网络攻击溯源分析方法及相关装置与流程

所属的技术人员能够理解，本技术的各方面可以实现为系统、方法或程序产品。因此，本技术的各方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。在一种可能的实现方式中，本技术实施例提供的电子设备可以至少包括处理器和存储器。其中，存储器存储有计算机程序，当计算机程序被处理器执行时，使得处理器执行本技术中各种示例性实施方式的网络攻击溯源分析方法中的任一步骤。在该实施例中，电子设备的机构可以如图7所示，包括存储器701，通讯模块703以及一个或多个处理器702。存储器701，用于存储处理器702执行的计算机程序。存储器701可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统，以及运行即时通讯功能所需的程序等；存储数据区可存储各种即时通讯信息和操作指令集等。存储器701可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，ram)；存储器701也可以是非易失性存储器(non-volatilememory)，例如只读存储器，快闪存储器(flash memory)，硬盘(hard disk drive，hdd)或固态硬盘(solid-state drive，ssd)；或者存储器701是能够用于携带或存储具有指令或数据机构形式的期望的计算机程序并能够由计算机存取的任何其他介质，但不限于此。存储器701可以是上述存储器的组合。处理器702，可以包括一个或多个中央处理单元(central processing unit，cpu)或者为数字处理单元等等。处理器702，用于调用存储器701中存储的计算机程序时实现上述网络攻击溯源分析方法。通讯模块703用于与终端设备和其他服务器进行通信。本技术实施例中不限定上述存储器701、通讯模块703和处理器702之间的具体连接介质。本技术实施例在图7中以存储器701和处理器702之间通过总线704连接，总线704在图7中以粗线描述，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线704可以分为地址总线、数据总线、控制总线等。为便于描述，图7中仅用一条粗线描述，但并不描述仅有一根总线或一种类型的总线。存储器701中存储有计算机存储介质，计算机存储介质中存储有计算机可执行指令，计算机可执行指令用于实现本技术实施例的网络攻击溯源分析方法。处理器702用于执行上述的网络攻击溯源分析方法。在一些可能的实施方式中，本技术提供的网络攻击溯源分析方法的各方面还可以实现为一种程序产品的形式，其包括计算机程序，当程序产品在电子设备上运行时，计算机程序用于使电子设备执行本说明书上述描述的基于本技术各种示例性实施方式的网络攻击溯源分析方法中的步骤。程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。本技术的实施方式的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括计算机程序，并可以在计算装置上运行。然而，本技术的程序产品不限于此，在本文件中，可读存储介质可以是任何包括或存储程序的有形介质，该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包括的计算机程序可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本技术操作的计算机程序，程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。计算机程序可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中，远程计算装置可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户计算装置，或者，可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包括有计算机可用计算机程序的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本技术是参照基于本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序命令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序命令到通用计算机、专用计算机、嵌入式处理机或其他可编程设备的处理器以产生一个机器，使得通过计算机或其他可编程设备的处理器执行的命令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定功能的装置。这些计算机程序命令也可存储在能引导计算机或其他可编程设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的命令产生包括命令装置的制造品，该命令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定功能。这些计算机程序命令也可装载到计算机或其他可编程设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的命令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定功能的步骤。尽管已描述了本技术的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术范围的所有变更和修改。显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包括这些改动和变型在内。

背景技术：

1、随着网络科技的发展，各式各样的网络攻击层出不穷。且随着网络攻防技术的不断更新和演变，网络攻击越来越多的来自于有组织的行为，呈现出高针对性、高复杂性、高组织性的演变趋势。例如，网络攻击对象通过不同的互联网协议(internet protocol，ip)或伪装成不通过的ip发起一批有组织的相似攻击行为，以窃取目标设备的信息，灌输或改变网络的承载信息，从而直接对网络受众的思想实现改变。网络攻击对象成功进行网络攻击后，往往会给被攻击对象造成巨大损失。因此，针对这种有组织的网络攻击，有必要对网络攻击对象进行同源性溯源分析，以确定网络攻击对象属于哪一网络攻击组织，进一步针对该网络攻击组织中使用的攻击方法制定防御策略，以保障被攻击对象的网络安全。

2、现有技术中，对网络攻击对象进行同源性溯源分析时，主要采用的手段有：基于审计日志数据分析、基于攻击样本分析以及采用深度学习方式分析等。但是基于审计日志分析时，难以获取到网络攻击对象的身份关键信息，难以得到网络的全局状态，最终导致同源性溯源分析结果不准确；基于攻击样本分析时，存在不同的网络攻击组织使用相同攻击样本时，导致网络攻击对象划分错误的问题，影响同源性溯源分析结果的准确性；采用深度学习方式时，一般采用原始流量数据直接作为网络的输入，为了固定输入长度，会对流量数据分组进行补零或者截断，从而影响特征的抽取或导致部分信息缺失，最终导致同源性溯源分析结果不准确。进一步，影响网络安全，给被攻击对象带来损失。

3、因此，如何准确对网络攻击对象进行同源性溯源分析，确定网络攻击对象所属的网络攻击组织，保证网络安全，减少损失是目前需要解决的技术问题。

技术实现思路

1、本技术实施例提供一种网络攻击溯源分析方法及相关装置，用以准确对网络攻击对象进行同源性溯源分析，即确定网络攻击对象所属的网络攻击组织，保证网络安全，减少损失。

2、第一方面，本技术实施例提供一种网络攻击溯源分析方法，该方法包括：

3、从待识别对象的网络流量数据中，提取特征字段的目标特征值；其中，待识别对象为访问行为满足网络攻击行为条件的第一源设备；特征字段至少包括：传输层字段和应用层字段；

4、基于特征字段的字段类型，确定与特征字段匹配的相似度识别方式；

5、基于相似度识别方式，确定目标特征值与历史特征值之间的相似度；其中，历史特征值是基于特征字段，从根据历史网络攻击对象构建的知识库中获取的，历史网络攻击对象是存在网络攻击行为的第二源设备；

6、基于相似度，确定待识别对象所属的网络攻击组织。

7、第二方面，本技术实施例提供一种网络攻击溯源分析装置，该装置包括：

8、提取单元，用于从待识别对象的网络流量数据中，提取特征字段的目标特征值；其中，待识别对象为访问行为满足网络攻击行为条件的第一源设备；特征字段至少包括：传输层字段和应用层字段；

9、第一确定单元，用于基于特征字段的字段类型，确定与特征字段匹配的相似度识别方式；

10、第二确定单元，用于基于相似度识别方式，确定目标特征值与历史特征值之间的相似度；其中，历史特征值是基于特征字段，从根据历史网络攻击对象构建的知识库中获取的，历史网络攻击对象是存在网络攻击行为的第二源设备；

11、第三确定单元，用于基于相似度，确定待识别对象所属的网络攻击组织。

12、在一种可能的实现方式中，提取单元从待识别对象的网络流量数据中，提取特征字段的特征值之前，提取单元还用于：

13、获取目标设备确定待识别对象存在网络攻击行为时，发送的第一流量数据；第一流量数据中至少包括：待识别对象的访问的目标地址的端口；

14、基于目标地址的端口信息，构建探测数据包，并向待识别对象发送探测数据包，以获取待识别对象反馈的第二流量数据；第二流量数据中至少包括：操作服务相关信息；

15、将第一流量数据和第二流量数据，作为网络流量数据。

16、在一种可能的实现方式中，第一确定单元具体用于：

17、若字段类型为字符串类型，则基于字符串格式确定相似度识别方式；

18、若字段类型为列表类型，则相似度识别方式是：基于目标特征值与历史特征值之间的交集，以及目标特征值与历史特征值之间的并集构建的；

19、若字段类型为数值类型，则相似度识别方式是：基于目标特征值与历史特征值之间的数值比较构建的。

20、在一种可能的实现方式中，第一确定单元具体用于：

21、若字符串格式为数字串，则相似度识别方式是：字符编辑距离；

22、若字符串格式为序列文本，则相似度识别方式是：字符序列匹配；

23、若字符串格式为内容文本，则相似度识别方式是：基于tf-idf的余弦相似度。

24、在一种可能的实现方式中，第二确定单元具体用于：

25、识别目标特征值与历史特征值中存在空值的数量，获得数量识别结果；

26、若数量识别结果表征目标特征值与历史特征值均不为空值，则结合相似度识别方式，确定目标特征值与历史特征值之间的相似度。

27、在一种可能的实现方式中，若数量识别结果表征目标特征值与历史特征值均为空值，则确定目标特征值与历史特征值的相似度为1；

28、若数量识别结果表征目标特征值与历史特征值中存在一个空值，则确定目标特征值与历史特征值的相似度为0。

29、在一种可能的实现方式中，第三确定单元具体用于：

30、将各个特征字段对应的相似度进行加权求和，确定待识别对象与历史网络攻击对象之间的综合相似度；

31、对综合相似度进行标准化处理，获得目标相似度，目标相似度的相似度值位于指定区间内；

32、基于目标相似度，确定待识别对象所属的网络攻击组织。

33、在一种可能的实现方式中，第三确定单元具体用于：

34、基于目标相似度，确定待识别对象加入到预设网络攻击组织时，针对预设网络攻击组织生成的模块度增益；

35、在各个模块度增益中存在正增益时，将最大正增益对应的预设网络攻击组织作为待识别对象所属的网络攻击组织；

36、在各个模块度增益均为负增益时，以待识别对象创建一个网络攻击组织。

37、第三方面，本技术实施例提供一种电子设备，包括：存储器和处理器，其中，存储器，用于存储计算机程序；处理器，用于执行计算机程序以实现本技术实施例提供的网络攻击溯源分析的步骤。

38、第四方面，本技术实施例提供一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现本技术实施例提供的网络攻击溯源分析方法的步骤。

39、第五方面，本技术实施例提供一种计算机程序产品，其包括计算机程序，计算机程序存储在计算机可读存储介质中；当电子设备的处理器从计算机可读存储介质读取计算机程序时，处理器执行计算机程序，使得电子设备执行本技术实施例提供的网络攻击溯源分析方法的步骤。

40、本技术有益效果如下：

41、本技术实施例提供一种网络攻击源识别方法、装置、设备及存储介质，涉及网络安全技术领域。在本技术实施例中，首先从待识别对象的网络流量数据中，提取特征字段的目标特征值，特征字段至少包括：传输层字段和应用层字段；基于传输层字段的特征值和应用层字段的特征值，对待识别对象进行同源性溯源分析，相比较审计日志分析，可获取到待识别对象的身份关键信息，得到网络的全局状态，弥补审计日志分析所提供的信息有限的缺陷。因此，基于更加丰富的信息进行同源性溯源分析时，同源性溯源分析结果更加准确。

42、在获取到特征字段的目标特征值后，基于特征字段的字段类型，确定与特征字段匹配的相似度识别方式，并基于相似度识别方式，确定目标特征值与历史特征值之间的相似度，待识别对象为访问行为满足网络攻击行为条件的第一源设备，历史特征值是基于特征字段，从根据历史网络攻击对象构建的知识库中获取的，历史网络攻击对象是存在网络攻击行为的第二源设备；基于相似度，确定待识别对象所属的网络攻击组织。基于多个特征字段的相似度识别和关联分析，确定待识别对象所属的网络攻击组织，以及挖掘出潜在的网络攻击对象，定位攻击源、揭露网络攻击对象身份，实现网络攻击对象溯源。

43、同时，本技术实施例提供的溯源分析方法与基于攻击样本分析相比，基于网络流量数据进行溯源分析，而非基于网络攻击对象使用的攻击工具和攻击样本，有效避免了因不同攻击组织使用同一攻击工具或攻击样本而导致的同源性溯源分析结果不准确的问题；以及与深度学习方式相比，不需要进行模型训练，减少计算，提升效率，且直接基于多个特征字段的特征值计算获得的相似度进行分析，无需进行特征抽取，不存在因特征抽取过程中抽取信息不准确，而导致的同源性溯源分析结果不准确的问题，且避免因模型算法的黑盒特性使决策过程不透明，导致同源性溯源分析过程的支撑证据不足，结果缺乏一定的可解释性和稳定性的问题。

44、综上，本技术实施例提供的网络攻击溯源方法可准确对网络攻击对象进行同源性溯源分析，确定网络攻击对象所属的网络攻击组织，保证网络安全，减少损失。