【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种威胁的归因预测方法、装置、介质及电子设备。
技术介绍
1、在当今技术飞速发展和全球互联驱动的大环境下,各种规模和类型的组织都在应对新的挑战。这个时代特征是计算机、网络和软件系统的复杂性不断增加,以及网络攻击手段的持续演变。美国国防部和空军首次定义的高级持续性威胁(apt)攻击,现已成为网络安全防御领域的一个焦点难题。apt攻击的核心特点是其先进性、隐蔽性和持久性。
2、尽管企业和机构已投入大量资源应对apt攻击,但这些攻击的复杂性和多样性持续上升。apt攻击手法狡猾多变,包括针对性的信息收集、社会工程学手段、定制化恶意软件和利用零日漏洞(0day漏洞)等。攻击者往往利用先进的伪装和逃避技术,使攻击行动分阶段执行并长期潜伏。例如,他们经常利用系统管理员的原生工具进行攻击,从而规避安全监控。apt攻击具有多阶段的生命周期,可能在长期内逐步展开。mitre att&ck框架为这些攻击的策略和技术提供了标准化的描述。当前网络安全环境中,对抗高级持续性威胁(apt)等复杂攻击的技术主要集中在传统静态网络安全防御方式和系统审计方法。
3、传统基于签名和规则的静态网络安全防御方式包括防火墙、入侵检测系统(ids)和反病毒软件,是网络安全的基石。防火墙通过设定网络访问控制规则来阻止未经授权的访问,为企业网络提供第一道防线。入侵检测系统通过监控网络或系统活动,使用特定的流量模式来识别例如分布式拒绝服务(ddos)等特定类型的网络攻击。反病毒软件则依赖于一个包含恶意软件签名的数
4、虽然现有的用于对抗高级持续性威胁的方式能够实现一定的防御作用,但在不同的方面都存在有短板。如:传统的静态防御技术已被广泛应用于应对常规攻击类型。这些方法通过阻断来自已知恶意源的流量或识别典型的恶意软件,如病毒和木马。然而,面对如高级持续性威胁(apt)这类先进攻击,其复杂和多变的技术手段使它们能够快速迭代入侵工具,并专门针对现有防御机制进行适应以规避检测,因而静态防御手段难以有效识别和应对新型或未知的攻击模式。基于系统审计日志的威胁狩猎技术通过分析系统日志来识别潜在的安全威胁,但在处理大量日志数据时面临挑战,尤其是在区分正常和恶意活动方面。同时,因为这类方法的威胁搜寻很大程度上依赖于具有足量威胁指证信息的系统审计日志,而apt攻击往往分阶段进行,长期隐匿,并且在攻击完成后才显现出其破坏性。这类方法通常假设apt攻击会在短时间内完成对目标系统的各个战略攻陷阶段,而实际上,apt攻击完成后往往已经造成了严重的损害。因此该类技术在网络安全防御系统中发挥其效能的阶段是在整个防御保障周期中偏滞后的。
技术实现思路
1、本专利技术的目的在于提供一种威胁的归因预测方法、装置、介质及电子设备,用以改善现有技术中对于网络威胁的处理主动性和深入程度不足的问题。
2、第一方面,本专利技术所提供的威胁的归因预测方法包括:获取系统记录的网络访问信息,根据所述网络访问信息提取对应的ip数据;从威胁情报数据平台查询匹配所述ip数据的ip节点,根据所述ip节点获取ip威胁情报数据;根据所述ip威胁情报数据进行威胁组织归因推理,得到威胁的归因预测结果。
3、本专利技术提供的方法的有益效果在于:以根据apt攻击者在威胁早期阶段可能在目标系统中留下的威胁指纹数据,使用威胁情报知识图谱与外部威胁情报库协同分析,获取威胁指纹关联的威胁先验知识以实现威胁嗅探。进一步通过机器学习算法分析推理,对攻击者身份进行归因以实现威胁刻画。实现网络安全防御阶段的有效前移,提升现有防御系统对新型和未知威胁的响应能力,增强整个网络安全体系的主动性和有效性,可以有效提升对早期潜在威胁的感知和反应能力,增强安全分析师对网络威胁的理解和响应效率。
4、一种可能的实施例中,所述方法还包括:获取所述ip数据、所述ip威胁情报数据和所述归因预测结果,整合生成威胁的归因预测报告。
5、另一种可能的实施例中,从威胁情报数据平台查询匹配所述ip数据的ip节点,根据所述ip节点获取ip威胁情报数据,包括:从威胁情报知识图谱中查询是否存在匹配所述ip数据的ip节点;若存在匹配所述ip数据的ip节点,则通过所述ip节点进行链接查询以获取ip威胁情报数据,若不存在匹配所述ip数据的ip节点,则采用外部威胁情报库进行分析补充以获取ip威胁情报数据。
6、其他可能的实施例中,根据所述ip威胁情报数据进行威胁组织归因推理,包括:根据所述ip威胁情报数据,采用随机森林和梯度提升学习融合的集成学习模型进行威胁组织归因推理。
7、第二方面,本专利技术还提供了一种威胁的归因预测装置,所述装置包括:
8、提取单元,用于获取系统记录的网络访问信息,根据所述网络访问信息提取对应的ip数据;
9、查询单元,用于从威胁情报数据平台查询匹配所述ip数据的ip节点,根据所述ip节点获取ip威胁情报数据;
10、归因推理单元,用于根据所述ip威胁情报数据进行威胁组织归因推理,得到威胁的归因预测结果。
11、报告单元,用于获取所述ip数据、所述ip威胁情报数据和所述归因预测结果,整合生成威胁的归因预测报告。
12、所述查询单元从威胁情报数据平台查询匹配所述ip数据的ip节点,根据所述ip节点获取ip威胁情报数据,具体用于:从威胁情报知识图谱中查询是否存在匹配所述ip数据的ip节点;若存在匹配所述ip数据的ip节点,则通过所述ip节点进行链接查询以获取ip威胁情报数据,若不存在匹配所述ip数据的ip节点,则采用外部威胁情报库进行分析补充以获取ip威胁情报数据。
13、所述归因推理单元根据所述ip威胁情报数据进行威胁组织归因推理,具体用于:根据所述ip威胁情报数据,采用随机森林和梯度提升学习融合的集成学习模型进行威胁组织归因推理。
14、第三方面,本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述威胁的归因预测方法。
15、第四方面,本专利技术还提供了一种电子设备,包括:处理器及存储器;所述存储器用于存储本文档来自技高网...
【技术保护点】
1.一种威胁的归因预测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,还包括:
3.根据权利要求1所述的方法,其特征在于,从威胁情报数据平台查询匹配所述IP数据的IP节点,根据所述IP节点获取IP威胁情报数据,包括:
4.根据权利要求1所述的方法,其特征在于,根据所述IP威胁情报数据进行威胁组织归因推理,包括:
5.一种威胁的归因预测装置,其特征在于,包括:
6.根据权利要求5所述的装置,其特征在于,还包括:
7.根据权利要求5所述的装置,其特征在于,所述查询单元从威胁情报数据平台查询匹配所述IP数据的IP节点,根据所述IP节点获取IP威胁情报数据,具体用于:
8.根据权利要求5所述的装置,其特征在于,所述归因推理单元根据所述IP威胁情报数据进行威胁组织归因推理,具体用于:
9.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的威胁的归因预测方法。
10.一种
...【技术特征摘要】
1.一种威胁的归因预测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,还包括:
3.根据权利要求1所述的方法,其特征在于,从威胁情报数据平台查询匹配所述ip数据的ip节点,根据所述ip节点获取ip威胁情报数据,包括:
4.根据权利要求1所述的方法,其特征在于,根据所述ip威胁情报数据进行威胁组织归因推理,包括:
5.一种威胁的归因预测装置,其特征在于,包括:
6.根据权利要求5所述的装置,其特征在于,还包括:
7.根...
【专利技术属性】
技术研发人员:田志宏,王梓宇,周盈海,刘园,仇晶,鲁辉,李默涵,孙彦斌,何群,徐天福,邱日轩,郑志彬,崔宇,王瑞,任怡彤,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。