[发明专利]攻击团伙的跟踪识别方法、装置、设备及存储介质

权利要求书

1.一种攻击团伙的跟踪识别方法，其特征在于，包括：

根据多个时间窗口的网络安全数据，确定多个时间窗口的团伙划分结果，其中，每两个相邻时间窗口部分重合，每个时间窗口的团伙划分结果包括多个团伙，每个团伙由多个攻击资源实体组成，攻击资源实体之间的关系图谱是根据每个时间窗口的网络安全数据生成的；

对于所述多个时间窗口中第一时间窗口中的第一团伙，从第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙，其中，所述第一时间窗口与所述第二时间窗口相邻；

分别确定所述共有攻击资源实体对于所述第一团伙和所述第二团伙的归属度；其中，通过如下步骤确定所述共有攻击资源实体对于所述第一团伙的归属度：从所述关系图谱中确定所述共有攻击资源实体的邻居攻击资源实体，获取所述邻居攻击资源实体与所述第一团伙的归属关系，根据归属于所述第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比，确定所述归属度，其中，获取所述共有攻击资源实体的属性信息，确定与所述属性信息匹配的属性权重，根据所述属性权重和所述占比，确定所述归属度；

根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体，构建所述第一团伙和所述第二团伙之间的演化路径，其中，所述共有攻击资源实体与所述演化路径一一对应；

对于每条演化路径，根据对应的共有攻击资源实体对于所述第一团伙的第一归属度以及对于所述第二团伙的第二归属度，确定该演化路径的权重；

将所有演化路径的权重求和，生成所述第一团伙和所述第二团伙之间的演化权重，以根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系，其中，在所述演化权重大于预设阈值的情况下，确定所述第一团伙和所述第二团伙之间存在演化关系。

2.如权利要求1所述的方法，其特征在于，所述根据多个时间窗口的网络安全数据，确定多个时间窗口的团伙划分结果，包括：

根据每个时间窗口的网络安全数据，生成攻击资源实体之间的关系图谱；

通过划分算法对所述关系图谱进行划分，确定该时间窗口的团伙划分结果。

3.一种攻击团伙的跟踪识别装置，其特征在于，包括：

划分模块，用于根据多个时间窗口的网络安全数据，确定多个时间窗口的团伙划分结果，其中，每两个相邻时间窗口部分重合，每个时间窗口的团伙划分结果包括多个团伙，每个团伙由多个攻击资源实体组成，攻击资源实体之间的关系图谱是根据每个时间窗口的网络安全数据生成的；

共有实体确定模块，用于对于所述多个时间窗口中第一时间窗口中的第一团伙，从第二时间窗口对应的所有团伙中确定存在共有攻击资源实体的第二团伙，其中，所述第一时间窗口与所述第二时间窗口相邻；

归属确定模块，用于分别确定所述共有攻击资源实体对于所述第一团伙和所述第二团伙的归属度；其中，通过如下步骤确定所述共有攻击资源实体对于所述第一团伙的归属度：从所述关系图谱中确定所述共有攻击资源实体的邻居攻击资源实体，获取所述邻居攻击资源实体与所述第一团伙的归属关系，根据归属于所述第一团伙的邻居攻击资源实体在所有邻居攻击资源实体的占比，确定所述归属度，其中，获取所述共有攻击资源实体的属性信息，确定与所述属性信息匹配的属性权重，根据所述属性权重和所述占比，确定所述归属度；

演化确定模块，用于根据所述第一团伙和所述第二团伙之间所有共有攻击资源实体，构建所述第一团伙和所述第二团伙之间的演化路径，其中，所述共有攻击资源实体与所述演化路径一一对应；对于每条演化路径，根据对应的共有攻击资源实体对于所述第一团伙的第一归属度以及对于所述第二团伙的第二归属度，确定该演化路径的权重；将所有演化路径的权重求和，生成所述第一团伙和所述第二团伙之间的演化权重，以根据所述演化权重确定所述第一团伙和第二团伙之间的演化关系，其中，在所述演化权重大于预设阈值的情况下，确定所述第一团伙和所述第二团伙之间存在演化关系。

4.一种电子设备，其特征在于，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现上述权利要求1或2所述的攻击团伙的跟踪识别方法。

5.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述权利要求1或2所述的攻击团伙的跟踪识别方法。