CN105208040A - 一种网络攻击检测方法及装置 - Google Patents

一种网络攻击检测方法及装置 Download PDF

Info

Publication number
CN105208040A
CN105208040A CN201510659070.2A CN201510659070A CN105208040A CN 105208040 A CN105208040 A CN 105208040A CN 201510659070 A CN201510659070 A CN 201510659070A CN 105208040 A CN105208040 A CN 105208040A
Authority
CN
China
Prior art keywords
user
time period
preset time
historic
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510659070.2A
Other languages
English (en)
Other versions
CN105208040B (zh
Inventor
李岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhou Lvmeng Chengdu Technology Co ltd
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
NSFOCUS Information Technology Co Ltd
Beijing NSFocus Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NSFOCUS Information Technology Co Ltd, Beijing NSFocus Information Security Technology Co Ltd filed Critical NSFOCUS Information Technology Co Ltd
Priority to CN201510659070.2A priority Critical patent/CN105208040B/zh
Publication of CN105208040A publication Critical patent/CN105208040A/zh
Application granted granted Critical
Publication of CN105208040B publication Critical patent/CN105208040B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time

Abstract

本发明提供一种网络攻击检测方法及装置,该方法包括:在预设时间段内获取预设用户的行为特征参数以及预设用户的入侵防护告警次数;根据预先建立的基准用户模型中每个基准用户的行为特征参数和预设用户的行为特征参数,计算预设用户与每个基准用户的偏离度,预先建立的基准用户模型与预设用户对应,偏离度用于表示两个用户的行为特征参数的相似度;确定预设用户与每个基准用户的偏离度中的最小偏离度;根据入侵防护告警次数与最小偏离度的加权求和结果,针对预设用户产生网络攻击告警。本发明可以减少告警数量,提高告警有效率。

Description

一种网络攻击检测方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击检测方法及装置。
背景技术
随着网络规模的迅速扩大,网络安全问题变得越来越严峻,网络上的各种攻击层出不穷,因此网络攻击检测技术越来越重要。
常采用的网络攻击检测方法为:确定产生网络攻击时,将攻击报文、攻击字符串以及攻击过程中的其它特征确定为攻击特征标志,并存储下来。当检测到任一攻击特征标志时,产生一次告警,从而提示运维人员网络存在危险。
这种网络攻击检测方法每检测到一个攻击特征标示就产生一次告警,而在用户进行网络操作过程中可能会检测到大量的攻击特征标志,这就会产生大量的告警,并且某些告警的可能并不是因为受到真正的网络攻击,从而影响告警有效率,产生漏检或者误检的概率较大。
发明内容
本发明提供一种网络攻击检测方法及装置,用以解决现有技术的网络攻击检测方案存在的影响告警有效率,产生漏检或者误检的概率较大的问题。
一种网络攻击检测方法,包括:
在预设时间段内获取预设用户的行为特征参数以及所述预设用户的入侵防护告警次数;
根据预先建立的基准用户模型中每个基准用户的行为特征参数和所述预设用户的行为特征参数,计算所述预设用户与每个基准用户的偏离度,所述预先建立的基准用户模型与所述预设用户对应,所述偏离度用于表示两个用户的行为特征参数的相似度;
确定所述预设用户与每个基准用户的偏离度中的最小偏离度;
根据所述入侵防护告警次数与所述最小偏离度的加权求和结果,针对所述预设用户产生网络攻击告警。
所述方法中,所述行为特征参数包括在预设时间段内的网络流量总值、在预设时间段内的会话持续时长平均值、在预设时间段内开启过的应用总个数、在预设时间段内新建会话总个数以及在预设时间段内新建会话频率。
本发明实施例中的各个行为特征参数均可表现出预设用户进行网络操作时的行为特征,从而根据其行为特征判断是否针对其产生网络告警。
所述方法中,根据所述入侵防护告警次数与所述最小偏离度的加权求和结果,针对所述预设用户产生网络攻击告警,具体包括:
确定所述入侵防护告警次数与所述最小偏离度的加权求和结果大于预设偏离度门限时,针对所述预设用户产生网络攻击告警。
本发明实施例,当入侵防护告警次数与所述最小偏离度的加权求和结果比预设偏离度门限大时,说明该预设用户为入侵者或者已被入侵者入侵的可能性很大,此时要针对该预设用户产生网络攻击告警并发出告警。
所述方法中,所述预设用户采用如下方式确定:
确定在所述预设时间段内进行网络操作的用户的入侵防护告警平均值和网络流量平均值;
根据预设的入侵防护告警平均值与入侵防护权值的映射关系,确定所述预设时间段内用户的入侵防护告警平均值对应的入侵防护告警权值;
根据预设的网络流量平均值与网络流量权值的映射关系,确定所述预设时间段内用户的网络流量平均值对应的网络流量权值;
根据所述确定的入侵防护告警权值、确定的网络流量权值以及第一类用户中每个用户对应的资产重要程度,计算第一类用户中各个用户的危险系数;
将危险系数大于预设危险阈值的用户确定为预设用户;
其中,第一类用户包括在所述预设时间段内入侵防护告警次数大于预设告警阈值的用户以及在所述预设时间段内网络流量大于预设流量阈值的用户。
本发明实施例针对进行网络操作的用户的网络流量平均值、入侵防护告警平均值以及第一类用户的资产重要程度,确定了预设用户,从而达到了对特定用户进行网络攻击检测的目的。
所述方法中,所述基准用户模型采用如下方式建立:
对在所述预设时间段内进行网络操作的历史用户进行分类;
针对得到的每一类历史用户,从该类历史用户中选取K个历史用户,K为自然数;
将所述K个历史用户的行为特征参数作为K-means聚类算法的K个初始质点;
利用K-means聚类算法对所述K个初始质点进行设定数目次迭代,得到K个待校正质点;
对所述K个待校正质点进行方向校正,得到K个校正后质点;
利用所述K-means聚类算法对所述K个校正后质点进行设定数目次迭代,得到K个实际质点;
将所述K个实际质点确定为K个基准用户,并将所述K个基准用户作为该类历史用户的基准用户模型。
本发明实施例,对现有的K-Means算法进行了优化,从而不仅减小了计算量而且能够使得到的基准用户模型更加准确。
所述方法中,对在所述预设时间段内进行网络操作的历史用户进行分类,具体包括:
根据在所述预设时间段内进行网络操作的历史用户的IP地址所属的IP地址段,将属于同一IP地址段的历史用户划分到同一类中。
所述方法中,对在所述预设时间段内进行网络操作的历史用户进行分类,具体包括:
采集各个进行网络操作的历史用户在所述预设时间段内产生的日志,所述日志内容包括网络流量、开启的应用个数以及会话连接数;
针对每个所述历史用户,根据采集到的该历史用户的日志统计该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数;
根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类。
本发明实施例的分类方式,根据在预设时间段内进行网络操作的历史用户的活跃程度,对历史用户进行分类。
所述方法中,根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类,具体包括:
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果大于第一设定阈值时,确定该历史用户为的高活跃用户;
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果小于第二设定阈值时,确定该历史用户为的低活跃用户,所述第一设定阈值大于所述第二设定阈值。
本发明实施例的分类方式,根据在预设时间段内进行网络操作的历史用户的活跃程度,将历史用户分为高活跃用户和低活跃用户。
所述方法中,对所述K个待校正质点进行方向校正,得到K个校正后质点,具体包括:
针对每个所述待校正质点,以该待校正之间为中心确定一区间半径;
确定在所述区间半径内的第二类历史用户以及每个所述第二类历史用户对应的行为特征参数;
针对该待校正质点中的每个行为特征参数,采用预设公式对该行为特征参数进行校正;
将校正后的行为特征参数对应的质点确定为校正后质点;
所述预设公式如下:
P i = h i + a × | h max - h i | 2 M
其中,Pi表示校正后的第i个行为特征参数,hi表示待校正质点中第i个行为特征参数,M表示第二类历史用户中的历史用户个数,hmax表示M个历史用户中第i个行为参数的最大值,a表示第二类历史用户中各历史用户的第i个行为特参数中比hi大的第i个行为特征参数的个数减去比hi小的第i个行为特征参数的个数所得的结果。
本发明实施例,提供了一种对待校正质点进行方向校正的方法,将校正后质点作为基准用户能够使最终的网络攻击检测结果更加可靠。
本发明还提供一种网络攻击检测装置,包括:
获取单元,用于在预设时间段内获取预设用户的行为特征参数以及所述预设用户的入侵防护告警次数;
计算单元,用于根据预先建立的基准用户模型中每个基准用户的行为特征参数和所述预设用户的行为特征参数,计算所述预设用户与每个基准用户的偏离度,所述预先建立的基准用户模型与所述预设用户对应,所述偏离度用于表示两个用户的行为特征参数的相似度;
确定单元,用于确定所述预设用户与每个基准用户的偏离度中的最小偏离度;
告警单元,用于根据所述入侵防护告警次数与所述最小偏离度的加权求和结果,针对所述预设用户产生网络攻击告警。
所述装置,所述行为特征参数包括在预设时间段内的网络流量总值、在预设时间段内的会话持续时长平均值、在预设时间段内开启过的应用总个数、在预设时间段内新建会话总个数以及在预设时间段内新建会话频率。
所述装置中,所述告警单元具体用于:
确定所述入侵防护告警次数与所述最小偏离度的加权求和结果大于预设偏离度门限时,针对所述预设用户产生网络攻击告警。
所述装置中,所述计算单元还用于采用如下方式确定所述预设用户:
确定在所述预设时间段内进行网络操作的用户的入侵防护告警平均值和网络流量平均值;
根据预设的入侵防护告警平均值与入侵防护权值的映射关系,确定所述预设时间段内用户的入侵防护告警平均值对应的入侵防护告警权值;
根据预设的网络流量平均值与网络流量权值的映射关系,确定所述预设时间段内用户的网络流量平均值对应的网络流量权值;
根据所述确定的入侵防护告警权值、确定的网络流量权值以及第一类用户中每个用户对应的资产重要程度,计算第一类用户中各个用户的危险系数;
将危险系数大于预设危险阈值的用户确定为预设用户;
其中,第一类用户包括在所述预设时间段内入侵防护告警次数大于预设告警阈值的用户以及在所述预设时间段内网络流量大于预设流量阈值的用户。
所述装置中,所述计算单元还用于采用如下方式建立所述基准用户模型:
对在所述预设时间段内进行网络操作的历史用户进行分类;
针对得到的每一类历史用户,从该类历史用户中选取K个历史用户,K为自然数;
将所述K个历史用户的行为特征参数作为K-means聚类算法的K个初始质点;
利用K-means聚类算法对所述K个初始质点进行设定数目次迭代,得到K个待校正质点;
对所述K个待校正质点进行方向校正,得到K个校正后质点;
利用所述K-means聚类算法对所述K个校正后质点进行设定数目次迭代,得到K个实际质点;
将所述K个实际质点确定为K个基准用户,并将所述K个基准用户作为该类历史用户的基准用户模型。
所述装置中,所述计算单元在对在所述预设时间段内进行网络操作的历史用户进行分类时,具体用于:
根据在所述预设时间段内进行网络操作的历史用户的IP地址所属的IP地址段,将属于同一IP地址段的历史用户划分到同一类中。
所述装置中,所述计算单元在对在所述预设时间段内进行网络操作的历史用户进行分类时,具体用于:
采集各个进行网络操作的历史用户在所述预设时间段内产生的日志,所述日志内容包括网络流量、开启的应用个数以及会话连接数;
针对每个所述历史用户,根据采集到的该历史用户的日志统计该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数;
根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类。
所述装置中,所述计算单元在根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类时,具体用于:
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果大于第一设定阈值时,确定该历史用户为的高活跃用户;
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果小于第二设定阈值时,确定该历史用户为的低活跃用户,所述第一设定阈值大于所述第二设定阈值。
所述装置中,所述计算单元在对所述K个待校正质点进行方向校正,得到K个校正后质点时,具体用于:
针对每个所述待校正质点,以该待校正之间为中心确定一区间半径;
确定在所述区间半径内的第二类历史用户以及每个所述第二类历史用户对应的行为特征参数;
针对该待校正质点中的每个行为特征参数,采用预设公式对该行为特征参数进行校正;
将校正后的行为特征参数对应的质点确定为校正后质点;
所述预设公式如下:
P i = h i + a × | h m a x - h i | 2 M
其中,Pi表示校正后的第i个行为特征参数,hi表示待校正质点中第i个行为特征参数,M表示第二类历史用户中的历史用户个数,hmax表示M个历史用户中第i个行为参数的最大值,a表示第二类历史用户中各历史用户的第i个行为特参数中比hi大的第i个行为特征参数的个数减去比hi小的第i个行为特征参数的个数所得的结果。
利用本发明实施例提供的网络攻击检测方法及装置至少具有以下有益效果:通过将预设的用户的行为特征参数与预先建立的基准用户的行为特征参数进行比较,判断是否针对预设用户产生告警,由于用户的行为特征参数都是不确定的因素,需要实时根据预设用户在预设时间段内的特征参数确定是否针对该预设用户产生告警,而不是根据预先存储的已知的攻击特征标志产生告警,从而提高了告警有效率;此外,是否针对预设用户产生告警需要结合多方面因素,从而可以减少告警数量。
附图说明
图1为本发明实施例提供的网络攻击检测方法流程图;
图2为本发明实施例提供的确定预设用户的方式流程图;
图3为本发明实施例提供的建立基准用户模型的方式流程图;
图4为本发明实施例提供的对历史用户进行分类的方法流程图;
图5为本发明实施例提供的对K个待校正质点进行方向校正的方法流程图;
图6为本发明实施例提供的网络攻击检测装置示意图。
具体实施方式
下面结合附图和实施例对本发明提供的网络攻击检测方法及装置进行更详细地说明。
本发明实施例提供一种网络攻击检测方法,如图1所示,包括:
步骤101,在预设时间段内获取预设用户的行为特征参数以及所述预设用户的入侵防护告警次数。
具体的,预设用户在预设时间段内执行网络操作,获取该预设用户的行为特征参数。优选地,行为特征参数包括在预设时间段内的网络流量总值,在预设时间段内的会话持续时长平均值,在预设时间段内开启过的应用总个数,在预设时间段内新建会话总个数,在预设时间段内新建会话频率,还可以包括:预设时间段内的会话持续时长最大值、预设时间段内的会话持续时长最小值。具体的,每个用户都有其对应的行为特征参数,针对每个用户,在预设时间段内的会话持续时长平均值计算方式为:首先,确定预设时间段内的会话总个数以及各个会话的持续时长,其次,将各个会话持续时长相加得到总时长,最后,总时长除以会话总个数得到在预设时间段内的会话持续时长平均值;在预设时间段内新建会话频率的计算方式为:首先,确定预设时间段内的会话总个数以及预设时间段对应的时长,其次,会话总个数除以预设时间段对应的时长得到在预设时间段内新建会话频率。行为特征参数还可以包括:在预设时间段内的网络流量平均值、在预设时间段内的网络流量最小值、在预设时间段内的网络流量最大值,其中,在预设时间段内的网络流量平均值计算方式为:首先,将预设时间段按照设定时间步长划分为C个子时间段,并统计在预设时间段内预设用户的网络流量总值;其次,网络流量总值除以C得到的结果作为在预设时间段内的网络流量平均值;查找C个子时间段内网络流量的最小值最作为在预设时间段内的网络流量最小值;查找C个子时间段内网络流量的最大值最作为在预设时间段内的网络流量最大值。
步骤102,根据预先建立的基准用户模型中每个基准用户的行为特征参数和所述预设用户的行为特征参数,计算所述预设用户与每个基准用户的偏离度,所述预先建立的基准用户模型与所述预设用户对应,所述偏离度用于表示两个用户的行为特征参数的相似度。
具体的,每个预设用户对应一个基准用户模型,一个基准用户模型可能对应多个预设用户。根据历史用户的行为特征参数预先建立基准用户模型,优选地,根据预设时间段内的历史用户的行为特征参数预先建立基准用户模型,则在该预设时间段内执行网络操作的用户对应该时间段内的基准用户模型。一个基准用户模型中包括至少一个基准用户。其中,偏离度用于表示两个用户的行为特征参数的相似度,两个用户的行为特征参数的相似度越大说明这两个用户的网络操作越类似,由于本发明实施例中的基准用户为安全用户,因此预设用户与基准用户的偏离度越大,说明该预设用户被网络攻击或者是网络攻击者的可能性越大。偏离度的计算方式下文中将详细介绍。
步骤103,确定所述预设用户与每个基准用户的偏离度中的最小偏离度。
具体的,当基准用户有多个时,预设用户与基准用户的偏离度也会有多个,选择其中的最小偏离度。
步骤104,根据所述入侵防护告警次数与所述最小偏离度的加权求和结果,针对所述预设用户产生网络攻击告警。
优选地,入侵防护告警次数对应的权值与最小偏离度对应的权值之和等于1。入侵防护告警次数对应的权值大小和最小偏离度对应的权值大小可根据实际需求而定。
本发明实施例,预先建立基准用户模型,该基准用户模型中的基准用户可认为是安全用户,利用预设用户的特征参数与该基准用户模型中的基准用户的特征参数计算预设用户与那个基准用户最接近,并根据预设用户与最接近的基准用户之间的偏离度和该预设用户的入侵防护告警次数,确定是否针对该预设用户产生告警。本发明实施例中,用户的行为特征参数都是不确定的因素,需要实时根据用户在预设时间段内的特征参数确定是否针对该用户产生告警,而不是根据预先存储的已知的攻击特征标志产生告警,从而提高了告警有效率;此外,是否针对用户产生告警需要结合多方面因素,大大减少了告警数量。
优选地,确定所述入侵防护告警次数与所述最小偏离度的加权求和结果大于预设偏离度门限时,针对所述预设用户产生网络攻击告警。
具体的,当入侵防护告警次数与所述最小偏离度的加权求和结果比预设偏离度门限大时,说明该预设用户为入侵者或者已被入侵者入侵的可能性很大,此时要针对该预设用户产生网络攻击告警并发出告警。
需要说明的是,步骤102中预设用户与基准用户的偏离度的计算方式如下:
计算预设用户的每个行为特征参数与基准用户的对应的行为特征参数之差的绝对值,每个绝对值对应一个权值,计算每个绝对值的加权求和结果作为预设用户与基准用户的偏离度。计算公式如下所示:
qj=x1|l1-lj1|+…xs|ls-ljs|…+xn|ln-ljn|,其中,j为自然数且小于等于预设用户对应的基准用户模型中的基准用户个数,s和n为自然数且s小于等于n大于等于1,qj表示预设用户与第j个基准用户的偏离度,l1到ln表示预设用户中的第1~n个行为特征参数,lj1到ljn表示第j个基准用户中的第1~n个行为特征参数,n为行为特征参数的总个数,ls表示预设用户的第s个行为特征参数,ljs表示第j个基准用户中的第s个行为特征参数,x1到xn分别为第1到n个绝对值对应的权值,xs为预设用户的第s个行为特征参数与第j个基准用户中的第s个行为特征参数之差的绝对值对应的权值。
也可采用如下公式计算预设用户与基准用户的偏离度:
其中,j为自然数且小于等于预设用户对应的基准用户模型中的基准用户个数,s和n为自然数且s小于等于n大于等于1,qj表示预设用户与第j个基准用户的偏离度,ls表示预设用户中的任一行为特征参数,ls j表示第j个基准用户中与ls对应的行为特征参数。
如果对每个用户都进行网络攻击检测计算量会很大,因此,优选地筛选出符合一定条件的预设用户进行网络攻击检测,优选地,如图2所示,预设用户采用如下方式确定:
步骤201,确定在所述预设时间段内进行网络操作的用户的入侵防护告警平均值和网络流量平均值。
具体的,在预设时间段内进行网络操作的用户为在当前用户,在预设时间段内采集进行网络操作的每个用户的入侵防护告警次数和网络流量,并确定在预设时间段内进行网络操作的用户总个数,将各个用户的入侵防护告警次数相加得到预设时间段内的入侵防护总次数,将各个用户的网络流量相加得到预设时间段内的网络流量总值,入侵防护告警平均值等于入侵防护告警总次数除以用户总个数,网络流量平均值等于网络流量总值除以用户总个数。
步骤202,根据预设的入侵防护告警平均值与入侵防护权值的映射关系,确定所述预设时间段内用户的入侵防护告警平均值对应的入侵防护告警权值。
具体的,预先设置入侵防护告警平均值与入侵防护权值的映射关系,比如:一个入侵防护权值对应一个取值范围,首先确定入侵防护告警平均值所属的取值范围,根据取值范围与入侵防护权值的映射关系确定出入侵防护告警平均值对应的入侵防护权值,预先设置入侵防护告警平均值与入侵防护权值的映射关系可满足如下规律:入侵防护告警平均值越大,入侵防护权值越大。
步骤203,根据预设的网络流量平均值与网络流量权值的映射关系,确定所述预设时间段内用户的网络流量平均值对应的网络流量权值。
具体的,预先设置网络流量平均值与网络流量权值的映射关系,比如:一个网络流量权值对应一个取值范围,首先确定网络流量平均值所属的取值范围,根据取值范围与网络流量权值的映射关系确定出网络流量平均值对应的网络流量权值,预先设置网络流量平均值与网络流量权值的映射关系可满足如下规律:网络流量平均值越大,网络流量权值越大。其中,步骤202和步骤203的先后顺序可调换,这里不做限定。
步骤204,根据所述确定的入侵防护告警权值、确定的网络流量权值以及第一类用户中每个用户对应的资产重要程度,计算第一类用户中各个用户的危险系数。
具体的,入侵防护告警次数较多或者网络流量较大的用户需要重点监控,因此,第一类用户包括:在预设时间段内的入侵防护告警次数大于预设告警阈值的用户以及在预设时间段内网络流量大于预设流量阈值的用户。第一类用户也可以为满足其他条件的用户,这里不做限定。
各个用户的资产重要程度是预先设置的,具体根据用户的重要程度为用户设置不同的资产重要程度,各个用户对应的资产重要程度的具体取值这里不做限定,可根据用户的重要程度设定,比如:一个IP地址代表一个用户,可根据该IP地址的重要程度为不同用户设置相应的资产重要程度。
步骤205,将危险系数大于预设危险阈值的用户确定为预设用户。
具体的,危险系数大于预设危险阈值的用户被攻击或者成为攻击者的可能性较大,或者危险系数较高的用户比较重要,需要实时监控其是否被攻击或者其是否为攻击者,因此将这些用户确定为预设用户,并实时对这些预设用户进行网络攻击检测。
本优选实施例,通过利用入侵防护告警、网络流量以及用户的资产重要程度从第一类用户中筛选出预设用户,从而能够对确定出的预设用户进行实时的网络攻击检测,不仅有针对性的对用户的网络攻击进行检测,还在一定程度上减少了网络攻击检测的计算量。
具体的,如图3所示,基准用户模型采用如下方式建立:
步骤301,对在预设时间段内进行网络操作的历史用户进行分类。
具体的,根据预设时间段内进行网络操作的历史用户,对这些历史用户进行分类,比如:将每天24小时设置为3个时间段:0点-8点、8点-16点、16点-24点,比如预先记录在一周内的每天的0点-8点进行网络操作的历史用户,并对这些历史用户进行分类,进而根据该时间段内的历史用户建立基准用户模型,确定当前时间段为0点-8点时,利用0点-8点对应的基准用户模型对当前用户(包括预设用户)进行网络攻击检测。
步骤302,针对得到的每一类历史用户,从该类历史用户中选取K个历史用户。
具体的,K为自然数,选取K个历史用户的方式为随机选取。
步骤303,将所述K个历史用户的行为特征参数作为K-means聚类算法的K个初始质点。
具体的,任一质点可表示为向量μi=(l1,…,ln),i表示任一质点,该向量中的元素l1到ln表示任一历史用户的第1~n个行为特征参数。
步骤304,利用K-means聚类算法对所述K个初始质点进行设定数目次迭代,得到K个待校正质点。
具体的,K-means聚类算法为现有算法,根据选定的K个质点经过若干次迭代后,可得到K个更新后的质点,并以每个更新后的质点为中心点,将该类用户细分为K个子类,具体计算过程为现有技术,这里不做详细阐述。
步骤305,对所述K个待校正质点进行方向校正,得到K个校正后质点。
由于现有的K-means聚类算法中的初始质点为随机选取的,因此在执行K-means聚类算法时需要经过多次迭代,才能得到更新后的质点,这种计算方式计算量大,且得到的结果也不够准确。本发明实施例利用现有的K-means聚类算法进行设定数目次迭代,优选设定数目为1,并且将经过设定数目次迭代后得到的更新后质点作为待校正质点。对得到的K个待校正质点进行方向校正,从而得到K个校正后质点,具体实现过程下文将详细介绍。
步骤306,利用所述K-means聚类算法对所述K个校正后质点进行设定数目次迭代,得到K个实际质点。
具体的,将K个校正后质点再次作为K-means聚类算法的初始质点,利用K-means聚类算法对K个校正后质点进行进一步的校正,并将进一步校正的结果作为实际质点,优选地设定数目为1.
步骤307,将所述K个实际质点确定为K个基准用户,并将所述K个基准用户作为该类历史用户的基准用户模型。
具体的,由于K个校正后的质点可看做K个用户,将K个校正后的质点作为K个基准用户,将K个基准用户作为该类历史用户的基准用户模型。
本发明实施例中,将历史用户分为几类就会对应几个基准用户模型,此时,利用预设时间段0点-8点内的历史用户建立的基准用户模型可能有多个,假如需要对当天0点-8点内的预设用户进行网络攻击检测时,需要先确定该预设用户所属的分类,然后根据预设用户所属的分类对应的基准用户模型对预设用户进行网络攻击检测。
本发明实施例在建立基准用户模型时,针对同一类用户建立一个基准用户模型,由于同一类用户之间具有一定的共同点,因此,所建立的基准用户模型更加精确细致,此外,还优化了现有的K-means聚类算法,利用现有的K-means聚类算法对K个初始质点进行设定数目次迭代后,得到更新后的K个质点,对更新后的K个质点进行进一步的校正,将校正后的K个质点作为基准用户模型的中的基准用户,从而不仅减小了计算量而且能够使得到的基准用户模型更加准确。
现有技术中的网络攻击检测方法,一些非法人员可通过修改入侵特征的格式等规避手段,规避网络攻击检测,比如将攻击字符串中的大写字母修改成小写字母,由于存储的攻击标志中的字符串应为大写字母,而利用本发明实施例,由于基准用户模型的建立是基于历史用户的行为特征参数,不管历史用户是否被攻击或者是否为攻击者,在建立基准用户模型时均考虑在内,利用K-Means算法可找到历史用户中处于中心位置的历史用户,即可从历史用户中选取最稳定的用户作为基准用户,此时,即使采用规避手段也无法规避网络攻击的检测,从而提高了网络攻击检测的准确性。
优选地,步骤301对在所述预设时间段内进行网络操作的历史用户进行分类,具体包括:
根据在所述预设时间段内进行网络操作的历史用户的IP地址所属的IP地址段,将属于同一IP地址段的历史用户划分到同一类中。
具体的,由于每类历史用户对应一个基准用户模型,因此,在对预设用户进行网络攻击检测前,需要确定该预设用户的IP地址所属的IP地址段,从而确定对该预设用户进行网络攻击检测所需要的基准用户模型。
优选地,步骤301对在所述预设时间段内进行网络操作的历史用户进行分类,如图4所示,具体包括:
步骤401,采集各个进行网络操作的历史用户在所述预设时间段内产生的日志,所述日志内容包括网络流量、开启的应用个数以及会话连接数。
具体的,每个历史用户产生的日志有多个,确定历史用户产生的日志中包括网络流量、开启的应用个数和/或会话连接数内容的日志,并统计出该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数,优选地,日志中的会话连接数为在预设时间段内新建的会话连接数。
步骤402,针对每个所述历史用户,根据采集到的该历史用户的日志统计该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数。
步骤403,根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类。
具体的,对每个进行网络操作的历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数进行加权求和,得到每个历史用户的活跃度,该活跃度可表示用户在预设时间段内进行网络操作的活跃程度。
本发明实施例,针对每个历史用户,计算该历史用户的活跃度,从而根据活跃度对历史用户进行分类。
优选地,步骤403根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类,具体包括:
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果大于第一设定阈值时,确定该历史用户为的高活跃用户;
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果小于第二设定阈值时,确定该历史用户为的低活跃用户,所述第一设定阈值大于所述第二设定阈值。
本优选实施例中,将活跃度相对较高的历史用户确定为高活跃用户,将活跃度相对较低的历史用户确定为的活跃用户,从而实现对历史用户的分类。活跃度大于等于第二设定阈值且小于等于第一设定阈值的历史用户可确定为正常用户。
具体的,通过活跃度将符合条件的历史用户划分为两类,即低活跃用户和高活跃用户,低活跃用户对应一个基准用户模型,高活跃用户对应一个基准用户模型。具体的,在对预设用户进行网络攻击检测前,需要确定该预设用户是的活跃用户还是高活跃用户,从而确定该预设用户对应的基准用户模型。
本发明实施例根据历史用户的活跃程度建立不同的基准用户模型,从而使得到的基准用户模型更加准确细致,利用该基准用户模型进行的网络攻击检测结果更加准确。
具体的,还可采用如下方式对在所述预设时间段内进行网络操作的历史用户进行分类:
根据在所述预设时间段内进行网络操作的历史用户的IP地址所属的IP地址段,将属于同一IP地址段的历史用户划分到同一类中,得到若干的第一级用户簇;针对每个第一级用户簇,利用图4所示实施例将该第一级用户簇划分为若干个第二级用户簇。即,将属于同一IP地址段的历史用户进一步划分为高活跃用户和的活跃用户。
优选地,步骤305对所述K个待校正质点进行方向校正,得到K个校正后质点,如图5所示,具体包括:
步骤501,针对每个所述待校正质点,以该待校正之间为中心确定一区间半径。
具体的,可将各个待校正质点看做n维空间中的点,n为带校正质点对应的行为特征参数个数。针对每个待校正质点,以该待校正之间为中心确定一个区间半径。各个历史用户看做是n维空间中的点。
步骤502,确定在所述区间半径内的第二类历史用户以及每个所述第二类历史用户对应的行为特征参数。
具体的,针对每个待校正质点,将落入该待校正质点对应的区间半径内的历史用户确定为第二类历史用户,并获取第二类用户中每个用户对应的行为特征参数。
步骤503,针对该待校正质点中的每个行为特征参数,采用预设公式对该行为特征参数进行校正。
具体的,预设公式为:
其中,Pi表示校正后的第i个行为特征参数,hi表示待校正质点中第i个行为特征参数,M表示第二类历史用户中的历史用户个数,hmax表示M个历史用户中第i个行为参数的最大值,a表示第二类历史用户的各个历史用户的第i个行为特参数中比hi大的第i个行为特征参数的个数减去比hi小的第i个行为特征参数的个数所得的结果。
具体的,根据第二类用户中每个历史用户与待校正质点对应的特征参数对待校正质点的特征参数进行校正。其中,第二类历史用户的各个历史用户的第i个行为特参数中每有一个比hi大的行为特征参数,就在将a加1;第二类历史用户的各个历史用户的第i个行为特参数中每有一个比hi小的行为特征参数,就将a减1,比如,a的初始值为0,当第二类历史用户中一共有三个历史用户,其中有一个比hi大用户,一个比hi小的用户,此时a的值为1。
步骤504,将校正后的行为特征参数对应的质点确定为校正后质点。
具体的,将该待校正质点中的每个特征参数校正后得到校正后质点。
本优选实施例,提供了一种对待校正质点进行方向校正的方法,将校正后质点作为基准用户能够使最终的网络攻击检测结果更加可靠。
本发明实施例还提供一种网络攻击检测装置,如图6所示,包括:
获取单元601,用于在预设时间段内获取预设用户的行为特征参数以及所述预设用户的入侵防护告警次数;
计算单元602,用于根据预先建立的基准用户模型中每个基准用户的行为特征参数和所述预设用户的行为特征参数,计算所述预设用户与每个基准用户的偏离度,所述预先建立的基准用户模型与所述预设用户对应,所述偏离度用于表示两个用户的行为特征参数的相似度;
确定单元603,用于确定所述预设用户与每个基准用户的偏离度中的最小偏离度;
告警单元604,用于根据所述入侵防护告警次数与所述最小偏离度的加权求和结果,针对所述预设用户产生网络攻击告警。
优选地,所述装置,所述行为特征参数包括在预设时间段内的网络流量总值、在预设时间段内的会话持续时长平均值、在预设时间段内开启过的应用总个数、在预设时间段内新建会话总个数以及在预设时间段内新建会话频率。
优选地,所述装置中,所述告警单元具体用于:
确定所述入侵防护告警次数与所述最小偏离度的加权求和结果大于预设偏离度门限时,针对所述预设用户产生网络攻击告警。
优选地,所述装置中,所述计算单元还用于采用如下方式确定所述预设用户:
确定在所述预设时间段内进行网络操作的用户的入侵防护告警平均值和网络流量平均值;
根据预设的入侵防护告警平均值与入侵防护权值的映射关系,确定所述预设时间段内用户的入侵防护告警平均值对应的入侵防护告警权值;
根据预设的网络流量平均值与网络流量权值的映射关系,确定所述预设时间段内用户的网络流量平均值对应的网络流量权值;
根据所述确定的入侵防护告警权值、确定的网络流量权值以及第一类用户中每个用户对应的资产重要程度,计算第一类用户中各个用户的危险系数;
将危险系数大于预设危险阈值的用户确定为预设用户;
其中,第一类用户包括在所述预设时间段内入侵防护告警次数大于预设告警阈值的用户以及在所述预设时间段内网络流量大于预设流量阈值的用户。
优选地,所述装置中,所述计算单元还用于采用如下方式建立所述基准用户模型:
对在所述预设时间段内进行网络操作的历史用户进行分类;
针对得到的每一类历史用户,从该类历史用户中选取K个历史用户,K为自然数;
将所述K个历史用户的行为特征参数作为K-means聚类算法的K个初始质点;
利用K-means聚类算法对所述K个初始质点进行设定数目次迭代,得到K个待校正质点;
对所述K个待校正质点进行方向校正,得到K个校正后质点;
利用所述K-means聚类算法对所述K个校正后质点进行设定数目次迭代,得到K个实际质点;
将所述K个实际质点确定为K个基准用户,并将所述K个基准用户作为该类历史用户的基准用户模型。
优选地,所述装置中,所述计算单元在对在所述预设时间段内进行网络操作的历史用户进行分类时,具体用于:
根据在所述预设时间段内进行网络操作的历史用户的IP地址所属的IP地址段,将属于同一IP地址段的历史用户划分到同一类中。
优选地,所述装置中,所述计算单元在对在所述预设时间段内进行网络操作的历史用户进行分类时,具体用于:
采集各个进行网络操作的历史用户在所述预设时间段内产生的日志,所述日志内容包括网络流量、开启的应用个数以及会话连接数;
针对每个所述历史用户,根据采集到的该历史用户的日志统计该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数;
根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类。
优选地,所述装置中,所述计算单元在根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类时,具体用于:
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果大于第一设定阈值时,确定该历史用户为的高活跃用户;
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果小于第二设定阈值时,确定该历史用户为的低活跃用户,所述第一设定阈值大于所述第二设定阈值。
优选地,所述装置中,所述计算单元在对所述K个待校正质点进行方向校正,得到K个校正后质点时,具体用于:
针对每个所述待校正质点,以该待校正之间为中心确定一区间半径;
确定在所述区间半径内的第二类历史用户以及每个所述第二类历史用户对应的行为特征参数;
针对该待校正质点中的每个行为特征参数,采用预设公式对该行为特征参数进行校正;
将校正后的行为特征参数对应的质点确定为校正后质点;
所述预设公式如下:
P i = h i + a × | h m a x - h i | 2 M
其中,Pi表示校正后的第i个行为特征参数,hi表示待校正质点中第i个行为特征参数,M表示第二类历史用户中的历史用户个数,hmax表示M个历史用户中第i个行为参数的最大值,a表示第二类历史用户中各历史用户的第i个行为特参数中比hi大的第i个行为特征参数的个数减去比hi小的第i个行为特征参数的个数所得的结果。
利用本发明实施例提供的网络攻击检测方法及装置至少具有以下有益效果:通过将预设的用户的行为特征参数与预先建立的基准用户的行为特征参数进行比较,判断是否针对预设用户产生告警,由于用户的行为特征参数都是不确定的因素,需要实时根据预设用户在预设时间段内的特征参数确定是否针对该预设用户产生告警,而不是根据预先存储的已知的攻击特征标志产生告警,从而提高了告警有效率;此外,是否针对预设用户产生告警需要结合多方面因素,从而可以减少告警数量。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (18)

1.一种网络攻击检测方法,其特征在于,包括:
在预设时间段内获取预设用户的行为特征参数以及所述预设用户的入侵防护告警次数;
根据预先建立的基准用户模型中每个基准用户的行为特征参数和所述预设用户的行为特征参数,计算所述预设用户与每个基准用户的偏离度,所述预先建立的基准用户模型与所述预设用户对应,所述偏离度用于表示两个用户的行为特征参数的相似度;
确定所述预设用户与每个基准用户的偏离度中的最小偏离度;
根据所述入侵防护告警次数与所述最小偏离度的加权求和结果,针对所述预设用户产生网络攻击告警。
2.如权利要求1所述的方法,其特征在于,所述行为特征参数包括在预设时间段内的网络流量总值、在预设时间段内的会话持续时长平均值、在预设时间段内开启过的应用总个数、在预设时间段内新建会话总个数以及在预设时间段内新建会话频率。
3.如权利要求1所述的方法,其特征在于,根据所述入侵防护告警次数与所述最小偏离度的加权求和结果,针对所述预设用户产生网络攻击告警,具体包括:
确定所述入侵防护告警次数与所述最小偏离度的加权求和结果大于预设偏离度门限时,针对所述预设用户产生网络攻击告警。
4.如权利要求1所述的方法,其特征在于,所述预设用户采用如下方式确定:
确定在所述预设时间段内进行网络操作的用户的入侵防护告警平均值和网络流量平均值;
根据预设的入侵防护告警平均值与入侵防护权值的映射关系,确定所述预设时间段内用户的入侵防护告警平均值对应的入侵防护告警权值;
根据预设的网络流量平均值与网络流量权值的映射关系,确定所述预设时间段内用户的网络流量平均值对应的网络流量权值;
根据所述确定的入侵防护告警权值、确定的网络流量权值以及第一类用户中每个用户对应的资产重要程度,计算第一类用户中各个用户的危险系数;
将危险系数大于预设危险阈值的用户确定为预设用户;
其中,第一类用户包括在所述预设时间段内入侵防护告警次数大于预设告警阈值的用户以及在所述预设时间段内网络流量大于预设流量阈值的用户。
5.如权利要求1所述的方法,其特征在于,所述基准用户模型采用如下方式建立:
对在所述预设时间段内进行网络操作的历史用户进行分类;
针对得到的每一类历史用户,从该类历史用户中选取K个历史用户,K为自然数;
将所述K个历史用户的行为特征参数作为K-means聚类算法的K个初始质点;
利用K-means聚类算法对所述K个初始质点进行设定数目次迭代,得到K个待校正质点;
对所述K个待校正质点进行方向校正,得到K个校正后质点;
利用所述K-means聚类算法对所述K个校正后质点进行设定数目次迭代,得到K个实际质点;
将所述K个实际质点确定为K个基准用户,并将所述K个基准用户作为该类历史用户的基准用户模型。
6.如权利要求5所述的方法,其特征在于,对在所述预设时间段内进行网络操作的历史用户进行分类,具体包括:
根据在所述预设时间段内进行网络操作的历史用户的IP地址所属的IP地址段,将属于同一IP地址段的历史用户划分到同一类中。
7.如权利要求5所述的方法,其特征在于,对在所述预设时间段内进行网络操作的历史用户进行分类,具体包括:
采集各个进行网络操作的历史用户在所述预设时间段内产生的日志,所述日志内容包括网络流量、开启的应用个数以及会话连接数;
针对每个所述历史用户,根据采集到的该历史用户的日志统计该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数;
根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类。
8.如权利要求7所述的方法,其特征在于,根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类,具体包括:
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果大于第一设定阈值时,确定该历史用户为的高活跃用户;
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果小于第二设定阈值时,确定该历史用户为的低活跃用户,所述第一设定阈值大于所述第二设定阈值。
9.如权利要求5所述的方法,其特征在于,对所述K个待校正质点进行方向校正,得到K个校正后质点,具体包括:
针对每个所述待校正质点,以该待校正之间为中心确定一区间半径;
确定在所述区间半径内的第二类历史用户以及每个所述第二类历史用户对应的行为特征参数;
针对该待校正质点中的每个行为特征参数,采用预设公式对该行为特征参数进行校正;
将校正后的行为特征参数对应的质点确定为校正后质点;
所述预设公式如下:
P i = h i + a × | h m a x - h i | 2 M
其中,Pi表示校正后的第i个行为特征参数,hi表示待校正质点中第i个行为特征参数,M表示第二类历史用户中的历史用户个数,hmax表示M个历史用户中第i个行为参数的最大值,a表示第二类历史用户中各历史用户的第i个行为特参数中比hi大的第i个行为特征参数的个数减去比hi小的第i个行为特征参数的个数所得的结果。
10.一种网络攻击检测装置,其特征在于,包括:
获取单元,用于在预设时间段内获取预设用户的行为特征参数以及所述预设用户的入侵防护告警次数;
计算单元,用于根据预先建立的基准用户模型中每个基准用户的行为特征参数和所述预设用户的行为特征参数,计算所述预设用户与每个基准用户的偏离度,所述预先建立的基准用户模型与所述预设用户对应,所述偏离度用于表示两个用户的行为特征参数的相似度;
确定单元,用于确定所述预设用户与每个基准用户的偏离度中的最小偏离度;
告警单元,用于根据所述入侵防护告警次数与所述最小偏离度的加权求和结果,针对所述预设用户产生网络攻击告警。
11.如权利要求10所述的装置,其特征在于,所述行为特征参数包括在预设时间段内的网络流量总值、在预设时间段内的会话持续时长平均值、在预设时间段内开启过的应用总个数、在预设时间段内新建会话总个数以及在预设时间段内新建会话频率。
12.如权利要求10所述的装置,其特征在于,所述告警单元具体用于:
确定所述入侵防护告警次数与所述最小偏离度的加权求和结果大于预设偏离度门限时,针对所述预设用户产生网络攻击告警。
13.如权利要求10所述的装置,其特征在于,所述计算单元还用于采用如下方式确定所述预设用户:
确定在所述预设时间段内进行网络操作的用户的入侵防护告警平均值和网络流量平均值;
根据预设的入侵防护告警平均值与入侵防护权值的映射关系,确定所述预设时间段内用户的入侵防护告警平均值对应的入侵防护告警权值;
根据预设的网络流量平均值与网络流量权值的映射关系,确定所述预设时间段内用户的网络流量平均值对应的网络流量权值;
根据所述确定的入侵防护告警权值、确定的网络流量权值以及第一类用户中每个用户对应的资产重要程度,计算第一类用户中各个用户的危险系数;
将危险系数大于预设危险阈值的用户确定为预设用户;
其中,第一类用户包括在所述预设时间段内入侵防护告警次数大于预设告警阈值的用户以及在所述预设时间段内网络流量大于预设流量阈值的用户。
14.如权利要求10所述的装置,其特征在于,所述计算单元还用于采用如下方式建立所述基准用户模型:
对在所述预设时间段内进行网络操作的历史用户进行分类;
针对得到的每一类历史用户,从该类历史用户中选取K个历史用户,K为自然数;
将所述K个历史用户的行为特征参数作为K-means聚类算法的K个初始质点;
利用K-means聚类算法对所述K个初始质点进行设定数目次迭代,得到K个待校正质点;
对所述K个待校正质点进行方向校正,得到K个校正后质点;
利用所述K-means聚类算法对所述K个校正后质点进行设定数目次迭代,得到K个实际质点;
将所述K个实际质点确定为K个基准用户,并将所述K个基准用户作为该类历史用户的基准用户模型。
15.如权利要求14所述的装置,其特征在于,所述计算单元在对在所述预设时间段内进行网络操作的历史用户进行分类时,具体用于:
根据在所述预设时间段内进行网络操作的历史用户的IP地址所属的IP地址段,将属于同一IP地址段的历史用户划分到同一类中。
16.如权利要求14所述的装置,其特征在于,所述计算单元在对在所述预设时间段内进行网络操作的历史用户进行分类时,具体用于:
采集各个进行网络操作的历史用户在所述预设时间段内产生的日志,所述日志内容包括网络流量、开启的应用个数以及会话连接数;
针对每个所述历史用户,根据采集到的该历史用户的日志统计该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数;
根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类。
17.如权利要求16所述的装置,其特征在于,所述计算单元在根据该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果,对该历史用户进行分类时,具体用于:
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果大于第一设定阈值时,确定该历史用户为的高活跃用户;
确定该历史用户在预设时间段内的网络总流量、开启的应用总个数以及总会话连接数的加权求和结果小于第二设定阈值时,确定该历史用户为的低活跃用户,所述第一设定阈值大于所述第二设定阈值。
18.如权利要求14所述的装置,其特征在于,所述计算单元在对所述K个待校正质点进行方向校正,得到K个校正后质点时,具体用于:
针对每个所述待校正质点,以该待校正之间为中心确定一区间半径;
确定在所述区间半径内的第二类历史用户以及每个所述第二类历史用户对应的行为特征参数;
针对该待校正质点中的每个行为特征参数,采用预设公式对该行为特征参数进行校正;
将校正后的行为特征参数对应的质点确定为校正后质点;
所述预设公式如下:
P i = h i + a × | h m a x - h i | 2 M
其中,Pi表示校正后的第i个行为特征参数,hi表示待校正质点中第i个行为特征参数,M表示第二类历史用户中的历史用户个数,hmax表示M个历史用户中第i个行为参数的最大值,a表示第二类历史用户中各历史用户的第i个行为特参数中比hi大的第i个行为特征参数的个数减去比hi小的第i个行为特征参数的个数所得的结果。
CN201510659070.2A 2015-10-12 2015-10-12 一种网络攻击检测方法及装置 Active CN105208040B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510659070.2A CN105208040B (zh) 2015-10-12 2015-10-12 一种网络攻击检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510659070.2A CN105208040B (zh) 2015-10-12 2015-10-12 一种网络攻击检测方法及装置

Publications (2)

Publication Number Publication Date
CN105208040A true CN105208040A (zh) 2015-12-30
CN105208040B CN105208040B (zh) 2019-03-26

Family

ID=54955473

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510659070.2A Active CN105208040B (zh) 2015-10-12 2015-10-12 一种网络攻击检测方法及装置

Country Status (1)

Country Link
CN (1) CN105208040B (zh)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506567A (zh) * 2017-01-12 2017-03-15 成都信息工程大学 一种基于行为评判的隐蔽式网络攻击主动发现方法
CN106657410A (zh) * 2017-02-28 2017-05-10 国家电网公司 基于用户访问序列的异常行为检测方法
CN107426217A (zh) * 2017-07-27 2017-12-01 郑州云海信息技术有限公司 一种检测系统入侵的方法及装置
CN107517203A (zh) * 2017-08-08 2017-12-26 北京奇安信科技有限公司 一种用户行为基线建立方法及装置
CN107528859A (zh) * 2017-09-29 2017-12-29 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的防御方法及设备
CN107784314A (zh) * 2016-08-26 2018-03-09 北京协同创新智能电网技术有限公司 一种多变量报警系统的正常异常数据划分方法及系统
CN108122116A (zh) * 2016-11-29 2018-06-05 腾讯科技(深圳)有限公司 一种产品推广渠道的监管方法及系统
CN108400995A (zh) * 2018-06-07 2018-08-14 北京广成同泰科技有限公司 一种基于流量模式比对的网络攻击识别方法及识别系统
CN108449307A (zh) * 2017-02-16 2018-08-24 上海行邑信息科技有限公司 一种用于识别风险设备的方法
CN108965267A (zh) * 2018-06-28 2018-12-07 北京车和家信息技术有限公司 网络攻击处理方法、装置及车辆
CN108965055A (zh) * 2018-07-17 2018-12-07 成都力鸣信息技术有限公司 一种基于历史时间取点法的网络流量异常检测方法
CN109218321A (zh) * 2018-09-25 2019-01-15 北京明朝万达科技股份有限公司 一种网络入侵检测方法及系统
CN109302403A (zh) * 2018-10-26 2019-02-01 深圳市赛梅斯凯科技有限公司 网络入侵检测方法、系统、设备及计算机可读存储介质
CN110505202A (zh) * 2019-07-12 2019-11-26 中国科学院信息工程研究所 一种攻击组织发现方法及系统
CN110738272A (zh) * 2019-10-23 2020-01-31 智洋创新科技股份有限公司 一种输电线路通道可视化机械类连续告警样本的标注方法
CN110855648A (zh) * 2019-11-04 2020-02-28 腾讯科技(深圳)有限公司 一种网络攻击的预警控制方法及装置
CN111818097A (zh) * 2020-09-01 2020-10-23 北京安帝科技有限公司 基于行为的流量监测方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1588880A (zh) * 2004-10-15 2005-03-02 华中科技大学 基于聚类与关联的网络安全报警系统
CN101090334A (zh) * 2007-05-23 2007-12-19 西安交大捷普网络科技有限公司 一种解决入侵检测系统中海量报警的方法
US8639797B1 (en) * 2007-08-03 2014-01-28 Xangati, Inc. Network monitoring of behavior probability density
CN104113519A (zh) * 2013-04-16 2014-10-22 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
CN104967629A (zh) * 2015-07-16 2015-10-07 网宿科技股份有限公司 网络攻击检测方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1588880A (zh) * 2004-10-15 2005-03-02 华中科技大学 基于聚类与关联的网络安全报警系统
CN101090334A (zh) * 2007-05-23 2007-12-19 西安交大捷普网络科技有限公司 一种解决入侵检测系统中海量报警的方法
US8639797B1 (en) * 2007-08-03 2014-01-28 Xangati, Inc. Network monitoring of behavior probability density
CN104113519A (zh) * 2013-04-16 2014-10-22 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
CN104967629A (zh) * 2015-07-16 2015-10-07 网宿科技股份有限公司 网络攻击检测方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
卓金武 等: "《MATLAB在数学建模中的应用》", 30 September 2014, 北京航空航天大学出版社 *
唐亮: "基于多告警源关联分析的僵尸检测方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *
李岩: "入侵检测系统中基于量子理论的克隆选择算法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107784314A (zh) * 2016-08-26 2018-03-09 北京协同创新智能电网技术有限公司 一种多变量报警系统的正常异常数据划分方法及系统
CN108122116A (zh) * 2016-11-29 2018-06-05 腾讯科技(深圳)有限公司 一种产品推广渠道的监管方法及系统
CN106506567A (zh) * 2017-01-12 2017-03-15 成都信息工程大学 一种基于行为评判的隐蔽式网络攻击主动发现方法
CN108449307A (zh) * 2017-02-16 2018-08-24 上海行邑信息科技有限公司 一种用于识别风险设备的方法
CN108449307B (zh) * 2017-02-16 2020-12-29 上海行邑信息科技有限公司 一种用于识别风险设备的方法
CN106657410A (zh) * 2017-02-28 2017-05-10 国家电网公司 基于用户访问序列的异常行为检测方法
CN106657410B (zh) * 2017-02-28 2018-04-03 国家电网公司 基于用户访问序列的异常行为检测方法
CN107426217A (zh) * 2017-07-27 2017-12-01 郑州云海信息技术有限公司 一种检测系统入侵的方法及装置
CN107517203B (zh) * 2017-08-08 2020-07-14 奇安信科技集团股份有限公司 一种用户行为基线建立方法及装置
CN107517203A (zh) * 2017-08-08 2017-12-26 北京奇安信科技有限公司 一种用户行为基线建立方法及装置
CN107528859A (zh) * 2017-09-29 2017-12-29 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的防御方法及设备
CN107528859B (zh) * 2017-09-29 2020-07-10 北京神州绿盟信息安全科技股份有限公司 一种DDoS攻击的防御方法及设备
CN108400995A (zh) * 2018-06-07 2018-08-14 北京广成同泰科技有限公司 一种基于流量模式比对的网络攻击识别方法及识别系统
CN108400995B (zh) * 2018-06-07 2020-12-22 北京广成同泰科技有限公司 一种基于流量模式比对的网络攻击识别方法及识别系统
CN108965267A (zh) * 2018-06-28 2018-12-07 北京车和家信息技术有限公司 网络攻击处理方法、装置及车辆
CN108965267B (zh) * 2018-06-28 2021-04-02 北京车和家信息技术有限公司 网络攻击处理方法、装置及车辆
CN108965055A (zh) * 2018-07-17 2018-12-07 成都力鸣信息技术有限公司 一种基于历史时间取点法的网络流量异常检测方法
CN109218321A (zh) * 2018-09-25 2019-01-15 北京明朝万达科技股份有限公司 一种网络入侵检测方法及系统
CN109302403A (zh) * 2018-10-26 2019-02-01 深圳市赛梅斯凯科技有限公司 网络入侵检测方法、系统、设备及计算机可读存储介质
CN110505202B (zh) * 2019-07-12 2020-10-27 中国科学院信息工程研究所 一种攻击组织发现方法及系统
CN110505202A (zh) * 2019-07-12 2019-11-26 中国科学院信息工程研究所 一种攻击组织发现方法及系统
CN110738272B (zh) * 2019-10-23 2020-11-03 智洋创新科技股份有限公司 一种输电线路通道可视化机械类连续告警样本的标注方法
CN110738272A (zh) * 2019-10-23 2020-01-31 智洋创新科技股份有限公司 一种输电线路通道可视化机械类连续告警样本的标注方法
CN110855648A (zh) * 2019-11-04 2020-02-28 腾讯科技(深圳)有限公司 一种网络攻击的预警控制方法及装置
CN110855648B (zh) * 2019-11-04 2021-11-19 腾讯科技(深圳)有限公司 一种网络攻击的预警控制方法及装置
CN111818097A (zh) * 2020-09-01 2020-10-23 北京安帝科技有限公司 基于行为的流量监测方法及装置

Also Published As

Publication number Publication date
CN105208040B (zh) 2019-03-26

Similar Documents

Publication Publication Date Title
CN105208040A (zh) 一种网络攻击检测方法及装置
US20210067549A1 (en) Anomaly detection with graph adversarial training in computer systems
Feng et al. Multi-level anomaly detection in industrial control systems via package signatures and LSTM networks
US8245301B2 (en) Network intrusion detection visualization
Nesa et al. Outlier detection in sensed data using statistical learning models for IoT
CN105376255A (zh) 一种基于K-means聚类的Android平台入侵检测方法
CN107666410A (zh) 网络安全分析系统
CN103441982A (zh) 一种基于相对熵的入侵报警分析方法
Ullah et al. A filter-based feature selection model for anomaly-based intrusion detection systems
CN105553998A (zh) 一种网络攻击异常检测方法
Otoum et al. A comparative study of ai-based intrusion detection techniques in critical infrastructures
CN108965055A (zh) 一种基于历史时间取点法的网络流量异常检测方法
CN109218321A (zh) 一种网络入侵检测方法及系统
CN103905440A (zh) 一种基于日志和snmp信息融合的网络安全态势感知分析方法
CN103916385A (zh) 一种基于智能算法的waf安全监测系统
CN109325232A (zh) 一种基于lda的用户行为异常分析方法、系统及存储介质
CN105959316A (zh) 网络安全性验证系统
Mkuzangwe et al. Ensemble of classifiers based network intrusion detection system performance bound
Chen et al. Multi-level adaptive coupled method for industrial control networks safety based on machine learning
CN112559593A (zh) 一种基于标签聚类的本地化差分隐私保护方法
CN114580829A (zh) 基于随机森林算法的用电安全感知方法、设备及介质
EP1820170A1 (fr) Suppression de fausses alertes parmi les alertes produites dans un systeme d'informations surveille
CN113746780B (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
US20170346834A1 (en) Relating to the monitoring of network security
CN103501302A (zh) 一种蠕虫特征自动提取的方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20200325

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Co-patentee after: Shenzhou Lvmeng Chengdu Technology Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee before: NSFOCUS TECHNOLOGIES Inc.

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
CP01 Change in the name or title of a patent holder

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee after: NSFOCUS TECHNOLOGIES Inc.

Patentee after: NSFOCUS Technologies Group Co.,Ltd.

Co-patentee after: Shenzhou Lvmeng Chengdu Technology Co.,Ltd.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Co-patentee before: NSFOCUS TECHNOLOGIES Inc.

Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Co-patentee before: Shenzhou Lvmeng Chengdu Technology Co.,Ltd.

CP01 Change in the name or title of a patent holder