网络攻击检测具体流程示意图。
【具体实施方式】
[0064] 为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,W下结合附图 及较佳实施例,对本发明进行详细说明如后。
[0065] 本发明第一实施例,一种基于大数据关联的网络攻击检测方法,如图1所示,包括 W下具体步骤:
[0066] 步骤SlOl,对历史木马程序进行大数据挖掘分析,挖掘历史木马程序的频繁邻接 情节,由历史木马程序的频繁邻接情节构成频繁情节知识库。
[0067] 具体的,步骤SlOl,包括:
[0068] 步骤Al:分析每一个历史木马程序在不同时段的活动行为特征,所述活动行为特 征包含历史木马程序活动行为特征向量S和历史木马程序事件序列K;
[0069] S=[(ai,ti), (a2,t2),...(ai,ti) ,...(an,tn)];
[0070] K=[ai,a2,'''ai,'''an];
[0071 ] ai是历史木马程序在ti时段的活动行为特征;
[0072] 按照时间的先后顺序从前往后排列各时段出现的顺序如下:tl,t2,……,tn;
[0073] 变量i的取值范围:l<i<n;
[0074] n为木马程序的事件序列长度;
[0075] 将所有历史木马程序事件序列K存入数据库,形成历史木马程序事件序列库。
[0076] 步骤A2:对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动 机进行频繁邻接情节挖掘,由历史木马程序的频繁邻接情节构成频繁情节知识库。
[0077] 具体的,步骤A2,包括:
[0078] 将历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机挖掘出 长度为j的频繁邻接情节集合Ej ;
[0079] 变量j的取值范围为:2< j<M;
[0080] M是历史木马程序事件序列K的最长邻接情节长度。
[0081] 具体的,自动机挖掘出长度为j的频繁邻接情节集合&,包括:
[0082] 自动机将所述历史木马程序事件序列库中任意两个历史木马程序事件序列K拆解 为两个长度为j的邻接情节集合,对两个邻接情节集合中长度为j的邻接情节进行对比匹 配,当邻接情节完全匹配时,匹配的邻接情节为自动机挖掘出的长度为j的邻接情节,并对 长度为j的邻接情节出现次数加1;
[0083] 当邻接情节的出现次数不小于支持度阔值时,将邻接情节放入长度为j的频繁邻 接情节集合&中;
[0084] 当邻接情节的出现次数小于支持度阔值时,不将邻接情节放入长度为j的频繁邻 接情节集合&中。
[0085] 在任一程序中依次发生的事件称为邻接情节。
[0086] 依此类推,自动机按照挖掘长度为j的频繁邻接情节集合Ej的方法挖掘长度从2至 M的频繁邻接情节集合,并由长度从2至M的范围内各长度的频繁邻接情节集合构成频繁情 节知识库。
[0087] 步骤S102,对目标程序的邻接情节与繁情节知识库中频繁邻接情节进行对比匹 配,判断目标程序是否为木马程序。
[0088] 具体的,步骤S102,包括:
[0089] 步骤Bl:对目标程序进行最长邻接情节挖掘,生成目标程序邻接情节em;
[0090] em=[bi,b2,..'bi,... ,bm];
[0091 ] bi为目标程序依次发生的活动行为特征;
[0092] i取值范围为:1 < i <m;
[0093] m为目标程序的事件序列长度。
[0094] 步骤B2:将目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节进行对 比。
[0095] 当目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节匹配时,判定目 标程序是木马程序;
[0096] 当目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节不匹配时,判定 目标程序不是木马程序。
[0097] 步骤S103,当目标程序判定为木马程序时,根据目标程序的邻接情节后缀事件预 测目标程序后续攻击行为。
[0098] 具体的,步骤S103,包括:
