[发明专利]攻击者分析方法和装置

说明书

本公开提出一种攻击者分析方法和装置，涉及信息安全领域。在本公开中，首先，提取攻击者名称和被攻击者名称；获取与攻击者名称相关联的攻击者信息，以及与被攻击者名称相关联的被攻击者信息；然后，根据攻击者信息和被攻击者信息构建攻击者特征画像；再根据攻击者画像提取每个攻击者的特征数据；最后，利用攻击者的特征数据对攻击者进行聚类分析，以便获取攻击者的关联属性。通过对攻击者进行主动分析，从而获取攻击者的关联属性，实现对攻击者的主动感知，为识别和预测新的攻击者提供了途径，提高了防御者及时避免攻击者的威胁的可能性。

技术领域

本公开涉及信息安全技术领域，特别涉及一种攻击者分析方法和装置。

背景技术

随着互联网技术的快速发展，网络安全事件也呈现出层出不穷的态势。面对这些威胁网络安全的“攻击者”，防御者采取的安全防御技术在不断加强。

在相关技术中，防御技术主要采取被动防御的方式，即在攻击者发起网络攻击之后，采取“事后补救”的方法来面对网络攻击。

发明内容

发明人发现，在相关技术中，采取被动防御的方式面对网络攻击，也就是只有在攻击者发起网络攻击之后才会进行相应防御处理，缺少对攻击的主动感知和响应，无法及时避免攻击者的威胁。

为此，本公开提供一种能够主动识别攻击者的攻击分析方法。

在本公开的实施例中，首先，提取攻击者名称和被攻击者名称；获取与攻击者名称相关联的攻击者信息，以及与被攻击者名称相关联的被攻击者信息；然后，根据攻击者信息和被攻击者信息构建攻击者特征画像；再根据攻击者画像提取每个攻击者的特征数据；最后，利用攻击者的特征数据对攻击者进行聚类分析，以便获取攻击者的关联属性。实现了对攻击者进行主动分析，获取攻击者的关联属性，实现对攻击者的主动感知，为识别和预测新的攻击者提供了途径，提高了防御者及时避免攻击者的威胁的可能性。

根据本公开的一些实施例，提供一种攻击分析方法，其中，包括：提取攻击者名称和被攻击者名称；获取与所述攻击者名称相关联的攻击者信息，以及与所述被攻击者名称相关联的被攻击者信息；根据所述攻击者信息和被攻击者信息构建攻击者特征画像；根据所述攻击者画像提取每个攻击者的特征数据；利用所述攻击者的特征数据对所述攻击者进行聚类分析，以便获取攻击者的关联属性。

在一些实施例中，所述攻击者信息包括攻击者网际互连协议IP地址和攻击类型中的至少一项；所述被攻击者信息包括被攻击者的域名和被攻击者的域名所属种类中的至少一项。

在一些实施例中，所述攻击者特征画像的信息包括攻击频率、攻击类型分布、攻击域名种类、攻击域名重要度、扫描器概率、攻击类型偏好、攻击时间偏好、危害程度中的至少一项。

在一些实施例中，所述攻击频率为在预定时间范围内攻击者发起攻击的天数与所述预定时间范围的比值。

在一些实施例中，所述攻击域名种类表示所述攻击者所攻击的被攻击者域名所属的种类。

在一些实施例中，所述攻击域名重要度表示所述被攻击者的域名的级别重要性，所述攻击域名重要度根据所述被攻击者的域名的攻击次数与最大攻击次数的比值确定。

在一些实施例中，所述扫描器概率为所述攻击者是扫描器的概率。

在一些实施例中，所述攻击类型偏好表示攻击者发动攻击的偏好攻击类型，所述攻击类型偏好根据每种攻击类型所对应的攻击次数，并利用异常值检测算法进行确定。

在一些实施例中，所述攻击时间偏好表示攻击者发动攻击的偏好时间，所述攻击时间偏好根据在预定时间范围内发起攻击的次数，并利用异常值检测算法进行确定。

在一些实施例中，所述异常值检测算法包括孤立森林算法，局部异常因子算法，随机裁剪森林算法和箱型图方法中的一种或多种。