一种秒拨攻击事件识别方法与流程

1.本技术涉及网络安全技术领域，特别是涉及一种秒拨攻击事件识别方法。


背景技术：

2.早期的攻防较量中，攻击者通常采用固定ip地址对目标单位展开网络攻击。企业通过设置ip黑名单即可阻断来自该ip地址的全部攻击。为了绕过企业的ip阻断规则，攻击者发展出“秒拨”技术。秒拨攻击是一个在护网2018年出现雏形，2021年被正式提出的全新概念。
3.在掌握大量宽带线路资源后，利用家用宽带拨号上网断线切换ip的原理，可在秒级内切换至ip地址池的任意ip，秒拨ip地址池通常有数百到数十万可用ip地址。通过使用秒拨技术，在使用某一ip发起少量攻击后，迅速切换至ip地址池的任意其他ip地址，再次发起同类型攻击。秒拨攻击的本质特征是，攻击者可以利用秒拨技术，通过成千上万个ip地址，攻击特定目的ip地址的信息系统资产，每个ip地址仅对目标系统进行少量次数的网络攻击后即切换新的ip地址。其中，信息系统资产包括硬件资产或软件资产；硬件资产包括但不限于计算机、服务器、网络设备、安全设备等；软件资产包括但不限于系统软件、应用软件、业务平台等。
4.秒拨攻击其技术核心是，通过使用分布式代理服务器，将单一攻击者的攻击行为，分散到数十万代理的ip地址之上，从而破坏传统的通过封禁ip地址阻断攻击的防护体系。传统的封禁ip地址策略主要针对同一时间内发起大量攻击的ip地址，为了躲避企业的ip封禁策略，攻击者使用秒拨ip发起攻击；用某一ip发起少量攻击后，迅速切换至另一ip进行攻击，其典型特征为，在短时间内，受到来自大量不同随机ip地址对同一资产发起的少量同类型攻击。
5.也就是说，秒拨是利用国内家用宽带拨号上网(pppoe)每次断线重连就会自动获取一个新的随机ip的原理开展的。攻击者通过租用大量宽带线路资源，部署自动断线重连切换ip及攻击工具后，可拥有数以万计的随机ip地址池。攻击者发动一次攻击后，可快速切换至ip地址池中的其他任意ip地址再次发起攻击。由于企业很难将数万个随机ip地址置入黑名单，所以秒拨攻击可以绕过企业的正常防御。
6.秒拨攻击事件存在“取证难”的问题，这是因为目前通常都是由有经验的安全运维人员人工判别秒拨攻击事件。目前中国专利文献cn114172677a中公开了一种针对秒拨ip的识别方法及装置、系统，其包括接收浏览器的第一访问请求，其中，第一访问请求携带访问ip，第一访问请求用于请求访问网站服务器；将第一访问请求转移至验证服务器，其中，验证服务器用于识别访问ip是否为秒拨ip；若访问ip不是秒拨ip，建立浏览器与所述网站服务器之间的数据传输通道。
7.但是通过该方法，只能有效识别秒拨ip，市场上仍然缺乏定量、自动化的秒拨攻击事件识别方式。这一方面使得对秒拨攻击事件的识别不足够客观，另一方面由于高度依赖于人工，增加了企业的人力成本，同时也不利于自动化取证。


技术实现要素：

8.基于此，针对上述技术问题，提供一种秒拨攻击事件识别方法，以解决现有技术存在的缺乏自动化的秒拨攻击事件识别方式的技术问题。
9.为了实现上述目的，本技术提供如下技术方案：
10.一种秒拨攻击事件识别方法，包括：
11.s1，实时获取网络安全设备采集到的关于资产访问情况的安全告警数据，从所述安全告警数据中提取出每个资产的实时攻击源ip地址；
12.s2，建立滑动时间窗口，所述时间窗口的窗口长度为x；初始化当前时间窗口(t1,t'1]，初始化秒拨攻击事件时间集合初始化秒拨事件时间列表ls＝[]；
[0013]
s3，对于每个资产，根据提取出的实时攻击源ip地址，统计在当前时间窗口(ti,t'i]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数；
[0014]
s4，对于每个资产，根据在当前时间窗口(ti,t'i]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数，判断在当前时间窗口(ti,t'i]内该资产是否存在秒拨攻击事件；若存在，执行步骤s5，若不存在，执行步骤s6；
[0015]
s5，若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
为将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(ti,t'i]；执行步骤s7；
[0016]
若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
不为即s
i-1
＝(tj,t'k]，将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(tj,t'i]；执行步骤s7；
[0017]
s6，若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
为当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si为执行步骤s7；
[0018]
若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
不为即s
i-1
＝(tj,t'k]，判断当前时间窗口(ti,t'i]与上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
＝(tj,t'k]是否存在交集；
[0019]
当存在交集，将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(tj,t'k]；执行步骤s7；
[0020]
当不存在交集，将s
i-1
＝(tj,t'k]添加至秒拨事件时间列表ls＝[
…
,s
i-1
]，(tj,t'k]即为对某个资产的一次秒拨攻击事件的持续时间；将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为执行步骤s7；
[0021]
s7，滑动窗口以滑动间隔向右进行滑动，将当前时间窗口(ti,t'i]更新为(t
i+1
,t'
i+1
]，重复执行步骤s3-s7。
[0022]
可选地，所述滑动间隔小于或等于x/2。
[0023]
可选地，在步骤s4中，对于每个资产，若在当前时间窗口(ti,t'i]内该资产的受攻击ip地址总数大于或等于预设受攻击ip地址总数阈值y，并且每个攻击ip地址的平均攻击次数小于预设攻击ip地址平均攻击次数阈值z，则判定在当前时间窗口内(ti,t'i]内该资产存在秒拨攻击事件。
[0024]
可选地，在步骤s4中，对于每个资产，根据在当前时间窗口(ti,t'i]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数计算该资产的秒拨攻击指数
若该资产的秒拨攻击指数达到预设秒拨阈值v
ref
，则判定在当前时间窗口(ti,t'i]内该资产存在秒拨攻击事件；若该资产的秒拨攻击指数未达到预设秒拨阈值v
ref
，则判定在当前时间窗口(ti,t'i]内该资产不存在秒拨攻击事件。
[0025]
进一步可选地，秒拨攻击指数的计算公式具体为：
[0026][0027]
其中，αi、βi和γi为预设系数。
[0028]
可选地，所述方法还包括：
[0029]
在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示对秒拨攻击事件存在多记情况，将时间窗口的窗口长度x调大；若复核结果显示对秒拨攻击事件存在少记情况，将时间窗口的窗口长度x调小。
[0030]
可选地，所述方法还包括：
[0031]
在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示多记情况在所有秒拨攻击事件中占比为p
l
、少记情况在所有秒拨攻击事件中占比为ps，根据第一预设公式x
new
＝f
x
(x
old
,p
l
,ps)，对时间窗口的窗口长度x进行调整；
[0032]
所述第一预设公式x
new
＝f
x
(x
old
,p
l
,ps)具体为：
[0033][0034]
进一步可选地，在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示某个时间窗口人工判定存在秒拨攻击事件，而步骤s4判定该时间窗口不存在秒拨攻击事件，将所述预设受攻击ip地址总数阈值y调小和/或将所述预设攻击ip地址平均攻击次数阈值z调大；若复核结果显示某个时间窗口人工判定不存在秒拨攻击事件，而步骤s4判定该时间窗口存在秒拨攻击事件，将所述预设受攻击ip地址总数阈值y调大和/或将所述预设攻击ip地址平均攻击次数阈值z调小。
[0035]
进一步可选地，所述方法还包括：
[0036]
统计每个秒拨攻击事件的攻击ip地址的总数，得到所有秒拨攻击事件的攻击ip地址的总数集合ly＝[yi,y
i+1
…
,y
i+n
]；
[0037]
根据第二预设公式y
new
＝fy(y
old
,min(ly),ly)，对所述预设受攻击ip地址总数阈值y进行调整；
[0038]
统计每个秒拨攻击事件的攻击ip地址的平均攻击次数，得到所有秒拨攻击事件的攻击ip地址的平均攻击次数集合lz＝[zi,z
i+1
…
,z
i+n
]；
[0039]
根据第三预设公式z
new
＝fz(z
old
,max(lz),lz)，对所述预设攻击ip地址平均攻击次数阈值z进行调整。
[0040]
进一步可选地，所述第二预设公式y
new
＝fy(y
old
,min(ly),ly)具体为：
[0041]ynew
＝fy(y
old
,min(ly),ly)＝αyy
old
+βymin(ly)+γyavg(ly)
[0042]
其中，αy、βy、γy为预设系数；
[0043]
所述第三预设公式z
new
＝fz(z
old
,max(lz),lz)具体为：
[0044]znew
＝fz(z
old
,max(lz),lz)＝αzz
old
+βzmin(lz)+γzavg(lz)
[0045]
其中，αz、βz、γz为预设系数。
[0046]
本发明至少具有以下有益效果：
[0047]
在本发明实施例所提供的秒拨攻击事件识别方法中，通过输入来自网络安全设备的安全告警数据，采用滑动窗口的方式，能够从若干段时间窗口片段中自动提取出秒拨攻击事件，将时长未知的秒拨攻击事件划分体现在众多时间片段中，适用于不同时长的秒拨攻击事件；该秒拨攻击事件识别方法能够自动识别企业是否遭受秒拨攻击，避免了人为主观的识别，降低了企业的人力成本，提高了自动化取证程度。
[0048]
在本发明实施例所提供的秒拨攻击事件识别方法中，使用“在单位x时间内，存在大于或等于y个攻击ip地址对同一资产发起攻击行为，且每个攻击ip地址在此时间内产生的攻击行为小于z次”来刻画一个时间窗口内的秒拨攻击行为；使用三个参数来定量刻画秒拨攻击行为，很容易客观判断当前时间窗口内资产是否遭受秒拨攻击。
[0049]
在本发明实施例所提供的秒拨攻击事件识别方法中，时间窗口内用于判定秒拨攻击的各参数的值以及时间窗口滑动间隔，还可以依据秒拨攻击事件的实际情况进行动态调整，使该方法可扩展性强，形成更为客观的秒拨事件判定，降低秒拨攻击识别的误差。
附图说明
[0050]
图1为本发明一个实施例提供的一种秒拨攻击事件识别方法的流程示意图；
[0051]
图2为本发明一个实施例一次秒拨攻击事件判定流程示意图；
[0052]
图3为本发明一个实施例中不同起秒拨攻击事件示意图；
[0053]
图4为本发明一个实施例提供的一种秒拨攻击事件识别装置的模块间相互关系图；
[0054]
图5为本发明一个实施例提供的一种秒拨攻击事件识别装置的数据流向图；
[0055]
图6为本发明一个实施例提供的一种秒拨攻击事件识别装置的整体架构图；
[0056]
图7为本发明一个实施例提供的一种秒拨攻击事件识别系统的模块架构框图；
[0057]
图8为本发明一个实施例提供的一种计算机设备的内部结构图。
具体实施方式
[0058]
为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅用以解释本技术，并不用于限定本技术。
[0059]
在一个实施例中，如图1所示，提供了一种秒拨攻击事件识别方法，包括以下步骤：
[0060]
s1，实时获取网络安全设备采集到的关于资产访问情况的安全告警数据，从安全告警数据中提取出每个资产的实时攻击源ip地址。
[0061]
首先，从安全防护设备和安全检测设备中获取资产访问情况的实时安全告警数据，从中提取受攻击资产ip地址、攻击源ip地址等信息，该数据是本实施例所提供的方法分析秒拨攻击事件的基础源数据。
[0062]
安全防护设备和安全检测设备包括各类安全软硬件，如ids、ips。
[0063]
s2，建立滑动时间窗口，时间窗口的窗口长度为x；初始化当前时间窗口(t1,t'1]，初始化秒拨攻击事件时间集合初始化秒拨事件时间列表ls＝[]。
[0064]
s3，对于每个资产，根据提取出的实时攻击源ip地址，统计在当前时间窗口(ti,t
'i]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数。
[0065]
其中，资产的受攻击ip地址总数表示资产遭受攻击的攻击ip地址总数；t'
i-ti为时间窗口长度x，t'
i+1-t'i＝t
i+1-ti为滑动间隔。
[0066]
s4，对于每个资产，根据在当前时间窗口(ti,t'i]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数，判断在当前时间窗口(ti,t'i]内该资产是否存在秒拨攻击事件；若存在，执行步骤s5，若不存在，执行步骤s6。
[0067]
具体来说，作为一种可选的实施方式，对于每个资产，若在当前时间窗口(ti,t'i]内该资产的受攻击ip地址总数大于或等于预设受攻击ip地址总数阈值y，并且每个攻击ip地址的平均攻击次数小于预设攻击ip地址平均攻击次数阈值z，则判定在当前时间窗口(ti,t'i]内该资产存在秒拨攻击事件。
[0068]
也就是说，在单位x时间内，存在大于或等于y个攻击ip地址对同一资产发起攻击行为，且每个攻击ip地址平均在此时间内产生的攻击行为小于z次，则判定在单位x时间内存在秒拨攻击行为。
[0069]
在统计受攻击ip地址总数以及每个攻击ip地址的平均攻击次数的时候，只统计攻击次数不大于z次的攻击ip地址及其攻击次数，过滤掉攻击次数大于z次的攻击ip地址。以防存在两拨攻击行为时，将平均攻击次数拉大的情况：一拨为正常攻击，有某个攻击ip发起的攻击次数远大于z；另一拨为秒拨攻击，有某些攻击ip发起的攻击次数小于z。
[0070]
作为另一种可选的实施方式，对于每个资产，根据在当前时间窗口(ti,t'i]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数计算该资产的秒拨攻击指数击指数若该资产的秒拨攻击指数达到预设秒拨阈值v
ref
，则判定在在当前时间窗口(ti,t'i]内该资产存在秒拨攻击事件；若该资产的秒拨攻击指数未达到预设秒拨阈值v
ref
，则判定在在当前时间窗口(ti,t'i]内该资产不存在秒拨攻击事件。
[0071]
其中存在三个调节变量，分别是：x：时间窗口大小；y：时间窗口内攻击ip地址个数；z：该时间窗口内每个攻击ip地址的平均攻击次数。依据这三个调节变量，结合相应方法计算得到秒拨指数v，用于界定一个时间窗口内是否存在秒拨攻击行为。
[0072]
换句话说，步骤s4主要解决单个时间窗口内秒拨攻击事件的判定，单个时间窗口秒拨攻击事件判定流程如下：
[0073]
①
初始化时间窗口长度x，受攻击ip地址个数阈值y、每个攻击ip地址发起的攻击次数阈值z等三个调节变量(该数值通常为设备制造厂商提供的出厂默认数值，具体是多少并不重要，最终这些数值会通过反馈调节逐步逼近于用户的实际情况，从而在用户使用侧最终稳定下来)。
[0074]
②
从实时数据读取模块得到各资产受攻击情况。以资产a为例，在第i个时间窗口内，资产a共遭受来自个攻击ip地址分别发起的次攻击。
[0075]
③
依据一定公式计算得到在第i个时间窗口内，资产a的秒拨攻击指数计算方式为：
[0076]
[0077]
其中初始情况下资产a的秒拨攻击指数计算方式为：
[0078]
可选地，秒拨攻击指数的计算公式具体为：
[0079][0080]
其中，αi、βi和γi为预设系数。
[0081]
④
依据秒拨指数判定该时间窗口内是否存在秒拨攻击事件。
[0082]
对于资产a在每个时间窗口遭受的秒拨攻击情况，可描述为对于资产a在每个时间窗口遭受的秒拨攻击情况，可描述为
[0083]
时间窗口x的设定与一次秒拨攻击所需时间有关，应不小于一次秒拨攻击所需时间。本流程中的三个调节变量的初始值可由人工设定，用于描述初始情况下秒拨攻击情况。后续可依据实际情况下秒拨攻击行为、历史秒拨指数、历史调节变量值动态调整。
[0084]
可设立秒拨阈值v
ref
协助判定第i个时间窗口是否存在秒拨攻击事件。若时间窗口秒拨指数v达到秒拨阈值v
ref
，称时间窗口内存在秒拨攻击行为；若时间窗口秒拨指数v未达到秒拨阈值v
ref
，称时间窗口内不存在秒拨攻击行为。
[0085]
s5，若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
为将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(ti,t'i]；执行步骤s7；
[0086]
若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
不为即s
i-1
＝(tj,t'k]，将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(tj,t'i]；执行步骤s7。
[0087]
s6，若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
为则当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si也为执行步骤s7；
[0088]
若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
不为即s
i-1
＝(tj,t'k]，判断当前时间窗口(ti,t'i]与上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
＝(tj,t'k]是否存在交集；
[0089]
当存在交集，将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(tj,t'k]；执行步骤s7；
[0090]
当不存在交集，将s
i-1
＝(tj,t'k]添加至秒拨事件时间列表ls＝[
…
,s
i-1
]，(tj,t'k]即为对某个资产的一次秒拨攻击事件的持续时间；将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为执行步骤s7。
[0091]
s7，滑动窗口以滑动间隔向右进行滑动，将当前时间窗口(ti,t'i]更新为(t
i+1
,t'
i+1
]，重复执行步骤s3-s7。
[0092]
其中，滑动间隔的设定基于时间窗口大小，一般而言，滑动间隔小于或等于x/2，也就是不应大于时间窗口的1/2。
[0093]
换句话说，本实施例采用基于滑动窗口的定时检测机制，主要解决任意时段内一次秒拨攻击事件的区分。如图2所示，一次秒拨攻击事件判定流程如下：
[0094]
①
初始化当前时间窗口(t1,t'1]，其中t'
i-ti为时间窗口长度x，t'
i+1-t'i＝t
i+1-ti为滑动间隔。初始化秒拨攻击事件时间集合秒拨事件时间列表ls＝[]。
[0095]
②
判定当前时间窗口(ti,t'i]内是否存在秒拨攻击事件，存在执行
③
，不存在则执行
④
。
[0096]
③
若此时时间集合si为空，则直接将当前时间窗口更新至时间集合，即si＝(ti,t'i]；若此时时间集合si不为空，更新时间集合得到si＝(tj,t'i]，执行
⑤
。
[0097]
④
判断当前时间窗口(ti,t'i]与时间集合si＝(tj,t'k]是否存在交集。若不存在交集，将上一时间集合si＝(tj,t'k]添加至秒拨事件时间列表ls＝[
…
,si]中，当前时间集合更新为其中时间段(tj,t'k]即为一次秒拨攻击事件持续时间。
[0098]
⑤
时间窗口右移，更新当前时间窗口为(t
i+1
,t'
i+1
]，执行
②
。
[0099]
最终，可得到秒拨事件时间列表ls＝[s0,
…
,si,
…
]。
[0100]
时间窗口的滑动间隔可以是基于给定的固定时间，也可以是根据新告警数据的到来，进行的实时滑动，若一直未有新告警，可定时进行刷新。
[0101]
滑动间隔的设定基于时间窗口大小，时间窗口不断后移滑动间隔大小，依次判断当前时间窗口是否存在秒拨攻击行为。从第一次出现秒拨攻击行为的时间起至向后的最近一次不存在秒拨攻击行为的时间窗口止，则将该段时间判定为秒拨攻击持续时间。
[0102]
各时间窗口的秒拨指数v各异，与秒拨阈值对比后，被认定为存在或不存在秒拨攻击行为。若某一段时间内被判定为存在秒拨攻击的时间窗口存在交集，则认为这一时间段为一次秒拨攻击事件。若连续的两次被判定为存在秒拨攻击的时间段，其时间间隔超过单位x时间，则认为属于两次秒拨攻击事件。
[0103]
如图3所示，当存在秒拨攻击行为的时间段，其在时间轴上的投影连续，则属于一次秒拨攻击事件；若其在时间轴上的投影出现间隔，则分属不同秒拨攻击事件。
[0104]
也就是说，对于任意时段内(超过时间窗口大小)的秒拨攻击行为识别，采用基于滑动窗口的定时检测机制，不断滑动时间窗口，得到各时间段内秒拨攻击事件情况。将被判定为存在秒拨攻击事件的时间窗口的交集所覆盖的时间，判定为一次秒拨攻击事件。
[0105]
进一步地，该方法还包括:
[0106]
在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示对秒拨攻击事件存在多记情况，将时间窗口的窗口长度x调大；若复核结果显示对秒拨攻击事件存在少记情况，将时间窗口的窗口长度x调小。
[0107]
进一步地，该方法还包括:
[0108]
在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示多记情况在所有秒拨攻击事件中占比为p
l
、少记情况在所有秒拨攻击事件中占比为ps，根据第一预设公式x
new
＝f
x
(x
old
,p
l
,ps)，对时间窗口的窗口长度x进行调整；
[0109]
第一预设公式x
new
＝f
x
(x
old
,p
l
,ps)具体可以但不限于为：
[0110][0111]
进一步地，该方法还包括：
[0112]
在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示某个时间窗口人工判定存在秒拨攻击事件，而步骤s4判定该时间窗口不存在秒拨攻击事件，将预设受攻击ip地址总数阈值y调小和/或将预设攻击ip地址平均攻击次数阈值z调大；若复核结果显示某个时间窗口人工判定不存在秒拨攻击事件，而步骤s4判定该时间窗口存在秒拨攻击事件，将预设受攻击ip地址总数阈值y调大和/或将预设攻击ip地址平均攻击次数阈值z调小。
[0113]
进一步地，该方法还包括：
[0114]
统计每个秒拨攻击事件的攻击ip地址的总数，得到所有秒拨攻击事件的攻击ip地址的总数集合ly＝[yi,y
i+1
…
,y
i+n
]；
[0115]
根据第二预设公式y
new
＝fy(y
old
,min(ly),ly)，对预设受攻击ip地址总数阈值y进行调整；
[0116]
统计每个秒拨攻击事件的攻击ip地址的平均攻击次数，得到所有秒拨攻击事件的攻击ip地址的平均攻击次数集合lz＝[zi,z
i+1
…
,z
i+n
]；
[0117]
根据第三预设公式z
new
＝fz(z
old
,max(lz),lz)，对预设攻击ip地址平均攻击次数阈值z进行调整。
[0118]
其中，可选地，第二预设公式y
new
＝fy(y
old
,min(ly),ly)具体可以但不限于为：
[0119]ymew
＝fy(y
old
,min(ly),ly)＝αyy
old
+βymin(ly)+γyavg(ly)
[0120]
其中，αy、βy、γy为预设系数；
[0121]
第三预设公式z
new
＝fz(z
old
,max(lz),lz)具体可以但不限于为：
[0122]znew
＝fz(z
old
,max(lz),lz)＝αzz
old
+βzmin(lz)+γzavg(lz)
[0123]
其中，αz、βz、γz为预设系数。
[0124]
换句话说，依据秒拨事件识别的结果，可以依次对各参数进行动态修正，共涉及x、y、z等几个参数。在参数尚未稳定的阶段，技术人员应定期或不定期对秒拨事件进行复盘。在复盘时，技术人员应依托输出时间窗口判定结果和秒拨事件认定结果，对自动计算的秒拨事件进行判定。
[0125]
(1)依据反馈修正x：
[0126]
时间窗口x的大小直接影响到秒拨事件的分割精度。在人工复核时，实际秒拨攻击事件与本发明输出的秒拨攻击事件之间会有三种情况：判断正确、少计、多计。
[0127]
判断正确即本发明对秒拨攻击事件的判定与实际情况一致。少计即本发明判定的某一次秒拨攻击事件实际上应为两次或更多次秒拨攻击事件，此时时间窗口x应调小。多计即本发明判定的多次秒拨攻击事件实际上属于同一次秒拨攻击事件，此时时间窗口x应调大。
[0128]
设近期多计的情况在所有反馈中占比为p
l
，少计的情况在所有反馈中占比为ps。时间窗口x的调整应依据少计与多计的占比在所有反馈中的占比关系，即：x
new
＝f
x
(x
old
,p
l
,ps)。
[0129]
举一个典型的公式作为这种调整的示例。
[0130]
若多计占比为100％，即p
l
＝1，少计占比为0，即ps＝0，时间窗口扩大，即x
new
＝1.5*x
old
。
[0131]
若多计占比为0％，即p
l
＝0％，少计占比为100％，即ps＝1，时间窗口缩小，即x
new
＝0.5*x
old
。
[0132]
在时间窗口x逐渐向实际情况收敛时，少计占比与多计占比都将较小，且数量接近，如少计占比约为5％，多计占比也为5％，此时x
new
≈x
old
。若x
new
和x
old
结果差异较小(如均小于5％)，可不做调整，为了防止时间窗口x的不稳定造成的反复调整，允许较小的误差存在。
[0133]
上述公式仅作为对调整时间窗口x的示例，实际产品中，可使用该公式，也可使用
其它公式。针对调整时间窗口x的变更公式可以有若干种，但其本质都是通过多计少计反馈变更时间窗口大小，只要涉及到依据多计少计反馈变更时间窗口大小，都属于本发明应当保护的方法。
[0134]
(2)依据反馈修正y、z：
[0135]
时间窗口内资产遭受的攻击ip地址个数阈值y与近期判定成功的秒拨攻击事件的攻击ip地址个数ly＝[yi,y
i+1
…
,y
i+n
]的下限有关，且应综合参考近期判定成功的秒拨攻击事件的攻击ip地址个数，即y
new
＝fy(y
old
,min(ly),ly)。
[0136]
若攻击ip地址个数阈值y过小，则容易将正常攻击事件判定为秒拨攻击事件，产生误报；若攻击ip地址个数阈值y过大，则容易将秒拨攻击事件判定为正常攻击事件，产生漏报。
[0137]
时间窗口内每个攻击ip地址的平均攻击次数阈值z与近期判定成功的秒拨攻击事件的每个攻击ip地址的平均攻击次数lz＝[zi,z
i+1
…
,z
i+n
]的上限有关，且应综合参考近期判定成功的秒拨攻击事件的每个攻击ip地址的平均攻击次数，即z
new
＝fz(z
old
,max(lz),lz)。
[0138]
若平均攻击次数阈值z过大，则容易将正常攻击事件判定为秒拨攻击事件，产生误报；若平均攻击次数阈值z过小，则容易将秒拨攻击事件判定为正常攻击事件，产生漏报。
[0139]
在技术人员复盘反馈时，应重新审视每个时间窗口的判定结果，若技术人员的判断结果与秒拨攻击识别模块的计算结果之间存在差异，应按照如下方式进行调整：若秒拨攻击识别模块判定某时间窗口不存在秒拨攻击行为，而技术人员判定存在，则应调小y或调大z，反之则调大y或调小z。
[0140]
以如下的示例作为上述调整的说明：
[0141]
设即时，该时间窗口内攻击的ip数量超过阈值y，且每ip攻击次数的平均值小于z，则认定秒拨攻击存在，否则认定不存在。
[0142]
若在某时间窗口而技术人员判定存在，此时应从数据反馈模块判断造成计算错误的原因(是由于y太大还是z太小)，对应修改y、z的阈值。在时间窗口x较为稳定的情况下，y、z可以快速收敛至能描述实际情况下的秒拨攻击数据。
[0143]
总的来说，在本发明实施例所使用的秒拨攻击识别方法是全新的：
[0144]
①
使用“在单位x时间内，存在大于或等于y个攻击ip地址对同一资产发起攻击行为(如扫描类)，且每个攻击ip地址在此时间内产生的攻击行为小于z次”来刻画一个时间窗口内的秒拨攻击行为；
[0145]
②
采用滑动窗口的方式区分不同起秒拨攻击事件的方法；
[0146]
③
依据秒拨攻击事件的实际情况，动态调整时间窗口内用于判定秒拨攻击的各参数的值、时间窗口滑动间隔等。
[0147]
本发明实施例所提供的方法中，部分内容不局限于上述描述所限制的形式，下列变更与描述的形式是等价的。
[0148]
1、上述对时间的描述中，默认采用分钟为单位。不局限于以分钟为单位，以秒或者其他时间长度作为基本单位，与上述描述的分钟是等价的。
[0149]
2、上述对公式的描述中，仅写明了相关参数变量，对公式的内部设计未作详细规定，只要参数变量类似，结果趋势一致，不同的计算方式是等价的。
[0150]
以下为各公式的一种简单形式举例：
[0151][0152][0153]
x
new
＝f
x
(x
old
,p
l
,ps)＝α
x
x
old
+β
x
p
l
+γ
x
ps[0154]ynew
＝fy(y
old
,min(ly),ly)＝αyy
old
+βymin(ly)+γyavg(ly)
[0155]znew
＝fz(z
old
,max(lz),lz)＝αzz
old
+βzmin(lz)+γzavg(lz)
[0156]
各公式的计算参数设计，包括但不限于上述形式。
[0157]
综上，考虑到秒拨攻击事件是攻击者利用秒拨攻击开展的一次连续攻击；连续攻击的特征是，网络攻击在时间上具有连续性(通常两次网络攻击的事件间隔不足1分钟)；从被攻击方来看，特征是能够通过安全设备检测到攻击者在不断切换ip，在连续的时间内对目标系统进行大量网络攻击；如果攻击者在中间存在中断后又开展的一次连续攻击，则可以认为是两次秒拨攻击事件。因此，上述一种秒拨攻击事件识别方法中，使用三个参数来刻画秒拨攻击行为，即短时间内(x时间窗口内)，大量ip(超过y)，通过快速变换ip(每个ip攻击次数小于z)开展攻击，很容易判断当前时间窗口内资产是否遭受秒拨攻击。
[0158]
上述一种秒拨攻击事件识别方法，能够从若干段时间窗口片段中自动提取出一次秒拨攻击事件，将时长未知的秒拨攻击事件划分体现在众多时间片段中，适用于不同时长的秒拨攻击事件。
[0159]
上述一种秒拨攻击事件识别方法，设置若干指标定量描述秒拨攻击。还可以依据实际情况自动动态修正各关键参数值，可扩展性强。根据实际业务动态调整上述指标，降低秒拨攻击识别的误差。
[0160]
本发明实施例所提供的方法主要试图实现客观判断，专业人员的感觉主要用于数据反馈阶段用于调整x、y、z，使得本专利的秒拨判定结果最终接近于专业人员的判断，形成较为客观的秒拨事件判定。
[0161]
本发明实施例针对秒拨攻击识别的实际需求，以形式化的描述建立了一套完整的秒拨攻击事件识别方法，能够通过输入来自网络安全设备(ids/ips等)的安全告警数据，“自动识别”本单位是否遭受秒拨攻击，避免了人为主观的识别，降低了企业的人力成本，提高了自动化取证程度。
[0162]
应该理解的是，虽然图1的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0163]
在一个实施例中，提供了一种秒拨攻击事件识别装置，其包括实时数据读取模块、秒拨攻击识别模块、秒拨事件判定模块、数据反馈模块，相互关系如图4所示。具体来说：
[0164]
实时数据读取模块：从安全防护设备和安全检测设备中获取资产访问情况的实时
安全告警数据，从中提取受攻击资产ip地址，攻击源ip地址等信息，该数据是本产品分析秒拨攻击事件的基础源数据。
[0165]
秒拨攻击识别模块：接收来自实时数据读取模块获取的信息，统计时间窗口内资产的被访问频次z、访问ip地址数量y等信息，计算该段时间各被访问资产的秒拨指数，判断该段时间是否存在秒拨攻击。秒拨攻击识别模块主要解决单个时间窗口内秒拨攻击事件的判定。
[0166]
秒拨事件判定模块：基于秒拨攻击识别模块对若干时间窗口秒拨攻击的分析结果，基于滑动窗口分析时间段内的秒拨攻击事件情况，得出秒拨攻击事件持续时间，区分不同的秒拨攻击事件。一次秒拨攻击事件的判定需要依据不同的访问资产进行区分(注意资产并非于ip地址一一对应，一项资产也可以对应多个ip地址)。秒拨事件判定模块采用基于滑动窗口的定时检测机制，主要解决任意时段内一次秒拨攻击事件的区分。
[0167]
数据反馈模块：依据秒拨攻击事件的实际情况、秒拨事件判定模块的结果，动态调整秒拨攻击识别模块、秒拨事件判定模块各参数。
[0168]
总的来说，在该秒拨攻击事件识别装置中，数据流向图如图5所示。秒拨攻击事件识别装置接收两类输入，一类是来自安全防护设备和安全监测设备或其它安全软硬件(即只要能产生安全方面的告警，无论是软件还是硬件，都可以作为本专利的输入)的实时告警数据，另一类是根据实际情况进行的人工调整及秒拨攻击事件判别结果的动态反馈(反馈事件不是直接调整x、y、z参数)。秒拨攻击事件识别装置的输出信息为秒拨攻击事件的判别结果。
[0169]
数据反馈模块是辅助步骤，初始情况下各参数需由人工设定。初期由于缺乏数据，可结合数据反馈模块的结果及人工调整。当各参数值趋于平稳时，数据反馈模块所起的作用减弱，不需要每次经数据反馈模块调整。
[0170]
也就是说，如图6所示，该秒拨攻击事件识别装置的设计整体流程为：
[0171]
首先从各类安全软硬件获取(如ids、ips)获取资产的实时安全告警数据，判定时间窗口内是否存在秒拨攻击事件；
[0172]
依据各时间窗口的秒拨攻击情况，采用滑动窗口的方式，判定这些时间窗口内的秒拨攻击情况，是否属于同一次秒拨攻击事件。
[0173]
最后，得到秒拨攻击事件判定结果，结合秒拨攻击实际情况，反馈修正上述几个调节变量(x、y、z)、滑动间隔等。
[0174]
在该秒拨攻击事件识别装置中，最优流程相对基本流程加入了数据反馈模块，可对各参数自动动态调优，使产品有更高的适用性。
[0175]
在一个实施例中，如图7所示，提供了一种秒拨攻击事件识别系统，包括以下程序模块：
[0176]
安全告警数据获取模块701，用于实时获取网络安全设备采集到的关于资产访问情况的安全告警数据，从所述安全告警数据中提取出每个资产的实时攻击源ip地址；
[0177]
滑动时间窗口建立模块702，用于建立滑动时间窗口，所述时间窗口的窗口长度为x；初始化当前时间窗口(t1,t'1]，初始化秒拨攻击事件时间集合初始化秒拨事件时间列表ls＝[]；
[0178]
统计模块703，用于对于每个资产，根据提取出的实时攻击源ip地址，统计在当前
时间窗口(ti,t'i]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数；
[0179]
秒拨攻击识别模块704，用于对于每个资产，根据在当前时间窗口(ti,t'i]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数，判断在当前时间窗口(ti,t'i]内该资产是否存在秒拨攻击事件；若存在，转到第一判定模块705，若不存在，转到第二判定模块706；
[0180]
第一判定模块705，用于若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
为将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(ti,t'i]；转到循环模块707；
[0181]
若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
不为即s
i-1
＝(tj,t'k]，将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(tj,t'i]；转到循环模块707；
[0182]
第二判定模块706，用于若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
为当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si为转到循环模块707；
[0183]
若上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
不为即s
i-1
＝(tj,t'k]，判断当前时间窗口(ti,t'i]与上一时间窗口(t
i-1
,t'
i-1
]相应秒拨攻击事件时间集合s
i-1
＝(tj,t'k]是否存在交集；
[0184]
当存在交集，将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为(tj,t'k]；转到循环模块707；
[0185]
当不存在交集，将s
i-1
＝(tj,t'k]添加至秒拨事件时间列表ls＝[
…
,s
i-1
]，(tj,t'k]即为对某个资产的一次秒拨攻击事件的持续时间；将当前时间窗口(ti,t'i]相应秒拨攻击事件时间集合si更新为转到循环模块707；
[0186]
循环模块707，用于滑动窗口以滑动间隔向右进行滑动，将当前时间窗口(ti,t'i]更新为(t
i+1
,t'
i+1
]，使统计模块703至循环模块707重复工作。
[0187]
关于一种秒拨攻击事件识别系统的具体限定可以参见上文中对于一种秒拨攻击事件识别方法的限定，在此不再赘述。上述一种秒拨攻击事件识别系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0188]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述一种秒拨攻击事件识别方法。
[0189]
本领域技术人员可以理解，图8中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0190]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，涉及上述实施例方法中的全部或部分流程。
[0191]
在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，涉及上述实施例方法中的全部或部分流程。
[0192]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0193]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0194]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。

技术特征：
1.一种秒拨攻击事件识别方法，其特征在于，包括：s1，实时获取网络安全设备采集到的关于资产访问情况的安全告警数据，从所述安全告警数据中提取出每个资产的实时攻击源ip地址；s2，建立滑动时间窗口，所述时间窗口的窗口长度为x；初始化当前时间窗口(t1，t
′1]，初始化秒拨攻击事件时间集合初始化秒拨事件时间列表l
s
＝[]；s3，对于每个资产，根据提取出的实时攻击源ip地址，统计在当前时间窗口(t
i
，t
′
i
]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数；s4，对于每个资产，根据在当前时间窗口(t
i
，t
′
i
]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数，判断在当前时间窗口(t
i
，t
′
i
]内该资产是否存在秒拨攻击事件；若存在，执行步骤s5，若不存在，执行步骤s6；s5，若上一时间窗口(t
i-1
，t
′
i-1
]相应秒拨攻击事件时间集合s
i-1
为将当前时间窗口(t
i
，t
′
i
]相应秒拨攻击事件时间集合s
i
更新为(t
i
，t
′
i
]；执行步骤s7；若上一时间窗口(t
i-1
，t
′
i-1
]相应秒拨攻击事件时间集合s
i-1
不为即s
i-1
＝(t
j
，t
′
k
]，将当前时间窗口(t
i
，t
′
i
]相应秒拨攻击事件时间集合s
i
更新为(t
j
，t
′
i
]；执行步骤s7；s6，若上一时间窗口(t
i-1
，t
′
i-1
]相应秒拨攻击事件时间集合s
i-1
为当前时间窗口(t
i
，t
′
i
]相应秒拨攻击事件时间集合s
i
为执行步骤s7；若上一时间窗口(t
i-1
，t
′
i-1
]相应秒拨攻击事件时间集合s
i-1
不为即s
i-1
＝(t
j
，t
′
k
]，判断当前时间窗口(t
i
，t
′
i
]与上一时间窗口(t
i-1
，t
′
i-1
]相应秒拨攻击事件时间集合s
i-1
＝(t
j
，t
′
k
]是否存在交集；当存在交集，将当前时间窗口(t
i
，t
′
i
]相应秒拨攻击事件时间集合s
i
更新为(t
j
，t
′
k
]；执行步骤s7；当不存在交集，将s
i-1
＝(t
j
，t
′
k
]添加至秒拨事件时间列表l
s
＝[...，s
i-1
]，(t
j
，t
′
k
]即为对某个资产的一次秒拨攻击事件的持续时间；将当前时间窗口(t
i
，t
′
i
]相应秒拨攻击事件时间集合s
i
更新为执行步骤s7；s7，滑动窗口以滑动间隔向右进行滑动，将当前时间窗口(t
i
，t
′
i
]更新为(t
i+1
，t
′
i+1
]，重复执行步骤s3-s7。2.根据权利要求1所述的秒拨攻击事件识别方法，其特征在于，所述滑动间隔小于或等于x/2。3.根据权利要求1所述的秒拨攻击事件识别方法，其特征在于，在步骤s4中，对于每个资产，若在当前时间窗口(t
i
，t
′
i
]内该资产的受攻击ip地址总数大于或等于预设受攻击ip地址总数阈值y，并且每个攻击ip地址的平均攻击次数小于预设攻击ip地址平均攻击次数阈值z，则判定在当前时间窗口内(t
i
，t
′
i
]内该资产存在秒拨攻击事件。4.根据权利要求1所述的秒拨攻击事件识别方法，其特征在于，在步骤s4中，对于每个资产，根据在当前时间窗口(t
i
，t
′
i
]内该资产的受攻击ip地址总数以及每个攻击ip地址的平均攻击次数计算该资产的秒拨攻击指数计算该资产的秒拨攻击指数若该资产的秒拨攻击指数达到预设秒拨阈值v
ref
，则判定在当前时间窗口(t
i
，t
′
i
]内该资产存在秒拨攻击事件；若该资产的秒拨攻击指数未达到预设秒拨阈值v
ref
，则判定在当前时间窗
口(t
i
，t
′
i
]内该资产不存在秒拨攻击事件。5.根据权利要求4所述的秒拨攻击事件识别方法，其特征在于，秒拨攻击指数的计算公式具体为：其中，α
i
、β
i
和γ
i
为预设系数。6.根据权利要求1所述的秒拨攻击事件识别方法，其特征在于，所述方法还包括：在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示对秒拨攻击事件存在多记情况，将时间窗口的窗口长度x调大；若复核结果显示对秒拨攻击事件存在少记情况，将时间窗口的窗口长度x调小。7.根据权利要求1所述的秒拨攻击事件识别方法，其特征在于，所述方法还包括：在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示多记情况在所有秒拨攻击事件中占比为p
l
、少记情况在所有秒拨攻击事件中占比为p
s
，根据第一预设公式x
new
＝f
x
(x
old
，p
l
，p
s
)，对时间窗口的窗口长度x进行调整；所述第一预设公式x
new
＝f
x
(x
old
，p
l
，p
s
)具体为：8.根据权利要求3所述的秒拨攻击事件识别方法，其特征在于，在人工对得到的所有秒拨攻击事件进行复核后，若复核结果显示某个时间窗口人工判定存在秒拨攻击事件，而步骤s4判定该时间窗口不存在秒拨攻击事件，将所述预设受攻击ip地址总数阈值y调小和/或将所述预设攻击ip地址平均攻击次数阈值z调大；若复核结果显示某个时间窗口人工判定不存在秒拨攻击事件，而步骤s4判定该时间窗口存在秒拨攻击事件，将所述预设受攻击ip地址总数阈值y调大和/或将所述预设攻击ip地址平均攻击次数阈值z调小。9.根据权利要求3所述的秒拨攻击事件识别方法，其特征在于，所述方法还包括：统计每个秒拨攻击事件的攻击ip地址的总数，得到所有秒拨攻击事件的攻击ip地址的总数集合l
y
＝[y
i
，y
i+1
...，y
i+n
]；根据第二预设公式y
new
＝f
y
(y
old
，min(l
y
)，l
y
)，对所述预设受攻击ip地址总数阈值y进行调整；统计每个秒拨攻击事件的攻击ip地址的平均攻击次数，得到所有秒拨攻击事件的攻击ip地址的平均攻击次数集合l
z
＝[z
i
，z
i+1
...，z
i+n
]；根据第三预设公式z
new
＝f
z
(z
old
，max(l
z
)，l
z
)，对所述预设攻击ip地址平均攻击次数阈值z进行调整。10.根据权利要求9所述的秒拨攻击事件识别方法，其特征在于，所述第二预设公式y
new
＝f
y
(y
old
，min(l
y
)，l
y
)具体为：y
new
＝f
y
(y
old
，min(l
y
)，l
y
)＝α
y
y
old
+β
y
min(l
y
)+γ
y
avg(l
y
)其中，α
y
、β
y
、γ
y
为预设系数；所述第三预设公式z
new
＝f
z
(z
old
，max(l
z
)，l
z
)具体为：z
new
＝f
z
(z
old
，max(l
z
)，l
z
)＝α
z
z
old
+β
z
min(l
z
)+γ
z
avg(l
z
)其中，α
z
、β
z
、γ
z
为预设系数。

技术总结
本发明公开了一种秒拨攻击事件识别方法。方法包括：实时获取网络安全设备的关于资产访问情况的安全告警数据；建立滑动时间窗口；对于每个资产，统计在当前时间窗口内该资产的攻击IP地址总数以及每个攻击IP地址的平均攻击次数；对于每个资产，判断在当前时间窗口内该资产是否存在秒拨攻击事件；基于滑动窗口分析时间段内的秒拨攻击事件情况，得出秒拨攻击事件持续时间，区分不同的秒拨攻击事件。本发明所提供的方法能够从若干段时间窗口片段中自动识别出秒拨攻击事件，将时长未知的秒拨攻击事件划分体现在众多时间片段中；该方法能够自动识别企业是否遭受秒拨攻击，避免了人为主观的识别，降低了企业的人力成本，提高了自动化取证程度。取证程度。取证程度。


技术研发人员：李清波 刘安 夏昂 王子萌 程杰 李晓勐 石进 胡威 刘孟奇 林冰洁 魏家辉 张哲宁 李成巍 曹耀夫 刘俊文 闫俊璐 赵景程 李慧敏 卢腾 崔兆伟 翟曲 张振业 潘欣 戴大维
受保护的技术使用者：国家电网有限公司信息通信分公司
技术研发日：2023.05.31
技术公布日：2023/9/14