CN112070161A - 一种网络攻击事件分类方法、装置、终端及存储介质 - Google Patents

一种网络攻击事件分类方法、装置、终端及存储介质 Download PDF

Info

Publication number
CN112070161A
CN112070161A CN202010935985.2A CN202010935985A CN112070161A CN 112070161 A CN112070161 A CN 112070161A CN 202010935985 A CN202010935985 A CN 202010935985A CN 112070161 A CN112070161 A CN 112070161A
Authority
CN
China
Prior art keywords
attack event
attack
event data
data
editing distance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010935985.2A
Other languages
English (en)
Other versions
CN112070161B (zh
Inventor
蔡梓文
肖勇
赵云
崔超
徐迪
李锦�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Research Institute of Southern Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Research Institute of Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd, Research Institute of Southern Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202010935985.2A priority Critical patent/CN112070161B/zh
Publication of CN112070161A publication Critical patent/CN112070161A/zh
Application granted granted Critical
Publication of CN112070161B publication Critical patent/CN112070161B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种网络攻击事件分类方法、装置、终端及存储介质,本申请通过比对攻击事件特征之间的编辑距离,判断攻击事件之间的相似程度,根据最小编辑距离值的大小,对攻击事件数据进行聚类处理,以便基于攻击事件数据的聚类结果,对相似程度较高的攻击事件数据进行针对性分析,解决了现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致的难以更加全面掌握攻击者的攻击方式的技术问题,有利于提高对同类型攻击的防御成功率以及对攻击者的攻击溯源成功率。

Description

一种网络攻击事件分类方法、装置、终端及存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络攻击事件分类方法、装置、终端及存储介质。
背景技术
随着互联网技术的快速发展,当前针对工业控制系统的定向攻击趋势明显,工业控制系统网络安全防护现状长期处于一种“易攻难守”的状态。攻击方具有单一目标,可以采用扫描、踩点等手段全面获取攻击目标信息,并无预期随时发动攻击;而防守方对攻击方的动机、手段等一无所知,更难以预知下一步的攻击,通常以防护为主,必须确保系统无任何漏洞,并采取全天候监测防护。即使攻击失败,攻击方受到的损失微乎其微,而防守方将造成巨大且无法弥补的损失,甚至威胁社会稳定。
目前,工业控制系统的防护多采用蜜罐防御技术,通过预设的蜜罐系统作为诱饵,迷惑攻击方,诱导其开展无效攻击,从而保护真实系统,而现有的蜜罐技术多以防御目的为主,只能检测出相关的攻击事件数据,存在难以更加全面地掌握攻击者的攻击方式的技术问题。
发明内容
本申请提供了一种网络攻击事件分类方法、装置、终端及存储介质,用于解决现有技术只能检测出相关的攻击事件数据,导致的难以更加全面掌握攻击者的攻击方式的技术问题。
首先,本申请第一方面提供了一种网络攻击事件分类方法,包括:
获取由蜜罐捕获的攻击事件数据;
根据所述攻击事件数据,提取攻击事件特征,所述攻击事件特征具体包括:攻击路径以及攻击手段特征;
通过编辑距离比较方式,对所述攻击事件特征与参考攻击事件特征进行特征比较,以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值,其中,所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果。
可选地,所述根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果具体包括:
当所述最小编辑距离值不大于预设的编辑距离阈值,则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中;
当所述最小编辑距离值大于预设的编辑距离阈值,则以所述攻击事件数据为聚类中心数据,构建新的攻击事件集合。
可选地,所述编辑距离阈值的配置过程具体包括:
根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算所述各个攻击事件集合的编辑距离平均值,并将所述编辑距离平均值换算为所述编辑距离阈值。
可选地,所述蜜罐具体为高交互蜜罐。
其次,本申请第二方面提供了一种网络攻击事件分类装置,包括:
攻击事件获取单元,用于获取由蜜罐捕获的攻击事件数据;
攻击特征提取单元,用于根据所述攻击事件数据,提取攻击事件特征,所述攻击事件特征具体包括:攻击路径以及攻击手段特征;
距离计算单元,用于通过编辑距离比较方式,对所述攻击事件特征与参考攻击事件特征进行特征比较,以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值,其中,所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
分类单元,用于根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果。
可选地,所述分类单元具体用于:
当所述最小编辑距离值不大于预设的编辑距离阈值,则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中;
当所述最小编辑距离值大于预设的编辑距离阈值,则以所述攻击事件数据为聚类中心数据,构建新的攻击事件集合。
可选地,还包括:
编辑距离阈值计算单元,用于根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算所述各个攻击事件集合的编辑距离平均值,并将所述编辑距离平均值换算为所述编辑距离阈值。
可选地,所述蜜罐具体为高交互蜜罐。
本申请第三方面提供了一种终端,包括:存储器和处理器;
所述存储器用于存储与本申请第一方面所述的网络攻击事件分类方法相对应的程序代码;
所述处理器用于执行所述程序代码。
本申请第四方面提供了一种存储介质,所述存储介质中保存有与本申请第一方面所述的网络攻击事件分类方法相对应的程序代码。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请提供了一种网络攻击事件分类方法,包括:获取由蜜罐捕获的攻击事件数据;根据攻击事件数据,提取攻击事件特征,攻击事件特征具体包括:攻击路径以及攻击手段特征;通过编辑距离比较方式,对攻击事件特征与参考攻击事件特征进行特征比较,以获得攻击事件特征与参考攻击事件特征的最小编辑距离值,其中,参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;根据最小编辑距离值的大小,对攻击事件数据进行聚类,以获得攻击事件数据的分类结果。
本申请通过比对攻击事件特征之间的编辑距离,判断攻击事件之间的相似程度,根据最小编辑距离值的大小,对攻击事件数据进行聚类处理,以便基于攻击事件数据的聚类结果,对相似程度较高的攻击事件数据进行针对性分析,解决了现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致的难以更加全面掌握攻击者的攻击方式的技术问题,有利于提高对同类型攻击的防御成功率以及对攻击者的攻击溯源成功率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请提供的一种网络攻击事件分类方法的第一个实施例的流程示意图;
图2为本申请提供的一种网络攻击事件分类方法的第二个实施例的流程示意图;
图3为本申请提供的一种网络攻击事件分类装置的第一个实施例的结构示意图。
具体实施方式
目前,工业控制系统的防护多采用蜜罐防御技术,通过预设的蜜罐系统作为诱饵,迷惑攻击方,诱导其开展无效攻击,从而保护真实系统。
在实际应用中,技术人员发现,大部分黑客都有自己的一套攻击思维或攻击习惯,这些思维和习惯往往会体现在其发动攻击的过程中,而现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致了难以更加全面掌握攻击者的攻击方式的技术问题,同时也增加了对攻击事件分析以及对攻击者进行攻击画像溯源等后续工作的执行难度。
本申请实施例提供了一种网络攻击事件分类方法、装置、终端及存储介质,用于解决现有技术只能检测出相关的攻击事件数据,不能更加全面掌握入侵者的入侵手段和数据的问题。
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
请参阅图1,本申请第一个实施例提供的一种网络攻击事件分类方法,包括:
步骤101、获取由蜜罐捕获的攻击事件数据。
步骤102、根据攻击事件数据,提取攻击事件特征,攻击事件特征具体包括:攻击路径以及攻击手段特征。
步骤103、通过编辑距离比较方式,对攻击事件特征与参考攻击事件特征进行特征比较,以获得攻击事件特征与参考攻击事件特征的最小编辑距离值,其中,参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的。
步骤104、根据最小编辑距离值的大小,对攻击事件数据进行聚类,以获得攻击事件数据的分类结果。
需要说明的是,本申请实施例的步骤101至步骤104提供的方法,首先,基于蜜罐防御技术,当安全防御系统捕获到攻击事件时,安全防御系统会将该攻击事件对应的访问数据引入蜜罐,通过蜜罐捕获此攻击事件对应的攻击事件数据,此后,则可以获取这些攻击事件数据,以进行后续步骤。
接着,基于上述步骤获得的攻击事件数据进行特征提取,提取出该攻击事件数据对应的攻击事件特征,然后,根据之前生成的攻击事件集合中的历史攻击事件数据进行提取得到的参考攻击事件特征,与新捕获的攻击事件数据的攻击事件特征进行编辑距离比较,再根据比较的结果,将该攻击事件数据进行聚类处理,以获得最终的攻击事件数据的分类结果。
本申请通过比对攻击事件特征之间的编辑距离,判断攻击事件之间的相似程度,根据最小编辑距离值的大小,对攻击事件数据进行聚类处理,以便基于攻击事件数据的聚类结果,对相似程度较高的攻击事件数据进行针对性分析,解决了现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致的难以更加全面掌握攻击者的攻击方式的技术问题,有利于提高对同类型攻击的防御成功率以及对攻击者的攻击溯源成功率。
以上为本申请提供的一种网络攻击事件分类方法的第一个实施例的详细说明,下面为本申请提供的一种网络攻击事件分类方法的第二个实施例的详细说明。
请参阅图2,在上述第一个实施例的基础上,本申请第二个实施例提供的一种网络攻击事件分类方法,包括:
步骤201、获取由蜜罐捕获的攻击事件数据。
步骤202、根据攻击事件数据,提取攻击事件特征,攻击事件特征具体包括:攻击路径以及攻击手段特征。
其中,本申请中的攻击路径具体可以理解为在蜜罐收到攻击的过程中,依次被攻击的节点次序,蜜罐中的每个节点是对真实系统中各个节点的模拟,分别记为a,b,c,……X;攻击者的攻击路径依次记为list=(P1,P2,......Pn),如a,b,X等。节点的数量与蜜罐系统的结构配置有关,当攻击方访问到X节点时,表示其已成功获取目标系统控制权,无法进行下一步攻击。由于实际系统中,有多个节点都可视为最终目标节点,故X通常设置成一个集合,如X={X1,X2,......}。
而攻击手段特征则可以理解为攻击者对蜜罐中的节点进行攻击时产生的攻击模式数据特征。
步骤203、通过编辑距离比较方式,对攻击事件特征与参考攻击事件特征进行特征比较,以获得攻击事件特征与参考攻击事件特征的最小编辑距离值,其中,参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的。
需要说明的是,本步骤中提及的攻击事件集合可以理解为根据过去的历史攻击事件数据进行聚类后生成的数据集合,其中,在攻击事件集合当中,作为上述参考攻击事件特征来源的那个历史攻击事件数据,通常会优先选择该攻击事件集合中的聚类中心数据。
步骤204、判断最小编辑距离值是否大于预设的编辑距离阈值,若否,则执行步骤205,若是,则执行步骤206。
步骤205、将攻击事件数据合并到最小编辑距离值对应的攻击事件集合中;
步骤206、以攻击事件数据为聚类中心数据,构建新的攻击事件集合。
需要说明的是,本实施例的步骤204至步骤206为攻击事件数据的聚类处理过程详解,具体为先判断最小编辑距离值是否大于预设的编辑距离阈值,若比较结果为不大于,则说明在目前已有的攻击事件集合中,存在着与攻击事件数据相似程度符合要求的攻击事件集合,此时,可以将该攻击事件数合并到该攻击事件集合中,以完成聚类结果的更新。
相反,若比较结果为大于,则说明在目前已有的攻击事件集合中,不存在与攻击事件数据相似程度符合要求的攻击事件集合,此时,则应该以攻击事件数据为聚类中心数据,构建新的攻击事件集合。
更具体地,本实施例的编辑距离阈值的配置过程可以参考以下步骤:
根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算各个攻击事件集合的编辑距离平均值,并将编辑距离平均值换算为编辑距离阈值。
可以理解的是,根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算各个攻击事件集合的编辑距离值,在基于这些攻击事件集合之间的编辑距离值计算其平均值,即上述的编辑距离平均值,然后将编辑距离平均值换算为编辑距离阈值。
其中,编辑距离平均值的计算公式具体为:
Figure BDA0002671942270000071
式中,D为编辑距离值,i和j均为攻击事件集合的标号,Dave为编辑距离平均值,K为攻击事件集合的数量。
本申请通过比对攻击事件特征之间的编辑距离,判断攻击事件之间的相似程度,根据最小编辑距离值的大小,对攻击事件数据进行聚类处理,以便基于攻击事件数据的聚类结果,对相似程度较高的攻击事件数据进行针对性分析,解决了现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致的难以更加全面掌握攻击者的攻击方式的技术问题,有利于提高对同类型攻击的防御成功率,而且攻击者发动的攻击行为越多,相似的攻击事件数据也会随之增加,使得本申请中的攻击事件集合的元素越丰富,在实施对攻击方的攻击画像溯源分析时,能有效提高攻击溯源的成功率。
以上为本申请提供的一种网络攻击事件分类方法的第二个实施例的详细说明,下面为本申请提供的一种网络攻击事件分类装置的第一个实施例的详细说明。
请参阅图3,本申请第三个实施例提供了一种网络攻击事件分类装置,包括:
攻击事件获取单元301,用于获取由蜜罐捕获的攻击事件数据;
攻击特征提取单元302,用于根据攻击事件数据,提取攻击事件特征,攻击事件特征具体包括:攻击路径以及攻击手段特征;
距离计算单元303,用于通过编辑距离比较方式,对攻击事件特征与参考攻击事件特征进行特征比较,以获得攻击事件特征与参考攻击事件特征的最小编辑距离值,其中,参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
分类单元304,用于根据最小编辑距离值的大小,对攻击事件数据进行聚类,以获得攻击事件数据的分类结果。
进一步地,分类单元具体用于:
当最小编辑距离值不大于预设的编辑距离阈值,则将攻击事件数据合并到最小编辑距离值对应的攻击事件集合中;
当最小编辑距离值大于预设的编辑距离阈值,则以攻击事件数据为聚类中心数据,构建新的攻击事件集合。
进一步地,还包括:
编辑距离阈值计算单元300,用于根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算各个攻击事件集合的编辑距离平均值,并将编辑距离平均值换算为编辑距离阈值。
进一步地,蜜罐具体为高交互蜜罐。
以上为本申请提供的一种网络攻击事件分类装置的第一个实施例的详细说明,下面为本申请提供的一种终端及一种存储介质的详细说明。
本申请第四个实施例提供了一种终端,包括:存储器和处理器;
存储器用于存储与本申请第一个实施例或第二个实施例提及的网络攻击事件分类方法相对应的程序代码;
处理器用于执行程序代码。
其中本实施例提及的终端,可以作为独立设备与现有的蜜罐系统连接,也可以直接集成在蜜罐系统中,具体不做过多限定。
本申请第五个实施例提供了一种存储介质,存储介质中保存有与本申请第一个实施例或第二个实施例提及的网络攻击事件分类方法相对应的程序代码。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例,例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种网络攻击事件分类方法,其特征在于,包括:
获取由蜜罐捕获的攻击事件数据;
根据所述攻击事件数据,提取攻击事件特征,所述攻击事件特征具体包括:攻击路径以及攻击手段特征;
通过编辑距离比较方式,对所述攻击事件特征与参考攻击事件特征进行特征比较,以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值,其中,所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果。
2.根据权利要求1所述的一种网络攻击事件分类方法,其特征在于,所述根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果具体包括:
当所述最小编辑距离值不大于预设的编辑距离阈值,则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中;
当所述最小编辑距离值大于预设的编辑距离阈值,则以所述攻击事件数据为聚类中心数据,构建新的攻击事件集合。
3.根据权利要求2所述的一种网络攻击事件分类方法,其特征在于,所述编辑距离阈值的配置过程具体包括:
根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算所述各个攻击事件集合的编辑距离平均值,并将所述编辑距离平均值换算为所述编辑距离阈值。
4.根据权利要求1所述的一种网络攻击事件分类方法,其特征在于,所述蜜罐具体为高交互蜜罐。
5.一种网络攻击事件分类装置,其特征在于,包括:
攻击事件获取单元,用于获取由蜜罐捕获的攻击事件数据;
攻击特征提取单元,用于根据所述攻击事件数据,提取攻击事件特征,所述攻击事件特征具体包括:攻击路径以及攻击手段特征;
距离计算单元,用于通过编辑距离比较方式,对所述攻击事件特征与参考攻击事件特征进行特征比较,以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值,其中,所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
分类单元,用于根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果。
6.根据权利要求5所述的一种网络攻击事件分类装置,其特征在于,所述分类单元具体用于:
当所述最小编辑距离值不大于预设的编辑距离阈值,则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中;
当所述最小编辑距离值大于预设的编辑距离阈值,则以所述攻击事件数据为聚类中心数据,构建新的攻击事件集合。
7.根据权利要求6所述的一种网络攻击事件分类装置,其特征在于,还包括:
编辑距离阈值计算单元,用于根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算所述各个攻击事件集合的编辑距离平均值,并将所述编辑距离平均值换算为所述编辑距离阈值。
8.根据权利要求5所述的一种网络攻击事件分类装置,其特征在于,所述蜜罐具体为高交互蜜罐。
9.一种终端,其特征在于,包括:存储器和处理器;
所述存储器用于存储与权利要求1至4任意一项所述的网络攻击事件分类方法相对应的程序代码;
所述处理器用于执行所述程序代码。
10.一种存储介质,其特征在于,所述存储介质中保存有与权利要求1至4任意一项所述的网络攻击事件分类方法相对应的程序代码。
CN202010935985.2A 2020-09-08 2020-09-08 一种网络攻击事件分类方法、装置、终端及存储介质 Active CN112070161B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010935985.2A CN112070161B (zh) 2020-09-08 2020-09-08 一种网络攻击事件分类方法、装置、终端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010935985.2A CN112070161B (zh) 2020-09-08 2020-09-08 一种网络攻击事件分类方法、装置、终端及存储介质

Publications (2)

Publication Number Publication Date
CN112070161A true CN112070161A (zh) 2020-12-11
CN112070161B CN112070161B (zh) 2024-04-16

Family

ID=73664376

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010935985.2A Active CN112070161B (zh) 2020-09-08 2020-09-08 一种网络攻击事件分类方法、装置、终端及存储介质

Country Status (1)

Country Link
CN (1) CN112070161B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112637178A (zh) * 2020-12-18 2021-04-09 成都知道创宇信息技术有限公司 攻击相似度计算方法、装置、电子设备和可读存储介质
CN114398633A (zh) * 2021-12-29 2022-04-26 北京永信至诚科技股份有限公司 一种蜜罐攻击者的画像分析方法及装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6735703B1 (en) * 2000-05-08 2004-05-11 Networks Associates Technology, Inc. Multi-platform sequence-based anomaly detection wrapper
US20080273801A1 (en) * 2006-12-06 2008-11-06 D&S Consultants, Inc. Method and System for Searching a Database of Graphical Data
US9183387B1 (en) * 2013-06-05 2015-11-10 Google Inc. Systems and methods for detecting online attacks
EP3340567A1 (en) * 2016-12-21 2018-06-27 Deutsche Telekom AG Model for identifying attack propagation patterns in a monitored sensor-based system
EP3343869A1 (en) * 2016-12-28 2018-07-04 Deutsche Telekom AG A method for modeling attack patterns in honeypots
US20190372934A1 (en) * 2018-06-05 2019-12-05 Imperva, Inc. Aggregating alerts of malicious events for computer security
CN110855648A (zh) * 2019-11-04 2020-02-28 腾讯科技(深圳)有限公司 一种网络攻击的预警控制方法及装置
CN111212053A (zh) * 2019-12-27 2020-05-29 太原理工大学 一种面向工控蜜罐的同源攻击分析方法
CN111404934A (zh) * 2020-03-16 2020-07-10 广州锦行网络科技有限公司 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6735703B1 (en) * 2000-05-08 2004-05-11 Networks Associates Technology, Inc. Multi-platform sequence-based anomaly detection wrapper
US20080273801A1 (en) * 2006-12-06 2008-11-06 D&S Consultants, Inc. Method and System for Searching a Database of Graphical Data
US9183387B1 (en) * 2013-06-05 2015-11-10 Google Inc. Systems and methods for detecting online attacks
EP3340567A1 (en) * 2016-12-21 2018-06-27 Deutsche Telekom AG Model for identifying attack propagation patterns in a monitored sensor-based system
EP3343869A1 (en) * 2016-12-28 2018-07-04 Deutsche Telekom AG A method for modeling attack patterns in honeypots
US20190372934A1 (en) * 2018-06-05 2019-12-05 Imperva, Inc. Aggregating alerts of malicious events for computer security
CN110855648A (zh) * 2019-11-04 2020-02-28 腾讯科技(深圳)有限公司 一种网络攻击的预警控制方法及装置
CN111212053A (zh) * 2019-12-27 2020-05-29 太原理工大学 一种面向工控蜜罐的同源攻击分析方法
CN111404934A (zh) * 2020-03-16 2020-07-10 广州锦行网络科技有限公司 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
蒋朝惠: "《信息安全原理与技术》", 中国铁道出版社, pages: 424 - 425 *
钟雅;郭渊博;刘春辉;李涛;: "内部威胁检测中用户属性画像方法与应用", 计算机科学, no. 03, 15 March 2020 (2020-03-15), pages 300 - 305 *
陈霖;许爱东;蒋屹新;杨航;吕华辉;匡晓云;樊凯;: "基于动态增量聚类分析的电力信息网络攻击模式识别算法", 南方电网技术, no. 08, 20 August 2020 (2020-08-20), pages 31 - 38 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112637178A (zh) * 2020-12-18 2021-04-09 成都知道创宇信息技术有限公司 攻击相似度计算方法、装置、电子设备和可读存储介质
CN112637178B (zh) * 2020-12-18 2022-09-20 成都知道创宇信息技术有限公司 攻击相似度计算方法、装置、电子设备和可读存储介质
CN114398633A (zh) * 2021-12-29 2022-04-26 北京永信至诚科技股份有限公司 一种蜜罐攻击者的画像分析方法及装置

Also Published As

Publication number Publication date
CN112070161B (zh) 2024-04-16

Similar Documents

Publication Publication Date Title
EP3343869B1 (en) A method for modeling attack patterns in honeypots
CN109889538B (zh) 用户异常行为检测方法及系统
US11496495B2 (en) System and a method for detecting anomalous patterns in a network
US10282542B2 (en) Information processing apparatus, information processing method, and computer readable medium
US11163877B2 (en) Method, server, and computer storage medium for identifying virus-containing files
CN110166344B (zh) 一种身份标识识别方法、装置以及相关设备
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
WO2019136850A1 (zh) 风险行为识别方法、存储介质、设备及系统
EP3340567B1 (en) Model for identifying attack propagation patterns in a monitored sensor-based system
CN110188538B (zh) 采用沙箱集群检测数据的方法及装置
CN113259176B (zh) 一种告警事件分析方法和装置
CN112070161A (zh) 一种网络攻击事件分类方法、装置、终端及存储介质
CN112333195A (zh) 基于多源日志关联分析的apt攻击场景还原检测方法及系统
CN111770047A (zh) 异常群体的检测方法、装置及设备
CN111709022B (zh) 基于ap聚类与因果关系的混合报警关联方法
CN112003840A (zh) 一种基于攻击面的漏洞检测方法及系统
Sukhwani et al. A survey of anomaly detection techniques and hidden markov model
CN111885011B (zh) 一种业务数据网络安全分析挖掘的方法及系统
CN116938587A (zh) 基于溯源图行为语义提取的威胁检测方法及系统
CN108334778B (zh) 病毒检测方法、装置、存储介质及处理器
CN115795466A (zh) 一种恶意软件组织识别方法及设备
Bar et al. Scalable attack propagation model and algorithms for honeypot systems
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
CN112751863B (zh) 一种攻击行为分析方法及装置
CN111866028B (zh) 一种攻击面可视化的方法、系统及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant