CN106375331A - 一种攻击组织的挖掘方法及装置 - Google Patents
一种攻击组织的挖掘方法及装置 Download PDFInfo
- Publication number
- CN106375331A CN106375331A CN201610847627.XA CN201610847627A CN106375331A CN 106375331 A CN106375331 A CN 106375331A CN 201610847627 A CN201610847627 A CN 201610847627A CN 106375331 A CN106375331 A CN 106375331A
- Authority
- CN
- China
- Prior art keywords
- attack
- address
- organization
- attacking
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000008520 organization Effects 0.000 title claims abstract description 105
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000005065 mining Methods 0.000 title claims abstract description 16
- 230000006399 behavior Effects 0.000 claims abstract description 79
- 230000002265 prevention Effects 0.000 claims abstract description 9
- 239000013598 vector Substances 0.000 claims description 56
- 238000012545 processing Methods 0.000 claims description 36
- 238000004422 calculation algorithm Methods 0.000 claims description 24
- 238000004458 analytical method Methods 0.000 claims description 17
- 230000003203 everyday effect Effects 0.000 claims description 7
- 230000004931 aggregating effect Effects 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 238000009412 basement excavation Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 9
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000007621 cluster analysis Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000002354 daily effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击组织的挖掘方法,包括:提取防火墙入侵防御系统日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。本发明还同时公开了一种攻击组织的挖掘装置。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种攻击组织的挖掘方法及装置。
背景技术
随着Internet的日益发展与普及,Internet已经渗透到人们日常工作生活中的各个方面。然而,由此所引入的网络安全问题也日渐成为人们重点关注的问题之一。特别是,现有的网络攻击方式呈现出多样化和复杂化的趋势,使得基于Internet进行业务服务的机构和系统面临着前所未有的威胁,这些机构和系统的网络一旦被攻击成功,将造成巨大的经济损失。
目前,随着社会经济的不断发展,社会中各行各业的从业人员的分工越来越细,而对于网络安全这样一个技术密集型的行业,也同样出现了类似的社会精细分工。例如,有的黑客善于漏洞挖掘,有的黑客善于对付杀毒软件,有的黑客对网络基础设施很熟悉,有的黑客则擅长社会工程学。为了某些共同的目的,许多黑客逐渐地走到了一起,从而形成了一个相对稳定的攻击组织。在攻击组织中,每个黑客利用各自擅长的技能,以组成一个完善的产业链条,共同服务于所属的攻击组织。因此,了解攻击组织,对把握当前的网络安全形势是很有意义的。此外,高级持续性威胁已成为当前各级各类网络所面临的主要安全威胁,高级持续性威胁使网络威胁从散兵游勇式的随机攻击变成有目的、有组织、有预谋的群体式攻击,使得以实时检测、实时阻断为主体的传统防御方式难以再发挥作用。
现在的网络安全防护方法和产品体系还在使用传统的单机的、私有的思路来解决网络的、公有的威胁,而如今已经是动态安全时代,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段,所以基于传统安全思想的网络安全防护方法和产品因没有数据智能功能,无法感知攻击组织。
发明内容
有鉴于此,本发明实施例提供了一种攻击组织的挖掘方法及装置,能够快速从网络攻击行为中定位出攻击组织。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种攻击组织的挖掘方法,所述方法包括:
提取防火墙入侵防御系统(Intrusion Prevention System,IPS)日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;
根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。
上述方案中,所述方法还包括:对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。
上述方案中,所述提取防火墙IPS日志中记录的攻击行为之前,所述方法还包括:
对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙IPS日志。
上述方案中,所述根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织,包括:
向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;
采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。
上述方案中,所述向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,包括:
计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;
计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。
本发明实施例提供了一种攻击组织的挖掘装置,所述装置包括:第一处理单元、第二处理单元;其中,
所述第一处理单元,用于提取防火墙入侵防御系统IPS日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;
所述第二处理单元,用于根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。
上述方案中,所述第二处理单元,还用于对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。
上述方案中,所述装置还包括:第三处理单元,用于在所述第一处理单元提取防火墙IPS日志中记录的攻击行为之前,对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙IPS日志。
上述方案中,所述第二处理单元,具体用于:
向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;
采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。
上述方案中,所述第二处理单元向量化每一个攻击方IP地址所对应的攻击时间和攻击方式为:
计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;
计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。
本发明实施例提供的攻击组织的挖掘方法及装置,提取防火墙入侵防御系统日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。可见,本发明实施例通过提取防火墙IPS日志中记录的多个攻击方IP地址在不同攻击时间所采用的攻击方式,然后根据每一个攻击方IP地址所对应的攻击时间和攻击方式对所有攻击方IP地址进行聚类,以将具有相似攻击时间和攻击方式的攻击方IP地址划分为攻击组织,从而能够快速从网络攻击行为中定位出攻击组织。
此外,可视化展示攻击组织的攻击方式和活动规律,以使用户能够更直观地了解攻击组织。
附图说明
图1为本发明实施例攻击组织的挖掘方法的实现流程示意图;
图2为本发明实施例攻击组织的挖掘方法的基本流程示意图;
图3为本发明实施例攻击组织的挖掘方法的具体实现流程示意图;
图4为本发明实施例攻击组织的挖掘装置的原理示意图;
图5为本发明实施例攻击组织的挖掘装置的组成结构示意图。
具体实施方式
图1为本发明实施例攻击组织的挖掘方法的实现流程示意图,该方法包括:
步骤101:提取防火墙入侵防御系统日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;
具体地,对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙入侵防御系统(Intrusion Prevention System,IPS)日志中;提取防火墙IPS日志中记录的至少一个以上攻击方IP地址在不同攻击时间所采用的攻击方式。
这里,所述对网络攻击行为进行识别可以是采用防火墙对网络攻击行为进行识别;所述防火墙IPS日志中记录有在预设时间内防火墙所识别出的攻击行为,所述预设时间可以是一天或一天以上;当所述防火墙IPS日志因存储空间有限而无法记录在预设时间内的所有攻击行为时,可将所述防火墙IPS日志中记录的攻击行为存储至存储器中,然后从所述存储器中提取攻击行为。
步骤102:根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。
具体地,根据每一个攻击方IP地址所对应的攻击时间和攻击方式,向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。
这里,所述向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,包括:计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。
这里,每一个攻击方IP地址在预设时间内可能对应有多个攻击时间和多种攻击方式,对每一个攻击方IP地址所对应的攻击时间和攻击方式进行向量化,以获取对应每一个攻击方IP地址的攻击向量,从而获取由所有攻击方IP地址所对应的攻击向量组成的攻击向量集。
这里,为了掩护攻击方的身份或使攻击行为具有欺骗性等原因,网络的攻击方比如黑客在每一次发起网络攻击行为时所采用的IP地址可能不同,即对于同一个攻击方而言,可能使用不同的攻击方IP地址;但是,由于发起多次攻击行为的攻击方是同一个人,那么该攻击方所发起的攻击行为中攻击时间可能相同或相近、攻击方式也可能相同或相似。同时,由于攻击组织中不同攻击方发起网络攻击的攻击时间相近或相同等原因,使得攻击组织中每一个攻击方所对应的攻击行为之间具有某种内在的联系。因此,可通过采用DBSCAN或K-MEANS等聚类算法使具有相似特性的攻击方IP地址进行聚类,从而获取攻击组织。
这里,所述采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织,可包括两种方式:第一种方式是直接采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,将聚类后所获得的聚集在一起的两个或两个以上攻击方IP地址作为攻击组织;第二种方式是分析通过所述第一种方式所获得的攻击组织,为提高聚类结果的精确性而设置相似性阈值,然后根据所述相似性阈值重新利用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,或者根据所述相似性阈值重新利用聚类算法对通过所述第一种方式所获得的攻击组织进行聚类分析,以使得最后获取的攻击组织中包含的攻击方IP地址所对应的攻击向量之间的相似性值大于所述相似性阈值,也就是说最后获取的攻击组织中包含的攻击方IP地址所对应的攻击向量与该攻击组织的“中心”攻击方IP地址所对应的攻击向量之间的相似性值都大于所述相似性阈值。
这里,当任意一个攻击方IP地址无法被聚类成攻击组织时,则该攻击方IP地址相对于攻击组织而言是孤立点。
进一步地,所述方法还包括:对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。
具体地,根据步骤102中获取到攻击组织后,将所述攻击组织中包含的所有攻击方IP地址提取出来,然后从所述防火墙IPS日志中获取所述攻击组织中包含的所有攻击方IP地址所对应的攻击时间和攻击方式,并按照攻击方IP地址、攻击时间和攻击方式进行聚合,以形成并向用户展示所述攻击组织在聚合后的攻击行为,从而实现可视化展示攻击组织的攻击方式和活动规律、以及在网络攻击行为中快速定位出攻击组织。此外,还可为对攻击组织的攻击行为进行建模分析和检测攻击组织的未知威胁而做好基础准备工作。
下面通过一个具体示例对本发明实施例作进一步地的说明,图2为本发明实施例攻击组织的挖掘方法的基本流程示意图,该方法包括:
步骤201:提取日志;
具体地,提取存储服务器上的防火墙IPS日志;所述防火墙IPS日志中记录有至少一个以上攻击方IP地址在不同攻击时间所采用的攻击方式。
这里,防火墙识别黑客的攻击并保存为IPS日志;防火墙将IPS日志传递给存储服务器。
步骤202:向量化日志;
具体地,根据每一个攻击方IP地址所对应的攻击时间和攻击方式,向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量,即将IPS日志向量化为时间和攻击方式两个维度。
步骤203:机器学习;
具体地,对向量化后的数据应用机器学习算法进行聚类,即应用聚类算法DBSCAN或K-MEANS聚类攻击方IP地址。
步骤204:IP是否能被聚类,若是,则执行步骤205,否则执行步骤206;
具体地,判断在步骤203中攻击方IP地址是否能被聚类,若是,则执行步骤205,否则执行步骤206。
这里,设定一个相似性阈值,如果多个IP的相似性大于所述相似性阈值,则会被聚类成攻击组织;如果多个IP的相似性小于所述相似性阈值,则执行步骤206。
步骤205:可视化;
具体地,对步骤204中攻击组织里的各个攻击IP的攻击时间和攻击方式进行聚合,并进行可视化展示。
步骤206:孤立点。
具体地,在步骤203中,如果多个IP的相似性小于所述相似性阈值,则该IP为孤立点。
基于图2所示的基本流程图,图3为本发明实施例攻击组织的挖掘方法的具体实现流程示意图,该方法包括:
步骤301:防火墙识别黑客的攻击行为并保存至IPS日志;
具体地,具有IPS功能的防火墙对黑客的攻击行为进行识别,并将识别出的攻击行为保存至IPS日志中,所述IPS日志中保存有攻击方IP地址、攻击时间和攻击方式。
步骤302:防火墙将IPS日志传递给存储服务器;
具体地,防火墙将IPS日志传递给存储服务器,以使存储服务器存储所述IPS日志。
这里,由于预设时间可以是一天或一天以上,若防火墙IPS日志因存储空间有限而无法记录在预设时间内的所有攻击行为,则需要将所述防火墙IPS日志中记录的攻击行为存储至存储服务器中。
步骤303:提取存储服务器上IPS日志中所记录的攻击行为;
具体地,提取在预设时间内存储服务器上的IPS日志中所记录的至少一个以上攻击方IP地址在不同攻击时间所采用的攻击方式,即提取IPS日志中所记录的攻击行为。
步骤304:向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,生成攻击向量集;
具体地,计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。
这里,每一个攻击方IP地址在预设时间内可能对应有多个攻击时间和多种攻击方式,对每一个攻击方IP地址所对应的攻击时间和攻击方式进行向量化,以获取对应每一个攻击方IP地址的攻击向量,从而获取由所有攻击方IP地址所对应的攻击向量组成的攻击向量集。
步骤305:利用聚类算法DBSCAN或K-MEANS对攻击向量集进行聚类,生成初始攻击组织;
具体地,采用聚类算法DBSCAN或K-MEANS对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,将聚类后所获得的聚集在一起的两个或两个以上攻击方IP地址作为初始攻击组织。
步骤306:根据设置的相似性阈值对所述初始攻击组织进行优化,获取最终的攻击组织;
具体地,为提高聚类结果的精确性而设置一个相似性阈值,根据所述相似性阈值重新利用聚类算法DBSCAN或K-MEANS对步骤305中所获得的初始攻击组织进行聚类分析,以使得最终获取的攻击组织中包含的攻击方IP地址所对应的攻击向量之间的相似性值大于所述相似性阈值,也就是说最终获取的攻击组织中包含的攻击方IP地址所对应的攻击向量与该攻击组织的“中心”攻击方IP地址所对应的攻击向量之间的相似性值都大于所述相似性阈值。
这里,也根据所述相似性阈值重新利用聚类算法DBSCAN或K-MEANS对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,从而获取最终的攻击组织。
步骤307:可视化展示所述最终的攻击组织。
具体地,根据步骤306中获取到所述最终的攻击组织后,将所述最终的攻击组织中包含的所有攻击方IP地址提取出来,然后从所述防火墙IPS日志中获取所述最终的攻击组织中包含的所有攻击方IP地址所对应的攻击时间和攻击方式,并按照攻击方IP地址、攻击时间和攻击方式进行聚合,以形成并向用户展示所述最终的攻击组织在聚合后的攻击行为,从而实现可视化展示所述最终的攻击组织的攻击方式和活动规律。
图4为本发明实施例攻击组织的挖掘装置的原理示意图;其中,401为黑客攻击路径;402为IPS日志存储路径;403为数据演算路径;404为可视化路径。
图5为本发明实施例攻击组织的挖掘装置的组成结构示意图,该装置包括:第一处理单元12、第二处理单元13;其中,
所述第一处理单元12,用于提取防火墙入侵防御系统IPS日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;
所述第二处理单元13,用于根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。
这里,该装置还包括:第三处理单元11,用于对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙IPS日志。
这里,所述第三处理单元11可以是防火墙;所述防火墙IPS日志中记录有在预设时间内防火墙所识别出的攻击行为,所述预设时间可以是一天或一天以上;当所述防火墙IPS日志因存储空间有限而无法记录在预设时间内的所有攻击行为时,第三处理单元11可将所述防火墙IPS日志中记录的攻击行为存储至存储器中。
其中,所述第一处理单元12,具体用于:提取防火墙IPS日志中记录的至少一个攻击方IP地址在不同攻击时间内所采用的攻击方式。
这里,当所述第三处理单元11在所述防火墙IPS日志因存储空间有限而无法记录在预设时间内的所有攻击行为,而将所述防火墙IPS日志中记录的攻击行为存储至存储器中时,所述第一处理单元12则从所述存储器中提取攻击行为。
所述第二处理单元13,具体用于:根据每一个攻击方IP地址所对应的攻击时间和攻击方式,向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。
这里,所述第二处理单元13向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,包括:计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。
这里,每一个攻击方IP地址在预设时间内可能对应有多个攻击时间和多种攻击方式,对每一个攻击方IP地址所对应的攻击时间和攻击方式进行向量化,以获取对应每一个攻击方IP地址的攻击向量,从而获取由所有攻击方IP地址所对应的攻击向量组成的攻击向量集。
这里,为了掩护攻击方的身份或使攻击行为具有欺骗性等原因,网络的攻击方如黑客在每一次发起网络攻击行为时所采用的IP地址可能不同,即对于同一个攻击方而言,可能使用不同的攻击方IP地址;但是,由于发起多次攻击行为的攻击方是同一个人,那么该攻击方所发起的攻击行为中攻击时间可能相同或相近、攻击方式可能相同或相似。同时,由于攻击组织中不同攻击方发起网络攻击的攻击时间相近或相同等原因,使得攻击组织中每一个攻击方所对应的攻击行为之间具有某种内在的联系。因此,可通过采用DBSCAN或K-MEANS等聚类算法使具有相似特性的攻击方IP地址进行聚类,从而获取攻击组织。
这里,所述采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织,可包括两种方式:第一种方式是直接采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,将聚类后所获得的聚集在一起的两个或两个以上攻击方IP地址作为攻击组织;第二种方式是分析通过所述第一种方式所获得的攻击组织,为提高聚类结果的精确性而设置相似性阈值,然后根据所述相似性阈值重新利用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,或者根据所述相似性阈值重新利用聚类算法对通过所述第一种方式所获得的攻击组织进行聚类分析,以使得最后获取的攻击组织中包含的攻击方IP地址所对应的攻击向量之间的相似性值大于所述相似性阈值,也就是说最后获取的攻击组织中包含的攻击方IP地址所对应的攻击向量与该攻击组织的“中心”攻击方IP地址所对应的攻击向量之间的相似性值都大于所述相似性阈值。
这里,当任意一个攻击方IP地址无法被聚类成攻击组织时,则该攻击方IP地址相对于攻击组织而言是孤立点。
进一步地,所述第二处理单元13,还用于对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。
所述第二处理单元13,具体用于:根据获取到的攻击组织,将所述攻击组织中包含的所有攻击方IP地址提取出来,然后从所述防火墙IPS日志中获取所述攻击组织中包含的所有攻击方IP地址所对应的攻击时间和攻击方式,并按照攻击方IP地址、攻击时间和攻击方式进行聚合,以形成并向用户展示所述攻击组织在聚合后的攻击行为,从而实现可视化展示攻击组织的攻击方式和活动规律、以及在网络攻击行为中快速定位出攻击组织。此外,还可为对攻击组织的攻击行为进行建模分析和检测攻击组织的未知威胁而做好基础准备工作。
在实际应用中,所述第三处理单元11可由防火墙等实现;所述第一处理单元12、第二处理单元13均可由位于终端的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)等实现。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。
Claims (10)
1.一种攻击组织的挖掘方法,其特征在于,所述方法包括:
提取防火墙入侵防御系统IPS日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;
根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。
3.根据权利要求1所述的方法,其特征在于,所述提取防火墙IPS日志中记录的攻击行为之前,所述方法还包括:
