[发明专利]一种攻击面可视化的方法、系统及存储介质

权利要求书

1.一种攻击面可视化方法，其特征在于，所述方法包括：

静态检测基于网络功能虚拟化的通信网络的多个第一流量，由于所述第一流量为属于不同网络切片的流量，需要根据物理网络将不同网络切片来源的多个第一流量整合为第二流量；

接收携带有网络切片标识的多个接入请求，根据所述网络切片标识确定待接入的网络切片对应的源点，从所述源点获取所述多个第一流量的前后关联信息，分别提取所述多个第一流量中携带的全部标识信息，将所述多个第一流量按照前后关联信息整合为所述第二流量，并在所述第二流量中插入所述全部标识信息；

其中，所述整合包括：根据按照不同的源点将多个第一流量整合为若干个第二流量，每个第二流量对应一个源点；或者，按照指令要求，将指定源点的第一流量整合为一个第二流量；

使用不同的聚类算法，分别对应用户标识信息、业务标识信息、设备标识信息三类标识，得到多维特征集，并根据标识类型占比的多少，动态确定所述多维特征集对应的检测参数和规则，对特征向量加权形成多维检测样本，将所述多维检测样本送入第一机器学习模型，检测是否包括第一攻击向量；

获取数据库的历史异常数据，模拟出指定类型的网络攻击流量，所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量；

将模拟的所述网络攻击流量送入第一机器学习模型，此时的第一机器学习模块作为判别器，判别所述网络攻击流量与当前网络流量之间的相似度，当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时，则认定所述第一机器学习模型能够正确识别出所模拟的网络攻击，完成训练；

当所述第一机器学习模型检测出所述多维检测样本中包括第一攻击向量时，标记所述第一攻击向量所在的特征集为异常，根据特征集的类型开始对第一攻击向量进行针对性溯源；

当所述异常的特征集是用户类型时，获取数据库的用户关系链，所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种，每一种关系下每一个人为所述用户关系链的一个节点，根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种，判断是否包括所述第一攻击向量，如果检测到所述第一攻击向量，则标记该节点为攻击轨迹在途点；

当所述异常的特征集是业务类型时，根据业务流程规定的前后关系、具体业务动作的经办人，得到业务关系链，每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点，检测每一个节点是否包括所述第一攻击向量，如果是，则标记该节点为攻击轨迹在途点；

当所述异常的特征集是设备类型时，获取设备上传输的数据流、用户使用情况、业务办理情况，得到设备关系链，每一个数据包、用户账号、业务动作作为所述设备关系链的一个节点，检测每一个节点是否包括所述第一攻击向量，如果是，则标记该节点为攻击轨迹在途点；

连接所有的攻击轨迹在途点，形成完整的攻击轨迹，溯源得到的异常攻击的源点，判断并行存在的攻击轨迹之间是否存在逻辑关联，如果存在，则将并行存在的两条攻击轨迹中邻近的在途点串联起来，可视化形成一幅与所述第一流量的全部标识信息对应的攻击面；

将所述攻击面的图形数据送入第二机器学习模型，此时的第二机器学习模块作为判别器，对所述攻击面进行形态分析，比较所述攻击面的形状和覆盖范围与数据库中历史攻击面的形态数据的相似度，当相似度数值落入预设的区间内时，则认定当前所述攻击面与历史某一攻击面形态吻合，根据所述历史某一攻击面的被攻击情况，动态制定可视化的防御策略。

2.根据权利要求1所述的方法，其特征在于：所述防御策略包括：完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种；

根据网络节点的负载情况自动部署防御策略，若异常攻击的源点负载小于预设的阈值，则直接在源点部署，否则，为源点选择负载小于阈值的邻近网络节点部署，切断源点向外传输的路径；

当所述邻近网络节点的负载上升大于阈值时，先判断源点负载是否还大于阈值，如果是，为源点切换到第二邻近网络节点部署策略，所述第二邻近网络节点是在源点潜在的传播路径上；

定期检测源点的负载情况，当负载稳定小于阈值时，则将部署切换回源点。