本發明涉及一種基于無監督學習的攻擊者畫像方法及系統，該方法包括步驟：對獲取的報警數據進行預處理，使來源不同的報警數據具有相同的格式及維度；對預處理之后的報警數據進行聚類分析，得到聚類后的數據集；將聚類后的數據集中的信息與預先設立的靜態信息庫中的信息進行交互，實現維度擴充和/或信息補充；對數據進行歸類，得到攻擊者的畫像集合。通過本發明方法及系統得到的攻擊者畫像的特征信息更全面，且更準確，具有重用性。

技術領域

本發明涉及信息安全技術領域，特別涉及一種基于無監督學習的攻擊者畫 像方法及系統。

背景技術

網絡安全和信息化是事關國家安全和國家發展、事關廣大人民群眾工作生 活的重大戰略問題，隨著檢測技術的不斷提升，所能提供的攻擊信息越來越多。 在加強攻擊檢測技術的同時，其中網絡溯源是安全態勢感知中重要的一環。其 中，溯源的一個重要內容就是希望掌握攻擊者的特征，并由此掌握其攻擊偏好， 攻擊意圖等。

申請號為201711392050.9的中國專利申請公開了一種攻擊者畫像方法，其 是利用PDB文件的調試信息找出攻擊者的IP、所屬國家等信息，但網絡環境中 IP地址等信息容易偽造，使得無法最終得到準確的結果，同時給出的攻擊者自 身的信息較為單一(往往只有一個IP)，而且信息不具備重用性，如果之后再出 現類似或者相同的事件，必須重頭來追蹤一次。

發明內容

本發明的目的在于改善現有技術中所存在的上述不足，提供一種基于無監 督學習的攻擊者畫像方法及系統。

為了實現上述發明目的，本發明實施例提供了以下技術方案：

一方面，本發明實施例提供了一種基于無監督學習的攻擊者畫像方法，包 括以下步驟：

步驟1，獲取報警數據信息；

步驟2，對獲取的報警數據信息進行預處理，使來源不同的報警數據信息具 有相同的格式及維度；

步驟3，對預處理之后的報警數據信息進行聚類分析，得到聚類后的數據集；

步驟4，將聚類后的數據集中的信息與預先設立的靜態信息庫中的信息進行 交互，實現維度擴充和/或信息補充；

步驟5，對步驟4中得到的數據進行整理，得到攻擊者的畫像集合。

另一方面，本發明實施例同時提供了一種基于無監督學習的攻擊者畫像系 統，包括以下模塊：

數據收集模塊，用于獲取報警數據信息；

數據預處理模塊，用于對獲取的報警數據信息進行預處理，使來源不同的 報警數據信息具有相同的格式及維度；

數據分析模塊，用于對預處理之后的報警數據信息進行聚類分析，得到聚 類后的數據集；

數據擴充模塊，用于將聚類后的數據集中的信息與預先設立的靜態信息庫 中的信息進行交互，實現維度擴充和/或信息補充；

畫像形成模塊，用于對數據擴充模塊輸出的數據進行歸類，得到攻擊者的 畫像集合。

再一方面，本發明實施例同時提供了一種包括計算機可讀指令的計算機可 讀存儲介質，所述計算機可讀指令在被執行時使處理器執行本發明實施例中所 述方法中的操作。

再一方面，本發明實施例同時提供了一種電子設備，包括：存儲器，存儲 程序指令；處理器，與所述存儲器相連接，執行存儲器中的程序指令，實現本 發明實施例中所述方法中的步驟。