(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111597781.3 (22)申请日 2021.12.24 (71)申请人 国家计算机网络与信息安全管理中 心 地址 100029 北京市朝阳区裕民路甲3号 (72)发明人 朱天　温森浩　姚力　赵陈菲　 张喆　吴铁军　 (74)专利代理 机构 北京中原华和知识产权代理 有限责任公司 1 1019 代理人 饶黄裳　寿宁 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于核心攻击资源的网络攻击团伙融合方 法 (57)摘要 本发明是有关于一种基于核心攻击资源的 网络攻击团伙融合方法， 其基于核心攻击资源的 相似程度来进行关联， 基于安全知识定义关联分 组以及计算基于关联分组的团伙间的相似度。 针 对N类拥有不同行为的团伙进行融合， 本发明采 用的是递进式的融合方式， 先对两类网络攻击团 伙进行融合， 两类网络攻击团伙融合工作完成 后， 其融合结果将作为一类新的团伙， 继续与其 他尚未进行融合的类别进行融合操作， 直至所有 类别的团伙融合完毕。 本发明有效的解决常规数 据挖掘方法团伙发现不全面的问题， 使其能挖掘 出团伙所拥有的更多攻击资源和攻击行为， 提高 了网络攻击团伙发现的完整性和准确性。 权利要求书1页 说明书7页 附图5页 CN 114389857 A 2022.04.22 CN 114389857 A 1.一种基于核心攻击资源的网络攻击团伙融合方法， 其特 征在于： 其具体步骤如下： 步骤1： 获取 所有团伙的核心攻击资源的相关数据， 并将其作为 参与关联的实体； 步骤2:对不同类型的网络攻击团伙进行编号， 并对每类网络攻击团伙的核心攻击资源 进行分组关联； 步骤3： 分析步骤2中的多种关联分组， 判断团伙之间是否关联成功； 步骤4： 团伙关联成功后， 统计关联实体对应的团伙资源的集合， 评估基础团伙间的关 联程度； 步骤5： 基于步骤3和步骤4的计算结果， 利用相似度算法计算团伙两 两间的相似度； 步骤6： 通过加权融合得到最终相似度， 并基于设定阈值筛选出团伙对进行融合， 得到 融合结果。 2.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法， 其特征在于： 所 述的核心攻击资源是基于安全知识， 预 先定义不同类别团伙能进行关联的核心资源。 3.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法， 其特征在于： 所 述的统计其关联实体对应的团伙资源的集合是针对每一组关联分组中关联实体对应的团 伙资源集 合， 是从对应的团伙的数据中得到的所有该关联实体组成的集 合。 4.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法， 其特征在于： 步 骤5中所述的相似度算法使用Jaccard相似度 原理对两团伙间的相似度进 行计算， 具体计算 公式如下: 其中： A为团伙1的关联实体集 合， B为团伙2的关联实体集 合。 5.根据权利要求1所述的基于核心攻击资源的网络攻击团伙融合方法， 其特征在于： 所 述的阀值是基于实际的团伙数据和安全知识来确定阈值。 6.根据权利要求1 ‑5中任意一项所述的基于核心攻击资源的网络攻击团伙融合方法， 其特征在于： 还包括： 当前两类网络攻击团伙的融合工作完成后， 其融合结果将作为一类新 的团伙， 继续与其 他尚未进行融合的类别进行融合操作， 直至所有类别的团伙融合完毕。权　利　要　求　书 1/1 页 2 CN 114389857 A 2基于核心攻 击资源的网 络攻击团伙融合 方法 技术领域 [0001]本发明涉及 一种网络安全技术领域， 特别是涉及 一种基于核心攻击资源的网络攻 击团伙融合方法。 背景技术 [0002]当前， 通过常规数据挖掘方法发现的网络攻击团伙通常会包含一种或多种攻击行 为。 例如针对僵尸网络团伙进行检测或挖掘时， 通常会基于已有的通信 数据利用k ‑means、 社区发现等常规的数据挖掘的聚类方法来找到具有僵尸网络行为的团伙。 例如李晓桢等人 总结了僵尸网络的三要素(恶意、 可控、 主机群)和C&C的三种机制(集中式、 P2P、 随机)。 首先 检测网络流量中的通信过程和恶意行为， 采用一种改进的k ‑均值聚类算法—x ‑均值算法对 检测结果进行聚类得出僵尸主机。 同样地， 对于一个webshell团伙， 也是会基于攻击者使用 的攻击工具或者攻击动作等来找到攻击者之间的关联关系， 从而通过聚类方法来挖掘 webshell团伙。 [0003]而在真实的网络世界中， 网络攻击行为常常以规模且分布式的呈现， 这种呈现是 因为攻击者通常是以团伙的方式来进 行网络攻击。 网络团伙攻击通常会基于一定的攻击手 法， 利用团伙所拥有的大规模攻击资源对攻击目标发起攻击， 其中往往带有一定获取情报 以及利益等 目标， 具有极高的威胁。 当前绝大多数基于上述数据挖掘方法挖掘 到的网络攻 击团伙通常会包含一种或多种攻击行为。 但这些攻击行为是否为该团伙的全部攻击行为， 或通过其他方法发现的具有不同攻击行为的网络攻击团伙与该团伙是否存在某种关系， 均 无法直接得到证实。 [0004]有鉴于上述现有的技术存在的缺陷， 本 发明人经过不断的研究、 设计， 并经反复试 作及改进后， 终于创设出确具实用价 值的本发明。 发明内容 [0005]本发明的主要 目的在于， 克服现有的技术存在的缺陷， 而提供一种新的基于核心 攻击资源的网络攻击团伙融合方法， 所要解决 的是基于 常规数据挖掘方法团伙发现不够全 面的技术问题， 使其通过团伙间的融合可以有效的挖掘出团伙所拥有的更多攻击资源和攻 击行为， 非常适于实用。 [0006]本发明的另一目的在于， 提供一种新的基于核心攻击资源的网络攻击团伙融合方 法， 所要解决的技术问题是使其发掘出团伙更多的攻击资源和攻击行为， 提高团伙发现的 完整性和准确性， 从而更加适于实用。 [0007]本发明的构思是： 不同类型的网络攻击团伙之间可能因为拥有相同的攻击资源而 具有一定的关联性， 基于这种关联性可以使得团伙之间进行融合。 通过团伙间的融合可以 有效的解决常规数据挖掘方法团伙发现不够全面的问题， 并挖掘出团伙所拥有的更多攻击 资源和攻击行为。 例如， 一个僵尸网络(Botnet)团伙和一个利用webshell操控网站的网站 攻击团伙， 分别拥有木马控制行为和利用webshell的网站攻击行为。 两个团伙可能会因为说　明　书 1/7 页 3 CN 114389857 A 3