【技术实现步骤摘要】
本申请涉及网络安全,具体而言,涉及一种攻击组织画像构建方法、装置、电子设备及存储介质。
技术介绍
1、近年来,随着信息化建设不断推进,信息技术得到了广泛应用,信息网络快速普及。信息网络在促进经济发展、社会进步、科技创新的同时,也带来十分突出的信息安全问题。现今的网络攻击手段逐步多样化、攻击方式也更加隐蔽,难以发现。
2、为了对网络攻击进行有效防御,相关技术中大多是对告警信息中的攻击者进行简单记录,并没有对攻击背后的信息进行深度挖掘,运营人员无法快速获得隐藏得更深的攻击信息,从而加大了网络安全运营的难度,降低了运营效率。
技术实现思路
1、本申请实施例的目的在于提供一种攻击组织画像构建方法、装置、电子设备及存储介质,用以改善现有方式中未深度挖掘攻击信息而导致网络安全运营难度大且运营效率低的问题。
2、第一方面,本申请实施例提供了一种攻击组织画像构建方法,所述方法包括:
3、获取构建的攻击图谱,所述攻击图谱是基于攻击信息构建的,所述攻击信息包括攻击ip以及所述攻击ip的相关信息,所述攻击ip的相关信息包括外网域名和/或外网标识,所述攻击图谱中属于同一攻击组织的攻击ip对应的节点与同一外网域名和/或外网标识对应的节点连接;
4、基于所述攻击图谱,构建各个攻击组织的攻击组织画像。
5、在上述实现过程中,本方案中通过构建攻击图谱,攻击图谱中将属于同一攻击组织的攻击ip对应的节点与同一外网域名和/或外网标识对应的节点连接,这样同一攻击
6、可选地,所述攻击组织画像包括以下至少一种信息:
7、各个攻击组织中攻击ip对资产的攻击情况,所述攻击情况包括告警类型以及告警次数;
8、各个攻击组织对应的外网标识和/或外网域名;
9、各个攻击组织的历史攻击行为;
10、各个攻击组织的威胁程度。
11、在上述实现过程中,从多个方面对攻击组织进行画像,从而可以从多个方面了解攻击组织的相关信息,进而为网络的安全运营提供有力帮助。
12、可选地,若所述攻击组织画像包括各个攻击组织的威胁程度,则通过以下方式获取各个攻击组织的威胁程度:
13、根据所述攻击图谱,获取各个攻击组织的相关攻击信息以及相关告警信息;
14、根据各个攻击组织的相关攻击信息以及相关告警信息,获取对应攻击组织的威胁程度。
15、在上述实现过程中,根据攻击组织的相关攻击信息以及相关告警信息获取攻击组织的威胁程度,如此可以准确衡量各个攻击组织的情况,帮助网络安全运营,提高运营效率。
16、可选地,所述相关告警信息包括攻击组织对应的攻击ip对应的告警信息中各个告警等级的告警个数;所述根据各个攻击组织的相关攻击信息以及相关告警信息,获取对应攻击组织的威胁程度,包括:
17、根据各个攻击组织的相关攻击信息和各个告警等级的告警个数,计算对应攻击组织的威胁得分,所述威胁得分表征该攻击组织的威胁程度。
18、在上述实现过程中,通过计算攻击组织的威胁得分,可以直观地知晓各个攻击组织的威胁情况,有助于提高运营人员的运营效率。
19、可选地,所述根据各个攻击组织的相关攻击信息和各个告警等级的告警个数,计算对应攻击组织的威胁得分,包括:
20、根据各个告警等级的告警个数确定对应的告警阈值;
21、根据各个告警等级的告警阈值以及各个攻击组织的相关攻击信息,计算对应攻击组织的威胁得分。
22、在上述实现过程中,获取各个告警等级的告警阈值来计算攻击组织的威胁得分,可以避免告警个数的数值很大导致计算得到的威胁得分很高的情况,所以通过告警阈值可以对告警个数转化的威胁分值进行抑制,以对威胁得分进行平衡。
23、可选地,所述根据各个告警等级的告警阈值以及各个攻击组织的相关攻击信息,计算对应攻击组织的威胁得分,包括:
24、根据对应攻击组织的各个告警等级的告警阈值以及对应告警等级的攻击信息,计算对应告警等级的威胁等级得分;
25、将各个告警等级对应的威胁等级得分进行相加,得到对应攻击组织的威胁得分。
26、在上述实现过程中,将攻击组织对应的各个告警等级的威胁等级得分进行相加得到攻击组织的威胁得分,如此可以更准确地衡量每个攻击组织的威胁情况。
27、可选地,所述攻击信息还包括受害ip以及所述受害ip的受害ip域名,各个攻击组织的相关攻击信息包括攻击ip个数、受害ip个数、外网域名个数、外网标识个数、告警名称个数和受害ip域名个数中的至少一种,所述相关告警信息包括攻击组织对应的攻击ip对应的告警信息中各个告警等级的告警个数,所述根据各个攻击组织的相关攻击信息和各个告警等级的告警个数,计算对应攻击组织的威胁得分,包括:
28、根据所述相关攻击信息,计算对应攻击组织的至少一种攻击得分;
29、根据各个告警等级的告警个数以及各个告警等级的攻击ip个数,计算对应攻击组织的威胁等级得分;
