一种动态威胁检测及溯源方法、装置、设备及存储介质

本申请涉及计算机，尤其涉及一种动态威胁检测及溯源方法、装置、设备及存储介质。

背景技术：

1、高隐匿攻击者通常充分利用无服务器、虚拟服务器、域前置恶意流量、加密流量等技术隐藏身份以及攻击信号，来规避攻击检测，具有极高的隐蔽性；在此基础上，若攻击潜伏时间较长且极具针对性，则会进一步发展成为apt(advanced?persistent?threat，高级持续性威胁)攻击，对目标系统招致更严重的后果和损失。高隐匿威胁攻击由于其自身的特点，已经成为影响企业及相关部门各级系统安全和隐私?；さ那痹谕?。即使针对攻击的检测和溯源技术也在日益精进，但是攻击事件仍层出不穷，因此设计出可以快速响应攻击的实时持续威胁检测系统十分必要。

2、因此，发明人提供了一种动态威胁检测及溯源方法、装置、设备及存储介质。

技术实现思路

1、(1)要解决的技术问题

2、本申请提供了一种动态威胁检测及溯源方法、装置、设备及存储介质，要解决的技术问题是：目前缺少能够对高隐匿攻击下动态威胁进行实时检测及溯源的方法。

3、(2)技术方案

4、第一方面，本申请提供了一种动态威胁检测及溯源方法，包括：

5、采用scapy捕获网络流量数据，获取所述网络流量数据的相关特征信息；

6、根据所述相关特征信息，构建所述网络流量数据对应的指纹数据；

7、通过所述指纹数据搭建基于流交互的图分析，实现对加密恶意流量的识别，并将识别结果标记至相应流量数据包；

8、识别恶意流量请求来源，根据请求的来源自动选择溯源方法，通过对流量数据请求的分析，提取攻击者身份特征实现溯源。

9、进一步地，所述采用scapy捕获网络流量数据，包括：

10、采用scapy通过网络驱动程序收集网络数据包，由过滤器实现对所述网络数据包的过滤。

11、进一步地，所述相关特征信息包括源ip地址、目标ip地址、端口号、协议类型、时间戳、数据流的大小和方向、tls证书。

12、进一步地，所述根据所述相关特征信息，构建所述网络流量数据对应的指纹数据，包括：

13、根据所述相关特征信息，组成新的数据流，并进一步聚类关联，生成独特的标识特定流量的指纹数据。

14、进一步地，所述通过所述指纹数据搭建基于流交互的图分析，实现对加密恶意流量的识别，包括：

15、根据对应的指纹库建立连通图，通过提取连通分量来分析图的连通性，并通过聚类高层统计特征来识别异常分支；

16、提取关键顶点，最小化聚类数量，根据关键顶点的连接边指示出加密恶意流量的异常边，实现对加密恶意流量的识别和定位。

17、进一步地，所述识别恶意流量请求来源，根据请求的来源自动选择溯源方法，通过对流量数据请求的分析，提取攻击者身份特征实现溯源，包括：

18、检测恶意流量来源是否为cdn节点，若是则判断流量协议类型；

19、若所述流量协议类型为http协议，则检查其请求host和header信息实现溯源；

20、针对https的云函数隐匿流量，对其client_hello请求和dns进行检查实现溯源。

21、第二方面，本申请提供了一种动态威胁检测及溯源装置，包括：

22、信息获取?？?，用于采用scapy捕获网络流量数据，获取所述网络流量数据的相关特征信息；

23、指纹构建?？?，用于根据所述相关特征信息，构建所述网络流量数据对应的指纹数据；

24、流量识别?？?，用于通过所述指纹数据搭建基于流交互的图分析，实现对加密恶意流量的识别，并将识别结果标记至相应流量数据包；

25、攻击溯源?？?，用于识别恶意流量请求来源，根据请求的来源自动选择溯源方法，通过对流量数据请求的分析，提取攻击者身份特征实现溯源。

26、第三方面，本申请提供了一种电子设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上所述的动态威胁检测及溯源方法。

27、第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现如上所述的动态威胁检测及溯源方法。

28、(3)有益效果

29、本申请的上述技术方案具有如下优点：

30、本申请第一方面提供的动态威胁检测及溯源方法，通过基于恶意流量指纹识别算法，有效对恶意流量实现准确实时分析，并通过基于流量特征及快速准确溯源的机制，保证了其对高隐匿攻击流量溯源的准确性和实时性。通过分析交互模式、特征信息和加密流量的属性，实现了对恶意加密流量的准确识别和迅速溯源。这些技术不仅提高了识别效率和精度，还有效?；び没Я髁堪踩?，增强了系统的整体安全性和可信度。

31、可以理解的是，上述第二方面、第三方面和第四方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。

技术特征：

1.一种动态威胁检测及溯源方法，其特征在于，包括：

2.如权利要求1所述的动态威胁检测及溯源方法，其特征在于，所述采用scapy捕获网络流量数据，包括：

3.如权利要求1所述的动态威胁检测及溯源方法，其特征在于，所述相关特征信息包括源ip地址、目标ip地址、端口号、协议类型、时间戳、数据流的大小和方向、tls证书。

4.如权利要求1所述的动态威胁检测及溯源方法，其特征在于，所述根据所述相关特征信息，构建所述网络流量数据对应的指纹数据，包括：

5.如权利要求1所述的动态威胁检测及溯源方法，其特征在于，所述通过所述指纹数据搭建基于流交互的图分析，实现对加密恶意流量的识别，包括：

6.如权利要求1所述的动态威胁检测及溯源方法，其特征在于，所述识别恶意流量请求来源，根据请求的来源自动选择溯源方法，通过对流量数据请求的分析，提取攻击者身份特征实现溯源，包括：

7.一种动态威胁检测及溯源装置，其特征在于，包括：

8.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的动态威胁检测及溯源方法。

9.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的动态威胁检测及溯源方法。

技术总结
本申请涉及一种动态威胁检测及溯源方法、装置、设备及存储介质，其中，动态威胁检测及溯源方法包括：采用scapy捕获网络流量数据，获取所述网络流量数据的相关特征信息；根据所述相关特征信息，构建所述网络流量数据对应的指纹数据；通过所述指纹数据搭建基于流交互的图分析，实现对加密恶意流量的识别，并将识别结果标记至相应流量数据包；识别恶意流量请求来源，根据请求的来源自动选择溯源方法，通过对流量数据请求的分析，提取攻击者身份特征实现溯源。本申请能够实现实时检测及溯源高隐匿攻击下动态威胁，在保障用户网络流量安全、提高识别精度和效率方面具有显著效果。

技术研发人员：李睿林,王炜喆,许光全,潘煜,陈世展
受?；さ募际跏褂谜撸?/b>天津大学
技术研发日：
技术公布日：2024/4/24