CN111800430B - 一种攻击团伙识别方法、装置、设备及介质 - Google Patents

一种攻击团伙识别方法、装置、设备及介质 Download PDF

Info

Publication number
CN111800430B
CN111800430B CN202010662246.0A CN202010662246A CN111800430B CN 111800430 B CN111800430 B CN 111800430B CN 202010662246 A CN202010662246 A CN 202010662246A CN 111800430 B CN111800430 B CN 111800430B
Authority
CN
China
Prior art keywords
data
attack
attack group
data set
clustering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010662246.0A
Other languages
English (en)
Other versions
CN111800430A (zh
Inventor
陈霖
匡晓云
许爱东
索思亮
杨祎巍
洪超
徐培明
黄开天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China South Power Grid International Co ltd
Original Assignee
China South Power Grid International Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China South Power Grid International Co ltd filed Critical China South Power Grid International Co ltd
Priority to CN202010662246.0A priority Critical patent/CN111800430B/zh
Publication of CN111800430A publication Critical patent/CN111800430A/zh
Application granted granted Critical
Publication of CN111800430B publication Critical patent/CN111800430B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种攻击团伙识别方法、装置、设备及介质,该方法包括:连接具有有网络行为日志数据的数据库,从所述数据库中提取需要进行聚类的数据;对所述数据进行标准化处理,得到标准化处理后的数据;使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合;对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据。本申请中的技术方案能够提高对攻击团伙的识别能力,实现在海量异构的安全日志下能够快速地、有效地识别攻击团伙,并且有效地防御识别出的攻击团伙未来可能发起的攻击。

Description

一种攻击团伙识别方法、装置、设备及介质
技术领域
本发明涉及信息技术领域,具体涉及一种攻击团伙识别方法、装置、设备及介质。
背景技术
现代企业的网络拓扑随着业务的多元化正变得日趋复杂,网络运行日志也呈现海量化、异构化的特点。现有技术的聚类分析算法在处理大数据场景时,需要对全部增量数据重新开展距离计算再规划聚类中心,算法模型构建耗时长,不利于网络安全需要对安全态势进行快速反应的要求。如何基于海量异构的安全日志进行有效地甄别攻击团伙,是目前网络安全态势感知领域期待解决的问题。
发明内容
基于此,本发明旨在提供一种攻击团伙识别方法、装置、设备及介质,提高对攻击团伙的识别能力,实现在海量异构的安全日志下能够快速地、有效地识别攻击团伙。
第一方面,本发明提供了一种攻击团伙识别方法,包括:
S1、连接具有有网络行为日志数据的数据库,从所述数据库中提取需要进行聚类的数据;对所述数据进行标准化处理,得到标准化处理后的数据;
S2、使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合;
S3、对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据。
优选地,所述步骤S1中,所述将所述数据进行标准化处理,得到标准化处理后的数据,包括:
判断所述数据是否标准化;若否,则对所述数据进行标准化处理,得到标准化处理后的数据;若是,则将所述数据作为标准化处理后的数据。
优选地,所述对所述数据进行标准化处理,包括:
对所述数据的单位进行统一,将统一单位后的数据按比例进行缩放,使所述统一单位后的数据映射到特定区间上,避免因标尺不同造成距离计算误差。
优选地,所述步骤S2中,所述使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合,包括:
S21、输入标准化处理后的数据作为数据集合C,对所述数据集合C进行去除孤立点处理,得到去除孤立点后的数据集合C′;
S22、根据所述数据集合C′的样本总数,得到初始聚类数;
S23、将所述聚类数与所述所述数据集合C′的样本总数输入至传统k-means算法中进行聚类,得到聚类结果;
S24、判断是否有增量数据到达所述数据库,若有增量数据到达,则从所述增量数据中随机抽取少量增量数据样本点,计算抽取出的所述少量增量数据样本点到所述聚类结果中各质心的距离,将所述增量数据划分到距离所述少量增量数据样本点最近的质心所在聚类中;
S25、根据所述聚类结果,计算所有聚类的质心之间的距离,将聚类的质心距离小于所有聚类质心距离平均值的对应质心所在聚类进行合并,得到合并后的聚类结果;根据所述合并后的聚类结果,更新聚类数,并重新计算各聚类的质心;
S26、计算所述合并后的聚类结果中各聚类的动态阈值;
S27、将所述数据集合C′各聚类中的样本点与所在聚类的质心的距离小于动态阈值的样本点取出,进行反标准化处理,还原为真实数据后放入异常数据集合H中,更新所述异常数据集合H;
S28、更新所述数据集合C′,判断所述数据集合C′中的样本点数量是否满足设定条件,若所述样本点数量不满足设定条件,则执行步骤S23,若所述样本点数量满足设定条件,则将所述数据集合C′中的剩余样本点作为孤立点剔除,输出所述异常数据集合H。
优选地,所述步骤S21中,对所述数据集合C进行去除孤立点处理,包括:
S2101、计算所述数据集合C中的样本点i与其余任意样本点j的欧氏距离之和Si,并计算所述数据集合C中所有样本点的欧氏距离之和的算术平均数W;其中i=1,2,...,m,j=1,2,...,m且j≠i,m为数据集合C中的样本数量;
S2102、判断数据集合C的样本点i的欧氏距离之和Si与W的数量关系,若Si>W,则判断所述样本点i为孤立点;其中i=1,2,...,m,m为数据集合C中的样本总数。通过本发明提供的去除孤立点处理方法后再进行攻击团伙识别,能够有效地处理非模式数据,将不具有攻击模式特征的数据作为孤立点进行识别并剔除,能够避免算法进行误分类,提高攻击团伙识别的准确率。
优选地,所述步骤S26中,所述动态阈值的计算方法,包括:
各聚类中的样本点到所在聚类的质心的算术平均数的一半。
本发明引入动态阈值,通过控制聚类大小来控制聚类内样本点的相似程度。聚类算法中聚类的数量根据所述动态阈值进行动态确定,当所述动态阈值的值越小时,聚类内样本点的相似程度越高,聚类的数量越多,聚类得到的攻击团伙数目就越多。
优选地,所述步骤S3中,所述对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据,包括:
S31、根据所述异常数据集合,确定在同一时间对同一目标发起的协同攻击中的攻击者,并将所述协同攻击中的攻击者划归为同一组,得到初步的攻击团伙分组;
S32、将所述初步攻击团伙分组中具有攻击者重叠或攻击行为相似的分组进行合并,得到合并后的攻击团伙分组;
S33、去掉所述合并后的攻击团伙分组中的偶然攻击者;提取出每个合并后的攻击团伙分组的核心成员,得到攻击团伙。
第二方面,本发明提供了一种攻击团伙识别装置,包括:
数据提取模块,用于从连接的具有有网络行为日志数据的数据库提取需要进行聚类的数据;
数据标准化模块,用于对上述数据提取模块中提取的数据进行标准化处理,得到标准化处理后的数据;
聚类分析模块,用于使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合;
攻击团伙确定模块,用于对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据;
攻击团伙输出模块,用于输出所述攻击团伙数据。
第三方面,本发明提供了一种攻击团伙识别设备,包括:
存储器,用于存储与上述任一项所述的一种攻击团伙识别方法相对应的计算机程序代码;
处理器,用于执行所述计算机程序代码,以实现如上述任一项所述的一种攻击团伙识别方法。
第四方面,本发明提供了一种攻击团伙识别介质,包括:
一种计算机可读存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的一种攻击团伙识别方法。
可见,本发明提供的一种攻击团伙识别方法,首先连接具有有网络行为日志数据的数据库,从所述数据库中选择需要进行聚类的数据;将所述数据进行标准化处理,得到标准化处理后的数据。然后使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合。最后对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据。
从以上技术方案可以看出,对比现有技术,本发明具有以下优点:
本发明提供的动态增量聚类攻击团伙识别算法能够从空间相近度对具有相似性的攻击模式类别进行衡量,并进行有效合并,能够避免由于聚类过多导致攻击模式识别不合理的情况发生,能够更合理地识别攻击团伙,提高对攻击团伙的识别能力。
因为各入侵的攻击团伙均由某一个或某一组攻击控制着控制,所以同一个或同一组攻击团伙在不同的攻击中会表现出相似的行为。因此通过本发明提供的动态增量聚类攻击团伙识别算法研究攻击团伙历史行为给攻击团伙建立“团伙画像”,能够更准确地描述攻击控制者的行为方式、偏好的攻击方法与特征,能够更有效地防御这些攻击团伙未来可能发起的攻击。
本发明提供的动态增量聚类攻击团伙识别算法在有增量数据到达时,通过选取增量数据中的少量样本点进行聚类分析,根据样本点代表所述的类别来划分所述增量数据的聚类,更有利于在大数据场景下快速构建算法模型,实现在海量异构的安全日志下能够快速地、有效地识别攻击团伙。
综上所述,本发明的技术方案能够合理地识别攻击团伙,提高对攻击团伙的识别能力;能够准确地描述攻击控制者的行为方式、偏好的攻击方法与特征,有效地防御识别出的攻击团伙未来可能发起的攻击;能够在大数据场景下快速构建算法模型,实现在海量异构的安全日志下能够快速地、有效地识别攻击团伙。
本发明还提供了一种攻击团伙识别装置、设备及介质,具有如上一种攻击团伙识别方法相同的有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明提供的一种攻击团伙识别方法流程图;
图2为本发明提供的一种攻击团伙识别装置结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体地,本发明提供了一种攻击团伙识别方法,请参考图1所示,包括:
S1、连接具有有网络行为日志数据的数据库,从所述数据库中提取需要进行聚类的数据;对所述数据进行标准化处理,得到标准化处理后的数据;
S2、使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合。
S3、对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据。
具体地,在本实施例步骤S1中,所述将所述数据进行标准化处理,得到标准化处理后的数据,包括:
判断所述数据是否标准化;若否,则对所述数据进行标准化处理,得到标准化处理后的数据;若是,则将所述数据作为标准化处理后的数据。
具体地,在本实施例中,所述对所述数据进行标准化处理,包括:
对所述数据的单位进行统一,将统一单位后的数据按比例进行缩放,使所述统一单位后的数据映射到特定区间上,避免因标尺不同造成距离计算误差。
具体地,在本实施例的步骤S2中,所述使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合,包括:
S21、输入标准化处理后的数据作为数据集合C,对所述数据集合C进行去除孤立点处理,得到去除孤立点后的数据集合C′;
具体地,在本实施例中,所述数据集合C进行去除孤立点处理,包括:
S2101、计算所述数据集合C中的样本点i与其余任意样本点j的欧氏距离之和Si,并计算所述数据集合C中所有样本点的欧氏距离之和的算术平均数W;其中i=1,2,...,m,j=1,2,...,m且j≠i,m为数据集合C中的样本数量;
S2102、判断数据集合C的样本点i的欧氏距离之和Si与W的数量关系,若Si>W,则判断所述样本点i为孤立点;其中i=1,2,...,m,m为数据集合C中的样本总数。
S22、根据所述数据集合C′的样本总数,得到初始聚类数;
具体地,在本实施例中,所述根据所述数据集合C′的样本总数,得到初始聚类数,包括:
所述初始聚类数k由所述数据集合C′的样本总数n决定,所述初始聚类数k的计算公式为:k=n0.5,且k取整数。
S23、将所述聚类数与所述所述数据集合C′的样本总数输入至传统k-means算法中进行聚类,得到聚类结果;
S24、判断是否有增量数据到达所述数据库,若有增量数据到达,则从所述增量数据中随机抽取少量增量数据样本点,计算抽取出的所述少量增量数据样本点到所述聚类结果中各质心的距离,将所述增量数据划分到距离所述少量增量数据样本点最近的质心所在聚类中;
S25、根据所述聚类结果,计算所有聚类的质心之间的距离,将聚类的质心距离小于所有聚类质心距离平均值的对应质心所在聚类进行合并,得到合并后的聚类结果;根据所述合并后的聚类结果,更新聚类数,并重新计算各聚类的质心;
S26、计算所述合并后的聚类结果中各聚类的动态阈值;
具体地,在本实施例中,所述动态阈值的计算方法为:各聚类中的样本点到所在聚类的质心的算术平均数的一半。
S27、将所述数据集合C′各聚类中的样本点与所在聚类的质心的距离小于动态阈值的样本点取出,进行反标准化处理,还原为真实数据后放入异常数据集合H中,更新所述异常数据集合H;
S28、更新所述数据集合C′,判断所述数据集合C′中的样本点数量是否满足设定条件,若所述样本点数量不满足设定条件,则执行步骤S23,若所述样本点数量满足设定条件,则将所述数据集合C′中的样本点作为孤立点剔除,输出所述异常数据集合H。
具体地,在本实施例中,所述设定条件为:所述数据集合C′中的样本点数量小于0.1n,其中n为所述数据集合C′的样本总数。
具体地,在本实施例的步骤S3中,所述对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据,包括:
S31、根据所述异常数据集合,确定在同一时间对同一目标发起的协同攻击中的攻击者,并将所述协同攻击中的攻击者划归为同一组,得到初步的攻击团伙分组;
S32、将所述初步攻击团伙分组中具有攻击者重叠或攻击行为相似的分组进行合并,得到合并后的攻击团伙分组;
S33、去掉所述合并后的攻击团伙分组中的偶然攻击者;提取出每个合并后的攻击团伙分组的核心成员,得到攻击团伙。
本发明实施例还提供了一种攻击团伙识别装置,请参考图2,具体包括:
数据提取模块,用于从连接的具有有网络行为日志数据的数据库提取需要进行聚类的数据;
数据标准化模块,用于对上述数据提取模块中提取的数据进行标准化处理,得到标准化处理后的数据;
聚类分析模块,用于使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合;
攻击团伙确定模块,用于对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据;
攻击团伙输出模块,用于输出所述攻击团伙数据。
本发明实施例还提供了一种攻击团伙识别设备,包括:
存储器,用于存储与上述任一项所述的一种攻击团伙识别方法相对应的计算机程序代码;
处理器,用于执行所述计算机程序代码,以实现如上述任一项所述的一种攻击团伙识别方法。
本发明实施例还提供了一种攻击团伙识别介质,包括:
一种计算机可读存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的一种攻击团伙识别方法。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。

Claims (8)

1.一种攻击团伙识别方法,其特征在于,包括:
S1、连接具有网络行为日志数据的数据库,从所述数据库中提取需要进行聚类的数据;对所述数据进行标准化处理,得到标准化处理后的数据;
S2、使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合;
S3、对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据;
所述步骤S2包括:
S21、输入标准化处理后的数据作为数据集合
Figure 781013DEST_PATH_IMAGE001
,对所述数据集合
Figure 538885DEST_PATH_IMAGE001
进行去除孤立点处理,得到去除孤立点后的数据集合
Figure 766735DEST_PATH_IMAGE002
S22、根据所述数据集合
Figure 917657DEST_PATH_IMAGE002
的样本总数,得到初始聚类数;
S23、将所述聚类数与所述数据集合
Figure 230958DEST_PATH_IMAGE002
的样本总数输入至传统k-means算法中进行聚类,得到聚类结果;
S24、判断是否有增量数据到达所述数据库,若有增量数据到达,则从所述增量数据中随机抽取少量增量数据样本点,计算抽取出的所述少量增量数据样本点到所述聚类结果中各质心的距离,将所述增量数据划分到距离所述少量增量数据样本点最近的质心所在聚类中;
S25、根据所述聚类结果,计算所有聚类的质心之间的距离,将聚类的质心距离小于所有聚类质心距离平均值的对应质心所在聚类进行合并,得到合并后的聚类结果;根据所述合并后的聚类结果,更新聚类数,并重新计算各聚类的质心;
S26、计算所述合并后的聚类结果中各聚类的动态阈值;
S27、将所述数据集合
Figure 589258DEST_PATH_IMAGE002
各聚类中的样本点与所在聚类的质心的距离小于动态阈值的样本点取出,进行反标准化处理,还原为真实数据后放入异常数据集合
Figure 937194DEST_PATH_IMAGE003
中,更新所述异常数据集合
Figure 988326DEST_PATH_IMAGE003
S28、更新所述数据集合
Figure 785994DEST_PATH_IMAGE002
,所述数据集合
Figure 947985DEST_PATH_IMAGE002
中为取出所述异常数据集合
Figure 947165DEST_PATH_IMAGE003
中样本点后的剩余数据,判断所述数据集合
Figure 106882DEST_PATH_IMAGE002
中的样本点数量是否满足设定条件,若所述样本点数量不满足设定条件,则执行步骤S23,若所述样本点数量满足设定条件,则输出所述异常数据集合
Figure 457092DEST_PATH_IMAGE003
所述步骤S3包括:
S31、根据所述异常数据集合,确定在同一时间对同一目标发起的协同攻击中的攻击者,并将所述协同攻击中的攻击者划归为同一组,得到初步的攻击团伙分组;
S32、将所述初步攻击团伙分组中具有攻击者重叠或攻击行为相似的分组进行合并,得到合并后的攻击团伙分组;
S33、去掉所述合并后的攻击团伙分组中的偶然攻击者;提取出每个合并后的攻击团伙分组的核心成员,得到攻击团伙。
2.根据权利要求1所述的一种攻击团伙识别方法,其特征在于,所述对所述数据进行标准化处理,得到标准化处理后的数据,包括:
判断所述数据是否标准化;若否,则对所述数据进行标准化处理,得到标准化处理后的数据;若是,则将所述数据作为标准化处理后的数据。
3.根据权利要求2所述的一种攻击团伙识别方法,其特征在于,所述对所述数据进行标准化处理,包括:
对所述数据的单位进行统一,将统一单位后的数据按比例进行缩放,使所述统一单位后的数据映射到特定区间上。
4.根据权利要求1所述的一种攻击团伙识别方法,其特征在于,所述步骤S21中,对所述数据集合
Figure 295210DEST_PATH_IMAGE001
进行去除孤立点处理,包括:
S2101、计算所述数据集合
Figure 352159DEST_PATH_IMAGE001
中的样本点
Figure 479515DEST_PATH_IMAGE004
与其余任意样本点
Figure 317021DEST_PATH_IMAGE005
的欧氏距离之和
Figure 758498DEST_PATH_IMAGE006
,并计算所述数据集合
Figure 997849DEST_PATH_IMAGE001
中所有样本点的欧氏距离之和的算术平均数
Figure 293177DEST_PATH_IMAGE007
;其中
Figure 617979DEST_PATH_IMAGE008
Figure 925463DEST_PATH_IMAGE009
Figure 753742DEST_PATH_IMAGE010
Figure 363846DEST_PATH_IMAGE011
为数据集合
Figure 782802DEST_PATH_IMAGE001
中的样本数量;
S2102、判断数据集合
Figure 831660DEST_PATH_IMAGE001
的样本点
Figure 717708DEST_PATH_IMAGE004
的欧氏距离之和
Figure 623347DEST_PATH_IMAGE006
Figure 657162DEST_PATH_IMAGE007
的数量关系,若
Figure 178886DEST_PATH_IMAGE012
,则判断所述样本点
Figure 981757DEST_PATH_IMAGE004
为孤立点;其中
Figure 58297DEST_PATH_IMAGE008
Figure 579408DEST_PATH_IMAGE011
为数据集合
Figure 766807DEST_PATH_IMAGE001
中的样本总数。
5.根据权利要求1所述的一种攻击团伙识别方法,其特征在于,所述步骤S26中,所述动态阈值的计算方法,包括:
各聚类中的样本点到所在聚类的质心的算术平均数的一半。
6.一种攻击团伙识别装置,其特征在于,包括:
数据提取模块,用于从连接的具有网络行为日志数据的数据库提取需要进行聚类的数据;
数据标准化模块,用于对上述数据提取模块中提取的数据进行标准化处理,得到标准化处理后的数据;
聚类分析模块,用于使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理,得到异常数据集合;
所述聚类分析模块还用于执行权利要求1中所述的步骤S21-S28;
攻击团伙确定模块,用于对所述异常数据集合进行攻击团伙的确定处理,得到攻击团伙数据;
所述攻击团伙确定模块在确定攻击团伙数据时,还用于执行权利要求1中所述的步骤S31-S33;
攻击团伙输出模块,用于输出所述攻击团伙数据。
7.一种攻击团伙识别设备,其特征在于,包括:
存储器,用于存储与权利要求1-5任一项所述的一种攻击团伙识别方法相对应的计算机程序代码;
处理器,用于执行所述计算机程序代码,以实现如上述权利要求1-5任一项所述的一种攻击团伙识别方法。
8.一种攻击团伙识别介质,其特征在于,包括:
一种计算机可读存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的一种攻击团伙识别方法。
CN202010662246.0A 2020-07-10 2020-07-10 一种攻击团伙识别方法、装置、设备及介质 Active CN111800430B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010662246.0A CN111800430B (zh) 2020-07-10 2020-07-10 一种攻击团伙识别方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010662246.0A CN111800430B (zh) 2020-07-10 2020-07-10 一种攻击团伙识别方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN111800430A CN111800430A (zh) 2020-10-20
CN111800430B true CN111800430B (zh) 2022-06-17

Family

ID=72806759

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010662246.0A Active CN111800430B (zh) 2020-07-10 2020-07-10 一种攻击团伙识别方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN111800430B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422513B (zh) * 2020-10-26 2021-10-26 浙江大学 一种基于网络流量报文的异常检测和攻击发起者分析系统
CN112685459A (zh) * 2020-11-16 2021-04-20 中国南方电网有限责任公司 一种基于K-means集群算法的攻击源特征识别方法
CN113157542B (zh) * 2021-04-28 2022-11-15 南京苏宁软件技术有限公司 基于应用日志的趋同行为用户识别方法及系统
CN113936162A (zh) * 2021-10-26 2022-01-14 恒睿(重庆)人工智能技术研究院有限公司 增量聚类方法、装置、计算机设备和存储介质
CN114186232B (zh) * 2021-12-13 2024-12-20 南方电网科学研究院有限责任公司 一种网络攻击团队识别方法、装置、电子设备及存储介质
CN114389857B (zh) * 2021-12-24 2024-04-05 国家计算机网络与信息安全管理中心 基于核心攻击资源的网络攻击团伙融合方法
CN115225308B (zh) * 2022-05-17 2024-03-12 国家计算机网络与信息安全管理中心 大规模群体攻击流量的攻击团伙识别方法及相关设备
CN117749418B (zh) * 2023-11-21 2024-11-19 北京中科安维检测技术有限公司 网络攻击团伙的能力判定及分析方法、装置、设备和介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106375331A (zh) * 2016-09-23 2017-02-01 北京网康科技有限公司 一种攻击组织的挖掘方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6466946B1 (en) * 2000-06-07 2002-10-15 Hewlett-Packard Company Computer implemented scalable, incremental and parallel clustering based on divide and conquer
US10410135B2 (en) * 2015-05-21 2019-09-10 Software Ag Usa, Inc. Systems and/or methods for dynamic anomaly detection in machine sensor data
US10331722B1 (en) * 2017-05-26 2019-06-25 Amazon Technologies, Inc. Dynamic clustering for unstructured data
CN110995714B (zh) * 2019-12-06 2022-07-26 杭州安恒信息技术股份有限公司 一种检测对Web站点的团伙攻击的方法、装置及介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106375331A (zh) * 2016-09-23 2017-02-01 北京网康科技有限公司 一种攻击组织的挖掘方法及装置

Also Published As

Publication number Publication date
CN111800430A (zh) 2020-10-20

Similar Documents

Publication Publication Date Title
CN111800430B (zh) 一种攻击团伙识别方法、装置、设备及介质
CN109309630B (zh) 一种网络流量分类方法、系统及电子设备
CN107153789B (zh) 利用随机森林分类器实时检测安卓恶意软件的方法
CN107092829B (zh) 一种基于图像匹配的恶意代码检测方法
US8873840B2 (en) Reducing false detection rate using local pattern based post-filter
CN102420723A (zh) 一种面向多类入侵的异常检测方法
WO2021164232A1 (zh) 用户识别方法、装置、设备及存储介质
CN107819698A (zh) 一种基于半监督学习的网络流量分类方法、计算机设备
US11163877B2 (en) Method, server, and computer storage medium for identifying virus-containing files
CN106992965A (zh) 一种基于网络行为的木马检测方法
CN113762377B (zh) 网络流量识别方法、装置、设备及存储介质
CN114553591B (zh) 随机森林模型的训练方法、异常流量检测方法及装置
CN115484112B (zh) 支付大数据安全防护方法、系统及云平台
CN112232206B (zh) 基于大数据和人工智能的人脸识别方法和人脸识别平台
CN117170979A (zh) 一种大规模设备的能耗数据处理方法、系统、设备及介质
CN110995713A (zh) 一种基于卷积神经网络的僵尸网络检测系统及方法
CN111901324B (zh) 一种基于序列熵流量识别的方法、装置和存储介质
CN115842636A (zh) 一种基于时序特征的网络异常行为监测方法以及装置
CN112149121A (zh) 一种恶意文件识别方法、装置、设备及存储介质
CN113542310B (zh) 一种网络扫描检测方法、装置及计算机存储介质
CN115905988A (zh) 基于嵌入式特征选择的异常子分类方法、系统及设备
CN111680286B (zh) 物联网设备指纹库的精细化方法
CN114186637A (zh) 流量识别方法、装置、服务器和存储介质
CN112052449A (zh) 一种恶意文件识别方法、装置、设备及存储介质
CN111885089A (zh) 基于层次分析法的DNS服务器DDoS攻击防御方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant