CN109660557A - 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 - Google Patents
攻击ip画像生成方法、攻击ip画像生成装置和电子设备 Download PDFInfo
- Publication number
- CN109660557A CN109660557A CN201910038187.7A CN201910038187A CN109660557A CN 109660557 A CN109660557 A CN 109660557A CN 201910038187 A CN201910038187 A CN 201910038187A CN 109660557 A CN109660557 A CN 109660557A
- Authority
- CN
- China
- Prior art keywords
- attack
- portrait
- liveness
- preset time
- activity level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种攻击IP画像生成方法、攻击IP画像生成装置和电子设备,其中,所述攻击IP画像生成方法,包括:获取由网络安防系统产生的历史攻击流量数据记录;对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段;基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及,基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。这样,所述攻击IP画像具有相对更为丰富的特征表示,能更为全面地描绘攻击IP的整体特征。
Description
技术领域
本申请涉及网络安全领域,尤其涉及攻击IP画像生成方法、攻击IP画像生成装置和电子设备。
背景技术
随着网络技术的发展,网络攻击的规模和速度在不断增加,网络安全所面临的挑战日益严峻。为了及时、准确地识别攻击者并采取针对性的防御措施,常用的技术思路是:通过对攻击流量数据进行分析,以获得攻击者的特征和攻击意图。
识别攻击者是网络安全防护中最重要的部分。目前,识别攻击者的方式是在发现攻击活动之后,将攻击者的行为与攻击者的身份(IP)建立相关性,基于此建立攻击IP画像模型。通过IP画像模型可以给企业、政府提供安全网络防御决策支持。攻击IP画像的表示方式对于网络安全防御具有极其重要的意义。
申请内容
本申请的主要目的在于提供一种攻击IP画像生成方法、攻击IP画像生成装置和电子设备,其中,通过所述攻击IP画像生成的攻击IP画像具有相对更为丰富的特征表示,以更为全面地描绘攻击IP的整体特征。
本申请的另一目的在于提供一种攻击IP画像生成方法、攻击IP画像生成装置和电子设备,其中,所述攻击IP画像生成方法基于各攻击IP的活跃度、攻击包速率、和攻击流量速率生成的对应攻击IP的威胁度,基于所述攻击IP的威胁度,能更加及时地防御攻击IP的攻击、更实时地了解攻击者的意图并采取相应的措施,以利于为安全网络防御提供更好的决策支持。
本申请的另一目的在于提供一种攻击IP画像生成方法、攻击IP画像生成装置和电子设备,其中,所述攻击IP画像生成方法通过新的攻击流量数据对基于历史攻击流量数据记录生成的攻击IP画像进行更新,以使得所述攻击IP画像不断自我迭代优化。
通过下面的描述,本申请的其它优势和特征将会变得显而易见,并可以通过权利要求书中特别指出的手段和组合得到实现。
为实现上述至少一目的或优势,本申请提供一种攻击IP画像生成方法,其包括:
获取由网络安防系统产生的历史攻击流量数据记录;
对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;
基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;
基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及
基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。
在本申请一实施例中,基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度,包括:基于在第一预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第一预设时间段内的第一活跃度等级;基于在第二预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第二预设时间段内的第二活跃度等级,其中,第二预设时间段大于第一预设时间段;以及,基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度。
在本申请一实施例中,第一预设时间段为一周内、所述第二预设时间段为一个月内。
在本申请一实施例中,基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度,包括:基于对应攻击IP的第一活跃度等级与第一权重之乘积和第二活跃度等级和第二权重之乘积,生成对应攻击IP的活跃度,其中,所述第一权重的初始值设定为7,以及,所述第二权重的初始值设定为3。
在本申请一实施例中,基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度,包括:基于各攻击IP的活跃度、攻击包速率、攻击流量速率和部分所述关键字段,生成对应攻击IP的威胁度,其中,部分所述关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。
在本申请一实施例中,所述攻击IP画像生成方法,还包括:基于新的攻击流量数据对基于历史攻击流量数据记录生成的攻击IP画像进行更新。
根据本申请的另一方面,还提供一种攻击IP画像生成装置,其包括:
获取单元,用于获取由网络安防系统产生的历史攻击流量数据记录;
预处理单元,用于对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;
活跃度生成单元,用于基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;
威胁度生成单元,用于基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及
攻击IP画像生成单元,用于基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。
在本申请一实施例中,所述活跃度生成单元,进一步用于:基于在第一预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第一预设时间段内的第一活跃度等级;基于在第二预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第二预设时间段内的第二活跃度等级,其中,第一预设时间段大于第一预设时间段;以及,基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度。
在本申请一实施例中,第一预设时间段为一周内、所述第二预设时间段为一个月内。
在本申请一实施例中,所述活跃度生成单元,进一步用于:基于对应攻击IP的第一活跃度等级与第一权重之乘积和第二活跃度等级和第二权重之乘积,生成对应攻击IP的活跃度,其中,所述第一权重的初始值设定为7,以及,所述第二权重的初始值设定为3。
在本申请一实施例中,所述威胁度生成单元,进一步地用于:基于各攻击IP的活跃度、攻击包速率、攻击流量速率和部分所述关键字段,生成对应攻击IP的威胁度,其中,部分所述关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。
在本申请一实施例中,所述攻击IP画像生成装置,还包括:更新单元,用于基于新的攻击流量数据对基于历史攻击流量数据记录生成的攻击IP画像进行更新。
根据本申请的另一方面,还提供一种电子设备,其包括处理器和存储器,其中,在所述存储器中存储有计算机程序指令,所述计算机程序指令在被所述处理器运行时使得所述处理器执行如上所述的攻击IP画像生成方法。
根据本申请的另一方面,还提供一种计算机可读存储介质,其上存储有计算机程序指令,当所述计算机程序指令被计算装置执行时,可操作来执行如上所述的攻击IP画像生成方法。
通过对随后的描述和附图的理解,本申请进一步的目的和优势将得以充分体现。
本申请的这些和其它目的、特点和优势,通过下述的详细说明,附图和权利要求得以充分体现。
附图说明
图1图示了根据本申请较佳实施例的攻击IP画像生成方法的流程图。
图2图示了根据本申请较佳实施例的攻击IP画像的一种具体示例。
图3图示了根据本申请较佳实施例的攻击IP画像生成方法的另一流程图。
图4图示了根据本申请较佳实施例的攻击IP画像生成装置的框图。
图5图示了根据本申请实施例的电子设备的框图。
具体实施方式
以下描述用于揭露本申请以使本领域技术人员能够实现本申请。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。在以下描述中界定的本申请的基本原理可以应用于其他实施方案、变形方案、改进方案、等同方案以及没有背离本申请的精神和范围的其他技术方案。
本领域技术人员应理解的是,在本申请的揭露中,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系是基于附图所示的方位或位置关系,其仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此上述术语不能理解为对本申请的限制。
可以理解的是,术语“一”应理解为“至少一”或“一个或多个”,即在一个实施例中,一个元件的数量可以为一个,而在另外的实施例中,该元件的数量可以为多个,术语“一”不能理解为对数量的限制。
虽然比如“第一”、“第二”等的序数将用于描述各种组件,但是在这里不限制那些组件。该术语仅用于区分一个组件与另一组件。例如,第一组件可以被称为第二组件,且同样地,第二组件也可以被称为第一组件,而不脱离发明构思的教导。在此使用的术语“和/或”包括一个或多个关联的列出的项目的任何和全部组合。
在这里使用的术语仅用于描述各种实施例的目的且不意在限制。如在此使用的,单数形式意在也包括复数形式,除非上下文清楚地指示例外。另外将理解术语“包括”和/或“具有”当在该说明书中使用时指定所述的特征、数目、步骤、操作、组件、元件或其组合的存在,而不排除一个或多个其它特征、数目、步骤、操作、组件、元件或其组的存在或者附加。
包括技术和科学术语的在这里使用的术语具有与本领域技术人员通常理解的术语相同的含义,只要不是不同地限定该术语。应当理解在通常使用的词典中限定的术语具有与现有技术中的术语的含义一致的含义。
下面结合附图和具体实施方式对本发明作进一步详细的说明:
申请概述
如上所述,识别攻击者是网络安全防护中最重要的部分。目前,识别攻击者的方式是在发现攻击活动之后,将攻击者的行为与攻击者的身份(IP)建立相关性,基于此建立攻击IP画像模型。通过IP画像模型可以给企业、政府提供安全网络防御决策支持。攻击IP画像的表示方式对于网络安全防御具有极其重要的意义。
本领域的技术人员应知晓,攻击IP画像指的是根据攻击IP的属性,攻击IP对应的行为、攻击IP对应的偏好等信息抽象出来的标签化IP模型。也就是说,通过用一些高度概括、容易理解的特征对攻击IP进行描述和/或表示,以使得攻击IP更容易被人和/或机器所理解。
在申请号为201710730912.8的专利中,揭露了一种用于网络安防系统的攻击IP画像,其中,在该攻击IP画像主要包括三个特征维度:攻击IP的攻击频率、攻击时段、攻击目标。在具体应用中,基于这三个特征维度对攻击IP进行评分,评分越高、信誉越高,并基于此设立防御策略:将攻击IP信誉低于0.7分的攻击IP进行拦截。这样的攻击IP画像在具体应用中却具有诸多缺陷。
首先,该攻击IP画像的特征维度较少,无法充分地展示该攻击IP的全貌特征。也就是说,用户和/或运维人员无法通过该攻击IP画像对该攻击IP建立全面地了解。
其次,该攻击IP画像仅针对于单个攻击IP的历史数据生成。通过这样的方式所生成的攻击IP画像,其维度是平面。并且,缺乏该攻击IP在整体攻击流量中的分布特征、该攻击IP是否真实等其他要素的考量,评分因素较少,分析缺少整体性和全面性。
还有,在具体网络防御中,基于该攻击IP画像的防御策略为:将攻击IP画像中攻击IP信誉低于0.7分的攻击IP进行拦截,即,将攻击IP画像中攻击IP信誉低于预设阈值的攻击IP进行拦截。然而,在实际网络防御中,不同的攻击IP在不同的时间段内其行为表征不同,仅通过攻击IP信誉度与固定预设阈值的对比结果来实施防御措施,过于简单粗暴,其防御结果不佳。
针对上述技术问题,本申请的基本构思是通过采集网络安防系统产生的历史攻击流量数据记录,并通过大数据统计统计分析以生成各攻击IP画像,其中,所述攻击IP画像具有相对更为丰富的特征表示。
基于此,本申请提出了一种攻击IP画像生成方法,其首先获取由网络安防系统产生的历史攻击流量数据记录;进而,对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;接着,基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;然后,基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;最终,基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。
这样,通过大数据统计分析历史攻击流量数据记录以生成攻击IP画像,其中,所述攻击IP画像具有相对更为丰富的特征表示,能更为全面地描绘攻击IP的整体特征。并且,通过基于各攻击IP的活跃度、攻击包速率、和攻击流量速率所生成的攻击IP的威胁度,能够更加及时地防御攻击IP的攻击、更实时地了解攻击者的意图并采取相应的措施,以利于为安全网络防御提供更好的决策支持。
在介绍本申请的基本原理之后,下面将参考附图来具体介绍本申请的各种非限制性实施例。
示例性攻击IP画像生成方法
图1图示了根据本申请较佳实施例的攻击IP画像生成方法的流程图。如图1所示,根据本申请该较佳实施例的攻击IP画像生成方法,包括:S110,获取由网络安防系统产生的历史攻击流量数据记录;S120,对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;S130,基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;S140,基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及,S150,基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。
在步骤S110中,获取由网络安防系统产生的历史攻击流量数据记录。本领域的技术人员应知晓,在用户访问客户的网站时,访问流量会首先经过网络安防系统。所述网络安防系统包括网络流量监控系统和异常流量管理系统,其中,所述网络流量监控系统用于对访问流量进行监测,以判定访问流量是否为攻击流量。当访问流量被识别为攻击流量或者其他异常流量时,所述异常流量管理系统中的防御设备会对该攻击流量进行针对性地处理,以防止该攻击流量对用户的网站造成破坏。并且,在所述异常流量管理系统中的防御设备对攻击流量进行处理的过程中,各台防御设备会产生针对该攻击流量的数据记录,以供后续运维人员对该攻击流量进行分析和监控。
例如,当所述异常流量管理系统中的防御设备被配置为Atic防御设备(AbnormalTraffic Inspection&Control System)时,响应于检测到访问流量为攻击流量,所述Atic防御设备会对该攻击流量进行针对性处理(例如,拦截、限速、分流等)以防止该攻击流量对目标IP造成破坏。同时,所述Atic防御设备会对该攻击流量进行记录,并生成攻击流量系统日志(System Log,后续简写为Syslog),以供后续运维人员对该攻击流量进行分析和监控。
更具体地,由Atic防御设备所产生的攻击流量系统日志中包括入流量、丢弃流量、攻击包数、黑名单日志、白名单日志等信息。这里,入流量表示所有访问特定网站或者经过所述Atic防御设备的流量,其包含正常访问流量和攻击流量。丢弃流量表示所述Atic防御设备清洗掉的攻击流量,其中,在能够100%完全不漏过任何攻击流量的情况下,攻击流量等于丢弃流量。攻击包数表示防护攻击流量的攻击时段内所述Atic防御设备受到的攻击包数总计。黑名单日志表示访问流量被识别为攻击流量时,其攻击IP会被加入黑名单中一定时间。白名单日志表示被视为人为视为正常流量的IP。
特别地,所述攻击流量系统日志主要包括字段:Log_time(日志推送至服务器时间)、Zone_ip(对应的高防IP)、Device_ip(对应的设备IP)、Max_drop_pps(峰值丢弃报文数)、Max_in_kbps(峰值入流量)、Max_drop_kbps(峰值丢弃流量),Attack type(攻击类型)、Attacker_ip(攻击IP)、Ip_blacklist(黑名单列表)、Reason_operated(加入黑名单的原因)、White_list(白名单列表)、Start_time(开始攻击时间)、End_time(攻击结束时间)、Total_package(总包大小)、Target_Ip(目标IP)、Total_pps(总包速率)、Total_kbps(总流量kbps)、Protocol(攻击的协议)和Port(攻击的端口)等。
应可以理解,所述异常流量管理系统中的防御设备还可被配置为其他类型的网络防御设备,其中,不同类型的防御设备同样能够对攻击流量进行针对性处理,并生成该攻击流量的记录。其区别在于:不同类型的防御设备所生成的攻击流量记录的格式不同,所包含的信息也存在一定的差异。这里,为了便于说明和理解,在本申请的该较佳实施例中,以所述异常流量管理系统中的防御设备配置为Atic防御设备(Abnormal Traffic Inspection&Control System),以及,所述攻击流量记录为攻击流量Syslog为示例,说明本申请的攻击IP画像生成方法。
在步骤S120中,对所述攻击流量数据记录进行预处理,以获取所述攻击流量数据记录中的关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段。也就是说,在收集由网络安防系统产生的历史攻击流量记录之后,对所述攻击流量数据记录进行预处理,以从所述攻击流量记录中获取用于生成攻击IP画像的关键信息。
更具体地,所述关键字段中的攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击目标IP、攻击IP所在位置等字段可通过直接提取由Atic防御设备生成的所述攻击流量系统日志中的对应字段获得。同时,所述关键字段中的攻击包速率、攻击流量速率、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段等字段,需对所述攻击流量系统日志中的字段进行进一步地加工处理才能得到。例如,可通过统计攻击流量系统记录中Ip_blacklist字段出现的次数,获得对应攻击IP被列入黑名单的次数。
这里,对所述攻击流量系统日志中的字段进行进一步地加工处理,以获得攻击包速率、攻击流量速率、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段等字段的过程中,采用的都是常规的统计手段。故,在此不再赘述。
在步骤S130中,基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度。这里,攻击IP的活跃度是攻击IP画像中一个重要的指标,用于评估该攻击IP在预设时间段内的活跃程度。
在本申请的该较佳实施例中,基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度的过程,首先包括:基于在第一预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第一预设时间段内的第一活跃度等级。也就是说,根据攻击流量的在第一预设时间段内的总体样本特征对每一攻击IP在第一预设时间段内的活跃度进行评估。
在具体实施中,可采用分级的方式对每一攻击IP的活跃度进行量化评估。例如,设定攻击IP的活跃度分成1-10个等级,其中,当攻击IP的攻击次数在所有攻击IP中的攻击次数分布属于特定区间时,评定该攻击IP的活跃度为特定等级。
考虑到攻击IP在不同时间范围内的不同分布,进一步地,基于在第二预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第二预设时间段内的第二活跃度等级,其中,第一预设时间段大于第一预设时间段。相应地,在具体实施中,同样可采用分级的方式对每一攻击IP的第二活跃度进行量化评估。例如,同样设定攻击IP的第二活跃度分成1-10个等级,其中,当攻击IP的攻击次数在所有攻击IP中的攻击次数分布属于特定区间时,评定该攻击IP的活跃度为特定等级。
进而,基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度。可选地,第一预设时间段可设为一周内、所述第二预设时间段可设为一个月内。此时,所述攻击IP的第一活跃度等级表示对应攻击IP在近7天内的活跃程度,所述攻击IP的第二活跃度等级表示对应攻击IP在近30天内的活跃程度。
本领域的技术人员应可以理解,攻击IP在第一预设时间段(较近的时间段内)的活跃度等级比对应攻击IP在第二预设时间段(较长的时间段内)的活跃度等级影响权重较大。因此,在基于对应攻击IP的第一活跃度等级和第二活跃度等级,求解对应攻击IP的活跃度的过程中,应赋予第一活跃度等级和第二活跃度等级不同的权重。例如,在具体实施中,可设定所述第一活跃度等级对应的第一权重的初始值为7,以及,所述第二活跃度等级对应的所述第二权重的初始值为3。并且,在后续数据处理的过程中,基于机器学习算法对所述第一权重和第二权重的取值进行调整优化。
值得一提的是,在本申请另外的实施例中,所述第一预设时间段和所述第二预设时间段可设置为其他值。例如,所述第一预设时间段为近7天内,所述第二预设时间段为近15天内。对此,并不为本申请所局限。
还有,在本申请另外的实施例中,还可以额外增设预设时间段,以更为准确地表征对应攻击IP的活跃度特征。例如,在本申请另外的实施例中,所述基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度的过程,还包括:基于在第三预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第三预设时间段内的第三活跃度等级,其中,第三预设时间段位于所述第一预设时间段和所述第二预设时间段之间。例如,所述第一预设时间段为近7天,第二预设时间段为近30天,以及,所述第三预设时间段为近15天。对此,同样并不为本申请所局限。
在步骤S140中,基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度。这里,攻击IP的威胁度是攻击IP画像中最重要的特征,其用于评估对应攻击IP的对目标IP的威胁程度,其中,威胁度越大,代表对目标IP的威胁力越大。
特别地,在本申请该较佳实施例中,攻击IP的威胁度基于对应攻击IP的活跃度、攻击包速率和攻击流量速率综合评定获得,其能够良好地表征该攻击IP对用户网站可能造成的破坏程度。具体来说,攻击IP的攻击包速率表示每秒攻击包的大小,其表征攻击IP的体量。攻击流量速率表示每秒发包的次数,其表征攻击IP的攻速。也就是说,在本申请该较佳实施例中,基于攻击IP的活跃程度、体量和攻速对攻击IP的威胁度进行评定。
为了更为准确地对攻击IP的威胁度进行预测评估,在本申请的另外的实施例中,还可以引入其他参量对攻击IP的活跃度进行评估。例如,还可引入部分关键字段结合活跃度、攻击包速率、和攻击流量速率对攻击IP的威胁度进行评估,其中,部分关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。
应可以理解,在具体求解威胁度的过程中,不同的特征分别具有不同的权重。因此,可采用有监督学习算法对用以求解威胁度的模型进行训练,以对模型中的参数进行调整,以使得最终获得的威胁度能更好地表征对应攻击IP对目标IP的威胁力。
在步骤S150中,基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。也就是说,整合在步骤S110-S140中获得的关键字段、活跃度和威胁度,生成所述攻击IP画像。
图2图示了根据本申请较佳实施例的攻击IP画像的一种具体示例。如图2所示,所述攻击IP画像包括特征维度:威胁等级(分为高危、中危、低危,三个等级)、体量(攻击包速率,分为重量级、中量级、轻量级,三个等级)、攻速(攻击流量速率,分为快、中、慢,三个等级)、活跃度(采用十分制进行表示)、攻击时段、攻击方式、发源地(攻击IP所在地)、是否进入黑名单和其他信息(包括被攻击行业)。
进一步地,在生成攻击IP画像之后,可将攻击IP画像进行大屏展示,供运维人员和/或客户对攻击流量建立直观认知。
或者,将攻击IP画像封装于API中,供所述网络安防系统调用。值得一提的是,在具体应用中,所述网络安防系统可不断实时地获取正常流量和攻击流量的行为特征。这样,可基于新的攻击流量数据对基于历史攻击流量数据记录生成的攻击IP画像进行更新(例如,增加新的特征维度或对原先特征维度值进行更新),使得攻击IP画像更为立体和完整。
图3图示了根据本申请较佳实施例的攻击IP画像生成方法的另一流程图。如图3所示,所述攻击IP画像生成方法,包括:
步骤一:收集网络安防系统所产生的攻击流量Syslog,并存储在大数据集群上;
步骤二:对获取的攻击流量Syslog数据进行清理;
步骤三:对经过数据清理处理之后的攻击流量Syslog数据进行处理并整合,以获取关键字段,其中,所述关键字段包括:所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段。
步骤四:对攻击IP的活跃度进行评估。首先,根据每个攻击IP的近7天和近30天的攻击次数各评定1-10个等级。进而,根据总体样本特征,分别指定7天攻击等级和30天的攻击等级的默认权重为7和3,并经过机器学习不断完善两者权重的比例。接着,进行分权重累:Active_Level=Week_Level*w1+Month_Level*w2,以获得对应攻击IP的活跃度。
步骤五:对攻击IP的威胁等级进行评估。具体地,根据攻击IP的体量,攻速,活跃度三个因子,默认根据实际攻击的影响给与相应的权重,之后用机器学习优化权重的取值,以综合评估攻击IP的威胁度等级。
步骤六:将生成的攻击IP画像封装api,以基于攻击IP画像提供网络防御。或者,将所述攻击IP画像进行可视化大屏展示。
步骤七:不断实时获取正常流量和攻击流量的行为特征,优化攻击IP画像模型。同时,也从外部来源获取更多攻击IP信息,使攻击IP画像更加立体,完整。
综上,以本申请所提供的攻击IP画像生成方法被阐明。在本申请中,通过大数据统计分析历史攻击流量数据记录以生成攻击IP画像,其中,所述攻击IP画像具有相对更为丰富的特征表示,能更为全面地描绘攻击IP的整体特征。并且,通过基于各攻击IP的活跃度、攻击包速率、和攻击流量速率所生成的攻击IP的威胁度,能够更加及时地防御攻击IP的攻击、更实时地了解攻击者的意图并采取相应的措施,以利于为安全网络防御提供更好的决策支持。
应领会的是,虽然上文中以所述防御设备配置为Atic防御设备(AbnormalTraffic Inspection&Control System),以及,所述攻击流量记录为攻击流量Syslog为示例,阐述了本申请的攻击IP画像生成方法。但是,本领域的技术人员应可以理解,本申请所揭露的攻击IP画像生成方法还可应用于其他类型的防御设备所产生的攻击流量记录,以生成攻击IP画像。对此,本申请不作任何限制。
示意性攻击数据整合装置
图4图示了根据本申请较佳实施例的攻击IP画像生成装置的框图。
如图4所示,根据本申请该较佳实施例的攻击IP画像生成装置400包括:获取单元410,用于获取由网络安防系统产生的历史攻击流量数据记录;预处理单元420,用于对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;活跃度生成单元430,用于基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;威胁度生成单元440,用于基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及,攻击IP画像生成单元450,用于基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。
在一个示例中,在上述攻击IP画像生成装置400中,所述活跃度生成单元430,进一步用于:基于在第一预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第一预设时间段内的第一活跃度等级;基于在第二预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第二预设时间段内的第二活跃度等级,其中,第一预设时间段大于第一预设时间段;以及,基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度。
在一个示例中,在上述攻击IP画像生成装置400中,第一预设时间段为一周内、所述第二预设时间段为一个月内。
在一个示例中,在上述攻击IP画像生成装置400中,所述活跃度生成单元430,进一步用于:基于对应攻击IP的第一活跃度等级与第一初始权重之乘积和第二活跃度等级和第二初始权重之乘积,生成对应攻击IP的活跃度,其中,所述第一初始权重为7,以及,所述第二初始权重为3。
在一个示例中,在上述攻击IP画像生成装置400中,所述威胁度生成单元440,进一步地用于:基于各攻击IP的活跃度、攻击包速率、攻击流量速率和部分所述关键字段,生成对应攻击IP的威胁度,其中,部分所述关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。
在一个示例中,在上述攻击IP画像生成装置400中,所述攻击IP画像生成装置,还包括:更新单元460,用于基于新的攻击流量数据对基于历史攻击流量数据记录生成的攻击IP画像进行更新。
这里,本领域技术人员可以理解,上述攻击IP画像生成装置400中的各个单元和模块的具体功能和操作已经在上面参考图1到图3描述的攻击IP画像生成方法中详细介绍,并因此,将省略其重复描述。
如上所述,根据本申请实施例的攻击IP画像生成装置可以实现在各种终端设备中,例如网络安防系统的服务器上。在一个示例中,根据本申请实施例的攻击IP画像生成装置可以作为一个软件模块和/或硬件模块而集成到所述终端设备中。例如,该攻击IP画像生成装置可以是该终端设备的操作系统中的一个软件模块,或者可以是针对于该终端设备所开发的一个应用程序;当然,该攻击IP画像生成装置同样可以是该终端设备的众多硬件模块之一。
替换地,在另一示例中,该攻击IP画像生成装置与该终端设备也可以是分立的终端设备,并且该攻击IP画像生成装置可以通过有线和/或无线网络连接到该终端设备,并且按照约定的数据格式来传输交互信息。
示意性电子设备
下面,参考图5来描述根据本申请实施例的电子设备。
图5图示了根据本申请实施例的电子设备的框图。
如图5所示,电子设备10包括一个或多个处理器11和存储器12。
处理器11可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备10中的其他组件以执行期望的功能。
存储器12可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器11可以运行所述程序指令,以实现上文所述的本申请的各个实施例的攻击IP画像生成方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如攻击流量记录,关键字段等各种内容。
在一个示例中,电子设备10还可以包括:输入装置13和输出装置14,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
例如,该输入装置13可以是例如键盘、鼠标等等。
该输出装置14可以向外部输出各种信息,包括攻击IP画像等。该输出设备14可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图5中仅示出了该电子设备10中与本申请有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备10还可以包括任何其他适当的组件。
示意性计算机程序产品
除了上述方法和设备以外,本申请的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的攻击IP画像生成方法中的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本申请实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本申请的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的攻击IP画像生成方法中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
以上结合具体实施例描述了本申请的基本原理,但是,需要指出的是,在本申请中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本申请为必须采用上述具体的细节来实现。
本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
还需要指出的是,在本申请的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此,本申请不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
本领域的技术人员应理解,上述描述及附图中所示的本申请的实施例只作为举例而并不限制本申请。本申请的目的已经完整并有效地实现。本申请的功能及结构原理已在实施例中展示和说明,在没有背离所述原理下,本申请的实施方式可以有任何变形或修改。
Claims (14)
1.一种攻击IP画像生成方法,其特征在于,包括:
获取由网络安防系统产生的历史攻击流量数据记录;
对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;
基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;
基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及
基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。
2.如权利要求1所述的攻击IP画像生成方法,其中,基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度,包括:
基于在第一预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第一预设时间段内的第一活跃度等级;
基于在第二预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第二预设时间段内的第二活跃度等级,其中,第二预设时间段大于第一预设时间段;以及
基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度。
3.如权利要求2所述的攻击IP画像生成方法,其中,第一预设时间段为一周内、所述第二预设时间段为一个月内。
4.如权利要求3所述的攻击IP画像生成方法,其中,基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度,包括:
基于对应攻击IP的第一活跃度等级与第一权重之乘积和第二活跃度等级和第二权重之乘积,生成对应攻击IP的活跃度,其中,所述第一权重的初始值设定为7,以及,所述第二权重的初始值设定为3。
5.如权利要求4所述的攻击IP画像生成方法,其中,基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度,包括:
基于各攻击IP的活跃度、攻击包速率、攻击流量速率和部分所述关键字段,生成对应攻击IP的威胁度,其中,部分所述关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。
6.如权利要求1至5任一所述的攻击IP画像生成方法,还包括:
基于新的攻击流量数据对基于历史攻击流量数据记录生成的攻击IP画像进行更新。
7.一种攻击IP画像生成装置,其特征在于,包括:
获取单元,用于获取由网络安防系统产生的历史攻击流量数据记录;
预处理单元,用于对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;
活跃度生成单元,用于基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;
威胁度生成单元,用于基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及
攻击IP画像生成单元,用于基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。
8.如权利要求7所述的攻击IP画像生成装置,其中,所述活跃度生成单元,进一步用于:
基于在第一预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第一预设时间段内的第一活跃度等级;
基于在第二预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第二预设时间段内的第二活跃度等级,其中,第二预设时间段大于第一预设时间段;以及
基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度。
9.如权利要求8所述的攻击IP画像生成装置,其中,第一预设时间段为一周内、所述第二预设时间段为一个月内。
10.如权利要求9所述的攻击IP画像生成装置,其中,所述活跃度生成单元,进一步用于:
基于对应攻击IP的第一活跃度等级与第一权重之乘积和第二活跃度等级和第二权重之乘积,生成对应攻击IP的活跃度,其中,所述第一权重的初始值设定为7,以及,所述第二权重的初始值设定为3。
11.如权利要求10所述的攻击IP画像生成装置,其中,所述威胁度生成单元,进一步地用于:
基于各攻击IP的活跃度、攻击包速率、攻击流量速率和部分所述关键字段,生成对应攻击IP的威胁度,其中,部分所述关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。
12.如权利要求7至11任一所述的攻击IP画像生成装置,还包括:
更新单元,用于基于新的攻击流量数据对基于历史攻击流量数据记录生成的攻击IP画像进行更新。
13.一种电子设备,其特征在于,包括:
处理器;和
存储器,在所述存储器中存储有计算机程序指令,所述计算机程序指令在被所述处理器运行时使得所述处理器执行如权利要求1-6中任一项所述的攻击IP画像生成方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,当所述计算机程序指令被计算装置执行时,可操作来执行如权利要求1-6中任一项所述的攻击IP画像生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910038187.7A CN109660557A (zh) | 2019-01-16 | 2019-01-16 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910038187.7A CN109660557A (zh) | 2019-01-16 | 2019-01-16 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109660557A true CN109660557A (zh) | 2019-04-19 |
Family
ID=66120178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910038187.7A Pending CN109660557A (zh) | 2019-01-16 | 2019-01-16 | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109660557A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311890A (zh) * | 2019-05-22 | 2019-10-08 | 中国平安财产保险股份有限公司 | 可视化攻防图生成方法、装置、计算机设备及存储介质 |
| CN110535866A (zh) * | 2019-09-02 | 2019-12-03 | 杭州安恒信息技术股份有限公司 | 系统画像的生成方法、装置及服务器 |
| CN111988322A (zh) * | 2020-08-24 | 2020-11-24 | 北京微步在线科技有限公司 | 一种攻击事件展示系统 |
| CN112751883A (zh) * | 2021-01-19 | 2021-05-04 | 光通天下网络科技股份有限公司 | Ip威胁分值判定方法、装置、设备及介质 |
| CN112751712A (zh) * | 2020-12-30 | 2021-05-04 | 绿盟科技集团股份有限公司 | 一种基于网络的流量可视化方法、装置及设备 |
| WO2021253899A1 (zh) * | 2020-06-16 | 2021-12-23 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
| CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN115225384A (zh) * | 2022-07-19 | 2022-10-21 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9240976B1 (en) * | 2015-01-06 | 2016-01-19 | Blackpoint Holdings, Llc | Systems and methods for providing network security monitoring |
| CN107404495A (zh) * | 2017-09-01 | 2017-11-28 | 北京亚鸿世纪科技发展有限公司 | 一种基于ip地址画像的装置 |
| CN107454076A (zh) * | 2017-08-01 | 2017-12-08 | 北京亚鸿世纪科技发展有限公司 | 一种网站画像方法 |
| CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
-
2019
- 2019-01-16 CN CN201910038187.7A patent/CN109660557A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9240976B1 (en) * | 2015-01-06 | 2016-01-19 | Blackpoint Holdings, Llc | Systems and methods for providing network security monitoring |
| CN107454076A (zh) * | 2017-08-01 | 2017-12-08 | 北京亚鸿世纪科技发展有限公司 | 一种网站画像方法 |
| CN107404495A (zh) * | 2017-09-01 | 2017-11-28 | 北京亚鸿世纪科技发展有限公司 | 一种基于ip地址画像的装置 |
| CN108234462A (zh) * | 2017-12-22 | 2018-06-29 | 杭州安恒信息技术有限公司 | 一种基于云防护的智能拦截威胁ip的方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110311890A (zh) * | 2019-05-22 | 2019-10-08 | 中国平安财产保险股份有限公司 | 可视化攻防图生成方法、装置、计算机设备及存储介质 |
| CN110535866A (zh) * | 2019-09-02 | 2019-12-03 | 杭州安恒信息技术股份有限公司 | 系统画像的生成方法、装置及服务器 |
| CN110535866B (zh) * | 2019-09-02 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 系统画像的生成方法、装置及服务器 |
| WO2021253899A1 (zh) * | 2020-06-16 | 2021-12-23 | 深信服科技股份有限公司 | 针对性攻击检测方法及其装置和计算机可读存储介质 |
| CN111988322A (zh) * | 2020-08-24 | 2020-11-24 | 北京微步在线科技有限公司 | 一种攻击事件展示系统 |
| CN112751712B (zh) * | 2020-12-30 | 2023-04-07 | 绿盟科技集团股份有限公司 | 一种基于网络的流量可视化方法、装置及设备 |
| CN112751712A (zh) * | 2020-12-30 | 2021-05-04 | 绿盟科技集团股份有限公司 | 一种基于网络的流量可视化方法、装置及设备 |
| CN112751883A (zh) * | 2021-01-19 | 2021-05-04 | 光通天下网络科技股份有限公司 | Ip威胁分值判定方法、装置、设备及介质 |
| CN112751883B (zh) * | 2021-01-19 | 2023-11-24 | 杨建鑫 | Ip威胁分值判定方法、装置、设备及介质 |
| CN114003903B (zh) * | 2021-12-28 | 2022-03-08 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN115225384A (zh) * | 2022-07-19 | 2022-10-21 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115225384B (zh) * | 2022-07-19 | 2024-01-23 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109660557A (zh) | 攻击ip画像生成方法、攻击ip画像生成装置和电子设备 | |
| CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| CN107547555B (zh) | 一种网站安全监测方法及装置 | |
| CN109544163B (zh) | 一种用户支付行为的风险控制方法、装置、设备及介质 | |
| CN111859400B (zh) | 风险评估方法、装置、计算机系统和介质 | |
| CN109873811A (zh) | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 | |
| CN110620759A (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
| CN108347430A (zh) | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 | |
| CN105357063B (zh) | 一种网络空间安全态势实时检测方法 | |
| CN107566358A (zh) | 一种风险预警提示方法、装置、介质及设备 | |
| CN107888571A (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN108229963A (zh) | 用户操作行为的风险识别方法及装置 | |
| CN110912874B (zh) | 有效识别机器访问行为的方法及系统 | |
| CN111754241A (zh) | 一种用户行为感知方法、装置、设备及介质 | |
| CN110675252A (zh) | 风险评估方法、装置、电子设备及存储介质 | |
| CN107704764A (zh) | 构建训练集的方法、装置、设备及人机识别的方法 | |
| CN114615016A (zh) | 一种企业网络安全评估方法、装置、移动终端及存储介质 | |
| CN115361150B (zh) | 针对网络攻击下配电网风险级联的安全风险评估方法 | |
| CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
| CN114448657B (zh) | 一种配电通信网络安全态势感知与异常入侵检测方法 | |
| CN111431883A (zh) | 一种基于访问参数的web攻击检测方法及装置 | |
| CN113393316B (zh) | 基于海量大数据、核心算法的贷款全过程精准风控及管理系统 | |
| Eldos et al. | On the KDD'99 Dataset: Statistical Analysis for Feature Selection | |
| CN111784360B (zh) | 一种基于网络链接回溯的反欺诈预测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190419 |