本发明专利技术公开了一种网络追踪长链条攻击的方法、装置和系统,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,从而实现在大量网络节点中追踪攻击片段的目的,并辅助不断训练分析模型,提高追踪的精确度。
A Method, Device and System for Network Tracking Long Chain Attacks
【技术实现步骤摘要】
一种网络追踪长链条攻击的方法、装置和系统
本申请涉及网络安全
,尤其涉及一种网络追踪长链条攻击的方法、装置和系统。
技术介绍
当前网络通信面临越来越隐蔽的安全问题,很多攻击来自于隐蔽的、碎片化的形式,现有的防范网络攻击的方法会失效。尤其现在的网络通常具有大量网络节点,攻击者将片段可以分散在各个不同的网络节点上,从而逃避被发现。急需一种能够基于大数据、追踪片段的网络监测攻击的方法。
技术实现思路
本专利技术的目的在于提供一种网络追踪长链条攻击的方法、装置和系统,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,解决现有技术中无法在大量网络节点中追踪片段的问题,并辅助不断训练分析模型,提高追踪的精确度。第一方面,本申请提供一种网络追踪长链条攻击的方法,所述方法包括:网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本;所述各个网络节点先调用本地策略扫描所述数据片段副本,检查是否包含指定关键词,再将所述数据片段副本在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果;所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;所述服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;所述服务器将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;所述服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕;所述显示处理装置接收到所述前后关联关系、所述途经点、所述潜在攻击轨迹后,将所述途经点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。结合第一方面,在第一方面第一种可能的实现方式中,所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。结合第一方面,在第一方面第二种可能的实现方式中,所述网络侧服务器固定周期向各个网络节点发送指令。结合第一方面,在第一方面第三种可能的实现方式中,所述网络节点在业务处理间隙上传数据片段副本包括:优先处理业务数据,当没有业务数据需要处理或传输时,才向服务器上传数据片段副本。第二方面,本申请提供一种网络追踪长链条攻击的装置,应用于网络节点上,执行全部或部分的方法,所述装置包括:指令接收单元,用于接收网络侧服务器向各个网络节点发送的指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;数据处理单元,用于将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本,以及调用本地策略扫描所述数据片段副本,检查是否包含指定关键词;数据发送单元,用于将所述数据片段副本在业务处理间隙封装上传给服务器,所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果。第三方面,本申请提供一种网络追踪长链条攻击的服务器,位于网络侧,执行全部或部分的方法,所述服务器包括:指令发送单元,用于向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;数据合并单元,用于接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;分析异常单元,用于使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;传递单元,用于将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;模型训练单元,用于根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕。第四方面,本申请提供一种网络追踪长链条攻击的系统,所述系统包括应用有如第二方面所述装置的多个网络节点,以及如第三方面所述的服务器。本专利技术提供一种网络追踪长链条攻击的方法、装置和系统,先通过各个网络节点自己检查数据片段,再收集各个网络节点上的数据片段副本,将其与历史大数据合并,分析数据片段是否存在异常,多个异常数据片段之间是否存在逻辑关联,由此确定和标注异常点和途径点,得到潜在的攻击轨迹,从而实现在大量网络节点中追踪攻击片段的目的,并辅助不断训练分析模型,提高追踪的精确度。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术网络追踪长链条攻击的方法的流程图;图2为本专利技术网络追踪长链条攻击的装置的内部结构图;图3为本专利技术网络追踪长链条攻击的服务器的内部结构图;图4为本专利技术网络追踪长链条攻击的系统的架构图。具体实施方式下面结合附图对本专利技术的优选实施例进行详细阐述,以使本专利技术的优点和特征能更易于被本领域技术人员理解,从而对本专利技术的保护范围做出更为清楚明确的界定。图1为本申请提供的网络追踪长链条攻击的方法的流程图,所述方法包括:网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本;所述各个网络节点先调用本地策略扫描所述数据片段副本,检查是否包含指定关键词,再将所述数据片段副本在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果;所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;所述服务器使用分析模型对所述合并的数本文档来自技高网...
【技术保护点】
1.一种网络追踪长链条攻击的方法,其特征在于,包括:网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本;所述各个网络节点先调用本地策略扫描所述数据片段副本,检查是否包含指定关键词,再将所述数据片段副本在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果;所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;所述服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;所述服务器将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;所述服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕;所述显示处理装置接收到所述前后关联关系、所述途经点、所述潜在攻击轨迹后,将所述途经点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。...
【技术特征摘要】
1.一种网络追踪长链条攻击的方法,其特征在于,包括:网络侧服务器向各个网络节点发送指令,所述指令用于命令各个网络节点将本地数据片段上传到服务器;所述各个网络节点接收到指令后,将经由网络节点本地的数据流拆分为若干个数据片段,保存数据片段副本;所述各个网络节点先调用本地策略扫描所述数据片段副本,检查是否包含指定关键词,再将所述数据片段副本在业务处理间隙封装上传给服务器;所述封装包括在数据片段副本中插入数据发起者标识、所述检查的结果;所述服务器接收到封装后的数据片段副本后,将解析后的数据片段与服务器本地的历史数据片段合并;所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并;所述服务器使用分析模型对所述合并的数据片段进行分析,寻找其中可能存在的异常数据片段,将若干个异常数据片段所属的网络节点或终端标注为异常点,以及分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标注为潜在攻击轨迹中的一个途径点;如果所述若干个异常数据片段之间不存在逻辑关联,则断开其对应的异常点之间的前后关联关系,删除其在潜在攻击轨迹中的途径点;所述服务器将所述前后关联关系、所述途经点、所述潜在攻击轨迹传递给显示处理装置;所述服务器根据所述前后关联关系、所述异常数据片段训练所述分析模型;所述训练包括:对数据片段进行数据挖掘,形成训练样本,输入到用反向传播算法模型进行训练,不断重复输入训练样本、反向传播训练,直至所有的训练样本输入完毕;所述显示处理装置接收到所述前后关联关系、所述途经点、所述潜在攻击轨迹后,将所述途经点标记在地图化的网络节点架构图上,在图中每个节点上标记其对应的前后关联关系,绘制潜在攻击轨迹,显示在大屏幕上。2.根据权利要求1所述的方法,其特征在于,所述各个网络节点将数据流拆分为若干个数据片段可根据业务类型、访问动作确定拆分的长度。3.根据权利要求1-2任一所述的方法,其特征在于,所述网络侧服务器固定周期向各个网络节点发送指令。4.根据权利要求1-3任一所述的方法,其特征在于,所述网络节点在业务处理间隙上传数据片段副本包...
【专利技术属性】
技术研发人员:段彬,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。