本申请实施例公开了一种攻击链路检测方法、装置以及电子设备。其中,该方法包括:获取知识图谱,其中,知识图谱是基于网络端安全告警中标识信息和/或终端安全告警中标识信息构建的;搜索知识图谱中的所有路径;针对每一路径,根据该路径中各节点的属性信息计算该路径对应的量化信息,其中,量化信息用于表征路径是否异常;基于量化信息确定攻击链路。通过上述方式使得,可以针对知识图谱中每一路径,根据该路径中各节点的属性信息计算该路径对应的量化信息,以基于量化信息确定攻击链路,从而通过每条路径中的属性信息对每条路径进行量化分析,提高了攻击链路的检测准确性。提高了攻击链路的检测准确性。提高了攻击链路的检测准确性。
【技术实现步骤摘要】
攻击链路检测方法、装置以及电子设备
[0001]本申请涉及信息安全
,更具体地,涉及一种攻击链路检测方法、装置以及电子设备。
技术介绍
[0002]随着信息化技术的发展,针对核心信息系统和关键信息基础设施的安全事件频发,在此背景下,人们越来越关注攻击链路的检测。在相关方式中,可以基于规则来检测攻击链路。但相关方式还存在检测到的攻击链路不够准确的问题。
技术实现思路
[0003]鉴于上述问题,本申请提出了一种攻击链路检测方法、装置以及电子设备,以实现改善上述问题。
[0004]第一方面,本申请提供了一种攻击链路检测方法,所述方法包括:获取知识图谱,其中,所述知识图谱是基于网络端安全告警中标识信息和/或终端安全告警中标识信息构建的;搜索所述知识图谱中的所有路径;针对每一路径,根据该路径中各节点的属性信息计算该路径对应的量化信息,其中,所述量化信息用于表征所述路径是否异常;基于所述量化信息确定攻击链路。
[0005]可选的,所述属性信息包括异常值、威胁程度、置信程度、设备类型中的至少一项,所述根据该路径中各节点的属性信息计算该路径对应的量化信息,包括:根据所述知识图谱和节点重要程度评估算法计算所述各节点各自对应的第一得分,所述第一得分表征所述各节点各自对应的重要程度;基于所述第一得分得到所述多条路径各自对应的第一评分;根据所述属性信息计算所述各节点各自对应的第二得分,所述第二得分表征所述各节点各自对应的危险程度;基于所述第二得分得到所述多条路径各自对应的第二评分;基于所述第一评分和所述第二评分,得到所述多条路径各自对应的量化信息。
[0006]可选的,所述基于所述第一评分和所述第二评分,得到所述多条路径各自对应的量化信息,包括:对所述第一评分和所述第二评分进行加权求和,得到所述多条路径各自对应的量化信息。
[0007]在本申请实施例中,可以基于表征每个节点重要程度的第一得分和表征每个节点危险程度的第二得分,得到多条路径各自对应的第一评分和第二评分,并基于多条路径各自对应的第一评分和第二评分得到多条路径各自对应的量化信息,使得可以基于多维度对路径是否为攻击链路进行综合判断,提高了判断的准确性,进而降低了攻击链路检测的误检率。
[0008]可选的,所述获取知识图谱之前,还包括:获取多个安全告警,所述多个安全告警包括网络端安全告警和/或终端安全告警,所述网络端安全告警和所述终端安全告警均包含对应的标识信息;基于所述网络端安全告警中标识信息和/或所述终端安全告警中标识信息,得到与所述标识信息对应的IP(Intellectual Property,网际互连协议)地址、主机
标识;基于所述IP地址和所述主机名称,得到所述多个安全告警之间的关系;基于所述多个安全告警之间的关系,构建知识图谱。
[0009]第二方面,本申请提供了一种攻击链路检测方法装置,所述装置包括:知识图谱获取单元,用于获取知识图谱,其中,所述知识图谱是基于网络端安全告警中标识信息和/或终端安全告警中标识信息构建的;量化信息获取单元,用于搜索所述知识图谱中的所有路径;针对每一路径,根据该路径中各节点的属性信息计算该路径对应的量化信息,其中,所述量化信息用于表征所述路径是否异常;攻击链路获取单元,用于基于所述量化信息确定攻击链路。
[0010]第三方面,本申请提供了一种服务器,包括一个或多个处理器以及存储器;一个或多个程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序配置用于执行上述的方法。
[0011]第四方面,本申请提供的一种计算机可读存储介质,所述计算机可读存储介质中存储有程序代码,其中,在所述程序代码运行时执行上述的方法。
[0012]本申请提供的一种攻击链路检测方法、装置、电子设备以及存储介质,在获取基于网络端安全告警中标识信息和/或终端安全告警中标识信息构建的知识图谱后,针对每一路径,根据该路径中各节点的属性信息计算该路径对应的表征所述路径是否异常的量化信息,其中,所述量化信息用于表征所述路径是否异常,基于所述量化信息确定攻击链路。通过上述方式使得,可以针对知识图谱中每一路径,根据该路径中各节点的属性信息计算该路径对应的量化信息,以基于量化信息确定攻击链路,从而通过每条路径中的属性信息对每条路径进行量化分析,提高了攻击链路的检测准确性。
附图说明
[0013]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0014]图1示出了本申请提出的一种知识图谱的示意图;
[0015]图2示出了本申请实施例提出的一种攻击链路检测方法的流程图;
[0016]图3示出了本申请图2中S130的一种实施方式的流程图;
[0017]图4示出了本申请提出的一种攻击链路检测方法的基本业务流程图;
[0018]图5示出了本申请实施例提出的一种攻击链路检测装置的结构框图;
[0019]图6示出了本申请提出的一种电子设备的结构框图;
[0020]图7是本申请实施例的用于保存或者携带实现根据本申请实施例的攻击链路检测方法的程序代码的存储单元。
具体实施方式
[0021]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0022]随着信息化技术的发展,人们越来越关注信息安全问题,在此背景下,攻击链路的检测开始成为研究热点。在相关方式中,可以基于规则来检测攻击链路。
[0023]专利技术人在对相关研究中发现,相关方式还存在检测到的攻击链路不够全面的问题。
[0024]因此,专利技术人提出了本申请中的一种攻击链路检测方法、装置以及电子设备,在获取基于网络端安全告警中标识信息和/或终端安全告警中标识信息构建的知识图谱后,针对每一路径,根据该路径中各节点的属性信息计算该路径对应的表征所述路径是否异常的量化信息,其中,所述量化信息用于表征所述路径是否异常,基于所述量化信息确定攻击链路。通过上述方式使得,可以针对知识图谱中每一路径,根据该路径中各节点的属性信息计算该路径对应的量化信息,以基于量化信息确定攻击链路,从而通过每条路径中的属性信息对每条路径进行量化分析,提高了攻击链路的检测准确性。
[0025]为了更好地理解下面先对本申请实施例所使用的技术名词解释。
[0026]知识图谱:可以指以图的形式表现客观世界中的实体之间关系的知识库,实体可以是真实世界中的物体或抽象的概念,关系可以表示实体间的联系。示例性的,如图1中左图所示,知识图谱中的节点可以表示相同类型的实体,知识图谱中的边可以表示相同类型的关系;如图1中右图所示,知识图谱中的节点可以表示不同类型的实体,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击链路检测方法,其特征在于,所述方法包括:获取知识图谱,其中,所述知识图谱是基于网络端安全告警中标识信息和/或终端安全告警中标识信息构建的;搜索所述知识图谱中的所有路径;针对每一路径,根据该路径中各节点的属性信息计算该路径对应的量化信息,其中,所述量化信息用于表征所述路径是否异常;基于所述量化信息确定攻击链路。2.根据权利要求1所述的方法,其特征在于,所述属性信息包括异常值、威胁程度、置信程度、设备类型中的至少一项,所述根据该路径中各节点的属性信息计算该路径对应的量化信息,包括:根据所述知识图谱和节点重要程度评估算法计算所述各节点各自对应的第一得分,所述第一得分表征所述各节点各自对应的重要程度;基于所述第一得分得到所述多条路径各自对应的第一评分;根据所述属性信息计算所述各节点各自对应的第二得分,所述第二得分表征所述各节点各自对应的危险程度;基于所述第二得分得到所述多条路径各自对应的第二评分;基于所述第一评分和所述第二评分,得到所述多条路径各自对应的量化信息。3.根据权利要求2所述的方法,其特征在于,所述基于所述第一评分和所述第二评分,得到所述多条路径各自对应的量化信息,包括:对所述第一评分和所述第二评分进行加权求和,得到所述多条路径各自对应的量化信息。4.根据权利要求1所述的方法,其特征在于,所述获取知识图谱之前,还包括:获...
【专利技术属性】
技术研发人员:宁阳,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。