CN113259302B - 网络攻击数据的关系分解方法、装置和计算机设备 - Google Patents

网络攻击数据的关系分解方法、装置和计算机设备 Download PDF

Info

Publication number
CN113259302B
CN113259302B CN202010088795.1A CN202010088795A CN113259302B CN 113259302 B CN113259302 B CN 113259302B CN 202010088795 A CN202010088795 A CN 202010088795A CN 113259302 B CN113259302 B CN 113259302B
Authority
CN
China
Prior art keywords
node
value
sequence
initial
neighbor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010088795.1A
Other languages
English (en)
Other versions
CN113259302A (zh
Inventor
毛婷伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Cloud Computing Changsha Co Ltd
Original Assignee
Tencent Cloud Computing Changsha Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Cloud Computing Changsha Co Ltd filed Critical Tencent Cloud Computing Changsha Co Ltd
Priority to CN202010088795.1A priority Critical patent/CN113259302B/zh
Publication of CN113259302A publication Critical patent/CN113259302A/zh
Application granted granted Critical
Publication of CN113259302B publication Critical patent/CN113259302B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods

Abstract

本申请涉及一种网络攻击数据的关系分解方法、装置和计算机设备,所述方法包括:获取网络攻击数据,将网络攻击数据转换为对应的多边图数据;多边图数据中包括节点,节点具有对应的邻居节点;获取多边图数据的节点度数,根据节点度数确定初始节点序列;根据所述节点度数和所述初始节点序列确定节点的初始核度值和邻居节点的初始核度值,利用节点的初始核度值和邻居节点的初始核度值对多层邻居节点进行迭代更新,得到更新后的节点序列和更新后的节点核度值;根据更新后的节点序列和更新后的节点核度值确定与网络攻击数据对应的各个节点的目标核度指标值。本申请提供的方案能够有效提高网络攻击数据的关系分解处理效率和准确性。

Description

网络攻击数据的关系分解方法、装置和计算机设备
技术领域
本申请涉及计算机技术领域,特别是涉及一种网络攻击数据的关系分解方法、装置和计算机设备。
背景技术
随着计算机技术的迅速发展,网络安全已经成为网络信息的重要保证。例如可以通过网络图谱分析网络攻击关系,在网络攻击图谱中,网络地址可以为相应的网络节点,网络节点之间可能存在多种类型的攻击与被攻击关系。
为了识别网络图谱中各个节点之间的网络攻击关系,可以对网络攻击数据进行分解再识别。在传统方式中通常是根据网络安全相关规则将多边图转换为单边图,再对每一个单边图进行分解。然而这种方式的处理过程比较繁琐,且分解得到的数值存在偏差,对于网络攻击数据分解处理的准确性较低。
发明内容
基于此,有必要针对网络攻击数据的关系分解处理效率和准确性较低的技术问题,提供一种网络攻击数据的关系分解方法、装置和计算机设备。
一种网络攻击数据的关系分解方法,包括:
获取网络攻击数据,将所述网络攻击数据转换为对应的多边图数据;所述多边图数据中包括节点,所述节点具有对应的邻居节点;
获取所述多边图数据的节点度数,根据所述节点度数确定初始节点序列;
根据所述节点度数和所述初始节点序列确定所述节点的初始核度值和邻居节点的初始核度值;
利用所述节点的初始核度值和所述邻居节点的初始核度值对多层邻居节点进行迭代更新,得到更新后的节点序列和更新后的节点核度值;
根据所述更新后的节点序列和所述更新后的节点核度值确定与所述网络攻击数据对应的各个节点的目标核度指标值。
一种网络攻击数据的关系分解装置,所述装置包括:
数据转换模块,用于获取网络攻击数据,将所述网络攻击数据转换为对应的多边图数据;所述多边图数据中包括节点,所述节点具有对应的邻居节点;
数据提取模块,用于获取所述多边图数据的节点度数,根据所述节点度数确定初始节点序列;
迭代更新模块,用于根据所述节点度数和所述初始节点序列确定所述节点的初始核度值和邻居节点的初始核度值;利用所述节点的初始核度值和所述邻居节点的初始核度值对多层邻居节点进行迭代更新,得到更新后的节点序列和更新后的节点核度值;
确定模块,用于根据所述更新后的节点序列和所述更新后的节点核度值确定与所述网络攻击数据对应的各个节点的目标核度指标值。
一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行上述网络攻击数据的关系分解方法的步骤。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行上述网络攻击数据的关系分解方法的步骤。
上述网络攻击数据的关系分解方法、装置、计算机可读存储介质和计算机设备,获取网络攻击数据后,将网络攻击数据转换为对应的多边图数据;多边图数据中包括节点,节点具有对应的邻居节点。根据多边图数据中节点的节点度数确定初始节点序列。通过根据节点度数和初始结点序列确定节点的初始核度值和邻居节点的初始核度值,并利用节点的初始核度值和邻居节点的初始核度值对多层邻居节点进行迭代更新,从而能够有效得到更新后的节点序列和更新后的节点核度值。根据更新后的节点序列和更新后的节点核度值确定与网络攻击数据对应的各个节点的目标核度指标值。通过持续利用更新的节点序列迭代计算下一层邻居节点的核度值,直到多边图数据的所有节点均被迭代更新处理完成,由此能够快速有效地对网络攻击数据进行分解处理。通过直接对对边图数据的节点进行迭代更新以进行分解计算,能够在有效保证处理时间复杂度的同时,有效提高了节点的目标核度指标值的分解处理精度,从而有效提高了网络攻击数据的关系分解处理效率和分解准确性。
附图说明
图1为一个实施例中网络攻击数据的关系分解方法的应用环境图;
图2为一个实施例中网络攻击数据的关系分解方法的流程示意图;
图3为另一个实施例中网络攻击数据的关系分解方法的流程示意图;
图4为又一个实施例中网络攻击数据的关系分解方法的流程示意图;
图5为再一个实施例中网络攻击数据的关系分解方法的流程示意图;
图6为一个实施例中网络攻击数据的关系分解装置的结构框图;
图7为另一个实施例中网络攻击数据的关系分解装置的结构框图;
图8为一个实施例中计算机设备的结构框图。
实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图1为一个实施例中网络攻击数据的关系分解方法的应用环境图。例如,参照图1,该网络攻击数据的关系分解方法可以应用于网络安全分析系统。该网络安全分析系统包括多个网络节点102和服务器104。网络节点102和服务器104通过网络连接。网络节点102具体可以是台式终端或移动终端,移动终端具体可以手机、平板电脑、笔记本电脑等中的至少一种。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
如图2所示,在一个实施例中,提供了一种网络攻击数据的关系分解方法。本实施例主要以该方法应用于上述图1中的服务器104来举例说明。参照图2,该网络攻击数据的关系分解方法具体包括如下步骤:
步骤S202,获取网络攻击数据,将网络攻击数据转换为对应的多边图数据;多边图数据中包括节点,节点具有对应的邻居节点。
其中,网络攻击数据是表示针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻所产生的数据,网络攻击会导致某些数据流的篡改和虚假数据流的产生,服务器可以获取网络中的网络数据集,并从中提取出网络攻击数据。比如,网络攻击数据具体可以是社交网络节点中产生的请求数据和通信流数据等。
其中,多边图是图论中的图形表示对象,图论中的图是由若干给定的点及连接两点的线所构成的图形,这种图形通常用来描述某些事物之间的某种特定关系,用点代表事物,用连接两点的线表示相应两个事物间具有这种关系。多边图则表示两个或两个以上的节点之间存在多条边,也指多个实体之间存在多种关系。例如在网络攻击图谱中,网络地址可以为相应的网络节点,各个网络节点之间可以存在多种类型的攻击与被攻击关系。例如,服务器可以从网络攻击数据中能够提取出攻击者A,攻击手段B,受害者C三个维度的信息,基于这类信息,可以通过以A,C为节点,B为关系构建起一个攻击图,这个攻击图的特点是A和C之间可能存在多种攻击关系,由此能够抽象构建为多边图数据。服务器可以通过对多边图数据进行关系分解处理,从而分析出网络攻击数据中多个节点之间的关联关系。例如,可以采用cores分解方式,即K-核分解方式对多边图形式的网络攻击数据进行分解处理。
服务器获取网络攻击数据后,将网络攻击数据转换为对应的多边图数据。具体地,多边图数据中包括节点,节点具有对应的邻居节点,服务器可以提取网络攻击数据中的多个网络节点和多个网络节点之间的关联性特征,将多个网络节点建模成多边图的节点,各个网络节点之间的关联性特征构成多边图的边,从而网络攻击数据转换为对应的多边图数据。
可以理解,若多边图数据中的节点没有对应的邻居节点时,则不参与迭代分解处理,初始的节点度数则为节点的目标核度值。
步骤S204,获取多边图数据的节点度数,根据节点度数确定初始节点序列。
其中,节点度数是指图论与该节点相关联的边的条数。节点序列是指对多边图数据中各个节点进行排序后,所构成的节点的序列。初始节点序列可以为对多边图数据中各个节点进行升序排序后,各个节点对应的节点序列。节点的核度值可以为节点核数,节点核数表示包含该节点的最深的核,节点的核数可以表明节点在核中的深度。例如,可以采用K-核分解方式对多边图形式的网络攻击数据进行分解处理,网络节点的k-核以及核数的相关性质可以表示其拓扑由核心节点至外围节点的层次结构。若节点核数为k,则该节点存在于k-核中,不存在于(k+1)-核中。
服务器得到网络攻击数据对应的多边图数据后,计算多边图数据中各个节点的节点度数。服务器还可以将各个节点的节点度数确定为各个节点的初始的核度值,服务器进而根据各个节点的核度值对各个节点进行升序排序,从而得到各个节点的初始节点序列。
步骤S206,根据节点度数和初始节点序列确定节点的初始核度值和邻居节点的初始核度值。
当节点序列不为空时,根据节点度数和初始节点序列确定节点的初始核度值和邻居节点的初始核度值。
例如,服务器可以迭代选取节点序列中节点度数最小的一个节点,将该节点的节点度数确定为该节点的初始核度值。服务器进而确定多边图中节点的初始核度值和邻居节点的初始核度值,根据节点的初始核度值和邻居节点的初始核度值对初始节点序列进行迭代更新。
步骤S208,利用节点的初始核度值和邻居节点的初始核度值对多层邻居节点进行迭代更新,得到更新后的节点序列和更新后的节点核度值。
其中,迭代是指一定步骤进行重复执行处理的过程,每一次对过程的重复称为一次“迭代”,而每一次迭代得到的结果会作为下一次迭代的初始值。重复执行一系列运算步骤,从前面的量依次求出后面的量的过程。此过程的每一次结果,都是由对前一次所得结果施行相同的运算步骤得到的。对多边图数据进行迭代更新处理即为对重复利用更新的节点序列和节点的核度值循环对下一节点进行处理,直到多边图数据中的所有节点均被迭代处理完成。
服务器根据节点度数和初始节点序列确定节点的初始核度值和邻居节点的初始核度值后,则利用节点的初始核度值和邻居节点的初始核度值对多层邻居节点进行迭代更新,根据节点的核度值和邻居节点的核度值对节点进行迭代更新计算,从而对节点序列不断进行迭代更新,得到更新后的节点序列和更新后的节点核度值。
例如,服务器可以将第一个节点的初始核度值与邻居节点的初始核度值进行比较,若邻居节点的初始核度值大于该节点的初始核度值,则将邻居节点的核度值减去该节点与邻居节点之间的边数,进而将该节点的核度值和邻居节点的核度值中的最大核度值更新为邻居节点的核度值。服务器进而根据更新后的邻居节点和对应的核度值对初始节点序列进行更新,每一次更新都生成对应的节点序列,从而得到更新后的节点序列和更新后的节点核度值。
服务器对当前层的邻居节点迭代更新完成后,利用更新后的节点序列和更新后的节点核度值继续对下一层邻居节点进行迭代更新,得到更新后的当前节点序列和各个节点的当前核度值。
步骤S210,根据更新后的节点序列和更新后的节点核度值确定与网络攻击数据对应的各个节点的目标核度指标值。
其中,目标核度指标值可以表示各个节点之间的网络关系指标,例如可以包括各个节点的网络关系数量值、网络密度值以及网络连接数等数值,这些指标数值还可以进一步用于分析各个节点的风险度等指标。
服务器持续根据更新的节点序列和更新后的节点的核度值迭代计算下一层邻居节点的核度值,直到多边图数据的节点均被迭代更新完成后,得到最终根据更新后的节点序列和更新后的节点核度值。具体地,服务器可以根据当前节点序列中各个节点的当前位置生成最终的节点序列,并将该节点序列确定为目标节点序列。
服务器得到最终的目标节点序列后,则可以根据目标节点序列确定多边图数据中各个节点当前的节点核度值,服务器可以直接将各个节点当前的节点核度值确定为各个节点对应的目标核度指标值,也可以根据指标类型利用目标节点序列和当前核度值计算各个节点的目标核度指标值。例如可以包括节点的度数、核度值以及节点重要程度值等多个指标类型的指标值。通过持续根据更新的节点序列迭代计算下一层邻居节点的核度值,直到多边图数据的所有节点均被迭代更新完成,从而能够快速有效得到更新的目标节点序列和节点核度值,进而能够根据目标节点序列和节点核度值确定多边图数据中各个节点的目标核度指标值。
上述网络攻击数据的关系分解方法,服务器获取多个网络攻击数据后,将网络攻击数据转换为对应的多边图数据;多边图数据中包括节点,节点具有对应的邻居节点。根据多边图数据中多个节点的节点度数确定初始节点序列。通过根据节点度数和初始节点序列确定节点的初始核度值和邻居节点的初始核度值,并利用节点的初始核度值和邻居节点的初始核度值对多层邻居节点进行迭代更新,从而能够有效得到更新后的节点序列和更新后的节点核度值。通过持续利用更新的节点序列迭代计算下一层邻居节点的核度值,直到多边图数据的所有节点均被迭代更新处理完成,由此能够快速有效地对网络攻击数据进行分解处理。通过直接对对边图数据的节点进行迭代更新以进行分解计算,能够在有效保证处理时间复杂度的同时,有效提高了节点的目标核度指标值的分解处理精度,从而有效提高了网络攻击数据的分解处理效率和准确性。
在一个实施例中,如图3所示,提供了一种网络攻击数据的关系分解方法,具体包括以下内容:
步骤S302,获取网络攻击数据,将网络攻击数据转换为对应的多边图数据;多边图数据中包括节点,节点具有对应的邻居节点。
步骤S304,获取多边图数据中各个节点的节点度数,根据节点度数对各个节点进行排序,得到初始节点序列。
步骤S306,根据初始节点序列将节点度数确定为相应节点的初始核度值和邻居节点的初始核度值。
步骤S308,提取初始节点序列中的第一节点,获取第一节点的邻居节点集。
步骤S310,当邻居节点集不为空时,对第一节点的初始核度值和邻居节点的初始核度值进行比较,得到比较结果。
步骤S312,根据比较结果更新邻居节点的核度值,对初始节点序列进行更新,生成更新后的节点序列和更新后的节点核度值。
步骤S314,利用更新后的节点序列和更新后的节点核度值对下一层邻居节点进行迭代更新。
步骤S316,根据更新后的节点序列和更新后的节点核度值确定与网络攻击数据对应的各个节点的目标核度指标值。
服务器得到网络攻击数据对应的多边图数据后,计算多边图数据中各个节点的节点度数,根据节点度数确定初始节点序列。具体地,服务器可以获取每个节点相连的边的数量,并将该数量确定为每个节点的节点度数。服务器可以将各个节点的节点度数确定为各个节点的初始核度值,服务器进而根据各个节点的初始核度值对各个节点进行升序排序,例如可以按照从小到大进行排序,从而得到各个节点对应的初始节点序列。服务器进而根据初始节点序列将节点度数确定为相应节点的初始核度值和邻居节点的初始核度值。
当节点序列不为空时,服务器则根据节点的初始核度值和邻居节点的初始核度值对初始节点序列不断进行迭代更新。具体地,服务器从初始节点序列中按照初始节点序列获取第一节点进行迭代更新计算,例如可以为节点序列中节点度数最小的一个节点,该节点的节点度数即为该节点的初始核度值。
服务器获取初始节点序列中的第一节点后,并获取第一节点的邻居节点集。第一节点的邻居节点集中的节点可能为空,也可能不为空;邻居节点集不为空时,邻居节点集中的节点为一个或一个以上。
当邻居节点集不为空时,对第一节点的初始核度值和邻居节点的初始核度值进行比较,得到比较结果。服务器进而根据比较结果更新邻居节点的核度值,并对初始节点序列进行更新,生成更新后的节点序列和更新后的节点核度值。
例如,服务器可以将该第一节点的初始核度值与邻居节点集中邻居节点的初始核度值进行比较,若邻居节点的初始核度值大于该节点的初始核度值,则将邻居节点的核度值减去第一节点与邻居节点之间的边数,进而将第一节点的初始核度值和邻居节点的初始核度值中的最大核度值更新为邻居节点的核度值。服务器进而根据更新后的邻居节点和对应的核度值对初始节点序列进行更新,从而得到更新后的节点序列和更新后的节点核度值。服务器进一步利用更新后的节点序列和更新后的节点核度值迭代更新下一层邻居节点的核度值。当多边图数据的各个节点均被迭代更新后,得到最终的更新后的节点序列和更新后的节点核度值。服务器还可以将最终的更新后的节点序列确定为目标节点序列,根据目标节点序列和节点核度值确定与网络攻击数据对应的各个节点的目标核度指标值。通过对节点和相邻节点的核度值进行比较并进行迭代更新,从而能够对节点的核度值和节点序列进行分解处理。
在一个实施例中,如图4所示,提供了一种网络攻击数据的关系分解方法,具体包括:
步骤S402,获取网络攻击数据,将网络攻击数据转换为对应的多边图数据;多边图数据中包括节点,节点具有对应的邻居节点。
步骤S404,获取多边图数据中各个节点的节点度数,根据节点度数对各个节点进行排序,得到初始节点序列。
步骤S406,根据初始节点序列将节点度数确定为相应节点的初始核度值和邻居节点的初始核度值。
步骤S408,提取初始节点序列中的第一节点,获取第一节点的邻居节点集。
步骤S410,当邻居节点集不为空时,对第一节点的初始核度值和邻居节点的初始核度值进行比较,得到比较结果。
步骤S412,若比较结果为邻居节点的初始核度值大于第一节点的初始核度值,将第一节点从邻居节点的邻居节点集中剔除。
步骤S414,将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点的当前核度值。
步骤S416,将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新的节点序列和更新后的节点核度值。
步骤S418,根据更新后的节点序列和更新后的节点核度值确定与网络攻击数据对应的各个节点的目标核度指标值。
服务器得到网络攻击数据对应的多边图数据后,将网络攻击数据转换为对应的多边图数据,获取多边图数据中各个节点的节点度数,根据节点度数对各个节点进行排序,得到初始节点序列。
当节点序列不为空时,服务器从初始节点序列中按照初始节点序列获取第一节点进行迭代更新计算。服务器获取初始节点序列中的第一节点后,并获取第一节点的邻居节点集。
第一节点的邻居节点集不为空时,对第一节点的初始核度值和邻居节点的初始核度值进行比较,得到比较结果。具体地,若邻居节点的初始核度值大于第一节点的初始核度值,则将第一节点从邻居节点的邻居节点集中剔除,并将邻居节点的核度值更新为第一节点的核度值和邻居节点的核度值与第一节点和邻居节点之间边的数量之差的最大值,即将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点的当前核度值。
服务器进而将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新的节点序列。服务则进入下一轮节点分解计算处理,持续根据更新的节点序列和更新后的节点的核度值迭代计算下一层邻居节点的核度值,直到多边图数据的各个节点均被迭代更新处理完成时,服务器根据当前节点序列中各个节点的当前位置生成最终的节点序列,并将该节点序列确定为目标节点序列。通过对节点和相邻节点的核度值进行比较并进行迭代更新,从而能够对节点的核度值和节点序列进行分解处理。
在一个实施例中,根据比较结果更新邻居节点的核度值,对初始节点序列进行更新,得到更新后的节点序列和更新后的节点核度值包括:若比较结果为邻居节点的初始核度值小于第一节点的初始核度值,重复对第一节点的初始核度值和邻居节点的初始核度值进行比较的步骤,得到比较结果;根据比较结果更新邻居节点的核度值,并对初始节点序列进行更新,得到更新后的节点序列和更新后的节点核度值。
当节点序列不为空时,服务器从初始节点序列中按照初始节点序列获取第一节点进行迭代更新计算。服务器获取初始节点序列中的第一节点后,并获取第一节点的邻居节点集。当第一节点的邻居节点集不为空时,针对邻居节点集中的每个邻居节点,服务器则将第一节点的初始核度值和邻居节点的初始核度值进行比较,得到比较结果。
具体地,服务器则将第一节点的初始核度值和第一邻居节点的初始核度值进行比较,若第一邻居节点的初始核度值小于第一节点的初始核度值,循环对第一节点的核度值和邻居节点集中的第二邻居节点的核度值进行比较。直到邻居节点集中的存在邻居节点的核度值大于第一节点的核度值时,服务器则将第一节点从邻居节点的邻居节点集中剔除,并将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点的当前核度值。
服务器进而将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新的当前节点序列。服务则进入下一轮节点分解计算处理,持续根据更新的节点序列和更新后的节点的核度值迭代计算下一层邻居节点的核度值。从而能够对节点的核度值和节点序列进行分解处理。
在一个实施例中,对初始节点序列进行更新包括:当邻居节点集为空时,将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新后的节点序列。
当第一节点的邻居节点集为空时,即第一节点没有邻居节点,表示该第一节点是一个零核心节点。服务器则将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新的节点序列。服务则根据更新的节点序列进入下一轮节点分解计算处理,持续根据更新的节点序列和更新后的节点的核度值迭代计算下一层邻居节点的核度值。从而能够快速有效对节点的核度值和节点序列进行分解处理。
在一个实施例中,该方法还包括对邻居节点集中的各个邻居节点的各个邻居节点进行迭代更新处理的步骤,具体包括:对第一节点的邻居节点集中的各个邻居节点的核度值和相应的节点序列进行迭代更新处理;当邻居节点集中的各个邻居节点均被迭代更新后,得到更新后的节点序列和更新后的核度值;利用更新后的节点序列和更新后的核度值对下一层邻居节点进行迭代计算,持续根据邻居节点的当前核度值迭代计算下一层邻居节点的核度值,并对当前节点序列进行更新;当多边图数据的各个节点均被迭代更新后,生成更新后的目标节点序列更新后的节点核度值。
若第一节点的邻居节点集不为空,服务器对第一节点的初始核度值和邻居节点的初始核度值进行比较,得到比较结果。服务器根据比较结果更新邻居节点的核度值,并对初始节点序列进行更新,得到更新后的节点序列和更新后的核度值。针对邻居节点集中的每个邻居节点,服务器则将第一节点的核度值和邻居节点的核度值进行比较。
当邻居节点集中包括一个两个或两个以上的邻居节点时,服务器首先将第一节点与邻居节点集中的第一邻居节点进行比较,第一邻居节点即为邻居节点集中的第一个邻居节点。
具体地,服务器将第一节点的初始核度值和邻居节点集中第一邻居节点的初始核度值进行比较,若第一邻居节点的初始核度值小于第一节点的初始核度值,对第一节点的核度值和邻居节点集中的第二邻居节点的核度值进行迭代比较。直到邻居节点集中的存在邻居节点的核度值大于第一节点的核度值时,服务器则将第一节点从邻居节点的邻居节点集中剔除,并将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点当前的核度值。
服务器进而将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新的节点序列。服务则进入下一轮节点分解计算处理,具体地,服务器持续根据更新的当前节点序列对下一层邻居节点进行迭代计算,持续利用更新后的节点序列和更新后的核度值迭代计算下一层邻居节点的核度值,并对节点序列的节点的核度值进行更新。直到多边图数据的各个节点均被迭代更新完成时,服务器根据当前节点序列中各个节点的当前位置生成最终的节点序列,并将该节点序列确定为目标节点序列。通过对节点和相邻节点的核度值进行比较并进行迭代更新,从而能够对节点的核度值和节点序列进行分解处理,能够在有效保证处理时间复杂度的同时,有效提高了节点的目标核度指标值的计算精度。
在一个实施例中,生成更新后的目标节点序列包括:当多边图数据的所有节点均被迭代更新后,获取各个节点的当前位置;根据各个节点的当前位置确定目标节点序列和当前核度值,将各个节点的当前核度值确定为节点核度值。
服务器持续根据更新的当前节点序列和邻居节点的当前核度值对下一层邻居节点进行迭代更新,并对当前节点序列进行更新。直到多边图数据的各个节点均被迭代更新处理完成时,多边图数据中的各个节点均被重新排列,此时各个节点的位置也相应发生了变化。服务器则获取各个节点的当前位置,服务器根据当前节点序列中各个节点的当前位置生成最终的节点序列和当前核度值,并将该节点序列确定为目标节点序列,将各个节点的当前核度值确定为节点核度值。通过持续根据更新的节点序列迭代计算下一层邻居节点的核度值,直到多边图数据的所有节点均被迭代计算完成,从而能够快速有效得到更新的目标节点序列。
在一个实施例中,该方法还包括:根据目标节点序列确定多边图数据中各个节点的节点核度值;根据指标类型利用目标节点序列和节点核度值确定各个节点的目标核度指标值。
其中,指标类型是指用于衡量目标参数的类型,例如可以根据不同的业务需求类型确定相应的指标类型。指标类型可以包括节点的度数、核心度以及节点重要程度等多个类型。
服务器通过持续根据更新的节点序列迭代计算下一层邻居节点的核度值,直到多边图数据的所有节点均被迭代计算完成,得到最终的目标节点序列后。服务器则可以根据目标节点序列确定多边图数据中各个节点的节点核度值,服务器还可以根据各个节点的当前位置和目标节点序列确定各个节点的当前节点度数和邻居节点数,服务器可以根据各个节点的邻居节点数分别确定各个节点的节点重要程度值。服务器进而利用各个节点的节点核度值、当前节点度数和节点重要程度值生成各个指标类型对应的目标核度指标值。通过对多边图数据进行迭代更新处理得到目标节点序列后,进而能够准确有效地根据目标节点序列确定每个节点的目标核度指标值。
在一个实施例中,网络攻击数据中包括至少一个网络节点,将网络攻击数据转换为对应的多边图数据包括:对网络攻击数据进行关系特征提取,得到各个网络节点和各个网络节点之间的映射关系;根据各个网络节点和相应的映射关系生成对应的多边图数据。
服务器获取网络攻击数据后,将网络攻击数据转换为对应的多边图数据。具体地,服务器对网络攻击数据进行关系特征提取,可以提取网络攻击数据中的多个网络节点和多个网络节点之间的关联性特征,得到各个网络节点和各个网络节点之间的映射关系。服务器将多个网络节点建模成多边图的节点,各个网络节点之间的映射关系构成多边图的边,从而根据各个网络节点和相应的映射关系生成网络攻击数据对应的多边图数据。
例如,服务器可以提取网络攻击数据中的网络地址标识,例如可以为IP地址,利用提取的多个网络地址标识生成多边图的节点集。服务器进而提取多个网络节点之间的关联性特征,关联性特征可以为多个网络节点之间的一种或多种攻击关系,例如可以包括扫描、注入、异常文件传输等多种关系。服务器将提取的多个网络节点之间的关联性特征生成多边图的边集,从而利用节点集和边集生成网络攻击数据对应的多边图数据。由此能够快速有效地将网络攻击数据转换为对应的多边图数据。
在一个实施例中,该方法还包括:根据目标节点序列和目标核度指标值提取各个网络节点的网络密度指标值和重要度指标值;利用网络密度指标值和重要度指标值确定节点风险度,得到各个网络节点的风险度指标值。
其中,网络密度指标可用于刻画网络中节点间相互连边的密集程度,例如可以为网络中实际存在的边数与可容纳的边数上限的比值。节点重要度是指各个节点在网络中的重要程度,节点的网络密度指标和重要度指标可以用于对各个网络节点的风险度进行分析。
服务器通过对多边图数据进行迭代更新处理得到目标节点序列,并根据目标节点序列确定每个节点的目标核度指标值。其中,目标核度指标值可以包括多个指标类型对应的多个目标核度指标值。指标类型可以包括节点的度数、核心度、节点重要程度以及紧密度指标等多个类型。
其中,核度值可以为核心度,核心度是可帮助识别网络中紧密互连的组的度量值。服务器还可以根据目标节点序列和目标核度指标值计算各个网络节点的网络密度指标值和重要度指标值。例如,服务器可以通过计算每个节点的紧密度,从而得到各个节点的网络密度指标值。服务器可以通过根据目标节点序列和目标核度指标值计算各个网络节点的度数指标、核度值指标、特征向量中心度等,根据计算得到的多个指标值计算得到各个网络节点的重要度指标值。服务器进而利用预设算法根据网络密度指标值和重要度指标值计算每个网络节点的节点风险度,从而能够有效计算出各个网络节点的风险度指标值。
在一个实施例中,如图5所示,提供了一种网络攻击数据的关系分解方法,具体包括:
步骤S502,获取网络攻击数据,将网络攻击数据转换为对应的多边图数据。
服务器获取网络攻击数据后,将网络攻击数据转换为对应的多边图数据。服务器可以提取网络攻击数据中的多个网络节点,将多个网络节点建模成多边图的节点,各个网络节点之间的关联性特征构成多边图的边,从而网络攻击数据转换为对应的多边图数据。
步骤S504,获取多边图数据的节点度数,根据节点度数确定初始节点序列。
服务器可以获取多边图数据中各个节点的节点度数,对多边图数据进行初始化,根据节点度数确定初始节点序列。服务器还可以将各个节点的节点度数初始化为各个节点的初始核度值。
步骤S506,判断初始节点序列是否为空;若为空,则执行步骤步骤S522;若否,则执行步骤S508。
服务器得到初始节点序列后,判断初始节点序列是否为空。若初始节点序列为空,则直接结束流程。
当初始节点序列不为空时,服务器则执行步骤S508,根据节点的核度值和邻居节点的核度值对节点进行迭代更新,以对节点序列进行迭代更新。
步骤S508,从初始节点序列中提取第一节点,获取第一节点的邻居节点集。
服务器根据节点序列从初始节点序列提取一个节点,这个节点可以为第一节点。服务器进一步获取第一节点的邻居节点集。
步骤S510,判断邻居节点集是否为空;若为空,则执行步骤步骤S518;若否,则执行步骤S512。
第一节点的邻居节点集中的节点可能为空,也可能不为空;邻居节点集不为空时,邻居节点集中的节点为一个或一个以上。若邻居节点集为空,则执行步骤步骤S518,将第一节点从初始节点序列中剔除,重新排列节点序列,生成更新的当前节点序列。
当邻居节点集不为空时,则执行步骤S512,对第一节点的核度值和邻居节点的核度值进行比较,得到比较结果。
步骤S512,将第一节点的核度值和邻居节点的核度值进行比较,判断邻居节点的核度值是否大于第一节点的核度值;若邻居节点的核度值大于第一节点的核度值,则执行步骤S514;若否,则执行步骤S510。
服务器对第一节点的核度值和邻居节点的核度值进行比较,得到比较结果。服务器进而根据比较结果更新邻居节点的核度值,并对初始节点序列进行更新,得到更新的节点序列。具体地,服务器判断邻居节点的核度值是否大于第一节点的核度值,若邻居节点的核度值大于第一节点的核度值,则执行步骤S514:将第一节点从邻居节点的邻居节点集中剔除,并将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点的当前核度值。
若若邻居节点的核度值小于第一节点的核度值,则执行步骤S510:重新判断邻居节点集是否为空。
步骤S514,将第一节点从邻居节点的邻居节点集中剔除。
步骤S516,将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点的当前核度值。
服务器对第一节点的核度值和邻居节点的核度值进行比较,若邻居节点的核度值大于第一节点的核度值,则将第一节点从邻居节点的邻居节点集中剔除,并更新邻居节点的核度值为第一节点的核度值和邻居节点的核度值与第一节点和邻居节点之间边的数量之差的最大值,即将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点的当前核度值。
步骤S518,将第一节点从初始节点序列中剔除。
步骤S520,重新排列节点序列,生成更新的当前节点序列。
服务器进而将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新的节点序列。服务则进入下一轮节点分解计算处理,持续根据更新的节点序列和更新后的节点的核度值迭代计算下一层邻居节点的核度值。
步骤S522,输出目标节点序列和节点核度值;根据目标节点序列和节点核度值确定各个节点的目标核度指标值。
直到多边图数据的各个节点均被迭代更新完成后,服务器根据当前节点序列中各个节点的当前位置生成最终的节点序列,并将该节点序列确定为目标节点序列,将各个节点的当前核度值确定为各个节点最终的节点核度值。服务器则根据目标节点序列和节点核度值确定各个节点的目标核度指标值并输出。通过对节点和相邻节点的核度值进行比较并进行迭代更新,从而能够对节点的核度值和节点序列进行分解处理。
在一个具体的实施例中,服务器将网络攻击数据转换为多边图数据,例如,可以将多边图数据定义为G=(V,E),V表示节点集,E表示边集。服务器首先检查图中是否存在自环,若存在,则需要把自环剔除,再进行图分解处理。
服务器进而计算图中各个节点的节点度数,并初始化各个节点的核度值。例如可以将节点度数表示为degrees,将节点的核度值表示为core number,并利用字典格式对节点的节点度数和核度值进行存储。服务器则将图中各个节点的core number数初始化为其节点度数,即令core number= degrees。服务器并将图中的各个节点按照其度数,从小到大排列,形成节点序列。例如节点序列可以表示为nodes,并利用数组格式对进行存储。
具体地,服务器可以初始化一个辅助数组,例如,辅助数组可以表示为bin_boundaries=[0],每个下标对应的数据位置中的值,表示核度值等于该下标的节点,即为在节点序列数组中的下标。
例如,具体的初始化方式可以为:首先初始化辅助变量,例如可令i=0,curr_degree=0;其中,i为下标,curr_degree为辅助变量。服务器进而对于数组中的每一个节点进行初始化。例如节点可表示为v,如果degrees[v] >curr_degree,则将[i]水平堆叠degree[v]-curr_degree次,然后追加到bin_boundaries中。例如,若curr_degree=1,degree[v]=3,i = 2,则bin_boundaries = [0,2,2]。服务器进而将i的取值加1,curr_degree更新为degree[v],进入下一轮循环。由此得到初始化处理后的辅助数组,用于后续对图中的各个节点进行迭代处理。
服务器记录各节点在节点序列数组中的下标,并从节点序列数组中依次获取节点进行迭代更新计算。例如下标可以记为node_pos,并利用字典格式对数组下标进行存储。服务器可以首先初始化j = 0,依次取出nodes中的节点v,若nodes节点为空,则输出cores值,并结束处理过程。若nodes节点为空,则依次对节点序列数组中的各个节点进行迭代更新计算。
具体地,服务器则将第一节点的核度值和第一邻居节点的核度值进行比较,若第一邻居节点的核度值小于第一节点的核度值,循环对第一节点的核度值和邻居节点集中的第二邻居节点的核度值进行比较。直到邻居节点集中的存在邻居节点的核度值大于第一节点的核度值时,服务器则将第一节点从邻居节点的邻居节点集中剔除,并将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点的当前核度值。
例如,服务器对节点序列数组中的各个节点进行迭代更新计算的过程可以如下:对于从节点序列数组中依次获取的节点,并获取节点的邻居节点集,如邻居节点集可表示为U,获取该节点的邻居节点,如邻居节点可表示为u。若邻居节点集为空,返回上一层迭代;若邻居节点集不为空,则对于邻居节点集中的每个邻居节点,进行核度值比较。例如当前节点的核度值可以表示为core[u],邻居节点的核度值可以表示为core[v],可以通过检查core[u]是否大于core[v]进行核度值比较,若条件成立,即core[u]大于core[v],则将v从u的邻居节点集中删除,之后交换u和nodes[bin_boundaries[u]]的位置,并更新node_pos,将nodes[bin_boundaries[u]] 加一。服务器进而一步算节点u和节点v之间的边数,例如将边数记为t,将u的core number数置为节点v的core数和t之差的最大值,即core[u] = max(core[u]-t,core[v])。服务器进而根据更新后的节点的核度值,更新节点u在节点序列中的位置。例如,具体操作步骤为: 例如将u的前一个节点记为s,从节点u当前的位置起,逐步与u的前一个节点s的核度值进行比较,如果core[s]>core[u],则将s和u交换位置,并记录u的节点下标为j+1。
服务器持续根据更新的节点序列和更新后的节点的核度值迭代计算下一层邻居节点的核度值,直到多边图数据的各个节点均被迭代更新处理后,得到更新的目标节点序列,进而根据目标节点序列和每个节点的当前核度值得到各个节点的目标核度指标值。例如通过上述过程,输出core即为最终多边图中的节点的core number数,即为多边图数据中每个节点的目标核度值。通过直接对对边图数据的节点进行迭代更新以进行分解计算,能够在有效保证处理时间复杂度的同时,有效提高了节点的目标核度指标值的计算精度,从而有效提高了多边图数据分解处理的效率和准确度。
图2-5为一个实施例中网络攻击数据的关系分解方法的流程示意图。应该理解的是,虽然图2-5的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-5中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图6所示,提供了一种网络攻击数据的关系分解装置600,该装置包括数据转换模块602、数据提取模块604、迭代更新模块606和确定模块608,其中:
数据转换模块602,用于获取网络攻击数据,将网络攻击数据转换为对应的多边图数据;多边图数据中包括节点,所述节点具有对应的邻居节点;
数据提取模块604,用于获取多边图数据的节点度数,根据节点度数确定初始节点序列;
迭代更新模块606,用于根据节点度数和初始节点序列确定节点的初始核度值和邻居节点的初始核度值;利用节点的初始核度值和邻居节点的初始核度值对多层邻居节点进行迭代更新,得到更新后的节点序列和更新后的节点核度值;
确定模块608,用于根据更新后的节点序列和更新后的节点核度值确定与网络攻击数据对应的各个节点的目标核度指标值。
在一个实施例中,迭代更新模块606还用于根据节点度数对各个节点进行排序,得到初始节点序列;根据初始节点序列将节点度数确定为相应节点的初始核度值和邻居节点的初始核度值;提取初始节点序列中的第一节点,获取第一节点的邻居节点集;当邻居节点集不为空时,对第一节点的初始核度值和邻居节点的初始核度值进行比较,得到比较结果;根据比较结果更新邻居节点的核度值,并对初始节点序列进行更新,得到更新后的节点序列和更新后的节点核度值。
在一个实施例中,迭代更新模块606还用于若比较结果为邻居节点的初始核度值大于第一节点的初始核度值,将第一节点从邻居节点的邻居节点集中剔除;将第一节点和邻居节点的核度值中的最大核度值更新为邻居节点的当前核度值;将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新后的节点序列和更新后的节点核度值。
在一个实施例中,迭代更新模块606还用于若比较结果为邻居节点的初始核度值小于第一节点的初始核度值,重复对第一节点的初始核度值和邻居节点的初始核度值进行比较的步骤,得到比较结果;根据比较结果更新邻居节点的核度值,并对初始节点序列进行更新,得到更新后的节点序列和更新后的节点核度值。
在一个实施例中,迭代更新模块606还用于当邻居节点集为空时,将第一节点从初始节点序列中剔除,重新排列节点序列,得到更新后的节点序列。
在一个实施例中,迭代更新模块606还用于对第一节点的邻居节点集中的各个邻居节点的核度值和相应的节点序列进行迭代更新;当邻居节点集中的各个邻居节点均被迭代更新后,得到更新后的当前节点序列和更新后的核度值;利用更新后的节点序列和更新后的核度值对下一层邻居节点进行迭代更新,当多边图数据的各个节点均被迭代更新后,得到更新后的目标节点序列更新后的节点核度值。
在一个实施例中,确定模块608还用于当多边图数据的所有节点均被迭代更新后,获取各个节点的当前位置;根据各个节点的当前位置确定目标节点序列和当前核度值,将各个节点的当前核度值确定为节点核度值。
在一个实施例中,确定模块608还用于根据目标节点序列确定多边图数据中各个节点的节点核度值;根据指标类型利用目标节点序列和节点核度值确定各个节点的目标核度指标值。
在一个实施例中,网络攻击数据中包括至少一个网络节点,数据转换模块602还用于对网络攻击数据进行关系特征提取,得到各个网络节点和各个网络节点之间的映射关系;根据各个网络节点和相应的映射关系生成对应的多边图数据。
在一个实施例中,如图7所示,该装置还包括节点风险度计算模块610,用于根据目标节点序列和目标核度指标值提取各个网络节点的网络密度指标值和重要度指标值;利用网络密度指标值和重要度指标值确定节点风险度,得到各个网络节点的风险度指标值。
图8示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的服务器104。如图8所示,该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络攻击数据、多边图数据、目标核度指标值等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现本申请任意一个实施例中提供的网络攻击数据的关系分解方法的步骤。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的网络攻击数据的关系分解装置可以实现为一种计算机程序的形式,计算机程序可在如图8所示的计算机设备上运行。计算机设备的存储器中可存储组成该网络攻击数据的关系分解装置的各个程序模块,比如,图6所示的数据转换模块602、数据提取模块604、迭代更新模块606和确定模块608。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的网络攻击数据的关系分解方法中的步骤。
例如,图8所示的计算机设备可以通过如图6所示的网络攻击数据的关系分解装置中的数据转换模块602执行步骤202。计算机设备可通过数据提取模块604执行204。计算机设备可通过迭代更新模块606执行步骤206和步骤208。计算机设备可通过确定模块608执行步骤210。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述网络攻击数据的关系分解方法的步骤。此处网络攻击数据的关系分解方法的步骤可以是上述各个实施例的网络攻击数据的关系分解方法中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行上述网络攻击数据的关系分解方法的步骤。此处网络攻击数据的关系分解方法的步骤可以是上述各个实施例的网络攻击数据的关系分解方法中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (20)

1.一种网络攻击数据的关系分解方法,包括:
获取网络攻击数据,将所述网络攻击数据转换为对应的多边图数据;所述多边图数据中包括节点,所述节点具有对应的邻居节点;
获取所述多边图数据的节点度数,根据所述节点度数确定初始节点序列;
根据所述节点度数和所述初始节点序列确定所述节点的初始核度值和邻居节点的初始核度值;
提取所述初始节点序列中的第一节点,获取所述第一节点的邻居节点集;
当所述邻居节点集不为空时,对所述第一节点的初始核度值和所述邻居节点集中邻居节点的初始核度值进行比较,得到比较结果;
根据所述比较结果更新所述邻居节点的核度值,对所述初始节点序列进行更新,根据更新后得到的当前节点序列和更新后得到的当前核度值确定目标节点序列和目标核度值;
根据所述目标节点序列和所述目标核度值确定与所述网络攻击数据对应的各个节点的目标核度指标值。
2.根据权利要求1所述的方法,其特征在于,所述根据所述比较结果更新所述邻居节点的核度值,对所述初始节点序列进行更新包括:
若所述比较结果为所述邻居节点的初始核度值大于所述第一节点的初始核度值,将所述第一节点从所述邻居节点的邻居节点集中剔除;
将所述第一节点和所述邻居节点的核度值中的最大核度值更新为所述邻居节点的当前核度值;
将所述第一节点从所述初始节点序列中剔除,重新排列节点序列,得到更新后的当前节点序列和更新后的当前核度值。
3.根据权利要求1所述的方法,其特征在于,所述根据所述比较结果更新所述邻居节点的核度值,对所述初始节点序列进行包括:
若所述比较结果为所述邻居节点的初始核度值小于所述第一节点的初始核度值,重复所述对所述第一节点的初始核度值和所述邻居节点的初始核度值进行比较的步骤,得到比较结果;
根据所述比较结果更新所述邻居节点的核度值,对所述初始节点序列进行更新,得到更新后的当前节点序列和更新后的当前核度值。
4.根据权利要求1所述的方法,其特征在于,所述对所述初始节点序列进行更新包括:
当所述邻居节点集为空时,将所述第一节点从所述初始节点序列中剔除,重新排列节点序列,得到更新后的当前节点序列。
5.根据权利要求1所述的方法,其特征在于,所述根据所述比较结果更新所述邻居节点的核度值,对所述初始节点序列进行更新,根据更新后得到的当前节点序列和更新后得到的当前核度值确定目标节点序列和目标核度值,包括:
根据所述比较结果对所述第一节点的邻居节点集中的各个邻居节点的核度值和相应的节点序列进行迭代更新;
当所述邻居节点集中的各个邻居节点均被迭代更新后,得到更新后的当前节点序列和更新后的当前核度值;
利用所述更新后得到的当前节点序列和更新后得到的当前核度值对下一层邻居节点进行迭代更新;
当所述多边图数据的各个节点均被迭代更新后,生成更新后的目标节点序列和更新后的目标核度值。
6.根据权利要求5所述的方法,其特征在于,所述生成更新后的目标节点序列和更新后的目标核度值,包括:
当所述多边图数据的所有节点均被迭代更新后,获取各个节点的当前位置;
根据所述各个节点的当前位置确定目标节点序列和当前核度值,将所述各个节点的当前核度值确定为更新后的目标核度值。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述方法还包括:
根据所述目标节点序列确定所述多边图数据中各个节点的节点核度值;
根据指标类型利用所述目标节点序列和所述节点核度值确定各个节点的目标核度指标值。
8.根据权利要求1所述的方法,其特征在于,所述网络攻击数据中包括至少一个网络节点,所述将所述网络攻击数据转换为对应的多边图数据包括:
对所述网络攻击数据进行关系特征提取,得到各个网络节点和各个网络节点之间的映射关系;
根据所述各个网络节点和相应的映射关系生成对应的多边图数据。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
根据所述目标节点序列和所述目标核度指标值提取各个网络节点的网络密度指标值和重要度指标值;
利用所述网络密度指标值和所述重要度指标值确定节点风险度,得到各个网络节点的风险度指标值。
10.一种网络攻击数据的关系分解装置,其特征在于,所述装置包括:
数据转换模块,用于获取网络攻击数据,将所述网络攻击数据转换为对应的多边图数据;所述多边图数据中包括节点,所述节点具有对应的邻居节点;
数据提取模块,用于获取所述多边图数据的节点度数,根据所述节点度数确定初始节点序列;
迭代更新模块,用于根据所述节点度数和所述初始节点序列确定所述节点的初始核度值和邻居节点的初始核度值;提取所述初始节点序列中的第一节点,获取所述第一节点的邻居节点集;当所述邻居节点集不为空时,对所述第一节点的初始核度值和所述邻居节点集中邻居节点的初始核度值进行比较,得到比较结果;根据所述比较结果更新所述邻居节点的核度值,对所述初始节点序列进行更新,根据更新后得到的当前节点序列和更新后得到的当前核度值确定目标节点序列和目标核度值;
确定模块,用于根据所述目标节点序列和所述目标核度值确定与所述网络攻击数据对应的各个节点的目标核度指标值。
11.根据权利要求10所述的装置,其特征在于,所述迭代更新模块,还用于:若所述比较结果为所述邻居节点的初始核度值大于所述第一节点的初始核度值,将所述第一节点从所述邻居节点的邻居节点集中剔除;将所述第一节点和所述邻居节点的核度值中的最大核度值更新为所述邻居节点的当前核度值;将所述第一节点从所述初始节点序列中剔除,重新排列节点序列,得到更新后的当前节点序列和更新后的当前核度值。
12.根据权利要求10所述的装置,其特征在于,所述迭代更新模块,还用于:若所述比较结果为所述邻居节点的初始核度值小于所述第一节点的初始核度值,重复所述对所述第一节点的初始核度值和所述邻居节点的初始核度值进行比较的步骤,得到比较结果;根据所述比较结果更新所述邻居节点的核度值,对所述初始节点序列进行更新,得到更新后的当前节点序列和更新后的当前核度值。
13.根据权利要求10所述的装置,其特征在于,所述迭代更新模块,还用于:当所述邻居节点集为空时,将所述第一节点从所述初始节点序列中剔除,重新排列节点序列,得到更新后的当前节点序列。
14.根据权利要求10所述的装置,其特征在于,所述迭代更新模块,还用于:根据所述比较结果对所述第一节点的邻居节点集中的各个邻居节点的核度值和相应的节点序列进行迭代更新;当所述邻居节点集中的各个邻居节点均被迭代更新后,得到更新后的当前节点序列和更新后的当前核度值;利用所述更新后得到的当前节点序列和更新后得到的当前核度值对下一层邻居节点进行迭代更新;当所述多边图数据的各个节点均被迭代更新后,生成更新后的目标节点序列和更新后的目标核度值。
15.根据权利要求14所述的装置,其特征在于,所述迭代更新模块,还用于:当所述多边图数据的所有节点均被迭代更新后,获取各个节点的当前位置;根据所述各个节点的当前位置确定目标节点序列和当前核度值,将所述各个节点的当前核度值确定为更新后的目标核度值。
16.根据权利要求10至15中任一项所述的装置,其特征在于,所述确定模块还用于:根据所述目标节点序列确定所述多边图数据中各个节点的节点核度值;根据指标类型利用所述目标节点序列和所述节点核度值确定各个节点的目标核度指标值。
17.根据权利要求10所述的装置,其特征在于,所述网络攻击数据中包括至少一个网络节点,所述数据转换模块还用于:对所述网络攻击数据进行关系特征提取,得到各个网络节点和各个网络节点之间的映射关系;根据所述各个网络节点和相应的映射关系生成对应的多边图数据。
18.根据权利要求17所述的装置,其特征在于,所述装置还包括:节点风险度计算模块,用于:根据所述目标节点序列和所述目标核度指标值提取各个网络节点的网络密度指标值和重要度指标值;利用所述网络密度指标值和所述重要度指标值确定节点风险度,得到各个网络节点的风险度指标值。
19.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至9中任一项所述方法的步骤。
20.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至9中任一项所述方法的步骤。
CN202010088795.1A 2020-02-12 2020-02-12 网络攻击数据的关系分解方法、装置和计算机设备 Active CN113259302B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010088795.1A CN113259302B (zh) 2020-02-12 2020-02-12 网络攻击数据的关系分解方法、装置和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010088795.1A CN113259302B (zh) 2020-02-12 2020-02-12 网络攻击数据的关系分解方法、装置和计算机设备

Publications (2)

Publication Number Publication Date
CN113259302A CN113259302A (zh) 2021-08-13
CN113259302B true CN113259302B (zh) 2023-06-27

Family

ID=77219706

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010088795.1A Active CN113259302B (zh) 2020-02-12 2020-02-12 网络攻击数据的关系分解方法、装置和计算机设备

Country Status (1)

Country Link
CN (1) CN113259302B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101252440A (zh) * 2008-04-02 2008-08-27 电子科技大学 基于固有子序列模式分解的网络入侵检测方法
CN104348652A (zh) * 2013-08-06 2015-02-11 南京理工大学常熟研究院有限公司 基于关联分析的系统安全评估方法和装置
CN106445685A (zh) * 2016-09-21 2017-02-22 华中科技大学 一种高效的分布式大规模动态图k核维护方法
CN109359115A (zh) * 2018-10-25 2019-02-19 中国互联网络信息中心 基于图数据库的分布式存储方法、装置及系统
US10447710B1 (en) * 2014-06-03 2019-10-15 Cryptonite, LLC Self-shielding dynamic network architecture
CN110677433A (zh) * 2019-10-23 2020-01-10 杭州安恒信息技术股份有限公司 一种网络攻击预测的方法、系统、设备及可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170244733A1 (en) * 2016-02-18 2017-08-24 Nec Laboratories America, Inc. Intrusion detection using efficient system dependency analysis
US10942500B2 (en) * 2018-06-11 2021-03-09 Purdue Research Foundation System architecture and method of processing data therein

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101252440A (zh) * 2008-04-02 2008-08-27 电子科技大学 基于固有子序列模式分解的网络入侵检测方法
CN104348652A (zh) * 2013-08-06 2015-02-11 南京理工大学常熟研究院有限公司 基于关联分析的系统安全评估方法和装置
US10447710B1 (en) * 2014-06-03 2019-10-15 Cryptonite, LLC Self-shielding dynamic network architecture
CN106445685A (zh) * 2016-09-21 2017-02-22 华中科技大学 一种高效的分布式大规模动态图k核维护方法
CN109359115A (zh) * 2018-10-25 2019-02-19 中国互联网络信息中心 基于图数据库的分布式存储方法、装置及系统
CN110677433A (zh) * 2019-10-23 2020-01-10 杭州安恒信息技术股份有限公司 一种网络攻击预测的方法、系统、设备及可读存储介质

Also Published As

Publication number Publication date
CN113259302A (zh) 2021-08-13

Similar Documents

Publication Publication Date Title
CN112925940B (zh) 一种相似图像检索方法、装置、计算机设备及存储介质
CN109325118B (zh) 不平衡样本数据预处理方法、装置和计算机设备
CN109948276B (zh) 失效分析方法、装置、设备和存储介质
CN111432003B (zh) 应用于云计算的数据推送方法、装置、电子设备及系统
CN113259302B (zh) 网络攻击数据的关系分解方法、装置和计算机设备
Mogensen Causal screening in dynamical systems
JP2012043437A (ja) 画像処理方法及び画像処理装置
CN114510592A (zh) 图像分类方法、装置、电子设备及存储介质
CN116613892B (zh) 设备增量拓扑分析方法、装置、计算机设备和存储介质
CN116738429B (zh) 基于生成对抗的目标检测引擎优化方法、装置及系统
CN117421565B (zh) 基于马尔可夫毯的装备评估方法、装置和计算机设备
CN117253209B (zh) 自动驾驶点云检测方法、装置、通信设备及存储介质
CN116682069B (zh) 基于人工智能的船闸混凝土修复决策方法及系统
CN113704565B (zh) 基于全局区间误差的学习型时空索引方法、装置及介质
CN113468179B (zh) 数据库的基数估算方法、装置、设备及存储介质
CN116824305A (zh) 应用于云计算的生态环境监测数据处理方法及系统
CN116049711A (zh) 高压直流输电系统故障检测方法、装置和计算机设备
CN116662824A (zh) 路网道路差异检测方法、装置、计算机设备及存储介质
CN118051506A (zh) 缺失流量数据补全方法、终端设备及存储介质
CN117992956A (zh) 恶意代码同源分析方法、装置、电子设备及可读存储介质
Rashid et al. Single Sequence Based Feature Engineering for Convolutional Neural Networks Towards RNA Contact Map Prediction
CN117094292A (zh) 表单文件的处理方法、装置、设备、存储介质及程序产品
CN116467466A (zh) 基于知识图谱的编码推荐方法、装置、设备及介质
CN114741621A (zh) 异源门址匹配方法、装置、计算机设备和存储介质
CN116932677A (zh) 地址信息匹配方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40050655

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant