CN115550072B - 网络攻击监控预警方法及系统 - Google Patents

网络攻击监控预警方法及系统 Download PDF

Info

Publication number
CN115550072B
CN115550072B CN202211512639.9A CN202211512639A CN115550072B CN 115550072 B CN115550072 B CN 115550072B CN 202211512639 A CN202211512639 A CN 202211512639A CN 115550072 B CN115550072 B CN 115550072B
Authority
CN
China
Prior art keywords
attack
time
defense
matrix
time difference
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211512639.9A
Other languages
English (en)
Other versions
CN115550072A (zh
Inventor
孙科达
范海东
解剑波
应依依
王正位
魏亚洁
国毓芯
赵祥廷
章亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Ponshine Information Technology Co ltd
Zhejiang Energy Group Co ltd
Original Assignee
Zhejiang Ponshine Information Technology Co ltd
Zhejiang Energy Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Ponshine Information Technology Co ltd, Zhejiang Energy Group Co ltd filed Critical Zhejiang Ponshine Information Technology Co ltd
Priority to CN202211512639.9A priority Critical patent/CN115550072B/zh
Publication of CN115550072A publication Critical patent/CN115550072A/zh
Application granted granted Critical
Publication of CN115550072B publication Critical patent/CN115550072B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及网络攻击监控预警方法及系统,基于网络攻击的历史日志信息,根据防御端IP和攻击端IP对历史日志信息进行分组,得到防御端日志数据和攻击端日志数据;之后对防御端日志数据和攻击端日志数据分别构建IP时序矩阵和IP时间差矩阵,基于IP时间差矩阵,获取各待预警IP和当前时刻之前邻近的数个时间差,形成第一预测数据集;对第一预测数据集分布进行Holt‑Winters和ARIMA预测,并利用熵权法对两种预测的时间差进行权重划分,得到目标时间差;最后根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。本发明实现防御端和攻击端对攻击时间的双向预警。

