基于大数据的攻击意图分析方法及系统与流程

1.本发明涉及大数据技术领域，具体而言，涉及一种基于大数据的攻击意图分析方法及系统。


背景技术：

2.如何通过攻击行为特征的分析，实现针对存在攻击行为特征的信息防护流程进行攻击意图挖掘和策略优化，是当前亟待解决的技术问题。


技术实现要素：

3.有鉴于此，本发明实施例的目的之一在于提供一种基于大数据的攻击意图分析方法，包括：基于在信息防护流程中采集的存在攻击行为特征的攻击事件日志，获取攻击基础大数据；基于所述攻击基础大数据，确定所述攻击基础大数据相关的攻击节点分布，所述攻击节点分布代表所述攻击行为特征与多个业务运行对象之间的关联节点信息；基于所述攻击节点分布，确定与所述攻击基础大数据相关的攻击意图挖掘规则； 基于所述攻击意图挖掘规则以及所述信息防护流程的攻击事件日志，生成具有所述攻击意图挖掘规则以及所述攻击行为特征的攻击意图信息，并通过所述信息防护流程对安全防护策略进行优化。
4.优选地，所述基于所述攻击基础大数据，确定所述攻击基础大数据相关的攻击节点分布，包括：将所述攻击基础大数据配置到攻击节点预测模型中，通过所述攻击节点预测模型生成与所述攻击基础大数据相关的攻击节点分布。
5.优选地，基于所述攻击节点分布，确定与所述攻击基础大数据相关的攻击意图挖掘规则，包括：基于所述攻击节点分布，确定所述攻击节点分布相关的攻击偏向变量；基于所述攻击偏向变量，从预设的攻击意图挖掘规则集中获得与所述攻击偏向变量相关的攻击意图挖掘规则。
6.优选地，基于所述攻击偏向变量，从预设的攻击意图挖掘规则集中获得与所述攻击偏向变量相关的攻击意图挖掘规则，包括：基于所述攻击偏向变量，从所述攻击意图挖掘规则集中确定与所述攻击偏向变量相关的多个参考攻击意图挖掘规则；将所述多个参考攻击意图挖掘规则通过所述信息防护流程对安全防护策略进行优化；基于用户针对所述多个参考攻击意图挖掘规则的指示信息，确定目标攻击意图挖掘规则。
7.优选地，所述生成具有所述攻击意图挖掘规则以及所述攻击行为特征的攻击意图信息，并通过所述信息防护流程对安全防护策略进行优化，包括：基于所述攻击基础大数据相关的当前安全防护固件版本，将当前得到的所述攻击意图挖掘规则更新到上一个攻击意图挖掘规则，并通过所述信息防护流程对安全防护策略进行优化；所述方法还包括：基于所述攻击意图信息，生成与所述攻击意图信息相关的时空域节点，并将所述时空域节点与所述攻击意图信息进行绑定。
8.本发明的目的之二在于提供一种基于大数据的攻击意图分析系统，包括：获取模块，用于基于在信息防护流程中采集的存在攻击行为特征的攻击事件日志，获取攻击基础大数据；确定模块，用于基于所述攻击基础大数据，确定所述攻击基础大数据相关的攻击节点分布，所述攻击节点分布代表所述攻击行为特征与多个业务运行对象之间的关联节点信息；优化模块，用于基于所述攻击节点分布，确定与所述攻击基础大数据相关的攻击意图挖掘规则； 基于所述攻击意图挖掘规则以及所述信息防护流程的攻击事件日志，生成具有所述攻击意图挖掘规则以及所述攻击行为特征的攻击意图信息，并通过所述信息防护流程对安全防护策略进行优化。
9.优选地，所述确定模块，具体用于：将所述攻击基础大数据配置到攻击节点预测模型中，通过所述攻击节点预测模型生成与所述攻击基础大数据相关的攻击节点分布。
10.优选地，所述优化模块具体用于：基于所述攻击节点分布，确定所述攻击节点分布相关的攻击偏向变量； 基于所述攻击偏向变量，从预设的攻击意图挖掘规则集中获得与所述攻击偏向变量相关的攻击意图挖掘规则。
11.优选地，所述优化模块具体还用于：基于所述攻击偏向变量，从所述攻击意图挖掘规则集中确定与所述攻击偏向变量相关的多个参考攻击意图挖掘规则；将所述多个参考攻击意图挖掘规则通过所述信息防护流程对安全防护策略进行优化；基于用户针对所述多个参考攻击意图挖掘规则的指示信息，确定目标攻击意图挖掘规则。
12.优选地，所述优化模块具体还用于：基于所述攻击基础大数据相关的当前安全防护固件版本，将当前得到的所述攻击意图挖掘规则更新到上一个攻击意图挖掘规则，并通过所述信息防护流程对安全防护策略进行优化；所述系统还包括：绑定模块，用于基于所述攻击意图信息，生成与所述攻击意图信息相关的时空域节点，并将所述时空域节点与所述攻击意图信息进行绑定。
13.综上所述，本发明实施例提供的基于大数据的攻击意图分析方法及系统，首先基于在信息防护流程中采集的存在攻击行为特征的攻击事件日志，获取攻击基础大数据，然后基于所述攻击基础大数据，确定所述攻击基础大数据相关的攻击节点分布，所述攻击节点分布代表所述攻击行为特征与多个业务运行对象之间的关联节点信息，接着基于所述攻击节点分布，确定与所述攻击基础大数据相关的攻击意图挖掘规则，最后基于所述攻击意图挖掘规则以及所述信息防护流程的攻击事件日志，生成具有所述攻击意图挖掘规则以及所述攻击行为特征的攻击意图信息，并通过所述信息防护流程对安全防护策略进行优化。如此，通过攻击行为特征的分析，可实现针对存在攻击行为特征的信息防护流程进行攻击意图挖掘和策略优化。
14.为使本发明实施例的上述目的、特征和优点能更明显易懂，下面将结合实施例，并配合所附附图，作详细说明。
附图说明
15.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅是本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以基于这些附图获得其他相关的附图。
16.图1是本发明实施例所提供的基于大数据的攻击意图分析方法的流程示意图；图2是本发明实施例所提供的基于大数据的攻击意图分析系统的功能模块框图。
具体实施方式
17.为了使本技术领域的学员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.图1是本发明实施例提供的基于大数据的攻击意图分析方法的流程示意图，该攻击行为特征响应方法可由用于提供信息防护流程服务的服务器执行，提供所述信息防护流程服务的后台服务器执行。
19.服务器可以包括一个或多个处理器，诸如一个或多个中央处理单元(cpu)，每个处理单元可以实现一个或多个硬件线程。服务器还可以包括任何存储介质，其用于存储诸如代码、设置、数据等之类的任何种类的信息。非限制性的，比如，存储介质可以包括以下任一项或多种组合：任何类型的ram，任何类型的rom，闪存设备，硬盘，光盘等。更一般地，任何存储介质都可以使用任何技术来存储信息。进一步地，任何存储介质可以提供信息的易失性或非易失性保留。进一步地，任何存储介质可以表示服务器的固定或可移除部件。在一种情况下，当处理器执行被存储在任何存储介质或存储介质的组合中的相关联的指令时，服务器可以执行相关联指令的任一操作。服务器还包括用于与任何存储介质交互的一个或多个驱动单元，诸如硬盘驱动单元、光盘驱动单元等。
20.服务器还包括输入/生成（i/o），其用于接收各种输入(经由输入单元)和用于提供各种生成(经由生成单元))。一个具体生成机构可以包括呈现设备和相关联的图形用户接
口(gui)。服务器还可以包括一个或多个网络接口，其用于经由一个或多个通信单元与其他设备交换数据。一个或多个通信总线将上文所描述的部件耦合在一起。
21.通信单元可以以任何方式实现，例如，通过局域网、广域网(例如，因特网)、点对点连接等、或其任何组合。通信单元可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能等的任何组合。
22.该基于大数据的攻击意图分析方法的详细步骤介绍如下。
23.步骤s11，基于在信息防护流程中采集的存在攻击行为特征的攻击事件日志，获取攻击基础大数据。
24.步骤s12，基于所述攻击基础大数据，确定所述攻击基础大数据相关的攻击节点分布，所述攻击节点分布代表所述攻击行为特征与多个业务运行对象之间的关联节点信息。
25.步骤s13，基于所述攻击节点分布，确定与所述攻击基础大数据相关的攻击意图挖掘规则； 基于所述攻击意图挖掘规则以及所述信息防护流程的攻击事件日志，生成具有所述攻击意图挖掘规则以及所述攻击行为特征的攻击意图信息，并通过所述信息防护流程对安全防护策略进行优化。
26.在一种可能的实施方式中，针对步骤s12，所述基于所述攻击基础大数据，确定所述攻击基础大数据相关的攻击节点分布，包括：将所述攻击基础大数据配置到攻击节点预测模型中，通过所述攻击节点预测模型生成与所述攻击基础大数据相关的攻击节点分布。
27.在一种可能的实施方式中，针对步骤s13，基于所述攻击节点分布，确定与所述攻击基础大数据相关的攻击意图挖掘规则，包括：基于所述攻击节点分布，确定所述攻击节点分布相关的攻击偏向变量； 基于所述攻击偏向变量，从预设的攻击意图挖掘规则集中获得与所述攻击偏向变量相关的攻击意图挖掘规则。
28.在一种可能的实施方式中，针对步骤s13，基于所述攻击偏向变量，从攻击意图挖掘规则集中获得与所述攻击偏向变量相关的攻击意图挖掘规则，包括：基于所述攻击偏向变量，从所述攻击意图挖掘规则集中确定与所述攻击偏向变量相关的多个参考攻击意图挖掘规则；将所述多个参考攻击意图挖掘规则通过所述信息防护流程对安全防护策略进行优化；基于用户针对所述多个参考攻击意图挖掘规则的指示信息，确定目标攻击意图挖掘规则。
29.在一种可能的实施方式中，针对步骤s13， 所述将所述攻击意图挖掘规则通过所述信息防护流程对安全防护策略进行优化，包括：基于所述攻击基础大数据相关的当前安全防护固件版本，将当前得到的所述攻击意图挖掘规则更新到上一个攻击意图挖掘规则，并通过所述信息防护流程对安全防护策略进行优化。
30.在一种可能的实施方式中，本实施例所述的方法还包括：基于所述攻击意图信息，生成与所述攻击意图信息相关的时空域节点，并将所述时空域节点与所述攻击意图信息进行绑定。
31.图2是本发明实施例提供的攻击行为特征响应系统的功能模块图，该攻击行为特征响应系统实现的功能可以对应上述方法执行的步骤。该攻击行为特征响应系统可以理解为上述服务器，或服务器的处理器，也可以理解为独立于上述服务器或处理器之外的在服务器控制下实现本发明功能的组件，如图2所示，下面分别对该攻击行为特征响应系统的各个功能模块的功能进行详细阐述。
32.获取模块21，用于基于在信息防护流程中采集的存在攻击行为特征的攻击事件日志，获取攻击基础大数据；确定模块22，用于基于所述攻击基础大数据，确定所述攻击基础大数据相关的攻击节点分布，所述攻击节点分布代表所述攻击行为特征与多个业务运行对象之间的关联节点信息；优化模块23，用于基于所述攻击节点分布，确定与所述攻击基础大数据相关的攻击意图挖掘规则； 基于所述攻击意图挖掘规则以及所述信息防护流程的攻击事件日志，生成具有所述攻击意图挖掘规则以及所述攻击行为特征的攻击意图信息，并通过所述信息防护流程对安全防护策略进行优化。
33.在一种可能的实施方式中，所述确定模块，具体用于：将所述攻击基础大数据配置到攻击节点预测模型中，通过所述攻击节点预测模型生成与所述攻击基础大数据相关的攻击节点分布。
34.在一种可能的实施方式中，所述优化模块具体用于：基于所述攻击节点分布，确定所述攻击节点分布相关的攻击偏向变量； 基于所述攻击偏向变量，从预设的攻击意图挖掘规则集中获得与所述攻击偏向变量相关的攻击意图挖掘规则。
35.在一种可能的实施方式中，所述优化模块具体还用于：基于所述攻击偏向变量，从所述攻击意图挖掘规则集中确定与所述攻击偏向变量相关的多个参考攻击意图挖掘规则；将所述多个参考攻击意图挖掘规则通过所述信息防护流程对安全防护策略进行优化；基于用户针对所述多个参考攻击意图挖掘规则的指示信息，确定目标攻击意图挖掘规则。
36.在一种可能的实施方式中，所述优化模块具体还用于：基于所述攻击基础大数据相关的当前安全防护固件版本，将当前得到的所述攻击意图挖掘规则更新到上一个攻击意图挖掘规则，并通过所述信息防护流程对安全防护策略进行优化。
37.在一种可能的实施方式中，所述系统还包括：绑定模块24，用于基于所述攻击意图信息，生成与所述攻击意图信息相关的时空域节点，并将所述时空域节点与所述攻击意图信息进行绑定。
38.综上所述，本发明实施例提供的基于大数据的攻击意图分析方法及系统，首先基于在信息防护流程中采集的存在攻击行为特征的攻击事件日志，获取攻击基础大数据，然后基于所述攻击基础大数据，确定所述攻击基础大数据相关的攻击节点分布，所述攻击节点分布代表所述攻击行为特征与多个业务运行对象之间的关联节点信息，接着基于所述攻
击节点分布，确定与所述攻击基础大数据相关的攻击意图挖掘规则，最后基于所述攻击意图挖掘规则以及所述信息防护流程的攻击事件日志，生成具有所述攻击意图挖掘规则以及所述攻击行为特征的攻击意图信息，并通过所述信息防护流程对安全防护策略进行优化。如此，通过攻击行为特征的分析，可实现针对存在攻击行为特征的信息防护流程进行攻击意图挖掘和策略优化。
39.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
40.在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
41.可以更新到的，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机或数据中心通过有线（例如同轴电缆、光纤、数字用户线（dsl））或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是具有一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质（例如固态硬盘solid state disk (ssd)）等。
42.需要说明的是，在本文中，术语"包括"、"具有"或者其任何其它变体意在涵盖非排它性的具有，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句"包括一个
……
"限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
43.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其它的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图进销存确认视为限制所涉及的权利要求。