CN113824730A - 一种攻击分析方法、装置、设备及存储介质 - Google Patents
一种攻击分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113824730A CN113824730A CN202111153493.9A CN202111153493A CN113824730A CN 113824730 A CN113824730 A CN 113824730A CN 202111153493 A CN202111153493 A CN 202111153493A CN 113824730 A CN113824730 A CN 113824730A
- Authority
- CN
- China
- Prior art keywords
- attack
- data
- flow data
- communication protocol
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 104
- 238000004891 communication Methods 0.000 claims abstract description 113
- 238000000034 method Methods 0.000 claims abstract description 30
- 230000002159 abnormal effect Effects 0.000 claims description 41
- 230000006399 behavior Effects 0.000 claims description 33
- 230000003287 optical effect Effects 0.000 claims description 24
- 238000007621 cluster analysis Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012216 screening Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 13
- 238000001514 detection method Methods 0.000 description 10
- 230000006378 damage Effects 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000012106 screening analysis Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000010521 absorption reaction Methods 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种攻击分析方法、装置、设备及存储介质。该方法包括:获取所述分流器发送的待分析流量数据;根据所述待分析流量数据确定至少一个通信协议;根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;对所述第一流量数据进行攻击分析。通过本发明实施例的技术方案,采用对流量数据进行攻击分析的方式,能够提前对攻击事件有效检测和识别。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种攻击分析方法、装置、设备及存储介质。
背景技术
APT(Advanced Persistent Threat,高级持续性威胁)攻击是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用零日漏洞进行攻击。
APT攻击带来的危害如下:1、攻击范围广,涉及党政机关、科研院所、军队军工、金融、运营商以及能源等国家重点单位。2、危害严重,攻击者们对网络长期进行数据窃取、系统控制以及网络制毁等恶意行为,会导致经济损失,危及国家安全。
发明内容
本发明实施例提供一种攻击分析方法、装置、设备及存储介质,能够提前对攻击事件有效检测和识别。
第一方面,本发明实施例提供了一种攻击分析方法,应用于攻击分析系统,所述攻击分析系统包括:至少两个数据采集装置、至少两个分光器、分流器和攻击分析设备,所述至少两个分光器部署在至少两个数据采集装置之间的通信链路上,所述至少两个分光器和所述分流器相连,所述分流器和所述攻击分析设备相连,所述攻击分析方法包括:
获取所述分流器发送的待分析流量数据;
根据所述待分析流量数据确定至少一个通信协议;
根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;
对所述第一流量数据进行攻击分析。
进一步的,对所述第一流量数据进行攻击分析包括:
根据所述待分析流量数据确定每个通信协议对应的通信端口;
从所述第一流量数据中筛选出第二流量数据,其中,所述第二流量数据为如下任一种流量数据:
通信端口为非目标端口的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为私有协议的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为非私有协议的通信协议对应的包含异常信息的流量数据;
对所述第二流量数据进行攻击分析。
进一步的,对所述第二流量数据进行攻击分析,包括:
根据所述第二流量数据确定是否存在异常访问行为信息;
若存在,则根据所述异常访问行为信息生成安全事件和报警信息。
进一步的,在根据所述异常访问行为信息生成安全事件和报警信息之后,还包括:
对至少两个安全事件进行聚类分析,得到至少两类安全事件;
获取每类安全事件对应的攻击事件条件;
若所述至少两个安全事件满足所述攻击事件条件,则将所述至少两个安全事件确定为攻击事件。
进一步的,在若所述至少两个安全事件满足所述攻击事件条件,则将所述至少两个安全事件确定为攻击事件之后,还包括:
根据所述待分析流量数据生成布隆过滤器BF表,其中,所述BF表包括:源IP;
根据所述源IP确定攻击目标。
第二方面,本发明实施例还提供了一种攻击分析装置,该攻击分析装置包括:
获取模块,用于获取分流器发送的待分析流量数据;
