本發(fā)明涉及網(wǎng)絡(luò)檢測(cè)領(lǐng)域,具體而言,涉及一種網(wǎng)絡(luò)攻擊源的檢測(cè)方法和裝置。
背景技術(shù):
在電網(wǎng)的信息化建設(shè)中,涉及多個(gè)業(yè)務(wù)系統(tǒng),業(yè)務(wù)系統(tǒng)的規(guī)模龐大而復(fù)雜,隨著信息化建設(shè)的不斷深入,網(wǎng)絡(luò)安全問(wèn)題也日益得到關(guān)注。目前在網(wǎng)絡(luò)安全方面,一般部署的是防火墻、ids(入侵檢測(cè)系統(tǒng))等安全產(chǎn)品,不具有對(duì)網(wǎng)絡(luò)內(nèi)大量數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力,但隨著網(wǎng)絡(luò)攻擊手段的不斷提升,攻擊方式在不斷變換,網(wǎng)絡(luò)中會(huì)存在大量攻擊數(shù)據(jù),現(xiàn)有的安全防護(hù)手段,不能有效確定這些攻擊的源頭,無(wú)法在出現(xiàn)網(wǎng)絡(luò)攻擊時(shí)提供可靠、有力的安全保障。
深度打擊網(wǎng)絡(luò)攻擊,保障信息安全迫在眉睫,大數(shù)據(jù)作為一個(gè)重要的生產(chǎn)因素已經(jīng)迅速發(fā)展為國(guó)家高度關(guān)注的重點(diǎn),在網(wǎng)絡(luò)攻擊日趨多樣化的現(xiàn)狀下,大數(shù)據(jù)分析已經(jīng)成為必然趨勢(shì),信息安全必然需要大數(shù)據(jù)的保駕護(hù)航。目前的網(wǎng)絡(luò)攻擊分析,安全事件追溯,只通過(guò)傳統(tǒng)的安全設(shè)備去追查難免出現(xiàn)信息孤島,信息缺失等情況。
針對(duì)上述的相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí),確定網(wǎng)絡(luò)攻擊的源頭的效率低的問(wèn)題,目前尚未提出有效的解決方案。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)攻擊源的檢測(cè)方法和裝置,以至少解決相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí),確定網(wǎng)絡(luò)攻擊的源頭的效率低的技術(shù)問(wèn)題。
根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種網(wǎng)絡(luò)攻擊源的檢測(cè)方法,包括:采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源,其中,所述目標(biāo)數(shù)據(jù)源包括產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源;對(duì)所述目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作;對(duì)經(jīng)過(guò)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,建立數(shù)據(jù)模型庫(kù),其中,所述數(shù)據(jù)模型庫(kù)中包括對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行分析之后得到的分析結(jié)果;根據(jù)所述分析結(jié)果確定所述攻擊源。
進(jìn)一步地,對(duì)經(jīng)過(guò)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,建立數(shù)據(jù)模型庫(kù)包括:通過(guò)數(shù)據(jù)挖掘技術(shù),得到所述預(yù)處理操作后的數(shù)據(jù)的特征信息、關(guān)聯(lián)信息以及模式信息;根據(jù)所述特征信息、所述關(guān)聯(lián)信息以及所述模式信息建立所述數(shù)據(jù)模型庫(kù)。
進(jìn)一步地,在根據(jù)所述特征信息、關(guān)聯(lián)信息以及模式信息建立所述數(shù)據(jù)模型庫(kù)之后,所述方法還包括:根據(jù)輸入的算法參數(shù),調(diào)用所述數(shù)據(jù)模型庫(kù)中存儲(chǔ)的目標(biāo)數(shù)據(jù);通過(guò)調(diào)用的所述目標(biāo)數(shù)據(jù),建立模型評(píng)估體系,其中,所述模型評(píng)估體系用于對(duì)產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源進(jìn)行評(píng)估,得到評(píng)估參數(shù);根據(jù)所述分析結(jié)果確定所述攻擊源包括:基于所述數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的模式及特征,確定所述數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化;根據(jù)所述數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化和所述評(píng)估參數(shù),確定所述攻擊源。
進(jìn)一步地,對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作包括:利用目標(biāo)技術(shù)對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作,其中,所述目標(biāo)技術(shù)包括以下至少一種:數(shù)據(jù)切片技術(shù)、數(shù)據(jù)分類技術(shù)、數(shù)據(jù)聚合技術(shù)以及數(shù)據(jù)索引標(biāo)記技術(shù),所述預(yù)處理操作包括下述至少之一:聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作。