对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙IPS日志。
4.根据权利要求1所述的方法,其特征在于,所述根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织,包括:
向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;
采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。
5.根据权利要求4所述的方法,其特征在于,所述向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,包括:
计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;
计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。
6.一种攻击组织的挖掘装置,其特征在于,所述装置包括:第一处理单元、第二处理单元;其中,
所述第一处理单元,用于提取防火墙入侵防御系统IPS日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;
所述第二处理单元,用于根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。
7.根据权利要求6所述的装置,其特征在于,所述第二处理单元,还用于对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:第三处理单元,用于在所述第一处理单元提取防火墙IPS日志中记录的攻击行为之前,对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙IPS日志。
9.根据权利要求6所述的装置,其特征在于,所述第二处理单元,具体用于:
向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;
采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的向量集进行聚类分析,以生成攻击组织。
10.根据权利要求9所述的装置,其特征在于,所述第二处理单元向量化每一个攻击方IP地址所对应的攻击时间和攻击方式为:
计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;
计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610847627.XA CN106375331B (zh) | 2016-09-23 | 2016-09-23 | 一种攻击组织的挖掘方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610847627.XA CN106375331B (zh) | 2016-09-23 | 2016-09-23 | 一种攻击组织的挖掘方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106375331A true CN106375331A (zh) | 2017-02-01 |
| CN106375331B CN106375331B (zh) | 2020-02-14 |
Family
ID=57897555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610847627.XA Active CN106375331B (zh) | 2016-09-23 | 2016-09-23 | 一种攻击组织的挖掘方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106375331B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483484A (zh) * | 2017-09-13 | 2017-12-15 | 北京椰子树信息技术有限公司 | 一种攻击防护演练方法和装置 |
| CN107592309A (zh) * | 2017-09-14 | 2018-01-16 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
| CN107786542A (zh) * | 2017-09-26 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于大数据智能分析恶意ip的评分方法及装置 |
| CN108933785A (zh) * | 2018-06-29 | 2018-12-04 | 平安科技(深圳)有限公司 | 网络风险监控方法、装置、计算机设备及存储介质 |
| CN110401626A (zh) * | 2019-03-14 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种黑客攻击分级检测方法及装置 |
| CN110505202A (zh) * | 2019-07-12 | 2019-11-26 | 中国科学院信息工程研究所 | 一种攻击组织发现方法及系统 |
| CN110995714A (zh) * | 2019-12-06 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
| CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN111800430A (zh) * | 2020-07-10 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种攻击团伙识别方法、装置、设备及介质 |
| CN112202759A (zh) * | 2020-09-28 | 2021-01-08 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
