CN114124484B - 网络攻击识别方法、系统、装置、终端设备以及存储介质 - Google Patents
网络攻击识别方法、系统、装置、终端设备以及存储介质 Download PDFInfo
- Publication number
- CN114124484B CN114124484B CN202111323189.4A CN202111323189A CN114124484B CN 114124484 B CN114124484 B CN 114124484B CN 202111323189 A CN202111323189 A CN 202111323189A CN 114124484 B CN114124484 B CN 114124484B
- Authority
- CN
- China
- Prior art keywords
- attack
- terminal
- community
- association analysis
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 238000012098 association analyses Methods 0.000 claims abstract description 183
- 230000003068 static effect Effects 0.000 claims abstract description 66
- 238000004458 analytical method Methods 0.000 claims abstract description 34
- 230000006399 behavior Effects 0.000 claims description 104
- 230000002776 aggregation Effects 0.000 claims description 41
- 238000004220 aggregation Methods 0.000 claims description 41
- 230000008569 process Effects 0.000 claims description 20
- 238000004140 cleaning Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 8
- 241000565357 Fraxinus nigra Species 0.000 description 7
- 230000008859 change Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000009467 reduction Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000004128 high performance liquid chromatography Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004451 qualitative analysis Methods 0.000 description 1
- 238000004445 quantitative analysis Methods 0.000 description 1
- 230000002459 sustained effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络攻击识别方法、系统、装置、终端设备以及存储介质,其网络攻击识别方法包括:获取各攻击终端的攻击数据;根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。本发明解决了网络攻击源的智能识别问题。
Description
技术领域
本发明涉及网络安全领域,尤其涉及网络攻击识别方法、系统、装置、终端设备以及存储介质。
背景技术
目前不法分子对于互联网应用发起的攻击大多以团伙的形式出现,在这一过程中服务端往往能够获取这些黑灰产团伙攻击时所产生的大量数据,这些数据中蕴含着黑灰产团伙的终端、IP、攻击模式等有价值的信息,可用于采取相应反制措施。但面对杂乱多变的攻击数据,采用人工的方式进行团伙归集存在成本高、效率低、准确率低等问题。
因此,有必要提出一种智能识别网络攻击源的解决方案。
发明内容
本发明的主要目的在于提供一种网络攻击识别方法、系统、装置、终端设备以及存储介质,旨在解决网络攻击源的智能识别问题。
为实现上述目的,本发明提供一种网络攻击识别方法,所述网络攻击识别方法包括:
获取各攻击终端的攻击数据;
根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;
将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。
可选地,所述根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果的步骤包括:
对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果;
基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度;
将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度。
可选地,所述对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果的步骤包括:
将所述各攻击终端的攻击数据进行清洗,得到攻击二值化数据;
根据所述攻击二值化数据进行攻击事件识别,得到攻击事件识别结果;
将所述攻击二值化数据与所述攻击事件识别结果作为所述各攻击终端的动态行为关联分析结果。
可选地,所述基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度的步骤包括:
基于所述攻击二值化数据与所述攻击事件识别结果进行关系逻辑运算,具体包括:
将所述各攻击终端对不同攻击目标的攻击时间的二值化数据进行比对,得到所述各攻击终端的整体攻击相似度;
比较所述各攻击终端之间的攻击事件的起止时间的重合度,得到单次事件重合度;
通过层次分析法确定所述各攻击终端的整体攻击相似度的权重与所述单次事件重合度的权重;
根据所述各攻击终端的整体攻击相似度的权重与所述单次事件重合度的权重计算得到所述各攻击终端的动态行为关联度。
可选地,所述将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度的步骤包括:
根据所述各攻击终端的攻击数据获取各攻击终端的属性;
分析所述各攻击终端的属性关系,得到属性关系分析结果;
根据所述属性关系分析结果得到所述各攻击终端之间的静态属性关联度;
其中,所述各攻击终端的属性包括所述各攻击终端的设备指纹、账号、网际协议地址及经纬度中的一种或多种。
可选地,所述将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源的步骤包括:
将所述各攻击终端的关联分析结果输入预设社群发现算法中进行如下处理:
将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重;
遍历所述社群网络的各节点,归集出所述各节点的所属社群;
计算所述社群内归集后的各节点的可信度;
将所述可信度达到预设可信度的归集后的各节点固定并生成社群基线;
基于所述社群基线对所述归集后的各节点的所属社群进行算法迭代,归集得到最终社群,将所述最终社群作为所述网络攻击源。
可选地,所述将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重的步骤之后还包括:
对所述各攻击终端的关联分析结果中动态行为关联度低于预设关联度的各节点的连接边的权重进行调整;
剔除权重小于预设权重的连接边。
可选地,所述计算所述社群内归集后的各节点的可信度的步骤包括:
计算所述归集后的各节点的深度可信度,具体包括:列出所述归集后的各节点的连接边的全部权重,取所述全部权重的中位数,基于抛物线公式通过所述中位数计算出所述深度可信度;
计算所述归集后的各节点的广度可信度,具体包括:根据所述各攻击终端的关联分析结果中的静态属性关联度,将使用相同网际协议地址及经纬度的攻击终端合并,得到未使用相同网际协议地址及经纬度的攻击终端的数量,根据所述未使用相同网际协议地址及经纬度的攻击终端的数量与所有所述攻击终端的数量计算出所述广度可信度;
基于所述深度可信度与所述广度可信度综合计算出所述归集后的各节点的可信度。
此外,为实现上述目的,本发明还提供一种网络攻击识别系统,所述网络攻击识别系统包括:
数据获取模块,用于获取各攻击终端的攻击数据;
动态行为关联分析模块,用于对所述各攻击终端的攻击数据进行动态关联分析;
关系逻辑运算模块,用于对所述各攻击终端的动态关联分析的结果进行关系逻辑运算;
静态属性关联分析模块,用于对所述各攻击终端的攻击数据进行静态属性进行关联分析;
归集模块,用于将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。
此外,为实现上述目的,本发明还提供一种网络攻击识别装置,所述网络攻击识别装置包括:
获取单元,用于获取各攻击终端的攻击数据;
分析单元,用于根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;
归集单元,用于将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。
此外,为实现上述目的,本发明还提供一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击识别程序,所述网络攻击识别程序被所述处理器执行时实现如上所述的网络攻击识别方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络攻击识别程序,所述网络攻击识别程序被处理器执行时实现如上所述的网络攻击识别方法的步骤。
本发明实施例提出的网络攻击识别方法、系统、装置、终端设备以及存储介质,通过获取各攻击终端的攻击数据;根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。通过对各攻击终端的攻击数据进行分析量化了各攻击终端的关联程度,将量化后的关联分析结果输入预设社群发现算法可自动归集出各攻击终端对应的网络攻击源,从而解决了网络攻击源的智能识别问题。
附图说明
图1为本发明网络攻击识别装置所属终端设备的功能模块示意图;
图2为本发明网络攻击识别方法一示例性实施例的流程示意图;
图3为本发明实施例中根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果的细化流程示意图;
图4为本发明实施例中对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果的细化流程示意图;
图5为本发明实施例中基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度的细化流程示意图;
图6为本发明实施例中将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度的细化流程示意图;
图7为本发明实施例中将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源的细化流程示意图;
图8为本实施例中通过改良的社群发现算法确定网络攻击源的细化流程示意图;
图9为本发明网络攻击识别系统的工作原理示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:通过获取各攻击终端的攻击数据;对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果;基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度;将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度,将所述动态行为关联度与静态属性关联度作为所述各攻击终端的关联分析结果;将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。通过对各攻击终端的攻击数据进行分析量化了各攻击终端的关联程度,将量化后的关联分析结果输入预设社群发现算法可自动归集出各攻击终端对应的网络攻击源,从而解决了网络攻击源的智能识别问题。
本发明实施例涉及的技术术语:
网际协议地址(Internet Protocol,IP):是构成互联网的基础,位于模型的网络层,可以向传输层提供各种协议的信息。
社群发现算法(Community discovery algorithm):传统意义上的社群指的是网络中的一组节点间具有较大的相似性,从而形成的一种内部连接紧密,而外部稀疏的群体结构,社群发现算法是根据一定的算法模型分析及预测整个社群网络各节点间的交互关系。
Louvain社群发现算法(Louvain Community discovery algorithm):一种基于模块度的社群发现算法。
层次分析法(Analytic Hierarchy Process,AHP):是指将与决策有关的元素分解成目标、准则、方案等层次,在此基础之上进行定性和定量分析的决策方法,是一种运筹学理论。
Louvain社群发现算法是现有技术中性能较好的社群发现算法,该算法基于模块度实现,能够快速、准确地发现层次性的社群结构。然而,在网络攻击源的归集这一场景中,传统的Louvain社群发现算法存在两个问题:
(1)分离小社群合并大社群的倾向,主要是由于攻击终端之间偶发性的攻击导致出现部分权重较小的连接边,从而影响社群归集结果;
(2)单一节点的社群关系不稳定,当社群发生动态变化时,重新归集社群会导致单一节点的社群中节点的归属发生变化,对已有的社群关系造成改动。
本发明实施例对Louvain社群发现算法进行了改良,具体表现为在算法中加入持续平衡减分项并设定合理最小权重值,用以防止大小社群合并,以及计算社群中节点的可信度并生成社群基线,用以固定单一节点所属社群。采用改良后的社群发现算法进行社群归集,可以避免采用传统的Louvain社群发现算法导致的误将小社群合并到大社群中的问题,也避免了因算法和数据因素的动态变化而导致已有的社群关系发生改动,从而保证归集后的社群处于稳态或规模持续扩大的状态,故可实现对归集出的网络攻击源进行长期监控和跟踪分析。
通过在传统的Louvain社群发现算法中加入持续平衡减分项并设定合理最小权重值,将动态行为关联度过低的攻击终端之间的连接边的权重减分,将权重过低的连接边剔除,可以排除少量的偶发性攻击一致的情况,提高了社群归集结果的准确度;通过计算社群中节点的可信度并生成社群基线,可以保证各节点归属的社群不会轻易发生变化,提高了社群关系的稳定性。
具体地,参照图1,图1为本发明实施例网络攻击识别装置所属终端设备的功能模块示意图。该网络攻击识别装置可以为独立于终端设备的、能够进行网络攻击识别的装置,其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等具有数据处理功能的智能移动终端,还可以为具有数据处理功能的固定终端设备或服务器等。
在本实施例中,该网络攻击识别装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及网络攻击识别程序,网络攻击识别装置可以将获取的各攻击终端的攻击数据,通过预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到的所述各攻击终端的关联分析结果,所述预设社群发现算法,以及通过预设社群发现算法进行社群归集所确定的网络攻击源等信息存储于该存储器130中;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的网络攻击识别程序被处理器执行时实现以下步骤:
获取各攻击终端的攻击数据;
根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;
将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。
进一步地,存储器130中的网络攻击识别程序被处理器执行时还实现以下步骤:
对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果;
基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度;
将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度。
进一步地,存储器130中的网络攻击识别程序被处理器执行时还实现以下步骤:
将所述各攻击终端的攻击数据进行清洗,得到攻击二值化数据;
根据所述攻击二值化数据进行攻击事件识别,得到攻击事件识别结果;
将所述攻击二值化数据与所述攻击事件识别结果作为所述各攻击终端的动态行为关联分析结果。
进一步地,存储器130中的网络攻击识别程序被处理器执行时还实现以下步骤:
基于所述攻击二值化数据与所述攻击事件识别结果进行关系逻辑运算,具体包括:
将所述各攻击终端对不同攻击目标的攻击时间的二值化数据进行比对,得到所述各攻击终端的整体攻击相似度;
比较所述各攻击终端之间的攻击事件的起止时间的重合度,得到单次事件重合度;
通过层次分析法确定所述各攻击终端的整体攻击相似度的权重与所述单次事件重合度的权重;
根据所述各攻击终端的整体攻击相似度的权重与所述单次事件重合度的权重计算得到所述各攻击终端的动态行为关联度。
进一步地,存储器130中的网络攻击识别程序被处理器执行时还实现以下步骤:
根据所述各攻击终端的攻击数据获取各攻击终端的属性;
分析所述各攻击终端的属性关系,得到属性关系分析结果;
根据所述属性关系分析结果得到所述各攻击终端之间的静态属性关联度;
其中,所述各攻击终端的属性包括所述各攻击终端的设备指纹、账号、网际协议地址及经纬度中的一种或多种。
进一步地,存储器130中的网络攻击识别程序被处理器执行时还实现以下步骤:
将所述各攻击终端的关联分析结果输入预设社群发现算法中进行如下处理:
将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重;
遍历所述社群网络的各节点,归集出所述各节点的所属社群;
计算所述社群内归集后的各节点的可信度;
将所述可信度达到预设可信度的所述归集后的各节点固定并生成社群基线;
基于所述社群基线对所述归集后的各节点的所属社群进行算法迭代,归集得到最终社群,将所述最终社群作为所述网络攻击源。
进一步地,存储器130中的网络攻击识别程序被处理器执行时还实现以下步骤:
对所述各攻击终端的关联分析结果中动态行为关联度低于预设关联度的各节点的连接边的权重进行调整;
剔除权重小于预设权重的连接边。
进一步地,存储器130中的网络攻击识别程序被处理器执行时还实现以下步骤:
计算所述归集后的各节点的深度可信度,具体包括:列出所述归集后的各节点的连接边的全部权重,取所述全部权重的中位数,基于抛物线公式通过所述中位数计算出所述深度可信度;
计算所述归集后的各节点的广度可信度,具体包括:根据所述各攻击终端的关联分析结果中的静态属性关联度,将使用相同网际协议地址及经纬度的攻击终端合并,得到未使用相同网际协议地址及经纬度的攻击终端的数量,根据所述未使用相同网际协议地址及经纬度的攻击终端的数量与所有所述攻击终端的数量计算出所述广度可信度;
基于所述深度可信度与所述广度可信度综合计算出所述归集后的各节点的可信度。
本实施例通过上述方案,具体通过获取各攻击终端的攻击数据;根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。通过对各攻击终端的攻击数据进行分析量化了各攻击终端的关联程度,将量化后的关联分析结果输入预设社群发现算法可自动归集出各攻击终端对应的网络攻击源,从而解决了网络攻击源的智能识别问题。
基于上述终端设备架构但不限于上述架构,提出本申请方法实施例。
参照图2,图2为本发明网络攻击识别方法一示例性实施例的流程示意图。所述网络攻击识别方法包括:
步骤S10,获取各攻击终端的攻击数据。
本实施例方法的执行主体可以为一种网络攻击识别装置或终端设备等,本实施例以网络攻击识别装置进行举例。
其中,攻击终端是指不法分子对于互联网应用发起攻击所采用的终端设备,在不法分子采用攻击终端对互联网应用发起攻击的过程中,会产生大量的攻击数据,包括攻击产生的流量、日志等,这些攻击数据中蕴含着攻击终端网际协议地址(IP)、经纬度、攻击模式等有价值的信息,通过获取各攻击终端的攻击数据可以进一步分析得到各攻击终端之间的关联程度。
在获取各攻击终端的攻击数据时,可以通过收集网络攻击的域名、数据包,抓取攻击产生的日志、网络流量等方法,得到进行网络攻击的各攻击终端的攻击数据。
步骤S20,根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果。
所述预先配置的分析策略包括动态行为关联分析、关系逻辑运算以及静态属性关联分析联用法,具体包括先对所述各攻击终端的攻击数据进行动态行为关联分析,得到动态行为关联分析结果,再基于动态行为关联分析结果进行关系逻辑运算,得到动态行为关联度;基于各攻击终端的静态属性,分析出各攻击终端的静态属性关联度,再将动态行为关联度与静态属性关联度作为各攻击终端的关联分析结果。
步骤S30,将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。
其中,所述预设社群发现算法可以是改良后的Louvain社群发现算法,也可以为其他的实现社群归集功能的相关算法,本实施例以Louvain社群发现算法进行举例。
其中,对Louvain社群发现算法的主要改进方式是在社群发现算法中加入持续平衡减分项并设定合理最小权重值,将动态行为关联度过低的攻击终端之间的连接边的权重减分,将权重过低的连接边剔除,可以排除少量的偶发性攻击一致的情况,;通过计算社群中节点的可信度并生成社群基线,可以保证各节点归属的社群不会轻易发生变化。
具体地,将所述各攻击终端的关联分析结果输入预设社群发现算法中进行如下处理:
将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重;
遍历所述社群网络的各节点,归集出所述各节点的所属社群;
计算所述社群内归集后的各节点的可信度;
将所述可信度达到预设可信度的所述归集后的各节点固定并生成社群基线;
基于所述社群基线对所述归集后的各节点的所属社群进行算法迭代,归集得到最终社群,将所述最终社群作为所述网络攻击源。
本实施例通过上述方案,具体通过获取各攻击终端的攻击数据;对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果;基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度;将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度,将所述动态行为关联度与静态属性关联度作为所述各攻击终端的关联分析结果;将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。通过对各攻击终端的攻击数据进行分析量化了各攻击终端的关联程度,将量化后的关联分析结果输入预设社群发现算法可自动归集出各攻击终端对应的网络攻击源,从而解决了网络攻击源的智能识别问题。
参照图3,图3为本发明实施例中根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果的细化流程示意图。
本实施例基于上述图2所示的实施例,在本实施例中,上述步骤S20,根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果的步骤包括:
步骤S201,对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果,具体包括:
将所述各攻击终端的攻击数据进行清洗,得到攻击二值化数据;
根据所述攻击二值化数据进行攻击事件识别,得到攻击事件识别结果;
将所述攻击二值化数据与所述攻击事件识别结果作为所述各攻击终端的动态行为关联分析结果。
动态行为关联分析旨在发现各攻击终端之间的攻击行为的关联度,主要通过攻击数据二值化、攻击事件识别等方法进行攻击数据预处理,所述攻击数据二值化是指将数值型的攻击数据转换为布尔型数据,将二值化后的攻击数据暂存入数据库,再从数据库读取二值化攻击数据,进行攻击事件识别。其中,攻击事件是不法分子为实现某一目而发起的一组攻击,具有一定的时间连续性。例如3个IP使用10个攻击终端在晚上8点到9点持续登录一百万次,算为一次攻击事件。
本实施例实现动态行为关联分析的具体流程可以参照图4所示,图4为本发明实施例中对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果的细化流程示意图,基于动态行为关联分析结果进行关系逻辑运算可以得到各攻击终端的动态行为关联度。
步骤S202,基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度,具体包括:
基于所述攻击二值化数据与所述攻击事件识别结果进行关系逻辑运算,具体包括:
将所述各攻击终端对不同攻击目标的攻击时间的二值化数据进行比对,得到所述各攻击终端的整体攻击相似度;
比较所述各攻击终端之间的攻击事件的起止时间的重合度,得到单次事件重合度;
通过层次分析法确定所述各攻击终端的整体攻击相似度的权重与所述单次事件重合度的权重;
根据所述各攻击终端的整体攻击相似度的权重与所述单次事件重合度的权重计算得到所述各攻击终端的动态行为关联度。
关系逻辑运算意在找出各攻击终端间攻击的相似程度,首先汇总各攻击终端对各攻击目标的攻击时间,通过比对攻击时间二值化数据,得出整体攻击相似度;通过比较攻击终端间各自攻击事件的起止时间重合度来计算单次事件重合度,从而反映各攻击终端间攻击事件相同的程度。随后通过层次分析法(AHP)确定各自权重,综合计算出终端间的行为关联度。本发明实施例首先确定单次事件重合度更能反映两终端间的紧密关系,所以重要程度略高,得出判断矩阵如表1所示。随后设定对应的权重分如表2所示;此外,为了减少偶然性重合攻击事件的影响,特设定持续平衡减分项如表3所示。
表1AHP分析法判断矩阵
Cs | 整理相似度 | 单次事件重合度 |
整理相似度 | 1 | 0.5 |
单次事件重合度 | 2 | 1 |
表2行为关系加分权重表
表3行为关系减分权重表
其中,层次分析法的实施过程参照图5所示,图5为本发明实施例中基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度的细化流程示意图,如图5所示,根据层次分析法确定整体攻击相似度与单次事件重合度的各自权重,进而综合计算出终端间的行为关联度。
步骤S203,将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度,具体包括:
根据所述各攻击终端的攻击数据获取各攻击终端的属性;
分析所述各攻击终端的属性关系,得到属性关系分析结果;
根据所述属性关系分析结果得到所述各攻击终端之间的静态属性关联度;
其中,所述各攻击终端的属性包括所述各攻击终端的设备指纹、账号、网际协议地址及经纬度中的一种或多种。
静态属性关联分析旨在发现各攻击终端间的属性关系,主要分析攻击终端的设备指纹、账号、IP和经纬度等信息的关联关系。分析不同攻击终端的属性之间的关系,攻击终端使用的不同设备指纹紧密相连,攻击终端使用相同账号关系也比较紧密,攻击终端使用相同IP、经纬度则关系稍远一些,因此攻击终端属性间的关系可以总结如表4所示,根据属性间关系对终端进行两两比较,分析得出终端间的属性关联度,本实施例中进行静态属性关联分析的具体流程可以参照图6所示,图6为本发明实施例中将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度的细化流程示意图。
表4属性关系示例表
属性关系 | 关系代号 |
终端1使用了三个不同的设备指纹(虚拟设备) | 三个设备指纹是同人关系 |
终端1和终端2均使用了账号1 | 终端1和2是亲戚关系 |
终端2和终端3均使用了ip3、经纬度3 | 终端2和3是朋友关系 |
将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。
在本实施例中,通过获取各攻击终端的攻击数据,将攻击数据进行二值化处理,识别出攻击事件,得到动态行为关联分析结果,基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度;将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度,将所述动态行为关联度与静态属性关联度作为所述各攻击终端的关联分析结果。实现从大量的攻击数据中提取出有价值的信息,量化了各攻击终端的关联程度,将量化后的关联分析结果输入预设社群发现算法可自动归集出各攻击终端对应的网络攻击源,无需人工干预就能从海量的数据中找到各攻击终端之间的关联,提高了网络攻击识别的效率和准确率。
进一步地,参照图7,图7为将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源的细化流程示意图。
其中,将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源的步骤包括:
步骤S301,将所述各攻击终端的关联分析结果输入预设社群发现算法中进行如下处理:
将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重。
将各攻击终端作为社群网络的各个节点,根据各攻击终端的关联分析结果确定各节点的连接边以及每一条连接边的权重,对所述各攻击终端的关联分析结果中动态行为关联度低于预设关联度的各节点的连接边的权重进行调整,剔除权重小于预设权重的连接边,即将动态行为关联度过低的攻击终端之间的连接边的权重减分,将权重过低的连接边剔除,可以排除少量的偶发性攻击一致的情况,从而提高社群归集结果的准确度。
步骤S302,通过所述预设社群发现算法遍历所述社群网络的各节点,归集出所述各节点的所属社群。
A、通过所述预设社群发现算法计算社群网络中各节点加入与该节点相邻的邻居节点产生的模块度增益;
B、将所述节点与可产生的模块度增益最大的邻居节点合并为社群;
C、重复步骤A、B,直到社群网络中的各节点的归属的社群都不再发生变化,将归集出的社群作为各节点的所属社群。
步骤S303,计算所述社群内归集后的各节点的可信度。
首先,计算所述归集后的各节点的深度可信度,具体包括:列出所述归集后的各节点的连接边的全部权重,取所述全部权重的中位数,基于抛物线公式通过所述中位数计算出所述深度可信度。
将各攻击终端的数量记为n,列出各攻击终端的连接边的权重,则权重总数量为n*(n-1)/2,取所述全部权重的中位数,将中位数记为m,通过观察,深度可信度d与m存在一定的关系,如m=10时,d=5;m=40时,d=10。
符合抛物线公式d*d=2pm(p为常数,p≠0),计算出p=1.25,因此深度可信度
其次,计算所述归集后的各节点的广度可信度,具体包括:根据所述各攻击终端的关联分析结果中的静态属性关联度,将使用相同网际协议地址及经纬度的攻击终端合并,得到未使用相同网际协议地址及经纬度的攻击终端的数量,根据所述未使用相同网际协议地址及经纬度的攻击终端的数量与所有所述攻击终端的数量计算出所述广度可信度.
将各攻击终端的数量记为n,将使用相同网际协议地址及经纬度的攻击终端合并,得到未使用相同网际协议地址及经纬度的攻击终端的数量,记为u,则广度可信度b=(1-u/n)*10。
最后,基于所述深度可信度与所述广度可信度综合计算出所述归集后的各节点的可信度,计算公式为:
步骤S304,将所述可信度达到预设可信度的所述归集后的各节点固定并生成社群基线。
计算出归集后的各节点的可信度后,可信度达到阈值的攻击终端才会归集到所属社群中,将可信度达到阈值的节点固定并生成社群基线,即如果节点a、b之前已经归集到同一社群ab,那么下次归集社群时,把ab作为单独的节点(社群基线)放在整个社群网络中,再进行之后的算法迭代,保证节点a、b归属的社群不会轻易发生变化。
步骤S305,基于所述社群基线对所述归集后的各节点的所属社群进行算法迭代,归集得到最终社群,将所述最终社群作为所述网络攻击源。
基于生成的社群基线,将每一个社群折叠为一个新节点,分别计算所述新节点之间连接边的权重以及社群内归集的节点的连接边的权重之和,将新节点作为社群网络的节点重复步骤S302、步骤S303、步骤S304的操作,直至每一个新节点所属的最终社群都不再发生变化,将所述最终社群作为所述网络攻击源。
本实施例中通过改良的社群发现算法确定网络攻击源的细化流程可以参照图8所示,图8为本实施例中通过改良的社群发现算法确定网络攻击源的细化流程示意图。
在本实施例中,通过将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。通过将动态行为关联度过低的攻击终端之间的连接边的权重减分,将权重过低的连接边剔除,可以排除少量的偶发性攻击一致的情况,提高了社群归集结果的准确度;通过计算社群中节点的可信度并生成社群基线,可以保证各节点归属的社群不会轻易发生变化,提高了社群关系的稳定性,通过改良的社群发现算法实现了对网络攻击的智能识别。
此外,本发明实施例还提供一种网络攻击识别系统,参照图9,图9为本发明实施例网络攻击识别系统的工作原理示意图,所述网络攻击识别系统包括:
数据获取模块,用于获取各攻击终端的攻击数据;
动态行为关联分析模块,用于对所述各攻击终端的攻击数据进行动态关联分析;
关系逻辑运算模块,用于对所述各攻击终端的动态关联分析的结果进行关系逻辑运算;
静态属性关联分析模块,用于对所述各攻击终端的攻击数据进行静态属性进行关联分析;
归集模块,用于将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。
本发明实施例中的网络攻击识别系统以各攻击终端进行网络攻击产生的流量、日志等为攻击数据,首先进行动态行为关联分析,并基于分析结果进一步进行关系逻辑运算,随后又进行社群静态属性关联分析,最终使用自研改良的社群发现算法归集得到网络攻击源。
其中,动态行为关联分析,旨在发现各攻击终端间的攻击行为关联度。主要通过攻击数据二值化(将数值型数据转换为布尔型数据)、攻击事件识别等方法进行数据预处理,用于关系逻辑运算并最终得出攻击行为关联度,具体包括:
(1)将攻击流量、日志数据进行清洗,变成二值化数据;
(2)将攻击二值化数据暂存入数据库;
(3)从数据库读取攻击二值化数据,进行攻击事件识别。其中,攻击事件是黑灰产团伙为实现某一目的发起的一组攻击,具有一定的时间连续性。例如3个IP使用10个终端在晚上8点到9点持续登录一百万次,算为一次攻击事件;
(4)基于攻击二值化数据和识别出的攻击事件进行关系逻辑运算并进一步进行后续处理。
关系逻辑运算意在找出终端间攻击的相似程度,首先计算整体相似度和单次事件重合度,随后通过AHP层次分析法确定各自权重,综合计算出终端间的行为关联度,具体包括:
(1)计算整体攻击相似度,整体攻击相似度指的是终端间所有攻击行为的相似度,计算时汇总终端所有功能的攻击时间,通过攻击时间二值化比对,得出整体攻击相似度;
(2)计算单次事件重合度,通过比较终端间各自攻击事件的起止时间重合度来计算单次事件重合度,从而反映终端间攻击事件相同的程度;
(3)使用AHP层次分析法确定各自权重。AHP层次分析法是一种定性与定量相结合的决策分析方法,将决策者对复杂系统的决策思维过程化、数量化;本发明实施例方案,首先确定单次攻击事件重合度更能反映两终端间的紧密关系,所以重要程度略高,得出判断矩阵。随后设定对应的权重分,此外,为了减少偶然性重合攻击事件的影响,特设定持续平衡减分项;
(4)综合计算动态行为关联度。
在计算出动态行为关联度后,本发明实施例方案还通过静态属性进行攻击关联分析。静态属性关联分析旨在发现各攻击终端间的属性关系。主要分析设备指纹、账号、IP和经纬度等信息的关联关系,具体包括:
(1)分析不同攻击终端属性之间的关系,各攻击终端的不同设备指纹紧密相连,终端使用相同账号关系也比较紧密,终端使用相同IP、经纬度则关系稍远一些,因此可以总结各终端属性间的关系;
(2)根据属性间关系对终端进行两两比较,分析得出终端间的属性关联度。
在完成动态行为关联分析和静态属性关联分析之后,将行为和属性关联度数据输入到自研改良的社群发现算法中进行社群归集,从而归集出网络攻击源。本实施例方案对Louvain社群发现算法进行了改良,具体表现为加入持续平衡减分项并设定合理最小权重值用以防止大小社群合并,以及计算各攻击终端的可信度并生成社群基线用以固定单一节点所属社群,具体包括:
(1)加入持续平衡减分项,即如果终端间的攻击持续毫无关联或关联性很低,则权重值减分;
(2)设定合理最小权重值,大于此权重值的连接边才会参与社群归集,排除少量的偶发性攻击一致情况;
(3)计算黑灰产团伙可信度,黑灰产团伙可信度是判断一个黑灰产团伙是否可信的重要依据,从深度和广度两个维度考量。
(4)生成社群基线。即如果节点a、b之前已经归集到同一社群ab,那么下次归集社群时,把ab作为单独的节点(社群基线)放在整个关系图中,再进行之后的算法迭代,保证a、b归属的社群不会轻易发生变化。
(5)基于改良算法进行最终社群归集。
在本实施例中,通过将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。通过将动态行为关联度过低的攻击终端之间的连接边的权重减分,将权重过低的连接边剔除,可以排除少量的偶发性攻击一致的情况,提高了社群归集结果的准确度;通过计算社群中节点的可信度并生成社群基线,可以保证各节点归属的社群不会轻易发生变化,提高了社群关系的稳定性,通过改良的社群发现算法实现了对网络攻击的智能识别。
此外,本发明实施例还提供一种网络攻击识别装置,所述网络攻击识别装置包括:
获取单元,用于获取各攻击终端的攻击数据;
分析单元,用于根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;
归集单元,用于将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。
本实施例实现网络攻击识别的原理及实施过程,请参照上述各实施例,在此不再赘述。
此外,本发明实施例还提供一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击识别程序,所述网络攻击识别程序被所述处理器执行时实现如上所述的网络攻击识别方法的步骤。
由于本网络攻击识别程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络攻击识别程序,所述网络攻击识别程序被处理器执行时实现如上所述的网络攻击识别方法的步骤。
由于本网络攻击识别程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
相比现有技术,本发明实施例提出的一种网络攻击识别方法、系统、装置、终端设备以及存储介质,通过获取各攻击终端的攻击数据;根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源。通过对各攻击终端的攻击数据进行分析量化了各攻击终端的关联程度,将量化后的关联分析结果输入改良的社群发现算法可自动归集出各攻击终端对应的网络攻击源,提高了社群归集结果的准确度与社群关系的稳定性,弥补了在网络攻击智能识别方法上的空白,降低了网络攻击识别的检测成本,提高了识别的效率和准确率,从而解决了网络攻击源的智能识别问题。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本申请每个实施例的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (11)
1.一种网络攻击识别方法,其特征在于,所述网络攻击识别方法包括以下步骤:
获取各攻击终端的攻击数据;
根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;
将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源;
所述将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源的步骤包括:
将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重;
遍历所述社群网络的各节点,归集出所述各节点的所属社群;
计算所述社群内归集后的各节点的可信度;
将所述可信度达到预设可信度的归集后的各节点固定并生成社群基线;
基于所述社群基线对所述归集后的各节点的所属社群进行算法迭代,归集得到最终社群,将所述最终社群作为所述网络攻击源。
2.如权利要求1所述的网络攻击识别方法,其特征在于,所述根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果的步骤包括:
对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果;
基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度;
将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度。
3.如权利要求2所述的网络攻击识别方法,其特征在于,所述对所述各攻击终端的攻击数据进行动态行为关联分析,得到所述各攻击终端的动态行为关联分析结果的步骤包括:
将所述各攻击终端的攻击数据进行清洗,得到攻击二值化数据;
根据所述攻击二值化数据进行攻击事件识别,得到攻击事件识别结果;
将所述攻击二值化数据与所述攻击事件识别结果作为所述各攻击终端的动态行为关联分析结果。
4.如权利要求3所述的网络攻击识别方法,其特征在于,所述基于所述各攻击终端的动态行为关联分析结果进行关系逻辑运算,得到所述各攻击终端的动态行为关联度的步骤包括:
基于所述攻击二值化数据与所述攻击事件识别结果进行关系逻辑运算,具体包括:
将所述各攻击终端对不同攻击目标的攻击时间的二值化数据进行比对,得到所述各攻击终端的整体攻击相似度;
比较所述各攻击终端之间的攻击事件的起止时间的重合度,得到单次事件重合度;
通过层次分析法确定所述各攻击终端的整体攻击相似度的权重与所述单次事件重合度的权重;
根据所述各攻击终端的整体攻击相似度的权重与所述单次事件重合度的权重计算得到所述各攻击终端的动态行为关联度。
5.如权利要求4所述的网络攻击识别方法,其特征在于,所述将所述各攻击终端的攻击数据进行静态属性关联分析,得到所述各攻击终端的静态属性关联度的步骤包括:
根据所述各攻击终端的攻击数据获取各攻击终端的属性;
分析所述各攻击终端的属性关系,得到属性关系分析结果;
根据所述属性关系分析结果得到所述各攻击终端之间的静态属性关联度;
其中,所述各攻击终端的属性包括所述各攻击终端的设备指纹、账号、网际协议地址及经纬度中的一种或多种。
6.如权利要求1所述的网络攻击识别方法,其特征在于,所述将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重的步骤之后还包括:
对所述各攻击终端的关联分析结果中动态行为关联度低于预设关联度的各节点的连接边的权重进行调整;
剔除权重小于预设权重的连接边。
7.如权利要求1所述的网络攻击识别方法,其特征在于,所述计算所述社群内归集后的各节点的可信度的步骤包括:
计算所述归集后的各节点的深度可信度,具体包括:列出所述归集后的各节点的连接边的全部权重,取所述全部权重的中位数,基于抛物线公式通过所述中位数计算出所述深度可信度;
计算所述归集后的各节点的广度可信度,具体包括:根据所述各攻击终端的关联分析结果中的静态属性关联度,将使用相同网际协议地址及经纬度的攻击终端合并,得到未使用相同网际协议地址及经纬度的攻击终端的数量,根据所述未使用相同网际协议地址及经纬度的攻击终端的数量与所有所述攻击终端的数量计算出所述广度可信度;
基于所述深度可信度与所述广度可信度综合计算出所述归集后的各节点的可信度。
8.一种网络攻击识别系统,其特征在于,所述网络攻击识别系统包括:
数据获取模块,用于获取各攻击终端的攻击数据;
动态行为关联分析模块,用于对所述各攻击终端的攻击数据进行动态关联分析;
关系逻辑运算模块,用于对所述各攻击终端的动态关联分析的结果进行关系逻辑运算;
静态属性关联分析模块,用于对所述各攻击终端的攻击数据进行静态属性进行关联分析;
归集模块,用于将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源;
所述归集模块,还用于:
将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重;
遍历所述社群网络的各节点,归集出所述各节点的所属社群;
计算所述社群内归集后的各节点的可信度;
将所述可信度达到预设可信度的归集后的各节点固定并生成社群基线;
基于所述社群基线对所述归集后的各节点的所属社群进行算法迭代,归集得到最终社群,将所述最终社群作为所述网络攻击源。
9.一种网络攻击识别装置,其特征在于,所述网络攻击识别装置包括:
获取单元,用于获取各攻击终端的攻击数据;
分析单元,用于根据预先配置的分析策略对所述各攻击终端的攻击数据进行动态行为关联分析与静态属性关联分析,得到所述各攻击终端的关联分析结果;
归集单元,用于将所述各攻击终端的关联分析结果输入预设社群发现算法进行社群归集,确定网络攻击源;
所述归集单元,还用于:
将所述各攻击终端作为社群网络的各节点,根据所述各攻击终端的关联分析结果确定所述各节点的连接边以及所述各连接边的权重;
遍历所述社群网络的各节点,归集出所述各节点的所属社群;
计算所述社群内归集后的各节点的可信度;
将所述可信度达到预设可信度的归集后的各节点固定并生成社群基线;
基于所述社群基线对所述归集后的各节点的所属社群进行算法迭代,归集得到最终社群,将所述最终社群作为所述网络攻击源。
10.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络攻击识别程序,所述网络攻击识别程序被所述处理器执行时实现如权利要求1-7中任一项所述的网络攻击识别方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络攻击识别程序,所述网络攻击识别程序被处理器执行时实现如权利要求1-7中任一项所述的网络攻击识别方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111323189.4A CN114124484B (zh) | 2021-11-09 | 2021-11-09 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111323189.4A CN114124484B (zh) | 2021-11-09 | 2021-11-09 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114124484A CN114124484A (zh) | 2022-03-01 |
CN114124484B true CN114124484B (zh) | 2024-04-05 |
Family
ID=80377756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111323189.4A Active CN114124484B (zh) | 2021-11-09 | 2021-11-09 | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114124484B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114915478B (zh) * | 2022-05-19 | 2023-03-10 | 东南大学溧阳研究院 | 基于多代理的分布式关联分析的智慧园区工控系统网络攻击场景识别方法、系统及存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106663169A (zh) * | 2015-07-24 | 2017-05-10 | 策安保安有限公司 | 使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN108270723A (zh) * | 2016-12-30 | 2018-07-10 | 全球能源互联网研究院有限公司 | 一种电力网络预测攻击路径的获取方法 |
CN109308409A (zh) * | 2018-10-16 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于相似度计算的攻击路径重构方法 |
CN111224928A (zh) * | 2018-11-26 | 2020-06-02 | 中国移动通信集团辽宁有限公司 | 网络攻击行为的预测方法、装置、设备及存储介质 |
CN111641517A (zh) * | 2020-04-29 | 2020-09-08 | 深圳壹账通智能科技有限公司 | 同质网络的社群划分方法、装置、计算机设备和存储介质 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
CN112769840A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于强化学习Dyna框架的网络攻击行为识别方法 |
-
2021
- 2021-11-09 CN CN202111323189.4A patent/CN114124484B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106663169A (zh) * | 2015-07-24 | 2017-05-10 | 策安保安有限公司 | 使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法 |
CN106790186A (zh) * | 2016-12-30 | 2017-05-31 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN108270723A (zh) * | 2016-12-30 | 2018-07-10 | 全球能源互联网研究院有限公司 | 一种电力网络预测攻击路径的获取方法 |
CN109308409A (zh) * | 2018-10-16 | 2019-02-05 | 国网湖南省电力有限公司 | 一种基于相似度计算的攻击路径重构方法 |
CN111224928A (zh) * | 2018-11-26 | 2020-06-02 | 中国移动通信集团辽宁有限公司 | 网络攻击行为的预测方法、装置、设备及存储介质 |
CN111641517A (zh) * | 2020-04-29 | 2020-09-08 | 深圳壹账通智能科技有限公司 | 同质网络的社群划分方法、装置、计算机设备和存储介质 |
CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、系统、终端及可读存储介质 |
CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
CN112769840A (zh) * | 2021-01-15 | 2021-05-07 | 杭州安恒信息技术股份有限公司 | 一种基于强化学习Dyna框架的网络攻击行为识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114124484A (zh) | 2022-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109615116B (zh) | 一种电信诈骗事件检测方法和检测系统 | |
CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
CN111614690B (zh) | 一种异常行为检测方法及装置 | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
US20210026909A1 (en) | System and method for identifying contacts of a target user in a social network | |
CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
CN110415107B (zh) | 数据处理方法、装置、存储介质及电子设备 | |
KR102086936B1 (ko) | 사용자 데이터 공유 방법 및 디바이스 | |
CN112182567B (zh) | 一种多步攻击溯源方法、系统、终端及可读存储介质 | |
Macskassy et al. | Suspicion scoring of networked entities based on guilt-by-association, collective inference, and focused data access1 | |
Li et al. | Street-Level Landmarks Acquisition Based on SVM Classifiers. | |
CN114124484B (zh) | 网络攻击识别方法、系统、装置、终端设备以及存储介质 | |
US11575695B2 (en) | Systems and methods for intelligently constructing a backbone network graph and identifying and mitigating digital threats based thereon in a machine learning task-oriented digital threat mitigation platform | |
Belouch et al. | A hybrid filter-wrapper feature selection method for DDoS detection in cloud computing | |
Paudel et al. | Snapsketch: Graph representation approach for intrusion detection in a streaming graph | |
WO2023035362A1 (zh) | 用于模型训练的污染样本数据的检测方法及装置 | |
Sun et al. | Anomaly subgraph detection with feature transfer | |
CN113849595A (zh) | 一种基层治理事件类型识别方法及系统 | |
CN110704698B (zh) | 一种非结构化海量网络安全数据的关联及查询方法 | |
CN112199388A (zh) | 陌电识别方法、装置、电子设备及存储介质 | |
CN116723005A (zh) | 多态隐藏下的恶意代码隐式情报追踪方法及系统 | |
CN111666441A (zh) | 确定人员身份类型的方法、装置和电子系统 | |
CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
CN116263906A (zh) | 驿站选址的确定方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |