(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111577990.1 (22)申请日 2021.12.2 2 (71)申请人 深信服科技股份有限公司 地址 518071 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 王远　 (74)专利代理 机构 北京中知君达知识产权代理 有限公司 1 1769 代理人 黄启法 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/069(2022.01) H04L 41/14(2022.01) (54)发明名称 防范非法攻击行为的方法、 装置和计算可读 存储介质 (57)摘要 本申请涉及一种防范非法攻击行为的方法、 装置和计算可读存储介质。 该方法包括： 获取来 源不同的标准化日志数据， 其中， 来源不同的标 准化日志数据包括来自模拟拓扑网络并经标准 化处理的攻击行为日志、 来自真实网络安全设备 并经标准化处理的告警日志以及来自业务系统 并经标准化处理的业务日志； 分析攻击行为日 志， 确定攻击者集合； 分别从告警日志和业务日 志匹配出对应于攻击者集合的攻击者告警日志 集合和可疑访问行为日志集合； 根据所述攻击行 为日志、 攻击者告警日志集合和可疑访问行为日 志集合， 确定在可疑访问行为日志集合中每一个 可疑访问行为的威胁度。 本申请提供的方案可以 有效防范威胁度更高的非法攻击行为。 权利要求书2页 说明书8页 附图2页 CN 114244617 A 2022.03.25 CN 114244617 A 1.一种防范非法攻击行为的方法， 其特 征在于， 所述方法包括： 获取来源不同的标准化日志数据， 所述来源不同的标准化日志数据包括来自模拟拓扑 网络并经标准化处理的攻击行为日志、 来自真实网络安全设备并经标准化处理的告警日志 以及来自业 务系统并经 标准化处理的业务日志； 分析所述攻击行为日志， 确定攻击者 集合； 分别从所述告警日志和业务日志匹配出对应于所述攻击者集合的攻击者告警日志集 合和可疑访问行为日志集 合； 根据所述攻击行为日志、 攻击者告警日志集合和可疑访 问行为日志集合， 确定在所述 可疑访问行为日志集 合中每一个可疑访问行为的威胁度。 2.根据权利要求1所述的防范非法攻击行为的方法， 其特征在于， 所述分析所述攻击行 为日志， 确定攻击者 集合， 包括： 确定第三方的攻击行为情 报中的自动攻击行为； 将所述自动 攻击行为与所述攻击行为日志匹配， 过滤所述攻击行为日志中自动 攻击行 为； 基于人机交互引擎， 分析并过滤自动攻击行为的攻击源， 得到由攻击者构成的攻击者 集合。 3.根据权利要求1所述的防范非法攻击行为的方法， 其特征在于， 所述分别从所述告警 日志和业务日志匹配出对应于所述攻击者集合中攻击者告警日志集合和可疑访问行为日 志集合， 包括： 分别提取 所述告警日志和业 务日志中每一条日志对应的源IP地址或攻击者设备 标识； 将所述源IP地址或攻击者设备标识与所述攻击者集合中攻击者对应的源IP地址或攻 击者设备 标识匹配； 若上述匹配成功， 则将所述匹配成功的源IP地址或攻击者设备标识对应的告警日志作 为所述攻击者告警日志 集合的元素构成所述攻击者告警日志 集合， 将所述匹配成功的源IP 地址或攻击者设备标识对应的业务日志作为所述可疑访问行为日志集合的元素构成所述 可疑访问行为日志集 合。 4.根据权利要求1所述的防范非法攻击行为的方法， 其特征在于， 所述根据所述攻击行 为日志、 攻击者告警日志集合和可疑访问行为日志集合， 确定在所述可疑访问行为日志集 合中每一个可疑访问行为的威胁度， 包括： 提取所述攻击行为日志、 攻击者告警日志集合和可疑访问行为日志集合中每一条 日志 的时间戳， 分别构成对应的时间戳 集合T1、 时间戳集合T2和时间戳 集合T3； 根据所述时间戳集合T1、 时间戳集合T2和时间戳集合T3并基于时间临近关系算法， 计算 在所述可疑访问行为日志集合中每一个可疑访问行为的可疑分值， 所述可疑分值的大小正 比于所述 威胁度。 5.根据权利要求4所述的防范非法攻击行为的方法， 其特征在于， 所述根据所述时间戳 集合T1、 时间戳集合T2和时间戳集合T3并基于时间临近 关系算法， 计算在所述可疑访问行为 日志集合中每一个可疑访问行为的可疑 分值， 包括： 获取所述时间戳 集合T3中对应于任意 一条可疑访问行为日志li的时间戳ti； 计算所述时间戳ti与所述时间戳集合T1中每个时间戳的绝对差值， 得到绝对差值集合权　利　要　求　书 1/2 页 2 CN 114244617 A 2SΔt1以及所述时间戳ti与所述时间戳集合T2中每个时间戳的绝对差值得到绝对差值集合 SΔt2； 设置对应于r1的权重w1以及对应于r2的权重w2， 所述r1为所述绝对差值集合SΔt1中最小 绝对差值的倒数， 所述r2为所述绝对差值 集合SΔt2中最小绝对差值的倒数； 按照公式S(li)＝r1*w1+r2*w2计算得到对应于所述可疑访问行为日志li的可疑访问行 为的可疑 分值S(li)。 6.根据权利要求1至5任意一项所述的防范非法攻击行为的方法， 其特征在于， 所述获 取来源不同的标准 化日志数据之前， 所述方法还 包括： 对所述攻击行为日志、 告警日志和业务日志进行标准化处理， 得到所述来源不同的标 准化日志数据； 保存所述 来源不同的标准 化日志数据。 7.根据权利要求1至5任意一项所述的防范非法攻击行为的方法， 其特征在于， 所述确 定在所述可疑访问行为日志集 合中每一个可疑访问行为的威胁度之后， 所述方法还 包括： 按照所述威胁度的高低进行前后排序， 输出所述威胁度的排序结果， 以对排序在前的 威胁度对应的潜在攻击者进行处 理。 8.一种防范非法攻击行为的装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取来源不同的标准化日志数据， 所述来源不同的标准化日志数据包 括来自模拟拓扑网络并经标准化处理的攻击行为日志、 来自真实网络安全设备并经标准化 处理的告警日志以及来自业 务系统并经 标准化处理的业务日志； 分析模块， 用于分析 所述攻击行为日志， 确定攻击者 集合； 匹配模块， 用于分别从所述告警日志和业务日志匹配出对应于所述攻击者集合的攻击 者告警日志集 合和可疑访问行为日志集 合； 确定模块， 用于根据所述攻击行为日志、 攻击者告警日志集合和可疑访 问行为日志集 合， 确定在所述可疑访问行为日志集 合中每一个可疑访问行为的威胁度。 9.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 其上存储有可执行代码， 当所述可执行代码被所述处理器执行时， 使所述处理 器执行如权利要求1至7中任意 一项所述的方法。 10.一种计算机可读存储介质， 其上存储有可执行代码， 当所述可执行代码被电子设备 的处理器执行时， 使所述处 理器执行如权利要求1至7中任意 一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114244617 A 3