An attack IP portrait generation method, an attack IP portrait generation device and an electronic device, wherein the attack IP portrait generation method includes: acquiring a historical attack traffic data record generated by a network security system; preprocessing the attack traffic data record to obtain keyword segments from the attack traffic data record; and based on each of the attack traffic data records in a preset time range. The number of attacks against IP generates the activity of corresponding attack IP; the threat degree of corresponding attack IP is generated based on the activity of each attack IP, attack packet rate and attack traffic rate; and the attack IP portrait is generated based on at least part of the key fields, activity and threat degree in the attack traffic data record. In this way, the attack IP portrait has relatively more abundant feature representations, and can describe the overall characteristics of attack IP more comprehensively.
【技术实现步骤摘要】
攻击IP画像生成方法、攻击IP画像生成装置和电子设备
本申请涉及网络安全领域,尤其涉及攻击IP画像生成方法、攻击IP画像生成装置和电子设备。
技术介绍
随着网络技术的发展,网络攻击的规模和速度在不断增加,网络安全所面临的挑战日益严峻。为了及时、准确地识别攻击者并采取针对性的防御措施,常用的技术思路是:通过对攻击流量数据进行分析,以获得攻击者的特征和攻击意图。识别攻击者是网络安全防护中最重要的部分。目前,识别攻击者的方式是在发现攻击活动之后,将攻击者的行为与攻击者的身份(IP)建立相关性,基于此建立攻击IP画像模型。通过IP画像模型可以给企业、政府提供安全网络防御决策支持。攻击IP画像的表示方式对于网络安全防御具有极其重要的意义。申请内容本申请的主要目的在于提供一种攻击IP画像生成方法、攻击IP画像生成装置和电子设备,其中,通过所述攻击IP画像生成的攻击IP画像具有相对更为丰富的特征表示,以更为全面地描绘攻击IP的整体特征。本申请的另一目的在于提供一种攻击IP画像生成方法、攻击IP画像生成装置和电子设备,其中,所述攻击IP画像生成方法基于各攻击IP的活跃度、攻击包速...
【技术保护点】
1.一种攻击IP画像生成方法,其特征在于,包括:获取由网络安防系统产生的历史攻击流量数据记录;对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。
【技术特征摘要】
1.一种攻击IP画像生成方法,其特征在于,包括:获取由网络安防系统产生的历史攻击流量数据记录;对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录中获取关键字段,其中,所述关键字段包括攻击IP,攻击类型、攻击开始时间、攻击结束时间、攻击包速率、攻击流量速率、攻击目标IP、攻击IP所在位置、攻击的行业、被加入黑名单的次数、被加入白名单的次数、以及,攻击时段;基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度;基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度;以及基于所述攻击流量数据记录中的至少部分关键字段、活跃度和威胁度,生成攻击IP画像。2.如权利要求1所述的攻击IP画像生成方法,其中,基于在预设时间范围内的各攻击IP的攻击次数,生成对应攻击IP的活跃度,包括:基于在第一预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第一预设时间段内的第一活跃度等级;基于在第二预设时间段内各攻击IP的攻击次数在所有攻击IP中的攻击次数分布,获得对应攻击IP在第二预设时间段内的第二活跃度等级,其中,第二预设时间段大于第一预设时间段;以及基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度。3.如权利要求2所述的攻击IP画像生成方法,其中,第一预设时间段为一周内、所述第二预设时间段为一个月内。4.如权利要求3所述的攻击IP画像生成方法,其中,基于对应攻击IP的第一活跃度等级和第二活跃度等级,生成对应攻击IP的活跃度,包括:基于对应攻击IP的第一活跃度等级与第一权重之乘积和第二活跃度等级和第二权重之乘积,生成对应攻击IP的活跃度,其中,所述第一权重的初始值设定为7,以及,所述第二权重的初始值设定为3。5.如权利要求4所述的攻击IP画像生成方法,其中,基于各攻击IP的活跃度、攻击包速率、和攻击流量速率,生成对应攻击IP的威胁度,包括:基于各攻击IP的活跃度、攻击包速率、攻击流量速率和部分所述关键字段,生成对应攻击IP的威胁度,其中,部分所述关键字段选自由被加入黑名单的次数、被加入白名单的次数、攻击的行业、攻击类型和攻击时段所组成的群组中的一种或任意几种的组合。6.如权利要求1至5任一所述的攻击IP画像生成方法,还包括:基于新的攻击流量数据对基于历史攻击流量数据记录生成的攻击IP画像进行更新。7.一种攻击IP画像生成装置,其特征在于,包括:获取单元,用于获取由网络安防系统产生的历史攻击流量数据记录;预处理单元,用于对所述攻击流量数据记录进行预处理,以从所述攻击流量数据记录...
【专利技术属性】
技术研发人员:赵锐文,黄秀丽,鲍文慧,
申请(专利权)人:光通天下网络科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。