1.一种网络协同攻击风暴源检测方法,其特征在于,该方法包括:
对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间;
获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间;
获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集;
对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集;
分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集;及
判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。
2.根据权利要求1所述的网络协同攻击风暴源检测方法,其特征在于,对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间的步骤包括:
对用户系统的网络日志进行关联分析得到网络攻击事件集;及
对该网络攻击事件集建立三维数据模型,并计算该三维数据模型的峰值及峰间距比例,得到所述异常时间区间。
3.根据权利要求1所述的网络协同攻击风暴源检测方法,其特征在于,获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间的步骤包括:
根据行为规则对所述网络攻击事件集进行周期性行为特征分析,并根据分析结果提取数据样本集合以建立所述神经网络模型;及
根据该神经网络模型的预测结果及异常时间区间内的网络攻击事件数量,得到所述风暴时间区间。
4.根据权利要求1所述的网络协同攻击风暴源检测方法,其特征在于,获取所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的步骤包括:
对所述第一事件集内的每一个网络攻击事件分别构建实时事件数量分布矩阵;
利用中值滤波算法计算该实时事件数量分布矩阵的基线矩阵;
根据所述实时事件数量分布矩阵及基线矩阵计算对应的绝对事件数量分布矩阵。
5.根据权利要求1所述的网络协同攻击风暴源检测方法,其特征在于,判断所述第四事件集中每一个网络攻击事件的周期性行为相关性的步骤包括:
根据第四事件集中的每一个网络攻击事件对应的单事件神经网络模型及该网络攻击事件在所述风暴时间区间对应的历史相似时间节点处的事件发生数量,计算所述单事件神经网络模型的预测值与真实的事件发生数量的标准偏差,并利用所述标准偏差确定周期性行为相关性偏差区间;
计算所述网络攻击事件在风暴时间区间内的真实事件发生数量与所述单事件神经网络模型的预测值之间的偏差值;
若所述偏差值落在所述周期性行为相关性偏差区间内,则该网络攻击事件具有周期性行为相关性;
若所述偏差值未落在所述周期性行为相关性偏差区间内,则该网络攻击事件不具有周期性行为相关性。
6.一种网络协同攻击风暴源检测装置,其特征在于,该装置包括:
异常时间区间计算模块,用于对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间;
风暴区间获取模块,用于获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间;
标准差计算模块,用于获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集;
偏度系数计算模块,用于对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集;
峰度系数计算模块,用于分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集;及
风暴源获取模块,用于判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。
7.根据权利要求6所述的网络协同攻击风暴源检测装置,其特征在于,所述异常时间区间计算模块对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间的方式包括:
对用户系统的网络日志进行关联分析得到网络攻击事件集;及
对该网络攻击事件集建立三维数据模型,并计算该三维数据模型的峰值及峰间距比例,得到所述异常时间区间。
8.根据权利要求6所述的网络协同攻击风暴源检测装置,其特征在于,所述风暴区间获取模块获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间的方式包括:
根据行为规则对所述网络攻击事件集进行周期性行为特征分析,并根据分析结果提取数据样本集合以建立所述神经网络模型;及
根据该神经网络模型的预测结果及异常时间区间内的网络攻击事件数量,得到所述风暴时间区间。
9.根据权利要求6所述的网络协同攻击风暴源检测装置,其特征在于,所述标准差计算模块获取所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的方式包括:
对所述第一事件集内的每一个网络攻击事件分别构建实时事件数量分布矩阵;
利用中值滤波算法计算该实时事件数量分布矩阵的基线矩阵;
根据所述实时事件数量分布矩阵及基线矩阵计算对应的绝对事件数量分布矩阵。
10.根据权利要求6所述的网络协同攻击风暴源检测装置,其特征在于,所述风暴源获取模块判断所述第四事件集中每一个网络攻击事件的周期性行为相关性的方式包括:
根据第四事件集中的每一个网络攻击事件对应的单事件神经网络模型及该网络攻击事件在所述风暴时间区间对应的历史相似时间节点处的事件发生数量,计算所述单事件神经网络模型的预测值与真实的事件发生数量的标准偏差值,并利用所述标准偏差确定周期性行为相关性偏差区间;
计算所述网络攻击事件在风暴时间区间内的真实事件发生数量与所述单事件神经网络模型的预测值之间的偏差值;
若所述偏差值落在所述周期性行为相关性偏差区间内,则该网络攻击事件具有周期性行为相关性;
若所述偏差值未落在所述周期性行为相关性偏差区间内,则该网络攻击事件不具有周期性行为相关性。