一种黑客工具挖掘方法、装置及系统的制作方法

文档序号:10660890阅读:301来源:国知局
一种黑客工具挖掘方法、装置及系统的制作方法
【专利摘要】本发明实施例公开了一种黑客工具挖掘方法,用于云服务器,包括:接收至少一个用户设备发送的多个网络日志;获取所述多个网络日志中的攻击类网络日志;提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID;对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。进一步的,本发明实施例提供一种应用于用户设备的黑客工具挖掘方法,一种云服务器,一种用户设备,以及一种黑客工具挖掘系统。
【专利说明】
一种黑客工具挖掘方法、装置及系统
技术领域
[0001]本发明涉及计算机领域的网络安全技术,尤其涉及一种黑客工具挖掘方法、装置及系统。
【背景技术】
[0002]随着互联网的日益普及,网络已经涉及日常生活的各个方面,由此引发的网络安全问题也日渐成为人们重点关注的问题。
[0003]现有网络中存在很多黑客,利用网络漏洞,在未经对方允许的情况下,进入对方系统或电脑,盗取信息,使得基于互联网进行业务的机构和系统面临着前所未有的威胁,这些机构和系统一旦被攻击成功,将造成巨大的经济损失。为了防止系统被黑客攻击,需要为每个系统建立防火墙,防火墙能够有效的避免黑客攻击,提高系统的安全性。
[0004]但是,网络安全是一个技术密集型的行业,不同的黑客擅长的方向不同,有的黑客善于漏洞挖掘,有的黑客善于对付杀毒软件,有的黑客对网络基础设施很熟悉,还有的黑客擅长社会工程学,因此不同的黑客会产生不同的攻击行为,防火墙很难提供完备的防护服务,系统的安全性较低。

【发明内容】

[0005]为解决上述技术问题,本发明实施例期望提供一种黑客工具挖掘方法、装置及系统,能够挖掘出任意一个黑客工具的攻击方式,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0006]本发明的技术方案是这样实现的:
[0007]第一方面,本发明实施例提供一种黑客工具挖掘方法,用于云服务器,包括:
[0008]接收至少一个用户设备发送的多个网络日志;
[0009]获取所述多个网络日志中的攻击类网络日志;
[0010]提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID;[0011 ]对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。
[0012]可选的,所述对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组包括:
[0013]对每个所述攻击类网络日志的攻击信息进行向量化描述,获取每个攻击信息的攻击向量,所述攻击向量包括对应攻击信息的攻击IP和攻击ID ;
[0014]对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。
[0015]可选的,所述对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组包括:
[0016]采用频繁集挖掘算法,对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。
[0017]可选的,所述攻击信息还包括攻击时间。
[0018]第二方面,本发明实施例提供一种黑客工具挖掘方法,用于用户设备,包括:
[0019]获取用户的网络访问行为;
[0020]根据用户的网络访问行为产生的网络流量,生成网络日志;
[0021 ] 将所述网络日志发送给云服务器。
[0022]第三方面,本发明实施例提供一种云服务器,包括:
[0023]接收单元,用于接收至少一个用户设备发送的多个网络日志;
[0024]获取单元,用于获取所述多个网络日志中的攻击类网络日志;
[0025]提取单元,用于提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID;
[0026]挖掘单元,用于对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。
[0027]可选的,所述挖掘单元具体用于:
[0028]对每个所述攻击类网络日志的攻击信息进行向量化描述,获取每个攻击信息的攻击向量,所述攻击向量包括对应攻击信息的攻击IP和攻击ID ;
[0029]对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。
[0030]可选的,所述挖掘单元具体用于:
[0031]采用频繁集挖掘算法,对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。
[0032]可选的,所述攻击信息还包括攻击时间。
[0033]第四方面,本发明实施例提供一种用户设备,包括:
[0034]获取单元,用于获取用户的网络访问行为;
[0035]生成单元,用于根据用户的网络访问行为产生的网络流量,生成网络日志;
[0036]发送单元,用于将所述网络日志发送给云服务器。
[0037]第五方面,本发明实施例提供一种黑客工具挖掘系统,包括至少一个用户设备和与所述至少一个用户设备连接的云服务器;
[0038]所述用户设备用于获取用户的网络访问行为,根据用户的网络访问行为产生的网络流量,生成网络日志,并将所述网络日志发送给所述云服务器;
[0039]所述云服务器用于接收所述至少一个用户设备发送的多个网络日志,获取所述多个网络日志中的攻击类网络日志,提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID,并对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。
[0040]本发明实施例提供了一种黑客工具挖掘方法、装置及系统,所述黑客工具挖掘方法包括:接收至少一个用户设备发送的多个网络日志;获取所述多个网络日志中的攻击类网络日志;提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID;对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。相较于现有技术,通过数据挖掘能够获取任意一个黑客工具的攻击方式,进而能够通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
【附图说明】
[0041]图1为本发明实施例提供的一种黑客工具挖掘方法的流程示意图1;
[0042]图2为本发明实施例提供的一种黑客工具挖掘方法的流程示意图2;
[0043]图3为本发明实施例提供的一种黑客工具挖掘方法的交互示意图;
[0044]图4为本发明实施例提供的一种云服务器的结构示意图;
[0045]图5为本发明实施例提供的一种用户设备的结构示意图;
[0046]图6为本发明实施例提供的一种黑客工具挖掘系统的结构示意图。
【具体实施方式】
[0047]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
[0048]本发明实施例提供一种黑客工具挖掘方法,用于云服务器,可以将所述云服务器设置成云数据分析中心,如图1所示,所述黑客工具挖掘包括:
[0049]步骤101、接收至少一个用户设备发送的多个网络日志。
[0050]在黑客工具挖掘系统中,云服务器连接有多个用户设备,每个用户设备均可以生成多个网络日志,并将生成的多个网络日志发送给云服务器。
[0051 ]步骤102、获取所述多个网络日志中的攻击类网络日志。
[0052]示例的,用户设备将生成的所有网络日志都发送给云服务器,包括正常访问产生的报文流量日志,网络访问日志,区域防护日志等,也包括攻击类网络日志,云服务器从接收到的所有网络日志中提取出攻击类网络日志。具体的,用户设备在产生攻击类网络日志时,每个攻击类网络日志中均携带有与其攻击类型对应的攻击ID(identificat1n,身份识别),因此云服务器可以通过网络日志中是否包括攻击ID确定网络日志是否为攻击类网络曰志。
[0053]步骤103、提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID。
[0054]示例的,云服务器在获取到多个攻击类网络日志之后,对每个攻击类网络日志进行分析,获取其攻击IP和攻击ID。例如,假设第一网络日志为攻击类网络日志,zs:服务器可以对第一网络日志进行分析,提取第一网络日志的攻击IP,即产生所述第一网络日志的IP地址;第一网络日志的攻击ID,即所述第一网络日志的攻击类型。可选的,所述攻击信息还可以包括攻击时间,即云服务器可以提取第一网络日志的攻击时间,所述攻击时间为所述第一网络日志对应的网络访问行为产生的时间。
[0055]步骤104、对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。
[0056]示例的,同一个攻击IP可能设置有多个黑客工具,每个黑客工具可能产生多种黑客攻击行为,每种黑客攻击行为对应的攻击ID不同,因此一个攻击IP可能对应黑客工具产生的多个攻击ID,通过数学分析,可以从每个攻击IP对应的多个攻击ID中获取每个黑客工具对应的攻击ID组,进而可以通过该攻击ID组标识产生所述攻击ID组包括的多个攻击ID的黑客工具。
[0057]这样一来,通过数据挖掘能够获取任意一个黑客工具的攻击方式,进而能够通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0058]可选的,在对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组时,可以首先对每个所述攻击类网络日志的攻击信息进行向量化描述,获取每个攻击信息的攻击向量,所述攻击向量包括对应攻击信息的攻击IP和攻击ID,然后对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。
[0059]示例的,为了便于对攻击信息进行数学分析,可以将攻击信息进行向量化描述,SP每个攻击信息对应一个向量。例如,第一网络日志对应的第一向量至少包括第一网络日志的攻击IP和攻击ID,实际应用中,第一向量还可以包括攻击时间。每个向量中元素的内容可以根据具体情况进行选择,本发明实施例对此不做限定。
[0060]可选的,在对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组时,可以采用频繁集挖掘算法,对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。
[0061]示例的,所述频繁集挖掘算法的具体实现有很多种,本发明实施例以FP-Growth算法为例进行说明,所述FP-growth算法使用一种称为频繁模式树(Frequent Pattern Tree)的数据结构,所述FP-tree是一种特殊的前缀树,由频繁项头表和项前缀树构成,所述FP-Growth算法基于以上的结构加快整个挖掘过程。
[0062]本发明实施例提供了一种黑客工具挖掘方法,包括:接收至少一个用户设备发送的多个网络日志;获取所述多个网络日志中的攻击类网络日志;提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID;对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。相较于现有技术,通过数据挖掘能够获取任意一个黑客工具的攻击方式,进而能够通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0063]本发明实施例提供一种黑客工具挖掘方法,用于用户设备,所述用户设备可以表现为多种形式,可以为传统防火墙,新一代防火墙,上网行为管理设备,智能流量管理设备,广域网优化网关,安全代理服务器等,本发明实施例对此不做限定。如图2所示,所述黑客工具挖掘方法包括:
[0064]步骤201、获取用户的网络访问行为。
[0065]示例的,用户在客户端上通过所述用户设备上网时,会产生各种各样的网络访问行为,例如,用户可以在客户端上通过所述用户设备进行网络购物、在线聊天、在线欣赏音乐和电影、P2P(Peer to Peer,对等网络)工具下载,以及黑客攻击等,不同的网络访问行为产生的网络流量不同。
[0066]步骤202、根据用户的网络访问行为产生的网络流量,生成网络日志。
[0067]现有技术中,为了便于标识不同的网络访问行为,每个已知的网络访问行为设置有特征码,根据特征码即可确定具体的网络行为,进而可以生成对应的网络日志。通常的网络日志包括报文流量日志,网络访问日志,区域防护日志等。而用户在客户端上通过用户设备进行黑客攻击时,可能会在短时间内产生较大的网络流量,因此可以根据网络流量的大小,判断网络访问行为是否为黑客攻击类行为。
[0068]可选的,由于黑客攻击的类型很多,例如暴力破解,漏洞攻击,拒绝服务攻击等,不同的攻击行为产生的网络访问行为也不同,因此在根据黑客攻击类行为生成攻击类网络日志时,可以为不同的攻击类型设置不同的攻击ID,即采用攻击ID标识不同的攻击类型,所述攻击ID设置在生成的攻击类网络日志中,每个攻击类网络日志包括与其对应的攻击ID。
[0069]步骤203、将所述网络日志发送给云服务器。
[0070]可选的,由于用户设备每时每刻都可能产生网络日志,如果实时向云服务器发送网络日志,可能会影响用户设备的处理速度,因此用户设备中可以设置网络日志缓存,用户设备产生的网络日志按照时间顺序存储在实时网络日志缓存中。当所述网络日志缓存中存储的网络日志数量大于或等于预设数量阈值时,将网络日志缓存中存储的网络日志打包发给云服务器;或者当所述网络日志缓存中存储了预设时间段的网络日志后,将网络日志缓存中存储的网络日志打包发给云服务器,避免频繁发送造成用户设备处理速度下降。
[0071]本发明实施例提供了一种黑客工具挖掘方法,包括:获取用户的网络访问行为;根据用户的网络访问行为产生的网络流量,生成网络日志;将所述网络日志发送给云服务器。相较于现有技术,能够将网络日志发送给云服务器,以便于云服务器通过数据挖掘获取任意一个黑客工具的攻击方式,进而通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0072]本发明实施例提供一种黑客工具挖掘方法,应用于黑客工具挖掘系统,所述黑客工具挖掘系统包括多个用户设备和与所述多个用户设备连接的云服务器,所述用户设备可以表现为多种形式,可以为传统防火墙,新一代防火墙,上网行为管理设备,智能流量管理设备,广域网优化网关,安全代理服务器等,本发明实施例对此不做限定。同时,与所述云服务器连接的用户设备数量没有上线,越多越好,本发明实施例以任意一个用户设备为例进行说明,如图3所示,所述方法包括:
[0073]步骤301、用户设备获取用户的网络访问行为,执行步骤302。
[0074]示例的,用户在客户端上通过所述用户设备上网时,会产生各种各样的网络访问行为,例如,用户可以在客户端上通过所述用户设备进行网络购物、在线聊天、在线欣赏音乐和电影、P2P工具下载,以及黑客攻击等,不同的网络访问行为产生的网络流量不同。
[0075]步骤302、用户设备根据用户的网络访问行为产生的网络流量,生成网络日志,执行步骤303。
[0076]示例的,若用户在客户端上通过用户设备进行黑客攻击时,可能会在短时间内产生较大的网络流量,因此可以根据网络流量的大小,判断网络访问行为是否为黑客攻击类行为。例如,初始化时设置流量阈值,若网络访问行为产生的流量大于或等于流量阈值时,所述网络访问行为可以确认为黑客攻击行为,根据该类黑客攻击行为可以生成攻击类网络日志;若网络访问行为产生的流量小于流量阈值时,所述网络访问行为可以确认为正常访问行为。现有技术中,为了便于标识不同的网络访问行为,每个已知的网络访问行为设置有特征码,根据特征码即可确定具体的网络行为,进而可以生成对应的网络日志。通常的网络日志包括报文流量日志,网络访问日志,区域防护日志等。
[0077]可选的,由于黑客攻击的类型很多,例如暴力破解,漏洞攻击,拒绝服务攻击等,不同的攻击行为产生的网络访问行为也不同,因此在根据黑客攻击类行为生成攻击类网络日志时,可以为不同的攻击类型设置不同的攻击ID,即采用攻击ID标识不同的攻击类型,所述攻击ID设置在生成的攻击类网络日志中,每个攻击类网络日志包括与其对应的攻击ID。
[0078]例如,若用户进行第一网络访问行为时的产生的网络流量较大,将其确定为黑客攻击行为,并为所述第一网络访问行为对应的攻击类型设置唯一对应的攻击ID,所述攻击ID可以为100000,当用户进行第二网络访问行为时产生的网络流量较大,将其确定为黑客攻击行为,并为所述第二网络访问行为对应的攻击类型设置唯一对应的攻击ID,所述攻击ID可以为100001,依次类推,为不同的攻击类型设置不同的攻击ID。
[0079]步骤303、用户设备将所述网络日志发送给云服务器,执行步骤304。
[0080]示例的,每个用户设备在根据网络访问行为生成网络日志之后,可以将网络日志发送给云服务器,以便于云服务器对网络日志进行分析。
[0081]可选的,由于用户设备每时每刻都可能产生网络日志,如果实时向云服务器发送网络日志,可能会影响用户设备的处理速度,因此用户设备中可以设置网络日志缓存,用户设备产生的网络日志按照时间顺序存储在实时网络日志缓存中。当所述网络日志缓存中存储的网络日志数量大于或等于预设数量阈值时,将网络日志缓存中存储的网络日志打包发给云服务器;或者当所述网络日志缓存中存储了预设时间段的网络日志后,将网络日志缓存中存储的网络日志打包发给云服务器,避免频繁发送造成用户设备处理速度下降。
[0082]步骤304、云服务器接收多个用户设备发送的网络日志,执行步骤306。
[0083]示例的,在黑客工具挖掘系统中,云服务器连接有多个用户设备,每个用户设备均可以将产生的网络日志发送给云服务器。
[0084]步骤305、云服务器从接收到的所述网络日志中获取攻击类网络日志,执行步骤306。
[0085]示例的,用户设备将产生的所有网络日志都发送给云服务器,包括正常访问产生的报文流量日志,网络访问日志,区域防护日志等,也包括攻击类网络日志,云服务器从接收到的所有网络日志中提取出攻击类网络日志。具体的,用户设备在产生攻击类网络日志时,每个攻击类网络日志中均携带有与其攻击类型对应的攻击ID,因此云服务器可以通过网络日志中是否包括攻击ID确定网络日志是否为攻击类网络日志。
[0086]步骤306、云服务器提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP( Internet Protocol,网络之间互连的协议),攻击ID和攻击时间,执行步骤307。
[0087]示例的,云服务器在获取到多个攻击类网络日志之后,对每个攻击类网络日志进行分析,获取其攻击IP,攻击ID和攻击时间。例如,假设第一网络日志为攻击类网络日志,zs:服务器可以对第一网络日志进行分析,提取第一网络日志的攻击IP,即产生所述第一网络日志的IP地址;第一网络日志的攻击ID,即所述第一网络日志的攻击类型;以及第一网络日志的攻击时间,即所述第一网络日志对应的网络访问行为产生的时间。
[0088]步骤307、云服务器对每个所述攻击信息进行向量化描述,获取每个攻击信息的攻击向量,执行步骤308。
[0089]示例的,为了便于对攻击信息进行数学分析,可以将攻击信息进行向量化描述,SP每个攻击信息对应一个向量。例如,第一网络日志对应的第一向量至少包括第一网络日志的攻击IP和攻击ID,实际应用中,第一向量还可以包括攻击时间。每个向量中元素的内容可以根据具体情况进行选择,本发明实施例对此不做限定。
[0090]步骤307、云服务器根据每个攻击信息的攻击向量,对所述攻击信息进行层次化分析,获取每个黑客工具对应的攻击ID组。
[0091]示例的,同一个攻击IP可能设置有多个黑客工具,每个黑客工具可能产生多种黑客攻击行为,每种黑客攻击行为对应的攻击ID不同,因此一个攻击IP可能对应多个攻击ID,通过数学分析,可以从每个攻击IP对应的多个攻击ID中获取每个黑客工具对应的攻击ID组,进而可以通过该攻击ID组标识产生所述攻击ID组包括的多个攻击ID的黑客工具。
[0092]可选的,假设一个攻击ID组对应了一个黑客工具,那么意味着这个攻击ID组一定会多次出现在不同攻击IP的攻击ID中。为了找出这些排列,可以采用频繁集挖掘算法。其中,频繁集挖掘算法的具体实现有很多种,本发明实施例以FP-Growth算法为例进行说明。所述FP-growth算法使用了一种称为频繁模式树(Frequent Pattern Tree)的数据结构,所述FP-tree是一种特殊的前缀树,由频繁项头表和项前缀树构成,所述FP-Growth算法基于以上的结构加快整个挖掘过程。
[0093]具体的,首先将每个攻击IP的攻击ID汇总,按照每个攻击ID产生的时间排列,生成每个攻击IP的攻击ID集合,获取所述每个攻击IP的攻击ID集合组成数据库D。然后扫描所述数据库D,获取所述数据库D中出现频次大于或等于第一预设数量阈值的攻击ID排列组成频繁项集合F,每个攻击ID排列包括至少两个攻击ID,按照每个攻击ID排列出现的频次的由大至IJ小,排列所述频繁项集合F中的攻击ID排列获取频繁项表L,根据所述频繁项表L构建所述FP-tree,根据所述FP-tree进行数据挖掘,获取支持度大于预设支持度阈值的节点对应的攻击ID排列,并将获取到的每个攻击ID排列拆分为不重复的二元组,例如,假设一个攻击ID排列为{1000000,1000001,1000002},可以将该攻击ID排列拆分为{1000000,1000001}和{1000001,1000002},并将拆分到的所有二元组组成二元组集合E。
[0094]假设一个攻击IP上设置有两个或者以上的给黑客工具,若选用两个黑客工具进行工具,从一个黑客工具切换至另一个黑客工具需要一定的时间差,可以假设该时间差为Tc!。计算所述二元组集合E中每一个二元组包括的两个攻击ID之间的时间差,保留时间差大于所述Td的二元组组成新二元组集合Ed。
[0095]遍历数据库D中的攻击ID集合,去除所述数据库D中的子集,例如,假设数据库中一下下面三个攻击ID集合{1000000,1000001,1000002},{1000000,1000001}和{1000000,1000002},由于{1000000,1000001}和{1000000 ,1000002}均为{1000000,1000001,1000002}的子集,因此在取出自己的过程中仅保留{1000000,1000001,1000002},去除所述{1000000,1000001}和{1000000,1000002}。所述数据库D去除子集之后剩余的攻击ID集合组成数据库A。
[0096]对所述数据库A中包括的任意一个攻击ID集合Al,计算所述Al与数据库A中元素数量超过所述Al的其他攻击ID集合之间的杰卡德距离,若存在某一攻击ID集合与所述Al之间的杰卡德距离大于0.4,则删除所述Al,经过计算后,数据库A中剩余的攻击ID集合组成数据库C。其中,所述杰卡德距离(Jaccard Distance)是用来衡量两个集合差异性的一种指标,它是杰卡德相似系数的补集,被定义为I减去Jaccard相似系数。而杰卡德相似系数(Jaccard similarity coefficient),也称杰卡德指数(Jaccard Index),是用来衡量两个集合相似度的一种指标。所述Jaccard相似指数用来度量两个集合之间的相似性,它被定义为两个集合交集的元素个数除以并集的元素个数。所述Jaccard距离用来度量两个集合之间的差异性,它是Jaccard的相似系数的补集,被定义为I减去Jaccard相似系数。所述杰卡德距离、杰卡德相似系数、Jaccard相似指数以及所述Jaccard距离均为现有技术,本发明实施例在此不做赘述。
[0097]最后,由于新二元组集合Ed中每个二元组包括的两个攻击ID来自与两个黑客工具,因此可以根据新二元组集合Ed对数据库C包括的攻击ID集合进行拆分。例如,数据库C中包括攻击ID集合{1000000,1000001,1000002,1000003},新二元组集合Ed中包括一个二元组{1000001,1000002},可根据该二元组{1000001,1000002}可以将攻击ID集合{1000000,1000001,1000002,1000003}拆分为两个攻击ID组{1000000 ,1000001}和{1000002,1000003},所述{1000000,1000001}和{1000002,1000003}分别为两个黑客工具对应的攻击ID组,可以分别用于标识其对应的黑客工具。
[0098]需要说明的是,本发明实施例提供的黑客工具挖掘方法步骤的先后顺序可以进行适当调整,步骤也可以根据情况进行相应增减,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化的方法,都应涵盖在本发明的保护范围之内,因此不再赘述。
[0099]本发明实施例提供了一种黑客工具挖掘方法,相较于现有技术,通过数据挖掘能够获取任意一个黑客工具的攻击方式,进而能够通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0100]本发明实施例提供一种云服务器40,如图4所示,包括:
[0101]接收单元401,用于接收至少一个用户设备发送的多个网络日志。
[0102]获取单元402,用于获取所述多个网络日志中的攻击类网络日志。
[0103]提取单元403,用于提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID。
[0104]挖掘单元404,用于对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。
[0105]这样一来,通过数据挖掘能够获取任意一个黑客工具的攻击方式,进而能够通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0106]可选的,所述挖掘单元404具体用于:对每个所述攻击类网络日志的攻击信息进行向量化描述,获取每个攻击信息的攻击向量,所述攻击向量包括对应攻击信息的攻击IP和攻击ID;
[0107]对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。
[0108]可选的,所述挖掘单元404具体用于:采用频繁集挖掘算法,对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。
[0109]可选的,所述攻击信息还包括攻击时间。
[0110]需要说明的是,第一,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0111]第二,所述获取单元402、提取单元403和挖掘单元404均可由位于云服务器40中的中央处理器(Central Processing Unit,CPU)、微处理器(Micro Processor Unit,MPU)、数字信号处理器(Digital Signal Proce s sor,DSP)、或现场可编程门阵列(Fi e I dProgrammable Gate Array,FPGA)等实现。接收单元401可由云服务器40与用户设备之间的通讯总线实现。
[0112]本发明实施例提供一种云服务器,包括:接收单元,用于接收至少一个用户设备发送的多个网络日志;获取单元,用于获取所述多个网络日志中的攻击类网络日志;提取单元,用于提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID;挖掘单元,用于对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。相较于现有技术,通过数据挖掘能够获取任意一个黑客工具的攻击方式,进而能够通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0113]本发明实施例提供一种用户设备50,如图5所示,包括:
[0114]获取单元501,用于获取用户的网络访问行为;
[0115]生成单元502,用于根据用户的网络访问行为产生的网络流量,生成网络日志;
[0116]发送单元503,用于将所述网络日志发送给云服务器。
[0117]需要说明的是,第一,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0118]第二,所述获取单元501和生成单元502可由位于用户设备50中的中央处理器(Central Processing Unit,CPU)、微处理器(Micro Processor Unit,MPU)、数字信号处理器(Digital Signal Processor,DSP)、或现场可编程门阵列(Field Programmable GateArray,FPGA)等实现。发送单元503均可由用户设备50与云服务器之间的通讯总线实现;
[0119]本发明实施例提供了一种用户设备,相较于现有技术,能够将网络日志发送给云服务器,以便于云服务器通过数据挖掘获取任意一个黑客工具的攻击方式,进而通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0120]本发明实施例提供一种黑客工具挖掘系统60,如图6所示,包括至少一个用户设备601和与所述至少一个用户设备连接的云服务器602;图6中,所述黑客工具挖掘系统60包括四个用户设备601,实际应用中与所述云服务器602连接的用户设备301数量没有上线,越多越好。
[0121]所述用户设备601用于获取用户的网络访问行为,根据用户的网络访问行为产生的网络流量,生成网络日志,并将所述网络日志发送给所述云服务器;
[0122]所述云服务器602用于接收所述至少一个用户设备发送的多个网络日志,获取所述多个网络日志中的攻击类网络日志,提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID,并对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。
[0123]需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0124]本发明实施例提供了一种黑客工具挖掘系统,相较于现有技术,用户设备能够将网络日志发送给云服务器,云服务器能够通过数据挖掘获取任意一个黑客工具的攻击方式,进而通过黑客工具的攻击方式标识黑客工具,使得防火墙能够根据每个黑客工具的攻击方式识别黑客工具,并据此提供完备的防护服务,提高了系统的安全性。
[0125]本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
[0126]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0127]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0128]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0129]以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
【主权项】
1.一种黑客工具挖掘方法,其特征在于,用于云服务器,包括: 接收至少一个用户设备发送的多个网络日志; 获取所述多个网络日志中的攻击类网络日志; 提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID; 对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。2.根据权利要求1所述的方法,其特征在于,所述对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组包括: 对每个所述攻击类网络日志的攻击信息进行向量化描述,获取每个攻击信息的攻击向量,所述攻击向量包括对应攻击信息的攻击IP和攻击ID; 对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。3.根据权利要求2所述的方法,其特征在于,所述对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组包括: 采用频繁集挖掘算法,对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。4.根据权利要求1-3任意一项权利要求所述的方法,其特征在于,所述攻击信息还包括攻击时间。5.一种黑客工具挖掘方法,其特征在于,用于用户设备,包括: 获取用户的网络访问行为; 根据用户的网络访问行为产生的网络流量,生成网络日志; 将所述网络日志发送给云服务器。6.一种云服务器,其特征在于,包括: 接收单元,用于接收至少一个用户设备发送的多个网络日志; 获取单元,用于获取所述多个网络日志中的攻击类网络日志; 提取单元,用于提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID; 挖掘单元,用于对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。7.根据权利要求6所述的云服务器,其特征在于,所述挖掘单元具体用于: 对每个所述攻击类网络日志的攻击信息进行向量化描述,获取每个攻击信息的攻击向量,所述攻击向量包括对应攻击信息的攻击IP和攻击ID; 对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。8.根据权利要求7所述的云服务器,其特征在于,所述挖掘单元具体用于: 采用频繁集挖掘算法,对每个所述攻击类网络日志的攻击向量进行数据挖掘,获取每个黑客工具对应的攻击ID组。9.根据权利要求6-8任意一项权利要求所述的云服务器,其特征在于,所述攻击信息还包括攻击时间。10.—种用户设备,其特征在于,包括: 获取单元,用于获取用户的网络访问行为; 生成单元,用于根据用户的网络访问行为产生的网络流量,生成网络日志; 发送单元,用于将所述网络日志发送给云服务器。11.一种黑客工具挖掘系统,其特征在于,包括至少一个用户设备和与所述至少一个用户设备连接的云服务器; 所述用户设备用于获取用户的网络访问行为,根据用户的网络访问行为产生的网络流量,生成网络日志,并将所述网络日志发送给所述云服务器; 所述云服务器用于接收所述至少一个用户设备发送的多个网络日志,获取所述多个网络日志中的攻击类网络日志,提取每个所述攻击类网络日志的攻击信息,所述攻击信息包括攻击IP和攻击ID,并对每个所述攻击类网络日志的攻击信息进行数据挖掘,获取每个黑客工具对应的攻击ID组,所述攻击ID组包括至少一个攻击ID。
【文档编号】H04L29/06GK106027554SQ201610514159
【公开日】2016年10月12日
【申请日】2016年6月30日
【发明人】易蜀锋, 张永臣
【申请人】北京网康科技有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1