确定模块,用于根据所述待分析流量数据确定至少一个通信协议;
分类模块,用于根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;
分析模块,用于对所述第一流量数据进行攻击分析。
进一步的,所述分析模块具体用于:
根据所述待分析流量数据确定每个通信协议对应的通信端口;
从所述第一流量数据中筛选出第二流量数据,其中,所述第二流量数据为如下任一种流量数据:
通信端口为非目标端口的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为私有协议的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为非私有协议的通信协议对应的包含异常信息的流量数据;
对所述第二流量数据进行攻击分析。
进一步的,所述分析模块具体用于:
根据所述第二流量数据确定是否存在异常访问行为信息;
若存在,则根据所述异常访问行为信息生成安全事件和报警信息。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明实施例中任一所述的攻击分析方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例中任一所述的攻击分析方法。
本发明实施例通过获取所述分流器发送的待分析流量数据;根据所述待分析流量数据确定至少一个通信协议;根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;对所述第一流量数据进行攻击分析,能够提前对攻击事件有效检测和识别。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本发明实施例一中的一种攻击分析方法的流程图;
图2为本发明实施例所提供的数据采集实现示意图;
图3为本发明实施例所提供的一种攻击分析实现示意图;
图4为本发明实施例所提供的入侵检测分析实现示意图;
图5为本发明实施例所提供的攻击事件分析实现示意图;
图6是本发明实施例中二的一种攻击分析装置的结构示意图;
图7为本发明实施例三提供的一种电子设备的结构示意图;
图8为本发明实施例四中的一种包含计算机程序的计算机可读存储介质的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。此外,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。此外,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
本发明使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
图1是本发明实施例一中的一种攻击分析方法的流程图,本实施例可适用于对APT攻击进行攻击分析的情况,该方法可以由本发明实施例中的攻击分析装置来执行,该攻击分析装置可采用软件和/或硬件的方式实现,如图1所示,该方法具体包括如下步骤:
S110,获取分流器发送的待分析流量数据。
其中,分流器可以是具有实现数据流的识别采集、扩展复制、流量汇聚以及精细化的流量管理等功能,例如可以用来接收流量数据以及转发流量数据。
其中,流量数据可以是网络上传输的数据。
需要说明的是,先确定数据采集节点,数据采集节点上设置数据采集装置,其中,数据采集装置是用于采集数据的装置,本发明实施例对数据采集装置的具体形式不作限制,例如,数据采集装置可以为边界出口路由器。在至少两个数据采集装置之间的通信链路上部署至少两个分光器,其中,分光器可以是一种无源器件,不需要外部能量,只要有输入光即可,分光器可以由入射和出射狭缝、反射镜和色散元件组成,其作用可以是将所需要的共振吸收线分离出来。例如,分光器可以用来从通信链路上获取光信号,并将光信号进行转换,转换为流量数据。至少两个分光器将待分析流量数据发送到分流器中。分流器接收至少两个不同的分光器发送的待分析流量数据,并把接收到的待分析流量数据发送给攻击分析设备,攻击分析设备接收分流器发送的待分析流量数据。
其中,攻击分析设备可以是对网络中的数据进行检测、识别以及分析网络是否存在攻击行为并可以追溯攻击来源的设备。例如,可以是APT攻击分析设备,可以具备数据采集、数据处理、协议分析、入侵检测分析、事件聚类分析以及数据回溯等功能。
示例性的,如图2所示,图2为本发明实施例所提供的数据采集实现示意图。攻击分析系统包括两个边界出口路由器、两个分光器、分流器和攻击分析设备,两个分光器部署在两个边界出口路由器之间的通信链路上,两个分光器和分流器相连,分流器和攻击分析设备相连。其中,边界出口路由器2左侧是内网,右侧是外网,相应的,边界出口路由器1的左侧是外网,右侧是内网,通过边界出口理由器可以访问外网的资源,也可以访问内网的资源。边界出口路由器1和边界出口路由器2进行通信时,有两条通信链路,例如可以为上行链路和下行链路。其中,上行链路上设置了一个分光器1,下行链路也设置了分光器2,同时将获取到的光信号转换为流量数据,并同时将转换后的流量数据发送给分流器,分流器将流量数据发送给APT攻击分析设备。以使APT攻击分析设备采集数据。
S120,根据待分析流量数据确定至少一个通信协议。
其中,通信协议可以是指双方实体完成通信或服务所必须遵循的规则和约定。协议定义了数据单元使用的格式,信息单元应该包含的信息与含义,连接方式,信息发送和接收的时序,从而确保网络中数据顺利地传送到确定的地方。例如,可以分为通用协议和私有协议。其中,通用协议可以是常见的采用通用标准的通信协议,例如可以是,传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol,TCP/IP)、网际包交换/顺序包交换(Internetwork Packet Exchange/Sequences Packet Exchange,IPX/SPX)协议和NetBios增强用户接口(NetBios Enhanced User Interface,NetBEUI)协议等。私有协议可以是企业内部自定的协议标准,例如,可以是热备份路由器协议(HSRP:Hot StandbyRouter Protocol)、内部网关路由协议(Interior Gateway Routing Protocol,IGRP)等。
需要说明的是,流量数据中可以有多种不同的通信协议,因此,可以通过抓包工具获取待分析流量数据并通过分析得到对应的通信协议,从而可以确定出待分析流量数据中至少一个通信协议。
S130,根据至少一个通信协议对待分析流量数据进行分类,得到第一流量数据。
需要说明的是,一个通信协议对应一类流量数据,可以根据不同的至少一个通信协议对待分析流量进行分类,例如,可以有三个类的通信协议,然后通信协议对对应的待分析流量数据进行分析,可以将待分析流量分为相应的三个类别,从而可以得到分类后的待分析流量数据,即得到第一流量数据。
S140,对第一流量数据进行攻击分析。
本发明实施例,根据通信协议得到相应类的第一流量数据,并将这第一流量数据发送给相应的不同的检测模块,发送到检测模块之后,检测模块对第一流量数据进分析,判断是否有攻击行为。
示例性的,图3为本发明实施例所提供的一种攻击分析实现示意图,如图3所示,先对待分析流量数据即原始数据按照相应的通信协议进行解析并分类,并根据分类的结果发送到对应的不同的检测模块1、检测模块2、…、检测模块n中,不同的检测模块对原始数据进行处理并分析是否有攻击行为。
可选的,本发明实施例可以对所述第一流量数据进行攻击分析进行优化,可以具体优化为:包括:
根据所述待分析流量数据确定每个通信协议对应的通信端口;
从所述第一流量数据中筛选出第二流量数据,其中,所述第二流量数据为如下任一种流量数据:
通信端口为非目标端口的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为私有协议的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为非私有协议的通信协议对应的包含异常信息的流量数据;
对所述第二流量数据进行攻击分析。
其中,通信端口可以是实现各种计算机与外部计算机进行通信的通信端口。例如,TCP/IP协议规定采用80号端口。
其中,所述目标端口为常见端口,非目标端口为不常见端口。
其中,所述异常信息可以为隐藏信息,还可以为特殊标识,本发明实施例对此不进行限制。
本发明实施例,首先根据待分析流量数据确定对应的每个通信协议所对应的通信端口,然后从第一流量数据中进行筛选,如果是异常数据,则是第二流量数据。需要说明的是,所述第二流量数据为如下任一种流量数据:通信端口为非常见端口的通信协议对应的流量数据;通信端口为常见端口,且通信协议为私有协议的通信协议对应的流量数据;通信端口为常见端口,且通信协议为非私有协议的通信协议对应的包含异常信息的流量数据。当从第一流量数据中筛选出异常数据之后,对异常数据进行分析,即对第二流量数据进行攻击分析。以有效的检测出异常数据。
可选的,本发明实施例可以对所述第二流量数据进行攻击分析进行优化,具体可以优化为:包括:
根据所述第二流量数据确定是否存在异常访问行为信息;
若存在,则根据所述异常访问行为信息生成安全事件和报警信息。
其中,异常访问行为信息可以是可能存在入侵系统的破坏行为。安全事件可以是由于异常访问行为对系统的攻击和破坏,而导致系统损失,系统瘫痪,数据丢失、篡改、甚至对国家安全、社会秩序以及公众利益构成威胁所造成影响的安全事件。报警信息可以是警报器生成警告的信息。本发明实施例对报警的内容不作限制,例如可以是“系统危险”内容。
需要说明的是,第二流量数据由于可能是在常见端口上传输私有协议的数据,可能存在误报的情况,因此需要根据第二流量数据进行分析,通过判断第二流量数据所对应的访问行为确定是否存在异常访问行为。如果是异常访问行为,根据异常访问行为生成相应的安全事件和报警信息。例如,如果是窃取数据的异常访问行为,生成数据泄露的安全事件以及系统进行警报“数据存在窃取危险”,以提供用户有效的系统安全提醒。
示例性的,图4为本发明实施例所提供的入侵检测分析实现示意图,如图4所示,网络流量数据输入入侵检测模块,入侵检测模块按照规则筛选出异常流量数据,并对异常流量数据进行检测,若检测出异常行为,则生成对应的告警信息以及确定该安全事件为攻击事件。
可选的,本发明实施例可以在根据所述异常访问行为信息生成安全事件和报警信息之后,还包括:
对至少两个安全事件进行聚类分析,得到至少两类安全事件;
获取每类安全事件对应的攻击事件条件;
若所述至少两个安全事件满足所述攻击事件条件,则将所述至少两个安全事件确定为攻击事件。
其中,聚类分析可以指将物理或抽象对象的集合分组为由类似的对象组成的多个类的分析过程。聚类分析的目标就是在相似的基础上收集数据来分类。例如,可以对安全事件进行聚类分析。本发明实施例,对聚类分析所选择的聚类方法不作限制。
其中,攻击事件条件可以是每类安全事件对应的阈值,例如,可以是频率阈值、时间阈值以及空间阈值等,不同类的安全事件,其对应的阈值可能不同。
需要说明的是,可以根据安全事件发生的时间、类型以及协议等要素,进行聚类分析,以挖掘其共性以及攻击目的,从而安全事件得到分类。一个安全事件可能对应一类安全事件,因此,可以对至少两个安全事件进行聚类分析,得到至少两类安全事件;并可以获取每类安全事件对应的攻击事件条件,并将至少两个安全事件与每类安全事件对应的阈值进行比较,如果至少两个安全事件满足相应类安全事件对应的阈值,就确定至少两个安全事件为攻击事件。以识别安全事件是否为APT攻击。
示例性的,如果有两个安全事件,通过规则筛选以及进行聚类分析后,得到两类安全事件,并获取这个两类的安全事件对应的阈值,并与阈值相比较,当第一个安全事件与第一类安全事件对应的阈值进行比较,如果满足,则确定为攻击事件,发现不满足,则将第一个安全事件与第二类安全事件对应的阈值进行比较,如果满足,则确定为攻击事件,如果不满足,则确定不是攻击事件。第二个安全事件判断是否为攻击事件依此类推。
示例性的,图5为本发明实施例所提供的攻击事件分析实现示意图。如图5所示,安全事件经过规则筛选以及聚类分析,并根据设置的阈值进行判断,判断是否满足相应类别的安全事件的阈值,如果满足,则该安全事件为APT攻击事件,如果不满足,则继续聚类分析,得到相应的类别安全事件,并与相应的类别安全事件的阈值比较,如果满足,则该则该安全事件为APT攻击事件。如果不满足,而且通过聚类分析如果只有两类安全事件,则确定该安全事件不是攻击事件,否则,依此类推。
可选的,本发明实施例可以在若所述至少两个安全事件满足所述攻击事件条件,则将所述至少两个安全事件确定为攻击事件之后,还包括:
根据所述待分析流量数据生成布隆过滤器BF表,其中,所述BF表包括:源IP;
根据所述源IP确定攻击目标。
其中,布隆过滤器(Bloom Filter,BF)它可以是一个很长的二进制向量和一系列随机映射函数,可以用于检索一个元素是否在一个集合中,0表示不存在某个数据,1表示存在某个数据。例如,可以先建立一个16亿二进制常量,然后将这16亿个二进制位全部置0。对于每个字符串,用8个不同的随机产生器(F1,F2,.....,F8)产生8个信息指纹(f1,f2,....,f8)。再用一个随机数产生器G把这八个信息指纹映射到1到16亿中的8个自然数g1,g2,...,g8。现在把这8个位置的二进制位全部变为1。这样一个布隆过滤器BF表就建好了。布隆过滤器BF表可以包括:语言IP(Internet Protocol,网际互连协议)、目的IP以及源IP。
需要说明的是,根据所述待分析流量数据生成布隆过滤器BF表,并可以根据数据源IP来确定攻击目标,即谁发送流量数据给系统的就是攻击者。
本发明实施例,通过根据待分析流量生成布隆过滤器BF表,并可以根据数据源的源IP对历史数据进行持续的回溯以及分析,通过对其攻击路径的溯源分析,可以发现攻击目标,以便对受威胁对象进行防护,对APT攻击的准备判断具有重要意义。
本发明实施例的技术方案,通过获取所述分流器发送的待分析流量数据;根据所述待分析流量数据确定至少一个通信协议;根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;对所述第一流量数据进行攻击分析。上述技术方案,采用对流量数据进行攻击分析的方式,能够提前对攻击事件有效检测和识别。
实施例二
图6是本发明实施例中二的一种攻击分析装置的结构示意图。本实施例可适用于对APT攻击进行攻击分析的情况,该装置可采用软件和/或硬件的方式实现,该装置可集成在任何提供攻击分析功能的设备中,如图6所示,所述一种攻击分析的装置具体包括:获取模块610、确定模块620、分类模块630和分析模块640。
其中,获取模块610,用于获取分流器发送的待分析流量数据;
确定模块620,用于根据所述待分析流量数据确定至少一个通信协议;
分类模块630,用于根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;
分析模块640,用于对所述第一流量数据进行攻击分析。
本发明实施例的技术方案,通过获取模块获取所述分流器发送的待分析流量数据;确定模块根据所述待分析流量数据确定至少一个通信协议;分类模块根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;分析模块对所述第一流量数据进行攻击分析。上述技术方案,采用对流量数据进行攻击分析的方式,能够提前对攻击事件有效检测和识别。
上述装置中,可选的是,所述分析模块具体用于:
根据所述待分析流量数据确定每个通信协议对应的通信端口;
从所述第一流量数据中筛选出第二流量数据,其中,所述第二流量数据为如下任一种流量数据:
通信端口为非目标端口的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为私有协议的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为非私有协议的通信协议对应的包含异常信息的流量数据;
对所述第二流量数据进行攻击分析。
上述装置中,可选的是,所述分析模块具体用于:
根据所述第二流量数据确定是否存在异常访问行为信息;
若存在,则根据所述异常访问行为信息生成安全事件和报警信息。
上述装置中,可选的是,所述分析模块具体用于:
对至少两个安全事件进行聚类分析,得到至少两类安全事件;
获取每类安全事件对应的攻击事件条件;
若所述至少两个安全事件满足所述攻击事件条件,则将所述至少两个安全事件确定为攻击事件。
上述装置中,可选的是,所述分析模块具体用于:
根据所述待分析流量数据生成布隆过滤器BF表,其中,所述BF表包括:源IP;
根据所述源IP确定攻击目标。
上述产品可执行本发明实施例所提供的涉水模式的信息提示方法,具备执行方法相应的功能模块和有益效果。
实施例三
图7为本发明实施例三提供的一种电子设备的结构示意图。图7示出了适于用来实现本发明实施方式的电子设备712的框图。图7显示的电子设备712仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。设备712是典型的攻击分析功能的计算设备。
如图7所示,电子设备712以通用计算设备的形式表现。电子设备712的组件可以包括但不限于:一个或者多个处理器716,存储器728,连接不同系统组件(包括存储器728和处理器716)的总线718。
总线718表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture,ISA)总线,微通道体系结构(Micro Channel Architecture,MCA)总线,增强型ISA总线、视频电子标准协会(Video Electronics Standards Association,VESA)局域总线以及外围组件互连(Peripheral Component Interconnect,PCI)总线。
电子设备712典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备712访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器728可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(Random Access Memory,RAM)730和/或高速缓存存储器732。电子设备712可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统734可以用于读写不可移动的、非易失性磁介质(图7未显示,通常称为“硬盘驱动器”)。尽管图7中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如只读光盘(Compact Disc-Read Only Memory,CD-ROM)、数字视盘(Digital Video Disc-Read Only Memory,DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线718相连。存储器728可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块726的程序736,可以存储在例如存储728中,这样的程序模块726包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块726通常执行本发明所描述的实施例中的功能和/或方法。
电子设备712也可以与一个或多个外部设备714(例如键盘、指向设备、摄像头、显示器724等)通信,还可与一个或者多个使得用户能与该电子设备712交互的设备通信,和/或与使得该电子设备712能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口722进行。并且,电子设备712还可以通过网络适配器720与一个或者多个网络(例如局域网(Local Area Network,LAN),广域网Wide Area Network,WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器720通过总线718与电子设备712的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备712使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Disks,RAID)系统、磁带驱动器以及数据备份存储系统等。
处理器716通过运行存储在存储器728中的程序,从而执行各种功能应用以及数据处理,例如实现本发明上述实施例所提供的攻击分析方法。
实施例四
图8为本发明实施例四中的一种包含计算机程序的计算机可读存储介质的结构示意图。本发明实施例提供了一种计算机可读存储介质81,其上存储有计算机程序810,该程序被一个或多个处理器执行时实现如本申请所有发明实施例提供的攻击分析方法:
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(Hyper Text TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种攻击分析方法,其特征在于,应用于攻击分析系统,所述攻击分析系统包括:至少两个数据采集装置、至少两个分光器、分流器和攻击分析设备,所述至少两个分光器部署在至少两个数据采集装置之间的通信链路上,所述至少两个分光器和所述分流器相连,所述分流器和所述攻击分析设备相连,所述攻击分析方法包括:
获取所述分流器发送的待分析流量数据;
根据所述待分析流量数据确定至少一个通信协议;
根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;
对所述第一流量数据进行攻击分析。
2.根据权利要求1所述的方法,其特征在于,对所述第一流量数据进行攻击分析包括:
根据所述待分析流量数据确定每个通信协议对应的通信端口;
从所述第一流量数据中筛选出第二流量数据,其中,所述第二流量数据为如下任一种流量数据:
通信端口为非目标端口的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为私有协议的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为非私有协议的通信协议对应的包含异常信息的流量数据;
对所述第二流量数据进行攻击分析。
3.根据权利要求2所述的方法,其特征在于,对所述第二流量数据进行攻击分析,包括:
根据所述第二流量数据确定是否存在异常访问行为信息;
若存在,则根据所述异常访问行为信息生成安全事件和报警信息。
4.根据权利要求3所述的方法,其特征在于,在根据所述异常访问行为信息生成安全事件和报警信息之后,还包括:
对至少两个安全事件进行聚类分析,得到至少两类安全事件;
获取每类安全事件对应的攻击事件条件;
若所述至少两个安全事件满足所述攻击事件条件,则将所述至少两个安全事件确定为攻击事件。
5.根据权利要求4所述的方法,其特征在于,在若所述至少两个安全事件满足所述攻击事件条件,则将所述至少两个安全事件确定为攻击事件之后,还包括:
根据所述待分析流量数据生成布隆过滤器BF表,其中,所述BF表包括:源IP;
根据所述源IP确定攻击目标。
6.一种攻击分析装置,其特征在于,所述攻击分析装置包括:
获取模块,用于获取分流器发送的待分析流量数据;
确定模块,用于根据所述待分析流量数据确定至少一个通信协议;
分类模块,用于根据所述至少一个通信协议对所述待分析流量数据进行分类,得到第一流量数据;
分析模块,用于对所述第一流量数据进行攻击分析。
7.根据权利要求6所述的装置,其特征在于,所述分析模块具体用于:
根据所述待分析流量数据确定每个通信协议对应的通信端口;
从所述第一流量数据中筛选出第二流量数据,其中,所述第二流量数据为如下任一种流量数据:
通信端口为非目标端口的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为私有协议的通信协议对应的流量数据;
通信端口为目标端口,且通信协议为非私有协议的通信协议对应的包含异常信息的流量数据;
对所述第二流量数据进行攻击分析。
8.根据权利要求7所述的装置,其特征在于,所述分析模块具体用于:
根据所述第二流量数据确定是否存在异常访问行为信息;
若存在,则根据所述异常访问行为信息生成安全事件和报警信息。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述处理器实现如权利要求1-5中任一所述的方法。
10.一种包含计算机程序的计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被一个或多个处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111153493.9A CN113824730A (zh) | 2021-09-29 | 2021-09-29 | 一种攻击分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111153493.9A CN113824730A (zh) | 2021-09-29 | 2021-09-29 | 一种攻击分析方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113824730A true CN113824730A (zh) | 2021-12-21 |
Family
ID=78921739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111153493.9A Pending CN113824730A (zh) | 2021-09-29 | 2021-09-29 | 一种攻击分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113824730A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244618A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100050260A1 (en) * | 2008-08-25 | 2010-02-25 | Hitachi Information Systems, Ltd. | Attack node set determination apparatus and method, information processing device, attack dealing method, and program |
| US20160103992A1 (en) * | 2014-10-14 | 2016-04-14 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
| CN108632224A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
| CN109729090A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
| CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111294233A (zh) * | 2018-12-11 | 2020-06-16 | 国网信息通信产业集团有限公司 | 网络告警统计分析方法、系统及计算机可读存储介质 |
| CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
| CN112261000A (zh) * | 2020-09-25 | 2021-01-22 | 湖南大学 | 一种基于PSO-K算法的LDoS攻击检测方法 |
| CN112511561A (zh) * | 2020-12-21 | 2021-03-16 | 深信服科技股份有限公司 | 网络攻击路径确定方法、设备、存储介质及装置 |
| CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
| CN113014555A (zh) * | 2021-02-10 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 一种攻击事件的确定方法、装置、电子设备和存储介质 |
| CN113114618A (zh) * | 2021-03-02 | 2021-07-13 | 西安电子科技大学 | 一种基于流量分类识别的物联网设备入侵检测的方法 |
| CN113452707A (zh) * | 2021-06-28 | 2021-09-28 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
-
2021
- 2021-09-29 CN CN202111153493.9A patent/CN113824730A/zh active Pending
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100050260A1 (en) * | 2008-08-25 | 2010-02-25 | Hitachi Information Systems, Ltd. | Attack node set determination apparatus and method, information processing device, attack dealing method, and program |
| US20160103992A1 (en) * | 2014-10-14 | 2016-04-14 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
| CN108632224A (zh) * | 2017-03-23 | 2018-10-09 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
| CN111294233A (zh) * | 2018-12-11 | 2020-06-16 | 国网信息通信产业集团有限公司 | 网络告警统计分析方法、系统及计算机可读存储介质 |
| CN109729090A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于wedms聚类的慢速拒绝服务攻击检测方法 |
| CN110311925A (zh) * | 2019-07-30 | 2019-10-08 | 百度在线网络技术(北京)有限公司 | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111726357A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击行为检测方法、装置、计算机设备及存储介质 |
| CN112261000A (zh) * | 2020-09-25 | 2021-01-22 | 湖南大学 | 一种基于PSO-K算法的LDoS攻击检测方法 |
| CN112511561A (zh) * | 2020-12-21 | 2021-03-16 | 深信服科技股份有限公司 | 网络攻击路径确定方法、设备、存储介质及装置 |
| CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
| CN113014555A (zh) * | 2021-02-10 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 一种攻击事件的确定方法、装置、电子设备和存储介质 |
| CN113114618A (zh) * | 2021-03-02 | 2021-07-13 | 西安电子科技大学 | 一种基于流量分类识别的物联网设备入侵检测的方法 |
| CN113452707A (zh) * | 2021-06-28 | 2021-09-28 | 华中科技大学 | Scanner网络扫描攻击行为检测方法、介质及终端 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244618A (zh) * | 2021-12-22 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
| CN114244618B (zh) * | 2021-12-22 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11997113B2 (en) | Treating data flows differently based on level of interest | |
| US11463457B2 (en) | Artificial intelligence (AI) based cyber threat analyst to support a cyber security appliance | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US20230012220A1 (en) | Method for determining likely malicious behavior based on abnormal behavior pattern comparison | |
| CN112073437B (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| CN113765846B (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| Qureshi et al. | Network Forensics: A Comprehensive Review of Tools and Techniques | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| Mangrulkar et al. | Network attacks and their detection mechanisms: A review | |
| Bhardwaj et al. | Network intrusion detection in software defined networking with self-organized constraint-based intelligent learning framework | |
| Bhosale et al. | Data mining based advanced algorithm for intrusion detections in communication networks | |
| Ageyev et al. | Traffic monitoring and abnormality detection methods analysis | |
| Al-Mousa | Generic Proactive IoT Cybercrime Evidence Analysis Model for Digital Forensics | |
| US11750628B2 (en) | Profiling network entities and behavior | |
| Yusufovna | Integrating intrusion detection system and data mining | |
| CN113824730A (zh) | 一种攻击分析方法、装置、设备及存储介质 | |
| Nguyen et al. | An approach to detect network attacks applied for network forensics | |
| Samha et al. | Intrusion detection system using hybrid convolutional neural network | |
| McLaren et al. | Mining malware command and control traces | |
| Roponena et al. | A literature review of machine learning techniques for cybersecurity in data centers | |
| US11973773B2 (en) | Detecting and mitigating zero-day attacks | |
| KR20230000376A (ko) | 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법 | |
| Banerjee et al. | An integrated approach for botnet detection and prediction using honeynet and socialnet data | |
| Amin et al. | Ensemble based Effective Intrusion Detection System for Cloud Environment over UNSW-NB15 Dataset |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211221 |