CN112070161B - 一种网络攻击事件分类方法、装置、终端及存储介质 - Google Patents
一种网络攻击事件分类方法、装置、终端及存储介质 Download PDFInfo
- Publication number
- CN112070161B CN112070161B CN202010935985.2A CN202010935985A CN112070161B CN 112070161 B CN112070161 B CN 112070161B CN 202010935985 A CN202010935985 A CN 202010935985A CN 112070161 B CN112070161 B CN 112070161B
- Authority
- CN
- China
- Prior art keywords
- attack event
- attack
- event data
- data
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 45
- 230000008569 process Effects 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 11
- 238000004458 analytical method Methods 0.000 abstract description 6
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 230000007123 defense Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 235000012907 honey Nutrition 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络攻击事件分类方法、装置、终端及存储介质,本申请通过比对攻击事件特征之间的编辑距离,判断攻击事件之间的相似程度,根据最小编辑距离值的大小,对攻击事件数据进行聚类处理,以便基于攻击事件数据的聚类结果,对相似程度较高的攻击事件数据进行针对性分析,解决了现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致的难以更加全面掌握攻击者的攻击方式的技术问题,有利于提高对同类型攻击的防御成功率以及对攻击者的攻击溯源成功率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络攻击事件分类方法、装置、终端及存储介质。
背景技术
随着互联网技术的快速发展,当前针对工业控制系统的定向攻击趋势明显,工业控制系统网络安全防护现状长期处于一种“易攻难守”的状态。攻击方具有单一目标,可以采用扫描、踩点等手段全面获取攻击目标信息,并无预期随时发动攻击;而防守方对攻击方的动机、手段等一无所知,更难以预知下一步的攻击,通常以防护为主,必须确保系统无任何漏洞,并采取全天候监测防护。即使攻击失败,攻击方受到的损失微乎其微,而防守方将造成巨大且无法弥补的损失,甚至威胁社会稳定。
目前,工业控制系统的防护多采用蜜罐防御技术,通过预设的蜜罐系统作为诱饵,迷惑攻击方,诱导其开展无效攻击,从而保护真实系统,而现有的蜜罐技术多以防御目的为主,只能检测出相关的攻击事件数据,存在难以更加全面地掌握攻击者的攻击方式的技术问题。
发明内容
本申请提供了一种网络攻击事件分类方法、装置、终端及存储介质,用于解决现有技术只能检测出相关的攻击事件数据,导致的难以更加全面掌握攻击者的攻击方式的技术问题。
首先,本申请第一方面提供了一种网络攻击事件分类方法,包括:
获取由蜜罐捕获的攻击事件数据;
根据所述攻击事件数据,提取攻击事件特征,所述攻击事件特征具体包括:攻击路径以及攻击手段特征;
通过编辑距离比较方式,对所述攻击事件特征与参考攻击事件特征进行特征比较,以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值,其中,所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果。
可选地,所述根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果具体包括:
当所述最小编辑距离值不大于预设的编辑距离阈值,则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中;
当所述最小编辑距离值大于预设的编辑距离阈值,则以所述攻击事件数据为聚类中心数据,构建新的攻击事件集合。
可选地,所述编辑距离阈值的配置过程具体包括:
根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算所述各个攻击事件集合的编辑距离平均值,并将所述编辑距离平均值换算为所述编辑距离阈值。
可选地,所述蜜罐具体为高交互蜜罐。
其次,本申请第二方面提供了一种网络攻击事件分类装置,包括:
攻击事件获取单元,用于获取由蜜罐捕获的攻击事件数据;
攻击特征提取单元,用于根据所述攻击事件数据,提取攻击事件特征,所述攻击事件特征具体包括:攻击路径以及攻击手段特征;
距离计算单元,用于通过编辑距离比较方式,对所述攻击事件特征与参考攻击事件特征进行特征比较,以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值,其中,所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
分类单元,用于根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果。
可选地,所述分类单元具体用于:
当所述最小编辑距离值不大于预设的编辑距离阈值,则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中;
当所述最小编辑距离值大于预设的编辑距离阈值,则以所述攻击事件数据为聚类中心数据,构建新的攻击事件集合。
可选地,还包括:
编辑距离阈值计算单元,用于根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算所述各个攻击事件集合的编辑距离平均值,并将所述编辑距离平均值换算为所述编辑距离阈值。
可选地,所述蜜罐具体为高交互蜜罐。
本申请第三方面提供了一种终端,包括:存储器和处理器;
所述存储器用于存储与本申请第一方面所述的网络攻击事件分类方法相对应的程序代码;
所述处理器用于执行所述程序代码。
本申请第四方面提供了一种存储介质,所述存储介质中保存有与本申请第一方面所述的网络攻击事件分类方法相对应的程序代码。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请提供了一种网络攻击事件分类方法,包括:获取由蜜罐捕获的攻击事件数据;根据攻击事件数据,提取攻击事件特征,攻击事件特征具体包括:攻击路径以及攻击手段特征;通过编辑距离比较方式,对攻击事件特征与参考攻击事件特征进行特征比较,以获得攻击事件特征与参考攻击事件特征的最小编辑距离值,其中,参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;根据最小编辑距离值的大小,对攻击事件数据进行聚类,以获得攻击事件数据的分类结果。
本申请通过比对攻击事件特征之间的编辑距离,判断攻击事件之间的相似程度,根据最小编辑距离值的大小,对攻击事件数据进行聚类处理,以便基于攻击事件数据的聚类结果,对相似程度较高的攻击事件数据进行针对性分析,解决了现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致的难以更加全面掌握攻击者的攻击方式的技术问题,有利于提高对同类型攻击的防御成功率以及对攻击者的攻击溯源成功率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请提供的一种网络攻击事件分类方法的第一个实施例的流程示意图;
图2为本申请提供的一种网络攻击事件分类方法的第二个实施例的流程示意图;
图3为本申请提供的一种网络攻击事件分类装置的第一个实施例的结构示意图。
具体实施方式
目前,工业控制系统的防护多采用蜜罐防御技术,通过预设的蜜罐系统作为诱饵,迷惑攻击方,诱导其开展无效攻击,从而保护真实系统。
在实际应用中,技术人员发现,大部分黑客都有自己的一套攻击思维或攻击习惯,这些思维和习惯往往会体现在其发动攻击的过程中,而现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致了难以更加全面掌握攻击者的攻击方式的技术问题,同时也增加了对攻击事件分析以及对攻击者进行攻击画像溯源等后续工作的执行难度。
本申请实施例提供了一种网络攻击事件分类方法、装置、终端及存储介质,用于解决现有技术只能检测出相关的攻击事件数据,不能更加全面掌握入侵者的入侵手段和数据的问题。
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
请参阅图1,本申请第一个实施例提供的一种网络攻击事件分类方法,包括:
步骤101、获取由蜜罐捕获的攻击事件数据。
步骤102、根据攻击事件数据,提取攻击事件特征,攻击事件特征具体包括:攻击路径以及攻击手段特征。
步骤103、通过编辑距离比较方式,对攻击事件特征与参考攻击事件特征进行特征比较,以获得攻击事件特征与参考攻击事件特征的最小编辑距离值,其中,参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的。
步骤104、根据最小编辑距离值的大小,对攻击事件数据进行聚类,以获得攻击事件数据的分类结果。
需要说明的是,本申请实施例的步骤101至步骤104提供的方法,首先,基于蜜罐防御技术,当安全防御系统捕获到攻击事件时,安全防御系统会将该攻击事件对应的访问数据引入蜜罐,通过蜜罐捕获此攻击事件对应的攻击事件数据,此后,则可以获取这些攻击事件数据,以进行后续步骤。
接着,基于上述步骤获得的攻击事件数据进行特征提取,提取出该攻击事件数据对应的攻击事件特征,然后,根据之前生成的攻击事件集合中的历史攻击事件数据进行提取得到的参考攻击事件特征,与新捕获的攻击事件数据的攻击事件特征进行编辑距离比较,再根据比较的结果,将该攻击事件数据进行聚类处理,以获得最终的攻击事件数据的分类结果。
本申请通过比对攻击事件特征之间的编辑距离,判断攻击事件之间的相似程度,根据最小编辑距离值的大小,对攻击事件数据进行聚类处理,以便基于攻击事件数据的聚类结果,对相似程度较高的攻击事件数据进行针对性分析,解决了现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致的难以更加全面掌握攻击者的攻击方式的技术问题,有利于提高对同类型攻击的防御成功率以及对攻击者的攻击溯源成功率。
以上为本申请提供的一种网络攻击事件分类方法的第一个实施例的详细说明,下面为本申请提供的一种网络攻击事件分类方法的第二个实施例的详细说明。
请参阅图2,在上述第一个实施例的基础上,本申请第二个实施例提供的一种网络攻击事件分类方法,包括:
步骤201、获取由蜜罐捕获的攻击事件数据。
步骤202、根据攻击事件数据,提取攻击事件特征,攻击事件特征具体包括:攻击路径以及攻击手段特征。
其中,本申请中的攻击路径具体可以理解为在蜜罐收到攻击的过程中,依次被攻击的节点次序,蜜罐中的每个节点是对真实系统中各个节点的模拟,分别记为a,b,c,……X;攻击者的攻击路径依次记为list=(P1,P2,......Pn),如a,b,X等。节点的数量与蜜罐系统的结构配置有关,当攻击方访问到X节点时,表示其已成功获取目标系统控制权,无法进行下一步攻击。由于实际系统中,有多个节点都可视为最终目标节点,故X通常设置成一个集合,如X={X1,X2,......}。
而攻击手段特征则可以理解为攻击者对蜜罐中的节点进行攻击时产生的攻击模式数据特征。
步骤203、通过编辑距离比较方式,对攻击事件特征与参考攻击事件特征进行特征比较,以获得攻击事件特征与参考攻击事件特征的最小编辑距离值,其中,参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的。
需要说明的是,本步骤中提及的攻击事件集合可以理解为根据过去的历史攻击事件数据进行聚类后生成的数据集合,其中,在攻击事件集合当中,作为上述参考攻击事件特征来源的那个历史攻击事件数据,通常会优先选择该攻击事件集合中的聚类中心数据。
步骤204、判断最小编辑距离值是否大于预设的编辑距离阈值,若否,则执行步骤205,若是,则执行步骤206。
步骤205、将攻击事件数据合并到最小编辑距离值对应的攻击事件集合中;
步骤206、以攻击事件数据为聚类中心数据,构建新的攻击事件集合。
需要说明的是,本实施例的步骤204至步骤206为攻击事件数据的聚类处理过程详解,具体为先判断最小编辑距离值是否大于预设的编辑距离阈值,若比较结果为不大于,则说明在目前已有的攻击事件集合中,存在着与攻击事件数据相似程度符合要求的攻击事件集合,此时,可以将该攻击事件数合并到该攻击事件集合中,以完成聚类结果的更新。
相反,若比较结果为大于,则说明在目前已有的攻击事件集合中,不存在与攻击事件数据相似程度符合要求的攻击事件集合,此时,则应该以攻击事件数据为聚类中心数据,构建新的攻击事件集合。
更具体地,本实施例的编辑距离阈值的配置过程可以参考以下步骤:
根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算各个攻击事件集合的编辑距离平均值,并将编辑距离平均值换算为编辑距离阈值。
可以理解的是,根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算各个攻击事件集合的编辑距离值,在基于这些攻击事件集合之间的编辑距离值计算其平均值,即上述的编辑距离平均值,然后将编辑距离平均值换算为编辑距离阈值。
其中,编辑距离平均值的计算公式具体为:
式中,D为编辑距离值,i和j均为攻击事件集合的标号,Dave为编辑距离平均值,K为攻击事件集合的数量。
本申请通过比对攻击事件特征之间的编辑距离,判断攻击事件之间的相似程度,根据最小编辑距离值的大小,对攻击事件数据进行聚类处理,以便基于攻击事件数据的聚类结果,对相似程度较高的攻击事件数据进行针对性分析,解决了现有的蜜罐技术只能检测出相关的攻击事件数据,而且检测出的攻击事件数据较为零散,没有进一步对攻击事件数据的相似程度进行归类,从而导致的难以更加全面掌握攻击者的攻击方式的技术问题,有利于提高对同类型攻击的防御成功率,而且攻击者发动的攻击行为越多,相似的攻击事件数据也会随之增加,使得本申请中的攻击事件集合的元素越丰富,在实施对攻击方的攻击画像溯源分析时,能有效提高攻击溯源的成功率。
以上为本申请提供的一种网络攻击事件分类方法的第二个实施例的详细说明,下面为本申请提供的一种网络攻击事件分类装置的第一个实施例的详细说明。
请参阅图3,本申请第三个实施例提供了一种网络攻击事件分类装置,包括:
攻击事件获取单元301,用于获取由蜜罐捕获的攻击事件数据;
攻击特征提取单元302,用于根据攻击事件数据,提取攻击事件特征,攻击事件特征具体包括:攻击路径以及攻击手段特征;
距离计算单元303,用于通过编辑距离比较方式,对攻击事件特征与参考攻击事件特征进行特征比较,以获得攻击事件特征与参考攻击事件特征的最小编辑距离值,其中,参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
分类单元304,用于根据最小编辑距离值的大小,对攻击事件数据进行聚类,以获得攻击事件数据的分类结果。
进一步地,分类单元具体用于:
当最小编辑距离值不大于预设的编辑距离阈值,则将攻击事件数据合并到最小编辑距离值对应的攻击事件集合中;
当最小编辑距离值大于预设的编辑距离阈值,则以攻击事件数据为聚类中心数据,构建新的攻击事件集合。
进一步地,还包括:
编辑距离阈值计算单元300,用于根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算各个攻击事件集合的编辑距离平均值,并将编辑距离平均值换算为编辑距离阈值。
进一步地,蜜罐具体为高交互蜜罐。
以上为本申请提供的一种网络攻击事件分类装置的第一个实施例的详细说明,下面为本申请提供的一种终端及一种存储介质的详细说明。
本申请第四个实施例提供了一种终端,包括:存储器和处理器;
存储器用于存储与本申请第一个实施例或第二个实施例提及的网络攻击事件分类方法相对应的程序代码;
处理器用于执行程序代码。
其中本实施例提及的终端,可以作为独立设备与现有的蜜罐系统连接,也可以直接集成在蜜罐系统中,具体不做过多限定。
本申请第五个实施例提供了一种存储介质,存储介质中保存有与本申请第一个实施例或第二个实施例提及的网络攻击事件分类方法相对应的程序代码。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例,例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (6)
1.一种网络攻击事件分类方法,其特征在于,包括:
获取由蜜罐捕获的攻击事件数据;
根据所述攻击事件数据,提取攻击事件特征,所述攻击事件特征具体包括:攻击路径以及攻击手段特征;
通过编辑距离比较方式,对所述攻击事件特征与参考攻击事件特征进行特征比较,以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值,其中,所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
当所述最小编辑距离值不大于预设的编辑距离阈值,则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中,当所述最小编辑距离值大于预设的编辑距离阈值,则以所述攻击事件数据为聚类中心数据,构建新的攻击事件集合;
其中,所述编辑距离阈值的配置过程具体包括:
根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算所述各个攻击事件集合的编辑距离平均值,并将所述编辑距离平均值换算为所述编辑距离阈值,所述编辑距离平均值的计算公式具体为:
;
式中,D为编辑距离值,i和j均为攻击事件集合的标号,为编辑距离平均值,K为攻击事件集合的数量。
2.根据权利要求1所述的一种网络攻击事件分类方法,其特征在于,所述蜜罐具体为高交互蜜罐。
3.一种网络攻击事件分类装置,其特征在于,包括:
攻击事件获取单元,用于获取由蜜罐捕获的攻击事件数据;
攻击特征提取单元,用于根据所述攻击事件数据,提取攻击事件特征,所述攻击事件特征具体包括:攻击路径以及攻击手段特征;
距离计算单元,用于通过编辑距离比较方式,对所述攻击事件特征与参考攻击事件特征进行特征比较,以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值,其中,所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的;
分类单元,用于根据所述最小编辑距离值的大小,对所述攻击事件数据进行聚类,以获得所述攻击事件数据的分类结果;
所述分类单元具体用于:当所述最小编辑距离值不大于预设的编辑距离阈值,则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中,当所述最小编辑距离值大于预设的编辑距离阈值,则以所述攻击事件数据为聚类中心数据,构建新的攻击事件集合;
还包括:编辑距离阈值计算单元,用于根据各个攻击事件集合的聚类中心数据,通过编辑距离比较方式,计算所述各个攻击事件集合的编辑距离平均值,并将所述编辑距离平均值换算为所述编辑距离阈值;
所述编辑距离平均值的计算公式具体为:
;
式中,D为编辑距离值,i和j均为攻击事件集合的标号,为编辑距离平均值,K为攻击事件集合的数量。
4.根据权利要求3所述的一种网络攻击事件分类装置,其特征在于,所述蜜罐具体为高交互蜜罐。
5.一种终端,其特征在于,包括:存储器和处理器;
所述存储器用于存储与权利要求1至2任意一项所述的网络攻击事件分类方法相对应的程序代码;
所述处理器用于执行所述程序代码。
6.一种存储介质,其特征在于,所述存储介质中保存有与权利要求1至2任意一项所述的网络攻击事件分类方法相对应的程序代码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010935985.2A CN112070161B (zh) | 2020-09-08 | 2020-09-08 | 一种网络攻击事件分类方法、装置、终端及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010935985.2A CN112070161B (zh) | 2020-09-08 | 2020-09-08 | 一种网络攻击事件分类方法、装置、终端及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112070161A CN112070161A (zh) | 2020-12-11 |
CN112070161B true CN112070161B (zh) | 2024-04-16 |
Family
ID=73664376
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010935985.2A Active CN112070161B (zh) | 2020-09-08 | 2020-09-08 | 一种网络攻击事件分类方法、装置、终端及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112070161B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112637178B (zh) * | 2020-12-18 | 2022-09-20 | 成都知道创宇信息技术有限公司 | 攻击相似度计算方法、装置、电子设备和可读存储介质 |
CN114398633A (zh) * | 2021-12-29 | 2022-04-26 | 北京永信至诚科技股份有限公司 | 一种蜜罐攻击者的画像分析方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6735703B1 (en) * | 2000-05-08 | 2004-05-11 | Networks Associates Technology, Inc. | Multi-platform sequence-based anomaly detection wrapper |
US9183387B1 (en) * | 2013-06-05 | 2015-11-10 | Google Inc. | Systems and methods for detecting online attacks |
EP3340567A1 (en) * | 2016-12-21 | 2018-06-27 | Deutsche Telekom AG | Model for identifying attack propagation patterns in a monitored sensor-based system |
EP3343869A1 (en) * | 2016-12-28 | 2018-07-04 | Deutsche Telekom AG | A method for modeling attack patterns in honeypots |
CN110855648A (zh) * | 2019-11-04 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 一种网络攻击的预警控制方法及装置 |
CN111212053A (zh) * | 2019-12-27 | 2020-05-29 | 太原理工大学 | 一种面向工控蜜罐的同源攻击分析方法 |
CN111404934A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7773811B2 (en) * | 2006-12-06 | 2010-08-10 | D & S Consultants, Inc. | Method and system for searching a database of graphical data |
US11218448B2 (en) * | 2018-06-05 | 2022-01-04 | Imperva, Inc. | Aggregating alerts of malicious events for computer security |
-
2020
- 2020-09-08 CN CN202010935985.2A patent/CN112070161B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6735703B1 (en) * | 2000-05-08 | 2004-05-11 | Networks Associates Technology, Inc. | Multi-platform sequence-based anomaly detection wrapper |
US9183387B1 (en) * | 2013-06-05 | 2015-11-10 | Google Inc. | Systems and methods for detecting online attacks |
EP3340567A1 (en) * | 2016-12-21 | 2018-06-27 | Deutsche Telekom AG | Model for identifying attack propagation patterns in a monitored sensor-based system |
EP3343869A1 (en) * | 2016-12-28 | 2018-07-04 | Deutsche Telekom AG | A method for modeling attack patterns in honeypots |
CN110855648A (zh) * | 2019-11-04 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 一种网络攻击的预警控制方法及装置 |
CN111212053A (zh) * | 2019-12-27 | 2020-05-29 | 太原理工大学 | 一种面向工控蜜罐的同源攻击分析方法 |
CN111404934A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统 |
Non-Patent Citations (3)
Title |
---|
内部威胁检测中用户属性画像方法与应用;钟雅;郭渊博;刘春辉;李涛;;计算机科学;20200315(第03期);300-305 * |
基于动态增量聚类分析的电力信息网络攻击模式识别算法;陈霖;许爱东;蒋屹新;杨航;吕华辉;匡晓云;樊凯;;南方电网技术;20200820(第08期);31-38 * |
蒋朝惠.《信息安全原理与技术》.中国铁道出版社,2009,424-425. * |
Also Published As
Publication number | Publication date |
---|---|
CN112070161A (zh) | 2020-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
EP3343869B1 (en) | A method for modeling attack patterns in honeypots | |
Zhang et al. | An anomaly detection model based on one-class svm to detect network intrusions | |
EP3068095A2 (en) | Monitoring apparatus and method | |
Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
CN105138916B (zh) | 基于数据挖掘的多轨迹恶意程序特征检测方法 | |
CN112333195B (zh) | 基于多源日志关联分析的apt攻击场景还原检测方法及系统 | |
CN112070161B (zh) | 一种网络攻击事件分类方法、装置、终端及存储介质 | |
Mikhail et al. | A semi-boosted nested model with sensitivity-based weighted binarization for multi-domain network intrusion detection | |
CN106713335B (zh) | 恶意软件的识别方法及装置 | |
Hwang et al. | A three-tier IDS via data mining approach | |
CN113660273B (zh) | 超融合架构下基于深度学习的入侵检测方法及装置 | |
CN113965469B (zh) | 网络数据分析模型的构建方法 | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
KR20190028880A (ko) | 봇넷 탐지 시스템을 학습하기 위한 학습 데이터를 생성하는 방법 및 그 장치 | |
Al-Utaibi et al. | Intrusion detection taxonomy and data preprocessing mechanisms | |
WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
Haltaş et al. | An automated bot detection system through honeypots for large-scale | |
US11436323B2 (en) | Detecting anomalies in software service usage activity | |
TWI599905B (zh) | 惡意碼的防護方法、系統及監控裝置 | |
Eldos et al. | On the KDD'99 Dataset: Statistical Analysis for Feature Selection | |
CN113489744A (zh) | 一种基于霍克斯多元过程建模的物联网攻击模式识别方法 | |
Alosefer et al. | Predicting client-side attacks via behaviour analysis using honeypot data | |
CN117294497A (zh) | 一种网络流量异常检测方法、装置、电子设备及存储介质 | |
Ozkan-Okay et al. | A new feature selection approach and classification technique for current intrusion detection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |