CN115529189A - 一种攻击识别方法、装置及相关设备 - Google Patents
一种攻击识别方法、装置及相关设备 Download PDFInfo
- Publication number
- CN115529189A CN115529189A CN202211213337.1A CN202211213337A CN115529189A CN 115529189 A CN115529189 A CN 115529189A CN 202211213337 A CN202211213337 A CN 202211213337A CN 115529189 A CN115529189 A CN 115529189A
- Authority
- CN
- China
- Prior art keywords
- feature
- sub
- attack
- features
- fusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种攻击识别方法,包括:对待识别数据进行全文特征提取,获得字符串特征,所述字符串特征包括多个子特征;分别统计各所述子特征的出现频率,根据各所述出现频率及各所述出现频率对应的子特征确定融合特征;根据所述融合特征确定攻击识别结果。应用本申请所提供的技术方案,在考虑到字符串特征的情况下还加入了对字符串特征中各个子特征的出现频率的考量,使得攻击者无法通过局部的字节内容混淆绕过攻击检测,进一步提高了攻击识别结果的准确性,有效地保证了网络安全。本申请还公开了一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品,均具有上述有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种攻击识别方法,还涉及一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品。
背景技术
随着网络空间高级威胁对抗态势的不断升级,各种高级威胁给我们带来的危害越来越大,新的攻击方式也层出不穷。由于高级威胁数据的不断增加,使得人工从海量情报和样本数据中筛查出高级威胁数据的难度不断加大,因此业内不断引入了各种自动化分析管理平台针对海量样本和情报进行了存储、分析和管理。
样本的自动化分析流程通常采用一些哈希算法实现,通过将特征进行哈希化,从而使得特征能以一个标准化的模式进行匹配,通过对特征进行哈希后判断两个哈希是否相等从而判断样本特征是否匹配,此类方法虽然可以高效精确匹配特征,但失去了相似匹配的特性,一旦样本特征的某个字节发生改动则哈希就会发生完全的改变,因此攻击者可以根据这个特性修改特征的某个部分,通过混淆字符串、替换指令等方法绕过这种特征检测。基于此,业界提出了模糊哈希的方法来应对局部字节改动的场景,通过对整体内容进行分片然后进行哈希化使得局部的字节混淆和改动无法绕过模糊哈希的检测,但是,常规的模糊哈希检测对文件大小有一定的敏感度,使得攻击者可以通过填充垃圾数据从而绕过模糊哈希的检测方式。可见,传统的攻击检测方式依然存在检测结果不准确的问题。
因此,如何实现更为准确的攻击识别,保证网络安全是本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种攻击识别方法,该攻击识别方法可以实现更为准确的攻击识别,从而有效保证网络安全;本申请的另一目的是提供一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品,均具有上述有益效果。
第一方面,本申请提供了一种攻击识别方法,包括:
对待识别数据进行全文特征提取,获得字符串特征,所述字符串特征包括多个子特征;
分别统计各所述子特征的出现频率,根据各所述出现频率及各所述出现频率对应的子特征确定融合特征;
根据所述融合特征确定攻击识别结果。
优选的,所述根据各所述出现频率及各所述出现频率对应的子特征确定融合特征,包括:
对于每一所述子特征,根据所述子特征的出现频率对所述子特征进行加权计算,得到所述子特征对应的第一加权特征;
将所有所述第一加权特征进行合并得到所述融合特征。
优选的,所述根据各所述出现频率及各所述出现频率对应的子特征确定融合特征,包括:
对于每一所述子特征,根据所述子特征的出现频率确定所述子特征的权重;
根据所述子特征的权重对所述子特征进行加权计算,得到第二加权特征;
将所有所述第二加权特征进行合并得到所述融合特征。
优选的,所述对待识别数据进行全文特征提取,获得字符串特征,所述字符串特征包括多个子特征之后,还包括:
对所述字符串特征进行哈希运算,获得哈希值,所述哈希值包括各所述子特征对应的子哈希值;
相应地,所述分别统计各所述子特征的出现频率,根据各所述出现频率及各所述出现频率对应的子特征确定融合特征,包括:
分别统计各所述子特征或各所述子哈希值的出现频率,根据各所述出现频率及各所述出现频率对应的子哈希值确定所述融合特征。
优选的,所述根据所述融合特征确定攻击识别结果,包括:
将所述融合特征降维转换为预设大小的特征码;
根据所述特征码确定所述攻击识别结果。
优选的,所述根据所述融合特征确定攻击识别结果,包括:
将所述融合特征输入人工智能模型确定所述攻击识别结果。
优选的,在所述待识别数据存在所述攻击的情况下,所述方法还包括:
根据所述融合特征或所述特征码确定所述待识别数据中的攻击行为。
第二方面,本申请还公开了一种攻击识别装置,包括:
提取模块,用于对待识别数据进行全文特征提取,获得字符串特征,所述字符串特征包括多个子特征;
计算模块,用于分别统计各所述子特征的出现频率,根据各所述出现频率及各所述出现频率对应的子特征确定融合特征;
识别模块,用于根据所述融合特征确定攻击识别结果。
第三方面,本申请还公开了一种攻击识别系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的任一种攻击识别方法的步骤。
第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种攻击识别方法的步骤。
第五方面,本申请还公开了一种计算机程序产品,所述计算机程序产品包括计算机指令,当所述计算机指令在计算机上运行时,使得计算机可以执行如上所述的任一种攻击识别方法的步骤。
本申请所提供的一种攻击识别方法,包括:对待识别数据进行全文特征提取,获得字符串特征,所述字符串特征包括多个子特征;分别统计各所述子特征的出现频率,根据各所述出现频率及各所述出现频率对应的子特征确定融合特征;根据所述融合特征确定攻击识别结果。
可见,本申请所提供的攻击识别方法,首先提取待识别数据的字符串特征,该字符串特征中包含有多个子特征,然后结合各个子特征在待识别数据中的出现频率,实现了待识别数据中融合特征的提取,从而根据融合特征实现攻击识别,显然,该种实现方式在考虑到字符串特征的情况下还加入了对字符串特征中各个子特征的出现频率的考量,使得攻击者无法通过局部的字节内容混淆绕过攻击检测,进一步提高了攻击识别结果的准确性,有效地保证了网络安全。
本申请所提供的一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
图1为本申请所提供的一种攻击识别方法的流程示意图;
图2为本申请所提供的另一种攻击识别方法的流程示意图;
图3为本申请所提供的一种攻击识别装置的结构示意图;
图4为本申请所提供的一种攻击识别系统的结构示意图。
具体实施方式
本申请的核心是提供一种攻击识别方法,该攻击识别方法可以实现更为准确的攻击识别,从而有效保证网络安全;本申请的另一核心是提供一种攻击识别装置、系统、计算机可读存储介质及计算机程序产品,也具有上述有益效果。
为了对本申请实施例中的技术方案进行更加清楚、完整地描述,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种攻击识别方法。
请参考图1,图1为本申请所提供的一种攻击识别方法的流程示意图,该攻击识别方法可以包括如下S101~S103。
S101:对待识别数据进行全文特征提取,获得字符串特征,字符串特征包括多个子特征;
本步骤旨在实现待识别数据的全文特征提取,获得待识别数据中的字符串特征。其中,待识别数据即为需要进行攻击识别的数据信息,其具体形式并不唯一,例如,可以为网络文件、网络流量、网络行为等,本申请对此不做限定,并且,待识别数据的获取方式也不唯一,例如,可以为实时监测到的数据信息,也可以为用户直接输入的数据信息,本申请对此同样不做限定。
在实现过程中,当接收到待识别数据时,即可对其进行全文特征提取,从而得到待识别数据中的字符串特征,以便于基于该字符串特征实现对于待识别数据的攻击识别。其中,字符串特征中包括有多个子特征,每一个子特征即为待识别数据中的一个字符串,提取待识别数据中的多个字符串,即实现了对待识别数据的全文特征提取,可以理解的是,通过将待识别数据中的全文特征考虑在内,使得特征所表达的内容具备更多的全文信息,进而使得攻击者无法通过局部的字节内容混淆绕过网络攻击检测,可以有效提高攻击识别结果的准确性。
S102:分别统计各子特征的出现频率,根据各出现频率及各出现频率对应的子特征确定融合特征;
本步骤旨在实现待识别数据中融合特征的确定。在从待识别数据中提取获得字符串特征之后,可以先分别统计字符串特征中每一个子特征的出现频率,该出现频率即为相应子特征在待识别数据中的出现次数;进一步,结合每一个字符串以及每一个字符串的出现频率计算获得融合特征,显然,该融合特征在考虑到字符串特征的情况下,还加入了对字符串特征中各个子特征的出现频率的考量,使得攻击者难以通过局部的字节内容混淆绕过攻击检测,从而实现更为准确的攻击识别。
S103:根据融合特征确定攻击识别结果。
本步骤旨在实现攻击识别结果的确定。在计算获得待识别数据的融合特征之后,即可根据该融合特征确定最终的攻击识别结果,也即根据该融合特征确定待识别数据中是否存在攻击。在一种可能的实现方式中,可以通过特征库匹配的方式实现攻击识别结果的确定,例如,预先创建包含有各类攻击特征的特征库,然后将提取到的融合特征与特征库中的各类攻击特征进行匹配,若命中特征库,则说明该融合特征属于攻击类特征,也即待识别数据中存在攻击;若未命中特征库,则说明该融合特征不属于攻击类特征,也即待识别数据中不存在攻击。
可见,本申请所提供的攻击识别方法,首先提取待识别数据的字符串特征,该字符串特征中包含有多个子特征,然后结合各个子特征在待识别数据中的出现频率,实现了待识别数据中融合特征的提取,从而根据融合特征实现攻击识别,显然,该种实现方式在考虑到字符串特征的情况下还加入了对字符串特征中各个子特征的出现频率的考量,使得攻击者无法通过局部的字节内容混淆绕过攻击检测,进一步提高了攻击识别结果的准确性,有效地保证了网络安全。
需要说明的是,在一种可能的实现方式中,还可以在对待识别数据进行全文特征提取之前(S101之前),先利用常规的检测方法对待识别数据进行一次检测,常规的检测方法如SSDEEP(模糊哈希算法)、TLSH(一种模糊匹配库)、IMPHASH(一种静态扫描算法)等开源方式,当基于这些常规的检测方式无法得到检测结果时,再进入上述S101~S104的步骤。
在本申请的一个实施例中,上述根据各出现频率及各出现频率对应的子特征确定融合特征,可以包括如下步骤:
对于每一子特征,根据子特征的出现频率对子特征进行加权计算,得到子特征对应的第一加权特征;
将所有第一加权特征进行合并得到融合特征。
本申请实施例提供了一种融合特征的计算方法。具体而言,对于字符串特征中的每一个子特征,可以根据该子特征的出现频率对其进行加权计算,也就是将子特征的出现频率作为相应子特征的权重,通过加权计算获得每一个子特征对应的第一加权特征,计算公式为:第一加权特征=子特征*子特征的出现频率;进一步,将所有第一加权特征进行合并,即可得到待识别数据的融合特征,因此,融合特征=子特征1*子特征1的出现频率+子特征2*子特征2的出现频率+...+子特征n*子特征n的出现频率,其中,n为字符串特征中子特征的总数量。
在本申请的一个实施例中,上述根据各出现频率及各出现频率对应的子特征确定融合特征,可以包括如下步骤:
对于每一子特征,根据子特征的出现频率确定子特征的权重;
根据子特征的权重对子特征进行加权计算,得到第二加权特征;
将所有第二加权特征进行合并得到融合特征。
本申请实施例提供了另一种融合特征的计算方法。具体而言,可以预先创建子特征出现频率与权重之间的映射关系,在该映射关系中,子特征出现频率越高,权重值越大,在此基础上,对于字符串特征中的每一个子特征,可以先通过查询映射关系确定该子特征的出现频率对应的权重值,然后根据子特征的权重对相应的子特征进行加权计算,得到第二加权特征,计算公式为:第二加权特征=子特征*子特征的权重;进一步,将所有第二加权特征进行合并,即可得到待识别数据的融合特征,因此,融合特征=子特征1*子特征1的权重+子特征2*子特征2的权重+...+子特征n*子特征n的权重,其中,n为字符串特征中子特征的总数量。
在本申请的一个实施例中,上述对待识别数据进行全文特征提取,获得字符串特征,字符串特征包括多个子特征之后,还可以包括:对字符串特征进行哈希运算,获得哈希值,哈希值包括各子特征对应的子哈希值;
相应地,上述分别统计各子特征的出现频率,根据各出现频率及各出现频率对应的子特征确定融合特征,可以包括:分别统计各子特征或各子哈希值的出现频率,根据各出现频率及各出现频率对应的子哈希值确定融合特征。
本申请实施例提供了又一种融合特征的计算方法。具体而言,在从待识别数据中提取获得字符串特征之后,可以先对该字符串特征进行哈希运算,得到该字符串特征对应的哈希值,在该哈希值中,包括有每一个子特征对应的子哈希值,也就相当于对字符串特征中的每一个子特征进行哈希运算,得到子特征对应的子哈希值;进一步,在进行融合特征计算时,则可以分别统计字符串特征中每一个子特征的出现频率,或者哈希值中每一个子哈希值的出现频率,显然,二者取值是相同的,由此,则可以结合出现频率以及该出现频率对应的子哈希值进行计算,获得融合特征。当然,结合出现频率以及该出现频率对应的子哈希值计算获得融合特征的实现方法可以参照上述两个实施例,本申请在此不再赘述。
在本申请的一个实施例中,上述根据融合特征确定攻击识别结果,可以包括如下步骤:
将融合特征降维转换为预设大小的特征码;
根据特征码确定攻击识别结果。
本申请实施例提供了一种根据融合特征确定攻击识别结果的实现方式。在实现过程中,首先将待识别数据的融合特征降维转换为预设大小的特征码,然后根据特征码确定攻击识别结果。其中,将融合特征降维转换为预设大小的特征码,也就是对融合特征进行降维处理,得到一个拥有较少字节的特征码,显然,由于字节较少,因此,可以有效提高数据识别效率,也即提高攻击识别效率。其中,预设大小的具体取值并不影响本技术方案的实施,由技术人员根据实际情况进行设置即可,本申请对此不做限定,例如,可以设定为64字节,即将融合特征缩短为一个64字节的特征码,然后基于该特征码进行攻击识别结果的确定。
在本申请的一个实施例中,上述根据融合特征确定攻击识别结果,可以包括:将融合特征输入人工智能模型确定攻击识别结果。
本申请实施例提供了另一种根据融合特征确定攻击识别结果的实现方式。具体而言,在获得待识别数据的融合特征之后,则可以直接将该融合特征输入至人工智能模型中进行处理,人工智能模型的输出结果即为待识别数据的攻击识别结果。其中,人工智能模型是用于实现融合特征识别的神经网络模型,通过样本训练获得,预存于相应的存储空间,在使用时可以直接调用。
在本申请的一个实施例中,上述根据融合特征确定攻击识别结果,可以包括如下步骤:
将融合特征或特征码与攻击特征库进行匹配;
当融合特征或特征码命中攻击特征库时,确定待识别数据存在攻击。
本申请实施例提供了又一种根据融合特征确定攻击识别结果的实现方式,即基于特征库匹配的攻击识别方法。在实现过程中,可以预先创建包含有各类攻击类融合特征的攻击特征库,然后,将待识别数据的融合特征与攻击特征库进行匹配,若攻击特征库中存在与待识别数据的融合特征相同的攻击类融合特征,则说明融合特征命中攻击特征库,进而说明待识别数据存在攻击;或者,可以预先创建包含有各类攻击类特征码的攻击特征库,然后,将待识别数据的特征码与攻击特征库进行匹配,若攻击特征库中存在与待识别数据的特征码相同的攻击类特征码,则说明特征码命中攻击特征库,进而说明待识别数据存在攻击。
当然,当待识别数据的融合特征或特征码未命中攻击数据库时,由于存在攻击特征库中所包含的攻击类融合特征或者攻击类特征码不全面的可能性,因此,无法毫无疑义的确定待识别数据的融合特征或者特征码不存在攻击,也即无法直接确定待识别数据不存在攻击,基于此,进一步提出了以下人工识别方法。
在本申请的一个实施例中,该攻击识别方法还可以包括如下步骤:
当融合特征或特征码未命中攻击特征库时,输出人工识别提示;
接收关于融合特征或特征码的人工识别结果;
根据人工识别结果确定攻击识别结果。
本申请实施例提供了一种人工识别融合特征或特征码的实现方式。在通过特征库匹配确定待识别数据的融合特征或特征码未命中攻击特征库时,即可输出该融合特征或特征码,同时输出相应的人工识别提示,该人工识别提示用于提醒工作人员当前存在不可识别融合特征或不可识别特征码,需要进行人工识别;进一步,在技术人员进行识别确定之后,即可将人工识别结果输入至攻击识别设备,由攻击识别设备确定最终的攻击识别结果,攻击识别结果为待识别数据存在攻击或者待识别数据不存在攻击。由此,基于本申请实施例,实现了自动化识别加人工识别的攻击识别方式,具有更高的准确性,为网络安全提供了进一步保证。
在本申请的一个实施例中,该攻击识别方法还可以包括:当人工识别结果为待识别数据存在攻击时,将融合特征或特征码加入攻击特征库。
如上所述,当待识别数据的融合特征或特征码未命中攻击数据库时,无法毫无疑义的确定待识别数据不存在攻击,因为存在攻击特征库中所包含攻击类融合特征不全面的可能性或者所包含攻击类特征码不全面的可能性。基于此,在获得人工识别结果之后,若人工识别结果为待识别数据存在攻击,说明攻击特征库中确实不包含待识别数据中的这一类的融合特征或者特征码,因此,可以直接将待识别数据该融合特征或特征码保存至攻击特征库,从而实现攻击特征库的更新,以便于为后续新的待识别数据提供更为全面可靠的识别保证。
在本申请的一个实施例中,在待识别数据存在攻击的情况下,该方法还可以包括:根据融合特征或特征码确定待识别数据中的攻击行为。
本申请实施例所提供的攻击识别方法,还可以在确定待识别数据存在攻击的情况下,进一步确定待识别数据中所存在的攻击行为。具体而言,在确定待识别数据存在攻击的情况下,则可以进一步根据待识别数据的融合特征或特征码进行攻击行为识别,确定待识别数据中所存在的攻击行为。
在本申请的一个实施例中,上述根据融合特征或特征码确定待识别数据中的攻击行为为,可以包括如下步骤:
将融合特征或特征码与攻击行为特征库进行匹配;
当融合特征或特征码命中攻击行为特征库时,将攻击行为特征库中与融合特征或特征码相匹配的攻击行为作为待识别数据的攻击行为。
本申请实施例提供了一种基于融合特征或特征码识别攻击行为的实现方法。在实现过程中,可以预先构建攻击行为特征库,其中包含有各类攻击类融合特征和攻击行为之间的映射关系,或者是包含有各类攻击类特征码和攻击行为之间的映射关系;进一步,通过将待识别数据的融合特征与攻击行为特征库中的各个攻击类融合特征进行匹配,确定与该融合特征匹配一致的攻击类融合特征,然后查询与该攻击类融合特征相对应的攻击行为,该攻击行为即为待识别数据中所存在的攻击行为;或者,通过将待识别数据的特征码与攻击行为特征库中的各个攻击类特征码进行匹配,确定与该特征码匹配一致的攻击类特征码,然后查询与该攻击类特征码相对应的攻击行为,该攻击行为即为待识别数据中所存在的攻击行为。由此,实现了基于融合特征或特征码的攻击行为识别。
在本申请的一个实施例中,该攻击识别方法还可以包括:将待识别数据的数据信息和攻击行为对应存储至图数据库。
本申请实施例所提供的攻击识别方法还可以进一步实现基于图数据库的攻击类行为存储。在识别确定待识别数据中所存在的攻击行为之后,可以将该待识别数据的数据信息与攻击行为对应存储至图数据库,其中,图数据库用于存储各类存在攻击的数据的数据信息与攻击行为的对应关系,数据信息则用于实现后续数据查询,例如,可以查询某个存在攻击的攻击类数据、查询存在某种攻击行为的攻击类数据等,因此,该数据信息类似于索引信息,可以为攻击类数据的数据名称、数据序列号、数据存储位置等,本申请对此不做限定。
可以理解的是,通过图数据库实现攻击类数据的数据信息与攻击行为的对应存储,实现了对于行为趋同的攻击类数据进行相似性关联和归类处理,更加便于后续进行信息查询。
在本申请的一个实施例中,该攻击识别方法还可以包括如下步骤:
根据查询指令确定目标攻击行为;
从图数据库中查询获得存在目标攻击行为的各攻击类数据。
本申请实施例提供了一种攻击类数据的查询方法。在实现过程中,当需要查询存在某种攻击行为(即上述目标攻击行为)的攻击类数据时,用户可以发起查询指令,并将目标攻击行为的相关信息附加于查询指令中,由此,查询设备即可根据通过解析查询指令确定用户需要查询的目标攻击行为,并从图数据库中查询获得存在该目标攻击行为的各个攻击类数据。
在上述各实施例的基础上,本申请实施例提供了另一种攻击识别方法。
请参考图2,图2为本申请所提供的另一种攻击识别方法的流程示意图,其实现流程可以包括:
(1)对未知文件(待识别数据)进行特征提取,获得未知文件中的字符串特征;
(2)对字符串特征中的每一个字符串(子特征,如图2所示特征1、特征2、...特征n)进行哈希运算,得到对应的哈希值(子哈希值,如图2所示哈希1、哈希2、...哈希n);
(3)统计每一个子特征或子哈希值的出现次数(出现频率,如图2所示频次1、频次2、...频次n),并根据出现次数为各子哈希值设置对应的权重值;
(4)对各个子哈希值和相应的权重值进行加权计算,获得最终的加权特征(融合特征);
(5)将融合特征降维转换为一个64字节的特征值;
(6)根据该特征值确定未知文件中是否存在攻击,以及,当未知文件中存在攻击时,未知文件中所存在的攻击行为;
(7)将未知文件的文件信息与攻击行为对应存储至图数据库;
(8)基于图数据库实现信息类查询,如查询某个攻击类文件、查询存在某种攻击行为的攻击类文件、各种攻击类文件所存在的攻击行为等。
可见,本申请实施例所提供的攻击识别方法,通过对未知本文件全文特征的考虑,将未知文件中出现的字符串特征进行收集和统计,在考虑全文特征的情况下还加入了对全文特征权重的考量,由此,攻击者无法通过局部的字节内容混淆绕过检测,同时基于全文高频次的特征的特点使得攻击者在对抗上需要考虑更多的因素,从而使得攻击绕过的成本变得非常巨大。此外,由于最终提取到的特征值仅64字节,因此,此方法具备较为高效的扫描效率,降维后的特征可以在数分钟内完成百万级别样本特征的筛查,扩充弥补了当下已有的静态相似匹配算法,也可以独立进行海量数据特征的快速鉴别筛查。显然,该种实现方式有效地提高了攻击识别的效率和攻击识别结果的准确性,进一步过保证了网络安全。
本申请还提供了一种攻击识别装置,请参考图3,图3为本申请所提供的一种攻击识别装置的结构示意图,该攻击识别装置可包括:
提取模块1,用于对待识别数据进行全文特征提取,获得字符串特征,字符串特征包括多个子特征;
计算模块2,用于分别统计各子特征的出现频率,根据各出现频率及各出现频率对应的子特征确定融合特征;
识别模块3,用于根据融合特征确定攻击识别结果。
可见,本申请实施例所提供的攻击识别装置,首先提取待识别数据的字符串特征,该字符串特征中包含有多个子特征,然后结合各个子特征在待识别数据中的出现频率,实现了待识别数据中融合特征的提取,从而根据融合特征实现攻击识别,显然,该种实现方式在考虑到字符串特征的情况下还加入了对字符串特征中各个子特征的出现频率的考量,使得攻击者无法通过局部的字节内容混淆绕过攻击检测,进一步提高了攻击识别结果的准确性,有效地保证了网络安全。
在本申请的一个实施例中,上述计算模块2可具体用于对于每一子特征,根据子特征的出现频率对子特征进行加权计算,得到子特征对应的第一加权特征;将所有第一加权特征进行合并得到融合特征。
在本申请的一个实施例中,上述计算模块2可具体用于对于每一子特征,根据子特征的出现频率确定子特征的权重;根据子特征的权重对子特征进行加权计算,得到第二加权特征;将所有第二加权特征进行合并得到融合特征。
在本申请的一个实施例中,该攻击识别装置还可以包括哈希运算模块,用于在上述对待识别数据进行全文特征提取,获得字符串特征,字符串特征包括多个子特征之后,对字符串特征进行哈希运算,获得哈希值,哈希值包括各子特征对应的子哈希值;
相应地,上述计算模块2可具体用于分别统计各子特征或各子哈希值的出现频率,根据各出现频率及各出现频率对应的子哈希值确定融合特征。
在本申请的一个实施例中,上述识别模块3可具体用于将融合特征降维转换为预设大小的特征码;根据特征码确定攻击识别结果。
在本申请的一个实施例中,上述识别模块3可具体用于将融合特征输入人工智能模型确定攻击识别结果。
在本申请的一个实施例中,在待识别数据存在攻击的情况下,该攻击识别装置还可以包括攻击行为识别模块,用于根据融合特征或特征码确定待识别数据中的攻击行为。。
对于本申请提供的装置的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种攻击识别系统,请参考图4,图4为本申请所提供的一种攻击识别系统的结构示意图,该攻击识别系统可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种攻击识别方法的步骤。
如图4所示,为攻击识别系统的组成结构示意图,攻击识别系统可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本申请实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行攻击识别方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器11中至少存储有用于实现以下功能的程序:
对待识别数据进行全文特征提取,获得字符串特征,字符串特征包括多个子特征;
分别统计各子特征的出现频率,根据各出现频率及各出现频率对应的子特征确定融合特征;
根据融合特征确定攻击识别结果。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图4所示的结构并不构成对本申请实施例中攻击识别系统的限定,在实际应用中攻击识别系统可以包括比图4所示的更多或更少的部件,或者组合某些部件。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种攻击识别方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还公开了一种计算机程序产品,该计算机程序产品包括计算机指令,当该计算机指令在计算机上运行时,使得计算机可以执行如上所述的任一种攻击识别方法的步骤。
在上述各方法实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现,当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
其中,计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行计算机指令时,可以全部或部分地产生按照本发明实施例所述的流程或功能,计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。其中,计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请的保护范围内。
Claims (10)
1.一种攻击识别方法,其特征在于,包括:
对待识别数据进行全文特征提取,获得字符串特征,所述字符串特征包括多个子特征;
分别统计各所述子特征的出现频率,根据各所述出现频率及各所述出现频率对应的子特征确定融合特征;
根据所述融合特征确定攻击识别结果。
2.根据权利要求1所述的攻击识别方法,其特征在于,所述根据各所述出现频率及各所述出现频率对应的子特征确定融合特征,包括:
对于每一所述子特征,根据所述子特征的出现频率对所述子特征进行加权计算,得到所述子特征对应的第一加权特征;
将所有所述第一加权特征进行合并得到所述融合特征。
3.根据权利要求1所述的攻击识别方法,其特征在于,所述根据各所述出现频率及各所述出现频率对应的子特征确定融合特征,包括:
对于每一所述子特征,根据所述子特征的出现频率确定所述子特征的权重;
根据所述子特征的权重对所述子特征进行加权计算,得到第二加权特征;
将所有所述第二加权特征进行合并得到所述融合特征。
4.根据权利要求1所述的攻击识别方法,其特征在于,所述对待识别数据进行全文特征提取,获得字符串特征,所述字符串特征包括多个子特征之后,还包括:
对所述字符串特征进行哈希运算,获得哈希值,所述哈希值包括各所述子特征对应的子哈希值;
相应地,所述分别统计各所述子特征的出现频率,根据各所述出现频率及各所述出现频率对应的子特征确定融合特征,包括:
分别统计各所述子特征或各所述子哈希值的出现频率,根据各所述出现频率及各所述出现频率对应的子哈希值确定所述融合特征。
5.根据权利要求1所述的攻击识别方法,其特征在于,所述根据所述融合特征确定攻击识别结果,包括:
将所述融合特征降维转换为预设大小的特征码;
根据所述特征码确定所述攻击识别结果。
6.根据权利要求1所述的攻击识别方法,其特征在于,所述根据所述融合特征确定攻击识别结果,包括:
将所述融合特征输入人工智能模型确定所述攻击识别结果。
7.根据权利要求1或5所述的攻击识别方法,其特征在于,在所述待识别数据存在所述攻击的情况下,所述方法还包括:
根据所述融合特征或所述特征码确定所述待识别数据中的攻击行为。
8.一种攻击识别装置,其特征在于,包括:
提取模块,用于对待识别数据进行全文特征提取,获得字符串特征,所述字符串特征包括多个子特征;
计算模块,用于分别统计各所述子特征的出现频率,根据各所述出现频率及各所述出现频率对应的子特征确定融合特征;
识别模块,用于根据所述融合特征确定攻击识别结果。
9.一种攻击识别系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击识别方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击识别方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211213337.1A CN115529189A (zh) | 2022-09-30 | 2022-09-30 | 一种攻击识别方法、装置及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211213337.1A CN115529189A (zh) | 2022-09-30 | 2022-09-30 | 一种攻击识别方法、装置及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115529189A true CN115529189A (zh) | 2022-12-27 |
Family
ID=84701246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211213337.1A Pending CN115529189A (zh) | 2022-09-30 | 2022-09-30 | 一种攻击识别方法、装置及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115529189A (zh) |
-
2022
- 2022-09-30 CN CN202211213337.1A patent/CN115529189A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112003870B (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
CN100444075C (zh) | 用于移动/智能终端的病毒特征提取和检测系统及方法 | |
CN103685307A (zh) | 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器 | |
KR20150083627A (ko) | 액티비티 문자열 분석에 의한 안드로이드 악성코드 검출 방법 | |
CN115987615A (zh) | 一种网络行为安全预警方法及系统 | |
CN111371776A (zh) | Http请求数据的异常检测方法、装置、服务器及存储介质 | |
CN114598504A (zh) | 一种风险评估方法、装置、电子设备及可读存储介质 | |
CN106790025B (zh) | 一种对链接进行恶意性检测的方法及装置 | |
CN113886821A (zh) | 基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质 | |
CN110399729B (zh) | 一种基于组件特征权重的二进制软件分析方法 | |
CN115529189A (zh) | 一种攻击识别方法、装置及相关设备 | |
CN116821903A (zh) | 检测规则确定及恶意二进制文件检测方法、设备及介质 | |
CN111353109A (zh) | 一种恶意域名的识别方法及系统 | |
CN114925365A (zh) | 一种文件处理方法、装置、电子设备及存储介质 | |
CN114579711A (zh) | 诈骗应用程序的识别方法、装置、设备及存储介质 | |
CN115484048A (zh) | 一种基于云环境的入侵行为检测方法及装置 | |
CN114429177A (zh) | 设备指纹特征筛选方法、装置、电子设备及存储介质 | |
CN111859896B (zh) | 配方文档检测方法、装置、计算机可读介质及电子设备 | |
CN113312619A (zh) | 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质 | |
CN113282686A (zh) | 一种不平衡样本的关联规则确定方法及装置 | |
CN114189585A (zh) | 骚扰电话异常检测方法、装置及计算设备 | |
CN117574135B (zh) | 一种电网攻击事件检测方法、装置、设备及存储介质 | |
CN115603978A (zh) | 一种攻击识别方法、装置及相关设备 | |
CN114338187B (zh) | 基于决策树的终端安全检测方法及装置 | |
CN110349025B (zh) | 一种基于未花费交易输出的合约资产防遗失方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |