一種黑客工具挖掘方法、裝置及系統的制作方法
【專利摘要】本發明實施例公開了一種黑客工具挖掘方法，用于云服務器，包括：接收至少一個用戶設備發送的多個網絡日志；獲取所述多個網絡日志中的攻擊類網絡日志；提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID；對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。進一步的，本發明實施例提供一種應用于用戶設備的黑客工具挖掘方法，一種云服務器，一種用戶設備，以及一種黑客工具挖掘系統。
【專利說明】
一種黑客工具挖掘方法、裝置及系統
技術領域
[0001]本發明涉及計算機領域的網絡安全技術，尤其涉及一種黑客工具挖掘方法、裝置及系統。
【背景技術】
[0002]隨著互聯網的日益普及，網絡已經涉及日常生活的各個方面，由此引發的網絡安全問題也日漸成為人們重點關注的問題。
[0003]現有網絡中存在很多黑客，利用網絡漏洞，在未經對方允許的情況下，進入對方系統或電腦，盜取信息，使得基于互聯網進行業務的機構和系統面臨著前所未有的威脅，這些機構和系統一旦被攻擊成功，將造成巨大的經濟損失。為了防止系統被黑客攻擊，需要為每個系統建立防火墻，防火墻能夠有效的避免黑客攻擊，提高系統的安全性。
[0004]但是，網絡安全是一個技術密集型的行業，不同的黑客擅長的方向不同，有的黑客善于漏洞挖掘，有的黑客善于對付殺毒軟件，有的黑客對網絡基礎設施很熟悉，還有的黑客擅長社會工程學，因此不同的黑客會產生不同的攻擊行為，防火墻很難提供完備的防護服務，系統的安全性較低。

【發明內容】

[0005]為解決上述技術問題，本發明實施例期望提供一種黑客工具挖掘方法、裝置及系統，能夠挖掘出任意一個黑客工具的攻擊方式，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0006]本發明的技術方案是這樣實現的:
[0007]第一方面，本發明實施例提供一種黑客工具挖掘方法，用于云服務器，包括:
[0008]接收至少一個用戶設備發送的多個網絡日志；
[0009]獲取所述多個網絡日志中的攻擊類網絡日志；
[0010]提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID;[0011 ]對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。
[0012]可選的，所述對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組包括:
[0013]對每個所述攻擊類網絡日志的攻擊信息進行向量化描述，獲取每個攻擊信息的攻擊向量，所述攻擊向量包括對應攻擊信息的攻擊IP和攻擊ID ；
[0014]對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。
[0015]可選的，所述對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組包括:
[0016]采用頻繁集挖掘算法，對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。
[0017]可選的，所述攻擊信息還包括攻擊時間。
[0018]第二方面，本發明實施例提供一種黑客工具挖掘方法，用于用戶設備，包括:
[0019]獲取用戶的網絡訪問行為；
[0020]根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志；
[0021 ] 將所述網絡日志發送給云服務器。
[0022]第三方面，本發明實施例提供一種云服務器，包括:
[0023]接收單元，用于接收至少一個用戶設備發送的多個網絡日志；
[0024]獲取單元，用于獲取所述多個網絡日志中的攻擊類網絡日志；
[0025]提取單元，用于提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID;
[0026]挖掘單元，用于對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。
[0027]可選的，所述挖掘單元具體用于:
[0028]對每個所述攻擊類網絡日志的攻擊信息進行向量化描述，獲取每個攻擊信息的攻擊向量，所述攻擊向量包括對應攻擊信息的攻擊IP和攻擊ID ；
[0029]對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。
[0030]可選的，所述挖掘單元具體用于:
[0031]采用頻繁集挖掘算法，對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。
[0032]可選的，所述攻擊信息還包括攻擊時間。
[0033]第四方面，本發明實施例提供一種用戶設備，包括:
[0034]獲取單元，用于獲取用戶的網絡訪問行為；
[0035]生成單元，用于根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志；
[0036]發送單元，用于將所述網絡日志發送給云服務器。
[0037]第五方面，本發明實施例提供一種黑客工具挖掘系統，包括至少一個用戶設備和與所述至少一個用戶設備連接的云服務器；
[0038]所述用戶設備用于獲取用戶的網絡訪問行為，根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志，并將所述網絡日志發送給所述云服務器；
[0039]所述云服務器用于接收所述至少一個用戶設備發送的多個網絡日志，獲取所述多個網絡日志中的攻擊類網絡日志，提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID，并對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。
[0040]本發明實施例提供了一種黑客工具挖掘方法、裝置及系統，所述黑客工具挖掘方法包括:接收至少一個用戶設備發送的多個網絡日志；獲取所述多個網絡日志中的攻擊類網絡日志;提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID;對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。相較于現有技術，通過數據挖掘能夠獲取任意一個黑客工具的攻擊方式，進而能夠通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
【附圖說明】
[0041]圖1為本發明實施例提供的一種黑客工具挖掘方法的流程示意圖1;
[0042]圖2為本發明實施例提供的一種黑客工具挖掘方法的流程示意圖2;
[0043]圖3為本發明實施例提供的一種黑客工具挖掘方法的交互示意圖；
[0044]圖4為本發明實施例提供的一種云服務器的結構示意圖；
[0045]圖5為本發明實施例提供的一種用戶設備的結構示意圖；
[0046]圖6為本發明實施例提供的一種黑客工具挖掘系統的結構示意圖。
【具體實施方式】
[0047]下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述。
[0048]本發明實施例提供一種黑客工具挖掘方法，用于云服務器，可以將所述云服務器設置成云數據分析中心，如圖1所示，所述黑客工具挖掘包括:
[0049]步驟101、接收至少一個用戶設備發送的多個網絡日志。
[0050]在黑客工具挖掘系統中，云服務器連接有多個用戶設備，每個用戶設備均可以生成多個網絡日志，并將生成的多個網絡日志發送給云服務器。
[0051 ]步驟102、獲取所述多個網絡日志中的攻擊類網絡日志。
[0052]示例的，用戶設備將生成的所有網絡日志都發送給云服務器，包括正常訪問產生的報文流量日志，網絡訪問日志，區域防護日志等，也包括攻擊類網絡日志，云服務器從接收到的所有網絡日志中提取出攻擊類網絡日志。具體的，用戶設備在產生攻擊類網絡日志時，每個攻擊類網絡日志中均攜帶有與其攻擊類型對應的攻擊ID(identificat1n，身份識別)，因此云服務器可以通過網絡日志中是否包括攻擊ID確定網絡日志是否為攻擊類網絡曰志。
[0053]步驟103、提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID。
[0054]示例的，云服務器在獲取到多個攻擊類網絡日志之后，對每個攻擊類網絡日志進行分析，獲取其攻擊IP和攻擊ID。例如，假設第一網絡日志為攻擊類網絡日志，zs:服務器可以對第一網絡日志進行分析，提取第一網絡日志的攻擊IP，即產生所述第一網絡日志的IP地址;第一網絡日志的攻擊ID，即所述第一網絡日志的攻擊類型。可選的，所述攻擊信息還可以包括攻擊時間，即云服務器可以提取第一網絡日志的攻擊時間，所述攻擊時間為所述第一網絡日志對應的網絡訪問行為產生的時間。
[0055]步驟104、對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。
[0056]示例的，同一個攻擊IP可能設置有多個黑客工具，每個黑客工具可能產生多種黑客攻擊行為，每種黑客攻擊行為對應的攻擊ID不同，因此一個攻擊IP可能對應黑客工具產生的多個攻擊ID，通過數學分析，可以從每個攻擊IP對應的多個攻擊ID中獲取每個黑客工具對應的攻擊ID組，進而可以通過該攻擊ID組標識產生所述攻擊ID組包括的多個攻擊ID的黑客工具。
[0057]這樣一來，通過數據挖掘能夠獲取任意一個黑客工具的攻擊方式，進而能夠通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0058]可選的，在對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組時，可以首先對每個所述攻擊類網絡日志的攻擊信息進行向量化描述，獲取每個攻擊信息的攻擊向量，所述攻擊向量包括對應攻擊信息的攻擊IP和攻擊ID，然后對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。
[0059]示例的，為了便于對攻擊信息進行數學分析，可以將攻擊信息進行向量化描述，SP每個攻擊信息對應一個向量。例如，第一網絡日志對應的第一向量至少包括第一網絡日志的攻擊IP和攻擊ID，實際應用中，第一向量還可以包括攻擊時間。每個向量中元素的內容可以根據具體情況進行選擇，本發明實施例對此不做限定。
[0060]可選的，在對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組時，可以采用頻繁集挖掘算法，對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。
[0061]示例的，所述頻繁集挖掘算法的具體實現有很多種，本發明實施例以FP-Growth算法為例進行說明，所述FP-growth算法使用一種稱為頻繁模式樹(Frequent Pattern Tree)的數據結構，所述FP-tree是一種特殊的前綴樹，由頻繁項頭表和項前綴樹構成，所述FP-Growth算法基于以上的結構加快整個挖掘過程。
[0062]本發明實施例提供了一種黑客工具挖掘方法，包括:接收至少一個用戶設備發送的多個網絡日志;獲取所述多個網絡日志中的攻擊類網絡日志；提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID;對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。相較于現有技術，通過數據挖掘能夠獲取任意一個黑客工具的攻擊方式，進而能夠通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0063]本發明實施例提供一種黑客工具挖掘方法，用于用戶設備，所述用戶設備可以表現為多種形式，可以為傳統防火墻，新一代防火墻，上網行為管理設備，智能流量管理設備，廣域網優化網關，安全代理服務器等，本發明實施例對此不做限定。如圖2所示，所述黑客工具挖掘方法包括:
[0064]步驟201、獲取用戶的網絡訪問行為。
[0065]示例的，用戶在客戶端上通過所述用戶設備上網時，會產生各種各樣的網絡訪問行為，例如，用戶可以在客戶端上通過所述用戶設備進行網絡購物、在線聊天、在線欣賞音樂和電影、P2P(Peer to Peer，對等網絡)工具下載，以及黑客攻擊等，不同的網絡訪問行為產生的網絡流量不同。
[0066]步驟202、根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志。
[0067]現有技術中，為了便于標識不同的網絡訪問行為，每個已知的網絡訪問行為設置有特征碼，根據特征碼即可確定具體的網絡行為，進而可以生成對應的網絡日志。通常的網絡日志包括報文流量日志，網絡訪問日志，區域防護日志等。而用戶在客戶端上通過用戶設備進行黑客攻擊時，可能會在短時間內產生較大的網絡流量，因此可以根據網絡流量的大小，判斷網絡訪問行為是否為黑客攻擊類行為。
[0068]可選的，由于黑客攻擊的類型很多，例如暴力破解，漏洞攻擊，拒絕服務攻擊等，不同的攻擊行為產生的網絡訪問行為也不同，因此在根據黑客攻擊類行為生成攻擊類網絡日志時，可以為不同的攻擊類型設置不同的攻擊ID，即采用攻擊ID標識不同的攻擊類型，所述攻擊ID設置在生成的攻擊類網絡日志中，每個攻擊類網絡日志包括與其對應的攻擊ID。
[0069]步驟203、將所述網絡日志發送給云服務器。
[0070]可選的，由于用戶設備每時每刻都可能產生網絡日志，如果實時向云服務器發送網絡日志，可能會影響用戶設備的處理速度，因此用戶設備中可以設置網絡日志緩存，用戶設備產生的網絡日志按照時間順序存儲在實時網絡日志緩存中。當所述網絡日志緩存中存儲的網絡日志數量大于或等于預設數量閾值時，將網絡日志緩存中存儲的網絡日志打包發給云服務器;或者當所述網絡日志緩存中存儲了預設時間段的網絡日志后，將網絡日志緩存中存儲的網絡日志打包發給云服務器，避免頻繁發送造成用戶設備處理速度下降。
[0071]本發明實施例提供了一種黑客工具挖掘方法，包括:獲取用戶的網絡訪問行為;根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志;將所述網絡日志發送給云服務器。相較于現有技術，能夠將網絡日志發送給云服務器，以便于云服務器通過數據挖掘獲取任意一個黑客工具的攻擊方式，進而通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0072]本發明實施例提供一種黑客工具挖掘方法，應用于黑客工具挖掘系統，所述黑客工具挖掘系統包括多個用戶設備和與所述多個用戶設備連接的云服務器，所述用戶設備可以表現為多種形式，可以為傳統防火墻，新一代防火墻，上網行為管理設備，智能流量管理設備，廣域網優化網關，安全代理服務器等，本發明實施例對此不做限定。同時，與所述云服務器連接的用戶設備數量沒有上線，越多越好，本發明實施例以任意一個用戶設備為例進行說明，如圖3所示，所述方法包括:
[0073]步驟301、用戶設備獲取用戶的網絡訪問行為，執行步驟302。
[0074]示例的，用戶在客戶端上通過所述用戶設備上網時，會產生各種各樣的網絡訪問行為，例如，用戶可以在客戶端上通過所述用戶設備進行網絡購物、在線聊天、在線欣賞音樂和電影、P2P工具下載，以及黑客攻擊等，不同的網絡訪問行為產生的網絡流量不同。
[0075]步驟302、用戶設備根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志，執行步驟303。
[0076]示例的，若用戶在客戶端上通過用戶設備進行黑客攻擊時，可能會在短時間內產生較大的網絡流量，因此可以根據網絡流量的大小，判斷網絡訪問行為是否為黑客攻擊類行為。例如，初始化時設置流量閾值，若網絡訪問行為產生的流量大于或等于流量閾值時，所述網絡訪問行為可以確認為黑客攻擊行為，根據該類黑客攻擊行為可以生成攻擊類網絡日志；若網絡訪問行為產生的流量小于流量閾值時，所述網絡訪問行為可以確認為正常訪問行為。現有技術中，為了便于標識不同的網絡訪問行為，每個已知的網絡訪問行為設置有特征碼，根據特征碼即可確定具體的網絡行為，進而可以生成對應的網絡日志。通常的網絡日志包括報文流量日志，網絡訪問日志，區域防護日志等。
[0077]可選的，由于黑客攻擊的類型很多，例如暴力破解，漏洞攻擊，拒絕服務攻擊等，不同的攻擊行為產生的網絡訪問行為也不同，因此在根據黑客攻擊類行為生成攻擊類網絡日志時，可以為不同的攻擊類型設置不同的攻擊ID，即采用攻擊ID標識不同的攻擊類型，所述攻擊ID設置在生成的攻擊類網絡日志中，每個攻擊類網絡日志包括與其對應的攻擊ID。
[0078]例如，若用戶進行第一網絡訪問行為時的產生的網絡流量較大，將其確定為黑客攻擊行為，并為所述第一網絡訪問行為對應的攻擊類型設置唯一對應的攻擊ID，所述攻擊ID可以為100000，當用戶進行第二網絡訪問行為時產生的網絡流量較大，將其確定為黑客攻擊行為，并為所述第二網絡訪問行為對應的攻擊類型設置唯一對應的攻擊ID，所述攻擊ID可以為100001，依次類推，為不同的攻擊類型設置不同的攻擊ID。
[0079]步驟303、用戶設備將所述網絡日志發送給云服務器，執行步驟304。
[0080]示例的，每個用戶設備在根據網絡訪問行為生成網絡日志之后，可以將網絡日志發送給云服務器，以便于云服務器對網絡日志進行分析。
[0081]可選的，由于用戶設備每時每刻都可能產生網絡日志，如果實時向云服務器發送網絡日志，可能會影響用戶設備的處理速度，因此用戶設備中可以設置網絡日志緩存，用戶設備產生的網絡日志按照時間順序存儲在實時網絡日志緩存中。當所述網絡日志緩存中存儲的網絡日志數量大于或等于預設數量閾值時，將網絡日志緩存中存儲的網絡日志打包發給云服務器;或者當所述網絡日志緩存中存儲了預設時間段的網絡日志后，將網絡日志緩存中存儲的網絡日志打包發給云服務器，避免頻繁發送造成用戶設備處理速度下降。
[0082]步驟304、云服務器接收多個用戶設備發送的網絡日志，執行步驟306。
[0083]示例的，在黑客工具挖掘系統中，云服務器連接有多個用戶設備，每個用戶設備均可以將產生的網絡日志發送給云服務器。
[0084]步驟305、云服務器從接收到的所述網絡日志中獲取攻擊類網絡日志，執行步驟306。
[0085]示例的，用戶設備將產生的所有網絡日志都發送給云服務器，包括正常訪問產生的報文流量日志，網絡訪問日志，區域防護日志等，也包括攻擊類網絡日志，云服務器從接收到的所有網絡日志中提取出攻擊類網絡日志。具體的，用戶設備在產生攻擊類網絡日志時，每個攻擊類網絡日志中均攜帶有與其攻擊類型對應的攻擊ID，因此云服務器可以通過網絡日志中是否包括攻擊ID確定網絡日志是否為攻擊類網絡日志。
[0086]步驟306、云服務器提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP( Internet Protocol，網絡之間互連的協議)，攻擊ID和攻擊時間，執行步驟307。
[0087]示例的，云服務器在獲取到多個攻擊類網絡日志之后，對每個攻擊類網絡日志進行分析，獲取其攻擊IP，攻擊ID和攻擊時間。例如，假設第一網絡日志為攻擊類網絡日志，zs:服務器可以對第一網絡日志進行分析，提取第一網絡日志的攻擊IP，即產生所述第一網絡日志的IP地址;第一網絡日志的攻擊ID，即所述第一網絡日志的攻擊類型；以及第一網絡日志的攻擊時間，即所述第一網絡日志對應的網絡訪問行為產生的時間。
[0088]步驟307、云服務器對每個所述攻擊信息進行向量化描述，獲取每個攻擊信息的攻擊向量，執行步驟308。
[0089]示例的，為了便于對攻擊信息進行數學分析，可以將攻擊信息進行向量化描述，SP每個攻擊信息對應一個向量。例如，第一網絡日志對應的第一向量至少包括第一網絡日志的攻擊IP和攻擊ID，實際應用中，第一向量還可以包括攻擊時間。每個向量中元素的內容可以根據具體情況進行選擇，本發明實施例對此不做限定。
[0090]步驟307、云服務器根據每個攻擊信息的攻擊向量，對所述攻擊信息進行層次化分析，獲取每個黑客工具對應的攻擊ID組。
[0091]示例的，同一個攻擊IP可能設置有多個黑客工具，每個黑客工具可能產生多種黑客攻擊行為，每種黑客攻擊行為對應的攻擊ID不同，因此一個攻擊IP可能對應多個攻擊ID，通過數學分析，可以從每個攻擊IP對應的多個攻擊ID中獲取每個黑客工具對應的攻擊ID組，進而可以通過該攻擊ID組標識產生所述攻擊ID組包括的多個攻擊ID的黑客工具。
[0092]可選的，假設一個攻擊ID組對應了一個黑客工具，那么意味著這個攻擊ID組一定會多次出現在不同攻擊IP的攻擊ID中。為了找出這些排列，可以采用頻繁集挖掘算法。其中，頻繁集挖掘算法的具體實現有很多種，本發明實施例以FP-Growth算法為例進行說明。所述FP-growth算法使用了一種稱為頻繁模式樹(Frequent Pattern Tree)的數據結構，所述FP-tree是一種特殊的前綴樹，由頻繁項頭表和項前綴樹構成，所述FP-Growth算法基于以上的結構加快整個挖掘過程。
[0093]具體的，首先將每個攻擊IP的攻擊ID匯總，按照每個攻擊ID產生的時間排列，生成每個攻擊IP的攻擊ID集合，獲取所述每個攻擊IP的攻擊ID集合組成數據庫D。然后掃描所述數據庫D，獲取所述數據庫D中出現頻次大于或等于第一預設數量閾值的攻擊ID排列組成頻繁項集合F，每個攻擊ID排列包括至少兩個攻擊ID，按照每個攻擊ID排列出現的頻次的由大至IJ小，排列所述頻繁項集合F中的攻擊ID排列獲取頻繁項表L，根據所述頻繁項表L構建所述FP-tree，根據所述FP-tree進行數據挖掘，獲取支持度大于預設支持度閾值的節點對應的攻擊ID排列，并將獲取到的每個攻擊ID排列拆分為不重復的二元組，例如，假設一個攻擊ID排列為{1000000,1000001,1000002}，可以將該攻擊ID排列拆分為{1000000,1000001}和{1000001,1000002}，并將拆分到的所有二元組組成二元組集合E。
[0094]假設一個攻擊IP上設置有兩個或者以上的給黑客工具，若選用兩個黑客工具進行工具，從一個黑客工具切換至另一個黑客工具需要一定的時間差，可以假設該時間差為Tc!。計算所述二元組集合E中每一個二元組包括的兩個攻擊ID之間的時間差，保留時間差大于所述Td的二元組組成新二元組集合Ed。
[0095]遍歷數據庫D中的攻擊ID集合，去除所述數據庫D中的子集，例如，假設數據庫中一下下面三個攻擊ID集合{1000000，1000001，1000002}，{1000000，1000001}和{1000000，1000002}，由于{1000000，1000001}和{1000000 ,1000002}均為{1000000，1000001，1000002}的子集，因此在取出自己的過程中僅保留{1000000，1000001,1000002}，去除所述{1000000，1000001}和{1000000，1000002}。所述數據庫D去除子集之后剩余的攻擊ID集合組成數據庫A。
[0096]對所述數據庫A中包括的任意一個攻擊ID集合Al，計算所述Al與數據庫A中元素數量超過所述Al的其他攻擊ID集合之間的杰卡德距離，若存在某一攻擊ID集合與所述Al之間的杰卡德距離大于0.4，則刪除所述Al，經過計算后，數據庫A中剩余的攻擊ID集合組成數據庫C。其中，所述杰卡德距離(Jaccard Distance)是用來衡量兩個集合差異性的一種指標，它是杰卡德相似系數的補集，被定義為I減去Jaccard相似系數。而杰卡德相似系數(Jaccard similarity coefficient)，也稱杰卡德指數(Jaccard Index)，是用來衡量兩個集合相似度的一種指標。所述Jaccard相似指數用來度量兩個集合之間的相似性，它被定義為兩個集合交集的元素個數除以并集的元素個數。所述Jaccard距離用來度量兩個集合之間的差異性，它是Jaccard的相似系數的補集，被定義為I減去Jaccard相似系數。所述杰卡德距離、杰卡德相似系數、Jaccard相似指數以及所述Jaccard距離均為現有技術，本發明實施例在此不做贅述。
[0097]最后，由于新二元組集合Ed中每個二元組包括的兩個攻擊ID來自與兩個黑客工具，因此可以根據新二元組集合Ed對數據庫C包括的攻擊ID集合進行拆分。例如，數據庫C中包括攻擊ID集合{1000000,1000001,1000002,1000003}，新二元組集合Ed中包括一個二元組{1000001,1000002}，可根據該二元組{1000001,1000002}可以將攻擊ID集合{1000000，1000001，1000002，1000003}拆分為兩個攻擊ID組{1000000 ,1000001}和{1000002，1000003}，所述{1000000,1000001}和{1000002,1000003}分別為兩個黑客工具對應的攻擊ID組，可以分別用于標識其對應的黑客工具。
[0098]需要說明的是，本發明實施例提供的黑客工具挖掘方法步驟的先后順序可以進行適當調整，步驟也可以根據情況進行相應增減，任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內，可輕易想到變化的方法，都應涵蓋在本發明的保護范圍之內，因此不再贅述。
[0099]本發明實施例提供了一種黑客工具挖掘方法，相較于現有技術，通過數據挖掘能夠獲取任意一個黑客工具的攻擊方式，進而能夠通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0100]本發明實施例提供一種云服務器40，如圖4所示，包括:
[0101]接收單元401，用于接收至少一個用戶設備發送的多個網絡日志。
[0102]獲取單元402，用于獲取所述多個網絡日志中的攻擊類網絡日志。
[0103]提取單元403，用于提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID。
[0104]挖掘單元404，用于對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。
[0105]這樣一來，通過數據挖掘能夠獲取任意一個黑客工具的攻擊方式，進而能夠通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0106]可選的，所述挖掘單元404具體用于:對每個所述攻擊類網絡日志的攻擊信息進行向量化描述，獲取每個攻擊信息的攻擊向量，所述攻擊向量包括對應攻擊信息的攻擊IP和攻擊ID;
[0107]對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。
[0108]可選的，所述挖掘單元404具體用于:采用頻繁集挖掘算法，對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。
[0109]可選的，所述攻擊信息還包括攻擊時間。
[0110]需要說明的是，第一，所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。
[0111]第二，所述獲取單元402、提取單元403和挖掘單元404均可由位于云服務器40中的中央處理器(Central Processing Unit，CPU)、微處理器(Micro Processor Unit，MPU)、數字信號處理器(Digital Signal Proce s sor，DSP)、或現場可編程門陣列(Fi e I dProgrammable Gate Array，FPGA)等實現。接收單元401可由云服務器40與用戶設備之間的通訊總線實現。
[0112]本發明實施例提供一種云服務器，包括:接收單元，用于接收至少一個用戶設備發送的多個網絡日志；獲取單元，用于獲取所述多個網絡日志中的攻擊類網絡日志；提取單元，用于提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID;挖掘單元，用于對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。相較于現有技術，通過數據挖掘能夠獲取任意一個黑客工具的攻擊方式，進而能夠通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0113]本發明實施例提供一種用戶設備50，如圖5所示，包括:
[0114]獲取單元501，用于獲取用戶的網絡訪問行為；
[0115]生成單元502，用于根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志；
[0116]發送單元503，用于將所述網絡日志發送給云服務器。
[0117]需要說明的是，第一，所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。
[0118]第二，所述獲取單元501和生成單元502可由位于用戶設備50中的中央處理器(Central Processing Unit，CPU)、微處理器(Micro Processor Unit，MPU)、數字信號處理器(Digital Signal Processor，DSP)、或現場可編程門陣列(Field Programmable GateArray，FPGA)等實現。發送單元503均可由用戶設備50與云服務器之間的通訊總線實現；
[0119]本發明實施例提供了一種用戶設備，相較于現有技術，能夠將網絡日志發送給云服務器，以便于云服務器通過數據挖掘獲取任意一個黑客工具的攻擊方式，進而通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0120]本發明實施例提供一種黑客工具挖掘系統60，如圖6所示，包括至少一個用戶設備601和與所述至少一個用戶設備連接的云服務器602;圖6中，所述黑客工具挖掘系統60包括四個用戶設備601，實際應用中與所述云服務器602連接的用戶設備301數量沒有上線，越多越好。
[0121]所述用戶設備601用于獲取用戶的網絡訪問行為，根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志，并將所述網絡日志發送給所述云服務器；
[0122]所述云服務器602用于接收所述至少一個用戶設備發送的多個網絡日志，獲取所述多個網絡日志中的攻擊類網絡日志，提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID，并對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。
[0123]需要說明的是，所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。
[0124]本發明實施例提供了一種黑客工具挖掘系統，相較于現有技術，用戶設備能夠將網絡日志發送給云服務器，云服務器能夠通過數據挖掘獲取任意一個黑客工具的攻擊方式，進而通過黑客工具的攻擊方式標識黑客工具，使得防火墻能夠根據每個黑客工具的攻擊方式識別黑客工具，并據此提供完備的防護服務，提高了系統的安全性。
[0125]本領域內的技術人員應明白，本發明的實施例可提供為方法、系統、或計算機程序產品。因此，本發明可采用硬件實施例、軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本發明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器和光學存儲器等)上實施的計算機程序產品的形式。
[0126]本發明是參照根據本發明實施例的方法、設備(系統)、和計算機程序產品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0127]這些計算機程序指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品，該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
[0128]這些計算機程序指令也可裝載到計算機或其他可編程數據處理設備上，使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理，從而在計算機或其他可編程設備上執行的指令提供用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
[0129]以上所述，僅為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。
【主權項】
1.一種黑客工具挖掘方法，其特征在于，用于云服務器，包括: 接收至少一個用戶設備發送的多個網絡日志； 獲取所述多個網絡日志中的攻擊類網絡日志； 提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID; 對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。2.根據權利要求1所述的方法，其特征在于，所述對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組包括: 對每個所述攻擊類網絡日志的攻擊信息進行向量化描述，獲取每個攻擊信息的攻擊向量，所述攻擊向量包括對應攻擊信息的攻擊IP和攻擊ID; 對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。3.根據權利要求2所述的方法，其特征在于，所述對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組包括: 采用頻繁集挖掘算法，對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。4.根據權利要求1-3任意一項權利要求所述的方法，其特征在于，所述攻擊信息還包括攻擊時間。5.一種黑客工具挖掘方法，其特征在于，用于用戶設備，包括: 獲取用戶的網絡訪問行為； 根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志； 將所述網絡日志發送給云服務器。6.一種云服務器，其特征在于，包括: 接收單元，用于接收至少一個用戶設備發送的多個網絡日志； 獲取單元，用于獲取所述多個網絡日志中的攻擊類網絡日志； 提取單元，用于提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID; 挖掘單元，用于對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。7.根據權利要求6所述的云服務器，其特征在于，所述挖掘單元具體用于: 對每個所述攻擊類網絡日志的攻擊信息進行向量化描述，獲取每個攻擊信息的攻擊向量，所述攻擊向量包括對應攻擊信息的攻擊IP和攻擊ID; 對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。8.根據權利要求7所述的云服務器，其特征在于，所述挖掘單元具體用于: 采用頻繁集挖掘算法，對每個所述攻擊類網絡日志的攻擊向量進行數據挖掘，獲取每個黑客工具對應的攻擊ID組。9.根據權利要求6-8任意一項權利要求所述的云服務器，其特征在于，所述攻擊信息還包括攻擊時間。10.—種用戶設備，其特征在于，包括: 獲取單元，用于獲取用戶的網絡訪問行為； 生成單元，用于根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志； 發送單元，用于將所述網絡日志發送給云服務器。11.一種黑客工具挖掘系統，其特征在于，包括至少一個用戶設備和與所述至少一個用戶設備連接的云服務器； 所述用戶設備用于獲取用戶的網絡訪問行為，根據用戶的網絡訪問行為產生的網絡流量，生成網絡日志，并將所述網絡日志發送給所述云服務器； 所述云服務器用于接收所述至少一個用戶設備發送的多個網絡日志，獲取所述多個網絡日志中的攻擊類網絡日志，提取每個所述攻擊類網絡日志的攻擊信息，所述攻擊信息包括攻擊IP和攻擊ID，并對每個所述攻擊類網絡日志的攻擊信息進行數據挖掘，獲取每個黑客工具對應的攻擊ID組，所述攻擊ID組包括至少一個攻擊ID。
【文檔編號】H04L29/06GK106027554SQ201610514159
【公開日】2016年10月12日
【申請日】2016年6月30日
【發明人】易蜀鋒, 張永臣
【申請人】北京網康科技有限公司