[发明专利]一种网络攻击者的发现和追踪方法

说明书

本发明适用于计算机领域，提供了一种网络攻击者的发现和追踪方法，使用WEB指纹匹配算法，将指纹数据与历史攻击者指纹数据进行逐一匹配，得出指纹匹配向量；使用攻击者判定算法，将指纹匹配向量与指纹数据权重向量进行计算，得出匹配分值；判定匹配分值是否大于攻击者阈值，如大于阈值，则判定为旧有攻击者；如小于阈值，则判定为新出现攻击者。引入新的网络安全防守视角，使发现并追踪网络攻击者成为可能，化被动防御为主动防御，在发现和追踪网络攻击者的基础上，就可以建立针对攻击者的情报体系，使网络安全防护的效能在新的视角下得到提高。

技术领域

本发明属于计算机领域，尤其涉及一种网络攻击者的发现和追踪方法。

背景技术

行业针对网络攻击的传统防范方式，主要是基于对威胁事件的检测精确程度的不断提升来进行的。当发现了威胁事件，进而触发安全响应过程(不限于告警、拦截、记录日志、反制等方式)。然而这种方式，总是在被动的防御一次次的攻击事件，积累的威胁情报也主要是描述威胁事件(如威胁载体、攻击路径、攻击面等等)，而在威胁主体方面(即攻击者的信息)，主要的可依据信息只有IP地址。如果仅依靠IP地址信息，是无法有效的掌握攻击者本身的信息的，也就难以追踪攻击者。

网络攻防的本质是人与人之间的对抗，一味的被动防守，始终无法有效的遏制威胁源头。想要主动的防范网络攻击，甚至是实现预先防范，需要转换视角，不仅是发现攻击事件，而是有效的发现并标记威胁主体：攻击者，并能够依据标记持续的追踪攻击者，当其再次出现时也能够迅速发现，从而实现在其攻击意图达成之前，预先完成防范。

基于WEB指纹对网络浏览者的标记、识别和追踪，最早是应用在电子商务网站的在线广告精准推送的应用中的。而将其用于对网络攻击者的追踪，则涉及到对网络攻击者，这一特定的网络对象的发现和再识别模型的建立，本发明是基于对WEB指纹应用，对网络攻击者实现发现和追踪的目的。

发明内容

本发明实施例提供一种网络攻击者的发现和追踪方法，旨在解决上述技术问题。

本发明实施例是这样实现的，一种网络攻击者的发现和追踪方法包括：

通过蜜罐获取攻击者的原始WEB指纹数据，对数据进行提取，对所提取的指纹数据进行数据预处理；

使用WEB指纹匹配算法，将指纹数据与历史攻击者指纹数据进行逐一匹配，得出指纹匹配向量；

使用攻击者判定算法，将指纹匹配向量与指纹数据权重向量进行计算，得出匹配分值；

判定匹配分值是否大于攻击者阈值，如大于阈值，则判定为旧有攻击者；如小于阈值，则判定为新出现攻击者；

无论阈值判定结果如何，均会将指纹向量保存入历史攻击者指纹数据集。

进一步地，所述通过蜜罐获取攻击者的原始WEB指纹数据，对数据进行提取，对所提取的指纹数据进行数据预处理步骤中的指纹提取和数据预处理动作包括：检查指纹数据规范性与完整性，根据预设定的数据格式，提取有效指纹数据，删除无用数据，将数据转换成计算机可读形式；所述指纹数据的类别包括网络指纹、软件指纹和硬件指纹。

进一步地，所述使用WEB指纹匹配算法，还会将新采集的攻击者指纹数据与所有历史攻击者指纹数据进行逐一匹配；

所述WEB指纹匹配算法在执行过程中，会将单一的指纹数据集中的多个指纹数据，所述指纹按类别划分为关键性指纹和非关键性指纹。

进一步地，所述将指纹数据与历史攻击者指纹数据进行逐一匹配具体包括：对于关键性指纹，是通过相同性匹配方法进行匹配，如果两组指纹的关键性指纹完全相同，则认为匹配成功；反之则匹配失败；对于非关键性指纹，是通过指纹相似度匹配算法进行匹配，如果两组指纹的非关键性指纹的字符串距离小于阈值，则认为匹配成功；反之则匹配失败；所述相似度算法具体为SimHash字符串距离算法或Levenshtein字符串距离算法。