一種黑客工具挖掘方法、裝置及系統(tǒng)的制作方法
【專利摘要】本發(fā)明實(shí)施例公開了一種黑客工具挖掘方法��,用于云服務(wù)器�����,包括:接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志�;獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志;提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息����,所述攻擊信息包括攻擊IP和攻擊ID;對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘��,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組���,所述攻擊ID組包括至少一個(gè)攻擊ID���。進(jìn)一步的,本發(fā)明實(shí)施例提供一種應(yīng)用于用戶設(shè)備的黑客工具挖掘方法�,一種云服務(wù)器,一種用戶設(shè)備�,以及一種黑客工具挖掘系統(tǒng)。
【專利說明】
一種黑客工具挖掘方法��、裝置及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域的網(wǎng)絡(luò)安全技術(shù),尤其涉及一種黑客工具挖掘方法�、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的日益普及����,網(wǎng)絡(luò)已經(jīng)涉及日常生活的各個(gè)方面�,由此引發(fā)的網(wǎng)絡(luò)安全問題也日漸成為人們重點(diǎn)關(guān)注的問題。
[0003]現(xiàn)有網(wǎng)絡(luò)中存在很多黑客���,利用網(wǎng)絡(luò)漏洞�,在未經(jīng)對(duì)方允許的情況下���,進(jìn)入對(duì)方系統(tǒng)或電腦���,盜取信息,使得基于互聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)的機(jī)構(gòu)和系統(tǒng)面臨著前所未有的威脅���,這些機(jī)構(gòu)和系統(tǒng)一旦被攻擊成功�����,將造成巨大的經(jīng)濟(jì)損失�����。為了防止系統(tǒng)被黑客攻擊�����,需要為每個(gè)系統(tǒng)建立防火墻�����,防火墻能夠有效的避免黑客攻擊���,提高系統(tǒng)的安全性����。
[0004]但是�,網(wǎng)絡(luò)安全是一個(gè)技術(shù)密集型的行業(yè),不同的黑客擅長的方向不同����,有的黑客善于漏洞挖掘,有的黑客善于對(duì)付殺毒軟件���,有的黑客對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施很熟悉�����,還有的黑客擅長社會(huì)工程學(xué)���,因此不同的黑客會(huì)產(chǎn)生不同的攻擊行為����,防火墻很難提供完備的防護(hù)服務(wù)���,系統(tǒng)的安全性較低。
【發(fā)明內(nèi)容】
[0005]為解決上述技術(shù)問題�,本發(fā)明實(shí)施例期望提供一種黑客工具挖掘方法、裝置及系統(tǒng)�,能夠挖掘出任意一個(gè)黑客工具的攻擊方式,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具��,并據(jù)此提供完備的防護(hù)服務(wù)��,提高了系統(tǒng)的安全性�。
[0006]本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0007]第一方面,本發(fā)明實(shí)施例提供一種黑客工具挖掘方法�,用于云服務(wù)器,包括:
[0008]接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志�;
[0009]獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志�;
[0010]提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息�����,所述攻擊信息包括攻擊IP和攻擊ID;[0011 ]對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘�,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組,所述攻擊ID組包括至少一個(gè)攻擊ID�。
[0012]可選的,所述對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘��,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組包括:
[0013]對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行向量化描述�����,獲取每個(gè)攻擊信息的攻擊向量�,所述攻擊向量包括對(duì)應(yīng)攻擊信息的攻擊IP和攻擊ID ;
[0014]對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘��,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組����。
[0015]可選的,所述對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘�,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組包括:
[0016]采用頻繁集挖掘算法,對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘���,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組�����。
[0017]可選的����,所述攻擊信息還包括攻擊時(shí)間。
[0018]第二方面���,本發(fā)明實(shí)施例提供一種黑客工具挖掘方法�����,用于用戶設(shè)備,包括:
[0019]獲取用戶的網(wǎng)絡(luò)訪問行為��;
[0020]根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量�����,生成網(wǎng)絡(luò)日志�;
[0021 ] 將所述網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器。
[0022]第三方面�,本發(fā)明實(shí)施例提供一種云服務(wù)器����,包括:
[0023]接收單元��,用于接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志�;
[0024]獲取單元,用于獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志�����;
[0025]提取單元����,用于提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息,所述攻擊信息包括攻擊IP和攻擊ID;
[0026]挖掘單元�,用于對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組����,所述攻擊ID組包括至少一個(gè)攻擊ID。
[0027]可選的�����,所述挖掘單元具體用于:
[0028]對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行向量化描述,獲取每個(gè)攻擊信息的攻擊向量����,所述攻擊向量包括對(duì)應(yīng)攻擊信息的攻擊IP和攻擊ID ;
[0029]對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘�,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組。
[0030]可選的���,所述挖掘單元具體用于:
[0031]采用頻繁集挖掘算法����,對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘�����,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組��。
[0032]可選的��,所述攻擊信息還包括攻擊時(shí)間���。
[0033]第四方面,本發(fā)明實(shí)施例提供一種用戶設(shè)備���,包括:
[0034]獲取單元���,用于獲取用戶的網(wǎng)絡(luò)訪問行為��;
[0035]生成單元�����,用于根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量����,生成網(wǎng)絡(luò)日志�����;
[0036]發(fā)送單元����,用于將所述網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器。
[0037]第五方面���,本發(fā)明實(shí)施例提供一種黑客工具挖掘系統(tǒng)���,包括至少一個(gè)用戶設(shè)備和與所述至少一個(gè)用戶設(shè)備連接的云服務(wù)器;
[0038]所述用戶設(shè)備用于獲取用戶的網(wǎng)絡(luò)訪問行為,根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量���,生成網(wǎng)絡(luò)日志���,并將所述網(wǎng)絡(luò)日志發(fā)送給所述云服務(wù)器;
[0039]所述云服務(wù)器用于接收所述至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志����,獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志,提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息����,所述攻擊信息包括攻擊IP和攻擊ID,并對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘�,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組,所述攻擊ID組包括至少一個(gè)攻擊ID��。
[0040]本發(fā)明實(shí)施例提供了一種黑客工具挖掘方法��、裝置及系統(tǒng)��,所述黑客工具挖掘方法包括:接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志���;獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志;提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息,所述攻擊信息包括攻擊IP和攻擊ID;對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組�,所述攻擊ID組包括至少一個(gè)攻擊ID。相較于現(xiàn)有技術(shù)���,通過數(shù)據(jù)挖掘能夠獲取任意一個(gè)黑客工具的攻擊方式��,進(jìn)而能夠通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具�,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具��,并據(jù)此提供完備的防護(hù)服務(wù)���,提高了系統(tǒng)的安全性�����。
【附圖說明】
[0041]圖1為本發(fā)明實(shí)施例提供的一種黑客工具挖掘方法的流程示意圖1;
[0042]圖2為本發(fā)明實(shí)施例提供的一種黑客工具挖掘方法的流程示意圖2;
[0043]圖3為本發(fā)明實(shí)施例提供的一種黑客工具挖掘方法的交互示意圖����;
[0044]圖4為本發(fā)明實(shí)施例提供的一種云服務(wù)器的結(jié)構(gòu)示意圖�����;
[0045]圖5為本發(fā)明實(shí)施例提供的一種用戶設(shè)備的結(jié)構(gòu)示意圖�;
[0046]圖6為本發(fā)明實(shí)施例提供的一種黑客工具挖掘系統(tǒng)的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0047]下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述��。
[0048]本發(fā)明實(shí)施例提供一種黑客工具挖掘方法�,用于云服務(wù)器,可以將所述云服務(wù)器設(shè)置成云數(shù)據(jù)分析中心�����,如圖1所示���,所述黑客工具挖掘包括:
[0049]步驟101���、接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志。
[0050]在黑客工具挖掘系統(tǒng)中����,云服務(wù)器連接有多個(gè)用戶設(shè)備,每個(gè)用戶設(shè)備均可以生成多個(gè)網(wǎng)絡(luò)日志�����,并將生成的多個(gè)網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器。
[0051 ]步驟102��、獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志�。
[0052]示例的����,用戶設(shè)備將生成的所有網(wǎng)絡(luò)日志都發(fā)送給云服務(wù)器,包括正常訪問產(chǎn)生的報(bào)文流量日志����,網(wǎng)絡(luò)訪問日志,區(qū)域防護(hù)日志等��,也包括攻擊類網(wǎng)絡(luò)日志�,云服務(wù)器從接收到的所有網(wǎng)絡(luò)日志中提取出攻擊類網(wǎng)絡(luò)日志。具體的����,用戶設(shè)備在產(chǎn)生攻擊類網(wǎng)絡(luò)日志時(shí),每個(gè)攻擊類網(wǎng)絡(luò)日志中均攜帶有與其攻擊類型對(duì)應(yīng)的攻擊ID(identificat1n���,身份識(shí)別)�,因此云服務(wù)器可以通過網(wǎng)絡(luò)日志中是否包括攻擊ID確定網(wǎng)絡(luò)日志是否為攻擊類網(wǎng)絡(luò)曰志�。
[0053]步驟103���、提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息,所述攻擊信息包括攻擊IP和攻擊ID��。
[0054]示例的�����,云服務(wù)器在獲取到多個(gè)攻擊類網(wǎng)絡(luò)日志之后��,對(duì)每個(gè)攻擊類網(wǎng)絡(luò)日志進(jìn)行分析����,獲取其攻擊IP和攻擊ID。例如��,假設(shè)第一網(wǎng)絡(luò)日志為攻擊類網(wǎng)絡(luò)日志��,zs:服務(wù)器可以對(duì)第一網(wǎng)絡(luò)日志進(jìn)行分析�,提取第一網(wǎng)絡(luò)日志的攻擊IP,即產(chǎn)生所述第一網(wǎng)絡(luò)日志的IP地址;第一網(wǎng)絡(luò)日志的攻擊ID�,即所述第一網(wǎng)絡(luò)日志的攻擊類型?�?蛇x的,所述攻擊信息還可以包括攻擊時(shí)間����,即云服務(wù)器可以提取第一網(wǎng)絡(luò)日志的攻擊時(shí)間,所述攻擊時(shí)間為所述第一網(wǎng)絡(luò)日志對(duì)應(yīng)的網(wǎng)絡(luò)訪問行為產(chǎn)生的時(shí)間���。
[0055]步驟104、對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘��,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組���,所述攻擊ID組包括至少一個(gè)攻擊ID��。
[0056]示例的��,同一個(gè)攻擊IP可能設(shè)置有多個(gè)黑客工具�����,每個(gè)黑客工具可能產(chǎn)生多種黑客攻擊行為�����,每種黑客攻擊行為對(duì)應(yīng)的攻擊ID不同����,因此一個(gè)攻擊IP可能對(duì)應(yīng)黑客工具產(chǎn)生的多個(gè)攻擊ID,通過數(shù)學(xué)分析��,可以從每個(gè)攻擊IP對(duì)應(yīng)的多個(gè)攻擊ID中獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組����,進(jìn)而可以通過該攻擊ID組標(biāo)識(shí)產(chǎn)生所述攻擊ID組包括的多個(gè)攻擊ID的黑客工具。
[0057]這樣一來����,通過數(shù)據(jù)挖掘能夠獲取任意一個(gè)黑客工具的攻擊方式,進(jìn)而能夠通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具�,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具,并據(jù)此提供完備的防護(hù)服務(wù)�,提高了系統(tǒng)的安全性。
[0058]可選的����,在對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組時(shí)����,可以首先對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行向量化描述,獲取每個(gè)攻擊信息的攻擊向量���,所述攻擊向量包括對(duì)應(yīng)攻擊信息的攻擊IP和攻擊ID�����,然后對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘��,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組���。
[0059]示例的��,為了便于對(duì)攻擊信息進(jìn)行數(shù)學(xué)分析,可以將攻擊信息進(jìn)行向量化描述�����,SP每個(gè)攻擊信息對(duì)應(yīng)一個(gè)向量�����。例如��,第一網(wǎng)絡(luò)日志對(duì)應(yīng)的第一向量至少包括第一網(wǎng)絡(luò)日志的攻擊IP和攻擊ID��,實(shí)際應(yīng)用中�,第一向量還可以包括攻擊時(shí)間。每個(gè)向量中元素的內(nèi)容可以根據(jù)具體情況進(jìn)行選擇,本發(fā)明實(shí)施例對(duì)此不做限定�����。
[0060]可選的��,在對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘���,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組時(shí)��,可以采用頻繁集挖掘算法�����,對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘����,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組����。
[0061]示例的,所述頻繁集挖掘算法的具體實(shí)現(xiàn)有很多種���,本發(fā)明實(shí)施例以FP-Growth算法為例進(jìn)行說明���,所述FP-growth算法使用一種稱為頻繁模式樹(Frequent Pattern Tree)的數(shù)據(jù)結(jié)構(gòu)�����,所述FP-tree是一種特殊的前綴樹����,由頻繁項(xiàng)頭表和項(xiàng)前綴樹構(gòu)成���,所述FP-Growth算法基于以上的結(jié)構(gòu)加快整個(gè)挖掘過程��。
[0062]本發(fā)明實(shí)施例提供了一種黑客工具挖掘方法���,包括:接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志;獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志��;提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息��,所述攻擊信息包括攻擊IP和攻擊ID;對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘��,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組�,所述攻擊ID組包括至少一個(gè)攻擊ID。相較于現(xiàn)有技術(shù)�����,通過數(shù)據(jù)挖掘能夠獲取任意一個(gè)黑客工具的攻擊方式,進(jìn)而能夠通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具���,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具����,并據(jù)此提供完備的防護(hù)服務(wù)��,提高了系統(tǒng)的安全性����。
[0063]本發(fā)明實(shí)施例提供一種黑客工具挖掘方法,用于用戶設(shè)備�����,所述用戶設(shè)備可以表現(xiàn)為多種形式�����,可以為傳統(tǒng)防火墻����,新一代防火墻�,上網(wǎng)行為管理設(shè)備�,智能流量管理設(shè)備,廣域網(wǎng)優(yōu)化網(wǎng)關(guān)��,安全代理服務(wù)器等���,本發(fā)明實(shí)施例對(duì)此不做限定�。如圖2所示�,所述黑客工具挖掘方法包括:
[0064]步驟201、獲取用戶的網(wǎng)絡(luò)訪問行為�。
[0065]示例的,用戶在客戶端上通過所述用戶設(shè)備上網(wǎng)時(shí)���,會(huì)產(chǎn)生各種各樣的網(wǎng)絡(luò)訪問行為�����,例如,用戶可以在客戶端上通過所述用戶設(shè)備進(jìn)行網(wǎng)絡(luò)購物�、在線聊天、在線欣賞音樂和電影�、P2P(Peer to Peer,對(duì)等網(wǎng)絡(luò))工具下載���,以及黑客攻擊等�����,不同的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量不同����。
[0066]步驟202、根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量���,生成網(wǎng)絡(luò)日志�。
[0067]現(xiàn)有技術(shù)中�,為了便于標(biāo)識(shí)不同的網(wǎng)絡(luò)訪問行為,每個(gè)已知的網(wǎng)絡(luò)訪問行為設(shè)置有特征碼�,根據(jù)特征碼即可確定具體的網(wǎng)絡(luò)行為,進(jìn)而可以生成對(duì)應(yīng)的網(wǎng)絡(luò)日志�。通常的網(wǎng)絡(luò)日志包括報(bào)文流量日志,網(wǎng)絡(luò)訪問日志��,區(qū)域防護(hù)日志等�����。而用戶在客戶端上通過用戶設(shè)備進(jìn)行黑客攻擊時(shí)���,可能會(huì)在短時(shí)間內(nèi)產(chǎn)生較大的網(wǎng)絡(luò)流量����,因此可以根據(jù)網(wǎng)絡(luò)流量的大小,判斷網(wǎng)絡(luò)訪問行為是否為黑客攻擊類行為�。
[0068]可選的,由于黑客攻擊的類型很多�,例如暴力破解,漏洞攻擊��,拒絕服務(wù)攻擊等�,不同的攻擊行為產(chǎn)生的網(wǎng)絡(luò)訪問行為也不同,因此在根據(jù)黑客攻擊類行為生成攻擊類網(wǎng)絡(luò)日志時(shí)�����,可以為不同的攻擊類型設(shè)置不同的攻擊ID���,即采用攻擊ID標(biāo)識(shí)不同的攻擊類型���,所述攻擊ID設(shè)置在生成的攻擊類網(wǎng)絡(luò)日志中,每個(gè)攻擊類網(wǎng)絡(luò)日志包括與其對(duì)應(yīng)的攻擊ID���。
[0069]步驟203����、將所述網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器�。
[0070]可選的,由于用戶設(shè)備每時(shí)每刻都可能產(chǎn)生網(wǎng)絡(luò)日志���,如果實(shí)時(shí)向云服務(wù)器發(fā)送網(wǎng)絡(luò)日志�,可能會(huì)影響用戶設(shè)備的處理速度��,因此用戶設(shè)備中可以設(shè)置網(wǎng)絡(luò)日志緩存�����,用戶設(shè)備產(chǎn)生的網(wǎng)絡(luò)日志按照時(shí)間順序存儲(chǔ)在實(shí)時(shí)網(wǎng)絡(luò)日志緩存中�。當(dāng)所述網(wǎng)絡(luò)日志緩存中存儲(chǔ)的網(wǎng)絡(luò)日志數(shù)量大于或等于預(yù)設(shè)數(shù)量閾值時(shí),將網(wǎng)絡(luò)日志緩存中存儲(chǔ)的網(wǎng)絡(luò)日志打包發(fā)給云服務(wù)器;或者當(dāng)所述網(wǎng)絡(luò)日志緩存中存儲(chǔ)了預(yù)設(shè)時(shí)間段的網(wǎng)絡(luò)日志后�����,將網(wǎng)絡(luò)日志緩存中存儲(chǔ)的網(wǎng)絡(luò)日志打包發(fā)給云服務(wù)器���,避免頻繁發(fā)送造成用戶設(shè)備處理速度下降�����。
[0071]本發(fā)明實(shí)施例提供了一種黑客工具挖掘方法�,包括:獲取用戶的網(wǎng)絡(luò)訪問行為;根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量,生成網(wǎng)絡(luò)日志;將所述網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器��。相較于現(xiàn)有技術(shù)�����,能夠?qū)⒕W(wǎng)絡(luò)日志發(fā)送給云服務(wù)器��,以便于云服務(wù)器通過數(shù)據(jù)挖掘獲取任意一個(gè)黑客工具的攻擊方式����,進(jìn)而通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具�,并據(jù)此提供完備的防護(hù)服務(wù),提高了系統(tǒng)的安全性����。
[0072]本發(fā)明實(shí)施例提供一種黑客工具挖掘方法,應(yīng)用于黑客工具挖掘系統(tǒng)�,所述黑客工具挖掘系統(tǒng)包括多個(gè)用戶設(shè)備和與所述多個(gè)用戶設(shè)備連接的云服務(wù)器,所述用戶設(shè)備可以表現(xiàn)為多種形式�,可以為傳統(tǒng)防火墻,新一代防火墻,上網(wǎng)行為管理設(shè)備�����,智能流量管理設(shè)備�����,廣域網(wǎng)優(yōu)化網(wǎng)關(guān)���,安全代理服務(wù)器等,本發(fā)明實(shí)施例對(duì)此不做限定�����。同時(shí)�����,與所述云服務(wù)器連接的用戶設(shè)備數(shù)量沒有上線����,越多越好,本發(fā)明實(shí)施例以任意一個(gè)用戶設(shè)備為例進(jìn)行說明���,如圖3所示���,所述方法包括:
[0073]步驟301���、用戶設(shè)備獲取用戶的網(wǎng)絡(luò)訪問行為,執(zhí)行步驟302��。
[0074]示例的���,用戶在客戶端上通過所述用戶設(shè)備上網(wǎng)時(shí)���,會(huì)產(chǎn)生各種各樣的網(wǎng)絡(luò)訪問行為,例如�����,用戶可以在客戶端上通過所述用戶設(shè)備進(jìn)行網(wǎng)絡(luò)購物���、在線聊天����、在線欣賞音樂和電影�、P2P工具下載��,以及黑客攻擊等���,不同的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量不同。
[0075]步驟302���、用戶設(shè)備根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量,生成網(wǎng)絡(luò)日志���,執(zhí)行步驟303��。
[0076]示例的�����,若用戶在客戶端上通過用戶設(shè)備進(jìn)行黑客攻擊時(shí)����,可能會(huì)在短時(shí)間內(nèi)產(chǎn)生較大的網(wǎng)絡(luò)流量�����,因此可以根據(jù)網(wǎng)絡(luò)流量的大小�����,判斷網(wǎng)絡(luò)訪問行為是否為黑客攻擊類行為。例如�,初始化時(shí)設(shè)置流量閾值,若網(wǎng)絡(luò)訪問行為產(chǎn)生的流量大于或等于流量閾值時(shí)�����,所述網(wǎng)絡(luò)訪問行為可以確認(rèn)為黑客攻擊行為����,根據(jù)該類黑客攻擊行為可以生成攻擊類網(wǎng)絡(luò)日志;若網(wǎng)絡(luò)訪問行為產(chǎn)生的流量小于流量閾值時(shí)�����,所述網(wǎng)絡(luò)訪問行為可以確認(rèn)為正常訪問行為?,F(xiàn)有技術(shù)中,為了便于標(biāo)識(shí)不同的網(wǎng)絡(luò)訪問行為���,每個(gè)已知的網(wǎng)絡(luò)訪問行為設(shè)置有特征碼����,根據(jù)特征碼即可確定具體的網(wǎng)絡(luò)行為�����,進(jìn)而可以生成對(duì)應(yīng)的網(wǎng)絡(luò)日志。通常的網(wǎng)絡(luò)日志包括報(bào)文流量日志�,網(wǎng)絡(luò)訪問日志,區(qū)域防護(hù)日志等����。
[0077]可選的,由于黑客攻擊的類型很多��,例如暴力破解��,漏洞攻擊����,拒絕服務(wù)攻擊等��,不同的攻擊行為產(chǎn)生的網(wǎng)絡(luò)訪問行為也不同����,因此在根據(jù)黑客攻擊類行為生成攻擊類網(wǎng)絡(luò)日志時(shí),可以為不同的攻擊類型設(shè)置不同的攻擊ID�,即采用攻擊ID標(biāo)識(shí)不同的攻擊類型,所述攻擊ID設(shè)置在生成的攻擊類網(wǎng)絡(luò)日志中�,每個(gè)攻擊類網(wǎng)絡(luò)日志包括與其對(duì)應(yīng)的攻擊ID�����。
[0078]例如�,若用戶進(jìn)行第一網(wǎng)絡(luò)訪問行為時(shí)的產(chǎn)生的網(wǎng)絡(luò)流量較大�,將其確定為黑客攻擊行為,并為所述第一網(wǎng)絡(luò)訪問行為對(duì)應(yīng)的攻擊類型設(shè)置唯一對(duì)應(yīng)的攻擊ID�,所述攻擊ID可以為100000,當(dāng)用戶進(jìn)行第二網(wǎng)絡(luò)訪問行為時(shí)產(chǎn)生的網(wǎng)絡(luò)流量較大��,將其確定為黑客攻擊行為��,并為所述第二網(wǎng)絡(luò)訪問行為對(duì)應(yīng)的攻擊類型設(shè)置唯一對(duì)應(yīng)的攻擊ID����,所述攻擊ID可以為100001,依次類推��,為不同的攻擊類型設(shè)置不同的攻擊ID�����。
[0079]步驟303����、用戶設(shè)備將所述網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器����,執(zhí)行步驟304���。
[0080]示例的�����,每個(gè)用戶設(shè)備在根據(jù)網(wǎng)絡(luò)訪問行為生成網(wǎng)絡(luò)日志之后����,可以將網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器���,以便于云服務(wù)器對(duì)網(wǎng)絡(luò)日志進(jìn)行分析��。
[0081]可選的,由于用戶設(shè)備每時(shí)每刻都可能產(chǎn)生網(wǎng)絡(luò)日志��,如果實(shí)時(shí)向云服務(wù)器發(fā)送網(wǎng)絡(luò)日志���,可能會(huì)影響用戶設(shè)備的處理速度��,因此用戶設(shè)備中可以設(shè)置網(wǎng)絡(luò)日志緩存�����,用戶設(shè)備產(chǎn)生的網(wǎng)絡(luò)日志按照時(shí)間順序存儲(chǔ)在實(shí)時(shí)網(wǎng)絡(luò)日志緩存中�����。當(dāng)所述網(wǎng)絡(luò)日志緩存中存儲(chǔ)的網(wǎng)絡(luò)日志數(shù)量大于或等于預(yù)設(shè)數(shù)量閾值時(shí)��,將網(wǎng)絡(luò)日志緩存中存儲(chǔ)的網(wǎng)絡(luò)日志打包發(fā)給云服務(wù)器;或者當(dāng)所述網(wǎng)絡(luò)日志緩存中存儲(chǔ)了預(yù)設(shè)時(shí)間段的網(wǎng)絡(luò)日志后���,將網(wǎng)絡(luò)日志緩存中存儲(chǔ)的網(wǎng)絡(luò)日志打包發(fā)給云服務(wù)器��,避免頻繁發(fā)送造成用戶設(shè)備處理速度下降�。
[0082]步驟304�����、云服務(wù)器接收多個(gè)用戶設(shè)備發(fā)送的網(wǎng)絡(luò)日志����,執(zhí)行步驟306。
[0083]示例的����,在黑客工具挖掘系統(tǒng)中�,云服務(wù)器連接有多個(gè)用戶設(shè)備���,每個(gè)用戶設(shè)備均可以將產(chǎn)生的網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器�����。
[0084]步驟305���、云服務(wù)器從接收到的所述網(wǎng)絡(luò)日志中獲取攻擊類網(wǎng)絡(luò)日志,執(zhí)行步驟306���。
[0085]示例的����,用戶設(shè)備將產(chǎn)生的所有網(wǎng)絡(luò)日志都發(fā)送給云服務(wù)器��,包括正常訪問產(chǎn)生的報(bào)文流量日志��,網(wǎng)絡(luò)訪問日志�,區(qū)域防護(hù)日志等�,也包括攻擊類網(wǎng)絡(luò)日志,云服務(wù)器從接收到的所有網(wǎng)絡(luò)日志中提取出攻擊類網(wǎng)絡(luò)日志。具體的�,用戶設(shè)備在產(chǎn)生攻擊類網(wǎng)絡(luò)日志時(shí),每個(gè)攻擊類網(wǎng)絡(luò)日志中均攜帶有與其攻擊類型對(duì)應(yīng)的攻擊ID����,因此云服務(wù)器可以通過網(wǎng)絡(luò)日志中是否包括攻擊ID確定網(wǎng)絡(luò)日志是否為攻擊類網(wǎng)絡(luò)日志。
[0086]步驟306�、云服務(wù)器提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息,所述攻擊信息包括攻擊IP( Internet Protocol����,網(wǎng)絡(luò)之間互連的協(xié)議),攻擊ID和攻擊時(shí)間�,執(zhí)行步驟307。
[0087]示例的�����,云服務(wù)器在獲取到多個(gè)攻擊類網(wǎng)絡(luò)日志之后�,對(duì)每個(gè)攻擊類網(wǎng)絡(luò)日志進(jìn)行分析,獲取其攻擊IP���,攻擊ID和攻擊時(shí)間�。例如�,假設(shè)第一網(wǎng)絡(luò)日志為攻擊類網(wǎng)絡(luò)日志,zs:服務(wù)器可以對(duì)第一網(wǎng)絡(luò)日志進(jìn)行分析,提取第一網(wǎng)絡(luò)日志的攻擊IP���,即產(chǎn)生所述第一網(wǎng)絡(luò)日志的IP地址;第一網(wǎng)絡(luò)日志的攻擊ID�����,即所述第一網(wǎng)絡(luò)日志的攻擊類型���;以及第一網(wǎng)絡(luò)日志的攻擊時(shí)間,即所述第一網(wǎng)絡(luò)日志對(duì)應(yīng)的網(wǎng)絡(luò)訪問行為產(chǎn)生的時(shí)間�����。
[0088]步驟307�����、云服務(wù)器對(duì)每個(gè)所述攻擊信息進(jìn)行向量化描述����,獲取每個(gè)攻擊信息的攻擊向量,執(zhí)行步驟308����。
[0089]示例的,為了便于對(duì)攻擊信息進(jìn)行數(shù)學(xué)分析����,可以將攻擊信息進(jìn)行向量化描述,SP每個(gè)攻擊信息對(duì)應(yīng)一個(gè)向量��。例如�����,第一網(wǎng)絡(luò)日志對(duì)應(yīng)的第一向量至少包括第一網(wǎng)絡(luò)日志的攻擊IP和攻擊ID�����,實(shí)際應(yīng)用中���,第一向量還可以包括攻擊時(shí)間�����。每個(gè)向量中元素的內(nèi)容可以根據(jù)具體情況進(jìn)行選擇�����,本發(fā)明實(shí)施例對(duì)此不做限定��。
[0090]步驟307�����、云服務(wù)器根據(jù)每個(gè)攻擊信息的攻擊向量�,對(duì)所述攻擊信息進(jìn)行層次化分析,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組�����。
[0091]示例的��,同一個(gè)攻擊IP可能設(shè)置有多個(gè)黑客工具��,每個(gè)黑客工具可能產(chǎn)生多種黑客攻擊行為��,每種黑客攻擊行為對(duì)應(yīng)的攻擊ID不同����,因此一個(gè)攻擊IP可能對(duì)應(yīng)多個(gè)攻擊ID,通過數(shù)學(xué)分析�,可以從每個(gè)攻擊IP對(duì)應(yīng)的多個(gè)攻擊ID中獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組,進(jìn)而可以通過該攻擊ID組標(biāo)識(shí)產(chǎn)生所述攻擊ID組包括的多個(gè)攻擊ID的黑客工具����。
[0092]可選的����,假設(shè)一個(gè)攻擊ID組對(duì)應(yīng)了一個(gè)黑客工具�����,那么意味著這個(gè)攻擊ID組一定會(huì)多次出現(xiàn)在不同攻擊IP的攻擊ID中���。為了找出這些排列,可以采用頻繁集挖掘算法���。其中��,頻繁集挖掘算法的具體實(shí)現(xiàn)有很多種��,本發(fā)明實(shí)施例以FP-Growth算法為例進(jìn)行說明����。所述FP-growth算法使用了一種稱為頻繁模式樹(Frequent Pattern Tree)的數(shù)據(jù)結(jié)構(gòu)����,所述FP-tree是一種特殊的前綴樹,由頻繁項(xiàng)頭表和項(xiàng)前綴樹構(gòu)成����,所述FP-Growth算法基于以上的結(jié)構(gòu)加快整個(gè)挖掘過程��。
[0093]具體的��,首先將每個(gè)攻擊IP的攻擊ID匯總���,按照每個(gè)攻擊ID產(chǎn)生的時(shí)間排列,生成每個(gè)攻擊IP的攻擊ID集合���,獲取所述每個(gè)攻擊IP的攻擊ID集合組成數(shù)據(jù)庫D���。然后掃描所述數(shù)據(jù)庫D,獲取所述數(shù)據(jù)庫D中出現(xiàn)頻次大于或等于第一預(yù)設(shè)數(shù)量閾值的攻擊ID排列組成頻繁項(xiàng)集合F����,每個(gè)攻擊ID排列包括至少兩個(gè)攻擊ID,按照每個(gè)攻擊ID排列出現(xiàn)的頻次的由大至IJ小����,排列所述頻繁項(xiàng)集合F中的攻擊ID排列獲取頻繁項(xiàng)表L,根據(jù)所述頻繁項(xiàng)表L構(gòu)建所述FP-tree�����,根據(jù)所述FP-tree進(jìn)行數(shù)據(jù)挖掘,獲取支持度大于預(yù)設(shè)支持度閾值的節(jié)點(diǎn)對(duì)應(yīng)的攻擊ID排列��,并將獲取到的每個(gè)攻擊ID排列拆分為不重復(fù)的二元組����,例如,假設(shè)一個(gè)攻擊ID排列為{1000000,1000001,1000002}�����,可以將該攻擊ID排列拆分為{1000000,1000001}和{1000001,1000002}��,并將拆分到的所有二元組組成二元組集合E���。
[0094]假設(shè)一個(gè)攻擊IP上設(shè)置有兩個(gè)或者以上的給黑客工具,若選用兩個(gè)黑客工具進(jìn)行工具��,從一個(gè)黑客工具切換至另一個(gè)黑客工具需要一定的時(shí)間差�,可以假設(shè)該時(shí)間差為Tc!。計(jì)算所述二元組集合E中每一個(gè)二元組包括的兩個(gè)攻擊ID之間的時(shí)間差�,保留時(shí)間差大于所述Td的二元組組成新二元組集合Ed。
[0095]遍歷數(shù)據(jù)庫D中的攻擊ID集合�����,去除所述數(shù)據(jù)庫D中的子集,例如���,假設(shè)數(shù)據(jù)庫中一下下面三個(gè)攻擊ID集合{1000000�����,1000001�,1000002}����,{1000000,1000001}和{1000000�,1000002},由于{1000000�����,1000001}和{1000000 ,1000002}均為{1000000��,1000001�����,1000002}的子集,因此在取出自己的過程中僅保留{1000000�����,1000001,1000002}��,去除所述{1000000����,1000001}和{1000000,1000002}�����。所述數(shù)據(jù)庫D去除子集之后剩余的攻擊ID集合組成數(shù)據(jù)庫A�����。
[0096]對(duì)所述數(shù)據(jù)庫A中包括的任意一個(gè)攻擊ID集合Al,計(jì)算所述Al與數(shù)據(jù)庫A中元素?cái)?shù)量超過所述Al的其他攻擊ID集合之間的杰卡德距離,若存在某一攻擊ID集合與所述Al之間的杰卡德距離大于0.4�����,則刪除所述Al����,經(jīng)過計(jì)算后���,數(shù)據(jù)庫A中剩余的攻擊ID集合組成數(shù)據(jù)庫C。其中�����,所述杰卡德距離(Jaccard Distance)是用來衡量兩個(gè)集合差異性的一種指標(biāo)�����,它是杰卡德相似系數(shù)的補(bǔ)集�����,被定義為I減去Jaccard相似系數(shù)�。而杰卡德相似系數(shù)(Jaccard similarity coefficient),也稱杰卡德指數(shù)(Jaccard Index)��,是用來衡量兩個(gè)集合相似度的一種指標(biāo)����。所述Jaccard相似指數(shù)用來度量兩個(gè)集合之間的相似性,它被定義為兩個(gè)集合交集的元素個(gè)數(shù)除以并集的元素個(gè)數(shù)���。所述Jaccard距離用來度量兩個(gè)集合之間的差異性���,它是Jaccard的相似系數(shù)的補(bǔ)集�����,被定義為I減去Jaccard相似系數(shù)���。所述杰卡德距離、杰卡德相似系數(shù)���、Jaccard相似指數(shù)以及所述Jaccard距離均為現(xiàn)有技術(shù)���,本發(fā)明實(shí)施例在此不做贅述。
[0097]最后�,由于新二元組集合Ed中每個(gè)二元組包括的兩個(gè)攻擊ID來自與兩個(gè)黑客工具,因此可以根據(jù)新二元組集合Ed對(duì)數(shù)據(jù)庫C包括的攻擊ID集合進(jìn)行拆分����。例如�,數(shù)據(jù)庫C中包括攻擊ID集合{1000000,1000001,1000002,1000003},新二元組集合Ed中包括一個(gè)二元組{1000001,1000002}����,可根據(jù)該二元組{1000001,1000002}可以將攻擊ID集合{1000000���,1000001,1000002��,1000003}拆分為兩個(gè)攻擊ID組{1000000 ,1000001}和{1000002��,1000003}�,所述{1000000,1000001}和{1000002,1000003}分別為兩個(gè)黑客工具對(duì)應(yīng)的攻擊ID組,可以分別用于標(biāo)識(shí)其對(duì)應(yīng)的黑客工具����。
[0098]需要說明的是,本發(fā)明實(shí)施例提供的黑客工具挖掘方法步驟的先后順序可以進(jìn)行適當(dāng)調(diào)整����,步驟也可以根據(jù)情況進(jìn)行相應(yīng)增減,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到變化的方法����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)��,因此不再贅述。
[0099]本發(fā)明實(shí)施例提供了一種黑客工具挖掘方法�����,相較于現(xiàn)有技術(shù)���,通過數(shù)據(jù)挖掘能夠獲取任意一個(gè)黑客工具的攻擊方式����,進(jìn)而能夠通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具����,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具,并據(jù)此提供完備的防護(hù)服務(wù)����,提高了系統(tǒng)的安全性。
[0100]本發(fā)明實(shí)施例提供一種云服務(wù)器40����,如圖4所示,包括:
[0101]接收單元401����,用于接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志。
[0102]獲取單元402�����,用于獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志���。
[0103]提取單元403��,用于提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息�����,所述攻擊信息包括攻擊IP和攻擊ID����。
[0104]挖掘單元404��,用于對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘�����,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組�����,所述攻擊ID組包括至少一個(gè)攻擊ID。
[0105]這樣一來�,通過數(shù)據(jù)挖掘能夠獲取任意一個(gè)黑客工具的攻擊方式,進(jìn)而能夠通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具�,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具,并據(jù)此提供完備的防護(hù)服務(wù)�����,提高了系統(tǒng)的安全性����。
[0106]可選的,所述挖掘單元404具體用于:對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行向量化描述���,獲取每個(gè)攻擊信息的攻擊向量�����,所述攻擊向量包括對(duì)應(yīng)攻擊信息的攻擊IP和攻擊ID;
[0107]對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘��,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組��。
[0108]可選的���,所述挖掘單元404具體用于:采用頻繁集挖掘算法���,對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘��,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組���。
[0109]可選的����,所述攻擊信息還包括攻擊時(shí)間��。
[0110]需要說明的是��,第一���,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到���,為描述的方便和簡潔,上述描述的裝置和單元的具體工作過程��,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過程�����,在此不再贅述。
[0111]第二�,所述獲取單元402、提取單元403和挖掘單元404均可由位于云服務(wù)器40中的中央處理器(Central Processing Unit�,CPU)、微處理器(Micro Processor Unit�,MPU)、數(shù)字信號(hào)處理器(Digital Signal Proce s sor��,DSP)�、或現(xiàn)場可編程門陣列(Fi e I dProgrammable Gate Array,F(xiàn)PGA)等實(shí)現(xiàn)��。接收單元401可由云服務(wù)器40與用戶設(shè)備之間的通訊總線實(shí)現(xiàn)�����。
[0112]本發(fā)明實(shí)施例提供一種云服務(wù)器���,包括:接收單元�����,用于接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志���;獲取單元����,用于獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志�;提取單元,用于提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息�����,所述攻擊信息包括攻擊IP和攻擊ID;挖掘單元�����,用于對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘���,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組,所述攻擊ID組包括至少一個(gè)攻擊ID�����。相較于現(xiàn)有技術(shù)����,通過數(shù)據(jù)挖掘能夠獲取任意一個(gè)黑客工具的攻擊方式,進(jìn)而能夠通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具����,并據(jù)此提供完備的防護(hù)服務(wù),提高了系統(tǒng)的安全性�。
[0113]本發(fā)明實(shí)施例提供一種用戶設(shè)備50,如圖5所示���,包括:
[0114]獲取單元501����,用于獲取用戶的網(wǎng)絡(luò)訪問行為�����;
[0115]生成單元502��,用于根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量�,生成網(wǎng)絡(luò)日志;
[0116]發(fā)送單元503�����,用于將所述網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器�。
[0117]需要說明的是�,第一����,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡潔��,上述描述的裝置和單元的具體工作過程��,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過程�����,在此不再贅述����。
[0118]第二���,所述獲取單元501和生成單元502可由位于用戶設(shè)備50中的中央處理器(Central Processing Unit�,CPU)�����、微處理器(Micro Processor Unit�����,MPU)、數(shù)字信號(hào)處理器(Digital Signal Processor����,DSP)、或現(xiàn)場可編程門陣列(Field Programmable GateArray���,F(xiàn)PGA)等實(shí)現(xiàn)��。發(fā)送單元503均可由用戶設(shè)備50與云服務(wù)器之間的通訊總線實(shí)現(xiàn)����;
[0119]本發(fā)明實(shí)施例提供了一種用戶設(shè)備�,相較于現(xiàn)有技術(shù),能夠?qū)⒕W(wǎng)絡(luò)日志發(fā)送給云服務(wù)器�,以便于云服務(wù)器通過數(shù)據(jù)挖掘獲取任意一個(gè)黑客工具的攻擊方式,進(jìn)而通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具�����,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具����,并據(jù)此提供完備的防護(hù)服務(wù)����,提高了系統(tǒng)的安全性��。
[0120]本發(fā)明實(shí)施例提供一種黑客工具挖掘系統(tǒng)60�,如圖6所示,包括至少一個(gè)用戶設(shè)備601和與所述至少一個(gè)用戶設(shè)備連接的云服務(wù)器602;圖6中�����,所述黑客工具挖掘系統(tǒng)60包括四個(gè)用戶設(shè)備601���,實(shí)際應(yīng)用中與所述云服務(wù)器602連接的用戶設(shè)備301數(shù)量沒有上線�����,越多越好。
[0121]所述用戶設(shè)備601用于獲取用戶的網(wǎng)絡(luò)訪問行為�,根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量,生成網(wǎng)絡(luò)日志����,并將所述網(wǎng)絡(luò)日志發(fā)送給所述云服務(wù)器;
[0122]所述云服務(wù)器602用于接收所述至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志��,獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志,提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息��,所述攻擊信息包括攻擊IP和攻擊ID����,并對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組�����,所述攻擊ID組包括至少一個(gè)攻擊ID���。
[0123]需要說明的是�����,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到�,為描述的方便和簡潔���,上述描述的系統(tǒng)具體工作過程�,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過程�,在此不再贅述。
[0124]本發(fā)明實(shí)施例提供了一種黑客工具挖掘系統(tǒng)�����,相較于現(xiàn)有技術(shù),用戶設(shè)備能夠?qū)⒕W(wǎng)絡(luò)日志發(fā)送給云服務(wù)器�,云服務(wù)器能夠通過數(shù)據(jù)挖掘獲取任意一個(gè)黑客工具的攻擊方式,進(jìn)而通過黑客工具的攻擊方式標(biāo)識(shí)黑客工具�,使得防火墻能夠根據(jù)每個(gè)黑客工具的攻擊方式識(shí)別黑客工具,并據(jù)此提供完備的防護(hù)服務(wù)�����,提高了系統(tǒng)的安全性���。
[0125]本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白���,本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)�、或計(jì)算機(jī)程序產(chǎn)品。因此�,本發(fā)明可采用硬件實(shí)施例����、軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式���。而且�,本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器和光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
[0126]本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法�����、設(shè)備(系統(tǒng))�、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框���、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合�?��?商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)��、專用計(jì)算機(jī)����、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器�����,使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。
[0127]這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中���,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品���,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。
[0128]這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上����,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟��。
[0129]以上所述���,僅為本發(fā)明的較佳實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種黑客工具挖掘方法�,其特征在于,用于云服務(wù)器����,包括: 接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志; 獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志�; 提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息����,所述攻擊信息包括攻擊IP和攻擊ID; 對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘���,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組,所述攻擊ID組包括至少一個(gè)攻擊ID�。2.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組包括: 對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行向量化描述�,獲取每個(gè)攻擊信息的攻擊向量,所述攻擊向量包括對(duì)應(yīng)攻擊信息的攻擊IP和攻擊ID; 對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘����,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組。3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘����,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組包括: 采用頻繁集挖掘算法,對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘�����,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組。4.根據(jù)權(quán)利要求1-3任意一項(xiàng)權(quán)利要求所述的方法�����,其特征在于�,所述攻擊信息還包括攻擊時(shí)間。5.一種黑客工具挖掘方法���,其特征在于���,用于用戶設(shè)備,包括: 獲取用戶的網(wǎng)絡(luò)訪問行為����; 根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量,生成網(wǎng)絡(luò)日志���; 將所述網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器�。6.一種云服務(wù)器�����,其特征在于,包括: 接收單元��,用于接收至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志�����; 獲取單元�����,用于獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志�; 提取單元�,用于提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息,所述攻擊信息包括攻擊IP和攻擊ID; 挖掘單元�,用于對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組��,所述攻擊ID組包括至少一個(gè)攻擊ID��。7.根據(jù)權(quán)利要求6所述的云服務(wù)器���,其特征在于���,所述挖掘單元具體用于: 對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行向量化描述����,獲取每個(gè)攻擊信息的攻擊向量���,所述攻擊向量包括對(duì)應(yīng)攻擊信息的攻擊IP和攻擊ID; 對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘�,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組�。8.根據(jù)權(quán)利要求7所述的云服務(wù)器,其特征在于���,所述挖掘單元具體用于: 采用頻繁集挖掘算法��,對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊向量進(jìn)行數(shù)據(jù)挖掘�,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組�����。9.根據(jù)權(quán)利要求6-8任意一項(xiàng)權(quán)利要求所述的云服務(wù)器��,其特征在于�,所述攻擊信息還包括攻擊時(shí)間。10.—種用戶設(shè)備����,其特征在于��,包括: 獲取單元�,用于獲取用戶的網(wǎng)絡(luò)訪問行為�; 生成單元,用于根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量�,生成網(wǎng)絡(luò)日志; 發(fā)送單元�,用于將所述網(wǎng)絡(luò)日志發(fā)送給云服務(wù)器�。11.一種黑客工具挖掘系統(tǒng),其特征在于����,包括至少一個(gè)用戶設(shè)備和與所述至少一個(gè)用戶設(shè)備連接的云服務(wù)器; 所述用戶設(shè)備用于獲取用戶的網(wǎng)絡(luò)訪問行為���,根據(jù)用戶的網(wǎng)絡(luò)訪問行為產(chǎn)生的網(wǎng)絡(luò)流量�����,生成網(wǎng)絡(luò)日志����,并將所述網(wǎng)絡(luò)日志發(fā)送給所述云服務(wù)器����; 所述云服務(wù)器用于接收所述至少一個(gè)用戶設(shè)備發(fā)送的多個(gè)網(wǎng)絡(luò)日志�����,獲取所述多個(gè)網(wǎng)絡(luò)日志中的攻擊類網(wǎng)絡(luò)日志�,提取每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息�����,所述攻擊信息包括攻擊IP和攻擊ID�,并對(duì)每個(gè)所述攻擊類網(wǎng)絡(luò)日志的攻擊信息進(jìn)行數(shù)據(jù)挖掘,獲取每個(gè)黑客工具對(duì)應(yīng)的攻擊ID組����,所述攻擊ID組包括至少一個(gè)攻擊ID。
【文檔編號(hào)】H04L29/06GK106027554SQ201610514159
【公開日】2016年10月12日
【申請(qǐng)日】2016年6月30日
【發(fā)明人】易蜀鋒, 張永臣
【申請(qǐng)人】北京網(wǎng)康科技有限公司