CN114039796A - 网络攻击的确定方法、装置、计算机设备及存储介质 - Google Patents
网络攻击的确定方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114039796A CN114039796A CN202111420599.0A CN202111420599A CN114039796A CN 114039796 A CN114039796 A CN 114039796A CN 202111420599 A CN202111420599 A CN 202111420599A CN 114039796 A CN114039796 A CN 114039796A
- Authority
- CN
- China
- Prior art keywords
- data
- network attack
- attack
- equipment
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络攻击的确定方法、装置、计算机设备及存储介质,涉及计算安全技术领域,用于及时发现APT攻击。方法主要包括:获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;从空间引擎系统中查询是否存在与网络攻击数据对应的设备基础数据;若空间引擎系统中存在与网络攻击数据对应的设备基础数据,则从与网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;将空间引擎系统中基础数据包含ASN数据和/或所述IDC数据的设备确定为目标设备;计算网络攻击数据与所述目标设备的基础数据的相似度;根据所述相似度确定所述目标设备是否属于网络攻击设备。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络攻击的确定方法、装置、计算机设备及存储介质。
背景技术
高级持续性威胁(Advanced Persistent Threat,APT),又称高级长期威胁、先进持续性威胁等。是指隐匿而持久的计算机入侵过程,通常由某些人员精心策划,针对特定的目标而发起的网络攻击行为。而针对上述APT攻击,目前尚未存在能够及时发现APT攻击的方法。
发明内容
本申请实施例提供一种网络攻击的确定方法、装置、计算机设备及存储介质,用于及时发现APT攻击。
本发明实施例提供一种网络攻击的确定方法,所述方法包括:
获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;
从空间引擎系统中查询是否存在与所述网络攻击数据对应的设备基础数据;所述空间引擎系统中包括多个设备分别对应的基础数据;
若存在则从与所述网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;
将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目标设备;
计算所述网络攻击数据与所述目标设备的基础数据的相似度;
根据所述相似度确定所述目标设备是否属于网络攻击设备。
本发明实施例提供一种网络攻击的确定装置,所述装置包括:
获取模块,用于获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;
查询模块,用于从空间引擎系统查中询是否存在与所述网络攻击数据对应的设备基础数据;所述空间引擎系统中包括多个设备分别对应的基础数据;
所述获取模块,还用于若存在则从与所述网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;
确定模块,用于将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目标设备;
计算模块,用于计算所述网络攻击数据与所述目标设备的基础数据的相似度;
所述确定模块,还用于根据所述相似度确定所述目标设备是否属于网络攻击设备。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述网络攻击的确定方法。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述网络攻击的确定方法。
一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述的网络攻击的确定方法。
本发明提供一种网络攻击的确定方法、装置、计算机设备及存储介质,首先获取网络攻击数据,该网络攻击数据为已经确定存在攻击行为的数据,然后从空间引擎系统中查询是否存在与网络攻击数据对应的设备基础数据;若空间引擎系统中存在与网络攻击数据对应的设备基础数据,则从与网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;将空间引擎系统中基础数据包含ASN数据和/或IDC数据的设备确定为目标设备;计算网络攻击数据与目标设备的基础数据的相似度;根据相似度确定目标设备是否属于网络攻击设备。本发明通过计算网络攻击数据与空间引擎系统中的基础数据的相似度确定目标设备是否属于网络攻击设备,从而通过本发明可以及时发现APT攻击。
附图说明
图1为本申请提供的一种网络攻击的确定方法流程图;
图2为本申请提供的另一种网络攻击的确定方法流程图;
图3为本申请提供的网络攻击的确定装置的结构示意图。
图4为本申请提供的计算机设备的一示意图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本申请实施例的技术方案做详细的说明,应当理解本申请实施例以及实施例中的具体特征是对本申请实施例技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互组合。
请参阅图1,为本发明实施例提供的一种网络攻击的确定方法,该方法具体包括步骤S101-步骤S106:
步骤S101,获取网络攻击数据,该网络攻击数据为已经确定存在攻击行为的数据。
其中,所述网络攻击数据中至少包括网际互连协议IP地址和/或域名。
在本发明实施例中,网络攻击数据是指从恶意代码文件中通过静态、动态特征分析等手段,提取到的恶意代码特异性信息。具体地,如静态分析得到的文件格式信息、文件属性信息、字符串信息、二进制信息、指令特征信息;利用动态分析得到的恶意代码本地行为特征、网络行为特征、API调用特征等。
进一步的,在得到网络攻击数据之后,根据网络攻击数据的特征值类型进行相应的处理,比如对人来说其身高体重的特征值类型是数值、性别的特征值类型是布尔型的变量、指纹是图片。具体到本文中,特征值类型包括数值(文件资源个数,文件节数量),布尔型变量(是否存在可执行节),序列化数据(反汇编指令序列),图结构特征(系统调用流程图)等,本实施例不做具体限定。
步骤S102,从空间引擎系统中查询是否存在与所述网络攻击数据对应的设备基础数据;空间引擎系统中包括多个设备分别对应的基础数据。
其中,所述基础数据至少包括IP、域名、响应包内容、开放的服务、网站标题和/或开放端口、自治系统号ASN数据和/或互联网数据中心IDC数据。需要说明的是,本实施例中的设备可以为服务器,也可以为用户的终端设备,本实施例不做限定。
在本发明提供的一个可选实施例中,所述从空间引擎系统查询是否存在与所述网络攻击数据对应的设备基础数据之后,所述方法还包括:若所述空间引擎系统中不存在与所述网络攻击数据对应的设备基础数据,则分析所述网络攻击数据,获取所述网络攻击数据对应的设备基础数据;将所述网络攻击数据对应的设备基础数据存储到所述空间引擎系统中。其中,对网络攻击数据进行分析具体可以是人工分析,也可以基于预定的规则进行相应的分析,获取到网络攻击数据对应设备的基础数据,然后将其存储到空间引擎系统中。
步骤S103,若空间引擎系统中存在与网络攻击数据对应的设备基础数据,从与网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据。
需要说明的是,一般发起APT攻击的设备对应的自治系统号ASN数据和/或互联网数据中心IDC数据是相同的,即发起APT攻击可能存在一个机房或者隶属于一个网络服务。因此,本实施例在确定空间引擎系统中存在与网络攻击数据对应的设备基础数据之后,从与网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据,以便于在后续步骤中根据包含该ASN数据和/或IDC数据的目标设备。
步骤S104,将空间引擎系统中基础数据包含ASN数据和/或IDC数据的设备确定为目标设备。
在本实施例中,从与网络攻击数据对应设备的基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据,是为了在空间引擎系统中筛选出对应的设备,然后基于相似度确定筛选的设备中是否存在APT攻击的设备。
具体的,本实施例基于获取的自治系统号ASN数据和/或互联网数据中心IDC数据从空间引擎系统中筛选出目标设备,之后计算网络攻击数据与所述目标设备的基础数据的相似度,以便于确定目标设备是否也属于APT攻击的设备。
步骤S105,计算网络攻击数据与所述目标设备的基础数据的相似度。
在本发明提供的一个可选实施例中,计算所述网络攻击数据与所述目标设备的基础数据的相似度,包括:获取所述网络攻击数据中的响应包内容、开放的服务、网站标题,获取所述目标设备的基础数据中的响应包内容、开发的服务、网站标题;计算所述网络攻击数据中的响应包内容、开放的服务、网站标题,与所述目标设备的基础数据中的响应包内容、开发的服务、网站标题的相似度。
步骤S106,根据相似度确定所述目标设备是否属于网络攻击设备。
具体的,本实施例根据相似度的大小确定目标设备是否属于网络攻击设备,如设置一个阈值,该阈值可以为80%、85%、或90%等,本实施例不做具体限定。若相似度大于该阈值,便可以确定目标设备为网络攻击设备;若相似度小于或等于该阈值,则还需要进一步确认目标设备是否属于网络攻击设备。
本发明提供一种网络攻击的确定方法,首先获取网络攻击数据,该网络攻击数据为已经确定存在攻击行为的数据,然后从空间引擎系统中查询是否存在与网络攻击数据对应的设备基础数据;若空间引擎系统中存在与网络攻击数据对应的设备基础数据,则从与网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;将空间引擎系统中基础数据包含ASN数据和/或IDC数据的设备确定为目标设备;计算网络攻击数据与目标设备的基础数据的相似度;根据相似度确定目标设备是否属于网络攻击设备。本发明通过计算网络攻击数据与空间引擎系统中的基础数据的相似度确定目标设备是否属于网络攻击设备,从而通过本发明可以及时发现APT攻击。
请参阅图2,在本发明提供的一个可选实施例中,根据所述相似度确定所述目标设备是否属于网络攻击设备,包括:
步骤S201,确定所述相似度是否大于第一预置数值。
其中,第一预置数值可以根据实际需求进行设定,如第一预置数值可以为80%、85%、或90%等。
步骤S202,若相似度大于所述第一预置数值,则确定目标设备属于网络攻击设备。
步骤S203,若所述相似度小于或等于所述第一预置数值,从所述网络攻击数据中确定攻击行为数据,从所述目标设备的基础数据中确定操作行为数据。
其中,该攻击行为数据具体可以通过动态特征数据体现,该动态特征具体可以为本地行为特征、网络行为特征、API调用特征等;操作行为数据是目标设备的具体操作行为,其也可以通过动态特征数据表示。其中,本地行为特征可以为修改某个类型的文件、加密或删除文件、发送钓鱼邮件、后台自动安装程序等;网络行为特征如对某个网站发起的不断访问、试图攻击某个设备等。
步骤S204,比对所述攻击行为数据和所述操作行为数据,确定所述目标设备是否属于网络攻击设备。
例如,攻击行为数据为本地加密或删除某个特定类型的文件,则在确定网络攻击数据与所述目标设备的基础数据的相似度小于第一预置数值之后,从目标设备的基础数据中确定操作行为数据,然后对攻击行为数据和操作行为数据的进行比对,如若操作行为数据也是在本地加密或删除某个特定类型的文件,此时也可以确定目标设备也属于网络攻击设备。
在本发明提供的一个可选实施例中,对所述攻击行为数据和所述操作行为数据的进行比对,确定所述目标设备是否属于网络攻击设备,包括:
步骤S2041,获取攻击行为数据中的各个攻击行为及对应的攻击次数;获取操作行为数据中的各个操作行为及对应的操作次数;计算所述攻击行为的总攻击次数与所述操作行为的总操作次数之和。
需要说明的是,攻击行为数据中包括各种类型的攻击行为,操作行为数据中包括各个类型的操作行为。操作行为和攻击行为具体可以为:不断攻击某一个网站、删除或加密文件、修改文件、后台自动下载文件、向外不断发送邮件等,本实施例对此不做具体限定。
步骤S2042,统计所述攻击行为和所述操作行为中属于同一攻击过程的匹配次数。
步骤S2043,计算所述匹配次数与所述和的比值。
步骤S2044,确定所述比值是否大于预置比值。
步骤S2045,若所述比值大于预置比值,则确定所述目标设备属于网络攻击设备。
例如,攻击行为数据中包括三种攻击行为:类型1对应的攻击次数为10、类型2对应的攻击次数为20、类型3对应的攻击次数为30;操作行为数据中包括三种操作行为:类型1对应的操作次数为8、类型3对应的操作次数为30、类型4对应的操作此时为10。则计攻击行为和操作行为属于同一行为的匹配次数为38,即类型1的匹配次数为8、类型3的匹配次数为30,总计的匹配次数为38。
其中,攻击行为的总攻击次数为60,操作行为的总操作次数为48,两者的和值为108,则经过计算匹配次数38与总操作次数的和值108的比值,得到35%,若预置比值为30%,则可以确定目标设备属于网络攻击设备。
需要说明的是,预置比值可以根据对历史数据的统计分析进行确定。
在本发明提供的一个可选实施例中,所述对所述攻击行为数据和所述操作行为数据的进行比对,确定所述目标设备是否属于网络攻击设备,包括:计算所述攻击行为数据与所述操作行为数据的相似度。将所述攻击行为数据与所述操作行为数据的相似度大于第二预置数值对应的网络设备确定为网络攻击设备。
在本发明实施例中,在确定相似度小于或等于第一预置数值之后,从网络攻击数据中确定攻击行为数据,计算攻击行为数据与所述操作行为数据的相似度。之后将攻击行为数据与所述操作行为数据的相似度大于第二预置数值对应的网络设备确定为网络攻击设备,即本实施例在无法根据网络攻击数据与目标设备的基础数据的相似度确定目标设备是否属于网络攻击设备,则还需要通过攻击行为数据和操作行为数据的比对以进一步确定目标设备是否属于网络攻击设备,从而通过本实施例可以提高网络攻击设备确定的准确度。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种网络攻击的确定装置,该网络攻击的确定装置与上述实施例中网络攻击的确定方法一一对应。如图3所示,所述网络攻击的确定装置各功能模块详细说明如下:
获取模块31,用于获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;
查询模块32,用于从空间引擎系统查中询是否存在与所述网络攻击数据对应的设备基础数据;所述空间引擎系统中包括多个设备分别对应的基础数据;
所述获取模块31,还用于若所述空间引擎系统中存在与所述网络攻击数据对应的设备基础数据,则从与所述网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;
确定模块33,用于将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目标设备;
计算模块34,用于计算所述网络攻击数据与所述目标设备的基础数据的相似度;
所述确定模块33,还用于根据所述相似度确定所述目标设备是否属于网络攻击设备。
在一个可选的实施例中,所述装置还包括:存储模块35;
所述获取模块31,还用于若所述空间引擎系统中不存在与所述网络攻击数据对应的设备基础数据,则分析所述网络攻击数据,获取所述网络攻击数据对应的设备基础数据;
所述存储模块35,用于将所述网络攻击数据对应的设备基础数据存储到所述空间引擎系统中。
在一个可选的实施例中,所述计算模块34,具体用于;
获取所述网络攻击数据中的响应包内容、开放的服务、网站标题,获取所述目标设备的基础数据中的响应包内容、开发的服务、网站标题;
计算所述网络攻击数据中的响应包内容、开放的服务、网站标题,与所述目标设备的基础数据中的响应包内容、开发的服务、网站标题的相似度。
在一个可选的实施例中,所述确定模块33,具体用于;
确定所述相似度是否大于第一预置数值;
若所述相似度大于所述第一预置数值,则确定所述目标设备属于网络攻击设备;
若所述相似度小于或等于所述第一预置数值,从所述网络攻击数据中确定攻击行为数据,从所述目标设备的基础数据中确定操作行为数据;
比对所述攻击行为数据和所述操作行为数据的,确定所述目标设备是否属于网络攻击设备。
在一个可选的实施例中,所述确定模块33,具体用于;
获取所述攻击行为数据中的各个攻击行为及对应的攻击次数;获取所述操作行为数据中的各个操作行为及对应的操作次数;计算所述攻击行为的总攻击次数与所述操作行为的总操作次数之和;
统计所述攻击行为和所述操作行为中属于同一攻击过程的匹配次数;
计算所述匹配次数与所述和的比值;
确定所述比值是否大于预置比值;
若所述比值大于预置比值,则确定所述目标设备属于网络攻击设备。
在一个可选的实施例中,所述确定模块33,具体用于;
计算所述攻击行为数据与所述操作行为数据的相似度;
将所述攻击行为数据与所述操作行为数据的相似度大于第二预置数值对应的网络设备确定为网络攻击设备。
在一个可选的实施例中,所述网络攻击数据中至少包括网际互连协议IP地址和/或域名;所述基础数据至少包括IP、域名、响应包内容、开放的服务、网站标题和/或开放端口。
关于网络攻击的确定装置的具体限定可以参见上文中对于网络攻击的确定方法的限定,在此不再赘述。上述设备中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络攻击的确定方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;
从空间引擎系统中查询是否存在与所述网络攻击数据对应设备的基础数据;所述空间引擎系统中包括多个设备分别对应的基础数据;
若所述空间引擎系统中存在与所述网络攻击数据对应设备的基础数据,则从与所述网络攻击数据对应设备的基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;
将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目标设备;
计算所述网络攻击数据与所述目标设备的基础数据的相似度;
根据所述相似度确定所述目标设备是否属于网络攻击设备。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;
从空间引擎系统中查询是否存在与所述网络攻击数据对应设备的基础数据;所述空间引擎系统中包括多个设备分别对应的基础数据;
若所述空间引擎系统中存在与所述网络攻击数据对应设备的基础数据,则从与所述网络攻击数据对应设备的基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;
将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目标设备;
计算所述网络攻击数据与所述目标设备的基础数据的相似度;
根据所述相似度确定所述目标设备是否属于网络攻击设备。
在一个实施例中,提供了一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序被处理器执行实现以下步骤:
获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;
从空间引擎系统中查询是否存在与所述网络攻击数据对应设备的基础数据;所述空间引擎系统中包括多个设备分别对应的基础数据;
若所述空间引擎系统中存在与所述网络攻击数据对应设备的基础数据,则从与所述网络攻击数据对应设备的基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;
将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目标设备;
计算所述网络攻击数据与所述目标设备的基础数据的相似度;
根据所述相似度确定所述目标设备是否属于网络攻击设备。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synch l ink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络攻击的确定方法,其特征在于,所述方法包括:
获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;
从空间引擎系统中查询是否存在与所述网络攻击数据对应的设备基础数据;所述空间引擎系统中包括多个设备分别对应的基础数据;
若存在则从与所述网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;
将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目标设备;
计算所述网络攻击数据与所述目标设备的基础数据的相似度;
根据所述相似度确定所述目标设备是否属于网络攻击设备。
2.根据权利要求1所述的方法,其特征在于,所述从空间引擎系统查询是否存在与所述网络攻击数据对应设备的基础数据之后,所述方法还包括:
若所述空间引擎系统中不存在与所述网络攻击数据对应设备的基础数据,则分析所述网络攻击数据,获取所述网络攻击数据对应的设备基础数据;
将所述网络攻击数据对应的设备基础数据存储到所述空间引擎系统中。
3.根据权利要求2所述的方法,其特征在于,所述计算所述网络攻击数据与所述目标设备的基础数据的相似度,包括:
获取所述网络攻击数据中的响应包内容、开放的服务、网站标题,获取所述目标设备的基础数据中的响应包内容、开发的服务、网站标题;
计算所述网络攻击数据中的响应包内容、开放的服务、网站标题,与所述目标设备的基础数据中的响应包内容、开发的服务、网站标题的相似度。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述相似度确定所述目标设备是否属于网络攻击设备,包括:
确定所述相似度是否大于第一预置数值;
若所述相似度大于所述第一预置数值,则确定所述目标设备属于网络攻击设备;
若所述相似度小于或等于所述第一预置数值,从所述网络攻击数据中确定攻击行为数据,从所述目标设备的基础数据中确定操作行为数据;
比对所述攻击行为数据和所述操作行为数据,确定所述目标设备是否属于网络攻击设备。
5.根据权利要求4所述的方法,其特征在于,所述对比所述攻击行为数据和所述操作行为数据,确定所述目标设备是否属于网络攻击设备,包括:
获取所述攻击行为数据中的各个攻击行为及对应的攻击次数;获取所述操作行为数据中的各个操作行为及对应的操作次数;计算所述攻击行为的总攻击次数与所述操作行为的总操作次数之和;
统计所述攻击行为和所述操作行为中属于同一攻击过程的匹配次数;
计算所述匹配次数与所述和的比值;
确定所述比值是否大于预置比值;
若所述比值大于预置比值,则确定所述目标设备属于网络攻击设备。
6.根据权利要求4所述的方法,其特征在于,所述对所述攻击行为数据和所述操作行为数据的进行比对,确定所述目标设备是否属于网络攻击设备,包括:
计算所述攻击行为数据与所述操作行为数据的相似度;
将所述攻击行为数据与所述操作行为数据的相似度大于第二预置数值对应的网络设备确定为网络攻击设备。
7.一种网络攻击的确定装置,其特征在于,所述装置包括:
获取模块,用于获取网络攻击数据,所述网络攻击数据为已经确定存在攻击行为的数据;
查询模块,用于从空间引擎系统查中询是否存在与所述网络攻击数据对应的设备基础数据;所述空间引擎系统中包括多个设备分别对应的基础数据;
所述获取模块,还用于若存在则从与所述网络攻击数据对应的设备基础数据中,获取自治系统号ASN数据和/或互联网数据中心IDC数据;
确定模块,用于将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目标设备;
计算模块,用于计算所述网络攻击数据与所述目标设备的基础数据的相似度;
所述确定模块,还用于根据所述相似度确定所述目标设备是否属于网络攻击设备。
8.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的网络攻击的确定方法。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的网络攻击的确定方法。
10.一种计算机程序产品,所述计算机程序产品包括计算机程序,其特征在于,所述计算机程序指示计算机设备执行权利要求1至6任一项所述的网络攻击的确定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111420599.0A CN114039796B (zh) | 2021-11-26 | 2021-11-26 | 网络攻击的确定方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111420599.0A CN114039796B (zh) | 2021-11-26 | 2021-11-26 | 网络攻击的确定方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114039796A true CN114039796A (zh) | 2022-02-11 |
| CN114039796B CN114039796B (zh) | 2023-08-22 |
Family
ID=80138821
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111420599.0A Active CN114039796B (zh) | 2021-11-26 | 2021-11-26 | 网络攻击的确定方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114039796B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117411723A (zh) * | 2023-12-13 | 2024-01-16 | 无锡尚航数据有限公司 | 一种idc互联网数据中心信息安全保护方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170126724A1 (en) * | 2014-06-06 | 2017-05-04 | Nippon Telegraph And Telephone Corporation | Log analyzing device, attack detecting device, attack detection method, and program |
| US20170230391A1 (en) * | 2016-02-09 | 2017-08-10 | Darktrace Limited | Cyber security |
| US20170279823A1 (en) * | 2015-07-15 | 2017-09-28 | Guangzhou Ucweb Computer Technology Co., Ltd. | Network attack determination method, secure network data transmission method, and corresponding apparatus |
| CN109495471A (zh) * | 2018-11-15 | 2019-03-19 | 东信和平科技股份有限公司 | 一种对web攻击结果判定方法、装置、设备及可读存储介质 |
| CN110798426A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种洪水类DoS攻击行为的检测方法、系统及相关组件 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
| CN112633424A (zh) * | 2021-03-10 | 2021-04-09 | 腾讯科技(深圳)有限公司 | 图像处理方法、装置、图像处理设备及存储介质 |
| CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
-
2021
- 2021-11-26 CN CN202111420599.0A patent/CN114039796B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170126724A1 (en) * | 2014-06-06 | 2017-05-04 | Nippon Telegraph And Telephone Corporation | Log analyzing device, attack detecting device, attack detection method, and program |
| US20170279823A1 (en) * | 2015-07-15 | 2017-09-28 | Guangzhou Ucweb Computer Technology Co., Ltd. | Network attack determination method, secure network data transmission method, and corresponding apparatus |
| US20170230391A1 (en) * | 2016-02-09 | 2017-08-10 | Darktrace Limited | Cyber security |
| CN110798426A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种洪水类DoS攻击行为的检测方法、系统及相关组件 |
| CN109495471A (zh) * | 2018-11-15 | 2019-03-19 | 东信和平科技股份有限公司 | 一种对web攻击结果判定方法、装置、设备及可读存储介质 |
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
| CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
| CN112633424A (zh) * | 2021-03-10 | 2021-04-09 | 腾讯科技(深圳)有限公司 | 图像处理方法、装置、图像处理设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 张阳;梁树军;: "APT攻击行为分析及策略研究", 信息与电脑(理论版), no. 08 * |
| 王晓琪;李强;闫广华;玄光哲;郭东;: "高级持续性威胁中隐蔽可疑DNS行为的检测", 计算机研究与发展, no. 10 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117411723A (zh) * | 2023-12-13 | 2024-01-16 | 无锡尚航数据有限公司 | 一种idc互联网数据中心信息安全保护方法 |
| CN117411723B (zh) * | 2023-12-13 | 2024-02-23 | 无锡尚航数据有限公司 | 一种idc互联网数据中心信息安全保护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114039796B (zh) | 2023-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110798472B (zh) | 数据泄露检测方法与装置 | |
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN111476596B (zh) | 基于同源设备的家庭人口数据处理方法、系统及存储介质 | |
| CN110417643B (zh) | 邮件处理方法和装置 | |
| CN113316926A (zh) | 域名处理方法、装置、电子设备以及存储介质 | |
| CN109617977B (zh) | 一种网页请求处理方法及装置 | |
| CN111224941A (zh) | 一种威胁类型识别方法及装置 | |
| CN111314379B (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
| CN113179266A (zh) | 业务请求处理方法及装置、电子设备、存储介质 | |
| CN112668005A (zh) | webshell文件的检测方法及装置 | |
| CN114039796B (zh) | 网络攻击的确定方法、装置、计算机设备及存储介质 | |
| CN113949579B (zh) | 网站攻击防御方法、装置、计算机设备及存储介质 | |
| CN112804374B (zh) | 威胁ip识别方法、装置、设备及介质 | |
| CN109992960B (zh) | 一种伪造参数检测方法、装置、电子设备及存储介质 | |
| CN108650249B (zh) | Poc攻击检测方法、装置、计算机设备和存储介质 | |
| CN113051571A (zh) | 一种误报漏洞的检测方法、装置及计算机设备 | |
| CN113590180B (zh) | 一种检测策略生成方法及装置 | |
| CN116049822A (zh) | 应用程序的监管方法、系统、电子设备及存储介质 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN112367340B (zh) | 一种内网资产风险评估方法、装置、设备及介质 | |
| CN115017538A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN111654398B (zh) | 一种更新配置的方法、装置、计算机设备及可读存储介质 | |
| CN114244555A (zh) | 一种安全策略的调整方法 | |
| CN112153011A (zh) | 一种机器扫描的检测方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |