一种网络安全防护方法、装置及介质转让专利
申请号 : CN202311087057.5
文献号 : CN116827687B
文献日 : 2023-11-03
发明人 : 李丹 , 肖新光
申请人 : 北京安天网络安全技术有限公司
摘要 :
本发明公开一种网络安全防护方法、装置及介质,涉及网络安全技术领域,包括:获取目标设备在目标时间窗口内对应的端口信息集;获取目标设备在目标时间窗口内对应的前台应用特征集;获取目标设备在目标时间窗口内对应的后台应用特征集;根据端口信息集、前台应用特征集和后台应用特征集,确定所述目标设备对应的目标特征向量;将所述目标特征向量输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段;根据所述目标时间段对所述目标设备进行安全防护。本发明可在网络威胁嗅探设备端口且尚未成功渗透时对目标设备进行安全防护,有效避免目标设备发生网络威胁事件,确保目标设备的网络安全,维护设备用户的数据和个人信息安全。
权利要求 :
1.一种网络安全防护方法,其特征在于,包括:
获取目标设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量;
获取目标设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排序第j的前台应用的应用特征;m为预设数量;
获取目标设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最大内存占用率排序第j的后台应用的应用特征;
根据D、QTY和HTY,确定所述目标设备对应的目标特征向量Q =(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi);
将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段;
根据所述目标时间段对所述目标设备进行安全防护。
2.根据权利要求1所述的方法,其特征在于,
QTYij=(QCPUij,QRAMij,QWLij);其中,QCPUij为第j个前台应用在第i个历史时间段内的最大CPU占用率,QRAMij为第j个前台应用在第i个历史时间段内的最大内存占用率,QWLij为第j个前台应用在第i个历史时间段内的最大网络占用率;
HTYij=(HCPUij,HRAMij,HWLij);其中,HCPUij为第j个后台应用在第i个历史时间段内的最大CPU占用率,HRAMij为第j个后台应用在第i个历史时间段内的最大内存占用率,HWLij为第j个后台应用在第i个历史时间段内的最大网络占用率。
3.根据权利要求1或2所述的方法,其特征在于,所述将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段,包括:将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的概率集V=(V1,V2,…,Vh,…,Vk);其中,h=1,2,…,k;Vh为所述目标设备对应的在第h个预测时间段内发生网络威胁事件的概率;各预测时间段连续排布,且对应的时长相同;每一预测时间段均晚于当前时间;k为预设的预测时间段的数量;
确定所述概率集V中数值最大的概率Vmax是否大于预设概率值;
若大于预设概率值,则将Vmax对应的预测时间段确定为所述目标时间段。
4.根据权利要求3所述的方法,其特征在于,所述目标模型内包括经过训练后得到的端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述Vh;
w=(w1,w2,…,wh,…,wk);wh=(wh1,wh2,…,whi,…,whn);其中,wh为第h个预测时间段对应的端口参数列表,whi为第h个预测时间段对应的Di的参数;
e=(e1,e2,…,eh,…,ek);eh=(eh1,eh2,…,ehi,…,ehn);其中,eh为第h个预测时间段对应的前台应用特征参数列表;ehi为第h个预测时间段对应的QTYi的参数列表;ehi=(ehi1,ehi2,…,ehij,…,ehim);ehij为第h个预测时间段对应的QTYij的参数;
r=(r1,r2,…,rh,…,rk);rh=(rh1,rh2,…,rhi,…,rhn);其中,rh为第h个预测时间段对应的后台应用特征参数列表;rhi为第h个预测时间段对应的HTYi的参数列表;rhi=(rhi1,rhi2,…,rhij,…,rhim);rhij为第h个预测时间段对应的HTYij的参数;
Vh=wh1*D1+wh2*D2+…+whi*Di+…+whn*Dn+eh11*QTY11+eh12*QTY12+…+ehij*QTYij+…+ehnm*QTYnm+ rh11*HTY11+rh12*HTY12+…+rhij*HTYij+…+rhnm*HTYnm。
5.根据权利要求4所述的方法,其特征在于,所述端口参数集w、前台应用参数集e和后台应用参数集r,通过以下方法获取:
获取第一数据集M=(M1,M2,…,Ma,…,Mb);其中,a=1,2,…,b;Ma为第a个第一类设备在第一时间窗口内对应的特征向量集;所述第一类设备为发生过网络威胁事件的设备;每一第一类设备对应的第一时间窗口的结束时间为对应的当前状态确定为被网络威胁入侵成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的数值为1,其余标记位的数值为0;
获取第二数据集H=(H1,H2,…,Hx,…,Hg);其中,x=1,2,…,g;Hx为第x个第二类设备在第二时间窗口内对应的特征向量;所述第二类设备为未发生过网络威胁事件的设备;每一第二类设备对应的第二时间窗口与所述关键时间窗口的长度相同;H中每一特征向量对应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量;
根据M和H对初始模型进行训练,已得到所述端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述目标模型。
6.根据权利要求4所述的方法,其特征在于,第h个预测时间段对应的端口参数、前台应用特征参数和后台应用特征参数,满足如下约束条件:
wh1+wh2+…+whi+…+whn=rat1;
eh11+eh12+…+ehij+…+ehnm=rat2;
rh11+rh12+…+rhij+…+rhnm=rat2;
wh1,wh2,…,whi,…,whn,eh11,eh12,…,ehij,…,ehnm,rh11,rh12,…,rhij,…,rhnm均不等于0;
其中,rat1和rat2为预设的系数约束值,rat1+2*rat2=1。
7.根据权利要求1所述的方法,其特征在于,所述被外部设备访问过的端口的数量为接收到Telnet数据的端口的数量;所述Telnet数据包括:Telnet数据包、Telnet指令。
8.根据权利要求1所述的方法,其特征在于,所述根据所述目标时间段对所述目标设备进行安全防护,包括:
获取所述目标设备的漏洞信息,根据所述漏洞信息向所述目标设备发送补丁。
9.一种网络安全防护装置,其特征在于,包括:
端口信息集获取模块,用于获取目标设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量;
前台应用特征集获取模块,用于获取目标设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,
2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排序第j的前台应用的应用特征;m为预设数量;
后台应用特征集获取模块,用于获取目标设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最大内存占用率排序第j的后台应用的应用特征;
目标特征向量确定模块,用于根据D、QTY和HTY,确定所述目标设备对应的目标特征向量Q=(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi);
目标时间段确定模块,用于将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段;
安全防护模块,用于根据所述目标时间段对所述目标设备进行安全防护。
10.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1‑8中任意一项所述的方法。
说明书 :
一种网络安全防护方法、装置及介质
技术领域
[0001] 本发明涉及网络安全技术领域,尤其涉及一种网络安全防护方法、装置及介质。
背景技术
[0002] 随着网络安全技术的不断发展,网络威胁事件的监测预警和应急处置等工作的技术支撑能力不断提升。但现有的技术大多只在网络威胁已成功渗透后,才能提供威胁的发
现和处置能力,无法在网络威胁嗅探设备端口且尚未成功入侵的阶段对网络威胁进行检
出,这使得对网络威胁事件的防御工作过于被动,无法更高效地保障网络安全。
现和处置能力,无法在网络威胁嗅探设备端口且尚未成功入侵的阶段对网络威胁进行检
出,这使得对网络威胁事件的防御工作过于被动,无法更高效地保障网络安全。
发明内容
[0003] 有鉴于此,本发明提供一种网络安全防护方法、装置及介质,能够在网络威胁嗅探设备端口且尚未成功入侵时对目标设备进行安全防护,更充分地保障目标设备的网络安
全,至少部分解决现有技术中存在的问题。
全,至少部分解决现有技术中存在的问题。
[0004] 具体发明内容为:
[0005] 一种网络安全防护方法,包括:
[0006] 获取目标设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
[0007] 获取目标设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排
序第j的前台应用的应用特征;m为预设数量。
序第j的前台应用的应用特征;m为预设数量。
[0008] 获取目标设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最大内存占用率排序第j的后台应用
的应用特征。
的应用特征。
[0009] 根据D、QTY和HTY,确定所述目标设备对应的目标特征向量Q =(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi)。
[0010] 将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段。
[0011] 根据所述目标时间段对所述目标设备进行安全防护。
[0012] 进一步地,QTYij=(QCPUij,QRAMij,QWLij);其中,QCPUij为第j个前台应用在第i个历史时间段内的最大CPU占用率,QRAMij为第j个前台应用在第i个历史时间段内的最大内存占用率,QWLij为第j个前台应用在第i个历史时间段内的最大网络占用率。
[0013] HTYij=(HCPUij,HRAMij,HWLij);其中,HCPUij为第j个后台应用在第i个历史时间段内的最大CPU占用率,HRAMij为第j个后台应用在第i个历史时间段内的最大内存占用率,HWLij为第j个后台应用在第i个历史时间段内的最大网络占用率。
[0014] 进一步地,所述将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段,包括:
[0015] 将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的概率集V=(V1,V2,…,Vh,…,Vk);其中,h=1,2,…,k;Vh为所述目标设备对应的在第h个预测时间段内发生网络威胁事件的概率;各预测时间段连续排布,且对应的时长相同;每一预
测时间段均晚于当前时间;k为预设的预测时间段的数量。
测时间段均晚于当前时间;k为预设的预测时间段的数量。
[0016] 确定所述概率集V中数值最大的概率Vmax是否大于预设概率值。
[0017] 若大于预设概率值,则将Vmax对应的预测时间段确定为所述目标时间段。
[0018] 进一步地,所述目标模型内包括经过训练后得到的端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述Vh。
[0019] w=(w1,w2,…,wh,…,wk);wh=(wh1,wh2,…,whi,…,whn);其中,wh为第h个预测时间段对应的端口参数列表,whi为第h个预测时间段对应的Di的参数。
[0020] e=(e1,e2,…,eh,…,ek);eh=(eh1,eh2,…,ehi,…,ehn);其中,eh为第h个预测时间段对应的前台应用特征参数列表;ehi为第h个预测时间段对应的QTYi的参数列表;ehi=(ehi1,ehi2,…,ehij,…,ehim);ehij为第h个预测时间段对应的QTYij的参数。
[0021] r=(r1,r2,…,rh,…,rk);rh=(rh1,rh2,…,rhi,…,rhn);其中,rh为第h个预测时间段对应的后台应用特征参数列表;rhi为第h个预测时间段对应的HTYi的参数列表;rhi=(rhi1,rhi2,…,rhij,…,rhim);rhij为第h个预测时间段对应的HTYij的参数。
[0022] Vh=wh1*D1+wh2*D2+…+whi*Di+…+whn*Dn+eh11*QTY11+eh12*QTY12+…+ehij*QTYij+…+ehnm*QTYnm+ rh11*HTY11+rh12*HTY12+…+rhij*HTYij+…+rhnm*HTYnm。
[0023] 进一步地,所述端口参数集w、前台应用参数集e和后台应用参数集r,通过以下方法获取:
[0024] 获取第一数据集M=(M1,M2,…,Ma,…,Mb);其中,a=1,2,…,b;Ma为第a个第一类设备在第一时间窗口内对应的特征向量集;所述第一类设备为发生过网络威胁事件的设备;每一第一类设备对应的第一时间窗口的结束时间为对应的当前状态确定为被网络威胁入侵
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
[0025] 获取第二数据集H=(H1,H2,…,Hx,…,Hg);其中,x=1,2,…,g;Hx为第x个第二类设备在第二时间窗口内对应的特征向量;所述第二类设备为未发生过网络威胁事件的设备;每一第二类设备对应的第二时间窗口与所述关键时间窗口的长度相同;H中每一特征向量对
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
[0026] 根据M和H对初始模型进行训练,已得到所述端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述目标模型。
[0027] 进一步地,第h个预测时间段对应的端口参数、前台应用特征参数和后台应用特征参数,满足如下约束条件:
[0028] wh1+wh2+…+whi+…+whn=rat1;
[0029] eh11+eh12+…+ehij+…+ehnm=rat2;
[0030] rh11+rh12+…+rhij+…+rhnm=rat2;
[0031] wh1,wh2,…,whi,…,whn,eh11,eh12,…,ehij,…,ehnm,rh11,rh12,…,rhij,…,rhnm均不等于0;
[0032] 其中,rat1和rat2为预设的系数约束值,rat1+2*rat2=1。
[0033] 进一步地,所述被外部设备访问过的端口的数量为接收到Telnet数据的端口的数量;所述Telnet数据包括:Telnet数据包、Telnet指令。
[0034] 进一步地,所述根据所述目标时间段对所述目标设备进行安全防护,包括:
[0035] 获取所述目标设备的漏洞信息,根据所述漏洞信息向所述目标设备发送补丁。
[0036] 一种网络安全防护装置,包括:
[0037] 端口信息集获取模块,用于获取目标设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,
2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
[0038] 前台应用特征集获取模块,用于获取目标设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排序第j的前台应用的应用特征;m为预设数量。
[0039] 后台应用特征集获取模块,用于获取目标设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最大内
存占用率排序第j的后台应用的应用特征。
存占用率排序第j的后台应用的应用特征。
[0040] 目标特征向量确定模块,用于根据D、QTY和HTY,确定所述目标设备对应的目标特征向量Q=(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi)。
[0041] 目标时间段确定模块,用于将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段。
[0042] 安全防护模块,用于根据所述目标时间段对所述目标设备进行安全防护。
[0043] 一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现前述的方
法。
法。
[0044] 本发明的有益效果体现在:
[0045] 本发明考虑到网络威胁行为在成功入侵设备前会对设备端口进行遍历,以寻找攻击突破口的特点,将目标设备在目标时间窗口内对应的端口信息集作为目标特征向量的一
部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可能会有部
分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占用率高的
前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控制了目标
时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分析出目标
设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设备对应的
发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进行安全防
护,能够有效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安全,进而维
护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网络威胁进行
预测的技术相比,本发明能够精准对已被网络威胁行为试探,正处于被网络威胁渗透过程
中,但尚未被渗透成功的设备进行检出,并在网络威胁事件发生前对相应设备进行网络安
全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了设备网络安全防护
冗余,提升设备侧的用户体验。本发明适用于各类网络环境,如互联网、专网、自组网等。
部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可能会有部
分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占用率高的
前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控制了目标
时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分析出目标
设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设备对应的
发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进行安全防
护,能够有效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安全,进而维
护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网络威胁进行
预测的技术相比,本发明能够精准对已被网络威胁行为试探,正处于被网络威胁渗透过程
中,但尚未被渗透成功的设备进行检出,并在网络威胁事件发生前对相应设备进行网络安
全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了设备网络安全防护
冗余,提升设备侧的用户体验。本发明适用于各类网络环境,如互联网、专网、自组网等。
附图说明
[0046] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域
普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0047] 图1为本发明实施例一种网络安全防护方法流程图;
[0048] 图2为本发明实施例一种网络安全防护装置结构图。
具体实施方式
[0049] 下面结合附图对本发明实施例进行详细描述。
[0050] 需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的
所有其他实施例,都属于本公开保护的范围。
所有其他实施例,都属于本公开保护的范围。
[0051] 需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构
及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个
方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。
举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使
用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或
实践此方法。
及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个
方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。
举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使
用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或
实践此方法。
[0052] 本发明提供一种网络安全防护方法实施例,如图1所示,包括:
[0053] S11:获取目标设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标
时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
[0054] S12:获取目标设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排序第j的前台应用的应用特征;m为预设数量。
[0055] S13:获取目标设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最大内存占用率排序第j的后台应用的应用特征。
