本申請(qǐng)?zhí)峁┝艘环N網(wǎng)絡(luò)攻擊事件分類(lèi)方法、裝置、終端及存儲(chǔ)介質(zhì)，本申請(qǐng)通過(guò)比對(duì)攻擊事件特征之間的編輯距離，判斷攻擊事件之間的相似程度，根據(jù)最小編輯距離值的大小，對(duì)攻擊事件數(shù)據(jù)進(jìn)行聚類(lèi)處理，以便基于攻擊事件數(shù)據(jù)的聚類(lèi)結(jié)果，對(duì)相似程度較高的攻擊事件數(shù)據(jù)進(jìn)行針對(duì)性分析，解決了現(xiàn)有的蜜罐技術(shù)只能檢測(cè)出相關(guān)的攻擊事件數(shù)據(jù)，而且檢測(cè)出的攻擊事件數(shù)據(jù)較為零散，沒(méi)有進(jìn)一步對(duì)攻擊事件數(shù)據(jù)的相似程度進(jìn)行歸類(lèi)，從而導(dǎo)致的難以更加全面掌握攻擊者的攻擊方式的技術(shù)問(wèn)題，有利于提高對(duì)同類(lèi)型攻擊的防御成功率以及對(duì)攻擊者的攻擊溯源成功率。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊事件分類(lèi)方法、裝置、終端及存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，當(dāng)前針對(duì)工業(yè)控制系統(tǒng)的定向攻擊趨勢(shì)明顯，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀長(zhǎng)期處于一種“易攻難守”的狀態(tài)。攻擊方具有單一目標(biāo)，可以采用掃描、踩點(diǎn)等手段全面獲取攻擊目標(biāo)信息，并無(wú)預(yù)期隨時(shí)發(fā)動(dòng)攻擊；而防守方對(duì)攻擊方的動(dòng)機(jī)、手段等一無(wú)所知，更難以預(yù)知下一步的攻擊，通常以防護(hù)為主，必須確保系統(tǒng)無(wú)任何漏洞，并采取全天候監(jiān)測(cè)防護(hù)。即使攻擊失敗，攻擊方受到的損失微乎其微，而防守方將造成巨大且無(wú)法彌補(bǔ)的損失，甚至威脅社會(huì)穩(wěn)定。

目前，工業(yè)控制系統(tǒng)的防護(hù)多采用蜜罐防御技術(shù)，通過(guò)預(yù)設(shè)的蜜罐系統(tǒng)作為誘餌，迷惑攻擊方，誘導(dǎo)其開(kāi)展無(wú)效攻擊，從而保護(hù)真實(shí)系統(tǒng)，而現(xiàn)有的蜜罐技術(shù)多以防御目的為主，只能檢測(cè)出相關(guān)的攻擊事件數(shù)據(jù)，存在難以更加全面地掌握攻擊者的攻擊方式的技術(shù)問(wèn)題。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┝艘环N網(wǎng)絡(luò)攻擊事件分類(lèi)方法、裝置、終端及存儲(chǔ)介質(zhì)，用于解決現(xiàn)有技術(shù)只能檢測(cè)出相關(guān)的攻擊事件數(shù)據(jù)，導(dǎo)致的難以更加全面掌握攻擊者的攻擊方式的技術(shù)問(wèn)題。

首先，本申請(qǐng)第一方面提供了一種網(wǎng)絡(luò)攻擊事件分類(lèi)方法，包括：

獲取由蜜罐捕獲的攻擊事件數(shù)據(jù)；

根據(jù)所述攻擊事件數(shù)據(jù)，提取攻擊事件特征，所述攻擊事件特征具體包括：攻擊路徑以及攻擊手段特征；

通過(guò)編輯距離比較方式，對(duì)所述攻擊事件特征與參考攻擊事件特征進(jìn)行特征比較，以獲得所述攻擊事件特征與所述參考攻擊事件特征的最小編輯距離值，其中，所述參考攻擊事件特征為從攻擊事件集合中的歷史攻擊事件數(shù)據(jù)提取得到的；

根據(jù)所述最小編輯距離值的大小，對(duì)所述攻擊事件數(shù)據(jù)進(jìn)行聚類(lèi)，以獲得所述攻擊事件數(shù)據(jù)的分類(lèi)結(jié)果。

可選地，所述根據(jù)所述最小編輯距離值的大小，對(duì)所述攻擊事件數(shù)據(jù)進(jìn)行聚類(lèi)，以獲得所述攻擊事件數(shù)據(jù)的分類(lèi)結(jié)果具體包括：

當(dāng)所述最小編輯距離值不大于預(yù)設(shè)的編輯距離閾值，則將所述攻擊事件數(shù)據(jù)合并到所述最小編輯距離值對(duì)應(yīng)的攻擊事件集合中；

當(dāng)所述最小編輯距離值大于預(yù)設(shè)的編輯距離閾值，則以所述攻擊事件數(shù)據(jù)為聚類(lèi)中心數(shù)據(jù)，構(gòu)建新的攻擊事件集合。

可選地，所述編輯距離閾值的配置過(guò)程具體包括：

根據(jù)各個(gè)攻擊事件集合的聚類(lèi)中心數(shù)據(jù)，通過(guò)編輯距離比較方式，計(jì)算所述各個(gè)攻擊事件集合的編輯距離平均值，并將所述編輯距離平均值換算為所述編輯距離閾值。

可選地，所述蜜罐具體為高交互蜜罐。

其次，本申請(qǐng)第二方面提供了一種網(wǎng)絡(luò)攻擊事件分類(lèi)裝置，包括：

攻擊事件獲取單元，用于獲取由蜜罐捕獲的攻擊事件數(shù)據(jù)；

攻擊特征提取單元，用于根據(jù)所述攻擊事件數(shù)據(jù)，提取攻擊事件特征，所述攻擊事件特征具體包括：攻擊路徑以及攻擊手段特征；