一种面向多样本组合攻击的溯源方法和装置与流程

1.本发明涉及网络安全技术领域，尤其涉及一种面向多样本组合攻击的溯源方法和装置。


背景技术：

2.高级持续性威胁(advanced persistent threat，apt)，不同于传统的网络入侵，往往采用多个攻击样本对网络信息系统进行组合攻击，由于其危险性高、检测难度大、持续时间长且攻击目标明确，对网络安全造成了严重的威胁，为了恢复网络安全，必须尽快对网络攻击进行溯源，以找到解决办法。
3.目前，大多数恶意攻击样本溯源分析手段主要针对单个样本，并不适用于apt多样本组合攻击，且现有溯源分析方案大多具有一定的局限性。apt中的攻击样本来自多个攻击组织，因此目前主要依赖专业分析人员的经验对这种混淆攻击手段进行分析溯源，同时溯源分析需要进行大量的数据积累，随着apt攻击手段的不断变化，会产生海量的特征数据，这样就会增大分析人员的溯源难度，增加了溯源分析的时间，从而导致面向多样本组合攻击的溯源效率较低。
4.鉴于此，针对以上不足，需要提供一种面向多样本组合攻击的溯源方法和装置来解决上述不足。


技术实现要素：

5.本发明要解决的技术问题在于如何提高面向多样本组合攻击的溯源效率，针对现有技术中的缺陷，提供了一种面向多样本组合攻击的溯源方法和装置。
6.为了解决上述技术问题，第一方面，本发明提供了一种面向多样本组合攻击的溯源方法，该方法包括：
7.检测到攻击触发事件；
8.获取至少两个待溯源的攻击样本；
9.对所述至少两个待溯源的攻击样本进行特征提取，获得每一个待溯源的攻击样本的特征信息；
10.根据所述每一个待溯源的攻击样本的特征信息和预先创建的贝叶斯溯源模型，得到所述至少两个待溯源的攻击样本的溯源结果。
11.可选地，根据所述每一个待溯源的攻击样本的特征信息和预先创建的目标贝叶斯溯源模型，得到所述至少两个待溯源的攻击样本的溯源结果，包括：
12.对所述每一个待溯源的攻击样本的特征信息进行筛选，获得对应每一个待溯源攻击样本的目标特征子集；
13.将所述每一个待溯源攻击样本的目标特征子集输入所述目标贝叶斯溯源模型，得到所述至少两个待溯源的攻击样本的溯源结果。
14.可选地，所述目标贝叶斯溯源模型的创建方法包括：
15.获取至少两组历史攻击样本；其中，每一组历史攻击样本包括至少两个攻击样本；
16.对所述至少两组历史攻击样本进行特征提取，获得对应每一组历史攻击样本的特征集；
17.构建贝叶斯溯源模型；
18.利用所述每一组历史攻击样本的特征集对所述贝叶斯溯源模型进行训练，得到目标贝叶斯溯源模型。
19.可选地，所述对所述至少两组历史攻击样本进行特征提取，获得对应每一组历史攻击样本的特征集，包括：
20.针对每一组历史攻击样本，均执行：
21.对该组历史攻击样本所包括的至少两个攻击样本进行特征提取，获得对应每一个攻击样本的特征信息；
22.对所述每一个攻击样本的特征信息进行筛选，获得对应该攻击样本的特征子集；其中，所述特征子集包括筛选后的每一个攻击样本的特征信息；
23.获取对应该组历史攻击样本的真实溯源结果；
24.将每一个攻击样本的特征子集和所述该组历史攻击样本的真实溯源结果进行组合，获得对应该组历史攻击样本的特征集。
25.可选地，所述每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实溯源结果；
26.所述利用所述每一组历史攻击样本的特征集对所述贝叶斯溯源模型进行训练，得到目标贝叶斯溯源模型，包括：
27.对所构建的贝叶斯溯源模型中的参数赋予预设概率分布；
28.利用所述每一组历史攻击样本的特征集对所述贝叶斯溯源模型进行迭代训练，以获得所述参数的优化概率分布；
29.对所获得的所述每一组历史攻击样本的特征集进行随机抽样，获得测试集；
30.根据所述测试集和迭代训练后获得的包括所述参数的优化概率分布的贝叶斯溯源模型，得到对应所述测试集的预测溯源结果；
31.判断所述预测溯源结果与所述测试集中作为输出的真实溯源结果的相似度是否大于预设阈值；
32.如果是，则得到目标贝叶斯溯源模型；其中，所述目标贝叶斯溯源模型中的参数为所述优化概率分布。
33.可选地，所述每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征；
34.所述对所述每一个攻击样本的特征信息进行筛选，包括：
35.针对每一个攻击样本，均执行：
36.利用决策树算法获取该特征信息中的每一个特征的信息增益，并利用所述每一个特征的信息增益计算得到对应每一个特征的权重；
37.根据所得到的每一个特征的权重和预设权重阈值，筛选出大于预设权重阈值的权重所对应的特征，以获得对应该攻击样本的特征子集。
38.可选地，在所述得到所述至少两个待溯源的攻击样本的溯源结果之后，进一步包括：
39.获取至少两组历史攻击样本；其中，每一组历史攻击样本包括至少两个攻击样本；
40.对所获取的所述至少两组历史攻击样本进行周期性地更新；
41.利用更新后的所述至少两组历史攻击样本对所述目标贝叶斯溯源模型进行周期性地训练，得到优化贝叶斯溯源模型。
42.第二方面，本发明还提供了一种面向多样本组合攻击的溯源装置，包括：
43.获取模块，用于在检测到攻击触发事件时，获取至少两个待溯源的攻击样本；
44.特征提取模块，用于对由所述获取模块所获取的所述至少两个待溯源的攻击样本进行特征提取，获得每一个待溯源的攻击样本的特征信息；
45.溯源模块，用于根据由所述特征提取模块所获得的所述每一个待溯源的攻击样本的特征信息和预先创建的目标贝叶斯溯源模型，得到所述至少两个待溯源的攻击样本的溯源结果。
46.第三方面，本发明还提供了一种面向多样本组合攻击的溯源装置，包括：至少一个存储器和至少一个处理器；
47.所述至少一个存储器，用于存储机器可读程序；
48.所述至少一个处理器，用于调用所述机器可读程序，执行上述第一方面或第一方面的任一可能的实现方式所提供的面向多样本组合攻击的溯源方法。
49.第四方面，本发明还提供了计算机可读介质，所述计算机可读介质上存储有计算机指令，所述计算机指令在被处理器执行时，使所述处理器执行上述第一方面或第一方面的任一可能的实现方式所提供的面向多样本组合攻击的溯源方法。
50.本发明实施例所提供的一种面向多样本组合攻击的溯源方法和装置，该方法在检测到攻击触发事件时，获取针对本次攻击触发事件的至少两个待溯源的攻击样本，对该待溯源的攻击样本进行特征提取，获得对应每一个待溯源的攻击样本的特征信息，再根据预先训练的目标贝叶斯溯源模型，最终得到至少两个待溯源的攻击样本的溯源结果。由此可见，通过预先训练的目标贝叶斯溯源模型，可以对多个待溯源的攻击样本进行溯源，最终确定多个攻击样本所属的攻击组织等溯源结果。如此，面向apt的混淆攻击手段，利用目标贝叶斯溯源模型便可以自行且快速地分析出当前攻击样本的溯源结果，减少分析人员的参与，缩短溯源分析时间，从而提高了面向多样本组合攻击的溯源效率。
附图说明
51.图1是本发明实施例所提供的一种面向多样本组合攻击的溯源方法；
52.图2是本发明实施例所提供的另一种面向多样本组合攻击的溯源方法；
53.图3是本发明实施例所提供的一种面向多样本组合攻击的溯源装置所在设备的示意图；
54.图4是本发明实施例所提供的一种面向多样本组合攻击的溯源装置的示意图。
具体实施方式
55.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人
员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
56.如图1所示，本发明实施例提供的一种面向多样本组合攻击的溯源方法，该方法包括如下步骤：
57.步骤101：检测到攻击触发事件；
58.步骤102：获取至少两个待溯源的攻击样本；
59.步骤103：对至少两个待溯源的攻击样本进行特征提取，获得每一个待溯源的攻击样本的特征信息；
60.步骤104：根据每一个待溯源的攻击样本的特征信息和预先创建的目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果。
61.在本发明实施例中，在检测到攻击触发事件时，获取针对本次攻击触发事件的至少两个待溯源的攻击样本，对该待溯源的攻击样本进行特征提取，获得对应每一个待溯源的攻击样本的特征信息，再根据预先训练的目标贝叶斯溯源模型，最终得到至少两个待溯源的攻击样本的溯源结果。由此可见，通过预先训练的目标贝叶斯溯源模型，可以对多个待溯源的攻击样本进行溯源，最终确定多个攻击样本所属的攻击组织等溯源结果，同时避免了单个样本不能精确溯源定位的问题。如此，面向apt的混淆攻击手段，利用目标贝叶斯溯源模型便可以自行且快速地分析出当前攻击样本的溯源结果，减少了分析人员的参与，缩短了溯源分析时间，从而提高了面向多样本组合攻击的溯源效率。
62.在本发明实施例中，还可以利用目标贝叶斯溯源模型，在检测到攻击触发事件时，实现对一个待溯源的攻击样本进行溯源。也可以在对某次攻击事件进行复盘时，利用目标贝叶斯溯源模型对该次攻击事件中的至少一个攻击样本进行溯源。
63.在本发明实施例中，步骤101中检测到的攻击触发事件，可以包括但不限于如下任一项的触发事件：检测到网络流量异常时、检测到异常网络连接时、检测到主机的系统资源被大量占用且系统停顿时、检测到网络中充斥大量的无用的数据包时。
64.在本发明实施例中，对于至少两个待溯源的攻击样本的溯源结果，该溯源结果中包括当前攻击触发事件中每一个攻击样本所属的攻击组织，不同的攻击样本属于不同的攻击组织，不同的攻击样本对应的攻击者所使用的域名或ip地址也可以不同。
65.可选地，在图1所示的一种面向多样本组合攻击的溯源方法中，步骤104根据每一个待溯源的攻击样本的特征信息和预先创建的目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果，包括：
66.对每一个待溯源的攻击样本的特征信息进行筛选，获得对应每一个待溯源攻击样本的目标特征子集；
67.将每一个待溯源攻击样本的目标特征子集输入目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果。
68.在本发明实施例中，对每一个待溯源的攻击样本的特征信息进行筛选，获得对应每一个待溯源攻击样本的目标特征子集，再将每一个待溯源攻击样本的目标特征子集输入目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果。如此，通过该目标贝叶斯溯源模型，实现对多个攻击样本的溯源分析，降低分析人员的溯源难度，无需分析人员进行大量数据计算与分析，提高了多样本组合攻击的溯源的效率和智能化。
69.在本发明实施例中，按照所获得的对应每一个攻击样本的特征信息，可以对每一
个待溯源的攻击样本的特征信息进行筛选，无需再利用决策树算法筛选，从而可以实现对未知来源的待溯源攻击样本进行特征筛选。
70.例如，在检测到攻击触发事件时，获取到4个待溯源的攻击样本，对该4个待溯源的攻击样本进行特征提取，获得每一个待溯源的攻击样本的特征信息，对每一个待溯源的攻击样本的特征信息进行筛选，获得对应4个待溯源攻击样本的目标特征子集，将每一个待溯源攻击样本的目标特征子集输入目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果，该溯源结果为该4个待溯源的攻击样本来自各攻击组织的概率分别为：攻击组织a为30％、攻击组织b为15％\攻击组织c为10％、攻击组织d为5％、攻击组织e为2％...攻击组织m为0.15％、攻击组织n为0.1％。
71.在本发明实施例中，利用目标贝叶斯溯源模型还可以对模仿其他组织的攻击样本进行甄别，通过分析该攻击样本的溯源结果，以准确地定位该攻击样本所属的攻击组织，从而避免因模仿而导致的溯源错误，因此提高了溯源结果的精度。
72.可选地，在图1所示的一种面向多样本组合攻击的溯源方法中，在步骤104之前，目标贝叶斯溯源模型的创建方法包括：
73.获取至少两组历史攻击样本；其中，每一组历史攻击样本包括至少两个攻击样本；
74.对至少两组历史攻击样本进行特征提取，获得对应每一组历史攻击样本的特征集；
75.构建贝叶斯溯源模型；
76.利用每一组历史攻击样本的特征集对贝叶斯溯源模型进行训练，得到目标贝叶斯溯源模型。
77.在本发明实施例中，在步骤104之前，可以通过获取多组历史攻击样本来构建贝叶斯溯源模型，并根据由每组历史攻击样本进行特征提取所获得的特征集对该贝叶斯溯源模型进行训练，得到预先创建的目标贝叶斯溯源模型。
78.在本发明实施例中，贝叶斯溯源模型是基于贝叶斯网络构建的，贝叶斯网络具有强大的不确定性问题处理能力，通过条件概率可以表达各个特征之间的相互关系，有效地按特征的相关关系进行多源信息的表达与融合，因此基于该贝叶斯溯源模型可以提高面向多样本组合攻击的溯源效率和准确性。需要说明的是，构建的贝叶斯溯源模型具有至少两层贝叶斯模型框架。
79.可选地，在图1所示的一种面向多样本组合攻击的溯源方法中，对至少两组历史攻击样本进行特征提取，获得对应每一组历史攻击样本的特征集，包括：
80.针对每一组历史攻击样本，均执行：
81.对该组历史攻击样本所包括的至少两个攻击样本进行特征提取，获得对应每一个攻击样本的特征信息；
82.对每一个攻击样本的特征信息进行筛选，获得对应该攻击样本的特征子集；其中，特征子集包括筛选后的每一个攻击样本的特征信息；
83.获取对应该组历史攻击样本的真实溯源结果；
84.将每一个攻击样本的特征子集和该组历史攻击样本的真实溯源结果进行组合，获得对应该组历史攻击样本的特征集。
85.在本发明实施例中，对于包括至少两个攻击样本的每一组历史攻击样本，分别对
每一个攻击样本进行特征提取，以获得对应该攻击样本的特征信息，再对所获得的该攻击样本的特征信息进行筛选，获得该攻击样本的特征子集，获取对应该组历史攻击样本的真实溯源结果，将对应该组历史攻击样本的每一个攻击样本的特征子集和所获取的真实溯源结果进行组合，获得该组历史攻击样本的特征集。
86.需要说明的是，对应每一个攻击样本的特征信息包括该攻击样本的动态特征和静态特征。
87.在本发明实施例中，通过对攻击样本的特征信息进行筛选，可以将冗余的、对溯源结果影响较小的且富含信息量较少的特征信息进行剔除，如此降低了后续溯源过程中的运算量，进一步提高了面向多样本组合攻击的溯源精度和溯源结果的可靠性。
88.可选地，在图1所示的一种面向多样本组合攻击的溯源方法中，每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实溯源结果；
89.利用每一组历史攻击样本的特征集对贝叶斯溯源模型进行训练，得到目标贝叶斯溯源模型，包括：
90.对所构建的贝叶斯溯源模型中的参数赋予预设概率分布；
91.利用每一组历史攻击样本的特征集对贝叶斯溯源模型进行迭代训练，以获得参数的优化概率分布；
92.对所获得的每一组历史攻击样本的特征集进行随机抽样，获得测试集；
93.根据测试集和迭代训练后获得的包括参数的优化概率分布的贝叶斯溯源模型，得到对应测试集的预测溯源结果；
94.判断预测溯源结果与测试集中作为输出的真实溯源结果的相似度是否大于预设阈值；
95.如果是，则得到目标贝叶斯溯源模型；其中，目标贝叶斯溯源模型中的参数为优化概率分布。
96.在本发明实施例中，可以从步骤101中所获得的每一组历史攻击样本的特征集中随机抽取90％作为训练集，并将剩余的10％作为测试集。该训练集中包括至少两组历史攻击样本的特征集，每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实溯源结果；其中，每一组历史攻击样本对应一次历史攻击事件。
97.在本发明实施例中，利用每一组历史攻击样本的特征集对贝叶斯溯源模型进行训练，首先对所构建的贝叶斯溯源模型中的参数赋予预设概率分布，以便后续利用训练集中的每一组历史攻击样本的特征集对贝叶斯溯源模型进行迭代训练，以获得第一贝叶斯溯源模型，其中，该第一贝叶斯溯源模型中各参数为优化概率分布，利用测试集对该第一贝叶斯溯源模型进行校准，当该第一贝叶斯溯源模型输出的对应测试集的预测溯源结果与测试集中的真实溯源结果的相似度大于预设阈值时，则确定该第一贝叶斯溯源模型为目标贝叶斯溯源模型；否则，则将返回执行利用所述每一组历史攻击样本的特征集对所述贝叶斯溯源模型进行迭代训练，直至确定目标贝叶斯溯源模型为止。
98.在本发明实施例中，例如，测试集中包括5组历史攻击样本，利用该测试集对第一贝叶斯溯源模型进行校准时，如果该模型得到的对应每一组历史攻击样本的预测溯源结果
与其真实溯源结果的相似度分别为80％、90％、95％、99％、85％，预设阈值为80％，则确定该第一贝叶斯溯源模型为目标贝叶斯溯源模型。
99.具体地，贝叶斯溯源模型中的参数s＝{(x1,y1)、(x2,y2)
…
(x1,y1)}的后验概率表示为
100.其中，p(c)用于表征先验概率，p(c|x,y)用于表征似然估计，p(y|x)用于表征在确定特征x的前提下，溯源结果为y的先验概率。首先对上述公式中的各参数赋予预设概率分布，其次利用训练集对该贝叶斯溯源模型进行迭代训练，以不断优化各参数的概率分布。
101.可选地，每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征；
102.对每一个攻击样本的特征信息进行筛选，包括：
103.针对每一个攻击样本，均执行：
104.利用决策树算法获取该特征信息中的每一个特征的信息增益，并利用每一个特征的信息增益计算得到对应每一个特征的权重；
105.根据所得到的每一个特征的权重和预设权重阈值，筛选出大于预设权重阈值的权重所对应的特征，以获得对应该攻击样本的特征子集。
106.在本发明实施例中，每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征。具体地，对每一个攻击样本的特征信息进行筛选，首先利用决策树算法获取该攻击样本的特征信息中的每一个特征的信息增益，以根据各特征的信息增益计算获得对应每一个特征的权重，并筛选出大于预设权重阈值的权重所对应的特征以进行保留，即由保留后的各特征组成该攻击样本的特征子集。如此，通过信息增益以及权重的计算，确定出对真实溯源结果影响较高的特征进行保留，即确定出了信息量大、独立性高、信息重叠度小的特征，进而可以降低溯源过程中的数据处理难度，并提高运算速度，从而提高了获得溯源结果的效率以及溯源结果的准确性。
107.具体地，对应每一个特征的权重的计算公式为
[0108][0109]
其中，w
i
用于表征第i个特征的权重，g
i
用于表征第i个特征的信息增益，m用于表征该攻击样本中的特征的总个数，用于表征该攻击样本中m个特征的信息增益之和。
[0110]
可选地，在图1所示的一种面向多样本组合攻击的溯源方法中，在步骤104得到至少两个待溯源的攻击样本的溯源结果之后，进一步包括：
[0111]
获取至少两组历史攻击样本；其中，每一组历史攻击样本包括至少两个攻击样本；
[0112]
对所获取的至少两组历史攻击样本进行周期性地更新；
[0113]
利用更新后的至少两组历史攻击样本对目标贝叶斯溯源模型进行周期性地训练，得到优化贝叶斯溯源模型。
[0114]
在本发明实施例中，还可以对当前的目标贝叶斯溯源模型进行定期优化，以通过利用周期性更新的历史攻击样本不断地对当前的目标贝叶斯溯源模型进行训练，增强该模型的判断能力，可以对新型的未知攻击手段进行溯源分析协助定位攻击组织或黑客个人，
有利于提高该模型的溯源能力，从而进一步提高溯源效率。
[0115]
为了更加清楚地说明本发明的技术方案及优点，如图2所示，下面对本发明实施例提供的一种基于多样本组合攻击的溯源方法进行详细的说明，具体包括：
[0116]
步骤201：获取至少两组历史攻击样本，获得对应每一组历史攻击样本的特征集。
[0117]
具体地，获取至少两组历史攻击样本，其中，每一组历史攻击样本包括至少两个攻击样本；
[0118]
针对每一组历史攻击样本，均执行：
[0119]
a1、对该组历史攻击样本所包括的至少两个攻击样本进行特征提取，获得对应每一个攻击样本的特征信息；
[0120]
a2、每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征，对每一个攻击样本的特征信息进行筛选，包括：针对每一个攻击样本，均执行：利用决策树算法获取该特征信息中的每一个特征的信息增益，并利用每一个特征的信息增益计算得到对应每一个特征的权重；根据所得到的每一个特征的权重和预设权重阈值，筛选出大于预设权重阈值的权重所对应的特征，以获得对应该攻击样本的特征子集；其中，特征子集包括筛选后的每一个攻击样本的特征信息；
[0121]
a3、获取对应该组历史攻击样本的真实溯源结果；
[0122]
a4、将每一个攻击样本的特征子集和该组历史攻击样本的真实溯源结果进行组合，获得对应该组历史攻击样本的特征集。
[0123]
步骤202：训练获得目标贝叶斯溯源模型。
[0124]
具体地，构建贝叶斯溯源模型，其中，每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实溯源结果；
[0125]
对所构建的贝叶斯溯源模型中的参数赋予预设概率分布；
[0126]
利用每一组历史攻击样本的特征集对贝叶斯溯源模型进行迭代训练，以获得参数的优化概率分布；
[0127]
对所获得的每一组历史攻击样本的特征集进行随机抽样，获得测试集；
[0128]
根据测试集和迭代训练后获得的包括参数的优化概率分布的贝叶斯溯源模型，得到对应测试集的预测溯源结果；
[0129]
判断预测溯源结果与测试集中作为输出的真实溯源结果的相似度是否大于预设阈值；
[0130]
如果是，则得到目标贝叶斯溯源模型；其中，目标贝叶斯溯源模型中的参数为优化概率分布。
[0131]
步骤203：检测到攻击触发事件，并获取至少两个待溯源的攻击样本。
[0132]
具体地，对至少两个待溯源的攻击样本进行特征提取，获得每一个待溯源的攻击样本的特征信息。
[0133]
步骤204：利用目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果。
[0134]
具体地，对每一个待溯源的攻击样本的特征信息进行筛选，获得对应每一个待溯源攻击样本的目标特征子集；
[0135]
将每一个待溯源攻击样本的目标特征子集输入目标贝叶斯溯源模型，得到至少两
个待溯源的攻击样本的溯源结果。
[0136]
步骤205：获得优化贝叶斯溯源模型。
[0137]
具体地，在得到至少两个待溯源的攻击样本的溯源结果之后，对所获取的至少两组历史攻击样本进行周期性地更新，以利用更新后的至少两组历史攻击样本对目标贝叶斯溯源模型进行周期性地训练，得到优化贝叶斯溯源模型。
[0138]
如图3、图4所示，本发明实施例提供了一种面向多样本组合攻击的溯源装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图3所示，为本发明实施例提供的一种面向多样本组合攻击的溯源装置所在设备的一种硬件结构图，除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图4所示，作为一个逻辑意义上的装置，是通过其所在设备的cpu将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的一种面向多样本组合攻击的溯源装置，包括：
[0139]
获取模块401，用于在检测到攻击触发事件时，获取至少两个待溯源的攻击样本；
[0140]
特征提取模块402，用于对由获取模块401所获取的至少两个待溯源的攻击样本进行特征提取，获得每一个待溯源的攻击样本的特征信息；
[0141]
溯源模块403，用于根据由特征提取模块402所获得的每一个待溯源的攻击样本的特征信息和预先创建的目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果。
[0142]
可选地，在图4所示一种面向多样本组合攻击的溯源装置的基础上，溯源模块403，还用于执行如下操作：
[0143]
对每一个待溯源的攻击样本的特征信息进行筛选，获得对应每一个待溯源攻击样本的目标特征子集；
[0144]
将每一个待溯源攻击样本的目标特征子集输入目标贝叶斯溯源模型，得到至少两个待溯源的攻击样本的溯源结果。
[0145]
可选地，在图4所示一种面向多样本组合攻击的溯源装置的基础上，进一步包括模型构建模块，该模型构建模块用于执行如下操作：
[0146]
获取至少两组历史攻击样本；其中，每一组历史攻击样本包括至少两个攻击样本；
[0147]
对至少两组历史攻击样本进行特征提取，获得对应每一组历史攻击样本的特征集；
[0148]
构建贝叶斯溯源模型；
[0149]
利用每一组历史攻击样本的特征集对贝叶斯溯源模型进行训练，得到目标贝叶斯溯源模型。
[0150]
可选地，在图4所示一种面向多样本组合攻击的溯源装置的基础上，模型构建模块，还用于执行如下操作：
[0151]
针对每一组历史攻击样本，均执行：
[0152]
对该组历史攻击样本所包括的至少两个攻击样本进行特征提取，获得对应每一个攻击样本的特征信息；
[0153]
对每一个攻击样本的特征信息进行筛选，获得对应该攻击样本的特征子集；其中，
特征子集包括筛选后的每一个攻击样本的特征信息；
[0154]
获取对应该组历史攻击样本的真实溯源结果；
[0155]
将每一个攻击样本的特征子集和该组历史攻击样本的真实溯源结果进行组合，获得对应该组历史攻击样本的特征集。
[0156]
可选地，在图4所示一种面向多样本组合攻击的溯源装置的基础上，每一组历史攻击样本的特征集中包括作为输入的特征信息以及作为输出的对该组历史攻击样本的真实溯源结果；
[0157]
模型构建模块401，还用于执行如下操作：
[0158]
对所构建的贝叶斯溯源模型中的参数赋予预设概率分布；
[0159]
利用每一组历史攻击样本的特征集对贝叶斯溯源模型进行迭代训练，以获得参数的优化概率分布；
[0160]
对所获得的每一组历史攻击样本的特征集进行随机抽样，获得测试集；
[0161]
根据测试集和迭代训练后获得的包括参数的优化概率分布的贝叶斯溯源模型，得到对应测试集的预测溯源结果；
[0162]
判断预测溯源结果与测试集中作为输出的真实溯源结果的相似度是否大于预设阈值；
[0163]
如果是，则得到目标贝叶斯溯源模型；其中，目标贝叶斯溯源模型中的参数为优化概率分布。
[0164]
可选地，在图4所示一种面向多样本组合攻击的溯源装置的基础上，每一个攻击样本的特征信息包括对应该攻击样本的至少一个特征；模型构建模块，还用于执行如下操作：
[0165]
对每一个攻击样本的特征信息进行筛选，包括：
[0166]
针对每一个攻击样本，均执行：
[0167]
利用决策树算法获取该特征信息中的每一个特征的信息增益，并利用每一个特征的信息增益计算得到对应每一个特征的权重；
[0168]
根据所得到的每一个特征的权重和预设权重阈值，筛选出大于预设权重阈值的权重所对应的特征，以获得对应该攻击样本的特征子集。
[0169]
可选地，在图4所示一种面向多样本组合攻击的溯源装置的基础上，该装置进一步包括：优化模块，该优化模块用于执行如下操作：
[0170]
获取至少两组历史攻击样本；其中，每一组历史攻击样本包括至少两个攻击样本；
[0171]
对所获取的至少两组历史攻击样本进行周期性地更新；
[0172]
利用更新后的至少两组历史攻击样本对目标贝叶斯溯源模型进行周期性地训练，得到优化贝叶斯溯源模型。
[0173]
可以理解的是，本发明实施例示意的结构并不构成对一种面向多样本组合攻击的溯源装置的具体限定。在本发明的另一些实施例中，一种面向多样本组合攻击的溯源装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
[0174]
上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。
[0175]
本发明实施例还提供了一种面向多样本组合攻击的溯源装置，包括：至少一个存
储区和至少一个处理器；
[0176]
所述至少一个存储器，用于存储机器可读程序；
[0177]
所述至少一个处理器，用于调用所述机器可读程序，执行本发明任一实施例中的一种面向多样本组合攻击的溯源方法。
[0178]
本发明实施例还提供了一种计算机可读介质，所述计算机可读介质上存储有计算机指令，所述计算机指令在被处理器执行时，使所述处理器执行本发明任一实施例中的一种面向多样本组合攻击的溯源方法。
[0179]
具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。
[0180]
在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
[0181]
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如cd
‑
rom、cd
‑
r、cd
‑
rw、dvd
‑
rom、dvd
‑
ram、dvd
‑
rw、dvd+rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
[0182]
此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。
[0183]
此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。
[0184]
综上所述，本发明所提供的一种面向多样本组合攻击的溯源方法和装置，在检测到攻击触发事件时，获取针对本次攻击触发事件的至少两个待溯源的攻击样本，对该待溯源的攻击样本进行特征提取，获得对应每一个待溯源的攻击样本的特征信息，再根据预先训练的目标贝叶斯溯源模型，最终得到至少两个待溯源的攻击样本的溯源结果。至少具有如下有益效果：通过预先训练的目标贝叶斯溯源模型，可以对多个待溯源的攻击样本进行溯源，最终确定多个攻击样本所属的攻击组织等溯源结果，同时避免了单个样本不能精确溯源定位的问题。如此，面向apt的混淆攻击手段，利用目标贝叶斯溯源模型便可以自行且快速地分析出当前攻击样本的溯源结果，减少了分析人员的参与，缩短了溯源分析时间，从而提高了面向多样本组合攻击的溯源效率。
[0185]
需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
······”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0186]
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过
程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
[0187]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。