一種網絡協同攻擊風暴源檢測方法及裝置制造方法及圖紙

本發明專利技術較佳實施例提供的網絡協同攻擊風暴源檢測方法及裝置，通過對網絡攻擊事件集建立三維數據模型以獲取風暴時間區間，并對所述風暴時間區間內的網絡攻擊事件進行結合神經網絡模型預估和基于K階矩的離散度分析、偏度分析及峰度分析，排除具有周期性行為相關性的攻擊事件，獲取最終的風暴源事件。與傳統的基于動態基線的風暴源檢測方法相比，具有更為精確合理的風暴源事件捕獲特性，基于相同的特征數據庫，具有分析維度多樣化、對網絡攻擊事件的協同性分析深入、數據表達更直觀的優勢。

【技術實現步驟摘要】

本專利技術涉及網絡安全
，具體而言，涉及一種網絡協同攻擊風暴源檢測方法及裝置。
技術介紹
隨著網絡攻擊技術和工具的發展演變，網絡攻擊方式不斷朝著自動化、智能化、協同化方向發展，其中協同化網絡攻擊借助自身隱蔽性好、可靠性高等特征在黑客組織得到大范圍的傳播和應用。目前，絕大多數企業或機構已經實現傳統服務模式到互聯網服務模式的轉變，面對多領域業務擴展、大量的用戶群體和快速變化的網絡環境，協同攻擊因其協同關系復雜和協同節點眾多，使傳統的基于動態基線控制的檢測方式無法適應現有安全運維環境。該種傳統網絡協同攻擊風暴源檢測方式存在如下缺陷：短時間的動態基線閾值不能排除風暴點行為相關性，易造成風暴特性誤判；協同攻擊風暴點的挖掘沒有專業的技術體系，僅是傳統的數量級統計方式；風暴點協作性判定尚未實現，只關注變化趨勢，缺少對風暴本身產生原因的最終調查。
技術實現思路
有鑒于此，本專利技術的目的在于提供一種網絡協同攻擊風暴源檢測方法及裝置。一方面，本專利技術較佳實施例提供一種網絡協同攻擊風暴源檢測方法，該方法包括：對網絡攻擊事件集建立三維數據模型，并計算得到該三維數據模型的異常時間區間；獲取所述異常時間區間的神經網絡模型預測結果，以根據該神經網絡模型預測結果及異常時間區間內的網絡攻擊事件數量，得到該異常時間區間內的風暴時間區間；獲取所述風暴時間區間內的所有網絡攻擊事件構成第一事件集，并計算所述第一事件集內每一個網絡攻擊事件所對應的絕對事件數量分布矩陣的標準差，以根據該標準差的計算結果從所述第一事件集中提取存在非周期性行為相似特性的網絡攻擊事件構成第二事件集；對所述第二事件集中的每一個網絡攻擊事件按照預設的周期頻率建立事件數量的頻率分布圖，計算該頻率分布圖的偏度系數，并根據所述偏度系數從所述第二事件集中提取頻率分布異常的網絡攻擊事件構成第三事件集；分別計算第三事件集中的每一個網絡攻擊事件所對應的實時事件數量趨勢圖及頻率分布圖的峰度系數，根據該峰度系數的計算結果從所述第三事件集中提取峰度系數大于預設閾值的網絡攻擊事件構成第四事件集；以及判斷該第四事件集中每一個網絡攻擊事件的周期性行為相關性，并根據判斷結果從所述第四事件集中提取不具有周期性行為相關性的網絡攻擊事件構成最終的風暴源事件集。另一方面，本專利技術較佳實施例提供一種網絡協同攻擊風暴源檢測裝置，該裝置包括：異常時間區間計算模塊，用于對網絡攻擊事件集建立三維數據模型，并計算得到該三維數據模型的異常時間區間；風暴區間獲取模塊，用于獲取所述異常時間區間的神經網絡模型預測結果，以根據該神經網絡模型預測結果及異常時間區間內的網絡攻擊事件數量，得到該異常時間區間內的風暴時間區間；標準差計算模塊，用于獲取所述風暴時間區間內的所有網絡攻擊事件構成第一事件集，并計算所述第一事件集內每一個網絡攻擊事件所對應的絕對事件數量分布矩陣的標準差，以根據該標準差的計算結果從所述第一事件集中提取存在非周期性行為相似特性的網絡攻擊事件構成第二事件集；偏度系數計算模塊，用于對所述第二事件集中的每一個網絡攻擊事件按照預設的周期頻率建立事件數量的頻率分布圖，計算該頻率分布圖的偏度系數，并根據所述偏度系數從所述第二事件集中提取頻率分布異常的網絡攻擊事件構成第三事件集；峰度系數計算模塊，用于分別計算第三事件集中的每一個網絡攻擊事件所對應的實時事件數量趨勢圖及頻率分布圖的峰度系數，根據該峰度系數的計算結果從所述第三事件集中提取峰度系數大于預設閾值的網絡攻擊事件構成第四事件集；及風暴源獲取模塊，用于判斷該第四事件集中每一個網絡攻擊事件的周期性行為相關性，并根據判斷結果從所述第四事件集中提取不具有周期性行為相關性的網絡攻擊事件構成最終的風暴源事件集。本專利技術較佳實施例提供的網絡協同攻擊風暴源檢測方法及裝置，結合神經網絡模型預估和基于K階矩的離散度分析、偏度分析及峰度分析排除行為相關性風暴源事件，與傳統的基于動態基線的風暴源檢測方法相比，具有更為精確合理的風暴源事件捕獲特性，基于相同的特征數據庫，具有分析維度多樣化、對網絡攻擊事件的協同性分析深入、數據表達更直觀的優勢。附圖說明為了更清楚地說明本專利技術實施例的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，應當理解，以下附圖僅示出了本專利技術的某些實施例，因此不應被看作是對范圍的限定，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他相關的附圖。圖1為本專利技術較佳實施例提供的數據處理設備的示意性結構框圖；圖2為本專利技術較佳實施例提供的網絡協同攻擊風暴源檢測方法的流程圖；圖3為本專利技術較佳實施例提供的一種絕對事件數量分布矩陣的示意圖；圖4為本專利技術較佳實施例提供的一種示意性頻率分布圖；圖5為本專利技術較佳實施例提供的網絡協同攻擊風暴源檢測裝置的功能模塊框圖。附圖標記：數據處理設備100風暴區間獲取模塊420存儲器200標準差計算模塊430處理器300偏度系數計算模塊440網絡協同攻擊風暴源檢測裝置400峰度系數計算模塊450異常時間區間計算模塊410風暴源獲取模塊460具體實施方式為使本專利技術實施例的目的、技術方案和優點更加清楚，下面將結合本專利技術實施例中的附圖，對本專利技術實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本專利技術一部分實施例，而不是全部的實施例。通常在此處附圖中描述和示出的本專利技術實施例的組件可以以各種不同的配置來布置和設計。應注意到：相似的標號和字母在下面的附圖中表示類似項，因此，一旦某一項在一個附圖中被定義，則在隨后的附圖中不需要對其進行進一步定義和解釋。因此，以下對在附圖中提供的本專利技術的實施例的詳細描述并非旨在限制要求保護的本專利技術的范圍，而是僅僅表示本專利技術的選定實施例。基于本專利技術中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本專利技術保護的范圍。如圖1所示，是本較佳實施例提供的一種數據處理設備100的示意性結構框圖。該數據處理設備100包括存儲器200、處理器300以及網絡協同攻擊風暴源檢測裝置400。所述數據處理設備100可以是計算機或其他任意具有數據處理能力的計算設備。所述存儲器200與處理器300之間直接或間接地電性連接，以實現數據的傳輸或交互。例如，可通過一條或多條通訊總線或信號線實現電性連接。所述網絡協同攻擊風暴源檢測裝置400包括至少一個可以軟件或固件(firmware)的形式存儲于所述存儲器200中或固化在所述數據處理設備100的操作系統(operating system，OS)中的軟件功能模塊。所述處理器300用于執行存儲器200中存儲的可執行模塊，例如所述網絡協同攻擊風暴源檢測裝置400包括的軟件功能模塊或計算機程序。所述處理器300在接收到執行指令后，執行所述功能模塊或程序，下述本專利技術任一實施例揭示的流過程定義的服務器所執行的方法可以應用于處理器300中，或者由處理器300實現。請參閱圖2，是本專利技術較佳實施例提供的網絡協同攻擊風暴源檢測方法的流程圖。下面將對圖2所示的具體流程及步驟進行詳細闡述。步驟S101，對網絡攻擊事件集建立三維數據模型，并計算得到該三維數據模型的異常時間區間。首先，對用戶系統的網絡日志進行關聯分析得到網絡攻擊事件集。然后對該網絡攻擊事件集建立三維數據模型本文檔來自技高網...

【技術保護點】
一種網絡協同攻擊風暴源檢測方法，其特征在于，該方法包括：對網絡攻擊事件集建立三維數據模型，并計算得到該三維數據模型的異常時間區間；獲取所述異常時間區間的神經網絡模型預測結果，以根據該神經網絡模型預測結果及異常時間區間內的網絡攻擊事件數量，得到該異常時間區間內的風暴時間區間；獲取所述風暴時間區間內的所有網絡攻擊事件構成第一事件集，并計算所述第一事件集內每一個網絡攻擊事件所對應的絕對事件數量分布矩陣的標準差，以根據該標準差的計算結果從所述第一事件集中提取存在非周期性行為相似特性的網絡攻擊事件構成第二事件集；對所述第二事件集中的每一個網絡攻擊事件按照預設的周期頻率建立事件數量的頻率分布圖，計算該頻率分布圖的偏度系數，并根據所述偏度系數從所述第二事件集中提取頻率分布異常的網絡攻擊事件構成第三事件集；分別計算第三事件集中的每一個網絡攻擊事件所對應的實時事件數量趨勢圖及頻率分布圖的峰度系數，根據該峰度系數的計算結果從所述第三事件集中提取峰度系數大于預設閾值的網絡攻擊事件構成第四事件集；及判斷該第四事件集中每一個網絡攻擊事件的周期性行為相關性，并根據判斷結果從所述第四事件集中提取不具有周期性行為相關性的網絡攻擊事件構成最終的風暴源事件集。...

【技術特征摘要】
1.一種網絡協同攻擊風暴源檢測方法，其特征在于，該方法包括：對網絡攻擊事件集建立三維數據模型，并計算得到該三維數據模型的異常時間區間；獲取所述異常時間區間的神經網絡模型預測結果，以根據該神經網絡模型預測結果及異常時間區間內的網絡攻擊事件數量，得到該異常時間區間內的風暴時間區間；獲取所述風暴時間區間內的所有網絡攻擊事件構成第一事件集，并計算所述第一事件集內每一個網絡攻擊事件所對應的絕對事件數量分布矩陣的標準差，以根據該標準差的計算結果從所述第一事件集中提取存在非周期性行為相似特性的網絡攻擊事件構成第二事件集；對所述第二事件集中的每一個網絡攻擊事件按照預設的周期頻率建立事件數量的頻率分布圖，計算該頻率分布圖的偏度系數，并根據所述偏度系數從所述第二事件集中提取頻率分布異常的網絡攻擊事件構成第三事件集；分別計算第三事件集中的每一個網絡攻擊事件所對應的實時事件數量趨勢圖及頻率分布圖的峰度系數，根據該峰度系數的計算結果從所述第三事件集中提取峰度系數大于預設閾值的網絡攻擊事件構成第四事件集；及判斷該第四事件集中每一個網絡攻擊事件的周期性行為相關性，并根據判斷結果從所述第四事件集中提取不具有周期性行為相關性的網絡攻擊事件構成最終的風暴源事件集。2.根據權利要求1所述的網絡協同攻擊風暴源檢測方法，其特征在于，對網絡攻擊事件集建立三維數據模型，并計算得到該三維數據模型的異常時間區間的步驟包括：對用戶系統的網絡日志進行關聯分析得到網絡攻擊事件集；及對該網絡攻擊事件集建立三維數據模型，并計算該三維數據模型的峰值及峰間距比例，得到所述異常時間區間。3.根據權利要求1所述的網絡協同攻擊風暴源檢測方法，其特征在于，獲取所述異常時間區間的神經網絡模型預測結果，以根據該神經網絡模型預測結果及異常時間區間內的網絡攻擊事件數量，得到該異常時間區間內的風暴時間區間的步驟包括：根據行為規則對所述網絡攻擊事件集進行周期性行為特征分析，并根據分析結果提取數據樣本集合以建立所述神經網絡模型；及根據該神經網絡模型的預測結果及異常時間區間內的網絡攻擊事件數量，得到所述風暴時間區間。4.根據權利要求1所述的網絡協同攻擊風暴源檢測方法，其特征在于，獲取所述第一事件集內每一個網絡攻擊事件所對應的絕對事件數量分布矩陣的步驟包括：對所述第一事件集內的每一個網絡攻擊事件分別構建實時事件數量分布矩陣；利用中值濾波算法計算該實時事件數量分布矩陣的基線矩陣；根據所述實時事件數量分布矩陣及基線矩陣計算對應的絕對事件數量分布矩陣。5.根據權利要求1所述的網絡協同攻擊風暴源檢測方法，其特征在于，判斷所述第四事件集中每一個網絡攻擊事件的周期性行為相關性的步驟包括：根據第四事件集中的每一個網絡攻擊事件對應的單事件神經網絡模型及該網絡攻擊事件在所述風暴時間區間對應的歷史相似時間節點處的事件發生數量，計算所述單事件神經網絡模型的預測值與真實的事件發生數量的標準偏差，并利用所述標準偏差確定周期性行為相關性偏差區間；計算所述網絡攻擊事件在風暴時間區間內的真實事件發生數量與所述單事件神經網絡模型的預測值之間的偏差值；若所述偏差值落在所述周期性行為相關性偏差區間內，則該網絡攻擊事件具有周期性行為相關性；若所述偏差值未落在所述周期性行為相關性偏差區間內，則該網絡攻擊事件不具有周期性行為相關性。6.一種網絡協同攻擊風暴源檢測裝置，其特征在于，該裝置包括：異常時間區間計算模塊，用于對網絡攻擊事件集建立三...

【專利技術屬性】
技術研發人員：黃勇，周安民，陳航，宋國志，肖仕剛，
申請(專利權)人：四川無聲信息技術有限公司，
類型：發明
國別省市：四川;51