CN115174238B - 网络攻击源识别方法及装置 - Google Patents
网络攻击源识别方法及装置 Download PDFInfo
- Publication number
- CN115174238B CN115174238B CN202210817090.8A CN202210817090A CN115174238B CN 115174238 B CN115174238 B CN 115174238B CN 202210817090 A CN202210817090 A CN 202210817090A CN 115174238 B CN115174238 B CN 115174238B
- Authority
- CN
- China
- Prior art keywords
- target
- service
- source
- access
- subsystems
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000004590 computer program Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 12
- 230000002265 prevention Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000014616 translation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本申请公开了一种网络攻击源识别方法及装置。其中,该方法包括:获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示业务子系统与其他业务子系统之间的业务关联性的标识信息,访问信息中包括访问源访问的多个目标业务子系统对应的多个目标标识信息;基于多个目标标识信息确定多个目标业务子系统之间的关联值,关联值用于表示多个目标业务子系统之间的业务关联性;在关联值不小于预设安全阈值时,标记访问源为网络攻击源。本申请解决了相关技术中网络安全防护产品无法主动识别网络攻击源,不能提前进行防护的技术问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击源识别方法及装置。
背景技术
随着互联网的不断普及和广泛应用,网络安全隐患也越来越多,尤其是网络攻击所造成的社会影响和经济损失越来越严重,因此需要对网络攻击检测和防御进行进一步提升。相关技术通常是在在发生网络攻击过程中或者网络攻击发生之后,相关技术人员通过对网络攻击进行检测才能确认攻击源,由于该技术无法主动发现攻击源,因此,无法提前对网络安全进行防控布局,造成的社会影响和经济损失也较大。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种网络攻击源识别方法及装置,以至少解决相关技术中网络安全防护产品无法主动识别网络攻击源,不能提前进行防护的技术问题。
根据本申请实施例的一个方面,提供了一种网络攻击源识别方法,包括:获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示业务子系统与其他业务子系统之间的业务关联性的标识信息,访问信息中包括访问源访问的多个目标业务子系统对应的多个目标标识信息;基于多个目标标识信息确定多个目标业务子系统之间的关联值,关联值用于表示多个目标业务子系统之间的业务关联性;在关联值不小于预设安全阈值时,标记访问源为网络攻击源。
可选地,标识信息为标记数值,其中,对于任意两个业务子系统,两个业务子系统的业务关联性越强时,两个业务子系统对应的两个标记数值的连续性越强。
可选地,获取访问源在第一预设时间段内对目标业务系统的访问信息,包括:从访问目标业务系统所需的汇聚交换机上采集网络流量,并存储至目标分布式消息队列;利用目标分布式计算框架从目标分布式消息队列中读取第一预设时间段内的目标网络流量;基于目标网络流量确定访问信息。
可选地,目标分布式消息队列为Kafka队列;目标分布式计算框架为Flink计算框架。
可选地,基于多个目标标识信息确定多个目标业务子系统之间的关联值,包括:计算多个目标业务子系统对应的多个目标标记数值的标准差,将标准差作为关联值。
可选地,在标记访问源为网络攻击源之后,还包括:在第二预设时间段内禁止访问源对目标业务系统的访问功能。
可选地,在标记访问源为网络攻击源之后,方法还包括:向访问源发送身份认证信息,身份认证信息用于请求访问源提供身份信息;在接收到访问源反馈的身份信息,且身份信息通过验证时,取消对访问源的标记。
根据本申请实施例的另一方面,还提供了一种网络攻击源识别装置,包括:获取模块,用于获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示业务子系统与其他业务子系统之间的业务关联性的标识信息,访问信息中包括访问源访问的多个目标业务子系统对应的多个目标标识信息;确定模块,用于基于多个目标标识信息确定多个目标业务子系统之间的关联值,关联值用于表示多个目标业务子系统之间的业务关联性;标记模块,用于在关联值不小于预设安全阈值时,标记访问源为网络攻击源。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,该非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行上述的网络攻击源识别方法。
根据本申请实施例的另一方面,还提供了一种电子设备,该电子设备包括:存储器和处理器,其中,存储器中存储有计算机程序,处理器被配置为通过计算机程序执行上述的网络攻击源识别方法。
在本申请实施例中,获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示业务子系统与其他业务子系统之间的业务关联性的标识信息,访问信息中包括访问源访问的多个目标业务子系统对应的多个目标标识信息;基于多个目标标识信息确定多个目标业务子系统之间的关联值,关联值用于表示多个目标业务子系统之间的业务关联性;在关联值不小于预设安全阈值时,标记访问源为网络攻击源。其中,通过对目标业务系统进行划分,准确反映业务关联性;通过统计访问源访问的目标业务系统,并利用标记数值作为网络攻击源的判断方法,从而实现了及早发现网络攻击源,提前做出对应的防控布局,避免因网络安全事件造成重大损失,进而解决了相关技术中网络安全防护产品无法主动识别网络攻击源,不能提前进行防护的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的网络攻击源识别方法的流程示意图;
图2是根据本申请实施例的一种可选的网络攻击源识别装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
为了更好地理解本申请实施例,首先对本申请实施例描述过程中出现的部分名词或术语翻译解释如下:
Kafka队列:Kafka以其高吞吐量、高可用队列、低延时等优点广泛用于缓存数据。Kafka作为一种分布式消息队列,Kafka对消息存储时会依据Topic(队列)进行归类,发送消息这称为producer(生产者),消息接收者称为consumer(消费者),此外,Kafka集群有多个Kafka serve组成,每个serve(实例)称为broker(服务器),其中,一个服务器内可以容纳多个队列。需要说明的是,Kafka的存储文件都是按照offest.kafka来命名。
Flink计算框架:是基于数据流之上的一个有状态的开源计算框架。Flink计算框架可以分为Job Manager(复杂协调管理)和Task Maganer(复杂具体任务逻辑管理)两部分,而Flink Program程序只作为连接交互,无实际应用实例运行。Flink可以适用于事件驱动类型应用、流和批数据分析、ETL处理等场景,以其低延迟、高吞吐率、高可用安装、可伸缩架构、大容量应用数据状态存储等优点被广泛应用。
实施例1
随着计算机的不断发展,计算机网络的攻击形式层出不穷,引发的网络安全问题也日益突出。然而在相关的网络安全防护产品或技术中,大多数都是在事中甚至事后才发现网络攻击源,由于相关技术无法主动发现攻击源,由于该技术无法主动发现攻击源,因此,无法提前对网络安全进行防控布局,造成的社会影响和经济损失也较大。
为了解决上述问题,本申请实施例提供了一种网络攻击源识别方法,该方法能够主动发现网络攻击源,提前做出对应的布局防空,避免因网络安全事件造成重大损失。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本申请实施例的一种可选的网络攻击源识别方法的流程示意图,如图1所示,该方法至少包括步骤S102-S106,其中:
步骤S102,获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示业务子系统与其他业务子系统之间的业务关联性的标识信息,访问信息中包括访问源访问的多个目标业务子系统对应的多个目标标识信息。
本申请实施例主要使用的是网络流量数据和业务系统数据,作为一种可选的实施方式,从访问目标业务系统所需的汇聚交换机上采集网络流量,并存储至目标分布式消息队列;利用目标分布式计算框架从目标分布式消息队列中读取第一预设时间段内的目标网络流量;基于目标网络流量确定访问信息。
可选地,目标分布式消息队列可以为Kafka队列;目标分布式计算框架可以为Flink计算框架。
具体地,标识信息为标记数值,其中,对于任意两个业务子系统,两个业务子系统的业务关联性越强时,两个业务子系统对应的两个标记数值的连续性越强。
依据目标业务系统的用途和业务数据对目标业务系统进行划分并标记划分后的各个目标业务子系统,用于反映业务子系统之间的关联性,标识信息为标记数值,其满足如下要求:目标业务子系统的业务之间关联性强时,其标记数值呈连续型,且目标业务子系统的业务关联性越强,标记数值越连续;目标业务子系统的业务关联性不强时,其标记数值呈离散型,且目标业务子系统的业务越不相关,标记数值越离散,如表1所示。
表1
以采购管理系统为例,对其按照数据维度进行划分,其中,A业务系统为采购计划管理系统,对应的标记数值为1.1,B业务系统为采购寻源管理系统,对应的标记数值为1.2,C业务系统为采购价格分析系统,对应的标记数值为1.3,上述三个业务系统之间的关联性较强,因此其标记数值也比较连续。若D业务系统为供应商评估系统,对应的标记数值为4.1,E业务系统为供应商分类系统,对应的标记数值为4.2,F业务系统为交易记录管理系统,对应的标记数值为4.3,上述三个业务系统之间的关联性较强,其标记数值也较为连续;H业务系统为库房管理系统,对应的标记数值为10.1,I业务系统为运输系统,对应的标记数值为10.2,G业务系统为物料管理系统,对应的标记数值为10.3,上述三个业务系统之间的关联性较强,其标记数值也较为连续。
由上述可知,E业务系统和F业务系统之间对应的均为供应商侧,因此,标记数值也比较连续;但A业务系统为采购侧,H业务系统为物料侧,两者之间关联性不强,因此,标记数值也较为离散。
从访问的5个目标子业务系统所需的汇聚交换机上采集网络流量,并存储至Kafka队列中,再通过Flink计算框架从Kafka队列中读取10分钟内的目标网络流量,通过目标网络流量确定目标子业务系统的标记数值,该标记数组即为访问源Sx对目标业务系统的访问信息。将访问源Sx对每个目标子业务系统的标识数值作为集合标记数值集合如表2所示。
表2
由表2可知,访问源S1访问的目标业务子系统D、E、F所得的标记数值集合中各个标记数值较为连续,说明目标业务子系统D、E、F的业务关联性较高;访问源S2访问的目标业务子系统A、E、G所得的标记数值集合中各个标记数值较为离散,说明目标业务子系统A、E、G的关联性较低。
步骤S104,基于多个目标标识信息确定多个目标业务子系统之间的关联值,关联值用于表示多个目标业务子系统之间的业务关联性。
具体地,计算多个目标业务子系统对应的多个目标标记数值的标准差,将标准差作为关联值。
以表2为例,可以对每个访问源Sx的标识数值集合计算标准差,此标准差作为多个目标业务子系统的关联值。其中,访问源S1访问的目标业务子系统D、E、F所得的标记数值集合计算得到标准差/>访问源S2访问的目标业务子系统A、E、G所得的标记数值集合计算得到标准差/>
步骤S106,在关联值不小于预设安全阈值时,标记访问源为网络攻击源。
假设安全阈值为T=2,以表2为例,因此,标记S1为无风险网络源,而标记访问源S2为网络攻击源,且后续需要对访问源S2重点关注。
为了保证被标记的网络攻击源不再继续对网络进行攻击,作为一种可选的实时方式,在标记访问源为网络攻击源之后,可以在第二预设时间段内禁止访问源对目标业务系统的访问功能。
可选地,在标记访问源为网络攻击源之后,向访问源发送身份认证信息,身份认证信息用于请求访问源提供身份信息;在接收到访问源反馈的身份信息,且身份信息通过验证时,取消对访问源的标记。
例如,当确认某一访问源为网络攻击源后,向该访问源发送身份认证信息,若可以接收到该访问源反馈的身份认证信息,且身份认证信息通过验证,说明该访问源已为正常访问源;若未接收到该访问源反馈的身份认证信息,或者,接收到的身份认证信息未通过验证,则说明该访问源仍为高危攻击源,继续将其标记为网络攻击源。
获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示业务子系统与其他业务子系统之间的业务关联性的标识信息,访问信息中包括访问源访问的多个目标业务子系统对应的多个目标标识信息;基于多个目标标识信息确定多个目标业务子系统之间的关联值,关联值用于表示多个目标业务子系统之间的业务关联性;在关联值不小于预设安全阈值时,标记访问源为网络攻击源。其中,通过对目标业务系统进行划分,准确反映业务关联性;通过统计访问源访问的目标业务系统,并利用标记数值作为网络攻击源的判断方法,从而实现了及早发现网络攻击源,提前做出对应的防控布局,避免因网络安全事件造成重大损失,进而解决了相关技术中网络安全防护产品无法主动识别网络攻击源,不能提前进行防护的技术问题。
实施例2
根据本申请实施例,还提供了一种用于实现上述网络攻击源识别方法的网络攻击源识别装置,如图2所示,该装置至少包括获取模块21,确定模块22和标记模块23,其中:
获取模块21,用于获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示业务子系统与其他业务子系统之间的业务关联性的标识信息,访问信息中包括访问源访问的多个目标业务子系统对应的多个目标标识信息。
本申请实施例主要使用的是网络流量数据和业务系统数据,作为一种可选的实施方式,从访问目标业务系统所需的汇聚交换机上采集网络流量,并存储至目标分布式消息队列;利用目标分布式计算框架从目标分布式消息队列中读取第一预设时间段内的目标网络流量;基于目标网络流量确定访问信息。
可选地,目标分布式消息队列可以为Kafka队列;目标分布式计算框架可以为Flink计算框架。
具体地,标识信息为标记数值,其中,对于任意两个业务子系统,两个业务子系统的业务关联性越强时,两个业务子系统对应的两个标记数值的连续性越强。
可以依据目标业务系统的用途和业务数据对目标业务系统进行划分并标记划分后的各个目标业务子系统,用于反映业务子系统之间的关联性,标识信息为标记数值,其满足如下要求:目标业务子系统的业务关联性强时,其标记数值呈连续型,且目标业务子系统的业务关联性越强,标记数值越连续;目标业务子系统的业务关联性不强时,其标记数值呈离散型,且目标业务子系统的业务越不相关,标记数值越离散。
