CN114398633A - 一种蜜罐攻击者的画像分析方法及装置 - Google Patents

Abstract

本申请公开了一种蜜罐攻击者的画像分析方法，该方法可以提取蜜罐攻击设备的特征数据，以及对蜜罐攻击设备的特征数据进行整合聚类处理，并根据聚类结果确定蜜罐攻击设备的画像，这样，本申请所提供的方法便实现了从攻击者画像的构建触发，利用蜜罐攻击设备的特征数据的聚类结果快速实现蜜罐攻击设备的标签的定义，生成了多维度、多层次的蜜罐攻击者的画像，以便于蜜罐安全分析人员全面了解攻击者(即蜜罐攻击者)态势，积极主动采取各项安全措施，并且，安全分析人员可以掌控全局，获得更多的决策主动权。

Description

一种蜜罐攻击者的画像分析方法及装置

技术领域

本申请涉及网络安全技术领域，尤其涉及一种蜜罐攻击者的画像分析方法及装置。

背景技术

蜜罐技术是一种欺骗性防御技术，它通过诱骗入侵者进行攻击，从而监视和跟踪入侵者的行为并已日志形式记录，然后借助一定的工具进行分析，知晓入侵者的工具、策略和方法，从而相应的采取措施进行防御，实现防御能力的提升。但当前的蜜罐技术缺少基于攻击者画像视角的分析方法，从而难以对攻击者进行深入的认知了解。

发明内容

本申请提供一种蜜罐攻击者的画像分析方法及装置，以可以实现从攻击者画像的构建触发，利用蜜罐攻击设备的特征数据的聚类结果快速实现蜜罐攻击设备的标签的定义，生成了多维度、多层次的蜜罐攻击者的画像，以便于蜜罐安全分析人员全面了解攻击者(即蜜罐攻击者)态势，积极主动采取各项安全措施，并且，安全分析人员可以掌控全局，获得更多的决策主动权。

第一方面，本申请提供了一种蜜罐攻击者的画像分析方法，所述方法包括：

获取蜜罐攻击设备的特征数据；

根据所述特征数据，生成全局特征图；其中，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征；

对所述全局特征图的节点进行聚类，得到节点聚类结果；

根据所述节点聚类结果，确定目标节点；

根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。

可选的，所述获取蜜罐攻击设备的特征数据，包括：

获取攻击设备的多源数据；

对所述网络安全事件数据和所述主机安全事件数据进行预处理，得到所述攻击设备的特征数据。

可选的，所述特征数据包括所述蜜罐攻击设备的攻击IP地址、所述攻击 IP地址的属性；所述根据所述特征数据，生成全局特征图，包括：

将所述蜜罐攻击设备的攻击IP地址、所述攻击IP地址的各个属性均作为节点；

根据各个节点之间的关系类型，确定各个节点之间的边；

根据所确定的各个节点以及各个节点之间的边，确定全局特征图。

可选的，所述对所述全局特征图的节点进行聚类，得到节点聚类结果，包括：

利用Louvain算法对所述全局特征图的节点进行聚类，得到若干个社区；

将所述若干个社区作为节点聚类结果。

可选的，所述根据所述节点聚类结果，确定目标节点，包括：

若社区的模块度大于或等于预设模块度阈值，则将所述社区中的节点作为目标节点；

若社区的模块度小于所述预设模块度阈值，采用iForest算法计算所述社区中各个节点的异常值；以及，根据所述社区中各个节点的异常值，确定所述社区中的目标节点。

可选的，所述根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像，包括：

根据所述目标节点对应的特征，确定所述蜜罐攻击设备的标签；

根据所述蜜罐攻击设备的标签，生成所述蜜罐攻击设备的画像。

可选的，所述特征数据包括所述蜜罐攻击设备的攻击IP地址、所述攻击 IP地址所属国家、所述攻击IP地址所属省份、所述攻击IP地址所属地市、所述攻击IP地址所属区县、攻击协议、攻击端口、攻击时间、攻击行为类别、攻击阶段、威胁等级、攻击结果、攻击详情、被攻击IP地址。

第二方面，本申请提供了一种蜜罐攻击者的画像分析装置，所述装置包括：

获取单元，用于获取蜜罐攻击设备的特征数据；

生成单元，用于根据所述特征数据，生成全局特征图；其中，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征；

聚类单元，用于对所述全局特征图的节点进行聚类，得到节点聚类结果；

节点确定单元，用于根据所述节点聚类结果，确定目标节点；

画像确定单元，用于根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。

可选的，所述获取单元，用于：

获取攻击设备的多源数据；

对所述网络安全事件数据和所述主机安全事件数据进行预处理，得到所述攻击设备的特征数据。

可选的，所述特征数据包括所述蜜罐攻击设备的攻击IP地址、所述攻击 IP地址的属性；所述生成单元，用于：

将所述蜜罐攻击设备的攻击IP地址、所述攻击IP地址的各个属性均作为节点；

根据各个节点之间的关系类型，确定各个节点之间的边；

根据所确定的各个节点以及各个节点之间的边，确定全局特征图。

可选的，所述聚类单元，用于：

利用Louvain算法对所述全局特征图的节点进行聚类，得到若干个社区；

将所述若干个社区作为节点聚类结果。

可选的，所述节点确定单元，用于：

若社区的模块度大于或等于预设模块度阈值，则将所述社区中的节点作为目标节点；

若社区的模块度小于所述预设模块度阈值，采用iForest算法计算所述社区中各个节点的异常值；以及，根据所述社区中各个节点的异常值，确定所述社区中的目标节点。

可选的，所述画像确定单元，用于：

根据所述目标节点对应的特征，确定所述蜜罐攻击设备的标签；

根据所述蜜罐攻击设备的标签，生成所述蜜罐攻击设备的画像。

可选的，所述特征数据包括所述蜜罐攻击设备的攻击IP地址、所述攻击 IP地址所属国家、所述攻击IP地址所属省份、所述攻击IP地址所属地市、所述攻击IP地址所属区县、攻击协议、攻击端口、攻击时间、攻击行为类别、攻击阶段、威胁等级、攻击结果、攻击详情、被攻击IP地址。

第三方面，本申请提供了一种可读介质，包括执行指令，当电子设备的处理器执行所述执行指令时，所述电子设备执行如第一方面中任一所述的方法。

第四方面，本申请提供了一种电子设备，包括处理器以及存储有执行指令的存储器，当所述处理器执行所述存储器存储的所述执行指令时，所述处理器执行如第一方面中任一所述的方法。

由上述技术方案可以看出，本申请可以先获取蜜罐攻击设备的特征数据；然后，可以根据所述特征数据，生成全局特征图；其中，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征；接着，可以对所述全局特征图的节点进行聚类，得到节点聚类结果；紧接着，可以根据所述节点聚类结果，确定目标节点；最后，可以根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。可见，本申请可以提取蜜罐攻击设备的特征数据，以及对蜜罐攻击设备的特征数据进行整合聚类处理，并根据聚类结果确定蜜罐攻击设备的画像，这样，本申请所提供的方法便实现了从攻击者画像的构建触发，利用蜜罐攻击设备的特征数据的聚类结果快速实现蜜罐攻击设备的标签的定义，生成了多维度、多层次的蜜罐攻击者的画像，以便于蜜罐安全分析人员全面了解攻击者(即蜜罐攻击者)态势，积极主动采取各项安全措施，并且，安全分析人员可以掌控全局，获得更多的决策主动权。

上述的非惯用的优选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

为了更清楚地说明本申请实施例或现有的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例提供的一种蜜罐攻击者的画像分析方法的流程示意图；

图2为本申请一实施例提供的一种蜜罐攻击者的画像分析装置的结构示意图；

图3为本申请一实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

发明人发现现有技术中，缺少基于攻击者画像视角的分析方法，从而难以对攻击者进行深入的认知了解。

故此，本申请提供了一种蜜罐攻击者的画像分析方法，本申请可以先获取蜜罐攻击设备的特征数据；然后，可以根据所述特征数据，生成全局特征图；其中，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征；接着，可以对所述全局特征图的节点进行聚类，得到节点聚类结果；紧接着，可以根据所述节点聚类结果，确定目标节点；最后，可以根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。可见，本申请可以提取蜜罐攻击设备的特征数据，以及对蜜罐攻击设备的特征数据进行整合聚类处理，并根据聚类结果确定蜜罐攻击设备的画像，这样，本申请所提供的方法便实现了从攻击者画像的构建触发，利用蜜罐攻击设备的特征数据的聚类结果快速实现蜜罐攻击设备的标签的定义，生成了多维度、多层次的蜜罐攻击者的画像，以便于蜜罐安全分析人员全面了解攻击者(即蜜罐攻击者)态势，积极主动采取各项安全措施，并且，安全分析人员可以掌控全局，获得更多的决策主动权。

下面结合附图，详细说明本申请的各种非限制性实施方式。

参见图1，示出了本申请实施例中的一种蜜罐攻击者的画像分析方法。在本实施例中，所述方法例如可以包括以下步骤：

S101：获取蜜罐攻击设备的特征数据。

在本实施例的一种实现方式中，所述特征数据可以包括所述蜜罐攻击设备的攻击IP地址、所述攻击IP地址的属性等特征，其中，所述攻击IP地址的属性可以包括所述攻击IP地址所属国家、所述攻击IP地址所属省份、所述攻击 IP地址所属地市、所述攻击IP地址所属区县、攻击协议、攻击端口、攻击时间、攻击行为类别、攻击阶段、威胁等级、攻击结果、攻击详情、被攻击IP 地址。

作为一种示例，本实施例中，可以先获取攻击设备的多源数据，其中，多源数据例如可以如表1、表2中的数据所示，例如可以攻击设备的网络安全事件数据和主机安全时间数据。接着，可以对所述网络安全事件数据和所述主机安全事件数据进行预处理(比如可以进行数据清洗、日志解析、规范化处理、事件理解形成基本数据等处理)，得到所述蜜罐攻击设备的特征数据。在一种实现方式中，可以以基本数据为核心进行构建蜜罐攻击设备的特征数据，例如可以在基本数据的基础上，整合IP地理位置信息，最后得到蜜罐攻击设备的特征数据。

表1

表2

S102：根据所述特征数据，生成全局特征图。

在本实施例中，可以将所述蜜罐攻击设备的攻击IP地址、所述攻击IP地址的各个属性均作为节点。然后，可以根据各个节点之间的关系类型，确定各个节点之间的边；作为一种示例，以攻击IP地址及其属性值定义为数据表节点V，攻击IP地址对应的节点与属性对应的节点间添加第一边E₁，若两个属性节点之间存在相等关系，则在关系类型为相等关系的两个属性节点之间添加第二边E₂；若节点间为从属关系，如被攻击者IP的地理信息对应的节点与被攻击者IP对应的节点等，则在关系类型为从属关系的两个节点之间添加第三边E₃。接着，可以根据所确定的各个节点以及各个节点之间的边，确定全局特征图；具体地，可以根据所确定的节点以及各个节点之间所具备的边关系，如从属、相同或其他对应关系，生成全局特征图G(V,E)。可以理解的是，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征。

S103：对所述全局特征图的节点进行聚类，得到节点聚类结果。

在本实施例中，可以利用Louvain算法对所述全局特征图的节点进行聚类，得到若干个社区，并将所述若干个社区作为节点聚类结果。也就是说，本实施例以全局特征图G(V,E)通过Louvain算法模型实现特征聚类，其中，Louvain 算法模型是一种通过模块度

衡量社区区分优劣的方法。

具体地，步骤(a)：将全局特征图中每个节点看作一个单独社区，对于全局特征图中任一节点v，遍历其关联节点，将其关联节点加入到使该节点对应的模块度增量最大的社区，所述模块度增量计算公式为：

其中，k_v,vn为节点v加入到社区后的总权重，∑totk_v为所有和节点v相连的边的权重之和，m为总特征图中的权重之和。m的计算公式为：

其中，A_vw为节点v、w之间的权重值。模块度增量ΔQ可以衡量节点v加入到一个新社区对该社区模块度的影响。其中，若模块度增量均为负，则节点 v不加入任何社区。

步骤(b)：加入到同一社区的节点看作超节点，计算社区C内部节点权重之和m_c作为社区的内部权重，计算超节点与其他节点/超节点之间的权重，进行步骤a)的迭代。需要注意的是，为防止弱联系的节点合并，当社区C有且仅有一条与外部相连的边权重为1时，将该边权重设置为0。

步骤(c)：每次迭代计算各社区的模块度，当模块度不再改变，将当前划分社区作为最终划分层次，从而可以得到若干个社区，并将所述若干个社区作为节点聚类结果。其中，模块度计算公式为：

其中，c_v,c_w,分别为节点v、w所属的社区，k_v为所有和节点v相连的边的权重之和，k_w为所有和节点w相连的边的权重之和；σ(c_v,c_w,)表示节点v、w 之间的社区关系，若节点v、w属于同一社区，σ(c_v,c_w,)＝1，否则σ(c_v,c_w,)＝0，不进行两节点/超节点之间的模块值度量，以减少计算量。

S104：根据所述节点聚类结果，确定目标节点。

若社区的模块度大于或等于预设模块度阈值，则将所述社区中的节点作为目标节点。可以理解的是，对模块度较大的社区(即社区的模块度大于或等于预设模块度阈值)，识别其相同的特征作为社区分类主要特征(即将该社区中的节点对应的特征作为主要特征)，以及将其作为目标节点，以便可以对社区赋予评价标签。例如，选取社区中符合预设数据源类别(比如属于基本数据) 且聚合次数较高的节点对应的特征作为目标节点。

若社区的模块度小于所述预设模块度阈值，可以采用iForest算法计算所述社区中各个节点的异常值；以及，根据所述社区中各个节点的异常值，确定所述社区中的目标节点。

对模块度较小的社区(即模块度小于所述预设模块度阈值的社区)，进行特征分析和描述，若无意义则舍去。对于划分出的各社区(模块度小于所述预设模块度阈值的社区)关注非主要特征(即除模块度大于或等于预设模块度阈值的社区中的节点对应的特征以外的特征)的表示情况，以发现同一社区类型中的新颖值。各社区中非主要特征采用iForest算法进行异常值的检测。

所述iForest算法的主要实施方法为：

步骤a)：选取各社区建立非主要特征样本集P＝{a₁,a₂...,a_n}，其中a_i表示各非主要特征，各特征取值不完全相同但差异大的值占少数。

步骤b)：随机选取特征a_i内t个值作为样本，随机选取取值范围内a_ik作为划分值进行样本的二叉划分，k∈(1,t)，小于k的值放在a_ik的左边，大于k 的值放在a_ik的右边，从而将样本划分为两组数据集。

步骤c)：迭代上述步骤b)，直到满足两个条件之一：(1)、每个数据集仅包含一个数据，或数据集中不存在差异值；(2)、生成树的高度达到log(t)。

步骤d)：对所有生成树的异常值进行评估，得到iForest算法对各非主要特征a_i的异常值R，即社区中各个节点的异常值。

接下来，可以将社区中各个节点的异常值R从大到小排序，选取高于预设异常阈值的属性进行分析，寻找异常值的节点所在非特征属性以及所在社区，关联其社区内部主特征属性对应的值，并计算该节点的异常评分，异常评分X 的计算公式为：

X＝R/A_x,y

其中，A_x,y表示节点所在社区的x个非特征属性，涉及y个节点的总权重； X取值越大，a_i的异常越显著，从而有利于在划分的社区层次中选取新颖值，进而分析其与攻击者主要特征的关系。接下来，可以将异常评分X大于预设异常评分阈值的节点作为目标节点。其中，可以通过调整预设异常阈值调整上述方法的异常敏感度。当非特征属性的边权重总值越小，说明该社区的主特征越明显，则该社区中的孤立点越新颖。R∈[0,1]表示孤立点异常度，越接近1孤立性越强。

S105：根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。

在本实施例中，可以先根据所述目标节点对应的特征，确定所述蜜罐攻击设备的标签，从而便可以根据所述蜜罐攻击设备的标签，生成所述蜜罐攻击设备的画像，例如，可以将所述蜜罐攻击设备的全部标签作为所述蜜罐攻击设备的画像。

由上述技术方案可以看出，本申请可以先获取蜜罐攻击设备的特征数据；然后，可以根据所述特征数据，生成全局特征图；其中，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征；接着，可以对所述全局特征图的节点进行聚类，得到节点聚类结果；紧接着，可以根据所述节点聚类结果，确定目标节点；最后，可以根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。可见，本申请可以提取蜜罐攻击设备的特征数据，以及对蜜罐攻击设备的特征数据进行整合聚类处理，并根据聚类结果确定蜜罐攻击设备的画像，这样，本申请所提供的方法便实现了从攻击者画像的构建触发，利用蜜罐攻击设备的特征数据的聚类结果快速实现蜜罐攻击设备的标签的定义，生成了多维度、多层次的蜜罐攻击者的画像，以便于蜜罐安全分析人员全面了解攻击者(即蜜罐攻击者)态势，积极主动采取各项安全措施，并且，安全分析人员可以掌控全局，获得更多的决策主动权。并且，本申请将当前的数据源进行分类，形成基础层数据(即基本数据)、衍生数据两个层次，通过对基础层数据的算法处理和分析，提出更高阶的数据维度用于支撑获取更高质量的衍生数据，或者与衍生数据做更好的整合。同时给出了衍生数据的获取方式和方法(每个攻击者都能在合适的场景中获取到)，最终综合起来形成多层次、多维度的攻击者画像，可便于安全分析人员掌控全局，获得更多的决策主动权。

如图2所示，为本申请所述蜜罐攻击者的画像分析装置的一个具体实施例。本实施例所述装置，即用于执行上述实施例所述方法的实体装置。其技术方案本质上与上述实施例一致，上述实施例中的相应描述同样适用于本实施例中。

本实施例中所述装置包括：

获取单元201，用于获取蜜罐攻击设备的特征数据；

生成单元202，用于根据所述特征数据，生成全局特征图；其中，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征；

聚类单元203，用于对所述全局特征图的节点进行聚类，得到节点聚类结果；

节点确定单元204，用于根据所述节点聚类结果，确定目标节点；

画像确定单元205，用于根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。

可选的，所述获取单元201，用于：

获取攻击设备的多源数据；

对所述网络安全事件数据和所述主机安全事件数据进行预处理，得到所述攻击设备的特征数据。

可选的，所述特征数据包括所述蜜罐攻击设备的攻击IP地址、所述攻击 IP地址的属性；所述生成单元202，用于：

将所述蜜罐攻击设备的攻击IP地址、所述攻击IP地址的各个属性均作为节点；

根据各个节点之间的关系类型，确定各个节点之间的边；

根据所确定的各个节点以及各个节点之间的边，确定全局特征图。

可选的，所述聚类单元203，用于：

利用Louvain算法对所述全局特征图的节点进行聚类，得到若干个社区；

将所述若干个社区作为节点聚类结果。

可选的，所述节点确定单元204，用于：

若社区的模块度大于或等于预设模块度阈值，则将所述社区中的节点作为目标节点；

若社区的模块度小于所述预设模块度阈值，采用iForest算法计算所述社区中各个节点的异常值；以及，根据所述社区中各个节点的异常值，确定所述社区中的目标节点。

可选的，所述画像确定单元205，用于：

根据所述目标节点对应的特征，确定所述蜜罐攻击设备的标签；

根据所述蜜罐攻击设备的标签，生成所述蜜罐攻击设备的画像。

可选的，所述特征数据包括所述蜜罐攻击设备的攻击IP地址、所述攻击 IP地址所属国家、所述攻击IP地址所属省份、所述攻击IP地址所属地市、所述攻击IP地址所属区县、攻击协议、攻击端口、攻击时间、攻击行为类别、攻击阶段、威胁等级、攻击结果、攻击详情、被攻击IP地址。

图3是本申请实施例提供的一种电子设备的结构示意图。在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是ISA(Industry StandardArchitecture，工业标准体系结构)总线、PCI(Peripheral ComponentInterconnect，外设部件互连标准)总线或EISA(Extended IndustryStandardArchitecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放执行指令。具体地，执行指令即可被执行的计算机程序。存储器可以包括内存和非易失性存储器，并向处理器提供执行指令和数据。

在一种可能实现的方式中，处理器从非易失性存储器中读取对应的执行指令到内存中然后运行，也可从其它设备上获取相应的执行指令，以在逻辑层面上形成蜜罐攻击者的画像分析装置。处理器执行存储器所存放的执行指令，以通过执行的执行指令实现本申请任一实施例中提供的蜜罐攻击者的画像分析方法。

上述如本申请图1所示实施例提供的蜜罐攻击者的画像分析装置执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(Central ProcessingUnit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(DigitalSignal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

本申请实施例还提出了一种可读介质，该可读存储介质存储有执行指令，存储的执行指令被电子设备的处理器执行时，能够使该电子设备执行本申请任一实施例中提供的蜜罐攻击者的画像分析方法，并具体用于执行上述蜜罐攻击者的画像分析的方法。

前述各个实施例中所述的电子设备可以为计算机。

本领域内的技术人员应明白，本申请的实施例可提供为方法或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例，或软件和硬件相结合的形式。

本申请中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种蜜罐攻击者的画像分析方法，其特征在于，所述方法包括：

获取蜜罐攻击设备的特征数据；

根据所述特征数据，生成全局特征图；其中，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征；

对所述全局特征图的节点进行聚类，得到节点聚类结果；

根据所述节点聚类结果，确定目标节点；

根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。

2.根据权利要求1所述的方法，其特征在于，所述获取蜜罐攻击设备的特征数据，包括：

获取攻击设备的多源数据；

对所述网络安全事件数据和所述主机安全事件数据进行预处理，得到所述攻击设备的特征数据。

3.根据权利要求1所述的方法，其特征在于，所述特征数据包括所述蜜罐攻击设备的攻击IP地址、所述攻击IP地址的属性；所述根据所述特征数据，生成全局特征图，包括：

将所述蜜罐攻击设备的攻击IP地址、所述攻击IP地址的各个属性均作为节点；

根据各个节点之间的关系类型，确定各个节点之间的边；

根据所确定的各个节点以及各个节点之间的边，确定全局特征图。

4.根据权利要求1所述的方法，其特征在于，所述对所述全局特征图的节点进行聚类，得到节点聚类结果，包括：

利用Louvain算法对所述全局特征图的节点进行聚类，得到若干个社区；

将所述若干个社区作为节点聚类结果。

5.根据权利要求4所述的方法，其特征在于，所述根据所述节点聚类结果，确定目标节点，包括：

若社区的模块度大于或等于预设模块度阈值，则将所述社区中的节点作为目标节点；

若社区的模块度小于所述预设模块度阈值，采用iForest算法计算所述社区中各个节点的异常值；以及，根据所述社区中各个节点的异常值，确定所述社区中的目标节点。

6.根据权利要求1所述的方法，其特征在于，所述根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像，包括：

根据所述目标节点对应的特征，确定所述蜜罐攻击设备的标签；

根据所述蜜罐攻击设备的标签，生成所述蜜罐攻击设备的画像。

7.根据权利要求1-6中任一所述的方法，其特征在于，所述特征数据包括所述蜜罐攻击设备的攻击IP地址、所述攻击IP地址所属国家、所述攻击IP地址所属省份、所述攻击IP地址所属地市、所述攻击IP地址所属区县、攻击协议、攻击端口、攻击时间、攻击行为类别、攻击阶段、威胁等级、攻击结果、攻击详情、被攻击IP地址。

8.一种蜜罐攻击者的画像分析装置，其特征在于，所述装置包括：

获取单元，用于获取蜜罐攻击设备的特征数据；

生成单元，用于根据所述特征数据，生成全局特征图；其中，所述全局特征图中的各个节点分别表示所述特征数据中的各个特征；

聚类单元，用于对所述全局特征图的节点进行聚类，得到节点聚类结果；

节点确定单元，用于根据所述节点聚类结果，确定目标节点；

画像确定单元，用于根据所述目标节点对应的特征，确定所述蜜罐攻击设备的画像。

9.一种可读介质，其特征在于，所述可读介质包括执行指令，当电子设备的处理器执行所述执行指令时，所述电子设备执行如权利要求1-7中任一所述的方法。

10.一种电子设备，其特征在于，所述电子设备包括处理器以及存储有执行指令的存储器，当所述处理器执行所述存储器存储的所述执行指令时，所述处理器执行如权利要求1-7中任一所述的方法。

Images