[發(fā)明專利]高級(jí)持續(xù)性攻擊檢測(cè)方法、裝置、計(jì)算機(jī)設(shè)備和介質(zhì)在審
| 申請(qǐng)?zhí)枺?/td> | 202011632880.6 | 申請(qǐng)日: | 2020-12-31 |
| 公開(公告)號(hào): | CN112738115A | 公開(公告)日: | 2021-04-30 |
| 發(fā)明(設(shè)計(jì))人: | 鮑青波 | 申請(qǐng)(專利權(quán))人: | 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06 |
| 代理公司: | 北京開陽(yáng)星知識(shí)產(chǎn)權(quán)代理有限公司 11710 | 代理人: | 祝樂(lè)芳 |
| 地址: | 100000 北京*** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 高級(jí) 持續(xù)性 攻擊 檢測(cè) 方法 裝置 計(jì)算機(jī) 設(shè)備 介質(zhì) | ||
1.一種高級(jí)持續(xù)性攻擊檢測(cè)方法,其特征在于,包括:
獲取網(wǎng)絡(luò)中的歷史告警事件數(shù)據(jù);
以預(yù)設(shè)時(shí)間周期對(duì)所述歷史告警事件數(shù)據(jù)進(jìn)行分類,得到多個(gè)歷史告警事件數(shù)據(jù)子集;
根據(jù)歷史告警事件的源地址和目的地址,生成每個(gè)歷史告警事件數(shù)據(jù)子集對(duì)應(yīng)的攻擊關(guān)系圖;
對(duì)所有攻擊關(guān)系圖進(jìn)行頻繁子圖挖掘,獲取目標(biāo)攻擊線索。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)歷史告警事件的源地址和目的地址,生成每個(gè)歷史告警事件數(shù)據(jù)子集對(duì)應(yīng)的攻擊關(guān)系圖,包括:
根據(jù)歷史告警事件的源網(wǎng)絡(luò)協(xié)議IP地址、目標(biāo)IP地址和事件類型,生成每個(gè)歷史告警事件數(shù)據(jù)子集對(duì)應(yīng)的攻擊關(guān)系圖,其中,所述攻擊關(guān)系圖中的節(jié)點(diǎn)為所述源IP地址或者所述目標(biāo)IP地址,所述攻擊關(guān)系圖中的邊為所述事件類型。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述對(duì)所有攻擊關(guān)系圖進(jìn)行頻繁子圖挖掘,獲取目標(biāo)攻擊線索,包括:
對(duì)所有攻擊關(guān)系圖進(jìn)行頻繁子圖挖掘,獲取候選攻擊線索;
對(duì)所述候選攻擊線索進(jìn)行分析,獲取目標(biāo)攻擊線索。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述對(duì)所述候選攻擊線索進(jìn)行分析,獲取目標(biāo)攻擊線索,包括:
根據(jù)設(shè)置的頻繁攻擊行為的白名單,修改所述候選攻擊線索中所述白名單對(duì)應(yīng)的節(jié)點(diǎn),確定修改后的候選攻擊線索為所述目標(biāo)攻擊線索。
5.一種高級(jí)持續(xù)性攻擊檢測(cè)裝置,其特征在于,包括:
獲取模塊,用于獲取網(wǎng)絡(luò)中的歷史告警事件數(shù)據(jù);
處理模塊,用于以預(yù)設(shè)時(shí)間周期對(duì)所述歷史告警事件數(shù)據(jù)進(jìn)行分類,得到多個(gè)歷史告警事件數(shù)據(jù)子集;
所述處理模塊,還用于根據(jù)歷史告警事件的源地址和目的地址,生成每個(gè)歷史告警事件數(shù)據(jù)子集對(duì)應(yīng)的攻擊關(guān)系圖;
所述處理模塊,還用于對(duì)所有攻擊關(guān)系圖進(jìn)行頻繁子圖挖掘,獲取目標(biāo)攻擊線索。
6.根據(jù)權(quán)利要求5所述的裝置,其特征在于,所述處理模塊具體用于:
根據(jù)歷史告警事件的源網(wǎng)絡(luò)協(xié)議IP地址、目標(biāo)IP地址和事件類型,生成每個(gè)歷史告警事件數(shù)據(jù)子集對(duì)應(yīng)的攻擊關(guān)系圖,其中,所述攻擊關(guān)系圖中的節(jié)點(diǎn)為所述源IP地址或者所述目標(biāo)IP地址,所述攻擊關(guān)系圖中的邊為所述事件類型。
7.根據(jù)權(quán)利要求5或6所述的裝置,其特征在于,所述處理模塊具體用于:
對(duì)所有攻擊關(guān)系圖進(jìn)行頻繁子圖挖掘,獲取候選攻擊線索;
對(duì)所述候選攻擊線索進(jìn)行分析,獲取目標(biāo)攻擊線索。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述處理模塊具體用于:
根據(jù)設(shè)置的頻繁攻擊行為的白名單,修改所述候選攻擊線索中所述白名單對(duì)應(yīng)的節(jié)點(diǎn),確定修改后的候選攻擊線索為所述目標(biāo)攻擊線索。
9.一種計(jì)算機(jī)設(shè)備,其特征在于,包括:存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行的計(jì)算機(jī)程序,其特征在于,所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)權(quán)利要求1-4任一項(xiàng)所述方法的步驟。
10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其上存儲(chǔ)有計(jì)算機(jī)程序,其特征在于,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1-4任一項(xiàng)所述的方法的步驟。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司,未經(jīng)北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011632880.6/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 一種實(shí)現(xiàn)對(duì)電話用戶提供高級(jí)秘書服務(wù)的設(shè)備和方法
- 移動(dòng)床式高級(jí)氧化循環(huán)處理方法及其系統(tǒng)
- 一種匯編語(yǔ)言到高級(jí)語(yǔ)言的代碼轉(zhuǎn)換方法和裝置
- 動(dòng)車組高級(jí)修轉(zhuǎn)向架工序優(yōu)化方法、計(jì)劃排程方法及系統(tǒng)
- 一種高級(jí)威脅追溯的方法及系統(tǒng)
- 一種制備高級(jí)烷醇水溶液的方法
- 天然氣部分氧化制乙炔副產(chǎn)高級(jí)炔烴回收利用的方法
- 一種防水防竊電智能裝置
- CSI報(bào)告的方法
- 高級(jí)綜合方法、高級(jí)綜合裝置和高級(jí)綜合系統(tǒng)
- 利用任何負(fù)載下的競(jìng)爭(zhēng)資源以促進(jìn)單個(gè)或多級(jí)設(shè)備的期望帶寬的方法和系統(tǒng)
- 執(zhí)行半持續(xù)性資源的數(shù)據(jù)傳輸?shù)姆椒捌湎嚓P(guān)通信裝置
- 動(dòng)態(tài)可持續(xù)性搜索引擎
- 動(dòng)態(tài)可持續(xù)性因素管理
- 用于提供通用持續(xù)性云服務(wù)的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品
- 一種跨業(yè)務(wù)持續(xù)性實(shí)現(xiàn)方法和設(shè)備
- 持續(xù)性資產(chǎn)管理系統(tǒng)
- 高級(jí)持續(xù)性威脅檢測(cè)
- 一種海面高度持續(xù)性預(yù)測(cè)算法
- 具有由持續(xù)性處理造成的經(jīng)改進(jìn)的噪聲性能的超聲系統(tǒng)
- 一種基于FPGA的網(wǎng)絡(luò)行為攻擊方法與裝置
- 一種網(wǎng)絡(luò)攻擊防御方法與裝置
- 一種防火墻攻擊防御方法
- 一種網(wǎng)絡(luò)行為攻擊裝置
- 一種網(wǎng)絡(luò)行為攻擊方法
- 一種網(wǎng)絡(luò)攻擊路線還原方法及系統(tǒng)
- 滲透攻擊評(píng)價(jià)方法和裝置、以及電子設(shè)備和可讀存儲(chǔ)介質(zhì)
- 一種攻擊檢測(cè)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)
- 一種基于攻擊者特性指標(biāo)的網(wǎng)絡(luò)攻擊路徑預(yù)測(cè)方法
- APT攻擊事件溯源分析方法、裝置和計(jì)算機(jī)可讀介質(zhì)
- 檢測(cè)裝置、檢測(cè)方法和檢測(cè)組件
- 檢測(cè)方法、檢測(cè)裝置和檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法以及記錄介質(zhì)
- 檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)裝置、檢測(cè)設(shè)備及檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)
- 檢測(cè)組件、檢測(cè)裝置以及檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法及檢測(cè)程序
- 檢測(cè)電路、檢測(cè)裝置及檢測(cè)系統(tǒng)
