(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111522637.3 (22)申请日 2021.12.13 (71)申请人 北京影安电子科技有限公司 地址 102108 北京市延庆区中关村延庆园 风谷四路8号院27号楼646室 (72)发明人 全威　谢景扬　 (74)专利代理 机构 安徽思沃达知识产权代理有 限公司 342 20 代理人 李诺 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) H04L 43/16(2022.01) (54)发明名称 一种网络攻击者的发现和追 踪方法 (57)摘要 本发明适用于计算机领域， 提供了一种网络 攻击者的发现和追踪方法， 使用WEB指纹匹配算 法， 将指纹数据与历史攻击者指纹数据进行逐一 匹配， 得出指纹匹配向量； 使用攻击者判定算法， 将指纹匹配向量与指纹数据权重向量进行计算， 得出匹配分值； 判定匹配分值是否大于攻击者阈 值， 如大于阈值， 则判定为旧有 攻击者； 如小于阈 值， 则判定为新出现攻击者。 引入新的网络安全 防守视角， 使发现并追踪网络攻击者成为可能， 化被动防御为主动防御， 在发现和追踪网络攻击 者的基础上， 就可以建立针对攻击者的情报体 系， 使网络安全防护的效能在新的视角下得到提 高。 权利要求书2页 说明书5页 附图3页 CN 114205161 A 2022.03.18 CN 114205161 A 1.一种网络攻击者的发现和追踪方法， 其特 征在于， 所述方法包括： 通过蜜罐获取攻击者的原始WEB指纹数据， 对数据进行提取， 对所提取的指纹数据进行 数据预处 理； 使用WEB指纹匹配算法， 将指纹数据与历史攻击者指纹数据进行逐一匹配， 得出指纹匹 配向量； 使用攻击者判定算法， 将指纹匹配向量与指纹数据权 重向量进行计算， 得 出匹配分值； 判定匹配分值是否大于攻击者阈值， 如大于阈值， 则判定为旧有攻击者； 如小于阈值， 则判定为 新出现攻击者； 无论阈值判定结果如何， 均会将指纹向量保存 入历史攻击者指纹数据集。 2.如权利要求1所述的网络攻击者的发现和追踪方法， 其特征在于， 所述通过蜜罐获取 攻击者的原始 WEB指纹数据， 对数据进 行提取， 对所提取的指纹数据进 行数据预 处理步骤中 的指纹提取和数据预处理动作包括： 检查指纹数据规范性与完整性， 根据预设定的数据格 式， 提取有效指纹数据， 删除无用数据， 将数据转换成计算机可读形式； 所述指纹数据的类 别包括网络指纹、 软件指纹和硬件指纹。 3.如权利要求1所述的网络攻击者的发现和追踪方法， 其特征在于， 所述使用WEB指纹 匹配算法， 还 会将新采集的攻击者指纹数据与所有历史攻击者指纹数据进行 逐一匹配； 所述WEB指纹匹配算法在执行过程中， 会将单一的指纹数据集中的多个指纹数据， 所述 指纹按类别划分为关键性指纹和非关键性指纹。 4.如权利要求3所述的网络攻击者的发现和追踪方法， 其特征在于， 所述将指纹数据与 历史攻击者指纹数据进行逐一匹配具体包括： 对于关键性指纹， 是通过相同性匹配方法进 行匹配， 如果两组指纹的关键性指纹完全相同， 则认为匹配成功； 反之则匹配失败； 对于非 关键性指纹， 是通过指纹相似度匹配算法进行匹配， 如果两组指纹的非关键性指纹的字符 串距离小于阈值， 则认为匹配成功； 反之则匹配失败； 所述相似度算法具体为SimHash字符 串距离算法或Levenshtei n字符串距离算法。 5.如权利要求3所述的网络攻击者的发现和追踪方法， 其特征在于， 所述非关键性指纹 的指纹相似度匹配算法中， 非关键性指纹相似度阈值的赋值是基于机器学习方法得到的， 基于大量网络攻防实验采集的数据， 构造出同一个攻击者的所有指纹集中特定非关键性指 纹的距离取值模型， 进行训练后调优得到的阈值赋值。 6.如权利要求1所述的网络攻击者的发现和追踪方法， 其特征在于， 所述指纹匹配向量 中， 每个向量元素代表了每个指纹数据匹配的结果， 取值0或1； 0代表匹配不成功， 1代表匹 配成功。 7.如权利要求1所述的网络攻击者的发现和追踪方法， 其特征在于， 所述历史攻击者指 纹数据集中的每一条数据， 代表了已经采集到的攻击者指纹数据， 通过与新采集到的攻击 者指纹数据的逐一匹配， 进而能够判定本次访问对象是已出现的攻击者还 是新出现的攻击 者， 在成功匹配后， 从而实现对攻击者的追踪能力。 8.如权利要求1所述的网络攻击者的发现和追踪方法， 其特征在于， 所述攻击者判定算 法， 其中的指纹数据权重的赋值， 是以机器学习方法为基础， 由大量网络攻防实验采集到的 指纹数据和攻击者的关系， 构造出所有指纹数据对指纹和 攻击者对应关系的贡献度模型， 再通过数据训练得 出的调优权 重取值。权　利　要　求　书 1/2 页 2 CN 114205161 A 29.如权利要求1所述的网络攻击者的发现和追踪方法， 其特征在于， 所述指纹匹配向量 与指纹数据权重向量进 行的计算， 包括向量点乘计算， 以及向量元素求和， 最 终得到匹配分 值。 10.如权利要求1 ‑9任一所述的网络攻击者的发现和追踪方法， 其特征在于， 所述攻击 者阈值， 是以机器学习 方法为基础， 由大量网络攻防实验采集到的实际攻击者指纹归属情 况的数据， 构造攻击者判定算法得出 的分值与攻击者的对应取值范围的模型， 进行数据训 练后得出的相对客观的阈值。权　利　要　求　书 2/2 页 3 CN 114205161 A 3