[發明專利]威脅事件識別方法、裝置、設備及存儲介質有效
| 申請號: | 202110407357.1 | 申請日: | 2021-04-15 |
| 公開(公告)號: | CN113114690B | 公開(公告)日: | 2022-12-13 |
| 發明(設計)人: | 宋玲;李雪峰;尚程;田野;梁彧;傅強;王杰;楊滿智;蔡琳;金紅;陳曉光 | 申請(專利權)人: | 恒安嘉新(北京)科技股份公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京品源專利代理有限公司 11332 | 代理人: | 孟金喆 |
| 地址: | 100098 北京市海淀區*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 威脅 事件 識別 方法 裝置 設備 存儲 介質 | ||
1.一種威脅事件識別方法,其特征在于,包括:
獲取至少一條網絡流量數據,并確定與各所述網絡流量數據對應的目標屬性參數;所述網絡流量數據為非威脅事件;
對各所述目標屬性參數進行建模,生成行為特征模型;
當接收到目標網絡流量數據的訪問指令時,根據所述行為特征模型確定所述目標網絡流量數據是否為威脅事件;
其中,所述對各所述目標屬性參數進行建模,生成行為特征模型,包括:
將各所述目標屬性參數代入至目標函數中;
對所述目標函數進行求解,求解得到的各未知數的解;
將所述各未知數的解代入至所述目標函數中,得到行為特征模型。
2.根據權利要求1所述的方法,其特征在于,所述確定與各所述網絡流量數據對應的目標屬性參數,包括:
獲取與各所述網絡流量數據對應的數據包,并對各所述數據包進行解析,得到與各所述網絡流量數據對應的目標屬性參數;
所述目標屬性參數包括下述至少一項:源互聯網協議IP地址、源端口、網絡協議、目的IP地址以及目的端口。
3.根據權利要求2所述的方法,其特征在于,所述對各所述目標屬性參數進行建模,生成行為特征模型,包括:
對各所述目標屬性參數進行分類,生成與每個目標屬性參數類別對應的集合;
提取各所述集合的特征向量,將各所述特征向量輸入至預設的機器學習模型中進行迭代訓練,生成所述行為特征模型。
4.根據權利要求3所述的方法,其特征在于,所述根據所述行為特征模型確定所述目標網絡流量數據是否為威脅事件,包括:
將與所述目標網絡流量數據對應的參考屬性參數輸入至所述行為特征模型中,根據所述行為特征模型的輸出結果確定所述目標網絡流量數據是否為威脅事件。
5.根據權利要求1所述的方法,其特征在于,所述根據所述行為特征模型確定所述目標網絡流量數據是否為威脅事件,包括:
將與所述目標網絡流量數據對應的參考屬性參數輸入至所述行為特征模型對應的目標函數中,輸出所述目標函數對所述參考屬性參數的求解結果;
當所述求解結果大于設定閾值時,確定所述目標網絡流量數據為威脅事件。
6.根據權利要求1-5中任一項所述的方法,其特征在于,在確定所述目標網絡流量數據為威脅事件之后,還包括:
對所述威脅事件進行攔截,可視化展示所述威脅事件的攻擊鏈路,并提示對已遭到攻擊的攻擊鏈路進行修復。
7.一種威脅事件識別裝置,其特征在于,包括:
目標屬性參數確定模塊,用于獲取至少一條網絡流量數據,并確定與各所述網絡流量數據對應的目標屬性參數;所述網絡流量數據為非威脅事件;
行為特征模型生成模塊,用于對各所述目標屬性參數進行建模,生成行為特征模型;
威脅事件確定模塊,用于當接收到目標網絡流量數據的訪問指令時,根據所述行為特征模型確定所述目標網絡流量數據是否為威脅事件;
其中,所述行為特征模型生成模塊,還用于:
將各所述目標屬性參數代入至目標函數中;
對所述目標函數進行求解,求解得到的各未知數的解;
將所述各未知數的解代入至所述目標函數中,得到行為特征模型。
8.一種威脅事件識別設備,其特征在于,所述威脅事件識別設備包括:
一個或多個處理器;
存儲裝置,用于存儲一個或多個程序,
當所述一個或多個程序被所述一個或多個處理器執行,使得所述一個或多個處理器實現如權利要求1-6中任一所述的威脅事件識別方法。
9.一種包含計算機可執行指令的存儲介質,其特征在于,所述計算機可執行指令在由計算機處理器執行時用于執行如權利要求1-6中任一所述的威脅事件識別方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于恒安嘉新(北京)科技股份公司,未經恒安嘉新(北京)科技股份公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110407357.1/1.html,轉載請聲明來源鉆瓜專利網。