30、将所述至少一种攻击得分与所述威胁等级得分相加,得到对应攻击组织的威胁得分。
31、在上述实现过程中,根据相关攻击信息计算得到攻击组织的攻击得分,将攻击得分与威胁等级得分相加得到攻击组织的威胁得分,如此可以更准确地衡量攻击组织的威胁情况。
32、可选地,所述获取构建的攻击图谱之前,还包括:
33、生成各个攻击组织的组织标识;
34、将所述攻击信息作为攻击图谱中的节点,并为属于同一攻击组织的攻击ip标记对应的组织标识;
35、将属于同一攻击组织的攻击ip对应的节点与同一外网域名和/或外网标识对应的节点连接,以构建所述攻击图谱。
36、在上述实现过程中,在攻击图谱中体现组织标识,这样可以便于根据组织标识来获取各个攻击组织的相关信息。
37、可选地,构建攻击图谱之后,还包括:
38、获取新的攻击信息中的新攻击ip;
39、判断所述攻击图谱中是否存在所述新攻击ip;
40、若否,则为所述新攻击ip生成新的组织标识;
41、将所述新的组织标识以及所述新攻击ip添加到所述攻击图谱中。
42、在上述实现过程中,对攻击图谱进行更新,可有助于不断完善攻击图谱,可以不断丰富攻击组织画像。
43、第二方面,本申请实施例提供了一种攻击组织画像构建装置,所述装置包括:
44、图谱获取模块,用于获取构建的攻击图谱,所述攻击图谱是基于攻击信息构建的,所述攻击信息包括本文档来自技高网...
【技术保护点】
1.一种攻击组织画像构建方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述攻击组织画像包括以下至少一种信息:
3.根据权利要求2所述的方法,其特征在于,若所述攻击组织画像包括各个攻击组织的威胁程度,则通过以下方式获取各个攻击组织的威胁程度:
4.根据权利要求3所述的方法,其特征在于,所述相关告警信息包括攻击组织对应的攻击IP对应的告警信息中各个告警等级的告警个数;所述根据各个攻击组织的相关攻击信息以及相关告警信息,获取对应攻击组织的威胁程度,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据各个攻击组织的相关攻击信息和各个告警等级的告警个数,计算对应攻击组织的威胁得分,包括:
6.根据权利要求5所述的方法,其特征在于,所述根据各个告警等级的告警阈值以及各个攻击组织的相关攻击信息,计算对应攻击组织的威胁得分,包括:
7.根据权利要求4所述的方法,其特征在于,所述攻击信息还包括受害IP以及所述受害IP的受害IP域名,各个攻击组织的相关攻击信息包括攻击IP个数、受害IP个数、外
8.根据权利要求1所述的方法,其特征在于,所述获取构建的攻击图谱之前,还包括:
9.根据权利要求8所述的方法,其特征在于,构建所述攻击图谱之后,还包括:
10.一种攻击组织画像构建装置,其特征在于,所述装置包括:
11.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-9任一所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-9任一所述的方法。
13.一种计算机程序产品,其特征在于,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如权利要求1-9任一所述的方法。
...【技术特征摘要】
1.一种攻击组织画像构建方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述攻击组织画像包括以下至少一种信息:
3.根据权利要求2所述的方法,其特征在于,若所述攻击组织画像包括各个攻击组织的威胁程度,则通过以下方式获取各个攻击组织的威胁程度:
4.根据权利要求3所述的方法,其特征在于,所述相关告警信息包括攻击组织对应的攻击ip对应的告警信息中各个告警等级的告警个数;所述根据各个攻击组织的相关攻击信息以及相关告警信息,获取对应攻击组织的威胁程度,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据各个攻击组织的相关攻击信息和各个告警等级的告警个数,计算对应攻击组织的威胁得分,包括:
6.根据权利要求5所述的方法,其特征在于,所述根据各个告警等级的告警阈值以及各个攻击组织的相关攻击信息,计算对应攻击组织的威胁得分,包括:
7.根据权利要求4所述的方法,其特征在于,所述攻击信息还包括受害ip以及所述受害ip的受害ip域名,各个攻击组织的相关攻击信息包括攻击ip个数、受...
【专利技术属性】
技术研发人员:李云龙,谭学士,陈祚松,李洪亮,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。