【技术实现步骤摘要】
一种基于区域特征的溯源方法和装置
本专利技术涉及网络安全
,尤其涉及一种基于区域特征的溯源方法和装置。
技术介绍
高级持续性威胁(AdvancedPersistentThreat,APT),不同于传统的网络入侵,往往采用多个攻击样本对网络信息系统进行组合攻击,由于其危险性高、检测难度大、持续时间长且攻击目标明确,对网络安全造成了严重的威胁,为了恢复网络安全,必须尽快对网络攻击进行溯源,以找到解决办法。目前,大多数恶意攻击样本溯源分析手段主要针对单个样本,并不适用于APT多样本组合攻击,且现有溯源分析方案大多具有一定的局限性,主要基于特征匹配检测。APT中的攻击样本来自多个攻击组织,且不同的攻击行动中特征也有所不同,因此会增加特征匹配关联溯源的难度,同时溯源分析需要进行大量的数据积累,随着APT攻击手段的不断变化,会产生海量的特征数据,这样就会增大分析人员的溯源难度,增加了溯源分析的时间,从而导致溯源效率较低。鉴于此,针对以上不足,需要提供一种基于区域特征的溯源方法和装置来解决上述不足。
技术实现思路
本专利技术要解决的技术问题在于如何提高溯源效率,针对现有技术中的缺陷,提供了一种基于区域特征的溯源方法和装置。为了解决上述技术问题,第一方面,本专利技术提供了一种基于区域特征的溯源方法,该方法包括:检测到攻击触发事件;获取至少一个待溯源的攻击样本;对所述至少一个待溯源的攻击样本进行特征提取,获得每一个待溯源的攻击样本的区域特征信息;确定所述 ...
【技术保护点】
1.一种基于区域特征的溯源方法,其特征在于,包括:/n检测到攻击触发事件;/n获取至少一个待溯源的攻击样本;/n对所述至少一个待溯源的攻击样本进行特征提取,获得每一个待溯源的攻击样本的区域特征信息;/n确定所述区域特征信息与预先创建的区域特征库中包括的每一个区域之间的关联强度;其中,所述区域特征库中存储有区域特征信息以及与该区域特征信息所属区域之间的对应关系;/n根据所述关联强度确定所述至少一个待溯源的攻击样本所属的目标区域。/n
【技术特征摘要】
1.一种基于区域特征的溯源方法,其特征在于,包括:
检测到攻击触发事件;
获取至少一个待溯源的攻击样本;
对所述至少一个待溯源的攻击样本进行特征提取,获得每一个待溯源的攻击样本的区域特征信息;
确定所述区域特征信息与预先创建的区域特征库中包括的每一个区域之间的关联强度;其中,所述区域特征库中存储有区域特征信息以及与该区域特征信息所属区域之间的对应关系;
根据所述关联强度确定所述至少一个待溯源的攻击样本所属的目标区域。
2.根据权利要求1所述的方法,其特征在于,所述每一个待溯源的攻击样本的区域特征信息中包括至少一项区域特征信息;
所述确定所述区域特征信息与预先创建的区域特征库中包括的每一个区域之间的关联强度,包括:
对所获得的所述每一个待溯源的攻击样本的区域特征信息进行关联强度的运算,对应每一个区域的关联强度公式如下所示:
其中,Pj用于表征所述每一个待溯源的攻击样本的区域特征信息与第j个区域之间的关联强度,ki用于表征第i项区域特征信息在第j个区域中对应的权重,Aij用于表征第i项区域特征信息与第j个区域中对应的该项区域特征信息的相似度,n用于表征所述至少一个待溯源的攻击样本所提取出的区域特征信息的总项数。
3.根据权利要求1所述的方法,其特征在于,所述根据所述关联强度确定所述至少一个待溯源的攻击样本所属的目标区域,包括:
确定所述关联强度大于预设关联阈值的至少一个关联强度;其中,所述关联强度中包括对应每一个区域的关联强度;
将所述至少一个关联强度所对应的区域确定为目标区域。
4.根据权利要求1所述的方法,其特征在于,所述预先创建的区域特征库的创建方法包括:
获取区域特征数据,其中,所述区域特征数据包括区域知识数据和历史攻击样本,且所述区域知识数据包括至少两个区域的区域特征信息;
根据文化因素、地理因素对所述区域特征数据进行特征提取,获得至少一项区域特征信息;
根据所述区域特征数据确定每一项区域特征信息所属的区域;
将所述区域特征信息以及与该区域特征信息所属区域进行存储,获得区域特征库。
5.根据权利要求4所述的方法,其特征在于,所述至少一项区域特征信息包括:语言特征信息、时区特征信息、网络协议特征信息、姓名特征信息、邮件特征信息、公司特征信息和文字符号特征信息;
根据文化因素、地理因素对所述区域特征数据进行特征提取,获得至少一项区域特征信息,包...
【专利技术属性】
技术研发人员:薛晨龙,童志明,肖新光,
申请(专利权)人:哈尔滨安天科技集团股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。