一种攻击行为分析方法及装置制造方法及图纸

本申请涉及网络安全技术领域，尤其涉及一种攻击行为分析方法及装置，获取网络安全设备采集到的各网络会话数据；分别针对各网络会话数据，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列模式；根据确定出的各网络会话数据的各频繁事件序列模式，对各网络会话数据进行聚类，获得各类网络会话数据；分别针对各类网络会话数据，识别任意一类网络会话数据中包含的各命令的命令状态类别，并基于识别后的各命令，以及识别后的各命令之间的调用顺序，分析该类网络会话数据的攻击行为，这样，能够提高攻击行为识别的准确度。

【技术实现步骤摘要】
一种攻击行为分析方法及装置
本申请涉及网络安全
，尤其涉及一种攻击行为分析方法及装置。
技术介绍
目前，随着物联网技术的快速发展，大量物联网上暴露的智能设备和服务，已成为网络攻击者发动大规模攻击的首选，因此，对这些攻击行为进行分析是非常有必要的。现有技术中，在对攻击者的攻击行为进行分析时，通常是基于流量异常波动的检测技术实现的，但是，由于现有技术中的这种方式中，流量峰值的阈值是人为选取的，而实际上，真正的攻击行为是不存在一个固定阈值的，通过现有技术中的方式无法检测到一些慢速攻击类型的攻击行为，例如，分布式拒绝服务攻击(Distributeddenialofserviceattack，DDoS)，因此，现有技术中的这种攻击行为检测方式的准确度较低。
技术实现思路
本申请实施例提供一种攻击行为分析方法及装置，以提高攻击行为分析的准确度。本申请实施例提供的具体技术方案如下：一种攻击行为分析方法，包括：获取网络安全设备采集到的各网络会话数据；分别针对所述各网络会话数据，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列模式，其中，每一个频繁事件序列模式包括至少一个事件且所述至少一个事件按照在该网络会话数据中出现的先后顺序进行排列；根据确定出的所述各网络会话数据的各频繁事件序列模式，对所述各网络会话数据进行聚类，获得各类网络会话数据；分别针对各类网络会话数据，识别任意一类网络会话数据中包含的各命令的命令状态类别，并基于识别后的各命令，以及所述识别后的各命令之间的调用顺序，分析该类网络会话数据的攻击行为。可选的，获取网络安全设备采集到的各网络会话数据之后，进一步包括：分别针对所述各网络会话数据，若确定任意一网络会话数据的各事件中包含有起始事件和关闭事件，则确定该网络会话数据的数据类型为完整，并保留所述数据类型为完整的网络会话数据，若确定该网络会话数据的各事件中不包含有起始事件和/或关闭事件，则删除该网络会话数据。可选的，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列，具体包括：将任意一网络会话数据中包含的各事件作为各一项序列模式，并生成包含有各一项序列模式的初始种子集；将所述初始种子集中的各一项序列模式进行连接运算，获得支持度大于预设支持度阈值的各二项序列模式，其中，所述支持度表征包含有任意一个二项序列模式的所有事件序列在该网络会话数据中所占的比例；将所述各二项序列模式进行连接运算和修切运算，获得各三项序列模式，并重复执行上述步骤，直至无法产生新的i项序列模式为止，并将支持度大于所述支持度阈值的i项序列模式，作为该网络会话数据的各频繁事件序列模式，其中，i为正整数，且大于等于3。可选的，将所述各二项序列模式进行连接运算和修切运算，获得各三项序列模式，具体包括：将各二项序列模式进行连接运算，获得各候选的三项序列模式；分别针对所述各候选的三项序列模式，若确定任意一个候选的三项序列模式的其中一个子序列不为二项序列模式，则将该候选的三项序列模式删除，若确定该候选的三项序列模式的各子序列均为二项序列模式，则保留该候选的三项序列模式；将保留的各候选的三项序列模式，作为各三项序列模式。可选的，根据确定出的所述各网络会话数据的各频繁事件序列模式，对所述各网络会话数据进行聚类，获得各类网络会话数据，具体包括：分别根据各网络会话数据所包含的频繁序列模式，对所述各网络会话数据进行特征提取，确定所述各网络会话数据的特征向量；分别针对所述各网络会话数据，确定任意一网络会话数据的特征向量与其余的各网络会话数据的特征向量之间的欧式距离；根据计算获得的各欧式距离，对所述各网络会话数据进行聚类，并获得聚类后的各网络会话数据。一种攻击行为分析装置，包括：获取模块，用于获取网络安全设备采集到的各网络会话数据；第一处理模块，用于分别针对所述各网络会话数据，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列模式，其中，每一个频繁事件序列模式包括至少一个事件且所述至少一个事件按照在该网络会话数据中出现的先后顺序进行排列；聚类模块，用于根据确定出的所述各网络会话数据的各频繁事件序列模式，对所述各网络会话数据进行聚类，获得各类网络会话数据；分析模块，用于分别针对各类网络会话数据，识别任意一类网络会话数据中包含的各命令的命令状态类别，并基于识别后的各命令，以及所述识别后的各命令之间的调用顺序，分析该类网络会话数据的攻击行为。可选的，获取网络安全设备采集到的各网络会话数据之后，进一步包括：第二处理模块，用于分别针对所述各网络会话数据，若确定任意一网络会话数据的各事件中包含有起始事件和关闭事件，则确定该网络会话数据的数据类型为完整，并保留所述数据类型为完整的网络会话数据，若确定该网络会话数据的各事件中不包含有起始事件和/或关闭事件，则删除该网络会话数据。可选的，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列时，第一处理模块具体用于：将任意一网络会话数据中包含的各事件作为各一项序列模式，并生成包含有各一项序列模式的初始种子集；将所述初始种子集中的各一项序列模式进行连接运算，获得支持度大于预设支持度阈值的各二项序列模式，其中，所述支持度表征包含有任意一个二项序列模式的所有事件序列在该网络会话数据中所占的比例；将所述各二项序列模式进行连接运算和修切运算，获得各三项序列模式，并重复执行上述步骤，直至无法产生新的i项序列模式为止，并将支持度大于所述支持度阈值的i项序列模式，作为该网络会话数据的各频繁事件序列模式，其中，i为正整数，且大于等于3。可选的，将所述各二项序列模式进行连接运算和修切运算，获得各三项序列模式时，第一处理模块具体用于：将各二项序列模式进行连接运算，获得各候选的三项序列模式；分别针对所述各候选的三项序列模式，若确定任意一个候选的三项序列模式的其中一个子序列不为二项序列模式，则将该候选的三项序列模式删除，若确定该候选的三项序列模式的各子序列均为二项序列模式，则保留该候选的三项序列模式；将保留的各候选的三项序列模式，作为各三项序列模式。可选的，聚类模块具体用于：分别根据各网络会话数据所包含的频繁序列模式，对所述各网络会话数据进行特征提取，确定所述各网络会话数据的特征向量；分别针对所述各网络会话数据，确定任意一网络会话数据的特征向量与其余的各网络会话数据的特征向量之间的欧式距离；根据计算获得的各欧式距离，对所述各网络会话数据进行聚类，并获得聚类后的各网络会话数据。一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述本文档来自技高网...

【技术保护点】
1.一种攻击行为分析方法，其特征在于，包括：/n获取网络安全设备采集到的各网络会话数据；/n分别针对所述各网络会话数据，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列模式，其中，每一个频繁事件序列模式包括至少一个事件且所述至少一个事件按照在该网络会话数据中出现的先后顺序进行排列；/n根据确定出的所述各网络会话数据的各频繁事件序列模式，对所述各网络会话数据进行聚类，获得各类网络会话数据；/n分别针对各类网络会话数据，识别任意一类网络会话数据中包含的各命令的命令状态类别，并基于识别后的各命令，以及所述识别后的各命令之间的调用顺序，分析该类网络会话数据的攻击行为。/n

【技术特征摘要】
1.一种攻击行为分析方法，其特征在于，包括：
获取网络安全设备采集到的各网络会话数据；
分别针对所述各网络会话数据，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列模式，其中，每一个频繁事件序列模式包括至少一个事件且所述至少一个事件按照在该网络会话数据中出现的先后顺序进行排列；
根据确定出的所述各网络会话数据的各频繁事件序列模式，对所述各网络会话数据进行聚类，获得各类网络会话数据；
分别针对各类网络会话数据，识别任意一类网络会话数据中包含的各命令的命令状态类别，并基于识别后的各命令，以及所述识别后的各命令之间的调用顺序，分析该类网络会话数据的攻击行为。


2.如权利要求1所述的方法，其特征在于，获取网络安全设备采集到的各网络会话数据之后，进一步包括：
分别针对所述各网络会话数据，若确定任意一网络会话数据的各事件中包含有起始事件和关闭事件，则确定该网络会话数据的数据类型为完整，并保留所述数据类型为完整的网络会话数据，若确定该网络会话数据的各事件中不包含有起始事件和/或关闭事件，则删除该网络会话数据。


3.如权利要求2所述的方法，其特征在于，根据预设的频繁事件序列挖掘算法，从任意一会话数据所包含的各事件组成的事件序列中，确定出各频繁事件序列，具体包括：
将任意一网络会话数据中包含的各事件作为各一项序列模式，并生成包含有各一项序列模式的初始种子集；
将所述初始种子集中的各一项序列模式进行连接运算，获得支持度大于预设支持度阈值的各二项序列模式，其中，所述支持度表征包含有任意一个二项序列模式的所有事件序列在该网络会话数据中所占的比例；
将所述各二项序列模式进行连接运算和修切运算，获得各三项序列模式，并重复执行上述步骤，直至无法产生新的i项序列模式为止，并将支持度大于所述支持度阈值的i项序列模式，作为该网络会话数据的各频繁事件序列模式，其中，i为正整数，且大于等于3。


4.如权利要求3所述的方法，其特征在于，将所述各二项序列模式进行连接运算和修切运算，获得各三项序列模式，具体包括：
将各二项序列模式进行连接运算，获得各候选的三项序列模式；
分别针对所述各候选的三项序列模式，若确定任意一个候选的三项序列模式的其中一个子序列不为二项序列模式，则将该候选的三项序列模式删除，若确定该候选的三项序列模式的各子序列均为二项序列模式，则保留该候选的三项序列模式；
将保留的各候选的三项序列模式，作为各三项序列模式。


5.如权利要求1所述的方法，其特征在于，根据确定出的所述各网络会话数据的各频繁事件序列模式，对所述各网络会话数据进行聚类，获得各类网络会话数据，具体包括：
分别根据各网络会话数据所包含的频繁序列模式，对所述各网络...

【专利技术属性】
技术研发人员：刘文懋，周鸿屹，王焕然，
申请(专利权)人：绿盟科技集团股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11