[0056] S14:根据D、QTY和HTY,确定所述目标设备对应的目标特征向量Q=(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi)。
[0057] S15:将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段;所述目标设备对应的发生网络威胁事件的目标时间段,即网络威胁
成功渗透的目标时间段。
成功渗透的目标时间段。
[0058] S16:根据所述目标时间段对所述目标设备进行安全防护。
[0059] 图1所述实施例的步骤S11中所述的目标时间窗口的长度根据实际应用需求设置,例如考虑网络威胁行为对目标设备的全部端口扫描一遍的时间在10分钟内,对应地将目标
时间窗口的长度设置为10分钟。所述ΔT的长度根据实际应用需求设置,例如1分钟、30秒
等,长度设置的越短获取到的目标特征向量Q所包含的信息越多,目标模型输出的计算结果
越精确。在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可能会有部分前
台应用和后台应用异常抢占内存资源,所以在目标特征向量Q中添加占用内存大的前台应
用的应用特征和后台应用的应用特征。
时间窗口的长度设置为10分钟。所述ΔT的长度根据实际应用需求设置,例如1分钟、30秒
等,长度设置的越短获取到的目标特征向量Q所包含的信息越多,目标模型输出的计算结果
越精确。在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可能会有部分前
台应用和后台应用异常抢占内存资源,所以在目标特征向量Q中添加占用内存大的前台应
用的应用特征和后台应用的应用特征。
[0060] 图1所述实施例考虑到网络威胁行为在成功入侵设备前会对设备端口进行遍历,以寻找攻击突破口的特点,将目标设备在目标时间窗口内对应的端口信息集作为目标特征
向量的一部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可
能会有部分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占
用率高的前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控
制了目标时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分
析出目标设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设
备对应的发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进
行安全防护,能够有效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安
全,进而维护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网
络威胁进行预测的技术相比,图1所述实施例能够精准对已被网络威胁行为试探,正处于被
网络威胁渗透过程中,但尚未被成功渗透的设备进行检出,并在网络威胁事件发生前对相
应设备进行网络安全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了
设备网络安全防护冗余,提升设备侧的用户体验。图1所述实施例适用于各类网络环境,如
互联网、专网、自组网等。
向量的一部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可
能会有部分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占
用率高的前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控
制了目标时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分
析出目标设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设
备对应的发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进
行安全防护,能够有效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安
全,进而维护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网
络威胁进行预测的技术相比,图1所述实施例能够精准对已被网络威胁行为试探,正处于被
网络威胁渗透过程中,但尚未被成功渗透的设备进行检出,并在网络威胁事件发生前对相
应设备进行网络安全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了
设备网络安全防护冗余,提升设备侧的用户体验。图1所述实施例适用于各类网络环境,如
互联网、专网、自组网等。
[0061] 优选地,QTYij=(QCPUij,QRAMij,QWLij);其中,QCPUij为第j个前台应用在第i个历史时间段内的最大CPU占用率,QRAMij为第j个前台应用在第i个历史时间段内的最大内存占用率,QWLij为第j个前台应用在第i个历史时间段内的最大网络占用率。
[0062] HTYij=(HCPUij,HRAMij,HWLij);其中,HCPUij为第j个后台应用在第i个历史时间段内的最大CPU占用率,HRAMij为第j个后台应用在第i个历史时间段内的最大内存占用率,HWLij为第j个后台应用在第i个历史时间段内的最大网络占用率。
[0063] 优选地,所述将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段,包括:
[0064] 将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的概率集V=(V1,V2,…,Vh,…,Vk);其中,h=1,2,…,k;Vh为所述目标设备对应的在第h个预测时间段内发生网络威胁事件的概率;各预测时间段连续排布,且对应的时长相同;每一预
测时间段均晚于当前时间;k为预设的预测时间段的数量。
测时间段均晚于当前时间;k为预设的预测时间段的数量。
[0065] 确定所述概率集V中数值最大的概率Vmax是否大于预设概率值。
[0066] 若大于预设概率值,则将Vmax对应的预测时间段确定为所述目标时间段。
[0067] 上述优选方案中,由于实际设备的参数、性能指标、开放端口等情况不同,各网络威胁行为从端口嗅探到攻破端口成功入侵设备的时长不同,所述预测时间段的时长根据实
际应用需求确定,例如30分钟、2小时、24小时等,例如,若k=7,预测时间段的时长为24小时,则V为目标设备在未来7天每一天发生网络威胁事件的概率。所述预设概率值根据实际应用
需求设定,例如0.3、0.5等。
际应用需求确定,例如30分钟、2小时、24小时等,例如,若k=7,预测时间段的时长为24小时,则V为目标设备在未来7天每一天发生网络威胁事件的概率。所述预设概率值根据实际应用
需求设定,例如0.3、0.5等。
[0068] 优选地,所述目标模型内包括经过训练后得到的端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述Vh。
[0069] w=(w1,w2,…,wh,…,wk);wh=(wh1,wh2,…,whi,…,whn);其中,wh为第h个预测时间段对应的端口参数列表,whi为第h个预测时间段对应的Di的参数。
[0070] e=(e1,e2,…,eh,…,ek);eh=(eh1,eh2,…,ehi,…,ehn);其中,eh为第h个预测时间段对应的前台应用特征参数列表;ehi为第h个预测时间段对应的QTYi的参数列表;ehi=(ehi1,ehi2,…,ehij,…,ehim);ehij为第h个预测时间段对应的QTYij的参数。
[0071] r=(r1,r2,…,rh,…,rk);rh=(rh1,rh2,…,rhi,…,rhn);其中,rh为第h个预测时间段对应的后台应用特征参数列表;rhi为第h个预测时间段对应的HTYi的参数列表;rhi=(rhi1,rhi2,…,rhij,…,rhim);rhij为第h个预测时间段对应的HTYij的参数。
[0072] Vh=wh1*D1+wh2*D2+…+whi*Di+…+whn*Dn+eh11*QTY11+eh12*QTY12+…+ehij*QTYij+…+ehnm*QTYnm+ rh11*HTY11+rh12*HTY12+…+rhij*HTYij+…+rhnm*HTYnm。
[0073] 优选地,所述端口参数集w、前台应用参数集e和后台应用参数集r,通过以下方法获取:
[0074] 获取第一数据集M=(M1,M2,…,Ma,…,Mb);其中,a=1,2,…,b;Ma为第a个第一类设备在第一时间窗口内对应的特征向量集;所述第一类设备为发生过网络威胁事件的设备;每一第一类设备对应的第一时间窗口的结束时间为对应的当前状态确定为被网络威胁入侵
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
[0075] 获取第二数据集H=(H1,H2,…,Hx,…,Hg);其中,x=1,2,…,g;Hx为第x个第二类设备在第二时间窗口内对应的特征向量;所述第二类设备为未发生过网络威胁事件的设备;每一第二类设备对应的第二时间窗口与所述关键时间窗口的长度相同;H中每一特征向量对
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
[0076] 根据M和H对初始模型进行训练,已得到所述端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述目标模型。
[0077] 上述优选方案中,考虑到发生过网络威胁事件的第一类设备相较于未发生过网络威胁事件的第二类设备的设备数量少,为获取足够的负样本数据,通过关键时间窗口滑动
的方式,采集每一第一类设备在对应的时间窗口内的k个特征向量,即获取到b个第一类设
备对应的共计b*k个负样本数据。在正样本数据的获取方面,为保障正样本数据的多样性,
仅获取每一第二类设备在对应的时间窗口内的一个特征向量,每一第二类设备对应的时间
窗口的结束时间随机。为保障正样本数据的数量,g>=b*k。
的方式,采集每一第一类设备在对应的时间窗口内的k个特征向量,即获取到b个第一类设
备对应的共计b*k个负样本数据。在正样本数据的获取方面,为保障正样本数据的多样性,
仅获取每一第二类设备在对应的时间窗口内的一个特征向量,每一第二类设备对应的时间
窗口的结束时间随机。为保障正样本数据的数量,g>=b*k。
[0078] 上述优选方案举例如下:
[0079] 假设t’=24小时,k=7,则每一第一设备对应的第一时间窗口的长度为312小时,即13天,每一第一类设备对应的关键时间窗口的长度为168小时,即7天,所述关键时间窗口按
照每次向前滑动24小时的规则滑动,在每一第一类设备对应的第一时间窗口内共计滑动
(k‑1)次,关键时间窗口从初始状态起到滑动结束,得到每一第一类设备在对应的第一时间窗口内对应的7个特征向量。若第a个第一类设备在6月30日0时确定为被网络威胁入侵成
功,则第a个第一类设备对应的第一时间窗口和关键时间窗口的结束时间为6月30日0时,即
6月24日24时,Ma1为第a个第一类设备在6月17日24时到6月24日24时的时间内对应的特征
向量,且Ma1对应的概率标签为(1,0,0,0,0,0,0),代表第a个第一类设备在6月25日被成功渗透,发生网络威胁事件,相应地Ma2为第a个第一类设备在6月16日24时到6月23日24时的
时间内对应的特征向量,Ma2对应的概率标签为(0,1,0,0,0,0,0),代表第a个第一类设备在
6月24日安全,在6月25日被成功渗透,发生网络威胁事件,以此类推,Ma7为第a个第一类设
备在对应的第一时间窗口内对应的最后一个特征向量,Ma7对应的概率标签为(0,0,0,0,0,
0,1)。每一第二类设备对应的特征向量为正样本数据,相应地,每一正样本数据对应的概率标签均为(0,0,0,0,0,0,0)。
照每次向前滑动24小时的规则滑动,在每一第一类设备对应的第一时间窗口内共计滑动
(k‑1)次,关键时间窗口从初始状态起到滑动结束,得到每一第一类设备在对应的第一时间窗口内对应的7个特征向量。若第a个第一类设备在6月30日0时确定为被网络威胁入侵成
功,则第a个第一类设备对应的第一时间窗口和关键时间窗口的结束时间为6月30日0时,即
6月24日24时,Ma1为第a个第一类设备在6月17日24时到6月24日24时的时间内对应的特征
向量,且Ma1对应的概率标签为(1,0,0,0,0,0,0),代表第a个第一类设备在6月25日被成功渗透,发生网络威胁事件,相应地Ma2为第a个第一类设备在6月16日24时到6月23日24时的
时间内对应的特征向量,Ma2对应的概率标签为(0,1,0,0,0,0,0),代表第a个第一类设备在
6月24日安全,在6月25日被成功渗透,发生网络威胁事件,以此类推,Ma7为第a个第一类设
备在对应的第一时间窗口内对应的最后一个特征向量,Ma7对应的概率标签为(0,0,0,0,0,
0,1)。每一第二类设备对应的特征向量为正样本数据,相应地,每一正样本数据对应的概率标签均为(0,0,0,0,0,0,0)。
[0080] 优选地,第h个预测时间段对应的端口参数、前台应用特征参数和后台应用特征参数,满足如下约束条件:
[0081] wh1+wh2+…+whi+…+whn=rat1;
[0082] eh11+eh12+…+ehij+…+ehnm=rat2;
[0083] rh11+rh12+…+rhij+…+rhnm=rat2;
[0084] wh1,wh2,…,whi,…,whn,eh11,eh12,…,ehij,…,ehnm,rh11,rh12,…,rhij,…,rhnm均不等于0;
[0085] 其中,rat1和rat2为预设的系数约束值,rat1+2*rat2=1。
[0086] 上述优选方案中,eh11,eh12,…,ehij,…,ehnm的和与rh11,rh12,…,rhij,…,rhnm的和相同,使得目标模型能够更好地平衡一定时间内内存占用率高的前台应用和后台应用对目标设备的影响。
[0087] 优选地,所述被外部设备访问过的端口的数量为接收到Telnet数据的端口的数量;所述Telnet数据包括:Telnet数据包、Telnet指令。网络威胁行为在嗅探设备端口寻找
突破口时,会对设备的每一端口进行遍历并发送Telnet数据,以确定开放的端口和存在漏
洞的端口,然后尝试攻击。每一设备对应的端口总数为65535个,全部遍历一遍的时间通常
在10分钟之内。
突破口时,会对设备的每一端口进行遍历并发送Telnet数据,以确定开放的端口和存在漏
洞的端口,然后尝试攻击。每一设备对应的端口总数为65535个,全部遍历一遍的时间通常
在10分钟之内。
[0088] 优选地,所述根据所述目标时间段对所述目标设备进行安全防护,包括:
[0089] 获取所述目标设备的漏洞信息,根据所述漏洞信息向所述目标设备发送补丁。
[0090] 所述安全防护还包括与其他安全策略联动,或安装防护程序、切入隔离网、切断网络等。
[0091] 本发明还提供一种网络安全防护装置实施例,如图2所示,包括:
[0092] 端口信息集获取模块21,用于获取目标设备在目标时间窗口内对应的端口信息集D=(D1,D2,…,Di,…,Dn);目标时间窗口的结束时间为当前时间,目标时间窗口包括n个连续排布的历史时间段,目标时间窗口的长度为n*ΔT,ΔT为每一历史时间段的长度;其中,i=
1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
1,2,…,n;Di为目标设备在第i个历史时间段内被外部设备访问过的端口的数量。
[0093] 前台应用特征集获取模块22,用于获取目标设备在目标时间窗口内对应的前台应用特征集QTY=(QTY1,QTY2,…,QTYi,…,QTYn);QTYi=(QTYi1,QTYi2,…,QTYij,…,QTYim);其中,j=1,2,…,m;QTYi为在第i个历史时间段内对应的前台应用特征信息;QTYij为在第i个历史时间段内最大内存占用率排序第j的前台应用的应用特征;m为预设数量。
[0094] 后台应用特征集获取模块23,用于获取目标设备在目标时间窗口内对应的后台应用特征集HTY=(HTY1,HTY2,…,HTYi,…,HTYn);HTYi=(HTYi1,HTYi2,…,HTYij,…,HTYim);其中,HTYi为第i个历史时间段内对应的后台应用特征信息;HTYij为在第i个历史时间段内最
大内存占用率排序第j的后台应用的应用特征。
大内存占用率排序第j的后台应用的应用特征。
[0095] 目标特征向量确定模块24,用于根据D、QTY和HTY,确定所述目标设备对应的目标特征向量Q=(Q1,Q2,…,Qi,…,Qn);Qi为第i个历史时间段对应的设备特征;Qi=(Di,QTYi,HTYi)。
[0096] 目标时间段确定模块25,用于将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段。
[0097] 安全防护模块26,用于根据所述目标时间段对所述目标设备进行安全防护。
[0098] 图2所述实施例考虑到网络威胁行为在成功入侵设备前会对设备端口进行遍历,以寻找攻击突破口的特点,将目标设备在目标时间窗口内对应的端口信息集作为目标特征
向量的一部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可
能会有部分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占
用率高的前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控
制了目标时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分
析出目标设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设
备对应的发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进
行安全防护,能够高效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安
全,进而维护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网
络威胁进行预测的技术相比,图2所述实施例能够精准对已被网络威胁行为试探,正处于被
网络威胁渗透过程中,但尚未被渗透成功的设备进行检出,并在网络威胁事件发生前对相
应设备进行网络安全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了
设备网络安全防护冗余,提升设备侧的用户体验。图2所述实施例适用于各类网络环境,如
互联网、专网、自组网等。
向量的一部分,考虑到在网络威胁行为扫描目标设备端口,试图攻破目标设备的过程中,可
能会有部分前台应用和后台应用异常抢占内存资源,将目标设备在目标时间窗口内内存占
用率高的前台应用的应用特征和后台应用的应用特征作为目标特征向量的一部分,同时控
制了目标时间窗口的长度和结束时间,将这样的目标特征向量输入所述目标模型,能够分
析出目标设备在距离当前时间较短的一段时间内的设备行为情况,使得最终确定的目标设
备对应的发生网络威胁事件的目标时间段更加准确,根据这样的目标时间段对目标设备进
行安全防护,能够高效避免目标设备发生网络威胁事件,更充分地确保目标设备的网络安
全,进而维护设备用户的数据安全和个人信息安全。与现有的通过设备的漏洞信息等对网
络威胁进行预测的技术相比,图2所述实施例能够精准对已被网络威胁行为试探,正处于被
网络威胁渗透过程中,但尚未被渗透成功的设备进行检出,并在网络威胁事件发生前对相
应设备进行网络安全防护,极大地提升了网络威胁监测预警的精准度,同时极大地降低了
设备网络安全防护冗余,提升设备侧的用户体验。图2所述实施例适用于各类网络环境,如
互联网、专网、自组网等。
[0099] 优选地,QTYij=(QCPUij,QRAMij,QWLij);其中,QCPUij为第j个前台应用在第i个历史时间段内的最大CPU占用率,QRAMij为第j个前台应用在第i个历史时间段内的最大内存占用率,QWLij为第j个前台应用在第i个历史时间段内的最大网络占用率。
[0100] HTYij=(HCPUij,HRAMij,HWLij);其中,HCPUij为第j个后台应用在第i个历史时间段内的最大CPU占用率,HRAMij为第j个后台应用在第i个历史时间段内的最大内存占用率,HWLij为第j个后台应用在第i个历史时间段内的最大网络占用率。
[0101] 优选地,所述将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的目标时间段,包括:
[0102] 将所述目标特征向量Q输入目标模型,得到所述目标设备对应的发生网络威胁事件的概率集V=(V1,V2,…,Vh,…,Vk);其中,h=1,2,…,k;Vh为所述目标设备对应的在第h个预测时间段内发生网络威胁事件的概率;各预测时间段连续排布,且对应的时长相同;每一预
测时间段均晚于当前时间;k为预设的预测时间段的数量。
测时间段均晚于当前时间;k为预设的预测时间段的数量。
[0103] 确定所述概率集V中数值最大的概率Vmax是否大于预设概率值。
[0104] 若大于预设概率值,则将Vmax对应的预测时间段确定为所述目标时间段。
[0105] 优选地,所述目标模型内包括经过训练后得到的端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述Vh。
[0106] w=(w1,w2,…,wh,…,wk);wh=(wh1,wh2,…,whi,…,whn);其中,wh为第h个预测时间段对应的端口参数列表,whi为第h个预测时间段对应的Di的参数。
[0107] e=(e1,e2,…,eh,…,ek);eh=(eh1,eh2,…,ehi,…,ehn);其中,eh为第h个预测时间段对应的前台应用特征参数列表;ehi为第h个预测时间段对应的QTYi的参数列表;ehi=(ehi1,ehi2,…,ehij,…,ehim);ehij为第h个预测时间段对应的QTYij的参数。
[0108] r=(r1,r2,…,rh,…,rk);rh=(rh1,rh2,…,rhi,…,rhn);其中,rh为第h个预测时间段对应的后台应用特征参数列表;rhi为第h个预测时间段对应的HTYi的参数列表;rhi=(rhi1,rhi2,…,rhij,…,rhim);rhij为第h个预测时间段对应的HTYij的参数。
[0109] Vh=wh1*D1+wh2*D2+…+whi*Di+…+whn*Dn+eh11*QTY11+eh12*QTY12+…+ehij*QTYij+…+ehnm*QTYnm+ rh11*HTY11+rh12*HTY12+…+rhij*HTYij+…+rhnm*HTYnm。
[0110] 优选地,所述端口参数集w、前台应用参数集e和后台应用参数集r,通过以下方法获取:
[0111] 获取第一数据集M=(M1,M2,…,Ma,…,Mb);其中,a=1,2,…,b;Ma为第a个第一类设备在第一时间窗口内对应的特征向量集;所述第一类设备为发生过网络威胁事件的设备;每一第一类设备对应的第一时间窗口的结束时间为对应的当前状态确定为被网络威胁入侵
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
成功的时间;每一第一类设备对应的第一时间窗口的长度L=(2*k‑1)*t’;t’为所述预测时间段的长度;Ma=(Ma1,Ma2,…,Mah,…,Mak);Mah为第a个第一类设备在关键时间窗口向前滑动(h‑1)次后对应的关键时间窗口内所对应的特征向量;每一第一类设备对应的关键时间窗
口的初始结束时间与所述第一时间窗口的结束时间相同;所述关键时间窗口的长度为k*
t’;所述关键时间窗口每次向前滑动的步长为t’;b为第一类设备的数量;Ma中每一特征向量均标记有概率标签,每一概率标签包含k个标记位;Mah对应的概率标签的第h个标记位的
数值为1,其余标记位的数值为0。
[0112] 获取第二数据集H=(H1,H2,…,Hx,…,Hg);其中,x=1,2,…,g;Hx为第x个第二类设备在第二时间窗口内对应的特征向量;所述第二类设备为未发生过网络威胁事件的设备;每一第二类设备对应的第二时间窗口与所述关键时间窗口的长度相同;H中每一特征向量对
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
应的概率标签的标记位的数值均为0;g为预设的第二类设备的数量。
[0113] 根据M和H对初始模型进行训练,已得到所述端口参数集w、前台应用参数集e和后台应用参数集r,以确定所述目标模型。
[0114] 优选地,第h个预测时间段对应的端口参数、前台应用特征参数和后台应用特征参数,满足如下约束条件:
[0115] wh1+wh2+…+whi+…+whn=rat1;
[0116] eh11+eh12+…+ehij+…+ehnm=rat2;
[0117] rh11+rh12+…+rhij+…+rhnm=rat2;
[0118] wh1,wh2,…,whi,…,whn,eh11,eh12,…,ehij,…,ehnm,rh11,rh12,…,rhij,…,rhnm均不等于0;
[0119] 其中,rat1和rat2为预设的系数约束值,rat1+2*rat2=1。
[0120] 优选地,所述被外部设备访问过的端口的数量为接收到Telnet数据的端口的数量;所述Telnet数据包括:Telnet数据包、Telnet指令。
[0121] 优选地,所述根据所述目标时间段对所述目标设备进行安全防护,包括:
[0122] 获取所述目标设备的漏洞信息,根据所述漏洞信息向所述目标设备发送补丁。
[0123] 图2所述实施例为图1所述方法实施例所对应的装置实施例,图2所述实施例的部分实现过程和技术效果与图1所述实施例相近,因此,对图2所述实施例的描述较为简单,相
关之处请参照图1所述实施例。
关之处请参照图1所述实施例。
[0124] 本发明所述实施例中,在所述概率集V中数值最大的概率Vmax大于预设概率值之后,还包括:
[0125] 将所述目标设备确定为第一目标设备。
[0126] 获取所述第一目标设备在目标历史时间段内的行为特征;所述目标历史时间段的结束时间为当前时间。
[0127] 根据所述行为特征确定在所述目标时间段发生的网络威胁事件的目标攻击类型。
[0128] 根据所述目标攻击类型确定出所述目标攻击类型攻击的设备的设备类型,并将其确定为目标设备类型。
[0129] 将目标网络中设备类型与所述目标设备类型相同的设备确定为第二目标设备;所述目标网络为所述目标设备所在的网络。
[0130] 对每一所述第二目标设备进行安全防护。
[0131] 所述攻击类型包括但不限于:钓鱼攻击、恶意软件攻击、入侵攻击、拒绝服务攻击、中间人攻击、密码攻击、社会工程学攻击、侧信通攻击、WiFi攻击、物联网攻击。通过获取网络威胁框架中的技术信息确定出所述目标攻击类型攻击的设备的设备类型,或事先通过获取网络威胁框架中的技术信息生成每一攻击类型与设备类型的对应的关系,例如,SQL注入
攻击与服务器相对应、路由器钓鱼攻击与路由器相对应、打印机蠕虫与打印机相对应、恶意
软件攻击与计算机相对应,将对应关系写入映射表,然后读取映射表信息,以确定出所述目
标攻击类型攻击的设备的设备类型。所述网络威胁框架包括但不限于:ATT&CK、Cyber Kill Chain、Diamond Model。
攻击与服务器相对应、路由器钓鱼攻击与路由器相对应、打印机蠕虫与打印机相对应、恶意
软件攻击与计算机相对应,将对应关系写入映射表,然后读取映射表信息,以确定出所述目
标攻击类型攻击的设备的设备类型。所述网络威胁框架包括但不限于:ATT&CK、Cyber Kill Chain、Diamond Model。
[0132] 本实施例能够在确定即将发生网络威胁事件且网络威胁尚未成功渗透前,根据确定即将发生的网络威胁事件的攻击类型所攻击设备的设备类型对目标网络中相应的设备
进行安全防护,在实现有效避免目标网络内发生网络威胁事件、充分保障目标网络内各设
备的网络安全的同时,有效降低目标网络中各设备的网络安全防护冗余,保障各设备的性
能,提升终端设备侧的用户体验,并维护设备用户的数据安全和个人信息安全。
进行安全防护,在实现有效避免目标网络内发生网络威胁事件、充分保障目标网络内各设
备的网络安全的同时,有效降低目标网络中各设备的网络安全防护冗余,保障各设备的性
能,提升终端设备侧的用户体验,并维护设备用户的数据安全和个人信息安全。
[0133] 所述获取所述第一目标设备在目标历史时间段内的行为特征,包括:
[0134] 获取所述第一目标设备在目标历史时间段内的设备日志;所述设备日志包括:系统日志、网络日志、应用程序日志。
[0135] 对所述设备日志进行数据清洗,得到目标数据。
[0136] 利用时间戳分析算法对所述目标数据进行计算,得到所述第一目标设备在所述目标历史时间段内的行为特征。所述行为特征为特征向量集,特征向量集中包含目标历史时
间段内每一时间戳对应的第一目标设备的行为特征向量,相邻的两个时间戳的间隔长度根
据算法相关参数确定,每一行为特征向量包括设备活动频率、持续时间、事件时间间隔等特
征的特征值。时间戳分析算法可以得到设备的活动频率、工作模式、周期性行为以及事件发
生的时序关系,利用时间戳分析算法获取第一目标设备在目标历史时间段内的行为特征,
有助于更精准地确定出在所述目标时间段发生的网络威胁事件的目标攻击类型。
间段内每一时间戳对应的第一目标设备的行为特征向量,相邻的两个时间戳的间隔长度根
据算法相关参数确定,每一行为特征向量包括设备活动频率、持续时间、事件时间间隔等特
征的特征值。时间戳分析算法可以得到设备的活动频率、工作模式、周期性行为以及事件发
生的时序关系,利用时间戳分析算法获取第一目标设备在目标历史时间段内的行为特征,
有助于更精准地确定出在所述目标时间段发生的网络威胁事件的目标攻击类型。
[0137] 在所述获取所述第一目标设备在目标历史时间段内的行为特征之前,还包括:
[0138] 获取所述目标网络内每一设备对应的网络流量数据。
[0139] 根据所述网络流量数据确定所述目标网络内各设备之间的交互关系。
[0140] 根据所述交互关系确定以所述目标网络内每一设备为节点的所述目标网络对应的网络拓扑结构。
[0141] 优选地,还包括:
[0142] 确定所述第一目标设备在所述网络拓扑结构中的位置,以确定在所述目标网络内与所述第一目标设备存在交互关系的关键设备。
[0143] 对每一所述关键设备进行安全防护。
[0144] 上述优选方案考虑到若网络威胁行为入侵成功,则目标网络中与第一目标设备存在交互关系的关键设备发生网络威胁事件的概率极大,因此对每一所述关键设备进行安全
防护,能够进一步确保目标网络避免来自非授权用户的网络威胁攻击,更充分地保障目标
网络中设备的网络安全。
防护,能够进一步确保目标网络避免来自非授权用户的网络威胁攻击,更充分地保障目标
网络中设备的网络安全。
[0145] 所述根据所述行为特征确定在所述目标时间段发生的网络威胁事件的目标攻击类型,包括:
[0146] 将所述行为特征与网络威胁框架中的威胁特征进行匹配,将匹配成功的威胁特征对应的攻击类型确定为在所述目标时间段发生的网络威胁事件的目标攻击类型。
[0147] 此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现
期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
[0148] 通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开
实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失
性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失
性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
[0149] 在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
[0150] 所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
[0151] 根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
[0152] 电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
[0153] 其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式
的步骤。
的步骤。
[0154] 储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
[0155] 储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些
示例中的每一个或某种组合中可能包括网络环境的实现。
示例中的每一个或某种组合中可能包括网络环境的实现。
[0156] 总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总
线。
线。
[0157] 电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。
这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一
个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设
备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一
个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设
备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
[0158] 通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开
实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失
性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失
性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
[0159] 在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可
以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所
述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申
请各种示例性实施方式的步骤。
以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所
述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申
请各种示例性实施方式的步骤。
[0160] 所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举
的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD‑ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD‑ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0161] 计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、
光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介
质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其
结合使用的程序。
光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介
质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其
结合使用的程序。
[0162] 可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
[0163] 可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的
过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户
计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算
设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远
程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户
计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算
设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远
程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
[0164] 此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺
序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
[0165] 应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多
模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模
块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模
块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0166] 以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应
涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。