CN115150052A - 攻击团伙的跟踪识别方法、装置、设备及存储介质 - Google Patents
攻击团伙的跟踪识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115150052A CN115150052A CN202210646694.0A CN202210646694A CN115150052A CN 115150052 A CN115150052 A CN 115150052A CN 202210646694 A CN202210646694 A CN 202210646694A CN 115150052 A CN115150052 A CN 115150052A
- Authority
- CN
- China
- Prior art keywords
- group
- attack
- determining
- evolution
- time window
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/005—Countermeasures against attacks on cryptographic mechanisms for timing attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种攻击团伙的跟踪识别方法、装置、设备及存储介质,其中,方法包括:确定多个时间窗口的团伙划分结果;对于多个时间窗口中第一时间窗口中的第一团伙,从相邻的第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙;根据第一团伙和第二团伙之间所有共有攻击资源实体的归属度,确定第一团伙和第二团伙之间的演化权重,以根据演化权重确定所述第一团伙和第二团伙之间的演化关系。根据本公开的技术方案,能够提高攻击团伙演化分析过程的准确率和攻击团伙识别的准确度。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种攻击团伙的跟踪识别方法、装置、设备及存储介质。
背景技术
在网络安全领域,攻击者常常使用团伙的方式进行网络攻击。攻击团伙通常分为两种,一种是使用相同的攻击方式、漏洞利用方式等进行攻击。另一种是分工明确的攻击团伙,由不同的成员负责不同的攻击阶段。无论是何种攻击团伙,为了规避检测,其所使用的攻击资源往往是动态变化的。
相关技术中,通过对上一窗口聚类得到的团伙社区中的攻击资源集合,与当前窗口聚类得到的团伙社区中的攻击资源集合进行Jaccard相似度计算,将相似度较高的标识为同一个团伙,该方式的识别准确度有待提高,因此,如何针对攻击团伙所掌握资源的动态变化情况实现对攻击团伙的持续跟踪分析,是一个亟待解决的技术问题。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种攻击团伙的跟踪识别方法、装置、设备及存储介质。
第一方面,本公开实施例提供了一种攻击团伙的跟踪识别方法,包括:
根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果,其中,每两个相邻时间窗口部分重合,每个时间窗口的团伙划分结果包括多个团伙,每个团伙由多个攻击资源实体组成;
对于所述多个时间窗口中第一时间窗口中的第一团伙,从第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙,其中,所述第一时间窗口与所述第二时间窗口相邻;
分别确定所述共有攻击资源实体对于所述第一团伙和所述第二团伙的归属度;
根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体的归属度,确定所述第一团伙和所述第二团伙之间的演化权重,以根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系。
可选地,所述根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果,包括:
根据每个时间窗口的网络安全数据,生成攻击资源实体之间的关系图谱;
通过划分算法对所述关系图谱进行划分,确定该时间窗口的团伙划分结果。
可选地,通过如下步骤确定所述共有攻击资源实体对于所述第一团伙的归属度:
从所述关系图谱中确定所述共有攻击资源实体的邻居攻击资源实体;
获取所述邻居攻击资源实体与所述第一团伙的归属关系,根据归属于所述第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定所述归属度。
可选地,所述根据归属于所述第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定所述归属度,包括:
获取所述共有攻击资源实体的属性信息;
确定与所述属性信息匹配的属性权重;
根据所述属性权重和所述占比,确定所述归属度。
可选地,所述根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体的归属度,确定所述第一团伙和所述第二团伙之间的演化权重,包括:
根据所述所有共有攻击资源实体,构建所述第一团伙和所述第二团伙之间的演化路径,其中,所述共有攻击资源实体与所述演化路径一一对应;
对于每条演化路径,根据对应的共有攻击资源实体对于所述第一团伙的第一归属度以及对于所述第二团伙的第二归属度,确定该演化路径的权重;
将所有演化路径的权重求和,生成所述演化权重。
可选地,所述根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系,包括:
在所述演化权重大于预设阈值的情况下,确定所述第一团伙和所述第二团伙之间存在演化关系。
第二方面,本公开实施例提供了一种攻击团伙的跟踪识别装置,包括:
划分模块,用于根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果,其中,每两个相邻时间窗口部分重合,每个时间窗口的团伙划分结果包括多个团伙,每个团伙由多个攻击资源实体组成;
共有实体确定模块,用于对于所述多个时间窗口中第一时间窗口中的第一团伙,从第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙,其中,所述第一时间窗口与所述第二时间窗口相邻;
归属确定模块,用于分别确定所述共有攻击资源实体对于所述第一团伙和所述第二团伙的归属度;
演化确定模块,用于根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体的归属度,确定所述第一团伙和所述第二团伙之间的演化权重,以根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系。
第三方面,本公开实施例提供了一种电子设备,包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述第一方面所述的攻击团伙的跟踪识别方法。
第四方面,本公开实施例提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的攻击团伙的跟踪识别方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:通过确定多个时间窗口的团伙划分结果,对于多个时间窗口中第一时间窗口中的第一团伙,从相邻的第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙,根据第一团伙和第二团伙之间所有共有攻击资源实体的归属度,确定第一团伙和第二团伙之间的演化权重,以根据演化权重确定第一团伙和第二团伙之间的演化关系,由此,通过确定相邻时间窗口的两团伙之间的演化关系,实现了基于资源重要程度的团伙演化分析,能够在团伙攻击资源变化情况下准确地对团伙攻击行为以及攻击团伙的跟踪识别、演化分析,提高了攻击团伙演化分析过程的准确率,进一步提高攻击团伙识别的准确度。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例所提供的一种攻击团伙的跟踪识别方法的流程示意图;
图2为本公开实施例所提供的另一种攻击团伙的跟踪识别方法的流程示意图;
图3为本公开实施例所提供的一种攻击团伙的跟踪识别装置的结构示意图;
图4为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1为本公开实施例所提供的一种攻击团伙的跟踪识别方法的流程示意图,本公开实施例提供的方法可以由攻击团伙的跟踪识别装置来执行,该装置可以采用软件和/或硬件实现,并可集成在任意具有计算能力的电子设备上,例如智能手机、平板电脑等用户终端。
如图1所示,本公开实施例提供的攻击团伙的跟踪识别方法可包括:
步骤101,根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果。其中,每两个相邻时间窗口部分重合,每个时间窗口的团伙划分结果包括多个团伙,每个团伙由多个攻击资源实体组成。
本实施例中,获取一定时间内的网络安全数据,网络安全数据包括攻击日志或安全事件数据,通过将该一定时间划分为多个时间窗口,对于每个时间窗口内的网络安全数据进行攻击资源实体及其属性的抽取,根据抽取结果进行分类,得到该时间窗口的团伙划分结果。
其中,攻击资源实体包括但不限于ip地址、域名、端口、邮箱、样本hash、文件名、统一资源定位器url等。时间窗口可以根据需要进行划分,例如每个时间窗口可以是一个月、半年等。
下面对确定团伙划分结果的实现过程进行说明。
在本公开的一个实施例中,根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果,包括:根据每个时间窗口的网络安全数据,生成攻击资源实体之间的关系图谱;通过划分算法对关系图谱进行划分,确定该时间窗口的团伙划分结果。其中,划分算法包括聚类、社区发现等方法。
本实施例中,通过知识标注及知识构建抽取关联关系,构建攻击资源实体之间的关系图谱,进而,利用聚类、社区发现等方法进行团伙划分。
作为一种示例,以6个月为一个时间窗口,将6个月内的攻击资源实体以及对应的关系进行抽取以构建图谱,团伙划分结果集合记为A1={C1,C2,…,Cn},其中,n表示团伙数量,每个团伙C可以看作该团伙对应的攻击资源实体的集合。进而,确定一滑动窗口,例如滑动窗口为1个月,取移动1个月的时间长度后的当前6个月作为相邻的另一时间窗口,即若前一时间窗口为1月至6月,则当前时间窗口为2月至7月,此时团伙划分结果集合记为A2={C1′,C2′,…,Cm′},其中,m表示团伙数量。相邻的时间窗口部分重合,由于当前时间窗口相对于前一时间窗口存在新的网络安全数据,因此A2相对于A1通常存在不同的团伙。对于全数据集,均采用以上步骤进行分析,得到每个时间窗口的团伙划分结果,本实施例的方法,目的在于将Ai与Ai+1中的每个团伙进行映射标注,以分析其动态演化的过程。
步骤102,对于多个时间窗口中第一时间窗口中的第一团伙,从第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙,其中,第一时间窗口与第二时间窗口相邻。
本实施例中,对于第一时间窗口中任一个第一团伙Ci,从第二时间窗口的所有团伙A2={C1′,C2′,…,Cm′}中,确定与第一团伙存在共有攻击资源实体的第二团伙。例如,对于攻击资源实体端口X,若第一团伙Ci与C1′中均包含该端口X,则确定端口X为这两个团伙的共有攻击资源实体。若第一团伙与第二时间窗口对应的某一团伙不存在共有攻击资源实体,则确定这两个团伙不存在演化关系。
步骤103,分别确定共有攻击资源实体对于第一团伙和第二团伙的归属度。
本实施例中,每个时间窗口对应一个关系图谱,关系图谱是根据抽取的攻击资源实体及其属性和关系构建的,可以根据关系图谱确定各攻击资源实体对于团伙的归属度。其中,归属度用于反映攻击资源归属于当前团伙的关键程度特征。
下面对确定攻击资源实体的归属度进行说明。
在本公开的一个实施例中,从第一时间窗口对应的关系图谱中确定共有攻击资源实体的邻居攻击资源实体;获取邻居攻击资源实体与第一团伙的归属关系,根据归属于第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定归属度。
作为一种示例,第一时间窗口的团伙划分结果包括Ci,对团伙Ci中的任意攻击资源实体v,计算v属于团伙Ci的归属度,包括:从第一时间窗口对应的关联图谱中确定v的所有邻居,计算邻居归属于团伙Ci的比例,具体公式如下:
在本公开的一个实施例中,获取共有攻击资源实体的属性信息,确定与属性信息匹配的属性权重;根据属性权重确定归属度。
作为一种示例,确定攻击资源实体v的属性信息,根据属性信息查询预设的属性信息与数值的映射关系,确定属性权重,例如,针对特定攻击团伙的专用控制端、专用攻击指纹特点等,具有较高的属性权重。
在本公开的一个实施例中,从关系图谱中确定所述共有攻击资源实体的邻居攻击资源实体;获取邻居攻击资源实体与第一团伙的归属关系;以及,获取共有攻击资源实体的属性信息,确定与属性信息匹配的属性权重;根据属性权重和归属于第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定归属度。可选地,属性权重取值区间为(0,1)。
作为一种示例,参照以上方式确定指标和属性权重w后,根据以下公式确定v相对于团伙Ci的综合归属度:对每个团伙中的每个攻击资源实体,重复以上计算过程,则得到所有攻击资源相对于所在团伙的归属度,以上计算过程是可以按团伙并行处理的。由此,通过一个攻击团伙掌握的关键控制节点、控制端等强特征,准确标识其所代表的团伙,提供一种考虑资源重要程度的团伙演化分析方法,提升了攻击团伙演化分析过程的准确率。
通过上述方式,可以确定目标团伙包括的任一目标攻击资源实体,对于该目标团伙的归属度。需要说明的是,上述以第一团伙为例进行说明,进一步,对于第二团伙,从第二时间窗口对应的关系图谱中确定共有攻击资源实体的邻居攻击资源实体,获取邻居攻击资源实体与第二团伙的归属关系,根据归属于第二团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定共有攻击资源实体对于第二团伙的归属度,可选地,获取共有攻击资源实体的属性信息,确定与属性信息匹配的属性权重;根据属性权重和归属于第二团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定共有攻击资源实体对于第二团伙的归属度,该说明同样适用于上述提到的任一团伙,此处不作赘述。
步骤104,根据第一团伙和第二团伙之间所有共有攻击资源实体的归属度,确定第一团伙和第二团伙之间的演化权重,以根据演化权重确定第一团伙和第二团伙之间的演化关系。
本实施例中,根据所有共有攻击资源实体,构建第一团伙和第二团伙之间的演化路径,其中,共有攻击资源实体与演化路径一一对应。进而,对于每条演化路径,根据对应的共有攻击资源实体对于第一团伙以及对于第二团伙的归属度,确定该演化路径的权重,根据第一团伙和第二团伙之间所有演化路径的权重生成演化权重。
作为一种示例,攻击团伙是动态演化的,反映在多个时间窗口的团伙划分结果有一定的映射关系,比如,对于相邻两个时间窗口的团伙划分结果Ai和Ai+1,由于其时间窗口有重合,攻击资源关系也存在重合,反映在团伙划分结果上,对于Ai和Ai+1的各个团伙,假设对于C1和C′1的所有公共攻击资源实体,以共有的攻击资源实体为纽带构建演化路径,对于有多个共有攻击资源实体的,可以构建多条演化路径,参照图2,图2为本公开实施例所提供的一种演化路径的示意图。对于每条演化路径,根据对应的共有攻击资源实体对于第一团伙的第一归属度以及对于第二团伙的第二归属度的乘积,确定该演化路径的权重,将所有演化路径的权重求和,生成演化权重。即通过以下公式确定演化权重:分别考虑所有演化路径,记为 计算每条路径的演化权重为当前共有攻击资源实体分别到两端团伙的归属度的乘积其中Li是中的一条演化路径,vi是路径对应的共有攻击资源实体,团伙C1到C′1的总体演化权重记为K为演化路径的个数。
本实施例中,预设设置阈值,在第一团伙和第二团伙之间的演化权重大于该阈值的情况下,确定第一团伙和第二团伙之间存在演化关系,即以当前是第二时间窗口为例,对于当前第二时间窗口内的第二团伙,其是由在前的第一时间窗口内的第一团伙,演化而来,其实质是同一个团伙。由此,对于每个时间窗口迭代以上过程进行持续跟踪分析,确定各时间窗口内各团伙之间的演化关系。
根据本公开实施例的技术方案,通过确定多个时间窗口的团伙划分结果,对于多个时间窗口中第一时间窗口中的第一团伙,从相邻的第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙,根据第一团伙和第二团伙之间所有共有攻击资源实体的归属度,确定第一团伙和第二团伙之间的演化权重,以根据演化权重确定第一团伙和第二团伙之间的演化关系,由此,通过确定相邻时间窗口的两团伙之间的演化关系,实现了基于资源重要程度的团伙演化分析,能够在团伙攻击资源变化情况下准确地对团伙攻击行为以及攻击团伙的跟踪识别、演化分析,提升了攻击团伙演化分析过程的准确率,解决了团伙攻击资源变化情况下进行持续跟踪的技术问题,提高攻击团伙识别的准确度。
图3为本公开实施例所提供的一种攻击团伙的跟踪识别装置的结构示意图,如图3所示,该攻击团伙的跟踪识别装置包括:划分模块31,共有实体确定模块32,归属确定模块33,演化确定模块34。
其中,划分模块31,用于根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果,其中,每两个相邻时间窗口部分重合,每个时间窗口的团伙划分结果包括多个团伙,每个团伙由多个攻击资源实体组成。
共有实体确定模块32,用于对于所述多个时间窗口中第一时间窗口中的第一团伙,从第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙,其中,所述第一时间窗口与所述第二时间窗口相邻。
归属确定模块33,用于分别确定所述共有攻击资源实体对于所述第一团伙和所述第二团伙的归属度。
演化确定模块34,用于根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体的归属度,确定所述第一团伙和所述第二团伙之间的演化权重,以根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系。
在本公开的一个实施例中,划分模块31具体用于:根据每个时间窗口的网络安全数据,生成攻击资源实体之间的关系图谱;通过划分算法对所述关系图谱进行划分,确定该时间窗口的团伙划分结果。
在本公开的一个实施例中,归属确定模块33具体用于:从所述关系图谱中确定所述共有攻击资源实体的邻居攻击资源实体;获取所述邻居攻击资源实体与所述第一团伙的归属关系,根据归属于所述第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定所述归属度。
在本公开的一个实施例中,归属确定模块33具体用于:获取所述共有攻击资源实体的属性信息;确定与所述属性信息匹配的属性权重;根据所述属性权重和所述占比,确定所述归属度。
在本公开的一个实施例中,演化确定模块34具体用于:根据所述所有共有攻击资源实体,构建所述第一团伙和所述第二团伙之间的演化路径,其中,所述共有攻击资源实体与所述演化路径一一对应;对于每条演化路径,根据对应的共有攻击资源实体对于所述第一团伙的第一归属度以及对于所述第二团伙的第二归属度,确定该演化路径的权重;将所有演化路径的权重求和,生成所述演化权重。
在本公开的一个实施例中,演化确定模块34具体用于:在所述演化权重大于预设阈值的情况下,确定所述第一团伙和所述第二团伙之间存在演化关系。
本公开实施例所提供的攻击团伙的跟踪识别装置可执行本公开实施例所提供的任意攻击团伙的跟踪识别方法,具备执行方法相应的功能模块和有益效果。本公开装置实施例中未详尽描述的内容可以参考本公开任意方法实施例中的描述。
图4为本公开实施例提供的一种电子设备的结构示意图。如图4所示,电子设备600包括一个或多个处理器601和存储器602。
处理器601可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备600中的其他组件以执行期望的功能。
存储器602可以包括一个或多个计算机程序产品,计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器601可以运行程序指令,以实现上文的本公开的实施例的方法以及/或者其他期望的功能。在计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
在一个示例中,电子设备600还可以包括:输入装置603和输出装置604,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。此外,该输入装置603还可以包括例如键盘、鼠标等等。该输出装置604可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出装置604可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图4中仅示出了该电子设备600中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备600还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,计算机程序指令在被处理器运行时使得处理器执行本公开实施例所提供的任意方法。
计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,计算机程序指令在被处理器运行时使得处理器执行本公开实施例所提供的任意方法。
计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种攻击团伙的跟踪识别方法,其特征在于,包括:
根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果,其中,每两个相邻时间窗口部分重合,每个时间窗口的团伙划分结果包括多个团伙,每个团伙由多个攻击资源实体组成;
对于所述多个时间窗口中第一时间窗口中的第一团伙,从第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙,其中,所述第一时间窗口与所述第二时间窗口相邻;
分别确定所述共有攻击资源实体对于所述第一团伙和所述第二团伙的归属度;
根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体的归属度,确定所述第一团伙和所述第二团伙之间的演化权重,以根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系。
2.如权利要求1所述的方法,其特征在于,所述根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果,包括:
根据每个时间窗口的网络安全数据,生成攻击资源实体之间的关系图谱;
通过划分算法对所述关系图谱进行划分,确定该时间窗口的团伙划分结果。
3.如权利要求2所述的方法,其特征在于,通过如下步骤确定所述共有攻击资源实体对于所述第一团伙的归属度:
从所述关系图谱中确定所述共有攻击资源实体的邻居攻击资源实体;
获取所述邻居攻击资源实体与所述第一团伙的归属关系,根据归属于所述第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定所述归属度。
4.如权利要求3所述的方法,其特征在于,所述根据归属于所述第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比,确定所述归属度,包括:
获取所述共有攻击资源实体的属性信息;
确定与所述属性信息匹配的属性权重;
根据所述属性权重和所述占比,确定所述归属度。
5.如权利要求1所述的方法,其特征在于,所述根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体的归属度,确定所述第一团伙和所述第二团伙之间的演化权重,包括:
根据所述所有共有攻击资源实体,构建所述第一团伙和所述第二团伙之间的演化路径,其中,所述共有攻击资源实体与所述演化路径一一对应;
对于每条演化路径,根据对应的共有攻击资源实体对于所述第一团伙的第一归属度以及对于所述第二团伙的第二归属度,确定该演化路径的权重;
将所有演化路径的权重求和,生成所述演化权重。
6.如权利要求1所述的方法,其特征在于,所述根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系,包括:
在所述演化权重大于预设阈值的情况下,确定所述第一团伙和所述第二团伙之间存在演化关系。
7.一种攻击团伙的跟踪识别装置,其特征在于,包括:
划分模块,用于根据多个时间窗口的网络安全数据,确定多个时间窗口的团伙划分结果,其中,每两个相邻时间窗口部分重合,每个时间窗口的团伙划分结果包括多个团伙,每个团伙由多个攻击资源实体组成;
共有实体确定模块,用于对于所述多个时间窗口中第一时间窗口中的第一团伙,从第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙,其中,所述第一时间窗口与所述第二时间窗口相邻;
归属确定模块,用于分别确定所述共有攻击资源实体对于所述第一团伙和所述第二团伙的归属度;
演化确定模块,用于根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体的归属度,确定所述第一团伙和所述第二团伙之间的演化权重,以根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系。
8.一种电子设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求1-6中任一所述的攻击团伙的跟踪识别方法。
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1-6中任一所述的攻击团伙的跟踪识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210646694.0A CN115150052B (zh) | 2022-06-08 | 2022-06-08 | 攻击团伙的跟踪识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210646694.0A CN115150052B (zh) | 2022-06-08 | 2022-06-08 | 攻击团伙的跟踪识别方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115150052A true CN115150052A (zh) | 2022-10-04 |
CN115150052B CN115150052B (zh) | 2023-04-07 |
Family
ID=83407639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210646694.0A Active CN115150052B (zh) | 2022-06-08 | 2022-06-08 | 攻击团伙的跟踪识别方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115150052B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019028341A1 (en) * | 2017-08-03 | 2019-02-07 | T-Mobile Usa, Inc. | SIMILARITY SEARCH FOR DISCOVERY OF MULTI-VECTOR ATTACKS |
CN110070364A (zh) * | 2019-03-27 | 2019-07-30 | 北京三快在线科技有限公司 | 基于图模型检测团伙欺诈的方法和装置、存储介质 |
CN111371778A (zh) * | 2020-02-28 | 2020-07-03 | 中国工商银行股份有限公司 | 攻击团伙的识别方法、装置、计算设备以及介质 |
US20200358803A1 (en) * | 2019-05-09 | 2020-11-12 | International Business Machines Corporation | Composing and applying security monitoring rules to a target environment |
CN112163096A (zh) * | 2020-09-18 | 2021-01-01 | 中国建设银行股份有限公司 | 一种恶意团体确定方法、装置、电子设备及存储介质 |
CN112822194A (zh) * | 2021-01-07 | 2021-05-18 | 国家计算机网络与信息安全管理中心 | 一种识别判定DDoS攻击团伙行为的方法 |
CN114389857A (zh) * | 2021-12-24 | 2022-04-22 | 国家计算机网络与信息安全管理中心 | 基于核心攻击资源的网络攻击团伙融合方法 |
-
2022
- 2022-06-08 CN CN202210646694.0A patent/CN115150052B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019028341A1 (en) * | 2017-08-03 | 2019-02-07 | T-Mobile Usa, Inc. | SIMILARITY SEARCH FOR DISCOVERY OF MULTI-VECTOR ATTACKS |
CN110070364A (zh) * | 2019-03-27 | 2019-07-30 | 北京三快在线科技有限公司 | 基于图模型检测团伙欺诈的方法和装置、存储介质 |
US20200358803A1 (en) * | 2019-05-09 | 2020-11-12 | International Business Machines Corporation | Composing and applying security monitoring rules to a target environment |
CN111371778A (zh) * | 2020-02-28 | 2020-07-03 | 中国工商银行股份有限公司 | 攻击团伙的识别方法、装置、计算设备以及介质 |
CN112163096A (zh) * | 2020-09-18 | 2021-01-01 | 中国建设银行股份有限公司 | 一种恶意团体确定方法、装置、电子设备及存储介质 |
CN112822194A (zh) * | 2021-01-07 | 2021-05-18 | 国家计算机网络与信息安全管理中心 | 一种识别判定DDoS攻击团伙行为的方法 |
CN114389857A (zh) * | 2021-12-24 | 2022-04-22 | 国家计算机网络与信息安全管理中心 | 基于核心攻击资源的网络攻击团伙融合方法 |
Non-Patent Citations (1)
Title |
---|
吴子凡: ""基于多数据源的群体欺诈攻击检测"", 《中国优秀硕士学位论文全文数据库 信息科技辑(月刊)》 * |
Also Published As
Publication number | Publication date |
---|---|
CN115150052B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhu et al. | OFS-NN: an effective phishing websites detection model based on optimal feature selection and neural network | |
US20170286544A1 (en) | Using hash signatures of dom objects to identify website similarity | |
US20160065534A1 (en) | System for correlation of domain names | |
US9130972B2 (en) | Systems and methods for efficient detection of fingerprinted data and information | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
TW201737072A (zh) | 一種對應用程序進行項目評估的方法及系統 | |
WO2007109726A2 (en) | Social network aware pattern detection | |
CN110135978B (zh) | 用户金融风险评估方法、装置、电子设备和可读介质 | |
CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
Li et al. | Street-Level Landmarks Acquisition Based on SVM Classifiers. | |
Rani et al. | Design of an intrusion detection model for IoT-enabled smart home | |
CN111177719A (zh) | 地址类别判定方法、装置、计算机可读存储介质及设备 | |
Peng et al. | Malicious URL recognition and detection using attention-based CNN-LSTM | |
CN109992960B (zh) | 一种伪造参数检测方法、装置、电子设备及存储介质 | |
CN112968870A (zh) | 一种基于频繁项集的网络团伙发现方法 | |
CN115150052B (zh) | 攻击团伙的跟踪识别方法、装置、设备及存储介质 | |
Feroze et al. | Group anomaly detection: Past notions, present insights, and future prospects | |
CN110851828A (zh) | 基于多维度特征的恶意url监测方法、装置和电子设备 | |
Dangwal et al. | Feature selection for machine learning-based phishing websites detection | |
CN116032576A (zh) | 一种基于不确定性攻击资源图谱的构建方法及系统 | |
CN115859273A (zh) | 一种数据库异常访问的检测方法、装置、设备及存储介质 | |
CN115545753A (zh) | 一种基于贝叶斯算法的合作伙伴预测方法及相关设备 | |
CN114363039A (zh) | 一种诈骗网站的识别方法、装置、设备及存储介质 | |
Ramiz et al. | Classification ensemble based anomaly detection in network traffic | |
CN114124484A (zh) | 网络攻击识别方法、系统、装置、终端设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |