本申请实施例公开了一种攻击技术的预测方法。在该方法中,采集安全事件;根据所述安全事件更新攻击模式监测列表;基于预设的概率模型和更新后的攻击模式监测列表预测攻击技术发生的概率。由此可见,利用本申请实施例提供的方案,通过实时更新攻击模式监测列表,能够使得预测安全攻击发生的概率随着时间的推进而发生变化,通过预设的概率模型和实时更新的攻击模式监测列表计算概率值,能够预测具体攻击技术的发生概率,并且提高计算的概率值的准确度,从而为用户提供更高价值的安全防护预警。警。警。
【技术实现步骤摘要】
一种攻击技术的预测方法及系统
[0001]本申请涉及信息安全
领域,尤其涉及一种攻击技术的预测方法及系统。
技术介绍
[0002]在信息安全领域中,网络安全态势感知是通过将入侵检测系统、日志审计系统、终端防护系统等安全系统的数据进行收集后,针对当前网络的安全情况进行评估并预测未来变化趋势的一种系统。预测是态势感知的重要任务之一。
[0003]目前的态势感知系统大多数是针对攻击事件的总体趋势进行预测,如通过时间序列模型对某类型攻击事件发生频度数进行预测,这种预测方法无法预测具体攻击技术的发生概率,并不能为用户提供高价值的安全防护预警。
技术实现思路
[0004]本申请实施例提供了一种攻击技术的预测方法及系统,可以预测具体攻击技术的发生概率。
[0005]本申请第一方面提供了一种攻击技术的预测方法,所述方法包括:
[0006]采集安全事件;
[0007]根据所述安全事件更新攻击模式监测列表;
[0008]基于预设的概率模型和更新后的攻击模式监测列表预测攻击技术发生的概率。
[0009]可选的,所述方法采集一个采集周期内的安全事件。
[0010]可选的,所述根据所述安全事件更新攻击模式监测列表,包括:
[0011]根据安全事件对应的攻击技术匹配监测中的攻击模式的攻击技术,更新所述攻击技术的状态,得到更新后的攻击模式监测列表。
[0012]可选的,所述方法,还包括:
[0013]将更新后的攻击模式监测列表中已经完全发生的攻击模式,或超过监测周期的攻击模式从所述更新后的攻击模式监测列表中删除,其中,完全发生的攻击模式为攻击模式中的所有攻击技术都已发生,超过监测周期的攻击模式为攻击模式中的上一个攻击技术发生开始,超过预设的监测周期还未发生下一个攻击技术。
[0014]可选的,所述基于预先训练的概率模型和更新后的攻击模式监测列表预测攻击技术发生的概率,包括:
[0015]计算当前时刻与第一攻击时刻的第一时间差,从而确定预测窗口的起始位置,其中,所述第一攻击时刻为目标预测攻击模式中已经发生的攻击技术的攻击时刻;所述第一时间差为所述采集周期的m倍,以所述m对应的时间点作为所述预测窗口的起始位置;
[0016]计算当前时刻与第二攻击时刻的第二时间差,从而确定预测窗口的结束位置,其中,所述第二攻击时刻为目标预测攻击模式中预测的攻击技术的攻击时刻;所述第一时间差为所述采集周期的n倍,以所述n对应的时间点作为所述预测窗口的结束位置;
[0017]基于预设的概率模型计算第m个采集周期到第m+n个采集周期内的概率和,所述概
率和为预测的攻击技术的发生概率。
[0018]可选的,所述方法,还包括:
[0019]获取与攻击模式的第一个攻击技术对应的安全事件;
[0020]获取所述安全事件后的预设的监测周期内的安全事件集;
[0021]统计所述安全事件集中每个采集周期内所述攻击模式中每个攻击技术对应的安全事件的出现个数;
[0022]计算每个攻击技术在每个采集周期内的概率值,将所述概率值存储于攻击技术概率模型库。
[0023]本申请第二方面提供了一种攻击技术的预测系统,所述系统包括:
[0024]日志采集模块,用于采集安全事件;
[0025]攻击模式状态监测模块,用于根据所述安全事件更新攻击模式监测列表;
[0026]安全攻击技术预测模块,用于基于预设的概率模型和更新后的攻击模式监测列表预测攻击技术发生的概率。
[0027]可选的,所述攻击模式状态监测模块,具体用于:
[0028]根据安全事件对应的攻击技术匹配监测中的攻击模式的攻击技术,更新所述攻击技术的状态,得到更新后的攻击模式监测列表。
[0029]可选的,所述安全攻击技术预测模块,具有用于:
[0030]计算当前时刻与第一攻击时刻的第一时间差,从而确定预测窗口的起始位置,其中,所述第一攻击时刻为目标预测攻击模式中已经发生的攻击技术的攻击时刻;所述第一时间差为所述采集周期的m倍,以所述m对应的时间点作为所述预测窗口的起始位置;
[0031]计算当前时刻与第二攻击时刻的第二时间差,从而确定预测窗口的结束位置,其中,所述第二攻击时刻为目标预测攻击模式中预测的攻击技术的攻击时刻;所述第一时间差为所述采集周期的n倍,以所述n对应的时间点作为所述预测窗口的结束位置;
[0032]基于预设的概率模型计算第m个采集周期到第m+n个采集周期内的概率和,所述概率和为预测的攻击技术的发生概率。
[0033]可选的,所述系统,还包括:攻击技术概率计算模块和攻击技术概率模型库;
[0034]所述攻击技术概率计算模块,用于从攻击模式库中获取攻击模式;从训练数据集中获取与所述攻击模式的第一个攻击技术对应的安全事件;获取所述安全事件后的预设的监测周期内的安全事件集;统计所述安全事件集中每个采集周期内所述攻击模式中每个攻击技术对应所述安全事件的出现个数;计算每个攻击技术在每个采集周期内的概率值;
[0035]攻击技术概率模型库,用于存储所述概率值。
[0036]本申请实施例公开了一种攻击技术的预测方法。在该方法中,采集安全事件;根据所述安全事件更新攻击模式监测列表;基于预设的概率模型和更新后的攻击模式监测列表预测攻击技术发生的概率。由此可见,利用本申请实施例提供的方案,通过实时更新攻击模式监测列表,能够使得预测安全攻击发生的概率随着时间的推进而发生变化,通过预设的概率模型和实时更新的攻击模式监测列表计算概率值,能够预测具体攻击技术的发生概率,并且提高计算的概率值的准确度,从而为用户提供更高价值的安全防护预警。
附图说明
[0037]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0038]图1为本申请实施例提供的一种攻击技术的预测方法的流程示意图;
[0039]图2为本申请实施例提供的一种概率模型的训练方法的流程示意图;
[0040]图3为本申请实施例提供的一种攻击技术的预测系统的结构示意图。
具体实施方式
[0041]本申请实施例提供了一种攻击技术的预测方法及系统,用于预测具体攻击技术的发生概率。
[0042]态势感知系统大多数是针对攻击事件的总体趋势进行预测,如通过时间序列模型对某类型攻击事件发生频度数进行预测,但是真正的高威胁安全攻击往往是隐藏在众多数量的噪音事件之下的少数攻击事件,因此这种预测方法并不能为用户提供高价值的安全防护预警。预测特定的安全攻击事件目前往往采用粗粒度的杀伤链或估计阶段和时序结合的方式,这种预测方式一方面没有考虑到安全事件之间的真正关联性,另一方面也只关注的安全事件本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击技术的预测方法,其特征在于,所述方法包括:采集安全事件;根据所述安全事件更新攻击模式监测列表;基于预设的概率模型和更新后的攻击模式监测列表预测攻击技术发生的概率。2.根据权利要求1所述的方法,其特征在于,所述方法采集一个采集周期内的安全事件。3.根据权利要求1所述的方法,其特征在于,所述根据所述安全事件更新攻击模式监测列表,包括:根据所述安全事件对应的攻击技术匹配监测中的攻击模式的攻击技术,更新所述攻击技术的状态,得到更新后的攻击模式监测列表。4.根据权利要求3所述的方法,其特征在于,所述方法,还包括:将更新后的攻击模式监测列表中已经完全发生的攻击模式,或超过监测周期的攻击模式从所述更新后的攻击模式监测列表中删除,其中,完全发生的攻击模式为攻击模式中的所有攻击技术都已发生,超过监测周期的攻击模式为攻击模式中的上一个攻击技术发生开始,超过预设的监测周期还未发生下一个攻击技术。5.根据权利要求1所述的方法,其特征在于,所述基于预先训练的概率模型和更新后的攻击模式监测列表预测攻击技术发生的概率,包括:计算当前时刻与第一攻击时刻的第一时间差,从而确定预测窗口的起始位置,其中,所述第一攻击时刻为目标预测攻击模式中已经发生的攻击技术的攻击时刻;所述第一时间差为所述采集周期的m倍,以所述m对应的时间点作为所述预测窗口的起始位置;计算当前时刻与第二攻击时刻的第二时间差,从而确定预测窗口的结束位置,其中,所述第二攻击时刻为目标预测攻击模式中预测的攻击技术的攻击时刻;所述第一时间差为所述采集周期的n倍,以所述n对应的时间点作为所述预测窗口的结束位置;基于预设的概率模型计算第m个采集周期到第m+n个采集周期内的概率和,所述概率和为预测的攻击技术的发生概率。6.根据权利要求1所述的方法,其特征在于,所述方法,还包括:获取与攻击模式的第一个攻击技术对应的安全事件;获取所述安全事件后的预设的监测周期内的安全事件集;统计所述安全事...
【专利技术属性】
技术研发人员:李陟,田源,罗欢,
申请(专利权)人:北京启明星辰信息安全技术有限公司启明星辰信息技术集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。