一种网络协同攻击风暴源检测方法及装置与流程

本发明涉及网络安全
技术领域：
，具体而言，涉及一种网络协同攻击风暴源检测方法及装置。
背景技术：
：随着网络攻击技术和工具的发展演变，网络攻击方式不断朝着自动化、智能化、协同化方向发展，其中协同化网络攻击借助自身隐蔽性好、可靠性高等特征在黑客组织得到大范围的传播和应用。目前，绝大多数企业或机构已经实现传统服务模式到互联网服务模式的转变，面对多领域业务扩展、大量的用户群体和快速变化的网络环境，协同攻击因其协同关系复杂和协同节点众多，使传统的基于动态基线控制的检测方式无法适应现有安全运维环境。该种传统网络协同攻击风暴源检测方式存在如下缺陷：短时间的动态基线阈值不能排除风暴点行为相关性，易造成风暴特性误判；协同攻击风暴点的挖掘没有专业的技术体系，仅是传统的数量级统计方式；风暴点协作性判定尚未实现，只关注变化趋势，缺少对风暴本身产生原因的最终调查。技术实现要素：有鉴于此，本发明的目的在于提供一种网络协同攻击风暴源检测方法及装置。一方面，本发明较佳实施例提供一种网络协同攻击风暴源检测方法，该方法包括：对网络攻击事件集建立三维数据模型，并计算得到该三维数据模型的异常时间区间；获取所述异常时间区间的神经网络模型预测结果，以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量，得到该异常时间区间内的风暴时间区间；获取所述风暴时间区间内的所有网络攻击事件构成第一事件集，并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差，以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集；对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图，计算该频率分布图的偏度系数，并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集；分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数，根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集；以及判断该第四事件集中每一个网络攻击事件的周期性行为相关性，并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。另一方面，本发明较佳实施例提供一种网络协同攻击风暴源检测装置，该装置包括：异常时间区间计算模块，用于对网络攻击事件集建立三维数据模型，并计算得到该三维数据模型的异常时间区间；风暴区间获取模块，用于获取所述异常时间区间的神经网络模型预测结果，以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量，得到该异常时间区间内的风暴时间区间；标准差计算模块，用于获取所述风暴时间区间内的所有网络攻击事件构成第一事件集，并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差，以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集；偏度系数计算模块，用于对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图，计算该频率分布图的偏度系数，并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集；峰度系数计算模块，用于分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数，根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集；及风暴源获取模块，用于判断该第四事件集中每一个网络攻击事件的周期性行为相关性，并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。本发明较佳实施例提供的网络协同攻击风暴源检测方法及装置，结合神经网络模型预估和基于K阶矩的离散度分析、偏度分析及峰度分析排除行为相关性风暴源事件，与传统的基于动态基线的风暴源检测方法相比，具有更为精确合理的风暴源事件捕获特性，基于相同的特征数据库，具有分析维度多样化、对网络攻击事件的协同性分析深入、数据表达更直观的优势。附图说明为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。图1为本发明较佳实施例提供的数据处理设备的示意性结构框图；图2为本发明较佳实施例提供的网络协同攻击风暴源检测方法的流程图；图3为本发明较佳实施例提供的一种绝对事件数量分布矩阵的示意图；图4为本发明较佳实施例提供的一种示意性频率分布图；图5为本发明较佳实施例提供的网络协同攻击风暴源检测装置的功能模块框图。附图标记：数据处理设备100风暴区间获取模块420存储器200标准差计算模块430处理器300偏度系数计算模块440网络协同攻击风暴源检测装置400峰度系数计算模块450异常时间区间计算模块410风暴源获取模块460具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。如图1所示，是本较佳实施例提供的一种数据处理设备100的示意性结构框图。该数据处理设备100包括存储器200、处理器300以及网络协同攻击风暴源检测装置400。所述数据处理设备100可以是计算机或其他任意具有数据处理能力的计算设备。所述存储器200与处理器300之间直接或间接地电性连接，以实现数据的传输或交互。例如，可通过一条或多条通讯总线或信号线实现电性连接。所述网络协同攻击风暴源检测装置400包括至少一个可以软件或固件(firmware)的形式存储于所述存储器200中或固化在所述数据处理设备100的操作系统(operatingsystem，OS)中的软件功能模块。所述处理器300用于执行存储器200中存储的可执行模块，例如所述网络协同攻击风暴源检测装置400包括的软件功能模块或计算机程序。所述处理器300在接收到执行指令后，执行所述功能模块或程序，下述本发明任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器300中，或者由处理器300实现。请参阅图2，是本发明较佳实施例提供的网络协同攻击风暴源检测方法的流程图。下面将对图2所示的具体流程及步骤进行详细阐述。步骤S101，对网络攻击事件集建立三维数据模型，并计算得到该三维数据模型的异常时间区间。首先，对用户系统的网络日志进行关联分析得到网络攻击事件集。然后对该网络攻击事件集建立三维数据模型(X轴：N天，Y轴：24小时，Z轴：事件数量)，并计算该三维数据模型的峰值及峰间距比例，得到异常时间区间。具体计算过程为，根据事件数量区间段分布比例获取所述三维数据模型中的可疑峰值节点，并计算该峰值节点其余数据节点X、Y轴斜率，判断是否为异常时间区间。步骤S103，获取所述异常时间区间的神经网络模型预测结果，以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量，得到该异常时间区间内的风暴时间区间。根据行为规则对所述网络攻击事件集进行周期性行为特征分析，并根据分析结果提取数据样本集合以建立所述神经网络模型。所述行为规则依托于用户系统的业务划分、工作模式、网络环境和设备配置策略。对该神经网络模型的特征数据进行长期机器学习和样本训练，以预测当前异常时间区间内网络攻击事件的数量。若所述神经网络模型的预测值与该异常时间区间的某一子区间内的网络攻击事件的数量之差在预设偏差范围内，则认为该子区间为正常时间区间，即不存在风暴源威胁，否则，则认为该子区间为风暴时间区间。步骤S105，获取所述风暴时间区间内的所有网络攻击事件构成第一事件集，并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差，以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集。对所述第一事件集内的每一个网络攻击事件，根据X轴(历史相似时间节点)及Y轴(24小时)，分别构建实时事件数量分布矩阵，并对该实时事件数量分布矩阵进行3x3窗口中值滤波获得该实时事件数量分布矩阵的基线矩阵。利用所述实时事件数量分布矩阵及基线矩阵，计算实时事件数量偏差，并根据公式：绝对数量＝|偏差|+基线数量得出绝对事件数量分布矩阵，以将正、反向事件风暴进行规整统一。得到绝对事件数量分布矩阵后，计算该绝对事件数量分布矩阵的二阶中心矩，以得到矩阵数据的横向、纵向标准差。标准差表示数据的离散程度。如图3所示，横向为24小时网络攻击事件的数量趋势，其离散度表示当前网络攻击事件的实时数量分布状态，离散度越高表示数据波动性越大，存在风暴源事件的可能性越大；纵向(历史相似时间节点)离散度表示当前网络攻击事件的历史数量分布状态，离散度越高表示事件不存在周期性行为相似特性的可能性越大。通过横纵数据离散度关联分析，排除周期性行为相似性，提取与总体风暴时间区间重合的风暴源事件集合，即根据所述绝对事件数量分布矩阵的横、纵向标准差的计算结果，从所述第一事件集中提取存在周期性行为相似特性的网络攻击事件构成第二事件集。步骤S107，对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图，计算该频率分布图的偏度系数，并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集。将所述风暴时间区间所在当天的24小时按照预设周期频率，如可以是15分钟，但不限于此，划分为若干时间段，获取每一个时间段内的网络攻击事件数量的发生次数，形成频率分布图。例如，于某一具体实施方式中，得到如图4所示的频率分布图，该频率分布图中单一时间段内事件发生次数(事件频率)在600～800及800～1000的时间段占总时间段的比例相同，为34.14％，时间频率在400～600及1000～1200的时间段占总时间段的比例相同，为13.59％，其余部分可同理推得。计算所述频率分布图的三阶中心矩，以得到该频率分布图的偏度系数。偏度系数为0表示所述频率分布图为正太分布，低频和高频数据较少，数量偏差较小，数据整体趋势较为平稳；当偏度系数越小(<0负偏)数据集中在低频部分，存在正向风暴(事件数量突发性增加)；当偏度系数越大(>0正偏)数据集中在高频部分，存在逆向风暴(事件数量突发性较少)。根据所述偏度系数的计算结果从所述第二事件集中提取频率分布图为正偏或负偏的网络攻击事件构成第三事件集。步骤S109，分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数，根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集。计算第三事件集中每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的四阶中心矩，得到峰度系数。峰度系数用来度量数据在中心聚集程度，在正态分布情况下，峰度系数值等于3。峰度系数大于3时表明数据在中心的聚集程度较高，有比正态分布更短的尾部；峰度系数小于3时表明数据在中心的聚集程度较低，有比正态分布更长的尾部。实时事件数量趋势图的峰度系数越大表示对应的网络攻击事件发生的时间越短。频率分布图的峰度系数越大表明对应的网络攻击事件的风暴强度越大。根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集。步骤S111，判断该第四事件集中每一个网络攻击事件的周期性行为相关性，并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。根据第四事件集中的每一个网络攻击事件对应的单事件神经网络模型及该网络攻击事件在所述风暴时间区间对应的历史相似时间节点处的事件发生数量，采用如下公式计算所述单事件神经网络模型的预测值与真实的事件发生数量的标准偏差，：St=1n-1Σi=0n-1(yt-i-b)2]]>其中，St为标准偏差值，b为单事件神经网络模型的预测值，yt为网络攻击事件在当前时间节点的事件发生数量，yt-1,yt-2....yt-n+1为网络攻击事件在历史相似时间节点的事件发生数量。利用所述标准偏差确定周期性行为相关性偏差区间，即低/中/高风暴时间区间，并计算所述网络攻击事件在风暴时间区间内的真实事件发生数量与所述单事件神经网络模型的预测值之间的偏差值。若所述偏差值落在所述周期性行为相关性偏差区间内，则该网络攻击事件具有周期性行为相关性。若所述偏差值未落在所述周期性行为相关性偏差区间内，则该网络攻击事件不具有周期性行为相关性。最后，根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。请参阅图5，是本发明较佳实施例提供的网络协同攻击风暴源检测装置400的功能模块框图。所述网络协同攻击风暴源检测装置400包括异常时间区间计算模块410、风暴区间获取模块420、标准差计算模块430、偏度系数计算模块440、峰度系数计算模块450以及风暴源获取模块460。下面将对图5所示的具体功能模块进行详细描述。所述异常时间区间计算模块410，用于对网络攻击事件集建立三维数据模型，并计算得到该三维数据模型的异常时间区间。具体地，该异常时间区间计算模块410可用于执行图2所示的步骤S101，具体的操作方法可参照步骤S101的详细描述。所述风暴区间获取模块420，用于获取所述异常时间区间的神经网络模型预测结果，以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量，得到该异常时间区间内的风暴时间区间。具体地，该风暴区间获取模块420可用于执行图2所示的步骤S103，具体的操作方法可参照步骤S103的详细描述。标准差计算模块430，用于获取所述风暴时间区间内的所有网络攻击事件构成第一事件集，并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差，以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集。具体地，该标准差计算模块430可用于执行图2所示的步骤S105，具体的操作方法可参照步骤S105的详细描述。偏度系数计算模块440，用于对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图，计算该频率分布图的偏度系数，并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集。具体地，该偏度系数计算模块440可用于执行图2所示的步骤S107，具体的操作方法可参照步骤S107的详细描述。峰度系数计算模块450，用于分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数，根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集。具体地，该峰度系数计算模块450可用于执行图2所示的步骤S109，具体的操作方法可参照步骤S109的详细描述。风暴源获取模块460，用于判断该第四事件集中每一个网络攻击事件的周期性行为相关性，并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。具体地，该风暴源获取模块460可用于执行图2所示的步骤S111，具体的操作方法可参照步骤S111的详细描述。本发明实施例提供的网络协同攻击风暴源检测方法及装置，结合神经网络模型预估和基于K阶矩的离散度分析、偏度分析及峰度分析排除行为相关性风暴源事件，与传统的基于动态基线的风暴源检测方法相比，具有更为精确合理的风暴源事件捕获特性，基于相同的特征数据库，具有分析维度多样化、对网络攻击事件的协同性分析深入、数据表达更直观的优势。值得注意的是，本发明还可以进行进一步的扩展，即结合资产攻击模型和资产关系网分析区间风暴事件的协同和抑制关系，归纳出事件风暴发生威胁共同体，继而将风暴源和风暴警区纳入到检测和分析范围中。在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。当前第1页1 2 3