2. 技术
  3. 恶意攻击行为定位方法、装置、设备及存储介质与流程

恶意攻击行为定位方法、装置、设备及存储介质与流程

xiaoxiao3月前  39

本公开涉及网络安全领域,特别涉及一种恶意攻击行为定位方法、装置、设备及存储介质。


背景技术:

1、恶意的攻击行为是指攻击者出于恶意原因试图获得对服务器或者网络系统等it(information technology,信息技术)系统的未授权访问。需要准确定位恶意攻击行为并及时进行处理,从而提高it系统安全性。

2、相关技术中,恶意攻击行为定位方法包括:将安全模块中的每条安全日志所指示的源ip(internet protocol,网络之间互联的协议)作为恶意攻击行为的源ip,并对恶意攻击行为的源ip进行封禁。

3、然而,一些攻击行为并不会真正攻破it系统,而仅仅是对it系统进行了试探性访问。如果采用上述方式进行恶意攻击行为定位,则这种攻击行为也会被安全模块记录生成安全日志,进而基于该安全日志将该攻击行为定位为恶意攻击行为,这样会导致安全模块识别出的恶意攻击行为过多。在对恶意攻击行为的源ip进行封禁时,通常是由工作人员进行筛选再进行封禁的,如果安全模块识别出的恶意攻击行为过多,就会导致工作人员的工作量大大增加。


技术实现思路

1、本公开提供了一种恶意攻击行为定位方法、装置、设备及存储介质,能够准确定位恶意攻击行为,减轻工作人员的工作量。所述技术方案至少包括如下方案:

2、第一方面,提供了一种恶意攻击行为定位方法,包括:获取安全日志集合,所述安全日志集合包括多条安全日志,每条所述安全日志用于指示一次触发了网络安全检测规则的攻击行为的特征数据,所述特征数据包括源地址、攻击类型和检测规则类型;基于所述安全日志集合中所述源地址相同的安全日志中,攻击类型和检测规则类型的数量,确定恶意攻击行为的源地址。

3、可选地,所述特征数据还包括被攻击对象的主机名/域名,所述基于所述安全日志集合中所述源地址相同的安全日志中,攻击类型和检测规则类型的数量,确定恶意攻击行为的源地址,包括:统计第一安全日志子集中每条所述安全日志所指示的攻击类型的数目,得到第一攻击数目,在所述第一安全日志子集中,每条所述安全日志所指示的源地址为第一源地址且每条所述安全日志所指示的被攻击对象的主机名/域名为第一被攻击对象的主机名/域名;统计所述第一安全日志子集中每条所述安全日志所指示的检测规则类型的数目,得到第一检测规则数目;基于所述第一攻击数目和所述第一检测规则数目,构建第一恶意池,在存在所述第一恶意池的情况下,所述第一源地址至少为初级类工具恶意攻击行为的源地址。

4、可选地,所述基于所述第一攻击数目和所述第一检测规则数目,构建第一恶意池,包括:在所述第一攻击数目大于1且所述第一检测规则数目大于1的情况下,将所述第一安全日志子集中的安全日志建立为所述第一恶意池,其中,所述第一攻击数目和所述第一检测规则数目为整数。

5、可选地,在存在至少两个所述第一恶意池的情况下,所述基于所述安全日志集合中所述源地址相同的安全日志中,攻击类型和检测规则类型的数量,确定恶意攻击行为的源地址,包括:在所述至少两个第一恶意池中的安全日志所指示的源地址均为所述第一源地址,且所述至少两个第一恶意池中的安全日志所指示的被攻击对象的主机名/域名不同的情况下,基于所述至少两个第一恶意池,构建第二恶意池,在存在所述第二恶意池的情况下,所述第一源地址为高级类工具恶意攻击行为的源地址。

6、可选地,所述方法还包括:对所述恶意攻击行为的源地址进行封禁处理。

7、第二方面,还提供了一种恶意攻击行为定位装置,包括:获取模块,用于获取安全日志集合,所述安全日志集合包括多条安全日志,每条所述安全日志用于指示一次触发了网络安全检测规则的攻击行为的特征数据,所述特征数据包括源地址、攻击类型和检测规则类型;定位模块,用于基于所述安全日志集合中所述源地址相同的安全日志中,攻击类型和检测规则类型的数量,确定恶意攻击行为的源地址。

8、可选地,所述定位模块还用于统计第一安全日志子集中每条所述安全日志所指示的攻击类型的数目,得到第一攻击数目,在所述第一安全日志子集中,每条所述安全日志所指示的源地址为第一源地址且每条所述安全日志所指示的被攻击对象的主机名/域名为第一被攻击对象的主机名/域名;统计所述第一安全日志子集中每条所述安全日志所指示的检测规则类型的数目,得到第一检测规则数目;基于所述第一攻击数目和所述第一检测规则数目,构建第一恶意池,在存在所述第一恶意池的情况下,所述第一源地址至少为初级类工具恶意攻击行为的源地址。

9、可选地,所述定位模块还用于在所述第一攻击数目大于1且所述第一检测规则数目大于1的情况下,将所述第一安全日志子集中的安全日志建立为所述第一恶意池,其中,所述第一攻击数目和所述第一检测规则数目为整数。

10、可选地,在存在至少两个所述第一恶意池的情况下,所述定位模块还用于在所述至少两个第一恶意池中的安全日志所指示的源地址均为所述第一源地址,且所述至少两个第一恶意池中的安全日志所指示的被攻击对象的主机名/域名不同的情况下,基于所述至少两个第一恶意池,构建第二恶意池,在存在所述第二恶意池的情况下,所述第一源地址为高级类工具恶意攻击行为的源地址。

11、可选地,该装置还包括:处理模块,所述处理模块用于对所述恶意攻击行为的源地址进行封禁处理。

12、第三方面,还提供了一种计算机设备,包括:存储器和处理器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,从而执行上述实施例中所述的恶意攻击行为定位方法。

13、第四方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条计算机程序,所述至少一条计算机程序由处理器加载并执行,从而执行上述实施例中所述的恶意攻击行为定位方法。

14、第五方面,提供了一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现第一方面所述的方法。

15、本公开实施例提供的技术方案带来的有益效果至少包括:

16、在本公开实施例中,通过攻击类型和检测规则类型的数量,确定恶意攻击行为的源地址,而不是直接将安全模块中记载的每条安全日志都作为恶意攻击行为并对每个安全日志的源地址进行处理,能够实现对安全日志进行一定的筛选,后续工作人员进行处理时,仅需对筛选后的安全日志所指示的源地址进行处理即可,这样,准确地定位了恶意工具行为并且减轻了工作人员的工作量。



技术特征:

1.一种恶意攻击行为定位方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述特征数据还包括被攻击对象的主机名/域名,所述基于所述安全日志集合中所述源地址相同的安全日志中,攻击类型和检测规则类型的数量,确定恶意攻击行为的源地址,包括:

3.根据权利要求2所述的方法,其特征在于,所述基于所述第一攻击数目和所述第一检测规则数目,构建第一恶意池,包括:

4.根据权利要求2或3所述的方法,其特征在于,在存在至少两个所述第一恶意池的情况下,所述基于所述安全日志集合中所述源地址相同的安全日志中,攻击类型和检测规则类型的数量,确定恶意攻击行为的源地址,包括:

5.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:对所述恶意攻击行为的源地址进行封禁处理。

6.一种恶意攻击行为定位装置,其特征在于,所述装置包括:

7.根据权利要求6所述的恶意攻击行为定位装置,其特征在于,所述特征数据还包括被攻击对象的主机名/域名,所述定位模块还用于:

8.一种计算机设备,其特征在于,所述计算机设备包括:存储器和处理器,所述存储器中存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行,以实现权利要求1至5任一项所述的方法。

9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条计算机程序,所述至少一条计算机程序由处理器加载并执行,以实现权利要求1至5任一项所述的方法。

10.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现权利要求1至5任一项所述的方法。


技术总结
公开了一种恶意攻击行为定位方法、装置、设备及存储介质,属于网络安全领域,该方法包括:获取安全日志集合,安全日志集合包括多条安全日志,每条安全日志用于指示一次触发了网络安全检测规则的攻击行为的特征数据,特征数据包括源地址、攻击类型和检测规则类型;基于安全日志集合中源地址相同的安全日志中,攻击类型和检测规则类型的数量,确定恶意攻击行为的源地址。该方法能够准确定位恶意攻击行为,减轻工作人员的工作量。

技术研发人员:贺虎林,白建武,张雯
受保护的技术使用者:武汉众邦银行股份有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)