CN115589339A - 网络攻击类型识别方法、装置、设备以及存储介质 - Google Patents
网络攻击类型识别方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN115589339A CN115589339A CN202211574191.3A CN202211574191A CN115589339A CN 115589339 A CN115589339 A CN 115589339A CN 202211574191 A CN202211574191 A CN 202211574191A CN 115589339 A CN115589339 A CN 115589339A
- Authority
- CN
- China
- Prior art keywords
- attack
- abnormal log
- network
- community
- communities
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开的实施例提供了一种网络攻击类型识别方法、装置、设备以及存储介质,涉及网络安全技术领域。该方法包括:对目标网络***产生的日志进行解析,得到异常日志条目;确定任意两个异常日志条目之间的特征关系;以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图;对该超图进行攻击社区检测,得到攻击社区;对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型。以此方式,可以基于异常日志条目关系超图进行攻击社区检测,并对检测到的攻击社区进行分类,识别对应的网络攻击类型,进而精确确定网络攻击者对目标网络***实施网络攻击时所采用的网络攻击手段。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种网络攻击类型识别方法、装置、设备以及存储介质。
背景技术
近年来,网络攻击事件频发,互联网上的木马、蠕虫、勒索入侵层出不穷,这对网络安全形成了严重的威胁。因此,需要对网络***进行网络攻击类型识别,及时发现网络攻击者实施网络攻击所采用的网络攻击手段。
但是在目前的网络攻击类型识别中,大多数都只是基于两两日志条目之间的关系矩阵进行识别,准确性不高,效果较差。因此,如何提高网络攻击类型识别效果就成为了目前亟待解决的技术问题。
发明内容
本公开提供了一种网络攻击类型识别方法、装置、设备以及存储介质,可以提高网络攻击类型识别效果。
第一方面,本公开实施例提供了一种网络攻击类型识别方法,该方法包括:
对目标网络***产生的日志进行解析,得到异常日志条目;
确定任意两个异常日志条目之间的特征关系;
以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图;
对异常日志条目关系超图进行攻击社区检测,得到攻击社区;
对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型。
在第一方面的一些可实现方式中,在对目标网络***产生的日志进行解析之前,该方法还包括:
检测用户的操作权限;
若用户的操作权限符合权限要求且当前时间处于预设的时间段,则从日志存储服务器获取目标网络***产生的日志。
在第一方面的一些可实现方式中,对目标网络***产生的日志进行解析,得到异常日志条目,包括:
根据预设的异常特征字段对目标网络***产生的日志进行正则匹配,提取匹配的日志条目作为异常日志条目。
在第一方面的一些可实现方式中,确定任意两个异常日志条目之间的特征关系,包括:
对任意两个异常日志条目进行特征字段匹配;
根据匹配结果,确定任意两个异常日志条目之间的特征关系。
在第一方面的一些可实现方式中,对异常日志条目关系超图进行攻击社区检测,得到攻击社区,包括:
对异常日志条目关系超图中的超边进行权重赋值,生成带权超图;
对带权超图中的节点和超边进行聚类,得到攻击社区。
在第一方面的一些可实现方式中,对带权超图中的节点和超边进行聚类,得到攻击社区,包括:
根据带权超图中的超边的权重和特征关系对带权超图中的节点和超边进行聚类,得到攻击社区。
在第一方面的一些可实现方式中,对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型,包括:
利用预先训练的网络攻击识别模型对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型;
网络攻击识别模型是利用网络攻击训练样本集对超图卷积神经网络进行训练得到的,其中,网络攻击训练样本集是根据攻击社区样本及其对应的网络攻击类型标签生成的。
第二方面,本公开实施例提供了一种网络攻击类型识别装置,该装置包括:
解析模块,用于对目标网络***产生的日志进行解析,得到异常日志条目;
确定模块,用于确定任意两个异常日志条目之间的特征关系;
构建模块,用于以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图;
检测模块,用于对异常日志条目关系超图进行攻击社区检测,得到攻击社区;
分类模块,用于对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型。
第三方面,本公开实施例提供了一种电子设备,该电子设备包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如以上所述的方法。
第四方面,本公开实施例提供了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行如以上所述的方法。
在本公开中,可以根据目标网络***对应的多个异常日志条目,以及多个异常日志条目之间的特征关系建立异常日志条目关系超图,进而基于该超图进行攻击社区检测,并对检测到的攻击社区进行分类,识别每个攻击社区对应的网络攻击类型,进而精确确定网络攻击者对目标网络***实施网络攻击时所采用的网络攻击手段。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了一种能够在其中实现本公开的实施例的示例性运行环境的示意图;
图2示出了本公开实施例提供的一种网络攻击类型识别方法的流程图;
图3示出了本公开实施例提供的一种网络攻击类型识别装置的结构图;
图4示出了一种能够实施本公开的实施例的示例性电子设备的结构图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
针对背景技术中出现的问题,本公开实施例提供了一种网络攻击类型识别方法、装置、设备以及存储介质。
具体地,可以对目标网络***产生的日志进行解析,得到异常日志条目,并确定任意两个异常日志条目之间的特征关系,然后以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图,接着对异常日志条目关系超图进行攻击社区检测,得到攻击社区,从而对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型。
以此方式,可以基于异常日志条目关系超图进行攻击社区检测,并对检测到的攻击社区进行分类,识别每个攻击社区对应的网络攻击类型,进而精确确定网络攻击者对目标网络***实施网络攻击时所采用的网络攻击手段。
下面结合附图,通过具体的实施例对本公开实施例提供的网络攻击类型识别方法、装置、设备以及存储介质进行详细地说明。
图1示出了一种能够在其中实现本公开的实施例的示例性运行环境的示意图,如图1所示,运行环境100中可以包括电子设备和目标网络***。
其中,电子设备可以是移动电子设备,也可以是非移动电子设备。例如,移动电子设备可以是平板电脑、笔记本电脑、掌上电脑或者超级移动个人计算机(Ultra-MobilePersonal Computer,UMPC)等,非移动电子设备可以是个人计算机(Personal Computer,PC)、超级计算机或者服务器等。
目标网络***是需要进行网络攻击类型识别的网络***,其可以是企业、工厂、学校、研究所或其他团体的网络***,在此不做限制。
作为一个示例,电子设备可以对目标网络***产生的多个日志(例如网络日志、***日志等)进行解析,得到多个异常日志条目,并确定任意两个异常日志条目之间的特征关系,以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图,进而对异常日志条目关系超图进行攻击社区检测,得到攻击社区,对检测到的攻击社区进行分类,识别每个攻击社区对应的网络攻击类型,进而精确确定网络攻击者对目标网络***实施网络攻击时所采用的网络攻击手段。
下面将详细介绍本公开实施例提供的网络攻击类型识别方法,其中,该网络攻击类型识别方法可以应用于图1所示的运行环境100。
图2示出了本公开实施例提供的一种网络攻击类型识别方法的流程图,如图2所示,网络攻击类型识别方法200可以包括以下步骤:
S210,对目标网络***产生的日志进行解析,得到异常日志条目。
示例性地,目标网络***产生的日志可以存储在日志存储服务器。
在一些实施例中,可以检测用户的操作权限,若用户的操作权限符合权限要求且当前时间处于预设的时间段,则从日志存储服务器获取目标网络***产生的日志。
如此一来,只有用户具有足够权限才能在有效访问时间范围内访问并获取日志存储服务器内存储的日志,进而保证日志不被泄露。
此外,日志可以加密存储在日志存储服务器,在获取日志时,需对日志密文进行解密,才可得到日志,进一步提高日志保密性。
可以理解,日志内通常存在多个日志条目,但多数日志条目是与网络攻击类型识别无关的,因此可以根据预设的异常特征字段对目标网络***产生的日志进行正则匹配,提取与异常特征字段匹配的日志条目作为异常日志条目,减少网络攻击类型识别所需数据量。
S220,确定任意两个异常日志条目之间的特征关系。
在一些实施例中,可以对任意两个异常日志条目进行特征字段匹配,根据匹配结果,快速确定任意两个异常日志条目之间的特征关系。
例如,存在异常日志条目1和异常日志条目2,其中,异常日志条目1存在特征字段A、特征字段B、特征字段C、特征字段D,异常日志条目2存在特征字段A、特征字段D、特征字段E、特征字段F,若对异常日志条目1和异常日志条目2进行特征字段匹配,则可以确定匹配结果为特征字段A和特征字段D,判断异常日志条目1和异常日志条目2的特征字段A的值是否一致,以及判断异常日志条目1和异常日志条目2的特征字段D的值是否一致,进而根据判断结果确定异常日志条目1和异常日志条目2之间的特征关系。
S230,以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图。
相比于简单图来说,超图具有较强的数据样本间非线性高阶关联的刻画和挖掘能力,能够更加准确地建模多元关系,在聚类过程上更有优势。
这里,异常日志条目关系超图中包含着多个节点(即异常日志条目)之间的特征关系,能够充分的捕获多个异常日志条目的多重关系。
S240,对异常日志条目关系超图进行攻击社区检测,得到攻击社区。
在一些实施例中,可以根据社区检测算法(例如Kernighan-Lin算法、谱平分法、GN算法、贪婪算法、模拟退火算法等)对异常日志条目关系超图进行攻击社区检测,得到攻击社区。
在另一些实施例中,还可以对异常日志条目关系超图中的超边进行权重赋值,生成带权超图。具体地,可以采用监督学习的方式,对异常日志条目关系超图中的超边进行权重赋值,生成带权关系图。
对带权超图中的节点和超边进行聚类,得到攻击社区。具体地,可以根据带权超图中的超边的权重和特征关系对带权超图中的节点和超边进行精确聚类,得到攻击社区。
如此一来,可以通过权重赋值操作解决异常日志条目关系超图构建过程中可能出现的状态***问题,极大提高了攻击社区检测的效率与精度。
S250,对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型。
在一些实施例中,可以利用预先训练的网络攻击识别模型对检测到的攻击社区进行快速分类,识别攻击社区对应的网络攻击类型(例如变种木马、勒索病毒、组建僵尸网络等),进而精确确定网络攻击者对目标网络***实施网络攻击时所采用的网络攻击手段。
其中,网络攻击识别模型是利用网络攻击训练样本集对超图卷积神经网络进行训练得到的,网络攻击训练样本集是根据攻击社区样本及其对应的网络攻击类型标签生成的。
根据本公开实施例,可以根据目标网络***对应的多个异常日志条目,以及多个异常日志条目之间的特征关系建立异常日志条目关系超图,进而基于该超图进行攻击社区检测,并对检测到的攻击社区进行分类,识别每个攻击社区对应的网络攻击类型,进而精确确定网络攻击者对目标网络***实施网络攻击时所采用的网络攻击手段。示例性地,上述方法可以应用于APT攻击溯源。
下面结合一个具体实施例,对公开提供的网络攻击类型识别方法进行详细说明,具体如下:
(1)检测用户的操作权限,若用户的操作权限符合权限要求且当前时间处于预设的时间段,则从日志存储服务器获取目标网络***产生的日志。
(2)根据预设的异常特征字段对目标网络***产生的日志进行正则匹配,提取与异常特征字段匹配的日志条目作为异常日志条目。
(3)对任意两个异常日志条目进行特征字段匹配,根据匹配结果,确定任意两个异常日志条目之间的特征关系。
(4)以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图。
(5)对异常日志条目关系超图中的超边进行权重赋值,生成带权超图,根据带权超图中的超边的权重和特征关系对带权超图中的节点和超边进行精确聚类,得到攻击社区。
(6)利用预先训练的网络攻击识别模型对检测到的攻击社区进行快速分类,识别攻击社区对应的网络攻击类型,进而精确确定网络攻击者对目标网络***实施网络攻击时所采用的网络攻击手段。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
图3示出了根据本公开的实施例提供的一种网络攻击类型识别装置的结构图,如图3所示,网络攻击类型识别装置300可以包括:
解析模块310,用于对目标网络***产生的日志进行解析,得到异常日志条目。
确定模块320,用于确定任意两个异常日志条目之间的特征关系。
构建模块330,用于以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图。
检测模块340,用于对异常日志条目关系超图进行攻击社区检测,得到攻击社区。
分类模块350,用于对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型。
在一些实施例中,检测模块340,还用于在对目标网络***产生的日志进行解析之前,检测用户的操作权限。
网络攻击类型识别装置300还包括:
获取模块,用于若用户的操作权限符合权限要求且当前时间处于预设的时间段,则从日志存储服务器获取目标网络***产生的日志。
在一些实施例中,解析模块310具体用于:
根据预设的异常特征字段对目标网络***产生的日志进行正则匹配,提取匹配的日志条目作为异常日志条目。
在一些实施例中,确定模块320具体用于:
对任意两个异常日志条目进行特征字段匹配;
根据匹配结果,确定任意两个异常日志条目之间的特征关系。
在一些实施例中,检测模块340具体用于:
对异常日志条目关系超图中的超边进行权重赋值,生成带权超图;
对带权超图中的节点和超边进行聚类,得到攻击社区。
在一些实施例中,检测模块340具体用于:
根据带权超图中的超边的权重和特征关系对带权超图中的节点和超边进行聚类,得到攻击社区。
在一些实施例中,分类模块350具体用于:
利用预先训练的网络攻击识别模型对检测到的攻击社区进行分类,识别攻击社区对应的网络攻击类型;
网络攻击识别模型是利用网络攻击训练样本集对超图卷积神经网络进行训练得到的,其中,网络攻击训练样本集是根据攻击社区样本及其对应的网络攻击类型标签生成的。
可以理解的是,图3所示的网络攻击类型识别装置300中的各个模块/单元具有实现本公开实施例提供的网络攻击类型识别方法200中的各个步骤的功能,并能达到其相应的技术效果,为了简洁,在此不再赘述。
图4示出了一种可以用来实施本公开的实施例的电子设备的结构图。电子设备400旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备400还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图4所示,电子设备400可以包括计算单元401,其可以根据存储在只读存储器(ROM)402中的计算机程序或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序,来执行各种适当的动作和处理。在RAM403中,还可存储电子设备400操作所需的各种程序和数据。计算单元401、ROM402以及RAM403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
电子设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许电子设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理,例如方法200。例如,在一些实施例中,方法200可被实现为计算机程序产品,包括计算机程序,其被有形地包含于计算机可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM403并由计算单元401执行时,可以执行上文描述的方法200的一个或多个步骤。备选地,在其他实施例中,计算单元401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法200。
本文中以上描述的各种实施方式可以在数字电子电路***、集成电路***、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,计算机可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。计算机可读介质可以是计算机可读信号介质或计算机可读储存介质。计算机可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。计算机可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
需要注意的是,本公开还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行方法200,并达到本公开实施例执行其方法达到的相应技术效果,为简洁描述,在此不再赘述。
另外,本公开还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,计算机程序在被处理器执行时实现方法200。
为了提供与用户的交互,可以在计算机上实施以上描述的实施例,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将以上描述的实施例实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式***的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (10)
1.一种网络攻击类型识别方法,其特征在于,所述方法包括:
对目标网络***产生的日志进行解析,得到异常日志条目;
确定任意两个异常日志条目之间的特征关系;
以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图;
对所述异常日志条目关系超图进行攻击社区检测,得到攻击社区;
对检测到的攻击社区进行分类,识别所述攻击社区对应的网络攻击类型。
2.根据权利要求1所述的方法,其特征在于,在所述对目标网络***产生的日志进行解析之前,所述方法还包括:
检测用户的操作权限;
若用户的操作权限符合权限要求且当前时间处于预设的时间段,则从日志存储服务器获取目标网络***产生的日志。
3.根据权利要求1所述的方法,其特征在于,所述对目标网络***产生的日志进行解析,得到异常日志条目,包括:
根据预设的异常特征字段对目标网络***产生的日志进行正则匹配,提取匹配的日志条目作为异常日志条目。
4.根据权利要求1所述的方法,其特征在于,所述确定任意两个异常日志条目之间的特征关系,包括:
对任意两个异常日志条目进行特征字段匹配;
根据匹配结果,确定任意两个异常日志条目之间的特征关系。
5.根据权利要求1所述的方法,其特征在于,所述对所述异常日志条目关系超图进行攻击社区检测,得到攻击社区,包括:
对所述异常日志条目关系超图中的超边进行权重赋值,生成带权超图;
对所述带权超图中的节点和超边进行聚类,得到攻击社区。
6.根据权利要求5所述的方法,其特征在于,所述对所述带权超图中的节点和超边进行聚类,得到攻击社区,包括:
根据所述带权超图中的超边的权重和特征关系对所述带权超图中的节点和超边进行聚类,得到攻击社区。
7.根据权利要求1-6中任一项所述的方法,其特征在于,所述对检测到的攻击社区进行分类,识别所述攻击社区对应的网络攻击类型,包括:
利用预先训练的网络攻击识别模型对检测到的攻击社区进行分类,识别所述攻击社区对应的网络攻击类型;
所述网络攻击识别模型是利用网络攻击训练样本集对超图卷积神经网络进行训练得到的,其中,所述网络攻击训练样本集是根据攻击社区样本及其对应的网络攻击类型标签生成的。
8.一种网络攻击类型识别装置,其特征在于,所述装置包括:
解析模块,用于对目标网络***产生的日志进行解析,得到异常日志条目;
确定模块,用于确定任意两个异常日志条目之间的特征关系;
构建模块,用于以解析得到的异常日志条目为节点,根据任意两个异常日志条目之间的特征关系生成超边,构建异常日志条目关系超图;
检测模块,用于对所述异常日志条目关系超图进行攻击社区检测,得到攻击社区;
分类模块,用于对检测到的攻击社区进行分类,识别所述攻击社区对应的网络攻击类型。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211574191.3A CN115589339B (zh) | 2022-12-08 | 2022-12-08 | 网络攻击类型识别方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211574191.3A CN115589339B (zh) | 2022-12-08 | 2022-12-08 | 网络攻击类型识别方法、装置、设备以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115589339A true CN115589339A (zh) | 2023-01-10 |
| CN115589339B CN115589339B (zh) | 2023-04-07 |
Family
ID=84783605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211574191.3A Active CN115589339B (zh) | 2022-12-08 | 2022-12-08 | 网络攻击类型识别方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115589339B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743508A (zh) * | 2023-08-15 | 2023-09-12 | 四川新立高科科技有限公司 | 一种电力***网络攻击链检测方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986299A (zh) * | 2010-10-28 | 2011-03-16 | 浙江大学 | 基于超图的多任务个性化网络服务方法 |
| CN109858254A (zh) * | 2019-01-15 | 2019-06-07 | 西安电子科技大学 | 基于日志分析的物联网平台攻击检测***及方法 |
| CN112104633A (zh) * | 2020-09-07 | 2020-12-18 | 西安电子科技大学 | 一种基于日志关联分析的攻击链构造方法 |
| CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、***、终端及可读存储介质 |
| CN112333195A (zh) * | 2020-11-10 | 2021-02-05 | 西安电子科技大学 | 基于多源日志关联分析的apt攻击场景还原检测方法及*** |
| CN113141335A (zh) * | 2020-01-19 | 2021-07-20 | 奇安信科技集团股份有限公司 | 网络攻击检测方法及装置 |
-
2022
- 2022-12-08 CN CN202211574191.3A patent/CN115589339B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986299A (zh) * | 2010-10-28 | 2011-03-16 | 浙江大学 | 基于超图的多任务个性化网络服务方法 |
| CN109858254A (zh) * | 2019-01-15 | 2019-06-07 | 西安电子科技大学 | 基于日志分析的物联网平台攻击检测***及方法 |
| CN113141335A (zh) * | 2020-01-19 | 2021-07-20 | 奇安信科技集团股份有限公司 | 网络攻击检测方法及装置 |
| CN112104633A (zh) * | 2020-09-07 | 2020-12-18 | 西安电子科技大学 | 一种基于日志关联分析的攻击链构造方法 |
| CN112182567A (zh) * | 2020-09-29 | 2021-01-05 | 西安电子科技大学 | 一种多步攻击溯源方法、***、终端及可读存储介质 |
| CN112333195A (zh) * | 2020-11-10 | 2021-02-05 | 西安电子科技大学 | 基于多源日志关联分析的apt攻击场景还原检测方法及*** |
Non-Patent Citations (5)
| Title |
|---|
| I (ELI) CHIEN等: "On the Minimax Misclassification Ratio of Hypergraph Community Detection", 《IEEE TRANSACTIONS ON INFORMATION THEORY》 * |
| JIAJUN LIANG等: "Information Theoretic Limits of Exact Recovery in Sub-hypergraph Models for Community Detection", 《IEEE》 * |
| SHUXIA REN等: "Community Structure Enhanced Community Detection Algorithm Based on Graph Compression", 《2022 5TH INTERNATIONAL CONFERENCE ON AEMCSE》 * |
| 冷涛等: "基于***溯源图的威胁发现与取证分析综述", 《通 信 学 报》 * |
| 朱元庆, 李赛飞, 李洪赭: "基于XGBoost 和社区发现的主机攻击行为检测", 《计算机***应用》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743508A (zh) * | 2023-08-15 | 2023-09-12 | 四川新立高科科技有限公司 | 一种电力***网络攻击链检测方法、装置、设备及介质 |
| CN116743508B (zh) * | 2023-08-15 | 2023-11-14 | 四川新立高科科技有限公司 | 一种电力***网络攻击链检测方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115589339B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10691795B2 (en) | Quantitative unified analytic neural networks | |
| CN111813960B (zh) | 基于知识图谱的数据安全审计模型装置、方法及终端设备 | |
| RU2722692C1 (ru) | Способ и система выявления вредоносных файлов в неизолированной среде | |
| US20190182283A1 (en) | Log analysis device, log analysis method, and log analysis program | |
| CN114266342A (zh) | 一种基于孪生网络的内部威胁的检测方法及*** | |
| CN115589339B (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| US20170068892A1 (en) | System and method for generation of a heuristic | |
| CN114553591A (zh) | 随机森林模型的训练方法、异常流量检测方法及装置 | |
| CN110730164A (zh) | 安全预警方法及相关设备、计算机可读存储介质 | |
| CN115632874A (zh) | 一种实体对象的威胁检测方法、装置、设备及存储介质 | |
| CN113452700B (zh) | 处理安全信息的方法、装置、设备以及存储介质 | |
| CN116668054A (zh) | 一种安全事件协同监测预警方法、***、设备及介质 | |
| CN116015861A (zh) | 一种数据检测方法、装置、电子设备及存储介质 | |
| CN114492364A (zh) | 相同漏洞的判断方法、装置、设备和存储介质 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN113553370A (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
| CN110704848B (zh) | 脆弱点量化评估方法及装置 | |
| CN115378746B (zh) | 网络入侵检测规则生成方法、装置、设备以及存储介质 | |
| Dunaev et al. | Logs analysis to search for anomalies in the functioning of large technology platforms | |
| CN113868660B (zh) | 恶意软件检测模型的训练方法、装置以及设备 | |
| CN116915459B (zh) | 一种基于大语言模型的网络威胁分析方法 | |
| CN115296917B (zh) | 资产暴露面信息获取方法、装置、设备以及存储介质 | |
| CN115102728B (zh) | 一种用于信息安全的扫描器识别方法、装置、设备及介质 | |
| CN114330300A (zh) | 渗透测试文档分析方法、装置、设备和存储介质 | |
| Latha et al. | IDSFS: A Signature Based Intrusion Detection System with High Pertinent Feature Selection Method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |