CN110545250B - 一种多源攻击痕迹融合关联的溯源方法 - Google Patents
一种多源攻击痕迹融合关联的溯源方法 Download PDFInfo
- Publication number
- CN110545250B CN110545250B CN201810527887.8A CN201810527887A CN110545250B CN 110545250 B CN110545250 B CN 110545250B CN 201810527887 A CN201810527887 A CN 201810527887A CN 110545250 B CN110545250 B CN 110545250B
- Authority
- CN
- China
- Prior art keywords
- attack
- trace data
- dimension
- attack trace
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000004927 fusion Effects 0.000 title claims abstract description 29
- 238000010219 correlation analysis Methods 0.000 claims abstract description 6
- 238000013507 mapping Methods 0.000 claims description 6
- 230000003068 static effect Effects 0.000 claims description 6
- 238000012098 association analyses Methods 0.000 claims description 3
- 238000007619 statistical method Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 6
- 230000007123 defense Effects 0.000 description 3
- 238000004141 dimensional analysis Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000007500 overflow downdraw method Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及互联网技术领域,公开了一种多源攻击痕迹融合关联的溯源方法。方法包括对不同来源的攻击痕迹数据建立攻击痕迹维度模型;对模型进行维度可信度分析及对不同来源的攻击痕迹数据进行来源可信度分析;利用模型基于前述两个可信度对不同来源的攻击痕迹数据中每一条攻击痕迹数据建立标签;对每一条攻击痕迹数据进行指纹库对比和匹配及基于建立的标签对攻击痕迹数据之间进行关联分析以建立关联对;基于建立的标签计算关联对的关联度;基于关联对形成攻击痕迹数据关联网络;基于关联度将关联网络中与目标攻击痕迹数据关联的攻击痕迹数据的攻击相关信息和目标攻击痕迹数据的攻击相关信息融合作为溯源结果输出。由此可实现攻击痕迹的追踪溯源。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种多源攻击痕迹融合关联的溯源方法。
背景技术
互联网的应用已经深入各个领域,网络安全日益凸显其重要性。目前网络攻防面临的形式相当严峻。攻击者采用的攻击手段复杂多样,攻击技术也日新月异,给维护网络安全带来了极大困难。同时攻击者利用网络攻击技术、攻击痕迹擦除技术等各种方式发起网络攻击并毁灭罪证。因而,如何从海量、多元、异构的攻击数据中发现攻击痕迹并分析、发现、关联出攻击者的身份信息成为了网络攻防的重点,也是难点问题。
网络攻防近年来才逐步受到国家和企业的关注和重视,因此溯源技术的研究相对较少,整体的技术体系尚未完善,采用的技术方法也不固定,大部分研究集中在某一特定数据源的溯源上。
在多源攻击痕迹融合方面,大部分采取的都是分级融合的方法。首先是数据级的融合。在此基础上进行特征级融合,最后进行决策级的融合以实现应用。在关联溯源方面,主要采用的是基于时序的关联溯源,通过分析时序关系确定其攻击步骤。
然而,现有的技术针对的数据源比较单一,大部分是针对网络流量或者告警信息,融合的数据源比较少,由于方法的局限性不能扩充数据的来源。并且,现有技术采用的分集融合方法比较复杂,每一级都需要采用不同的方法处理,增加了数据处理的难度。此外,现有技术的溯源不够深入,现有技术的溯源往往停留到主机或者IP地址,无法完成深度溯源。
发明内容
本发明提供了一种多源攻击痕迹融合关联的溯源方法,能够解决上述现有技术数据源少以及数据处理难度大的问题。
本发明提供了一种多源攻击痕迹融合关联的溯源方法,其中,该方法包括:
对不同来源的攻击痕迹数据建立攻击痕迹维度模型;
对所建立的攻击痕迹维度模型进行维度可信度分析以及对所述不同来源的攻击痕迹数据进行来源可信度分析;
利用所述攻击痕迹维度模型基于维度可信度和来源可信度对不同来源的攻击痕迹数据中每一条攻击痕迹数据建立标签,所述标签包括攻击相关信息和对应的可信度;
对建立了标签的每一条攻击痕迹数据进行指纹库对比和匹配以及基于建立的标签对攻击痕迹数据之间进行关联分析以建立攻击痕迹数据关联对;
基于建立的标签计算所述关联对的关联度;
基于所述关联对形成攻击痕迹数据关联网络;
基于所述关联度将所述攻击痕迹数据关联网络中与目标攻击痕迹数据关联的攻击痕迹数据的攻击相关信息和目标攻击痕迹数据的攻击相关信息融合作为溯源结果输出。
优选地,对不同来源的攻击痕迹数据建立攻击痕迹维度模型包括:
根据数据来源和/或数据结构对不同来源的攻击痕迹数据进行分类;
对分类结果进行攻击者相关线索进行提取;
对提取的攻击者相关线索进行融合得到动态维度;
基于预设维度将分类结果中与所述预设维度相关的维度数据作为静态维度;
将所述动态维度和所述静态维度结合得到所述攻击痕迹维度模型。
优选地,对所建立的攻击痕迹维度模型进行维度可信度分析包括:
根据预设的维度与可信度映射关系对所建立的攻击痕迹维度模型进行维度可信度分析得到各个维度的第一维度可信度;
利用熵值法、概率统计法和/或标准差率对所建立的攻击痕迹维度模型进行维度可信度分析得到各个维度的第二维度可信度;
基于第一预设权重对所述第一维度可信度和所述第二维度可信度进行可信度融合得到各个维度的维度可信度。
优选地,对所述不同来源的攻击痕迹数据进行来源可信度分析包括:
根据数据来源对所述不同来源的攻击痕迹数据进行分类;
根据预设的来源与可信度映射关系对分类后的攻击痕迹数据的来源进行来源可信度分析得到各个来源的第一来源可信度;
利用熵值法、概率统计法和/或标准差率对分类后的攻击痕迹数据的来源进行来源可信度分析得到各个来源的第二来源可信度;
基于第二预设权重对所述第一来源可信度和所述第二来源可信度进行可信度融合得到各个来源的来源可信度。
优选地,对建立了标签的每一条攻击痕迹数据进行指纹库对比和匹配以及基于建立的标签对攻击痕迹数据之间进行关联分析以建立攻击痕迹数据关联对包括:
将所述指纹库中与对应的建立了标签的攻击痕迹数据相匹配的攻击痕迹数据与该对应的建立了标签的攻击痕迹数据建立作为攻击痕迹数据关联对;
将具有预定数量的相同或相似的标签的两个攻击痕迹数据建立作为攻击痕迹数据关联对。
优选地,所述攻击相关信息包括攻击者信息、攻击痕迹数据的来源和攻击痕迹数据维度信息。
优选地,攻击痕迹数据的来源可以包括以下中至少一者:网络流量、告警信息、设备日志和威胁情报。
应用本发明的技术方案,通过不同源攻击痕迹数据的维度分析、可信度判定、建立标签、关联融合实现攻击痕迹的追踪溯源。具体地,可以对攻击痕迹数据进行分析发现其中与溯源有关的线索,加以分析融合,并通过关联匹配达到找出攻击者的目的。因此,本发明所述的方法对于数据源异构性的兼容性高,可以融合网络流量、告警信息、设备日志、威胁情报等多源的攻击痕迹数据;并且,本发明打破了分级处理的模式,采用建立维度模型和建立标签的方法,降低了数据处理的难度;此外,本专利通过多维度的分析和关联,可以实现深度溯源到攻击者(攻击组织)的目的。
附图说明
所包括的附图用来提供对本发明实施例的进一步的理解,其构成了说明书的一部分,用于例示本发明的实施例,并与文字描述一起来阐释本发明的原理。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了根据本发明一种实施例的多源攻击痕迹融合关联的溯源方法的流程图;
图2示出了根据本发明一种实施例的建立攻击痕迹维度模型的流程图;
图3示出了根据本发明一种实施例的对所建立的攻击痕迹维度模型进行维度可信度分析的流程图;
图4示出了根据本发明一种实施例的对所述不同来源的攻击痕迹数据进行来源可信度分析的流程图;
图5示出了根据本发明一种实施例的建立攻击痕迹数据关联对的流程图;
图6示出了根据本发明一种实施例的建立的示例关联对的示意图;
图7示出了根据本发明一种实施例的建立的示例关联网络的示意图;以及
图8示出了根据本发明一种实施例的形成的新的关联网络的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1示出了根据本发明一种实施例的多源攻击痕迹融合关联的溯源方法的流程图。
如图1所示,本发明实施例提供了一种多源攻击痕迹融合关联的溯源方法,其中,该方法可以包括:
S100,对不同来源的攻击痕迹数据建立攻击痕迹维度模型;
S102,对所建立的攻击痕迹维度模型进行维度可信度分析以及对所述不同来源的攻击痕迹数据进行来源可信度分析;
S104,利用所述攻击痕迹维度模型基于维度可信度和来源可信度对不同来源的攻击痕迹数据中每一条攻击痕迹数据建立标签,所述标签包括攻击相关信息和对应的可信度;
S106,对建立了标签的每一条攻击痕迹数据进行指纹库对比和匹配以及基于建立的标签对攻击痕迹数据之间进行关联分析以建立攻击痕迹数据关联对;
S108,基于建立的标签计算所述关联对的关联度;
S110,基于所述关联对形成攻击痕迹数据关联网络;
S112,基于所述关联度将所述攻击痕迹数据关联网络中与目标攻击痕迹数据关联的攻击痕迹数据的攻击相关信息和目标攻击痕迹数据的攻击相关信息融合作为溯源结果输出。
通过本发明上述的技术方案,通过不同源攻击痕迹数据的维度分析、可信度判定、建立标签、关联融合实现攻击痕迹的追踪溯源。具体地,可以对攻击痕迹数据进行分析发现其中与溯源有关的线索,加以分析融合,并通过关联匹配达到找出攻击者的目的。因此,本发明所述的方法对于数据源异构性的兼容性高,可以融合网络流量、告警信息、设备日志、威胁情报等多源的攻击痕迹数据;并且,本发明打破了分级处理的模式,采用建立维度模型和建立标签的方法,降低了数据处理的难度;此外,本专利通过多维度的分析和关联,可以实现深度溯源到攻击者(攻击组织)的目的。
图2示出了根据本发明一种实施例的建立攻击痕迹维度模型的流程图。
如图2所示,S100中对不同来源的攻击痕迹数据建立攻击痕迹维度模型可以包括:
S1010,根据数据来源和/或数据结构对不同来源的攻击痕迹数据进行分类,也就是,分类类型依赖于数据来源和数据结构,例如,可以按照同源性进行分类,来自同一数据来源的数据分为一类;
S1012,对分类结果进行攻击者相关线索进行提取,其中不同数据源提取的线索不同;
S1014,对提取的攻击者相关线索进行融合得到动态维度(数据源的维度);
S1016,基于预设维度将分类结果中与所述预设维度相关的维度数据作为静态维度;
S1018,将所述动态维度和所述静态维度结合得到所述攻击痕迹维度模型。
其中,对于步骤S1014而言,可以利用现有技术中已有的方法执行融合操作。为了不混淆本发明,在此不赘述。
举例来讲,执行融合操作(也可以称为归一化)可以包括统一数据格式、数据存储方式、信息归类等等。
采取多维度的融合分析技术,通过建立维度模型可以实现对多源攻击痕迹的分析,解决了多源攻击痕迹具有异构性而无法直接进行融合的问题。
举例来讲,针对不同源的攻击痕迹数据确定的维度模型可以如下:
A-攻击工具:攻击者、攻击时间、编译时间、运行环境、编程语言、编程习惯、路径信息、漏洞信息、和攻击目的等;
B-流量数据:攻击者、攻击时间、源IP、目的IP、源端口号、目的端口号、域名、协议、和内容等;
C-邮箱信息:攻击者、攻击时间、分类(注册邮箱、投递邮箱等)、关联域名、和归属地等;
D-邮件:攻击者、攻击时间、主题、信封发件人、信封收件人、真实发件人、真实收件人、抄送、附件、源IP、和目的IP等;
E-域名信息:攻击者、攻击时间、注册时间、过期时间、更新时间、注册邮箱、绑定IP、和相关URL等;
F-IP地址:攻击者、攻击时间、分类(源IP、目的IP)、关联域名、和归属地等;
G-报警数据:攻击者、源IP、目的IP、域名、Hash值、邮箱信息、和内容等;
图3示出了根据本发明一种实施例的对所建立的攻击痕迹维度模型进行维度可信度分析的流程图。
如图3所示,S102中对所建立的攻击痕迹维度模型进行维度可信度分析可以包括:
S1020,根据预设的维度与可信度映射关系对所建立的攻击痕迹维度模型进行维度可信度分析得到各个维度的第一维度可信度;
S1022,利用熵值法、概率统计法和/或标准差率对所建立的攻击痕迹维度模型进行维度可信度分析得到各个维度的第二维度可信度;
S1024,基于第一预设权重对所述第一维度可信度和所述第二维度可信度进行可信度融合得到各个维度的维度可信度(最终维度可信度)。
图4示出了根据本发明一种实施例的对所述不同来源的攻击痕迹数据进行来源可信度分析的流程图。
如图4所示,S102中对所述不同来源的攻击痕迹数据进行来源可信度分析可以包括:
S1021,根据数据来源对所述不同来源的攻击痕迹数据进行分类;
S1023,根据预设的来源与可信度映射关系对分类后的攻击痕迹数据的来源进行来源可信度分析得到各个来源的第一来源可信度;
S1025,利用熵值法、概率统计法和/或标准差率对分类后的攻击痕迹数据的来源进行来源可信度分析得到各个来源的第二来源可信度;
S1027,基于第二预设权重对所述第一来源可信度和所述第二来源可信度进行可信度融合得到各个来源的来源可信度(最终来源可信度)。
同一种攻击痕迹数据的不同维度对溯源分析的影响力不同。由此,可以在维度模型之上进一步确定不同源数据和同源数据不同维度的可信度(权重)。
本领域技术人员应当理解,上述实施例中描述的熵值法、概率统计法和标准差率等方法仅仅是示例方法,本发明还可以采用现有技术中其他的方法实现可信度分析。
图5示出了根据本发明一种实施例的建立攻击痕迹数据关联对的流程图。
如图5所示,S106中对建立了标签的每一条攻击痕迹数据进行指纹库对比和匹配以及基于建立的标签对攻击痕迹数据之间进行关联分析以建立攻击痕迹数据关联对可以包括:
S1060,将所述指纹库中与对应的建立了标签的攻击痕迹数据相匹配的攻击痕迹数据与该对应的建立了标签的攻击痕迹数据建立作为攻击痕迹数据关联对;
S1062,将具有预定数量的相同或相似的标签的两个攻击痕迹数据建立作为攻击痕迹数据关联对。
举例来讲,每一条攻击痕迹数据都有其独立的标签以及其可信度(权重值),通过对每一条攻击痕迹数据进行与指纹库的对比和匹配以及执行攻击痕迹数据之间关联分析可以建立关联对。
由此,在确定可信度以后,可以对每一条攻击痕迹数据建立标签。可以将建立的多个标签(包括攻击相关信息和对应的可信度)分为两大部分:第一部分是主标签,标记的是攻击者的信息,是溯源追踪的重点;另一部分是次标签,包括了源数据类型标签和多维度模型分析得到的其他标签(维度信息等)。
图6示出了根据本发明一种实施例的建立的示例关联对的示意图。
如图6所示,其中示出了数据A1、B1、C3、D2、F5、G1之间的关联关系,每个数据的关联强弱都通过关联度(概率值)表示。即,图6中横线上的数值表示关联对的关联度)。其中,通过融合标签和可信度的综合算法可以确定关联度。
图7示出了根据本发明一种实施例的建立的示例关联网络的示意图
如图7所示,可以在图6所示的关联对基础上形成关联网络。
由此,任意一条攻击痕迹数据可以通过关联网络关联得到与其相关的攻击痕迹数据,并通过标签融合分析确定其主标签(攻击者)的信息,从而达到溯源的目的。
举例来讲,结合图6和7,要想从现关联网络中得到D2(例如,目标攻击痕迹数据)的攻击者信息,只要从关联网络中查找出D2,通过其主标签就可以得到攻击者信息实现溯源,同时通过次标签可以得到其他信息。
此外,假如现有一条新的攻击痕迹不在现有的关联网络中,经过本发明上述实施例中描述的分类、维度分析、可信度判定、标签建立、关联匹配等步骤可以建立与其相关的关联对E2-D2:0.8,E2-G1:0.8,经过标签融合和分析可以确定其攻击者信息(主标签),由此实现了溯源。同时,E2可以作为新的攻击痕迹将被插入现有的关联网络中形成新的关联网络。如图8所示,图8示出了根据本发明一种实施例的形成的新的关联网络的示意图。
本领域技术人员应当理解,上述图6-8中所示的关联度仅仅是示例性的,并非用于限定本发明。
根据本发明一种实施例,所述攻击相关信息例如可以包括攻击者信息、攻击痕迹数据的来源和攻击痕迹数据维度信息。
根据本发明一种实施例,攻击痕迹数据的来源例如可以包括以下中至少一者:网络流量、告警信息、设备日志和威胁情报。
本领域技术人员应当理解,上述关于所述攻击相关信息和攻击痕迹数据的来源的举例描述仅仅是示例性的,并非用于限定本发明。
从上述实施例可以看出,本发明通过建立维度模型、可信度判定、建立标签等多个步骤可以实现对多源攻击痕迹数据(例如,海量异构数据)进行融合分析,再经过与指纹库的关联匹配以及痕迹数据之间关联分析建立关联网络可实现任意攻击痕迹之间的关联,再通过对关联结果的分析,融合标签信息和关联度信息可实现攻击者的溯源输出,从而识别出攻击者的身份。
在本发明的描述中,需要理解的是,方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,在未作相反说明的情况下,这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作,因此不能理解为对本发明保护范围的限制;方位词“内、外”是指相对于各部件本身的轮廓的内外。
为了便于描述,在这里可以使用空间相对术语,如“在……之上”、“在……上方”、“在……上表面”、“上面的”等,用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是,空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如,如果附图中的器件被倒置,则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而,示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位(旋转90度或处于其他方位),并且对这里所使用的空间相对描述作出相应解释。
此外,需要说明的是,使用“第一”、“第二”等词语来限定零部件,仅仅是为了便于对相应零部件进行区别,如没有另行声明,上述词语并没有特殊含义,因此不能理解为对本发明保护范围的限制。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种多源攻击痕迹融合关联的溯源方法,其特征在于,该方法包括:
对不同来源的攻击痕迹数据建立攻击痕迹维度模型;
对所建立的攻击痕迹维度模型进行维度可信度分析以及对所述不同来源的攻击痕迹数据进行来源可信度分析;
利用所述攻击痕迹维度模型基于维度可信度和来源可信度对不同来源的攻击痕迹数据中每一条攻击痕迹数据建立标签,所述标签包括攻击相关信息和对应的可信度;
对建立了标签的每一条攻击痕迹数据进行指纹库对比和匹配以及基于建立的标签对攻击痕迹数据之间进行关联分析以建立攻击痕迹数据关联对;
基于建立的标签计算所述关联对的关联度;
基于所述关联对形成攻击痕迹数据关联网络;
基于所述关联度将所述攻击痕迹数据关联网络中与目标攻击痕迹数据关联的攻击痕迹数据的攻击相关信息和目标攻击痕迹数据的攻击相关信息融合作为溯源结果输出;
其中,对不同来源的攻击痕迹数据建立攻击痕迹维度模型包括:
根据数据来源和/或数据结构对不同来源的攻击痕迹数据进行分类;
对分类结果进行攻击者相关线索进行提取;
对提取的攻击者相关线索进行融合得到动态维度;
基于预设维度将分类结果中与所述预设维度相关的维度数据作为静态维度;
将所述动态维度和所述静态维度结合得到所述攻击痕迹维度模型。
2.根据权利要求1所述的方法,其特征在于,对所建立的攻击痕迹维度模型进行维度可信度分析包括:
根据预设的维度与可信度映射关系对所建立的攻击痕迹维度模型进行维度可信度分析得到各个维度的第一维度可信度;
利用熵值法、概率统计法和/或标准差率对所建立的攻击痕迹维度模型进行维度可信度分析得到各个维度的第二维度可信度;
基于第一预设权重对所述第一维度可信度和所述第二维度可信度进行可信度融合得到各个维度的维度可信度。
3.根据权利要求2所述的方法,其特征在于,对所述不同来源的攻击痕迹数据进行来源可信度分析包括:
根据数据来源对所述不同来源的攻击痕迹数据进行分类;
根据预设的来源与可信度映射关系对分类后的攻击痕迹数据的来源进行来源可信度分析得到各个来源的第一来源可信度;
利用熵值法、概率统计法和/或标准差率对分类后的攻击痕迹数据的来源进行来源可信度分析得到各个来源的第二来源可信度;
基于第二预设权重对所述第一来源可信度和所述第二来源可信度进行可信度融合得到各个来源的来源可信度。
4.根据权利要求1所述的方法,其特征在于,对建立了标签的每一条攻击痕迹数据进行指纹库对比和匹配以及基于建立的标签对攻击痕迹数据之间进行关联分析以建立攻击痕迹数据关联对包括:
将所述指纹库中与对应的建立了标签的攻击痕迹数据相匹配的攻击痕迹数据与该对应的建立了标签的攻击痕迹数据建立作为攻击痕迹数据关联对;
将具有预定数量的相同或相似的标签的两个攻击痕迹数据建立作为攻击痕迹数据关联对。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述攻击相关信息包括攻击者信息、攻击痕迹数据的来源和攻击痕迹数据维度信息。
6.根据权利要求5所述的方法,其特征在于,攻击痕迹数据的来源可以包括以下中至少一者:网络流量、告警信息、设备日志和威胁情报。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810527887.8A CN110545250B (zh) | 2018-05-29 | 2018-05-29 | 一种多源攻击痕迹融合关联的溯源方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810527887.8A CN110545250B (zh) | 2018-05-29 | 2018-05-29 | 一种多源攻击痕迹融合关联的溯源方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110545250A CN110545250A (zh) | 2019-12-06 |
CN110545250B true CN110545250B (zh) | 2021-12-21 |
Family
ID=68701224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810527887.8A Expired - Fee Related CN110545250B (zh) | 2018-05-29 | 2018-05-29 | 一种多源攻击痕迹融合关联的溯源方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110545250B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110990830A (zh) * | 2019-12-12 | 2020-04-10 | 国网新疆电力有限公司信息通信公司 | 终端取证溯源系统及方法 |
CN111311284B (zh) * | 2020-02-20 | 2021-10-08 | 台州市凌亚塑胶模具有限公司 | 基于区块链的化妆品溯源平台系统 |
CN112287340B (zh) * | 2020-03-06 | 2022-05-27 | 杭州奇盾信息技术有限公司 | 用于终端攻击的取证溯源方法、装置、计算机设备 |
CN112131571B (zh) * | 2020-11-20 | 2021-03-19 | 腾讯科技(深圳)有限公司 | 威胁溯源方法及相关设备 |
CN112788009B (zh) * | 2020-12-30 | 2023-01-17 | 绿盟科技集团股份有限公司 | 一种网络攻击预警方法、装置、介质和设备 |
CN112905996A (zh) * | 2021-03-23 | 2021-06-04 | 贵州航天云网科技有限公司 | 基于多维度数据关联分析的信息安全溯源系统及方法 |
CN113179256B (zh) * | 2021-04-12 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种时间同步系统时间信息安全融合方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
EP2950228A1 (en) * | 2014-05-28 | 2015-12-02 | Fujitsu Limited | Authentication information theft detection method, authentication information theft detection device, and program for the same |
CN105391694A (zh) * | 2015-10-20 | 2016-03-09 | 中国人民解放军信息工程大学 | 一种多源态势信息融合方法 |
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
CN107566376A (zh) * | 2017-09-11 | 2018-01-09 | 中国信息安全测评中心 | 一种威胁情报生成方法、装置及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10419451B2 (en) * | 2015-11-09 | 2019-09-17 | Salesforce.Com | Identifying attack patterns in requests received by web applications |
-
2018
- 2018-05-29 CN CN201810527887.8A patent/CN110545250B/zh not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2950228A1 (en) * | 2014-05-28 | 2015-12-02 | Fujitsu Limited | Authentication information theft detection method, authentication information theft detection device, and program for the same |
CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
CN104811447A (zh) * | 2015-04-21 | 2015-07-29 | 深信服网络科技(深圳)有限公司 | 一种基于攻击关联的安全检测方法和系统 |
CN105391694A (zh) * | 2015-10-20 | 2016-03-09 | 中国人民解放军信息工程大学 | 一种多源态势信息融合方法 |
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
CN107566376A (zh) * | 2017-09-11 | 2018-01-09 | 中国信息安全测评中心 | 一种威胁情报生成方法、装置及系统 |
Non-Patent Citations (3)
Title |
---|
A DoS Attack Effect Evaluation Method Based on Multi-source Data Fusion;Lijuan Zhang;《2010 International Conference on Communications and Mobile Computing》;20100414;全文 * |
多源网络攻击追踪溯源技术研究;郝尧;《通信技术》;20131210;全文 * |
网络空间中威胁情报可信度多维度分析模型研究;李蕾;《北京邮电大学》;20180321;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110545250A (zh) | 2019-12-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110545250B (zh) | 一种多源攻击痕迹融合关联的溯源方法 | |
Qi et al. | Fast anomaly identification based on multiaspect data streams for intelligent intrusion detection toward secure industry 4.0 | |
Khare et al. | Big data in IoT | |
CN107749859B (zh) | 一种面向网络加密流量的恶意移动应用检测方法 | |
US11799823B2 (en) | Domain name classification systems and methods | |
US20210258791A1 (en) | Method for http-based access point fingerprint and classification using machine learning | |
Lee et al. | Effective value of decision tree with KDD 99 intrusion detection datasets for intrusion detection system | |
US20070110089A1 (en) | System for intercepting multimedia documents | |
Ammar | A decision tree classifier for intrusion detection priority tagging | |
CN113420802B (zh) | 基于改进谱聚类的报警数据融合方法 | |
CN112199677A (zh) | 一种数据处理方法和装置 | |
EP3972315A1 (en) | Network device identification | |
CN110868404A (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
Soleymani et al. | A Novel Approach for Detecting DGA‐Based Botnets in DNS Queries Using Machine Learning Techniques | |
CN109660656A (zh) | 一种智能终端应用程序识别方法 | |
CN1223941C (zh) | 一种基于相关特征聚类的层次入侵检测系统 | |
CN108768934A (zh) | 恶意程序发布检测方法、装置以及介质 | |
Miller et al. | The impact of different botnet flow feature subsets on prediction accuracy using supervised and unsupervised learning methods | |
Krivchenkov et al. | Using machine learning for DoS attacks diagnostics | |
US11138463B1 (en) | Unsupervised and supervised machine learning approaches to detecting bots and other types of browsers | |
Zheng et al. | An efficient multikeyword fuzzy ciphertext retrieval scheme based on distributed transmission for Internet of Things | |
KR102526935B1 (ko) | 네트워크 침입 탐지 시스템 및 네트워크 침입 탐지 방법 | |
Chouhan et al. | A survey: Analysis of current approaches in anomaly detection | |
Djelloul et al. | Towards Reengineering Web Applications to Web Services | |
Djemaiel et al. | Optimizing big data management using conceptual graphs: a mark-based approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20211221 |