[發明專利]一種攻擊行為分析方法及裝置有效
| 申請號: | 202011614330.1 | 申請日: | 2020-12-30 |
| 公開(公告)號: | CN112751863B | 公開(公告)日: | 2022-07-22 |
| 發明(設計)人: | 劉文懋;周鴻屹;王煥然 | 申請(專利權)人: | 綠盟科技集團股份有限公司;北京神州綠盟科技有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;G06K9/62 |
| 代理公司: | 北京同達信恒知識產權代理有限公司 11291 | 代理人: | 馮艷蓮 |
| 地址: | 100089 北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 攻擊行為 分析 方法 裝置 | ||
1.一種攻擊行為分析方法,其特征在于,包括:
獲取網絡安全設備采集到的各網絡會話數據;
分別針對所述各網絡會話數據,根據預設的頻繁事件序列挖掘算法,從任意一會話數據所包含的各事件組成的事件序列中,確定出各頻繁事件序列模式,其中,每一個頻繁事件序列模式包括至少一個事件且所述至少一個事件按照在該網絡會話數據中出現的先后順序進行排列;
根據確定出的所述各網絡會話數據的各頻繁事件序列模式,對所述各網絡會話數據進行聚類,獲得各類網絡會話數據;
分別針對各類網絡會話數據,識別任意一類網絡會話數據中包含的各命令的命令狀態類別,并基于識別后的各命令,以及所述識別后的各命令之間的調用順序,分析該類網絡會話數據的攻擊行為。
2.如權利要求1所述的方法,其特征在于,獲取網絡安全設備采集到的各網絡會話數據之后,進一步包括:
分別針對所述各網絡會話數據,若確定任意一網絡會話數據的各事件中包含有起始事件和關閉事件,則確定該網絡會話數據的數據類型為完整,并保留所述數據類型為完整的網絡會話數據,若確定該網絡會話數據的各事件中不包含有起始事件和/或關閉事件,則刪除該網絡會話數據。
3.如權利要求2所述的方法,其特征在于,根據預設的頻繁事件序列挖掘算法,從任意一會話數據所包含的各事件組成的事件序列中,確定出各頻繁事件序列,具體包括:
將任意一網絡會話數據中包含的各事件作為各一項序列模式,并生成包含有各一項序列模式的初始種子集;
將所述初始種子集中的各一項序列模式進行連接運算,獲得支持度大于預設支持度閾值的各二項序列模式,其中,所述支持度表征包含有任意一個二項序列模式的所有事件序列在該網絡會話數據中所占的比例;
將所述各二項序列模式進行連接運算和修切運算,獲得各三項序列模式,并重復執行上述步驟,直至無法產生新的i項序列模式為止,并將支持度大于所述支持度閾值的i項序列模式,作為該網絡會話數據的各頻繁事件序列模式,其中,i為正整數,且大于等于3。
4.如權利要求3所述的方法,其特征在于,將所述各二項序列模式進行連接運算和修切運算,獲得各三項序列模式,具體包括:
將各二項序列模式進行連接運算,獲得各候選的三項序列模式;
分別針對所述各候選的三項序列模式,若確定任意一個候選的三項序列模式的其中一個子序列不為二項序列模式,則將該候選的三項序列模式刪除,若確定該候選的三項序列模式的各子序列均為二項序列模式,則保留該候選的三項序列模式;
將保留的各候選的三項序列模式,作為各三項序列模式。
5.如權利要求1所述的方法,其特征在于,根據確定出的所述各網絡會話數據的各頻繁事件序列模式,對所述各網絡會話數據進行聚類,獲得各類網絡會話數據,具體包括:
分別根據各網絡會話數據所包含的頻繁序列模式,對所述各網絡會話數據進行特征提取,確定所述各網絡會話數據的特征向量;
分別針對所述各網絡會話數據,確定任意一網絡會話數據的特征向量與其余的各網絡會話數據的特征向量之間的歐式距離;
根據計算獲得的各歐式距離,對所述各網絡會話數據進行聚類,并獲得聚類后的各網絡會話數據。
6.一種攻擊行為分析裝置,其特征在于,包括:
獲取模塊,用于獲取網絡安全設備采集到的各網絡會話數據;
第一處理模塊,用于分別針對所述各網絡會話數據,根據預設的頻繁事件序列挖掘算法,從任意一會話數據所包含的各事件組成的事件序列中,確定出各頻繁事件序列模式,其中,每一個頻繁事件序列模式包括至少一個事件且所述至少一個事件按照在該網絡會話數據中出現的先后順序進行排列;
聚類模塊,用于根據確定出的所述各網絡會話數據的各頻繁事件序列模式,對所述各網絡會話數據進行聚類,獲得各類網絡會話數據;
分析模塊,用于分別針對各類網絡會話數據,識別任意一類網絡會話數據中包含的各命令的命令狀態類別,并基于識別后的各命令,以及所述識別后的各命令之間的調用順序,分析該類網絡會話數據的攻擊行為。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于綠盟科技集團股份有限公司;北京神州綠盟科技有限公司,未經綠盟科技集團股份有限公司;北京神州綠盟科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011614330.1/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種砂輪切削液供給裝置
- 下一篇:一種智慧園區電動車防盜系統





