[发明专利]网络攻击行为中的攻击主体确定方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种网络攻击行为中的攻击主体确定方法及装置。

背景技术

随着互联网技术的发展，各种网络安全问题也层出不穷，如木马、钓鱼网站、钓鱼邮件、针对域名服务器的DDoS(DDoS:Distributed Denial of Service，分布式拒绝服务攻击)、针对特定类型网络的DDoS攻击、大规模DNS(Domain Name System，域名系统)欺骗攻击、僵尸网络等网络攻击行为严重威胁着网络用户的信息和数据安全，由于上述网络攻击行为往往具有很强的欺骗性和伪装性，常规的攻击行为检测方法难以准确地确定攻击主体如攻击者或受攻击者。

发明内容

针对现有技术中的缺陷，本发明提供一种网络攻击行为中的攻击主体确定方法及装置，以较为准确地确定网络攻击行为中的攻击主体。

第一方面，本发明提供的一种网络攻击行为中的攻击主体确定方法，包括：

获取网络攻击行为中传输的数据；

采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果；

根据所述关联分析结果确定所述网络攻击行为中的攻击主体。

可选的，所述获取网络攻击行为中传输的数据，包括：

利用流量捕获设备捕获指定网络范围内的在网络攻击行为中传输的数据，其中，所述网络攻击行为包括：木马、钓鱼网站、钓鱼邮件、DDoS攻击、DNS欺骗攻击或僵尸网络中的至少一种。

可选的，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的木马来源、木马发送地址、木马接收地址和木马连接地址进行关联分析，获得对木马的关联分析结果。

可选的，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的邮件来源、邮件发件人、邮件收件人、邮件主题和恶意脚本连接地址进行关联分析，获得对邮件中恶意脚本的关联分析结果。

可选的，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中虚拟对象之间的网络关系进行关联分析，获得对虚拟对象的关联分析结果，其中，所述虚拟对象包括IP地址、MAC地址、即时通信软件账号和邮件地址中的多种。

可选的，所述采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果，包括：

采用关联分析算法对所述数据中的邮件账号、联系人进行级联的关联分析以及对邮件主题进行关联分析，获得对邮件的关联分析结果。

第二方面，本发明提供的一种网络攻击行为中的攻击主体确定装置，包括：

数据获取模块，用于获取网络攻击行为中传输的数据；

数据关联分析模块，用于采用预设的关联分析算法对所述数据进行关联分析，获得关联分析结果；

攻击主体确定模块，用于根据所述关联分析结果确定所述网络攻击行为中的攻击主体。

可选的，所述数据获取模块，包括：

数据捕获单元，用于利用流量捕获设备捕获指定网络范围内的在网络攻击行为中传输的数据，其中，所述网络攻击行为包括：木马、钓鱼网站、钓鱼邮件、DDoS攻击、DNS欺骗攻击或僵尸网络中的至少一种。

可选的，所述数据关联分析模块，包括：

木马关联分析单元，用于采用关联分析算法对所述数据中的木马来源、木马发送地址、木马接收地址和木马连接地址进行关联分析，获得对木马的关联分析结果。

可选的，所述数据关联分析模块，包括：

恶意脚本关联分析单元，用于采用关联分析算法对所述数据中的邮件来源、邮件发件人、邮件收件人、邮件主题和恶意脚本连接地址进行关联分析，获得对邮件中恶意脚本的关联分析结果。

可选的，所述数据关联分析模块，包括：

虚拟对象关联分析单元，用于采用关联分析算法对所述数据中虚拟对象之间的网络关系进行关联分析，获得对虚拟对象的关联分析结果，其中，所述虚拟对象包括IP地址、MAC地址、即时通信软件账号和邮件地址中的多种。

可选的，所述数据关联分析模块，包括：

邮件关联分析单元，用于采用关联分析算法对所述数据中的邮件账号、联系人进行级联的关联分析以及对邮件主题进行关联分析，获得对邮件的关联分析结果。