【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种生成网络杀伤链的方法、装置及电子设备。
技术介绍
1、随着网络技术的飞速发展,网络安全威胁也变得愈发复杂多样。网络攻击者采用越来越隐蔽、多层次、多源的攻击手段,给网络安全带来了极大的挑战。针对网络攻击的及时识别和精准还原攻击链对于确保网络安全至关重要。
2、现有网络攻击检测方法仅能使用单一日志检查异常,由于能够捕获的信息较少,检测准确性不高,且容易产生误报和漏报。当检测出攻击时,网络安全防护设备产生的告警也局限于单一的阶段,无法全面展示攻击过程中的多个环节和详细信息。这种情况下,安全人员很难获得攻击的完整上下文和准确信息,会影响安全人员对网络安全威胁的全面评估和及时应对。
技术实现思路
1、本申请提供一种生成网络杀伤链的方法、装置及电子设备,用以获得攻击的完整上下文和准确信息,有助于网络安全人员对网络安全威胁的全面评估和及时应对。
2、第一方面,本申请提供了一种生成网络杀伤链的方法,所述方法包括:
3、根据网络流量和终端行为生成多源日志和安全告警日志,其中,所述多源日志为不同设备端的原始日志;
4、对所述安全告警日志进行聚合处理得到聚合安全告警日志,基于所述聚合安全告警日志关联所述多源日志,得到用户行为序列,其中,所述用户行为序列为将相同用户在所述不同设备端产生的行为记录按照时序进行排列后的序列;
5、将所述用户行为序列输入预先训练的检测模型,基于所述检测模型检测所述用户行为序列中是否存在攻
6、当所述用户行为序列中存在攻击流量时,将所述用户行为序列输入预先训练的生成模型,基于所述生成模型生成所述攻击流量对应的网络杀伤链。
7、在一种可能的设计中,在所述根据网络流量和终端行为生成多源日志和安全告警日志之前,还包括:将任意多源日志数据输入大模型进行预训练,得到第一大模型;在所述第一大模型中增加分类层得到第二大模型,并将第一样本日志数据集输入所述第二大模型进行训练,得到所述检测模型,其中,所述第一样本日志数据集为按照时序进行排列拼接的,且携带标签的各个关联多源日志数据的集合,所述关联多源日志数据为同一用户关联的所有日志数据,所述标签为攻击流量标签或正常流量标签;将第二样本日志数据集输入所述第一大模型进行训练,得到输出网络杀伤链的文本描述的所述生成模型,其中,所述第二样本日志数据集为按照时序进行排列拼接的,且携带所述攻击流量标签的各个关联多源日志数据的集合。
8、在一种可能的设计中,所述基于所述聚合安全告警日志关联所述多源日志,得到用户行为序列包括:将所述聚合安全告警日志与所述多源日志进行关联,得到所有日志数据;从所述所有日志数据中,获取同一用户的所有行为记录;将所述所有行为记录按照时序进行排列,得到所述用户行为序列。
9、在一种可能的设计中,所述不同设备端的原始日志包括网侧日志、端侧日志以及服务日志。
10、在一种可能的设计中,所述网络杀伤链中包括攻击者的入侵路径、攻击手段以及攻击目标。
11、第二方面,本申请提供了一种生成网络杀伤链的装置,所述装置包括:
12、第一生成模块,根据网络流量和终端行为生成多源日志和安全告警日志,其中,所述多源日志为不同设备端的原始日志;
13、日志关联模块,对所述安全告警日志进行聚合处理得到聚合安全告警日志,基于所述聚合安全告警日志关联所述多源日志,得到用户行为序列,其中,所述用户行为序列为将相同用户在所述不同设备端产生的行为记录按照时序进行排列后的序列;
14、攻击检测模块,将所述用户行为序列输入预先训练的检测模型,基于所述检测模型检测所述用户行为序列中是否存在攻击流量;
15、第二生成模块,当所述用户行为序列中存在攻击流量时,将所述用户行为序列输入预先训练的生成模型,基于所述生成模型生成所述攻击流量对应的网络杀伤链。
16、在一种可能的设计中,所述装置还用于:将任意多源日志数据输入大模型进行预训练,得到第一大模型;在所述第一大模型中增加分类层得到第二大模型,并将第一样本日志数据集输入所述第二大模型进行训练,得到所述检测模型,其中,所述第一样本日志数据集为按照时序进行排列拼接的,且携带标签的各个关联多源日志数据的集合,所述关联多源日志数据为同一用户关联的所有日志数据,所述标签为攻击流量标签或正常流量标签;将第二样本日志数据集输入所述第一大模型进行训练,得到输出网络杀伤链的文本描述的所述生成模型,其中,所述第二样本日志数据集为按照时序进行排列拼接的,且携带所述攻击流量标签的各个关联多源日志数据的集合。
17、在一种可能的设计中,所述日志关联模块,具体用于:将所述聚合安全告警日志与所述多源日志进行关联,得到所有日志数据;从所述所有日志数据中,获取同一用户的所有行为记录;将所述所有行为记录按照时序进行排列,得到所述用户行为序列。
18、在一种可能的设计中,所述不同设备端的原始日志包括网侧日志、端侧日志以及服务日志。
19、在一种可能的设计中,所述网络杀伤链中包括攻击者的入侵路径、攻击手段以及攻击目标。
20、第三方面,本申请提供了一种电子设备,所述电子设备包括:
21、存储器,用于存放计算机程序;
22、处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的一种方法步骤。
23、第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的一种生成网络杀伤链的方法步骤。
24、上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
本文档来自技高网...【技术保护点】
1.一种生成网络杀伤链的方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,在所述根据网络流量和终端行为生成多源日志和安全告警日志之前,还包括:
3.如权利要求1所述的方法,其特征在于,所述基于所述聚合安全告警日志关联所述多源日志,得到用户行为序列包括:
4.如权利要求1所述的方法,其特征在于,所述不同设备端的原始日志包括网侧日志、端侧日志以及服务日志。
5.如权利要求1所述的方法,其特征在于,所述网络杀伤链中包括攻击者的入侵路径、攻击手段以及攻击目标。
6.一种生成网络杀伤链的装置,其特征在于,所述装置包括:
7.如权利要求6所述的装置,其特征在于,所述装置还用于:
8.如权利要求6所述的装置,其特征在于,所述日志关联模块,具体用于:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的方法步骤。
【技术特征摘要】
1.一种生成网络杀伤链的方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,在所述根据网络流量和终端行为生成多源日志和安全告警日志之前,还包括:
3.如权利要求1所述的方法,其特征在于,所述基于所述聚合安全告警日志关联所述多源日志,得到用户行为序列包括:
4.如权利要求1所述的方法,其特征在于,所述不同设备端的原始日志包括网侧日志、端侧日志以及服务日志。
5.如权利要求1所述的方法,其特征在于,所述网络杀伤链中...
【专利技术属性】
技术研发人员:危嘉祺,贾晋康,刘紫千,张敏,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。