一种面向海量网络攻击的快速研判方法技术

本发明专利技术是有关于一种面向海量网络攻击数据的研判方法、系统及介质，涉及网络安全技术、人工智能、大数据领域，其中方法包括：对海量网络攻击数据进行自动化特征抽取，根据属性特征利用算法筛选出最有价值的攻击数据交予人工研判，通过人工研判结果对数据进行标注，利用标注后的数据与剩余网络攻击数据进行相似性计算，对相似的网络攻击数据进行自动标注。不相似的数据再次进行筛选，直至全部标注完毕。此方法，通过研判人员能力的约束结合算法的泛化能力，使得有价值的网络攻击可以优先被研判，相似的事件自动被研判。在实际生产中能够在保证研判效果的同时也降低需要人工研判的网络攻击数量，整体提升研判效率。整体提升研判效率。整体提升研判效率。

【技术实现步骤摘要】
一种面向海量网络攻击的快速研判方法


[0001]本专利技术涉及一种网络安全领域的网络攻击的研判方法，特别是涉及一种面向海量网络攻击的快速研判方法。

技术介绍

[0002]目前针对网络的各种攻击行为、攻击手段呈几何形式增长。针对网络攻击，也出现了自主研发的多款网络安全产品。在实际生产中，多款的安全设备每天产生着大量的告警事件，大量的告警事件往往需要花费大量的人力物力进行分析研判。当前现有常见的技术方案是：
[0003]其一是首先模拟网络攻击构建知识图谱，生成通用的规则库。当有新的网络攻击出现时则在时间窗口内统计由目的IP产生相同威胁要素的次数以及目的IP产生的不同威胁要素与设定的威胁要素组合中匹配能成功的个数，然后与设定的阈值进行比较，大于等于阈值的情况则与安全知识图谱进行匹配，小于阈值的情况则将威胁要素缓存，与下一时间窗口内的威胁要素一起进行计算。最后依据节点IP在场景知识图谱中寻找对应的实例的属性，根据属性值判断是否具备被攻击的条件，如果具备被攻击的条件，则认为是有效的单步攻击，反之认为是无效攻击，将其过滤。该技术方案对各类专家知识库本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向海量网络攻击的快速研判方法，其特征在于：其包括以下步骤：步骤1：通过孤立森林算法获取告警事件中最有价值的样本交于人工研判；步骤2：通过人工研判，对筛选出的数据进行标注；步骤3：对已经人工研判后的样本进聚类，自动进行研判；步骤4：将剩余数据重复1～3步，直至满足设置条件停止迭代。2.根据权利要求1所述的一种面向海量网络攻击的快速研判方法，其特征在于：所述的步骤1包括以下步骤：步骤1.1：特征提取，将文本进行切割，拼接生成词向量；步骤1.2：数据预处理，展示部分原始数据；步骤1.3样本筛选。3.根据权利要求1
‑
2中任意一项所述的一种面向海量网络攻击的快速研判方法，其特征在于：所述的告警事件包含着丰富的信息，攻击内容包含在请求url或者payload中；所述的原始数据包括多种属性，其中一部分直接用来作为入侵检测的分析项，或从数据中挖掘出一些隐藏的网络连接信息直接用来作为入侵检测的分析项，或从数据中挖掘出隐藏的网络连接信息的分析项。4.根据权利要求3所述的一种面向海量网络攻击的快速研判方法，其特征在于：作为分析项的所述的属性包括：常规特征属性：源端口号、目的端口号、开始时间、URL触发警报类型、数据传输方式、POST数据内容、响应码、响应长度、响应内容、重定向；以及，特征属性：最近100个连接中与当前连接的源IP一样的个数，最近100个连接中与当前连接的目的IP相同的个数，最近100个连接中与当前连接的源IP相同且目的端口相同的个数，最近100个连接当中与当前连接的目的IP相同且源端口相同的个数，最近100个连接当中与当前连接的源IP、源端口、目的IP、目的端口相同的个数等5个连接特征。5.根据权利要求4所述的一种面向海量网络攻击的快速研判方法，其特征在于：所述的常规特征的对应值处理方法如下：“源端口号”等于原始数据data中“源端口号”的值，并将数据格式从原始的string类型转化为int类型；“目的端口号”等于原始数据data中“目的端口号”的值，并将数据格式从原始的string类型转化为int类型；“开始时间”忽略了原始数据data中“开始时间”取值中年、月、日对时间属性的影响，截取了其中的时、分、秒作为参考，将“开始时间”记录为时分秒对应的秒数；“数据传输方式”对应为原始数据data中“数据传输方式”的类型，将原始数据中“数据传输方式”为“GET”的记录为0，为“POST”的记录为1；“POST数据内容”对应为原始数据data中“POPST数据内容”的类型，将原始数据中“POST数据内容”为“空值”的记录为0，不为“空值”的记录为1；“响应码”对原始数据data中“响应码”属性项为“空值”的情况进行了考虑，将原始数据中“响应码”为“空值”的记录为0，不为“空值”的记录为原始值，并将数据格式从string转化为int类型；“响应长度”等于原始数据data中“响应长度”的值，并将数据格式从string转化为int
类型；“响应内容”对应为原始数据data中“响应内容”的类型，将原始数据中“响应内容”为“空值”的记录为0，不为“空值”的记录为1；“重定向”对应为原始数据data中“重定向”的类型，将原始数据中“重定向”为“空值”的记录为0，不为“空值”的记录为1；“url长度”等于原始数据data中“url长度”的值，并将数据格式从string转化为int类型。6.根据权利要求4所述的一种面向海量网络攻击的快速研判方法，其特征在于：所述的特征属性的对应值处理方法如下：对于告警事件数据集中的5个连接特征属性项，在进行获取时通过一个存储最近100条连接数据的四维数组history来完成，数组history的长度固定为100，数组中存储了最近100条连接数据中“源IP”、“源端口号”、“目的IP”、“目的端口号”的值，每次通过替换掉当前数据中最早存入history的数据来保证数组中数据的特性。“最近100个连接中与当前连接的源IP相同的个数，过对数组history进行遍历得到，记录为其中与当前网络连接数据源IP相同的连接个数；“最近100个连接当中与当前连接的目的IP相同的个数”通过对数组history进行遍历得到，记录为其中与当前网络连接数据“目的IP”相同的连接个数；“最近100个连接中与当前连接的源IP相同且目的端口相同的个数”通过对数组history进行遍历得到，记录为其中与当前网络连接数据“源IP”相同且“目的端口号”相同的连接个数；“最近100个连接中与当前连接的目的IP相...

【专利技术属性】
技术研发人员：吕志泉，王宏宇，贺铮，韩志辉，严寒冰，周昊，刘玲，严定宇，高川，秦佳伟，石桂欣，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：