公开(公告)号：CN112241439A

公开(公告)日：2021-01-19

申请号：CN202011085247.X

申请日：2020-10-12

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王津 ,  肖岩军 ,  秦威 ,  江海 ,  陈震杭

IPC: G06F16/28 ,  G06F16/2458 ,  G06F16/2455 ,  G06F16/215

Abstract: 本发明涉及一种攻击组织发现方法、装置、介质和设备。本发明方案有效利用现网中已经部署的各类安全设备产生的告警数据，结合大数据流式计算框架，定义范式化攻击模型对海量异构告警数据进行快速范式化，并利用攻击模式信息、攻击目标信息和攻击源信息进行范式化安全事件关联，再根据关联结果进行基于攻击源的攻击特征图构建，最后利用图聚类方法进行攻击源聚类，从而发现攻击组织。由于目前主流的安全设备往往都具有非常高效的原始流量识别和检测能力，基于大数据流式计算框架，直接利用安全设备告警数据作为输入数据进行实时分析，告警数据直接高效地滤除了原始流量中不需要关注的特征信息，保证了攻击组织发现的实时性、准确性和鲁棒性。

公开(公告)号：CN112241439B

公开(公告)日：2023-07-21

申请号：CN202011085247.X

申请日：2020-10-12

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 王津 ,  肖岩军 ,  秦威 ,  江海 ,  陈震杭

IPC: G06F16/28 ,  G06F16/2458 ,  G06F16/2455 ,  G06F16/215

Abstract: 本发明涉及一种攻击组织发现方法、装置、介质和设备。本发明方案有效利用现网中已经部署的各类安全设备产生的告警数据，结合大数据流式计算框架，定义范式化攻击模型对海量异构告警数据进行快速范式化，并利用攻击模式信息、攻击目标信息和攻击源信息进行范式化安全事件关联，再根据关联结果进行基于攻击源的攻击特征图构建，最后利用图聚类方法进行攻击源聚类，从而发现攻击组织。由于目前主流的安全设备往往都具有非常高效的原始流量识别和检测能力，基于大数据流式计算框架，直接利用安全设备告警数据作为输入数据进行实时分析，告警数据直接高效地滤除了原始流量中不需要关注的特征信息，保证了攻击组织发现的实时性、准确性和鲁棒性。