根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種存儲(chǔ)介質(zhì),所述存儲(chǔ)介質(zhì)包括存儲(chǔ)的程序,其中,所述程序執(zhí)行上述實(shí)施例中任意一項(xiàng)所述的網(wǎng)絡(luò)攻擊源的檢測(cè)方法。
根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種處理器,所述處理器用于運(yùn)行程序,其中,所述程序運(yùn)行時(shí)執(zhí)行上述實(shí)施例中任意一項(xiàng)所述的網(wǎng)絡(luò)攻擊源的檢測(cè)方法。
根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種網(wǎng)絡(luò)攻擊源的檢測(cè)裝置,包括:采集單元,用于采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源,其中,所述目標(biāo)數(shù)據(jù)源包括產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源;預(yù)處理單元,用于對(duì)所述目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作;第一建立單元,用于對(duì)經(jīng)過(guò)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,建立數(shù)據(jù)模型庫(kù),其中,所述數(shù)據(jù)模型庫(kù)中包括對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行分析之后得到的分析結(jié)果;確定單元,用于根據(jù)所述分析結(jié)果確定所述攻擊源。
進(jìn)一步地,所述第一建立單元包括:確定子模塊,用于通過(guò)數(shù)據(jù)挖掘技術(shù),得到所述預(yù)處理操作后的數(shù)據(jù)的特征信息、關(guān)聯(lián)信息以及模式信息;建立子模塊,用于根據(jù)所述特征信息、所述關(guān)聯(lián)信息以及所述模式信息建立所述數(shù)據(jù)模型庫(kù)。
進(jìn)一步地,所述裝置還包括:調(diào)用單元,用于在根據(jù)所述特征信息、關(guān)聯(lián)信息以及模式信息建立所述數(shù)據(jù)模型庫(kù)之后,根據(jù)輸入的算法參數(shù),調(diào)用所述數(shù)據(jù)模型庫(kù)中存儲(chǔ)的目標(biāo)數(shù)據(jù);第二建立單元,用于通過(guò)調(diào)用的所述目標(biāo)數(shù)據(jù),建立模型評(píng)估體系,其中,所述模型評(píng)估體系用于對(duì)產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源進(jìn)行評(píng)估,得到評(píng)估參數(shù);所述確定單元包括:第一確定子模塊,用于基于所述數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的模式及特征,確定所述數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化;第二確定子模塊,用于根據(jù)所述數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化和所述評(píng)估參數(shù),確定所述攻擊源。
進(jìn)一步地,所述預(yù)處理單元包括:預(yù)處理子模塊,用于利用目標(biāo)技術(shù)對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作,其中,所述目標(biāo)技術(shù)包括以下至少一種:數(shù)據(jù)切片技術(shù)、數(shù)據(jù)分類技術(shù)、數(shù)據(jù)聚合技術(shù)以及數(shù)據(jù)索引標(biāo)記技術(shù),所述預(yù)處理操作包括下述至少之一:聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作。
在本發(fā)明實(shí)施例中,可以通過(guò)采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源,以進(jìn)行相應(yīng)的處理,得到目標(biāo)數(shù)據(jù)源中產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源,在處理的過(guò)程中,可以先對(duì)采集到的目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作,并對(duì)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,以建立一個(gè)數(shù)據(jù)模型庫(kù),該模型庫(kù)中可以包括對(duì)目標(biāo)數(shù)據(jù)進(jìn)行分析之后得到的分析結(jié)果,通過(guò)該分析結(jié)果可以確定上述的攻擊源。根據(jù)該實(shí)施例,可以對(duì)網(wǎng)絡(luò)中大量的數(shù)據(jù)源進(jìn)行相應(yīng)的分析處理,以確定出數(shù)據(jù)源中可以產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源,解決相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí),確定網(wǎng)絡(luò)攻擊的源頭的效率低的技術(shù)問(wèn)題,在確定出大量數(shù)據(jù)源中的攻擊源后,可以相對(duì)應(yīng)的阻止攻擊源攻擊網(wǎng)絡(luò),達(dá)到了有效保護(hù)網(wǎng)絡(luò)信息安全的效果。
附圖說(shuō)明
此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
圖1是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)攻擊源的檢測(cè)方法的示意圖;
圖2是根據(jù)本發(fā)明實(shí)施例的另一種可選的網(wǎng)絡(luò)攻擊源的檢測(cè)裝置的示意圖。
具體實(shí)施方式
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
需要說(shuō)明的是,本發(fā)明的說(shuō)明書和權(quán)利要求書及上述附圖中的術(shù)語(yǔ)“第一”、“第二”等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外,術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過(guò)程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒(méi)有清楚地列出的或?qū)τ谶@些過(guò)程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
首先,在對(duì)本申請(qǐng)實(shí)施例進(jìn)行描述的過(guò)程中出現(xiàn)的部分名詞或術(shù)語(yǔ)適用于如下解釋:
數(shù)據(jù)挖掘技術(shù),是一種數(shù)據(jù)處理的技術(shù),是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中,提取隱含在其中、人們事先不知道又潛在有用信息和知識(shí)的過(guò)程。
根據(jù)本發(fā)明實(shí)施例,提供了一種網(wǎng)絡(luò)攻擊源的檢測(cè)方法的實(shí)施例,需要說(shuō)明的是,在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
圖1是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)攻擊源的檢測(cè)方法的示意圖,如圖1所示,該方法包括如下步驟:
步驟s102,采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源,其中,目標(biāo)數(shù)據(jù)源包括產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源。
步驟s104,對(duì)目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作。
步驟s106,對(duì)經(jīng)過(guò)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,建立數(shù)據(jù)模型庫(kù),其中,數(shù)據(jù)模型庫(kù)中包括對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行分析之后得到的分析結(jié)果。
步驟s108,根據(jù)分析結(jié)果確定攻擊源。
在上述實(shí)施例中,可以通過(guò)采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源,以進(jìn)行相應(yīng)的處理,得到目標(biāo)數(shù)據(jù)源中產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源,在處理的過(guò)程中,可以先對(duì)采集到的目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作,并對(duì)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,以建立一個(gè)數(shù)據(jù)模型庫(kù),該模型庫(kù)中可以包括對(duì)目標(biāo)數(shù)據(jù)進(jìn)行分析之后得到的分析結(jié)果,通過(guò)該分析結(jié)果可以確定上述的攻擊源。根據(jù)該實(shí)施例,可以對(duì)網(wǎng)絡(luò)中大量的數(shù)據(jù)源進(jìn)行相應(yīng)的分析處理,以確定出數(shù)據(jù)源中可以產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源,解決相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí),確定網(wǎng)絡(luò)攻擊的源頭的效率低的技術(shù)問(wèn)題,在確定出大量數(shù)據(jù)源中的攻擊源后,可以相對(duì)應(yīng)的阻止攻擊源攻擊網(wǎng)絡(luò),達(dá)到了有效保護(hù)網(wǎng)絡(luò)信息安全的效果。
可選的,上述實(shí)施例應(yīng)用于網(wǎng)絡(luò)信息安全方面,根據(jù)上述的實(shí)施方式,可以對(duì)網(wǎng)路中的大量數(shù)據(jù)進(jìn)行分析處理。其中,上述的數(shù)據(jù)源可以為多種類型,包括結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)及半結(jié)構(gòu)化數(shù)據(jù),該結(jié)構(gòu)化數(shù)據(jù)可以為保存在數(shù)據(jù)庫(kù)中的數(shù)據(jù),非結(jié)構(gòu)化數(shù)據(jù)可以為無(wú)法依照表格存儲(chǔ)的數(shù)據(jù),即無(wú)法存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)。
可選的,上述的采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源,在采集數(shù)據(jù)時(shí),可以對(duì)多個(gè)多源異構(gòu)數(shù)據(jù)采用前置探針的方式采集數(shù)據(jù)。在采集多個(gè)數(shù)據(jù)源后,可以在間隔預(yù)定時(shí)間內(nèi)將預(yù)設(shè)數(shù)據(jù)包的目標(biāo)數(shù)據(jù)源發(fā)送至處理中心,其中,預(yù)定時(shí)間可以根據(jù)實(shí)際情況設(shè)置,如5分鐘,即間隔5分鐘可以發(fā)送一次預(yù)設(shè)數(shù)據(jù)包,;預(yù)設(shè)數(shù)據(jù)包的大小可以是用戶自行設(shè)置,在本申請(qǐng)中不做限定。
另一種可選的實(shí)施方式,對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作包括:利用目標(biāo)技術(shù)對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作,其中,目標(biāo)技術(shù)包括以下至少一種:數(shù)據(jù)切片技術(shù)、數(shù)據(jù)分類技術(shù)、數(shù)據(jù)聚合技術(shù)以及數(shù)據(jù)索引標(biāo)記技術(shù),預(yù)處理操作包括下述至少之一:聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作。
對(duì)于上述的數(shù)據(jù)分類技術(shù)可以為多種,如決策樹(shù)算法、神經(jīng)網(wǎng)絡(luò)算法等;數(shù)據(jù)聚合技術(shù)可以多種,如基于傳感器網(wǎng)絡(luò)的數(shù)據(jù)聚合;數(shù)據(jù)索引標(biāo)記技術(shù)為對(duì)采集到的數(shù)據(jù)進(jìn)行相應(yīng)的索引以及標(biāo)記數(shù)據(jù)的技術(shù),在本申請(qǐng)中可以通過(guò)建立數(shù)據(jù)表的方式,對(duì)采集到的目標(biāo)數(shù)據(jù)源建立索引目錄,以通過(guò)該數(shù)據(jù)表可以快速查找到目標(biāo)數(shù)據(jù)源的位置,其中,標(biāo)記技術(shù)可以通過(guò)數(shù)字和符號(hào)等方式對(duì)采集到的數(shù)據(jù)進(jìn)行標(biāo)記。
可選的,在對(duì)采集到目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化操作時(shí),可以通過(guò)聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作的層級(jí)遞進(jìn)方式來(lái)處理采集到的目標(biāo)數(shù)據(jù)源,其中,通過(guò)聚合操作和重組操作可以對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行基本的處理,將目標(biāo)數(shù)據(jù)源中相同或相似的數(shù)據(jù)進(jìn)行組合,通過(guò)清洗操作可以將目標(biāo)數(shù)據(jù)源中的干擾信息去除,該干擾信息包括傳輸錯(cuò)誤的數(shù)據(jù);通過(guò)提取操作可以將目標(biāo)數(shù)據(jù)源中有異?;蛘呤枪粼吹哪繕?biāo)數(shù)據(jù)源進(jìn)行提取,通過(guò)管理操作可以將提取出的目標(biāo)數(shù)據(jù)進(jìn)行相應(yīng)的管理,通過(guò)切分操作可以將管理的目標(biāo)數(shù)據(jù)進(jìn)行切分,以將包括攻擊源的目標(biāo)數(shù)據(jù)切分出來(lái),得到較小的數(shù)據(jù)源模塊。
對(duì)于上述的層級(jí)化預(yù)處理操作,不限于上述的操作,其操作的順序可以根據(jù)實(shí)際情況變化,也可以增加相應(yīng)的操作,如在提取操作和管理操作之間可以增加轉(zhuǎn)換操作,以將提取出的數(shù)據(jù)源轉(zhuǎn)換為方便管理的數(shù)據(jù)源。
可選的,在對(duì)目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作之后,對(duì)經(jīng)過(guò)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,建立數(shù)據(jù)模型庫(kù)之前還可以包括:對(duì)經(jīng)過(guò)預(yù)處理的數(shù)據(jù)源進(jìn)行分布式計(jì)算,將目標(biāo)數(shù)據(jù)源中包括的大量數(shù)據(jù)分割為多個(gè)數(shù)據(jù)源模塊,通過(guò)多臺(tái)終端或服務(wù)器處理該數(shù)據(jù)源模塊,再對(duì)處理后的數(shù)據(jù)源模塊進(jìn)行合并操作,以得到分布式計(jì)算的結(jié)果,從而達(dá)到資源利用的最大化。
可選的,在進(jìn)行分布式計(jì)算時(shí),可以采用分布式實(shí)時(shí)計(jì)算框架和分布式離線計(jì)算框架相結(jié)合的方式分析目標(biāo)數(shù)據(jù)源,在對(duì)數(shù)據(jù)源進(jìn)行分布式計(jì)算后,可以將相應(yīng)的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)挖掘處理中心,以通過(guò)數(shù)據(jù)挖掘得到數(shù)據(jù)源中的攻擊源。
可選的,對(duì)經(jīng)過(guò)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,建立數(shù)據(jù)模型庫(kù)包括:通過(guò)數(shù)據(jù)挖掘技術(shù),得到預(yù)處理操作后的數(shù)據(jù)的特征信息、關(guān)聯(lián)信息以及模式信息;根據(jù)特征信息、關(guān)聯(lián)信息以及模式信息建立數(shù)據(jù)模型庫(kù)。
可選的,上述的數(shù)據(jù)挖掘是對(duì)預(yù)處理操作后的數(shù)據(jù)進(jìn)行挖掘,以根據(jù)預(yù)處理后的數(shù)據(jù)源得到攻擊源,通過(guò)相應(yīng)的實(shí)施方式,得到有用的分析信息,其中該實(shí)施方式可以包括應(yīng)用統(tǒng)計(jì)方法、事例推理、決策樹(shù)、神經(jīng)網(wǎng)絡(luò)、遺傳算法等,其中,通神經(jīng)網(wǎng)絡(luò)技術(shù)解決數(shù)據(jù)挖掘的問(wèn)題,包括用于分類、預(yù)測(cè)和模式識(shí)別的前饋式神經(jīng)網(wǎng)絡(luò)模型和用于聯(lián)想記憶和優(yōu)化計(jì)算的反饋式神經(jīng)網(wǎng)絡(luò)模型等。可選的,遺傳算法是一種基于生物自然選擇與遺傳機(jī)理的隨機(jī)搜索算法,是一種仿生全局優(yōu)化方法。可選的,決策樹(shù)是一種常用于預(yù)測(cè)模型的算法,它通過(guò)將大量數(shù)據(jù)有目的分類,從中找到一些有價(jià)值的,潛在的信息??蛇x的,統(tǒng)計(jì)分析技術(shù)可以為對(duì)目標(biāo)數(shù)據(jù)中的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析,以得到數(shù)據(jù)源中的差異數(shù)據(jù)。
可選的,可以根據(jù)數(shù)據(jù)源中的存儲(chǔ)格式,將數(shù)據(jù)源中的攻擊源解析出來(lái)。對(duì)于上述的模型數(shù)據(jù)庫(kù)可以為將已經(jīng)分析出的攻擊源的類型和信息存儲(chǔ)起來(lái),也可以存儲(chǔ)該次獲取到的數(shù)據(jù)源中的攻擊源的類型和實(shí)際數(shù)據(jù)。通過(guò)該模型數(shù)據(jù)庫(kù)可以多次分析采集到的數(shù)據(jù)源。
另一種可選的實(shí)施方式,在根據(jù)特征信息、關(guān)聯(lián)信息以及模式信息建立數(shù)據(jù)模型庫(kù)之后,方法還包括:根據(jù)輸入的算法參數(shù),調(diào)用數(shù)據(jù)模型庫(kù)中存儲(chǔ)的目標(biāo)數(shù)據(jù);通過(guò)調(diào)用的目標(biāo)數(shù)據(jù),建立模型評(píng)估體系,其中,模型評(píng)估體系用于對(duì)產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源進(jìn)行評(píng)估,得到評(píng)估參數(shù);根據(jù)分析結(jié)果確定攻擊源包括:基于數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的模式及特征,確定數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化;根據(jù)數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化和評(píng)估參數(shù),確定攻擊源。
通過(guò)上述實(shí)施方式,可以對(duì)分析出的數(shù)據(jù)建立模型評(píng)估體系,該評(píng)估體系中可以包括對(duì)目標(biāo)數(shù)據(jù)進(jìn)行評(píng)估,每個(gè)目標(biāo)數(shù)據(jù)可以有相應(yīng)的評(píng)估值,如1、2、3、10等,可以設(shè)置在評(píng)估值超過(guò)預(yù)設(shè)閾值時(shí),確定該評(píng)估值對(duì)應(yīng)的目標(biāo)數(shù)據(jù)源為攻擊源的可能性很大,其中,該預(yù)設(shè)閾值可以多種,如8。
可選的,對(duì)于上述實(shí)施例中的基于數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的模式及特征,確定數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化,該模式可以為已知的攻擊源的模式,該特征可以已知的攻擊源的特征,如攻擊源中包括的常用符號(hào)和代碼。對(duì)于上述的信息變化可以為上次分析出的數(shù)據(jù)和該次分析出的數(shù)據(jù)相比較而得到的變化數(shù)據(jù),通過(guò)分析出的信息變化可以得到哪些數(shù)據(jù)產(chǎn)生變化,根據(jù)該信息變化可以更容易的分析攻擊源的位置。
可選的,通過(guò)上述實(shí)施方式,可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行分析、建模操作,以確定出產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源。
下面是根據(jù)本發(fā)明的具體實(shí)施方式。
結(jié)合國(guó)家電網(wǎng)的安全防護(hù)現(xiàn)狀,以及國(guó)家電網(wǎng)對(duì)業(yè)務(wù)安全要求,對(duì)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機(jī)等設(shè)備的日志進(jìn)行大數(shù)據(jù)分析,并對(duì)其中的安全事件進(jìn)行關(guān)聯(lián)分析,數(shù)據(jù)提煉,形成基于大數(shù)據(jù)的攻擊溯源體系。
構(gòu)建面向信息安全領(lǐng)域的大數(shù)據(jù)平臺(tái),自動(dòng)、智能、快速的對(duì)復(fù)雜來(lái)源的海量數(shù)據(jù)進(jìn)行采集,并針對(duì)大數(shù)據(jù)分布式計(jì)算特性和算法特性對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一預(yù)處理,形成統(tǒng)一的分布式存儲(chǔ)管理系統(tǒng)。利用分布式計(jì)算架構(gòu)對(duì)數(shù)據(jù)進(jìn)行快速計(jì)算和挖掘分析,以采集的大數(shù)據(jù)為基礎(chǔ),構(gòu)建相應(yīng)的業(yè)務(wù)模型和可視化分析,從而發(fā)現(xiàn)和揭示隱含的要素和關(guān)聯(lián)。在該實(shí)施方式中,可以通過(guò)數(shù)據(jù)源采集、大數(shù)據(jù)預(yù)處理、大數(shù)據(jù)分布式計(jì)算、大數(shù)據(jù)挖掘分析、信息安全大數(shù)據(jù)應(yīng)用等方式對(duì)采集到的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相應(yīng)的處理。
可選的,上述的數(shù)據(jù)源采集可以是在信息安全領(lǐng)域,數(shù)據(jù)源根據(jù)類型的不同,包括結(jié)構(gòu)化數(shù)據(jù),非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù),對(duì)于大量多源異構(gòu)數(shù)據(jù)源,采用前置探針,對(duì)數(shù)據(jù)進(jìn)行集中收集、規(guī)范化等工作,將數(shù)據(jù)整合后統(tǒng)一發(fā)送到大數(shù)據(jù)應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)將根據(jù)安全事件之間的相關(guān)性,進(jìn)行關(guān)聯(lián)分析,得到更為準(zhǔn)確的監(jiān)測(cè)信息,以利于發(fā)現(xiàn)攻擊源。
可選的,在大數(shù)據(jù)預(yù)處理中,原始數(shù)據(jù)中可能存在著大量雜亂的、重復(fù)的、不完整的數(shù)據(jù),嚴(yán)重影響到數(shù)據(jù)挖掘算法的執(zhí)行效率,甚至可能導(dǎo)致挖掘結(jié)構(gòu)的偏差。因此,在數(shù)據(jù)挖掘算法執(zhí)行之前,必須對(duì)收集到的原始數(shù)據(jù)進(jìn)行預(yù)處理,從而改進(jìn)數(shù)據(jù)的質(zhì)量,提高數(shù)據(jù)挖掘過(guò)程的效率、精度和性能。大數(shù)據(jù)預(yù)處理利用數(shù)據(jù)切片,數(shù)據(jù)分類,數(shù)據(jù)聚合,數(shù)據(jù)索引標(biāo)記等技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行層級(jí)化的聚合、重組、清洗、提取、轉(zhuǎn)換、管理、切分等預(yù)處理操作,統(tǒng)一標(biāo)準(zhǔn)接口,統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn),并通過(guò)分布式存儲(chǔ)管理技術(shù),在滿足一致性要求的基礎(chǔ)上,實(shí)現(xiàn)安全、可靠、快速、有效的對(duì)多類型、多格式的數(shù)據(jù)統(tǒng)一存儲(chǔ)管理。
可選的,在大數(shù)據(jù)分布式計(jì)算過(guò)程中,可以通過(guò)兩個(gè)或多個(gè)計(jì)算機(jī)互相共享信息,將需要進(jìn)行大量計(jì)算的數(shù)據(jù)分割成小塊,由多臺(tái)計(jì)算機(jī)分別計(jì)算,再對(duì)運(yùn)算結(jié)果進(jìn)行統(tǒng)一合并。采用分布式任務(wù)調(diào)度機(jī)制,動(dòng)態(tài)靈活的將計(jì)算資源進(jìn)行分配和調(diào)度,從而達(dá)到資源利用最大化,計(jì)算節(jié)點(diǎn)不會(huì)出現(xiàn)閑置和過(guò)載的情況,采用分布式實(shí)時(shí)計(jì)算框架和分布式離線計(jì)算框架相結(jié)合的分布式計(jì)算框架和模塊化設(shè)計(jì),構(gòu)建一個(gè)支持多種分布式計(jì)算模型的統(tǒng)一動(dòng)態(tài)調(diào)度、管理和計(jì)算的大數(shù)據(jù)分布式計(jì)算平臺(tái),有效的支撐大數(shù)據(jù)挖掘分析。
可選的,在大數(shù)據(jù)挖掘分析過(guò)程中,可以通過(guò)上述數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分布式計(jì)算等過(guò)程,將數(shù)據(jù)設(shè)置在管理系統(tǒng)中,為了得到有用的信息,需要采用數(shù)據(jù)挖掘分析技術(shù),自動(dòng)智能的對(duì)大數(shù)據(jù)分析、探索、挖掘,探尋數(shù)據(jù)的模式及特征,尋找數(shù)據(jù)的信息變化,從而最終使用蘊(yùn)藏在數(shù)據(jù)中的信息和知識(shí)。數(shù)據(jù)模型庫(kù)是針對(duì)所有算法的特征,構(gòu)建一個(gè)通用庫(kù),實(shí)現(xiàn)了大數(shù)據(jù)格式的數(shù)據(jù)結(jié)構(gòu)定義,對(duì)算法參數(shù),數(shù)學(xué)模型庫(kù),模型評(píng)估體系和挖掘分析的結(jié)果等進(jìn)行統(tǒng)一管理,提供了數(shù)據(jù)挖掘分析的入口,根據(jù)輸入的算法參數(shù),自動(dòng)調(diào)用挖掘分析所用的算法及其相應(yīng)的模型等。
數(shù)據(jù)挖掘算法可以針對(duì)大數(shù)據(jù)分布式存儲(chǔ)管理,分布式計(jì)算的特性,統(tǒng)一匹配各種數(shù)據(jù)挖掘算法,根據(jù)具體業(yè)務(wù)需求,工具庫(kù)可配置相應(yīng)的算法進(jìn)行挖掘,具備靈活的動(dòng)態(tài)擴(kuò)展和分布式任務(wù)調(diào)度機(jī)制。
可選的,在信息安全大數(shù)據(jù)應(yīng)用中,隨著大數(shù)據(jù)技術(shù)的不斷創(chuàng)新和廣泛應(yīng)用,信息安全領(lǐng)域越來(lái)越迫切需要依托大數(shù)據(jù)處理技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的分析,面向信息安全領(lǐng)域的大數(shù)據(jù)分析平臺(tái)在大數(shù)據(jù)采集、預(yù)處理、分布式計(jì)算和挖掘分析的基礎(chǔ)上,需面向信息系統(tǒng)提供信息安全保證服務(wù)。
大數(shù)據(jù)安全分析平臺(tái)采用世界先進(jìn)的大數(shù)據(jù)技術(shù)作為底層支撐,解決了傳統(tǒng)安全分析中數(shù)據(jù)分析的性能瓶頸問(wèn)題,實(shí)現(xiàn)了實(shí)時(shí)安全數(shù)據(jù)分析功能,完成了自主靈活的安全可視化目標(biāo)??梢酝ㄟ^(guò)管理節(jié)點(diǎn)運(yùn)行數(shù)據(jù)庫(kù)(如postgressql),可以通過(guò)安裝包安裝管理節(jié)點(diǎn),每個(gè)集群只能存在一個(gè)管理節(jié)點(diǎn)??梢酝ㄟ^(guò)工作節(jié)點(diǎn)運(yùn)行分布式的服務(wù)組件(如hadoop、kafka等)。管理節(jié)點(diǎn)安裝完成之后,在系統(tǒng)的web頁(yè)面中對(duì)工作節(jié)點(diǎn)進(jìn)行部署,每個(gè)集群可以部署多個(gè)工作節(jié)點(diǎn)。
根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種存儲(chǔ)介質(zhì),存儲(chǔ)介質(zhì)包括存儲(chǔ)的程序,其中,程序執(zhí)行上述實(shí)施例中任意一項(xiàng)的網(wǎng)絡(luò)攻擊源的檢測(cè)方法。
根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種處理器,處理器用于運(yùn)行程序,其中,程序運(yùn)行時(shí)執(zhí)行上述實(shí)施例中任意一項(xiàng)的網(wǎng)絡(luò)攻擊源的檢測(cè)方法。
圖2是根據(jù)本發(fā)明實(shí)施例的另一種可選的網(wǎng)絡(luò)攻擊源的檢測(cè)裝置的示意圖,如圖2所示,該裝置,包括:采集單元21,用于采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源,其中,目標(biāo)數(shù)據(jù)源包括產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源;預(yù)處理單元23,用于對(duì)目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作;第一建立單元25,用于對(duì)經(jīng)過(guò)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,建立數(shù)據(jù)模型庫(kù),其中,數(shù)據(jù)模型庫(kù)中包括對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行分析之后得到的分析結(jié)果;確定單元27,用于根據(jù)分析結(jié)果確定攻擊源。
在上述實(shí)施例中,可以通過(guò)采集單元21采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源,以進(jìn)行相應(yīng)的處理,得到目標(biāo)數(shù)據(jù)源中產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源,在處理的過(guò)程中,可以預(yù)處理單元23先對(duì)采集到的目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作,并第一建立單元25對(duì)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,以建立一個(gè)數(shù)據(jù)模型庫(kù),該模型庫(kù)中可以包括對(duì)目標(biāo)數(shù)據(jù)進(jìn)行分析之后得到的分析結(jié)果,通過(guò)確定單元27可以確定上述的攻擊源。根據(jù)該實(shí)施例,可以對(duì)網(wǎng)絡(luò)中大量的數(shù)據(jù)源進(jìn)行相應(yīng)的分析處理,以確定出數(shù)據(jù)源中可以產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源,解決相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí),確定網(wǎng)絡(luò)攻擊的源頭的效率低的技術(shù)問(wèn)題,在確定出大量數(shù)據(jù)源中的攻擊源后,可以相對(duì)應(yīng)的阻止攻擊源攻擊網(wǎng)絡(luò),達(dá)到了有效保護(hù)網(wǎng)絡(luò)信息安全的效果。
可選的,第一建立單元包括:確定子模塊,用于通過(guò)數(shù)據(jù)挖掘技術(shù),得到預(yù)處理操作后的數(shù)據(jù)的特征信息、關(guān)聯(lián)信息以及模式信息;建立子模塊,用于根據(jù)特征信息、關(guān)聯(lián)信息以及模式信息建立數(shù)據(jù)模型庫(kù)。
另一種可選的實(shí)施方式,裝置還包括:調(diào)用單元,用于在根據(jù)特征信息、關(guān)聯(lián)信息以及模式信息建立數(shù)據(jù)模型庫(kù)之后,根據(jù)輸入的算法參數(shù),調(diào)用數(shù)據(jù)模型庫(kù)中存儲(chǔ)的目標(biāo)數(shù)據(jù);第二建立單元,用于通過(guò)調(diào)用的目標(biāo)數(shù)據(jù),建立模型評(píng)估體系,其中,模型評(píng)估體系用于對(duì)產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源進(jìn)行評(píng)估,得到評(píng)估參數(shù);確定單元包括:第一確定子模塊,用于基于數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的模式及特征,確定數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化;第二確定子模塊,用于根據(jù)數(shù)據(jù)模型庫(kù)中的各項(xiàng)數(shù)據(jù)的信息變化和評(píng)估參數(shù),確定攻擊源。
對(duì)于上述實(shí)施方式,預(yù)處理單元包括:預(yù)處理子模塊,用于利用目標(biāo)技術(shù)對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作,其中,目標(biāo)技術(shù)包括以下至少一種:數(shù)據(jù)切片技術(shù)、數(shù)據(jù)分類技術(shù)、數(shù)據(jù)聚合技術(shù)以及數(shù)據(jù)索引標(biāo)記技術(shù),預(yù)處理操作包括下述至少之一:聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作。
上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣。
在本發(fā)明的上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重,某個(gè)實(shí)施例中沒(méi)有詳述的部分,可以參見(jiàn)其他實(shí)施例的相關(guān)描述。
在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的技術(shù)內(nèi)容,可通過(guò)其它的方式實(shí)現(xiàn)。其中,以上所描述的裝置實(shí)施例僅僅是示意性的,例如所述單元的劃分,可以為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點(diǎn),所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口,單元或模塊的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。
另外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能單元的形式實(shí)現(xiàn)。
所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí),可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。基于這樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括:u盤、只讀存儲(chǔ)器(rom,read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram,randomaccessmemory)、移動(dòng)硬盤、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。