一种网络攻击者的发现和追踪方法与流程

1.本发明属于计算机领域，尤其涉及一种网络攻击者的发现和追踪方法。


背景技术：

2.行业针对网络攻击的传统防范方式，主要是基于对威胁事件的检测精确程度的不断提升来进行的。当发现了威胁事件，进而触发安全响应过程(不限于告警、拦截、记录日志、反制等方式)。然而这种方式，总是在被动的防御一次次的攻击事件，积累的威胁情报也主要是描述威胁事件(如威胁载体、攻击路径、攻击面等等)，而在威胁主体方面(即攻击者的信息)，主要的可依据信息只有ip地址。如果仅依靠ip地址信息，是无法有效的掌握攻击者本身的信息的，也就难以追踪攻击者。
3.网络攻防的本质是人与人之间的对抗，一味的被动防守，始终无法有效的遏制威胁源头。想要主动的防范网络攻击，甚至是实现预先防范，需要转换视角，不仅是发现攻击事件，而是有效的发现并标记威胁主体：攻击者，并能够依据标记持续的追踪攻击者，当其再次出现时也能够迅速发现，从而实现在其攻击意图达成之前，预先完成防范。
4.基于web指纹对网络浏览者的标记、识别和追踪，最早是应用在电子商务网站的在线广告精准推送的应用中的。而将其用于对网络攻击者的追踪，则涉及到对网络攻击者，这一特定的网络对象的发现和再识别模型的建立，本发明是基于对web指纹应用，对网络攻击者实现发现和追踪的目的。


技术实现要素：

5.本发明实施例提供一种网络攻击者的发现和追踪方法，旨在解决上述技术问题。
6.本发明实施例是这样实现的，一种网络攻击者的发现和追踪方法包括：
7.通过蜜罐获取攻击者的原始web指纹数据，对数据进行提取，对所提取的指纹数据进行数据预处理；
8.使用web指纹匹配算法，将指纹数据与历史攻击者指纹数据进行逐一匹配，得出指纹匹配向量；
9.使用攻击者判定算法，将指纹匹配向量与指纹数据权重向量进行计算，得出匹配分值；
10.判定匹配分值是否大于攻击者阈值，如大于阈值，则判定为旧有攻击者；如小于阈值，则判定为新出现攻击者；
11.无论阈值判定结果如何，均会将指纹向量保存入历史攻击者指纹数据集。
12.进一步地，所述通过蜜罐获取攻击者的原始web指纹数据，对数据进行提取，对所提取的指纹数据进行数据预处理步骤中的指纹提取和数据预处理动作包括：检查指纹数据规范性与完整性，根据预设定的数据格式，提取有效指纹数据，删除无用数据，将数据转换成计算机可读形式；所述指纹数据的类别包括网络指纹、软件指纹和硬件指纹。
13.进一步地，所述使用web指纹匹配算法，还会将新采集的攻击者指纹数据与所有历
史攻击者指纹数据进行逐一匹配；
14.所述web指纹匹配算法在执行过程中，会将单一的指纹数据集中的多个指纹数据，所述指纹按类别划分为关键性指纹和非关键性指纹。
15.进一步地，所述将指纹数据与历史攻击者指纹数据进行逐一匹配具体包括：对于关键性指纹，是通过相同性匹配方法进行匹配，如果两组指纹的关键性指纹完全相同，则认为匹配成功；反之则匹配失败；对于非关键性指纹，是通过指纹相似度匹配算法进行匹配，如果两组指纹的非关键性指纹的字符串距离小于阈值，则认为匹配成功；反之则匹配失败；所述相似度算法具体为simhash字符串距离算法或levenshtein字符串距离算法。
16.进一步地，所述非关键性指纹的指纹相似度匹配算法中，非关键性指纹相似度阈值的赋值是基于机器学习方法得到的，基于大量网络攻防实验采集的数据，构造出同一个攻击者的所有指纹集中特定非关键性指纹的距离取值模型，进行训练后调优得到的阈值赋值。
17.进一步地，所述指纹匹配向量中，每个向量元素代表了每个指纹数据匹配的结果，取值0或1；0代表匹配不成功，1代表匹配成功。
18.进一步地，所述历史攻击者指纹数据集中的每一条数据，代表了已经采集到的攻击者指纹数据，通过与新采集到的攻击者指纹数据的逐一匹配，进而能够判定本次访问对象是已出现的攻击者还是新出现的攻击者，在成功匹配后，从而实现对攻击者的追踪能力。
19.进一步地，所述攻击者判定算法，其中的指纹数据权重的赋值，是以机器学习方法为基础，由大量网络攻防实验采集到的指纹数据和攻击者的关系，构造出所有指纹数据对指纹和攻击者对应关系的贡献度模型，再通过数据训练得出的调优权重取值。
20.进一步地，所述指纹匹配向量与指纹数据权重向量进行的计算，包括向量点乘计算，以及向量元素求和，最终得到匹配分值。
21.进一步地，所述攻击者阈值，是以机器学习方法为基础，由大量网络攻防实验采集到的实际攻击者指纹归属情况的数据，构造攻击者判定算法得出的分值与攻击者的对应取值范围的模型，进行数据训练后得出的相对客观的阈值。
22.本发明的有益效果：引入新的网络安全防守视角，使发现并追踪网络攻击者成为可能，化被动防御为主动防御，在发现和追踪网络攻击者的基础上，就可以建立针对攻击者的情报体系，使网络安全防护的效能在新的视角下得到提高；建立了自动化的发现并追踪攻击者的方法，有效的节省了网络安全防守方的人力资源，大大提高了安全运维工作效率，降低了防守方对攻击者的溯源分析的人工成本和时间成本。
附图说明
23.图1是一种网络攻击者的发现和追踪方法的技术方案流程图；
24.图2是一种网络攻击者的发现和追踪方法中的指纹数据预处理流程图；
25.图3是一种网络攻击者的发现和追踪方法中的web指纹匹配算法流程图；
26.图4是一种网络攻击者的发现和追踪方法中的判定攻击者算法流程图；
27.图5是一种网络攻击者的发现和追踪方法的实验结果统计图。
具体实施方式
28.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
29.图1示出了本发明实施例的一种网络攻击者的发现和追踪方法的技术方案流程图，所述方法包括：
30.步骤100：获取攻击者指纹数据集，通过部署web蜜罐，引诱攻击者访问虚假的业务系统，在其访问过程中，利用javascript脚本收集其指纹数据；
31.步骤200：将攻击者指纹数据集的原始数据进行有效的指纹提取，包括网络指纹、软件指纹以及硬件指纹，随后经过数据预处理，包括数据规范化、填充空白数据、数据去重、将数据格式转换为计算机可读数据等；
32.步骤300：web指纹匹配算法，将经过数据处理后的攻击者指纹属性分为关键性指纹和非关键性指纹两类，分别采用相同性匹配和相似度模型匹配方法，与历史攻击者指纹数据集进行逐一匹配，每一次匹配均会得到一个指纹匹配向量。
33.步骤400：攻击者判定算法，将指纹匹配向量与指纹属性权重赋值向量进行向量点乘，之后进行向量元素求和，得到匹配分值，将此分值与攻击者判定阈值比较，超过阈值可判定为旧有攻击者；未超过阈值则判定为新出现攻击者。
34.步骤500：历史攻击者指纹数据集中，保存着所有历史采集到的攻击者指纹数据。此数据集可以与新采集的攻击者指纹数据集进行逐一匹配，同时也可以对方法中的多个依托机器学习方法构造的模型进行训练，从而提升方法的有效性。
35.图2示出了本发明实施例的一种网络攻击者的发现和追踪方法中的指纹数据预处理流程图，所述指纹数据预处理具体包括以下步骤：
36.步骤210：将攻击者指纹数据集的原始数据进行有效的指纹提取，包括网络指纹、软件指纹以及硬件指纹。因为原始的指纹数据中会含有大量的无效信息，需要从中提取能够具备指纹独特性特征的字段；另一方面，部分指纹属性仅作为标记某项软件功能是否开启，所以其取值就是0或1，再次需要通过逻辑判断方法进行赋值。
37.步骤220：数据预处理，是为了后续算法方便，需要对攻击者指纹数据进行重整化，例如部分大数值需要重整化到方便计算的范围内，某些没有采集到的指纹属性需要填充空白数据，某些冗余数据需要去重，最终需要将数据转换为后续算法支持的格式。
38.图3示出了本发明实施例的一种网络攻击者的发现和追踪方法中的web指纹匹配算法流程图，所述web指纹匹配算法具体包括：
39.步骤310：关键性指纹的匹配方法，是相同性匹配，如果两组指纹数据集的某个关键性指纹值完全相同，则判定为匹配成功，指纹匹配向量的对应指纹属性的元素位赋值为1；反之，则判定为匹配失败，指纹匹配向量的对应指纹属性的元素位赋值为0。
40.步骤320：非关键性指纹的匹配方法，是指纹相似度匹配模型，通过比较两组指纹数据集的某个非关键性指纹的字符串距离(即字符串相似度)，采用的字符串距离计算方法包括simhash、levenshtein等算法。通过评判距离与相似度阈值的关系来判定特定非关键性指纹的匹配成功与否。如果距离小于相似度阈值，则判定为匹配成功，指纹匹配向量的对应指纹属性的元素位赋值为1；反之，则判定为匹配失败，指纹匹配向量的对应指纹属性的
元素位赋值为0.
41.步骤330：机器学习训练指纹相似度阈值赋值，是基于大量网络攻防实验采集的数据，构造出同一个攻击者的所有指纹集中特定非关键性指纹的距离取值模型，进行训练后调优得到的阈值赋值。
42.步骤340：指纹匹配向量的得出，是根据所有指纹属性的匹配结果，将代表指纹属性的元素位取值为1或0(1是匹配成功，0是匹配不成功)，最终得到的向量。
43.步骤510：历史攻击者指纹数据集中的每一条数据，代表了已经采集到的攻击者指纹数据，通过与新采集到的攻击者指纹数据的逐一匹配，进而能够判定本次访问对象是已出现的攻击者还是新出现的攻击者，在成功匹配后，从而实现对攻击者的追踪能力。
44.图4示出了本发明实施例的一种网络攻击者的发现和追踪方法中的判定攻击者算法流程图，所述判定攻击者算法具体包括：
45.步骤410：指纹属性权重赋值，本体为向量，其中每个元素代表了每个指纹属性在判定两组指纹所属的攻击者是否为同一个攻击者的权重关系。
46.步骤420：机器学习训练指纹属性权重调优，是以机器学习方法为基础，由大量网络攻防实验采集到的指纹数据和攻击者的关系，构造出所有指纹属性对指纹和攻击者对应关系的贡献度模型，再通过数据训练得出的调优权重取值。
47.步骤430：匹配分值计算，是将指纹匹配向量与指纹属性权重向量进行向量点乘操作，得出的向量再进行向量元素求和计算得出的。这个分值取值为[0-1]，数值越接近1，则代表指纹匹配的确信程度越高。
[0048]
步骤440：机器学习训练攻击者判定阈值赋值，是以机器学习方法为基础，由大量网络攻防实验采集到的实际攻击者指纹归属情况的数据，构造攻击者判定算法得出的分值与攻击者之间对应取值范围的模型，进行数据训练后得出的相对客观的阈值。
[0049]
步骤450：匹配分值是否大于攻击者判定阈值，依据步骤440得出的判定阈值，比较匹配分值与阈值的大小，如果大于阈值，则判定攻击者为旧有攻击者；如果小于阈值，则判定攻击者为新出现的攻击者。
[0050]
步骤510：无论步骤450中匹配情况如何，新采集到的攻击者指纹数据集都将在匹配工作完成后，纳入到历史攻击者指纹数据集中。
[0051]
测试实施例
[0052]
2021年9月-10月，以渗透测试为名义，邀请众多web渗透厂商提供渗透测试人员，对发明方提供的蜜罐环境进行渗透。在实验开始前，为每个测试人员配发账号，故得到的指纹数据中有账号标签，因此为期一个月的过程中采集到的指纹数据，通过本发明论述的方法计算后，可以与账号标签比对，从而评判本发明方法在发现和追踪攻击者的效能。
[0053]
将测试实验分成三种情况，1、同一攻击者的不同时期(历时一个月)的指纹数据与自身指纹匹配；2、不同攻击者的指纹互相匹配的分值/3、将一个攻击者的指纹与自身指纹以及其他攻击者指纹进行匹配。
[0054]
采用上述发现和追踪方法，对三种不同情况下的实验数据进行匹配计算，得出的实验统计结果如图5所示，为保护实验者的身份信息，将姓名处打码处理。
[0055]
实验1对应实验结果1，结果表明，通过指纹匹配算法和攻击者判定算法流程后，得出的匹配分值高达0.99，而实际情况也确实证明了这些指纹属于同一个攻击者。
[0056]
实验2对应实验结果2，结果表明，不同攻击者的指纹相互匹配的情况下，匹配分值最高也只有0.079，说明采用上述方法，发生匹配失误的情况极低。
[0057]
实验3对应实验结果3，混合实验结果表明，第一行中与自身的指纹匹配分值高达0.921，与其他攻击者的指纹匹配分值均不高于0.8，仅第二行中与另一个攻击者的匹配分值为0.561，不具有指导决策的作用。
[0058]
应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
[0059]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0060]
以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0061]
以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
[0062]
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。