
本实施例依据了相关的网络安全领域相关标准规范,如ISO/IEC 27000信息安全管理体系标准族、网络安全威胁信息格式规范GB/T36643-2018、信息安全技术术语GB/T25069-2019、信息安全技术网络攻击定义及描述规范GB/T37027-2018、以及部分公共安全行业标准等,从而确定网络安全领域核心本体、概念和术语,建立网络安全知识本体模型,并明确属性集合。
例如:
(1)网络资产:包括网络空间中的各种硬件设备、软件设备、网络环境、虚拟人员等。
(2)脆弱性:包括漏洞脆弱性、弱点脆弱性,如漏洞、***配置、防护软件等。
(3)网络攻击:包括攻击者、攻击方式、利用工具、攻击事件、攻击后果等。其中攻击者包括个人、团体或黑客组织;攻击方式包括攻击使用的手段,如拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、高级威胁事件、其他网络攻击事件;利用工具包括正常软件和恶意软件。
抽取网络安全事件描述三元组的具体实施方法包括:
1)网络安全实体抽取
首先将输入的文本型威胁情报文本按照字符切分为字符序列S={s1,s2,...,sn},采用BERT模型对字符进行向量嵌入,其中特殊专有名词和英文单词作为一个字符进行嵌入。为了获取更丰富的特征,BERT模型的输入Ei为一个字符在符号嵌入、片段嵌入和位置嵌入三个维度上的向量之和。模型采用遮蔽语言模型方法进行预训练,在训练过程中以15%的概率用掩码标记来替换训练序列中的字符,然后预测出掩码标记位置原有的单词,而被掩码标记遮盖的部分中,80%使用“[MASK]”标记替换,20%的使用随机的其他字符替换,从而保证BERT对所有的字符保持敏感,提高向量嵌入效率。
下一步将BERT输出的字符向量序列X={x1,x2,...,xn}作为BiLSTM神经网络的输入。BiLSTM由前向和后向两个LSTM网络组成,在特征提取时将X同时输入前向和后向两个LSTM网络,计算得到当前时刻的隐藏层向量序列进行拼接,然后针对该向量运用公式ot=tanh(Whht+bo)进行激活函数运算,其中ot作为当前时刻输出,ht为当前时刻的隐藏层向量,Wt和bo分别为输出门的权重矩阵与偏置项。
最后人工标注自然语言文本中的实体信息,并采用条件随机场约束标注符号的出现顺序,以BiLSTM神经网络输出作为输入,对于字符序列的每一个预测序列,其得分等于字符本身预测得分与字符序列间的转移分数之和,最终选取得分最高的预测序列作为模型输出。
2)网络安全事件关系抽取
首先根据实际需要,设定抽取的关系种类以及头尾实体定义,然后基于远程监督学习构建PCNN(Piecewise Convolutional Neural Network,分段卷积神经网络)关系抽取模型,对整体样本进行关系抽取。具体实施方法包括:
首先对小规模样本进行人工标注,然后对于大量未被标注的样本,将其中所有被标注过的实体对均标注为人工标注的关系,并将具有相同关系的实体对放入一个句袋中,后续的模型训练以句袋作为基本单元。然后对句袋中的每个实体对所在句子,将其在两个实体的位置分割为三段,每一段单独作为一个句子投入CNN网络进行训练,CNN网络的输入为字符嵌入向量与该字符与两个实体之间的相对距离的拼接向量,输出为该句子在每个关系类别上的置信度,最终选择置信度最大的句子作为该句袋的特征,并以此作为这对实体关系的判定标准。
步骤3:构建安全事件攻击链
安全事件攻击链由一系列攻击行为组成,用以描述攻击者在本次攻击事件中的行动顺序与前后逻辑。本实施例将攻击行为限定为固定种类的网络攻击技术,包括非法篡改、暴力破解、远程控制、数据窃取、DoS攻击、扫描探测、网站挂马等(这些是网络安全子事件),同时添加攻击开始和攻击结束标记作为攻击链的头尾,以便提取首次攻击和最终目的的特征信息。具体实施方法包括:
首先组织专家基于攻击行为流程构建攻击行为判定规则库,并在此基础上构建攻击行为判定模型,从而实现网络安全事件描述三元组的抽象概括与提取。其中,“构建攻击行为判定规则库”的方法是:人工分析攻击行为流程,构建实体关系与攻击行为之间的对应关系。其中,“构建攻击行为判定模型”的方法是:利用实现构建的攻击行为判定规则库,在实体实例图中检索符合规则的实体与关系,从而标注为对应的攻击行为。
然后基于时间线与逻辑顺序对攻击行为进行排序。具体方法为:对于每一个识别出的攻击行为,检索其所在段落的时间信息,并将其标注为攻击行为的发生时间,根据时间顺序进行排序;如果不存在显式的时间信息,则人工标注出自然语言文本中的逻辑词(首先、其次、然后、最后等),人为设定逻辑顺序,并以此为依据对攻击行为进行排序。
步骤4:特征模型训练与溯源预测
根据步骤3中得到的已知攻击来源(攻击组织)的攻击链信息,将其输入贝叶斯网络进行训练。具体实施方式为维护一个矩阵Mm*m,其中m代表已知的攻击行为种类,矩阵中的每一个元素Mij代表攻击行为i后下一次攻击为攻击行为j的概率,计算方法为:
Figure BDA0004081557800000051
针对后续的未知攻击来源的网络安全事件文本型威胁情报,先经过步骤1至步骤3的过程,处理得到本次攻击事件的攻击链信息X={x1,x2,...,xt},然后基于已有的贝叶斯网络计算其为每个攻击组织的置信度,计算方法为:
Figure BDA0004081557800000052
其中,t表示攻击链长度,k表示迭代变量。
最后选择置信度最大的攻击组织作为溯源预测结果。
本发明的另一个实施例提供一种采用上述方法的基于文本型威胁情报的攻击链构建与攻击溯源***,其包括:
数据采集与预处理模块,用于采集已知攻击组织的攻击事件的文本型威胁情报,对采集的文本型威胁情报进行数据预处理操作,使其符合后续模型分析需求;
实体与关系抽取模块,用于抽取网络安全实体与关系,构成网络安全事件描述三元组;
攻击链生成模块,用于归纳网络安全子事件,并基于时间线与逻辑顺序,构建安全事件攻击链,描述安全事件过程;
特征模型训练与溯源预测模块,用于基于生成的安全事件攻击链,训练攻击组织特征模型,并对未知攻击来源的网络安全事件进行溯源预测。
其中各模块的具体实施过程参见前文对本发明方法的描述。
本发明的另一实施例提供一种计算机设备(计算机、服务器、智能手机等),其包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行本发明方法中各步骤的指令。
本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘),所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现本发明方法的各个步骤。
以上公开的本发明的具体实施例,其目的在于帮助理解本发明的内容并据以实施,本领域的普通技术人员可以理解,在不脱离本发明的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容,本发明的保护范围以权利要求书界定的范围为准。

Claims (10)

1.一种基于文本型威胁情报的攻击链构建与攻击溯源方法,其特征在于,包括以下步骤:
采集已知攻击组织的攻击事件的文本型威胁情报,对采集的文本型威胁情报进行数据预处理操作,使其符合后续分析需求;
利用采集的文本型威胁情报抽取网络安全实体与关系,构成网络安全事件描述三元组;
对于抽取的网络安全事件描述三元组,基于时间线与逻辑顺序,构建安全事件攻击链;
利用已知攻击组织的安全事件攻击链训练攻击组织特征模型,并基于训练完成的攻击组织特征模型进行未知来源攻击事件的溯源预测。
2.如权利要求1所述的方法,其特征在于,所述文本型威胁情报包括行动的顺序、对被攻击***的影响、破坏指标,其中对本次攻击事件中攻击者的攻击行动顺序与目标的描述对后续的分析与建模价值更大;所述数据预处理操作去除文本型威胁情报中的无关数据、重复数据、异常符号,基于已有网络安全数据库对部分残缺信息进行补全,解决信息的不一致性问题,以提高采集数据的质量,保证采集数据的完整性、准确性。
3.如权利要求1所述的方法,其特征在于,所述利用采集的文本型威胁情报抽取网络安全实体与关系,构成网络安全事件描述三元组,包括:根据采集的文本型威胁情报,运用自然语言处理技术抽取网络安全实体,并运用远程监督学习实现实体间关系抽取,形成实体——关系——实体格式的网络安全事件描述三元组。
4.如权利要求3所述的方法,其特征在于,所述运用自然语言处理技术抽取网络安全实体,是运用BERT-BiLSTM-CRF网络实现网络安全实体抽取,其步骤包括:
将输入的文本型威胁情报文本按照字符切分为字符序列S={s1,s2,...,sn},采用BERT模型对字符进行向量嵌入,其中特殊专有名词和英文单词作为一个字符进行嵌入;
将BERT输出的字符向量序列X={x1,x2,...,xn}作为BiLSTM神经网络的输入;
人工标注自然语言文本中的实体信息,并采用条件随机场约束标注符号的出现顺序,以BiLSTM神经网络输出作为输入,对于字符序列的每一个预测序列,其得分等于字符本身预测得分与字符序列间的转移分数之和,最终选取得分最高的预测序列作为模型输出。
5.如权利要求3所述的方法,其特征在于,所述运用远程监督学习实现实体间关系抽取的步骤包括:
首先对小规模样本进行人工标注,然后对于大量未被标注的样本,将其中所有被标注过的实体对均标注为人工标注的关系,并将具有相同关系的实体对放入一个句袋中,后续的模型训练以句袋作为基本单元;
然后对句袋中的每个实体对所在句子,将其在两个实体的位置分割为三段,每一段单独作为一个句子投入CNN网络进行训练,CNN网络的输入为字符嵌入向量与该字符与两个实体之间的相对距离的拼接向量,输出为该句子在每个关系类别上的置信度,最终选择置信度最大的句子作为该句袋的特征,并以此作为实体关系的判定标准。
6.如权利要求1所述的方法,其特征在于,所述构建安全事件攻击链的步骤包括:首先组织专家基于攻击行为流程构建攻击行为判定规则库,并在此基础上构建攻击行为判定模型,从而实现网络安全事件描述三元组的抽象概括与提取,然后基于时间线与逻辑顺序对攻击行为进行排序。
7.如权利要求1所述的方法,其特征在于,所述利用已知攻击组织的的安全事件攻击链训练攻击组织特征模型,包括:将网络安全子事件类别组成贝叶斯条件概率网络,输入已知攻击组织的安全事件攻击链,训练各个节点的条件概率作为该攻击组织的攻击特征画像,即攻击组织特征模型;所述基于训练完成的攻击组织特征模型进行未知来源攻击事件的溯源预测,包括:对于未知来源的攻击事件文本型威胁情报,将其转化为安全事件攻击链,匹配已知攻击组织的攻击特征画像,选择置信度最高的攻击组织作为溯源预测结果。
8.一种采用权利要求1~7中任一权利要求所述方法的基于文本型威胁情报的攻击链构建与攻击溯源***,其特征在于,包括:
数据采集与预处理模块,用于采集已知攻击组织的攻击事件的文本型威胁情报,对采集的文本型威胁情报进行数据预处理操作,使其符合后续模型分析需求;
实体与关系抽取模块,用于抽取网络安全实体与关系,构成网络安全事件描述三元组;
攻击链生成模块,用于归纳网络安全子事件,并基于时间线与逻辑顺序,构建安全事件攻击链,描述安全事件过程;
特征模型训练与溯源预测模块,用于基于生成的安全事件攻击链,训练攻击组织特征模型,并对未知攻击来源的网络安全事件进行溯源预测。
9.一种电子装置,其特征在于,包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行权利要求1~7中任一权利要求所述方法的指令。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现权利要求1~7中任一权利要求所述的方法。
CN202310124597.XA 2023-02-02 2023-02-02 一种基于文本型威胁情报的攻击链构建与攻击溯源方法和*** Pending CN116232708A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310124597.XA CN116232708A (zh) 2023-02-02 2023-02-02 一种基于文本型威胁情报的攻击链构建与攻击溯源方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310124597.XA CN116232708A (zh) 2023-02-02 2023-02-02 一种基于文本型威胁情报的攻击链构建与攻击溯源方法和***

Publications (1)

Publication Number Publication Date
CN116232708A true CN116232708A (zh) 2023-06-06

Family

ID=86572664

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310124597.XA Pending CN116232708A (zh) 2023-02-02 2023-02-02 一种基于文本型威胁情报的攻击链构建与攻击溯源方法和***

Country Status (1)

Country Link
CN (1) CN116232708A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117478435A (zh) * 2023-12-28 2024-01-30 中汽智联技术有限公司 一种整车信息安全攻击路径生成方法和***

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117478435A (zh) * 2023-12-28 2024-01-30 中汽智联技术有限公司 一种整车信息安全攻击路径生成方法和***
CN117478435B (zh) * 2023-12-28 2024-04-09 中汽智联技术有限公司 一种整车信息安全攻击路径生成方法和***

Similar Documents

Publication Publication Date Title
Sun et al. Cyber threat intelligence mining for proactive cybersecurity defense: a survey and new perspectives
EP3512176B1 (en) Anticipatory cyber defense
CN111552855B (zh) 一种基于深度学习的网络威胁情报自动抽取方法
CN111953697B (zh) 一种apt攻击识别及防御方法
CN113486334A (zh) 网络攻击预测方法、装置、电子设备及存储介质
CN114330322A (zh) 一种基于深度学习的威胁情报信息抽取方法
CN111931935B (zh) 基于One-shot 学习的网络安全知识抽取方法和装置
CN115134160B (zh) 一种基于攻击迁移的攻击检测方法及***
Zhou et al. CTI view: APT threat intelligence analysis system
CN114357190A (zh) 一种数据检测方法、装置、电子设备及存储介质
CN116232708A (zh) 一种基于文本型威胁情报的攻击链构建与攻击溯源方法和***
CN115080756A (zh) 一种面向威胁情报图谱的攻防行为和时空信息抽取方法
CN114580371A (zh) 基于自然语言处理的程序语义混淆方法及***
CN113536322A (zh) 一种基于对抗神经网络的智能合约可重入漏洞检测方法
CN115567305B (zh) 基于深度学习的顺序网络攻击预测分析方法
CN116846645A (zh) 基于自监督协作对比学习的网络入侵检测方法及应用
CN115242539B (zh) 基于特征融合的电网信息***网络攻击检测方法及装置
CN115129896B (zh) 基于对比学习的网络安全应急响应知识图谱关系提取方法
CN113918936A (zh) Sql注入攻击检测的方法以及装置
CN116366303A (zh) 基于深度学习的网络异常检测方法、装置、设备及介质
CN117009832A (zh) 异常命令的检测方法、装置、电子设备及存储介质
CN115567306A (zh) 基于双向长短时记忆网络的apt攻击溯源分析方法
Wu et al. Identification of attack on data packets using rough set approach to secure end to end communication
Sun et al. APTKG: Constructing Threat Intelligence Knowledge Graph from Open-Source APT Reports Based on Deep Learning
US20230328095A1 (en) Generation of Predictive Cybersecurity Data Queries

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination