发明内容
本申请提出一种基于攻击溯源的敏感文件保护方法,包括以下步骤:
S1、根据预设的第一网络攻击溯源方法,进行第一攻击溯源处理,以得到第一溯源结果和第一溯源时长;其中,所述第一溯源时长指完成一次第一攻击溯源处理的时长;
S2、根据公式:敏感文件检测因子=第一溯源时长-标准溯源时长,计算出敏感文件检测因子,并判断所述敏感文件检测因子的数值是否大于0;
S3、若所述敏感文件检测因子的数值大于0,则对预设的敏感文件集进行实时检测处理,以获取所述敏感文件集的单位时间访问次数,并判断所述单位时间访问次数是否大于预设的访问次数阈值;其中,所述敏感文件集包括多个敏感文件;
S4、若所述单位时间访问次数大于预设的访问次数阈值,则根据预设的网络通信数据采集方法,进行第二网络通信数据采集处理,以得到第二网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第二网络通信数据对应的第二响应数据;
S5、断开网络连接,并对所述敏感文件集的存储空间进行隔离处理,以使所述敏感文件集处于无法访问状态,并进行计算资源调整处理,以预留出预设比例的指定计算资源;
S6、在预设的第一时间长度之后,恢复网络连接,并根据预设的网络通信数据采集方法,进行第三网络通信数据采集处理,以得到第三网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第三网络通信数据对应的第三响应数据;
S7、根据预设的相似数据提取方法,对所述第二网络通信数据和所述第三网络通信数据进行数据提取处理,以得到相似网络通信数据;
S8、根据预设的相似数据提取方法,对所述第二响应数据和所述第三响应数据进行数据提取处理,以得到相似响应数据;
S9、计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值;
S10、若所述对应关系占比小于预设的占比阈值,则调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述相似网络通信数据和所述相似响应数据进行第二攻击溯源处理,从而得到第二攻击溯源结果;其中,所述第二攻击溯源模型基于神经网络模型并利用第二训练集训练而成,所述第二训练集由训练用相似网络通信数据、训练用相似响应数据和训练用攻击来源构成;
S11、获取所述第二攻击溯源结果中的IP地址,并禁止所述第二攻击溯源结果中的IP地址的访问;
S12、再次对所述敏感文件集进行检测处理,以再次获取所述敏感文件集的单位时间访问次数,并判断再次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;
S13、若再次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则调用预先训练得到的第三攻击溯源模型,并采用所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行第三攻击溯源处理,从而得到第三攻击溯源结果;所述第三攻击溯源模型基于神经网络模型并采用有监督学习的方式训练得到,所述第三攻击溯源模型训练时的数据是在断开网络连接之后重新恢复网络时采集的;所述指定计算资源仅在所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行处理时使用;
S14、根据预设的反制方法,对所述第三攻击溯源结果中的攻击方进行反制处理;
S15、第三次对所述敏感文件集进行检测处理,以第三次获取所述敏感文件集的单位时间访问次数,并判断第三次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;
S16、若第三次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
进一步地,所述计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值的步骤S9,包括:
S901、根据所述第二网络通信数据和所述第二响应数据的映射关系,建立第二映射表;
S902、根据所述第三网络通信数据和所述第三响应数据的映射关系,建立第三映射表;
S903、根据所述第二映射表和所述第三映射表,分别获取与所有的相似网络通信数据对应的所有的第二映射结果和所有的第三映射结果;
S904、将所有的相似响应数据作为第一集合,以及将所有的第二映射结果作为第二集合,以及将所有的第三映射结果作为第三集合,并对所述第一集合、所述第二集合和所述第三集合进行三者交集处理,以得到交集结果;
S905、获取所述交集结果中的元素数量,获取所述相似网络通信数据的总数量,并根据公式:对应关系占比=所述交集结果中的元素数量/所述相似网络通信数据的总数量,计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值。
进一步地,所述再次对所述敏感文件集进行检测处理,以再次获取所述敏感文件集的单位时间访问次数,并判断再次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值的步骤S12之后,包括:
S121、若再次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
进一步地,所述第三次对所述敏感文件集进行检测处理,以第三次获取所述敏感文件集的单位时间访问次数,并判断第三次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值的步骤S15之后,包括:
S151、若第三次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则断开网络连接并维持预设的第二时间长度之后,再恢复网络连接;其中,所述第二时间长度等于所述第一时间长度的两倍;
S152、根据预设的网络通信数据采集方法,进行第四网络通信数据采集处理,以得到第四网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第四网络通信数据对应的第四响应数据;
S153、根据预设的相似数据提取方法,对所述第三网络通信数据和所述第四网络通信数据进行数据提取处理,以得到二次相似网络通信数据;
S154、根据预设的相似数据提取方法,对所述第三响应数据和所述第四响应数据进行数据提取处理,以得到二次相似响应数据;
S155、计算出所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比,并判断所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比是否小于预设的占比阈值;
S156、若所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比不小于预设的占比阈值,则调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述二次相似网络通信数据和所述二次相似响应数据进行第四攻击溯源处理,从而得到第四攻击溯源结果;
S157、获取所述第四攻击溯源结果中的IP地址,并禁止所述第四攻击溯源结果中的IP地址的访问;
S158、对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
本申请提供一种基于攻击溯源的敏感文件保护装置,包括:
第一攻击溯源处理单元,用于根据预设的第一网络攻击溯源方法,进行第一攻击溯源处理,以得到第一溯源结果和第一溯源时长;其中,所述第一溯源时长指完成一次第一攻击溯源处理的时长;
敏感文件检测因子计算单元,用于根据公式:敏感文件检测因子=第一溯源时长-标准溯源时长,计算出敏感文件检测因子,并判断所述敏感文件检测因子的数值是否大于0;
一次访问次数阈值判断单元,用于若所述敏感文件检测因子的数值大于0,则对预设的敏感文件集进行实时检测处理,以获取所述敏感文件集的单位时间访问次数,并判断所述单位时间访问次数是否大于预设的访问次数阈值;其中,所述敏感文件集包括多个敏感文件;
第二网络通信数据获取单元,用于若所述单位时间访问次数大于预设的访问次数阈值,则根据预设的网络通信数据采集方法,进行第二网络通信数据采集处理,以得到第二网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第二网络通信数据对应的第二响应数据;
敏感文件集隔离单元,用于断开网络连接,并对所述敏感文件集的存储空间进行隔离处理,以使所述敏感文件集处于无法访问状态,并进行计算资源调整处理,以预留出预设比例的指定计算资源;
第三网络通信数据获取单元,用于在预设的第一时间长度之后,恢复网络连接,并根据预设的网络通信数据采集方法,进行第三网络通信数据采集处理,以得到第三网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第三网络通信数据对应的第三响应数据;
相似网络通信数据获取单元,用于根据预设的相似数据提取方法,对所述第二网络通信数据和所述第三网络通信数据进行数据提取处理,以得到相似网络通信数据;
相似响应数据获取单元,用于根据预设的相似数据提取方法,对所述第二响应数据和所述第三响应数据进行数据提取处理,以得到相似响应数据;
占比阈值判断单元,用于计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值;
第二攻击溯源处理单元,用于若所述对应关系占比小于预设的占比阈值,则调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述相似网络通信数据和所述相似响应数据进行第二攻击溯源处理,从而得到第二攻击溯源结果;其中,所述第二攻击溯源模型基于神经网络模型并利用第二训练集训练而成,所述第二训练集由训练用相似网络通信数据、训练用相似响应数据和训练用攻击来源构成;
禁止访问单元,用于获取所述第二攻击溯源结果中的IP地址,并禁止所述第二攻击溯源结果中的IP地址的访问;
二次访问次数阈值判断单元,用于再次对所述敏感文件集进行检测处理,以再次获取所述敏感文件集的单位时间访问次数,并判断再次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;
第三攻击溯源处理单元,用于若再次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则调用预先训练得到的第三攻击溯源模型,并采用所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行第三攻击溯源处理,从而得到第三攻击溯源结果;所述第三攻击溯源模型基于神经网络模型并采用有监督学习的方式训练得到,所述第三攻击溯源模型训练时的数据是在断开网络连接之后重新恢复网络时采集的;所述指定计算资源仅在所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行处理时使用;
反制处理单元,用于根据预设的反制方法,对所述第三攻击溯源结果中的攻击方进行反制处理;
三次访问次数阈值判断单元,用于S15、第三次对所述敏感文件集进行检测处理,以第三次获取所述敏感文件集的单位时间访问次数,并判断第三次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;
去隔离处理单元,用于若第三次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
本申请提供一种基于攻击溯源的敏感文件保护系统,包括计算机终端,所述计算机终端用于执行上述任一项所述方法的步骤。
本申请提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。
本申请提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。
本申请的基于攻击溯源的敏感文件保护方法、装置和系统,实现了有效的敏感文件保护。其中,结合了层次化的攻击溯源、敏感文件的隔离、计算资源的预留,实现了有效的敏感文件保护,尤其适合在过量网络攻击下的敏感文件的保护。
具体地,进行第一攻击溯源处理,以得到第一溯源结果和第一溯源时长;计算出敏感文件检测因子;若大于0,则判断单位时间访问次数是否大于访问次数阈值;若大于访问次数阈值,则得到第二网络通信数据和第二响应数据;断开网络连接,使所述敏感文件集处于无法访问状态,并预留出指定计算资源;恢复网络连接,并得到第三网络通信数据和第三响应数据;得到相似网络通信数据;得到相似响应数据;判断对应关系占比是否小于占比阈值;若小于占比阈值,则进行第二攻击溯源处理;禁止IP地址的访问;判断是否大于预设的访问次数阈值;若大于访问次数阈值,则进行第三攻击溯源处理;进行反制处理;判断单位时间访问次数是否大于访问次数阈值;若不大于访问次数阈值,则进行去隔离处理,以使所述敏感文件集处于可访问状态。从而实现了在网络攻击下的有效的敏感文件保护。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1-2,本申请实施例提供一种基于攻击溯源的敏感文件保护方法,包括以下步骤:
S1、根据预设的第一网络攻击溯源方法,进行第一攻击溯源处理,以得到第一溯源结果和第一溯源时长;其中,所述第一溯源时长指完成一次第一攻击溯源处理的时长;
S2、根据公式:敏感文件检测因子=第一溯源时长-标准溯源时长,计算出敏感文件检测因子,并判断所述敏感文件检测因子的数值是否大于0;
S3、若所述敏感文件检测因子的数值大于0,则对预设的敏感文件集进行实时检测处理,以获取所述敏感文件集的单位时间访问次数,并判断所述单位时间访问次数是否大于预设的访问次数阈值;其中,所述敏感文件集包括多个敏感文件;
S4、若所述单位时间访问次数大于预设的访问次数阈值,则根据预设的网络通信数据采集方法,进行第二网络通信数据采集处理,以得到第二网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第二网络通信数据对应的第二响应数据;
S5、断开网络连接,并对所述敏感文件集的存储空间进行隔离处理,以使所述敏感文件集处于无法访问状态,并进行计算资源调整处理,以预留出预设比例的指定计算资源;
S6、在预设的第一时间长度之后,恢复网络连接,并根据预设的网络通信数据采集方法,进行第三网络通信数据采集处理,以得到第三网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第三网络通信数据对应的第三响应数据;
S7、根据预设的相似数据提取方法,对所述第二网络通信数据和所述第三网络通信数据进行数据提取处理,以得到相似网络通信数据;
S8、根据预设的相似数据提取方法,对所述第二响应数据和所述第三响应数据进行数据提取处理,以得到相似响应数据;
S9、计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值;
S10、若所述对应关系占比小于预设的占比阈值,则调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述相似网络通信数据和所述相似响应数据进行第二攻击溯源处理,从而得到第二攻击溯源结果;其中,所述第二攻击溯源模型基于神经网络模型并利用第二训练集训练而成,所述第二训练集由训练用相似网络通信数据、训练用相似响应数据和训练用攻击来源构成;
S11、获取所述第二攻击溯源结果中的IP地址,并禁止所述第二攻击溯源结果中的IP地址的访问;
S12、再次对所述敏感文件集进行检测处理,以再次获取所述敏感文件集的单位时间访问次数,并判断再次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;
S13、若再次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则调用预先训练得到的第三攻击溯源模型,并采用所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行第三攻击溯源处理,从而得到第三攻击溯源结果;所述第三攻击溯源模型基于神经网络模型并采用有监督学习的方式训练得到,所述第三攻击溯源模型训练时的数据是在断开网络连接之后重新恢复网络时采集的;所述指定计算资源仅在所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行处理时使用;
S14、根据预设的反制方法,对所述第三攻击溯源结果中的攻击方进行反制处理;
S15、第三次对所述敏感文件集进行检测处理,以第三次获取所述敏感文件集的单位时间访问次数,并判断第三次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;
S16、若第三次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
本申请的执行主体可为任意可行主体,例如为服务器或者其他终端等。
如上述步骤S1-S5所述,根据预设的第一网络攻击溯源方法,进行第一攻击溯源处理,以得到第一溯源结果和第一溯源时长;其中,所述第一溯源时长指完成一次第一攻击溯源处理的时长;根据公式:敏感文件检测因子=第一溯源时长-标准溯源时长,计算出敏感文件检测因子,并判断所述敏感文件检测因子的数值是否大于0;若所述敏感文件检测因子的数值大于0,则对预设的敏感文件集进行实时检测处理,以获取所述敏感文件集的单位时间访问次数,并判断所述单位时间访问次数是否大于预设的访问次数阈值;其中,所述敏感文件集包括多个敏感文件;若所述单位时间访问次数大于预设的访问次数阈值,则根据预设的网络通信数据采集方法,进行第二网络通信数据采集处理,以得到第二网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第二网络通信数据对应的第二响应数据;断开网络连接,并对所述敏感文件集的存储空间进行隔离处理,以使所述敏感文件集处于无法访问状态,并进行计算资源调整处理,以预留出预设比例的指定计算资源。其中,第一网络攻击溯源可采用任意方式实现,其是本申请的执行主体的默认网络攻击溯源方法,在大部分时间内,均采用第一网络攻击溯源方法进行攻击溯源操作。例如,所述第一网络攻击溯源方法可采用传统的攻击溯源技术,例如利用日志记录技术、概率包标记技术、链路测试技术和基于ICMP的报文技术等。基于这些技术的使用,可能还需要进行对应的数据操作,例如包括对报文信息进行分析,对日志信息的调用,对交换机的数据进行分析,对路由器的数据进行采集等,在此不再赘述。同时,还获取第一溯源时长。之所以获取第一溯源时长的原因在于,确定执行主体是否受到过量的网络攻击。一般而言,在容忍范围内的网络攻击下,完成一次第一攻击溯源处理需要的时长是相对固定的,而当受到过量的网络攻击时,第一溯源时长会明显变大。据此,根据公式:敏感文件检测因子=第一溯源时长-标准溯源时长,计算出敏感文件检测因子,并判断所述敏感文件检测因子的数值是否大于0;若所述敏感文件检测因子的数值大于0,则表明处在过量的网络攻击状态下,因此再对预设的敏感文件集进行实时检测处理,以获取所述敏感文件集的单位时间访问次数,并判断所述单位时间访问次数是否大于预设的访问次数阈值。需要注意的是,本申请计算敏感文件检测因子是必经的步骤,是因为本申请的敏感文件在常规状态下(即不处于过量的网络攻击状态下),由于计算机的计算资源等富裕,因此无需担心敏感文件的保护问题,或者采用常规的保护方法即可。因此,需要通过计算敏感文件检测因子的方式,以确定是否要进行特别的敏感文件保护方法。
其中,当一个敏感文件被访问一次,则整个敏感文件集的总访问次数加一。若所述单位时间访问次数大于预设的访问次数阈值,表明敏感文件处于频率访问状态,而在计算资源匮乏的状态下,存在被篡改或窃取的风险。而需要解决这样的问题,其本质在于解决过量网络攻击,而传统方案对于过量网络攻击并没有太好的溯源方法。据此,本申请根据预设的网络通信数据采集方法,进行第二网络通信数据采集处理,以得到第二网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第二网络通信数据对应的第二响应数据。之所以获取第二网络通信数据与第二响应数据,其目的在于进行特殊的攻击溯源处理,即层次化的攻击溯源,这将结合后续步骤来详细解释。所述第二网络通信数据例如包括请求报文等,所述第二响应数据例如包括响应请求报文的返回报文等;数据采集可包括对日志、进程、线程、交换机、路由的数据进行的采集。需要注意的是,此时的第二网络通信数据与第二响应数据,不仅来自于恶意攻击的攻击源,也来自于正常终端,因为此时暂时无法区分数据来源,并且因为此时计算资源的匮乏,也不适合在此时进行数据区分处理。另外,本申请中采用了层次化的攻击溯源方案,其中,第一层次的攻击溯源是指根据预设的第一网络攻击溯源方法,进行第一攻击溯源处理;第二层次的攻击溯源是指采用所述第二攻击溯源模型对所述相似网络通信数据和所述相似响应数据进行第二攻击溯源处理;第三层次的攻击溯源是指采用所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行第三攻击溯源处理。通过这样的层次化攻击溯源,能够有效地完成攻击溯源的目的(避免计算资源匮乏而影响攻击溯源的结果),进而实现敏感文件的保护。再断开网络连接,并对所述敏感文件集的存储空间进行隔离处理,以使所述敏感文件集处于无法访问状态,并进行计算资源调整处理,以预留出预设比例的指定计算资源。其中,断开网络连接可采用任意可行方式实现,优选采用物理手段实现,例如采用控制机械手以断开路由器或交换机的电源的方式实现。同时,还对所述敏感文件集的存储空间进行隔离处理,以使所述敏感文件集处于无法访问状态,以在存在风险时保护敏感文件。另外,进行计算资源调整处理,以预留出预设比例的指定计算资源,其目的在于使得后续进行第三层次的攻击溯源时具有足够的计算资源。其中,预留出预设比例的指定计算资源,例如为预留3-10%的CPU资源、内存资源、硬盘资源等,当然,其中预设比例可根据实际需要进行调整。
如上述步骤S6-S10所述,在预设的第一时间长度之后,恢复网络连接,并根据预设的网络通信数据采集方法,进行第三网络通信数据采集处理,以得到第三网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第三网络通信数据对应的第三响应数据;根据预设的相似数据提取方法,对所述第二网络通信数据和所述第三网络通信数据进行数据提取处理,以得到相似网络通信数据;根据预设的相似数据提取方法,对所述第二响应数据和所述第三响应数据进行数据提取处理,以得到相似响应数据;计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值;若所述对应关系占比小于预设的占比阈值,则调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述相似网络通信数据和所述相似响应数据进行第二攻击溯源处理,从而得到第二攻击溯源结果;其中,所述第二攻击溯源模型基于神经网络模型并利用第二训练集训练而成,所述第二训练集由训练用相似网络通信数据、训练用相似响应数据和训练用攻击来源构成。其中,之所以在第一时间长度之后才恢复网络连接,其目的在于对恶意攻击方与正常访问方进行数据分离。具体地,恶意攻击方在进行网络攻击时会持续相当长的一段时间,而正常访问方访问失败一段时间后,会暂停或者放弃再次访问,据此能够进行初步的数据分离。并且,所述第一时间长度不应当过短,因为若第一时间长度过短,由于人的行为惯性,正常访问方仍会继续进行访问,这将无法实现数据分离的目的。而且,第一时间长度也不应当过长,因为过长会造成过大的损失。所述第一时间长度可通过任意方式获得,例如通过分析历史数据以设置较合适的数值,或者,通过训练得到的决策树模型来预测出第一时间长度。再恢复网络连接,并根据预设的网络通信数据采集方法,进行第三网络通信数据采集处理,以得到第三网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第三网络通信数据对应的第三响应数据。其中,所述第三网络通信数据与所述第三响应数据,分别与所述第二网络通信数据与所述第二响应数据对应,其采集方法也对应相同。再根据预设的相似数据提取方法,对所述第二网络通信数据和所述第三网络通信数据进行数据提取处理,以得到相似网络通信数据;根据预设的相似数据提取方法,对所述第二响应数据和所述第三响应数据进行数据提取处理,以得到相似响应数据。其中的相似数据提取方法,实际上是进行数据分析,以找出相似数据,再进行提取处理。而相似数据分析方法可采用任意可行方法,由于相似数据分析技术是常见技术,在此不再赘述。进一步地,所述相似数据提取方法,可替换为相同数据提取方法,以提高数据提取时间。之所以进行相似数据提取,其目的在于确定来自于恶意攻击方的数据。可以这么分析:在断开网络连接前采集的所述第二网络通信数据与所述第二响应数据,与恶意攻击方和第一正常访问方相关;在第一时间长度之后才恢复网络连接采集的所述第三网络通信数据与所述第三响应数据,与恶意攻击方和第二正常访问方相关,而第一正常访问方与第二正常访问方是不同的,因此相似数据来自于恶意攻击方(因为恶意攻击方会持续采用相同的攻击方式维持相当长的一段时间)。因此,获取的相似网络通信数据和相似响应数据,适宜作为第二层次的网络攻击溯源时使用,从而第二层次的网络攻击溯源具有准确与快速的特性。再计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值。其中,对应关系占比反应的是,网络攻击指向敏感文件的程度,这也是本申请隔离敏感文件的另一用意,即,隔离敏感文件不仅能够在短时间内进行保护,还能够对网络攻击进行衡量。具体地,若网络攻击与敏感文件无关,那么所述相似网络通信数据与所述相似响应数据之间几乎完全对应,这是因为网络攻击若不指向敏感文件,那么在断开网络连接前后,响应数据也应当是相似的。反之,若网络攻击指向敏感文件,那么这些网络攻击将被拒绝,这将与断开网络连接前不同(在断开网络连接前,若采用的是常用的敏感文件保护方法,其可能需要权限的验证,因此响应数据应当包括权限验证相关的进程、报文等,而断开网络连接后,统一为拒绝访问)。
因此,若所述对应关系占比小于预设的占比阈值,则表明网络攻击指向敏感文件的占比较少,因此敏感文件较为安全,从而进行第二层次的攻击溯源,以减轻压力。反之,若所述对应关系占比不小于预设的占比阈值,则表明网络攻击指向敏感文件的占比较多,敏感文件较为危险,因此可采用其他方式进行保护,例如维持敏感文件的隔离等等。而第二层次的攻击溯源,具体为,调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述相似网络通信数据和所述相似响应数据进行第二攻击溯源处理,从而得到第二攻击溯源结果;其中,所述第二攻击溯源模型基于神经网络模型并利用第二训练集训练而成,所述第二训练集由训练用相似网络通信数据、训练用相似响应数据和训练用攻击来源构成。其中,神经网络模型可为任意可行模型,例如为深度学习卷积神经网络模型,BP神经网络模型,长短期记忆神经网络模型等等。或者,也可以替换为决策树模型进行第二层次的溯源分析操作。其中,由于第二层次的攻击溯源过程中,采用的数据是经过区分过的数据,即绝大部分是来自于恶意攻击方的数据,因此溯源更容易更快捷,准确性更高。
进一步地,所述计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值的步骤S9,包括:
S901、根据所述第二网络通信数据和所述第二响应数据的映射关系,建立第二映射表;
S902、根据所述第三网络通信数据和所述第三响应数据的映射关系,建立第三映射表;
S903、根据所述第二映射表和所述第三映射表,分别获取与所有的相似网络通信数据对应的所有的第二映射结果和所有的第三映射结果;
S904、将所有的相似响应数据作为第一集合,以及将所有的第二映射结果作为第二集合,以及将所有的第三映射结果作为第三集合,并对所述第一集合、所述第二集合和所述第三集合进行三者交集处理,以得到交集结果;
S905、获取所述交集结果中的元素数量,获取所述相似网络通信数据的总数量,并根据公式:对应关系占比=所述交集结果中的元素数量/所述相似网络通信数据的总数量,计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值。
从而,实现了判断所述对应关系占比是否小于预设的占比阈值。其中,第二映射表和第三映射表分别反映了断开网络连接前后的数据映射关系,而同一个网络通信数据(即其为相似网络通信数据),若其不是指向敏感文件的,那么其在断开网络连接前后的响应是相同或相似的,那么其对应的响应数据也应是相同或相似的;反之,若其是指向敏感文件的,那么其在断开网络连接前后的响应是不相似的,那么其对应的响应数据也应是不相似的,这会在第二映射表和第三映射表中反应出来,即,将所有的相似响应数据作为第一集合,以及将所有的第二映射结果作为第二集合,以及将所有的第三映射结果作为第三集合,并对所述第一集合、所述第二集合和所述第三集合进行三者交集处理,以得到交集结果,这个交集结果即为所有的不指向敏感文件的相似网络通信数据的占比。据此能够准确地计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值。
如上述步骤S11-S16所述,获取所述第二攻击溯源结果中的IP地址,并禁止所述第二攻击溯源结果中的IP地址的访问;再次对所述敏感文件集进行检测处理,以再次获取所述敏感文件集的单位时间访问次数,并判断再次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;若再次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则调用预先训练得到的第三攻击溯源模型,并采用所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行第三攻击溯源处理,从而得到第三攻击溯源结果;所述第三攻击溯源模型基于神经网络模型并采用有监督学习的方式训练得到,所述第三攻击溯源模型训练时的数据是在断开网络连接之后重新恢复网络时采集的;所述指定计算资源仅在所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行处理时使用;根据预设的反制方法,对所述第三攻击溯源结果中的攻击方进行反制处理;第三次对所述敏感文件集进行检测处理,以第三次获取所述敏感文件集的单位时间访问次数,并判断第三次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;若第三次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
其中,获取所述第二攻击溯源结果中的IP地址,并禁止所述第二攻击溯源结果中的IP地址的访问,其目的在于减轻本申请的执行主体的压力,以腾出计算资源。由前述可知,所述第二攻击溯源结果中的IP地址基本都是恶意攻击方。再次对所述敏感文件集进行检测处理,以再次获取所述敏感文件集的单位时间访问次数,并判断再次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值。以确定敏感文件此时的风险程度是否较大。若再次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则表明敏感文件仍有较大风险,因此需要进行第三层次的攻击溯源处理。其中,第三层次的攻击溯源处理是采用所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行第三攻击溯源处理来实现的。所述第三攻击溯源模型可采用任意可行模型训练而成,例如采用与第二攻击溯源模型相同的模型。另外,其具有的特点在于,所述第三攻击溯源模型训练时的数据是在断开网络连接之后重新恢复网络时采集的。以及,所述指定计算资源仅在所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行处理时使用,这能够保证第三层次的攻击溯源过程是在计算资源充沛的状态下进行的,这是因为第三层次的攻击溯源是较为全面的攻击溯源,而非是第二层次的准确型攻击溯源,因此需要较充沛的计算资源。其中,攻击溯源结果例如包括攻击方的IP地址、组织信息等数据。再根据预设的反制方法,对所述第三攻击溯源结果中的攻击方进行反制处理。此时的反制处理也可以为任意可行方式,例如采用禁止IP地址的方式,或者采用常用的反制措施。然后,第三次对所述敏感文件集进行检测处理,以第三次获取所述敏感文件集的单位时间访问次数,并判断第三次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;若第三次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。由于经过三个层次的攻击溯源及反制处理,一般而言,网络攻击会得到缓解,相应的敏感文件的单位时间访问次数也会下降,即第三次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,从而对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态,以完成对敏感文件的保护过程。
进一步地,所述再次对所述敏感文件集进行检测处理,以再次获取所述敏感文件集的单位时间访问次数,并判断再次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值的步骤S12之后,包括:
S121、若再次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
从而恢复所述敏感文件集的访问。若再次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则表明敏感文件集的风险较低,此时可以进行去隔离处理,以使所述敏感文件集处于可访问状态。
进一步地,所述第三次对所述敏感文件集进行检测处理,以第三次获取所述敏感文件集的单位时间访问次数,并判断第三次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值的步骤S15之后,包括:
S151、若第三次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则断开网络连接并维持预设的第二时间长度之后,再恢复网络连接;其中,所述第二时间长度等于所述第一时间长度的两倍;
S152、根据预设的网络通信数据采集方法,进行第四网络通信数据采集处理,以得到第四网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第四网络通信数据对应的第四响应数据;
S153、根据预设的相似数据提取方法,对所述第三网络通信数据和所述第四网络通信数据进行数据提取处理,以得到二次相似网络通信数据;
S154、根据预设的相似数据提取方法,对所述第三响应数据和所述第四响应数据进行数据提取处理,以得到二次相似响应数据;
S155、计算出所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比,并判断所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比是否小于预设的占比阈值;
S156、若所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比不小于预设的占比阈值,则调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述二次相似网络通信数据和所述二次相似响应数据进行第四攻击溯源处理,从而得到第四攻击溯源结果;
S157、获取所述第四攻击溯源结果中的IP地址,并禁止所述第四攻击溯源结果中的IP地址的访问;
S158、对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
从而实现了敏感文件的保护。若第三次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则表明敏感文件集仍处于较危险的状态。在正常状态下,敏感文件集的单位时间访问次数一般小于访问次数阈值。因此,采用断开网络连接并维持预设的第二时间长度之后,再恢复网络连接;其中,所述第二时间长度等于所述第一时间长度的两倍的方式,进行再次攻击溯源处理。根据预设的网络通信数据采集方法,进行第四网络通信数据采集处理,以得到第四网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第四网络通信数据对应的第四响应数据;根据预设的相似数据提取方法,对所述第三网络通信数据和所述第四网络通信数据进行数据提取处理,以得到二次相似网络通信数据;根据预设的相似数据提取方法,对所述第三响应数据和所述第四响应数据进行数据提取处理,以得到二次相似响应数据;计算出所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比,并判断所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比是否小于预设的占比阈值;若所述二次相似网络通信数据与所述二次相似响应数据之间的对应关系占比不小于预设的占比阈值,则调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述二次相似网络通信数据和所述二次相似响应数据进行第四攻击溯源处理,从而得到第四攻击溯源结果。此时的第四攻击溯源与第二层次的第二攻击溯源的过程是相似的,其可视为对前三个层次的攻击溯源的补充。再获取所述第四攻击溯源结果中的IP地址,并禁止所述第四攻击溯源结果中的IP地址的访问;对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。由于经过了四个层次攻击溯源及反制过程,敏感文件集应当处于较安全的状态,因此对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
本申请的基于攻击溯源的敏感文件保护方法,实现了有效的敏感文件保护。其中,结合了层次化的攻击溯源、敏感文件的隔离、计算资源的预留,实现了有效的敏感文件保护,尤其适合在过量网络攻击下的敏感文件的保护。
具体地,进行第一攻击溯源处理,以得到第一溯源结果和第一溯源时长;计算出敏感文件检测因子;若大于0,则判断单位时间访问次数是否大于访问次数阈值;若大于访问次数阈值,则得到第二网络通信数据和第二响应数据;断开网络连接,使所述敏感文件集处于无法访问状态,并预留出指定计算资源;恢复网络连接,并得到第三网络通信数据和第三响应数据;得到相似网络通信数据;得到相似响应数据;判断对应关系占比是否小于占比阈值;若小于占比阈值,则进行第二攻击溯源处理;禁止IP地址的访问;判断是否大于预设的访问次数阈值;若大于访问次数阈值,则进行第三攻击溯源处理;进行反制处理;判断单位时间访问次数是否大于访问次数阈值;若不大于访问次数阈值,则进行去隔离处理,以使所述敏感文件集处于可访问状态。从而实现了在网络攻击下的有效的敏感文件保护。
本申请实施例提供一种基于攻击溯源的敏感文件保护装置,包括:
第一攻击溯源处理单元,用于根据预设的第一网络攻击溯源方法,进行第一攻击溯源处理,以得到第一溯源结果和第一溯源时长;其中,所述第一溯源时长指完成一次第一攻击溯源处理的时长;
敏感文件检测因子计算单元,用于根据公式:敏感文件检测因子=第一溯源时长-标准溯源时长,计算出敏感文件检测因子,并判断所述敏感文件检测因子的数值是否大于0;
一次访问次数阈值判断单元,用于若所述敏感文件检测因子的数值大于0,则对预设的敏感文件集进行实时检测处理,以获取所述敏感文件集的单位时间访问次数,并判断所述单位时间访问次数是否大于预设的访问次数阈值;其中,所述敏感文件集包括多个敏感文件;
第二网络通信数据获取单元,用于若所述单位时间访问次数大于预设的访问次数阈值,则根据预设的网络通信数据采集方法,进行第二网络通信数据采集处理,以得到第二网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第二网络通信数据对应的第二响应数据;
敏感文件集隔离单元,用于断开网络连接,并对所述敏感文件集的存储空间进行隔离处理,以使所述敏感文件集处于无法访问状态,并进行计算资源调整处理,以预留出预设比例的指定计算资源;
第三网络通信数据获取单元,用于在预设的第一时间长度之后,恢复网络连接,并根据预设的网络通信数据采集方法,进行第三网络通信数据采集处理,以得到第三网络通信数据,并根据网络通信数据与响应数据的对应关系,获取与所述第三网络通信数据对应的第三响应数据;
相似网络通信数据获取单元,用于根据预设的相似数据提取方法,对所述第二网络通信数据和所述第三网络通信数据进行数据提取处理,以得到相似网络通信数据;
相似响应数据获取单元,用于根据预设的相似数据提取方法,对所述第二响应数据和所述第三响应数据进行数据提取处理,以得到相似响应数据;
占比阈值判断单元,用于计算出所述相似网络通信数据与所述相似响应数据之间的对应关系占比,并判断所述对应关系占比是否小于预设的占比阈值;
第二攻击溯源处理单元,用于若所述对应关系占比小于预设的占比阈值,则调用预先训练得到的第二攻击溯源模型,并采用所述第二攻击溯源模型对所述相似网络通信数据和所述相似响应数据进行第二攻击溯源处理,从而得到第二攻击溯源结果;其中,所述第二攻击溯源模型基于神经网络模型并利用第二训练集训练而成,所述第二训练集由训练用相似网络通信数据、训练用相似响应数据和训练用攻击来源构成;
禁止访问单元,用于获取所述第二攻击溯源结果中的IP地址,并禁止所述第二攻击溯源结果中的IP地址的访问;
二次访问次数阈值判断单元,用于再次对所述敏感文件集进行检测处理,以再次获取所述敏感文件集的单位时间访问次数,并判断再次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;
第三攻击溯源处理单元,用于若再次获取的所述敏感文件集的单位时间访问次数大于预设的访问次数阈值,则调用预先训练得到的第三攻击溯源模型,并采用所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行第三攻击溯源处理,从而得到第三攻击溯源结果;所述第三攻击溯源模型基于神经网络模型并采用有监督学习的方式训练得到,所述第三攻击溯源模型训练时的数据是在断开网络连接之后重新恢复网络时采集的;所述指定计算资源仅在所述第三攻击溯源模型对所述第三网络通信数据和所述第三响应数据进行处理时使用;
反制处理单元,用于根据预设的反制方法,对所述第三攻击溯源结果中的攻击方进行反制处理;
三次访问次数阈值判断单元,用于S15、第三次对所述敏感文件集进行检测处理,以第三次获取所述敏感文件集的单位时间访问次数,并判断第三次获取的所述敏感文件集的单位时间访问次数是否大于预设的访问次数阈值;
去隔离处理单元,用于若第三次获取的所述敏感文件集的单位时间访问次数不大于预设的访问次数阈值,则对所述敏感文件集的存储空间进行去隔离处理,以使所述敏感文件集处于可访问状态。
其中上述单元分别用于执行的操作与前述实施方式的基于攻击溯源的敏感文件保护方法的步骤一一对应,在此不再赘述。
本申请的基于攻击溯源的敏感文件保护装置,实现了有效的敏感文件保护。其中,结合了层次化的攻击溯源、敏感文件的隔离、计算资源的预留,实现了有效的敏感文件保护,尤其适合在过量网络攻击下的敏感文件的保护。
具体地,进行第一攻击溯源处理,以得到第一溯源结果和第一溯源时长;计算出敏感文件检测因子;若大于0,则判断单位时间访问次数是否大于访问次数阈值;若大于访问次数阈值,则得到第二网络通信数据和第二响应数据;断开网络连接,使所述敏感文件集处于无法访问状态,并预留出指定计算资源;恢复网络连接,并得到第三网络通信数据和第三响应数据;得到相似网络通信数据;得到相似响应数据;判断对应关系占比是否小于占比阈值;若小于占比阈值,则进行第二攻击溯源处理;禁止IP地址的访问;判断是否大于预设的访问次数阈值;若大于访问次数阈值,则进行第三攻击溯源处理;进行反制处理;判断单位时间访问次数是否大于访问次数阈值;若不大于访问次数阈值,则进行去隔离处理,以使所述敏感文件集处于可访问状态。从而实现了在网络攻击下的有效的敏感文件保护。
本申请实施例提供一种基于攻击溯源的敏感文件保护系统,包括计算机终端,所述计算机终端用于执行前述任一项所述方法的步骤。
本申请的基于攻击溯源的敏感文件保护系统,实现了有效的敏感文件保护。其中,结合了层次化的攻击溯源、敏感文件的隔离、计算资源的预留,实现了有效的敏感文件保护,尤其适合在过量网络攻击下的敏感文件的保护。
参照图3,本发明实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储基于攻击溯源的敏感文件保护方法所用数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于攻击溯源的敏感文件保护方法。
上述处理器执行上述基于攻击溯源的敏感文件保护方法,其中所述方法包括的步骤分别与执行前述实施方式的基于攻击溯源的敏感文件保护方法的步骤一一对应,在此不再赘述。
本领域技术人员可以理解,图中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定。
本申请的计算机设备,实现了有效的敏感文件保护。其中,结合了层次化的攻击溯源、敏感文件的隔离、计算资源的预留,实现了有效的敏感文件保护,尤其适合在过量网络攻击下的敏感文件的保护。
本申请一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现基于攻击溯源的敏感文件保护方法,其中所述方法包括的步骤分别与执行前述实施方式的基于攻击溯源的敏感文件保护方法的步骤一一对应,在此不再赘述。
本申请的计算机可读存储介质,实现了有效的敏感文件保护。其中,结合了层次化的攻击溯源、敏感文件的隔离、计算资源的预留,实现了有效的敏感文件保护,尤其适合在过量网络攻击下的敏感文件的保护。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序或指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。