本發明涉及網絡安全技術領域，具體涉及一種網絡攻擊行為中的攻擊主體確定方法及裝置。

背景技術：

隨著互聯網技術的發展，各種網絡安全問題也層出不窮，如木馬、釣魚網站、釣魚郵件、針對域名服務器的DDoS(DDoS:Distributed Denial of Service，分布式拒絕服務攻擊)、針對特定類型網絡的DDoS攻擊、大規模DNS(Domain Name System，域名系統)欺騙攻擊、僵尸網絡等網絡攻擊行為嚴重威脅著網絡用戶的信息和數據安全，由于上述網絡攻擊行為往往具有很強的欺騙性和偽裝性，常規的攻擊行為檢測方法難以準確地確定攻擊主體如攻擊者或受攻擊者。

技術實現要素：

針對現有技術中的缺陷，本發明提供一種網絡攻擊行為中的攻擊主體確定方法及裝置，以較為準確地確定網絡攻擊行為中的攻擊主體。

第一方面，本發明提供的一種網絡攻擊行為中的攻擊主體確定方法，包括：

獲取網絡攻擊行為中傳輸的數據；

采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果；

根據所述關聯分析結果確定所述網絡攻擊行為中的攻擊主體。

可選的，所述獲取網絡攻擊行為中傳輸的數據，包括：

利用流量捕獲設備捕獲指定網絡范圍內的在網絡攻擊行為中傳輸的數據，其中，所述網絡攻擊行為包括：木馬、釣魚網站、釣魚郵件、DDoS攻擊、DNS欺騙攻擊或僵尸網絡中的至少一種。

可選的，所述采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果，包括：

采用關聯分析算法對所述數據中的木馬來源、木馬發送地址、木馬接收地址和木馬連接地址進行關聯分析，獲得對木馬的關聯分析結果。

可選的，所述采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果，包括：

采用關聯分析算法對所述數據中的郵件來源、郵件發件人、郵件收件人、郵件主題和惡意腳本連接地址進行關聯分析，獲得對郵件中惡意腳本的關聯分析結果。

可選的，所述采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果，包括：

采用關聯分析算法對所述數據中虛擬對象之間的網絡關系進行關聯分析，獲得對虛擬對象的關聯分析結果，其中，所述虛擬對象包括IP地址、MAC地址、即時通信軟件賬號和郵件地址中的多種。

可選的，所述采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果，包括：

采用關聯分析算法對所述數據中的郵件賬號、聯系人進行級聯的關聯分析以及對郵件主題進行關聯分析，獲得對郵件的關聯分析結果。

第二方面，本發明提供的一種網絡攻擊行為中的攻擊主體確定裝置，包括：

數據獲取模塊，用于獲取網絡攻擊行為中傳輸的數據；

數據關聯分析模塊，用于采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果；

攻擊主體確定模塊，用于根據所述關聯分析結果確定所述網絡攻擊行為中的攻擊主體。

可選的，所述數據獲取模塊，包括：

數據捕獲單元，用于利用流量捕獲設備捕獲指定網絡范圍內的在網絡攻擊行為中傳輸的數據，其中，所述網絡攻擊行為包括：木馬、釣魚網站、釣魚郵件、DDoS攻擊、DNS欺騙攻擊或僵尸網絡中的至少一種。

可選的，所述數據關聯分析模塊，包括：

木馬關聯分析單元，用于采用關聯分析算法對所述數據中的木馬來源、木馬發送地址、木馬接收地址和木馬連接地址進行關聯分析，獲得對木馬的關聯分析結果。

可選的，所述數據關聯分析模塊，包括：

惡意腳本關聯分析單元，用于采用關聯分析算法對所述數據中的郵件來源、郵件發件人、郵件收件人、郵件主題和惡意腳本連接地址進行關聯分析，獲得對郵件中惡意腳本的關聯分析結果。

可選的，所述數據關聯分析模塊，包括：

虛擬對象關聯分析單元，用于采用關聯分析算法對所述數據中虛擬對象之間的網絡關系進行關聯分析，獲得對虛擬對象的關聯分析結果，其中，所述虛擬對象包括IP地址、MAC地址、即時通信軟件賬號和郵件地址中的多種。

可選的，所述數據關聯分析模塊，包括：

郵件關聯分析單元，用于采用關聯分析算法對所述數據中的郵件賬號、聯系人進行級聯的關聯分析以及對郵件主題進行關聯分析，獲得對郵件的關聯分析結果。

由上述技術方案可知，本發明提供的一種網絡攻擊行為中的攻擊主體確定方法，首先獲取網絡攻擊行為中傳輸的數據；然后采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果；最后根據所述關聯分析結果確定所述網絡攻擊行為中的攻擊主體。本發明采用關聯分析算法進行數據的關聯分析，能夠深層次地挖掘出網絡攻擊行為中攻擊主體之間的關聯性，從而能夠更加準確的確定網絡攻擊行為中的攻擊主體。

本發明提供的一種網絡攻擊行為中的攻擊主體確定裝置，與上述網絡攻擊行為中的攻擊主體確定方法出于相同的發明構思，具有相同的有益效果。

附圖說明

為了更清楚地說明本發明具體實施方式或現有技術中的技術方案，下面將對具體實施方式或現有技術描述中所需要使用的附圖作簡單地介紹。

圖1示出了本發明第一實施例所提供的一種網絡攻擊行為中的攻擊主體確定方法的流程圖；

圖2示出了本發明第二實施例所提供的一種網絡攻擊行為中的攻擊主體確定裝置的示意圖。

具體實施方式

下面將結合附圖對本發明技術方案的實施例進行詳細的描述。以下實施例僅用于更加清楚地說明本發明的技術方案，因此只是作為示例，而不能以此來限制本發明的保護范圍。

需要注意的是，除非另有說明，本申請使用的技術術語或者科學術語應當為本發明所屬領域技術人員所理解的通常意義。

本發明提供一種網絡攻擊行為中的攻擊主體確定方法、一種網絡攻擊行為中的攻擊主體確定裝置和一種網絡攻擊行為中的攻擊主體確定系統。下面結合附圖對本發明的實施例進行說明。

圖1示出了本發明第一實施例所提供的一種網絡攻擊行為中的攻擊主體確定方法的流程圖。如圖1所示，本發明第一實施例提供的一種網絡攻擊行為中的攻擊主體確定方法包括以下步驟：

步驟S101：獲取網絡攻擊行為中傳輸的數據。

本發明實施例中，可以采用流量捕獲設備捕獲網絡攻擊行為中傳輸的數據，例如，在網關處布置一流量捕獲設備，利用該流量捕獲設備捕獲指定網絡范圍內的在網絡攻擊行為中傳輸的數據，其中，所述網絡攻擊行為包括：木馬、釣魚網站、釣魚郵件、DDoS攻擊、DNS欺騙攻擊或僵尸網絡中的至少一種。

步驟S102：采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果。

本發明實施例中，可以根據網絡攻擊行為中傳輸的數據的不同，采用關聯分析算法獲得不同的關聯分析結果，以確定網絡攻擊行為中的攻擊主體。例如，在本發明提供的一個實施例中，所述采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果，包括：

采用關聯分析算法對所述數據中的木馬來源、木馬發送地址、木馬接收地址和木馬連接地址進行關聯分析，獲得對木馬的關聯分析結果。

又如，在本發明提供的一個實施例中，所述采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果，包括：

采用關聯分析算法對所述數據中的郵件來源、郵件發件人、郵件收件人、郵件主題和惡意腳本連接地址進行關聯分析，獲得對郵件中惡意腳本的關聯分析結果。

再如，在本發明提供的一個實施例中，所述采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果，包括：

采用關聯分析算法對所述數據中虛擬對象之間的網絡關系進行關聯分析，獲得對虛擬對象的關聯分析結果，其中，所述虛擬對象包括IP地址、MAC地址、即時通信軟件賬號和郵件地址中的多種。

在本發明提供的另一個實施例中，所述采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果，包括：

采用關聯分析算法對所述數據中的郵件賬號、聯系人進行級聯的關聯分析以及對郵件主題進行關聯分析，獲得對郵件的關聯分析結果。

步驟S103：根據所述關聯分析結果確定所述網絡攻擊行為中的攻擊主體。

在完成對木馬、郵件、惡意程序、虛擬對象等的關聯分析后，根據關聯分析結果即可找出所述網絡攻擊行為中的攻擊主體。

需要說明的是，上述步驟S102中的多種關聯分析算法的實施例可以單獨使用，也可以組合使用，以對網絡攻擊行為中的數據進行更加全面的關聯分析，其均在本發明的保護范圍之內。

例如，在數據中發現一個國內IP地址與國外的一個IP地址之間存在大量的異常流量數據，通過所述數據中的日志分析，在一條日志中發現一個請求中帶有郵件地址，通過該郵件地址發現該郵箱中的一個附件包含惡意程序，該惡意程序記錄了用戶平時的操作信息，并獲取服務器密碼，導致服務器上的文件上傳到境外服務器中，據此，可以較為明確的確定上述網絡攻擊行為中的攻擊主體，攻擊者為該境外服務器，受攻擊者為該數據中的國內IP地址的用戶。

至此，通過步驟S101至步驟S103，完成了本發明第一實施例所提供的一種網絡攻擊行為中的攻擊主體確定方法的流程。本發明采用關聯分析算法進行數據的關聯分析，能夠深層次地挖掘出網絡攻擊行為中攻擊主體之間的關聯性，從而能夠更加準確的確定網絡攻擊行為中的攻擊主體。

在上述的第一實施例中，提供了一種網絡攻擊行為中的攻擊主體確定方法，與之相對應的，本申請還提供一種網絡攻擊行為中的攻擊主體確定裝置。請參考圖2，其為本發明第二實施例提供的一種網絡攻擊行為中的攻擊主體確定裝置的示意圖。由于裝置實施例基本相似于方法實施例，所以描述得比較簡單，相關之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。

本發明第二實施例提供的一種網絡攻擊行為中的攻擊主體確定裝置，包括：

數據獲取模塊101，用于獲取網絡攻擊行為中傳輸的數據；

數據關聯分析模塊102，用于采用預設的關聯分析算法對所述數據進行關聯分析，獲得關聯分析結果；

攻擊主體確定模塊103，用于根據所述關聯分析結果確定所述網絡攻擊行為中的攻擊主體。

在本發明提供的一個實施例中，所述數據獲取模塊101，包括：

數據捕獲單元，用于利用流量捕獲設備捕獲指定網絡范圍內的在網絡攻擊行為中傳輸的數據，其中，所述網絡攻擊行為包括：木馬、釣魚網站、釣魚郵件、DDoS攻擊、DNS欺騙攻擊或僵尸網絡中的至少一種。

在本發明提供的一個實施例中，所述數據關聯分析模塊102，包括：

木馬關聯分析單元，用于采用關聯分析算法對所述數據中的木馬來源、木馬發送地址、木馬接收地址和木馬連接地址進行關聯分析，獲得對木馬的關聯分析結果。

在本發明提供的一個實施例中，所述數據關聯分析模塊102，包括：

惡意腳本關聯分析單元，用于采用關聯分析算法對所述數據中的郵件來源、郵件發件人、郵件收件人、郵件主題和惡意腳本連接地址進行關聯分析，獲得對郵件中惡意腳本的關聯分析結果。

在本發明提供的一個實施例中，所述數據關聯分析模塊102，包括：

虛擬對象關聯分析單元，用于采用關聯分析算法對所述數據中虛擬對象之間的網絡關系進行關聯分析，獲得對虛擬對象的關聯分析結果，其中，所述虛擬對象包括IP地址、MAC地址、即時通信軟件賬號和郵件地址中的多種。

在本發明提供的一個實施例中，所述數據關聯分析模塊102，包括：

郵件關聯分析單元，用于采用關聯分析算法對所述數據中的郵件賬號、聯系人進行級聯的關聯分析以及對郵件主題進行關聯分析，獲得對郵件的關聯分析結果。

以上，為本發明第二實施例提供的一種網絡攻擊行為中的攻擊主體確定裝置的實施例說明。

本發明提供的一種網絡攻擊行為中的攻擊主體確定裝置與上述網絡攻擊行為中的攻擊主體確定方法出于相同的發明構思，具有相同的有益效果，此處不再贅述。

在本說明書的描述中，參考術語“一個實施例”、“一些實施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結合該實施例或示例描述的具體特征、結構、材料或者特點包含于本發明的至少一個實施例或示例中。在本說明書中，對上述術語的示意性表述不必須針對的是相同的實施例或示例。而且，描述的具體特征、結構、材料或者特點可以在任一個或多個實施例或示例中以合適的方式結合。此外，在不相互矛盾的情況下，本領域的技術人員可以將本說明書中描述的不同實施例或示例以及不同實施例或示例的特征進行結合和組合。

需要說明的是，附圖中的流程圖和框圖顯示了根據本發明的多個實施例的系統、方法和計算機程序產品的可能實現的體系架構、功能和操作。在這點上，流程圖或框圖中的每個方框可以代表一個模塊、程序段或代碼的一部分，所述模塊、程序段或代碼的一部分包含一個或多個用于實現規定的邏輯功能的可執行指令。也應當注意，在有些作為替換的實現中，方框中所標注的功能也可以以不同于附圖中所標注的順序發生。例如，兩個連續的方框實際上可以基本并行地執行，它們有時也可以按相反的順序執行，這依所涉及的功能而定。也要注意的是，框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合，可以用執行規定的功能或動作的專用的基于硬件的系統來實現，或者可以用專用硬件與計算機指令的組合來實現。

本發明實施例所提供的網絡攻擊行為中的攻擊主體確定裝置可以是計算機程序產品，包括存儲了程序代碼的計算機可讀存儲介質，所述程序代碼包括的指令可用于執行前面方法實施例中所述的方法，具體實現可參見方法實施例，在此不再贅述。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統、裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統、裝置和方法，可以通過其它的方式實現。以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，又例如，多個單元或組件可以結合或者可以集成到另一個系統，或一些特征可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。

所述功能如果以軟件功能單元的形式實現并作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基于這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的部分可以以軟件產品的形式體現出來，該計算機軟件產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質。

最后應說明的是：以上各實施例僅用以說明本發明的技術方案，而非對其限制；盡管參照前述各實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分或者全部技術特征進行等同替換；而這些修改或者替換，并不使相應技術方案的本質脫離本發明各實施例技術方案的范圍，其均應涵蓋在本發明的權利要求和說明書的范圍當中。