CN114972827A - 资产识别方法、装置、设备及计算机可读存储介质 - Google Patents
资产识别方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN114972827A CN114972827A CN202110220048.3A CN202110220048A CN114972827A CN 114972827 A CN114972827 A CN 114972827A CN 202110220048 A CN202110220048 A CN 202110220048A CN 114972827 A CN114972827 A CN 114972827A
- Authority
- CN
- China
- Prior art keywords
- attack
- asset
- historical
- current
- feature set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本申请提供了一种资产识别方法、装置、设备及计算机可读存储介质;应用于网络安全技术领域,方法包括:对当前网络告警信息进行至少一个维度的信息聚类与特征提取,得到至少一个维度的当前攻击特征;对原始流量数据进行操作系统检测识别,得到当前攻击主机系统;将当前攻击特征与当前攻击主机系统作为当前资产特征集合,计算当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于聚合度实现对当前资产的身份识别;至少一个预设攻击资产特征集合是通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到的,用于表征至少一个攻击发起对象的身份信息。通过本申请,能够提高资产识别的准确性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种资产识别方法、装置、设备及计算机可读存储介质。
背景技术
随着万物互联的网络普及性,网络安全问题日益严峻,并且网络攻击的手段也越来越多样且隐蔽。目前主流的网络安全手段主要是通过关注攻击事件的威胁等级,对攻击源IP进行封堵或者相对应的限流处理等等。但是对于不断更换源IP及减缓攻击速度等智能攻击场景来说,目前主流的规则类检测手段的识别准确性较低。
发明内容
本申请实施例提供一种资产识别方法、装置、设备及计算机可读存储介质,能够提高资产识别的准确性。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种资产识别方法,包括:
获取当前攻击事件的当前网络告警信息,并对所述当前网络告警信息进行至少一个维度的信息聚类与特征提取,得到至少一个当前攻击特征;
对所述当前网络告警信息对应的原始流量数据进行操作系统检测识别,得到当前攻击主机系统;所述当前攻击主机系统为发起所述当前攻击事件的当前资产上所部署的操作系统;
根据所述至少一个当前攻击特征与所述当前攻击主机系统得到当前资产特征集合,计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于所述聚合度实现对当前资产的身份识别;所述至少一个预设攻击资产特征集合是通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到的,用于表征至少一个攻击发起对象的身份信息。
本申请实施例提供一种资产识别装置,包括:。
特征提取模块,用于获取当前攻击事件的当前网络告警信息,并对所述当前网络告警信息进行至少一个维度的信息聚类与特征提取,得到至少一个当前攻击特征;
操作系统识别模块,用于对所述当前网络告警信息对应的原始流量数据进行操作系统检测识别,得到当前攻击主机系统;所述当前攻击主机系统为发起所述当前攻击事件的当前资产上所部署的操作系统;
聚合识别模块,用于根据所述至少一个当前攻击特征与所述当前攻击主机系统得到当前资产特征集合,计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于所述聚合度实现对当前资产的身份识别;所述至少一个预设攻击资产特征集合是通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到的,用于表征至少一个攻击发起对象的身份信息。
上述装置中,所述资产识别装置还包括特征聚合模块,所述特征聚合模块,用于计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度之前,获取至少一个历史攻击事件对应的至少一个历史网络告警信息,所述至少一个历史网络告警信息中的每个历史网络告警信息包含历史攻击源地址;对所述每个历史告警信息进行所述至少一个维度的信息聚类与特征提取,并对所述每个历史告警信息对应的历史原始流量数据进行操作系统识别,得到所述每个历史告警信息对应的初始历史资产特征集合;将相同历史攻击源地址的初始历史资产特征集合进行合并,得到至少一个历史资产特征集合;计算所述至少一个历史资产特征集合之间在所述特征维度上的相似度,将所述相似度大于预设相似度阈值的资产特征集合进行聚类合并,并将同一聚类下的历史资产特征集合作为一个预设攻击资产特征集合,进而得到所述至少一个预设攻击资产特征集合。
上述装置中,当前网络告警信息为预设入侵检测平台根据所述攻击事件输出的告警信息,所述至少一个当前攻击特征包括以下至少之一:攻击工具、攻击类型、攻击时间与地理位置。
上述装置中,所述操作系统识别模块,还用于从所述原始流量数据中,提取至少一个预设字段的数据内容作为所述操作系统关联数据,所述至少一个预设字段包括以下至少一个:攻击源网络地址头部长度、窗口大小、数据包生存时间、是否分片、最大报文长度、TCP选项、用户代理信息;通过预设分类识别模型,对所述操作系统关联数据进行分类识别,得到所述当前攻击主机系统;所述预设分类识别模型是对初始分类识别模型进行网络训练得到的;所述初始分类识别模型根据预设操作系统与预设操作系统关联数据之间的预设对应关系生成。
上述装置中,所述初始历史资产特征集合包括至少一个历史攻击特征与历史攻击主机系统,所述特征聚合模块,还用于在同一历史攻击源地址对应的至少一个初始历史资产特征集合中,对所述至少一个初始历史资产特征集合中的至少一个历史攻击特征进行合并;在所述至少一个初始历史资产特征集合中,将出现次数最多历史攻击主机系统作为所述同一历史攻击源地址对应的历史攻击主机系统,从而得到所述同一历史攻击源地址对应的历史资产特征集合,进而得到所述至少一个历史资产特征集合。
上述装置中,所述聚合识别模块,还用于计算所述当前资产特征集合与所述至少一个预设攻击资产特征集合中每个预设攻击资产特征集合的聚合度;所述每个预设攻击资产特征集合对应一个预设资产标识;将高于预设聚合度阈值的聚合度对应的预设攻击资产特征集合作为目标攻击资产特征集合,将所述目标攻击资产特征集合对应的预设资产标识作为所述当前攻击源地址的资产标识,从而实现对所述当前攻击源地址的资产识别。
上述装置中,所述资产识别装置还包括更新模块,所述更新模块,用于使用所述当前资产特征集合,对所述目标预设攻击资产特征集合进行更新。
本申请实施例提供一种电子设备,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本申请实施例提供的资产识别方法。
本申请实施例提供一种计算机可读存储介质,存储有可执行指令,用于引起处理器执行时,实现本申请实施例提供的资产识别方法。
本申请实施例具有以下有益效果:
通过对当前网络告警信息进行多维度的提取,并增加操作系统维度的特征识别,所得到的当前资产特征集合可以从多个维度描述当前攻击事件的攻击发起对象的身份信息,保证了后续基于当前资产特征集合进行资产身份识别的准确性;并且通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到至少一个预设资产特征集合,可以构建攻击者的多维度的指纹信息,从而在某个维度变化的攻击场景下,如同一攻击者更换IP攻击时,仍然能够通过整体特征的聚合度识别出当前攻击事件的资产身份,从而进一步提高了资产识别的准确性。
附图说明
图1是本申请实施例提供的资产识别系统架构的一个可选的结构示意图;
图2是本申请实施例提供的服务器的一个可选的结构示意图;
图3是本申请实施例提供的资产识别方法的一个可选的流程示意图;
图4是本申请实施例提供的Snort告警信息的一个可选的内容格式示意图;
图5是本申请实施例提供的预设地址库的一个可选的内容格式示意图;
图6是本申请实施例提供的资产识别方法的一个可选的流程示意图;
图7是本申请实施例提供的资产识别方法的一个可选的流程示意图;
图8是本申请实施例提供的资产识别方法的一个可选的流程示意图;
图9是本申请实施例提供的一种基于snort被动流量分析的资产识别系统的系统架构示意图;
图10是本申请实施例提供的Snort流量分析引擎的基本模块示意图;
图11是本申请实施例提供的生成至少一个预设攻击资产特征集合的一个可选的过程示意图;
图12是本申请实施例提供的资产主机1的源IP所对应至少一个第一历史告警信息的示意图;
图13是本申请实施例提供的从Snort流量分析引擎的数据库中查询到第一历史攻击事件的event id的示意图;
图14是本申请实施例提供的第一攻击事件的event id所对应的原始数据流量的示意图;
图15是本申请实施例提供的第一历史网络告警信息的聚类结果的示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
对本申请实施例进行进一步详细说明之前,对本申请实施例中涉及的名词和术语进行说明,本申请实施例中涉及的名词和术语适用于如下的解释。
1)远程过程调用(Remote Procedure Call,RPC)攻击:RPC是Windows操作系统使用的一种远程过程调用协议。RPC提供进程间交互通信机制,允许在某台计算机上运行程序的无缝地在远程系统上执行代码。远程攻击者可以利用RPC协议中的漏洞以本地系统权限在系统上执行任意指令,称之为RPC攻击。
2)Snort:具有多平台、实时流量分析、网络IP数据包记录等特性的网络入侵检测/防御系统。Snort能够对网络上的数据包进行抓包分析,根据所定义的规则进行响应及处理。Snort可以对已知的攻击进行流量分析并获取流量特征,再依据流量特征预设特定的规则,这样,在检测到对应攻击特征的流量数据时,就可以根据预设的特定规则生成相应的警报信息。
3)Nmap:网络连接端扫描软件,用来扫描网络中的计算机设备所开放的网络连接端,并确定哪些服务运行在哪些连接端,以及推断出计算机设备所运行的操作系统。
4)masscan:快速的互联网端口扫描器。
目前,常见的资产识别技术主要包含以下几种:一、通过被动流量的TCP/IP信息识别操作系统类别。方法一主要通过从TCP/IP的报文头部提取窗口尺寸、生存时间等特征信息,与预先建立的操作系统特征分类进行对比,识别主机的操作系统类别,如类别为windows或linux等等。该方法主要是为了通过识别操作系统类型,从入侵检测系统的警报信息中筛选出误报,示例性地,lin ux系统不会存在RPC攻击,因此可以将警报信息中与linux系统关联的RPC攻击确认为误报。二、通过主动扫描探测资产信息。方法二可以利用如Nmap、masscan等网络资产探测工具对目标资产发送同步序列编号(Synchronize Sequence Numbers,SYN)包或其他数据包,再根据目标资产所返回的响应包的特征与已有的特征信息作对比,获取目标系统的存活、端口开放性、端口服务及操作系统等资产信息。三、通过搜索引擎的非入侵式探测进行资产信息收集。方法三主要通过资产的已知特征,在已有的资产库中使用如fofa、Shodan、ZoomEye等搜索引擎进行资产信息的查询。其可以查询的关键词包含IP、操作系统、组件信息、开放端口、地理位置等等。
对于上述的方法一,由于检测目标所使用的操作系统的宽泛性,通常从TCP/IP流量数据中提取的特征维度较少,且划分的操作系统类型较为简单,对于资产识别来说准确程度不高。对于上述方法二,由于主动扫描软件具有强烈的发包特征并且发包数量过大,所以该类扫描常常会触发被扫描资产的安全防护设备的安全告警策略,进而被封堵;并且,对于端口服务和操作系统的扫描具有时效性,也容易受到网络波动影响,从而降低了资产识别的准确性。对于上述方法三,主要依赖于第三方的搜索引擎的大数据资产库,但是通常搜索引擎的信息具有时效性,类似于域名失效或者端口关闭等等。从而降低了资产识别的准确性。
本申请实施例提供一种资产识别方法、装置、设备和计算机可读存储介质,能够提高资产识别的准确性,下面说明本申请实施例提供的电子设备的示例性应用,本申请实施例提供的设备可以实施为路由器、交换机、业务网关等运营商设备或网络安全设备,以及智能家庭网关等网络节点设备;也可以实施为服务器。下面,将说明设备实施为服务器时示例性应用。
参见图1,图1是本申请实施例提供的资产识别系统100的一个可选的架构示意图,终端600(示例性示出了终端600-1至终端600n)为网络300中的资产,终端600可以是笔记本电脑,平板电脑,台式计算机,机顶盒,移动设备(例如,移动电话,便携式音乐播放器,个人数字助理,专用消息设备,便携式游戏设备)等各种类型的用户终端。网络节点400(示例性示出了网络节点400-1和网络节点400-2)可以是网络中流量汇聚较多的网络节点,如核心网关,网络300可以是广域网或者局域网,又或者是二者的组合。服务器200可以部署在网络300中,通过网络300与终端400连接,也可以部署在网络300之外,通过其他网络与终端400连接。图1示出了服务器200部署在网络300之外的示例。
网络节点400上配置有流量采集模块与流量分析引擎,用于对网络300中的流量数据进行实时采集,并通过流量分析引擎对实时采集到的流量数据进行分析,输出包含攻击事件的网络告警日志,并将网络告警日志发送至服务器200。服务器200用于汇集网络节点400发送的至少一个网络告警日志进行合并,并在合并后的网络告警日志所包含的至少一个攻击事件中,获取当前攻击事件的当前网络告警信息,并对当前网络告警信息进行至少一个维度的信息聚类与特征提取,得到至少一个当前攻击特征;对当前网络告警信息对应的原始流量数据进行操作系统检测识别,得到当前攻击主机系统;根据至少一个当前攻击特征与当前攻击主机系统得到当前资产特征集合,计算当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于聚合度实现对当前攻击事件的资产来源的识别;至少一个预设攻击资产特征集合是通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到的,用于表征至少一个攻击发起对象的身份信息。服务器可以根据当前告警信息中的源IP或源端口号,从终端600-1至终端600-n中确定出对应的目标终端,将识别出攻击发起对象的身份信息作为目标终端的身份信息,实现对目标终端的身份信息标记。服务器200可以对至少一个攻击事件中的每个攻击事件进行相同的处理,识别出每个攻击事件的资产身份,以对终端600-1至终端600-n中相对应的目标终端进行身份标记。进一步地,在一些实施例中,服务器还可以使用当前资产特征集合更新数据库500中对应的预设攻击资产特征集合,以使预设攻击资产特征集合可以随着网络300中最新的流量特征进行不断地更新。
在一些实施例中,服务器200可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端400可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请实施例中不做限制。
参见图2,图2是本申请实施例提供的服务器200的结构示意图,图2所示的服务器200包括:至少一个处理器410、存储器450、至少一个网络接口420和用户接口430。服务器200中的各个组件通过总线系统440耦合在一起。可理解,总线系统440用于实现这些组件之间的连接通信。总线系统440除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2中将各种总线都标为总线系统440。
处理器410可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
用户接口430包括使得能够呈现媒体内容的一个或多个输出装置431,包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口430还包括一个或多个输入装置432,包括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。
存储器450可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器450可选地包括在物理位置上远离处理器410的一个或多个存储设备。
存储器450包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Memory),易失性存储器可以是随机存取存储器(RAM,Random Access Memory)。本申请实施例描述的存储器450旨在包括任意适合类型的存储器。
在一些实施例中,存储器450能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作系统451,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块452,用于经由一个或多个(有线或无线)网络接口420到达其他计算设备,示例性的网络接口420包括:蓝牙、无线相容性认证(WiFi)、和通用串行总线(USB,Universal Serial Bus)等;
呈现模块453,用于经由一个或多个与用户接口430相关联的输出装置431(例如,显示屏、扬声器等)使得能够呈现信息(例如,用于操作外围设备和显示内容和信息的用户接口);
输入处理模块454,用于对一个或多个来自一个或多个输入装置432之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。
在一些实施例中,本申请实施例提供的装置可以采用软件方式实现,图2示出了存储在存储器450中的资产识别装置455,其可以是程序和插件等形式的软件,包括以下软件模块:特征提取模块4551、操作系统识别模块4552与聚合识别模块4553,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。
将在下文中说明各个模块的功能。
在另一些实施例中,本申请实施例提供的装置可以采用硬件方式实现,作为示例,本申请实施例提供的装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本申请实施例提供的资产识别方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,ComplexProgrammable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable GateArray)或其他电子元件。
在一些实施例中,基于图1,也可以将特征提取模块4551与操作系统识别模块4552部署在网络节点400上,通过网络节点400从当前网络告警信息中提取出至少一个当前攻击特征,并识别出当前攻击主机系统,得到当前资产特征集合,进而通过终端400将当前资产特征集合发送至服务器200,在服务器200上进行聚合度的计算与资产识别。具体的根据实际情况进行选择,本申请实施例不作限定。
在一些实施例中,服务器200在接入网络300之前,可以先通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类,实现对至少一个预设攻击资产特征集合的离线建模,在得到至少一个预设攻击资产特征集合后再接入网络300。也可以接入网络300进行至少一个预设攻击资产特征集合的实时建模,具体的根据实际情况进行选择,本申请实施例不作限定。
在一些实施例中,如本申请所公开的资产识别方法或装置,可通过多个服务器组成为一区块链,而服务器为区块链上的节点。
将结合本申请实施例提供的服务器的示例性应用和实施,说明本申请实施例提供的资产识别方法。
参见图3,图3是本申请实施例提供的资产识别方法的一个可选的流程示意图,将结合图3示出的步骤进行说明。
S101、获取当前攻击事件的当前网络告警信息,并对当前网络告警信息进行至少一个维度的信息聚类与特征提取,得到至少一个当前攻击特征。
本申请实施例的方法可以应用于局域网络的资产稽查场景,其中,局域网可以是公司等组织的某个网段,也可以是整个网络,即对全网范围进行资产稽查。资产稽查就是以IP或者域名为标识,通过资产的流量特征,对资产进行各个层次的标记,例如僵尸网络,黑产,系统类型,开放服务等等。资产稽查可以主动的构建攻击者的特征,而不是一定要等到严重的攻击行为发生才进行防范。
本申请实施例中,服务器可以从分布于网络之中的各个网络设备、安全设备、及关键主机中获取日志文件,如IDS的告警、防火墙的访问日志、下级服务器的访问日志、漏洞扫描器的扫描结果报告等。服务器可以对收集到的日志进行预处理与分析,根据日志中记录的事件类型,从中定位出攻击类型的事件,并将当前攻击事件在日志中对应的事件内容作为当前网络告警信息。
在一些实施例中,当前网络告警信息为预设入侵检测平台,如入侵检测系统Snort系统根据攻击事件输出的告警信息。示例性地,Snort告警信息可以如图4所示,包含Package和Event两个部分,Package主要是攻击包的简要内容展示,Event主要记录的是警报相关的参数信息。Snort告警信息可以包含如下信息字段:告警时间(event second/packet second)、攻击特征编号(sig id)、攻击类型(classification)、告警优先级(priority)、协议(protocol)、源IP地址(ip source)、源端口(src port)、目的IP地址(ipdestination)和目的端口(dest port)等。服务器可以将告警日志中当前攻击事件所对应的上述信息字段的内容作为当前网络告警信息。或者,入侵检测系统也可以是其他类型的入侵检测系统或防火墙等,具体的根据实际情况进行转正,本申请实施例不作限定。
在一些实施例中,当前告警信息中可以包含用于描述当前攻击事件对应的至少一个攻击行为的至少一条告警描述语句。服务器可以对至少一条告警描述语句进行去重,以及去除数字和特殊符号,并建立单词到数字的映射,从而将告警描述语句映射为多维向量,得到至少一个多维向量。服务器可以从至少一个维度对至少一个多维向量进行聚类,得到每个维度对应的向量类簇。服务器可以从每个向量类簇中对应提取该聚类维度对应的特征,作为该向量类簇对应的当前攻击特征,从而得到至少一个当前攻击特征。或者,服务器也可以从向量类簇中提取出初始特征,基于初始特征进行进一步信息挖掘与分析,从而得到至少一个当前攻击特征。
本申请实施例中,至少一个维度可以是当前告警信息所包含的信息字段中,与攻击行为关联度较高,可以用来体现攻击行为特点的信息字段所表征的信息维度。在一些实施例中,根据至少一个维度提取到的至少一个当前攻击特征包括以下至少之一:攻击工具、攻击类型、攻击时间与地理位置。示例性地,对于Snort告警日志,服务器可以将攻击告警时间、攻击特征编号、攻击类型、源IP地址作为至少一个维度,对当前告警信息进行聚类,得到攻击告警时间、攻击特征编号、攻击名称、攻击类型、源IP地址各自对应的信息类簇,进而对攻击告警时间对应的信息类簇进行特征提取,得到至少一个当前攻击特征中的攻击时间;对攻击类型对应的信息类簇进行特征提取,得到至少一个当前攻击特征中的攻击类型,进而还可以根据预设攻击类型与攻击工具的对应关系,得到攻击类型对应的攻击工具;对源IP地址对应的信息类簇进行特征提取,得到攻击源地址特征,并使用攻击源地址特征在预设地址库中查询得到至少一个当前攻击特征中的地理位置。
在一些实施例中,预设地址库的内容格式可以如图5所示,包含至少一行IP数据信息,每一行IP数据信息都是由IP段和数据组成,包括:地址起始IP、地址结束IP、国家、区域、省份、市、运营商。
在一些实施例中,服务器也可以根据其他防火墙或入侵检测系统对应的当前网络告警信息中原始信息内容的维度,对当前网络告警信息进行信息聚类与特征提取,得到至少一个当前攻击特征,具体的根据实际情况进行选择,本申请实施例不作限定。
S102、对当前网络告警信息对应的原始流量数据进行操作系统检测识别,得到当前攻击主机系统;当前攻击主机系统为发起当前攻击事件的当前资产上所部署的操作系统。
本申请实施例中,操作系统的识别则主要依赖于原始流量,服务器可以获取当前网络告警信息对应的原始流量数据,根据原始流量数据中带有操作系统特征的字段内容,进行操作系统检测识别,识别出当前攻击事件的发起主机所运行的操作系统,作为当前攻击主机系统。
在一些实施例中,Snort入侵检测系统在进行入侵检测以及生成告警日志时,会将触发告警的原始流量数据记录为特定格式的文件,通过当前网络告警信息中的源IP、源端口信息,加上目的IP、port协议及告警时间,就可以在该文件中找到当前网络告警信息对应的原始流量数据。
本申请实施例中,原始流量中的操作系统特征主要存在于数据包的头部以及部分应用层数据包中。在一些实施例中,S102可以通过S1021-S1022实现,将结合各步骤进行说明。
S1021、从原始流量数据中,提取至少一个预设字段的数据内容,作为操作系统关联数据,至少一个预设字段包括以下至少一个:攻击源网络地址头部长度、窗口大小、数据包生存时间、是否分片、最大报文长度、TCP选项、用户代理信息。
本申请实施例中,服务器可以从原始流量数据中的以下至少一个预设字段的数据内容中提取出操作系统关联数据:IP头部的总长度(LEN)、窗口大小(WIN)、数据包生存时间(TTL)、是否分片(DF)、最大报文长度(MSS)、TCP选项(OPT)、用户代理信息(User-Agent,UA)。其中,至少一个预设字段也可以根据实际应用或网络数据包格式包括其他字段,具体的根据实际情况进行选择,本申请实施例不作限定。
在一些实施例中,上述操作系统关联数据与预设操作系统分类的对应关系可以如表1与表2所示。
| WIN | TTL | DF | MSS | OPT | 操作系统 |
| 32736 | 64 | 0 | 1414 | M | Linux2.0 |
| 5792 | 64 | 1 | 1460 | MSTNW | Linux2.6 |
| 8192 | 128 | 1 | 1460 | MNWST | Windows 7 |
| 32768 | 64 | 1 | 1460 | MNWNNTSNN | NETB SD 4.0.1 |
| 33304 | 64 | 1 | 1460 | MNWNNT | MACOS10.3 |
表1
| UA | 操作系统 |
| Windows NT 5.1 | Windows XP |
| Windows NT 6.0 | Windows Server 2008 |
| Windows NT 10.0 | Windows 10 |
| Linux | Linux |
表2
本申请实施例中,服务器可以将从原始流量数据中提取出操作系统关联数据,基于表1与表2,确定出操作系统关联数据对应的操作系统,作为当前攻击主机系统。
S1022、通过预设分类识别模型,对操作系统关联数据进行分类识别,得到当前攻击主机系统;预设分类识别模型是对初始决策树进行网络训练得到的;初始决策树根据预设操作系统与预设操作系统关联数据之间的预设对应关系生成。
本申请实施例中,服务器可以预先通过已知的操作系统或者具有指纹库的第三方工具,提取流量数据特征和操作系统类型的关联关系数据,接着可以将这些关联关系数据作为特征维度生成初始决策树作为初始分类识别模型,对初始决策树进行大量训练数据的训练,得到可以进行操作系统识别的预设分类识别模型。
这样,服务器可以用训练好的预设分类识别模型,对实时提取得到的操作系统关联数据进行操作系统的识别,推测出操作系统关联数据对应的操作系统类型,作为当前攻击主机系统。
S103、根据至少一个当前攻击特征与当前攻击主机系统得到当前资产特征集合,计算当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于聚合度实现对当前攻击事件的资产的身份识别;至少一个预设攻击资产特征集合是通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到的,用于表征至少一个攻击发起对象的身份信息。
本申请实施例中,服务器可以将至少一个当前攻击特征与当前攻击主机系统进行数据合并,即在至少一个维度中增加操作系统维度,得到当前资产特征集合,或者,服务器也可以至少一个当前攻击特征、当前攻击主机系统再与其他维度的特征数据进行合并,得到当前资产特征集合,具体的根据实际情况进行选择,本申请实施例不作限定。
本申请实施例中,服务器可以预先获取网络中至少一个历史攻击事件对应的至少一个历史网络告警信息中,对至少一个历史网络告警信息中的每个历史网络告警信息进行同样过程的信息聚类与特征提取,以及对每个历史网络告警信息对应的原始流量数据进行操作系统检测识别,得到至少一个历史网络告警信息对应的至少一个历史资产特征集合。其中,至少一个历史资产特征集合对应了来自不同历史攻击源地址的历史攻击事件,每个历史攻击源地址可以代表攻击者在网络中的一个攻击资产。为了获取到攻击者的资产范围,即多个源IP地址,以及常用的攻击工具,IP对应的地理位置范围等,服务器可以对至少一个历史资产特征集合从特征维度的角度进行层次聚类,从而去除掉至少一个历史资产特征集合的IP差异,将所有维度的攻击特征进行聚合,用来描述攻击者的画像,得到至少一个预设攻击资产特征集合。
本申请实施例中,至少一个预设攻击资产特征集合中的每个预设攻击资产集合中可以包含有一个或多个历史资产特征集合,每个预设攻击资产集合可以用来表征一个攻击者的特点,即攻击发起对象的身份信息,从而可以通过至少一个预设攻击资产特征集合表征至少一个攻击发起对象的身份信息。
在一些实施例中,每个预设攻击资产集合可以根据其不同的攻击特征类簇所呈现出的特点,关联有相应的预设身份标识,如僵尸网络,黑产,系统类型,开放服务等等。服务器可以计算当前资产特征集合与至少一个预设攻击资产特征集合中每个预设攻击资产特征集合之间的聚合度,进而将聚合度大于预设聚合度阈值的预设攻击资产特征集合作为目标预设攻击资产特征集合,将目标预设攻击资产特征集合对应的预设身份标识作为目标身份标识,对当前资产特征集合在当前网络告警信息中对应的主机标识信息,如源IP地址或源端口地址等进行关联标记,从而实现对当前攻击事件的资产身份的识别。
本申请实施例中,层次聚类就是计算特征向量之间的相似度,也即聚合度,聚合度大于预设聚合度阈值的部分就可以被聚合。服务器可以通过有标记的实验数据,如带有预设身份标注信息的至少一个历史资产特征集合,使用层次聚类,将大于初始聚合度阈值的历史资产特征集合进行特征维度的聚类合并,建模得到至少一个预设攻击资产特征集合。服务器可以通过分析至少一个预设攻击资产特征集合中每个预设攻击资产特征集合所包含的历史资产特征集合的身份标注信息是否一致,确定初始聚合度阈值设置的是否合理,通过调整或确认初始聚合度阈值得到预设聚合度阈值。
这样,当当前资产特征集合与预设攻击资产特征集合的聚合度大于预设聚合度阈值时,说明当前资产特征集合可以与该预设攻击资产特征集合相聚合,属于同一攻击者的攻击特征范围,可以将该预设攻击资产特征集对应的预设身份标识作为当前资产特征集合对应的身份信息,也即当前攻击事件所对应的资产身份。
可以理解的是,本申请实施例中,通过对当前网络告警信息进行多维度的提取,并增加操作系统维度的特征识别,所得到的当前资产特征集合可以从多个维度描述当前攻击事件的攻击发起对象的身份信息,保证了后续基于当前资产特征集合进行资产身份识别的准确性;并且通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到至少一个预设资产特征集合,可以构建攻击者的多维度的指纹信息,从而在某个维度变化的攻击场景下,如同一攻击者更换IP攻击时,仍然能够通过整体特征的聚合度识别出当前攻击事件的资产身份,从而进一步提高了资产识别的准确性。
在一些实施例中,参见图6,图6是本申请实施例提供的资产识别方法的一个可选的流程示意图,基于图3,在S103中“计算当前资产特征集合与至少一个预设攻击资产特征集合的聚合度”之前,还可以执行S001-S004,将结合各步骤进行说明。
S001、获取至少一个历史攻击事件对应的至少一个历史网络告警信息,至少一个历史网络告警信息中的每个历史网络告警信息包含历史攻击源地址。
本申请实施例中,服务器可以获取至少一个历史攻击事件对应的至少一个历史网络告警信息,其中,每个历史网络告警信息包含历史攻击源地址,每个历史网络告警信息中的历史攻击源地址可能相同或不同。
S002、对每个历史告警信息进行至少一个维度的信息聚类与特征提取,并对每个历史告警信息对应的历史原始流量数据进行操作系统识别,得到每个历史告警信息对应的初始历史资产特征集合。
本申请实施例中,服务器可以对每个历史告警信息进行至少一个维度的信息聚类与特征提取,得到每个历史告警信息对应的至少一个历史攻击特征。这里,服务器对每个历史告警信息进行至少一个维度的信息聚类与特征提取的过程与S101描述一致,此处不再赘述。
本申请实施例中,对于一个历史告警信息中包含的历史攻击源地址,服务器可以按照某个时间段的同一个历史攻击源地址的流量数量,例如到达100条,来划定时间窗口,提取时间窗口内的所有相同的历史攻击源地址的流量数据作为该历史告警信息对应的历史原始流量数据,进而得到每个历史告警信息对应的历史原始流量数据。服务器对每个历史告警信息对应的历史原始流量数据进行操作系统识别,得到每个历史告警信息对应的历史攻击主机系统。这里,服务器对每个历史告警信息对应的历史原始流量数据进行操作系统识别的过程与S102描述一致,此处不再赘述。
本申请实施例中,服务器将每个历史告警信息对应的至少一个历史攻击特征与历史主机攻击系统作为每个历史告警信息对应的初始历史资产特征集合。
S003、将相同历史攻击源地址的初始历史资产特征集合进行合并,得到至少一个历史资产特征集合。
本申请实施例中,公网IP可以是网络空间中代表一个资产的唯一性标识,服务器可以IP为单位,将相同历史源地址对应的初始历史资产特征集合先进行合并,防止大范围内进所有维度直接聚类所形成的复杂聚类结果,并避免导致通过聚类结果难以得出具有明显分界的攻击者画像。
在一些实施例中,S003可以通过执行S003-1至S003-2来实现,将结合各步骤进行说明。
S003-1、在同一历史攻击源地址对应的至少一个初始历史资产特征集合中,对至少一个初始历史资产特征集合中的至少一个历史攻击特征进行合并。
本申请实施例中,对于至少一个历史告警信息中,不同历史告警信息可能包含相同的历史攻击源地址。服务器可以在包含相同历史攻击源地址的至少一个历史告警信息中,将同一历史攻击源地址对应的至少一个初始历史资产特征集合中包含的至少一个初始历史攻击特征进行合并,可以得到每个历史攻击源地址对应的至少一个历史攻击特征。这里,至少一个历史攻击特征中,来自同一历史攻击源地址对应的不同初始历史资产特征集合中的历史攻击特征可以多值并存。
S003-2、在至少一个初始历史资产特征集合中,将出现次数最多历史攻击主机系统作为同一历史攻击源地址对应的历史攻击主机系统,从而得到同一历史攻击源地址对应的历史资产特征集合,进而得到至少一个历史资产特征集合。
本申请实施两种,如果同一历史攻击源地址对应的至少一个初始历史资产特征集合中包含的至少一个历史攻击主机系统存在差异,则以最高频率出现的历史攻击主机系统作为最终的操作系统类型,服务器可以将合并后的全部历史攻击特征与合并后最终的历史攻击主机系统作为该历史攻击源地址对应的历史资产特征集合,以IP为单位对至少一个历史告警信息对应的至少一个初始历史资产特征集合进行信息合并,进而得到至少一个历史资产特征集合,其中,每个历史资产特征集合对应一个唯一的历史攻击源地址。
S004、计算至少一个历史资产特征集合之间在特征维度上的相似度,将相似度大于预设相似度阈值的资产特征集合进行聚类合并,并将同一聚类下的历史资产特征集合作为一个预设攻击资产特征集合,进而得到至少一个预设攻击资产特征集合。
本申请实施例中,服务器可以忽略至少一个历史资产集合的IP差异,以特征维度为聚类条件,对至少一个历史资产特征集合进行层次聚类,从而可以将至少一个历史资产特征集合中相似度相近,如聚合度高于预设聚合度阈值的历史资产特征集合中的特征向量进行聚合,得到用于表征一类攻击者特点,即身份信息的一个预设攻击资产特征集合。服务器可以通过对至少一个历史资产特征集合的聚类得到至少一个预设攻击资产特征集合。可以理解,至少一个预设攻击资产特征集合的数量小于或等于至少一个历史资产特征集合的数量。
可以理解的是,本申请实施例中,通过历史告警信息获取历史资产特征集合,并通过对不同历史攻击源地址对应的历史资产特征集合,以特征维度的聚合度进行层次聚类,可以去除不同历史资产特征集合之间的IP差异,挖掘出不同攻击事件之间的关联,进而构建出攻击者在多个维度上的更加丰富的特征,作为预设攻击资产特征集合。这样,即使当前资产特征集合所对应的当前资产在目前并未表现出严重的攻击行为,也可以通过与预设攻击资产特征集合的聚合度比较,确定是否属于同一攻击者的攻击资产,对该攻击者未来使用而不是一定要等到严重的攻击行为发生才进行防范。
在一些实施例中,参见图7,图7是本申请实施例提供的资产识别方法的一个可选的流程示意图,图3示出的S103可以通过S1031至S1032实现,将结合各步骤进行说明。
S1031、计算当前资产特征集合与至少一个预设攻击资产特征集合中每个预设攻击资产特征集合的聚合度;每个预设攻击资产特征集合对应一个预设资产标识。
本申请实施例中,每个预设攻击资产特征集合对应一个预设资产标识,用来标识对应的资产身份信息。服务器可以计算当前资产特征集合与至少一个预设攻击资产特征集合中每个预设攻击资产特征集合的聚合度,进而基于聚合度与预设资产标识实现对当前资产的身份识别。
S1032、将高于预设聚合度阈值的聚合度对应预设攻击资产特征集合作为目标攻击资产特征集合,将目标攻击资产特征集合对应的预设资产标识作为当前攻击源地址的资产标识,从而实现对当前攻击源地址的资产识别。
本申请实施例中,当聚合度高于预设聚合度阈值时,说明当前资产特征集合与对应的预设攻击资产特征集合在特征维度上的相似性较高,属于同一攻击者的可能性较大,服务器将将高于预设聚合度阈值的聚合度对应预设攻击资产特征集合作为目标攻击资产特征集合,进而将目标攻击资产特征集合对应的预设资产标识作为当前攻击源地址的资产标识,从而实现对当前攻击源地址的资产识别。
需要说明的是,本申请实施例中,预设聚合度阈值可以是与预设相似度阈值相等的数值,也可以是根据实际需要取其他数值,具体的根据实际情况进行选择,本申请实施例不作限定。
在一些实施例中,参见图8,图8是本申请实施例提供的资产识别方法的一个可选的流程示意图,图7中示出的S1032之后,还可以执行S104,将结合各步骤进行说明。
S104、使用当前资产特征集合,对目标预设攻击资产特征集合进行更新。
本申请实施例中,由于当前资产特征集合表征了同一攻击者当前发起的攻击事件的最新特征,服务器可以使用当前资产特征集合,通过特征合并或层次聚类等方式,对目标预设攻击资产特征集合进行更新,使得目标预设攻击资产特征集合中可以根据该攻击者的最新特征进行实时更新。
可以理解的是,本申请实施例中,服务器可以根据资产在网络中的活跃程度,来实时更新预设资产特征,进一步丰富和完善预设的资产特征信息,提高资产识别的准确性。
下面,将说明本申请实施例在一个实际的应用场景中的示例性应用。
本申请实施例提供一种基于snort被动流量分析的资产识别系统,整体系统架构图可以如图9所示。其中,流量采集设备中的流量收集探针和网络安全设备可以是任何可以镜像并存储流量的设备,用于收集并存储网络核心网关的流量数据。或者,也可以使用开源或已经购买的任何可以镜像流量的软件或者设备作为流量采集设备进行网络中的流量的实时采集。由于流量数据的数量和时间没有强相关,则可以通过流量采集设备定量地进行新建流量文件并进行存储,示例性地,新建的流量文件每达到5G,就转发到进行被动流量分析的主机进行下一步操作。本申请实施例中,被动流量分析主机可以采用分布式部署,流量数据以分发的方式被发送到不同的被动流量分析主机进行处理,且每个被动流量分析主机都部署相同的处理模块,如包含Snort流量分析引擎,特征提取模块和操作系统识别模块,而最后的特征识别模块必须部署在一台主机上。
图9中,Snort流量分析引擎是可以对流量数据进行分析并生成告警日志的模块,告警日志中包含了资产的部分维度信息的特征。图10是Snort流量分析引擎的基本模块示意图,流量数据会被解码器进行解码,再通过预处理器中的各种插件进行数据包拼接编码等操作,再输入到检测引擎进行告警模式匹配,如果匹配成功则通过输出插件生成告警日志,匹配失败则说明当前的流量数据为正常包,对于正常包进行丢弃,从而可以通过Snort流量分析引擎从流量数据中筛选出攻击事件的相应信息。
图9中,特征提取模块则是对告警日志进行二次处理,包括进行聚类和特征维度信息的提取等功能。本申请实施例中,由于一个攻击事件在某一个行为步骤中产生的警报内容往往具有较高的相似性,如果对同一个IP的警报内容进行特征提取,难度较大,所以需要先对警报内容进行聚类,再提取有效的告警信息,得到流量数据的攻击特征。
图9中,操作系统识别模块是通过神经网络模型,如多目标分类识别模型,对原始流量数据中多个维度的操作系统关联字段进行分析,识别出流量数据对应的资产的操作系统类型。
经过如上过程的处理,特征聚合模块可以获取到以IP为单位的资产特征集合,包括:攻击时间、地理位置、攻击类型、攻击工具、操作系统类型等信息,特征聚合模块首先以IP为单位,对所有收集到的资产特征集合进行关联及聚合,形成以IP为单位的唯一的特征向量集合,再去除IP维度,将其他所有特征维度看作是同等重要的维度,计算不同特征向量集合在其他特征维度上的相似性或聚合度,进行攻击信息特征的聚合,得到至少一个预设攻击资产特征集合。这样,新的流量数据到来的时候,就可以通过与至少一个预设攻击资产特征集合之间的聚合度判断是否是同一个攻击者的资产。
在一些实施例中,基于图9与图10,可以通过如图11所示的过程生成至少一个预设攻击资产特征集合,包括获取待聚类警报、警报量化、聚类阈值选取与输出聚类结果几个阶段。在获取待聚类警报阶段,可以首先获取Snort流量分析引擎针对多个历史攻击事件输出的告警日志。示例性地,对于网络中的资产主机1使用NMAP工具,通过Windows主机对一个XP主机进行端口服务和操作系统扫描所发起的第一历史攻击事件,告警日志中可以包含第一历史攻击事件对应的第一历史网络告警信息,也可以包含网络中其他资产主机的其他历史攻击事件对应的其他历史网络告警信息。特征提取模块可以将源IP或目的IP作为筛选条件,对告警日志中所有的历史网络告警信息进行统计与过滤,得到历史告警信息列表,历史告警信息列表中包含筛选条件中的每个IP地址对应的至少一个历史告警信息,其中,资产主机1的源IP所对应至少一个第一历史告警信息可以如图12所示,其中,第一列为攻击类型,第二列为攻击频率。针对第一历史攻击事件对应的第一历史网络告警信息,特征提取模块可以根据图12提取出攻击类型“ET SCAN NMAP OS Detection Probe”,再联合攻击类型与预估的攻击时间范围,从Snort流量分析引擎的数据库中查询到第一历史攻击事件的event id,如图13所示,通过SQL语句查询所得到的cid即为event id。特征提取模块进而通过event id,在Snort流量分析引擎的数据库中进一步查询到第一攻击事件的详细告警内容,如关联的原始数据流量、攻击时间,攻击类型等信息,作为第一历史网络告警信息。其中,第一攻击事件的event id所对应的原始数据流量可以如图14所示。特征提取模块可以通过对每个源IP下对应的每种攻击类型进行同样的处理,将得到的每个源IP下每种攻击事件的对应历史网络告警信息,作为待聚类警报。
在将警报量化阶段,特征提取模块可以对每个历史网络告警信息进行聚类,示例性地,在第一历史网络告警信息所包含的至少一条告警语句中,将所有包含告警的单词进行统计,并去重,以及去除数字和特殊符号,再建立单词到数字的映射,这就可以将每一条告警语句映射成为一个向量,并对所有向量进行聚类,得到如图15所示的第一历史网络告警信息的聚类结果。特征提取模块对图15中的每一个聚类结果进行特征提取与特征挖掘,得到攻击时间,地理位置,攻击类型,攻击工具的至少一个第一历史攻击特征。同时,操作系统识别模块可以使用预设分类识别模型,对从第一攻击事件对应的原始数据流量中提取的至少一个预设字段的字段内容进行操作系统识别,得到资产主机1对应的第一历史攻击主机系统,进而结合至少一个第一历史攻击特征与第一历史攻击主机系统得到第一攻击事件对应的第一历史攻击特征集合。特征提取模块与操作系统识别模块对待聚类警报中的每个历史告警信息进行聚类特征提取与操作系统识别,得到每个历史告警信息对应的初始历史资产特征集合。
在聚类阈值选取阶段,特征聚合模块可以在多个历史告警信息对应的多个初始历史资产特征集合中,将相同源IP的历史资产特征集合进行合并,得到至少一个历史资产特征集合,进而通过计算至少一个历史资产特征集合之间的相似度,并将相似度大于预设相似度阈值的历史资产特征集合进行特征维度的聚类合并,进而得到至少一个预设攻击资产特征集合。
可以理解的是,本申请实施例可以通过收集网络中的流量数据,基于Snort的规则处理以及原始流量分析,获取攻击者的资产特征信息,来更准确更快的识别资产。相比于已有的资产识别方式,增加了操作系统识别的特征维度,并采用智能模型进行分类,更加智能和快速;且不需要主动发送任何数据包,这样即不会影响网络业务,也不容易被待识别资产的入侵检测系统误报;还可以根据资产在网络中的活跃程度,来实时更新预设攻击资产特征集合的相关信息,这样随着时间的累积,预设攻击资产特征集合的信息会更加丰富。
下面继续说明本申请实施例提供的资产识别装置455的实施为软件模块的示例性结构,在一些实施例中,如图2所示,存储在存储器450的资产识别装置455中的软件模块可以包括:
特征提取模块4551,用于获取当前攻击事件的当前网络告警信息,并对所述当前网络告警信息进行至少一个维度的信息聚类与特征提取,得到至少一个当前攻击特征;
操作系统识别模块4552,用于对所述当前网络告警信息对应的原始流量数据进行操作系统检测识别,得到当前攻击主机系统;所述当前攻击主机系统为发起所述当前攻击事件的当前资产上所部署的操作系统;
聚合识别模块4553,用于根据所述至少一个当前攻击特征与所述当前攻击主机系统得到当前资产特征集合,计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于所述聚合度实现对当前资产的身份识别;所述至少一个预设攻击资产特征集合是通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到的,用于表征至少一个攻击发起对象的身份信息。
在一些实施例中,所述资产识别装置455还包括特征聚合模块,所述特征聚合模块,用于计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度之前,获取至少一个历史攻击事件对应的至少一个历史网络告警信息,所述至少一个历史网络告警信息中的每个历史网络告警信息包含历史攻击源地址;对所述每个历史告警信息进行所述至少一个维度的信息聚类与特征提取,并对所述每个历史告警信息对应的历史原始流量数据进行操作系统识别,得到所述每个历史告警信息对应的初始历史资产特征集合;将相同历史攻击源地址的初始历史资产特征集合进行合并,得到至少一个历史资产特征集合;计算所述至少一个历史资产特征集合之间在所述特征维度上的相似度,将所述相似度大于预设相似度阈值的资产特征集合进行聚类合并,并将同一聚类下的历史资产特征集合作为一个预设攻击资产特征集合,进而得到所述至少一个预设攻击资产特征集合。
在一些实施例中,当前网络告警信息为预设入侵检测平台根据所述攻击事件输出的告警信息,所述至少一个当前攻击特征包括以下至少之一:攻击工具、攻击类型、攻击时间与地理位置。
在一些实施例中,所述操作系统识别模块4552,还用于从所述原始流量数据中,提取至少一个预设字段的数据内容作为所述操作系统关联数据,所述至少一个预设字段包括以下至少一个:攻击源网络地址头部长度、窗口大小、数据包生存时间、是否分片、最大报文长度、TCP选项、用户代理信息;通过预设分类识别模型,对所述操作系统关联数据进行分类识别,得到所述当前攻击主机系统;所述预设分类识别模型是对初始分类识别模型进行网络训练得到的;所述初始分类识别模型根据预设操作系统与预设操作系统关联数据之间的预设对应关系生成。
在一些实施例中,所述初始历史资产特征集合包括至少一个历史攻击特征与历史攻击主机系统,所述特征聚合模块,还用于在同一历史攻击源地址对应的至少一个初始历史资产特征集合中,对所述至少一个初始历史资产特征集合中的至少一个历史攻击特征进行合并;在所述至少一个初始历史资产特征集合中,将出现次数最多历史攻击主机系统作为所述同一历史攻击源地址对应的历史攻击主机系统,从而得到所述同一历史攻击源地址对应的历史资产特征集合,进而得到所述至少一个历史资产特征集合。
在一些实施例中,所述聚合识别模块4553,还用于计算所述当前资产特征集合与所述至少一个预设攻击资产特征集合中每个预设攻击资产特征集合的聚合度;所述每个预设攻击资产特征集合对应一个预设资产标识;将高于预设聚合度阈值的聚合度对应的预设攻击资产特征集合作为目标攻击资产特征集合,将所述目标攻击资产特征集合对应的预设资产标识作为所述当前攻击源地址的资产标识,从而实现对所述当前攻击源地址的资产识别。
在一些实施例中,所述资产识别装置455还包括更新模块,所述更新模块,用于使用所述当前资产特征集合,对所述目标预设攻击资产特征集合进行更新。
需要说明的是,以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例上述的资产识别方法。
本申请实施例提供一种存储有可执行指令的计算机可读存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本申请实施例提供的方法,例如,如图3、图6-8中示出的方法。
在一些实施例中,计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、闪存、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
作为示例,可执行指令可以但不一定对应于文件系统中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(HTML,Hyper TextMarkup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
作为示例,可执行指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
综上所述,本申请实施例中,通过对当前网络告警信息进行多维度的提取,并增加操作系统维度的特征识别,所得到的当前资产特征集合可以从多个维度描述当前攻击事件的攻击发起对象的身份信息,保证了后续基于当前资产特征集合进行资产身份识别的准确性;并且通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到至少一个预设资产特征集合,可以构建攻击者的多维度的指纹信息,从而在某个维度变化的攻击场景下,如同一攻击者更换IP攻击时,仍然能够通过整体特征的聚合度识别出当前攻击事件的资产身份,从而进一步提高了资产识别的准确性。本申请实施例可以通过收集网络中的流量数据,基于Snort的规则处理以及原始流量分析,获取攻击者的资产特征信息,来更准确更快的识别资产。相比于已有的资产识别方式,增加了操作系统识别的特征维度,并采用智能模型进行分类,更加智能和快速;且不需要主动发送任何数据包,这样即不会影响网络业务,也不容易被待识别资产的入侵检测系统误报;还可以根据资产在网络中的活跃程度,来实时更新预设攻击资产特征集合的相关信息,这样随着时间的累积,预设攻击资产特征集合的信息会更加丰富。
以上所述,仅为本申请的实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本申请的保护范围之内。
Claims (10)
1.一种资产识别方法,其特征在于,包括:
获取当前攻击事件的当前网络告警信息,并对所述当前网络告警信息进行至少一个维度的信息聚类与特征提取,得到至少一个当前攻击特征;
对所述当前网络告警信息对应的原始流量数据进行操作系统检测识别,得到当前攻击主机系统;所述当前攻击主机系统为发起所述当前攻击事件的当前资产上所部署的操作系统;
根据所述至少一个当前攻击特征与所述当前攻击主机系统得到当前资产特征集合,计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于所述聚合度实现对当前资产的身份识别;所述至少一个预设攻击资产特征集合是通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到的,用于表征至少一个攻击发起对象的身份信息。
2.根据权利要求1所述的方法,其特征在于,所述计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度之前,所述方法还包括:
获取至少一个历史攻击事件对应的至少一个历史网络告警信息,所述至少一个历史网络告警信息中的每个历史网络告警信息包含历史攻击源地址;
对所述每个历史告警信息进行所述至少一个维度的信息聚类与特征提取,并对所述每个历史告警信息对应的历史原始流量数据进行操作系统识别,得到所述每个历史告警信息对应的初始历史资产特征集合;
将相同历史攻击源地址的初始历史资产特征集合进行合并,得到至少一个历史资产特征集合;
计算所述至少一个历史资产特征集合之间在所述特征维度上的相似度,将所述相似度大于预设相似度阈值的资产特征集合进行聚类合并,并将同一聚类下的历史资产特征集合作为一个预设攻击资产特征集合,进而得到所述至少一个预设攻击资产特征集合。
3.根据权利要求1或2所述的方法,其特征在于,所述当前网络告警信息为预设入侵检测平台根据所述攻击事件输出的告警信息,所述至少一个当前攻击特征包括以下至少之一:攻击工具、攻击类型、攻击时间与地理位置。
4.根据权利要求1或2所述的方法,其特征在于,所述对所述当前网络告警信息对应的原始流量数据进行操作系统检测识别,得到当前攻击主机系统,包括:
从所述原始流量数据中,提取至少一个预设字段的数据内容作为所述操作系统关联数据,所述至少一个预设字段包括以下至少一个:攻击源网络地址头部长度、窗口大小、数据包生存时间、是否分片、最大报文长度、TCP选项、用户代理信息;
通过预设分类识别模型,对所述操作系统关联数据进行分类识别,得到所述当前攻击主机系统;所述预设分类识别模型是对初始分类识别模型进行网络训练得到的;所述初始分类识别模型根据预设操作系统与预设操作系统关联数据之间的预设对应关系生成。
5.根据权利要求2所述的方法,其特征在于,所述初始历史资产特征集合包括至少一个历史攻击特征与历史攻击主机系统,所述将相同历史攻击源地址的历史资产特征集合进行合并,得到至少一个历史资产特征集合,包括:
在同一历史攻击源地址对应的至少一个初始历史资产特征集合中,对所述至少一个初始历史资产特征集合中的至少一个历史攻击特征进行合并;
在所述至少一个初始历史资产特征集合中,将出现次数最多历史攻击主机系统作为所述同一历史攻击源地址对应的历史攻击主机系统,从而得到所述同一历史攻击源地址对应的历史资产特征集合,进而得到所述至少一个历史资产特征集合。
6.根据权利要求1、2或5任一项所述的方法,其特征在于,所述计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于所述聚合度实现对当前资产的身份识别,包括:
计算所述当前资产特征集合与所述至少一个预设攻击资产特征集合中每个预设攻击资产特征集合的聚合度;所述每个预设攻击资产特征集合对应一个预设资产标识;
将高于预设聚合度阈值的聚合度对应的预设攻击资产特征集合作为目标攻击资产特征集合,将所述目标攻击资产特征集合对应的预设资产标识作为所述当前攻击源地址的资产标识,从而实现对所述当前攻击源地址的资产识别。
7.根据权利要求6所述的方法,其特征在于,所述将所述目标攻击资产特征集合对应的预设资产标识作为所述当前攻击源地址的资产标识之后,所述方法还包括:
使用所述当前资产特征集合,对所述目标预设攻击资产特征集合进行更新。
8.一种资产识别装置,其特征在于,包括:
特征提取模块,用于获取当前攻击事件的当前网络告警信息,并对所述当前网络告警信息进行至少一个维度的信息聚类与特征提取,得到至少一个当前攻击特征;
操作系统识别模块,用于对所述当前网络告警信息对应的原始流量数据进行操作系统检测识别,得到当前攻击主机系统;所述当前攻击主机系统为发起所述当前攻击事件的当前资产上所部署的操作系统;
聚合识别模块,用于根据所述至少一个当前攻击特征与所述当前攻击主机系统得到当前资产特征集合,计算所述当前资产特征集合与至少一个预设攻击资产特征集合的聚合度,进而基于所述聚合度实现对当前资产的身份识别;所述至少一个预设攻击资产特征集合是通过对历史攻击源地址对应的历史资产特征集合进行特征维度的层次聚类得到的,用于表征至少一个攻击发起对象的身份信息。
9.一种电子设备,其特征在于,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,存储有可执行指令,用于被处理器执行时,实现权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110220048.3A CN114972827A (zh) | 2021-02-26 | 2021-02-26 | 资产识别方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110220048.3A CN114972827A (zh) | 2021-02-26 | 2021-02-26 | 资产识别方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114972827A true CN114972827A (zh) | 2022-08-30 |
Family
ID=82973624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110220048.3A Pending CN114972827A (zh) | 2021-02-26 | 2021-02-26 | 资产识别方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114972827A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277248A (zh) * | 2022-09-19 | 2022-11-01 | 南京聚铭网络科技有限公司 | 一种网络安全报警归并方法、装置及存储介质 |
| CN116069380A (zh) * | 2023-02-02 | 2023-05-05 | 安芯网盾(北京)科技有限公司 | 一种基于规则的主机资产检测方法、设备和可读存储介质 |
-
2021
- 2021-02-26 CN CN202110220048.3A patent/CN114972827A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277248A (zh) * | 2022-09-19 | 2022-11-01 | 南京聚铭网络科技有限公司 | 一种网络安全报警归并方法、装置及存储介质 |
| CN115277248B (zh) * | 2022-09-19 | 2022-12-27 | 南京聚铭网络科技有限公司 | 一种网络安全报警归并方法、装置及存储介质 |
| CN116069380A (zh) * | 2023-02-02 | 2023-05-05 | 安芯网盾(北京)科技有限公司 | 一种基于规则的主机资产检测方法、设备和可读存储介质 |
| CN116069380B (zh) * | 2023-02-02 | 2023-09-12 | 安芯网盾(北京)科技有限公司 | 一种基于规则的主机资产检测方法、设备和可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111147504B (zh) | 威胁检测方法、装置、设备和存储介质 | |
| CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
| CN113328985B (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN112468520A (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| CN109218321A (zh) | 一种网络入侵检测方法及系统 | |
| WO2019084072A1 (en) | GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM | |
| CN114972827A (zh) | 资产识别方法、装置、设备及计算机可读存储介质 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN111464510B (zh) | 基于快速梯度提升树分类模型的网络实时入侵检测方法 | |
| CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
| CN111953665A (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| CN112822223B (zh) | 一种dns隐蔽隧道事件自动化检测方法、装置和电子设备 | |
| CN115378619A (zh) | 敏感数据访问方法及电子设备、计算机可读存储介质 | |
| CN112583827A (zh) | 一种数据泄露检测方法及装置 | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| CN116170227A (zh) | 一种流量异常的检测方法、装置、电子设备及存储介质 | |
| CN115242436A (zh) | 一种基于命令行特征的恶意流量检测方法及系统 | |
| CN114189585A (zh) | 骚扰电话异常检测方法、装置及计算设备 | |
| CN111565187B (zh) | 一种dns异常检测方法、装置、设备及存储介质 | |
| CN117640127A (zh) | 一种用于预测音视频攻击规模的方法、装置、介质及设备 | |
| CN117118658A (zh) | 一种数据处理方法、装置、设备、介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |