CN115225308A - 大规模群体攻击流量的攻击团伙识别方法及相关设备 - Google Patents
大规模群体攻击流量的攻击团伙识别方法及相关设备 Download PDFInfo
- Publication number
- CN115225308A CN115225308A CN202210540565.3A CN202210540565A CN115225308A CN 115225308 A CN115225308 A CN 115225308A CN 202210540565 A CN202210540565 A CN 202210540565A CN 115225308 A CN115225308 A CN 115225308A
- Authority
- CN
- China
- Prior art keywords
- attack
- log data
- data
- traffic
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 239000011159 matrix material Substances 0.000 claims abstract description 35
- 238000004364 calculation method Methods 0.000 claims abstract description 16
- 238000012545 processing Methods 0.000 claims abstract description 16
- 238000007781 pre-processing Methods 0.000 claims abstract description 15
- 238000004422 calculation algorithm Methods 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 6
- 238000005259 measurement Methods 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种大规模群体攻击流量的攻击团伙识别方法及相关设备。该方法包括:获取预设时间攻击流量的日志数据,并对日志数据进行预处理,得到预处理数据;根据预处理数据建立关系字典,并根据关系字典构建交换矩阵模型;对交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙。无需多种类型的流量,使得攻击团伙识别的限制小、可扩展性强,因此适用于各类流量的攻击团伙识别,能够高效精确识别出攻击团伙。
Description
技术领域
本申请涉及互联网安全技术领域,尤其涉及一种大规模群体攻击流量的攻击团伙识别方法及相关设备。
背景技术
随着网络技术和网络应用的发展,利用开放的网络环境进行全球通信已成为时代发展的趋势,但是网络在便利的共享资源的同时也带来了各种各样的安全风险,因此,网络安全问题引起广泛关注,显得越来越重要,这些网络攻击中,团伙攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害,同时,团伙攻击日益呈现自动化、低门槛的趋势。
基于上述情况,现有技术中采用设置黑名单的方式进行拦截,或者通过聚类(K-means)、GN社区发现算法,建立关系网络,但是这些算法存在泛化型差,无法找到新的攻击组织,K值的选取不好把握,难收敛等问题。
发明内容
有鉴于此,本申请的目的在于提出一种大规模群体攻击流量的攻击团伙识别方法及相关设备,用以解决上述技术问题。
基于上述目的,本申请的第一方面提供了一种大规模群体攻击流量的攻击团伙识别方法,包括:
获取预设时间攻击流量的日志数据,并对所述日志数据进行预处理,得到预处理数据;
根据所述预处理数据建立关系字典,并根据所述关系字典构建交换矩阵模型;
对所述交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙。
本申请的第二方面提供了一种大规模群体攻击流量的攻击团伙识别装置,包括:
预处理模块,被配置为获取预设时间攻击流量的日志数据,并对所述日志数据进行预处理,得到预处理数据;
构建模块,被配置为根据所述预处理数据建立关系字典,并根据所述关系字典构建交换矩阵模型;
相似度计算模块,被配置为对所述交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙。
本申请的第三方面提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所述的方法。
本申请的第四方面提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行第一方面所述方法。
从上面所述可以看出,本申请提供的大规模群体攻击流量的攻击团伙识别方法及相关设备,获取预设时间攻击流量的日志数据,并对日志数据进行预处理,得到预处理数据,在此过程中无需多种类型的流量,使得攻击团伙识别的限制小、可扩展性强,因此适用于各类流量数据的攻击团伙识别,然后根据预处理数据建立关系字典,根据关系字典构建交换矩阵模型,最后对交换矩阵模型进行相似度计算处理,以此进行溯源分析,能够高效精确识别出攻击团伙,解决了无法找到新的攻击组织的问题。
附图说明
为了更清楚地说明本申请或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的大规模群体攻击流量的攻击团伙识别方法的流程图;
图2为本申请实施例的大规模群体攻击流量的攻击团伙识别框架示意图;
图3为本申请实施例的大规模群体攻击流量的攻击团伙识别装置的结构示意图;
图4为本申请实施例的电子设备的示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本申请进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
相关技术中一般采用基于静态分析和动态分析的团伙挖掘算法,例如,通过规则匹配设置黑名单,当出现黑名单中流量时,对其进行拦截。或者通过聚类(K-means)、GN社区发现算法,建立关系网络,但是这些算法存在泛化型差,无法找到新的攻击组织,K值的选取不好把握,难收敛等问题。
本申请的实施例提供一种大规模群体攻击流量的攻击团伙识别方法,对获取预设时间攻击流量的日志数据进行处理,不需要过多种类的流量,再通过关系字典得到对应的交换矩阵模型,并对交换矩阵模型进行相似度计算以此进行溯源分析,能够高效精确识别出攻击团伙,解决了无法找到新的攻击组织的问题。
如图1所示,本实施例的方法包括:
步骤101,获取预设时间攻击流量的日志数据,并对所述日志数据进行预处理,得到预处理数据。
在该步骤中,例如获取一天时间的攻击流量的日志数据,对一天时间的流量日志数据进行预处理,得到预处理数据,能够对任一预设时间攻击流量的日志数据进行分析处理,从而能够找到新的攻击组织,精确识别出攻击团伙,在此过程中无需多种类型的流量,方法限制小、可扩展性强,因此适用于各类流量数据的攻击团伙识别。
步骤102,根据所述预处理数据建立关系字典,并根据所述关系字典构建交换矩阵模型。
在该步骤中,根据预处理数据建立关系字典,通过关系字典搭建出预处理数据的关系,其中,关系字典存放具有映射关系的数据,使关系字典能够作为实现数据查询的基础,并根据关系字典构建交换矩阵模型,将预处理数据的一维关系搭建成二维的关系模型。
步骤103,对所述交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙。
在该步骤中,通过对交换矩阵模型进行相似度计算以此进行溯源分析,能够高效精确识别出攻击团伙,解决了无法找到新的攻击组织的问题。
通过上述方案,获取预设时间攻击流量的日志数据,并对日志数据进行预处理,得到预处理数据,能够对任一预设时间攻击流量的日志数据进行分析处理,从而能够找到新的攻击组织,并且在此过程中无需获取多种类型的流量,这样使得识别攻击团伙的限制小、可扩展性强,因此适用于各类流量数据的攻击团伙识别,然后根据预处理数据建立关系字典,通过关系字典搭建出预处理数据的关系,再根据关系字典构建交换矩阵模型,将预处理数据的一维关系搭建成二维的关系模型,最后对交换矩阵模型进行相似度计算处理,以此进行溯源分析,能够高效精确识别出攻击团伙,解决了无法找到新的攻击组织的问题。
在一些实施例中,步骤101,包括:
步骤1011,获取预设时间攻击流量的日志数据,并根据所述日志数据得到攻击源IP集。
步骤1012,对所述攻击源IP集进行检索去重,得到去重攻击源IP集,确定所述去重攻击源IP集中每个去重攻击源IP对应的所述日志数据,得到所述去重攻击源IP集对应的日志数据集。
步骤1013,对所述日志数据集进行分组处理,得到多个日志数据组,并通过查询所述日志数据组得到所述预处理数据。
在上述方案中,例如,获取一天时间的攻击流量的日志数据,并通过查询日志数据得到多个攻击源IP(InternetProtocolAddress,互联网协议地址)(即攻击源IP集),对多个攻击源IP进行检索去重,以筛选发起多个不同攻击的攻击源为同一攻击源IP,剔除重复的攻击源IP,得到经过筛选的多个攻击源IP(即去重攻击源IP集),再通过对经过筛选的多个攻击源IP分别检索对应的日志数据,得到经过筛选的多个攻击源IP对应的日志数据集,最后通过对日志数据集进行分组,得到多个日志数据组,便于识别处理,并通过查询日志数据组得到预处理数据。
在一些实施例中,所述预处理数据包括多个攻击源IP及其对应的攻击类型、目的端口IP和攻击时间;
步骤102,所述根据所述预处理数据建立关系字典,包括:
基于攻击源IP和攻击类型、攻击类型和目的端口IP、目的端口IP和攻击时间分别建立笛卡尔集,将全部所述笛卡尔集作为所述关系字典。
在上述方案中,两个不同攻击源IP之间产生关系的媒介可以分为攻击源IP、对应的攻击类型、目的端口IP和攻击时间。
基于攻击源IP和攻击类型建立第一笛卡尔集,基于攻击类型和目的端口IP建立第二笛卡尔集,基于目的端口IP和攻击时间建立第三笛卡尔集,然后再将全部笛卡尔集作为关系字典,其中,关系字典为具有攻击源IP和攻击类型、攻击类型和目的端口IP、目的端口IP和攻击时间的关系结构,通过关系字典搭建出预处理数据的关系。
在一些实施例中,步骤102,根据所述关系字典构建交换矩阵模型,包括:
根据所述关系字典构建关系图,并按照预设长度值对所述关系图进行元路径长度值设置,得到所述交换矩阵模型。
在上述方案中,例如,根据关系字典构建关系图,并将关系字典中任意一条关系的元路径长度值设为1(其具体长度值可以根据实际情况具体设定,这里不作具体限定),得到交换矩阵模型,将预处理数据的一维关系搭建成二维的关系模型。
在一些实施例中,所述关系图包括下列至少之一:
向量数据类型信息、时间维度信息和关系信息。
在上述方案中,关系信息包括不同攻击源在相同的攻击时间使用的攻击端口IP的数据信息、不同攻击源IP在相同的攻击时间攻击的目的端口IP的数据信息、不同攻击源IP进行攻击的日期的数据信息和不同攻击源IP在同一日期进行攻击的次数的数据信息,可通过查询日志数据组获得,其中,向量数据类型表示关系信息的存在情况,例如,两个不同攻击源IP在相同的攻击时间攻击的目的端口IP的数据信息为相同,向量数据类型赋值为1(其具体赋值可以根据实际情况具体设定,这里不作具体限定),两个不同攻击源IP在相同的攻击时间攻击的目的端口IP的数据信息为不相同,向量数据类型赋值为0(其具体赋值可以根据实际情况具体设定,这里不作具体限定)
时间维度信息表示进行数据处理时选用的时间类型,例如,时间维度信息为“7天”,代表对七天内的所有数据进行的处理(其时间维度信息的具体赋值可以根据实际情况具体设定,这里不作具体限定)。
在一些实施例中,步骤103,包括:
步骤1031,基于所述关系信息通过基于元路径的相似度算法对所述交换矩阵模型中任意两个攻击源IP进行计算处理,得到多个相似度量值。
步骤1032,响应于确定任一相似度量值小于预设的阈值,将对应的两个攻击源IP确定为不同攻击团伙。
步骤1033,响应于确定所述任一相似度量值大于预设的阈值,将对应的两个攻击源IP确定为同一攻击团伙。
步骤1034,响应于确定完成全部所述多个相似度量值的比对分析,以识别出所述至少一个攻击团伙。
在上述方案中,基于关系信息通过基于元路径的相似度算法(PathSim算法)对交换矩阵模型中任意两个攻击源IP进行计算处理,得到多个相似度量值,通过相似度量值分析攻击源IP之间的相似度,以此对攻击源IP进行溯源分析,精确发现攻击团伙,当多个相似度量值中任一相似度量值小于预设的阈值,识别两个攻击源IP不属于同一组织,或属于同一攻击者,因此将对应的两个攻击源IP确定为不同攻击团伙。
当多个相似度量值中任一相似度量值大于预设的阈值,识别两个攻击源IP属于同一组织,或属于同一攻击者,因此将对应的两个攻击源IP确定为同一攻击团伙。
将交换矩阵模型中全部攻击源IP进行计算处理得到的相似度量值完成与预设的阈值的对比,完成全部攻击源IP的分类,识别出攻击团伙。
在一些实施例中,步骤1013,所述对所述日志数据集进行分组处理,得到多个日志数据组,包括:
根据所述日志数据集中记录的时间戳按照设置数字标签的预定分组时间段对所述日志数据集进行分组,得到多个日志数据组。
在上述方案中,例如,日志数据集为一天时间(其具体时间可以根据实际情况具体设定,这里不作具体限定)的数据,将一天切分为1440分钟,每10分钟(其具体时间可以根据实际情况具体设定,这里不作具体限定)为一组,根据日志数据集中记录的时间戳按照每10分钟的时间区间(其具体时间可以根据实际情况具体设定,这里不作具体限定)对日志数据集进行分组,得到多个日志数据组,每个日志数据组对应一个时间区间,给每个时间区间的日志数据组设置数字标签,以便于后续计算处理时对日志数据组的识别。
在一些实施例中,例如图2所示,读取预设时间攻击流量的日志数据。
对预设时间攻击流量的日志数据进行预处理包括检索去重得到选取的时间段内所有攻击源IP的集合(即去重攻击源IP集),确定所有攻击源IP的集合中每个攻击源IP对应的日志数据,得到所有攻击源IP的集合对应的日志数据集,对日志数据集进行分组处理,得到多个日志数据组,并通过查询日志数据组得到预处理数据。
根据预处理数据建立关系字典,两个源IP之间产生关系的具体说明如下所示:
{‘103.247.178.161’,1}:1
{‘103.247.198.181’,1}:1
{‘103.247.168.171’,3}:2
以上数据说明103.247.178.161、103.247.198.181这两个攻击源IP在第一个时间分区内发生了一次攻击。103.247.168.171这个攻击源IP在第三个时间分区发生了两次攻击。
根据关系字典构建交换矩阵模型,例如将关系字典所有的关系构建成关系图,建立关系字典中任意一条关系的元路径长度值为2的元路径(其具体长度值可以根据实际情况具体设定,这里不作具体限定),得到交换矩阵模型。
最后通过对交换矩阵进行相似度比对发现攻击团伙。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种大规模群体攻击流量的攻击团伙识别装置。
参考图3,所述大规模群体攻击流量的攻击团伙识别装置,包括:
预处理模块301,被配置为获取预设时间攻击流量的日志数据,并对所述日志数据进行预处理,得到预处理数据;
构建模块302,被配置为根据所述预处理数据建立关系字典,并根据所述关系字典构建交换矩阵模型;
相似度计算模块303,被配置为对所述交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙。
在一些实施例中,预处理模块301,包括:
获取单元,被配置为获取预设时间攻击流量的日志数据,并根据所述日志数据得到攻击源IP集;
检索去重单元,被配置为对所述攻击源IP集进行检索去重,得到去重攻击源IP集,确定所述去重攻击源IP集中每个去重攻击源IP对应的所述日志数据,得到所述去重攻击源IP集对应的日志数据集;
分组单元,被配置为对所述日志数据集进行分组处理,得到多个日志数据组,并通过查询所述日志数据组得到所述预处理数据。
在一些实施例中,所述预处理数据包括多个攻击源IP及其对应的攻击类型、目的端口IP和攻击时间;
构建模块302,具体被配置为:
基于攻击源IP和攻击类型、攻击类型和目的端口IP、目的端口IP和攻击时间分别建立笛卡尔集,将全部所述笛卡尔集作为所述关系字典。
在一些实施例中,构建模块302,具体被配置为:
根据所述关系字典构建关系图,并按照预设长度值对所述关系图进行元路径长度值设置,得到所述交换矩阵模型。
在一些实施例中,所述关系图包括下列至少之一:
向量数据类型信息、时间维度信息和关系信息。
在一些实施例中,相似度计算模块303,具体被配置为:
基于所述关系信息通过基于元路径的相似度算法对所述交换矩阵模型中任意两个攻击源IP进行计算处理,得到多个相似度量值;
响应于确定任一相似度量值小于预设的阈值,将对应的两个攻击源IP确定为不同攻击团伙,
响应于确定所述任一相似度量值大于预设的阈值,将对应的两个攻击源IP确定为同一攻击团伙,
响应于确定完成全部所述多个相似度量值的比对分析,以识别出所述至少一个攻击团伙。
在一些实施例中,分组单元,具体被配置为:
根据所述日志数据集中记录的时间戳按照设置数字标签的预定分组时间段对所述日志数据集进行分组,得到多个日志数据组。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的大规模群体攻击流量的攻击团伙识别方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的大规模群体攻击流量的攻击团伙识别方法。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(RandomAccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的大规模群体攻击流量的攻击团伙识别方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的大规模群体攻击流量的攻击团伙识别方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的大规模群体攻击流量的攻击团伙识别方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种大规模群体攻击流量的攻击团伙识别方法,其特征在于,包括:
获取预设时间攻击流量的日志数据,并对所述日志数据进行预处理,得到预处理数据;
根据所述预处理数据建立关系字典,并根据所述关系字典构建交换矩阵模型;
对所述交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙。
2.根据权利要求1所述的方法,其特征在于,所述获取预设时间攻击流量的日志数据,并对所述日志数据进行预处理,得到预处理数据,包括:
获取预设时间攻击流量的日志数据,并根据所述日志数据得到攻击源IP集;
对所述攻击源IP集进行检索去重,得到去重攻击源IP集,确定所述去重攻击源IP集中每个去重攻击源IP对应的所述日志数据,得到所述去重攻击源IP集对应的日志数据集;
对所述日志数据集进行分组处理,得到多个日志数据组,并通过查询所述日志数据组得到所述预处理数据。
3.根据权利要求2所述的方法,其特征在于,所述预处理数据包括多个攻击源IP及其对应的攻击类型、目的端口IP和攻击时间;
所述根据所述预处理数据建立关系字典,包括:
基于攻击源IP和攻击类型、攻击类型和目的端口IP、目的端口IP和攻击时间分别建立笛卡尔集,将全部所述笛卡尔集作为所述关系字典。
4.根据权利要求1所述的方法,其特征在于,根据所述关系字典构建交换矩阵模型,包括:
根据所述关系字典构建关系图,并按照预设长度值对所述关系图进行元路径长度值设置,得到所述交换矩阵模型。
5.根据权利要求4所述的方法,其特征在于,所述关系图包括下列至少之一:
向量数据类型信息、时间维度信息和关系信息。
6.根据权利要求5所述的方法,其特征在于,所述对所述交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙,包括:
基于所述关系信息通过基于元路径的相似度算法对所述交换矩阵模型中任意两个攻击源IP进行计算处理,得到多个相似度量值并对其进行比对分析;
响应于确定所述多个相似度量值中任一相似度量值小于预设的阈值,将该相似度量值对应的两个攻击源IP确定为不同攻击团伙,
响应于确定所述多个相似度量值中所述任一相似度量值大于所述预设的阈值,将该相似度量值对应的两个攻击源IP确定为同一攻击团伙,
响应于确定完成全部所述多个相似度量值的比对分析,以识别出所述至少一个攻击团伙。
7.根据权利要求1所述的方法,其特征在于,所述对所述日志数据集进行分组处理,得到多个日志数据组,包括:
根据所述日志数据集中记录的时间戳按照设置数字标签的预定分组时间段对所述日志数据集进行分组,得到多个日志数据组。
8.一种大规模群体攻击流量的攻击团伙识别装置,其特征在于,包括:
预处理模块,被配置为获取预设时间攻击流量的日志数据,并对所述日志数据进行预处理,得到预处理数据;
构建模块,被配置为根据所述预处理数据建立关系字典,并根据所述关系字典构建交换矩阵模型;
相似度计算模块,被配置为对所述交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方法。
10.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,其特征在于,所述计算机指令用于使计算机执行权利要求1至7任一所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210540565.3A CN115225308B (zh) | 2022-05-17 | 2022-05-17 | 大规模群体攻击流量的攻击团伙识别方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210540565.3A CN115225308B (zh) | 2022-05-17 | 2022-05-17 | 大规模群体攻击流量的攻击团伙识别方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115225308A true CN115225308A (zh) | 2022-10-21 |
| CN115225308B CN115225308B (zh) | 2024-03-12 |
Family
ID=83607264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210540565.3A Active CN115225308B (zh) | 2022-05-17 | 2022-05-17 | 大规模群体攻击流量的攻击团伙识别方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115225308B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117176416A (zh) * | 2023-09-01 | 2023-12-05 | 中国信息通信研究院 | 一种基于图模型的攻击团伙发现方法和系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110179492A1 (en) * | 2010-01-21 | 2011-07-21 | Athina Markopoulou | Predictive blacklisting using implicit recommendation |
| CN109196507A (zh) * | 2016-03-22 | 2019-01-11 | 西门子移动有限责任公司 | 用于为设备的运行提供密码安全函数的方法和装置 |
| CN110505202A (zh) * | 2019-07-12 | 2019-11-26 | 中国科学院信息工程研究所 | 一种攻击组织发现方法及系统 |
| CN111224941A (zh) * | 2019-11-19 | 2020-06-02 | 北京邮电大学 | 一种威胁类型识别方法及装置 |
| CN111371778A (zh) * | 2020-02-28 | 2020-07-03 | 中国工商银行股份有限公司 | 攻击团伙的识别方法、装置、计算设备以及介质 |
| CN111800430A (zh) * | 2020-07-10 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种攻击团伙识别方法、装置、设备及介质 |
| CN111953697A (zh) * | 2020-08-14 | 2020-11-17 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
| CN112202759A (zh) * | 2020-09-28 | 2021-01-08 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
| US20210192044A1 (en) * | 2020-06-28 | 2021-06-24 | Beijing Baidu Netcom Science Technology Co., Ltd. | Method and apparatus for defending against attacks, device and storage medium |
-
2022
- 2022-05-17 CN CN202210540565.3A patent/CN115225308B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110179492A1 (en) * | 2010-01-21 | 2011-07-21 | Athina Markopoulou | Predictive blacklisting using implicit recommendation |
| CN109196507A (zh) * | 2016-03-22 | 2019-01-11 | 西门子移动有限责任公司 | 用于为设备的运行提供密码安全函数的方法和装置 |
| CN110505202A (zh) * | 2019-07-12 | 2019-11-26 | 中国科学院信息工程研究所 | 一种攻击组织发现方法及系统 |
| CN111224941A (zh) * | 2019-11-19 | 2020-06-02 | 北京邮电大学 | 一种威胁类型识别方法及装置 |
| CN111371778A (zh) * | 2020-02-28 | 2020-07-03 | 中国工商银行股份有限公司 | 攻击团伙的识别方法、装置、计算设备以及介质 |
| US20210192044A1 (en) * | 2020-06-28 | 2021-06-24 | Beijing Baidu Netcom Science Technology Co., Ltd. | Method and apparatus for defending against attacks, device and storage medium |
| CN111800430A (zh) * | 2020-07-10 | 2020-10-20 | 南方电网科学研究院有限责任公司 | 一种攻击团伙识别方法、装置、设备及介质 |
| CN111953697A (zh) * | 2020-08-14 | 2020-11-17 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
| CN112202759A (zh) * | 2020-09-28 | 2021-01-08 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
Non-Patent Citations (4)
| Title |
|---|
| RUTIKA S.CHAUDHARI.,: "A Review on detection approaches for distributed denial of sevice attacks", 《ICISS》, 21 November 2019 (2019-11-21) * |
| 喻坤: "基于层次式网络流量特征汇聚的攻击分类研究", 《万方数据库》, 31 December 2009 (2009-12-31) * |
| 姜楠;崔耀辉;王健;吴晋超;: "基于上下文特征的IDS告警日志攻击场景重建方法", 信息网络安全, no. 07, pages 7 - 16 * |
| 李颖之等: "基于集成学习的多类型应用层DDoS攻击检测方法", 《计算机应用》, 19 April 2022 (2022-04-19) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117176416A (zh) * | 2023-09-01 | 2023-12-05 | 中国信息通信研究院 | 一种基于图模型的攻击团伙发现方法和系统 |
| CN117176416B (zh) * | 2023-09-01 | 2024-05-24 | 中国信息通信研究院 | 一种基于图模型的攻击团伙发现方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115225308B (zh) | 2024-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110162695B (zh) | 一种信息推送的方法及设备 | |
| US10402427B2 (en) | System and method for analyzing result of clustering massive data | |
| CN113435602A (zh) | 确定机器学习样本的特征重要性的方法及系统 | |
| CN111046237B (zh) | 用户行为数据处理方法、装置、电子设备及可读介质 | |
| US11100073B2 (en) | Method and system for data assignment in a distributed system | |
| CN104077723B (zh) | 一种社交网络推荐系统及方法 | |
| CN111612039A (zh) | 异常用户识别的方法及装置、存储介质、电子设备 | |
| US10496645B1 (en) | System and method for analysis of a database proxy | |
| CN108256532A (zh) | 图像处理方法、装置、电子设备及存储介质 | |
| CN111090807A (zh) | 一种基于知识图谱的用户识别方法及装置 | |
| EP4073978B1 (en) | Intelligent conversion of internet domain names to vector embeddings | |
| CN116882520A (zh) | 针对预定预测问题的预测方法及系统 | |
| CN112650890A (zh) | 一种基于图数据库的加密货币流向追踪方法与装置 | |
| Ma et al. | A comparative study of subgraph matching isomorphic methods in social networks | |
| CN115225308B (zh) | 大规模群体攻击流量的攻击团伙识别方法及相关设备 | |
| US11361195B2 (en) | Incremental update of a neighbor graph via an orthogonal transform based indexing | |
| CN114049463A (zh) | 一种二叉树的数据网格化、网格点数据的获取方法及装置 | |
| CN110019400B (zh) | 数据存储方法、电子设备及存储介质 | |
| CN112069269A (zh) | 基于大数据和多维特征的数据溯源方法及大数据云服务器 | |
| Bonner et al. | Gfp-x: a parallel approach to massive graph comparison using spark | |
| CN115146103A (zh) | 图像检索方法、装置、计算机设备、存储介质和程序产品 | |
| CN115859273A (zh) | 一种数据库异常访问的检测方法、装置、设备及存储介质 | |
| CN115661472A (zh) | 图像查重方法、装置、计算机设备及存储介质 | |
| CN111143006B (zh) | 命令帮助信息的获取方法及装置 | |
| CN115082999A (zh) | 合影图像人物分析方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |