CN114244617A - 防范非法攻击行为的方法、装置和计算可读存储介质 - Google Patents
防范非法攻击行为的方法、装置和计算可读存储介质 Download PDFInfo
- Publication number
- CN114244617A CN114244617A CN202111577990.1A CN202111577990A CN114244617A CN 114244617 A CN114244617 A CN 114244617A CN 202111577990 A CN202111577990 A CN 202111577990A CN 114244617 A CN114244617 A CN 114244617A
- Authority
- CN
- China
- Prior art keywords
- log
- attacker
- attack
- suspicious access
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 213
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012545 processing Methods 0.000 claims abstract description 32
- 238000001914 filtration Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000016571 aggressive behavior Effects 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种防范非法攻击行为的方法、装置和计算可读存储介质。该方法包括:获取来源不同的标准化日志数据,其中,来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志;分析攻击行为日志,确定攻击者集合;分别从告警日志和业务日志匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合;根据所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。本申请提供的方案可以有效防范威胁度更高的非法攻击行为。
Description
技术领域
本申请涉及网络安全领域,尤其涉及防范非法攻击行为的方法、装置和计算可读存储介质。
背景技术
网络已经渗透到现代社会的各个领域,无论是个人生活、公益或公共组织还是商业团体,已经离不开网络。这些网络一旦遭遇非法攻击,将会给个人或团体带来巨大的损失,因此,网络安全始终是相关领域重要的研究课题。
将模拟拓扑网络,例如,蜜网(Honey Net)与安全设备联动,防范非法攻击行为是目前一种流行的技术。相关技术中,通常是将安全设备和蜜网等模拟拓扑网络发现的非法攻击信息共享。然而,这种信息共享通常并不充分或深入,仍然给非法攻击者有机可乘。
发明内容
为解决或部分解决相关技术中存在的问题,本申请提供一种防范非法攻击行为的方法、装置和计算可读存储介质,可以有效防范威胁度更高的非法攻击行为。
本申请第一方面提供一种防范非法攻击行为的方法,包括:
获取来源不同的标准化日志数据,所述来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志;
分析所述攻击行为日志,确定攻击者集合;
分别从所述告警日志和业务日志匹配出对应于所述攻击者集合的攻击者告警日志集合和可疑访问行为日志集合;
根据所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在所述可疑访问行为日志集合中每一个可疑访问行为的威胁度。
本申请第二方面提供一种防范非法攻击行为的装置,包括:
获取模块,用于获取来源不同的标准化日志数据,所述来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志;
分析模块,用于分析所述攻击行为日志,确定攻击者集合;
匹配模块,用于分别从所述告警日志和业务日志匹配出对应于所述攻击者集合的攻击者告警日志集合和可疑访问行为日志集合;
确定模块,用于根据所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在所述可疑访问行为日志集合中每一个可疑访问行为的威胁度。
本申请第三方面提供一种电子设备,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如上所述的方法。
本申请第四方面提供一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如上所述的方法。
本申请提供的技术方案可知,在通过对来自模拟拓扑网络的攻击行为日志分析,确定攻击者集合后,匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合,最后根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。由于可疑访问行为日志集合中每一个可疑访问行为的威胁度并非基于单个设备的数据,而是对不同来源数据关联分析得到,各种(个)设备的数据共享更加充分或深入,从而能够发现正常业务访问记录中的潜在攻击者,有效防范威胁度更高的非法攻击行为。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
通过结合附图对本申请示例性实施方式进行更详细地描述,本申请的上述以及其它目的、特征和优势将变得更加明显,其中,在本申请示例性实施方式中,相同的参考标号通常代表相同部件。
图1是本申请实施例提供的防范非法攻击行为的方法的流程示意图;
图2是本申请实施例提供的防范非法攻击行为的装置的结构示意图;
图3是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本申请的实施方式。虽然附图中显示了本申请的实施方式,然而应该理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了使本申请更加透彻和完整,并且能够将本申请的范围完整地传达给本领域的技术人员。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语“第一”、“第二”、“第三”等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在网络安全领域,相关技术中,是将模拟拓扑网络,例如,蜜网(Honey Net)与安全设备联动,以防范非法攻击行为。具体是将安全设备发现的攻击流量引流给蜜罐设备,或者将蜜罐设备识别出的攻击所用IP下发给安全设备,以让安全设备进行拦截,或者蜜罐设备和安全设备联动,等等。然而,上述相关技术中,将安全设备发现的攻击流量引流给蜜罐设备,无法解决安全设备被绕过的情况,原因在于安全设备基于已有的规则或引擎,只能识别已知攻击从而引流至蜜罐设备,而对于未知攻击,由于安全设备无法分辨而无法将其引流给蜜罐,而将蜜罐设备识别出的攻击所用IP下发给安全设备无法阻止攻击者更换IP地址继续进行攻击。至于蜜罐设备和安全设备联动,实际上联动并不充分,导致蜜罐设备捕获到的情报无法共享给安全设备,安全设备识别的攻击流量也不能引流至蜜罐设备。
针对上述问题,本申请实施例提供一种防范非法攻击行为的方法,可以有效防范威胁度更高的非法攻击行为。
以下结合附图详细描述本申请实施例的技术方案。
参见图1,是本申请实施例示出的防范非法攻击行为的方法的流程示意图,主要包括步骤S101至步骤S104,说明如下:
步骤S101:获取来源不同的标准化日志数据,其中,来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志。
在本申请实施例中,标准化日志数据是通过采集来自不同设备或网络的日志数据,经过标准化处理后得到的日志数据。具体而言,在获取来源不同的标准化日志数据之前,对来自模拟拓扑网络,例如蜜网(Honey Net)的攻击行为日志、来自真实网络安全设备的告警日志和来自业务系统的业务日志进行标准化处理,得到来源不同的标准化日志数据,保存这些来源不同的标准化日志数据,例如,保存至同一数据库进行统一管理。上述实施例中,对攻击行为日志、告警日志和业务日志进行标准化处理主要包括抽取这些日志中每条日志的源IP地址或攻击者设备标识等主要信息,然后,对抽取源IP地址或攻击者设备标识后的同一个对象或同一个行为的日志统一命名,消除歧义,最后,将经过统一命名和消除歧义的日志,建立同一个对象或行为与日志之间的映射关系,如此,当获取一条这种标准化日志,即可获知该条标准化日志是对应于哪个源IP地址或攻击者设备标识,而源IP地址或攻击者设备标识亦对应于某个攻击工具或者攻击者所使用的设备或IP地址,其中,上述攻击者设备标识具体可以是攻击者设备指纹,意味着只要攻击者只是采用同一台设备,即使更换IP地址,仍然可以识别出攻击者。在另一些实施例中,对攻击行为日志、告警日志和业务日志进行标准化处理还包括抽取这些日志中每条日志的目的IP、源端口,目的端口、用于表明每条日志产生时间的时间戳、每条日志的类别以及每条日志对应的行为等信息,其中,从攻击行为日志或告警日志所抽取的行为信息对应于对攻击行为的描述,从业务日志抽取的行为信息对应于对业务系统中数据的访问行为。
步骤S102:分析来自模拟拓扑网络并经标准化处理的攻击行为日志,确定攻击者集合。
作为本申请一个实施例,分析来自模拟拓扑网络并经标准化处理的攻击行为日志,确定攻击者集合可以通过如下步骤S1021至步骤S1023实现:
步骤S1021:确定第三方的攻击行为情报中的自动攻击行为。
需要说明的是,本申请的技术方案主要是识别攻击者,包括明显的攻击者和/或潜在的攻击者,其中,攻击者主要是指操作攻击工具的非法攻击人员,例如,网络黑客等,并非是指攻击工具,例如,一些自动攻击工具。因此,本申请在确定攻击者集合时,首先需要确定第三方的攻击行为情报中的自动攻击行为,例如,恶意爬虫、黑灰产活动等等。尽管这些来自第三方的攻击行为情报中的自动攻击行为具有非法性,但往往并不具备攻击性,一般不会给业务系统带来致命的损害或过高的安全风险。
步骤S1022:将自动攻击行为与攻击行为日志匹配,过滤攻击行为日志中自动攻击行为。
如前所述,在对攻击行为日志抽取信息时,还包括对每条攻击行为日志对应的行为即攻击行为的描述。因此,将自动攻击行为与攻击行为日志匹配,可以过滤攻击行为日志中自动攻击行为。
步骤S1023:基于人机交互引擎,分析并过滤自动攻击行为的攻击源,得到由攻击者构成的攻击者集合。
步骤S103:分别从告警日志和业务日志匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合。
如前所述,由于对攻击行为日志、告警日志和业务日志进行标准化处理包括抽取这些日志中每条日志的源IP地址或攻击者设备标识等信息,因此,步骤S103的实现可以是:分别提取告警日志和业务日志中每一条日志对应的源IP地址或攻击者设备标识;将源IP地址或攻击者设备标识与攻击者集合中攻击者对应的源IP地址或攻击者设备标识匹配;若匹配成功,则将匹配成功的源IP地址或攻击者设备标识对应的告警日志作为攻击者告警日志集合的元素构成攻击者告警日志集合,将匹配成功的源IP地址或攻击者设备标识对应的业务日志作为可疑访问行为日志集合的元素构成可疑访问行为日志集合。需要说明的是,上述实施例中,当将攻击者设备标识与攻击者集合中攻击者的对应的攻击者设备标识匹配时,可以有效防止攻击者更换IP地址进行非法攻击。
步骤S104:根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。
在本申请实施例中,来自模拟拓扑网络的攻击行为日志,其对应的攻击行为具有一定的可信度即为真实、已知的攻击行为,同样地,来自真实网络安全设备的告警日志,其对应的攻击行为亦具有一定的可信度即为真实、已知的攻击行为,而来自业务系统的业务日志,其对应的访问行为可能是对业务系统正常或合法的访问,亦可能是对业务系统非正常或非法的访问。由于这些非正常或非法的访问行为具有隐蔽性,因而逃过了模拟拓扑网络或者真实网络安全设备的检测。然而,正是因为这些非正常或非法的访问行为的隐蔽性强,具有较高的威胁度,因而可以采用模拟拓扑网络、真实网络安全设备和业务系统联动的方式,即,根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。
具体而言,作为本申请一个实施例,根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度可以通过步骤S1041和步骤S1042实现,说明如下:
步骤S1041:提取攻击者告警日志集合、可疑访问行为日志集合以及来自模拟拓扑网络并经标准化处理的攻击行为日志中每一条日志的时间戳,分别构成对应的时间戳集合T2、时间戳集合T3和时间戳集合T1。
即提取攻击者告警日志集合中每一条日志的时间戳,构成时间戳集合T2;提取可疑访问行为日志集合中每一条日志的时间戳,构成时间戳集合T3;提取来自模拟拓扑网络并经标准化处理的攻击行为日志中每一条日志的时间戳,构成时间戳集合T1。
步骤S1042:根据时间戳集合T1、时间戳集合T2和时间戳集合T3并基于时间临近关系算法,计算在可疑访问行为日志集合中每一个可疑访问行为的可疑分值,其中,可疑访问行为的可疑分值的大小正比于可疑访问行为的威胁度。
如前所述,来自模拟拓扑网络的攻击行为日志或真实网络安全设备的告警日志,其对应的攻击行为亦具有一定的可信度,若可疑访问行为日志集合中某条可疑访问行为日志的时间戳与攻击行为日志或告警日志的时间戳较为临近,则该条可疑访问行为日志对应的访问行为高度可疑,具有一定的安全威胁度。正是基于上述事实,在本申请实施例中,可疑根据时间戳集合T1、时间戳集合T2和时间戳集合T3并基于时间临近关系算法,计算在可疑访问行为日志集合中每一个可疑访问行为的可疑分值,具体方法如下步骤S1至步骤S4:
步骤S1:获取时间戳集合T3中对应于任意一条可疑访问行为日志li的时间戳ti。
步骤S2:计算上述任意一条可疑访问行为日志li的时间戳ti与时间戳集合T1中每个时间戳的绝对差值,得到绝对差值集合SΔt1,以及计算上述任意一条可疑访问行为日志li的时间戳ti与时间戳集合T2中每个时间戳的绝对差值,得到绝对差值集合SΔt2。
步骤S3:设置对应于r1的权重w1以及对应于r2的权重w2,其中,r1为绝对差值集合SΔt1中最小绝对差值的倒数,r2为绝对差值集合SΔt2中最小绝对差值的倒数。
上述实施例中,若任意一条可疑访问行为日志li的时间戳ti与时间戳集合T1中某个时间戳t1的绝对差值最小,则该可疑访问行为日志li对应的访问行为高度可疑或具有较高的威胁度,可能是由产生时间戳为t1的攻击行为日志对应的攻击者实施,因此,r1为绝对差值集合SΔt1中最小绝对差值的倒数可以反映上述事实;同样地,若任意一条可疑访问行为日志li的时间戳ti与时间戳集合T2中某个时间戳t2的绝对差值最小,则该可疑访问行为日志li对应的访问行为高度可疑或具有较高的威胁度,可能是由产生时间戳为t2的攻击者告警日志对应的攻击者实施,因此,r2为绝对差值集合SΔt2中最小绝对差值的倒数可以反映上述事实。至于对应于r1的权重w1以及对应于r2的权重w2,哪个应当设置较大,哪个应当设置较小,主要是考虑到作为模拟拓扑网络的蜜网中的蜜罐设备,其对攻击者的识别的准确率通常比真实网络安全设备对对攻击者的识别的准确率要高,因此,在本申请实施例中,可以将对应于r1的权重w1设置得比要对应于r2的权重w2大。
步骤S4:按照公式S(li)=r1*w1+r2*w2计算得到对应于可疑访问行为日志li的可疑访问行为的可疑分值S(li)。
从S(li)的计算公式以及上述对r1、r2、w1和w2的说明可知,若来自业务系统并经标准化处理的某条业务日志,其时间戳与来自模拟拓扑网络并经标准化处理的某条攻击行为日志的时间戳或来自真实网络安全设备并经标准化处理的某条告警日志的时间戳越接近、尤其是该某条业务日志的时间戳与来自模拟拓扑网络并经标准化处理的某条攻击行为日志的时间戳越接近,则该条业务访问日志对应的访问行为越有可能是攻击行为,具有较高的威胁度。
需要说明的是,为了提高分析人员对攻击者进行分析和/或确认的效率,在上述本申请实施例中,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度之后,还可以按照威胁度的高低进行前后排序,输出威胁度的排序结果,以对排序在前的威胁度对应的潜在攻击者进行处理。
从上述图1示例的防范非法攻击行为的方法可知,在通过对来自模拟拓扑网络的攻击行为日志分析,确定攻击者集合后,匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合,最后根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。由于可疑访问行为日志集合中每一个可疑访问行为的威胁度并非基于单个设备的数据,而是对不同来源数据关联分析得到,各种(个)设备的数据共享更加充分或深入,从而能够发现正常业务访问记录中的潜在攻击者,有效防范威胁度更高的非法攻击行为。
参见图2,是本申请实施例示出的防范非法攻击行为的装置的结构示意图。为了便于说明,仅示出了与本申请实施例相关的部分。图2示例的防范非法攻击行为的装置主要包括获取模块201、分析模块202、匹配模块203和确定模块204,其中:
获取模块201,用于获取来源不同的标准化日志数据,其中,来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志;
分析模块202,用于分析来自模拟拓扑网络并经标准化处理的攻击行为日志,确定攻击者集合;
匹配模块203,用于分别从告警日志和业务日志匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合;
确定模块204,用于根据来自模拟拓扑网络并经标准化处理的攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不再做详细阐述说明。
从上述图2示例的防范非法攻击行为的装置可知,在通过对来自模拟拓扑网络的攻击行为日志分析,确定攻击者集合后,匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合,最后根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。由于可疑访问行为日志集合中每一个可疑访问行为的威胁度并非基于单个设备的数据,而是对不同来源数据关联分析得到,各种(个)设备的数据共享更加充分或深入,从而能够发现正常业务访问记录中的潜在攻击者,有效防范威胁度更高的非法攻击行为。
可选地,图2示例的分析模块202可以包括第一确定单元、过滤单元和第二确定单元,其中:
第一确定单元,用于确定第三方的攻击行为情报中的自动攻击行为;
过滤单元,用于将自动攻击行为与攻击行为日志匹配,过滤攻击行为日志中自动攻击行为;
第二确定单元,用于基于人机交互引擎,分析并过滤自动攻击行为的攻击源,得到由攻击者构成的攻击者集合。
可选地,图2示例的匹配模块203可以包括第一提取单元、标识匹配单元和第三确定单元,其中:
第一提取单元,用于分别提取告警日志和业务日志中每一条日志对应的源IP地址或攻击者设备标识;
标识匹配单元,用于将源IP地址或攻击者设备标识与攻击者集合中攻击者对应的源IP地址或攻击者设备标识匹配;
第三确定单元,用于若上述匹配成功,则将匹配成功的源IP地址或攻击者设备标识对应的告警日志作为攻击者告警日志集合的元素构成攻击者告警日志集合,将匹配成功的源IP地址或攻击者设备标识对应的业务日志作为可疑访问行为日志集合的元素构成可疑访问行为日志集合。
可选地,图2示例的确定模块204可以包括第二提取单元和第四确定单元,其中:
第二提取单元,用于提取攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合中每一条日志的时间戳,分别构成对应的时间戳集合T1、时间戳集合T2和时间戳集合T3;
第四确定单元,用于根据时间戳集合T1、时间戳集合T2和时间戳集合T3并基于时间临近关系算法,计算在可疑访问行为日志集合中每一个可疑访问行为的可疑分值,其中,可疑分值的大小正比于威胁度。
可选地,上述示例的第四确定单元可以包括获取单元、第一计算单元、设置单元和第二计算单元,其中:
获取单元,用于获取时间戳集合T3中对应于任意一条可疑访问行为日志li的时间戳ti;
第一计算单元,用于计算时间戳ti与时间戳集合T1中每个时间戳的绝对差值,得到绝对差值集合SΔt1以及时间戳ti与时间戳集合T2中每个时间戳的绝对差值得到绝对差值集合SΔt2;
设置单元,用于设置对应于r1的权重w1以及对应于r2的权重w2,其中,r1为绝对差值集合SΔt1中最小绝对差值的倒数,r2为绝对差值集合SΔt2中最小绝对差值的倒数;
第二计算单元,用于按照公式S(li)=r1*w1+r2*w2计算得到对应于可疑访问行为日志li的可疑访问行为的可疑分值S(li)。
可选地,图2示例的装置还可以包括标准化处理模块和保存模块,其中:
标准化处理模块,用于获取模块201获取来源不同的标准化日志数据之前,对攻击行为日志、告警日志和业务日志进行标准化处理,得到来源不同的标准化日志数据;
保存模块,用于保存来源不同的标准化日志数据。
可选地,图2示例的装置还可以包括排序模块,用于确定模块204确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度之后,按照每一个可疑访问行为的威胁度的高低进行前后排序,输出威胁度的排序结果,以对排序在前的威胁度对应的潜在攻击者进行处理。
图3是本申请实施例示出的电子设备的结构示意图。
参见图3,电子设备300包括存储器310和处理器320。
处理器320可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器310可以包括各种类型的存储单元,例如系统内存、只读存储器(ROM)和永久存储装置。其中,ROM可以存储处理器320或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中,永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中,永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备,例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外,存储器310可以包括任意计算机可读存储媒介的组合,包括各种类型的半导体存储芯片(例如DRAM,SRAM,SDRAM,闪存,可编程只读存储器),磁盘和/或光盘也可以采用。在一些实施方式中,存储器310可以包括可读和/或写的可移除的存储设备,例如激光唱片(CD)、只读数字多功能光盘(例如DVD-ROM,双层DVD-ROM)、只读蓝光光盘、超密度光盘、闪存卡(例如SD卡、min SD卡、Micro-SD卡等)、磁性软盘等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
存储器310上存储有可执行代码,当可执行代码被处理器320处理时,可以使处理器320执行上文述及的方法中的部分或全部。
此外,根据本申请的方法还可以实现为一种计算机程序或计算机程序产品,该计算机程序或计算机程序产品包括用于执行本申请的上述方法中部分或全部步骤的计算机程序代码指令。
或者,本申请还可以实施为一种计算机可读存储介质(或非暂时性机器可读存储介质或机器可读存储介质),其上存储有可执行代码(或计算机程序或计算机指令代码),当可执行代码(或计算机程序或计算机指令代码)被电子设备(或服务器等)的处理器执行时,使处理器执行根据本申请的上述方法的各个步骤的部分或全部。
以上已经描述了本申请的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其他普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种防范非法攻击行为的方法,其特征在于,所述方法包括:
获取来源不同的标准化日志数据,所述来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志;
分析所述攻击行为日志,确定攻击者集合;
分别从所述告警日志和业务日志匹配出对应于所述攻击者集合的攻击者告警日志集合和可疑访问行为日志集合;
根据所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在所述可疑访问行为日志集合中每一个可疑访问行为的威胁度。
2.根据权利要求1所述的防范非法攻击行为的方法,其特征在于,所述分析所述攻击行为日志,确定攻击者集合,包括:
确定第三方的攻击行为情报中的自动攻击行为;
将所述自动攻击行为与所述攻击行为日志匹配,过滤所述攻击行为日志中自动攻击行为;
基于人机交互引擎,分析并过滤自动攻击行为的攻击源,得到由攻击者构成的攻击者集合。
3.根据权利要求1所述的防范非法攻击行为的方法,其特征在于,所述分别从所述告警日志和业务日志匹配出对应于所述攻击者集合中攻击者告警日志集合和可疑访问行为日志集合,包括:
分别提取所述告警日志和业务日志中每一条日志对应的源IP地址或攻击者设备标识;
将所述源IP地址或攻击者设备标识与所述攻击者集合中攻击者对应的源IP地址或攻击者设备标识匹配;
若上述匹配成功,则将所述匹配成功的源IP地址或攻击者设备标识对应的告警日志作为所述攻击者告警日志集合的元素构成所述攻击者告警日志集合,将所述匹配成功的源IP地址或攻击者设备标识对应的业务日志作为所述可疑访问行为日志集合的元素构成所述可疑访问行为日志集合。
4.根据权利要求1所述的防范非法攻击行为的方法,其特征在于,所述根据所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在所述可疑访问行为日志集合中每一个可疑访问行为的威胁度,包括:
提取所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合中每一条日志的时间戳,分别构成对应的时间戳集合T1、时间戳集合T2和时间戳集合T3;
根据所述时间戳集合T1、时间戳集合T2和时间戳集合T3并基于时间临近关系算法,计算在所述可疑访问行为日志集合中每一个可疑访问行为的可疑分值,所述可疑分值的大小正比于所述威胁度。
5.根据权利要求4所述的防范非法攻击行为的方法,其特征在于,所述根据所述时间戳集合T1、时间戳集合T2和时间戳集合T3并基于时间临近关系算法,计算在所述可疑访问行为日志集合中每一个可疑访问行为的可疑分值,包括:
获取所述时间戳集合T3中对应于任意一条可疑访问行为日志li的时间戳ti;
计算所述时间戳ti与所述时间戳集合T1中每个时间戳的绝对差值,得到绝对差值集合SΔt1以及所述时间戳ti与所述时间戳集合T2中每个时间戳的绝对差值得到绝对差值集合SΔt2;
设置对应于r1的权重w1以及对应于r2的权重w2,所述r1为所述绝对差值集合SΔt1中最小绝对差值的倒数,所述r2为所述绝对差值集合SΔt2中最小绝对差值的倒数;
按照公式S(li)=r1*w1+r2*w2计算得到对应于所述可疑访问行为日志li的可疑访问行为的可疑分值S(li)。
6.根据权利要求1至5任意一项所述的防范非法攻击行为的方法,其特征在于,所述获取来源不同的标准化日志数据之前,所述方法还包括:
对所述攻击行为日志、告警日志和业务日志进行标准化处理,得到所述来源不同的标准化日志数据;
保存所述来源不同的标准化日志数据。
7.根据权利要求1至5任意一项所述的防范非法攻击行为的方法,其特征在于,所述确定在所述可疑访问行为日志集合中每一个可疑访问行为的威胁度之后,所述方法还包括:
按照所述威胁度的高低进行前后排序,输出所述威胁度的排序结果,以对排序在前的威胁度对应的潜在攻击者进行处理。
8.一种防范非法攻击行为的装置,其特征在于,所述装置包括:
获取模块,用于获取来源不同的标准化日志数据,所述来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志;
分析模块,用于分析所述攻击行为日志,确定攻击者集合;
匹配模块,用于分别从所述告警日志和业务日志匹配出对应于所述攻击者集合的攻击者告警日志集合和可疑访问行为日志集合;
确定模块,用于根据所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合,确定在所述可疑访问行为日志集合中每一个可疑访问行为的威胁度。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,其上存储有可执行代码,当所述可执行代码被所述处理器执行时,使所述处理器执行如权利要求1至7中任意一项所述的方法。
10.一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被电子设备的处理器执行时,使所述处理器执行如权利要求1至7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111577990.1A CN114244617A (zh) | 2021-12-22 | 2021-12-22 | 防范非法攻击行为的方法、装置和计算可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111577990.1A CN114244617A (zh) | 2021-12-22 | 2021-12-22 | 防范非法攻击行为的方法、装置和计算可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114244617A true CN114244617A (zh) | 2022-03-25 |
Family
ID=80760973
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111577990.1A Pending CN114244617A (zh) | 2021-12-22 | 2021-12-22 | 防范非法攻击行为的方法、装置和计算可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244617A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208679A (zh) * | 2022-07-14 | 2022-10-18 | 软极网络技术(北京)有限公司 | 一种基于蜜阵协同的攻击者ip的防御方法和防御系统 |
| CN115695019A (zh) * | 2022-11-03 | 2023-02-03 | 成都钊峪半网络科技有限公司 | 一种大数据网络安全数据传输方法 |
| CN115794479A (zh) * | 2023-02-10 | 2023-03-14 | 深圳依时货拉拉科技有限公司 | 日志数据处理方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060161816A1 (en) * | 2004-12-22 | 2006-07-20 | Gula Ronald J | System and method for managing events |
| US20150381637A1 (en) * | 2010-07-21 | 2015-12-31 | Seculert Ltd. | System and methods for malware detection using log based crowdsourcing analysis |
| CN109818933A (zh) * | 2018-12-29 | 2019-05-28 | 微梦创科网络科技(中国)有限公司 | 网络攻击行为的捕获方法、装置、系统、设备及介质 |
| CN111726342A (zh) * | 2020-06-08 | 2020-09-29 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN112187719A (zh) * | 2020-08-31 | 2021-01-05 | 新浪网技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
| CN113486339A (zh) * | 2021-06-29 | 2021-10-08 | 新华三信息安全技术有限公司 | 一种数据处理方法、装置、设备及机器可读存储介质 |
| CN113676497A (zh) * | 2021-10-22 | 2021-11-19 | 广州锦行网络科技有限公司 | 数据阻断的方法和装置、电子设备和存储介质 |
-
2021
- 2021-12-22 CN CN202111577990.1A patent/CN114244617A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060161816A1 (en) * | 2004-12-22 | 2006-07-20 | Gula Ronald J | System and method for managing events |
| US20150381637A1 (en) * | 2010-07-21 | 2015-12-31 | Seculert Ltd. | System and methods for malware detection using log based crowdsourcing analysis |
| CN109818933A (zh) * | 2018-12-29 | 2019-05-28 | 微梦创科网络科技(中国)有限公司 | 网络攻击行为的捕获方法、装置、系统、设备及介质 |
| CN111726342A (zh) * | 2020-06-08 | 2020-09-29 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN112187719A (zh) * | 2020-08-31 | 2021-01-05 | 新浪网技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
| CN113486339A (zh) * | 2021-06-29 | 2021-10-08 | 新华三信息安全技术有限公司 | 一种数据处理方法、装置、设备及机器可读存储介质 |
| CN113676497A (zh) * | 2021-10-22 | 2021-11-19 | 广州锦行网络科技有限公司 | 数据阻断的方法和装置、电子设备和存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208679A (zh) * | 2022-07-14 | 2022-10-18 | 软极网络技术(北京)有限公司 | 一种基于蜜阵协同的攻击者ip的防御方法和防御系统 |
| CN115208679B (zh) * | 2022-07-14 | 2023-12-08 | 软极网络技术(北京)有限公司 | 一种基于蜜阵协同的攻击者ip的防御方法和防御系统 |
| CN115695019A (zh) * | 2022-11-03 | 2023-02-03 | 成都钊峪半网络科技有限公司 | 一种大数据网络安全数据传输方法 |
| CN115695019B (zh) * | 2022-11-03 | 2023-05-12 | 深圳有方信息技术有限公司 | 一种大数据网络安全数据传输方法 |
| CN115794479A (zh) * | 2023-02-10 | 2023-03-14 | 深圳依时货拉拉科技有限公司 | 日志数据处理方法、装置、电子设备及存储介质 |
| CN115794479B (zh) * | 2023-02-10 | 2023-05-12 | 深圳依时货拉拉科技有限公司 | 日志数据处理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114244617A (zh) | 防范非法攻击行为的方法、装置和计算可读存储介质 | |
| CN109816397B (zh) | 一种欺诈判别方法、装置及存储介质 | |
| EP3469770B1 (en) | Spam classification system based on network flow data | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| Damshenas et al. | A survey on digital forensics trends | |
| CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| CN113132311B (zh) | 异常访问检测方法、装置和设备 | |
| US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
| CN112543196A (zh) | 一种基于区块链智能合约的网络威胁情报共享平台 | |
| CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
| CN111385270A (zh) | 基于waf的网络攻击检测方法及装置 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| WO2016014014A1 (en) | Remedial action for release of threat data | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| Veena et al. | C SVM classification and KNN techniques for cyber crime detection | |
| CN110598397A (zh) | 一种基于深度学习的Unix系统用户恶意操作检测方法 | |
| CN117375997A (zh) | 一种基于蜜点的恶意流量攻击安全知识平面构建方法 | |
| Boggs et al. | Discovery of emergent malicious campaigns in cellular networks | |
| Agrawal et al. | A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS. | |
| CN113923021B (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| Toraskar et al. | Efficient computer forensic analysis using machine learning approaches | |
| AlMahmeed et al. | Zero-day Attack Solutions Using Threat Hunting Intelligence: Extensive Survey |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |