CN115622818B - 一种网络攻击数据处理方法及装置 - Google Patents
一种网络攻击数据处理方法及装置 Download PDFInfo
- Publication number
- CN115622818B CN115622818B CN202211636663.3A CN202211636663A CN115622818B CN 115622818 B CN115622818 B CN 115622818B CN 202211636663 A CN202211636663 A CN 202211636663A CN 115622818 B CN115622818 B CN 115622818B
- Authority
- CN
- China
- Prior art keywords
- data
- analysis
- analysis data
- homologous
- data set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络攻击数据处理方法及装置,该方法包括:获取网络攻击的样本分类数据;对样本分类数据进行解析,得到解析数据;根据解析数据计算同源哈希值;根据解析数据和同源哈希值生成解析数据集;根据预设的解析数据库和预设的规则数据库,对解析数据集进行数据筛选,得到新增威胁数据集;将新增威胁数据集存储至解析数据库或者规则数据库中。可见,该方法及装置能够自动实现对历史样本的检索,从而减少企业人力资源的投入;同时,还有利于提高威胁发现能力,从而更有效地维护网络安全。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击数据处理方法及装置。
背景技术
网络攻击是指针对计算机信息***、基础设施、计算机网络或个人计算机设备的攻击动作。其中,该种攻击动作通常包括多种类型,具体的,可以包括破坏、修改、使软件或服务不可用、未授权时访问***信息或文件资料等。在近年来,网络安全问题日益突出,个人、企业等都正遭受着越来越多攻击者发起的网络攻击,网从而使得网络安全问题被人们愈加重视起来。
目前,对于网络攻击的处理方式通常是通过人工对恶意代码进行分析,并基于专业分析人员的经验对样本的归因关系挖掘,然后提取样本中的共有特征,形成静态规则,并在采集到新样本后匹配静态规则,以此来防范网络攻击,保护网络安全。
发明内容
本申请实施例的目的在于提供一种网络攻击数据处理方法及装置,能够自动实现对历史样本的检索,从而减少企业人力资源的投入;同时,还有利于提高威胁发现能力,从而更有效地维护网络安全。
本申请实施例第一方面提供了一种网络攻击数据处理方法,包括:
获取网络攻击的样本分类数据;
对所述样本分类数据进行解析,得到解析数据;
根据所述解析数据计算同源哈希值;
根据所述解析数据和所述同源哈希值生成解析数据集;
根据预设的解析数据库和预设的规则数据库,对所述解析数据集进行数据筛选,得到新增威胁数据集;
将所述新增威胁数据集存储至所述解析数据库或者所述规则数据库中。
在上述实现过程中,该方法可以优先获取网络攻击的样本分类数据;并对样本分类数据进行解析,得到解析数据;然后,再根据解析数据计算同源哈希值;再后,再根据解析数据和同源哈希值生成解析数据集;再然后,再根据预设的解析数据库和预设的规则数据库,对解析数据集进行数据筛选,得到新增威胁数据集;最后,再将新增威胁数据集存储至解析数据库或者规则数据库中。可见,该方法能够自动实现对历史样本的检索,从而减少企业人力资源的投入;同时,还有利于提高威胁发现能力,从而更有效地维护网络安全。
进一步地,所述对所述样本分类数据进行解析,得到解析数据,包括:
对所述样本分类数据进行不同字段解析,得到字段解析数据;
对所述样本分类数据进行深度上下文解析,得到深度上下文解析数据;
对所述样本分类数据进行深度解析,得到深度解析数据;
汇总所述字段解析数据、所述深度上下文解析数据以及所述深度解析数据,得到解析数据。
进一步地,所述根据所述解析数据计算同源哈希值,包括:
获取所述样本分类数据的样本类型和预设的同源哈希算法模型;
根据所述样本类型确定所述同源哈希算法模型的特征矩阵以及同源耦合系数;
根据所述特征矩阵、所述同源耦合系数、所述同源哈希算法模型以及所述解析模型,计算同源哈希值。
进一步地,所述根据预设的解析数据库和预设的规则数据库,对所述解析数据集进行数据筛选,得到新增威胁数据集,包括:
根据所述解析数据集查询预设的解析数据库,得到同源哈希值查询结果;
根据所述解析数据集查询预设的规则数据库,得到规则命中结果;
根据所述同源哈希值查询结果从所述解析数据集中确定第一解析数据;其中,所述解析数据库中不存在所述第一解析数据的同源哈希值;
根据所述规则命中结果从所述解析数据集中确定未命中所述规则数据库中规则的第二解析数据;
汇总所述第一解析数据和所述第二解析数据,得到新增威胁数据集。
进一步地,所述方法还包括:
根据所述同源哈希值查询结果从所述解析数据集中确定第三解析数据;其中,所述解析数据库中存在所述第三解析数据的同源哈希值;
根据所述规则命中结果从所述解析数据集中确定命中了所述规则数据库中规则的第四解析数据;
将所述第三解析数据和所述第四解析数据上传至样本运营平台,以使所述样本运营平台对所述第三解析数据和所述第四解析数据进行分析处理,得到新增解析数据集和新增规则;
接收所述样本运营平台反馈的所述新增解析数据集和所述新增规则;
将所述新增解析数据集写入所述解析数据集,并将所述新增规则写入所述规则数据库。
本申请实施例第二方面提供了一种网络攻击数据处理装置,所述网络攻击数据处理装置包括:
获取单元,用于获取网络攻击的样本分类数据;
解析单元,用于对所述样本分类数据进行解析,得到解析数据;
计算单元,用于根据所述解析数据计算同源哈希值;
生成单元,用于根据所述解析数据和所述同源哈希值生成解析数据集;
筛选单元,用于根据预设的解析数据库和预设的规则数据库,对所述解析数据集进行数据筛选,得到新增威胁数据集;
存储单元,用于将所述新增威胁数据集存储至所述解析数据库或者所述规则数据库中。
在上述实现过程中,该装置可以通过获取单元获取网络攻击的样本分类数据;通过解析单元对样本分类数据进行解析,得到解析数据;通过计算单元来根据解析数据计算同源哈希值;通过生成单元来根据解析数据和同源哈希值生成解析数据集;通过筛选单元来根据预设的解析数据库和预设的规则数据库,对解析数据集进行数据筛选,得到新增威胁数据集;再通过存储单元将新增威胁数据集存储至解析数据库或者规则数据库中。可见,该装置能够自动实现对历史样本的检索,从而减少企业人力资源的投入;同时,还有利于提高威胁发现能力,从而更有效地维护网络安全。
进一步地,所述解析单元包括:
解析子单元,用于对所述样本分类数据进行不同字段解析,得到字段解析数据;以及对所述样本分类数据进行深度上下文解析,得到深度上下文解析数据;以及对所述样本分类数据进行深度解析,得到深度解析数据;
第一汇总子单元,用于汇总所述字段解析数据、所述深度上下文解析数据以及所述深度解析数据,得到解析数据。
进一步地,所述计算单元包括:
获取子单元,用于获取所述样本分类数据的样本类型和预设的同源哈希算法模型;
第一确定子单元,用于根据所述样本类型确定所述同源哈希算法模型的特征矩阵以及同源耦合系数;
计算子单元,用于根据所述特征矩阵、所述同源耦合系数、所述同源哈希算法模型以及所述解析模型,计算同源哈希值。
进一步地,所述筛选单元包括:
查询子单元,用于根据所述解析数据集查询预设的解析数据库,得到同源哈希值查询结果;
所述查询子单元,还用于根据所述解析数据集查询预设的规则数据库,得到规则命中结果;
第二确定子单元,用于根据所述同源哈希值查询结果从所述解析数据集中确定第一解析数据;其中,所述解析数据库中不存在所述第一解析数据的同源哈希值;
所述第二确定子单元,还用于根据所述规则命中结果从所述解析数据集中确定未命中所述规则数据库中规则的第二解析数据;
第二汇总子单元,用于汇总所述第一解析数据和所述第二解析数据,得到新增威胁数据集。
进一步地,所述网络攻击数据处理装置还包括:
确定单元,用于根据所述同源哈希值查询结果从所述解析数据集中确定第三解析数据;其中,所述解析数据库中存在所述第三解析数据的同源哈希值;
所述确定单元,还用于根据所述规则命中结果从所述解析数据集中确定命中了所述规则数据库中规则的第四解析数据;
上传单元,用于将所述第三解析数据和所述第四解析数据上传至样本运营平台,以使所述样本运营平台对所述第三解析数据和所述第四解析数据进行分析处理,得到新增解析数据集和新增规则;
接收单元,用于接收所述样本运营平台反馈的所述新增解析数据集和所述新增规则;
写入单元,用于将所述新增解析数据集写入所述解析数据集,并将所述新增规则写入所述规则数据库。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的网络攻击数据处理方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的网络攻击数据处理方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络攻击数据处理方法的流程示意图;
图2为本申请实施例提供的一种网络攻击数据处理装置的结构示意图;
图3为本申请实施例提供的一种网络攻击数据处理方法的逻辑流程示意图;
图4为本申请实施例提供的一种文件格式解析模块的模块示意图;
图5为本申请实施例提供的一种代码基因解析模块的模块示意图;
图6为本申请实施例提供的一种同源算法和规则自动生成模块的模块示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本实施例提供了一种网络攻击数据处理方法的流程示意图。其中,该网络攻击数据处理方法包括:
S101、获取网络攻击的样本分类数据。
S102、对样本分类数据进行不同字段解析,得到字段解析数据。
作为一种可选的实施方式,对样本分类数据进行不同字段解析,得到字段解析数据的步骤包括:
确定样本分类文件的样本分类;其中,样本分类包括样本类型和样本版本;
根据样本分类对样本分类数据进行不同字段解析,得到字段解析数据。
S103、对样本分类数据进行深度上下文解析,得到深度上下文解析数据。
S104、对样本分类数据进行深度解析,得到深度解析数据。
作为一种可选的实施方式,对样本分类数据进行深度解析,得到深度解析数据的步骤包括:
对样本分类数据中加壳样本进行自动脱壳处理,得到第一处理样本;
对样本处理数据中编译语言类型的样本进行反编译处理,得到第二处理样本;
对第二处理样本进行深度解析,得到深度解析数据。
S105、汇总字段解析数据、深度上下文解析数据以及深度解析数据,得到解析数据。
S106、获取样本分类数据的样本类型和预设的同源哈希算法模型。
S107、根据样本类型确定同源哈希算法模型的特征矩阵以及同源耦合系数。
S108、根据特征矩阵、同源耦合系数、同源哈希算法模型以及解析模型,计算同源哈希值。
S109、根据解析数据和同源哈希值生成解析数据集。
S110、根据解析数据集查询预设的解析数据库,得到同源哈希值查询结果。
作为一种可选的实施方式,该方法还包括:
根据同源哈希值查询结果从解析数据集中确定第三解析数据;其中,解析数据库中存在第三解析数据的同源哈希值;
根据规则命中结果从解析数据集中确定命中了规则数据库中规则的第四解析数据;
将第三解析数据和第四解析数据上传至样本运营平台,以使样本运营平台对第三解析数据和第四解析数据进行分析处理,得到新增解析数据集和新增规则;
接收样本运营平台反馈的新增解析数据集和新增规则;
将新增解析数据集写入解析数据集,并将新增规则写入规则数据库。
S111、根据解析数据集查询预设的规则数据库,得到规则命中结果。
S112、根据同源哈希值查询结果从解析数据集中确定第一解析数据;其中,解析数据库中不存在第一解析数据的同源哈希值。
S113、根据规则命中结果从解析数据集中确定未命中规则数据库中规则的第二解析数据。
S114、汇总第一解析数据和第二解析数据,得到新增威胁数据集。
S115、将新增威胁数据集存储至解析数据库或者规则数据库中。
请参看图3,图3示出了一种网络攻击数据处理方法的逻辑流程示意图。其中,该流程设计到如下几个关键模块:文件格式解析模块;代码基因解析模块;同源算法和规则自动生成模块;搜索和运营平台模块。
请参看图4,图4示出了一种文件格式解析模块。
本实施例中,上述的文件格式解析模块需要覆盖绝大多数文件格式,并且适用格式包含的所有版本类型,对没有公开的文件格式需要进行逆向分析,构建解析代码。文件格式解析器也需要支持对样本上下文进行解析,如压缩包类型,同时还要具备对异常格式的文件进行解析,如漏洞利用类型的文件格式。
请参看图5,图5示出了一种代码基因解析模块。
本实施例中,上述的代码基因解析模块需要覆盖绝大多数编程语言,支持大多数加壳类型样本脱壳,也支持部分加解密算法和去混淆插件。支持不同格式样本提取执行代码,实现提取***函数代码信息、整体执行流程树形化、函数功能逻辑化、数据段特征以及加密解密算法特征,面对部分样本无法自动化提取时,也可以支持人工介入提取。
请参看图6,图6示出了一种同源算法和规则自动生成模块。
本实施例中,上述同源算法需要基于前期收集样本的准确性进行训练,在有文件格式解析模块和代码基因模块的支撑下,才能准确提取各类文件格式的特征矩阵,配合已知结果进行训练,调整耦合系数,计算出较高准确度的同源hash。在考虑同源hash的准确度无法做到完全精准,所以使用针对解析数据的规则进行相互验证辅助,大大提高同源准确性。
举例来说,该方法作为一种基于样本静态解析数据威胁狩猎的方法可以包括如下步骤:
(1)通过公开渠道和木马家族库收集已知恶意家族、普通黑客组织、APT组织或APT攻击事件的已知样本分类数据。根据文件格式解析模块和代码基因解析模块对不同类型样本进行深度解析存入解析数据库。通过对解析数据库中数据进行同源算法计算出同源hash并存入解析数据库中,同时根据已经分类样本家族进行自动规则生成,由人为运营出相关规则库。
(2)新样本首先通过文件格式解析器和代码基因解析器进行解析。
a、文件格式解析器会根据样本类型和版本不同,解析出不同字段,如PE文件的IMPHASH字段、文档文件的macros字段或者LNK文件的cmdline等,但也会存在一些相同基础字段,如文件大小、文件创建时间、SSDEEP、TLSH或者MMDT等。文件格式解析器还会对样本进行深度上下文解析,如压缩包文件包含的子文件、邮件文件包含的附件文件或PE文件包含的资源文件等。
b、代码基因解析会通过判断样本是否加壳(已知壳)进行自动脱壳,或者判断编译语言类型是否为解释型语言进行反编译,然后对代码进行深度解析,解析内容包括***代码函数信息、整体执行流程树形化、函数功能逻辑化、数据段特征以及加解密算法特征等,对无法自动识别深度解析的会进行人工提取干预并完善。
(3)同源算法模块会读取解析数据,通过样本类型确定算法模型涉及到的特征矩阵以及同源耦合系数并最终计算出来同源hash值,生成样本的解析数据集。
(4)利用样本的解析数据集分别查询解析数据库和判定规则数据库,通过过滤逻辑进行筛选,例如:
a、解析数据库中无该样本的同源hash或规则数据库中无该样本命中规则。
b、解析数据库中存在该同源hash或命中规则数据库中规则,并且涉及数据库中关注标签,例如APT标签。
(5)未命中过滤逻辑的数据直接写入解析数据库或规则数据库中,而命中过滤逻辑的数据将上传到样本运营平台进一步处理,运营人员在对样本分析处理后将新增规则和完整解析数据集分别写入规则数据库和解析数据库。
本实施例中,该方法的执行主体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
在本实施例中,该方法的执行主体还可以为智能手机、平板电脑等智能设备,对此本实施例中不作任何限定。
可见,实施本实施例所描述的网络攻击数据处理方法,能够对网络攻击中使用的样本进行狩猎;还能够通过对样本深度解析,实现样本元数据化,丰富样本上下文,提高样本规则的适应性和生命周期,并且可以实现代替部分动态检测的场景;同时还能够利用聚类自动规则生成工具减轻分析人员编写规则工作量,提高规则运营效率;然后,还能够通过对样本深度解析数据处理,实现同源hash算法,降低非技术人员发现同源样本难度,同时弥补规则的局限性,完善样本发现能力;最后,还能够利用同源hash和解析数据规则实现样本可运营,实现对历史样本检索能力,减少企业人力投入资源,并能够通过运营平台可以发现高危(APT)样本、家族木马新变种或者新木马家族样本等,提高威胁发现能力。
实施例2
请参看图2,图2为本实施例提供的一种网络攻击数据处理装置的结构示意图。如图2所示,该网络攻击数据处理装置包括:
获取单元210,用于获取网络攻击的样本分类数据;
解析单元220,用于对样本分类数据进行解析,得到解析数据;
计算单元230,用于根据解析数据计算同源哈希值;
生成单元240,用于根据解析数据和同源哈希值生成解析数据集;
筛选单元250,用于根据预设的解析数据库和预设的规则数据库,对解析数据集进行数据筛选,得到新增威胁数据集;
存储单元260,用于将新增威胁数据集存储至解析数据库或者规则数据库中。
作为一种可选的实施方式,解析单元220包括:
解析子单元221,用于对样本分类数据进行不同字段解析,得到字段解析数据;以及对样本分类数据进行深度上下文解析,得到深度上下文解析数据;以及对样本分类数据进行深度解析,得到深度解析数据;
第一汇总子单元222,用于汇总字段解析数据、深度上下文解析数据以及深度解析数据,得到解析数据。
作为一种可选的实施方式,计算单元230包括:
获取子单元231,用于获取样本分类数据的样本类型和预设的同源哈希算法模型;
第一确定子单元232,用于根据样本类型确定同源哈希算法模型的特征矩阵以及同源耦合系数;
计算子单元233,用于根据特征矩阵、同源耦合系数、同源哈希算法模型以及解析模型,计算同源哈希值。
作为一种可选的实施方式,筛选单元250包括:
查询子单元251,用于根据解析数据集查询预设的解析数据库,得到同源哈希值查询结果;
查询子单元251,还用于根据解析数据集查询预设的规则数据库,得到规则命中结果;
第二确定子单元252,用于根据同源哈希值查询结果从解析数据集中确定第一解析数据;其中,解析数据库中不存在第一解析数据的同源哈希值;
第二确定子单元252,还用于根据规则命中结果从解析数据集中确定未命中规则数据库中规则的第二解析数据;
第二汇总子单元253,用于汇总第一解析数据和第二解析数据,得到新增威胁数据集。
作为一种可选的实施方式,网络攻击数据处理装置还包括:
确定单元270,用于根据同源哈希值查询结果从解析数据集中确定第三解析数据;其中,解析数据库中存在第三解析数据的同源哈希值;
确定单元270,还用于根据规则命中结果从解析数据集中确定命中了规则数据库中规则的第四解析数据;
上传单元280,用于将第三解析数据和第四解析数据上传至样本运营平台,以使样本运营平台对第三解析数据和第四解析数据进行分析处理,得到新增解析数据集和新增规则;
接收单元290,用于接收样本运营平台反馈的新增解析数据集和新增规则;
写入单元300,用于将新增解析数据集写入解析数据集,并将新增规则写入规则数据库。
实施这种实施方式,能够收集已知木马家族、APT组织或APT攻击事件使用的相关样本,人工进行细致的分类,为后续同源算法的准确性和存储必备的样本信息库(解析数据库和规则数据库)提供支撑。同时,可以使得运营平台利用已有的同源技术支撑,配合不同的过滤逻辑即挖掘思路可以对海量样本进行运营,发现已知木马家族新变种、新增木马家族或APT类型样本,提高威胁发现能力。
本申请实施例中,对于网络攻击数据处理装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的网络攻击数据处理装置,能够对网络攻击中使用的样本进行狩猎;还能够通过对样本深度解析,实现样本元数据化,丰富样本上下文,提高样本规则的适应性和生命周期,并且可以实现代替部分动态检测的场景;同时还能够利用聚类自动规则生成工具减轻分析人员编写规则工作量,提高规则运营效率;然后,还能够通过对样本深度解析数据处理,实现同源hash算法,降低非技术人员发现同源样本难度,同时弥补规则的局限性,完善样本发现能力;最后,还能够利用同源hash和解析数据规则实现样本可运营,实现对历史样本检索能力,减少企业人力投入资源,并能够通过运营平台可以发现高危(APT)样本、家族木马新变种或者新木马家族样本等,提高威胁发现能力。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的网络攻击数据处理方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的网络攻击数据处理方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (8)
1.一种网络攻击数据处理方法,其特征在于,包括:
获取网络攻击的样本分类数据;
对所述样本分类数据进行解析,得到解析数据;
根据所述解析数据计算同源哈希值;
根据所述解析数据和所述同源哈希值生成解析数据集;
根据预设的解析数据库和预设的规则数据库,对所述解析数据集进行数据筛选,得到新增威胁数据集;
将所述新增威胁数据集存储至所述解析数据库或者所述规则数据库中;
其中,所述根据所述解析数据计算同源哈希值,包括:
获取所述样本分类数据的样本类型和预设的同源哈希算法模型;
根据所述样本类型确定所述同源哈希算法模型的特征矩阵以及同源耦合系数;
根据所述特征矩阵、所述同源耦合系数、所述同源哈希算法模型以及解析模型,计算同源哈希值。
2.根据权利要求1所述的网络攻击数据处理方法,其特征在于,所述对所述样本分类数据进行解析,得到解析数据,包括:
对所述样本分类数据进行不同字段解析,得到字段解析数据;
对所述样本分类数据进行深度上下文解析,得到深度上下文解析数据;
对所述样本分类数据进行深度解析,得到深度解析数据;
汇总所述字段解析数据、所述深度上下文解析数据以及所述深度解析数据,得到解析数据。
3.根据权利要求1所述的网络攻击数据处理方法,其特征在于,所述根据预设的解析数据库和预设的规则数据库,对所述解析数据集进行数据筛选,得到新增威胁数据集,包括:
根据所述解析数据集查询预设的解析数据库,得到同源哈希值查询结果;
根据所述解析数据集查询预设的规则数据库,得到规则命中结果;
根据所述同源哈希值查询结果从所述解析数据集中确定第一解析数据;其中,所述解析数据库中不存在所述第一解析数据的同源哈希值;
根据所述规则命中结果从所述解析数据集中确定未命中所述规则数据库中规则的第二解析数据;
汇总所述第一解析数据和所述第二解析数据,得到新增威胁数据集。
4.根据权利要求3所述的网络攻击数据处理方法,其特征在于,所述方法还包括:
根据所述同源哈希值查询结果从所述解析数据集中确定第三解析数据;其中,所述解析数据库中存在所述第三解析数据的同源哈希值;
根据所述规则命中结果从所述解析数据集中确定命中了所述规则数据库中规则的第四解析数据;
将所述第三解析数据和所述第四解析数据上传至样本运营平台,以使所述样本运营平台对所述第三解析数据和所述第四解析数据进行分析处理,得到新增解析数据集和新增规则;
接收所述样本运营平台反馈的所述新增解析数据集和所述新增规则;
将所述新增解析数据集写入所述解析数据集,并将所述新增规则写入所述规则数据库。
5.一种网络攻击数据处理装置,其特征在于,所述网络攻击数据处理装置包括:
获取单元,用于获取网络攻击的样本分类数据;
解析单元,用于对所述样本分类数据进行解析,得到解析数据;
计算单元,用于根据所述解析数据计算同源哈希值;
生成单元,用于根据所述解析数据和所述同源哈希值生成解析数据集;
筛选单元,用于根据预设的解析数据库和预设的规则数据库,对所述解析数据集进行数据筛选,得到新增威胁数据集;
存储单元,用于将所述新增威胁数据集存储至所述解析数据库或者所述规则数据库中;
其中,所述计算单元包括:
获取子单元,用于获取所述样本分类数据的样本类型和预设的同源哈希算法模型;
第一确定子单元,用于根据所述样本类型确定所述同源哈希算法模型的特征矩阵以及同源耦合系数;
计算子单元,用于根据所述特征矩阵、所述同源耦合系数、所述同源哈希算法模型以及解析模型,计算同源哈希值。
6.根据权利要求5所述的网络攻击数据处理装置,其特征在于,所述解析单元包括:
解析子单元,用于对所述样本分类数据进行不同字段解析,得到字段解析数据;以及对所述样本分类数据进行深度上下文解析,得到深度上下文解析数据;以及对所述样本分类数据进行深度解析,得到深度解析数据;
第一汇总子单元,用于汇总所述字段解析数据、所述深度上下文解析数据以及所述深度解析数据,得到解析数据。
7.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至4中任一项所述的网络攻击数据处理方法。
8.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至4任一项所述的网络攻击数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211636663.3A CN115622818B (zh) | 2022-12-20 | 2022-12-20 | 一种网络攻击数据处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211636663.3A CN115622818B (zh) | 2022-12-20 | 2022-12-20 | 一种网络攻击数据处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115622818A CN115622818A (zh) | 2023-01-17 |
| CN115622818B true CN115622818B (zh) | 2023-04-21 |
Family
ID=84881014
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211636663.3A Active CN115622818B (zh) | 2022-12-20 | 2022-12-20 | 一种网络攻击数据处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115622818B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889550A (zh) * | 2019-04-12 | 2019-06-14 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
| CN112468370A (zh) * | 2020-11-30 | 2021-03-09 | 北京锐驰信安技术有限公司 | 一种支持自定义规则的高速网络报文监测分析方法及*** |
| CN112511387A (zh) * | 2020-12-15 | 2021-03-16 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测*** |
| CN114021116A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种同源分析知识库的构建方法、同源分析方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102019208678A1 (de) * | 2019-06-14 | 2020-12-17 | Robert Bosch Gmbh | Kommunikationsverfahren |
-
2022
- 2022-12-20 CN CN202211636663.3A patent/CN115622818B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889550A (zh) * | 2019-04-12 | 2019-06-14 | 杭州迪普科技股份有限公司 | 一种DDoS攻击确定方法及装置 |
| CN112468370A (zh) * | 2020-11-30 | 2021-03-09 | 北京锐驰信安技术有限公司 | 一种支持自定义规则的高速网络报文监测分析方法及*** |
| CN112511387A (zh) * | 2020-12-15 | 2021-03-16 | 北京京航计算通讯研究所 | 基于多源信息分析的网络攻击监测*** |
| CN114021116A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种同源分析知识库的构建方法、同源分析方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115622818A (zh) | 2023-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109684840B (zh) | 基于敏感调用路径的Android恶意软件检测方法 | |
| US7073074B2 (en) | System and method for storing events to enhance intrusion detection | |
| CN107704501B (zh) | 一种识别同源二进制文件的方法及*** | |
| CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
| CN109460386B (zh) | 基于多维模糊哈希匹配的恶意文件同源性分析方法及装置 | |
| CN111723371B (zh) | 构建恶意文件的检测模型以及检测恶意文件的方法 | |
| CN108256329B (zh) | 基于动态行为的细粒度rat程序检测方法、***及相应的apt攻击检测方法 | |
| US20210027861A1 (en) | Identifying signature snippets for nucleic acid sequence types | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| CN103716394A (zh) | 下载文件的管理方法及装置 | |
| Korine et al. | DAEMON: dataset/platform-agnostic explainable malware classification using multi-stage feature mining | |
| CN116383742B (zh) | 基于特征分类的规则链设置处理方法、***及介质 | |
| CN115622818B (zh) | 一种网络攻击数据处理方法及装置 | |
| CN105843890B (zh) | 基于知识库面向大数据及普通数据的数据采集方法和*** | |
| CN114021116B (zh) | 一种同源分析知识库的构建方法、同源分析方法及装置 | |
| JP7031438B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
| CN114021138B (zh) | 一种同源分析知识库的构建方法、同源分析方法及装置 | |
| CN113726826B (zh) | 一种威胁情报生成方法及装置 | |
| CN112163217B (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
| CN112597498A (zh) | 一种webshell的检测方法、***、装置及可读存储介质 | |
| CN116414976A (zh) | 文档检测方法、装置及电子设备 | |
| CN113688240A (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
| CN112686029A (zh) | 用于数据库审计***的sql新语句识别方法及装置 | |
| CN113553587B (zh) | 一种文件检测方法、装置、设备及可读存储介质 | |
| CN111858549B (zh) | 一种数据对象特征数据库的构建及更新方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |