本发明专利技术属于网络空间安全领域,公开了一种基于网络的攻击工具识别方法及系统,在测试环境使用网络攻击工具对目标系统进行攻击并获取网络数据样本;对没有的攻击工具通过Honeypot进行获取可疑的数据样本;将攻击样本分组进行序列联配,然后通过对联配结果重复进行迭代联配;提取出共性的、不变的成分,最终提取出每一种攻击工具最优的攻击特征,然后根据每个工具的攻击特征识别黑客工具。本发明专利技术直接对攻击工具的网络数据样本进行分析和比较,提取出共性的、不变的成分,形成攻击的特征,更能准确区分不同的攻击工具,提高识别率;同时克服从日志中提取存在的误报和虚报问题,提高了识别的准确率。
【技术实现步骤摘要】
一种基于网络的攻击工具识别方法及系统
本专利技术属于网络空间安全领域,尤其涉及一种基于网络的攻击工具识别方法及系统。
技术介绍
目前,业内常用的现有技术是这样的:随着互联网在人类政治、经济、文化、生活等各方面发挥越来越重要的作用,互联网的安全也越发引起人们的关注。面对日益严峻的网络安全形势,仅仅依靠传统的部署防火墙、IDS,IPS等被动防御方法已不足以确保组织、公司的网络安全。目前不论是攻击者所使用的攻击工具还是攻击者自身的水平都有很大的提升,一般来说,网络攻击者在攻击过程中、总是采用多种手段等技术隐藏自身,逃避追踪,及时、有效地识别出攻击者所使用的攻击工具,是动态持续保障网络安全行之有效的方法,能指导防御方采取有针对性防御措施,为下一步黑客身份的确定提供帮助,为从司法上惩治网络罪犯提供有力证据。一种黑客工具挖掘方法、装置及系统(公开号为201610514159.4)提供一种黑客工具挖掘方法、装置及系统,采用数据挖掘的方法对攻击日志分析,挖掘出黑客工具的攻击方式,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。综上所述,现有技术存在的问题是:(1)现有技术中,识别攻击工具完全依靠来源于不同设备的攻击日志信息,主要存在两个问题:1)攻击日志信息是对攻击工具特征的一种间接描述,不够全面和完整,影响攻击工具的识别率。2)日志中存在的误报和虚报信息,影响识别攻击工具的准确率。(2)现有技术根据每个黑客工具的攻击方式识别黑客工具,识别率不高;解决上述技术问题的难度和意义:本专利技术直接对攻击工具的网络数据样本进行分析和比较,提取出共性的、不变的成分,形成攻击的特征,更能准确区分不同的攻击工具,提高识别率;同时克服从日志中提取存在的误报和虚报问题,提高了识别的准确率。本专利技术能及时、有效地识别出攻击者所使用的攻击工具,为指导防御方采取有针对性防御措施和下一步黑客身份的确定提供有力帮助,并为从司法上惩治网络罪犯提供有力证据。
技术实现思路
针对现有技术存在的问题,本专利技术提供了一种基于网络的攻击工具识别方法及系统。本专利技术是这样实现的,一种基于网络的攻击工具识别方法,所述基于网络的攻击工具识别方法为:在测试环境使用网络攻击工具对目标系统进行攻击并获取网络数据样本;对没有的攻击工具通过Honeypot进行获取可疑的数据样本;将攻击样本分组进行序列联配,然后通过对联配结果重复进行迭代联配;提取出共性的、不变的成分,最终提取出每一种攻击工具最优的攻击特征,然后根据每个工具的攻击特征识别黑客工具。进一步,所述基于网络的攻击工具识别方法具体包括:步骤一,在测试环境直接使用已收集的攻击工具对靶机系统进行攻击获取包含攻击的网络数据并将其表示为多个攻击样本;对没有收集的攻击工具通过Honeypot获取数据样本;步骤二,将待处理的可疑样本进行分组,每组2个,样本个数为奇数时,最后一个样本将直接计入下次匹配集合避免数据不完整带来的误差;步骤三,使用Polygraph算法对每组攻击样本进行序列联配,得到每组样本的联配结果;步骤四,运用剪枝算法处理本轮得到的联配序列;剪枝算法基于“联配结果中存在有字符数大于或等于3的片段,并且片段的个数大于或等于3”的要求对联配序列结果处理,符合要求的片段保留,不符合要求的片段丢弃;然后将符合剪枝条件的联配序列添加进入下一轮联配集合;步骤五,将下一轮联配集合待处理的样本按每组2个进行分组,再利用Polygraph算法对每组攻击样本进行序列联配,求出联配结果;步骤六,重复步骤四和步骤五,直到联配结果只有一条时完成迭代,得到最终联配序列;步骤七,将联配的结果进行处理后得到攻击特征;将联配的结果进行分析,利用关键词“offset”和“distance”表达联配结果中的通配符“.”,确定特征字符段之间至少含有的字母数,得到反映特征片段之间的相对位置关系,得到攻击特征;;步骤八,重复步骤一和步骤七,将每一种攻击工具及其相关信息和其对应攻击特征建立映射关系,并存放到数据库中,构建攻击工具特征库;步骤九,获取网络中其它的安全设备检测到的攻击样本,处理后得到的特征与攻击工具特征库中特征比对,自动识别出对应的攻击工具;步骤十,如果未识别,将收集的该未知攻击工具的特征加入到攻击工具特征库。本专利技术的另一目的在于提供一种实现所述基于网络的攻击工具识别方法的计算机程序。本专利技术的另一目的在于提供一种实现所述基于网络的攻击工具识别方法的信息数据处理终端。本专利技术的另一目的在于提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行所述的基于网络的攻击工具识别方法。本专利技术的另一目的在于提供一种基于网络的攻击工具识别方法的网络空间安全控制系统。综上所述,本专利技术的优点及积极效果为:本专利技术在测试环境直接使用已有的网络攻击工具对目标系统进行攻击并获取网络数据样本;对没有的攻击工具通过Honeypot进行获取可疑的数据样本;将攻击样本分组进行序列联配,然后通过对联配结果重复进行迭代联配,逐步求精,提取出共性的、不变的成分,最终提取出每一种攻击工具最优的攻击特征,然后根据每个工具的攻击特征识别黑客工具。该方法直接对攻击工具的网络数据样本进行分析和比较,提取出共性的、不变的成分,形成攻击的特征,更能准确区分不同的攻击工具,提高识别率;同时克服从日志中提取存在的误报和虚报问题,提高了识别的准确率。本专利技术主要应用于识别攻击工具类软件,利用攻击工具产生的网络数据包,通过对数据包的特征分析识别出对应的工具,所以当拦截到数据包就能分析出对应的软件。通过该方法能自动识别攻击者使用的黑客工具,能指导防御方采取有针对性防御措施,为下一步黑客身份的确定提供帮助,为从司法上惩治网络罪犯提供有力证据,是动态持续保障网络安全最行之有效的方法。本专利技术基于HoneyDrive搭建一个蜜罐系统,利用已有的DDoS攻击工具HOIC对蜜罐系统发起DDoS攻击,捕获到攻击数据包23M,经过本专利技术提供的方法分析处理后提取出特征值如图3所示。将该特征值加入攻击工具特征库后,在网络中用HOIC工具重现攻击,系统能正确发现此攻击工具,如图4所示。通过仿真实验结果证明此方法的可行性与有效性。附图说明图1是本专利技术实施例提供的基于网络的攻击工具识别方法流程图。图2是本专利技术实施例提供的攻击工具特征提取示意图。图3是本专利技术实施例提供的分析处理后提取出特征值图图4是本专利技术实施例提供的将图3的特征值加入攻击工具特征库后,在网络中用HOIC工具重现攻击,正确发现攻击工具图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。现有技术中,识别攻击工具完全依靠来源于不同设备的攻击日志信息,主要存在两个问题:1)攻击日志信息是对攻击工具特征的一种间接描述,不够全面和完整,影响攻击工具的识别率。2)日志中存在的误报和虚报信息,影响识别攻击工具的准确率。图1,本专利技术实施例提供的基于网络的攻击工具识别方法的核心是攻击特征提取算法,其的基本原理是将攻击样本分组进行序列联配,然后通过对联配结果重复进行迭代联配,逐步求精,最终提取出最优的攻击本文档来自技高网...
【技术保护点】
1.一种基于网络的攻击工具识别方法,其特征在于,所述基于网络的攻击工具识别方法为:在测试环境使用网络攻击工具对目标系统进行攻击并获取网络数据样本;对没有的攻击工具通过Honeypot进行获取可疑的数据样本;将攻击样本分组进行序列联配,然后通过对联配结果重复进行迭代联配;提取出共性的、不变的成分,最终提取出每一种攻击工具最优的攻击特征,再根据每个工具的攻击特征识别黑客工具。
【技术特征摘要】
1.一种基于网络的攻击工具识别方法,其特征在于,所述基于网络的攻击工具识别方法为:在测试环境使用网络攻击工具对目标系统进行攻击并获取网络数据样本;对没有的攻击工具通过Honeypot进行获取可疑的数据样本;将攻击样本分组进行序列联配,然后通过对联配结果重复进行迭代联配;提取出共性的、不变的成分,最终提取出每一种攻击工具最优的攻击特征,再根据每个工具的攻击特征识别黑客工具。2.如权利要求1所述的基于网络的攻击工具识别方法,其特征在于,所述基于网络的攻击工具识别方法具体包括:步骤一,在测试环境直接使用已收集的攻击工具对靶机系统进行攻击获取包含攻击的网络数据并将其表示为多个攻击样本;对没有收集的攻击工具通过Honeypot获取数据样本;步骤二,将待处理的可疑样本进行分组,每组2个,样本个数为奇数时,最后一个样本将直接计入下次匹配集合避免数据不完整带来的误差;步骤三,使用Polygraph算法对每组攻击样本进行序列联配,得到每组样本的联配结果;步骤四,运用剪枝算法处理本轮得到的联配序列;剪枝算法基于联配结果中存在有字符数大于或等于3的片段,并且片段的个数大于或等于3的要求对联配序列结果处理,符合要求的片段保留,不符合要求的片段丢弃;然后将符合剪枝条件的联配序列添加进入下一轮...
【专利技术属性】
技术研发人员:林宏刚,陈麟,黄元飞,张家旺,李燕伟,王鹏翩,尹杰,曹鹤鸣,蒋梦丹,林星辰,应志军,吴倩,杜薇,陈禹,张晓娜,王博,杨鹏,高强,陈亮,
申请(专利权)人:成都信息工程大学,国家计算机网络与信息安全管理中心,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。