【技术实现步骤摘要】
本专利技术涉及网络安全领域,特别涉及一种攻击团伙画像分析方法、装置、设备及存储介质。
技术介绍
1、攻击团伙画像分析可以帮助安全从业人员更好地了解特定攻击团伙的行为模式、攻击手段、目标和动机等信息,有助于制定更有效的防御策略和应对措施。目前已有许多基于深度学习的网络流量异常检测方法可供选择。
2、然而,在现实的应用场景中,第一种方法提出了一个名为rtag(real-time activegateway,数据流标记和跟踪)的数据流标记和跟踪系统,但由于rtag系统在不同的攻击团伙所采用的不同攻击类型上的团伙识别能力较差,同时对攻击行为模式的解释能力也有限,因此通过rtag系统对告警日志数据的适用性较低。另外,第二种方法单纯使用图神经网络构建攻击行为图,并使用时间戳进行判断以筛选不同的攻击行为模式,很大程度上依赖于经验意识来定义时间戳,并且无法全面分析攻击团伙行为的整体情况。第三种方法构建溯源图和异构图,但其基于神经网络的方法对数据的依赖性较强。此外,由于在真实场景中,不同安全设备产生的日志数据质量参差不齐,这会影响构建溯源图或...
【技术保护点】
1.一种攻击团伙画像分析方法,其特征在于,包括:
2.根据权利要求1所述的攻击团伙画像分析方法,其特征在于,所述基于预设数据源进行日志采集,并基于采集到的多种待处理日志、预设数据处理规则依次进行日志融合、异构攻击行为图构建,以得到相应的目标异构攻击行为图,包括:
3.根据权利要求2所述的攻击团伙画像分析方法,其特征在于,所述利用预设仿真工具以及所述融合后信息进行相应的异构攻击行为图构建,以得到目标异构攻击行为图,包括:
4.根据权利要求1至3任一项所述的攻击团伙画像分析方法,其特征在于,所述基于得到的向量信息以及预设关键节点行为子图...
【技术特征摘要】
1.一种攻击团伙画像分析方法,其特征在于,包括:
2.根据权利要求1所述的攻击团伙画像分析方法,其特征在于,所述基于预设数据源进行日志采集,并基于采集到的多种待处理日志、预设数据处理规则依次进行日志融合、异构攻击行为图构建,以得到相应的目标异构攻击行为图,包括:
3.根据权利要求2所述的攻击团伙画像分析方法,其特征在于,所述利用预设仿真工具以及所述融合后信息进行相应的异构攻击行为图构建,以得到目标异构攻击行为图,包括:
4.根据权利要求1至3任一项所述的攻击团伙画像分析方法,其特征在于,所述基于得到的向量信息以及预设关键节点行为子图向量特征提取规则进行关键节点枚举、子图构建、特征提取,以得到相应的目标向量特征,包括:
5.根据权利要求4所述的攻击团伙画像分析方法,其特征在于,所述基于graph sage图神经网络以及所述目标向量特征进行关键节点...
【专利技术属性】
技术研发人员:周刚涛,龙文洁,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。