CN112333196A - 一种攻击事件溯源方法、装置、电子设备和存储介质 - Google Patents

一种攻击事件溯源方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN112333196A
CN112333196A CN202011249263.8A CN202011249263A CN112333196A CN 112333196 A CN112333196 A CN 112333196A CN 202011249263 A CN202011249263 A CN 202011249263A CN 112333196 A CN112333196 A CN 112333196A
Authority
CN
China
Prior art keywords
attack event
traced
similarity
historical
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011249263.8A
Other languages
English (en)
Other versions
CN112333196B (zh
Inventor
孟娟
张园
王晶晶
李鹏超
尚程
张振涛
薛强
陈振华
宋亮亮
陈百祥
梁彧
田野
傅强
王杰
杨满智
蔡琳
金红
陈晓光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eversec Beijing Technology Co Ltd
Original Assignee
Eversec Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eversec Beijing Technology Co Ltd filed Critical Eversec Beijing Technology Co Ltd
Priority to CN202011249263.8A priority Critical patent/CN112333196B/zh
Publication of CN112333196A publication Critical patent/CN112333196A/zh
Application granted granted Critical
Publication of CN112333196B publication Critical patent/CN112333196B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种攻击事件溯源方法、装置、电子设备及存储介质。方法包括:构建历史攻击事件数据库,其中,历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知;获取待溯源攻击事件;计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据计算结果确定待溯源攻击事件的攻击者。根据攻击者已知的多个历史攻击事件提前构建数据库,通过计算待溯源攻击事件与数据库中历史攻击事件的相似度,确定待溯源攻击事件的攻击者,从而准确高效的确定待溯源攻击事件所对应的攻击者。

Description

一种攻击事件溯源方法、装置、电子设备和存储介质
技术领域
本发明实施例涉及网络安全管理技术领域,尤其涉及一种攻击事件溯源方法、装置、电子设备及存储介质。
背景技术
高级持续性威胁(Advanced Persistent Threat,APT)与传统网络攻击在攻击方式和目的上有显著的区别,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各种情报的攻击方式。为了对APT攻击进行溯源确定攻击者,目前所采用的溯源方式通常包括:基于APT攻击事件中恶意代买的特征溯源、基于攻击IP/域名的分析溯源。
但是针对第一种溯源方式,由于恶意代码数量比较多,传统的基于特征码与签名的恶意软件检测技术已不能满足新兴的恶意代码检测需求,稍微修改其代码就可以出现新的变种,因此难以实现攻击者的准确定位;而针对第二种方式,由于用户很容易伪造自己的IP地址、大量动态IP地址和私有IP地址的使用、设备很少能长时间保存日志等不利因素,使得溯源时查找特定时间的特定地址租用者比较困难。因此现有技术并不能实现对APT攻击的有效溯源,以准确快速的确定攻击者。
发明内容
本发明实施例提供了一种攻击事件溯源方法、装置、电子设备及存储介质,以实现高效准确的确定待溯源攻击事件的攻击者。
第一方面,本发明实施例提供了一种攻击事件溯源方法,包括:构建历史攻击事件数据库,其中,历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知;获取待溯源攻击事件;计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据计算结果确定待溯源攻击事件的攻击者。
第二方面,本发明实施例提供了一种攻击事件溯源装置,包括:历史攻击事件数据库构建模块,用于构建历史攻击事件数据库,其中,历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知;
待溯源攻击事件获取模块,用于获取待溯源攻击事件;
攻击者溯源模块,用于计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据相似度计算结果确定待溯源攻击事件的攻击者。
第三方面,本发明实施例提供了一种电子设备,电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现本发明任意实施例中的方法。
第四方面,本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例的方法。
本发明实施例的技术方案,根据攻击者已知的多个历史攻击事件提前构建数据库,通过计算待溯源攻击事件与数据库中历史攻击事件的相似度,确定待溯源攻击事件的攻击者,从而准确高效的确定待溯源攻击事件所对应的攻击者。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1(a)是本发明实施例一提供的攻击事件溯源方法流程图;
图1(b)是本发明实施例一提供的应用场景示意图;
图2是本发明实施例二提供的攻击事件溯源方法流程图;
图3是本发明实施例三提供的攻击事件溯源装置结构示意图;
图4是本发明实施例四提供的一种电子设备的结构示意图;
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图1(a)是本发明实施例一提供的攻击事件溯源方法的流程图,本实施例可适用于对APT攻击事件进行溯源的情况,该方法可以由本发明实施例中的攻击事件溯源装置来执行,该装置可以采用软件和/或硬件的方式实现。如图1(a)所示,该方法具体包括如下操作:
步骤101,构建历史攻击事件数据库。
其中,历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知。
具体的说,本实施方式中,可以基于近期被捕获的历史攻击事件构建历史攻击事件数据库,位于历史攻击事件数据库中的每个历史事件的维度信息和攻击者都是已知的,其中,维度信息具体可以包括:攻击时间、MD5、被攻击IP地址、代码习惯信息、攻击目标和攻击类型等,当然,本实施方式中仅是举例说明,而并不限定每个攻击事件的维度信息的具体类型。其中,如图1(b)所示为本实施方式中的应用场景示意图,以历史攻击事件数据库中保存了三个历史攻击事件为例进行说明,在历史攻击事件数据库中保存了:历史攻击事件为雨伞行动,该攻击事件的维度信息分别是攻击时间-2018年1月3日,MD5-MD51、MD52和MD53,被攻击IP地址-IP:5.4.3.2、IP:3.4.8.9,代码习惯信息-主函数名称为DarkCAT,攻击目标-政府、企业,攻击类型-病毒,并且该历史攻击事件所对应的攻击者为APT-1;历史攻击事件为键盘行动,该攻击事件的维度信息分别是攻击时间-2018年8月1日,MD5-MD52、MD53、MD54和MD-6,被攻击IP地址-IP:5.4.3.1、IP:4.4.8.9,代码习惯信息-主函数名称为DarkHotel,攻击目标-企业,攻击类型-病毒,并且该历史攻击事件所对应的攻击者为APT-2;历史攻击事件为公文包行动,该攻击事件的维度信息分别是攻击时间-2018年2月1日,MD5-MD52、MD53,被攻击IP地址-IP:6.4.8.9、5.4.8.9,代码习惯信息-德文注释,攻击目标-政府,攻击类型-病毒,并且该历史攻击事件所对应的攻击者为APT-3。本实施方式中仅是举例说明,当然在历史攻击事件数据库中还可以包括其它历史攻击事件,本实施方式中不再进行赘述。
需要说明的是,历史攻击事件具体可以是根据指定时间段内所拦截的历史攻击事件所构建的,例如,距离当前一个月之内,或者一年之内,本实施方式中并不对时间范围进行限定。
步骤102,获取待溯源攻击事件。
可选的,获取待溯源攻击事件,可以包括:获取待溯源攻击事件中所包含的不同维度信息。
具体的说,本实施方式中可以通过拦截的方式获取待溯源攻击事件,并获取待溯源攻击事件的不同维度信息,例如,攻击时间、MD5、被攻击IP地址、代码习惯信息、攻击目标和攻击类型,并且待溯源攻击事件的维度信息是与历史攻击事件数据库中所包含的历史攻击事件的维度信息的类型是相同的。例如,待溯源攻击事件的维度信息分别是攻击时间-2019年2月1日,MD5-MD51、MD54和MD55,被攻击IP地址-IP:6.4.8.9、IP:6.3.6.9、IP:5.3.8.9,代码习惯信息-主函数名称为DarkHotel,攻击目标-政府、企业,攻击类型-间谍,
步骤103,计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据计算结果确定待溯源攻击事件的攻击者。
可选的,计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据计算结果确定待溯源攻击事件的攻击者,可以包括:计算待溯源攻击事件与历史攻击事件中维度信息的相似度,获得维度信息相似度集合;根据维度信息相似度集合确定待溯源攻击事件的攻击者。
可选的,计算待溯源攻击事件与历史攻击事件中维度信息的相似度,可以包括:通过指数衰减相似度计算确定待溯源攻击事件与历史攻击事件中攻击时间的相似度;通过杰卡德相似度计算确定待溯源攻击事件与历史攻击事件中MD5的相似度;通过同一网段中IP地址数量的计算确定待溯源攻击事件与历史攻击事件中被攻击IP地址的相似度;通过代码注释和主函数名称确定待溯源攻击事件与历史攻击事件中代码习惯信息的相似度;通过第一类相同关键词对比确定待溯源攻击事件与历史攻击事件中攻击目标的相似度;通过第二类相同关键词对比确定待溯源攻击事件与历史攻击事件中攻击类型的相似度。
具体的说,本实施方式中在计算待溯源攻击事件与历史攻击事件中维度信息的相似度,获得维度信息相似度集合时,针对不同类型的维度信息分别采用不同的计算方式。
其中,在计算攻击时间的相似度时,具体可以采用如下公式(1)的指数衰减相似度公式:
Figure BDA0002771058440000061
其中,d为常数,取值可以为0.01,常数d为根据计算精度设置的,并且d的不同会导致相似度的不同,因此在一次计算过程中,d的值要保持统一。x1和x2分别指的是两个不同的攻击时间,例如,x1的时间为:2017年12月18日,x2的时间为:2018年1月5日,|x1-x2|=18(日期计算间隔天数),由于-0.01*18=-0.18,e^(-0.18)≈0.8352,因此可以得出结论,x1与x2攻击时间的相似度为83.5%。从而可以通过计算获得待溯源攻击事件与历史攻击事件数据库中每个历史攻击事件在攻击时间维度上的相似度,例如,与雨伞行动攻击时间的相似度为3%,与键盘行动攻击时间的相似度为10%,与公文包行动攻击时间的相似度为5%。
其中,在计算MD5的相似度时,具体可以采用如下公式(2)的杰卡德相似度公式:
Figure BDA0002771058440000071
其中,s1和s2分别指的是两个不同的攻击事件所对应的MD5集合,例如,历史攻击事件雨伞行动所对应的MD5集合为s1={MD51,MD52,MD53},而待溯源攻击事件所对应的MD5集合为s1={MD51,MD54,MD55},因此s1∩s2=2,s1∪s2=5,
Figure BDA0002771058440000072
因此可以得出待溯源攻击事件与历史攻击事件雨伞行动在MD5维度上的相似度为20%,同理可以得出待溯源攻击事件与键盘行动在MD5维度上的相似度为17%,待溯源攻击事件与公文包行动在MD5维度上的相似度为0%。
其中,可以通同一网段中IP地址数量的计算确定待溯源攻击事件与历史攻击事件中被攻击IP地址的相似度,例如,通过计算可以确定待溯源攻击事件中的IP:6.4.8.9与公文包行动中的第一个IP:6.4.8.9是位于同一网段中,因为待溯源攻击事件共有三个被攻击的IP地址,因此被攻击IP的相似度为30%,同理还可以得出待溯源攻击事件与键盘行动在被攻击IP维度上的相似度为20%,待溯源攻击事件与公文包行动在被攻击IP维度上的相似度为23%。另外,本实施方式中具体可以通过代码注释和主函数名称等参数确定待溯源攻击事件与历史攻击事件中代码习惯信息的相似度,具体可以通过计算待溯源攻击事件与历史攻击事件中代码注释与主函数相同的个数,占待溯源攻击事件中代码注释与主函数个数的总和的比值,例如,可以得出待溯源攻击事件与键盘行动在代码习惯维度上的相似度为20%,待溯源攻击事件与键盘行动在代码习惯维度上的相似度为40%,待溯源攻击事件与公文包行动在代码习惯维度上的相似度为30%。
其中,本实施方式中具体可以通过第一类关键词对比确定待溯源攻击事件与历史攻击事件中攻击目标的相似度,本实施方式中的第一类关键词具体可以包括指定的关键词:例如、政府、企业、公司和学校等,通过第一类关键词对比,可以得出待溯源攻击事件与键盘行动在攻击目标维度上的相似度为30%,待溯源攻击事件与键盘行动在攻击目标维度上的相似度为40%,待溯源攻击事件与公文包行动在攻击目标维度上的相似度为60%。另外,本实施方式中具体可以通过第二类关键词对比确定待溯源攻击事件与历史攻击事件中攻击类型的相似度,本实施方式中的第二类关键词具体可以包括指定的关键词:例如、间谍、病毒和网络钓鱼等,通过第一类关键词对比,可以得出待溯源攻击事件与键盘行动在攻击目标维度上的相似度为30%,待溯源攻击事件与键盘行动在攻击目标维度上的相似度为40%,待溯源攻击事件与公文包行动在攻击目标维度上的相似度为70%。
可选的,根据维度信息相似度集合确定待溯源攻击事件的攻击者,可以包括:从维度信息相似度集合中获取每种维度信息下相似度最大的值;确定每种维度信息下相似度最大的值所对应的历史攻击事件;根据每个维度信息所占的溯源权重确定历史攻击事件与待溯源攻击事件的相似度,获得历史攻击事件相似度集合;根据历史攻击事件相似度集合确定待溯源攻击事件的攻击者。
可选的,根据历史攻击事件相似度集合确定待溯源攻击事件的攻击者,可以包括:从历史攻击事件相似度集合中确定相似度值最大的第一历史攻击事件;根据历史攻击事件数据库确定第一历史攻击事件所对应的攻击者;将第一历史攻击事件所对应的攻击者作为待溯源攻击事件的攻击者。
通过上述各个维度相似度的计算可以获得维度信息相似度集合,然后从维度信息相似度集合中获取每个维度信息下相似度最大的值,确定每种维度信息下相似度最大的值对应的历史攻击事件,例如,在攻击时间维度上,相似度最大的值为10%,所对应的历史攻击事件为键盘行动;在MD5维度上,相似度最大的值为20%,所对应的历史攻击事件为雨伞行动;在代码习惯维度上,相似度最大的值为40%,所对应的历史攻击事件为键盘行动;在被攻击IP维度上,相似度最大的值为30%,所对应的历史攻击事件为公文包行动;在攻击目标维度上,相似度最大的值为60%,多对应的历史攻击事件为公文包行动;在攻击类型维度上,相似度最大的值为70%,所对应的历史攻击事件为公文包行动。然后根据每个维度信息所占的溯源权重确定历史攻击事件与待溯源攻击事件的相似度,例如,攻击时间所占的权重为0.3,MD5所占的权重为0.1,代码习惯所占的权重为0.2,被攻击IP所占的权重为0.05,攻击目标所占的权重为0.05,攻击类型所占的权重为0.3。从而可以得出,待溯源攻击事件与雨伞行动的相似度为20%*0.1=10%,待溯源攻击事件与键盘行动的相似度为10%*0.3+40%*0.2=11%,待溯源攻击事件与公文包行动的相似度为30%*0.05+60%*0.05+70%*0.3=25.5%。从而可以得到历史攻击事件相似度集合为{25.5%与公文包行动相似、11%与键盘行动相似、10%与雨伞行动相似},从历史攻击事件相似度集合中确定相似度值最大的第一历史攻击事件为公文包行动,而根据历史攻击事件数据库可以确定第一历史攻击事件所对应的攻击者为APT-3,从而可以将APT-3作为本次待溯源攻击事件所对应的攻击者。
本发明实施例的技术方案,根据攻击者已知的多个历史攻击事件提前构建数据库,通过计算待溯源攻击事件与数据库中历史攻击事件的相似度,确定待溯源攻击事件的攻击者,从而准确高效的确定待溯源攻击事件所对应的攻击者。
实施例二
图2为本发明实施例二提供的攻击事件溯源方法的流程图,本实施例一上述实施例为基础,在本实施例中,在确定出待溯源攻击事件的攻击者之后,还包括对待溯源攻击事件的攻击者进行防御。相应的,本实施例的方法具体包括如下操作:
步骤201,构建历史攻击事件数据库。
步骤202,获取待溯源攻击事件。
步骤203,计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据计算结果确定待溯源攻击事件的攻击者。
步骤204,对待溯源攻击事件的攻击者进行防御。
具体的说,在确定出待溯源攻击事件所对应的攻击者之后,可以根据已知的攻击者本身的特性,进行有针对性的防御工作,例如,待溯源攻击事件的攻击者为APT-3,在确定APT-3主要是针对邮件进行潜伏,以窃取个人信息,因此针对攻击者本身所具有的特性,可以加大对邮件的安全防护力度,增设防护墙,定期对接收邮件进行病毒查杀。当然,本实施方式中仅是举例进行说明,只要确定出攻击者之后,就可以根据已知攻击者以往的攻击事件确定出攻击者所具有的特性,从而根据攻击者的特性展开有针对性的防御工作,可以进一步保障网络安全性。
本发明实施例的技术方案,根据攻击者已知的多个历史攻击事件提前构建数据库,通过计算待溯源攻击事件与数据库中历史攻击事件的相似度,确定待溯源攻击事件的攻击者,从而准确高效的确定待溯源攻击事件所对应的攻击者。根据攻击者本身的特性,进行有针对性的防御工作,从而进一步保障网络的安全性。
实施例三
图3为本发明实施例三提供的一种攻击事件溯源装置的结构示意图,该装置包括:历史攻击事件数据库构建模块310、待溯源攻击事件获取模块320和攻击者溯源模块330。
历史攻击事件数据库构建模块310,用于构建历史攻击事件数据库,其中,历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知;待溯源攻击事件获取模块320,用于获取待溯源攻击事件;攻击者溯源模块330,用于计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据相似度计算结果确定待溯源攻击事件的攻击者。
可选的,待溯源攻击事件获取模块320,用于获取待溯源攻击事件中所包含的不同维度信息。
可选的,维度信息包括:攻击时间、MD5、被攻击IP地址、代码习惯信息、攻击目标和攻击类型。
可选的,攻击者溯源模块包括:
维度信息相似度集合获取子模块,用于计算待溯源攻击事件与历史攻击事件中维度信息的相似度,获得维度信息相似度集合;
攻击者确定子模块,用于根据维度信息相似度集合确定待溯源攻击事件的攻击者。
可选的,攻击者确定子模块,包括:
维度信息相似度确定子单元,用于从维度信息相似度集合中获取每种维度信息下相似度最大的值;
历史攻击事件确定子单元,用于确定每种维度信息下相似度最大的值所对应的历史攻击事件;
历史攻击事件相似度集合子单元,用于根据每个维度信息所占的溯源权重确定历史攻击事件与待溯源攻击事件的相似度,获得历史攻击事件相似度集合;
攻击者确定子单元,用于根据历史攻击事件相似度集合确定待溯源攻击事件的攻击者。
可选的,攻击者确定子单元,用于从历史攻击事件相似度值集合中确定相似度值最大的第一历史攻击事件;
根据历史攻击事件数据库确定第一历史攻击事件所对应的攻击者;
将第一历史攻击事件所对应的攻击者作为待溯源攻击事件的攻击者。
可选的,维度信息相似度集合获取子模块,用于:
通过指数衰减相似度计算确定待溯源攻击事件与历史攻击事件中攻击时间的相似度;
通过杰卡德相似度计算确定待溯源攻击事件与历史攻击事件中MD5的相似度;
通过同一网段中IP地址数量的计算确定待溯源攻击事件与历史攻击事件中被攻击IP地址的相似度;
通过代码注释和主函数名称确定待溯源攻击事件与历史攻击事件中代码习惯信息的相似度;
通过第一类相同关键词对比确定待溯源攻击事件与历史攻击事件中攻击目标的相似度;
通过第二类相同关键词对比确定待溯源攻击事件与历史攻击事件中攻击类型的相似度。
上述装置可执行本发明任意实施例所提供的攻击事件溯源方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明任意实施例提供的方法。
实施例四
图4是本发明实施例提供的一种电子设备的结构示意图。图4示出了适用于用来实现本发明实施方式的示例性电子设备412的框图。图4显示的电子设备412仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备412以通用计算设备的形式出现。电子设备412的组件可以包括但不限于:一个或者多个处理器416,存储器428,连接不同系统组件(包括存储器428和处理器416)的总线418。
总线418表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备412典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备412访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器428用于存储指令。存储器428可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)430和/或高速缓存存储器432。电子设备412可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统434可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线418相连。存储器428可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块442的程序/实用工具440,可以存储在例如存储器428中,这样的程序模块442包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块442通常执行本发明所描述的实施例中的功能和/或方法。
电子设备412也可以与一个或多个外部设备414(例如键盘、指向设备、显示器424等)通信,还可与一个或者多个使得用户能与该电子设备412交互的设备通信,和/或与使得该电子设备412能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口422进行。并且,电子设备412还可以通过网络适配器420与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器420通过总线418与电子设备412的其它模块通信。应当明白,尽管图4中未示出,可以结合电子设备412使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器416通过运行存储在存储器428中的指令,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的攻击事件溯源方法:构建历史攻击事件数据库,其中,历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知;获取待溯源攻击事件;计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据计算结果确定待溯源攻击事件的攻击者。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请所有发明实施例提供的攻击事件溯源方法:
构建历史攻击事件数据库,其中,历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知;获取待溯源攻击事件;计算待溯源攻击事件与数据库中的历史攻击事件的相似度,根据计算结果确定待溯源攻击事件的攻击者。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种攻击事件溯源方法,其特征在于,包括:
构建历史攻击事件数据库,其中,所述历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知;
获取待溯源攻击事件;
计算所述待溯源攻击事件与所述数据库中的历史攻击事件的相似度,根据计算结果确定所述待溯源攻击事件的攻击者。
2.根据权利要求1所述的方法,其特征在于,所述获取待溯源攻击事件,包括:
获取所述待溯源攻击事件中所包含的不同维度信息。
3.根据权利要求2所述的方法,其特征在于,所述维度信息包括:攻击时间、MD5、被攻击IP地址、代码习惯信息、攻击目标和攻击类型。
4.根据权利要求2所述的方法,其特征在于,所述计算所述待溯源攻击事件与所述数据库中的历史攻击事件的相似度,根据计算结果确定所述待溯源攻击事件的攻击者,包括:
计算所述待溯源攻击事件与所述历史攻击事件中维度信息的相似度,获得维度信息相似度集合;
根据所述维度信息相似度集合确定所述待溯源攻击事件的攻击者。
5.根据权利要求4所述的方法,其特征在于,所述根据所述维度信息相似度集合确定所述待溯源攻击事件的攻击者,包括:
从所述维度信息相似度集合中获取每种维度信息下相似度最大的值;
确定每种维度信息下相似度最大的值所对应的历史攻击事件;
根据每个维度信息所占的溯源权重确定所述历史攻击事件与所述待溯源攻击事件的相似度,获得历史攻击事件相似度集合;
根据所述历史攻击事件相似度集合确定所述待溯源攻击事件的攻击者。
6.根据权利要求5所述的方法,其特征在于,所述根据所述历史攻击事件相似度集合确定所述待溯源攻击事件的攻击者,包括:
从所述历史攻击事件相似度集合中确定相似度值最大的第一历史攻击事件;
根据所述历史攻击事件数据库确定所述第一历史攻击事件所对应的攻击者;
将所述第一历史攻击事件所对应的攻击者作为所述待溯源攻击事件的攻击者。
7.根据权利要求5所述的方法,其特征在于,所述计算所述待溯源攻击事件与所述历史攻击事件中维度信息的相似度,包括:
通过指数衰减相似度计算确定所述待溯源攻击事件与所述历史攻击事件中攻击时间的相似度;
通过杰卡德相似度计算确定所述待溯源攻击事件与所述历史攻击事件中MD5的相似度;
通过同一网段中IP地址数量的计算确定所述待溯源攻击事件与所述历史攻击事件中被攻击IP地址的相似度;
通过代码注释和主函数名称确定所述待溯源攻击事件与所述历史攻击事件中代码习惯信息的相似度;
通过第一类相同关键词对比确定所述待溯源攻击事件与所述历史攻击事件中攻击目标的相似度;
通过第二类相同关键词对比确定所述待溯源攻击事件与所述历史攻击事件中攻击类型的相似度。
8.一种攻击事件溯源装置,其特征在于,包括:
历史攻击事件数据库构建模块,用于构建历史攻击事件数据库,其中,所述历史攻击事件数据库中包含多个历史攻击事件,每个历史攻击事件的维度信息和攻击者已知;
待溯源攻击事件获取模块,用于获取待溯源攻击事件;
攻击者溯源模块,用于计算所述待溯源攻击事件与所述数据库中的历史攻击事件的相似度,根据相似度计算结果确定所述待溯源攻击事件的攻击者。
9.一种电子设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的方法。
CN202011249263.8A 2020-11-10 2020-11-10 一种攻击事件溯源方法、装置、电子设备和存储介质 Active CN112333196B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011249263.8A CN112333196B (zh) 2020-11-10 2020-11-10 一种攻击事件溯源方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011249263.8A CN112333196B (zh) 2020-11-10 2020-11-10 一种攻击事件溯源方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN112333196A true CN112333196A (zh) 2021-02-05
CN112333196B CN112333196B (zh) 2023-04-04

Family

ID=74317892

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011249263.8A Active CN112333196B (zh) 2020-11-10 2020-11-10 一种攻击事件溯源方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN112333196B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822220A (zh) * 2021-03-04 2021-05-18 哈尔滨安天科技集团股份有限公司 一种面向多样本组合攻击的溯源方法和装置
CN112839061A (zh) * 2021-03-04 2021-05-25 哈尔滨安天科技集团股份有限公司 一种基于区域特征的溯源方法和装置
CN113343228A (zh) * 2021-06-30 2021-09-03 北京天融信网络安全技术有限公司 事件可信度分析方法、装置、电子设备及可读存储介质
CN113438249A (zh) * 2021-06-30 2021-09-24 北京科东电力控制系统有限责任公司 一种基于策略的攻击溯源方法
CN113839944A (zh) * 2021-09-18 2021-12-24 百度在线网络技术(北京)有限公司 应对网络攻击的方法、装置、电子设备和介质
CN115225359A (zh) * 2022-07-13 2022-10-21 杭州安恒信息技术股份有限公司 蜜罐数据溯源方法、装置、计算机设备和存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150096024A1 (en) * 2013-09-30 2015-04-02 Fireeye, Inc. Advanced persistent threat (apt) detection center
CN108092948A (zh) * 2016-11-23 2018-05-29 中国移动通信集团湖北有限公司 一种网络攻击模式的识别方法和装置
CN108182364A (zh) * 2017-12-29 2018-06-19 哈尔滨安天科技股份有限公司 一种基于调用依赖关系识别攻击同源的方法及系统
CN108282460A (zh) * 2017-12-19 2018-07-13 中国科学院信息工程研究所 一种面向网络安全事件的证据链生成方法及装置
CN110457430A (zh) * 2019-07-02 2019-11-15 北京瑞卓喜投科技发展有限公司 一种文本的溯源检测方法、装置及设备
CN111030974A (zh) * 2019-03-29 2020-04-17 北京安天网络安全技术有限公司 一种apt攻击事件检测方法、装置及存储介质
CN111865873A (zh) * 2019-04-26 2020-10-30 中国移动通信集团河北有限公司 安全预警方法、装置及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150096024A1 (en) * 2013-09-30 2015-04-02 Fireeye, Inc. Advanced persistent threat (apt) detection center
CN108092948A (zh) * 2016-11-23 2018-05-29 中国移动通信集团湖北有限公司 一种网络攻击模式的识别方法和装置
CN108282460A (zh) * 2017-12-19 2018-07-13 中国科学院信息工程研究所 一种面向网络安全事件的证据链生成方法及装置
CN108182364A (zh) * 2017-12-29 2018-06-19 哈尔滨安天科技股份有限公司 一种基于调用依赖关系识别攻击同源的方法及系统
CN111030974A (zh) * 2019-03-29 2020-04-17 北京安天网络安全技术有限公司 一种apt攻击事件检测方法、装置及存储介质
CN111865873A (zh) * 2019-04-26 2020-10-30 中国移动通信集团河北有限公司 安全预警方法、装置及系统
CN110457430A (zh) * 2019-07-02 2019-11-15 北京瑞卓喜投科技发展有限公司 一种文本的溯源检测方法、装置及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
靳莉亚: "《基于威胁情报多维度分析的攻击组织关联与研判系统》", 《中国优秀硕士学位论文全文数据库》 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112822220A (zh) * 2021-03-04 2021-05-18 哈尔滨安天科技集团股份有限公司 一种面向多样本组合攻击的溯源方法和装置
CN112839061A (zh) * 2021-03-04 2021-05-25 哈尔滨安天科技集团股份有限公司 一种基于区域特征的溯源方法和装置
CN112839061B (zh) * 2021-03-04 2022-11-25 安天科技集团股份有限公司 一种基于区域特征的溯源方法和装置
CN112822220B (zh) * 2021-03-04 2023-02-28 安天科技集团股份有限公司 一种面向多样本组合攻击的溯源方法和装置
CN113343228A (zh) * 2021-06-30 2021-09-03 北京天融信网络安全技术有限公司 事件可信度分析方法、装置、电子设备及可读存储介质
CN113438249A (zh) * 2021-06-30 2021-09-24 北京科东电力控制系统有限责任公司 一种基于策略的攻击溯源方法
CN113438249B (zh) * 2021-06-30 2023-01-31 北京科东电力控制系统有限责任公司 一种基于策略的攻击溯源方法
CN113343228B (zh) * 2021-06-30 2023-11-10 北京天融信网络安全技术有限公司 事件可信度分析方法、装置、电子设备及可读存储介质
CN113839944A (zh) * 2021-09-18 2021-12-24 百度在线网络技术(北京)有限公司 应对网络攻击的方法、装置、电子设备和介质
CN113839944B (zh) * 2021-09-18 2023-09-19 百度在线网络技术(北京)有限公司 应对网络攻击的方法、装置、电子设备和介质
CN115225359A (zh) * 2022-07-13 2022-10-21 杭州安恒信息技术股份有限公司 蜜罐数据溯源方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
CN112333196B (zh) 2023-04-04

Similar Documents

Publication Publication Date Title
CN112333196B (zh) 一种攻击事件溯源方法、装置、电子设备和存储介质
US9934310B2 (en) Determining repeat website users via browser uniqueness tracking
US20120078949A1 (en) Generating candidate entities using over frequent keys
CN108959430B (zh) 广告推广数据获取方法、装置及设备
US20210112096A1 (en) Generating false data for suspicious users
US11381591B2 (en) Information security system based on multidimensional disparate user data
CN114186275A (zh) 隐私保护方法、装置、计算机设备及存储介质
CN110489971A (zh) 安全的数据集管理
US20200067953A1 (en) System and method for data analysis and detection of threat
CN115840964A (zh) 数据处理方法、装置、电子设备及计算机存储介质
CN111061740A (zh) 一种数据同步方法、设备和存储介质
CN112163214A (zh) 数据访问的方法和装置
Vadlamudi et al. Analysis on digital forensics challenges and anti-forensics techniques in cloud computing
US20240095289A1 (en) Data enrichment systems and methods for abbreviated domain name classification
US20180365687A1 (en) Fraud detection
CN112527888B (zh) 一种数据分析方法、装置、电子设备及存储介质
US10970341B2 (en) Predictive modeling in event processing systems for big data processing in cloud
US11763014B2 (en) Production protection correlation engine
CN115296917A (zh) 资产暴露面信息获取方法、装置、设备以及存储介质
CN115225359A (zh) 蜜罐数据溯源方法、装置、计算机设备和存储介质
CN113779198A (zh) 基于人工智能的电子名片生成方法、装置、设备及介质
CN113037555A (zh) 风险事件标记方法、风险事件标记装置和电子设备
CN111782967A (zh) 信息处理方法、装置、电子设备和计算机可读存储介质
CN108280139B (zh) Poi数据的处理方法、装置、设备及计算机可读存储介质
CN110795470A (zh) 一种关联数据获取方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant