一种网络数据的TTPs识别方法、装置、设备及介质与流程

本发明涉及网络安全，具体而言，涉及一种网络数据的ttps识别方法、装置、设备及介质。

背景技术：

1、近年来，apt(advanced persistent threat，高级持续性威胁)攻击频繁发生，网络安全已成为全球关注的热点问题。目前，各组织主要是通过交换各种威胁报告来共享各种类型的攻击，当检测到新的攻击时，需要查找与攻击相似的威胁报告，根据威胁报告确定攻击目标。但网络数据量巨大，存在大量潜在攻击，相比于攻击的数量，威胁报告的数量要少得多，难以快速准确地识别多种网络数据包中的攻击目标，且这种检测方式没有关注到网络数据包的攻击意图，无法进一步分析攻击行为，极大地限制了网络安全检测效率。

技术实现思路

1、本发明实施例的目的在于提供一种网络数据的ttps识别方法、装置、设备及介质，用以实现批量识别网络数据包的ttps标签，提高网络安全检测效率的技术效果。

2、第一方面，本发明实施例提供一种网络数据的ttps识别方法，包括：

3、获取多个网络数据包的有效载荷；

4、对所有所述有效载荷进行聚类，得到至少一个类簇；

5、将各个所述类簇的聚类签名映射到ttps，对应构建各个所述类簇的攻击检测规则；

6、基于各个所述类簇的攻击检测规则，对应识别各个所述类簇中所有有效载荷的ttps标签。

7、在上述实现过程中，通过对多个网络数据包的有效载荷进行聚类，将得到的各个类簇的聚类签名映射到ttps进行ttps识别，能够批量识别网络数据包的ttps标签，提高网络安全检测效率。

8、进一步地，所述获取多个网络数据包的有效载荷，具体包括：

9、采用蜜罐系统收集多个所述网络数据包；

10、从各个所述网络数据包中提取有效载荷，得到所有所述有效载荷。

11、在上述实现过程中，通过采用蜜罐系统收集多个网络数据包，从各个网络数据包中提取有效载荷，得到所有有效载荷，能够快速获取多个网络数据包的有效载荷，有利于进一步提高网络安全检测效率。

12、进一步地，在所述对所有所述有效载荷进行聚类，得到至少一个类簇之前，还包括：

13、将所有所述有效载荷均转换为矢量。

14、在上述实现过程中，通过先将所有有效载荷均转换为矢量，再对所有有效载荷进行聚类，能够保证后续快速准确地对所有有效载荷进行聚类，有利于进一步提高网络安全检测效率。

15、进一步地，所述将所有所述有效载荷均转换为矢量，具体包括：

16、组合所有所述有效载荷，生成有效载荷序列；

17、采用编码器模型对所述有效载荷序列进行矢量化处理，得到目标有效载荷序列；

18、拆分所述目标有效载荷序列，得到所有所述有效载荷的矢量化表示。在上述实现过程中，通过将所有有效载荷组合成有效载荷序列输入编码器模型，采用编码器模型对有效载荷序列进行矢量化处理，从输出的目标有效载荷序列拆分出所有有效载荷的矢量化表示，能够快速将所有有效载荷转换为矢量，有利于进一步提高网络安全检测效率。

19、进一步地，所述组合所有所述有效载荷，生成有效载荷序列，具体包括：

20、对各个所述有效载荷添加起始标记和结尾标记，得到所有目标有效载荷；

21、根据预设排列顺序，排列所有所述目标有效载荷，生成所述有效载荷序列。

22、在上述实现过程中，通过先对各个有效载荷添加起始标记和结尾标记，得到所有目标有效载荷，再根据预设排列顺序排列所有目标有效载荷，生成有效载荷序列，能够保证准确获取各个有效载荷的矢量化表示，有利于进一步提高网络安全检测效率。

23、进一步地，所述对所有所述有效载荷进行聚类，得到至少一个类簇，具体包括：

24、基于聚类算法对所有所述有效载荷进行聚类，得到至少一个类簇；其中，所述聚类算法为k-means聚类算法或som聚类算法。

25、在上述实现过程中，通过基于k-means聚类算法或som聚类算法，对所有有效载荷进行聚类，能够快速准确地对所有有效载荷进行聚类，有利于进一步提高网络安全检测效率。

26、进一步地，在所述将各个所述类簇的聚类签名映射到ttps，对应构建各个所述类簇的攻击检测规则之前，还包括：

27、对于每一所述类簇，结合所述类簇中的所有有效载荷，生成类簇文档；

28、基于tf-idf算法计算所述类簇文档中各个词语的权重，并将权重最大的词语作为所述类簇的聚类签名。

29、在上述实现过程中，通过结合类簇中的所有有效载荷，生成类簇文档，基于tf-idf算法计算类簇文档中各个词语的权重，将权重最大的词语作为类簇的聚类签名，能够快速准确地获取类簇的聚类签名，有利于进一步提高网络安全检测效率。

30、进一步地，所述将各个所述类簇的聚类签名映射到ttps，对应构建各个所述类簇的攻击检测规则，具体包括：

31、对于每一所述类簇，将所述类簇的聚类签名映射到ttps，采用snort系统根据所述类簇的聚类签名，构建所述类簇的攻击检测规则。

32、在上述实现过程中，通过将类簇的聚类签名映射到ttps，采用snort系统根据类簇的聚类签名，构建类簇的攻击检测规则，能够借助snort系统加快ttps识别速度，有利于进一步提高网络安全检测效率。

33、第二方面，本发明实施例提供一种网络数据的ttps识别装置，包括：

34、获取模块，用于获取多个网络数据包的有效载荷；

35、聚类模块，用于对所有所述有效载荷进行聚类，得到至少一个类簇；

36、构建模块，用于将各个所述类簇的聚类签名映射到ttps，对应构建各个所述类簇的攻击检测规则；

37、识别模块，用于基于各个所述类簇的攻击检测规则，对应识别各个所述类簇中所有有效载荷的ttps标签。

38、第三方面，本发明实施例提供一种电子设备，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序；所述存储器与所述处理器耦接，且所述处理器执行所述计算机程序时实现如上所述的网络数据的ttps识别方法。

39、第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序；其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上所述的网络数据的ttps识别方法。

技术特征：

1.一种网络数据的ttps识别方法，其特征在于，包括：

2.根据权利要求1所述的网络数据的ttps识别方法，其特征在于，所述获取多个网络数据包的有效载荷，具体包括：

3.根据权利要求1所述的网络数据的ttps识别方法，其特征在于，在所述对所有所述有效载荷进行聚类，得到至少一个类簇之前，还包括：

4.根据权利要求3所述的网络数据的ttps识别方法，其特征在于，所述将所有所述有效载荷均转换为矢量，具体包括：

5.根据权利要求4所述的网络数据的ttps识别方法，其特征在于，所述组合所有所述有效载荷，生成有效载荷序列，具体包括：

6.根据权利要求1所述的网络数据的ttps识别方法，其特征在于，所述对所有所述有效载荷进行聚类，得到至少一个类簇，具体包括：

7.根据权利要求1所述的网络数据的ttps识别方法，其特征在于，在所述将各个所述类簇的聚类签名映射到ttps，对应构建各个所述类簇的攻击检测规则之前，还包括：

8.根据权利要求1或7所述的网络数据的ttps识别方法，其特征在于，所述将各个所述类簇的聚类签名映射到ttps，对应构建各个所述类簇的攻击检测规则，具体包括：

9.一种网络数据的ttps识别装置，其特征在于，包括：

10.一种电子设备，其特征在于，包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序；所述存储器与所述处理器耦接，且所述处理器执行所述计算机程序时实现根据权利要求1至8任一项所述的网络数据的ttps识别方法。

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的计算机程序；其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行根据权利要求1至8任一项所述的网络数据的ttps识别方法。

技术总结
本发明实施例提供一种网络数据的TTPs识别方法、装置、设备及介质，涉及网络安全技术领域。所述网络数据的TTPs识别方法包括：获取多个网络数据包的有效载荷；对所有所述有效载荷进行聚类，得到至少一个类簇；将各个所述类簇的聚类签名映射到TTPs，对应构建各个所述类簇的攻击检测规则；基于各个所述类簇的攻击检测规则，对应识别各个所述类簇中所有有效载荷的TTPs标签。本发明实施例能够实现批量识别网络数据包的TTPs标签，提高网络安全检测效率的技术效果。

技术研发人员：刘微
受保护的技术使用者：北京天融信网络安全技术有限公司
技术研发日：
技术公布日：2024/3/24