CN114039791B - 一种威胁情报攻击源的识别方法、装置、设备及介质 - Google Patents

一种威胁情报攻击源的识别方法、装置、设备及介质 Download PDF

Info

Publication number
CN114039791B
CN114039791B CN202111398817.5A CN202111398817A CN114039791B CN 114039791 B CN114039791 B CN 114039791B CN 202111398817 A CN202111398817 A CN 202111398817A CN 114039791 B CN114039791 B CN 114039791B
Authority
CN
China
Prior art keywords
target
attack
place
threat information
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111398817.5A
Other languages
English (en)
Other versions
CN114039791A (zh
Inventor
冯豪龙
范渊
刘博�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202111398817.5A priority Critical patent/CN114039791B/zh
Publication of CN114039791A publication Critical patent/CN114039791A/zh
Application granted granted Critical
Publication of CN114039791B publication Critical patent/CN114039791B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种威胁情报攻击源的识别方法,包括:获取目标服务器的威胁情报;基于灰狼算法,利用威胁情报创建初始网络矩阵,并在初始网络矩阵确定威胁情报的攻击发生地、攻击发生地的上一次跳转路径以及与攻击发生地相关联的目标网关;对攻击发生地、攻击发生地的上一次跳转路径和目标网关进行迭代更新,并利用攻击发生地、攻击发生地的上一次跳转路径和目标网关确定威胁情报的攻击源。由于该方法可以避免人工手动对威胁情报攻击源进行查找的繁琐流程,所以,利用该方法就能够快速、准确地查找到威胁情报的攻击源。相应的,本申请所提供的一种威胁情报攻击源的识别装置、设备及介质,同样具有上述有益效果。

Description

一种威胁情报攻击源的识别方法、装置、设备及介质
技术领域
本发明涉及服务器技术领域,特别涉及一种威胁情报攻击源的识别方法、装置、设备及介质。
背景技术
随着信息技术的不断发展,怎样保证数据信息的安全已经成为当下的一个研究热点。为了保证信息安全,需要实时、快速地查找得到威胁情报的攻击源。在现有技术中,通常是通过人工手动的方法来查找威胁情报的攻击源。显然,此种方法不仅需要投入大量的人力资源,而且,由于人眼的误判也无法准确地查找到威胁情报的攻击源。目前,针对上述技术问题,还没有较为有效的解决办法。
发明内容
有鉴于此,本发明的目的在于提一种威胁情报攻击源的识别方法、装置、设备及介质,以快速、准确地查找到威胁情报的攻击源。其具体方案如下:
一种威胁情报攻击源的识别方法,包括:
获取目标服务器的威胁情报;
基于灰狼算法,利用所述威胁情报创建初始网络矩阵,并在所述初始网络矩阵确定所述威胁情报的攻击发生地、所述攻击发生地的上一次跳转路径以及与所述攻击发生地相关联的目标网关;
对所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关进行迭代更新,并利用所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关确定所述威胁情报的攻击源。
优选的,所述获取目标服务器的威胁情报的过程之后,还包括:
对所述威胁情报进行清洗。
优选的,所述获取目标服务器的威胁情报的过程,包括:
利用部署在所述目标服务器各个网络端口上的硬件探针和/或软件探针获取所述目标服务器的所述威胁情报。
优选的,所述对所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关进行迭代更新的过程,包括:
将所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关分别标记为L、M和N,并利用第一目标模型分别对L、M和N进行迭代更新;
其中,所述第一目标模型的表达式为:
T(t+1)=Tp(t)-A*D;
式中,D=|C*Tp(t)-T(t)|表示L、M或者N与理想猎物间的距离,t为当前的迭代次数,A和C均为系数向量,Tp(t)和T(t)分别表示L、M或者N的起始向量和当前位置向量。
优选的,利用所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关确定所述威胁情报的攻击源的过程,包括:
利用L、M、N和第二目标模型确定目标探测点W的目标更新位置;
其中,所述第二目标模型的表达式为:
X(t+1)=(X1+X2+X3)/3;
式中,X1=Xl-A1*Dl、X2=Xn-A2*Dm、X3=Xn-A3*Dn,Dl=|C1*Xl-X|、Dm=|C2*Xm-X|、Dn=|C3*Xn-X|;Dl、Dm和Dn分别表示L、M和N与所述网络矩阵中其它个体间的距离,Xl、Xm和Xn分别表示L、M和N的当前位置,C1、C2和C3均为随机向量,X为所述目标探测点W的当前位置;
判断所述目标更新位置是否收敛;
若所述目标更新位置收敛,则判定所述目标更新位置为所述威胁情报的所述攻击源。
优选的,所述判断所述目标更新位置是否收敛的过程之后,还包括:
若所述目标更新位置非收敛,则判断所述目标探测点W的更新迭代次数是否达到预设阈值;
若所述目标探测点W的更新迭代次数达到所述预设阈值,则判定所述威胁情报为无效数据;
若所述目标探测点W的更新迭代次数没有达到所述预设阈值,则继续执行所述利用L、M、N和第二目标模型确定目标探测点W的目标更新位置的步骤。
相应的,本发明还公开了一种威胁情报攻击源的识别装置,包括:
情报获取模块,用于获取目标服务器的威胁情报;
初始点确定模块,用于基于灰狼算法,利用所述威胁情报创建初始网络矩阵,并在所述初始网络矩阵确定所述威胁情报的攻击发生地、所述攻击发生地的上一次跳转路径以及与所述攻击发生地相关联的目标网关;
攻击源确定模块,用于对所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关进行迭代更新,并利用所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关确定所述威胁情报的攻击源。
相应的,本发明还公开了一种威胁情报攻击源的识别设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前述所公开的一种威胁情报攻击源的识别方法的步骤。
相应的,本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前述所公开的一种威胁情报攻击源的识别方法的步骤。
可见,在本发明中,首先是获取用于对目标服务器进行攻击的威胁情报;然后,再基于灰狼算法,利用威胁情报创建初始网络矩阵,并在初始网络矩阵中确定威胁情报的攻击发生地、攻击发生地的上一次跳转路径以及与攻击发生地相关联的目标网关;最后,对攻击发生地、攻击发生地的上一次跳转路径和目标网关进行迭代更新,并利用攻击发生地、攻击发生地的上一次跳转路径和目标网关确定威胁情报的攻击源。相较于现有技术而言,由于该方法可以避免人工手动对威胁情报攻击源进行查找的繁琐流程,所以,利用该方法就能够快速、准确地查找到威胁情报的攻击源。相应的,本发明所提供的一种威胁情报攻击源的识别装置、设备及介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种威胁情报攻击源的识别方法的流程图;
图2为本发明实施例所提供的另一种威胁情报攻击源的识别方法的流程图;
图3为本发明实施例所提供的一种威胁情报攻击源的识别装置的结构图;
图4为本发明实施例所提供的一种威胁情报攻击源的识别设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参见图1,图1为本发明实施例所提供的一种威胁情报攻击源的识别方法的流程图,该方法包括:
步骤S11:获取目标服务器的威胁情报;
步骤S12:基于灰狼算法,利用威胁情报创建初始网络矩阵,并在初始网络矩阵确定威胁情报的攻击发生地、攻击发生地的上一次跳转路径以及与攻击发生地相关联的目标网关;
步骤S13:对攻击发生地、攻击发生地的上一次跳转路径和目标网关进行迭代更新,并利用攻击发生地、攻击发生地的上一次跳转路径和目标网关确定威胁情报的攻击源。
在本实施例中,是提供了一种威胁情报攻击源的识别方法,利用该方法来对威胁情报进行识别,就可以快速、准确地查找到威胁情报的攻击源。在该方法中,为了确定威胁情报的攻击源,首先是获取目标服务器的威胁情报;当获取得到目标服务器的威胁情报后,则对威胁情报中所蕴含的IP地址(Internet Protocol Address,互联网协议地址)信息、网络流转信息、网关信息等进行分析。其中,在对威胁情报进行分析的过程中,是基于灰狼算法(Grey Wolf Optimizer,GWO)来对目标服务器的威胁情报进行分析与处理。
在利用灰狼算法对目标服务器的威胁情报进行分析与处理时,首先是利用威胁情报创建初始网络矩阵U,并在初始网络矩阵U中确定威胁情报的攻击发生地、攻击发生地的上一次跳转路径以及与攻击发生地相关联的目标网关。
可以理解的是,由于灰狼算法模拟了自然界灰狼搜寻目标的过程,其中,灰狼算法主要是通过探寻目标、侦测目标和判断狩猎目标,从而达到逐步逼近目标的目的。对应到本实施例中,主要是基于灰狼算法的算法思想,通过对利用威胁情报所模拟得到的攻击发生地、攻击发生地的上一次跳转路径和目标网关进行迭代更新,并最终利用攻击发生地、攻击发生地的上一次跳转路径和目标网关来确定威胁情报的攻击源。
能够想到的是,由于灰狼算法可以不断地更新探寻点,也即,不断地更新威胁情报的攻击发生地、攻击发生地的上一次跳转路径以及与攻击发生地相关联的目标网关,这样就可以快速地查找到目标服务器威胁情报的攻击源。同时,由于该方法可以避免人工手动对威胁情报攻击源进行查找的繁琐流程,所以,相较于现有技术而言,利用该方法就能够快速、准确地查找到威胁情报的攻击源。并且,在利用灰狼算法查找目标服务器威胁情报的攻击源时,还可以面对更为复杂以及带有混淆攻击手段的威胁情报,所以,通过本实施例所提供的方法还可以提高在对威胁情报攻击源进行查找时的整体执行效率。
可见,在本实施例中,首先是获取用于对目标服务器进行攻击的威胁情报;然后,再基于灰狼算法,利用威胁情报创建初始网络矩阵,并在初始网络矩阵中确定威胁情报的攻击发生地、攻击发生地的上一次跳转路径以及与攻击发生地相关联的目标网关;最后,对攻击发生地、攻击发生地的上一次跳转路径和目标网关进行迭代更新,并利用攻击发生地、攻击发生地的上一次跳转路径和目标网关确定威胁情报的攻击源。相较于现有技术而言,由于该方法可以避免人工手动对威胁情报攻击源进行查找的繁琐流程,所以,利用该方法就能够快速、准确地查找到威胁情报的攻击源。
基于上述实施例,本实施例对技术方案作进一步的说明与优化,作为一种优选的实施方式,上述步骤:获取目标服务器的威胁情报的过程之后,还包括:
对威胁情报进行清洗。
可以理解的是,在获取得到目标服务器的威胁情报之后,威胁情报中必定会含有大量的冗余数据、信息不完整的无效数据以及错误数据,所以,在本实施例中,为了减少服务器需要处理的数据以及减少对计算资源的消耗量,还对威胁情报进行清洗,以去除威胁情报中所蕴含的冗余数据、无效数据以及错误数据,从而进一步提高在后续过程中对威胁情报的数据处理效率。
基于上述实施例,本实施例对技术方案作进一步的说明与优化,作为一种优选的实施方式,上述步骤:获取目标服务器的威胁情报的过程,包括:
利用部署在目标服务器各个网络端口上的硬件探针和/或软件探针获取目标服务器的威胁情报。
在本实施例中,在获取目标服务器的威胁情报时,是利用预先部署在目标服务器各个网络端口上的硬探针和/或软件探针来获取目标服务器的威胁情报。其中,硬探针是指能够对目标服务器的各个网络端口进行数据检测的硬件设备,软件探针是指能够对目标服务器的各个网络端口进行数据检测的软件程序。能够想到的是,通过软硬件相互配合的方式来获取目标服务器的威胁情报,就可以相对保证目标服务器威胁情报获取结果的全面性与可靠性。
基于上述实施例,本实施例对技术方案作进一步的说明与优化,请参见图2,图2为本发明实施例所提供的另一种威胁情报攻击源的识别方法的流程图。作为一种优选的实施方式,上述步骤:对攻击发生地、攻击发生地的上一次跳转路径和目标网关进行迭代更新的过程,包括:
步骤S131:将攻击发生地、攻击发生地的上一次跳转路径和目标网关分别标记为L、M和N,并利用第一目标模型分别对L、M和N进行迭代更新;
其中,第一目标模型的表达式为:
T(t+1)=Tp(t)-A*D;
式中,D=|C*Tp(t)-T(t)|表示L、M或者N与理想猎物间的距离,t为当前的迭代次数,A和C均为系数向量,Tp(t)和T(t)分别表示L、M或者N的起始向量和当前位置向量。
在本实施例中,在对攻击发生地、攻击发生地的上一次跳转路径和目标网关进行迭代更新的过程可以理解为是对威胁情报攻击源的探寻过程。也即,利用L、M、N和W来模拟狼群中的领导阶层,其中,L、M和N分别代表了威胁情报的攻击发生地、攻击发生地的上一次跳转路径以及目标网关。其中,D=|C*Tp(t)-T(t)|表示L、M或者N与理想猎物间的距离,第一目标模型T(t+1)=Tp(t)-A*D是探寻点的位置更新模型,t为当前的迭代次数,A和C均为系数向量,Tp(t)和T(t)分别表示L、M或者N的起始向量和当前位置向量。
具体的,A和C的计算公式如下:
A=2a*r1-a;
C=2*r2
式中,a为收敛因子,随着迭代次数的增加逐渐从2线性减小到0,r1和r2的模取[0,1]之间的随机数。
作为一种优选的实施方式,上述步骤:攻击发生地、攻击发生地的上一次跳转路径和目标网关确定威胁情报的攻击源的过程,包括:
步骤S132:利用L、M、N和第二目标模型确定目标探测点W的目标更新位置;
其中,第二目标模型的表达式为:
X(t+1)=(X1+X2+X3)/3;
式中,X1=Xl-A1*Dl、X2=Xn-A2*Dm、X3=Xn-A3*Dn,Dl=|C1*Xl-X|、Dm=|C2*Xm-X|、Dn=|C3*Xn-X|;Dl、Dm和Dn分别表示L、M和N与网络矩阵中其它个体间的距离,Xl、Xm和Xn分别表示L、M和N的当前位置,C1、C2和C3均为随机向量,X为目标探测点W的当前位置;
步骤S133:判断目标更新位置是否收敛;
步骤S134:若目标更新位置收敛,则判定目标更新位置为威胁情报的攻击源。
在本实施例中,在利用L、M、N和第二目标模型确定目标探测点W的目标更新位置时可以理解为是对威胁情报攻击源的侦测过程。其中,第二目标模型X(t+1)=(X1+X2+X3)/3定义了目标探测点W的当前位置,如果计算得到目标探测点W的当前位置为收敛状态,则说明目标探测点W的当前位置发出了大量的威胁情报数据,为威胁情报的攻击源。
作为一种优选的实施方式,上述步骤S133:判断目标更新位置是否收敛的过程之后,还包括:
步骤S135:若目标更新位置非收敛,则判断目标探测点W的更新迭代次数是否达到预设阈值;
步骤S136:若目标探测点W的更新迭代次数达到预设阈值,则判定威胁情报为无效数据;
步骤S137:若目标探测点W的更新迭代次数没有达到预设阈值,则继续执行步骤S132:利用L、M、N和第二目标模型确定目标探测点W的目标更新位置的步骤。
在本实施例中,如果计算得到目标探测点W的当前位置为非收敛状态,此时为了判断目标探测点W的目标更新位置是否为威胁情报的攻击源,还会判断目标探测点W的更新迭代次数是否达到预设阈值。如果目标探测点W的更新迭代次数达到预设阈值,而目标探测点W的目标更新位置还为非收敛状态,则说明获取得到目标服务器的威胁情报为无效数据,需要重新获取目标服务器的威胁情报,并重新利用灰狼算法来对目标服务器的威胁情报进行判断与侦测。
如果目标探测点W的更新迭代次数没有达到预设阈值,此时为了寻找得到威胁情报的攻击源,则会继续执行利用利用L、M、N和第二目标模型确定目标探测点W的目标更新位置的步骤,直至查找出目标服务器威胁情报的攻击源或者是判断出目标服务器的威胁情报为无效数据。
显然,通过本实施例所提供的技术方案,就可以保证目标服务器威胁情报攻击源查找结果的准确性与可靠性。
请参见图3,图3为本发明实施例所提供的一种威胁情报攻击源的识别装置的结构图,该装置包括:
情报获取模块21,用于获取目标服务器的威胁情报;
初始点确定模块22,用于基于灰狼算法,利用威胁情报创建初始网络矩阵,并在初始网络矩阵确定威胁情报的攻击发生地、攻击发生地的上一次跳转路径以及与攻击发生地相关联的目标网关;
攻击源确定模块23,用于对攻击发生地、攻击发生地的上一次跳转路径和目标网关进行迭代更新,并利用攻击发生地、攻击发生地的上一次跳转路径和目标网关确定威胁情报的攻击源。
本发明实施例所提供的一种威胁情报攻击源的识别装置,具有前述所公开的一种威胁情报攻击源的识别方法所具有的有益效果。
请参见图4,图4为本发明实施例所提供的一种威胁情报攻击源的识别设备的结构图,该设备包括:
存储器31,用于存储计算机程序;
处理器32,用于执行计算机程序时实现如前述所公开的一种威胁情报攻击源的识别方法的步骤。
本发明实施例所提供的一种威胁情报攻击源的识别设备,具有前述所公开的一种威胁情报攻击源的识别方法所具有的有益效果。
相应的,本发明实施例所提供的一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如前述所公开的一种威胁情报攻击源的识别方法的步骤。
本发明实施例所提供的一种可读存储介质,具有前述所公开的一种威胁情报攻击源的识别方法所具有的有益效果。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种威胁情报攻击源的识别方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。

Claims (7)

1.一种威胁情报攻击源的识别方法,其特征在于,包括:
获取目标服务器的威胁情报;
基于灰狼算法,利用所述威胁情报创建初始网络矩阵,并在所述初始网络矩阵确定所述威胁情报的攻击发生地、所述攻击发生地的上一次跳转路径以及与所述攻击发生地相关联的目标网关;
对所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关进行迭代更新,并利用所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关确定所述威胁情报的攻击源;
所述对所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关进行迭代更新的过程,包括:
将所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关分别标记为L、M和N,并利用第一目标模型分别对L、M和N进行迭代更新;
其中,所述第一目标模型的表达式为:
T(t+1)=Tp(t)-A*D;
式中,D=|C*Tp(t)-T(t)|表示L、M或者N与理想猎物间的距离,t为当前的迭代次数,A和C均为系数向量,Tp(t)和T(t)分别表示L、M或者N的起始向量和当前位置向量;
利用所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关确定所述威胁情报的攻击源的过程,包括:
利用L、M、N和第二目标模型确定目标探测点W的目标更新位置;
其中,所述第二目标模型的表达式为:
X(t+1)=(X1+X2+X3)/3;
式中,X1=Xl-A1*Dl、X2=Xm-A2*Dm、X3=Xn-A3*Dn,Dl=|C1*Xl-X|、Dm=|C2*Xm-X|、Dn=|C3*Xn-X|;Dl、Dm和Dn分别表示L、M和N与所述网络矩阵中其它个体间的距离,Xl、Xm和Xn分别表示L、M和N的当前位置,C1、C2和C3均为随机向量,X为所述目标探测点W的当前位置;
判断所述目标更新位置是否收敛;
若所述目标更新位置收敛,则判定所述目标更新位置为所述威胁情报的所述攻击源。
2.根据权利要求1所述的识别方法,其特征在于,所述获取目标服务器的威胁情报的过程之后,还包括:
对所述威胁情报进行清洗。
3.根据权利要求1所述的识别方法,其特征在于,所述获取目标服务器的威胁情报的过程,包括:
利用部署在所述目标服务器各个网络端口上的硬件探针和/或软件探针获取所述目标服务器的所述威胁情报。
4.根据权利要求1所述的识别方法,其特征在于,所述判断所述目标更新位置是否收敛的过程之后,还包括:
若所述目标更新位置非收敛,则判断所述目标探测点W的更新迭代次数是否达到预设阈值;
若所述目标探测点W的更新迭代次数达到所述预设阈值,则判定所述威胁情报为无效数据;
若所述目标探测点W的更新迭代次数没有达到所述预设阈值,则继续执行所述利用L、M、N和第二目标模型确定目标探测点W的目标更新位置的步骤。
5.一种威胁情报攻击源的识别装置,其特征在于,包括:
情报获取模块,用于获取目标服务器的威胁情报;
初始点确定模块,用于基于灰狼算法,利用所述威胁情报创建初始网络矩阵,并在所述初始网络矩阵确定所述威胁情报的攻击发生地、所述攻击发生地的上一次跳转路径以及与所述攻击发生地相关联的目标网关;
攻击源确定模块,用于对所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关进行迭代更新,并利用所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关确定所述威胁情报的攻击源;
所述对所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关进行迭代更新的过程,包括:
将所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关分别标记为L、M和N,并利用第一目标模型分别对L、M和N进行迭代更新;
其中,所述第一目标模型的表达式为:
T(t+1)=Tp(t)-A*D;
式中,D=|C*Tp(t)-T(t)|表示L、M或者N与理想猎物间的距离,t为当前的迭代次数,A和C均为系数向量,Tp(t)和T(t)分别表示L、M或者N的起始向量和当前位置向量;
利用所述攻击发生地、所述攻击发生地的上一次跳转路径和所述目标网关确定所述威胁情报的攻击源的过程,包括:
利用L、M、N和第二目标模型确定目标探测点W的目标更新位置;
其中,所述第二目标模型的表达式为:
X(t+1)=(X1+X2+X3)/3;
式中,X1=Xl-A1*Dl、X2=Xm-A2*Dm、X3=Xn-A3*Dn,Dl=|C1*Xl-X|、Dm=|C2*Xm-X|、Dn=|C3*Xn-X|;Dl、Dm和Dn分别表示L、M和N与所述网络矩阵中其它个体间的距离,Xl、Xm和Xn分别表示L、M和N的当前位置,C1、C2和C3均为随机向量,X为所述目标探测点W的当前位置;
判断所述目标更新位置是否收敛;
若所述目标更新位置收敛,则判定所述目标更新位置为所述威胁情报的所述攻击源。
6.一种威胁情报攻击源的识别设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述的一种威胁情报攻击源的识别方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的一种威胁情报攻击源的识别方法的步骤。
CN202111398817.5A 2021-11-19 2021-11-19 一种威胁情报攻击源的识别方法、装置、设备及介质 Active CN114039791B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111398817.5A CN114039791B (zh) 2021-11-19 2021-11-19 一种威胁情报攻击源的识别方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111398817.5A CN114039791B (zh) 2021-11-19 2021-11-19 一种威胁情报攻击源的识别方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN114039791A CN114039791A (zh) 2022-02-11
CN114039791B true CN114039791B (zh) 2024-04-19

Family

ID=80138534

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111398817.5A Active CN114039791B (zh) 2021-11-19 2021-11-19 一种威胁情报攻击源的识别方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN114039791B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112187710A (zh) * 2020-08-17 2021-01-05 杭州安恒信息技术股份有限公司 威胁情报数据的感知方法、装置、电子装置和存储介质
CN112348080A (zh) * 2020-11-06 2021-02-09 北京石油化工学院 基于工控异常检测的rbf改进方法、装置和设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112187710A (zh) * 2020-08-17 2021-01-05 杭州安恒信息技术股份有限公司 威胁情报数据的感知方法、装置、电子装置和存储介质
CN112348080A (zh) * 2020-11-06 2021-02-09 北京石油化工学院 基于工控异常检测的rbf改进方法、装置和设备

Also Published As

Publication number Publication date
CN114039791A (zh) 2022-02-11

Similar Documents

Publication Publication Date Title
US11468358B2 (en) Framework for semi-supervised learning when no labeled data is given
CN108875776B (zh) 模型训练方法和装置、业务推荐的方法和装置、电子设备
AU2017206289B2 (en) Improved patch match convergence using metropolis-hastings
CN110245721A (zh) 神经网络模型的训练方法、装置和电子设备
US20180097822A1 (en) Technologies for analyzing uniform resource locators
CN108229347B (zh) 用于人识别的拟吉布斯结构采样的深层置换的方法和装置
CN108229287B (zh) 图像识别方法和装置、电子设备和计算机存储介质
US8620095B2 (en) Performing structure from motion for unordered images of a scene with multiple object instances
WO2019082165A1 (en) GENERATION OF NEURAL NETWORKS WITH COMPRESSED REPRESENTATION HAVING A HIGH DEGREE OF PRECISION
Hefley et al. Nondetection sampling bias in marked presence‐only data
CN112187710B (zh) 威胁情报数据的感知方法、装置、电子装置和存储介质
Sheta et al. Genetic algorithms: a tool for image segmentation
WO2009014898A2 (en) Local computation of rank contributions
US10075695B2 (en) Information processing method and device
JP7453767B2 (ja) 情報処理装置、情報処理方法
Harman et al. Action graphs for proactive robot assistance in smart environments
WO2023167817A1 (en) Systems and methods of uncertainty-aware self-supervised-learning for malware and threat detection
US9208404B2 (en) Object detection with boosted exemplars
US20200280583A1 (en) Url abnormality positioning method and device, and server and storage medium
CN113726545A (zh) 基于知识增强生成对抗网络的网络流量生成方法及装置
JP2020086566A (ja) 知識補完プログラム、知識補完方法および知識補完装置
Sarkar et al. Terminus enables the discovery of data-driven, robust transcript groups from RNA-seq data
CN116846690A (zh) 基于行业分类和概率模型的IPv6网络空间测绘方法
CN114039791B (zh) 一种威胁情报攻击源的识别方法、装置、设备及介质
CN114511756A (zh) 基于遗传算法的攻击方法、装置及计算机程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant