| 发明名称 | 一种网络协同攻击风暴源检测方法及装置 | ||
| 摘要 | 本发明较佳实施例提供的网络协同攻击风暴源检测方法及装置,通过对网络攻击事件集建立三维数据模型以获取风暴时间区间,并对所述风暴时间区间内的网络攻击事件进行结合神经网络模型预估和基于K阶矩的离散度分析、偏度分析及峰度分析,排除具有周期性行为相关性的攻击事件,获取最终的风暴源事件。与传统的基于动态基线的风暴源检测方法相比,具有更为精确合理的风暴源事件捕获特性,基于相同的特征数据库,具有分析维度多样化、对网络攻击事件的协同性分析深入、数据表达更直观的优势。 | ||
| 申请公布号 | CN106131022A | 申请公布日期 | 2016.11.16 |
| 申请号 | CN201610560582.8 | 申请日期 | 2016.07.15 |
| 申请人 | 四川无声信息技术有限公司 | 发明人 | 黄勇;周安民;陈航;宋国志;肖仕刚 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京超凡志成知识产权代理事务所(普通合伙) 11371 | 代理人 | 唐维虎 |
| 主权项 | 一种网络协同攻击风暴源检测方法,其特征在于,该方法包括:对网络攻击事件集建立三维数据模型,并计算得到该三维数据模型的异常时间区间;获取所述异常时间区间的神经网络模型预测结果,以根据该神经网络模型预测结果及异常时间区间内的网络攻击事件数量,得到该异常时间区间内的风暴时间区间;获取所述风暴时间区间内的所有网络攻击事件构成第一事件集,并计算所述第一事件集内每一个网络攻击事件所对应的绝对事件数量分布矩阵的标准差,以根据该标准差的计算结果从所述第一事件集中提取存在非周期性行为相似特性的网络攻击事件构成第二事件集;对所述第二事件集中的每一个网络攻击事件按照预设的周期频率建立事件数量的频率分布图,计算该频率分布图的偏度系数,并根据所述偏度系数从所述第二事件集中提取频率分布异常的网络攻击事件构成第三事件集;分别计算第三事件集中的每一个网络攻击事件所对应的实时事件数量趋势图及频率分布图的峰度系数,根据该峰度系数的计算结果从所述第三事件集中提取峰度系数大于预设阈值的网络攻击事件构成第四事件集;及判断该第四事件集中每一个网络攻击事件的周期性行为相关性,并根据判断结果从所述第四事件集中提取不具有周期性行为相关性的网络攻击事件构成最终的风暴源事件集。 | ||
| 地址 | 610000 四川省成都市高新区芳草东街76号 | ||