一种攻击者画像生成方法、系统、设备以及介质与流程

1.本发明涉及网络安全领域，具体涉及一种攻击者画像生成方法、系统、设备以及存储介质。


背景技术：

2.攻击者画像，即针对网络中的攻击者所留下的线索进行自动分析产生的一些特征和关联，从而获取与攻击者自身相关的数据的过程，包括攻击者的指纹信息、社交信息、地址位置等信息。
3.传统的攻击者画像分析方法是基于单台网络安全设备，无法从全局上获取攻击者的全部攻击路径或者流量信息，刻画出的画像信息可以说是局部的、不完整的，给后续溯源工作带来了较大的难度。


技术实现要素：

4.有鉴于此，为了克服上述问题的至少一个方面，本发明实施例提出一种攻击者画像生成方法，包括以下步骤：
5.获取多个设备上传的日志并对日志进行解析以得到初始告警数据；
6.获取关联规则；
7.根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者ip的告警事件；
8.根据所述告警事件中的攻击者ip获取攻击者对应的信息；
9.根据所述攻击者对应的信息生成攻击者画像。
10.在一些实施例中，还包括：
11.根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配；
12.响应于相似度大于阈值，利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
13.在一些实施例中，根据所述告警事件中的攻击者ip获取攻击者对应的信息，进一步包括：
14.获取生成所述告警事件的设备对应的指纹信息，并根据所述攻击者ip获取社交信息以及情报信息。
15.在一些实施例中，对日志进行解析以得到初始告警数据，进一步包括：
16.根据预设的字段映射关系将所述日志分别归一化到对应的字段。
17.基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种攻击者画像生成系统，包括：
18.解析模块，配置为获取多个设备上传的日志并对日志进行解析以得到初始告警数据；
19.第一获取模块，配置为获取关联规则；
20.分析模块，配置为根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者ip的告警事件；
21.第二获取模块，配置为根据所述告警事件中的攻击者ip获取攻击者对应的信息；
22.生成模块，配置为根据所述攻击者对应的信息生成攻击者画像。
23.在一些实施例中，还包括匹配模块，配置为：
24.根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配；
25.响应于相似度大于阈值，利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
26.在一些实施例中，第二获取模块还配置为：
27.获取生成所述告警事件的设备对应的指纹信息，并根据所述攻击者ip获取社交信息以及情报信息。
28.在一些实施例中，解析模块还配置为：
29.根据预设的字段映射关系将所述日志分别归一化到对应的字段。
30.基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种计算机设备，包括：
31.至少一个处理器；以及
32.存储器，所述存储器存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时执行以下步骤：
33.获取多个设备上传的日志并对日志进行解析以得到初始告警数据；
34.获取关联规则；
35.根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者ip的告警事件；
36.根据所述告警事件中的攻击者ip获取攻击者对应的信息；
37.根据所述攻击者对应的信息生成攻击者画像。
38.在一些实施例中，还包括：
39.根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配；
40.响应于相似度大于阈值，利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
41.在一些实施例中，根据所述告警事件中的攻击者ip获取攻击者对应的信息，进一步包括：
42.获取生成所述告警事件的设备对应的指纹信息，并根据所述攻击者ip获取社交信息以及情报信息。
43.在一些实施例中，对日志进行解析以得到初始告警数据，进一步包括：
44.根据预设的字段映射关系将所述日志分别归一化到对应的字段。
45.基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时执行以下步骤：
46.获取多个设备上传的日志并对日志进行解析以得到初始告警数据；
47.获取关联规则；
48.根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者ip的告警事件；
49.根据所述告警事件中的攻击者ip获取攻击者对应的信息；
50.根据所述攻击者对应的信息生成攻击者画像。
51.在一些实施例中，还包括：
52.根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配；
53.响应于相似度大于阈值，利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
54.在一些实施例中，根据所述告警事件中的攻击者ip获取攻击者对应的信息，进一步包括：
55.获取生成所述告警事件的设备对应的指纹信息，并根据所述攻击者ip获取社交信息以及情报信息。
56.在一些实施例中，对日志进行解析以得到初始告警数据，进一步包括：
57.根据预设的字段映射关系将所述日志分别归一化到对应的字段。
58.本发明具有以下有益技术效果之一：本发明提出的方案通过接入不同设备的海量异构日志数据，进行归一化操作，通过关联分析，提取关键信息对攻击者的画像信息进行分析和富化，能够最终生成攻击者的画像描述，对后续的攻击溯源提供一定的帮助。
附图说明
59.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。
60.图1为本发明的实施例提供的攻击者画像生成方法的流程示意图；
61.图2为本发明的实施例提供的攻击者画像生成系统的结构示意图；
62.图3为本发明的实施例提供的计算机设备的结构示意图；
63.图4为本发明的实施例提供的计算机可读存储介质的结构示意图。
具体实施方式
64.为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。
65.需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。
66.根据本发明的一个方面，本发明的实施例提出一种攻击者画像生成方法，如图1所示，其可以包括步骤：
67.s1，获取多个设备上传的日志并对日志进行解析以得到初始告警数据；
68.s2，获取关联规则；
69.s3，根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者ip的
告警事件；
70.s4，根据所述告警事件中的攻击者ip获取攻击者对应的信息；
71.s5，根据所述攻击者对应的信息生成攻击者画像。
72.本发明提出的方案通过接入不同设备的海量异构日志数据，进行归一化操作，通过关联分析，提取关键信息对攻击者的画像信息进行分析和富化，能够最终生成攻击者的画像描述，对后续的攻击溯源提供一定的帮助。
73.在一些实施例中，对日志进行解析以得到初始告警数据，进一步包括：
74.根据预设的字段映射关系将所述日志分别归一化到对应的字段。
75.在一些实施例中，步骤s1中，获取多个设备上传的日志并对日志进行解析以得到初始告警数据，具体的，首先进行多设备接入，以方便进行日志收集工作，接着对接入的设备日志进行归一化操作，使其具有统一的格式，最后对归一化数据进行信息增强，包括地理位置信息、攻击特征，攻击手段等内容。
76.在一些实施例中，可以设置日志接入和采集模块，以对各种设备日志进行采集，例如对蜜罐、ips、ids、waf等设备进行采集，根据解析规则进行数据归一化操作，统一格式化为json格式，查询地理信息库，进行地理信息增强，同时根据原始日志中的数据提取攻击特征和攻击手段等内容，以上每一种日志采集器以插件方式部署。
77.在一些实施例中，日志接入和采集模块是为系统提供基础数据能力。包括设备日志采集，根据不同的日志类型，其采用不同的采集插件；日志归一化，根据日志类型进行数据字段映射，归一化为json格式；增强地理位置信息，同时提取攻击特征和攻击手段，方便后续关联分析使用；归一化数据持久化操作，将归一化的数据进行落盘存入es。日志接入和采集具体实现如下：
78.a)设备日志发送到本地kafka队列，采集模块从队列中读取数据。
79.b)采集模块根据日志中的厂商和设备类型，调用对应的解析插件，对日志进行解析，如果找不到解析插件，给出无法解析原因。
80.c)解析插件根据预置的字段映射关系，将日志字段分别归一化到对应的字段。
81.d)信息增强和提取：调用本地地理库，增强地理位置信息，包括所在城市、国家等信息。如果当前日志需要进行攻击特征和攻击手段提取，则进行该部分内容提取和归一化。
82.e)对归一化的数据进行落盘和写入kafka队列，供后续模块使用。
83.在一些实施例中，步骤s2中，获取关联规则，具体的，实时关联分析，基于flink引擎，建立特定的安全监测应用场景，通过统计学习算法、序列分析算法、聚类分析算法，对归一化数据进行异常检测，当匹配到对应的应用场景时，输出原始的安全告警事件，并将该事件放入到kafka对列，供后续画像分析和生成模块使用。具体实施方案如下：
84.a)安全检测场景建立，根据场景不同建立不同的检测规则，以适应各种安全分析场景；
85.b)对归一化数据进行关联分析，根据匹配到的规则使用不同的算法进行对归一化数据进行分析和异常检测；
86.c)输出原始告警事件到kafka队列，后续画像分析模块从该队列读取数据作为分析起点。
87.在一些实施例中，根据所述告警事件中的攻击者ip获取攻击者对应的信息，进一
步包括：
88.获取生成所述告警事件的设备对应的指纹信息，并根据所述攻击者ip获取社交信息以及情报信息。
89.具体的，根据原始告警事件，取ip作为攻击者原始分析点，新增攻击者ip信息，并对攻击者画像信息进行增强，获取设备指纹信息、攻击者社交信息、地理位置信息等信息，画像合并和增强，根据相似度算法，综合地理位置、user-agent、cookie信息，如果能够命中已存在的画像信息，则对画像信息进行更新。在一些实施例中，实施方案如下：
90.a)通过获取原始告警事件中的ip作为起点初步生成攻击者画像信息；
91.b)画像增强，通过关联的归一化日志获取设备指纹信息、社交信息、地理位置信息，其中设备指纹信息包括操作系统、user-agent、屏幕分辨率、设备类型、cookie信息等；社交信息包括使用的社交软件、账号等信息；地理位置信息包括经纬度、mac地址、省市国家地理位置；
92.c)情报信息增强，通过本地情报库获取情报信息，包括所属组织、置信度、攻击手段、攻击针对的国家和行业等信息；
93.在一些实施例中，还包括：
94.根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配；
95.响应于相似度大于阈值，利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
96.具体的，首先根据设备指纹信息中的操作系统、屏幕分辨率、mac是否在画像信息中存在，如果存在，则更新画像信息，如果不存在则认为是对目标一个新的攻击者，插入到新的攻击者列表；结合地理位置、user-agent、cookie、攻击目标，使用相似度算法，如果命中已经存在画像信息，更新画像信息，如果不存在则认为是对目标一个新的攻击者，插入到新的攻击者列表。
97.本发明提出的方案通过接入不同设备的海量异构日志数据，提取ips、ids、waf、蜜罐等告警或者原始流量数据，进而提取攻击者的关键特征，能够对攻击者进行多维度分析，能够最终生成攻击者的画像描述，为下一步防御提供依据，对后续的攻击溯源提供一定的帮助。进行归一化操作，通过关联分析，提取关键信息对攻击者的画像信息进行分析和富化，能够最终生成攻击者的画像描述，对后续的攻击溯源提供一定的帮助。
98.基于同一发明构思，根据本发明的另一个方面，本发明的实施例还提供了一种攻击者画像生成系统400，如图2所示，包括：
99.解析模块401，配置为获取多个设备上传的日志并对日志进行解析以得到初始告警数据；
100.第一获取模块402，配置为获取关联规则；
101.分析模块403，配置为根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者ip的告警事件；
102.第二获取模块404，配置为根据所述告警事件中的攻击者ip获取攻击者对应的信息；
103.生成模块405，配置为根据所述攻击者对应的信息生成攻击者画像。
104.在一些实施例中，还包括匹配模块，配置为：
105.根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配；
106.响应于相似度大于阈值，利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
107.在一些实施例中，第二获取模块404还配置为：
108.获取生成所述告警事件的设备对应的指纹信息，并根据所述攻击者ip获取社交信息以及情报信息。
109.在一些实施例中，解析模块401还配置为：
110.根据预设的字段映射关系将所述日志分别归一化到对应的字段。
111.本发明提出的方案通过接入不同设备的海量异构日志数据，进行归一化操作，通过关联分析，提取关键信息对攻击者的画像信息进行分析和富化，能够最终生成攻击者的画像描述，对后续的攻击溯源提供一定的帮助。
112.基于同一发明构思，根据本发明的另一个方面，如图3所示，本发明的实施例还提供了一种计算机设备501，包括：
113.至少一个处理器520；以及
114.存储器510，存储器510存储有可在处理器上运行的计算机程序511，处理器520执行程序时执行以下步骤：
115.s1，获取多个设备上传的日志并对日志进行解析以得到初始告警数据；
116.s2，获取关联规则；
117.s3，根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者ip的告警事件；
118.s4，根据所述告警事件中的攻击者ip获取攻击者对应的信息；
119.s5，根据所述攻击者对应的信息生成攻击者画像。
120.在一些实施例中，还包括：
121.根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配；
122.响应于相似度大于阈值，利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
123.在一些实施例中，根据所述告警事件中的攻击者ip获取攻击者对应的信息，进一步包括：
124.获取生成所述告警事件的设备对应的指纹信息，并根据所述攻击者ip获取社交信息以及情报信息。
125.在一些实施例中，对日志进行解析以得到初始告警数据，进一步包括：
126.根据预设的字段映射关系将所述日志分别归一化到对应的字段。
127.本发明提出的方案通过接入不同设备的海量异构日志数据，进行归一化操作，通过关联分析，提取关键信息对攻击者的画像信息进行分析和富化，能够最终生成攻击者的画像描述，对后续的攻击溯源提供一定的帮助。
128.基于同一发明构思，根据本发明的另一个方面，如图4所示，本发明的实施例还提供了一种计算机可读存储介质601，计算机可读存储介质601存储有计算机程序指令610，计算机程序指令610被处理器执行时执行以下步骤：
129.s1，获取多个设备上传的日志并对日志进行解析以得到初始告警数据；
130.s2，获取关联规则；
131.s3，根据所述关联规则对多个初始告警数据进行关联分析并输出包括攻击者ip的告警事件；
132.s4，根据所述告警事件中的攻击者ip获取攻击者对应的信息；
133.s5，根据所述攻击者对应的信息生成攻击者画像。
134.在一些实施例中，还包括：
135.根据生成的攻击者画像与数据库中已存在的攻击者画像进行相似度匹配；
136.响应于相似度大于阈值，利用所述生成的攻击者画像对所述已存在的攻击者画像进行更新。
137.在一些实施例中，根据所述告警事件中的攻击者ip获取攻击者对应的信息，进一步包括：
138.获取生成所述告警事件的设备对应的指纹信息，并根据所述攻击者ip获取社交信息以及情报信息。
139.在一些实施例中，对日志进行解析以得到初始告警数据，进一步包括：
140.根据预设的字段映射关系将所述日志分别归一化到对应的字段。
141.本发明提出的方案通过接入不同设备的海量异构日志数据，进行归一化操作，通过关联分析，提取关键信息对攻击者的画像信息进行分析和富化，能够最终生成攻击者的画像描述，对后续的攻击溯源提供一定的帮助。
142.最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。
143.此外，应该明白的是，本文的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。
144.本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
145.以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。
146.应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
147.上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。
148.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，程序可以存储于一种计算机可读存储介
质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
149.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。