CN114666101A - 一种攻击溯源检测系统、方法、设备及介质 - Google Patents
一种攻击溯源检测系统、方法、设备及介质 Download PDFInfo
- Publication number
- CN114666101A CN114666101A CN202210199739.4A CN202210199739A CN114666101A CN 114666101 A CN114666101 A CN 114666101A CN 202210199739 A CN202210199739 A CN 202210199739A CN 114666101 A CN114666101 A CN 114666101A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- data
- processing
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 35
- 238000000034 method Methods 0.000 title claims abstract description 16
- 238000012545 processing Methods 0.000 claims abstract description 127
- 238000004458 analytical method Methods 0.000 claims abstract description 53
- 238000012549 training Methods 0.000 claims description 16
- 238000010801 machine learning Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 238000003672 processing method Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种攻击溯源检测系统、方法、设备及介质,涉及网络攻击领域。一种攻击溯源检测系统,其包括系统接口模块、网络查询模块、威胁分析模块和威胁处理模块,上述系统接口模块用于连接多个网络攻击分析系统,任意一个上述网络攻击系统用于根据IP地址查询网络攻击数据,上述网络查询模块用于通过上述网络攻击分析系统查询上述网络攻击数据,上述威胁处理模块用于获取多组上述网络攻击数据,每组上述网络攻击数据均包括上述IP地址、攻击来源、攻击对象、攻击次数和攻击时间;本发明能够查询多个网络攻击分析系统,提高网络攻击的处理效率。
Description
技术领域
本发明涉及网络攻击领域,具体而言,涉及一种攻击溯源检测系统、方法、设备及介质。
背景技术
因众多网络安全监测设备的登录方式不统一,运维人员在发现威胁时需要登录多台设备进行验证溯源,存在分析维度多,设计方面广,信息关联性弱,人工处理效率低的问题。目前,需要一种能够集成各安全设备,进行多源异构数据关联分析,联动溯源设备可以将重点威胁集中平台化展示,提高人工处置威胁效率。
发明内容
本发明的目的之一在于提供一种攻击溯源检测系统,其能够查询多个网络攻击分析系统,提高网络攻击的处理效率。
本发明的目的之一在于提供一种攻击溯源检测方法,其能够查询多个网络攻击分析系统,提高网络攻击的处理效率。
本发明的目的之一在于提供一种电子设备,其能够查询多个网络攻击分析系统,提高网络攻击的处理效率。
本发明的目的之一在于提供一种攻击溯源检测方法,其能够查询多个网络攻击分析系统,提高网络攻击的处理效率。
本发明的实施例是这样实现的:
第一方面,本申请实施例提供一种攻击溯源检测系统,其包括系统接口模块、网络查询模块、威胁分析模块和威胁处理模块,上述系统接口模块用于连接多个网络攻击分析系统,任意一个上述网络攻击系统用于根据IP地址查询网络攻击数据,上述网络查询模块用于通过上述网络攻击分析系统查询上述网络攻击数据,上述威胁处理模块用于获取多组上述网络攻击数据,每组上述网络攻击数据均包括上述IP地址、攻击来源、攻击对象、攻击次数和攻击时间,并根据多组上述网络攻击数据分析上述攻击来源的第一攻击频率和上述攻击对象的第二攻击频率,利用上述第一攻击频率和上述第二攻击频率设置处理任务,上述处理任务包括处理时间、处理对象和处理方式。
在本发明的一些实施例中,上述一种攻击溯源检测系统还包括攻击模型训练模块:用于获取多组攻击处理数据,每组上述任务处理数据均包括上述网络攻击数据、上述处理任务用于标识处理任务的处理效率,多组上述任务处理数据通过机器学习训练得到网络攻击教学模型,上述网络攻击教学模型用于输出处理效率高的上述处理任务。
在本发明的一些实施例中,上述网络攻击数据包括各上述网络攻击分析系统的更新时间,上述网络查询模块还用于根据上述更新时间显示相同上述IP地址的多组上述网络攻击数据。
在本发明的一些实施例中,上述一种攻击溯源检测系统上述威胁分析模块还用于根据多组上述网络攻击数据的上述IP地址、上述攻击来源、上述攻击次数、上述攻击时间和上述更新时间分析不同上述攻击来源的上述威胁等级。
在本发明的一些实施例中,上述一种攻击溯源检测系统还包括威胁模型训练模块:用于获取多组上述网络威胁数据,每组上述网络威胁数据均包括上述网络攻击数据和上述威胁等级,多组上述网络威胁数据通过机器学习训练得到网络威胁教学模型,上述网络威胁教学模型用于输出上述威胁等级,根据输出的上述威胁等级设置上述处理任务的优先级。
在本发明的一些实施例中,上述一种攻击溯源检测系统上述系统接口模块设有用于连接任意一个上述网络攻击分析系统的多个查询接口,上述网络查询模块通过上述系统接口模块查询上述网络攻击数据。
在本发明的一些实施例中,多个上述查询接口包括事件查询接口、攻击过程接口、事件查询接口、事件查询接口、威胁情报接口、事件查询接口、设备指纹查询、总流量统计接口和IP流量统计接口中的任意一项或多项。
第二方面,本申请实施例提供一种攻击溯源检测方法,其包括如下步骤:连接多个网络攻击分析系统,任意一个上述网络攻击系统用于根据IP地址查询网络攻击数据;通过上述网络攻击分析系统查询上述网络攻击数据;获取多组上述网络攻击数据,每组上述网络攻击数据均包括上述IP地址、攻击来源、攻击对象、攻击次数和攻击时间,并根据多组上述网络攻击数据分析上述攻击来源的第一攻击频率和上述攻击对象的第二攻击频率,利用上述第一攻击频率和上述第二攻击频率设置处理任务,上述处理任务包括处理时间、处理对象和处理方式。
第三方面,本申请实施例提供一种电子设备,包括:
存储器,用于存储一个或多个程序;
处理器;
当上述一个或多个程序被上述处理器执行时,实现如第一方面中任一项上述的系统。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现如权利要求1-7中任一项上述的系统。
相对于现有技术,本发明的实施例至少具有如下优点或有益效果:
第一方面,本申请实施例提供一种攻击溯源检测系统,其:系统接口模块、网络查询模块、威胁分析模块和威胁处理模块,上述系统接口模块用于连接多个网络攻击分析系统,任意一个上述网络攻击系统用于根据IP地址查询网络攻击数据,上述网络查询模块用于通过上述网络攻击分析系统查询上述网络攻击数据,上述威胁处理模块用于获取多组上述网络攻击数据,每组上述网络攻击数据均包括上述IP地址、攻击来源、攻击对象、攻击次数和攻击时间,并根据多组上述网络攻击数据分析上述攻击来源的第一攻击频率和上述攻击对象的第二攻击频率,利用上述第一攻击频率和上述第二攻击频率设置处理任务,上述处理任务包括处理时间、处理对象和处理方式。
第二方面,本申请实施例提供一种攻击溯源检测方法,其包括如下步骤:连接多个网络攻击分析系统,任意一个上述网络攻击系统用于根据IP地址查询网络攻击数据;通过上述网络攻击分析系统查询上述网络攻击数据;获取多组上述网络攻击数据,每组上述网络攻击数据均包括上述IP地址、攻击来源、攻击对象、攻击次数和攻击时间,并根据多组上述网络攻击数据分析上述攻击来源的第一攻击频率和上述攻击对象的第二攻击频率,利用上述第一攻击频率和上述第二攻击频率设置处理任务,上述处理任务包括处理时间、处理对象和处理方式。
第三方面,本申请实施例提供一种电子设备,包括:
存储器,用于存储一个或多个程序;
处理器;
当上述一个或多个程序被上述处理器执行时,实现如第一方面中任一项上述的系统。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现如权利要求1-7中任一项上述的系统。
针对第一方面~第四方面:本申请实施例通过连接多个网络攻击分析系统,从而根据IP地址查询网络攻击分析数据;并且通过获取多组网络攻击数据,从而利用多次查找记录分析同一攻击来源的第一攻击频率以及同一攻击对象的第二攻击频率;并且利用第一攻击频率和第二攻击频率设置处理网络攻击的处理任务,进而合理且高效的处理网络攻击,实现了多个网络攻击分析系统的数据共享,并且提高了对网络攻击的处理效率。本申请能够实时查询和跟踪多个ip地址的攻击数据,并根据查找记录统一管理和分析攻击数据,利用攻击对象和攻击来源设置网络攻击处理任务,提高网络环境的安全性和管理效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例1攻击溯源检测系统的原理示意图;
图2为本发明实施例2攻击溯源检测方法的流程示意图;
图3为本发明实施例3电子设备的原理示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的各个实施例及实施例中的各个特征可以相互组合。
实施例1
请参阅图1,图1所示为本申请实施例提供的攻击溯源检测系统的原理示意图。攻击溯源检测系统,其包括系统接口模块、网络查询模块、威胁分析模块和威胁处理模块,上述系统接口模块用于连接多个网络攻击分析系统,任意一个上述网络攻击系统用于根据IP地址查询网络攻击数据,上述网络查询模块用于通过上述网络攻击分析系统查询上述网络攻击数据,上述威胁处理模块用于获取多组上述网络攻击数据,每组上述网络攻击数据均包括上述IP地址、攻击来源、攻击对象、攻击次数和攻击时间,并根据多组上述网络攻击数据分析上述攻击来源的第一攻击频率和上述攻击对象的第二攻击频率,利用上述第一攻击频率和上述第二攻击频率设置处理任务,上述处理任务包括处理时间、处理对象和处理方式。
详细的,系统接口模块用于通过网关连接多个网络攻击分析系统,比如睿眼攻击溯源系统、天眼、微步TDP在线威胁感知平台、长亭科技蜜罐和科来网络分析系统。任意一个网络攻击系统用于根据IP地址查询对应的网络攻击数据。其中IP地址可以是目的IP(攻击对象),也可以是源IP(攻击来源)。可选的,网络攻击数据可以包括攻击事件、攻击过程、威胁情报、设备指纹、总流量和IP流量统计中的任意一项或多项,还可以包括服务器IP、服务端口、登录账号和登录密码,从而配置并获取系统查询权限。其中,攻击事件可以包括IP、告警类型、数据方向、端口、告警等级、拦截状态、业务系统、告警状态、封禁状态、应用协议、数据来源和PCAP包(数据包抓取库)中的任意一项或多项。攻击过程可以包括攻击来源、源端口、方向、攻击对象、攻击端口、应用协议、业务系统、总字节字数、总数据包、攻击来源发送字节数、攻击对象发送字节数以及数据来源。详细的,威胁情报包括情报来源、情报等级、攻击阶段、情报类型、情报名称、相关IOC(Inversion of Control,即“控制反转”开发设计思想)、情报描述和是否为APT中的任意一项或多项。详细的,设备指纹包括主机信息和浏览器信息,主机信息包括操作系统、CPU核数、是否是触控、是否安装unity、屏幕分辨率和时区中的任意一项或多项;浏览器信息包括浏览器、浏览器版本、是否为移动端和浏览器指纹中的任意一项或多项。详细的,总流量和IP流量统计可以包括序号、攻击源IP、方向(防御技术方向)、目的IP、URL(Uniform Resource Locator统一资源定位符,包含指出文件的位置以及浏览器应该怎么处理它的信息)、应用协议、业务系统、告警类型、告警状态、数据来源、告警时间和操作中的任意一项或多项,还可以包括在不同时段统计的攻击对象和攻击来源的发出的字节量变化。其中攻击频率利用一定时期攻击/受攻击的次数表示,从而分析需优先处理的攻击对象。
每组网络攻击数据均包括IP地址、攻击来源、攻击对象、攻击次数和攻击事件,还可以包括具体攻击事件或攻击类型。其中IP地址为待查询的攻击来源或攻击对象,便于统计查询记录。详细的,根据多组网络攻击数据统计同一攻击来源的第一攻击频率以及同一攻击对象的第二攻击频率。从而利用相同频率针对攻击来源或攻击对象进行分类处理,分配合理的处理事件、处理对象以及处理方式,提高处理效率。其中,可以设置第一攻击频率和第二攻击频率的权重,从而利用对应权重计算出处理网络攻击的优先等级,进而利用优先等级大小设置处理任务的处理时间、处理对象和处理方式,得到高效处理效率。优先等级可以通过数字大小或者文字表示优先级别的强度。其中处理对象包括多个用于处理网络攻击的服务端,处理方式还可以根据攻击来源或攻击对象的类型预设。其中攻击来源、攻击对象均可以利用IP地址表示,并且IP地址可以为攻击来源和攻击对象中的任意一项,便于进行攻击数据溯源。
在本发明的一些实施例中,上述一种攻击溯源检测系统还包括攻击模型训练模块:用于获取多组攻击处理数据,每组上述任务处理数据均包括上述网络攻击数据、上述处理任务用于标识处理任务的处理效率,多组上述任务处理数据通过机器学习训练得到网络攻击教学模型,上述网络攻击教学模型用于输出处理效率高的上述处理任务。
详细的,获取多组攻击处理数据,每组任务处理数据均包括网络攻击数据、处理任务以及用于标识处理任务的处理效率,通过机器学习训练得到用于输出不同攻击处理数据对应处理效率高的处理任务,从而提高分配处理任务的效率。其中处理效率可以利用攻击时间和处理时间得到,也可以利用网络攻击数据获取,比如利用多次查询到的攻击事件获取攻击消除时间,从而得到处理效率。其中处理效率可以通过不同等级表示。
在本发明的一些实施例中,上述网络攻击数据包括各上述网络攻击分析系统的更新时间,上述网络查询模块还用于根据上述更新时间显示相同上述IP地址的多组上述网络攻击数据。
详细的,网络攻击数据包括网络攻击分析系统数据的更新时间,从而根据更新时间统计相同攻击事件,便于查看和管理。
在本发明的一些实施例中,上述一种攻击溯源检测系统上述威胁分析模块还用于根据多组上述网络攻击数据的上述IP地址、上述攻击来源、上述攻击次数、上述攻击时间和上述更新时间分析不同上述攻击来源的上述威胁等级。
详细的,攻击溯源检测系统还包括威胁分析模块,威胁分析模块利用多组网络攻击数据得到的网络攻击情况分析威胁等级。威胁分析模块可以存在于任意一个网络攻击系统,从而直接获取威胁等级。可选的,网络攻击数据还可以包括威胁情况,便于分析或直接获取威胁等级。
在本发明的一些实施例中,上述一种攻击溯源检测系统还包括威胁模型训练模块:用于获取多组上述网络威胁数据,每组上述网络威胁数据均包括上述网络攻击数据和上述威胁等级,多组上述网络威胁数据通过机器学习训练得到网络威胁教学模型,上述网络威胁教学模型用于输出上述威胁等级,根据输出的上述威胁等级设置上述处理任务的优先级。
详细的,威胁训练模块用于获取多组网络威胁数据,利用机器学习训练到网络威胁教学模型,从而根据网络威胁模型输出不同网络攻击事件对应的威胁等级,进而根据威胁等级设置处理任务的优先级,进而便于利用优先级安排任务处理对象以及调整任务处理时间,进一步提高处理效率。
在本发明的一些实施例中,上述一种攻击溯源检测系统上述系统接口模块设有用于连接任意一个上述网络攻击分析系统的多个查询接口,上述网络查询模块通过上述系统接口模块查询上述网络攻击数据。
在本发明的一些实施例中,多个上述查询接口包括事件查询接口、攻击过程接口、事件查询接口、事件查询接口、威胁情报接口、事件查询接口、设备指纹查询、总流量统计接口和IP流量统计接口中的任意一项或多项。
实施例2
请参阅图2,本申请实施例提供一种攻击溯源检测方法,其包括如下步骤:连接多个网络攻击分析系统,任意一个上述网络攻击系统用于根据IP地址查询网络攻击数据;通过上述网络攻击分析系统查询上述网络攻击数据;获取多组上述网络攻击数据,每组上述网络攻击数据均包括上述IP地址、攻击来源、攻击对象、攻击次数和攻击时间,并根据多组上述网络攻击数据分析上述攻击来源的第一攻击频率和上述攻击对象的第二攻击频率,利用上述第一攻击频率和上述第二攻击频率设置处理任务,上述处理任务包括处理时间、处理对象和处理方式。
本申请实施例的原理与实施例1相同,在此不做重复描述。
实施例3
请参阅图3,图3为本申请实施例提供的电子设备的一种示意性结构框图。电子设备包括存储器、处理器和通信接口,该存储器、处理器和通信接口相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器可用于存储软件程序及模块,如本申请实施例1所提供的攻击溯源检测对应的程序指令/模块,处理器通过执行存储在存储器内的软件程序及模块,从而执行各种功能应用以及数据处理。该通信接口可用于与其他节点设备进行信令或数据的通信。
其中,存储器可以是但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器可以是一种集成电路芯片,具有信号处理能力。该处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以理解,图1所示的结构仅为示意,攻击溯源检测系统还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,上述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
综上所述,本申请实施例提供的一种攻击溯源检测系统、方法、设备及介质:
本申请实施例通过连接多个网络攻击分析系统,从而根据IP地址查询网络攻击分析数据;并且通过获取多组网络攻击数据,从而利用多次查找记录分析同一攻击来源的第一攻击频率以及同一攻击对象的第二攻击频率;并且利用第一攻击频率和第二攻击频率设置处理网络攻击的处理任务,进而合理且高效的处理网络攻击,实现了多个网络攻击分析系统的数据共享,并且提高了对网络攻击的处理效率。本申请能够实时查询和跟踪多个ip地址的攻击数据,并根据查找记录统一管理和分析攻击数据,利用攻击对象和攻击来源设置网络攻击处理任务,提高网络环境的安全性和管理效率。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种攻击溯源检测系统,其特征在于,包括:系统接口模块、网络查询模块、威胁分析模块和威胁处理模块,所述系统接口模块用于连接多个网络攻击分析系统,任意一个所述网络攻击系统用于根据IP地址查询网络攻击数据,所述网络查询模块用于通过所述网络攻击分析系统查询所述网络攻击数据,所述威胁处理模块用于获取多组所述网络攻击数据,每组所述网络攻击数据均包括所述IP地址、攻击来源、攻击对象、攻击次数和攻击时间,并根据多组所述网络攻击数据分析所述攻击来源的第一攻击频率和所述攻击对象的第二攻击频率,利用所述第一攻击频率和所述第二攻击频率设置处理任务,所述处理任务包括处理时间、处理对象和处理方式。
2.如权利要求1所述的一种攻击溯源检测系统,其特征在于,还包括攻击模型训练模块:用于获取多组攻击处理数据,每组所述任务处理数据均包括所述网络攻击数据、所述处理任务用于标识处理任务的处理效率,多组所述任务处理数据通过机器学习训练得到网络攻击教学模型,所述网络攻击教学模型用于输出处理效率高的所述处理任务。
3.如权利要求1所述的一种攻击溯源检测系统,其特征在于,所述网络攻击数据包括各所述网络攻击分析系统的更新时间,所述网络查询模块还用于根据所述更新时间显示相同所述IP地址的多组所述网络攻击数据。
4.如权利要求3所述的一种攻击溯源检测系统,其特征在于,所述威胁分析模块还用于根据多组所述网络攻击数据的所述IP地址、所述攻击来源、所述攻击次数、所述攻击时间和所述更新时间分析不同所述攻击来源的所述威胁等级。
5.如权利要求4所述的一种攻击溯源检测系统,其特征在于,还包括威胁模型训练模块:用于获取多组所述网络威胁数据,每组所述网络威胁数据均包括所述网络攻击数据和所述威胁等级,多组所述网络威胁数据通过机器学习训练得到网络威胁教学模型,所述网络威胁教学模型用于输出所述威胁等级,根据输出的所述威胁等级设置所述处理任务的优先级。
6.如权利要求1所述的一种攻击溯源检测系统,其特征在于,所述系统接口模块设有用于连接任意一个所述网络攻击分析系统的多个查询接口,所述网络查询模块通过所述系统接口模块查询所述网络攻击数据。
7.如权利要求1所述的一种攻击溯源检测系统,其特征在于,多个所述查询接口包括事件查询接口、攻击过程接口、事件查询接口、事件查询接口、威胁情报接口、事件查询接口、设备指纹查询、总流量统计接口和IP流量统计接口中的任意一项或多项。
8.一种攻击溯源检测方法,其特征在于,包括如下步骤:连接多个网络攻击分析系统,任意一个所述网络攻击系统用于根据IP地址查询网络攻击数据;通过所述网络攻击分析系统查询所述网络攻击数据;获取多组所述网络攻击数据,每组所述网络攻击数据均包括所述IP地址、攻击来源、攻击对象、攻击次数和攻击时间,并根据多组所述网络攻击数据分析所述攻击来源的第一攻击频率和所述攻击对象的第二攻击频率,利用所述第一攻击频率和所述第二攻击频率设置处理任务,所述处理任务包括处理时间、处理对象和处理方式。
9.一种电子设备,其特征在于,包括:
存储器,用于存储一个或多个程序;
处理器;
当所述一个或多个程序被所述处理器执行时,实现如权利要求1-7中任一项所述的系统。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210199739.4A CN114666101B (zh) | 2022-03-01 | 2022-03-01 | 一种攻击溯源检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210199739.4A CN114666101B (zh) | 2022-03-01 | 2022-03-01 | 一种攻击溯源检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114666101A true CN114666101A (zh) | 2022-06-24 |
| CN114666101B CN114666101B (zh) | 2024-03-22 |
Family
ID=82027018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210199739.4A Active CN114666101B (zh) | 2022-03-01 | 2022-03-01 | 一种攻击溯源检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114666101B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208678A (zh) * | 2022-07-09 | 2022-10-18 | 国网新疆电力有限公司信息通信公司 | 一种智能网络安全防护方法、系统、设备及介质 |
| CN117749529A (zh) * | 2024-02-19 | 2024-03-22 | 中汽智联技术有限公司 | 一种查找全量攻击路径的方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050144480A1 (en) * | 2003-12-29 | 2005-06-30 | Young Tae Kim | Method of risk analysis in an automatic intrusion response system |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| JP2019004249A (ja) * | 2017-06-13 | 2019-01-10 | 日本電信電話株式会社 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
| CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN113852641A (zh) * | 2021-09-30 | 2021-12-28 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
-
2022
- 2022-03-01 CN CN202210199739.4A patent/CN114666101B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050144480A1 (en) * | 2003-12-29 | 2005-06-30 | Young Tae Kim | Method of risk analysis in an automatic intrusion response system |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
| JP2019004249A (ja) * | 2017-06-13 | 2019-01-10 | 日本電信電話株式会社 | ブラックリスト設定装置、ブラックリスト設定方法およびブラックリスト設定プログラム |
| CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
| CN109981587A (zh) * | 2019-02-27 | 2019-07-05 | 南京众智维信息科技有限公司 | 一种基于apt攻击的网络安全监控溯源系统 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN113852641A (zh) * | 2021-09-30 | 2021-12-28 | 浙江创邻科技有限公司 | 一种基于图数据库的网络攻击溯源系统、方法及设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208678A (zh) * | 2022-07-09 | 2022-10-18 | 国网新疆电力有限公司信息通信公司 | 一种智能网络安全防护方法、系统、设备及介质 |
| CN115208678B (zh) * | 2022-07-09 | 2023-08-11 | 国网新疆电力有限公司信息通信公司 | 一种智能网络安全防护方法、系统、设备及介质 |
| CN117749529A (zh) * | 2024-02-19 | 2024-03-22 | 中汽智联技术有限公司 | 一种查找全量攻击路径的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114666101B (zh) | 2024-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
| US11184401B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN114666101B (zh) | 一种攻击溯源检测系统及方法 | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| CN114598512B (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
| US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| CN111740868A (zh) | 告警数据的处理方法和装置及存储介质 | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| CN113238923B (zh) | 基于状态机的业务行为溯源方法及系统 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| EP3379772B1 (en) | Analysis method, analysis device, and analysis program | |
| US11258806B1 (en) | System and method for automatically associating cybersecurity intelligence to cyberthreat actors | |
| CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
| CN105493096A (zh) | 分布式模式发现 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |