[发明专利]一种面向多样本组合攻击的溯源方法和装置

说明书

本发明涉及一种面向多样本组合攻击的溯源方法和装置，该方法包括：检测到攻击触发事件；获取至少两个待溯源的攻击样本；对至少两个待溯源的攻击样本进行特征提取，获得每一个待溯源的攻击样本的特征信息；根据每一个待溯源的攻击样本的特征信息和预先创建的目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果。本方案能够提高面向多样本组合攻击的溯源效率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种面向多样本组合攻击的溯源方法和装置。

背景技术

高级持续性威胁(Advanced Persistent Threat，APT)，不同于传统的网络入侵，往往采用多个攻击样本对网络信息系统进行组合攻击，由于其危险性高、检测难度大、持续时间长且攻击目标明确，对网络安全造成了严重的威胁，为了恢复网络安全，必须尽快对网络攻击进行溯源，以找到解决办法。

目前，大多数恶意攻击样本溯源分析手段主要针对单个样本，并不适用于APT多样本组合攻击，且现有溯源分析方案大多具有一定的局限性。APT中的攻击样本来自多个攻击组织，因此目前主要依赖专业分析人员的经验对这种混淆攻击手段进行分析溯源，同时溯源分析需要进行大量的数据积累，随着APT攻击手段的不断变化，会产生海量的特征数据，这样就会增大分析人员的溯源难度，增加了溯源分析的时间，从而导致面向多样本组合攻击的溯源效率较低。

鉴于此，针对以上不足，需要提供一种面向多样本组合攻击的溯源方法和装置来解决上述不足。

发明内容

本发明要解决的技术问题在于如何提高面向多样本组合攻击的溯源效率，针对现有技术中的缺陷，提供了一种面向多样本组合攻击的溯源方法和装置。

为了解决上述技术问题，第一方面，本发明提供了一种面向多样本组合攻击的溯源方法，该方法包括：

检测到攻击触发事件；

获取至少两个待溯源的攻击样本；

对所述至少两个待溯源的攻击样本进行特征提取，获得每一个待溯源的攻击样本的特征信息；

根据所述每一个待溯源的攻击样本的特征信息和预先创建的贝叶斯溯源模型，得到所述至少两个待溯源的攻击样本的溯源结果。

可选地，根据所述每一个待溯源的攻击样本的特征信息和预先创建的目标贝叶斯溯源模型，得到所述至少两个待溯源的攻击样本的溯源结果，包括：

对所述每一个待溯源的攻击样本的特征信息进行筛选，获得对应每一个待溯源攻击样本的目标特征子集；

将所述每一个待溯源攻击样本的目标特征子集输入所述目标贝叶斯溯源模型，得到所述至少两个待溯源的攻击样本的溯源结果。

可选地，所述目标贝叶斯溯源模型的创建方法包括：

获取至少两组历史攻击样本；其中，每一组历史攻击样本包括至少两个攻击样本；

对所述至少两组历史攻击样本进行特征提取，获得对应每一组历史攻击样本的特征集；

构建贝叶斯溯源模型；

利用所述每一组历史攻击样本的特征集对所述贝叶斯溯源模型进行训练，得到目标贝叶斯溯源模型。

可选地，所述对所述至少两组历史攻击样本进行特征提取，获得对应每一组历史攻击样本的特征集，包括：

针对每一组历史攻击样本，均执行：

对该组历史攻击样本所包括的至少两个攻击样本进行特征提取，获得对应每一个攻击样本的特征信息；

对所述每一个攻击样本的特征信息进行筛选，获得对应该攻击样本的特征子集；其中，所述特征子集包括筛选后的每一个攻击样本的特征信息；