[发明专利]一种基于WEB动态防御的追踪溯源方法及装置

权利要求书

1.一种基于WEB动态防御的追踪溯源方法，其特征在于，包括：

获取WEB攻击事件的数据源，所述数据源包括网络攻击威胁数据和网络攻击事件的线索数据；

基于网络攻击知识图谱查询所述数据源的关联特征向量，所述网络攻击知识图谱为根据现有的网络攻击手段构建得到的知识库；

通过所述关联特征向量匹配所述网络攻击知识图谱中对应的溯源策略；

根据所述溯源策略确定所述WEB攻击事件的攻击者和攻击组织。

2.根据权利要求1所述的方法，其特征在于，所述基于网络攻击知识图谱查询所述数据源的关联特征向量，所述网络攻击知识图谱为根据现有的网络攻击手段构建得到的知识库，包括：

基于网络攻击知识图谱分析所述数据源在所述网络攻击知识图谱中的攻击类型，所述网络攻击知识图谱为根据现有的网络攻击手段构建得到的知识库；

从所述网络攻击知识图谱中提取所述攻击类型的关联特征向量。

3.根据权利要求2所述的方法，其特征在于，在所述基于网络攻击知识图谱查询所述数据源的关联特征向量之前，所述方法还包括：

判断所述数据源在所述网络攻击知识图谱中是否为新增攻击类型；

若否，则执行查询操作；

若是，则自定义所述数据源所属攻击类型后更新所述网络攻击知识图谱。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述攻击类型为根据WEB业务系统正常运行状态下自定义的网络安全领域类型。

5.根据权利要求1所述的方法，其特征在于，所述通过所述关联特征向量匹配所述网络攻击知识图谱中对应的溯源策略，包括：

利用相关系数计算方法计算所述关联特征向量的特征相关性；

根据所述特征相关性计算结果匹配所述网络攻击知识图谱中对应的溯源策略。

6.根据权利要求5所述的方法，其特征在于，所述相关性计算方法包括余弦相似、皮尔逊相关以及杰卡德相似方法。

7.一种基于WEB动态防御的追踪溯源装置，其特征在于，包括：

获取单元，用于获取WEB攻击事件的数据源，所述数据源包括网络攻击威胁数据和网络攻击事件的线索数据；

查询单元，用于基于网络攻击知识图谱查询所述数据源的关联特征向量，所述网络攻击知识图谱为根据现有的网络攻击手段构建得到的知识库；

匹配单元，用于通过所述关联特征向量匹配所述网络攻击知识图谱中对应的溯源策略；

确定单元，用于根据所述溯源策略确定所述WEB攻击事件的攻击者和攻击组织。

8.根据权利要求7所述的装置，其特征在于，所述查询单元包括：

分析模块，用于基于网络攻击知识图谱分析所述数据源在所述网络攻击知识图谱中的攻击类型，所述网络攻击知识图谱为根据现有的网络攻击手段构建得到的知识库；

提取模块，用于从所述网络攻击知识图谱中提取所述攻击类型的关联特征向量。

9.根据权利要求7所述的装置，其特征在于，在所述查询单元之前，所述装置还包括：

判断单元，用于判断所述数据源在所述网络攻击知识图谱中是否为新增攻击类型；

若否，则执行查询操作；

若是，则自定义所述数据源所属攻击类型后更新所述网络攻击知识图谱。

10.根据权利要求7所述的装置，其特征在于，所述匹配单元包括：

计算模块，用于利用相关系数计算方法计算所述关联特征向量的特征相关性；

匹配模块，用于根据所述特征相关性计算结果匹配所述网络攻击知识图谱中对应的溯源策略。