本发明专利技术公开了一种攻击组织的挖掘方法,包括:提取防火墙入侵防御系统日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。本发明专利技术还同时公开了一种攻击组织的挖掘装置。
【技术实现步骤摘要】
本专利技术涉及网络安全技术,尤其涉及一种攻击组织的挖掘方法及装置。
技术介绍
随着Internet的日益发展与普及,Internet已经渗透到人们日常工作生活中的各个方面。然而,由此所引入的网络安全问题也日渐成为人们重点关注的问题之一。特别是,现有的网络攻击方式呈现出多样化和复杂化的趋势,使得基于Internet进行业务服务的机构和系统面临着前所未有的威胁,这些机构和系统的网络一旦被攻击成功,将造成巨大的经济损失。目前,随着社会经济的不断发展,社会中各行各业的从业人员的分工越来越细,而对于网络安全这样一个技术密集型的行业,也同样出现了类似的社会精细分工。例如,有的黑客善于漏洞挖掘,有的黑客善于对付杀毒软件,有的黑客对网络基础设施很熟悉,有的黑客则擅长社会工程学。为了某些共同的目的,许多黑客逐渐地走到了一起,从而形成了一个相对稳定的攻击组织。在攻击组织中,每个黑客利用各自擅长的技能,以组成一个完善的产业链条,共同服务于所属的攻击组织。因此,了解攻击组织,对把握当前的网络安全形势是很有意义的。此外,高级持续性威胁已成为当前各级各类网络所面临的主要安全威胁,高级持续性威胁使网络威胁从散兵游勇式的随机攻击变成有目的、有组织、有预谋的群体式攻击,使得以实时检测、实时阻断为主体的传统防御方式难以再发挥作用。现在的网络安全防护方法和产品体系还在使用传统的单机的、私有的思路来解决网络的、公有的威胁,而如今已经是动态安全时代,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段,所以基于传统安全思想的网络安全防护方法和产品因没有数据智能功能,无法感知攻击组织。专利技术内容有鉴于此,本专利技术实施例提供了一种攻击组织的挖掘方法及装置,能够快速从网络攻击行为中定位出攻击组织。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种攻击组织的挖掘方法,所述方法包括:提取防火墙入侵防御系统(IntrusionPreventionSystem,IPS)日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。上述方案中,所述方法还包括:对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。上述方案中,所述提取防火墙IPS日志中记录的攻击行为之前,所述方法还包括:对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙IPS日志。上述方案中,所述根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织,包括:向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。上述方案中,所述向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,包括:计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。本专利技术实施例提供了一种攻击组织的挖掘装置,所述装置包括:第一处理单元、第二处理单元;其中,所述第一处理单元,用于提取防火墙入侵防御系统IPS日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;所述第二处理单元,用于根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。上述方案中,所述第二处理单元,还用于对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。上述方案中,所述装置还包括:第三处理单元,用于在所述第一处理单元提取防火墙IPS日志中记录的攻击行为之前,对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙IPS日志。上述方案中,所述第二处理单元,具体用于:向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。上述方案中,所述第二处理单元向量化每一个攻击方IP地址所对应的攻击时间和攻击方式为:计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。本专利技术实施例提供的攻击组织的挖掘方法及装置,提取防火墙入侵防御系统日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。可见,本专利技术实施例通过提取防火墙IPS日志中记录的多个攻击方IP地址在不同攻击时间所采用的攻击方式,然后根据每一个攻击方IP地址所对应的攻击时间和攻击方式对所有攻击方IP地址进行聚类,以将具有相似攻击时间和攻击方式的攻击方IP地址划分为攻击组织,从而能够快速从网络攻击行为中定位出攻击组织。此外,可视化展示攻击组织的攻击方式和活动规律,以使用户能够更直观地了解攻击组织。附图说明图1为本专利技术实施例攻击组织的挖掘方法的实现流程示意图;图2为本专利技术实施例攻击组织的挖掘方法的基本流程示意图;图3为本专利技术实施例攻击组织的挖掘方法的具体实现流程示意图;图4为本专利技术实施例攻击组织的挖掘装置的原理示意图;图5为本专利技术实施例攻击组织的挖掘装置的组成结构示意图。具体实施方式图1为本专利技术实施例攻击组织的挖掘方法的实现流程示意图,该方法包括:步骤101:提取防火墙入侵防御系统日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;具体地,对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙入侵防御系统(IntrusionPreventionSystem,IPS)日志中;提取防火墙IPS日志中记录的至少一个以上攻击方IP地址在不同攻击时间所采用的攻击方式。这里,所述对网络攻击行为进行识别可以是采用防火墙对网络攻击行为进行识别;所述防火墙IPS日志中记录有在预设时间内防火墙所识别出的攻击行为,所述预设时间可以是一天或一天以上;当所述防火墙IPS日志因存储空间有限而无法记录在预设时间内的所有攻击行为时,可将所述防火墙IPS日志中记录的攻击行为存储至存储器中,然后从所述存储器中提取攻击行为。步骤102:根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。具体地,根据每一个攻击方IP地址所对应的攻击时间和攻击方式,向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。这里,所述向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,包括:计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。这里,每一个攻击方IP地址在预设时间内可能对应有多个攻击时间和多种攻击方式,对每一个攻击方IP地址所对应的攻击时间和攻击方式进行向量化,以获取对应每本文档来自技高网...
【技术保护点】
一种攻击组织的挖掘方法,其特征在于,所述方法包括:提取防火墙入侵防御系统IPS日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。
【技术特征摘要】
1.一种攻击组织的挖掘方法,其特征在于,所述方法包括:提取防火墙入侵防御系统IPS日志中记录的攻击行为;所述攻击行为包括攻击时间、攻击方式、攻击方IP地址;根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:对所述攻击组织中所包含的攻击行为进行聚合,并向用户展示所述攻击组织在聚合后的攻击行为。3.根据权利要求1所述的方法,其特征在于,所述提取防火墙IPS日志中记录的攻击行为之前,所述方法还包括:对网络攻击行为进行识别,并将识别出的攻击行为记录至防火墙IPS日志。4.根据权利要求1所述的方法,其特征在于,所述根据每一个攻击方IP地址所对应的攻击时间和攻击方式,对所有攻击方IP地址进行聚类,以获取攻击组织,包括:向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,以获取对应每一个攻击方IP地址的攻击向量;采用聚类算法对由所有攻击方IP地址所对应的攻击向量组成的攻击向量集进行聚类分析,以生成攻击组织。5.根据权利要求4所述的方法,其特征在于,所述向量化每一个攻击方IP地址所对应的攻击时间和攻击方式,包括:计算每一个攻击方IP地址在每一天每一个时间段内的出现次数;计算每一个攻击方IP地址在每一天所使用的不同攻击方式的次数。6.一种攻击组织的挖掘...
【专利技术属性】
技术研发人员:易蜀锋,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。