本申請涉及網絡安全技術領域，尤其涉及一種攻擊行為分析方法及裝置，獲取網絡安全設備采集到的各網絡會話數據；分別針對各網絡會話數據，根據預設的頻繁事件序列挖掘算法，從任意一會話數據所包含的各事件組成的事件序列中，確定出各頻繁事件序列模式；根據確定出的各網絡會話數據的各頻繁事件序列模式，對各網絡會話數據進行聚類，獲得各類網絡會話數據；分別針對各類網絡會話數據，識別任意一類網絡會話數據中包含的各命令的命令狀態類別，并基于識別后的各命令，以及識別后的各命令之間的調用順序，分析該類網絡會話數據的攻擊行為，這樣，能夠提高攻擊行為識別的準確度。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種攻擊行為分析方法及裝置。

背景技術

目前，隨著物聯網技術的快速發展，大量物聯網上暴露的智能設備和服務，已成為網絡攻擊者發動大規模攻擊的首選，因此，對這些攻擊行為進行分析是非常有必要的。

現有技術中，在對攻擊者的攻擊行為進行分析時，通常是基于流量異常波動的檢測技術實現的，但是，由于現有技術中的這種方式中，流量峰值的閾值是人為選取的，而實際上，真正的攻擊行為是不存在一個固定閾值的，通過現有技術中的方式無法檢測到一些慢速攻擊類型的攻擊行為，例如，分布式拒絕服務攻擊(Distributed denial of serviceattack，DDoS)，因此，現有技術中的這種攻擊行為檢測方式的準確度較低。

發明內容

本申請實施例提供一種攻擊行為分析方法及裝置，以提高攻擊行為分析的準確度。

本申請實施例提供的具體技術方案如下：

一種攻擊行為分析方法，包括：

獲取網絡安全設備采集到的各網絡會話數據；

分別針對所述各網絡會話數據，根據預設的頻繁事件序列挖掘算法，從任意一會話數據所包含的各事件組成的事件序列中，確定出各頻繁事件序列模式，其中，每一個頻繁事件序列模式包括至少一個事件且所述至少一個事件按照在該網絡會話數據中出現的先后順序進行排列；

根據確定出的所述各網絡會話數據的各頻繁事件序列模式，對所述各網絡會話數據進行聚類，獲得各類網絡會話數據；

分別針對各類網絡會話數據，識別任意一類網絡會話數據中包含的各命令的命令狀態類別，并基于識別后的各命令，以及所述識別后的各命令之間的調用順序，分析該類網絡會話數據的攻擊行為。

可選的，獲取網絡安全設備采集到的各網絡會話數據之后，進一步包括：

分別針對所述各網絡會話數據，若確定任意一網絡會話數據的各事件中包含有起始事件和關閉事件，則確定該網絡會話數據的數據類型為完整，并保留所述數據類型為完整的網絡會話數據，若確定該網絡會話數據的各事件中不包含有起始事件和/或關閉事件，則刪除該網絡會話數據。

可選的，根據預設的頻繁事件序列挖掘算法，從任意一會話數據所包含的各事件組成的事件序列中，確定出各頻繁事件序列，具體包括：

將任意一網絡會話數據中包含的各事件作為各一項序列模式，并生成包含有各一項序列模式的初始種子集；

將所述初始種子集中的各一項序列模式進行連接運算，獲得支持度大于預設支持度閾值的各二項序列模式，其中，所述支持度表征包含有任意一個二項序列模式的所有事件序列在該網絡會話數據中所占的比例；

將所述各二項序列模式進行連接運算和修切運算，獲得各三項序列模式，并重復執行上述步驟，直至無法產生新的i項序列模式為止，并將支持度大于所述支持度閾值的i項序列模式，作為該網絡會話數據的各頻繁事件序列模式，其中，i為正整數，且大于等于3。

可選的，將所述各二項序列模式進行連接運算和修切運算，獲得各三項序列模式，具體包括：