Description

网络攻击监控预警方法及系统
技术领域
本发明属于网络安全技术领域,具体涉及网络攻击监控预警方法及系统。
背景技术
随着计算机技术的飞速发展,信息网络已经成为经济发展的重要基础。随之而来的是信息网络安全问题,例如网络攻击和计算机病毒构成的威胁,造成信息泄露、信息窃取、数据篡改、数据删除或增添等。
现有技术中,针对网络攻击,在网络设备终端进行日志收集,但是由于只有在网络攻击发生时,才会产生相应的日志。因此,如何利用历史日志信息对可能发生的网络攻击进行预警是本领域亟需解决的难题。
发明内容
基于现有技术中存在的上述不足,本发明的目的是基于历史日志信息,提供网络攻击监控预警方法及系统。
为了达到上述发明目的,本发明采用以下技术方案:
网络攻击监控预警方法,包括以下步骤:
S1、获取网络攻击的历史日志信息,历史日志信息包括防御端IP、攻击端IP和攻击时间;
S2、根据防御端IP和攻击端IP对历史日志信息进行分组,得到防御端日志数据和攻击端日志数据;
S3、分别对防御端日志数据和攻击端日志数据进行数据特征聚合,并对数据特征聚合后得到的数据特征集进行层次聚类,得到防御端聚类簇和攻击端聚类簇;
S4、将防御端聚类簇内的日志数据以IP为单位进行聚合处理,得到防御端IP及其对应的攻击时间构成的第一IP时序矩阵,再根据第一IP时序矩阵转换得到防御端IP及其对应的相邻攻击时间的差值构成的第一IP时间差矩阵;
将攻击端聚类簇内的日志数据以IP为单位进行聚合处理,得到攻击端IP及其对应的攻击时间构成的第二IP时序矩阵,再根据第二IP时序矩阵转换得到攻击端IP及其对应的相邻攻击时间的时间差构成的第二IP时间差矩阵;
S5、基于第一IP时间差矩阵、第二IP时间差矩阵,获取各待预警IP和当前时刻之前邻近的数个时间差,形成第一预测数据集;
S6、对第一预测数据集进行Holt-Winters预测,得到各待预警IP下一时刻攻击或被攻击的第一时间差;
对第一预测数据集进行ARIMA预测,得到各待预警IP下一时刻攻击或被攻击的第二时间差;
S7、利用熵权法对第一时间差和第二时间差进行权重划分,以得到目标时间差;并根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。
作为优选方案,所述步骤S3中,对防御端日志数据进行数据特征聚合得到的数据特征包括防御端IP、全天被攻击频次、平均被攻击时间间隔、攻击类型、连续被攻击跨越小时窗数量、小时窗内最大被攻击频次;
对攻击端日志数据进行数据特征聚合得到的数据特征包括攻击端IP、全天攻击频次、平均攻击时间间隔、攻击类型、连续攻击跨越小时窗数量、小时窗内最大攻击频次。
作为优选方案,所述步骤S4中,第一IP时序矩阵或第二IP时序矩阵为:
Figure GDA0004054850280000021
其中,IPi为第i个防御端IP或攻击端IP,i取值为1~m之间的整数;
tij为第i个防御端IP的第j次被攻击的时刻或第i个攻击端IP的第j次攻击的时刻,j取值为1~n之间的整数。
作为优选方案,所述步骤S4中,第一IP时间差矩阵或第二IP时间差矩阵为:
Figure GDA0004054850280000031
其中,cij=ti(j+1)-tij
作为优选方案,所述步骤S5中,第一预测数据集的矩阵形式为:
Figure GDA0004054850280000032
其中,
Figure GDA0004054850280000033
为第k个待预警IP,k取值为1~K之间的整数;
Figure GDA0004054850280000034
为第k个待预警IP的当前时刻之前邻近的第l个时间差,l取值为1~L之间的整数。
作为优选方案,网络攻击监控预警方法,还包括以下步骤:
S40、基于第一IP时序矩阵,将防御端聚类簇内的日志数据按分钟划分为24*60个时间窗,统计每个时间窗内被攻击的次数,得到被攻击次数时间窗矩阵;
基于第二IP时序矩阵,将攻击端聚类簇内的日志数据按分钟划分为24*60个时间窗,统计每个时间窗内攻击的次数,得到攻击次数时间窗矩阵;
S50、获取各待预警IP和当前时刻之前邻近的数个时间窗,形成第二预测数据集;
S60、将第二预测数据集输入GRU网络,并将GRU网络的输出作为全连接神经网络的输入,通过全连接神经网络的输出得到当前时刻之后的数个时间窗的次数预警。
作为优选方案,所述步骤S40中,被攻击次数时间窗矩阵或攻击次数时间窗矩阵为:
Figure GDA0004054850280000041
其中,IPi为第i个防御端IP或攻击端IP,i取值为1~m之间的整数;piq为第i个防御端IP的第q个时间窗内被攻击的次数或第i个攻击端IP的第q个时间窗内的攻击次数,q取值为1~24*60之间的整数。
作为优选方案,所述步骤S50中,第二预测数据集的矩阵形式为:
Figure GDA0004054850280000042
其中,
Figure GDA0004054850280000043
为第k个待预警IP,k取值为1~K之间的整数;
Figure GDA0004054850280000044
为第k个待预警IP的当前时刻之前邻近的第r个时间窗内被攻击次数或攻击次数,r取值为1~R之间的整数。
作为优选方案,所述步骤S60之后,还包括:
对当前时刻之后的数个时间窗的次数预警进行求和,得到未来目标时间段内的攻击次数或被攻击次数。
本发明还提供网络攻击监控预警系统,应用如上任一项方案所述的网络攻击监控预警方法,所述网络攻击监控预警系统包括:
获取模块,用于获取网络攻击的历史日志信息,历史日志信息包括防御端IP、攻击端IP和攻击时间;
分组模块,用于根据防御端IP和攻击端IP对历史日志信息进行分组,得到防御端日志数据和攻击端日志数据;
数据处理模块,用于分别对防御端日志数据和攻击端日志数据进行数据特征聚合,并对数据特征聚合后得到的数据特征集进行层次聚类,得到防御端聚类簇和攻击端聚类簇;
矩阵构建模块,用于将防御端聚类簇内的日志数据以IP为单位进行聚合处理,得到防御端IP及其对应的攻击时间构成的第一IP时序矩阵,再根据第一IP时序矩阵转换得到防御端IP及其对应的相邻攻击时间的差值构成的第一IP时间差矩阵;还用于将攻击端聚类簇内的日志数据以IP为单位进行聚合处理,得到攻击端IP及其对应的攻击时间构成的第二IP时序矩阵,再根据第二IP时序矩阵转换得到攻击端IP及其对应的相邻攻击时间的时间差构成的第二IP时间差矩阵;还用于基于第一IP时间差矩阵、第二IP时间差矩阵,获取各待预警IP和当前时刻之前邻近的数个时间差,形成第一预测数据集;
预测模块,用于对第一预测数据集进行Holt-Winters预测,得到各待预警IP下一时刻攻击或被攻击的第一时间差;还用于对第一预测数据集进行ARIMA预测,得到各待预警IP下一时刻攻击或被攻击的第二时间差;
权重划分模块,用于利用熵权法对第一时间差和第二时间差进行权重划分,以得到目标时间差;
预警模块,用于根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。
本发明与现有技术相比,有益效果是:
本发明的网络攻击监控预警方法及系统,基于网络攻击的历史日志信息,利用Holt-Winters和ARIMA分别进行时间差预测,并利用熵权法进行权重划分,得到目标时间差;最后根据当前时刻和目标时间差得到下一时刻攻击或被攻击的目标时刻,实现攻击端和防御端的双向预警。
附图说明
图1是本发明实施例1的网络攻击监控预警方法的原理示意图;
图2是本发明实施例1的GRU连接DNN的网络构架图;
图3是本发明实施例1的网络攻击监控预警系统的构架图。
具体实施方式
为了更清楚地说明本发明实施例,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
实施例1:
如图1所示,本实施例的网络攻击监控预警方法,包括以下步骤:
S1、获取网络攻击的历史日志信息(即历史日志信息输入),历史日志信息包括防御端IP、攻击端IP、攻击时间、攻击类型等。
具体地,通过组织和个人分别自主提交的方式,收集安全监控设备防御端攻击信息距离当前时刻向前推进的24小时的历史日志信息;接着进行日志分组聚类标记。
S2、根据防御端IP和攻击端IP对历史日志信息进行分组,得到防御端日志数据和攻击端日志数据。
S3、分别对防御端日志数据和攻击端日志数据进行数据特征聚合,并对数据特征聚合后得到的数据特征集进行层次聚类,得到防御端聚类簇和攻击端聚类簇。
具体地,分别对防御端日志数据和攻击端日志数据进行常规数据标准化清洗处理,在保证数据完整性的基础上对数据特征进行聚合,形成新的数据特征。对于防御端日志数据,其聚合形成的新的数据特征包括:防御端IP、全天被攻击频次、平均被攻击时间间隔、攻击类型、连续被攻击跨越小时窗数量、小时窗内最大被攻击频次等;对于攻击端日志数据,其聚合形成的新的数据特征包括:攻击端IP、全天攻击频次、平均攻击时间间隔、攻击类型、连续攻击跨越小时窗数量、小时窗内最大攻击频次等。其中,小时窗为按小时切分的时间段。
上述数据特征聚合处理的手段主要为统计分析及统计计算的方式,形成新的数据特征,如通过统计攻击次数累加求和得到聚合新特征全天被攻击频次和全天攻击频次;通过每次攻击时间差取均值得到聚合新特征平均攻击时间间隔;通过阈值筛选连续攻击端统计跨越小时窗数量得到聚合新特征连续攻击跨越小时窗数量和连续被攻击跨越小时窗数量;通过阈值筛选计算得到聚合新特征小时窗内最大攻击频次和小时窗内最大被攻击频次等。
本实施例的层次聚类采用现有的层次聚类分析HCA,层次聚类是通过计算不同类别数据点间的相似度来创建一棵有层次的嵌套聚类树,不同类别的原始数据点是树的最低层,树的顶层是一个聚类的根节点。层次聚类的过程,包括:
(1)、首先将每个数据点作为一个单个类,然后根据选择的度量方法计算两聚类之间的距离;
(2)、对所有数据点中最为相似的两个数据点进行组合,形成具有最小平均连接的组;
(3)、重复迭代步骤(2)直到只有一个包含所有数据点的聚类为止。
聚类K值不宜过大,根据轮廓系数(Silhouette Coefficient,简称SC)和CH系数(Calinski-Harabasz)选择最优K值,并通过每簇内数据描述性统计信息进行规则标记,标记类的应用解释如:簇内攻击类型相近,簇内攻击频次相近等。具体的层次聚类分析HCA可以参考现有技术,在此不赘述。
S4、将防御端聚类簇内的日志数据以IP为单位进行聚合处理,得到防御端IP及其对应的攻击时间构成的第一IP时序矩阵,再根据第一IP时序矩阵转换得到防御端IP及其对应的相邻攻击时间的差值构成的第一IP时间差矩阵;
将攻击端聚类簇内的日志数据以IP为单位进行聚合处理,得到攻击端IP及其对应的攻击时间构成的第二IP时序矩阵,再根据第二IP时序矩阵转换得到攻击端IP及其对应的相邻攻击时间的时间差构成的第二IP时间差矩阵。
具体地,本实施例对防御端聚类簇和攻击端聚类簇分别进行处理,得到的第一IP时序矩阵或第二IP时序矩阵为:
Figure GDA0004054850280000081
其中,IPi为第i个防御端IP或攻击端IP,i取值为1~m之间的整数;
tij为第i个防御端IP的第j次被攻击的时刻或第i个攻击端IP的第j次攻击的时刻,j取值为1~n之间的整数。
接着进行矩阵转换,得到第一IP时间差矩阵或第二IP时间差矩阵为:
Figure GDA0004054850280000082
其中,cij=ti(j+1)-tij
S5、基于第一IP时间差矩阵、第二IP时间差矩阵,获取各待预警IP和当前时刻之前邻近的数个时间差(例如60个),形成第一预测数据集。
具体地,第一预测数据集的矩阵形式为:
Figure GDA0004054850280000083
其中,
Figure GDA0004054850280000084
为第k个待预警IP,k取值为1~K之间的整数;待预警IP对于防御端和攻击端是分别处理的。
Figure GDA0004054850280000085
为第k个待预警IP的当前时刻之前邻近的第l个时间差,l取值为1~L之间的整数。
S6、对第一预测数据集进行Holt-Winters预测(三次指数平滑法),得到各待预警IP下一时刻攻击或被攻击的第一时间差;Holt-Winters采用对各期观测值依时间顺序进行加权平均做为预测值,表现出历史数据未来值的影响随增长而递减的特征。
对第一预测数据集进行ARIMA预测,得到各待预警IP下一时刻攻击或被攻击的第二时间差。ARIMA算法又叫差分自回归移动平均算法,该算法运算原理是将非平稳时间序列转换成平稳时间序列,然后将因变量仅对它的滞后值以及随机误差项的现值和滞后值进行回顾所建立的模型。
上述的Holt-Winters和ARIMA的具体预测原理可参考现有技术,在此不赘述。
S7、利用熵权法对第一时间差和第二时间差进行权重划分,以得到目标时间差;并根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。
具体地,熵权法是一种客观赋权方法,在具体使用过程中,根据各指标的数据的分散程度,利用信息熵计算出各指标的熵权,再根据各指标对熵权进行一定的修正,从而得到较为客观的指标权重。
假设由Holt-Winters预测得到Y1的权重为W1,由ARIMA预测得到Y2的权重为W2,最终预测结果Y=Y1*W1+Y2*W2,即最终预测结果Y为下一次受攻击或发起攻击与当前时刻的时间间隔。
由此可得,防御端下一时刻被攻击的时间预测和攻击端下一时刻发起攻击的时间预测,从而实现双向预警。
另外,本实施例的网络攻击监控预警方法,还包括以下步骤:
S40、基于第一IP时序矩阵,将防御端聚类簇内的日志数据按分钟划分为24*60个时间窗,统计每个时间窗内被攻击的次数,得到被攻击次数时间窗矩阵;
基于第二IP时序矩阵,将攻击端聚类簇内的日志数据按分钟划分为24*60个时间窗,统计每个时间窗内攻击的次数,得到攻击次数时间窗矩阵。
具体地,日志数据按小时切分成24个小时窗,每个小时窗内包含60个分钟窗,共计24*60个时间窗,统计每个时间窗内被攻击和发起攻击的次数。故本实施例的被攻击次数时间窗矩阵或攻击次数时间窗矩阵为:
Figure GDA0004054850280000101
其中,IPi为第i个防御端IP或攻击端IP,i取值为1~m之间的整数;
piq为第i个防御端IP的第q个时间窗内被攻击的次数或第i个攻击端IP的第q个时间窗内的攻击次数,q取值为1~24*60之间的整数。
S50、获取各待预警IP和当前时刻之前邻近的数个时间窗(例如60个),形成第二预测数据集,第二预测数据集的矩阵形式为:
Figure GDA0004054850280000102
其中,
Figure GDA0004054850280000103
为第k个待预警IP,k取值为1~K之间的整数;
Figure GDA0004054850280000104
为第k个待预警IP的当前时刻之前邻近的第r个时间窗内被攻击次数或攻击次数,r取值为1~R之间的整数。
S60、将第二预测数据集输入GRU网络,并将GRU网络的输出作为全连接神经网络的输入,通过全连接神经网络的输出得到当前时刻之后的数个时间窗的次数预警。
GRU是一种门控循环神经网络,和LSTM长短期记忆神经网络类似都是循环神经网络的一种,通常用于时序数据的算法研究中。GRU神经网络的输入与输出与RNN是一样的,其内部包含重置门和更新门两大部件。GRU将LSTM中的输入门和遗忘门合二为一,称为更新门。LSTM有三个不同的门,参数较多,训练起来比较困难。GRU只含有两个门控结构,且在超参数全部调优的情况下,二者性能相当。GRU结构更为简单,更易实现。其中,GRU结构具体可参考现有技术,在此不赘述。
如图2所示,设GRU网络的输入初始数据维度为60,即input(60),经GRU网络迭代训练保证其输出维度为128,即out(128);接着将GRU网络输出结果输入到全连接神经网络DNN,初始输入维度为128,即input(128)共设置三层网络,输出维度为15,即out(15)。
第一层为线性Dense层,激活函数为Relu;输入特征维度128,输出特征维度64;
第二层为线性Dense层,激活函数为Relu;输入特征维度64,输出特征维度32;
第三层为线性Dense层,激活函数为softmax;输入特征维度32,输出特征维度15,即未来15个时间窗的次数预警预测。
本实施例采用随机梯度下降优化算法(简称SGD算法)进行训练全连接神经网络DNN模型,SGD算法的目标是找到使模型在训练数据集上的误差最小化的模型参数,在SGD算法中,执行每次迭代计算梯度仅使用单个样本,即batch大小为1;被选择用于迭代的样本被随机打乱,学习率设为learning_rate=0.01。SGD算法具体可参考现有技术,在此不赘述。
S70、对当前时刻之后的数个时间窗的次数预警进行求和,得到未来目标时间段内的攻击次数或被攻击次数。为了增加时间宽度提高预测准确率,对数个时间窗的次数预警进行累加求和,输出预测结果为未来目标时间段内的攻击次数或被攻击次数,例如下一个15分钟内发起攻击次数预测或被攻击次数预测。
由此可得,防御端未来目标时间段内的被攻击次数和攻击端未来目标时间段内发起攻击的次数,从而实现双向预警。
基于本实施例上述的网络攻击监控预警方法,对应地,如图3所示,本实施例还提供网络攻击监控预警系统,包括获取模块、分组模块、数据处理模块、矩阵构建模块、预测模块、权重划分模块和预警模块。
本实施例的获取模块用于获取网络攻击的历史日志信息,历史日志信息包括防御端IP、攻击端IP和攻击时间。
具体地,通过组织和个人分别自主提交的方式,收集安全监控设备防御端攻击信息距离当前时刻向前推进的24小时的历史日志信息。
本实施例的分组模块,用于根据防御端IP和攻击端IP对历史日志信息进行分组,得到防御端日志数据和攻击端日志数据;
本实施例的数据处理模块,用于分别对防御端日志数据和攻击端日志数据进行数据特征聚合,并对数据特征聚合后得到的数据特征集进行层次聚类,得到防御端聚类簇和攻击端聚类簇。
具体地,分别对防御端日志数据和攻击端日志数据进行常规数据标准化清洗处理,在保证数据完整性的基础上对数据特征进行聚合,形成新的数据特征。对于防御端日志数据,其聚合形成的新的数据特征包括:防御端IP、全天被攻击频次、平均被攻击时间间隔、攻击类型、连续被攻击跨越小时窗数量、小时窗内最大被攻击频次等;对于攻击端日志数据,其聚合形成的新的数据特征包括:攻击端IP、全天攻击频次、平均攻击时间间隔、攻击类型、连续攻击跨越小时窗数量、小时窗内最大攻击频次等。其中,小时窗为按小时切分的时间段。
上述数据特征聚合处理的手段主要为统计分析及统计计算的方式,形成新的数据特征,如通过统计攻击次数累加求和得到聚合新特征全天被攻击频次和全天攻击频次;通过每次攻击时间差取均值得到聚合新特征平均攻击时间间隔;通过阈值筛选连续攻击端统计跨越小时窗数量得到聚合新特征连续攻击跨越小时窗数量和连续被攻击跨越小时窗数量;通过阈值筛选计算得到聚合新特征小时窗内最大攻击频次和小时窗内最大被攻击频次等。
本实施例的层次聚类采用现有的层次聚类分析HCA,层次聚类是通过计算不同类别数据点间的相似度来创建一棵有层次的嵌套聚类树,不同类别的原始数据点是树的最低层,树的顶层是一个聚类的根节点。层次聚类的过程,包括:
(1)、首先将每个数据点作为一个单个类,然后根据选择的度量方法计算两聚类之间的距离;
(2)、对所有数据点中最为相似的两个数据点进行组合,形成具有最小平均连接的组;
(3)、重复迭代步骤(2)直到只有一个包含所有数据点的聚类为止。
聚类K值不宜过大,根据轮廓系数(Silhouette Coefficient,简称SC)和CH系数(Calinski-Harabasz)选择最优K值,并通过每簇内数据描述性统计信息进行规则标记,标记类的应用解释如:簇内攻击类型相近,簇内攻击频次相近等。具体的层次聚类分析HCA可以参考现有技术,在此不赘述。
本实施例的矩阵构建模块用于将防御端聚类簇内的日志数据以IP为单位进行聚合处理,得到防御端IP及其对应的攻击时间构成的第一IP时序矩阵,再根据第一IP时序矩阵转换得到防御端IP及其对应的相邻攻击时间的差值构成的第一IP时间差矩阵;还用于将攻击端聚类簇内的日志数据以IP为单位进行聚合处理,得到攻击端IP及其对应的攻击时间构成的第二IP时序矩阵,再根据第二IP时序矩阵转换得到攻击端IP及其对应的相邻攻击时间的时间差构成的第二IP时间差矩阵;还用于基于第一IP时间差矩阵、第二IP时间差矩阵,获取各待预警IP和当前时刻之前邻近的数个时间差,形成第一预测数据集。
具体地,本实施例对防御端聚类簇和攻击端聚类簇分别进行处理,得到的第一IP时序矩阵或第二IP时序矩阵为:
Figure GDA0004054850280000141
其中,IPi为第i个防御端IP或攻击端IP,i取值为1~m之间的整数;
tij为第i个防御端IP的第j次被攻击的时刻或第i个攻击端IP的第j次攻击的时刻,j取值为1~n之间的整数。
接着进行矩阵转换,得到第一IP时间差矩阵或第二IP时间差矩阵为:
Figure GDA0004054850280000142
其中,cij=ti(j+1)-tij
上述第一预测数据集的矩阵形式为:
Figure GDA0004054850280000143
其中,
Figure GDA0004054850280000144
为第k个待预警IP,k取值为1~K之间的整数;待预警IP对于防御端和攻击端是分别处理的。
Figure GDA0004054850280000145
为第k个待预警IP的当前时刻之前邻近的第l个时间差,l取值为1~L之间的整数。
本实施例的预测模块用于对第一预测数据集进行Holt-Winters预测,得到各待预警IP下一时刻攻击或被攻击的第一时间差;还用于对第一预测数据集进行ARIMA预测,得到各待预警IP下一时刻攻击或被攻击的第二时间差。
其中,Holt-Winters采用对各期观测值依时间顺序进行加权平均做为预测值,表现出历史数据未来值的影响随增长而递减的特征。ARIMA算法又叫差分自回归移动平均算法,该算法运算原理是将非平稳时间序列转换成平稳时间序列,然后将因变量仅对它的滞后值以及随机误差项的现值和滞后值进行回顾所建立的模型。上述的Holt-Winters和ARIMA的具体预测原理可参考现有技术,在此不赘述。
本实施例的权重划分模块用于利用熵权法对第一时间差和第二时间差进行权重划分,以得到目标时间差。
具体地,熵权法是一种客观赋权方法,在具体使用过程中,根据各指标的数据的分散程度,利用信息熵计算出各指标的熵权,再根据各指标对熵权进行一定的修正,从而得到较为客观的指标权重。
假设由Holt-Winters预测得到Y1的权重为W1,由ARIMA预测得到Y2的权重为W2,最终预测结果Y=Y1*W1+Y2*W2,即最终预测结果Y为下一次受攻击或发起攻击与当前时刻的时间间隔。
本实施例的预警模块用于根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。由此可得,防御端下一次被攻击的时间和攻击端下一次发起攻击的时间,从而实现双向预警。
另外,本实施例的矩阵构建模块用于基于第一IP时序矩阵,将防御端聚类簇内的日志数据按分钟划分为24*60个时间窗,统计每个时间窗内被攻击的次数,得到被攻击次数时间窗矩阵;还用于基于第二IP时序矩阵,将攻击端聚类簇内的日志数据按分钟划分为24*60个时间窗,统计每个时间窗内攻击的次数,得到攻击次数时间窗矩阵。
具体地,日志数据按小时切分成24个小时窗,每个小时窗内包含60个分钟窗,共计24*60个时间窗,统计每个时间窗内被攻击和发起攻击的次数。故本实施例的被攻击次数时间窗矩阵或攻击次数时间窗矩阵为:
Figure GDA0004054850280000161
其中,IPi为第i个防御端IP或攻击端IP,i取值为1~m之间的整数;
piq为第i个防御端IP的第q个时间窗内被攻击的次数或第i个攻击端IP的第q个时间窗内的攻击次数,q取值为1~24*60之间的整数。
本实施例的矩阵构建模块还用于根据各待预警IP和当前时刻之前邻近的数个时间窗(例如60个),形成第二预测数据集,第二预测数据集的矩阵形式为:
Figure GDA0004054850280000162
其中,
Figure GDA0004054850280000163
为第k个待预警IP,k取值为1~K之间的整数;
Figure GDA0004054850280000164
为第k个待预警IP的当前时刻之前邻近的第r个时间窗内被攻击次数或攻击次数,r取值为1~R之间的整数。
本实施例的预测模块还将第二预测数据集输入GRU网络,并将GRU网络的输出作为全连接神经网络的输入,通过全连接神经网络的输出得到当前时刻之后的数个时间窗的次数预警。
GRU是一种门控循环神经网络,和LSTM长短期记忆神经网络类似都是循环神经网络的一种,通常用于时序数据的算法研究中。GRU神经网络的输入与输出与RNN是一样的,其内部包含重置门和更新门两大部件。GRU将LSTM中的输入门和遗忘门合二为一,称为更新门。LSTM有三个不同的门,参数较多,训练起来比较困难。GRU只含有两个门控结构,且在超参数全部调优的情况下,二者性能相当。GRU结构更为简单,更易实现。其中,GRU结构具体可参考现有技术,在此不赘述。
如图2所示,设GRU网络的输入初始数据维度为60,即input(60),经GRU网络迭代训练保证其输出维度为128,即out(128);接着将GRU网络输出结果输入到全连接神经网络DNN,初始输入维度为128,即input(128)共设置三层网络,输出维度为15,即out(15)。
第一层为线性Dense层,激活函数为Relu;输入特征维度128,输出特征维度64;
第二层为线性Dense层,激活函数为Relu;输入特征维度64,输出特征维度32;
第三层为线性Dense层,激活函数为softmax;输入特征维度32,输出特征维度15,即未来15个时间窗的次数预警预测。
本实施例采用随机梯度下降优化算法(简称SGD算法)进行训练全连接神经网络DNN模型,SGD算法的目标是找到使模型在训练数据集上的误差最小化的模型参数,在SGD算法中,执行每次迭代计算梯度仅使用单个样本,即batch大小为1;被选择用于迭代的样本被随机打乱,学习率设为learning_rate=0.01。SGD算法具体可参考现有技术,在此不赘述。
本实施例的预警模块还用于对当前时刻之后的数个时间窗的次数预警进行求和,得到未来目标时间段内的攻击次数或被攻击次数。为了增加时间宽度提高预测准确率,对数个时间窗的次数预警进行累加求和,输出预测结果为未来目标时间段内的攻击次数或被攻击次数。
由此可得,防御端未来目标时间段内的被攻击次数和攻击端未来目标时间段内发起攻击的次数,从而实现双向预警。
实施例2:
本实施例的网络攻击监控预警方法与实施例1的不同之处在于:
仅保留防御端下一次被攻击的时间和攻击端下一次发起攻击的时间的预警,省略上述攻击次数的预警流程;简化预警流程,满足不同预警场景的需求;
相应地,本实施例的网络攻击监控预警系统与实施例1的不同之处在于:
省略各功能模块对应于攻击次数预警的功能,简化预警系统构架,满足不同预警场景的需求。
以上所述仅是对本发明的优选实施例及原理进行了详细说明,对本领域的普通技术人员而言,依据本发明提供的思想,在具体实施方式上会有改变之处,而这些改变也应视为本发明的保护范围。

Claims (10)

1.网络攻击监控预警方法,其特征在于,包括以下步骤:
S1、获取网络攻击的历史日志信息,历史日志信息包括防御端IP、攻击端IP和攻击时间;
S2、根据防御端IP和攻击端IP对历史日志信息进行分组,得到防御端日志数据和攻击端日志数据;
S3、分别对防御端日志数据和攻击端日志数据进行数据特征聚合,并对数据特征聚合后得到的数据特征集进行层次聚类,得到防御端聚类簇和攻击端聚类簇;
S4、将防御端聚类簇内的日志数据以IP为单位进行聚合处理,得到防御端IP及其对应的攻击时间构成的第一IP时序矩阵,再根据第一IP时序矩阵转换得到防御端IP及其对应的相邻攻击时间的差值构成的第一IP时间差矩阵;
将攻击端聚类簇内的日志数据以IP为单位进行聚合处理,得到攻击端IP及其对应的攻击时间构成的第二IP时序矩阵,再根据第二IP时序矩阵转换得到攻击端IP及其对应的相邻攻击时间的时间差构成的第二IP时间差矩阵;
S5、基于第一IP时间差矩阵、第二IP时间差矩阵,获取各待预警IP和当前时刻之前邻近的数个时间差,形成第一预测数据集;
S6、对第一预测数据集进行Holt-Winters预测,得到各待预警IP下一时刻攻击或被攻击的第一时间差;
对第一预测数据集进行ARIMA预测,得到各待预警IP下一时刻攻击或被攻击的第二时间差;
S7、利用熵权法对第一时间差和第二时间差进行权重划分,以得到目标时间差;并根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。
2.根据权利要求1所述的网络攻击监控预警方法,其特征在于,所述步骤S3中,对防御端日志数据进行数据特征聚合得到的数据特征包括防御端IP、全天被攻击频次、平均被攻击时间间隔、攻击类型、连续被攻击跨越小时窗数量、小时窗内最大被攻击频次;
对攻击端日志数据进行数据特征聚合得到的数据特征包括攻击端IP、全天攻击频次、平均攻击时间间隔、攻击类型、连续攻击跨越小时窗数量、小时窗内最大攻击频次。
3.根据权利要求1所述的网络攻击监控预警方法,其特征在于,所述步骤S4中,第一IP时序矩阵或第二IP时序矩阵为:
Figure FDA0004054850270000021
其中,IPi为第i个防御端IP或攻击端IP,i取值为1~m之间的整数,m为防御端IP或攻击端IP的总数量;
tij为第i个防御端IP的第j次被攻击的时刻或第i个攻击端IP的第j次攻击的时刻,j取值为1~n之间的整数,n为历史日志信息内被攻击或攻击的总次数。
4.根据权利要求3所述的网络攻击监控预警方法,其特征在于,所述步骤S4中,第一IP时间差矩阵或第二IP时间差矩阵为:
Figure FDA0004054850270000022
其中,cij=ti(j+1)-tij
5.根据权利要求4所述的网络攻击监控预警方法,其特征在于,所述步骤S5中,第一预测数据集的矩阵形式为:
Figure FDA0004054850270000023
其中,
Figure FDA0004054850270000031
为第k个待预警IP,k取值为1~K之间的整数,K为待预警IP的总数量;
Figure FDA0004054850270000032
为第k个待预警IP的当前时刻之前邻近的第l个时间差,l取值为1~L之间的整数,L为选取当前时刻之前邻近的时间差的个数。
6.根据权利要求1所述的网络攻击监控预警方法,其特征在于,还包括以下步骤:
S40、基于第一IP时序矩阵,将防御端聚类簇内的日志数据按分钟划分为24*60个时间窗,统计每个时间窗内被攻击的次数,得到被攻击次数时间窗矩阵;
基于第二IP时序矩阵,将攻击端聚类簇内的日志数据按分钟划分为24*60个时间窗,统计每个时间窗内攻击的次数,得到攻击次数时间窗矩阵;
S50、获取各待预警IP和当前时刻之前邻近的数个时间窗,形成第二预测数据集;
S60、将第二预测数据集输入GRU网络,并将GRU网络的输出作为全连接神经网络的输入,通过全连接神经网络的输出得到当前时刻之后的数个时间窗的次数预警。
7.根据权利要求6所述的网络攻击监控预警方法,其特征在于,所述步骤S40中,被攻击次数时间窗矩阵或攻击次数时间窗矩阵为:
Figure FDA0004054850270000033
其中,IPi为第i个防御端IP或攻击端IP,i取值为1~m之间的整数,m为防御端IP或攻击端IP的总数量;
piq为第i个防御端IP的第q个时间窗内被攻击的次数或第i个攻击端IP的第q个时间窗内的攻击次数,q取值为1~24*60之间的整数。
8.根据权利要求7所述的网络攻击监控预警方法,其特征在于,所述步骤S50中,第二预测数据集的矩阵形式为:
Figure FDA0004054850270000041
其中,
Figure FDA0004054850270000042
为第k个待预警IP,k取值为1~K之间的整数,K为待预警IP的总数量;
Figure FDA0004054850270000043
为第k个待预警IP的当前时刻之前邻近的第r个时间窗内被攻击次数或攻击次数,r取值为1~R之间的整数,R为选取当前时刻之前邻近的时间窗的个数。
9.根据权利要求6所述的网络攻击监控预警方法,其特征在于,所述步骤S60之后,还包括:
对当前时刻之后的数个时间窗的次数预警进行求和,得到未来目标时间段内的攻击次数或被攻击次数。
10.网络攻击监控预警系统,应用如权利要求1-9任一项所述的网络攻击监控预警方法,其特征在于,所述网络攻击监控预警系统包括:
获取模块,用于获取网络攻击的历史日志信息,历史日志信息包括防御端IP、攻击端IP和攻击时间;
分组模块,用于根据防御端IP和攻击端IP对历史日志信息进行分组,得到防御端日志数据和攻击端日志数据;
数据处理模块,用于分别对防御端日志数据和攻击端日志数据进行数据特征聚合,并对数据特征聚合后得到的数据特征集进行层次聚类,得到防御端聚类簇和攻击端聚类簇;
矩阵构建模块,用于将防御端聚类簇内的日志数据以IP为单位进行聚合处理,得到防御端IP及其对应的攻击时间构成的第一IP时序矩阵,再根据第一IP时序矩阵转换得到防御端IP及其对应的相邻攻击时间的差值构成的第一IP时间差矩阵;还用于将攻击端聚类簇内的日志数据以IP为单位进行聚合处理,得到攻击端IP及其对应的攻击时间构成的第二IP时序矩阵,再根据第二IP时序矩阵转换得到攻击端IP及其对应的相邻攻击时间的时间差构成的第二IP时间差矩阵;还用于基于第一IP时间差矩阵、第二IP时间差矩阵,获取各待预警IP和当前时刻之前邻近的数个时间差,形成第一预测数据集;
预测模块,用于对第一预测数据集进行Holt-Winters预测,得到各待预警IP下一时刻攻击或被攻击的第一时间差;还用于对第一预测数据集进行ARIMA预测,得到各待预警IP下一时刻攻击或被攻击的第二时间差;
权重划分模块,用于利用熵权法对第一时间差和第二时间差进行权重划分,以得到目标时间差;
预警模块,用于根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。
CN202211512639.9A 2022-11-30 2022-11-30 网络攻击监控预警方法及系统 Active CN115550072B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211512639.9A CN115550072B (zh) 2022-11-30 2022-11-30 网络攻击监控预警方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211512639.9A CN115550072B (zh) 2022-11-30 2022-11-30 网络攻击监控预警方法及系统

Publications (2)

Publication Number Publication Date
CN115550072A CN115550072A (zh) 2022-12-30
CN115550072B true CN115550072B (zh) 2023-03-17

Family

ID=84722013

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211512639.9A Active CN115550072B (zh) 2022-11-30 2022-11-30 网络攻击监控预警方法及系统

Country Status (1)

Country Link
CN (1) CN115550072B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116361728B (zh) * 2023-03-14 2024-01-23 南京航空航天大学 基于实时飞行数据的民航飞机系统级异常前兆识别方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111901296A (zh) * 2020-06-17 2020-11-06 深圳市金城保密技术有限公司 一种网络攻击行为的检测方法及检测系统
CN113098828A (zh) * 2019-12-23 2021-07-09 中国移动通信集团辽宁有限公司 网络安全报警方法及装置
CN114095270A (zh) * 2021-11-29 2022-02-25 北京天融信网络安全技术有限公司 一种网络攻击预测方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506482B (zh) * 2014-10-10 2018-09-11 香港理工大学 网络攻击检测方法及装置
US11552976B2 (en) * 2018-10-15 2023-01-10 Arizona Board Of Regents On Behalf Of Arizona State University Systems and methods for social network analysis on dark web forums to predict enterprise cyber incidents
CN110830504A (zh) * 2019-11-28 2020-02-21 华北电力科学研究院有限责任公司 一种网络入侵行为检测方法及系统
CN111475804B (zh) * 2020-03-05 2023-10-24 杭州未名信科科技有限公司 一种告警预测方法及系统
CN113592150A (zh) * 2021-07-04 2021-11-02 北京工业大学 基于lstm和攻击者信息的攻击阶段预测方法
CN115412314B (zh) * 2022-08-16 2023-04-14 国网河北省电力有限公司电力科学研究院 一种电力系统网络攻击预测系统及其预测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113098828A (zh) * 2019-12-23 2021-07-09 中国移动通信集团辽宁有限公司 网络安全报警方法及装置
CN111901296A (zh) * 2020-06-17 2020-11-06 深圳市金城保密技术有限公司 一种网络攻击行为的检测方法及检测系统
CN114095270A (zh) * 2021-11-29 2022-02-25 北京天融信网络安全技术有限公司 一种网络攻击预测方法及装置

Also Published As

Publication number Publication date
CN115550072A (zh) 2022-12-30

Similar Documents

Publication Publication Date Title
CN112669606B (zh) 利用动态时空图训练卷积神经网络的交通流预测方法
CN110392048A (zh) 基于ce-rbf的网络安全态势感知模型和方法
CN113378990B (zh) 基于深度学习的流量数据异常检测方法
CN110708318A (zh) 基于改进的径向基神经网络算法的网络异常流量预测方法
CN115550072B (zh) 网络攻击监控预警方法及系统
Tian et al. A network traffic prediction method based on IFS algorithm optimised LSSVM
Choukri et al. Abnormal network traffic detection using deep learning models in iot environment
CN116665483A (zh) 一种新的预测剩余停车位的方法
Vega-Oliveros et al. From spatio-temporal data to chronological networks: An application to wildfire analysis
Lu et al. An Ensemble Learning-Based Cyber-Attacks Detection Method of Cyber-Physical Power Systems
Putrada et al. Gru-mf: A novel appliance classification method for non-intrusive load monitoring data
Zhongda et al. Approach for time series prediction based on empirical mode decomposition and extreme learning machine
CN113722970B (zh) 一种光伏功率超短期在线预测方法
CN114006744B (zh) 一种基于lstm的电力监控系统网络安全态势预测方法及系统
CN116545733A (zh) 一种电网入侵检测方法及系统
CN116578858A (zh) 基于图神经网络的空压机故障预测与健康度评价方法及系统
CN116318925A (zh) 一种多cnn融合入侵检测方法、系统、介质、设备及终端
He Research on the key technology of network security based on machine learning
Liu et al. Data-Driven Prediction of Wind Turbine Blade Icing
Dorosh et al. Parallel deep neural network for detecting computer attacks in information telecommunication systems
Yao et al. Spatio-Temporal Hypergraph Neural ODE Network for Traffic Forecasting
Yuan et al. Neural network security situation prediction method based on attention-GRU
Song et al. An improved convolutional neural network-based approach for short-term wind speed forecast
Erokhin et al. The Dataset Features Selection for Detecting and Classifying Network Attacks
Wen et al. A multi-source feature temporal convolutional deep learning-based method for power grid icing prediction

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant