【技术实现步骤摘要】
一种内网横向移动攻击行为的检测方法及装置
本公开涉及计算机
,尤其涉及一种内网横向移动攻击行为的检测方法及装置。
技术介绍
网络攻击者穿透网络边界防御后,会以被入侵设备做为立足点,在网络内部收集信息,以提升在内部网络中控制权限;网络攻击者在网络内部进行非法行为统称为内网横向移动攻击行为。针对该行为,传统的网络攻击检测技术主要是在网络边界上对网络行为进行异常检测,或者在内部核心网络上对网络行为进行行为检测。然而,由于传统检测技术存在诸多缺陷,比如无法确定异常行为的具体目的,不便于网络管理员直接采取措施,导致在日益复杂的网络环境中,攻击行为的检测准确性很低,尤其是对于高级攻击行为、新型未知攻击行为,传统检测技术很难检测到。
技术实现思路
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种内网横向移动攻击行为的检测方法及装置。本公开提供了一种内网横向移动攻击行为的检测方法,包括:采集内网日志信息,并基于所述日志信息生成安全事件对象;对所述安全事件对象进行组合排列,得到对象...
【技术保护点】
1.一种内网横向移动攻击行为的检测方法,其特征在于,包括:/n采集内网日志信息,并基于所述日志信息生成安全事件对象;/n对所述安全事件对象进行组合排列,得到对象组合;/n基于预先训练好的检测模型预测所述对象组合对应的网络行为目的;/n根据所述网络行为目的确定是否存在横向移动攻击行为。/n
【技术特征摘要】
1.一种内网横向移动攻击行为的检测方法,其特征在于,包括:
采集内网日志信息,并基于所述日志信息生成安全事件对象;
对所述安全事件对象进行组合排列,得到对象组合;
基于预先训练好的检测模型预测所述对象组合对应的网络行为目的;
根据所述网络行为目的确定是否存在横向移动攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述基于所述日志信息生成安全事件对象的步骤,包括:
对所述日志信息进行数据处理,得到安全事件对象;其中,所述数据处理包括:数据解析、数据过滤、数据清洗、增加数据标签和数据格式化;所述安全事件对象包括如下基本元素:事件发生时间、控制端IP、控制端端口、被控端IP、被控端端口、事件名称、事件标签。
3.根据权利要求1所述的方法,其特征在于,所述对所述安全事件对象进行组合排列,得到对象组合的步骤,包括:
按照预设的分析方式和组合维度对所述安全事件对象进行组合排列;
其中,所述分析方式包括:统计分析方式、时间序列分析方式和图计算分析方式;
所述组合维度包括:时间序列、所述安全事件对象之间的事件关系、行为习惯、传输内容和账号使用信息。
4.根据权利要求1所述的方法,其特征在于,所述基于预先训练好的检测模型预测所述对象组合对应的网络行为目的的步骤,包括:
将当前对象组合输入至预先训练好的检测模型,通过所述检测模型对所述当前对象组合进行分析,得到所述当前对象组合对应的当前网络行为目的;
基于上一阶段预测到的历史网络行为目的,验证所述当前网络行为目的与所述历...
【专利技术属性】
技术研发人员:郭文刚,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。