本发明专利技术适用于计算机领域,提供了一种网络攻击者的发现和追踪方法,使用WEB指纹匹配算法,将指纹数据与历史攻击者指纹数据进行逐一匹配,得出指纹匹配向量;使用攻击者判定算法,将指纹匹配向量与指纹数据权重向量进行计算,得出匹配分值;判定匹配分值是否大于攻击者阈值,如大于阈值,则判定为旧有攻击者;如小于阈值,则判定为新出现攻击者。引入新的网络安全防守视角,使发现并追踪网络攻击者成为可能,化被动防御为主动防御,在发现和追踪网络攻击者的基础上,就可以建立针对攻击者的情报体系,使网络安全防护的效能在新的视角下得到提高。高。高。
【技术实现步骤摘要】
一种网络攻击者的发现和追踪方法
[0001]本专利技术属于计算机领域,尤其涉及一种网络攻击者的发现和追踪方法。
技术介绍
[0002]行业针对网络攻击的传统防范方式,主要是基于对威胁事件的检测精确程度的不断提升来进行的。当发现了威胁事件,进而触发安全响应过程(不限于告警、拦截、记录日志、反制等方式)。然而这种方式,总是在被动的防御一次次的攻击事件,积累的威胁情报也主要是描述威胁事件(如威胁载体、攻击路径、攻击面等等),而在威胁主体方面(即攻击者的信息),主要的可依据信息只有IP地址。如果仅依靠IP地址信息,是无法有效的掌握攻击者本身的信息的,也就难以追踪攻击者。
[0003]网络攻防的本质是人与人之间的对抗,一味的被动防守,始终无法有效的遏制威胁源头。想要主动的防范网络攻击,甚至是实现预先防范,需要转换视角,不仅是发现攻击事件,而是有效的发现并标记威胁主体:攻击者,并能够依据标记持续的追踪攻击者,当其再次出现时也能够迅速发现,从而实现在其攻击意图达成之前,预先完成防范。
[0004]基于WEB指纹对网络浏览者的标记、识别和追踪,最早是应用在电子商务网站的在线广告精准推送的应用中的。而将其用于对网络攻击者的追踪,则涉及到对网络攻击者,这一特定的网络对象的发现和再识别模型的建立,本专利技术是基于对WEB指纹应用,对网络攻击者实现发现和追踪的目的。
技术实现思路
[0005]本专利技术实施例提供一种网络攻击者的发现和追踪方法,旨在解决上述技术问题。
[0006]本专利技术实施例是这样实现的,一种网络攻击者的发现和追踪方法包括:
[0007]通过蜜罐获取攻击者的原始WEB指纹数据,对数据进行提取,对所提取的指纹数据进行数据预处理;
[0008]使用WEB指纹匹配算法,将指纹数据与历史攻击者指纹数据进行逐一匹配,得出指纹匹配向量;
[0009]使用攻击者判定算法,将指纹匹配向量与指纹数据权重向量进行计算,得出匹配分值;
[0010]判定匹配分值是否大于攻击者阈值,如大于阈值,则判定为旧有攻击者;如小于阈值,则判定为新出现攻击者;
[0011]无论阈值判定结果如何,均会将指纹向量保存入历史攻击者指纹数据集。
[0012]进一步地,所述通过蜜罐获取攻击者的原始WEB指纹数据,对数据进行提取,对所提取的指纹数据进行数据预处理步骤中的指纹提取和数据预处理动作包括:检查指纹数据规范性与完整性,根据预设定的数据格式,提取有效指纹数据,删除无用数据,将数据转换成计算机可读形式;所述指纹数据的类别包括网络指纹、软件指纹和硬件指纹。
[0013]进一步地,所述使用WEB指纹匹配算法,还会将新采集的攻击者指纹数据与所有历
史攻击者指纹数据进行逐一匹配;
[0014]所述WEB指纹匹配算法在执行过程中,会将单一的指纹数据集中的多个指纹数据,所述指纹按类别划分为关键性指纹和非关键性指纹。
[0015]进一步地,所述将指纹数据与历史攻击者指纹数据进行逐一匹配具体包括:对于关键性指纹,是通过相同性匹配方法进行匹配,如果两组指纹的关键性指纹完全相同,则认为匹配成功;反之则匹配失败;对于非关键性指纹,是通过指纹相似度匹配算法进行匹配,如果两组指纹的非关键性指纹的字符串距离小于阈值,则认为匹配成功;反之则匹配失败;所述相似度算法具体为SimHash字符串距离算法或Levenshtein字符串距离算法。
[0016]进一步地,所述非关键性指纹的指纹相似度匹配算法中,非关键性指纹相似度阈值的赋值是基于机器学习方法得到的,基于大量网络攻防实验采集的数据,构造出同一个攻击者的所有指纹集中特定非关键性指纹的距离取值模型,进行训练后调优得到的阈值赋值。
[0017]进一步地,所述指纹匹配向量中,每个向量元素代表了每个指纹数据匹配的结果,取值0或1;0代表匹配不成功,1代表匹配成功。
[0018]进一步地,所述历史攻击者指纹数据集中的每一条数据,代表了已经采集到的攻击者指纹数据,通过与新采集到的攻击者指纹数据的逐一匹配,进而能够判定本次访问对象是已出现的攻击者还是新出现的攻击者,在成功匹配后,从而实现对攻击者的追踪能力。
[0019]进一步地,所述攻击者判定算法,其中的指纹数据权重的赋值,是以机器学习方法为基础,由大量网络攻防实验采集到的指纹数据和攻击者的关系,构造出所有指纹数据对指纹和攻击者对应关系的贡献度模型,再通过数据训练得出的调优权重取值。
[0020]进一步地,所述指纹匹配向量与指纹数据权重向量进行的计算,包括向量点乘计算,以及向量元素求和,最终得到匹配分值。
[0021]进一步地,所述攻击者阈值,是以机器学习方法为基础,由大量网络攻防实验采集到的实际攻击者指纹归属情况的数据,构造攻击者判定算法得出的分值与攻击者的对应取值范围的模型,进行数据训练后得出的相对客观的阈值。
[0022]本专利技术的有益效果:引入新的网络安全防守视角,使发现并追踪网络攻击者成为可能,化被动防御为主动防御,在发现和追踪网络攻击者的基础上,就可以建立针对攻击者的情报体系,使网络安全防护的效能在新的视角下得到提高;建立了自动化的发现并追踪攻击者的方法,有效的节省了网络安全防守方的人力资源,大大提高了安全运维工作效率,降低了防守方对攻击者的溯源分析的人工成本和时间成本。
附图说明
[0023]图1是一种网络攻击者的发现和追踪方法的技术方案流程图;
[0024]图2是一种网络攻击者的发现和追踪方法中的指纹数据预处理流程图;
[0025]图3是一种网络攻击者的发现和追踪方法中的WEB指纹匹配算法流程图;
[0026]图4是一种网络攻击者的发现和追踪方法中的判定攻击者算法流程图;
[0027]图5是一种网络攻击者的发现和追踪方法的实验结果统计图。
具体实施方式
[0028]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。
[0029]图1示出了本专利技术实施例的一种网络攻击者的发现和追踪方法的技术方案流程图,所述方法包括:
[0030]步骤100:获取攻击者指纹数据集,通过部署WEB蜜罐,引诱攻击者访问虚假的业务系统,在其访问过程中,利用JavaScript脚本收集其指纹数据;
[0031]步骤200:将攻击者指纹数据集的原始数据进行有效的指纹提取,包括网络指纹、软件指纹以及硬件指纹,随后经过数据预处理,包括数据规范化、填充空白数据、数据去重、将数据格式转换为计算机可读数据等;
[0032]步骤300:WEB指纹匹配算法,将经过数据处理后的攻击者指纹属性分为关键性指纹和非关键性指纹两类,分别采用相同性匹配和相似度模型匹配方法,与历史攻击者指纹数据集进行逐一匹配,每一次匹配均会得到一个指纹匹配向量。
[0033]步骤400:攻击者判定算法,将指纹匹配向量与指纹属本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击者的发现和追踪方法,其特征在于,所述方法包括:通过蜜罐获取攻击者的原始WEB指纹数据,对数据进行提取,对所提取的指纹数据进行数据预处理;使用WEB指纹匹配算法,将指纹数据与历史攻击者指纹数据进行逐一匹配,得出指纹匹配向量;使用攻击者判定算法,将指纹匹配向量与指纹数据权重向量进行计算,得出匹配分值;判定匹配分值是否大于攻击者阈值,如大于阈值,则判定为旧有攻击者;如小于阈值,则判定为新出现攻击者;无论阈值判定结果如何,均会将指纹向量保存入历史攻击者指纹数据集。2.如权利要求1所述的网络攻击者的发现和追踪方法,其特征在于,所述通过蜜罐获取攻击者的原始WEB指纹数据,对数据进行提取,对所提取的指纹数据进行数据预处理步骤中的指纹提取和数据预处理动作包括:检查指纹数据规范性与完整性,根据预设定的数据格式,提取有效指纹数据,删除无用数据,将数据转换成计算机可读形式;所述指纹数据的类别包括网络指纹、软件指纹和硬件指纹。3.如权利要求1所述的网络攻击者的发现和追踪方法,其特征在于,所述使用WEB指纹匹配算法,还会将新采集的攻击者指纹数据与所有历史攻击者指纹数据进行逐一匹配;所述WEB指纹匹配算法在执行过程中,会将单一的指纹数据集中的多个指纹数据,所述指纹按类别划分为关键性指纹和非关键性指纹。4.如权利要求3所述的网络攻击者的发现和追踪方法,其特征在于,所述将指纹数据与历史攻击者指纹数据进行逐一匹配具体包括:对于关键性指纹,是通过相同性匹配方法进行匹配,如果两组指纹的关键性指纹完全相同,则认为匹配成功;反之则匹配失败;对于非关键性指纹,是通过指纹相似度匹配算法进行匹配,如果两组指纹的非关键性指纹的字符串距离小于阈值,则认为匹配成功;反之则匹配失败;所述相似度算法具体为SimHash字符串距离算法或...
【专利技术属性】
技术研发人员:全威,谢景扬,
申请(专利权)人:北京影安电子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。