[0099] 当判定目标程序为木马程序时,将历史木马程序事件序列K中的目标程序邻接情 节的后续邻接情节作为目标程序的邻接情节后缀事件,目标程序的邻接情节后缀事件即为 目标程序后续攻击行为。
[0100] 本发明第二实施例,一种基于大数据关联的网络攻击检测方法,本实施例所述方 法与第一实施例大致相同,区别在于当目标程序邻接情节em与频繁邻接情节知识库中的频 繁邻接情节不匹配时,进一步判断目标程序是否为木马程序,并对判断为木马程序的目标 程序进行后续攻击行为预测,如图2所示,本实施例的所述方法,还包括W下具体步骤:
[0101] 步骤S201,对历史木马程序进行大数据挖掘分析,挖掘历史木马程序的频繁邻接 情节,由历史木马程序的频繁邻接情节构成频繁情节知识库。
[0102] 具体的,步骤S201,包括:
[0103] 步骤Al:分析每一个历史木马程序在不同时段的活动行为特征,所述活动行为特 征包含历史木马程序活动行为特征向量S和历史木马程序事件序列K;
[0104] S=[(ai,ti), (a2,t2) ,???(an,tn)];
[0105] K=[ai,32,…ai,…an];
[0106] ai是历史木马程序在ti时段的活动行为特征;
[0107] 按照时间的先后顺序从前往后排列各时段出现的顺序如下:tl,t2,……,tn;
[010引变量i的取值范围:如;
[0109] n为木马程序的事件序列长度;
[0110] 将所有历史木马程序事件序列K存入数据库,形成历史木马程序事件序列库。
[0111] 步骤A2:对历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动 机进行频繁邻接情节挖掘,由历史木马程序的频繁邻接情节构成频繁情节知识库。
[0112] 具体的,步骤A2,包括:
[0113] 将历史木马程序事件序列库中的所有历史木马程序事件序列K通过自动机挖掘出 长度为j的频繁邻接情节集合Ej ;
[0114] 变量j的取值范围为:2< j<M;
[0115] M是历史木马程序事件序列K的最长邻接情节长度。
[0116] 具体的,自动机挖掘出长度为j的频繁邻接情节集合&,包括:
[0117] 自动机将所述历史木马程序事件序列库中任意两个历史木马程序事件序列K拆解 为两个长度为j的邻接情节集合,对两个邻接情节集合中长度为j的邻接情节进行对比匹 配,当邻接情节完全匹配时,匹配的邻接情节为自动机挖掘出的长度为j的邻接情节,并对 长度为j的邻接情节出现次数加1;
[0118] 当邻接情节的出现次数不小于支持度阔值时,将邻接情节放入长度为j的频繁邻 接情节集合&中;
[0119] 当邻接情节的出现次数小于支持度阔值时,不将邻接情节放入长度为j的频繁邻 接情节集合&中。
[0120] 在任一程序中依次发生的事件称为邻接情节。
[0121] 依此类推,自动机按照挖掘长度为j的频繁邻接情节集合Ej的方法挖掘长度从2至 M的频繁邻接情节集合,并由长度从2至M的范围内各长度的频繁邻接情节集合构成频繁情 节知识库。
[0122] 步骤S202,对目标程序的邻接情节与繁情节知识库中频繁邻接情节进行对比匹 配,判断目标程序是否为木马程序。
[0123] 具体的,步骤S202,包括:
[0124] 步骤Bl:对目标程序进行最长邻接情节挖掘,生成目标程序邻接情节em;
[012引 em=[bi,b2,..'bi,... ,bm];
[0126] bi为目标程序依次发生的活动行为特征;
[0127] i取值范围为:含m;
[01%] m为目标程序的事件序列长度。
[0129] 步骤B2:将目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节进行对 比。
[0130] 当目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节匹配时,判定目 标程序是木马程序;
[0131 ]当目标程序邻接情节em与频繁邻接情节知识库中的频繁邻接情节不匹配时,对目 标程序执行步骤S203操作,进一步判断目标程序是否为木马程序。
[0132] 步骤S203,通过采用朴素贝叶斯算法对步骤S202不匹配的目标程序进一步判断是 否为木马程序。
[0133] 具体的,步骤S203,包括:
[0134] 通过朴素贝叶斯算法,计算程序样本集合Z中包含目标程序邻接情节em的正常程 序、不确定程序和木马