一种网络安全防护方法、装置及介质转让专利
申请号 : CN202311087057.5
文献号 : CN116827687B
文献日 : 2023-11-03
发明人 : 李丹 , 肖新光
申请人 : 北京安天网络安全技术有限公司
摘要 :
权利要求 :
1.一种网络安全防护方法,其特征在于,包括:
获取目标设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量;
获取目标设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排序第j的前台应用的应用特征;m为预设数量;
获取目标设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最大内存占用率排序第j的后台应用的应用特征;
根据D、QTY和HTY,确定所述目标设备对应的目标特征向量Q =(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi);
将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段;
根据所述目标时间段对所述目标设备进行安全防护。
2.根据权利要求1所述的方法,其特征在于,
QTYij=(QCPUij,QRAMij,QWLij);其中,QCPUij为第j个前台应用在第i个历史时间段内的最大CPU占用率,QRAMij为第j个前台应用在第i个历史时间段内的最大内存占用率,QWLij为第j个前台应用在第i个历史时间段内的最大网络占用率;
HTYij=(HCPUij,HRAMij,HWLij);其中,HCPUij为第j个后台应用在第i个历史时间段内的最大CPU占用率,HRAMij为第j个后台应用在第i个历史时间段内的最大内存占用率,HWLij为第j个后台应用在第i个历史时间段内的最大网络占用率。
3.根据权利要求1或2所述的方法,其特征在于,所述将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段,包括:将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的概率集V=(V1,V2,…,Vh,…,Vk);其中,h=1,2,…,k;Vh为所述目标设备对应的在第h个预测时间段内发生网络威胁事件的概率;各预测时间段连续排布,且对应的时长相同;每一预测时间段均晚于当前时间;k为预设的预测时间段的数量;
确定所述概率集V中数值最大的概率Vmax是否大于预设概率值;
若大于预设概率值,则将Vmax对应的预测时间段确定为所述目标时间段。
4.根据权利要求3所述的方法,其特征在于,所述目标模型内包括经过训练后得到的端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述Vh;
w=(w1,w2,…,wh,…,wk);wh=(wh1,wh2,…,whi,…,whn);其中,wh为第h个预测时间段对应的端口参数列表,whi为第h个预测时间段对应的Di的参数;
e=(e1,e2,…,eh,…,ek);eh=(eh1,eh2,…,ehi,…,ehn);其中,eh为第h个预测时间段对应的前台应用特征参数列表;ehi为第h个预测时间段对应的QTYi的参数列表;ehi=(ehi1,ehi2,…,ehij,…,ehim);ehij为第h个预测时间段对应的QTYij的参数;
r=(r1,r2,…,rh,…,rk);rh=(rh1,rh2,…,rhi,…,rhn);其中,rh为第h个预测时间段对应的后台应用特征参数列表;rhi为第h个预测时间段对应的HTYi的参数列表;rhi=(rhi1,rhi2,…,rhij,…,rhim);rhij为第h个预测时间段对应的HTYij的参数;
Vh=wh1*D1+wh2*D2+…+whi*Di+…+whn*Dn+eh11*QTY11+eh12*QTY12+…+ehij*QTYij+…+ehnm*QTYnm+ rh11*HTY11+rh12*HTY12+…+rhij*HTYij+…+rhnm*HTYnm。
5.根据权利要求4所述的方法,其特征在于,所述端口参数集w、前台应用参数集e和后台应用参数集r,通过以下方法获取:
获取第一数据集M=(M1,M2,…,Ma,…,Mb);其中,a=1,2,…,b;Ma为第a个第一类设备在第一时间窗口内对应的特征向量集;所述第一类设备为发生过网络威胁事件的设备;每一第一类设备对应的第一时间窗口的结束时间为对应的当前状态确定为被网络威胁入侵成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的数值为1,其余标记位的数值为0;
获取第二数据集H=(H1,H2,…,Hx,…,Hg);其中,x=1,2,…,g;Hx为第x个第二类设备在第二时间窗口内对应的特征向量;所述第二类设备为未发生过网络威胁事件的设备;每一第二类设备对应的第二时间窗口与所述关键时间窗口的长度相同;H中每一特征向量对应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量;
根据M和H对初始模型进行训练,已得到所述端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述目标模型。
6.根据权利要求4所述的方法,其特征在于,第h个预测时间段对应的端口参数、前台应用特征参数和后台应用特征参数,满足如下约束条件:
wh1+wh2+…+whi+…+whn=rat1;
eh11+eh12+…+ehij+…+ehnm=rat2;
rh11+rh12+…+rhij+…+rhnm=rat2;
wh1,wh2,…,whi,…,whn,eh11,eh12,…,ehij,…,ehnm,rh11,rh12,…,rhij,…,rhnm均不等于0;
其中,rat1和rat2为预设的系数约束值,rat1+2*rat2=1。
7.根据权利要求1所述的方法,其特征在于,所述被外部设备访问过的端口的数量为接收到Telnet数据的端口的数量;所述Telnet数据包括:Telnet数据包、Telnet指令。
8.根据权利要求1所述的方法,其特征在于,所述根据所述目标时间段对所述目标设备进行安全防护,包括:
获取所述目标设备的漏洞信息,根据所述漏洞信息向所述目标设备发送补丁。
9.一种网络安全防护装置,其特征在于,包括:
端口信息集获取模块,用于获取目标设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量;
前台应用特征集获取模块,用于获取目标设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,
2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排序第j的前台应用的应用特征;m为预设数量;
后台应用特征集获取模块,用于获取目标设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最大内存占用率排序第j的后台应用的应用特征;
目标特征向量确定模块,用于根据D、QTY和HTY,确定所述目标设备对应的目标特征向量Q=(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi);
目标时间段确定模块,用于将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段;
安全防护模块,用于根据所述目标时间段对所述目标设备进行安全防护。
10.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1‑8中任意一项所述的方法。
说明书 :
一种网络安全防护方法、装置及介质
技术领域
背景技术
现和处置能力,无法在网络威胁嗅探设备端口且尚未成功入侵的阶段对网络威胁进行检
出,这使得对网络威胁事件的防御工作过于被动,无法更高效地保障网络安全。
发明内容
全,至少部分解决现有技术中存在的问题。
序第j的前台应用的应用特征;m为预设数量。
的应用特征。
测时间段均晚于当前时间;k为预设的预测时间段的数量。
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
存占用率排序第j的后台应用的应用特征。
法。
部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可能会有部
分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占用率高的
前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控制了目标
时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分析出目标
设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设备对应的
发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进行安全防
护,能够有效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安全,进而维
护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网络威胁进行
预测的技术相比,本发明能够精准对已被网络威胁行为试探,正处于被网络威胁渗透过程
中,但尚未被渗透成功的设备进行检出,并在网络威胁事件发生前对相应设备进行网络安
全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了设备网络安全防护
冗余,提升设备侧的用户体验。本发明适用于各类网络环境,如互联网、专网、自组网等。
附图说明
普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
具体实施方式
所有其他实施例,都属于本公开保护的范围。
及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个
方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。
举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使
用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或
实践此方法。
时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
成功渗透的目标时间段。
时间窗口的长度设置为10分钟。所述ΔT的长度根据实际应用需求设置,例如1分钟、30秒
等,长度设置的越短获取到的目标特征向量Q所包含的信息越多,目标模型输出的计算结果
越精确。在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可能会有部分前
台应用和后台应用异常抢占内存资源,所以在目标特征向量Q中添加占用内存大的前台应
用的应用特征和后台应用的应用特征。
向量的一部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可
能会有部分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占
用率高的前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控
制了目标时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分
析出目标设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设
备对应的发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进
行安全防护,能够有效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安
全,进而维护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网
络威胁进行预测的技术相比,图1所述实施例能够精准对已被网络威胁行为试探,正处于被
网络威胁渗透过程中,但尚未被成功渗透的设备进行检出,并在网络威胁事件发生前对相
应设备进行网络安全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了
设备网络安全防护冗余,提升设备侧的用户体验。图1所述实施例适用于各类网络环境,如
互联网、专网、自组网等。
测时间段均晚于当前时间;k为预设的预测时间段的数量。
际应用需求确定,例如30分钟、2小时、24小时等,例如,若k=7,预测时间段的时长为24小时,则V为目标设备在未来7天每一天发生网络威胁事件的概率。所述预设概率值根据实际应用
需求设定,例如0.3、0.5等。
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
的方式,采集每一第一类设备在对应的时间窗口内的k个特征向量,即获取到b个第一类设
备对应的共计b*k个负样本数据。在正样本数据的获取方面,为保障正样本数据的多样性,
仅获取每一第二类设备在对应的时间窗口内的一个特征向量,每一第二类设备对应的时间
窗口的结束时间随机。为保障正样本数据的数量,g>=b*k。
照每次向前滑动24小时的规则滑动,在每一第一类设备对应的第一时间窗口内共计滑动
(k‑1)次,关键时间窗口从初始状态起到滑动结束,得到每一第一类设备在对应的第一时间窗口内对应的7个特征向量。若第a个第一类设备在6月30日0时确定为被网络威胁入侵成
功,则第a个第一类设备对应的第一时间窗口和关键时间窗口的结束时间为6月30日0时,即
6月24日24时,Ma1为第a个第一类设备在6月17日24时到6月24日24时的时间内对应的特征
向量,且Ma1对应的概率标签为(1,0,0,0,0,0,0),代表第a个第一类设备在6月25日被成功渗透,发生网络威胁事件,相应地Ma2为第a个第一类设备在6月16日24时到6月23日24时的
时间内对应的特征向量,Ma2对应的概率标签为(0,1,0,0,0,0,0),代表第a个第一类设备在
6月24日安全,在6月25日被成功渗透,发生网络威胁事件,以此类推,Ma7为第a个第一类设
备在对应的第一时间窗口内对应的最后一个特征向量,Ma7对应的概率标签为(0,0,0,0,0,
0,1)。每一第二类设备对应的特征向量为正样本数据,相应地,每一正样本数据对应的概率标签均为(0,0,0,0,0,0,0)。
突破口时,会对设备的每一端口进行遍历并发送Telnet数据,以确定开放的端口和存在漏
洞的端口,然后尝试攻击。每一设备对应的端口总数为65535个,全部遍历一遍的时间通常
在10分钟之内。
1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
大内存占用率排序第j的后台应用的应用特征。
向量的一部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可
能会有部分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占
用率高的前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控
制了目标时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分
析出目标设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设
备对应的发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进
行安全防护,能够高效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安
全,进而维护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网
络威胁进行预测的技术相比,图2所述实施例能够精准对已被网络威胁行为试探,正处于被
网络威胁渗透过程中,但尚未被渗透成功的设备进行检出,并在网络威胁事件发生前对相
应设备进行网络安全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了
设备网络安全防护冗余,提升设备侧的用户体验。图2所述实施例适用于各类网络环境,如
互联网、专网、自组网等。
测时间段均晚于当前时间;k为预设的预测时间段的数量。
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
关之处请参照图1所述实施例。
攻击与服务器相对应、路由器钓鱼攻击与路由器相对应、打印机蠕虫与打印机相对应、恶意
软件攻击与计算机相对应,将对应关系写入映射表,然后读取映射表信息,以确定出所述目
标攻击类型攻击的设备的设备类型。所述网络威胁框架包括但不限于:ATT&CK、Cyber Kill Chain、Diamond Model。
进行安全防护,在实现有效避免目标网络内发生网络威胁事件、充分保障目标网络内各设
备的网络安全的同时,有效降低目标网络中各设备的网络安全防护冗余,保障各设备的性
能,提升终端设备侧的用户体验,并维护设备用户的数据安全和个人信息安全。
间段内每一时间戳对应的第一目标设备的行为特征向量,相邻的两个时间戳的间隔长度根
据算法相关参数确定,每一行为特征向量包括设备活动频率、持续时间、事件时间间隔等特
征的特征值。时间戳分析算法可以得到设备的活动频率、工作模式、周期性行为以及事件发
生的时序关系,利用时间戳分析算法获取第一目标设备在目标历史时间段内的行为特征,
有助于更精准地确定出在所述目标时间段发生的网络威胁事件的目标攻击类型。
防护,能够进一步确保目标网络避免来自非授权用户的网络威胁攻击,更充分地保障目标
网络中设备的网络安全。
期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失
性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
的步骤。
示例中的每一个或某种组合中可能包括网络环境的实现。
线。
这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一
个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设
备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失
性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所
述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申
请各种示例性实施方式的步骤。
的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD‑ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介
质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其
结合使用的程序。
过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户
计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算
设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远
程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模
块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。