防范非法攻击行为的方法、装置和计算可读存储介质与流程

1.本技术涉及网络安全领域，尤其涉及防范非法攻击行为的方法、装置和计算可读存储介质。


背景技术：

2.网络已经渗透到现代社会的各个领域，无论是个人生活、公益或公共组织还是商业团体，已经离不开网络。这些网络一旦遭遇非法攻击，将会给个人或团体带来巨大的损失，因此，网络安全始终是相关领域重要的研究课题。
3.将模拟拓扑网络，例如，蜜网(honey net)与安全设备联动，防范非法攻击行为是目前一种流行的技术。相关技术中，通常是将安全设备和蜜网等模拟拓扑网络发现的非法攻击信息共享。然而，这种信息共享通常并不充分或深入，仍然给非法攻击者有机可乘。


技术实现要素：

4.为解决或部分解决相关技术中存在的问题，本技术提供一种防范非法攻击行为的方法、装置和计算可读存储介质，可以有效防范威胁度更高的非法攻击行为。
5.本技术第一方面提供一种防范非法攻击行为的方法，包括：
6.获取来源不同的标准化日志数据，所述来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志；
7.分析所述攻击行为日志，确定攻击者集合；
8.分别从所述告警日志和业务日志匹配出对应于所述攻击者集合的攻击者告警日志集合和可疑访问行为日志集合；
9.根据所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在所述可疑访问行为日志集合中每一个可疑访问行为的威胁度。
10.本技术第二方面提供一种防范非法攻击行为的装置，包括：
11.获取模块，用于获取来源不同的标准化日志数据，所述来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志；
12.分析模块，用于分析所述攻击行为日志，确定攻击者集合；
13.匹配模块，用于分别从所述告警日志和业务日志匹配出对应于所述攻击者集合的攻击者告警日志集合和可疑访问行为日志集合；
14.确定模块，用于根据所述攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在所述可疑访问行为日志集合中每一个可疑访问行为的威胁度。
15.本技术第三方面提供一种电子设备，包括：
16.处理器；以及
17.存储器，其上存储有可执行代码，当所述可执行代码被所述处理器执行时，使所述
处理器执行如上所述的方法。
18.本技术第四方面提供一种计算机可读存储介质，其上存储有可执行代码，当所述可执行代码被电子设备的处理器执行时，使所述处理器执行如上所述的方法。
19.本技术提供的技术方案可知，在通过对来自模拟拓扑网络的攻击行为日志分析，确定攻击者集合后，匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合，最后根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。由于可疑访问行为日志集合中每一个可疑访问行为的威胁度并非基于单个设备的数据，而是对不同来源数据关联分析得到，各种(个)设备的数据共享更加充分或深入，从而能够发现正常业务访问记录中的潜在攻击者，有效防范威胁度更高的非法攻击行为。
20.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
21.通过结合附图对本技术示例性实施方式进行更详细地描述，本技术的上述以及其它目的、特征和优势将变得更加明显，其中，在本技术示例性实施方式中，相同的参考标号通常代表相同部件。
22.图1是本技术实施例提供的防范非法攻击行为的方法的流程示意图；
23.图2是本技术实施例提供的防范非法攻击行为的装置的结构示意图；
24.图3是本技术实施例提供的电子设备的结构示意图。
具体实施方式
25.下面将参照附图更详细地描述本技术的实施方式。虽然附图中显示了本技术的实施方式，然而应该理解，可以以各种形式实现本技术而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本技术更加透彻和完整，并且能够将本技术的范围完整地传达给本领域的技术人员。
26.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
27.应当理解，尽管在本技术可能采用术语“第一”、“第二”、“第三”等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
28.在网络安全领域，相关技术中，是将模拟拓扑网络，例如，蜜网(honey net)与安全设备联动，以防范非法攻击行为。具体是将安全设备发现的攻击流量引流给蜜罐设备，或者将蜜罐设备识别出的攻击所用ip下发给安全设备，以让安全设备进行拦截，或者蜜罐设备
和安全设备联动，等等。然而，上述相关技术中，将安全设备发现的攻击流量引流给蜜罐设备，无法解决安全设备被绕过的情况，原因在于安全设备基于已有的规则或引擎，只能识别已知攻击从而引流至蜜罐设备，而对于未知攻击，由于安全设备无法分辨而无法将其引流给蜜罐，而将蜜罐设备识别出的攻击所用ip下发给安全设备无法阻止攻击者更换ip地址继续进行攻击。至于蜜罐设备和安全设备联动，实际上联动并不充分，导致蜜罐设备捕获到的情报无法共享给安全设备，安全设备识别的攻击流量也不能引流至蜜罐设备。
29.针对上述问题，本技术实施例提供一种防范非法攻击行为的方法，可以有效防范威胁度更高的非法攻击行为。
30.以下结合附图详细描述本技术实施例的技术方案。
31.参见图1，是本技术实施例示出的防范非法攻击行为的方法的流程示意图，主要包括步骤s101至步骤s104，说明如下：
32.步骤s101：获取来源不同的标准化日志数据，其中，来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志。
33.在本技术实施例中，标准化日志数据是通过采集来自不同设备或网络的日志数据，经过标准化处理后得到的日志数据。具体而言，在获取来源不同的标准化日志数据之前，对来自模拟拓扑网络，例如蜜网(honey net)的攻击行为日志、来自真实网络安全设备的告警日志和来自业务系统的业务日志进行标准化处理，得到来源不同的标准化日志数据，保存这些来源不同的标准化日志数据，例如，保存至同一数据库进行统一管理。上述实施例中，对攻击行为日志、告警日志和业务日志进行标准化处理主要包括抽取这些日志中每条日志的源ip地址或攻击者设备标识等主要信息，然后，对抽取源ip地址或攻击者设备标识后的同一个对象或同一个行为的日志统一命名，消除歧义，最后，将经过统一命名和消除歧义的日志，建立同一个对象或行为与日志之间的映射关系，如此，当获取一条这种标准化日志，即可获知该条标准化日志是对应于哪个源ip地址或攻击者设备标识，而源ip地址或攻击者设备标识亦对应于某个攻击工具或者攻击者所使用的设备或ip地址，其中，上述攻击者设备标识具体可以是攻击者设备指纹，意味着只要攻击者只是采用同一台设备，即使更换ip地址，仍然可以识别出攻击者。在另一些实施例中，对攻击行为日志、告警日志和业务日志进行标准化处理还包括抽取这些日志中每条日志的目的ip、源端口，目的端口、用于表明每条日志产生时间的时间戳、每条日志的类别以及每条日志对应的行为等信息，其中，从攻击行为日志或告警日志所抽取的行为信息对应于对攻击行为的描述，从业务日志抽取的行为信息对应于对业务系统中数据的访问行为。
34.步骤s102：分析来自模拟拓扑网络并经标准化处理的攻击行为日志，确定攻击者集合。
35.作为本技术一个实施例，分析来自模拟拓扑网络并经标准化处理的攻击行为日志，确定攻击者集合可以通过如下步骤s1021至步骤s1023实现：
36.步骤s1021：确定第三方的攻击行为情报中的自动攻击行为。
37.需要说明的是，本技术的技术方案主要是识别攻击者，包括明显的攻击者和/或潜在的攻击者，其中，攻击者主要是指操作攻击工具的非法攻击人员，例如，网络黑客等，并非是指攻击工具，例如，一些自动攻击工具。因此，本技术在确定攻击者集合时，首先需要确定
第三方的攻击行为情报中的自动攻击行为，例如，恶意爬虫、黑灰产活动等等。尽管这些来自第三方的攻击行为情报中的自动攻击行为具有非法性，但往往并不具备攻击性，一般不会给业务系统带来致命的损害或过高的安全风险。
38.步骤s1022：将自动攻击行为与攻击行为日志匹配，过滤攻击行为日志中自动攻击行为。
39.如前所述，在对攻击行为日志抽取信息时，还包括对每条攻击行为日志对应的行为即攻击行为的描述。因此，将自动攻击行为与攻击行为日志匹配，可以过滤攻击行为日志中自动攻击行为。
40.步骤s1023：基于人机交互引擎，分析并过滤自动攻击行为的攻击源，得到由攻击者构成的攻击者集合。
41.步骤s103：分别从告警日志和业务日志匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合。
42.如前所述，由于对攻击行为日志、告警日志和业务日志进行标准化处理包括抽取这些日志中每条日志的源ip地址或攻击者设备标识等信息，因此，步骤s103的实现可以是：分别提取告警日志和业务日志中每一条日志对应的源ip地址或攻击者设备标识；将源ip地址或攻击者设备标识与攻击者集合中攻击者对应的源ip地址或攻击者设备标识匹配；若匹配成功，则将匹配成功的源ip地址或攻击者设备标识对应的告警日志作为攻击者告警日志集合的元素构成攻击者告警日志集合，将匹配成功的源ip地址或攻击者设备标识对应的业务日志作为可疑访问行为日志集合的元素构成可疑访问行为日志集合。需要说明的是，上述实施例中，当将攻击者设备标识与攻击者集合中攻击者的对应的攻击者设备标识匹配时，可以有效防止攻击者更换ip地址进行非法攻击。
43.步骤s104：根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。
44.在本技术实施例中，来自模拟拓扑网络的攻击行为日志，其对应的攻击行为具有一定的可信度即为真实、已知的攻击行为，同样地，来自真实网络安全设备的告警日志，其对应的攻击行为亦具有一定的可信度即为真实、已知的攻击行为，而来自业务系统的业务日志，其对应的访问行为可能是对业务系统正常或合法的访问，亦可能是对业务系统非正常或非法的访问。由于这些非正常或非法的访问行为具有隐蔽性，因而逃过了模拟拓扑网络或者真实网络安全设备的检测。然而，正是因为这些非正常或非法的访问行为的隐蔽性强，具有较高的威胁度，因而可以采用模拟拓扑网络、真实网络安全设备和业务系统联动的方式，即，根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。
45.具体而言，作为本技术一个实施例，根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度可以通过步骤s1041和步骤s1042实现，说明如下：
46.步骤s1041：提取攻击者告警日志集合、可疑访问行为日志集合以及来自模拟拓扑网络并经标准化处理的攻击行为日志中每一条日志的时间戳，分别构成对应的时间戳集合t2、时间戳集合t3和时间戳集合t1。
47.即提取攻击者告警日志集合中每一条日志的时间戳，构成时间戳集合t2；提取可
疑访问行为日志集合中每一条日志的时间戳，构成时间戳集合t3；提取来自模拟拓扑网络并经标准化处理的攻击行为日志中每一条日志的时间戳，构成时间戳集合t1。
48.步骤s1042：根据时间戳集合t1、时间戳集合t2和时间戳集合t3并基于时间临近关系算法，计算在可疑访问行为日志集合中每一个可疑访问行为的可疑分值，其中，可疑访问行为的可疑分值的大小正比于可疑访问行为的威胁度。
49.如前所述，来自模拟拓扑网络的攻击行为日志或真实网络安全设备的告警日志，其对应的攻击行为亦具有一定的可信度，若可疑访问行为日志集合中某条可疑访问行为日志的时间戳与攻击行为日志或告警日志的时间戳较为临近，则该条可疑访问行为日志对应的访问行为高度可疑，具有一定的安全威胁度。正是基于上述事实，在本技术实施例中，可疑根据时间戳集合t1、时间戳集合t2和时间戳集合t3并基于时间临近关系算法，计算在可疑访问行为日志集合中每一个可疑访问行为的可疑分值，具体方法如下步骤s1至步骤s4：
50.步骤s1：获取时间戳集合t3中对应于任意一条可疑访问行为日志li的时间戳ti。
51.步骤s2：计算上述任意一条可疑访问行为日志li的时间戳ti与时间戳集合t1中每个时间戳的绝对差值，得到绝对差值集合s
δt1
，以及计算上述任意一条可疑访问行为日志li的时间戳ti与时间戳集合t2中每个时间戳的绝对差值，得到绝对差值集合s
δt2
。
52.步骤s3：设置对应于r1的权重w1以及对应于r2的权重w2，其中，r1为绝对差值集合s
δt1
中最小绝对差值的倒数，r2为绝对差值集合s
δt2
中最小绝对差值的倒数。
53.上述实施例中，若任意一条可疑访问行为日志li的时间戳ti与时间戳集合t1中某个时间戳t1的绝对差值最小，则该可疑访问行为日志li对应的访问行为高度可疑或具有较高的威胁度，可能是由产生时间戳为t1的攻击行为日志对应的攻击者实施，因此，r1为绝对差值集合s
δt1
中最小绝对差值的倒数可以反映上述事实；同样地，若任意一条可疑访问行为日志li的时间戳ti与时间戳集合t2中某个时间戳t2的绝对差值最小，则该可疑访问行为日志li对应的访问行为高度可疑或具有较高的威胁度，可能是由产生时间戳为t2的攻击者告警日志对应的攻击者实施，因此，r2为绝对差值集合s
δt2
中最小绝对差值的倒数可以反映上述事实。至于对应于r1的权重w1以及对应于r2的权重w2，哪个应当设置较大，哪个应当设置较小，主要是考虑到作为模拟拓扑网络的蜜网中的蜜罐设备，其对攻击者的识别的准确率通常比真实网络安全设备对对攻击者的识别的准确率要高，因此，在本技术实施例中，可以将对应于r1的权重w1设置得比要对应于r2的权重w2大。
54.步骤s4：按照公式s(li)＝r1*w1 r2*w2计算得到对应于可疑访问行为日志li的可疑访问行为的可疑分值s(li)。
55.从s(li)的计算公式以及上述对r1、r2、w1和w2的说明可知，若来自业务系统并经标准化处理的某条业务日志，其时间戳与来自模拟拓扑网络并经标准化处理的某条攻击行为日志的时间戳或来自真实网络安全设备并经标准化处理的某条告警日志的时间戳越接近、尤其是该某条业务日志的时间戳与来自模拟拓扑网络并经标准化处理的某条攻击行为日志的时间戳越接近，则该条业务访问日志对应的访问行为越有可能是攻击行为，具有较高的威胁度。
56.需要说明的是，为了提高分析人员对攻击者进行分析和/或确认的效率，在上述本技术实施例中，确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度之后，还可以按照威胁度的高低进行前后排序，输出威胁度的排序结果，以对排序在前的威胁度对应
的潜在攻击者进行处理。
57.从上述图1示例的防范非法攻击行为的方法可知，在通过对来自模拟拓扑网络的攻击行为日志分析，确定攻击者集合后，匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合，最后根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。由于可疑访问行为日志集合中每一个可疑访问行为的威胁度并非基于单个设备的数据，而是对不同来源数据关联分析得到，各种(个)设备的数据共享更加充分或深入，从而能够发现正常业务访问记录中的潜在攻击者，有效防范威胁度更高的非法攻击行为。
58.参见图2，是本技术实施例示出的防范非法攻击行为的装置的结构示意图。为了便于说明，仅示出了与本技术实施例相关的部分。图2示例的防范非法攻击行为的装置主要包括获取模块201、分析模块202、匹配模块203和确定模块204，其中：
59.获取模块201，用于获取来源不同的标准化日志数据，其中，来源不同的标准化日志数据包括来自模拟拓扑网络并经标准化处理的攻击行为日志、来自真实网络安全设备并经标准化处理的告警日志以及来自业务系统并经标准化处理的业务日志；
60.分析模块202，用于分析来自模拟拓扑网络并经标准化处理的攻击行为日志，确定攻击者集合；
61.匹配模块203，用于分别从告警日志和业务日志匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合；
62.确定模块204，用于根据来自模拟拓扑网络并经标准化处理的攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。
63.关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不再做详细阐述说明。
64.从上述图2示例的防范非法攻击行为的装置可知，在通过对来自模拟拓扑网络的攻击行为日志分析，确定攻击者集合后，匹配出对应于攻击者集合的攻击者告警日志集合和可疑访问行为日志集合，最后根据攻击行为日志、攻击者告警日志集合和可疑访问行为日志集合，确定在可疑访问行为日志集合中每一个可疑访问行为的威胁度。由于可疑访问行为日志集合中每一个可疑访问行为的威胁度并非基于单个设备的数据，而是对不同来源数据关联分析得到，各种(个)设备的数据共享更加充分或深入，从而能够发现正常业务访问记录中的潜在攻击者，有效防范威胁度更高的非法攻击行为。
65.可选地，图2示例的分析模块202可以包括第一确定单元、过滤单元和第二确定单元，其中：
66.第一确定单元，用于确定第三方的攻击行为情报中的自动攻击行为；
67.过滤单元，用于将自动攻击行为与攻击行为日志匹配，过滤攻击行为日志中自动攻击行为；
68.第二确定单元，用于基于人机交互引擎，分析并过滤自动攻击行为的攻击源，得到由攻击者构成的攻击者集合。
69.可选地，图2示例的匹配模块203可以包括第一提取单元、标识匹配单元和第三确定单元，其中：
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
88.存储器310可以包括各种类型的存储单元，例如系统内存、只读存储器(rom)和永久存储装置。其中，rom可以存储处理器320或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中，永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中，永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备，例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外，存储器310可以包括任意计算机可读存储媒介的组合，包括各种类型的半导体存储芯片(例如dram，sram，sdram，闪存，可编程只读存储器)，磁盘和/或光盘也可以采用。在一些实施方式中，存储器310可以包括可读和/或写的可移除的存储设备，例如激光唱片(cd)、只读数字多功能光盘(例如dvd-rom，双层dvd-rom)、只读蓝光光盘、超密度光盘、闪存卡(例如sd卡、min sd卡、micro-sd卡等)、磁性软盘等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
89.存储器310上存储有可执行代码，当可执行代码被处理器320处理时，可以使处理器320执行上文述及的方法中的部分或全部。
90.此外，根据本技术的方法还可以实现为一种计算机程序或计算机程序产品，该计算机程序或计算机程序产品包括用于执行本技术的上述方法中部分或全部步骤的计算机程序代码指令。
91.或者，本技术还可以实施为一种计算机可读存储介质(或非暂时性机器可读存储介质或机器可读存储介质)，其上存储有可执行代码(或计算机程序或计算机指令代码)，当可执行代码(或计算机程序或计算机指令代码)被电子设备(或服务器等)的处理器执行时，使处理器执行根据本技术的上述方法的各个步骤的部分或全部。
92.以上已经描述了本技术的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其他普通技术人员能理解本文披露的各实施例。