技術(shù)特征:1.一種網(wǎng)絡(luò)攻擊行為中的攻擊主體確定方法,其特征在于��,包括:
獲取網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù)�����;
采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析����,獲得關(guān)聯(lián)分析結(jié)果;
根據(jù)所述關(guān)聯(lián)分析結(jié)果確定所述網(wǎng)絡(luò)攻擊行為中的攻擊主體�。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊行為中的攻擊主體確定方法,其特征在于����,所述獲取網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù),包括:
利用流量捕獲設(shè)備捕獲指定網(wǎng)絡(luò)范圍內(nèi)的在網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù)�����,其中����,所述網(wǎng)絡(luò)攻擊行為包括:木馬、釣魚網(wǎng)站��、釣魚郵件���、DDoS攻擊����、DNS欺騙攻擊或僵尸網(wǎng)絡(luò)中的至少一種��。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊行為中的攻擊主體確定方法����,其特征在于�����,所述采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析���,獲得關(guān)聯(lián)分析結(jié)果,包括:
采用關(guān)聯(lián)分析算法對所述數(shù)據(jù)中的木馬來源�����、木馬發(fā)送地址��、木馬接收地址和木馬連接地址進(jìn)行關(guān)聯(lián)分析��,獲得對木馬的關(guān)聯(lián)分析結(jié)果���。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊行為中的攻擊主體確定方法����,其特征在于����,所述采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,獲得關(guān)聯(lián)分析結(jié)果,包括:
采用關(guān)聯(lián)分析算法對所述數(shù)據(jù)中的郵件來源�����、郵件發(fā)件人�、郵件收件人���、郵件主題和惡意腳本連接地址進(jìn)行關(guān)聯(lián)分析����,獲得對郵件中惡意腳本的關(guān)聯(lián)分析結(jié)果���。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊行為中的攻擊主體確定方法���,其特征在于,所述采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析����,獲得關(guān)聯(lián)分析結(jié)果,包括:
采用關(guān)聯(lián)分析算法對所述數(shù)據(jù)中虛擬對象之間的網(wǎng)絡(luò)關(guān)系進(jìn)行關(guān)聯(lián)分析�����,獲得對虛擬對象的關(guān)聯(lián)分析結(jié)果,其中�����,所述虛擬對象包括IP地址��、MAC地址�、即時(shí)通信軟件賬號和郵件地址中的多種。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)攻擊行為中的攻擊主體確定方法��,其特征在于�����,所述采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析��,獲得關(guān)聯(lián)分析結(jié)果���,包括:
采用關(guān)聯(lián)分析算法對所述數(shù)據(jù)中的郵件賬號�����、聯(lián)系人進(jìn)行級聯(lián)的關(guān)聯(lián)分析以及對郵件主題進(jìn)行關(guān)聯(lián)分析����,獲得對郵件的關(guān)聯(lián)分析結(jié)果。
7.一種網(wǎng)絡(luò)攻擊行為中的攻擊主體確定裝置����,其特征在于,包括:
數(shù)據(jù)獲取模塊�,用于獲取網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù);
數(shù)據(jù)關(guān)聯(lián)分析模塊����,用于采用預(yù)設(shè)的關(guān)聯(lián)分析算法對所述數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析���,獲得關(guān)聯(lián)分析結(jié)果��;
攻擊主體確定模塊�,用于根據(jù)所述關(guān)聯(lián)分析結(jié)果確定所述網(wǎng)絡(luò)攻擊行為中的攻擊主體�。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)攻擊行為中的攻擊主體確定裝置,其特征在于�,所述數(shù)據(jù)獲取模塊,包括:
數(shù)據(jù)捕獲單元��,用于利用流量捕獲設(shè)備捕獲指定網(wǎng)絡(luò)范圍內(nèi)的在網(wǎng)絡(luò)攻擊行為中傳輸?shù)臄?shù)據(jù)�,其中,所述網(wǎng)絡(luò)攻擊行為包括:木馬���、釣魚網(wǎng)站��、釣魚郵件�、DDoS攻擊、DNS欺騙攻擊或僵尸網(wǎng)絡(luò)中的至少一種���。
9.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)攻擊行為中的攻擊主體確定裝置�,其特征在于�,所述數(shù)據(jù)關(guān)聯(lián)分析模塊,包括:
木馬關(guān)聯(lián)分析單元����,用于采用關(guān)聯(lián)分析算法對所述數(shù)據(jù)中的木馬來源、木馬發(fā)送地址��、木馬接收地址和木馬連接地址進(jìn)行關(guān)聯(lián)分析���,獲得對木馬的關(guān)聯(lián)分析結(jié)果���。
10.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)攻擊行為中的攻擊主體確定裝置,其特征在于���,所述數(shù)據(jù)關(guān)聯(lián)分析模塊��,包括:
惡意腳本關(guān)聯(lián)分析單元�����,用于采用關(guān)聯(lián)分析算法對所述數(shù)據(jù)中的郵件來源��、郵件發(fā)件人��、郵件收件人�����、郵件主題和惡意腳本連接地址進(jìn)行關(guān)聯(lián)分析��,獲得對郵件中惡意腳本的關(guān)聯(lián)分析結(jié)果����。