CN104601591B

CN104601591B - 网络攻击源组织检测方法

Info

Publication number: CN104601591B
Application number: CN201510052965.XA
Authority: CN
Inventors: 孙品; 孙一品; 陈曙晖; 王勇军; 常帅; 钟求喜; 庞立会; 王飞; 黄敏
Original assignee: National University of Defense Technology
Current assignee: National University of Defense Technology
Priority date: 2015-02-02
Filing date: 2015-02-02
Publication date: 2017-08-15
Anticipated expiration: 2035-02-02
Also published as: CN104601591A

Abstract

本发明公开了一种网络攻击源组织检测方法，目的是利用骨干网安全监测视窗内的海量报警数据挖掘出网络攻击源组织。技术方案是从海量的报警信息中挖掘攻击者的威胁活动信息，继而构建攻击者威胁活动信息矩阵，通过对威胁活动信息矩阵采用威胁活动关联图生成方法得到威胁活动关联图，并对威胁活动关联图进行优化处理，最后对优化后的威胁活动关联图进行马尔科夫快速图形聚类以获得网络攻击源组织信息。采用本发明可以利用骨干网监测视窗内的海量报警数据挖掘出网络攻击源组织，解决了无法直接对网络攻击源组织进行检测的难题，保障了网络攻击源组织检测结果的准确性，且可规避网络结构的变化对检测结果的影响。

Description

网络攻击源组织检测方法

技术领域

本发明涉及计算机领域中网络与信息安全的检测方法，尤其指对网络攻击源组织的检测方法。

背景技术

网络安全的威胁对象主要分黑客个体与黑客团伙两种，个体黑客受掌握资源和共享信息的限制其威胁能力要明显低于团伙作案的黑客组织。如图1所示，网络攻击源组织(即黑客团伙)是网络攻击者(即黑客个体)之间由于合作、共享、交流等形成的相对稳定的组织团体。黑客的团体化正是当今黑客发展的一个趋势。过去经常爆发的全球性个体黑客事件已渐渐发展为由黑客团体精心策划的锁定目标的大型资料外泄事件。例如高级持续性攻击(Advanced Persistent Threat，APT)，即黑客团伙以窃取核心资料为目的一种“恶意商业间谍威胁”，APT已经成为各种大型企业必须要面临的挑战。另一方面，对黑客团伙的识别，分析其攻击特点和攻击能力，可方便网络管理者采取针对性的措施来应对。这就使得我们在对网络攻击行为进行威胁分析时，必须对黑客个体和黑客团伙加以区别，并重点识别高威胁的黑客团伙。

组织检测又称为节点聚类、组织识别，当前大多数研究是将关系结构数据看成由个体和个体间的关系组成的图，其中个体看做节点，个体间的链接关系看作边，以社区图(socigram)或者矩阵来形式化表达关系网络。常用的组织检测方法主要分为社会学中的分级聚类(Hierarchical Clustering)和计算机科学中的图形分割(Graph Partition)两类。这些检测方法都需要以一些基于图论的概念(如度、迹、距离等)作为关系网络量化分析的基础指标；通过派系(Clique)等概念对关系网络进行凝聚子群分析。

当前对网络攻击的威胁检测，并没有充分的利用黑客的团伙化特性，究其原因，一方面由于网络规模的扩大和黑客技术的发展，入侵和攻击的案例日益增多，现有的入侵检测技术的自身缺陷(存在较高的误报率)，以致海量的报警信息难以处理利用。另一方面，与传统的网络社交群体组织检测不同的是，对网络攻击源组织的分析仅能从报警信息出发，其中报警信息直接包含的报文信息包括：报警时间、源地址、目标地址、源端口、目标端口、源MAC、目标MAC、报文长度、报警网卡名称、原始报文、插件特征编号；间接包含的告警规则信息包括：协议类型、危害等级、操作系统类型、目标端口对象、目标地址对象、源端口对象、源地址对象、规则版本号、规则特征、漏洞信息、大类型、小类型、目标地址对象、规则名称、服务类型等信息。显然从这些报警信息中无法捕获网络攻击者的兴趣爱好、人际脉络、个人信息等内容，且无法获得其正常的网络活动信息。这就使得在网络攻击源组织检测中无法直接获得关系网络量化分析的基础指标，从而导致无法直接构建网络攻击者的关系网络，进而无法通过常用的组织检测方法对关系网络进行凝聚子群分析。

总之，海量的报警信息难以处理，并且无法直接从已获得的报警信息中构建网络攻击者的关系网络，使得网络攻击源的组织检测成为网络与信息安全中的一大难题，至今还没有公开文献涉及网络攻击源的组织检测。如何正确对监测环境中的网络攻击源组织进行检测是本领域技术人员极为关注的技术问题。

发明内容

本发明要解决的问题就在于：针对网络攻击组织规模日趋壮大、协作日趋紧密的问题，提供一种网络攻击源组织检测方法，利用骨干网安全监测视窗内的海量报警数据挖掘出网络攻击源组织。基于攻击源组织检测结果，有利于改进网络威胁评估和安全防御。

为解决上述技术问题，本发明提供的解决方案为：从海量的报警信息中挖掘攻击者的威胁活动信息，继而构建攻击者威胁活动信息矩阵，通过对威胁活动信息矩阵采用威胁活动关联图生成方法得到威胁活动关联图(即网络攻击者关系网络)，并对威胁活动关联图进行优化处理，最后对优化后的威胁活动关联图进行马尔科夫快速图形聚类以获得网络攻击源组织信息。

本发明的技术方案为：

第一步，以入侵检测系统产生的全部报警信息为数据源，统计报警信息，为每个攻击者构造威胁活动信息矩阵。对单个攻击者(以报警信息中不同的源地址作为不同攻击者的身份标识)的报警信息进行遍历计算，将遍历结果填入一个矩阵结构为A的威胁活动信息矩阵中。依次遍历所有攻击者的报警信息，为每个攻击者构建一个矩阵结构为A的威胁活动信息矩阵，共建立K个攻击者构造威胁活动信息矩阵即A₁…A_p…A_K，K为攻击者个数，1≤p≤K。

具体步骤为：

步骤1.1，对所有攻击分类并按照类型设定标识符。对所有攻击按照攻击类型(即拒绝服务、扫描探测、获取权限、控制会话、留下后门，其它类型)分类，定义攻击类型与其对应标识符为：拒绝服务类攻击对应标识符为1，扫描探测类攻击对应标识符为2，获取权限类攻击对应标识符为3，控制会话类攻击对应标识符为4，留下后门(隐藏踪迹)类对应标识符为5，其它类型攻击对应标识符为6。构造攻击信息记录字符串Attack_Struct，字符串形式为：“1，x₁；2，x₂；3，x₃；4，x₄；5，x₅；6，x₆；”。该字符串固定为12元组，其中x₁为拒绝服务攻击次数；x₂为扫描探测攻击次数；x₃为获取权限攻击次数；x₄为控制会话攻击次数；x₅为留下后门攻击次数；x₆为其它类型攻击次数。

步骤1.2，统计报警信息，构造威胁活动信息矩阵结构A。矩阵结构A是后续处理步骤中攻击者威胁活动信息矩阵创建所采用的矩阵结构。矩阵结构A的横坐标和纵坐标根据报警数据库包含的报警信息来构造，如图2所示，横坐标为攻击目标地址，纵坐标为监测时间范围即报警时间中最早时间点与最晚时间点之间的时间段，最早时间点与最晚时间点由用户根据实际情况确定。具体方法为：

1.2.1以入侵检测系统产生的海量报警信息为数据源，提取所有攻击者在整个监测视窗中的全部报警信息。将报警信息中包含的报警时间信息、目标地址信息作为威胁活动信息。

1.2.2对监测视窗中的所有攻击者的目标地址信息做处理，构造威胁活动信息矩阵结构A的横坐标：不重复地选出所有的目标地址，将目标地址个数记为M，并按目标地址被攻击的次数(即目标地址在报警信息中出现的次数)由高到低排列，在横坐标正向方向上从目标地址被攻击次数的最大值开始依次对应到横坐标正向的每个位置，横坐标正向第j个位置的目标地址用dip_j表示(j≤M)，横坐标正向最远位置处的目标地址(即所有目标地址中被攻击次数最少的目标地址)用dip_M表示。

1.2.3对监测视窗中所有攻击者的威胁活动时间信息(报警时间信息)做处理，做为威胁活动信息矩阵结构A的纵坐标：选取所有报警时间中的最早时间点和最晚时间点，将最早时间点的整小时时刻(即时间取整，如3：15取整为3：00)做为纵坐标的起始点，每过一个小时分隔出一个小时段，直到到达最晚时间点的整小时时刻，共分隔出N个小时段，即N为小时段的总数。距起始点之后的第i个时间段用time_i表示(i≤N)，纵坐标最远位置处的时间段(即报警数据库记录最晚一次攻击所发生的小时段)用time_N表示。

步骤1.3，采用攻击源IP地址区分不同攻击者，假定攻击者总数为K，第p个攻击者的IP地址记为attacker_p，以下将IP地址为attacker_p的攻击者简称为攻击者attacker_p，遍历所有攻击者，得到K个威胁活动信息矩阵，记为A₁，A₂，……，A_p……，A_K-1，A_K，1≤p≤K，具体方法为：

1.3.1令变量p＝1；

1.3.2对攻击者attacker_p的报警信息进行遍历，将遍历获得的所有攻击信息记录字符串Attack_Struct相对应地填入威胁活动信息矩阵A_p中，具体细节为：

1.3.2.1以入侵检测系统产生的所有报警信息为数据源，提取攻击者attacker_p的威胁活动信息，包括报警时间信息、目标地址信息、攻击类型信息。

1.3.2.2创建用于记录单个攻击者attacker_p威胁活动信息的矩阵A_p。矩阵A_p的矩阵结构为A，即在横坐标和纵坐标方向的坐标量为矩阵结构A中定义的坐标量。矩阵A_p中每个元素值即A_p[i][j]的计算方法如下：

1.3.2.2.1令循环变量i＝1；

1.3.2.2.2令循环变量j＝1；

1.3.2.2.3对攻击者attacker_p在time_i时间段内针对目标地址dip_j产生6种类型攻击进行统计，统计结果采用Attack_Struct结构的字符串记录，并将该字符串做为A_p[i][j]的赋值。

1.3.2.2.4若j<M，令j＝j+1，转1.3.2.2.3；若j＝M，执行1.3.2.2.5。

1.3.2.2.5若i<N，令i＝i+1，转1.3.2.2.2；若i＝N，执行1.3.3。

1.3.3若p<K，令p＝p+1,转1.3.2；若p＝K，表示K个威胁活动信息矩阵创建完毕，执行第二步。

第二步，分析K个攻击者之间的两两关联关系，生成威胁活动关联图R。威胁活动关联图R为K个节点组成的无向图，共包含K个节点，与K个攻击者一一对应。连接节点p及q的边值即边的权值记为r_p,q，r_p,q即为攻击者attacker_p与攻击者attacker_q的关联关系的量化值。r_p,q依据威胁活动信息矩阵A_p及A_q计算得到。

具体方法为：

步骤2.1令循环变量p＝1；

步骤2.2令循环变量q＝p+1；

步骤2.3根据威胁活动矩阵A_p和A_q构造过渡矩阵TS_p,q，矩阵元素S_p,q[i][j]表示攻击者attacker_p与攻击者attacker_q(指IP地址为attacker_q的攻击者)，在time_i时段对dip_j实施攻击时的威胁匹配程度。与A_p和A_q相同，过渡矩阵TS_p,q也是矩阵结构A。TS_p,q构造方法如下：

2.3.1令循环变量i＝1。

2.3.2令循环变量j＝1。

2.3.3根据A_p[i][j]及A_q[i][j]计算TS_p,q[i][j]。为方便表述，假设A_p[i][j]＝“1，x₁；2，x₂；3，x₃；4，x₄；5，x₅；6，x₆；”，A_q[i][j]＝“1，y₁；2，y₂；3，y₃；4，y₄；5，y₅；6，y₆；”，其中x_h的含义是attacker_p在time_i时段对dip_j实施攻击第h类攻击(h为攻击标示符，1≤h≤6,x_h含义见步骤1.1)的次数，y_h的含义是attacker_q在time_i时段对dip_j实施攻击第h类攻击的次数，令TS_p,q[i][j]＝“1，z₁；2，z₂；3，z₃；4，z₄；5，z₅；6，z₆；”，其中z_h取x_h与y_h之间的最小值，即z_h＝min(x_h，y_h)。

2.3.4若j<M，令j＝j+1，转2.3.3；若j＝M，执行2.3.5。

2.3.5若i<N，令i＝i+1，转2.3.2；若i＝N，执行2.4。

步骤2.4根据过渡矩阵TS_p,q计算威胁活动匹配矩阵S_p,q。S_p,q是N行M列的浮点数值矩阵。一套完整的攻击按攻击流程可分为扫描探测、获取权限、控制会话、隐藏踪迹(留下后门)4步，后续攻击以前期攻击成功为前提条件。若TS_p,q[i][j]中记录的攻击行为满足上述攻击流程，则在计算S_p,q[i][j]时进行加权放大。拒绝服务攻击没有攻击流程的前后依赖关系，故考虑攻击手段之间的连贯性时，不将拒绝服务和其他类型攻击考虑在内。S_p,q计算方法如下：

2.4.1令循环变量i＝1。

2.4.2令循环变量j＝1。

2.4.3根据TS_p,q[i][j]计算S_p,q[i][j]方法是若TS_p,q[i][j]＝“1，z₁；2，z₂；3，z₃；4，z₄；5，z₅；6，z₆；”，则S_p,q[i][j]＝z₁+z₂+z₃+z₄+z₅+z₆。

2.4.4若z₂*z₃>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₃；

2.4.5若z₃*z₄>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₄；

2.4.6若z₄*z₅>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₅；

2.4.7若z₂*z₃*z₄>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₄；

2.4.8若z₃*z₄*z₅>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₅；

2.4.9若z₂*z₃*z₄*z₅>0,令S_p,q[i][j]＝S_p,q[i][j]+0.2*z₅；

2.4.10若j<M，令j＝j+1，转2.4.3；若j＝M，执行2.4.11。

2.4.11若i<N，令i＝i+1，转2.4.2；若i＝N，执行2.5。

步骤2.5根据S_p,q计算r_p,q，即

步骤2.6若q<K,令q＝q+1，转2.3；若q＝K，执行2.7；

步骤2.7若p<K，令p＝p+1,转2.2；若p＝K，则表示得到了R的所有边值，R构建完毕，执行第三步。

第三步，对威胁活动关联图R进行简化，删除弱关联关系及孤立节点。由第二步可知，K个网络攻击者在威胁活动关联图中存在(K²-K)/2条关系边，而在大规模的监测环境中至少可以检测到上万个网络攻击者，这些关联信息给存储和使用带来了极大的不便。因此，为了减小存储和运算的开销，对威胁活动关联图进行简化：删除威胁活动关联图R中边值r_p,q小于设定阈值(最大边值的5％，该值人为设定)的边信息；删除孤立节点(即与其他节点无边相连的节点)；将威胁活动关联图存入数据库，

具体方法为：

步骤3.1令最大边值r_max＝0；

步骤3.2令循环变量p＝1；

步骤3.3令循环变量q＝p+1；

步骤3.4若r_max<r_p,q,令r_max＝r_p,q；

步骤3.5若q<K，令q＝q+1,转3.4；若q＝K，执行3.6；

步骤3.6若p<K，令p＝p+1，转3.3；若p＝K，执行3.7；

步骤3.7令循环变量p＝1；

步骤3.8令循环变量q＝p+1；

步骤3.9若r_p,q>r_max*0.05,将威胁活动关联图信息<attacker_p,attacker_q,edge_value_p,q>存储到数据库，其中edge_value_p,q＝r_p,q。

步骤3.10若q<K，令q＝q+1,转3.9；若q＝K，执行3.11；

步骤3.11若p<K，令p＝p+1，转3.8；若p＝K，R简化完毕，执行第四步；

第四步，采用马尔科夫快速图形聚类方法(2000年由Dongen S.V.在论文Graphclustering by flow simulation中提出)对攻击者威胁活动关联图进行聚类检测。聚类是指通过分析威胁者之间的关联关系分析将关系紧密的攻击者汇聚到一个子群中。使用爱丁堡大学欧洲分子生物研究实验室(European Molecular Biology Laboratory)的开源软件BioLayout Express做为马尔科夫图形聚类软件。首先将数据库存储的威胁活动关联图信息<attacker_p,attacker_q,edge_value_p,q>全部读取后存储到文本文件中，以该文本文件做为输入数据交由图形聚类软件进行聚类，得到所有攻击者IP地址的聚类情况，对于同一组织的攻击者采用同一个子群组编号标注该组织中的所有攻击者IP地址，将聚类结果输出，聚类结果可以输出到文本中也可以采用图形化的形式展示。

采用本发明可以达到以下技术效果：针对网络攻击组织规模日趋壮大、协作日趋紧密的问题，提供一种网络攻击源组织检测方法，利用骨干网监测视窗内的海量报警数据挖掘出网络攻击源组织。基于攻击源组织检测结果，有利于改进网络威胁评估和安全防御。

1、本发明第一步利用报警时间、源地址、目标地址、攻击类型信息为每个攻击者构建一个矩阵结构为A的威胁活动信息矩阵，从空间和时间的二维角度全面综合地反映了攻击者在监测环境下的威胁活动信息，第二步分析所有攻击者之间的两两关联关系，根据威胁活动信息矩阵生成威胁活动关联图，解决了无法直接对网络攻击源组织进行检测的难题。

2、本发明第二步提出的威胁活动关联图边的生成算法充分利用了攻击者之间的合作、共享、交流等关联关系，保障了网络攻击源组织检测结果的准确性。

3、本发明采用的数据源完全来自于已经存入数据库的报警信息，可通过人为指定网络攻击源组织检测的开始时间和结束时间，在指定的时间段内进行检测。当网络结构发生变化时，通过设定网络攻击源组织检测的开始时间和结束时间，可规避网络结构的变化对检测结果的影响。

附图说明

图1是网络攻击源组织相关定义示意图；

图2是本发明第一步构建的威胁活动信息矩阵示例；

图3是本发明的网络攻击源组织检测方法总体流程图；

图4是本发明第二步attacker₁和attacker₂威胁活动关联图的边生成算法示意图。

具体实施方式

图3是本发明的网络攻击源组织检测的总体流程图，以下将结合附图和具体实施例对本发明做进一步详细说明。

第一步，以入侵检测系统产生的全部报警信息为数据源，统计报警信息，为每个攻击者构造威胁活动信息矩阵。对单个攻击者(以报警信息中不同的源地址作为不同攻击者的身份标识)的报警信息进行遍历计算，将遍历结果填入一个矩阵结构为A的威胁活动信息矩阵中。依次遍历所有攻击者的报警信息，为每个攻击者构建一个矩阵结构为A的威胁活动信息矩阵。

对于一个包含4个时间段(即N＝4)，3个攻击目标地址(即M＝3)，2个攻击者(即K＝2)的报警信息，如图4所示，，得到attacker₁及attacker₂的威胁活动信息矩阵A₁及A₂。以A₁为例，其中，A₁[1][1]＝“1,0；2,0；3,0；4,0；5,0；6,0；”,表示攻击者attacker₁对目标地址dip₁在时间段time₁内没有威胁活动；A₁[4][1]＝“1,12；2,2；3,35；4,2；5,3；6,10；”表示攻击者attacker₁对目标地址dip₁在时间段time₄内拒绝服务类攻击实施了12次、扫描探测类攻击实施了2次、获取权限类攻击实施了35次、控制会话类攻击实施了2次、隐藏踪迹类攻击实施了3次、其他类型的攻击实施了10次。

第二步，分析K个攻击者之间的两两关联关系，生成威胁活动关联图R。威胁活动关联图R包含K个顶点，与K个攻击者一一对应。连接顶点p及q之间的边值r_p,q即为attacker_p与attacker_q的关联关系的量化值。r_p,q依据威胁活动信息矩阵A_p及A_q计算得到。

如图4所示，根据威胁活动矩阵A₁和A₂构造过渡矩阵TS_1,2，然后根据过渡矩阵TS_1,2计算得到威胁活动匹配矩阵S_1,2，再根据S_1,2得到r_1,2＝53.2+24+45＝122.2。因为K＝2，所以R中只有一个边值r_1,2。

第三步，对威胁活动关联图R进行简化处理，删除弱关联关系及孤立节点后将威胁活动关联图储存到数据库当中。图4的例子只有2个节点，所以不存在弱关联关系及孤立节点，因此，edge_value_1,2＝r_1,2，将<attacker₁,attacker₂,r_1,2>存储到数据库。

第四步，采用马尔科夫快速图形聚类方法(2000年由Dongen S.V.在论文Graphclustering by flow simulation中提出)对攻击者威胁活动关联图进行聚类检测。图4的例子中只有2个节点，且两个点之间存在关联边，因此，例子聚类检测后会将attacker₁及attacker₂判定为属于统一攻击组织。

本发明对入侵检测平台具有通用性，在实际的监测环境测试中已获得验证并取得良好的应用效果。

Claims

1.一种网络攻击源组织检测方法，其特征在于包括以下步骤：

第一步，以入侵检测系统产生的全部报警信息为数据源，统计报警信息，为每个攻击者构造矩阵结构为A的威胁活动信息矩阵，共建立K个攻击者构造威胁活动信息矩阵即A₁…A_p…A_K，K为攻击者个数，1≤p≤K；矩阵结构A的横坐标和纵坐标根据报警数据库包含的报警信息构造，横坐标为攻击目标地址，纵坐标为报警时间中的最早时间点和最晚时间点之间的时间段即监测时间范围；威胁活动信息矩阵共有M*N项，M为目标地址个数，N为将最早时间点的整小时时刻做为起始点，每过一个小时分隔出一个小时段，直到到达最晚时间点的整小时时刻，共分隔出的小时段的个数；每一项的内容为攻击信息记录字符串Attack_Struct，字符串形式为：“1，x₁；2，x₂；3，x₃；4，x₄；5，x₅；6，x₆；”，该字符串固定为12元组，其中x₁为拒绝服务攻击次数；x₂为扫描探测攻击次数；x₃为获取权限攻击次数；x₄为控制会话攻击次数；x₅为留下后门攻击次数；x₆为其它类型攻击次数；

第二步，分析K个攻击者之间的两两关联关系，生成威胁活动关联图R；威胁活动关联图R为由K个节点组成的无向图，K个节点与K个攻击者一一对应，连接节点p及q的边值即边的权值记为r_p,q，r_p,q为攻击者attacker_p与攻击者attacker_q的关联关系的量化值，1≤p≤K，p<q≤K；

第三步，对威胁活动关联图R进行简化，删除R中r_p,q小于设定阈值的边信息，删除孤立节点即与其他节点无边相连的节点；将威胁活动关联图以<attacker_p,attacker_q,edge_value_p,q>的形式存入数据库，edge_value_p,q＝r_p,q，所述阈值为R中最大边值的5％；

第四步，采用马尔科夫快速图形聚类方法对攻击者威胁活动关联图进行聚类检测，聚类指通过分析威胁者之间的关联关系分析将关系紧密的攻击者汇聚到一个子群中，首先将数据库存储的威胁活动关联图信息<attacker_p,attacker_q,edge_value_p,q>全部读取后存储到文本文件中，以该文本文件做为输入数据交由聚类软件进行聚类，得到所有攻击者IP地址的聚类情况，对于同一组织的攻击者采用同一个子群组编号标注该组织中的所有攻击者IP地址，将最终检测结果输出。

2.如权利要求1所述的网络攻击源组织检测方法，其特征在于所述第一步中为每个攻击者构造威胁活动信息矩阵的方法是：对单个攻击者的报警信息进行遍历计算，将遍历结果填入一个矩阵结构为A的威胁活动信息矩阵中，依次遍历所有攻击者的报警信息，为每个攻击者构建一个矩阵结构为A的威胁活动信息矩阵，具体包括以下步骤：

步骤1.1，对所有攻击分类并按照类型设定标识符，对所有攻击按照攻击类型即拒绝服务、扫描探测、获取权限、控制会话、留下后门，其它类型分类，定义攻击类型与其对应标识符为：拒绝服务类攻击对应标识符为1，扫描探测类攻击对应标识符为2，获取权限类攻击对应标识符为3，控制会话类攻击对应标识符为4，留下后门类对应标识符为5，其它类型攻击对应标识符为6；构造攻击信息记录字符串Attack_Struct，字符串形式为：“1，x₁；2，x₂；3，x₃；4，x₄；5，x₅；6，x₆；”；该字符串固定为12元组，其中x₁为拒绝服务攻击次数；x₂为扫描探测攻击次数；x₃为获取权限攻击次数；x₄为控制会话攻击次数；x₅为留下后门攻击次数；x₆为其它类型攻击次数；

步骤1.2，统计报警信息，构造威胁活动信息矩阵结构A，具体方法为：

1.2.1以入侵检测系统产生的海量报警信息为数据源，提取所有攻击者在整个监测视窗中的全部报警信息，将报警信息中包含的报警时间信息、目标地址信息作为威胁活动信息；

1.2.2对监测视窗中的所有攻击者的目标地址信息做处理，构造威胁活动信息矩阵结构A的横坐标：不重复地选出所有的目标地址，并按目标地址被攻击的次数即目标地址在报警信息中出现的次数由高到低排列，在横坐标正向方向上从目标地址被攻击次数的最大值开始依次对应到横坐标正向的每个位置，横坐标正向第j个位置的目标地址用dip_j表示，横坐标正向最远位置处的目标地址即所有目标地址中被攻击次数最少的目标地址用dip_M表示，j≤M；

1.2.3对监测视窗中所有攻击者的报警时间信息做处理，做为威胁活动信息矩阵结构A的纵坐标：将最早时间点的整小时时刻做为纵坐标的起始点，每过一个小时分隔出一个时间段，直到到达最晚时间点的整小时时刻，共分隔出N个小时段，距起始点之后的第i个时间段用time_i表示，纵坐标最远位置处的时间段即报警数据库记录最晚一次攻击所发生的小时段用time_N表示，i≤N；

步骤1.3，采用攻击源IP地址区分不同攻击者，第p个攻击者的IP地址记为attacker_p，IP地址为attacker_p的攻击者简称为攻击者attacker_p，遍历所有攻击者，得到K个威胁活动信息矩阵，记为A₁，A₂，……，A_p……，A_K-1，A_K，1≤p≤K，K为攻击者总数。

3.如权利要求1所述的网络攻击源组织检测方法，其特征在于所述第二步中R中的边值r_q,p依据威胁活动信息矩阵A_p及A_q计算得到，具体方法为：

步骤2.1令循环变量p＝1；

步骤2.2令循环变量q＝p+1；

步骤2.3根据威胁活动矩阵A_p和A_q构造过渡矩阵TS_p,q，矩阵元素S_p,q[i][j]表示攻击者attacker_p与攻击者attacker_q在time_i时段对dip_j实施攻击时的威胁匹配程度，与A_p和A_q相同，过渡矩阵TS_p,q也是矩阵结构A,攻击者attacker_q指IP地址为attacker_q的攻击者；TS_p,q构造方法如下：

2.3.1令循环变量i＝1；

2.3.2令循环变量j＝1；

2.3.3根据A_p[i][j]及A_q[i][j]计算TS_p,q[i][j]，假设A_p[i][j]＝“1，x₁；2，x₂；3，x₃；4，x₄；5，x₅；6，x₆；”，A_q[i][j]＝“1，y₁；2，y₂；3，y₃；4，y₄；5，y₅；6，y₆；”，其中x_h的含义是attacker_p在time_i时段对dip_j实施攻击第h类攻击的次数，h为攻击标示符，1≤h≤6，y_h的含义是attacker_q在time_i时段对dip_j实施攻击第h类攻击的次数，令TS_p,q[i][j]＝“1，z₁；2，z₂；3，z₃；4，z₄；5，z₅；6，z₆；”，其中z_h取x_h与y_h之间的最小值，即z_h＝min(x_h，y_h)；

2.3.4若j<M，令j＝j+1，转2.3.3；若j＝M，执行2.3.5；

2.3.5若i<N，令i＝i+1，转2.3.2；若i＝N，执行2.4；

步骤2.4根据过渡矩阵TS_p,q计算威胁活动匹配矩阵S_p,q，S_p,q是N行M列的浮点数值矩阵；S_p,q计算方法如下：

2.4.1令循环变量i＝1；

2.4.2令循环变量j＝1；

2.4.3根据TS_p,q[i][j]计算S_p,q[i][j]方法是若TS_p,q[i][j]＝“1，z₁；2，z₂；3，z₃；4，z₄；5，z₅；6，z₆；”，则S_p,q[i][j]＝z₁+z₂+z₃+z₄+z₅+z₆；

2.4.4若z₂*z₃>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₃；

2.4.5若z₃*z₄>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₄；

2.4.6若z₄*z₅>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₅；

2.4.7若z₂*z₃*z₄>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₄；

2.4.8若z₃*z₄*z₅>0,令S_p,q[i][j]＝S_p,q[i][j]+0.4*z₅；

2.4.9若z₂*z₃*z₄*z₅>0,令S_p,q[i][j]＝S_p,q[i][j]+0.2*z₅；

2.4.10若j<M，令j＝j+1，转2.4.3；若j＝M，执行2.4.11；

2.4.11若i<N，令i＝i+1，转2.4.2；若i＝N，执行2.5；

步骤2.5根据S_p,q计算r_p,q，即

步骤2.6若q<K,令q＝q+1，转2.3；若q＝K，执行2.7；

步骤2.7若p<K，令p＝p+1,转2.2；若p＝K，则得到了R的所有边值，即R构建完毕。

4.如权利要求1所述的网络攻击源组织检测方法，其特征在于所述第三步对威胁活动关联图R进行简化的方法是：

步骤3.1令最大边值r_max＝0；

步骤3.2令循环变量p＝1；

步骤3.3令循环变量q＝p+1；

步骤3.4若r_max<r_p,q,令r_max＝r_p,q；

步骤3.5若q<K，令q＝q+1,转3.4；若q＝K，执行3.6；

步骤3.6若p<K，令p＝p+1，转3.3；若p＝K，执行3.7；

步骤3.7令循环变量p＝1；

步骤3.8令循环变量q＝p+1；

步骤3.9若r_p,q>r_max*0.05,将威胁活动关联图信息<attacker_p,attacker_q,edge_value_p,q>存储到数据库，其中edge_value_p,q＝r_p,q；

步骤3.10若q<K，令q＝q+1,转3.9；若q＝K，执行3.11；

步骤3.11若p<K，令p＝p+1，转3.8；若p＝K，R简化完毕。

5.如权利要求1所述的网络攻击源组织检测方法，其特征在于第四步所述聚类软件采用BioLayout Express。

6.如权利要求2所述的网络攻击源组织检测方法，其特征在于步骤1.3得到K个威胁活动信息矩阵即A₁，A₂，……，A_p……，A_K-1，A_K的方法为：

1.3.1令变量p＝1；

1.3.2对攻击者attacker_p的报警信息进行遍历，将遍历获得的所有攻击信息记录字符串Attack_Struct相对应地填入威胁活动信息矩阵A_p中，具体方法为：

1.3.2.1以入侵检测系统产生的所有报警信息为数据源，提取攻击者attacker_p的威胁活动信息，包括报警时间信息、目标地址信息、攻击类型信息；

1.3.2.2创建用于记录攻击者attacker_p威胁活动信息的矩阵A_p；矩阵A_p的矩阵结构为A，即在横坐标和纵坐标方向的坐标量为矩阵结构A中定义的坐标量，矩阵A_p中每个元素值即A_p[i][j]的计算方法如下：

1.3.2.2.1令循环变量i＝1；

1.3.2.2.2令循环变量j＝1；

1.3.2.2.3对攻击者attacker_p在time_i时间段内针对目标地址dip_j产生6种类型攻击进行统计，统计结果采用Attack_Struct结构的字符串记录，并将该字符串做为A_p[i][j]的赋值；

1.3.2.2.4若j<M，令j＝j+1，转1.3.2.2.3；若j＝M，执行1.3.2.2.5；

1.3.2.2.5若i<N，令i＝i+1，转1.3.2.2.2；若i＝N，执行1.3.3；

1.3.3若p<K，令p＝p+1,转1.3.2；若p＝K，K个威胁活动信息矩阵创建完毕。