数据处理方法、装置和计算设备及介质制造方法及图纸

本公开提供了一种数据处理方法、装置和计算设备及介质，其中，所述数据处理方法用于网络攻击者分析，该方法包括：获取攻击告警信息；基于所述攻击告警信息获取与所述攻击告警信息对应的攻击者的关联信息；获取所述攻击者的关联信息的特征信息；基于所述攻击者的关联信息的特征信息获取所述攻击者的画像。

Data Processing Method, Device and Computing Equipment and Media

【技术实现步骤摘要】
数据处理方法、装置和计算设备及介质
本公开涉及网络安全
，更具体地，涉及一种数据处理方法、装置和计算设备及介质。
技术介绍
网络攻击指的是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。现有技术对网络攻击的攻击者的情况掌握较少，对特定攻击者或攻击者群体无法形成较全面的认识，主要依靠人工收集数据进行分析。分析攻击者的困难在于对攻击者的了解往往只有片段的一些信息，很难从大量数据中期找到同一攻击者的行为记录，无法对攻击者进行进一步的分析。
技术实现思路
有鉴于此，本公开提供了一种可以对攻击者进行全面分析的数据处理方法、装置和计算设备及介质。本公开的一个方面提供了一种数据处理方法，可以包括如下操作，首先，获取攻击告警信息，然后，基于所述攻击告警信息获取与所述攻击告警信息对应的攻击者的关联信息，接着，获取所述攻击者的关联信息的特征信息，然后，基于所述攻击者的关联信息的特征信息获取所述攻击者的画像。本公开提供的数据处理方法可以基于所述攻击告警信息获取与所述攻击告警信息对应的攻击者的关联信息，该关联信息可以从多个维度来表征该攻击者，如擅长的攻击手段、所使用设备的性能、学习新漏洞的能力、是否进行网上赌博等，相比于现有技术中只能针对IP地址进行画像，本公开利用关联信息对攻击者进行多维度刻画，得到的攻击者画像相比于IP画像能更好地刻画攻击者以便进行防范。根据本公开的实施例，所述攻击告警信息包括源IP信息及攻击信息，相应地，所述基于所述攻击告警信息获取与所述攻击告警信息对应的攻击者的关联信息可以包括如下操作：首先，基于所述源IP信息和/或所述攻击信息获取关联信息，其中，所述关联信息与所述源IP信息和/或所述攻击信息相关联，然后，对所述攻击告警信息及对应的关联信息进行聚类，得到至少一个集合，其中，所述至少一个集合中的每个集合对应一个攻击者或者一个攻击组织。相应地，所述获取所述攻击者的关联信息的特征信息包括获取每个集合的特征信息。通过特征聚类的方式可以将1个攻击者在不同的源IP上留下的关联信息聚集到一起，可以得到该攻击者更加全面的信息，此外，当存在多个攻击者时，可以根据各攻击者的特征将多个攻击者区别开，以便于进行准确地刻画。根据本公开的实施例，所述基于所述源IP信息和/或所述攻击信息获取关联信息可以包括：至少基于所述源IP信息对所述攻击告警信息进行切片，得到攻击告警切片信息，对所述攻击告警切片信息进行富化，得到所述攻击告警切片信息的关联信息，所述攻击告警切片信息的关联信息具有至少一个特征标签，相应地，所述对所述关联信息进行聚类包括基于所述至少一个特征标签进行聚类。由于1个IP地址可能被多个人使用，1个人也可能使用多个IP地址，因此，IP地址和攻击者之间并没有直接的对应关系，通过对所述攻击告警信息进行切片，可以将尽可能地保证一个告警切片信息对应一个攻击者，然后，再基于该告警信息的源IP和/或所述攻击信息进行信息富化，得到所述攻击告警切片信息的关联信息，这样采集的攻击者的关联信息更加准确。根据本公开的实施例，所述至少基于所述源IP信息对所述攻击告警信息进行切片包括基于指定的时间粒度和/或端口信息对所述攻击告警信息进行切片。根据本公开的实施例，所述对所述攻击告警切片信息进行富化包括以下至少一种：基于所述攻击告警切片信息的源IP信息和/或所述攻击信息在攻击者信息库中进行匹配，得到攻击者及使用终端的历史信息，获取所述攻击告警切片信息的源IP信息的网络活动信息，获取所述攻击告警切片信息的源IP信息相关的攻击告警信息，获取所述攻击告警切片信息的源IP信息的域名解析请求记录，获取所述攻击告警切片信息的攻击类型信息，获取所述攻击告警切片信息的攻击工具信息。根据本公开的实施例，所述基于所述攻击者的关联信息的特征信息获取所述攻击者的画像可以包括：对所述至少一个集合中的每个集合的特征信息进行特征分析和/或时序关联分析，得到攻击者的画像。根据本公开的实施例，所述特征信息包括：资产属性信息、日常活动信息、恶意活动信息或者终端信息中的至少一种。根据本公开的实施例，所述获取所述攻击者的关联信息的特征信息可以包括：对所述攻击者的关联信息进行指纹识别、字典识别、漏洞识别或者工具识别中至少一种识别方式，得到特征信息，其中，所述指纹识别用于识别攻击者使用的终端的信息，所述字典识别用于识别攻击者的攻击模式信息，所述漏洞识别用于识别攻击者利用的漏洞信息及学习能力，所述工具识别用于识别攻击者利用的工具。根据本公开的实施例，所述方法还可以包括：将所述攻击者的画像存储至攻击者信息库，并且/或者，更新所述攻击者信息库。本公开的另一个方面提供了一种数据处理装置，用于网络攻击者分析，所述装置可以包括攻击信息获取模块、关联信息获取模块、特征信息获取模块以及画像获取模块，其中，所述攻击信息获取模块用于获取攻击告警信息，所述关联信息获取模块用于基于所述攻击告警信息获取与所述攻击告警信息对应的攻击者的关联信息，所述特征信息获取模块用于获取所述攻击者的关联信息的特征信息，所述画像获取模块用于基于所述攻击者的关联信息的特征信息获取所述攻击者的画像。根据本公开的实施例，所述关联信息获取模块可以包括：关联信息获取单元以及聚类单元，其中，所述关联信息获取单元用于基于所述源IP信息和/或所述攻击信息获取关联信息，其中，所述关联信息与所述源IP信息和/或所述攻击信息相关联，所述聚类单元用于对所述攻击告警信息及对应的关联信息进行聚类，得到至少一个集合，其中，所述至少一个集合中的每个集合对应一个攻击者或者一个攻击组织。根据本公开的实施例，所述关联信息获取单元可以包括：切片子单元和富化子单元，其中，所述切片子单元用于至少基于所述源IP信息对所述攻击告警信息进行切片，得到攻击告警切片信息，所述富化子单元用于对上述攻击告警切片信息进行富化，得到所述攻击告警切片信息的关联信息，所述攻击告警切片信息的关联信息具有至少一个特征标签。根据本公开的实施例，所述装置可以提供查询接口，所述查询接口包括：攻击者信息查询子接口、切片查询子接口或者攻击者能力查询子接口中的至少一种子接口。本公开的另一个方面提供了一种计算设备，该计算设备可以包括：一个或多个处理器、以及存储装置，所述存储装置用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，实现如上所述的方法。本公开的另一方面提供了一种非易失性存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。根据本公开的实施例，可以至少部分地解决对攻击者的了解往往只有片段，很难从大量数据中期找到同一攻击者的行为记录，无法形成事件的时间线，就无法对攻击者进行进一步的分析的问题，进而能实现更加准确、全面的对该攻击者进行画像的技术效果。根据本公开的实施例，通过IP切片和同源归并算法实现了相同攻击者数据汇聚，为攻击者分析提供更全面的数据。对攻击告警切片信息进行富化提供同源依据，支持多维度评价攻击者。附图说明通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图本文档来自技高网...

【技术保护点】
1.一种数据处理方法，用于网络攻击者分析，包括：获取攻击告警信息；基于所述攻击告警信息获取与所述攻击告警信息对应的攻击者的关联信息；获取所述攻击者的关联信息的特征信息；以及基于所述攻击者的关联信息的特征信息获取所述攻击者的画像。

【技术特征摘要】
1.一种数据处理方法，用于网络攻击者分析，包括：获取攻击告警信息；基于所述攻击告警信息获取与所述攻击告警信息对应的攻击者的关联信息；获取所述攻击者的关联信息的特征信息；以及基于所述攻击者的关联信息的特征信息获取所述攻击者的画像。2.根据权利要求1所述的方法，其中：所述攻击告警信息包括源IP信息及攻击信息；所述基于所述攻击告警信息获取与所述攻击告警信息对应的攻击者的关联信息包括：基于所述源IP信息和/或所述攻击信息获取关联信息，其中，所述关联信息与所述源IP信息和/或所述攻击信息相关联；对所述攻击告警信息及对应的关联信息进行聚类，得到至少一个集合，其中，所述至少一个集合中的每个集合对应一个攻击者或者一个攻击组织；以及所述获取所述攻击者的关联信息的特征信息包括获取每个集合的特征信息。3.根据权利要求2所述的方法，其中：所述基于所述源IP信息和/或所述攻击信息获取关联信息包括：至少基于所述源IP信息对所述攻击告警信息进行切片，得到攻击告警切片信息；对所述攻击告警切片信息进行富化，得到所述攻击告警切片信息的关联信息，所述攻击告警切片信息的关联信息具有至少一个特征标签；以及所述对所述关联信息进行聚类包括基于所述至少一个特征标签进行聚类。4.根据权利要求3所述的方法，其中，所述至少基于所述源IP信息对所述攻击告警信息进行切片包括基于指定的时间粒度和/或端口信息对所述攻击告警信息进行切片。5.根据权利要求3所述的方法，其中，所述对所述攻击告警切片信息进行富化包括以下任意一种或多种：基于所述攻击告警切片信息的源IP信息和/或所述攻击信息在攻击者信息库中进行匹配，得到攻击者及使用终端的历史信息；获取所述攻击告警切片信息的源IP信息的网络活动信息；获取所述攻击告警切片信息的源IP信息相关的攻击告警信息；获取所述攻击告警切片信息的源IP信息的域名解析请求记录；获取所述攻击告警切片信息的攻击类型信息；获取所述攻击告警切片信息的攻击工具信息。6.根据权利要求2所述的方法，其中，所述基于所述攻击者的关联信息的特征信息获取所述攻击者的画像包括：对所述至少一个集合中的每个集合的特征信息进行特征分析和/或时序关联分析，得到攻击者的画像。7.根据权利要求1所述的方法，其中，所述特征信息包括：资产属性信息、日常活动信息、恶...

【专利技术属性】
技术研发人员：林子翔，叶盛，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11