CN110650140B - 基于kmeans的攻击行为监测方法及装置 - Google Patents

基于kmeans的攻击行为监测方法及装置 Download PDF

Info

Publication number
CN110650140B
CN110650140B CN201910910530.2A CN201910910530A CN110650140B CN 110650140 B CN110650140 B CN 110650140B CN 201910910530 A CN201910910530 A CN 201910910530A CN 110650140 B CN110650140 B CN 110650140B
Authority
CN
China
Prior art keywords
attack
sample
attack behavior
behavior
clustering model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910910530.2A
Other languages
English (en)
Other versions
CN110650140A (zh
Inventor
史卓颖
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201910910530.2A priority Critical patent/CN110650140B/zh
Publication of CN110650140A publication Critical patent/CN110650140A/zh
Application granted granted Critical
Publication of CN110650140B publication Critical patent/CN110650140B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Complex Calculations (AREA)

Abstract

本发明提供了一种基于kmeans的攻击行为监测方法及装置,涉及网络安全的技术领域,包括:获取样本攻击行为;基于RFM原理和层次分析法,确定样本攻击行为的目标数据和攻击等级,其中,攻击等级用于表征攻击行为的危险程度;将目标数据和攻击等级输入kmeans聚类模型,对待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型;在监测到待分析攻击行为之后,将待分析攻击行为的目标数据输入最优kmeans聚类模型,得到待分析攻击行为的攻击等级,解决了现有技术在对攻击行为进行监测时会忽略对攻击行为的危险程度和时效性技术问题。

Description

基于kmeans的攻击行为监测方法及装置
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于kmeans的攻击行为监测方法及装置。
背景技术
随着数据量产生的爆炸式增长,从海量的攻击数据里面优先找出价值更高的、更符合用户需求的数据便成为了业界的迫切需求。特别是在海量数据里面快速提取高危攻击行为,实时监测预警,更是成为了网络安全领域中的重点,但是,现有技术在对攻击行为进行监测时会忽略对攻击行为的危险程度和时效性。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种基于kmeans的攻击行为监测方法及装置,以缓解了现有技术在对攻击行为进行监测时会忽略对攻击行为的危险程度和时效性技术问题。
第一方面,本发明实施例提供了一种基于kmeans的攻击行为监测方法,包括:获取样本攻击行为,其中,所述样本攻击行为为对待保护设备完成攻击的攻击行为;基于RFM原理和层次分析法,确定所述样本攻击行为的目标数据和攻击等级,其中,所述攻击等级用于表征攻击行为的危险程度;将将所述目标数据和所述攻击等级输入待训练kmeans聚类模型,对所述待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型;在监测到待分析攻击行为之后,将所述待分析攻击行为的目标数据输入所述最优kmeans聚类模型,得到所述待分析攻击行为的攻击等级。
进一步地,所述目标数据包括:预设时间内所述样本攻击行为的攻击次数,第一时间间隔,第二时间间隔和所述样本攻击行为的攻击危险度,其中,第一时间间隔为所述样本攻击行为第一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔,所述第二时间间隔为所述样本攻击行为最近一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔;基于RFM原理和层次分析法,确定所述样本攻击行为的目标数据和攻击等级,包括:基于所述RFM原理,对所述样本攻击行为进行分析,得到所述预设时间内所述样本攻击行为的攻击次数,所述第一时间间隔和所述第二时间间隔;基于所述层次分析法,构建所述样本攻击行为的对比矩阵,其中,aij为所述对比矩阵中第i行第j列的元素,用于表征攻击阶段i与攻击阶段j之间的重要性差异的赋值,所述样本攻击行为包括5个攻击阶段;基于所述对比矩阵,计算所述样本攻击行为的攻击危险度;基于所述目标数据,确定所述样本攻击行为的攻击等级。
进一步地,基于所述层次分析法,构建所述样本攻击行为的对比矩阵,包括:获取目标赋值,其中,所述目标赋值为预设数量个专业人员对所述样本攻击行为的各个攻击阶段之间重要性差异的赋值;基于所述层次分析法和所述目标赋值,构建所述预设数量个对比矩阵。
进一步地,基于所述对比矩阵,计算所述样本攻击行为的攻击危险度,包括:基于所述预设数量个对比矩阵和一致性检验算法,计算出每个攻击阶段的权重值;基于攻击危险度算式和所述权重值,计算出所述样本攻击行为的攻击危险度,其中,所述攻击危险度算式为
Figure BDA0002214055810000021
wi为所述样本攻击行为的攻击阶段i的权重值,Ni用于表征所述样本攻击行为的攻击阶段i的是否发生,Ni为0或1,Ni为0表征所述样本攻击行为的攻击阶段i未发生,Ni为1表征所述样本攻击行为的攻击阶段i发生。
进一步地,基于所述预设数量个对比矩阵和一致性检验算法,计算出每个攻击阶段的权重值,包括:基于所述一致性检验算法,计算每个对比矩阵的一致性CR值;基于所述一致性CR值,确定出目标对比矩阵,其中,所述目标对比矩阵为所述一致性CR值小于预设阈值的对比矩阵;基于所述权重计算公式和所述目标对比矩阵,计算出每个所述目标对比矩阵对应的各个攻击阶段的权重值,其中,所述权重计算公式为
Figure BDA0002214055810000031
其中,akj∈aij,n的取值范围为1至5的整数;基于每个所述目标对比矩阵对应的各个攻击阶段的权重值,计算出各个攻击阶段的权重值的均值,将所述各个攻击阶段的权重值的均值确定为所述每个攻击阶段的权重值。
进一步地,将所述目标数据输入待训练kmeans聚类模型,对所述待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型,包括:将所述目标数据作为输入数据输入所述待训练kmeans聚类模型,以及将所述攻击等级作为输出数据输入所述待训练kmeans聚类模型,对所述kmeans聚类模型进行训练,得到训练结果;基于所述训练结果和手肘算法,确定所述最优kmeans聚类模型。
第二方面,本发明实施例还提供了一种kmeans的攻击行为监测装置,所述装置包括:获取单元,分析单元,训练单元和执行单元,其中,所述获取单元用于获取样本攻击行为,其中,所述样本攻击行为为对待保护设备完成攻击的攻击行为;所述分析单元用于基于RFM原理和层次分析法,确定所述样本攻击行为的目标数据和攻击等级,其中,所述攻击等级用于表征攻击行为的危险程度;所述训练单元用于将将所述目标数据和所述攻击等级输入待训练kmeans聚类模型,对所述待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型;所述执行单元用于在监测到待分析攻击行为之后,将所述待分析攻击行为的目标数据输入所述最优kmeans聚类模型,得到所述待分析攻击行为的攻击等级。
进一步地,所述目标数据包括:预设时间内所述样本攻击行为的攻击次数,第一时间间隔,第二时间间隔和所述样本攻击行为的攻击危险度,其中,第一时间间隔为所述样本攻击行为第一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔,所述第二时间间隔为所述样本攻击行为最近一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔;所述分析单元还用于:基于所述RFM原理,对所述样本攻击行为进行分析,得到所述预设时间内所述样本攻击行为的攻击次数,所述第一时间间隔和所述第二时间间隔;基于所述层次分析法,构建所述样本攻击行为的对比矩阵,其中,aij为所述对比矩阵中第i行第j列的元素,用于表征攻击阶段i与攻击阶段j之间的重要性差异,所述样本攻击行为包括5个攻击阶段;基于所述对比矩阵,计算所述样本攻击行为的攻击危险度;基于所述目标数据,确定所述样本攻击行为的攻击等级。
进一步地,所述分析单元还用于:获取目标赋值,其中,所述目标赋值为预设数量个专业人员对所述样本攻击行为的各个攻击阶段之间重要性差异的赋值;基于所述层次分析法和所述目标赋值,构建所述预设数量个对比矩阵。
进一步地,所述分析单元还用于:基于所述预设数量个对比矩阵和一致性检验算法,计算出每个攻击阶段的权重值;基于攻击危险度算式和所述权重值,计算出所述样本攻击行为的攻击危险度,其中,所述攻击危险度算式为
Figure BDA0002214055810000041
wi为所述样本攻击行为的攻击阶段i的权重值,Ni用于表征所述样本攻击行为的攻击阶段i的是否发生,Ni为0或1,Ni为0表征所述样本攻击行为的攻击阶段i未发生,Ni为1表征所述样本攻击行为的攻击阶段i发生。
在本发明实施例中,首先,获取样本攻击行为;然后,基于RFM原理和层次分析法,确定样本攻击行为的目标数据和攻击等级;接着,将目标数据和攻击等级输入kmeans聚类模型,对待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型;最后,在监测到待分析攻击行为之后,将待分析攻击行为的目标数据输入最优kmeans聚类模型,得到待分析攻击行为的攻击等级。
本发明实施例中,通过对获取到的样本攻击行为进行分析,得到样本攻击行为的包含预设时间内样本攻击行为的攻击次数,样本攻击行为第一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔,样本攻击行为最近一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔和样本攻击行为的攻击危险度的目标数据,以及样本攻击行为的攻击等级,并利用目标数据和攻击等级对kmeans聚类模型进行训练,以使训练完成的kmeans聚类模型能够对待监测攻击行为的攻击等级进行分析,达到了根据攻击行为的危险程度和时效性对攻击行为进行监测的目的,进而解决了现有技术在对攻击行为进行监测时会忽略对攻击行为的危险程度和时效性技术问题,从而实现了根据攻击行为的危险程度和时效性对攻击行为进行监测的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于kmeans的攻击行为监测方法的流程图;
图2为本发明实施例提供的最优kmeans聚类模型的确定方法的流程图;
图3为本发明实施例提供的一种基于kmeans的攻击行为监测装置的示意图;
图4为本发明实施例提供的一种服务器的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
根据本发明实施例,提供了一种基于kmeans的攻击行为监测方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于kmeans的攻击行为监测方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取样本攻击行为,其中,所述样本攻击行为为对待保护设备完成攻击的攻击行为;
步骤S104,基于RFM原理和层次分析法,确定所述样本攻击行为的目标数据和攻击等级,其中,所述攻击等级用于表征攻击行为的危险程度;
步骤S106,将所述目标数据和所述攻击等级输入待训练kmeans聚类模型,对所述待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型;
步骤S108,在监测到待分析攻击行为之后,将所述待分析攻击行为的目标数据输入所述最优kmeans聚类模型,得到所述待分析攻击行为的攻击等级。
本发明实施例中,通过对获取到的样本攻击行为进行分析,得到样本攻击行为的包含预设时间内样本攻击行为的攻击次数,样本攻击行为第一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔,样本攻击行为最近一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔和样本攻击行为的攻击危险度的目标数据,以及样本攻击行为的攻击等级,并利用目标数据和攻击等级对kmeans聚类模型进行训练,以使训练完成的kmeans聚类模型能够对待监测攻击行为的攻击等级进行分析,达到了根据攻击行为的危险程度和时效性对攻击行为进行监测的目的,进而解决了现有技术在对攻击行为进行监测时会忽略对攻击行为的危险程度和时效性技术问题,从而实现了根据攻击行为的危险程度和时效性对攻击行为进行监测的技术效果。
需要说明的是,获取到的样本攻击行为为多个,优选获取能够突出反应目标数据特征的样本攻击行为。
另外,还需要说明的是,在众多的价值细分模型中,RFM模型是被广泛提到和使用的,RFM是Rencency(最近一次行为),Frequency(频率)、Monetary(消费金额),三个指标首字母组合。
在本发明实施例中,如图2所示,步骤S104还包括如下步骤:
步骤S11,基于所述RFM原理,对所述样本攻击行为进行分析,得到所述预设时间内所述样本攻击行为的攻击次数,所述第一时间间隔和所述第二时间间隔;
步骤S12,基于所述层次分析法,构建所述样本攻击行为的对比矩阵,其中,aij为所述对比矩阵中第i行第j列的元素,用于表征攻击阶段i与攻击阶段j之间的重要性差异的赋值,所述样本攻击行为包括5个攻击阶段;
步骤S13,基于所述对比矩阵,计算所述样本攻击行为的攻击危险度;
步骤S14,基于所述目标数据,确定所述样本攻击行为的攻击等级。
在本发明实施例中,上述目标数据中包括:预设时间内样本攻击行为的攻击次数,第一时间间隔,第二时间间隔和样本攻击行为的攻击危险度,其中,第一时间间隔为样本攻击行为第一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔,第二时间间隔为样本攻击行为最近一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔;
由于攻击行为中没有消费金额,因此采用样本攻击行为的攻击危险度代替,另外也需要考虑样本攻击行为第一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔在一定程度会影响样本攻击行为的时效性,因此,将样本攻击行为第一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔加入目标数据中。
通过层次分析法,构建样本攻击行为的对比矩阵,需要说明的是,样本攻击行为包括5个阶段,分别为:弱点探测阶段、渗透入侵阶段、获取权限阶段、命令与控制阶段、数据盗取阶段。
构建出的对比矩阵如下:
攻击阶段1 攻击阶段2 攻击阶段3 攻击阶段4 攻击阶段5
攻击阶段1 a<sub>11</sub> a<sub>12</sub> a<sub>13</sub> a<sub>14</sub> a<sub>15</sub>
攻击阶段2 a<sub>21</sub> a<sub>22</sub> a<sub>23</sub> a<sub>24</sub> a<sub>25</sub>
攻击阶段3 a<sub>31</sub> a<sub>32</sub> a<sub>33</sub> a<sub>34</sub> a<sub>35</sub>
攻击阶段4 a<sub>41</sub> a<sub>42</sub> a<sub>43</sub> a<sub>44</sub> a<sub>45</sub>
攻击阶段5 a<sub>51</sub> a<sub>52</sub> a<sub>53</sub> a<sub>54</sub> a<sub>55</sub>
其中,aij为所述对比矩阵中第i行第j列的元素,用于表征攻击阶段i与攻击阶段j之间的重要性差异的赋值,aij的取值范围为1至9的整数。
aij=1:攻击阶段i和攻击阶段j重要性相同。
aij=3:攻击阶段i比攻击阶段j略重要。
aij=7:攻击阶段i比攻击阶段j重要的多。
aij=9:攻击阶段i相较与攻击阶段j极其重要。
aij=2,4,6,8,攻击阶段i相较与攻击阶段j重要性介于奇数之间。
构建对比矩阵的具体方式如下:
首先,获取预设数量个专业人员对所述样本攻击行为的各个攻击阶段之间重要性差异的赋值。
需要说明的是,上述的预设数量可以由用户根据实际情况自行设定,一般情况下,预设数量大于6。
然后,根据预设数量个专业人员对所述样本攻击行为的各个攻击阶段之间重要性差异的赋值,构建预设数量个对比矩阵,即,若专业人员的数量为6,则得到6个对比矩阵。
接着,根据对比矩阵,计算样本攻击行为的攻击危险度,具体如下:
基于预设数量个对比矩阵和一致性检验算法,计算出每个攻击阶段的权重值;
基于攻击危险度算式和权重值,计算出样本攻击行为的攻击危险度,其中,攻击危险度算式为
Figure BDA0002214055810000101
wi为样本攻击行为的攻击阶段i的权重值,Ni用于表征样本攻击行为的攻击阶段i的是否发生,Ni为0或1,Ni为0表征样本攻击行为的攻击阶段i未发生,Ni为1表征样本攻击行为的攻击阶段i发生。
首先,基于一致性检验算法,计算每个对比矩阵的一致性CR值;
基于一致性CR值,确定出目标对比矩阵,其中,目标对比矩阵为一致性CR值小于预设阈值的对比矩阵。
需要说明的是,上述的预设阈值为0.1。
然后,基于权重计算公式和目标对比矩阵,计算出每个目标对比矩阵对应的各个攻击阶段的权重值,其中,权重计算公式为
Figure BDA0002214055810000102
其中,akj∈aij,n的取值范围为1至5的整数;
最后,基于每个目标对比矩阵对应的各个攻击阶段的权重值,计算出各个攻击阶段的权重值的均值,将各个攻击阶段的权重值的均值确定为每个攻击阶段的权重值。
在计算出每个攻击阶段的权重值之后,将每个攻击阶段的权重值和对比矩阵中的元素代入攻击危险度算式为
Figure BDA0002214055810000103
中,计算出样本攻击行为的攻击危险度。
通过攻击危险度,确定出样本攻击行为的攻击等级。
其中,攻击等级分为5个等级,分别为:
一级(表明样本攻击行为很早以前发生过攻击,但次数很少,危险很低);
二级(很早以前发生过攻击,但次数可能多,危险可能高);
三级(发生攻击时间跨度大,但次数可能不多,危险小);
四级(发生攻击时间跨度大,但次数可能多,危险可能大);
五级(时间跨度不要求,但攻击次数异常多,危险度可能大)。
在本发明实施例中,如图2所示,步骤S106还包括如下步骤:
步骤S21,将所述目标数据作为输入数据输入所述待训练kmeans聚类模型,以及将所述攻击等级作为输出数据输入所述待训练kmeans聚类模型,对所述kmeans聚类模型进行训练,得到训练结果;
步骤S22,基于所述训练结果和手肘算法,确定所述最优kmeans聚类模型。
在本发明实施例中,在确定出样本攻击行为的攻击等级之后,将目标数据作为输入数据输入待训练kmeans聚类模型,以及将攻击等级作为输出数据输入待训练kmeans聚类模型,对kmeans聚类模型进行训练,得到训练结果。
接着,根据手肘算法,确定训练之后的kmeans聚类模型是否为最优kmeans聚类模型,如果训练之后的kmeans聚类模型不是最优kmeans聚类模型,那么则继续对训练之后的kmeans聚类模型进行训练,直至根据手肘算法确定出得到了最优kmeans聚类模型。
kmeans聚类算法(k-means clustering algorithm)是一种迭代求解的聚类分析算法,其步骤是随机选取K个对象作为初始的聚类中心,然后计算每个对象与各个种子聚类中心之间的距离,把每个对象分配给距离它最近的聚类中心。聚类中心以及分配给它们的对象就代表一个聚类。每分配一个样本,聚类的聚类中心会根据聚类中现有的对象被重新计算。这个过程将不断重复直到满足某个终止条件。终止条件可以是没有(或最小数目)对象被重新分配给不同的聚类,没有(或最小数目)聚类中心再发生变化,误差平方和局部最小。
因此,通过kmeans聚类模型,能够准确的确定出攻击行为的攻击等级。
实施例二:
本发明还提供了一种基于kmeans的攻击行为监测装置,该装置用于执行本发明实施例上述内容所提供的基于kmeans的攻击行为监测方法,以下是本发明实施例提供的基于kmeans的攻击行为监测装置的具体介绍。
如图3所示,上述的基于kmeans的攻击行为监测装置包括:获取单元10,分析单元20,训练单元30和执行单元40。
所述获取单元10用于获取样本攻击行为,其中,所述样本攻击行为为对待保护设备完成攻击的攻击行为;
所述分析单元20用于基于RFM原理和层次分析法,确定所述样本攻击行为的目标数据和攻击等级,其中,所述攻击等级用于表征攻击行为的危险程度;
所述训练单元30用于将将所述目标数据和所述攻击等级输入待训练kmeans聚类模型,对所述待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型;
所述执行单元40用于在监测到待分析攻击行为之后,将所述待分析攻击行为的目标数据输入所述最优kmeans聚类模型,得到所述待分析攻击行为的攻击等级。
本发明实施例中,通过对获取到的样本攻击行为进行分析,得到样本攻击行为的包含预设时间内样本攻击行为的攻击次数,样本攻击行为第一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔,样本攻击行为最近一次进行攻击的时刻与获取到样本攻击行为的时刻之间的时间间隔和样本攻击行为的攻击危险度的目标数据,以及样本攻击行为的攻击等级,并利用目标数据和攻击等级对kmeans聚类模型进行训练,以使训练完成的kmeans聚类模型能够对待监测攻击行为的攻击等级进行分析,达到了根据攻击行为的危险程度和时效性对攻击行为进行监测的目的,进而解决了现有技术在对攻击行为进行监测时会忽略对攻击行为的危险程度和时效性技术问题,从而实现了根据攻击行为的危险程度和时效性对攻击行为进行监测的技术效果。
优选地,所述目标数据包括:预设时间内所述样本攻击行为的攻击次数,第一时间间隔,第二时间间隔和所述样本攻击行为的攻击危险度,其中,第一时间间隔为所述样本攻击行为第一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔,所述第二时间间隔为所述样本攻击行为最近一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔;所述分析单元还用于:基于所述RFM原理,对所述样本攻击行为进行分析,得到所述预设时间内所述样本攻击行为的攻击次数,所述第一时间间隔和所述第二时间间隔;基于所述层次分析法,构建所述样本攻击行为的对比矩阵,其中,aij为所述对比矩阵中第i行第j列的元素,用于表征攻击阶段i与攻击阶段j之间的重要性差异,所述样本攻击行为包括5个攻击阶段;基于所述对比矩阵,计算所述样本攻击行为的攻击危险度;基于所述目标数据,确定所述样本攻击行为的攻击等级。
优选地,所述分析单元还用于:获取目标赋值,其中,所述目标赋值为预设数量个专业人员对所述样本攻击行为的各个攻击阶段之间重要性差异的赋值;基于所述层次分析法和所述目标赋值,构建所述预设数量个对比矩阵。
优选地,所述分析单元还用于:基于所述预设数量个对比矩阵和一致性检验算法,计算出每个攻击阶段的权重值;基于攻击危险度算式和所述权重值,计算出所述样本攻击行为的攻击危险度,其中,所述攻击危险度算式为
Figure BDA0002214055810000131
wi为所述样本攻击行为的攻击阶段i的权重值,Ni用于表征所述样本攻击行为的攻击阶段i的是否发生,Ni为0或1,Ni为0表征所述样本攻击行为的攻击阶段i未发生,Ni为1表征所述样本攻击行为的攻击阶段i发生。
优选地,所述分析单元还用于:基于所述一致性检验算法,计算每个对比矩阵的一致性CR值;基于所述一致性CR值,确定出目标对比矩阵,其中,所述目标对比矩阵为所述一致性CR值小于预设阈值的对比矩阵;基于所述权重计算公式和所述目标对比矩阵,计算出每个所述目标对比矩阵对应的各个攻击阶段的权重值,其中,所述权重计算公式为
Figure BDA0002214055810000141
其中,akj∈aij,n的取值范围为1至5的整数;基于每个所述目标对比矩阵对应的各个攻击阶段的权重值,计算出各个攻击阶段的权重值的均值,将所述各个攻击阶段的权重值的均值确定为所述每个攻击阶段的权重值。
优选地,所述训练单元还用于:将所述目标数据作为输入数据输入所述待训练kmeans聚类模型,以及将所述攻击等级作为输出数据输入所述待训练kmeans聚类模型,对所述kmeans聚类模型进行训练,得到训练结果;基于所述训练结果和手肘算法,确定所述最优kmeans聚类模型。
参见图4,本发明实施例还提供一种服务器100,包括:处理器50,存储器51,总线52和通信接口53,所述处理器50、通信接口53和存储器51通过总线52连接;处理器50用于执行存储器51中存储的可执行模块,例如计算机程序。
其中,存储器51可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线52可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器50在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器50中,或者由处理器50实现。
处理器50可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器50读取存储器51中的信息,结合其硬件完成上述方法的步骤。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (8)

1.一种基于kmeans的攻击行为监测方法,其特征在于,包括:
获取样本攻击行为,其中,所述样本攻击行为为对待保护设备完成攻击的攻击行为;
基于RFM原理和层次分析法,确定所述样本攻击行为的目标数据和攻击等级,其中,所述攻击等级用于表征攻击行为的危险程度;
将所述目标数据和所述攻击等级输入待训练kmeans聚类模型,对所述待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型;
在监测到待分析攻击行为之后,将所述待分析攻击行为的目标数据输入所述最优kmeans聚类模型,得到所述待分析攻击行为的攻击等级;
其中,所述目标数据包括:预设时间内所述样本攻击行为的攻击次数,第一时间间隔,第二时间间隔和所述样本攻击行为的攻击危险度,其中,第一时间间隔为所述样本攻击行为第一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔,所述第二时间间隔为所述样本攻击行为最近一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔;
基于RFM原理和层次分析法,确定所述样本攻击行为的目标数据和攻击等级,包括:
基于所述RFM原理,对所述样本攻击行为进行分析,得到所述预设时间内所述样本攻击行为的攻击次数,所述第一时间间隔和所述第二时间间隔;
基于所述层次分析法,构建所述样本攻击行为的对比矩阵,其中,aij为所述对比矩阵中第i行第j列的元素,用于表征攻击阶段i与攻击阶段j之间的重要性差异的赋值,所述样本攻击行为包括5个攻击阶段;
基于所述对比矩阵,计算所述样本攻击行为的攻击危险度;
基于所述目标数据,确定所述样本攻击行为的攻击等级。
2.根据权利要求1所述的方法,其特征在于,基于所述层次分析法,构建所述样本攻击行为的对比矩阵,包括:
获取目标赋值,其中,所述目标赋值为预设数量个专业人员对所述样本攻击行为的各个攻击阶段之间重要性差异的赋值;
基于所述层次分析法和所述目标赋值,构建所述预设数量个对比矩阵。
3.根据权利要求2所述的方法,其特征在于,基于所述对比矩阵,计算所述样本攻击行为的攻击危险度,包括:
基于所述预设数量个对比矩阵和一致性检验算法,计算出每个攻击阶段的权重值;
基于攻击危险度算式和所述权重值,计算出所述样本攻击行为的攻击危险度,其中,所述攻击危险度算式为
Figure FDA0003332479950000021
wi为所述样本攻击行为的攻击阶段i的权重值,Ni用于表征所述样本攻击行为的攻击阶段i的是否发生,Ni为0或1,Ni为0表征所述样本攻击行为的攻击阶段i未发生,Ni为1表征所述样本攻击行为的攻击阶段i发生。
4.根据权利要求2所述的方法,其特征在于,基于所述预设数量个对比矩阵和一致性检验算法,计算出每个攻击阶段的权重值,包括:
基于所述一致性检验算法,计算每个对比矩阵的一致性CR值;
基于所述一致性CR值,确定出目标对比矩阵,其中,所述目标对比矩阵为所述一致性CR值小于预设阈值的对比矩阵;
基于权重计算公式和所述目标对比矩阵,计算出每个所述目标对比矩阵对应的各个攻击阶段的权重值,其中,所述权重计算公式为
Figure FDA0003332479950000022
其中,akj∈aij,n的取值范围为1至5的整数;
基于每个所述目标对比矩阵对应的各个攻击阶段的权重值,计算出各个攻击阶段的权重值的均值,将所述各个攻击阶段的权重值的均值确定为所述每个攻击阶段的权重值。
5.根据权利要求3所述的方法,其特征在于,将所述目标数据输入待训练kmeans聚类模型,对所述待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型,包括:
将所述目标数据作为输入数据输入所述待训练kmeans聚类模型,以及将所述攻击等级作为输出数据,并将所述输出数据输入所述待训练kmeans聚类模型,对所述kmeans聚类模型进行训练,得到训练结果;
基于所述训练结果和手肘算法,确定所述最优kmeans聚类模型。
6.一种基于kmeans的攻击行为监测装置,其特征在于,所述装置包括:获取单元,分析单元,训练单元和执行单元,其中,
所述获取单元用于获取样本攻击行为,其中,所述样本攻击行为为对待保护设备完成攻击的攻击行为;
所述分析单元用于基于RFM原理和层次分析法,确定所述样本攻击行为的目标数据和攻击等级,其中,所述攻击等级用于表征攻击行为的危险程度;
所述训练单元用于将所述目标数据和所述攻击等级输入待训练kmeans聚类模型,对所述待训练kmeans聚类模型进行训练,得到最优kmeans聚类模型;
所述执行单元用于在监测到待分析攻击行为之后,将所述待分析攻击行为的目标数据输入所述最优kmeans聚类模型,得到所述待分析攻击行为的攻击等级;
其中,所述目标数据包括:预设时间内所述样本攻击行为的攻击次数,第一时间间隔,第二时间间隔和所述样本攻击行为的攻击危险度,其中,第一时间间隔为所述样本攻击行为第一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔,所述第二时间间隔为所述样本攻击行为最近一次进行攻击的时刻与获取到所述样本攻击行为的时刻之间的时间间隔;所述分析单元还用于:
基于所述RFM原理,对所述样本攻击行为进行分析,得到所述预设时间内所述样本攻击行为的攻击次数,所述第一时间间隔和所述第二时间间隔;
基于所述层次分析法,构建所述样本攻击行为的对比矩阵,其中,aij为所述对比矩阵中第i行第j列的元素,用于表征攻击阶段i与攻击阶段j之间的重要性差异,所述样本攻击行为包括5个攻击阶段;
基于所述对比矩阵,计算所述样本攻击行为的攻击危险度;
基于所述目标数据,确定所述样本攻击行为的攻击等级。
7.根据权利要求6所述的装置,其特征在于,所述分析单元还用于:
获取目标赋值,其中,所述目标赋值为预设数量个专业人员对所述样本攻击行为的各个攻击阶段之间重要性差异的赋值;
基于所述层次分析法和所述目标赋值,构建所述预设数量个对比矩阵。
8.根据权利要求7所述的装置,其特征在于,所述分析单元还用于:
基于所述预设数量个对比矩阵和一致性检验算法,计算出每个攻击阶段的权重值;
基于攻击危险度算式和所述权重值,计算出所述样本攻击行为的攻击危险度,其中,所述攻击危险度算式为
Figure FDA0003332479950000041
wi为所述样本攻击行为的攻击阶段i的权重值,Ni用于表征所述样本攻击行为的攻击阶段i的是否发生,Ni为0或1,Ni为0表征所述样本攻击行为的攻击阶段i未发生,Ni为1表征所述样本攻击行为的攻击阶段i发生。
CN201910910530.2A 2019-09-25 2019-09-25 基于kmeans的攻击行为监测方法及装置 Active CN110650140B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910910530.2A CN110650140B (zh) 2019-09-25 2019-09-25 基于kmeans的攻击行为监测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910910530.2A CN110650140B (zh) 2019-09-25 2019-09-25 基于kmeans的攻击行为监测方法及装置

Publications (2)

Publication Number Publication Date
CN110650140A CN110650140A (zh) 2020-01-03
CN110650140B true CN110650140B (zh) 2022-01-25

Family

ID=68992666

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910910530.2A Active CN110650140B (zh) 2019-09-25 2019-09-25 基于kmeans的攻击行为监测方法及装置

Country Status (1)

Country Link
CN (1) CN110650140B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111581643B (zh) * 2020-05-07 2024-02-02 中国工商银行股份有限公司 渗透攻击评价方法和装置、以及电子设备和可读存储介质
CN111935170B (zh) * 2020-08-20 2022-06-07 杭州安恒信息技术股份有限公司 一种网络异常流量检测方法、装置及设备
CN112395810B (zh) * 2020-11-20 2024-03-26 大连海洋大学 基于人工神经网络的鱼类攻击行为量化方法、装置及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7792770B1 (en) * 2007-08-24 2010-09-07 Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. Method to indentify anomalous data using cascaded K-Means clustering and an ID3 decision tree
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器
CN107153677A (zh) * 2017-04-18 2017-09-12 北京思特奇信息技术股份有限公司 一种查找价值用户的数据处理方法和系统
CN107248996A (zh) * 2017-06-29 2017-10-13 南京邮电大学 一种dns放大攻击的检测与过滤方法
CN107872460A (zh) * 2017-11-10 2018-04-03 重庆邮电大学 一种基于随机森林的无线传感网dos攻击轻量级检测方法
CN108933785A (zh) * 2018-06-29 2018-12-04 平安科技(深圳)有限公司 网络风险监控方法、装置、计算机设备及存储介质
CN109660515A (zh) * 2018-11-15 2019-04-19 中国科学院信息工程研究所 攻击链检测方法及装置
CN109768989A (zh) * 2019-02-27 2019-05-17 重庆邮电大学 基于lahp-igfnn的网络安全态势评估模型

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7792770B1 (en) * 2007-08-24 2010-09-07 Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. Method to indentify anomalous data using cascaded K-Means clustering and an ID3 decision tree
CN103532969A (zh) * 2013-10-23 2014-01-22 国家电网公司 一种僵尸网络检测方法、装置及处理器
CN107153677A (zh) * 2017-04-18 2017-09-12 北京思特奇信息技术股份有限公司 一种查找价值用户的数据处理方法和系统
CN107248996A (zh) * 2017-06-29 2017-10-13 南京邮电大学 一种dns放大攻击的检测与过滤方法
CN107872460A (zh) * 2017-11-10 2018-04-03 重庆邮电大学 一种基于随机森林的无线传感网dos攻击轻量级检测方法
CN108933785A (zh) * 2018-06-29 2018-12-04 平安科技(深圳)有限公司 网络风险监控方法、装置、计算机设备及存储介质
CN109660515A (zh) * 2018-11-15 2019-04-19 中国科学院信息工程研究所 攻击链检测方法及装置
CN109768989A (zh) * 2019-02-27 2019-05-17 重庆邮电大学 基于lahp-igfnn的网络安全态势评估模型

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《云平台下主动防御技术的研究与实现》;杜建平;《中国优秀硕士学位论文全文数据库 信息科技辑》;20180415;1 *

Also Published As

Publication number Publication date
CN110650140A (zh) 2020-01-03

Similar Documents

Publication Publication Date Title
CN110650140B (zh) 基于kmeans的攻击行为监测方法及装置
CN111178760B (zh) 风险监测方法、装置、终端设备及计算机可读存储介质
CN110855497A (zh) 一种基于大数据环境的告警排序方法及装置
CN110674014A (zh) 一种确定异常查询请求的方法及装置
CN114143049B (zh) 异常流量检测方法、装置、存储介质以及电子设备
CN112637178B (zh) 攻击相似度计算方法、装置、电子设备和可读存储介质
CN109495521A (zh) 一种异常流量检测方法及装置
CN109684878B (zh) 一种基于区块链技术隐私信息防篡改方法及系统
CN111062642A (zh) 对象的行业风险程度识别方法、装置以及电子设备
WO2020058479A1 (en) Method, apparatus and device for evaluating the state of a distribution transformer, and a medium and a program
CN114726571A (zh) 一种网络安全预警管理平台和方法
CN112671767A (zh) 一种基于告警数据分析的安全事件预警方法及装置
CN117171157A (zh) 基于数据分析的清算数据采集清洗方法
CN110866831A (zh) 资产活跃度等级的确定方法、装置及服务器
CN110798481A (zh) 基于深度学习的恶意域名检测方法及装置
CN113705625A (zh) 异常生活保障申请家庭的识别方法、装置及电子设备
CN117407884A (zh) 基于知识图谱的att&amp;ck和cve的关联方法及系统
CN116740586A (zh) 冰雹识别方法、装置、电子设备及计算机可读存储介质
CN116846644A (zh) 一种越权访问的检测方法及装置
CN115242497B (zh) 一种基于区块链的数据防篡改方法及系统
CN114330987A (zh) 电力监控系统运维行为分析方法、装置及计算机设备
CN111741004B (zh) 一种网络安全态势感知的方法和相关装置
CN110891097B (zh) 一种跨设备用户识别方法及装置
US9054995B2 (en) Method of detecting measurements in service level agreement based systems
CN116015785B (zh) 信息安全防护方法及电子设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant