[发明专利]数据处理方法、装置和计算设备及介质有效
| 申请号: | 201910112321.3 | 申请日: | 2019-02-13 |
| 公开(公告)号: | CN109729095B | 公开(公告)日: | 2021-08-24 |
| 发明(设计)人: | 林子翔;叶盛 | 申请(专利权)人: | 奇安信科技集团股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06K9/62 |
| 代理公司: | 中科专利商标代理有限责任公司 11021 | 代理人: | 杨静 |
| 地址: | 100088 北京市西城区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 数据处理 方法 装置 计算 设备 介质 | ||
1.一种数据处理方法,用于网络攻击者分析,包括:
获取攻击告警信息,所述攻击告警信息包括源IP信息及攻击信息;
至少基于所述源IP信息对所述攻击告警信息进行切片,得到攻击告警切片信息;
对所述攻击告警切片信息进行富化,得到所述攻击告警切片信息的关联信息,所述攻击告警切片信息的关联信息具有至少一个特征标签,其中,所述关联信息与所述源IP信息和/或所述攻击信息相关联,所述关联信息包括以下任意一种或多种:攻击者及使用终端的历史信息、源IP信息的网络活动信息、源IP信息相关的攻击告警信息、源IP信息的域名解析请求记录、攻击类型信息或者攻击工具信息;
基于所述至少一个特征标签进行聚类,得到至少一个集合,其中,所述至少一个集合中的每个集合对应一个攻击者或者一个攻击组织;
获取所述攻击者的关联信息的特征信息,包括获取每个集合的特征信息;以及
基于所述攻击者的关联信息的特征信息获取所述攻击者的画像;
其中,所述至少基于所述源IP信息对所述攻击告警信息进行切片包括基于指定的时间粒度和/或端口信息对所述攻击告警信息进行切片。
2.根据权利要求1所述的方法,其中,所述对所述攻击告警切片信息进行富化包括以下任意一种或多种:
基于所述攻击告警切片信息的源IP信息和/或所述攻击信息在攻击者信息库中进行匹配,得到攻击者及使用终端的历史信息;
获取所述攻击告警切片信息的源IP信息的网络活动信息;
获取所述攻击告警切片信息的源IP信息相关的攻击告警信息;
获取所述攻击告警切片信息的源IP信息的域名解析请求记录;
获取所述攻击告警切片信息的攻击类型信息;
获取所述攻击告警切片信息的攻击工具信息。
3.根据权利要求1所述的方法,其中,所述基于所述攻击者的关联信息的特征信息获取所述攻击者的画像包括:
对所述至少一个集合中的每个集合的特征信息进行特征分析和/或时序关联分析,得到攻击者的画像。
4.根据权利要求1所述的方法,其中,所述特征信息包括:资产属性信息、日常活动信息、恶意活动信息或者终端信息中的至少一种。
5.根据权利要求1所述的方法,其中:
所述获取所述攻击者的关联信息的特征信息包括:对所述攻击者的关联信息进行指纹识别、字典识别、漏洞识别或者工具识别中至少一种识别方式,得到特征信息,其中,
所述指纹识别用于识别攻击者使用的终端的信息,
所述字典识别用于识别攻击者的攻击模式信息,
所述漏洞识别用于识别攻击者利用的漏洞信息及学习能力,以及
所述工具识别用于识别攻击者利用的工具。
6.根据权利要求1所述的方法,还包括:
将所述攻击者的画像存储至攻击者信息库;并且/或者
更新所述攻击者信息库。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安信科技集团股份有限公司,未经奇安信科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910112321.3/1.html,转载请声明来源钻瓜专利网。
