[发明专利]一种网络攻击事件分类方法、装置、终端及存储介质

说明书

本申请提供了一种网络攻击事件分类方法、装置、终端及存储介质，本申请通过比对攻击事件特征之间的编辑距离，判断攻击事件之间的相似程度，根据最小编辑距离值的大小，对攻击事件数据进行聚类处理，以便基于攻击事件数据的聚类结果，对相似程度较高的攻击事件数据进行针对性分析，解决了现有的蜜罐技术只能检测出相关的攻击事件数据，而且检测出的攻击事件数据较为零散，没有进一步对攻击事件数据的相似程度进行归类，从而导致的难以更加全面掌握攻击者的攻击方式的技术问题，有利于提高对同类型攻击的防御成功率以及对攻击者的攻击溯源成功率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络攻击事件分类方法、装置、终端及存储介质。

背景技术

随着互联网技术的快速发展，当前针对工业控制系统的定向攻击趋势明显，工业控制系统网络安全防护现状长期处于一种“易攻难守”的状态。攻击方具有单一目标，可以采用扫描、踩点等手段全面获取攻击目标信息，并无预期随时发动攻击；而防守方对攻击方的动机、手段等一无所知，更难以预知下一步的攻击，通常以防护为主，必须确保系统无任何漏洞，并采取全天候监测防护。即使攻击失败，攻击方受到的损失微乎其微，而防守方将造成巨大且无法弥补的损失，甚至威胁社会稳定。

目前，工业控制系统的防护多采用蜜罐防御技术，通过预设的蜜罐系统作为诱饵，迷惑攻击方，诱导其开展无效攻击，从而保护真实系统，而现有的蜜罐技术多以防御目的为主，只能检测出相关的攻击事件数据，存在难以更加全面地掌握攻击者的攻击方式的技术问题。

发明内容

本申请提供了一种网络攻击事件分类方法、装置、终端及存储介质，用于解决现有技术只能检测出相关的攻击事件数据，导致的难以更加全面掌握攻击者的攻击方式的技术问题。

首先，本申请第一方面提供了一种网络攻击事件分类方法，包括：

获取由蜜罐捕获的攻击事件数据；

根据所述攻击事件数据，提取攻击事件特征，所述攻击事件特征具体包括：攻击路径以及攻击手段特征；

通过编辑距离比较方式，对所述攻击事件特征与参考攻击事件特征进行特征比较，以获得所述攻击事件特征与所述参考攻击事件特征的最小编辑距离值，其中，所述参考攻击事件特征为从攻击事件集合中的历史攻击事件数据提取得到的；

根据所述最小编辑距离值的大小，对所述攻击事件数据进行聚类，以获得所述攻击事件数据的分类结果。

可选地，所述根据所述最小编辑距离值的大小，对所述攻击事件数据进行聚类，以获得所述攻击事件数据的分类结果具体包括：

当所述最小编辑距离值不大于预设的编辑距离阈值，则将所述攻击事件数据合并到所述最小编辑距离值对应的攻击事件集合中；

当所述最小编辑距离值大于预设的编辑距离阈值，则以所述攻击事件数据为聚类中心数据，构建新的攻击事件集合。

可选地，所述编辑距离阈值的配置过程具体包括：

根据各个攻击事件集合的聚类中心数据，通过编辑距离比较方式，计算所述各个攻击事件集合的编辑距离平均值，并将所述编辑距离平均值换算为所述编辑距离阈值。

可选地，所述蜜罐具体为高交互蜜罐。

其次，本申请第二方面提供了一种网络攻击事件分类装置，包括：

攻击事件获取单元，用于获取由蜜罐捕获的攻击事件数据；

攻击特征提取单元，用于根据所述攻击事件数据，提取攻击事件特征，所述攻击事件特征具体包括：攻击路径以及攻击手段特征；