以采购管理系统为例,对其按照数据维度进行划分,若A业务系统为采购计划管理系统,对应的标记数值为1.1,B业务系统为采购寻源管理系统,对应的标记数值为1.2,C业务系统为采购价格分析系统,对应的标记数值为1.3,三个业务系统之间的关联性较强,因此其标记数值也比较连续。若D业务系统为供应商评估系统,对应的标记数值为4.1,E业务系统为供应商分类系统,对应的标记数值为4.2,F业务系统为交易记录管理系统,对应的标记数值为4.3,三个业务系统之间的关联性较强,其标记数值也较为连续;若H业务系统为库房管理系统,对应的标记数值为10.1,I业务系统为运输系统,对应的标记数值为10.2,G业务系统为物料管理系统,对应的标记数值为10.3,三个业务系统之间的关联性较强,其标记数值也较为连续。
由上述可知,E业务系统和F业务系统之间对应的均为供应商侧,因此,标记数值也比较连续;但A业务系统为采购侧,H业务系统为物料侧,两者之间关联性不强,因此,标记数值也较为离散。
确定模块22,用于基于多个目标标识信息确定多个目标业务子系统之间的关联值,关联值用于表示多个目标业务子系统之间的业务关联性。
具体地,计算多个目标业务子系统对应的多个目标标记数值的标准差,将标准差作为关联值。
以表2为例,可以对每个访问源Sx的标识数值集合计算标准差,此标准差作为多个目标业务子系统的关联值。其中,访问源S1访问的目标业务子系统D、E、F所得的标记数值集合计算得到标准差/>访问源S2访问的目标业务子系统A、E、G所得的标记数值集合计算得到标准差/>
标记模块23,用于在关联值不小于预设安全阈值时,标记访问源为网络攻击源。
假设安全阈值为T=2,以表2为例,因此,标记S1为无风险网络源,而标记访问源S2为网络攻击源,且后续需要对访问源S2重点关注。
为了保证被标记的网络攻击源不再继续对网络进行攻击,作为一种可选的实时方式,在标记访问源为网络攻击源之后,可以在第二预设时间段内禁止访问源对目标业务系统的访问功能。
可选地,在标记访问源为网络攻击源之后,向访问源发送身份认证信息,身份认证信息用于请求访问源提供身份信息;在接收到访问源反馈的身份信息,且身份信息通过验证时,取消对访问源的标记。
需要说明的是,本申请实施例中的网络攻击源识别装置中的各模块与实施例1中的网络攻击源识别方法的各实施步骤一一对应,由于实施例1中已经进行了详尽的描述,本实施例中部分未体现的细节可以参考实施例1,在此不再过多赘述。
实施例3
根据本申请实施例,还提供了一种非易失性存储介质,该非易失性存储介质包括存储的程序,其中,在程序运行时控制非易失性存储介质所在设备执行实施例1中的网络攻击源识别方法。
根据本申请实施例,还提供了一种处理器,该处理器用于运行程序,其中,程序运行时执行实施例1中的网络攻击源识别方法。
根据本申请实施例,还提供了一种电子设备,该电子设备包括:存储器和处理器,其中,存储器中存储有计算机程序,处理器被配置为通过计算机程序执行实施例1中的网络攻击源识别方法。
可选地,程序运行时执行实现以下步骤:获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示业务子系统与其他业务子系统之间的业务关联性的标识信息,访问信息中包括访问源访问的多个目标业务子系统对应的多个目标标识信息;基于多个目标标识信息确定多个目标业务子系统之间的关联值,关联值用于表示多个目标业务子系统之间的业务关联性;在关联值不小于预设安全阈值时,标记访问源为网络攻击源。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
本申请的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种网络攻击源识别方法,其特征在于,包括:
获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,所述目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示所述业务子系统与其他业务子系统之间的业务关联性的标识信息,所述访问信息中包括所述访问源访问的多个目标业务子系统对应的多个目标标识信息;
基于所述多个目标标识信息确定所述多个目标业务子系统之间的关联值,所述关联值用于表示所述多个目标业务子系统之间的业务关联性;
在所述关联值不小于预设安全阈值时,标记所述访问源为网络攻击源。
2.根据权利要求1所述的方法,其特征在于,所述标识信息为标记数值,其中,对于任意两个业务子系统,所述两个业务子系统的业务关联性越强时,所述两个业务子系统对应的两个标记数值的连续性越强。
3.根据权利要求1所述的方法,其特征在于,获取访问源在第一预设时间段内对目标业务系统的访问信息,包括:
从访问所述目标业务系统所需的汇聚交换机上采集网络流量,并存储至目标分布式消息队列;
利用目标分布式计算框架从所述目标分布式消息队列中读取所述第一预设时间段内的目标网络流量;
基于所述目标网络流量确定所述访问信息。
4.根据权利要求3所述的方法,其特征在于,所述目标分布式消息队列为Kafka队列;所述目标分布式计算框架为Flink计算框架。
5.根据权利要求2所述的方法,其特征在于,基于所述多个目标标识信息确定所述多个目标业务子系统之间的关联值,包括:
计算所述多个目标业务子系统对应的多个目标标记数值的标准差,将所述标准差作为所述关联值。
6.根据权利要求1所述的方法,其特征在于,在标记所述访问源为网络攻击源之后,所述方法还包括:
在第二预设时间段内禁止所述访问源对所述目标业务系统的访问功能。
7.根据权利要求1所述的方法,其特征在于,在标记所述访问源为网络攻击源之后,所述方法还包括:
向所述访问源发送身份认证信息,所述身份认证信息用于请求所述访问源提供身份信息;
在接收到所述访问源反馈的所述身份信息,且所述身份信息通过验证时,取消对所述访问源的标记。
8.一种网络攻击源识别装置,其特征在于,包括:
获取模块,用于获取访问源在第一预设时间段内对目标业务系统的访问信息,其中,所述目标业务系统包括多个业务子系统,每个业务子系统对应有用于表示所述业务子系统与其他业务子系统之间的业务关联性的标识信息,所述访问信息中包括所述访问源访问的多个目标业务子系统对应的多个目标标识信息;
确定模块,用于基于所述多个目标标识信息确定所述多个目标业务子系统之间的关联值,所述关联值用于表示所述多个目标业务子系统之间的业务关联性;
标记模块,用于在所述关联值不小于预设安全阈值时,标记所述访问源为网络攻击源。
9.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述的网络攻击源识别方法。
10.一种电子设备,其特征在于,包括:存储器和处理器,其中,所述存储器中存储有计算机程序,所述处理器被配置为通过所述计算机程序执行权利要求1至7中任意一项所述的网络攻击源识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210817090.8A CN115174238B (zh) | 2022-07-12 | 2022-07-12 | 网络攻击源识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210817090.8A CN115174238B (zh) | 2022-07-12 | 2022-07-12 | 网络攻击源识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174238A CN115174238A (zh) | 2022-10-11 |
| CN115174238B true CN115174238B (zh) | 2024-03-05 |
Family
ID=83493077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210817090.8A Active CN115174238B (zh) | 2022-07-12 | 2022-07-12 | 网络攻击源识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174238B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7140039B1 (en) * | 1999-06-08 | 2006-11-21 | The Trustees Of Columbia University In The City Of New York | Identification of an attacker in an electronic system |
| JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| WO2020019789A1 (zh) * | 2018-07-25 | 2020-01-30 | Oppo广东移动通信有限公司 | 邻近感知网络创建方法及相关产品 |
| US11128654B1 (en) * | 2019-02-04 | 2021-09-21 | Architecture Technology Corporation | Systems and methods for unified hierarchical cybersecurity |
| CN114338206A (zh) * | 2021-12-31 | 2022-04-12 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11438361B2 (en) * | 2019-03-22 | 2022-09-06 | Hitachi, Ltd. | Method and system for predicting an attack path in a computer network |
-
2022
- 2022-07-12 CN CN202210817090.8A patent/CN115174238B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7140039B1 (en) * | 1999-06-08 | 2006-11-21 | The Trustees Of Columbia University In The City Of New York | Identification of an attacker in an electronic system |
| JP2007122749A (ja) * | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| WO2020019789A1 (zh) * | 2018-07-25 | 2020-01-30 | Oppo广东移动通信有限公司 | 邻近感知网络创建方法及相关产品 |
| US11128654B1 (en) * | 2019-02-04 | 2021-09-21 | Architecture Technology Corporation | Systems and methods for unified hierarchical cybersecurity |
| CN114338206A (zh) * | 2021-12-31 | 2022-04-12 | 曙光网络科技有限公司 | Ddos攻击检测方法、装置、设备以及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 汪芳 等.互联网数据中心安全管理.中兴通讯技术.2012,第18卷(第04期),第23-26页. * |
| 米爱中 等.分布式网络环境下集成防火墙和入侵检测系统的安全模型.广西师范学院学报(自然科学版).2004,第21卷(第03期),第65-68页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174238A (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10547628B2 (en) | Security weakness and infiltration detection and repair in obfuscated website content | |
| RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
| O'Mahony et al. | Detecting noise in recommender system databases | |
| CN112000730B (zh) | 基于区块链的溯源信息写入、溯源信息验证的方法、系统 | |
| KR101977178B1 (ko) | 블록체인 기반의 파일 위변조 검사 방법 및 이를 적용한 컴퓨터로 읽을 수 있는 저장매체 | |
| CN110401660B (zh) | 虚假流量的识别方法、装置、处理设备及存储介质 | |
| CA3155704A1 (en) | Detection of security threats in a network environment | |
| CN108737138B (zh) | 服务提供方法及服务平台 | |
| CN114244611B (zh) | 异常攻击检测方法、装置、设备及存储介质 | |
| CN108446270B (zh) | 电子装置、系统敏感内容的预警方法及存储介质 | |
| JP7170689B2 (ja) | 出力装置、出力方法及び出力プログラム | |
| CN108234392B (zh) | 一种网站的监控方法及装置 | |
| CN103414735A (zh) | 一种网站内容涉密检查系统 | |
| CN115174238B (zh) | 网络攻击源识别方法及装置 | |
| CN111078757A (zh) | 一种自主学习的业务风控规则引擎系统及风险评估方法 | |
| CN116361571A (zh) | 基于人工智能的商户画像生成方法、装置、设备及介质 | |
| CN115562934A (zh) | 基于人工智能的业务流量切换方法及相关设备 | |
| CN114862212A (zh) | 互联网资产的管理方法及其装置、电子设备及存储介质 | |
| CN111461727B (zh) | 交易行为的监控预警方法、装置、存储介质和智能设备 | |
| CN114416560A (zh) | 程序崩溃分析聚合方法和系统 | |
| CN106650432B (zh) | 涉密信息的分析方法及装置 | |
| CN115296840B (zh) | 基于关联节点安全状态的安全预警方法、装置及电子设备 | |
| CN116055219B (zh) | 一种基于api访问链路防跳步方法、系统、终端及存储介质 | |
| CN111967043B (zh) | 确定数据相似度的方法、装置、电子设备及存储介质 | |
| CN111314266B (zh) | 一种流量欺诈检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |