System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 取证规则的确定及模型训练方法、装置、设备及存储介质制造方法及图纸_技高网
当前位置: 首页 > 专利查询>深信服科技股份有限公司专利>正文

取证规则的确定及模型训练方法、装置、设备及存储介质制造方法及图纸

技术编号:44558308 阅读:0 留言:0更新日期:2025-03-11 14:19
本申请公开了一种取证规则的确定方法、装置、电子设备及存储介质,所述取证规则的确定方法包括:获取至少一个攻击场景的攻击行为数据;利用取证分析模型对所述攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合;本申请还公开了一种模型训练方法及装置,所述模型训练方法包括:获取计算机取证领域的知识库;利用所述知识库对初始取证分析模型进行训练,得到取证分析模型;所述取证分析模型用于对至少一个攻击场景的攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合。

全部详细技术资料下载

【技术实现步骤摘要】

本申请实施例涉及计算机,尤其涉及一种取证规则的确定及模型训练方法、装置、设备及存储介质。


技术介绍

1、在高级持续性威胁(apt,advanced persistent threat)攻击事件中,对攻击事件进行取证过程涉及的工具较为分散,各个工具操作专业性和分析门槛较高,产生的数据统一性也较差,在面对多主机失陷的取证调查场景,难以高效率的完成溯源调查。


技术实现思路

1、为解决上述技术问题,本申请实施例提供了一种取证规则的确定及模型训练方法、装置、设备及存储介质。

2、第一方面,本申请实施例提供了一种取证规则的确定方法,所述取证规则的确定方法包括:

3、获取至少一个攻击场景的攻击行为数据;

4、利用取证分析模型对所述攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合。

5、第二方面,本申请实施例提供了一种模型训练方法,所述模型训练方法包括:

6、获取计算机取证领域的知识库;

7、利用所述知识库对初始取证分析模型进行训练,得到取证分析模型;所述取证分析模型用于对至少一个攻击场景的攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合。

8、第三方面,本申请实施例提供了一种取证规则的确定装置,所述取证规则的确定装置包括:

9、第一获取单元,用于获取至少一个攻击场景的攻击行为数据;

10、处理单元,用于利用取证分析模型对所述攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合。

11、第四方面,本申请实施例提供了一种模型训练装置,所述模型训练装置包括:

12、第二获取单元,用于获取计算机取证领域的知识库;

13、训练单元,用于利用所述数据库对初始取证分析模型进行训练,得到取证分析模型;所述取证分析模型用于对至少一个攻击场景的攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合。

14、第五方面,本申请实施例提供了一种电子设备,所述电子设备包括:存储器和处理器,所述存储器上存储有计算机可执行指令,所述处理器运行所述存储器上的计算机可执行指令时可实现上述第一方面实施例,或者,第二方面实施例所述的方法。

15、第六方面,本申请实施例提供了一种计算机存储介质,所述存储介质上存储有可执行指令,该可执行指令被处理器执行时实现上述第一方面实施例,或者,第二方面实施例所述的方法。

16、本申请实施例中,通过获取至少一个攻击场景的攻击行为数据;利用取证分析模型对所述攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合,能够针对不同的攻击事件对应的不同攻击场景的采用不同取证规则集进行取证,能够提高对攻击事件取证操作的批量取证和批量分析的效率,进一步提升对攻击事件的溯源效率。

本文档来自技高网...

【技术保护点】

1.一种取证规则的确定方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述至少一个攻击场景的攻击行为数据包括用户描述的至少一个攻击场景中的各攻击场景的检索要素;所述利用取证分析模型对所述攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合,包括:

3.根据权利要求1所述的方法,其特征在于,所述至少一个攻击场景的攻击行为数据包括所述至少一个攻击场景的关键攻击行为数据;所述利用取证分析模型对所述攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合,包括:

4.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:

5.根据权利要求4所述的方法,其特征在于,所述利用所述目标取证规则集合定制所述攻击事件的取证工具,包括:

6.一种模型训练方法,其特征在于,所述方法包括:

7.一种取证规则的确定装置,其特征在于,所述装置包括:

8.一种模型训练装置,其特征在于,所述装置包括:

9.一种电子设备,其特征在于,所述电子设备包括:存储器和处理器,所述存储器上存储有计算机可执行指令,所述处理器运行所述存储器上的计算机可执行指令时可实现权利要求1至5,或者,权利要求6中任一项所述的方法。

10.一种计算机存储介质,其特征在于,所述存储介质上存储有可执行指令,该可执行指令被处理器执行时实现权利要求1至5,或者,权利要求6中任一项所述的方法。

...

【技术特征摘要】

1.一种取证规则的确定方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述至少一个攻击场景的攻击行为数据包括用户描述的至少一个攻击场景中的各攻击场景的检索要素;所述利用取证分析模型对所述攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合,包括:

3.根据权利要求1所述的方法,其特征在于,所述至少一个攻击场景的攻击行为数据包括所述至少一个攻击场景的关键攻击行为数据;所述利用取证分析模型对所述攻击行为数据进行处理,生成所述至少一个攻击场景中的各攻击场景对应的取证规则集合,包括:

4.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:

5.根据权利...

【专利技术属性】
技术研发人员:庞思铭
申请(专利权)人:深信服科技股份有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有