本发明专利技术是有关于一种基于核心攻击资源的网络攻击团伙融合方法,其基于核心攻击资源的相似程度来进行关联,基于安全知识定义关联分组以及计算基于关联分组的团伙间的相似度。针对N类拥有不同行为的团伙进行融合,本发明专利技术采用的是递进式的融合方式,先对两类网络攻击团伙进行融合,两类网络攻击团伙融合工作完成后,其融合结果将作为一类新的团伙,继续与其他尚未进行融合的类别进行融合操作,直至所有类别的团伙融合完毕。本发明专利技术有效的解决常规数据挖掘方法团伙发现不全面的问题,使其能挖掘出团伙所拥有的更多攻击资源和攻击行为,提高了网络攻击团伙发现的完整性和准确性。了网络攻击团伙发现的完整性和准确性。了网络攻击团伙发现的完整性和准确性。
【技术实现步骤摘要】
基于核心攻击资源的网络攻击团伙融合方法
[0001]本专利技术涉及一种网络安全
,特别是涉及一种基于核心攻击资源的网络攻击团伙融合方法。
技术介绍
[0002]当前,通过常规数据挖掘方法发现的网络攻击团伙通常会包含一种或多种攻击行为。例如针对僵尸网络团伙进行检测或挖掘时,通常会基于已有的通信数据利用k
‑
means、社区发现等常规的数据挖掘的聚类方法来找到具有僵尸网络行为的团伙。例如李晓桢等人总结了僵尸网络的三要素(恶意、可控、主机群)和C&C的三种机制(集中式、P2P、随机)。首先检测网络流量中的通信过程和恶意行为,采用一种改进的k
‑
均值聚类算法—x
‑
均值算法对检测结果进行聚类得出僵尸主机。同样地,对于一个webshell团伙,也是会基于攻击者使用的攻击工具或者攻击动作等来找到攻击者之间的关联关系,从而通过聚类方法来挖掘webshell团伙。
[0003]而在真实的网络世界中,网络攻击行为常常以规模且分布式的呈现,这种呈现是因为攻击者通常是以团伙的方式来进行网络攻击。网络团伙攻击通常会基于一定的攻击手法,利用团伙所拥有的大规模攻击资源对攻击目标发起攻击,其中往往带有一定获取情报以及利益等目标,具有极高的威胁。当前绝大多数基于上述数据挖掘方法挖掘到的网络攻击团伙通常会包含一种或多种攻击行为。但这些攻击行为是否为该团伙的全部攻击行为,或通过其他方法发现的具有不同攻击行为的网络攻击团伙与该团伙是否存在某种关系,均无法直接得到证实。r/>[0004]有鉴于上述现有的技术存在的缺陷,本专利技术人经过不断的研究、设计,并经反复试作及改进后,终于创设出确具实用价值的本专利技术。
技术实现思路
[0005]本专利技术的主要目的在于,克服现有的技术存在的缺陷,而提供一种新的基于核心攻击资源的网络攻击团伙融合方法,所要解决的是基于常规数据挖掘方法团伙发现不够全面的技术问题,使其通过团伙间的融合可以有效的挖掘出团伙所拥有的更多攻击资源和攻击行为,非常适于实用。
[0006]本专利技术的另一目的在于,提供一种新的基于核心攻击资源的网络攻击团伙融合方法,所要解决的技术问题是使其发掘出团伙更多的攻击资源和攻击行为,提高团伙发现的完整性和准确性,从而更加适于实用。
[0007]本专利技术的构思是:不同类型的网络攻击团伙之间可能因为拥有相同的攻击资源而具有一定的关联性,基于这种关联性可以使得团伙之间进行融合。通过团伙间的融合可以有效的解决常规数据挖掘方法团伙发现不够全面的问题,并挖掘出团伙所拥有的更多攻击资源和攻击行为。例如,一个僵尸网络(Botnet)团伙和一个利用webshell操控网站的网站攻击团伙,分别拥有木马控制行为和利用webshell的网站攻击行为。两个团伙可能会因为
拥有同样的攻击资源而具有一定的关联性。基于两团伙的这种关联性对团伙进行融合,若融合成功,则可以证明两个具有不同攻击行为的团伙本质上是一个团伙,从而发掘出团伙更多的攻击资源和攻击行为,提高团伙发现的完整性和准确性。
[0008]本专利技术的目的及解决其技术问题是采用以下技术方案来实现的。依据本专利技术提出的一种基于核心攻击资源的网络攻击团伙融合方法,其具体步骤如下:
[0009]步骤1:获取所有团伙的核心攻击资源的相关数据,并将其作为参与关联的实体:
[0010]步骤2:对不同类型的网络攻击团伙进行编号,并对每类网络攻击团伙的核心攻击资源进行分组关联;
[0011]步骤3:分析步骤2中的多种关联分组,判断团伙之间是否关联成功;
[0012]步骤4:团伙关联成功后,统计关联实体对应的团伙资源的集合,评估基础团伙间的关联程度;
[0013]步骤5:基于步骤3和步骤4的计算结果,利用相似度算法计算团伙两两间的相似度;
[0014]步骤6:通过加权融合得到最终相似度,并基于设定阈值筛选出团伙对进行融合,得到融合结果。
[0015]进一步,所述的核心攻击资源是基于安全知识,预先定义不同类别团伙能进行关联的核心资源。
[0016]进一步,所述的统计其关联实体对应的团伙资源的集合是针对每一组关联分组中关联实体对应的团伙资源集合,是从对应的团伙的数据中得到的所有该关联实体组成的集合。
[0017]进一步,步骤5中所述的相似度算法使用Jaccard相似度原理对两团伙间的相似度进行计算,具体计算公式如下:
[0018][0019]其中:A为团伙1的关联实体集合,
[0020]B为团伙2的关联实体集合。
[0021]进一步,所述的阀值是基于实际的团伙数据和安全知识来确定阈值。
[0022]进一步,还包括:当前两类网络攻击团伙的融合工作完成后,其融合结果将作为一类新的团伙,继续与其他尚未进行融合的类别进行融合操作,直至所有类别的团伙融合完毕。本专利技术与现有技术相比具有明显的优点和有益效果。借由上述技术方案,其至少具有下列优点:
[0023]本专利技术提出的基于核心攻击资源的网络攻击团伙融合方法,能够对不同攻击行为及看似相对独立的团伙,基于核心攻击资源的关联性进行融合,可以有效的解决常规数据挖掘方法团伙发现不够全面的问题,并挖掘出团伙所拥有的更多攻击资源和攻击行为,以降低团伙攻击资源的发现成本,提高网络攻击团伙发现的完整性和准确性。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
[0024]图1是本专利技术流程框架示意图。
[0025]图2A是本专利技术实施例两类团伙核心攻击资源之间基于不同分组的关联分组1图。
[0026]图2B是本专利技术实施例两类团伙核心攻击资源之间基于不同分组的关联分组2图。
[0027]图2C是本专利技术实施例两类团伙核心攻击资源之间基于不同分组的关联分组3图。
[0028]图2D是本专利技术实施例两类团伙核心攻击资源之间基于不同分组的关联分组4图。
[0029]图3A是本专利技术实施例两团伙融合前为两个独立团伙示意图。
[0030]图3B是本专利技术实施例两团伙融合后为一个完整团伙示意图。
[0031]图4是本专利技术多类团伙融合过程图。
具体实施方式
[0032]为更进一步阐述本专利技术为达成预定专利技术目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本专利技术提出的基于核心攻击资源的网络攻击团伙融合方法,其具体实施方式、方法、步骤、特征及其功效,详细说明如后。
[0033]本专利技术提出的基于核心攻击资源的网络攻击团伙融合方法的较佳实施例,具体步骤如下:
[0034]步骤1:获取所有团伙的核心攻击资源的相关数据,并将其作为参与关联的实体;通常情况下,一个网络攻击团伙涉及多个网络实体,这些实体包括团伙掌握的网络攻击资源及其指定的网络攻击目标。其中,由网络本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于核心攻击资源的网络攻击团伙融合方法,其特征在于:其具体步骤如下:步骤1:获取所有团伙的核心攻击资源的相关数据,并将其作为参与关联的实体;步骤2:对不同类型的网络攻击团伙进行编号,并对每类网络攻击团伙的核心攻击资源进行分组关联;步骤3:分析步骤2中的多种关联分组,判断团伙之间是否关联成功;步骤4:团伙关联成功后,统计关联实体对应的团伙资源的集合,评估基础团伙间的关联程度;步骤5:基于步骤3和步骤4的计算结果,利用相似度算法计算团伙两两间的相似度;步骤6:通过加权融合得到最终相似度,并基于设定阈值筛选出团伙对进行融合,得到融合结果。2.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法,其特征在于:所述的核心攻击资源是基于安全知识,预先定义不同类别团伙能进行关联的核心资源。3.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法,其特征在于:所述...
【专利技术属性】
技术研发人员:朱天,温森浩,姚力,赵陈菲,张喆,吴铁军,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。