【技术实现步骤摘要】
攻击团伙的识别方法、装置、计算设备以及介质
本公开涉及计算机
,特别是涉及一种攻击团伙的识别方法、攻击团伙的识别装置、计算设备以及计算机可读存储介质。
技术介绍
随着互联网攻击的不断深化,黑客攻击行为由单点攻击以及独立攻击越发组织化、智能化。鉴于外部威胁持续升级,为了加强对外部攻击行为的检测和防护能力,提升攻击行为防护的时效性和准确性,需要准确地识别攻击者。在实现本公开构思的过程中,专利技术人发现相关技术中至少存在如下问题,相关技术对攻击者的识别能力单,难以识别攻击者之间的内在联系,导致对外部攻击行为的检测和防护能力较低。
技术实现思路
本公开的一个方面提供了一种攻击团伙的识别方法,包括:获取多个攻击者访问目标设备生成的访问数据,其中,所述访问数据包括所述多个攻击者的访问路径和访问行为,处理所述访问数据,得到多个访问路径数据和多个访问行为数据,确定所述多个访问路径数据彼此之间的相似度,确定所述多个访问行为数据彼此之间的相似度,基于所述多个访问路径数据彼此之间的相似度和所述多个访问行为数据彼此...
【技术保护点】
1.一种攻击团伙的识别方法,包括:/n获取多个攻击者访问目标设备生成的访问数据,其中,所述访问数据包括所述多个攻击者的访问路径和访问行为;/n处理所述访问数据,得到多个访问路径数据和多个访问行为数据;/n确定所述多个访问路径数据彼此之间的相似度;/n确定所述多个访问行为数据彼此之间的相似度;以及/n基于所述多个访问路径数据彼此之间的相似度和所述多个访问行为数据彼此之间的相似度,确定所述多个攻击者中的至少一个攻击团伙,/n其中,同一个攻击团伙中攻击者的访问路径数据的相似度满足第一阈值条件,同一个攻击团伙中攻击者的访问行为数据的相似度满足第二阈值条件。/n
【技术特征摘要】
1.一种攻击团伙的识别方法,包括:
获取多个攻击者访问目标设备生成的访问数据,其中,所述访问数据包括所述多个攻击者的访问路径和访问行为;
处理所述访问数据,得到多个访问路径数据和多个访问行为数据;
确定所述多个访问路径数据彼此之间的相似度;
确定所述多个访问行为数据彼此之间的相似度;以及
基于所述多个访问路径数据彼此之间的相似度和所述多个访问行为数据彼此之间的相似度,确定所述多个攻击者中的至少一个攻击团伙,
其中,同一个攻击团伙中攻击者的访问路径数据的相似度满足第一阈值条件,同一个攻击团伙中攻击者的访问行为数据的相似度满足第二阈值条件。
2.根据权利要求1所述的方法,其中,所述确定所述多个访问路径数据彼此之间的相似度包括:
对所述多个访问路径数据进行聚类处理,得到聚类结果,其中,所述聚类结果表征了所述多个访问路径数据彼此之间的相似度。
3.根据权利要求2所述的方法,其中,所述确定所述多个访问行为数据彼此之间的相似度包括:
对所述多个访问行为数据进行分类处理,得到分类结果,其中,所述分类结果表征了所述多个访问行为数据彼此之间的相似度。
4.根据权利要求3所述的方法,其中:
所述聚类结果包括至少一个簇,所述至少一个簇中的每个簇具有至少两个访问路径数据;
所述分类结果包括至少一个类别,所述至少一个类别中的每个类别具有至少两个访问行为数据;
其中,所述基于所述多个访问路径数据彼此之间的相似度和所述多个访问行为数据彼此之间的相似度,确定所述多个攻击者中的至少一个攻击团伙包括:
基于所述聚类结果和所述分类结果,确定所述多个攻击者中的至少一个攻击团伙。
5.根据权利要求4所述的方法,其中,所述基于所述聚类结果和所述分类结果,确定所述多个攻击者中的至少一个攻击团伙包括:
针对所述至少一个簇中的每一个簇,确定与所述至少两个访问路径数据对应的m个攻击者,m为大于或等于2的整数;
针对所述m个攻击者中的每个攻击者,基于所述至少一个类别,确定与所述每个攻击者对应的访问行为数据所属的类别作为所述每个攻击者的行为类别;以及
确定所述m个攻击者中所述行为类别的相似度满足预设条件的至少部分攻击者作为一个分组。
6.根据权利要求1所述的方法,其中,所述访问数据包括N个访问...
【专利技术属性】
技术研发人员:吕博良,程佩哲,卓越,周京,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。