| CN113014529A (zh) * | 2019-12-19 | 2021-06-22 | 北京数安鑫云信息技术有限公司 | 网络攻击的识别方法、装置、介质及设备 |
| CN113496179A (zh) * | 2020-04-08 | 2021-10-12 | 中国电信股份有限公司 | 攻击者分析方法和装置 |
| CN113810351A (zh) * | 2020-06-16 | 2021-12-17 | 深信服科技股份有限公司 | 网络攻击的攻击者确定方法及装置和计算机可读存储介质 |
| WO2021253899A1 (zh) * | 2020-06-16 | 2021-12-23 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
| CN114866344A (zh) * | 2022-07-05 | 2022-08-05 | 佛山市承林科技有限公司 | 信息系统数据安全防护方法、系统及云平台 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8612523B1 (en) * | 2007-05-22 | 2013-12-17 | Trend Micro Incorporated | Methods and apparatus for detecting botnet attacks |
| CN104484602A (zh) * | 2014-12-09 | 2015-04-01 | 中国科学院深圳先进技术研究院 | 一种入侵检测方法、装置 |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| CN105959270A (zh) * | 2016-04-25 | 2016-09-21 | 盐城工学院 | 一种基于谱聚类算法的网络攻击检测方法 |
-
2016
- 2016-09-23 CN CN201610847627.XA patent/CN106375331B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8612523B1 (en) * | 2007-05-22 | 2013-12-17 | Trend Micro Incorporated | Methods and apparatus for detecting botnet attacks |
| CN104484602A (zh) * | 2014-12-09 | 2015-04-01 | 中国科学院深圳先进技术研究院 | 一种入侵检测方法、装置 |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| CN105959270A (zh) * | 2016-04-25 | 2016-09-21 | 盐城工学院 | 一种基于谱聚类算法的网络攻击检测方法 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483484A (zh) * | 2017-09-13 | 2017-12-15 | 北京椰子树信息技术有限公司 | 一种攻击防护演练方法和装置 |
| CN107592309A (zh) * | 2017-09-14 | 2018-01-16 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
| CN107592309B (zh) * | 2017-09-14 | 2019-09-17 | 携程旅游信息技术(上海)有限公司 | 安全事件检测和处理方法、系统、设备及存储介质 |
| CN107786542A (zh) * | 2017-09-26 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于大数据智能分析恶意ip的评分方法及装置 |
| CN108933785B (zh) * | 2018-06-29 | 2021-02-05 | 平安科技(深圳)有限公司 | 网络风险监控方法、装置、计算机设备及存储介质 |
| CN108933785A (zh) * | 2018-06-29 | 2018-12-04 | 平安科技(深圳)有限公司 | 网络风险监控方法、装置、计算机设备及存储介质 |
| CN110401626B (zh) * | 2019-03-14 | 2022-02-18 | 腾讯科技(深圳)有限公司 | 一种黑客攻击分级检测方法及装置 |
| CN110401626A (zh) * | 2019-03-14 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种黑客攻击分级检测方法及装置 |
| CN110505202A (zh) * | 2019-07-12 | 2019-11-26 | 中国科学院信息工程研究所 | 一种攻击组织发现方法及系统 |
| CN110995714B (zh) * | 2019-12-06 | 2022-07-26 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
| CN110995714A (zh) * | 2019-12-06 | 2020-04-10 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
| CN113014529B (zh) * | 2019-12-19 | 2023-09-26 | 北京数安鑫云信息技术有限公司 | 网络攻击的识别方法、装置、介质及设备 |
| CN113014529A (zh) * | 2019-12-19 | 2021-06-22 | 北京数安鑫云信息技术有限公司 | 网络攻击的识别方法、装置、介质及设备 |
| CN113496179B (zh) * | 2020-04-08 | 2023-12-26 | 中国电信股份有限公司 | 攻击者分析方法和装置 |
| CN113496179A (zh) * | 2020-04-08 | 2021-10-12 | 中国电信股份有限公司 | 攻击者分析方法和装置 |
| WO2021253899A1 (zh) * | 2020-06-16 | 2021-12-23 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
| CN113810351A (zh) * | 2020-06-16 | 2021-12-17 | 深信服科技股份有限公司 | 网络攻击的攻击者确定方法及装置和计算机可读存储介质 |
| CN111800430B (zh) * | 2020-07-10 | 2022-06-17 | 南方电网科学研究院有限责任公司 | 一种攻击团伙识别方法、装置、设备及介质 |
| CN111800430A (zh) * | 2020-07-10 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种攻击团伙识别方法、装置、设备及介质 |
| CN111565205B (zh) * | 2020-07-16 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN112202759B (zh) * | 2020-09-28 | 2021-09-07 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
| CN112202759A (zh) * | 2020-09-28 | 2021-01-08 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
| CN114866344A (zh) * | 2022-07-05 | 2022-08-05 | 佛山市承林科技有限公司 | 信息系统数据安全防护方法、系统及云平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106375331B (zh) | 2020-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106375331B (zh) | 一种攻击组织的挖掘方法及装置 | |
| US11601475B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US12058177B2 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| US20250030745A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| EP3207487B1 (en) | Systems and methods for classifying security events as targeted attacks | |
| CN110598404B (zh) | 安全风险监管方法、监管装置、服务器和存储介质 | |
| US20130312092A1 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| US12206707B2 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN111581643B (zh) | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| Chun et al. | An empirical study of intelligent security analysis methods utilizing big data | |
| Toffalini et al. | Detection of masqueraders based on graph partitioning of file system access events | |
| Alnawafleh et al. | Review of the mechanisms used to protect the big data from attacks | |
| Meng et al. | Design of cloud-based parallel exclusive signature matching model in intrusion detection | |
| Sandler et al. | A new framework for ransomware detection using dynamic encryption pattern analysis | |
| Joglekar et al. | Solving cyber security challenges using big data | |
| KR102592624B1 (ko) | 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법 | |
| Odsvetov et al. | Ransomware detection using distributed neural decoding networks | |
| US12028355B2 (en) | Enhancing hybrid traditional neural networks with liquid neural network units for cyber security and offense protection | |
| Pandhurnekar et al. | Proposed Method for Threat Detection Using User Behavior Analysis | |
| CN114186232A (zh) | 一种网络攻击团队识别方法、装置、电子设备及存储介质 | |
| CN117749418B (zh) | 网络攻击团伙的能力判定及分析方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |