CN113271321B - 一种基于网络异常攻击的传播预测处理方法及*** - Google Patents
一种基于网络异常攻击的传播预测处理方法及*** Download PDFInfo
- Publication number
- CN113271321B CN113271321B CN202110817754.6A CN202110817754A CN113271321B CN 113271321 B CN113271321 B CN 113271321B CN 202110817754 A CN202110817754 A CN 202110817754A CN 113271321 B CN113271321 B CN 113271321B
- Authority
- CN
- China
- Prior art keywords
- attack
- convolution
- obtaining
- characteristic
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于网络异常攻击的传播预测处理方法及***,通过根据历史攻击数据,获得网络攻击来源;根据网络攻击来源,获得卷积特征集合;利用卷积特征集合构建特征图谱;通过对特征图谱进行恶意分析后,获得分析结果;将分析结果、网络攻击来源输入传播预测模型,获得预测结果集;对预测结果集进行关联度分析,获得关联度评价值;当关联度评价值达到第一预定阈值,发送第一预警信息。解决了现有技术缺乏网络异常攻击传播的有效预测,存在网络风险漏洞而影响网络安全的技术问题。达到了通过网络异常攻击的数据分析,提取卷积特征以构建特征图谱,对特征图谱进行恶意分析后对分析结果进行攻击状态预测,排查网络风险的技术效果。
Description
技术领域
本发明涉及数据分析技术领域,尤其涉及一种基于网络异常攻击的传播预测处理方法及***。
背景技术
随着网络中高等级威胁的不断涌现,网络安全问题的紧迫性与重要性就更加突显出来了。目前,对网络未知威胁的主动防范成为了各科研机构的研究热点。网络黑客正在不断变换手法向电脑用户发动恶意攻击,由于这些方法更具隐蔽性,所以防范难度越来越大。计算机网络安全所面临的威胁主要可分为两大类:一是对网络中信息的威胁,二是对网络中设备的威胁。从人的因素 考虑,影响网络安全的因素包括:一人为的无意失误。二人为的恶意攻击。一种是主动攻击,另一种是被动攻击。三网络软件的漏洞和“后门”。
现有技术缺乏网络异常攻击传播的有效预测,存在网络风险漏洞而影响网络安全的技术问题。
发明内容
本发明的旨在至少解决上述技术缺陷之一,通过提供一种基于网络异常攻击的传播预测处理方法及***,用以解决现有技术缺乏网络异常攻击传播的有效预测,存在网络风险漏洞而影响网络安全的技术问题。
为此,本发明第一个目的在于提出一种基于网络异常攻击的传播预测处理方法,所述方法包括:获得历史攻击数据;根据所述历史攻击数据,获得网络攻击来源;根据所述网络攻击来源,获得卷积特征集合;利用所述卷积特征集合,构建特征图谱;通过对所述特征图谱进行恶意分析后,获得分析结果;将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;对所述预测结果集进行关联度分析,获得关联度评价值;当所述关联度评价值达到第一预定阈值时,发送第一预警信息。
本发明第二个目的在于提供一种基于网络异常攻击的传播预测处理***,所述***包括:
第一获得单元,所述第一获得单元用于获得历史攻击数据;
第二获得单元,所述第二获得单元用于根据所述历史攻击数据,获得网络攻击来源;
第三获得单元,所述第三获得单元用于根据所述网络攻击来源,获得卷积特征集合;
第一构建单元,所述第一构建单元用于利用所述卷积特征集合,构建特征图谱;
第四获得单元,所述第四获得单元用于通过对所述特征图谱进行恶意分析后,获得分析结果;
第五获得单元,所述第五获得单元用于将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;
第六获得单元,所述第六获得单元用于对所述预测结果集进行关联度分析,获得关联度评价值;
第一发送单元,所述第一发送单元用于当所述关联度评价值达到第一预定阈值时,发送第一预警信息。
本发明第三个目的在于提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本发明实施例提供的一种基于网络异常攻击的传播预测处理方法及***,通过获得历史攻击数据;根据所述历史攻击数据,获得网络攻击来源;根据所述网络攻击来源,获得卷积特征集合;利用所述卷积特征集合,构建特征图谱;通过对所述特征图谱进行恶意分析后,获得分析结果;将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;对所述预测结果集进行关联度分析,获得关联度评价值;当所述关联度评价值达到第一预定阈值时,发送第一预警信息。达到了通过网络异常攻击的数据分析,提取卷积特征以构建出特征关联结构即特征图谱,通过对特征图谱进行恶意分析后对分析结果采用传播算法异常攻击状态预测,排查网络风险,降低安全隐患的技术效果。从而解决了现有技术缺乏网络异常攻击传播的有效预测,存在网络风险漏洞而影响网络安全的技术问题。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
图1为本申请实施例一种基于网络异常攻击的传播预测处理方法的流程示意图;
图2为本申请实施例中另一种基于网络异常攻击的传播预测处理方法的流程示意图;
图3为本申请实施例中另一种基于网络异常攻击的传播预测处理方法的流程示意图;
图4为本申请实施例中另一种基于网络异常攻击的传播预测处理方法的流程示意图;
图5为本申请实施例一种基于网络异常攻击的传播预测处理***的结构示意图;
图6为本申请实施例示例性电子设备的结构示意图。
附图标记说明:第一获得单元11,第二获得单元12,第三获得单元13,第一构建单元14,第四获得单元15,第五获得单元16,第六获得单元17,第一发送单元18,总线300,接收器301,处理器302,发送器303,存储器304,总线接口305。
具体实施方式
下面详细描述本发明的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接 ;可以是机械连接,也可以是电连接 ;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明, “多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
下面参考附图描述根据本发明实施例的一种基于网络异常攻击的传播预测处理方法。
本申请的技术方案为:获得历史攻击数据;根据所述历史攻击数据,获得网络攻击来源;根据所述网络攻击来源,获得卷积特征集合;利用所述卷积特征集合,构建特征图谱;通过对所述特征图谱进行恶意分析后,获得分析结果;将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;对所述预测结果集进行关联度分析,获得关联度评价值;当所述关联度评价值达到第一预定阈值时,发送第一预警信息。解决了现有技术缺乏网络异常攻击传播的有效预测,存在网络风险漏洞而影响网络安全的技术问题。
实施例一
如图1所示,本申请实施例提供了一种基于网络异常攻击的传播预测处理方法,所述方法包括:
步骤S100获得历史攻击数据;
具体而言,根据网络中主机的攻击记录和历史网络数据,得到对应的历史攻击数据,可以为某企业网络内的各主机的数据总和,也可以就单个主机的攻击记录进行分析,确定对应的历史攻击数据。
步骤S200根据所述历史攻击数据,获得网络攻击来源;
具体而言,网络攻击来源是按照攻击内容进行确定的,如通过网络端口、邮件、软件下载、网络连接、伪基站、口令等等,不同的网络攻击来源呈现的方式和攻击内容、范围存在不同,由于网络攻击通常以一个攻击为切入口而扩大攻击范围,对相关的其他主机或者其他程序进行攻击,若进行攻击范围的扩大,其应具有来源相似度和可连接的特性,因而按照网络攻击来源进行归类和分析,能够控制攻击传播的范围和影响力。
步骤S300根据所述网络攻击来源,获得卷积特征集合;
进一步的,请参考图2,所述根据所述网络攻击来源,获得卷积特征集合,包括:根据所述网络攻击来源,获得攻击位置信息、攻击代码信息;根据所述攻击位置信息,获得位置攻击方式、代码节点信息;根据所述攻击代码信息,获得代码卷积特征;根据所述位置攻击方式,获得路径端口卷积特征;根据所述代码节点信息,获得代码节点特征;基于所述代码卷积特征、路径端口卷积特征、代码节点特征,获得所述卷积特征集合。
具体而言,不同的网络攻击来源存在不同的攻击效果和攻击手段,网络攻击常以病毒进行网络程序的入侵,计算机程序中***的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,利用网络传播和相关联性进行繁殖,导致了整个服务器的崩溃和堵塞,能通过某种途径潜伏在计算机的存储介质或程序里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,按照网络攻击来源不同进行攻击的位置、范围、影响力不同,会对正常运行的程序代码进行篡改和***,而造成网络的崩溃,按照网络攻击的特征对历史攻击来源的数据进行分类分析,攻击位置信息为攻击的对象,如聊天工具、邮件等,攻击进行传播和入侵会存在攻击路径,按照攻击的位置对相应的程序进行篡改或者***,因而在对应的攻击位置会存在对应的代码攻击内容和***、篡改的位置,位置攻击方式即通过哪个软件或者对网络的哪个组成进行了攻击,代码节点特征即***的代码内容和位置特征,如间断进行***、整段进行***、对源代码进行篡改等,同时可以按照攻击代码的位置节点特征进行攻击路径的分析,掌握攻击的发展传播特征,按照历史攻击数据的分析结果将攻击数据的各参数表达进行卷积特征的提取,构建各数据的卷积特征集合。
步骤S400利用所述卷积特征集合,构建特征图谱;
进一步的,所述利用所述卷积特征集合,构建特征图谱,包括:根据所述卷积特征集合,获得卷积特征关联性;利用所述卷积特征关联性,将其中卷积特征进行链接;基于所述卷积特征集合中的所有卷积特征关联性,构建所述特征图谱。
具体而言,卷积特征集合之间存在着相互关联、附属和影响的关系,按照卷积特征集合中的所有卷积特征之间的关联性构建特征图谱。图谱是通过将应用数学、图形学、信息可视化技术、信息科学等学科的理论与方法与计量学引文分析、共现分析等方法结合,并利用可视化的图谱形象地展示学科的核心结构、发展历史、前沿领域以及整体知识架构达到多学科融合目的的现代理论,显示卷积特征之间关系的一系列各种不同的图形,用可视化技术描述知识资源及其载体,挖掘、分析、构建、绘制和显示特征及它们之间的相互联系关系。
步骤S500通过对所述特征图谱进行恶意分析后,获得分析结果;
进一步的,请参考图3,所述通过对所述特征图谱进行恶意分析后,获得分析结果,包括:根据所述历史攻击数据、所述卷积特征集合,获得攻击历史数值,所述攻击历史数值包括攻击范围、攻击时长、攻击后果;根据所述攻击历史数值,获得计算权重;根据所述攻击历史数值、所述计算权重,获得卷积特征攻击值;根据所述卷积特征、所述特征图谱,获得卷积特征关联关系;根据所述卷积特征关联关系、所述计算权重、所述卷积特征攻击值,计算获得所述分析结果。
具体而言,根据各卷积特征对应的历史数据进行攻击风险的分析,如代码存在哪个卷积特征的会造成多大范围、多长时间、传播速度、恢复和消灭的时长等,按照该网络对应的历史数据对各卷积特征进行对应的分析评估,得到对应的恶意攻击程度,为了便于分析和后续研究,可以进行量化,如使用归一法进行简化和量化,计算权重可以按照各特征的攻击风险度进行比重划分,也可以进行平均划分,如有三个卷积特征,则每个卷积特征权重为三分之一,各卷积特征存在关联性,如一个卷积特征与其他特征进行组合会产生不同的攻击风险程度,如存在某一代码病毒时,存在攻击性强,按照其攻击来源的方式和程度,若端口又A转为B则对网络的攻击风险更大,有些卷积特征之间具有关联性,有些卷积特征之间不存在关联性,如有些代码只能通过邮件传播,则该代码关联的卷积特征只有邮件端口,根据卷积特征关联的卷积特征数量和影响力,计算出每个卷积特征的分析结果,各卷积特征的分析结果与他自身的卷积特征攻击值有关系,也和其相关联的其他卷积特征的攻击值有关系,若一个卷积特征的自身攻击值高,且他的关联范围广,存在多个关联的卷积特征,这样他各卷积攻击值进行叠加,则对应的分析结果值就高,则表明该卷积特征的攻击风险程度高,需要注意。
步骤S600将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;
进一步的,将所述分析结果中各卷积特征的分析结果和网络攻击来源作为输入数据,输入所述传播预测模型,所述传播预测模型为通过多组训练数据对神经网络模型进行训练收敛获得;获得所述传播预测模型的输出结果,所述输出结果包括所述预测结果集。
具体而言,按照分析结果中各卷积特征的分析结果对网络攻击来源进行攻击传播状态的预测,预测结果集为各攻击来源的攻击状态,和风险程度,预测结果是对攻击来源攻击表现结果的描述,如攻击哪个位置,攻击范围和攻击力度有多大,按照分析结果可以确定其中的关联特征和攻击扩展范围。为了提高预测结果的准确性,本申请实施例采用神经网络模型进行数据分析处理,计算攻击传播状态结果。神经网络(Neural Networks,NN)是由大量的、简单的处理单元(称为神经元)广泛地互相连接而形成的复杂网络***,它反映了人脑功能的许多基本特征,是一个高度复杂的非线性动力学习***。神经网络具有大规模并行、分布式存储和处理、自组织、自适应和自学能力,特别适合处理需要同时考虑许多因素和条件的、不精确和模糊的信息处理问题。神经网络的发展与神经科学、数理科学、认知科学、计算机科学、人工智能、信息科学、控制论、机器人学、微电子学、心理学、光计算、分子生物学等有关,是一门新兴的边缘交叉学科。
步骤S700对所述预测结果集进行关联度分析,获得关联度评价值;
步骤S800当所述关联度评价值达到第一预定阈值时,发送第一预警信息。
具体而言,按照预测结果集中的各预测结果的攻击状态进行相关性分析,即攻击位置、攻击方式、传播的范围等,若存在关系或者相似性则具有关联性,按照关联的程度进行计算得到对应的关联度,关联度是对预测结果中的相关联关系的量化分析,方便进行分析和统计,若关联度强,则表明对应位置的安全系数过低,需要进行安全预警,对应的防攻击措施需要加强,如预测结果中均通过端口进行攻击,则说明端口的安全系数低,若预测的攻击位置存在相同的路径,则表明该路径的安全系数低,由于异常攻击的传播特征即通过一个切入口进行繁殖传播,则关联性越强其传播力度就越大,因而通过关联度评价值进行对应的分析能够有效排查网络风险,对网络安全系数低的位置进行加强,从而提高了网络的安全性。第一预定阈值的大小与网络的安全级别要求有关系,通常设定值较低,以确保网络的正常运行。综上本申请实施例达到了通过网络异常攻击的数据分析,提取卷积特征以构建出特征关联结构即特征图谱,通过对特征图谱进行恶意分析后对分析结果采用传播算法异常攻击状态预测,排查网络风险,降低安全隐患的技术效果。从而解决了现有技术缺乏网络异常攻击传播的有效预测,存在网络风险漏洞而影响网络安全的技术问题。
进一步的,所述方法还包括:对所述分析结果进行离散分析,获得离散结果;根据所述离散结果,获得分级规则;按照所述分级规则对所述卷积特征集合中的卷积特征进行分级,并构建分级特征图谱。
具体而言,在构建特征图谱时,为了提高分析结果的可靠性,可以对特征图谱中的卷积特征进行分级,按照历史攻击数据的分析,计算出的分析结果进行分级,按照分析结果中的数值大小进行各等级的分级规则设定,具体等级按照分析结果中的卷积特征数量和关系确定,通常分为三级,即高、中、低三级,低级的与中级的进行连接、中级的与高级的进行连接,提高图谱的分析效果,使得卷积特征之间的关系、路径更加清晰明了,能够清晰的对各卷积特征的攻击风险进行评定,有利于进行风险控制和传播预测。在进行分析规则的设定中,按照分析结果的离散度来确定,若离散度小,即数据较为集中,则分级数量少,按照离散度集合分析数据数值确定分级的规则,以符合对应的分析结果,使得构建的分级特征图谱能够清晰对卷积特征集合中的卷积特征进行分级,实现卷积特征之间对应关系的准确建立。离散度分析法是测度一组数据分散程度的方法。分散程度反映了一组数据远离其中心值的程度,因此也称为离中趋势。从集中趋势和分散程度两个方面才能完整的说明一组数据的变动趋势。
进一步的,所述方法包括:根据所述分级特征图谱,获得特征关联路径;根据所述特征关联路径,获得第一卷积特征、第二卷积特征、第三卷积特征、直到第N卷积特征,其中,N为正整数,所述第一卷积特征与所述第二卷积特征具有第一路径信息,所述第二卷积特征与所述第三卷积特征具有第二路径信息,直到第N-1卷积特征与所述第N卷积特征具有第N-1路径信息;根据所述第一卷积特征、所述第一路径信息,获得第一验证码,所述第一验证码与所述第一卷积特征、所述第一路径信息一一对应;根据所述第二卷积特征、所述第二路径信息和第一验证码,生成第二验证码,以此类推,根据所述第二N-1卷积特征、第N-1路径信息和第N-2验证码,生成第N-1验证码;根据所述第二N卷积特征、所述第N-1路径和所述第N-1验证码,生成第N验证码;将所有卷积特征和验证码复制存储在M台电子设备上,其中,M为正整数。
具体而言,请参考图4,为了保证网络安全的可靠性,维护分析数据的准确性,本申请实施例采用区块链按照图谱中各卷积特征的关系路径进行区块链存储,将卷积特征和关系路径进行关联存储,只有通过卷积特征和关系路径对应的验证码才能进行对应的数据解析。区块链技术也被称之为分布式账本技术,是一种由若干台计算设备共同参与“记账”,共同维护一份完整的分布式数据库的新兴技术。由于区块链技术具有去中心化、公开透明、每台计算设备可以参与数据库记录、并且各计算设备之间可以快速的进行数据同步的特性,使得区块链技术已在众多的领域中广泛的进行应用,当需要调用所述卷积特征、关系路径时,每后一个节点接收前一节点存储的数据后,通过“共识机制”进行校验后保存,通过哈希函数对于每一存储单元进行串接,使得图谱中的数据不易丢失和遭到破坏,通过区块链的逻辑对所述图谱进行加密处理,确保分析结果的准确性,同时具有按照图谱路径进行加密,不再为使用单一的直线条进行区块链构建,可以按照图谱的关系路径进行多路径的区块链构建,贴合图谱的分析要求和特性。
进一步的,所述将所有卷积特征和验证码复制存储在M台电子设备上之前,包括:获得所述M台电子设备的攻击记录;判断所述攻击记录是否满足第二预定条件;当满足时,获得第一删除指令,所述第一删除指令用于将满足所述第二预定条件的对应电子设备删除,并进行电子设备重新选择。
具体而言,在存储电子设备前为了确保存储的安全性,对电子设备进行攻击历史数据的分析,若电子设备存在攻击记录,则表明该电子设备存在安全隐患,则进行替换,选择具有安全性的电子设备进行存储,进一步提高存储的安全性,保证网络分析预测结果的可靠性。
实施例二
基于与前述实施例中一种基于网络异常攻击的传播预测处理方法同样发明构思,本发明还提供了一种基于网络异常攻击的传播预测处理***,如图5所示,所述***包括:
第一获得单元11,所述第一获得单元11用于获得历史攻击数据;
第二获得单元12,所述第二获得单元12用于根据所述历史攻击数据,获得网络攻击来源;
第三获得单元13,所述第三获得单元13用于根据所述网络攻击来源,获得卷积特征集合;
第一构建单元14,所述第一构建单元14用于利用所述卷积特征集合,构建特征图谱;
第四获得单元15,所述第四获得单元15用于通过对所述特征图谱进行恶意分析后,获得分析结果;
第五获得单元16,所述第五获得单元16用于将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;
第六获得单元17,所述第六获得单元17用于对所述预测结果集进行关联度分析,获得关联度评价值;
第一发送单元18,所述第一发送单元18用于当所述关联度评价值达到第一预定阈值时,发送第一预警信息。
进一步,所述***还包括:
第七获得单元,所述第七获得单元用于根据所述网络攻击来源,获得攻击位置信息、攻击代码信息;
第八获得单元,所述第八获得单元用于根据所述攻击位置信息,获得位置攻击方式、代码节点信息;
第九获得单元,所述第九获得单元用于根据所述攻击代码信息,获得代码卷积特征;
第十获得单元,所述第十获得单元用于根据所述位置攻击方式,获得路径端口卷积特征;
第十一获得单元,所述第十一获得单元用于根据所述代码节点信息,获得代码节点特征;
第十二获得单元,所述第十二获得单元用于基于所述代码卷积特征、路径端口卷积特征、代码节点特征,获得所述卷积特征集合。
进一步,所述***还包括:
第十三获得单元,所述第十三获得单元用于根据所述卷积特征集合,获得卷积特征关联性;
第一执行单元,所述第一执行单元用于利用所述卷积特征关联性,将其中卷积特征进行链接;
第二构建单元,所述第二构建单元用于基于所述卷积特征集合中的所有卷积特征关联性,构建所述特征图谱。
进一步,所述***还包括:
第十四获得单元,所述第十四获得单元用于根据所述历史攻击数据、所述卷积特征集合,获得攻击历史数值,所述攻击历史数值包括攻击范围、攻击时长、攻击后果;
第十五获得单元,所述第十五获得单元用于根据所述攻击历史数值,获得计算权重;
第十六获得单元,所述第十六获得单元用于根据所述攻击历史数值、所述计算权重,获得卷积特征攻击值;
第十七获得单元,所述第十七获得单元用于根据所述卷积特征、所述特征图谱,获得卷积特征关联关系;
第十八获得单元,所述第十八获得单元用于根据所述卷积特征关联关系、所述计算权重、所述卷积特征攻击值,计算获得所述分析结果。
进一步,所述***还包括:
第十九获得单元,所述第十九获得单元用于对所述分析结果进行离散分析,获得离散结果;
第二十获得单元,所述第二十获得单元用于根据所述离散结果,获得分级规则;
第三构建单元,所述第三构建单元用于按照所述分级规则对所述卷积特征集合中的卷积特征进行分级,并构建分级特征图谱。
进一步,所述***还包括:
第二十一获得单元,所述第二十一获得单元用于根据所述分级特征图谱,获得特征关联路径;
第二十二获得单元,所述第二十二获得单元用于根据所述特征关联路径,获得第一卷积特征、第二卷积特征、第三卷积特征、直到第N卷积特征,其中,N为正整数,所述第一卷积特征与所述第二卷积特征具有第一路径信息,所述第二卷积特征与所述第三卷积特征具有第二路径信息,直到第N-1卷积特征与所述第N卷积特征具有第N-1路径信息;
第二十三获得单元,所述第二十三获得单元用于根据所述第一卷积特征、所述第一路径信息,获得第一验证码,所述第一验证码与所述第一卷积特征、所述第一路径信息一一对应;
第二执行单元,所述第二执行单元用于根据所述第二卷积特征、所述第二路径信息和第一验证码,生成第二验证码,以此类推,根据所述第二N-1卷积特征、第N-1路径信息和第N-2验证码,生成第N-1验证码;
第三执行单元,所述第三执行单元用于根据所述第二N卷积特征、所述第N-1路径和所述第N-1验证码,生成第N验证码;
第一存储单元,所述第一存储单元用于将所有卷积特征和验证码复制存储在M台电子设备上,其中,M为正整数。
进一步,所述***还包括:
第二十四获得单元,所述第二十四获得单元用于获得所述M台电子设备的攻击记录;
第一判断单元,所述第一判断单元用于判断所述攻击记录是否满足第二预定条件;
第二十五获得单元,所述第二十五获得单元用于当满足时,获得第一删除指令,所述第一删除指令用于将满足所述第二预定条件的对应电子设备删除,并进行电子设备重新选择。
前述图1实施例一中的一种基于网络异常攻击的传播预测处理方法的各种变化方式和具体实例同样适用于本实施例的一种基于网络异常攻击的传播预测处理***,通过前述对一种基于网络异常攻击的传播预测处理方法的详细描述,本领域技术人员可以清楚的知道本实施例中一种基于网络异常攻击的传播预测处理***的实施方法,所以为了说明书的简洁,在此不再详述。
实施例三
此实施例为示例性电子设备,下面参考图6来描述本申请实施例的电子设备。
图6图示了根据本申请实施例的电子设备的结构示意图。
基于与前述实施例中一种基于网络异常攻击的传播预测处理方法的发明构思,本发明还提供一种计算机设备,其上存储有计算机程序,该程序被处理器执行时实现前文所述一种基于网络异常攻击的传播预测处理方法的任一方法的步骤。
其中,在图6中,总线架构(用总线300来代表),总线300可以包括任意数量的互联的总线和桥,总线300将包括由处理器302代表的一个或多个处理器和存储器304代表的存储器的各种电路链接在一起。总线300还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口305在总线300和接收器301和发送器303之间提供接口。接收器301和发送器303可以是同一个元件,即收发机,提供用于在传输介质上与各种其他***通信的单元。
处理器302负责管理总线300和通常的处理,而存储器304可以被用于存储处理器302在执行操作时所使用的数据。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本发明实施例提供的一种基于网络异常攻击的传播预测处理方法及***,通过获得历史攻击数据;根据所述历史攻击数据,获得网络攻击来源;根据所述网络攻击来源,获得卷积特征集合;利用所述卷积特征集合,构建特征图谱;通过对所述特征图谱进行恶意分析后,获得分析结果;将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;对所述预测结果集进行关联度分析,获得关联度评价值;当所述关联度评价值达到第一预定阈值时,发送第一预警信息。达到了通过网络异常攻击的数据分析,提取卷积特征以构建出特征关联结构即特征图谱,通过对特征图谱进行恶意分析后对分析结果采用传播算法异常攻击状态预测,排查网络风险,降低安全隐患的技术效果。从而解决了现有技术缺乏网络异常攻击传播的有效预测,存在网络风险漏洞而影响网络安全的技术问题。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
Claims (6)
1.一种基于网络异常攻击的传播预测处理方法,其中,所述方法包括:
获得历史攻击数据;
根据所述历史攻击数据,获得网络攻击来源;
根据所述网络攻击来源,获得卷积特征集合;
利用所述卷积特征集合,构建特征图谱;
通过对所述特征图谱进行恶意分析后,获得分析结果;
将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;
对所述预测结果集进行关联度分析,获得关联度评价值;
当所述关联度评价值达到第一预定阈值时,发送第一预警信息;
其中,所述根据所述网络攻击来源,获得卷积特征集合,包括:
根据所述网络攻击来源,获得攻击位置信息、攻击代码信息;
根据所述攻击位置信息,获得位置攻击方式、代码节点信息;
根据所述攻击代码信息,获得代码卷积特征;
根据所述位置攻击方式,获得路径端口卷积特征;
根据所述代码节点信息,获得代码节点特征;
基于所述代码卷积特征、路径端口卷积特征、代码节点特征,获得所述卷积特征集合;
所述利用所述卷积特征集合,构建特征图谱,包括:
根据所述卷积特征集合,获得卷积特征关联性;
利用所述卷积特征关联性,将其中卷积特征进行链接;
基于所述卷积特征集合中的所有卷积特征关联性,构建所述特征图谱;
所述通过对所述特征图谱进行恶意分析后,获得分析结果,包括:
根据所述历史攻击数据、所述卷积特征集合,获得攻击历史数值,所述攻击历史数值包括攻击范围、攻击时长、攻击后果;
根据所述攻击历史数值,获得计算权重;
根据所述攻击历史数值、所述计算权重,获得卷积特征攻击值;
根据所述卷积特征、所述特征图谱,获得卷积特征关联关系;
根据所述卷积特征关联关系、所述计算权重、所述卷积特征攻击值,计算获得所述分析结果。
2.如权利要求1所述的基于网络异常攻击的传播预测处理方法,其中,所述方法还包括:
对所述分析结果进行离散分析,获得离散结果;
根据所述离散结果,获得分级规则;
按照所述分级规则对所述卷积特征集合中的卷积特征进行分级,并构建分级特征图谱。
3.如权利要求2所述的基于网络异常攻击的传播预测处理方法,其中,所述方法包括:
根据所述分级特征图谱,获得特征关联路径;
根据所述特征关联路径,获得第一卷积特征、第二卷积特征、第三卷积特征、直到第N卷积特征,其中,N为正整数,所述第一卷积特征与所述第二卷积特征具有第一路径信息,所述第二卷积特征与所述第三卷积特征具有第二路径信息,直到第N-1卷积特征与所述第N卷积特征具有第N-1路径信息;
根据所述第一卷积特征、所述第一路径信息,获得第一验证码,所述第一验证码与所述第一卷积特征、所述第一路径信息一一对应;
根据所述第二卷积特征、所述第二路径信息和第一验证码,生成第二验证码,以此类推,根据所述第二N-1卷积特征、第N-1路径信息和第N-2验证码,生成第N-1验证码;
根据所述第二N卷积特征、所述第N-1路径和所述第N-1验证码,生成第N验证码;
将所有卷积特征和验证码复制存储在M台电子设备上,其中,M为正整数。
4.如权利要求3所述的基于网络异常攻击的传播预测处理方法,其中,所述将所有卷积特征和验证码复制存储在M台电子设备上之前,包括:
获得所述M台电子设备的攻击记录;
判断所述攻击记录是否满足第二预定条件;
当满足时,获得第一删除指令,所述第一删除指令用于将满足所述第二预定条件的对应电子设备删除,并进行电子设备重新选择。
5.一种基于网络异常攻击的传播预测处理***,其中,所述***应用于权利要求1-4任一所述方法中,所述***包括:
第一获得单元,所述第一获得单元用于获得历史攻击数据;
第二获得单元,所述第二获得单元用于根据所述历史攻击数据,获得网络攻击来源;
第三获得单元,所述第三获得单元用于根据所述网络攻击来源,获得卷积特征集合;
第一构建单元,所述第一构建单元用于利用所述卷积特征集合,构建特征图谱;
第四获得单元,所述第四获得单元用于通过对所述特征图谱进行恶意分析后,获得分析结果;
第五获得单元,所述第五获得单元用于将所述分析结果、所述网络攻击来源输入传播预测模型,获得预测结果集;
第六获得单元,所述第六获得单元用于对所述预测结果集进行关联度分析,获得关联度评价值;
第一发送单元,所述第一发送单元用于当所述关联度评价值达到第一预定阈值时,发送第一预警信息;
其中,所述根据所述网络攻击来源,获得卷积特征集合,包括:
根据所述网络攻击来源,获得攻击位置信息、攻击代码信息;
根据所述攻击位置信息,获得位置攻击方式、代码节点信息;
根据所述攻击代码信息,获得代码卷积特征;
根据所述位置攻击方式,获得路径端口卷积特征;
根据所述代码节点信息,获得代码节点特征;
基于所述代码卷积特征、路径端口卷积特征、代码节点特征,获得所述卷积特征集合;
所述利用所述卷积特征集合,构建特征图谱,包括:
根据所述卷积特征集合,获得卷积特征关联性;
利用所述卷积特征关联性,将其中卷积特征进行链接;
基于所述卷积特征集合中的所有卷积特征关联性,构建所述特征图谱;
所述通过对所述特征图谱进行恶意分析后,获得分析结果,包括:
根据所述历史攻击数据、所述卷积特征集合,获得攻击历史数值,所述攻击历史数值包括攻击范围、攻击时长、攻击后果;
根据所述攻击历史数值,获得计算权重;
根据所述攻击历史数值、所述计算权重,获得卷积特征攻击值;
根据所述卷积特征、所述特征图谱,获得卷积特征关联关系;
根据所述卷积特征关联关系、所述计算权重、所述卷积特征攻击值,计算获得所述分析结果。
6.一种基于网络异常攻击的传播预测处理***,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现上述权利要求1-4中任一项的基于网络异常攻击的传播预测处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110817754.6A CN113271321B (zh) | 2021-07-20 | 2021-07-20 | 一种基于网络异常攻击的传播预测处理方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110817754.6A CN113271321B (zh) | 2021-07-20 | 2021-07-20 | 一种基于网络异常攻击的传播预测处理方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113271321A CN113271321A (zh) | 2021-08-17 |
| CN113271321B true CN113271321B (zh) | 2021-09-17 |
Family
ID=77236849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110817754.6A Active CN113271321B (zh) | 2021-07-20 | 2021-07-20 | 一种基于网络异常攻击的传播预测处理方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113271321B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113691550B (zh) * | 2021-08-27 | 2023-02-24 | 西北工业大学 | 一种网络攻击知识图谱的行为预测*** |
| CN114143109B (zh) * | 2021-12-08 | 2023-11-10 | 安天科技集团股份有限公司 | 攻击数据的可视化处理方法、交互方法及装置 |
| CN116112285B (zh) * | 2023-03-07 | 2023-11-14 | 北京国联视讯信息技术股份有限公司 | 一种基于人工智能的网络攻击路径预测方法及*** |
| CN117749529B (zh) * | 2024-02-19 | 2024-06-21 | 中汽智联技术有限公司 | 一种查找全量攻击路径的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及*** |
| CN112866234A (zh) * | 2021-01-14 | 2021-05-28 | 中国南方电网有限责任公司 | 一种网络攻击溯源方法、装置和*** |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581188B (zh) * | 2013-11-05 | 2016-08-03 | 中国科学院计算技术研究所 | 一种网络安全态势预测方法及*** |
| US10735439B2 (en) * | 2016-09-06 | 2020-08-04 | Radware, Ltd. | System and method for attack sequence matching |
| CN107220541B (zh) * | 2017-05-26 | 2020-12-22 | 成都信息工程大学 | 一种基于soeks的社工攻击知识表示与挖掘方法 |
| US10673876B2 (en) * | 2018-05-16 | 2020-06-02 | KnowBe4, Inc. | Systems and methods for determining individual and group risk scores |
| CN110135157B (zh) * | 2019-04-04 | 2021-04-09 | 国家计算机网络与信息安全管理中心 | 恶意软件同源性分析方法、***、电子设备及存储介质 |
| CN110493218B (zh) * | 2019-08-16 | 2022-04-08 | 武汉思普崚技术有限公司 | 一种态势感知虚拟化的方法和装置 |
| US11494639B2 (en) * | 2019-09-24 | 2022-11-08 | Robert Bosch Gmbh | Bayesian-optimization-based query-efficient black-box adversarial attacks |
| CN112866292B (zh) * | 2021-03-04 | 2022-10-21 | 安天科技集团股份有限公司 | 一种面向多样本组合攻击的攻击行为预测方法和装置 |
-
2021
- 2021-07-20 CN CN202110817754.6A patent/CN113271321B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及*** |
| CN112866234A (zh) * | 2021-01-14 | 2021-05-28 | 中国南方电网有限责任公司 | 一种网络攻击溯源方法、装置和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113271321A (zh) | 2021-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113271321B (zh) | 一种基于网络异常攻击的传播预测处理方法及*** | |
| CN109922069B (zh) | 高级持续性威胁的多维关联分析方法及*** | |
| US20210248240A1 (en) | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful | |
| JP2020505707A (ja) | 侵入検出のための継続的な学習 | |
| CN112822206A (zh) | 网络协同攻击行为的预测方法、装置以及电子设备 | |
| Qin et al. | Association analysis-based cybersecurity risk assessment for industrial control systems | |
| Elfeshawy et al. | Divided two-part adaptive intrusion detection system | |
| Oreški et al. | Genetic algorithm and artificial neural network for network forensic analytics | |
| Xie et al. | Network security defence system based on artificial intelligence and big data technology | |
| Che et al. | KNEMAG: key node estimation mechanism based on attack graph for IOT security | |
| Levy et al. | Anomili: Spoofing prevention and explainable anomaly detection for the 1553 military avionic bus | |
| CN117056951A (zh) | 一种数字平台的数据安全管理方法 | |
| Maksimova et al. | Predicting destructive malicious impacts on the subject of critical information infrastructure | |
| Angelini et al. | An attack graph-based on-line multi-step attack detector | |
| Ling et al. | Estimating the Time-To-Compromise of Exploiting Industrial Control System Vulnerabilities. | |
| Farooq et al. | Big data security analysis in network intrusion detection system | |
| Verma et al. | A comprehensive guide to CAN IDS data and introduction of the ROAD dataset | |
| Zhao et al. | An evaluation method of network security situation using data fusion theory | |
| Wei | Application of Bayesian algorithm in risk quantification for network security | |
| Bhusal et al. | Sok: Modeling explainability in security analytics for interpretability, trustworthiness, and usability | |
| Parfenov et al. | Research of multiclass fuzzy classification of traffic for attacks identification in the networks | |
| Xu et al. | AI and machine learning for the analysis of data flow characteristics in industrial network communication security | |
| Chakir et al. | A real-time risk assessment model for intrusion detection systems using pattern matching | |
| Larroche et al. | Dynamically modelling heterogeneous higher-order interactions for malicious behavior detection in event logs | |
| Athira et al. | Standardisation and classification of alerts generated by intrusion detection systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |