CN106131022A - 一种网络协同攻击风暴源检测方法及装置 - Google Patents

一种网络协同攻击风暴源检测方法及装置 Download PDF

Info

Publication number
CN106131022A
CN106131022A CN201610560582.8A CN201610560582A CN106131022A CN 106131022 A CN106131022 A CN 106131022A CN 201610560582 A CN201610560582 A CN 201610560582A CN 106131022 A CN106131022 A CN 106131022A
Authority
CN
China
Prior art keywords
event
assault
storm
time interval
interval
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610560582.8A
Other languages
English (en)
Other versions
CN106131022B (zh
Inventor
黄勇
周安民
陈航
宋国志
肖仕刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Silent Information Technology Co Ltd
Original Assignee
Sichuan Silent Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Silent Information Technology Co Ltd filed Critical Sichuan Silent Information Technology Co Ltd
Priority to CN201610560582.8A priority Critical patent/CN106131022B/zh
Publication of CN106131022A publication Critical patent/CN106131022A/zh
Application granted granted Critical
Publication of CN106131022B publication Critical patent/CN106131022B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明较佳实施例提供的网络协同攻击风暴源检测方法及装置,通过对网络攻击事件集建立三维数据模型以获取风暴时间区间,并对所述风暴时间区间内的网络攻击事件进行结合神经网络模型预估和基于K阶矩的离散度分析、偏度分析及峰度分析,排除具有周期性行为相关性的攻击事件,获取最终的风暴源事件。与传统的基于动态基线的风暴源检测方法相比,具有更为精确合理的风暴源事件捕获特性,基于相同的特征数据库,具有分析维度多样化、对网络攻击事件的协同性分析深入、数据表达更直观的优势。

Description

一种网络协同攻击风暴源检测方法及装置
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网络协同攻击风暴源检测方法及装置。
背景技术
随着网络攻击技术和工具的发展演变,网络攻击方式不断朝着自动化、智能化、协同化方向发展,其中协同化网络攻击借助自身隐蔽性好、可靠性高等特征在黑客组织得到大范围的传播和应用。
目前,绝大多数企业或机构已经实现传统服务模式到互联网服务模式的转变,面对多领域业务扩展、大量的用户群体和快速变化的网络环境,协同攻击因其协同关系复杂和协同节点众多,使传统的基于动态基线控制的检测方式无法适应现有安全运维环境。该种传统网络协同攻击风暴源检测方式存在如下缺陷:短时间的动态基线阈值不能排除风暴点行为相关性,易造成风暴特性误判;协同攻击风暴点的挖掘没有专业的技术体系,仅是传统的数量级统计方式;风暴点协作性判定尚未实现,只关注变化趋势,缺少对风暴本身产生原因的最终调查。
发明内容
有鉴于此,本发明的目的在于提供一种网络协同攻击风暴源检测方法及装置。
一方面,本发明较佳实施例提供一种网络协同攻击风暴源检测方法,该方法包括:对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间;获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间;获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集;对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集;分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集;以及判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。
另一方面,本发明较佳实施例提供一种网络协同攻击风暴源检测装置,该装置包括:异常时间区间计算模块,用于对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间;风暴区间获取模块,用于获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间;标准差计算模块,用于获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集;偏度系数计算模块,用于对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集;峰度系数计算模块,用于分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集;及风暴源获取模块,用于判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。
本发明较佳实施例提供的网络协同攻击风暴源检测方法及装置,结合神经网络模型预估和基于K阶矩的离散度分析、偏度分析及峰度分析排除行为相关性风暴源事件,与传统的基于动态基线的风暴源检测方法相比,具有更为精确合理的风暴源事件捕获特性,基于相同的特征数据库,具有分析维度多样化、对网络攻击事件的协同性分析深入、数据表达更直观的优势。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明较佳实施例提供的数据处理设备的示意性结构框图;
图2为本发明较佳实施例提供的网络协同攻击风暴源检测方法的流程图;
图3为本发明较佳实施例提供的一种绝对事件数量分布矩阵的示意图;
图4为本发明较佳实施例提供的一种示意性频率分布图;
图5为本发明较佳实施例提供的网络协同攻击风暴源检测装置的功能模块框图。
附图标记:
数据处理设备 100 风暴区间获取模块 420
存储器 200 标准差计算模块 430
处理器 300 偏度系数计算模块 440
网络协同攻击风暴源检测装置 400 峰度系数计算模块 450
异常时间区间计算模块 410 风暴源获取模块 460
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,是本较佳实施例提供的一种数据处理设备100的示意性结构框图。该数据处理设备100包括存储器200、处理器300以及网络协同攻击风暴源检测装置400。所述数据处理设备100可以是计算机或其他任意具有数据处理能力的计算设备。
所述存储器200与处理器300之间直接或间接地电性连接,以实现数据的传输或交互。例如,可通过一条或多条通讯总线或信号线实现电性连接。所述网络协同攻击风暴源检测装置400包括至少一个可以软件或固件(firmware)的形式存储于所述存储器200中或固化在所述数据处理设备100的操作系统(operating system,OS)中的软件功能模块。所述处理器300用于执行存储器200中存储的可执行模块,例如所述网络协同攻击风暴源检测装置400包括的软件功能模块或计算机程序。所述处理器300在接收到执行指令后,执行所述功能模块或程序,下述本发明任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器300中,或者由处理器300实现。
请参阅图2,是本发明较佳实施例提供的网络协同攻击风暴源检测方法的流程图。下面将对图2所示的具体流程及步骤进行详细阐述。
步骤S101,对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间。
首先,对用户系统的网络日志进行关联分析得到网络攻击事件集。然后对该网络攻击事件集建立三维数据模型(X轴:N天,Y轴:24小时,Z轴:事件数量),并计算该三维数据模型的峰值及峰间距比例,得到异常时间区间。具体计算过程为,根据事件数量区间段分布比例获取所述三维数据模型中的可疑峰值节点,并计算该峰值节点其余数据节点X、Y轴斜率,判断是否为异常时间区间。
步骤S103,获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间。
根据行为规则对所述网络攻击事件集进行周期性行为特征分析,并根据分析结果提取数据样本集合以建立所述神经网络模型。所述行为规则依托于用户系统的业务划分、工作模式、网络环境和设备配置策略。对该神经网络模型的特征数据进行长期机器学习和样本训练,以预测当前异常时间区间内网络攻击事件的数量。若所述神经网络模型的预测值与该异常时间区间的某一子区间内的网络攻击事件的数量之差在预设偏差范围内,则认为该子区间为正常时间区间,即不存在风暴源威胁,否则,则认为该子区间为风暴时间区间。
步骤S105,获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集。
对所述第一事件集内的每一个网络攻击事件,根据X轴(历史相似时间节点)及Y轴(24小时),分别构建实时事件数量分布矩阵,并对该实时事件数量分布矩阵进行3x3窗口中值滤波获得该实时事件数量分布矩阵的基线矩阵。利用所述实时事件数量分布矩阵及基线矩阵,计算实时事件数量偏差,并根据公式:
绝对数量=|偏差|+基线数量
得出绝对事件数量分布矩阵,以将正、反向事件风暴进行规整统一。
得到绝对事件数量分布矩阵后,计算该绝对事件数量分布矩阵的二阶中心矩,以得到矩阵数据的横向、纵向标准差。标准差表示数据的离散程度。如图3所示,横向为24小时网络攻击事件的数量趋势,其离散度表示当前网络攻击事件的实时数量分布状态,离散度越高表示数据波动性越大,存在风暴源事件的可能性越大;纵向(历史相似时间节点)离散度表示当前网络攻击事件的历史数量分布状态,离散度越高表示事件不存在周期性行为相似特性的可能性越大。通过横纵数据离散度关联分析,排除周期性行为相似性,提取与总体风暴时间区间重合的风暴源事件集合,即根据所述绝对事件数量分布矩阵的横、纵向标准差的计算结果,从所述第一事件集中提取存在周期性行为相似特性的网络攻击事件构成第二事件集。
步骤S107,对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集。
将所述风暴时间区间所在当天的24小时按照预设周期频率,如可以是15分钟,但不限于此,划分为若干时间段,获取每一个时间段内的网络攻击事件数量的发生次数,形成频率分布图。例如,于某一具体实施方式中,得到如图4所示的频率分布图,该频率分布图中单一时间段内事件发生次数(事件频率)在600~800及800~1000的时间段占总时间段的比例相同,为34.14%,时间频率在400~600及1000~1200的时间段占总时间段的比例相同,为13.59%,其余部分可同理推得。
计算所述频率分布图的三阶中心矩,以得到该频率分布图的偏度系数。偏度系数为0表示所述频率分布图为正太分布,低频和高频数据较少,数量偏差较小,数据整体趋势较为平稳;当偏度系数越小(<0负偏)数据集中在低频部分,存在正向风暴(事件数量突发性增加);当偏度系数越大(>0正偏)数据集中在高频部分,存在逆向风暴(事件数量突发性较少)。根据所述偏度系数的计算结果从所述第二事件集中提取频率分布图为正偏或负偏的网络攻击事件构成第三事件集。
步骤S109,分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集。
计算第三事件集中每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的四阶中心矩,得到峰度系数。峰度系数用来度量数据在中心聚集程度,在正态分布情况下,峰度系数值等于3。峰度系数大于3时表明数据在中心的聚集程度较高,有比正态分布更短的尾部;峰度系数小于3时表明数据在中心的聚集程度较低,有比正态分布更长的尾部。实时事件数量趋势图的峰度系数越大表示对应的网络攻击事件发生的时间越短。频率分布图的峰度系数越大表明对应的网络攻击事件的风暴强度越大。根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集。
步骤S111,判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。
根据第四事件集中的每一个网络攻击事件对应的单事件神经网络模型及该网络攻击事件在所述风暴时间区间对应的历史相似时间节点处的事件发生数量,采用如下公式计算所述单事件神经网络模型的预测值与真实的事件发生数量的标准偏差,:
S t = 1 n - 1 &Sigma; i = 0 n - 1 ( y t - i - b ) 2
其中,St为标准偏差值,b为单事件神经网络模型的预测值,yt为网络攻击事件在当前时间节点的事件发生数量,yt-1,yt-2....yt-n+1为网络攻击事件在历史相似时间节点的事件发生数量。
利用所述标准偏差确定周期性行为相关性偏差区间,即低/中/高风暴时间区间,并计算所述网络攻击事件在风暴时间区间内的真实事件发生数量与所述单事件神经网络模型的预测值之间的偏差值。若所述偏差值落在所述周期性行为相关性偏差区间内,则该网络攻击事件具有周期性行为相关性。若所述偏差值未落在所述周期性行为相关性偏差区间内,则该网络攻击事件不具有周期性行为相关性。最后,根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。
请参阅图5,是本发明较佳实施例提供的网络协同攻击风暴源检测装置400的功能模块框图。所述网络协同攻击风暴源检测装置400包括异常时间区间计算模块410、风暴区间获取模块420、标准差计算模块430、偏度系数计算模块440、峰度系数计算模块450以及风暴源获取模块460。下面将对图5所示的具体功能模块进行详细描述。
所述异常时间区间计算模块410,用于对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间。具体地,该异常时间区间计算模块410可用于执行图2所示的步骤S101,具体的操作方法可参照步骤S101的详细描述。
所述风暴区间获取模块420,用于获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间。具体地,该风暴区间获取模块420可用于执行图2所示的步骤S103,具体的操作方法可参照步骤S103的详细描述。
标准差计算模块430,用于获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集。具体地,该标准差计算模块430可用于执行图2所示的步骤S105,具体的操作方法可参照步骤S105的详细描述。
偏度系数计算模块440,用于对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集。具体地,该偏度系数计算模块440可用于执行图2所示的步骤S107,具体的操作方法可参照步骤S107的详细描述。
峰度系数计算模块450,用于分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集。具体地,该峰度系数计算模块450可用于执行图2所示的步骤S109,具体的操作方法可参照步骤S109的详细描述。
风暴源获取模块460,用于判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。具体地,该风暴源获取模块460可用于执行图2所示的步骤S111,具体的操作方法可参照步骤S111的详细描述。
本发明实施例提供的网络协同攻击风暴源检测方法及装置,结合神经网络模型预估和基于K阶矩的离散度分析、偏度分析及峰度分析排除行为相关性风暴源事件,与传统的基于动态基线的风暴源检测方法相比,具有更为精确合理的风暴源事件捕获特性,基于相同的特征数据库,具有分析维度多样化、对网络攻击事件的协同性分析深入、数据表达更直观的优势。
值得注意的是,本发明还可以进行进一步的扩展,即结合资产攻击模型和资产关系网分析区间风暴事件的协同和抑制关系,归纳出事件风暴发生威胁共同体,继而将风暴源和风暴警区纳入到检测和分析范围中。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。

Claims (10)

1.一种网络协同攻击风暴源检测方法,其特征在于,该方法包括:
对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间;
获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间;
获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集;
对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集;
分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集;及
判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。
2.根据权利要求1所述的网络协同攻击风暴源检测方法,其特征在于,对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间的步骤包括:
对用户系统的网络日志进行关联分析得到网络攻击事件集;及
对该网络攻击事件集建立三维数据模型,并计算该三维数据模型的峰值及峰间距比例,得到所述异常时间区间。
3.根据权利要求1所述的网络协同攻击风暴源检测方法,其特征在于,获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间的步骤包括:
根据行为规则对所述网络攻击事件集进行周期性行为特征分析,并根据分析结果提取数据样本集合以建立所述神经网络模型;及
根据该神经网络模型的预测结果及异常时间区间内的网络攻击事件数量,得到所述风暴时间区间。
4.根据权利要求1所述的网络协同攻击风暴源检测方法,其特征在于,获取所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的步骤包括:
对所述第一事件集内的每一个网络攻击事件分别构建实时事件数量分布矩阵;
利用中值滤波算法计算该实时事件数量分布矩阵的基线矩阵;
根据所述实时事件数量分布矩阵及基线矩阵计算对应的绝对事件数量分布矩阵。
5.根据权利要求1所述的网络协同攻击风暴源检测方法,其特征在于,判断所述第四事件集中每一个网络攻击事件的周期性行为相关性的步骤包括:
根据第四事件集中的每一个网络攻击事件对应的单事件神经网络模型及该网络攻击事件在所述风暴时间区间对应的历史相似时间节点处的事件发生数量,计算所述单事件神经网络模型的预测值与真实的事件发生数量的标准偏差,并利用所述标准偏差确定周期性行为相关性偏差区间;
计算所述网络攻击事件在风暴时间区间内的真实事件发生数量与所述单事件神经网络模型的预测值之间的偏差值;
若所述偏差值落在所述周期性行为相关性偏差区间内,则该网络攻击事件具有周期性行为相关性;
若所述偏差值未落在所述周期性行为相关性偏差区间内,则该网络攻击事件不具有周期性行为相关性。
6.一种网络协同攻击风暴源检测装置,其特征在于,该装置包括:
异常时间区间计算模块,用于对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间;
风暴区间获取模块,用于获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间;
标准差计算模块,用于获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集;
偏度系数计算模块,用于对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集;
峰度系数计算模块,用于分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集;及
风暴源获取模块,用于判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。
7.根据权利要求6所述的网络协同攻击风暴源检测装置,其特征在于,所述异常时间区间计算模块对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间的方式包括:
对用户系统的网络日志进行关联分析得到网络攻击事件集;及
对该网络攻击事件集建立三维数据模型,并计算该三维数据模型的峰值及峰间距比例,得到所述异常时间区间。
8.根据权利要求6所述的网络协同攻击风暴源检测装置,其特征在于,所述风暴区间获取模块获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间的方式包括:
根据行为规则对所述网络攻击事件集进行周期性行为特征分析,并根据分析结果提取数据样本集合以建立所述神经网络模型;及
根据该神经网络模型的预测结果及异常时间区间内的网络攻击事件数量,得到所述风暴时间区间。
9.根据权利要求6所述的网络协同攻击风暴源检测装置,其特征在于,所述标准差计算模块获取所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的方式包括:
对所述第一事件集内的每一个网络攻击事件分别构建实时事件数量分布矩阵;
利用中值滤波算法计算该实时事件数量分布矩阵的基线矩阵;
根据所述实时事件数量分布矩阵及基线矩阵计算对应的绝对事件数量分布矩阵。
10.根据权利要求6所述的网络协同攻击风暴源检测装置,其特征在于,所述风暴源获取模块判断所述第四事件集中每一个网络攻击事件的周期性行为相关性的方式包括:
根据第四事件集中的每一个网络攻击事件对应的单事件神经网络模型及该网络攻击事件在所述风暴时间区间对应的历史相似时间节点处的事件发生数量,计算所述单事件神经网络模型的预测值与真实的事件发生数量的标准偏差值,并利用所述标准偏差确定周期性行为相关性偏差区间;
计算所述网络攻击事件在风暴时间区间内的真实事件发生数量与所述单事件神经网络模型的预测值之间的偏差值;
若所述偏差值落在所述周期性行为相关性偏差区间内,则该网络攻击事件具有周期性行为相关性;
若所述偏差值未落在所述周期性行为相关性偏差区间内,则该网络攻击事件不具有周期性行为相关性。
CN201610560582.8A 2016-07-15 2016-07-15 一种网络协同攻击风暴源检测方法及装置 Active CN106131022B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610560582.8A CN106131022B (zh) 2016-07-15 2016-07-15 一种网络协同攻击风暴源检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610560582.8A CN106131022B (zh) 2016-07-15 2016-07-15 一种网络协同攻击风暴源检测方法及装置

Publications (2)

Publication Number Publication Date
CN106131022A true CN106131022A (zh) 2016-11-16
CN106131022B CN106131022B (zh) 2019-04-30

Family

ID=57283426

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610560582.8A Active CN106131022B (zh) 2016-07-15 2016-07-15 一种网络协同攻击风暴源检测方法及装置

Country Status (1)

Country Link
CN (1) CN106131022B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109002261A (zh) * 2018-07-11 2018-12-14 佛山市云端容灾信息技术有限公司 差异区块大数据分析方法、装置、存储介质及服务器
CN110311924A (zh) * 2019-07-26 2019-10-08 杭州迪普科技股份有限公司 网络安全风险数据显示方法、装置、电子设备
CN111988184A (zh) * 2020-08-31 2020-11-24 湘潭大学 一种基于态势感知的广播风暴检测与处理方法
CN112822206A (zh) * 2021-01-29 2021-05-18 清华大学 网络协同攻击行为的预测方法、装置以及电子设备
WO2021099890A1 (en) * 2019-11-18 2021-05-27 International Business Machines Corporation Identification of constituent events in an event storm in operations management
CN115242457A (zh) * 2022-06-28 2022-10-25 中国电信股份有限公司 一种日志数据的检测方法、装置、电子设备和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101800668A (zh) * 2010-03-23 2010-08-11 成都市华为赛门铁克科技有限公司 日志归并方法和装置
US7913304B2 (en) * 2006-03-24 2011-03-22 Neusoft Corporation Event detection method and device
CN102130783A (zh) * 2011-01-24 2011-07-20 浪潮通信信息系统有限公司 神经网络的智能化告警监控方法
CN104486141A (zh) * 2014-11-26 2015-04-01 国家电网公司 一种误报自适应的网络安全态势预测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7913304B2 (en) * 2006-03-24 2011-03-22 Neusoft Corporation Event detection method and device
CN101800668A (zh) * 2010-03-23 2010-08-11 成都市华为赛门铁克科技有限公司 日志归并方法和装置
CN101800668B (zh) * 2010-03-23 2012-10-17 成都市华为赛门铁克科技有限公司 日志归并方法和装置
CN102130783A (zh) * 2011-01-24 2011-07-20 浪潮通信信息系统有限公司 神经网络的智能化告警监控方法
CN104486141A (zh) * 2014-11-26 2015-04-01 国家电网公司 一种误报自适应的网络安全态势预测方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ANNIE GEORGE, PRABAHARAN POORNACHANDRAN, M. RAMACHANDRA KAIMAL: "Network Intrusion Detection System using Genetic Network Programming with Support Vector Machine", 《SECURIT "12: PROCEEDINGS OF THE FIRST INTERNATIONAL CONFERENCE ON SECURITY OF INTERNET OF THINGS》 *
屈洪春,王帅: "一种基于进化神经网络的混合入侵检测模型", 《计算机科学》 *
金标: "网络异常入侵检测方法研究", 《技术天地》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109002261A (zh) * 2018-07-11 2018-12-14 佛山市云端容灾信息技术有限公司 差异区块大数据分析方法、装置、存储介质及服务器
CN110311924A (zh) * 2019-07-26 2019-10-08 杭州迪普科技股份有限公司 网络安全风险数据显示方法、装置、电子设备
WO2021099890A1 (en) * 2019-11-18 2021-05-27 International Business Machines Corporation Identification of constituent events in an event storm in operations management
US11294748B2 (en) 2019-11-18 2022-04-05 International Business Machines Corporation Identification of constituent events in an event storm in operations management
GB2604081A (en) * 2019-11-18 2022-08-24 Ibm Identification of constituent events in an event storm in operations management
GB2604081B (en) * 2019-11-18 2022-11-30 Ibm Identification of constituent events in an event storm in operations management
CN111988184A (zh) * 2020-08-31 2020-11-24 湘潭大学 一种基于态势感知的广播风暴检测与处理方法
CN111988184B (zh) * 2020-08-31 2023-02-10 湘潭大学 一种基于态势感知的广播风暴检测与处理方法
CN112822206A (zh) * 2021-01-29 2021-05-18 清华大学 网络协同攻击行为的预测方法、装置以及电子设备
CN115242457A (zh) * 2022-06-28 2022-10-25 中国电信股份有限公司 一种日志数据的检测方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN106131022B (zh) 2019-04-30

Similar Documents

Publication Publication Date Title
CN106131022A (zh) 一种网络协同攻击风暴源检测方法及装置
Xie et al. Sequential (quickest) change detection: Classical results and new directions
CN103559407B (zh) 一种用于度量有向加权图中节点亲密度的推荐系统及方法
Huang et al. False data injection attacks detection in smart grid: A structural sparse matrix separation method
CN106101121A (zh) 一种全网络流量异常抽取方法
CN108288231B (zh) 一种分布式光伏接入对配电台区负荷特性影响的评估方法
CN106126607A (zh) 一种面向社交网络的用户关系分析方法
Su et al. Nonlinear compensation algorithm for multidimensional temporal data: A missing value imputation for the power grid applications
CN106225681A (zh) 一种大跨度桥梁健康状态监测装置
CN103049643A (zh) 基于风险熵和马尔可夫链方法的移动自组网安全风险评估方法
CN105528072A (zh) 一种动态停止策略下的脑-机接口拼写系统
CN106845562A (zh) 光伏组件的故障监测系统及数据处理方法
Xu et al. A novel hybrid CNN-LSTM compensation model against DoS attacks in power system state estimation
Li et al. Short-term passenger flow prediction of a passageway in a subway station using time space correlations between multi sites
CN105354622A (zh) 基于模糊综合评判的企业生产管理评价方法
CN111967011A (zh) 一种基于可解释的内部威胁评估方法
CN105228185A (zh) 一种用于识别通信网络中模糊冗余节点身份的方法
Almazroi et al. A novel method CNN-LSTM ensembler based on Black Widow and Blue Monkey Optimizer for electricity theft detection
Wei et al. A false data injection attack detection strategy for unbalanced distribution networks state estimation
Aarathi et al. Predicting the number of new cases of COVID-19 in India using Survival Analysis and LSTM
Sapienza et al. Detecting anomalies in time-varying networks using tensor decomposition
Fan et al. Luad: A lightweight unsupervised anomaly detection scheme for multivariate time series data
Wang et al. Stealthy attack detection method based on Multi-feature long short-term memory prediction model
CN101714198B (zh) 基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统
Wu et al. Markov-modulated Hawkes processes for modeling sporadic and bursty event occurrences in social interactions

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant