[发明专利]高级持续性攻击检测方法、装置、计算机设备和介质在审
| 申请号: | 202011632880.6 | 申请日: | 2020-12-31 |
| 公开(公告)号: | CN112738115A | 公开(公告)日: | 2021-04-30 |
| 发明(设计)人: | 鲍青波 | 申请(专利权)人: | 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京开阳星知识产权代理有限公司 11710 | 代理人: | 祝乐芳 |
| 地址: | 100000 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 高级 持续性 攻击 检测 方法 装置 计算机 设备 介质 | ||
1.一种高级持续性攻击检测方法,其特征在于,包括:
获取网络中的历史告警事件数据;
以预设时间周期对所述历史告警事件数据进行分类,得到多个历史告警事件数据子集;
根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图;
对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索。
2.根据权利要求1所述的方法,其特征在于,所述根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图,包括:
根据历史告警事件的源网络协议IP地址、目标IP地址和事件类型,生成每个历史告警事件数据子集对应的攻击关系图,其中,所述攻击关系图中的节点为所述源IP地址或者所述目标IP地址,所述攻击关系图中的边为所述事件类型。
3.根据权利要求1或2所述的方法,其特征在于,所述对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索,包括:
对所有攻击关系图进行频繁子图挖掘,获取候选攻击线索;
对所述候选攻击线索进行分析,获取目标攻击线索。
4.根据权利要求3所述的方法,其特征在于,所述对所述候选攻击线索进行分析,获取目标攻击线索,包括:
根据设置的频繁攻击行为的白名单,修改所述候选攻击线索中所述白名单对应的节点,确定修改后的候选攻击线索为所述目标攻击线索。
5.一种高级持续性攻击检测装置,其特征在于,包括:
获取模块,用于获取网络中的历史告警事件数据;
处理模块,用于以预设时间周期对所述历史告警事件数据进行分类,得到多个历史告警事件数据子集;
所述处理模块,还用于根据历史告警事件的源地址和目的地址,生成每个历史告警事件数据子集对应的攻击关系图;
所述处理模块,还用于对所有攻击关系图进行频繁子图挖掘,获取目标攻击线索。
6.根据权利要求5所述的装置,其特征在于,所述处理模块具体用于:
根据历史告警事件的源网络协议IP地址、目标IP地址和事件类型,生成每个历史告警事件数据子集对应的攻击关系图,其中,所述攻击关系图中的节点为所述源IP地址或者所述目标IP地址,所述攻击关系图中的边为所述事件类型。
7.根据权利要求5或6所述的装置,其特征在于,所述处理模块具体用于:
对所有攻击关系图进行频繁子图挖掘,获取候选攻击线索;
对所述候选攻击线索进行分析,获取目标攻击线索。
8.根据权利要求7所述的装置,其特征在于,所述处理模块具体用于:
根据设置的频繁攻击行为的白名单,修改所述候选攻击线索中所述白名单对应的节点,确定修改后的候选攻击线索为所述目标攻击线索。
9.一种计算机设备,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-4任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-4任一项所述的方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司,未经北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011632880.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种天地锁的联动锁止结构
- 下一篇:苹果石榴混合发酵酒的加工方法
