网络攻击行为中的攻击主体确定方法及装置与流程

本发明涉及网络安全技术领域，具体涉及一种网络攻击行为中的攻击主体确定方法及装置。

背景技术：

随着互联网技术的发展，各种网络安全问题也层出不穷，如木马、钓鱼网站、钓鱼邮件、针对域名服务器的DDoS(DDoS:Distributed Denial of Service，分布式拒绝服务攻击)、针对特定类型网络的DDoS攻击、大规模DNS(Domain Name System，域名系统)欺骗攻击、僵尸网络等网络攻击行为严重威胁着网络用户的信息和数据安全，由于上述网络攻击行为往往具有很强的欺骗性和伪装性，常规的攻击行为检测方法难以准确地确定攻击主体如攻击者或受攻击者。

技术实现要素：

针对现有技术中的缺陷，本发明提供一种网络攻击行为中的攻击主体确定方法及装置，以较为准确地确定网络攻击行为中的攻击主体。

第一方面，本发明提供的一种网络攻击行为中的攻击主体确定方法，包括：

获取网络攻击行为中传输的数据；

采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果；

根据所述关联分析结果确定所述网络攻击行为中的攻击主体。

可选的，所述获取网络攻击行为中传输的数据，包括：

利用流量捕获设备捕获指定网络范围内的在网络攻击行为中传输的数据，其中，所述网络攻击行为包括：木马、钓鱼网站、钓鱼邮件、DDoS攻击、DNS欺骗攻击或僵尸网络中的至少一种。

可选的，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的木马来源、木马发送地址、木马接收地址和木马连接地址进行关联分析，获得对木马的关联分析结果。

可选的，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的邮件来源、邮件发件人、邮件收件人、邮件主题和恶意脚本连接地址进行关联分析，获得对邮件中恶意脚本的关联分析结果。

可选的，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中虚拟对象之间的网络关系进行关联分析，获得对虚拟对象的关联分析结果，其中，所述虚拟对象包括IP地址、MAC地址、即时通信软件账号和邮件地址中的多种。

可选的，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的邮件账号、联系人进行级联的关联分析以及对邮件主题进行关联分析，获得对邮件的关联分析结果。

第二方面，本发明提供的一种网络攻击行为中的攻击主体确定装置，包括：

数据获取模块，用于获取网络攻击行为中传输的数据；

数据关联分析模块，用于采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果；

攻击主体确定模块，用于根据所述关联分析结果确定所述网络攻击行为中的攻击主体。

可选的，所述数据获取模块，包括：

数据捕获单元，用于利用流量捕获设备捕获指定网络范围内的在网络攻击行为中传输的数据，其中，所述网络攻击行为包括：木马、钓鱼网站、钓鱼邮件、DDoS攻击、DNS欺骗攻击或僵尸网络中的至少一种。

可选的，所述数据关联分析模块，包括：

木马关联分析单元，用于采用关联分析算法对所述数据中的木马来源、木马发送地址、木马接收地址和木马连接地址进行关联分析，获得对木马的关联分析结果。

可选的，所述数据关联分析模块，包括：

恶意脚本关联分析单元，用于采用关联分析算法对所述数据中的邮件来源、邮件发件人、邮件收件人、邮件主题和恶意脚本连接地址进行关联分析，获得对邮件中恶意脚本的关联分析结果。

可选的，所述数据关联分析模块，包括：

虚拟对象关联分析单元，用于采用关联分析算法对所述数据中虚拟对象之间的网络关系进行关联分析，获得对虚拟对象的关联分析结果，其中，所述虚拟对象包括IP地址、MAC地址、即时通信软件账号和邮件地址中的多种。

可选的，所述数据关联分析模块，包括：

邮件关联分析单元，用于采用关联分析算法对所述数据中的邮件账号、联系人进行级联的关联分析以及对邮件主题进行关联分析，获得对邮件的关联分析结果。

由上述技术方案可知，本发明提供的一种网络攻击行为中的攻击主体确定方法，首先获取网络攻击行为中传输的数据；然后采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果；最后根据所述关联分析结果确定所述网络攻击行为中的攻击主体。本发明采用关联分析算法进行数据的关联分析，能够深层次地挖掘出网络攻击行为中攻击主体之间的关联性，从而能够更加准确的确定网络攻击行为中的攻击主体。

本发明提供的一种网络攻击行为中的攻击主体确定装置，与上述网络攻击行为中的攻击主体确定方法出于相同的发明构思，具有相同的有益效果。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。

图1示出了本发明第一实施例所提供的一种网络攻击行为中的攻击主体确定方法的流程图；

图2示出了本发明第二实施例所提供的一种网络攻击行为中的攻击主体确定装置的示意图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只是作为示例，而不能以此来限制本发明的保护范围。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

本发明提供一种网络攻击行为中的攻击主体确定方法、一种网络攻击行为中的攻击主体确定装置和一种网络攻击行为中的攻击主体确定系统。下面结合附图对本发明的实施例进行说明。

图1示出了本发明第一实施例所提供的一种网络攻击行为中的攻击主体确定方法的流程图。如图1所示，本发明第一实施例提供的一种网络攻击行为中的攻击主体确定方法包括以下步骤：

步骤S101：获取网络攻击行为中传输的数据。

本发明实施例中，可以采用流量捕获设备捕获网络攻击行为中传输的数据，例如，在网关处布置一流量捕获设备，利用该流量捕获设备捕获指定网络范围内的在网络攻击行为中传输的数据，其中，所述网络攻击行为包括：木马、钓鱼网站、钓鱼邮件、DDoS攻击、DNS欺骗攻击或僵尸网络中的至少一种。

步骤S102：采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果。

本发明实施例中，可以根据网络攻击行为中传输的数据的不同，采用关联分析算法获得不同的关联分析结果，以确定网络攻击行为中的攻击主体。例如，在本发明提供的一个实施例中，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的木马来源、木马发送地址、木马接收地址和木马连接地址进行关联分析，获得对木马的关联分析结果。

又如，在本发明提供的一个实施例中，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的邮件来源、邮件发件人、邮件收件人、邮件主题和恶意脚本连接地址进行关联分析，获得对邮件中恶意脚本的关联分析结果。

再如，在本发明提供的一个实施例中，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中虚拟对象之间的网络关系进行关联分析，获得对虚拟对象的关联分析结果，其中，所述虚拟对象包括IP地址、MAC地址、即时通信软件账号和邮件地址中的多种。

在本发明提供的另一个实施例中，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的邮件账号、联系人进行级联的关联分析以及对邮件主题进行关联分析，获得对邮件的关联分析结果。

步骤S103：根据所述关联分析结果确定所述网络攻击行为中的攻击主体。

在完成对木马、邮件、恶意程序、虚拟对象等的关联分析后，根据关联分析结果即可找出所述网络攻击行为中的攻击主体。

需要说明的是，上述步骤S102中的多种关联分析算法的实施例可以单独使用，也可以组合使用，以对网络攻击行为中的数据进行更加全面的关联分析，其均在本发明的保护范围之内。

例如，在数据中发现一个国内IP地址与国外的一个IP地址之间存在大量的异常流量数据，通过所述数据中的日志分析，在一条日志中发现一个请求中带有邮件地址，通过该邮件地址发现该邮箱中的一个附件包含恶意程序，该恶意程序记录了用户平时的操作信息，并获取服务器密码，导致服务器上的文件上传到境外服务器中，据此，可以较为明确的确定上述网络攻击行为中的攻击主体，攻击者为该境外服务器，受攻击者为该数据中的国内IP地址的用户。

至此，通过步骤S101至步骤S103，完成了本发明第一实施例所提供的一种网络攻击行为中的攻击主体确定方法的流程。本发明采用关联分析算法进行数据的关联分析，能够深层次地挖掘出网络攻击行为中攻击主体之间的关联性，从而能够更加准确的确定网络攻击行为中的攻击主体。

在上述的第一实施例中，提供了一种网络攻击行为中的攻击主体确定方法，与之相对应的，本申请还提供一种网络攻击行为中的攻击主体确定装置。请参考图2，其为本发明第二实施例提供的一种网络攻击行为中的攻击主体确定装置的示意图。由于装置实施例基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。

本发明第二实施例提供的一种网络攻击行为中的攻击主体确定装置，包括：

数据获取模块101，用于获取网络攻击行为中传输的数据；

数据关联分析模块102，用于采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果；

攻击主体确定模块103，用于根据所述关联分析结果确定所述网络攻击行为中的攻击主体。

在本发明提供的一个实施例中，所述数据获取模块101，包括：

数据捕获单元，用于利用流量捕获设备捕获指定网络范围内的在网络攻击行为中传输的数据，其中，所述网络攻击行为包括：木马、钓鱼网站、钓鱼邮件、DDoS攻击、DNS欺骗攻击或僵尸网络中的至少一种。

在本发明提供的一个实施例中，所述数据关联分析模块102，包括：

木马关联分析单元，用于采用关联分析算法对所述数据中的木马来源、木马发送地址、木马接收地址和木马连接地址进行关联分析，获得对木马的关联分析结果。

在本发明提供的一个实施例中，所述数据关联分析模块102，包括：

恶意脚本关联分析单元，用于采用关联分析算法对所述数据中的邮件来源、邮件发件人、邮件收件人、邮件主题和恶意脚本连接地址进行关联分析，获得对邮件中恶意脚本的关联分析结果。

在本发明提供的一个实施例中，所述数据关联分析模块102，包括：

虚拟对象关联分析单元，用于采用关联分析算法对所述数据中虚拟对象之间的网络关系进行关联分析，获得对虚拟对象的关联分析结果，其中，所述虚拟对象包括IP地址、MAC地址、即时通信软件账号和邮件地址中的多种。

在本发明提供的一个实施例中，所述数据关联分析模块102，包括：

邮件关联分析单元，用于采用关联分析算法对所述数据中的邮件账号、联系人进行级联的关联分析以及对邮件主题进行关联分析，获得对邮件的关联分析结果。

以上，为本发明第二实施例提供的一种网络攻击行为中的攻击主体确定装置的实施例说明。

本发明提供的一种网络攻击行为中的攻击主体确定装置与上述网络攻击行为中的攻击主体确定方法出于相同的发明构思，具有相同的有益效果，此处不再赘述。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

需要说明的是，附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本发明实施例所提供的网络攻击行为中的攻击主体确定装置可以是计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。