申请/专利权人:国家计算机网络与信息安全管理中心;国家计算机网络与信息安全管理中心浙江分中心;北京邮电大学
申请日:2022-05-17
公开(公告)日:2024-03-12
公开(公告)号:CN115225308B
主分类号:H04L9/40
分类号:H04L9/40;G06F18/22
优先权:
专利状态码:有效-授权
法律状态:2024.03.12#授权;2022.11.08#实质审查的生效;2022.10.21#公开
摘要:本申请提供一种大规模群体攻击流量的攻击团伙识别方法及相关设备。该方法包括:获取预设时间攻击流量的日志数据,并对日志数据进行预处理,得到预处理数据;根据预处理数据建立关系字典,并根据关系字典构建交换矩阵模型;对交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙。无需多种类型的流量,使得攻击团伙识别的限制小、可扩展性强,因此适用于各类流量的攻击团伙识别,能够高效精确识别出攻击团伙。
主权项:1.一种大规模群体攻击流量的攻击团伙识别方法,其特征在于,包括:获取预设时间攻击流量的日志数据,并对所述日志数据进行预处理,得到预处理数据;根据所述预处理数据建立关系字典,并根据所述关系字典构建交换矩阵模型,包括:根据所述关系字典构建关系图,并按照预设长度值对所述关系图进行元路径长度值设置,得到所述交换矩阵模型,所述关系图包括下列至少之一:向量数据类型信息、时间维度信息和关系信息,关系信息包括不同攻击源在相同的攻击时间使用的攻击端口IP的数据信息、不同攻击源IP在相同的攻击时间攻击的目的端口IP的数据信息、不同攻击源IP进行攻击的日期的数据信息和不同攻击源IP在同一日期进行攻击的次数的数据信息;对所述交换矩阵模型进行相似度计算处理,识别出至少一个攻击团伙,包括:基于所述关系信息通过基于元路径的相似度算法对所述交换矩阵模型中任意两个攻击源IP进行计算处理,得到多个相似度量值并对其进行比对分析;响应于确定所述多个相似度量值中任一相似度量值小于预设的阈值,将该相似度量值对应的两个攻击源IP确定为不同攻击团伙,响应于确定所述多个相似度量值中所述任一相似度量值大于所述预设的阈值,将该相似度量值对应的两个攻击源IP确定为同一攻击团伙,响应于确定完成全部所述多个相似度量值的比对分析,以识别出所述至少一个攻击团伙。
全文数据:
权利要求:
百度查询: 国家计算机网络与信息安全管理中心;国家计算机网络与信息安全管理中心浙江分中心;北京邮电大学 大规模群体攻击流量的攻击团伙识别方法及相关设备
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。