攻击相似度计算方法、装置、电子设备和可读存储介质制造方法及图纸

本申请提供一种攻击相似度计算方法、装置、电子设备和可读存储介质，预先计算得到的历史采集的多条历史攻击链中各历史攻击链包含的各个历史攻击节点的概率分布式，该概率分布式中包含历史攻击节点在其后排序有不同的其他历史攻击节点的概率值。针对包含有多个当前攻击节点的当前攻击链，基于该概率分布式计算当前攻击链与历史攻击链之间的相似度。如此，计算出的相似度可用于当前攻击的后续攻击手段的预测，以提前进行攻击抵御。本方案中，采用历史统计信息进行相似度计算，使得计算结果可适于真实攻击场景，且随着攻击的产生可实现信息的不断更新。并且，将攻击节点进行分布量化的方式，以定量进行相似度计算，可达到计算结果客观、准确的效果。

【技术实现步骤摘要】
攻击相似度计算方法、装置、电子设备和可读存储介质
本申请涉及网络安全
，具体而言，涉及一种攻击相似度计算方法、装置、电子设备和可读存储介质。
技术介绍
随着信息网络技术的发展，网络规模急剧增长，随之也产生了多种多样的网络攻击，危急网络信息安全。为了应对网络攻击造成的信息安全风险，通常在网络上部署多种网络监控和防御系统，例如入侵检测、安全漏洞扫描系统等。由于不同频次、不同攻击手段的网络攻击之间往往存在相似性，如果针对当前的网络攻击能够获知其与历史中的网络攻击的相似性，则可及时采取相应的应对措施，有效抵御网络攻击以避免所带来的危害。现有技术中进行网络攻击的相似性确定时，一般是采用专家知识的方式进行确定，即通过预先人工构建字典和大量规则方法的方式来进行相似性的设置，根据该设置信息进行相似度确认。这种方式需要进行大量规则的设置，工作量大。此外，由于没有统一标准存在较强的主观性，并且由于更新需要人工重新设置，因此，存在更新难以及时的问题。
技术实现思路
本申请的目的包括，例如，提供了一种攻击相似度计算方法、装置、电子设备和可读存储介质，其能够客观、准确地进行攻击相似度的计算。本申请的实施例可以这样实现：第一方面，本申请提供一种攻击相似度计算方法，所述方法包括：获取已产生的当前攻击链，所述当前攻击链包含多个当前攻击节点；获取预先计算得到的历史采集的多条历史攻击链中，各所述历史攻击链包含的各个历史攻击节点的概率分布式，所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值；针对每一历史攻击链，根据预先计算的各所述历史攻击节点的概率分布式，以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点，计算得到所述当前攻击链与所述历史攻击链之间的相似度。在可选的实施方式中，所述方法还包括：获得所述多条历史攻击链中与所述当前攻击链的相似度最高的目标历史攻击链；根据所述目标历史攻击链包含的历史攻击节点，对所述当前攻击链后续的攻击手段进行预测。在可选的实施方式中，各所述历史攻击节点为多个不同的攻击手段中的任意一种；所述方法还包括预先获得各所述历史攻击链包含的各个历史攻击节点的概率分布式的步骤，该步骤包括：针对各个所属不同攻击手段的历史攻击节点，获得该历史攻击节点在所述多条历史攻击链中出现的总频次；根据各所述历史攻击链中的历史攻击节点的排列顺序，获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次；根据获得的所述总频次和多个所述频次，确定所述历史攻击节点的概率分布式。在可选的实施方式中，所述针对各个所属不同攻击手段的历史攻击节点，获得该历史攻击节点在所述多条历史攻击链中出现的总频次的步骤，包括：将各条历史攻击链包含的历史攻击节点拆分为多个节点组，各个节点组中包含相邻两个历史攻击节点；针对各个所属不同攻击手段的历史攻击节点，筛选出多个节点组中其第一个节点为所述历史攻击节点的节点组；统计筛选出的节点组的个数，作为所述历史攻击节点在所述多条历史攻击链中出现的总频次。在可选的实施方式中，各所述历史攻击节点属于多个不同的攻击阶段中的任意一个，且为所属的攻击阶段包含的多个攻击手段中的任意一种；所述针对各个所属不同攻击手段的历史攻击节点，获得该历史攻击节点在所述多条历史攻击链中出现的总频次的步骤，包括：针对各个所属不同攻击手段的历史攻击节点，获得在该历史攻击节点后排序有属于相同攻击阶段的其他历史攻击节点时的总频次；所述根据各所述历史攻击链中的历史攻击节点的排列顺序，获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次的步骤，包括：根据各所述历史攻击链中的历史攻击节点的排列顺序，获得在该历史攻击节点后排序有属于所述相同攻击阶段的不同攻击手段的其他历史攻击节点的频次。在可选的实施方式中，所述根据预先计算的各所述历史攻击节点的概率分布式，以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点，计算得到所述当前攻击链与所述历史攻击链之间的相似度的步骤，包括：针对所述当前攻击链中包含的各个当前攻击节点，获得所述历史攻击链包含的与所述当前攻击节点位置对应的历史攻击节点；根据预先计算的各所述历史攻击节点的概率分布式，计算所述当前攻击节点和所述历史攻击节点之间的相似度；根据计算得到的各个当前攻击节点对应的相似度，得到所述当前攻击链与所述历史攻击链之间的相似度。在可选的实施方式中，根据预先计算的各所述历史攻击节点的概率分布式，按以下公式计算所述当前攻击节点和所述历史攻击节点之间的相似度：其中，t表示所述相似度，n表示所述概率分布式包含的概率值的个数，xi表示所述当前攻击节点的概率分布式中第i个概率值，yi表示所述历史攻击节点的概率分布式中的第i个概率值。第二方面，本申请提供一种攻击相似度计算装置，所述装置包括：第一获取模块，用于获取已产生的当前攻击链，所述当前攻击链包含多个当前攻击节点；第二获取模块，用于获取预先计算得到的历史采集的多条历史攻击链中，各所述历史攻击链包含的各个历史攻击节点的概率分布式，所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值；计算模块，用于针对每一历史攻击链，根据预先计算的各所述历史攻击节点的概率分布式，以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点，计算得到所述当前攻击链与所述历史攻击链之间的相似度。第三方面，本申请提供一种电子设备，包括一个或多个存储介质和一个或多个与存储介质通信的处理器，一个或多个存储介质存储有处理器可执行的机器可执行指令，当电子设备运行时，处理器执行所述机器可执行指令，以执行前述实施方式中任意一项所述的攻击相似度计算方法。第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质存储有机器可执行指令，所述机器可执行指令被执行时实现前述实施方式中任意一项所述的攻击相似度计算方法。本申请实施例的有益效果包括，例如：本申请实施例提供的攻击相似度计算方法、装置、电子设备和可读存储介质，预先计算得到的历史采集的多条历史攻击链中各历史攻击链包含的各个历史攻击节点的概率分布式，该概率分布式中包含历史攻击节点在其后排序有不同的其他历史攻击节点的概率值。针对包含有多个当前攻击节点的当前攻击链，基于该概率分布式计算当前攻击链与历史攻击链之间的相似度。如此，计算出的相似度可用于当前攻击的后续攻击手段的预测，以提前进行攻击抵御。本方案中，采用历史统计信息进行相似度计算，使得计算结果可适于真实攻击场景，且随着攻击的产生可实现信息的不断更新。并且，将攻击节点进行分布量化的方式，以定量进行相似度计算，可达到计算结果客观、准确的效果。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施本文档来自技高网...

【技术保护点】
1.一种攻击相似度计算方法，其特征在于，所述方法包括：/n获取已产生的当前攻击链，所述当前攻击链包含多个当前攻击节点；/n获取预先计算得到的历史采集的多条历史攻击链中，各所述历史攻击链包含的各个历史攻击节点的概率分布式，所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值；/n针对每一历史攻击链，根据预先计算的各所述历史攻击节点的概率分布式，以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点，计算得到所述当前攻击链与所述历史攻击链之间的相似度。/n

【技术特征摘要】
1.一种攻击相似度计算方法，其特征在于，所述方法包括：
获取已产生的当前攻击链，所述当前攻击链包含多个当前攻击节点；
获取预先计算得到的历史采集的多条历史攻击链中，各所述历史攻击链包含的各个历史攻击节点的概率分布式，所述概率分布式中包含所述历史攻击节点在其后排序有不同的其他历史攻击节点的概率值；
针对每一历史攻击链，根据预先计算的各所述历史攻击节点的概率分布式，以及所述历史攻击链包含的历史攻击节点和所述当前攻击链包含的当前攻击节点，计算得到所述当前攻击链与所述历史攻击链之间的相似度。


2.根据权利要求1所述的攻击相似度计算方法，其特征在于，所述方法还包括：
获得所述多条历史攻击链中与所述当前攻击链的相似度最高的目标历史攻击链；
根据所述目标历史攻击链包含的历史攻击节点，对所述当前攻击链后续的攻击手段进行预测。


3.根据权利要求1所述的攻击相似度计算方法，其特征在于，各所述历史攻击节点为多个不同的攻击手段中的任意一种；
所述方法还包括预先获得各所述历史攻击链包含的各个历史攻击节点的概率分布式的步骤，该步骤包括：
针对各个所属不同攻击手段的历史攻击节点，获得该历史攻击节点在所述多条历史攻击链中出现的总频次；
根据各所述历史攻击链中的历史攻击节点的排列顺序，获得在该历史攻击节点后排序有所属不同攻击手段的其他历史攻击节点的频次；
根据获得的所述总频次和多个所述频次，确定所述历史攻击节点的概率分布式。


4.根据权利要求3所述的攻击相似度计算方法，其特征在于，所述针对各个所属不同攻击手段的历史攻击节点，获得该历史攻击节点在所述多条历史攻击链中出现的总频次的步骤，包括：
将各条历史攻击链包含的历史攻击节点拆分为多个节点组，各个节点组中包含相邻两个历史攻击节点；
针对各个所属不同攻击手段的历史攻击节点，筛选出多个节点组中其第一个节点为所述历史攻击节点的节点组；
统计筛选出的节点组的个数，作为所述历史攻击节点在所述多条历史攻击链中出现的总频次。


5.根据权利要求3所述的攻击相似度计算方法，其特征在于，各所述历史攻击节点属于多个不同的攻击阶段中的任意一个，且为所属的攻击阶段包含的多个攻击手段中的任意一种；
所述针对各个所属不同攻击手段的历史攻击节点，获得该历史攻击节点在所述多条历史攻击链中出现的总频次的步骤，包括：
针对各个所属不同攻击手段的历史攻击节点，获得在该历史攻击节点后排序有属于相同攻击阶段的其他历史攻击节点时的总频次；
所述根据各所述历史攻击链中的历史攻击...

【专利技术属性】
技术研发人员：岳永鹏，
申请(专利权)人：成都知道创宇信息技术有限公司，
类型：发明
国别省市：四川;51