CN115865438B - 网络攻击的防御方法、装置、设备及介质 - Google Patents

网络攻击的防御方法、装置、设备及介质 Download PDF

Info

Publication number
CN115865438B
CN115865438B CN202211469149.5A CN202211469149A CN115865438B CN 115865438 B CN115865438 B CN 115865438B CN 202211469149 A CN202211469149 A CN 202211469149A CN 115865438 B CN115865438 B CN 115865438B
Authority
CN
China
Prior art keywords
network node
defended
network
attack
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211469149.5A
Other languages
English (en)
Other versions
CN115865438A (zh
Inventor
张楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211469149.5A priority Critical patent/CN115865438B/zh
Publication of CN115865438A publication Critical patent/CN115865438A/zh
Application granted granted Critical
Publication of CN115865438B publication Critical patent/CN115865438B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开实施例涉及一种网络攻击的防御方法、装置、设备及介质,其中该方法包括:获取至少一个历史攻击网络节点和节点关联信息;根据节点关联信息确定与至少一个历史攻击网络节点关联的至少一个待防御网络节点;对各待防御网络节点执行网络攻击的防御操作。本公开实施例,通过节点关联信息,确定了与发起过网络攻击的历史攻击网络节点关联的待防御网络节点,即确定了潜在的可能发起网络攻击的待防御网络节点,对该待防御网络节点进行网络防御,实现了对网络攻击的提前防御,提高了网络攻击防御的全面性,降低了隐蔽性较强的网络攻击的漏检概率。

Description

网络攻击的防御方法、装置、设备及介质
技术领域
本公开涉及计算机技术领域,尤其涉及一种网络攻击的防御方法、装置、设备及介质。
背景技术
随着计算机技术的发展,网络安全愈发重要,网络攻击给网络安全造成了较大威胁,网络攻击通常以破坏关键信息基础设施或阻碍重要网络任务的实施为目的,并且,一些网络攻击还具有较强的隐蔽性。
相关技术中,通常直接对网络攻击进行检测。但是该种方法具有较强的局限性,并且部分隐蔽性较强的网络攻击可能会被漏检。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络攻击的防御方法、装置、设备及介质。
本公开实施例提供了一种网络攻击的防御方法,所述方法包括:
获取至少一个历史攻击网络节点和节点关联信息;
根据所述节点关联信息确定与所述至少一个历史攻击网络节点关联的至少一个待防御网络节点;
对各所述待防御网络节点执行网络攻击的防御操作。
本公开实施例还提供了一种网络攻击的防御装置,所述装置包括:
获取模块,用于获取至少一个历史攻击网络节点和节点关联信息;
关联模块,用于根据所述节点关联信息确定与所述至少一个历史攻击网络节点关联的至少一个待防御网络节点;
防御模块,用于对各所述待防御网络节点执行网络攻击的防御操作。
本公开实施例还提供了一种电子设备,所述电子设备包括:处理器;用于存储所述处理器可执行指令的存储器;所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现如本公开实施例提供的网络攻击的防御方法。
本公开实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行如本公开实施例提供的网络攻击的防御方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:本公开实施例中提供的网络攻击的防御方案,获取至少一个历史攻击网络节点和节点关联信息;根据节点关联信息确定与至少一个历史攻击网络节点关联的至少一个待防御网络节点;对各待防御网络节点执行网络攻击的防御操作。采用上述技术方案,通过节点关联信息,确定了与发起过网络攻击的历史攻击网络节点关联的待防御网络节点,即确定了潜在的可能发起网络攻击的待防御网络节点,对该待防御网络节点进行网络防御,实现了对网络攻击的提前防御,提高了网络攻击防御的全面性,降低了隐蔽性较强的网络攻击的漏检概率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种网络攻击的防御方法的流程示意图;
图2为本公开实施例提供的一种联合关系图的示意图;
图3为本公开实施例提供的另一种网络攻击的防御方法的流程示意图;
图4为本公开实施例提供的又一种网络攻击的防御方法的流程示意图;
图5为本公开实施例提供的一种网络攻击的防御装置的结构示意图;
图6为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
为了解决上述问题,本公开实施例提供了一种网络攻击的防御方法,下面结合具体的实施例对该方法进行介绍。
图1为本公开实施例提供的一种网络攻击的防御方法的流程示意图,该方法可以由网络攻击的防御装置执行,其中该装置可以采用软件和/或硬件实现,一般可集成在电子设备中。如图1所示,该方法包括:
步骤101,获取至少一个历史攻击网络节点和节点关联信息。
其中,历史攻击网络节点可以为发起过网络攻击的网络节点,该历史攻击网络节点的类型有多种,本实施例不做限制,例如,该历史攻击网络节点的类型可以为网际协议(Internet Protocol,IP)地址、域(Domain)名、文件电子签名、统一资源定位符(UniformResource Locator,URL)、邮件(Mail)、软件(Malware)中的一种或多种。其中,文件电子签名可以理解为对文件进行加密处理之后得到的电子签名,本实施例对该加密处理方法不做限制,例如,该加密签名方法可以为消息摘要算法(MD5)。本实施例对该历史攻击网络节点发起过的网络攻击的类型也不做限制,例如,该网络攻击可以为高级长期威胁攻击(Advanced Persistent Threat,APT)。
节点关联信息可以为记录网络节点以及网络节点之间的关联关系的信息,该节点关联信息的类型可以为结构化信息,可以为非结构化信息,本实施例不做限制。该节点关系信息包括但不限于:非公开信息和/或公开信息,其中,公开信息包括但不限于:内部流量信息、外部网站信息、网络安全平台信息、网络安全报告信息。
在本公开实施例中,网络攻击的防御装置可以读取历史攻击记录,并提取历史攻击记录中发起过网络攻击的历史攻击网络节点。并且,网络攻击的防御装置还可以根据预先设置的关联信息路径,读取相应的节点关联信息。
步骤102,根据节点关联信息确定与至少一个历史攻击网络节点关联的至少一个待防御网络节点。
其中,待防御网络节点可以为潜在发起网络攻击的网络节点,该待防御网络节点的类型包括:网际协议地址、域名、文件电子签名、统一资源定位符、邮件、软件中的至少一个。
在本公开实施例中,确定待防御网络节点的方法有多种,可以根据应用场景进行设置,本实施例不做限制,示例说明如下:
一种可选的实施方式中,根据节点关联信息确定与至少一个历史攻击网络节点关联的至少一个待防御网络节点,包括:
步骤a1,根据节点关联信息构建至少一个候选节点对。
其中,每个候选节点对包括具有关联关系的两个候选网络节点。
在本实施例中,可以从节点关联信息中提取具备关联关系的两两候选网络节点,得到一个或多个候选节点对。
可选的,节点关联信息包括多个候选网络节点以及不同候选网络节点之间的关联关系,关联关系包括如下至少一种:网际协议地址和域名之间的解析关系与反解析关系、统一资源定位符和网际协议地址之间的归属关系、邮件和文件电子签名之间的载荷投递关系、网际协议地址和邮件之间的登录关系、统一资源定位符和文件电子签名之间的挂载关系。
其中,解析关系表征对该网际协议地址进行解析处理,能够得到相应的域名。反解析关系表征对域名进行反解析处理,能够得到相应的网际协议地址。归属关系表征该统一资源定位符属于该网际协议地址。载荷投递关系表征该邮件中携带有该文件电子签名对应的文件,并通过该邮件能够将该文件投递到相应的目标地址。登录关系表征以该网际协议地址进行该邮件对应的邮件系统的登录。挂载关系表征该统一资源定位符对应的文件资源为该文件电子签名对应的文件。
步骤a2,针对每个历史攻击网络节点,确定包括该历史攻击网络节点的候选节点对,并将该候选节点对中除该历史攻击网络节点之外的候选网络节点确定为待防御网络节点。
在本实施例中,可以将每个历史攻击网络节点分别作为待处理攻击网络节点,根据该待处理攻击网络节点对候选节点对进行查询操作,确定候选节点对中包括该待处理攻击网络节点的至少一个目标候选节点对,并将各目标候选节点对中除该待处理攻击网络节点之外的另一个候选网络节点确定为待防御网络节点。
上述方案中,提取了节点关联信息中具备关联关系的候选节点对,并根据候选节点、历史攻击网络节点确定了待防御网络节点,以计算量较小的方法实现了待防御网络节点的确定。
另一种可选的实施方式中,根据节点关联信息确定与至少一个历史攻击网络节点关联的至少一个待防御网络节点,包括:
步骤b1,根据节点关联信息构建至少一个单元关系图。
其中,每个单元关系图由两个具有关联关系的候选网络节点和一个单元关系边构建得到,一个单元关系边连接该两个候选网络节点,单元关系图可以为表征两个候选网络节点之间关系的图。候选网络节点之间的关联关系可以与上述实施例类似,此处不再赘述。
在本实施例中,可以提取节点关联信息中具备关联关系的候选网络节点,将该候选网络节点组成候选节点对,针对每个候选节点对,构建该候选节点对包括的两个候选网络节点之间的单元关系边,将候选网络节点以及该单元关系边进行组合,得到该候选网络节点对对应的单元关系图。该单元关系边的方向可以根据候选网络节点之间的关联关系确定,例如,若关联关系为解析关系,则该单元关系边可以由网际协议地址指向对应的域名。
步骤b2,获取历史攻击信息,根据历史攻击信息构建历史关系图。
其中,历史关系图由多个历史攻击网络节点和攻击关系边构建得到,每个攻击关系边连接两个历史攻击网络节点。该历史关系图可以为有向无环图。历史攻击信息可以为记录网络节点之间发生过的网络攻击的信息。
在本实施例中,网络攻击防御装置可以读取历史攻击信息,并解析该历史攻击信息,得到该历史攻击信息中涉及的多个历史攻击网络节点,根据历史攻击信息中涉及的两两历史攻击网络节点之间的攻击关系,针对每个攻击关系,可以构建从发起网络攻击的历史攻击网络节点指向接受网络攻击的历史攻击网络节点的攻击关系边,得到历史关系图。
步骤b3,根据多个历史攻击网络节点和多个候选网络节点中相同的网络节点,将单元关系图和历史关系图进行联合,得到联合关系图。
其中,联合关系图可以为表征单元关系图中的候选网络节点和历史关系图中的历史攻击节点之间关系的拓扑图,该联合关系图可以为有向无环图。
在本实施例中,确定既为历史攻击网络节点,又为候选网络节点的联合网络节点,针对每个联合网络节点,确定历史关系图中的该联合网络节点,并以该联合网络节点为基础,将该联合网络节点对应的单元关系图添加在该历史关系图中。针对每个所述联合网络节点进行上述操作,得到联合关系图。即,该联合关系图可以理解为单元关系图和历史关系图进行碰撞得到的图。
步骤b4,将联合关系图中包括的候选网络节点确定为待防御网络节点。
其中,联合关系网中包括的候选网络节点可以理解为该联合关系网中不为历史攻击网络节点的候选网络节点。
在本实施例中,可以确定联合关系图中包括联合网络节点的候选网络节点对,将该候选节点对中除该联合网络节点之外的另一个候选网络节点确定为待防御网络节点。
图2为本公开实施例提供的一种联合关系图的示意图,如图2所示,实线样式的边表示攻击关系边,虚线样式的边表示单元关系边。文件电子签名_1、文件电子签名_2、软件_1、统一资源定位符_1、邮件、域名、网际协议地址_2、网际协议地址_1、网际协议地址_3,及其相关的攻击关系边组成了历史关系图。软件_2和邮件,统一资源定位符_2和网际协议地址_3,域名和网际协议地址_4,及其相关的单元关系边分别组成了单元关系图,图2中的联合关系图是将上述一个历史关系图和三个单元关系图进行联合获得,根据该联合关系图确定的待防御网络节点包括:软件_2、统一资源定位符_2、网际协议地址_4。
上述方案中,能够基于单元关系图与历史关系图的碰撞生成联合关系图,并根据该联合关系图确定待防御网络节点,通过生成联合关系图实现了待防御网络节点的批量确定,并且能够使用户基于该联合关系图更直观地确定网络节点之间的关系。
步骤103,对各待防御网络节点执行网络攻击的防御操作。
在本公开实施例中,确定待防御网络节点之后,网络攻击的防御装置可以调用网络攻击防御系统对该待防御网络节点进行网络攻击的提前防御、重点防御等。
本公开实施例提供的网络攻击的防御方法,包括:获取至少一个历史攻击网络节点和节点关联信息;根据节点关联信息确定与至少一个历史攻击网络节点关联的至少一个待防御网络节点;对各待防御网络节点执行网络攻击的防御操作。采用上述技术方案,通过节点关联信息,确定了与发起过网络攻击的历史攻击网络节点关联的待防御网络节点,即确定了潜在的可能发起网络攻击的待防御网络节点,对该待防御网络节点进行网络防御,实现了对网络攻击的提前防御,提高了网络攻击防御的全面性,降低了隐蔽性较强的网络攻击的漏检概率。
图3为本公开实施例提供的另一种网络攻击的防御方法的流程示意图,如图3所示,在一些实施例中,该网络攻击的防御方法还包括:
步骤301,将与各待防御网络节点的类型相同的历史攻击网络节点确定为对应的关联网络节点,关联网络节点的数量为至少一个。
其中,关联网络节点可以为历史攻击网络节点中与待防御网络节点的类型相同的网络节点。
在本实施例中,由于相同类型的发起网络攻击和潜在发起网络攻击的网络节点具备相似的特征,因而可以基于已经确定发起过网络攻击的历史攻击网络节点,确定待防御网络节点中发起网络攻击的可能性较小的网络节点。具体地,首先针对每个待防御网络节点,确定该待防御网络节点的节点类型,并将属于此节点类型的历史攻击网络节点确定为关联网络节点。
步骤302,根据各待防御网络节点以及对应的关联网络节点,确定各待防御网络节点的评价分数。
其中,评价分数可以为表征待防御网络节点与关联网络节点的相似程度的参数。
在本实施例中,该评价分数的获取方法可以与该待防御网络节点的节点类型相关,本实施例对该评价分数的获取方法不做具体限制,示例说明如下:
一种可选的实施方式中,若待防御网络节点的类型为域名,根据该待防御网络节点以及关联网络节点,确定该待防御网络节点的评价分数,包括:针对每个待防御网络节点,确定该待防御网络节点的第一信息熵,以及该待防御网络节点对应的关联网络节点的第二信息熵;计算第一信息熵与每个第二信息熵的比值,得到至少一个中间比值,将至少一个中间比值的平均值确定为该待防御网络节点的评价分数。
域名通常是由域名产生算法确定的,由于根据域名产生算法产生的域名通常为由随机字符组成的,因而域名具有无序性,信息熵可以为能够对该域名的无序性进行表征的参数,信息熵越大,表征该域名的无序性越高,信息熵越小,表征该域名的无序性越低。属于相同域名家族的域名通常具有相似的无序性特征,因而属于相同域名家族的域名对应的信息熵大小相近。第一信息熵为对待防御网络节点的无序性进行表征的参数,第二信息熵为对关联网络节点的无序性进行表征的参数。中间比值为一个第一信息熵与一个第二信息熵的比值。
在本实施例中,待防御网络节点的类型为域名,将类型为域名的网络节点确定为关联网络节点。并且,针对每个待防御网络节点,根据预设的信息熵公式计算相应的第一信息熵,并针对每个关联网络节点,根据预设的信息熵公式计算相应的第二信息熵。计算该第一信息熵和每个第二信息熵的比值,得到一个或多个中间比值,计算该中间比值的平均值,将该平均值作为待防御网络节点的评价分数。
其中,信息熵公式可以为:
Figure BDA0003957781180000091
其中,P(xi)为网络节点中某个字符出现的概率,H(x)为网络节点的信息熵。例如,假设域名为aaabbb.com,则P(a)=3/10。
待防御网络节点的评价分数Sdomain可以为:
Figure BDA0003957781180000092
其中,H(x)为待防御网络节点的第一信息熵,H(xi)为关联网络节点的第二信息熵,avg()表示求平均值。
另一种可选的实施方式中,若待防御网络节点的类型为网际协议地址、文件电子签名、统一资源定位符中的一种,根据该待防御网络节点以及关联网络节点,确定该待防御网络节点的评价分数,包括:针对每个待防御网络节点,确定该待防御网络节点的第一属性信息,以及该待防御网络节点对应的关联网络节点的第二属性信息;计算第一属性信息和每个第二属性信息的相似度,得到至少一个信息相似度,将至少一个信息相似度的平均值确定为该待防御网络节点的评价分数。
其中,属性信息可以为对网络节点的特性进行表征的信息,该属性信息可以包括:静态属性子信息和/或动态属性子信息,其中,静态属性子信息可以为不随时间变化的属性信息,该静态属性子信息可以包括:地点子信息、时间子信息、数据量子信息中的一个或多个。地点子信息可以表征产生该待防御网络节点的地点,时间子信息可以表征产生该待防御网络节点的时间,数据量子信息可以表征该待防御网络节点所占具备的数据量。该静态属性子信息可以由结构化数据提取获得,也可以由非结构化数据通过正则匹配的方法提取获得。信息相似度可以为表征两个属性信息之间相似程度的参数,该信息相似度有多种,可以根据用户需求等进行设置,例如,该信息相似度可以为欧氏距离。
动态属性子信息可以为随时间变化的属性信息,该动态属性子信息包括使用次数子信息,该使用次数子信息可以表征待防御网络节点的使用次数,例如,若网络节点的类型为网际协议地址,则该使用次数子信息可以表征该网际协议地址控制的其他网际协议地址的数量,若网络节点的类型为文件电子签名,则该使用次数子信息可以表征该文件电子签名被下载的次数。
在本实施例中,若待防御网络节点的类型为网际协议地址、文件电子签名、统一资源定位符中的任一个,将类型与待防御网络节点的类型相同的网络节点确定为关联网络节点。并且,针对每个待防御网络节点,确定该待防御网络节点的第一属性信息,并且确定各关联网络节点的第二属性信息。根据相似度公式,计算该第一属性信息和每个第二属性信息的相似度,得到至少一个信息相似度,计算该信息相似度的平均值,将该平均值作为待防御网络节点的评价分数。
其中,相似度公式可以为:
Figure BDA0003957781180000111
其中,x1、x2…xn,为第一属性信息中n个维度属性子信息,y1、y2…yn,为第二属性信息中n个维度属性子信息,d为一个第一属性信和一个第二属性信息的信息相似度。
待防御网络节点的评价分数Sip/url/md5可以为:
Figure BDA0003957781180000112
其中,di为第一属性信息和一个第二属性信息的信息相似度,avg()表示求平均值。
又一种可选的实施方式中,若待防御网络节点的类型为邮件,根据该待防御网络节点以及关联网络节点,确定该待防御网络节点的评价分数,包括:针对每个待防御网络节点,确定该待防御网络节点的目标主题,并确定该待防御网络节点对应的关联网络节点中与该目标主题相同的关联网络节点的目标数量,将目标数量与关联网络节点的总数量的商确定为该待防御网络节点的评价分数。
其中,主题可以为网络节点的邮件主题,该主题可以从邮件对应的标题中确定,目标主题为待防御网络节点的主题。
在本实施例中,若待防御网络节点的类型为邮件,将类型为邮件的网络节点确定为关联网络节点。并且,针对每个待防御网络节点,确定该待防御网络节点的目标主题,并且确定具备目标主题的关联网络节点的数量,得到目标数量,将目标数量与关联网络节点的总数量的商确定为该待防御网络节点的评价分数。例如,若与待防御网络节点的目标主题相同的关联网络节点的数量为3,类型为邮件的关联网络节点的总数量为10,则评价分数为3/10。
步骤303,根据评价分数确定至少一个待防御网络节点中的待删除网络节点,并删除待删除网络节点。
在本实施例中,可以将类型相同的待防御网络节点划分至同一个待防御网络节点组,针对每个待防御网络节点组,确定其中的评价分数最大值和评价分数最小值,并基于该评价分数最大值和评价分数最小值以及该待防御网络节点组中待防御网络节点的评价分数,确定该评价分数对应的归一化分数。将归一化分数小于预设分数阈值的待防御网络节点确定为待删除网络节点,删除该待删除网络节点。
举例而言,归一化分数Sm可以为:
Figure BDA0003957781180000121
其中,Smax为一个待防御网络节点组中的评价分数最大值,Smin为一个待防御网络节点组中的评价分数最小值,S为该待防御网络节点组中待防御网络节点的评价分数。
上述方案中,将与待防御网络节点的类型相同的历史攻击节点确定为了关联网络节点,并基于该关联网络节点确定待防御网络节点的评价分数,确定并删除了该待防御网络节点中的待删除网络节点。即,删除了与已经发起网络攻击的历史攻击节点差异性较大的网络节点,缩小了后续进行防御操作的网络节点范围,提高了防御操作的针对性。
接下来通过一个具体的示例对本公开实施例中的网络攻击的防御方法,进行进一步说明。图4为本公开实施例提供的又一种网络攻击的防御方法的流程示意图,如图4所示,该网络攻击的防御方法包括:
步骤401,确定候选节点对。
步骤a1,获取节点关联信息,并确定节点关联信息中具备关联关系的候选网络节点。
具体地,该节点关联信息可以为从多种数据源获取的,例如,该节点关联信息可以为通过内部数据、外部网站、网络安全报告、网络安全平台等获取的信息。候选网络节点的获取方法可以包括:通过文件电子签名在网络安全平台获取相应的网际协议地址、域名等,该文件电子签名与网络协议地址或域名组成一对相应的候选网络节点。类似的,通过网际协议地址、域名等在网络安全报告中进行匹配,获取相应的网际协议地址、域名、文件电子签名、邮件等;通过网际协议地址、域名在内部流量中进行匹配,获取相应的网际协议地址、域名、文件电子签名、邮件等。进而,获得相应的候选网络节点。
步骤a2,建立候选节点之间的关联关系。
具体地,对各数据源进行抽取确定两两结合的候选网络节点,两两候选网络节点之间的关联关系示例如下:网际协议地址和域名之间的解析关系、域名和网际协议地址之间的反解析关系、统一资源定位符和所述网际协议地址之间的归属关系、邮件和文件电子签名之间的载荷投递关系、所述网际协议地址和所述邮件之间的登录关系、所述统一资源定位符和所述文件电子签名之间的挂载关系。
步骤a3,抽取网络节点的属性抽取
该属性信息包括静态属性子信息和动态属性子信息。其中,静态属性子信息例如注册国家、注册时间、软件的数据量等。该静态属性子信息可以通过对结构化数据进行直接提取获得,也可以通过对非结构化数据通过正则匹配的方式提取获得。
动态属性子信息例如域名解析网际协议地址数量、网际协议地址控制网际协议地址数量、邮件对应邮箱发送的邮件主题数量,文件电子签名的被下载次数等。
步骤402,确定历史关系图,根据历史关系图和具备关联关系的候选网络节点构建联合关系图,并确定联合关系图中的待防御网络节点。
通过高级长期威胁攻击相关的攻击信息生成历史关系图G=(V,E),其中V为历史攻击网络节点集,历史攻击网络节点集V可以由多个数据源抽取获得,E为攻击关系边。并且,根据具备关联关系的候选网络节点生成单元关系图,将单元关系图和历史关系图进行碰撞,得到联合关系图。进一步地,确定该联合关系图中的待防御网络节点。
步骤403,确定待防御网络节点的评价分数,并对该评价分数进行归一化处理,得到归一化分数,根据归一化分数确定待防御网络节点中的待删除网络节点,删除该待删除网络节点。
通过历史关系图与单元关系图进行碰撞能够发现基于安全检测未能发现的待防御网络节点,但是由于数据源的数据质量不同,网络安全平台的可信度较低等原因,确定的待防御网络节点的准确性可能不足,为了满足实际生产工作要求,对待防御网络节点进行质量评估,具体如下:
高级长期威胁攻击组织常使用各类域名生成算法生成异常域名,通过计算域名之间的信息熵能够确定类型为域名的候选网络节点的评价分数。
域名生成算法产生的域名大多都是由随机字符组成的,具有无序性。而信息熵能够表征随机字符串的无序性,随机字符串越无序,则随机性越高,信息熵越大;随机字符串越有序,则随机性越低,信息熵越小。并且通常属于不同域名家族的域名的无序性差异性较大,信息熵的差异性也较大。因此,通过信息熵能够量化的表示域名随机性。
具体地,通过信息熵公式,计算待防御网络节点的第一信息熵和关联网络节点的第二信息熵,信息熵公式可以为:
Figure BDA0003957781180000141
其中,P(xi)为网络节点中某个字符出现的概率,H(x)为网络节点的信息熵。
基于第一信息熵及其对应的至少一个第二信息熵,确定待防御网络节点的评价分数Sdomain可以为:
Figure BDA0003957781180000142
其中,H(x)为待防御网络节点的第一信息熵,H(xi)为关联网络节点的第二信息熵。
针对网际协议地址、文件电子签名、统一资源定位符其中一种类型的待防御网络节点,可以根据网络节点的属性信息以及相似度公式确定该待防御网络节点的评估分数,具体地,
相似度公式可以为:
Figure BDA0003957781180000151
其中,x1、x2…xn,为第一属性信息中n个维度属性子信息,y1、y2…yn,为第二属性信息中n个维度属性子信息,d为一个第一属性信和一个第二属性信息的信息相似度。
待防御网络节点的评价分数Sip/url/md5可以为:
Figure BDA0003957781180000152
其中,di为第一属性信息和一个第二属性信息的信息相似度。
针对邮件类型的待防御网络节点,针对每个待防御网络节点,确定该待防御网络节点的目标主题,并且确定具备目标主题的关联网络节点的数量,得到目标数量,将目标数量与关联网络节点数量的商确定为该待防御网络节点的评价分数。
进一步地,可以将同一类型的待防御网络节点划分至同一个待防御网络节点组,根据该待防御网络节点组中的评价分数,进行评价分数的归一化处理,得到归一化分数,该归一化分数的取值范围为[0,1],归一化分数Sm可以为:
Figure BDA0003957781180000153
其中,Smax为一个待防御网络节点组中的评价分数最大值,Smin为一个待防御网络节点组中的评价分数最小值,S为该待防御网络节点组中待防御网络节点的评价分数。
上述方案中,通过已检测出发动高级长期威胁攻击的历史攻击网络节点进行分析扩线处理,发现的待防御网络节点,能够有效的发现未知威胁,实现提前防御,也可以提高对发起高级长期威胁攻击的组织的认识,从而及时发现发起高级长期威胁攻击的组织的变化。
图5为本公开实施例提供的一种网络攻击的防御装置的结构示意图,该装置可由软件和/或硬件实现,一般可集成在电子设备中。如图5所示,该装置,包括:
获取模块501,用于获取至少一个历史攻击网络节点和获取节点关联信息;
关联模块502,用于根据所述节点关联信息确定与所述至少一个历史攻击网络节点关联的至少一个待防御网络节点;
防御模块503,用于对各所述待防御网络节点执行网络攻击的防御操作。
可选的,所述待防御网络节点的类型包括:网际协议地址、域名、文件电子签名、统一资源定位符、邮件、软件中的至少一个。
可选的,所述关联模块502,用于:
根据所述节点关联信息构建至少一个候选节点对;其中,每个所述候选节点对包括具有关联关系的两个候选网络节点;
针对每个所述历史攻击网络节点,确定包括该历史攻击网络节点的候选节点对,并将该候选节点对中除该历史攻击网络节点之外的候选网络节点确定为待防御网络节点。
可选地,所述节点关联信息包括多个候选网络节点以及不同所述候选网络节点之间的关联关系,所述关联关系包括如下至少一种:网际协议地址和域名之间的解析关系与反解析关系、统一资源定位符和所述网际协议地址之间的归属关系、邮件和文件电子签名之间的载荷投递关系、所述网际协议地址和所述邮件之间的登录关系、所述统一资源定位符和所述文件电子签名之间的挂载关系。
可选地,所述关联模块502,用于:
根据所述节点关联信息构建至少一个单元关系图;其中,每个所述单元关系图由两个具有关联关系的候选网络节点和一个单元关系边构建得到,所述一个单元关系边连接两个所述候选网络节点;
获取历史攻击信息,根据所述历史攻击信息构建历史关系图;其中,所述历史关系图由多个所述历史攻击网络节点和攻击关系边构建得到,每个所述攻击关系边连接两个所述历史攻击网络节点;
根据多个所述历史攻击网络节点和多个所述候选网络节点中相同的网络节点,将所述单元关系图和所述历史关系图进行联合,得到联合关系图;
将所述联合关系图中包括的所述候选网络节点确定为所述待防御网络节点。
可选地,所述装置还包括:
第一确定模块,用于将与各所述待防御网络节点的类型相同的历史攻击网络节点确定为对应的关联网络节点,所述关联网络节点的数量为至少一个;
第二确定模块,用于根据各所述待防御网络节点以及对应的关联网络节点,确定各所述待防御网络节点的评价分数;
删除模块,用于根据所述评价分数确定所述至少一个待防御网络节点中的待删除网络节点,并删除所述待删除网络节点。
可选地,若所述待防御网络节点的类型为域名,所述第二确定模块,用于:
针对每个所述待防御网络节点,确定该待防御网络节点的第一信息熵,以及该待防御网络节点对应的关联网络节点的第二信息熵;
计算所述第一信息熵与每个所述第二信息熵的比值,得到至少一个中间比值,将所述至少一个中间比值的平均值确定为该待防御网络节点的所述评价分数。
可选地,若所述待防御网络节点的类型为网际协议地址、文件电子签名、统一资源定位符中的一种,所述第二确定模块,用于:
针对每个所述待防御网络节点,确定该待防御网络节点的第一属性信息,以及该待防御网络节点对应的关联网络节点的第二属性信息;
计算所述第一属性信息和每个所述第二属性信息的相似度,得到至少一个信息相似度,将所述至少一个信息相似度的平均值确定为该待防御网络节点的所述评价分数。
可选地,若所述待防御网络节点的类型为邮件,所述第二确定模块,用于:
针对每个所述待防御网络节点,确定该待防御网络节点的目标主题,并确定该待防御网络节点对应的关联网络节点中具备所述目标主题的关联网络节点的目标数量,将所述目标数量与所述关联网络节点的总数量的商确定为该待防御网络节点的所述评价分数。
本公开实施例所提供的网络攻击的防御装置可执行本公开任意实施例所提供的网络攻击的防御方法,具备执行方法相应的功能模块和有益效果。
图6为本公开实施例提供的一种电子设备的结构示意图。如图6所示,电子设备600包括一个或多个处理器601和存储器602。
处理器601可以是中央处理单元(CPU)或者具有网络攻击的防御能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备600中的其他组件以执行期望的功能。
存储器602可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器601可以运行所述程序指令,以实现上文所述的本公开的实施例的网络攻击的防御方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。
在一个示例中,电子设备600还可以包括:输入装置603和输出装置604,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
此外,该输入装置603还可以包括例如键盘、鼠标等等。
该输出装置604可以向外部输出各种信息,包括确定出的距离信息、方向信息等。该输出装置604可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图6中仅示出了该电子设备600中与本公开有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备600还可以包括任何其他适当的组件。
除了上述方法和设备以外,本公开的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的网络攻击的防御方法。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的网络攻击的防御方法。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (11)

1.一种网络攻击的防御方法,其特征在于,包括:
获取至少一个历史攻击网络节点和节点关联信息;
根据所述节点关联信息确定与所述至少一个历史攻击网络节点关联的至少一个待防御网络节点;
对各所述待防御网络节点执行网络攻击的防御操作;
其中,所述根据所述节点关联信息确定与所述至少一个历史攻击网络节点关联的至少一个待防御网络节点,包括:
根据所述节点关联信息构建至少一个单元关系图;其中,每个所述单元关系图由两个具有关联关系的候选网络节点和一个单元关系边构建得到,所述一个单元关系边连接两个所述候选网络节点;
获取历史攻击信息,根据所述历史攻击信息构建历史关系图;其中,所述历史关系图由多个所述历史攻击网络节点和攻击关系边构建得到,每个所述攻击关系边连接两个所述历史攻击网络节点;
根据多个所述历史攻击网络节点和多个所述候选网络节点中相同的网络节点,将所述单元关系图和所述历史关系图进行联合,得到联合关系图;
将所述联合关系图中包括的所述候选网络节点确定为所述待防御网络节点。
2.根据权利要求1所述的方法,其特征在于,所述待防御网络节点的类型包括:网际协议地址、域名、文件电子签名、统一资源定位符、邮件、软件中的至少一个。
3.根据权利要求1所述的方法,其特征在于,所述根据所述节点关联信息确定与所述至少一个历史攻击网络节点关联的至少一个待防御网络节点,包括:
根据所述节点关联信息构建至少一个候选节点对;其中,每个所述候选节点对包括具有关联关系的两个候选网络节点;
针对每个所述历史攻击网络节点,确定包括该历史攻击网络节点的候选节点对,并将该候选节点对中除该历史攻击网络节点之外的候选网络节点确定为待防御网络节点。
4.根据权利要求3所述的方法,其特征在于,所述节点关联信息包括多个候选网络节点以及不同所述候选网络节点之间的关联关系,所述关联关系包括如下至少一种:网际协议地址和域名之间的解析关系与反解析关系、统一资源定位符和所述网际协议地址之间的归属关系、邮件和文件电子签名之间的载荷投递关系、所述网际协议地址和所述邮件之间的登录关系、所述统一资源定位符和所述文件电子签名之间的挂载关系。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将与各所述待防御网络节点的类型相同的历史攻击网络节点确定为对应的关联网络节点,所述关联网络节点的数量为至少一个;
根据各所述待防御网络节点以及对应的关联网络节点,确定各所述待防御网络节点的评价分数;
根据所述评价分数确定所述至少一个待防御网络节点中的待删除网络节点,并删除所述待删除网络节点。
6.根据权利要求5所述的方法,其特征在于,若所述待防御网络节点的类型为域名,所述根据各所述待防御网络节点以及对应的关联网络节点,确定各所述待防御网络节点的评价分数,包括:
针对每个所述待防御网络节点,确定该待防御网络节点的第一信息熵,以及该待防御网络节点对应的关联网络节点的第二信息熵;
计算所述第一信息熵与每个所述第二信息熵的比值,得到至少一个中间比值,将所述至少一个中间比值的平均值确定为该待防御网络节点的所述评价分数。
7.根据权利要求5所述的方法,其特征在于,若所述待防御网络节点的类型为网际协议地址、文件电子签名、统一资源定位符中的一种,所述根据各所述待防御网络节点以及对应的关联网络节点,确定各所述待防御网络节点的评价分数,包括:
针对每个所述待防御网络节点,确定该待防御网络节点的第一属性信息,以及该待防御网络节点对应的关联网络节点的第二属性信息;
计算所述第一属性信息和每个所述第二属性信息的相似度,得到至少一个信息相似度,将所述至少一个信息相似度的平均值确定为该待防御网络节点的所述评价分数。
8.根据权利要求5所述的方法,其特征在于,若所述待防御网络节点的类型为邮件,所述根据各所述待防御网络节点以及对应的关联网络节点,确定各所述待防御网络节点的评价分数,包括:
针对每个所述待防御网络节点,确定该待防御网络节点的目标主题,并确定该待防御网络节点对应的关联网络节点中具备所述目标主题的关联网络节点的目标数量,将所述目标数量与所述关联网络节点的总数量的商确定为该待防御网络节点的所述评价分数。
9.一种网络攻击的防御装置,其特征在于,包括:
获取模块,用于获取至少一个历史攻击网络节点和节点关联信息;
关联模块,用于根据所述节点关联信息确定与所述至少一个历史攻击网络节点关联的至少一个待防御网络节点;
防御模块,用于对各所述待防御网络节点执行网络攻击的防御操作;
其中,所述关联模块用于:根据所述节点关联信息构建至少一个单元关系图;其中,每个所述单元关系图由两个具有关联关系的候选网络节点和一个单元关系边构建得到,所述一个单元关系边连接两个所述候选网络节点;获取历史攻击信息,根据所述历史攻击信息构建历史关系图;其中,所述历史关系图由多个所述历史攻击网络节点和攻击关系边构建得到,每个所述攻击关系边连接两个所述历史攻击网络节点;根据多个所述历史攻击网络节点和多个所述候选网络节点中相同的网络节点,将所述单元关系图和所述历史关系图进行联合,得到联合关系图;将所述联合关系图中包括的所述候选网络节点确定为所述待防御网络节点。
10.一种电子设备,其特征在于,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器;
所述处理器,用于从所述存储器中读取所述可执行指令,并执行所述指令以实现上述权利要求1-8中任一所述的网络攻击的防御方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1-8中任一所述的网络攻击的防御方法。
CN202211469149.5A 2022-11-22 2022-11-22 网络攻击的防御方法、装置、设备及介质 Active CN115865438B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211469149.5A CN115865438B (zh) 2022-11-22 2022-11-22 网络攻击的防御方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211469149.5A CN115865438B (zh) 2022-11-22 2022-11-22 网络攻击的防御方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN115865438A CN115865438A (zh) 2023-03-28
CN115865438B true CN115865438B (zh) 2023-07-04

Family

ID=85665075

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211469149.5A Active CN115865438B (zh) 2022-11-22 2022-11-22 网络攻击的防御方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN115865438B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196895A (zh) * 2016-11-25 2017-09-22 北京神州泰岳信息安全技术有限公司 网络攻击溯源实现方法及装置
CN111935192A (zh) * 2020-10-12 2020-11-13 腾讯科技(深圳)有限公司 网络攻击事件溯源处理方法、装置、设备和存储介质
CN113364780A (zh) * 2021-06-08 2021-09-07 国家计算机网络与信息安全管理中心 网络攻击受害者确定方法、设备、存储介质及装置
CN113556309A (zh) * 2020-04-23 2021-10-26 中国电信股份有限公司 一种用于预测攻击规模的方法
CN114205169A (zh) * 2021-12-20 2022-03-18 上海纽盾科技股份有限公司 网络安全防御方法、装置及系统
CN114301706A (zh) * 2021-12-31 2022-04-08 上海纽盾科技股份有限公司 基于目标节点中现有威胁的防御方法、装置及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11689567B2 (en) * 2020-03-06 2023-06-27 Honeywell International Inc. Mapping an attack tree and attack prediction in industrial control and IIoT environment using hash data analytics

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196895A (zh) * 2016-11-25 2017-09-22 北京神州泰岳信息安全技术有限公司 网络攻击溯源实现方法及装置
CN113556309A (zh) * 2020-04-23 2021-10-26 中国电信股份有限公司 一种用于预测攻击规模的方法
CN111935192A (zh) * 2020-10-12 2020-11-13 腾讯科技(深圳)有限公司 网络攻击事件溯源处理方法、装置、设备和存储介质
CN113364780A (zh) * 2021-06-08 2021-09-07 国家计算机网络与信息安全管理中心 网络攻击受害者确定方法、设备、存储介质及装置
CN114205169A (zh) * 2021-12-20 2022-03-18 上海纽盾科技股份有限公司 网络安全防御方法、装置及系统
CN114301706A (zh) * 2021-12-31 2022-04-08 上海纽盾科技股份有限公司 基于目标节点中现有威胁的防御方法、装置及系统

Also Published As

Publication number Publication date
CN115865438A (zh) 2023-03-28

Similar Documents

Publication Publication Date Title
Gupta et al. A novel approach for phishing URLs detection using lexical based machine learning in a real-time environment
US10021134B2 (en) Methods and systems for phishing detection
JP6503141B2 (ja) アクセス分類装置、アクセス分類方法及びアクセス分類プログラム
US9055097B1 (en) Social network scanning
CN111460445B (zh) 样本程序恶意程度自动识别方法及装置
Niakanlahiji et al. Phishmon: A machine learning framework for detecting phishing webpages
RU2637477C1 (ru) Система и способ обнаружения фишинговых веб-страниц
US8925087B1 (en) Apparatus and methods for in-the-cloud identification of spam and/or malware
CN109768992B (zh) 网页恶意扫描处理方法及装置、终端设备、可读存储介质
CN108650260B (zh) 一种恶意网站的识别方法和装置
US20120002839A1 (en) Malware image recognition
US20180131708A1 (en) Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names
US9614866B2 (en) System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature
US20230126692A1 (en) System and method for blocking phishing attempts in computer networks
US8910281B1 (en) Identifying malware sources using phishing kit templates
CN114650176A (zh) 钓鱼网站的检测方法、装置、计算机设备及存储介质
WO2018143097A1 (ja) 判定装置、判定方法、および、判定プログラム
CN111953638B (zh) 网络攻击行为检测方法、装置及可读存储介质
CN107070845B (zh) 用于检测网络钓鱼脚本的系统和方法
CN116366338A (zh) 一种风险网站识别方法、装置、计算机设备及存储介质
CN107786529B (zh) 网站的检测方法、装置及系统
Fang et al. A proactive discovery and filtering solution on phishing websites
Jeeva et al. Phishing URL detection-based feature selection to classifiers
CN112016934B (zh) 用于检测异常数据的方法、设备和计算机可读存储介质
CN115865438B (zh) 网络攻击的防御方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant