CN113810351A - 网络攻击的攻击者确定方法及装置和计算机可读存储介质 - Google Patents

网络攻击的攻击者确定方法及装置和计算机可读存储介质 Download PDF

Info

Publication number
CN113810351A
CN113810351A CN202010556948.0A CN202010556948A CN113810351A CN 113810351 A CN113810351 A CN 113810351A CN 202010556948 A CN202010556948 A CN 202010556948A CN 113810351 A CN113810351 A CN 113810351A
Authority
CN
China
Prior art keywords
attack
information
attacker
attacked
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010556948.0A
Other languages
English (en)
Inventor
刘伯仲
王远
罗炼意
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202010556948.0A priority Critical patent/CN113810351A/zh
Publication of CN113810351A publication Critical patent/CN113810351A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络攻击的攻击者确定方法,所述网络攻击的攻击者确定方法包括以下步骤:获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量,并对各个所述特征向量进行聚类以得到第二集合,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。本发明还公开一种网络攻击的攻击者确定装置和计算机可读存储介质。本发明简化了设备的防护操作。

Description

网络攻击的攻击者确定方法及装置和计算机可读存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击的攻击者确定方法及装置和计算机可读存储介质。
背景技术
随着互联网+和信息化的发展,网络攻击越来越普遍,造成的威胁也来越严重。企业为了减少损失,也开始重视和大量投入安全建设。企业根据不同需求购买多种不同功能的安全软件,例如防火墙、上网行为管理、终端安全、数据库安全等等。
一些安全软件如SIEM(Security Information and Event Management,安全信息和事件管理),通过统一收集和管理日志,一定程度上起到告警消减的作用。然而,由于这些软件都是本地化部署,只能检测到对设备进行攻击的源IP。但攻击者可能是采用多个IP地址对设备进行攻击,安全软件无法检测出属于同一个攻击者所采用多个IP地址对设备进行攻击的行为,使得设备需要定制具有攻击行为的不同IP地址定制对应的防护措施,导致设备的防护操作繁琐。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种网络攻击的攻击者确定方法及装置和计算机可读存储介质,旨在解决设备的防护操作繁琐的问题。
为实现上述目的,本发明提供一种网络攻击的攻击者确定方法,所述网络攻击的攻击者确定方法包括以下步骤:
获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;
根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量,并对各个所述特征向量进行聚类以得到第二集合,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;
根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。
在一实施例中,所述根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量的步骤包括:
根据所述第一集合中的各个被攻击信息,确定所述第一集合对应的源地址对所述设备进行攻击的各个第一目标攻击参数;
根据各个所述第一目标攻击参数构建所述第一集合对应的特征向量。
在一实施例中,所述根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量的步骤包括:
根据所述第一集合中的各个被攻击信息确定所述第一集合对应的源地址对所述设备进行攻击的第一攻击参数,并根据所述设备对应的各个被攻击信息确定第二攻击参数;
根据所述第一攻击参数以及所述第二攻击参数,在各个所述第一集合中确定对所述设备进行针对性攻击的目标集合;
根据所述目标集合中各个被攻击信息,确定所述目标集合对应的源地址对所述设备进行针对性攻击的各个第二目标攻击参数;
根据各个所述第二目标攻击参数构建所述目标集合对应的特征向量。
在一实施例中,所述对各个所述特征向量进行聚类以得到第二集合的步骤包括:
对各个所述特征向量进行处理,所述处理包括归一化处理以及特征向量的权重赋予处理;
对处理后的各个所述特征向量进行聚类以得到第二集合。
在一实施例中,所述将所述攻击特征信息发送至所述设备的步骤包括:
在所述攻击特征信息中获取各个攻击特征参数;
根据各个所述攻击特征参数生成攻击者图像;
将所述攻击者图像发送至所述设备。
在一实施例中,所述获取设备对应的被攻击信息的步骤包括:
从云端获取所述设备中运行的安全软件的安全信息,其中,所述安全软件在检测到所述设备被攻击时生成安全信息,并将所述安全信息发送至所述云端;
在各个所述安全信息中进行攻击特征的提取,以得到所述设备对应的被攻击信息。
在一实施例中,所述对各个所述特征向量进行聚类以得到第二集合的步骤之后,还包括:
根据所述第二集合中的各个特征向量对应的源地址生成提示信息,并向所述设备输出所述提示信息。
为实现上述目的,本发明还提供一种网络攻击的攻击者确定装置,所述网络攻击的攻击者确定装置包括:
获取模块,用于获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;
构建模块,用于根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量,并对各个所述特征向量进行聚类以得到第二集合,,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;
确定模块,用于根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。
为实现上述目的,本发明还提供一种网络攻击的攻击者确定装置,所述网络攻击的攻击者确定装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的网络攻击的攻击者确定程序,所述网络攻击的攻击者确定程序被所述处理器执行时实现如上所述网络攻击的攻击者确定方法的各个步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有网络攻击的攻击者确定程序,所述网络攻击的攻击者确定程序被所述处理器执行时实现如上所述的网络攻击的攻击者确定方法的各个步骤。
本发明实施例提出的网络攻击的攻击者确定方法及装置和计算机可读存储介质,网络攻击的攻击者确定装置获取设备对应的被攻击信息,并对各个被攻击信息进行聚合得到多个第一集合,装置再根据第一集合中的各个被攻击信息确定第一集合对应的攻击参数,并根据攻击参数构建特征向量,装置对各个特征向量进行聚类得到第二集合,从而根据第二集合中的每个特征向量对应的被攻击信息确定第二集合对应的攻击者的攻击特征信息,再将攻击特征信息发送至设备。由于装置可以根据设备产生的被攻击信息确定属于同一个攻击者的源地址,从而根据同一个攻击者的各个源地址的被攻击信息确定攻击者的攻击特征信息,使得设备能够根据攻击特征信息生成该攻击者对应的防护措施,无需为每个源地址配置对应的防护措施,简化了设备的防护操作。
附图说明
图1是本发明实施例方案涉及的网络攻击的攻击者确定装置的硬件结构示意图;
图2为本发明网络攻击的攻击者确定方法第一实施例的流程示意图;
图3为本发明网络攻击的攻击者确定方法第二实施例中步骤S20的细化流程示意图;
图4为本发明网络攻击的攻击者确定方法第三实施例中步骤S20的细化流程示意图;
图5为本发明网络攻击的攻击者确定方法第四实施例中步骤S30的细化流程示意图;
图6为本发明网络攻击的攻击者确定方法第二实施例中步骤S40的细化流程示意图
图7为本发明网络攻击的攻击者确定装置的功能模块示意图。
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量,并对各个所述特征向量进行聚类以得到第二集合,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。
本发明提供一种解决方案,由于装置可以根据设备产生的被攻击信息确定属于同一个攻击者的源地址,从而根据同一个攻击者的各个源地址的被攻击信息确定攻击者的攻击特征信息,使得设备能够根据攻击特征信息生成该攻击者对应的防护措施,无需为每个源地址配置对应的防护措施,简化了设备的防护操作。
作为一种实现方式,网络攻击的攻击者确定装置可如图1所示。
参照图1,图1为本发明实施例方案涉及的是网络攻击的攻击者确定装置,网络攻击的攻击者确定装置可以包括:处理器1001,例如CPU,存储器1002,通信总线1003。其中,通信总线1003用于实现这些组件之间的连接通信。存储器1003可以是高速RAM存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器。
存储器1002可选的还可以是独立于前述处理器1001的存储装置。作为一种计算机存储介质的存储器1002中可以包括网络攻击的攻击者确定程序。处理器1001可以用于调用存储器1002中存储的网络攻击的攻击者确定程序,并执行以下操作:
获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;
根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量,并对各个所述特征向量进行聚类以得到第二集合,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;
根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。
在一实施例中,处理器1001可以调用存储器1005中存储的网络攻击的攻击者确定程序,还执行以下操作:
根据所述第一集合中的各个被攻击信息,确定所述第一集合对应的源地址对所述设备进行攻击的各个第一目标攻击参数;
根据各个所述第一目标攻击参数构建所述第一集合对应的特征向量。
在一实施例中,处理器1001可以调用存储器1005中存储的网络攻击的攻击者确定程序,还执行以下操作:
根据所述第一集合中的各个被攻击信息确定所述第一集合对应的源地址对所述设备进行攻击的第一攻击参数,并根据所述设备对应的各个被攻击信息确定第二攻击参数;
根据所述第一攻击参数以及所述第二攻击参数,在各个所述第一集合中确定对所述设备进行针对性攻击的目标集合;
根据所述目标集合中各个被攻击信息,确定所述目标集合对应的源地址对所述设备进行针对性攻击的各个第二目标攻击参数;
根据各个所述第二目标攻击参数构建所述目标集合对应的特征向量。
在一实施例中,处理器1001可以调用存储器1005中存储的网络攻击的攻击者确定程序,还执行以下操作:
对各个所述特征向量进行处理,所述处理包括归一化处理以及特征向量的权重赋予处理;
对处理后的各个所述特征向量进行聚类以得到第二集合。
在一实施例中,处理器1001可以调用存储器1005中存储的网络攻击的攻击者确定程序,还执行以下操作:
在所述攻击特征信息中获取各个攻击特征参数;
根据各个所述攻击特征参数生成攻击者图像;
将所述攻击者图像发送至所述设备。
在一实施例中,处理器1001可以调用存储器1005中存储的网络攻击的攻击者确定程序,还执行以下操作:
从云端获取所述设备中运行的安全软件的安全信息,其中,所述安全软件在检测到所述设备被攻击时生成安全信息,并将所述安全信息发送至所述云端;
在各个所述安全信息中进行攻击特征的提取,以得到所述设备对应的被攻击信息。
在一实施例中,处理器1001可以调用存储器1005中存储的网络攻击的攻击者确定程序,还执行以下操作:
根据所述第二集合中的各个特征向量对应的源地址生成提示信息,并向所述设备输出所述提示信息。
本实施例根据上述方案,网络攻击的攻击者确定装置获取设备对应的被攻击信息,并对各个被攻击信息进行聚合得到多个第一集合,装置再根据第一集合中的各个被攻击信息确定第一集合对应的攻击参数,并根据攻击参数构建特征向量,装置对各个特征向量进行聚类得到第二集合,从而根据第二集合中的每个特征向量对应的被攻击信息确定第二集合对应的攻击者的攻击特征信息,再将攻击特征信息发送至设备。由于装置可以根据设备产生的被攻击信息确定属于同一个攻击者的源地址,从而根据同一个攻击者的各个源地址的被攻击信息确定攻击者的攻击特征信息,使得设备能够根据攻击特征信息生成该攻击者对应的防护措施,无需为每个源地址配置对应的防护措施,简化了设备的防护操作。
基于上述网络攻击的攻击者确定装置的硬件构架,提出本发明网络攻击的攻击者确定方法的各个实施例
参照图2,图2为本发明网络攻击的攻击者确定方法第一实施例,所述网络攻击的攻击者确定方法包括:
步骤S10,获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;
在本实施例中,执行主体为网络攻击的攻击者确定装置,为了便于描述,以下采用装置指代网络攻击的攻击者确定装置。装置与云端通信连接,或者即为云端。设备设有多个安全软件,安全软件可为防火墙、上网行为管理、终端安全、数据库安全等应用程序。设备可在云端上进行注册,使得设备中的安全软件能够将安全信息上传至云端,且将各个安全信息归为设备所对应的安全信息。具体的,安全软件在检测到设备受到攻击时,生成安全信息,并将安全信息发送至云端。云端接收安全信息,并确定发送安全信息的安全软件所在的设备,将安全信息与该设备进行关联存储。当然,安全信息还包括设备的操作系统产生的关键安全事件的日志数据,日志数据记录了检测到攻击发生的时间、事件的类型和事件关联的行为主体,且部分日志还包含有告警的风险等级。
装置可以定时监测对设备进行网络攻击的攻击者的确定,也可基于设备发送的请求进行网络攻击的攻击者的确定。此时,装置获取设备对应的被攻击信息,被攻击信息为多个。需要说明的是,装置先从云端中获取设备所对应的安全信息,安全信息可以为最近时间周期内的安全信息,例如,最近一周。装置先对安全信息进行数据解析,使得安全信息解析为可读性更高的信息。数据解析是指将数据从存储系统中的格式转换为可读性更高的格式。例如防火墙产生的日志在存储系统中的原始格式可能是由信息和分隔符拼接成的字符串,在这一步中将被分割成各个字段,并将一些进行了转换的字段进行还原(例如整数型的ip地址)。装置再对安全信息进行清洗,也即先对安全信息中不满足要求的数据进行过滤,去掉冗余数据或者错误的数据,仅仅保留有效的数据。被清洗的数据一般包括以下几种形式:1)解析格式不正确的日志记录,如字日志长度不符合要求;2)解析内容不正确的日志,如IP地址,端口号等不是正常的信息;3)解析信息不满足检测逻辑的需求,比如解析结果显示日志为内网主机之间的通信行为。
在对安全信息进行清洗后,在对清洗后的安全信息进行特征提取,特征指的是网络攻击的特征,从而得到含有特征数据的被攻击信息。特征数据可为防火墙数据终端源IP、目的IP、告警类型以及告警产生的时间等信息。
装置在获得设备的被攻击信息后,对各个被攻击信息进行聚合,得到多个第一集合,第一集合内的各个被攻击信息所对应的源地址相同。可以理解的是,装置将源地址相同的被攻击信息放置于一个集合中,以得到第一集合。
步骤S20,根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量;
装置在得到各个第一集合后,根据第一集合中的各个被攻击信息构建特征向量。具体的,装置对第一集合中的各个被攻击信息中提取描述攻击者的攻击行为的特征,并将特征进行量化,再将量化的数字依次放入预先构建的特征向量,从而构建成第一集合对应的特征向量。可以理解的是,每一个第一集合对应一个特征向量,且每一个特征向量对应一个源地址。
步骤S30,对各个所述特征向量进行聚类以得到第二集合,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;
装置在确定各个特征向量后,对各个特征向量进行聚类得到第二集合。具体的,装置可采用DBSCAN等常用聚类算法对各个特征向量进行聚类,从而得到第二集合。第二集合中的各个特征向量对应的源地址属于同一攻击者。
此外,装置会对第二集合中各个特征向量进行确认,也即确定第二集合中各个特征向量对应的源地址是否为相同的攻击者。具体的,装置根据特征向量对应的被攻击信息确定第一集合对应的源地址对设备的攻击行为信息,攻击行为信息包括攻击类型、次数,攻击时间分布,攻击时长,源IP列表,目的IP列表,装置再根据第二集合中各个特征向量对应的攻击行为信息判断是否各个特征向量是否相似,从而将不相似的特征向量在第二集合中进行剔除。相似可以从攻击手法上的相似程度,攻击者在攻击时间上的相似程度,源IP在同一网段的占比等进行确定。
步骤S40,根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。
装置在确定第二集合后,根据第二集合中的每个特征向量对应的被攻击信息确定第二集合所对应的攻击者的攻击特征信息。攻击特征信息可以是攻击者对设备进行攻击所采用的源地址、对设备的攻击次数、对设备攻击的时间段以及对设备攻击的频率等。装置再将攻击特征信息发送至设备,使得设备根据攻击特征信息生成对应的防护措施。
此外,装置在确定第二集合后,可根据第二集合中的每个特征向量所对应的源地址生成提示信息,并将提示信息发送至设备。提示信息可以为攻击者采用源地址A、源地址B、源地址C进行网络攻击,建议将源地址A、B和C隔离。
在本实施例提供的技术方案中,网络攻击的攻击者确定装置获取设备对应的被攻击信息,并对各个被攻击信息进行聚合得到多个第一集合,装置再根据第一集合中的各个被攻击信息确定第一集合对应的攻击参数,并根据攻击参数构建特征向量,装置对各个特征向量进行聚类得到第二集合,从而根据第二集合中的每个特征向量对应的被攻击信息确定第二集合对应的攻击者的攻击特征信息,再将攻击特征信息发送至设备。由于装置可以根据设备产生的被攻击信息确定属于同一个攻击者的源地址,从而根据同一个攻击者的各个源地址的被攻击信息确定攻击者的攻击特征信息,使得设备能够根据攻击特征信息生成该攻击者对应的防护措施,无需为每个源地址配置对应的防护措施,简化了设备的防护操作。
参照图3,图3为本发明网络攻击的攻击者确定方法的第二实施例,基于第一实施例,所述步骤S20包括:
步骤S21,根据所述第一集合中的各个被攻击信息,确定所述第一集合对应的源地址对所述设备进行攻击的各个第一目标攻击参数;
步骤S22,根据各个所述第一目标攻击参数构建所述第一集合对应的特征向量。
在本实施例中,装置根据第一集合中的各个被攻击信息确定第一集合对应的源地址对设备进行攻击的各个第一目标攻击参数。例如,第一目标攻击参数包括每种攻击类型的攻击次数,源地址在每个时段对设备的攻击次数以及源地址在每个时段对设备的攻击频率。装置根据各个第一目标攻击参数构建成矩阵,从而根据构建的矩阵得到特征向量。
在本实施例提供的技术方案中,装置根据第一集合中各个被攻击信息确定第一集合对应的源地址对设备进行攻击的各个第一目标攻击参数,从而根据各个第一目标攻击参数构建第一集合对应的特征向量,进而使得装置根据特征向量准确的确定对设备进行攻击的攻击者。
参照图4,图4为为本发明网络攻击的攻击者确定方法的第三实施例,基于第一实施例,所述步骤S20包括:
步骤S23,根据所述第一集合中的各个被攻击信息确定所述第一集合对应的源地址对所述设备进行攻击的第一攻击参数,并根据所述设备对应的各个被攻击信息确定第二攻击参数;
步骤S24,根据所述第一攻击参数以及所述第二攻击参数,在各个所述第一集合中确定对所述设备进行针对性攻击的目标集合;
步骤S25,根据所述目标集合中各个被攻击信息,确定所述目标集合对应的源地址对所述设备进行针对性攻击的各个第二目标攻击参数;
步骤S26,根据各个所述第二目标攻击参数构建所述目标集合对应的特征向量。
攻击者会对设备发起针对性攻击。在本实施例中,装置确定对设备发起针对性攻击的源地址,也即确定所述设备进行针对性攻击的目标集合。
具体的,装置获取第一集合中被攻击信息对应的第一攻击参数,从而判断第一攻击参数是否满足检测规则,若第一攻击参数满足检测规则,即可判定第一攻击参数对应的第一集合的源地址对设备进行了针对性攻击。第一攻击参数包括第一集合对应的源地址对设备进行攻击的攻击次数或者第一集合对应的源地址对设备进行攻击的累计攻击时长。
第二攻击参数包括设备受到攻击的攻击总次数或者设备受到攻击的累计攻击总时长。装置在获得第一攻击参数,在获取第二攻击参数,再计算第一攻击参数与第二攻击参数之间的比值。需要说明的是,第一攻击参数与第二攻击参数所对应的时间窗口是相同。例如,第一攻击参数为攻击次数,第二攻击次数为攻击总次数,攻击次数由位于目标时间窗口中的第一集合内的被攻击信息确定,且攻击总次数由位于目标时间窗口中的设备的被攻击信息确定。
装置在确定比值后,判断比值是否大于预设比值,若比值大于预设比值,就可判定比值所对应的第一攻击参数的第一集合的源地址为目标源地址,也即目标源地址对设备进行了针对性攻击。第一攻击参数包括攻击次数或累计攻击时长,比值则为攻击次数与攻击总次数之间的比值,或者累计攻击时长与累计攻击总时长之间的比值,两个比值所对应的预设比值不同。装置根据具体的比值确定对应的预设比值,以进行目标源地址的判断。
此外,装置还可根据第一攻击参数与预设参数进行比对,以确定目标源地址。在第一攻击参数为攻击次数时,预设参数为预设攻击次数;在第一攻击参数为攻击累计时长时,预设参数为预设攻击时长。
装置将第一攻击参数与预设参数进行比对,若是第一攻击参数大于或等于预设参数,则第一攻击参数对应的第一集合的源地址即为对设备进行针对性攻击的目标源地址。例如,第一攻击次数为50次,预设攻击次数为30次,此时,即可判断第一攻击参数所对应的第一集合的源地址为目标源地址。
目标源地址对应的第一集合即为目标集合。装置根据目标集合中的各个被攻击信息确定目标源地址的第二目标攻击参数,再根据各个第二目标攻击参数构建目标结合对应的特征向量。第二目标攻击参数的确定可参照第一目标攻击参数的确定流程,且根据第二目标攻击参数构建特征向量的流程参数参照第一目标攻击参数构建特征向量的构建流程,在此不再进行赘述。
在本实施例中,装置在各个第一集合中确定对设备发起针对性攻击的目标集合,从而构建目标集合对应的特征向量,进而准确的确定采用对应源地址对设备发起针对性攻击的攻击者。
参照图5,图5为本发明网络攻击的攻击者确定方法的第四实施例,基于第一至第三实施例中任一实施例,所述步骤S30包括:
步骤S31,对各个所述特征向量进行处理,所述处理包括归一化处理以及特征向量的权重赋予处理;
步骤S32,对处理后的各个所述特征向量进行聚类以得到第二集合。
在本实施例中,装置在确定各个特征向量后,对各个特征向量进行处理,从而提高特征向量的聚类效果。具体的,处理包括归一化处理以及特征向量的权重赋予处理。装置在对处理后的各个特征向量进行聚类得到第二集合。
在本实施例提供的技术方案中,装置在确定各个特征向量后,对各个特征向量进行处理,从而提高特征向量的聚类效果,进而准确的确定对设备发起的网络攻击的攻击者。
参照图6,图6为本发明网络攻击的攻击者确定方法的第五实施例,基于第一至第四中任一实施例,所述步骤S40包括:
步骤S41,根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息;
步骤S42,在所述攻击特征信息中获取各个攻击特征参数;
步骤S43,根据各个所述攻击特征参数生成攻击者图像;
步骤S44,将所述攻击者图像发送至所述设备。
在本实施例中,装置会根据攻击特征信息生成攻击者图像。攻击者图像即为攻击者对设备进行网络攻击的参数所绘画的统计图。例如,攻击者图像中包括有攻击者对设备进行攻击所采用的攻击类型、攻击频率、攻击次数等。
装置在获取攻击者的攻击特征信息后,从攻击特征信息中提取各个攻击特征参数,攻击特征参数即为攻击类型、攻击次数、攻击类型、所采用的源地址等。装置将攻击特征参数进行量化,从而根据量化的数字绘制成攻击者图像,并将攻击者图像发送至设备,使得设备根据攻击者图像直观的了解攻击者对设备的攻击行为。
在本实施例提供的技术方案中,装置在得到第二集合对应的攻击者特征信息后,从攻击特征信息中提取各个攻击特征参数,从而根据各个攻击特征参数绘制攻击者图像,并将攻击者图像发送至设备,使得设备能够根据攻击者图像直观的得知攻击者的攻击行为。
本发明还提供一种网络攻击的攻击者确定装置。
参照图7,图7为本发明网络攻击的攻击者确定装置的功能模块示意图,所述网络攻击的攻击者确定装置100包括:
获取模块110,用于获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;
构建模块120,用于根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量,并对各个所述特征向量进行聚类以得到第二集合,,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;
确定模块130,用于根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。
网络攻击的攻击者确定装置100还用于实现网络攻击的攻击者确定方法的各个实施例,具体参照上述实施例,在此不再进行赘述。
本实施例提供的技术方案中,网络攻击的攻击者确定装置的获取模块获取设备对应的被攻击信息,并对各个被攻击信息进行聚合得到多个第一集合,装置的构建模块再根据第一集合中的各个被攻击信息确定第一集合对应的攻击参数,并根据攻击参数构建特征向量,对各个特征向量进行聚类得到第二集合,从而使得装置中的确定模块根据第二集合中的每个特征向量对应的被攻击信息确定第二集合对应的攻击者的攻击特征信息,再将攻击特征信息发送至设备。由于装置可以根据设备产生的被攻击信息确定属于同一个攻击者的源地址,从而根据同一个攻击者的各个源地址的被攻击信息确定攻击者的攻击特征信息,使得设备能够根据攻击特征信息生成该攻击者对应的防护措施,无需为每个源地址配置对应的防护措施,简化了设备的防护操作。
本发明还提供一种网络攻击的攻击者确定装置,所述网络攻击的攻击者确定装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的网络攻击的攻击者确定程序,所述网络攻击的攻击者确定程序被所述处理器执行时实现如上实施例所述网络攻击的攻击者确定方法的各个步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有网络攻击的攻击者确定程序,所述网络攻击的攻击者确定程序被所述处理器执行时实现如上实施例所述的网络攻击的攻击者确定方法的各个步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种网络攻击的攻击者确定方法,其特征在于,所述网络攻击的攻击者确定方法包括以下步骤:
获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;
根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量,并对各个所述特征向量进行聚类以得到第二集合,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;
根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。
2.如权利要求1所述的网络攻击的攻击者确定方法,其特征在于,所述根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量的步骤包括:
根据所述第一集合中的各个被攻击信息,确定所述第一集合对应的源地址对所述设备进行攻击的各个第一目标攻击参数;
根据各个所述第一目标攻击参数构建所述第一集合对应的特征向量。
3.如权利要求1所述的网络攻击的攻击者确定方法,其特征在于,所述根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量的步骤包括:
根据所述第一集合中的各个被攻击信息确定所述第一集合对应的源地址对所述设备进行攻击的第一攻击参数,并根据所述设备对应的各个被攻击信息确定第二攻击参数;
根据所述第一攻击参数以及所述第二攻击参数,在各个所述第一集合中确定对所述设备进行针对性攻击的目标集合;
根据所述目标集合中各个被攻击信息,确定所述目标集合对应的源地址对所述设备进行针对性攻击的各个第二目标攻击参数;
根据各个所述第二目标攻击参数构建所述目标集合对应的特征向量。
4.如权利要求1所述的网络攻击的攻击者确定方法,其特征在于,所述对各个所述特征向量进行聚类以得到第二集合的步骤包括:
对各个所述特征向量进行处理,所述处理包括归一化处理以及特征向量的权重赋予处理;
对处理后的各个所述特征向量进行聚类以得到第二集合。
5.如权利要求1所述的网络攻击的攻击者确定方法,其特征在于,所述将所述攻击特征信息发送至所述设备的步骤包括:
在所述攻击特征信息中获取各个攻击特征参数;
根据各个所述攻击特征参数生成攻击者图像;
将所述攻击者图像发送至所述设备。
6.如权利要求1-5任一项所述的网络攻击的攻击者确定方法,其特征在于,所述获取设备对应的被攻击信息的步骤包括:
从云端获取所述设备中运行的安全软件的安全信息,其中,所述安全软件在检测到所述设备被攻击时生成安全信息,并将所述安全信息发送至所述云端;
在各个所述安全信息中进行攻击特征的提取,以得到所述设备对应的被攻击信息。
7.如权利要求1-5任一项所述的网络攻击的攻击者确定方法,其特征在于,所述对各个所述特征向量进行聚类以得到第二集合的步骤之后,还包括:
根据所述第二集合中的各个特征向量对应的源地址生成提示信息,并向所述设备输出所述提示信息。
8.一种网络攻击的攻击者确定装置,其特征在于,所述网络攻击的攻击者确定装置包括:
获取模块,用于获取设备对应的被攻击信息,并对各个所述被攻击信息进行聚合得到多个第一集合,其中,所述第一集合中的各个被攻击信息对应的源地址相同;
构建模块,用于根据所述第一集合中的各个被攻击信息构建所述第一集合对应的特征向量,并对各个所述特征向量进行聚类以得到第二集合,,所述第二集合中的各个特征向量对应的源地址属于同一攻击者;
确定模块,用于根据所述第二集合中每个特征向量对应的被攻击信息确定所述第二集合对应的攻击者的攻击特征信息,并将所述攻击特征信息发送至所述设备。
9.一种网络攻击的攻击者确定装置,其特征在于,所述网络攻击的攻击者确定装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的网络攻击的攻击者确定程序,所述网络攻击的攻击者确定程序被所述处理器执行时实现如权利要求1-7任一项所述网络攻击的攻击者确定方法的各个步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有网络攻击的攻击者确定程序,所述网络攻击的攻击者确定程序被所述处理器执行时实现如权利要求1-7任一项所述的网络攻击的攻击者确定方法的各个步骤。
CN202010556948.0A 2020-06-16 2020-06-16 网络攻击的攻击者确定方法及装置和计算机可读存储介质 Pending CN113810351A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010556948.0A CN113810351A (zh) 2020-06-16 2020-06-16 网络攻击的攻击者确定方法及装置和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010556948.0A CN113810351A (zh) 2020-06-16 2020-06-16 网络攻击的攻击者确定方法及装置和计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN113810351A true CN113810351A (zh) 2021-12-17

Family

ID=78943318

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010556948.0A Pending CN113810351A (zh) 2020-06-16 2020-06-16 网络攻击的攻击者确定方法及装置和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113810351A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116599778A (zh) * 2023-07-18 2023-08-15 山东溯源安全科技有限公司 用于确定恶意设备的数据处理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106375331A (zh) * 2016-09-23 2017-02-01 北京网康科技有限公司 一种攻击组织的挖掘方法及装置
CN108900514A (zh) * 2018-07-04 2018-11-27 杭州安恒信息技术股份有限公司 基于同源分析的攻击信息追踪溯源方法及装置
CN109495423A (zh) * 2017-09-11 2019-03-19 网宿科技股份有限公司 一种防止网络攻击的方法及系统
US20190098027A1 (en) * 2016-12-14 2019-03-28 Ping An Technology(Shenzhen) Co., Ltd. Joint defence method and apparatus for network security, and server and storage medium
CN110809010A (zh) * 2020-01-08 2020-02-18 浙江乾冠信息安全研究院有限公司 威胁信息处理方法、装置、电子设备及介质
US10645100B1 (en) * 2016-11-21 2020-05-05 Alert Logic, Inc. Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106375331A (zh) * 2016-09-23 2017-02-01 北京网康科技有限公司 一种攻击组织的挖掘方法及装置
US10645100B1 (en) * 2016-11-21 2020-05-05 Alert Logic, Inc. Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning
US20190098027A1 (en) * 2016-12-14 2019-03-28 Ping An Technology(Shenzhen) Co., Ltd. Joint defence method and apparatus for network security, and server and storage medium
CN109495423A (zh) * 2017-09-11 2019-03-19 网宿科技股份有限公司 一种防止网络攻击的方法及系统
CN108900514A (zh) * 2018-07-04 2018-11-27 杭州安恒信息技术股份有限公司 基于同源分析的攻击信息追踪溯源方法及装置
CN110809010A (zh) * 2020-01-08 2020-02-18 浙江乾冠信息安全研究院有限公司 威胁信息处理方法、装置、电子设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116599778A (zh) * 2023-07-18 2023-08-15 山东溯源安全科技有限公司 用于确定恶意设备的数据处理方法
CN116599778B (zh) * 2023-07-18 2023-09-26 山东溯源安全科技有限公司 用于确定恶意设备的数据处理方法

Similar Documents

Publication Publication Date Title
CN108763031B (zh) 一种基于日志的威胁情报检测方法及装置
JP6599946B2 (ja) 時系列グラフ分析による悪意ある脅威の検出
US20210392152A1 (en) Intrusion detection using robust singular value decomposition
CN110099059B (zh) 一种域名识别方法、装置及存储介质
US8407798B1 (en) Method for simulation aided security event management
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN111756720B (zh) 针对性攻击检测方法及其装置和计算机可读存储介质
CN105009132A (zh) 基于置信因子的事件关联
US11477245B2 (en) Advanced detection of identity-based attacks to assure identity fidelity in information technology environments
US12081569B2 (en) Graph-based analysis of security incidents
CN110855649A (zh) 一种检测服务器中异常进程的方法与装置
US20200076852A1 (en) Monitoring event streams in parallel through data slicing
CN106790189B (zh) 一种基于响应报文的入侵检测方法和装置
CN114357447A (zh) 攻击者威胁评分方法及相关装置
CN114785567B (zh) 一种流量识别方法、装置、设备及介质
US11372971B2 (en) Threat control
KR20150091713A (ko) 공격특성 dna 분석 장치 및 그 방법
CN113778806A (zh) 一种安全告警事件的处理方法、装置、设备和存储介质
CN113810351A (zh) 网络攻击的攻击者确定方法及装置和计算机可读存储介质
CN107800706A (zh) 一种基于高斯分布模型的网络攻击动态监测方法
WO2020246011A1 (ja) ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体
CN111800409B (zh) 接口攻击检测方法及装置
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
CN113553370A (zh) 异常检测方法、装置、电子设备及可读存储介质
CN109150871B (zh) 安全检测方法、装置、电子设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20211217