CN107104951B - 网络攻击源的检测方法和装置 - Google Patents
网络攻击源的检测方法和装置 Download PDFInfo
- Publication number
- CN107104951B CN107104951B CN201710201535.9A CN201710201535A CN107104951B CN 107104951 B CN107104951 B CN 107104951B CN 201710201535 A CN201710201535 A CN 201710201535A CN 107104951 B CN107104951 B CN 107104951B
- Authority
- CN
- China
- Prior art keywords
- data
- source
- target data
- target
- model base
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000007781 pre-processing Methods 0.000 claims abstract description 68
- 238000013499 data model Methods 0.000 claims abstract description 59
- 238000005516 engineering process Methods 0.000 claims abstract description 43
- 238000004458 analytical method Methods 0.000 claims abstract description 36
- 238000007418 data mining Methods 0.000 claims abstract description 36
- 238000011156 evaluation Methods 0.000 claims description 31
- 238000007726 management method Methods 0.000 claims description 22
- 238000004422 calculation algorithm Methods 0.000 claims description 21
- 230000002776 aggregation Effects 0.000 claims description 18
- 238000004220 aggregation Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 18
- 230000008859 change Effects 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 10
- 230000011218 segmentation Effects 0.000 claims description 9
- 238000005215 recombination Methods 0.000 claims description 7
- 230000006798 recombination Effects 0.000 claims description 7
- 238000005406 washing Methods 0.000 claims description 6
- 239000000523 sample Substances 0.000 claims description 4
- 230000008569 process Effects 0.000 description 8
- 238000005065 mining Methods 0.000 description 7
- 238000007405 data analysis Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000004140 cleaning Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000003066 decision tree Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 2
- 238000005034 decoration Methods 0.000 description 2
- 230000002068 genetic effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008303 genetic mechanism Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 239000011664 nicotinic acid Substances 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000010845 search algorithm Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/211—Schema design and management
- G06F16/212—Schema design and management with details for data modelling support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2465—Query processing support for facilitating data mining operations in structured databases
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Fuzzy Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种网络攻击源的检测方法和装置。其中,该方法包括:采集网络中的目标数据源,其中,所述目标数据源包括产生网络攻击的攻击源;对所述目标数据源中的数据进行层级化的预处理操作;对经过预处理操作后的数据进行数据挖掘,建立数据模型库,其中,所述数据模型库中包括对所述目标数据源进行分析之后得到的分析结果;根据所述分析结果确定所述攻击源。本发明解决了相关技术中在发生网络攻击时,确定网络攻击的源头的效率低的技术问题。
Description
技术领域
本发明涉及网络检测领域,具体而言,涉及一种网络攻击源的检测方法和装置。
背景技术
在电网的信息化建设中,涉及多个业务***,业务***的规模庞大而复杂,随着信息化建设的不断深入,网络安全问题也日益得到关注。目前在网络安全方面,一般部署的是防火墙、IDS(入侵检测***)等安全产品,不具有对网络内大量数据流进行综合、深度监测的能力,但随着网络攻击手段的不断提升,攻击方式在不断变换,网络中会存在大量攻击数据,现有的安全防护手段,不能有效确定这些攻击的源头,无法在出现网络攻击时提供可靠、有力的安全保障。
深度打击网络攻击,保障信息安全迫在眉睫,大数据作为一个重要的生产因素已经迅速发展为国家高度关注的重点,在网络攻击日趋多样化的现状下,大数据分析已经成为必然趋势,信息安全必然需要大数据的保驾护航。目前的网络攻击分析,安全事件追溯,只通过传统的安全设备去追查难免出现信息孤岛,信息缺失等情况。
针对上述的相关技术中在发生网络攻击时,确定网络攻击的源头的效率低的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种网络攻击源的检测方法和装置,以至少解决相关技术中在发生网络攻击时,确定网络攻击的源头的效率低的技术问题。
根据本发明实施例的一个方面,提供了一种网络攻击源的检测方法,包括:采集网络中的目标数据源,其中,所述目标数据源包括产生网络攻击的攻击源;对所述目标数据源中的数据进行层级化的预处理操作;对经过预处理操作后的数据进行数据挖掘,建立数据模型库,其中,所述数据模型库中包括对所述目标数据源进行分析之后得到的分析结果;根据所述分析结果确定所述攻击源。
进一步地,对经过预处理操作后的数据进行数据挖掘,建立数据模型库包括:通过数据挖掘技术,得到所述预处理操作后的数据的特征信息、关联信息以及模式信息;根据所述特征信息、所述关联信息以及所述模式信息建立所述数据模型库。
进一步地,在根据所述特征信息、关联信息以及模式信息建立所述数据模型库之后,所述方法还包括:根据输入的算法参数,调用所述数据模型库中存储的目标数据;通过调用的所述目标数据,建立模型评估体系,其中,所述模型评估体系用于对产生网络攻击的攻击源进行评估,得到评估参数;根据所述分析结果确定所述攻击源包括:基于所述数据模型库中的各项数据的模式及特征,确定所述数据模型库中的各项数据的信息变化;根据所述数据模型库中的各项数据的信息变化和所述评估参数,确定所述攻击源。
进一步地,对所述目标数据源进行层级化的预处理操作包括:利用目标技术对所述目标数据源进行层级化的预处理操作,其中,所述目标技术包括以下至少一种:数据切片技术、数据分类技术、数据聚合技术以及数据索引标记技术,所述预处理操作包括下述至少之一:聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作。
根据本发明实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述实施例中任意一项所述的网络攻击源的检测方法。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述实施例中任意一项所述的网络攻击源的检测方法。
根据本发明实施例的另一方面,还提供了一种网络攻击源的检测装置,包括:采集单元,用于采集网络中的目标数据源,其中,所述目标数据源包括产生网络攻击的攻击源;预处理单元,用于对所述目标数据源中的数据进行层级化的预处理操作;第一建立单元,用于对经过预处理操作后的数据进行数据挖掘,建立数据模型库,其中,所述数据模型库中包括对所述目标数据源进行分析之后得到的分析结果;确定单元,用于根据所述分析结果确定所述攻击源。
进一步地,所述第一建立单元包括:确定子模块,用于通过数据挖掘技术,得到所述预处理操作后的数据的特征信息、关联信息以及模式信息;建立子模块,用于根据所述特征信息、所述关联信息以及所述模式信息建立所述数据模型库。
进一步地,所述装置还包括:调用单元,用于在根据所述特征信息、关联信息以及模式信息建立所述数据模型库之后,根据输入的算法参数,调用所述数据模型库中存储的目标数据;第二建立单元,用于通过调用的所述目标数据,建立模型评估体系,其中,所述模型评估体系用于对产生网络攻击的攻击源进行评估,得到评估参数;所述确定单元包括:第一确定子模块,用于基于所述数据模型库中的各项数据的模式及特征,确定所述数据模型库中的各项数据的信息变化;第二确定子模块,用于根据所述数据模型库中的各项数据的信息变化和所述评估参数,确定所述攻击源。
进一步地,所述预处理单元包括:预处理子模块,用于利用目标技术对所述目标数据源进行层级化的预处理操作,其中,所述目标技术包括以下至少一种:数据切片技术、数据分类技术、数据聚合技术以及数据索引标记技术,所述预处理操作包括下述至少之一:聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作。
在本发明实施例中,可以通过采集网络中的目标数据源,以进行相应的处理,得到目标数据源中产生网络攻击的攻击源,在处理的过程中,可以先对采集到的目标数据源进行层级化的预处理操作,并对预处理操作后的数据进行数据挖掘,以建立一个数据模型库,该模型库中可以包括对目标数据进行分析之后得到的分析结果,通过该分析结果可以确定上述的攻击源。根据该实施例,可以对网络中大量的数据源进行相应的分析处理,以确定出数据源中可以产生网络攻击的攻击源,解决相关技术中在发生网络攻击时,确定网络攻击的源头的效率低的技术问题,在确定出大量数据源中的攻击源后,可以相对应的阻止攻击源攻击网络,达到了有效保护网络信息安全的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的网络攻击源的检测方法的示意图;
图2是根据本发明实施例的另一种可选的网络攻击源的检测装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
数据挖掘技术,是一种数据处理的技术,是从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取隐含在其中、人们事先不知道又潜在有用信息和知识的过程。
根据本发明实施例,提供了一种网络攻击源的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的网络攻击源的检测方法的示意图,如图1所示,该方法包括如下步骤:
步骤S102,采集网络中的目标数据源,其中,目标数据源包括产生网络攻击的攻击源。
步骤S104,对目标数据源中的数据进行层级化的预处理操作。
步骤S106,对经过预处理操作后的数据进行数据挖掘,建立数据模型库,其中,数据模型库中包括对目标数据源进行分析之后得到的分析结果。
步骤S108,根据分析结果确定攻击源。
在上述实施例中,可以通过采集网络中的目标数据源,以进行相应的处理,得到目标数据源中产生网络攻击的攻击源,在处理的过程中,可以先对采集到的目标数据源进行层级化的预处理操作,并对预处理操作后的数据进行数据挖掘,以建立一个数据模型库,该模型库中可以包括对目标数据进行分析之后得到的分析结果,通过该分析结果可以确定上述的攻击源。根据该实施例,可以对网络中大量的数据源进行相应的分析处理,以确定出数据源中可以产生网络攻击的攻击源,解决相关技术中在发生网络攻击时,确定网络攻击的源头的效率低的技术问题,在确定出大量数据源中的攻击源后,可以相对应的阻止攻击源攻击网络,达到了有效保护网络信息安全的效果。
可选的,上述实施例应用于网络信息安全方面,根据上述的实施方式,可以对网路中的大量数据进行分析处理。其中,上述的数据源可以为多种类型,包括结构化数据、非结构化数据及半结构化数据,该结构化数据可以为保存在数据库中的数据,非结构化数据可以为无法依照表格存储的数据,即无法存储在数据库中的数据。
可选的,上述的采集网络中的目标数据源,在采集数据时,可以对多个多源异构数据采用前置探针的方式采集数据。在采集多个数据源后,可以在间隔预定时间内将预设数据包的目标数据源发送至处理中心,其中,预定时间可以根据实际情况设置,如5分钟,即间隔5分钟可以发送一次预设数据包,;预设数据包的大小可以是用户自行设置,在本申请中不做限定。
另一种可选的实施方式,对目标数据源进行层级化的预处理操作包括:利用目标技术对目标数据源进行层级化的预处理操作,其中,目标技术包括以下至少一种:数据切片技术、数据分类技术、数据聚合技术以及数据索引标记技术,预处理操作包括下述至少之一:聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作。
对于上述的数据分类技术可以为多种,如决策树算法、神经网络算法等;数据聚合技术可以多种,如基于传感器网络的数据聚合;数据索引标记技术为对采集到的数据进行相应的索引以及标记数据的技术,在本申请中可以通过建立数据表的方式,对采集到的目标数据源建立索引目录,以通过该数据表可以快速查找到目标数据源的位置,其中,标记技术可以通过数字和符号等方式对采集到的数据进行标记。
可选的,在对采集到目标数据源进行层级化操作时,可以通过聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作的层级递进方式来处理采集到的目标数据源,其中,通过聚合操作和重组操作可以对目标数据源进行基本的处理,将目标数据源中相同或相似的数据进行组合,通过清洗操作可以将目标数据源中的干扰信息去除,该干扰信息包括传输错误的数据;通过提取操作可以将目标数据源中有异常或者是攻击源的目标数据源进行提取,通过管理操作可以将提取出的目标数据进行相应的管理,通过切分操作可以将管理的目标数据进行切分,以将包括攻击源的目标数据切分出来,得到较小的数据源模块。
对于上述的层级化预处理操作,不限于上述的操作,其操作的顺序可以根据实际情况变化,也可以增加相应的操作,如在提取操作和管理操作之间可以增加转换操作,以将提取出的数据源转换为方便管理的数据源。
可选的,在对目标数据源中的数据进行层级化的预处理操作之后,对经过预处理操作后的数据进行数据挖掘,建立数据模型库之前还可以包括:对经过预处理的数据源进行分布式计算,将目标数据源中包括的大量数据分割为多个数据源模块,通过多台终端或服务器处理该数据源模块,再对处理后的数据源模块进行合并操作,以得到分布式计算的结果,从而达到资源利用的最大化。
可选的,在进行分布式计算时,可以采用分布式实时计算框架和分布式离线计算框架相结合的方式分析目标数据源,在对数据源进行分布式计算后,可以将相应的数据传输到数据挖掘处理中心,以通过数据挖掘得到数据源中的攻击源。
可选的,对经过预处理操作后的数据进行数据挖掘,建立数据模型库包括:通过数据挖掘技术,得到预处理操作后的数据的特征信息、关联信息以及模式信息;根据特征信息、关联信息以及模式信息建立数据模型库。
可选的,上述的数据挖掘是对预处理操作后的数据进行挖掘,以根据预处理后的数据源得到攻击源,通过相应的实施方式,得到有用的分析信息,其中该实施方式可以包括应用统计方法、事例推理、决策树、神经网络、遗传算法等,其中,通神经网络技术解决数据挖掘的问题,包括用于分类、预测和模式识别的前馈式神经网络模型和用于联想记忆和优化计算的反馈式神经网络模型等。可选的,遗传算法是一种基于生物自然选择与遗传机理的随机搜索算法,是一种仿生全局优化方法。可选的,决策树是一种常用于预测模型的算法,它通过将大量数据有目的分类,从中找到一些有价值的,潜在的信息。可选的,统计分析技术可以为对目标数据中的数据进行统计、分析,以得到数据源中的差异数据。
可选的,可以根据数据源中的存储格式,将数据源中的攻击源解析出来。对于上述的模型数据库可以为将已经分析出的攻击源的类型和信息存储起来,也可以存储该次获取到的数据源中的攻击源的类型和实际数据。通过该模型数据库可以多次分析采集到的数据源。
另一种可选的实施方式,在根据特征信息、关联信息以及模式信息建立数据模型库之后,方法还包括:根据输入的算法参数,调用数据模型库中存储的目标数据;通过调用的目标数据,建立模型评估体系,其中,模型评估体系用于对产生网络攻击的攻击源进行评估,得到评估参数;根据分析结果确定攻击源包括:基于数据模型库中的各项数据的模式及特征,确定数据模型库中的各项数据的信息变化;根据数据模型库中的各项数据的信息变化和评估参数,确定攻击源。
通过上述实施方式,可以对分析出的数据建立模型评估体系,该评估体系中可以包括对目标数据进行评估,每个目标数据可以有相应的评估值,如1、2、3、10等,可以设置在评估值超过预设阈值时,确定该评估值对应的目标数据源为攻击源的可能性很大,其中,该预设阈值可以多种,如8。
可选的,对于上述实施例中的基于数据模型库中的各项数据的模式及特征,确定数据模型库中的各项数据的信息变化,该模式可以为已知的攻击源的模式,该特征可以已知的攻击源的特征,如攻击源中包括的常用符号和代码。对于上述的信息变化可以为上次分析出的数据和该次分析出的数据相比较而得到的变化数据,通过分析出的信息变化可以得到哪些数据产生变化,根据该信息变化可以更容易的分析攻击源的位置。
可选的,通过上述实施方式,可以对网络数据源中的数据进行分析、建模操作,以确定出产生网络攻击的攻击源。
下面是根据本发明的具体实施方式。
结合国家电网的安全防护现状,以及国家电网对业务安全要求,对信息***中的网络设备、安全设备和主机等设备的日志进行大数据分析,并对其中的安全事件进行关联分析,数据提炼,形成基于大数据的攻击溯源体系。
构建面向信息安全领域的大数据平台,自动、智能、快速的对复杂来源的海量数据进行采集,并针对大数据分布式计算特性和算法特性对数据进行统一预处理,形成统一的分布式存储管理***。利用分布式计算架构对数据进行快速计算和挖掘分析,以采集的大数据为基础,构建相应的业务模型和可视化分析,从而发现和揭示隐含的要素和关联。在该实施方式中,可以通过数据源采集、大数据预处理、大数据分布式计算、大数据挖掘分析、信息安全大数据应用等方式对采集到的网络数据进行相应的处理。
可选的,上述的数据源采集可以是在信息安全领域,数据源根据类型的不同,包括结构化数据,非结构化数据和半结构化数据,对于大量多源异构数据源,采用前置探针,对数据进行集中收集、规范化等工作,将数据整合后统一发送到大数据应用***,应用***将根据安全事件之间的相关性,进行关联分析,得到更为准确的监测信息,以利于发现攻击源。
可选的,在大数据预处理中,原始数据中可能存在着大量杂乱的、重复的、不完整的数据,严重影响到数据挖掘算法的执行效率,甚至可能导致挖掘结构的偏差。因此,在数据挖掘算法执行之前,必须对收集到的原始数据进行预处理,从而改进数据的质量,提高数据挖掘过程的效率、精度和性能。大数据预处理利用数据切片,数据分类,数据聚合,数据索引标记等技术对原始数据进行层级化的聚合、重组、清洗、提取、转换、管理、切分等预处理操作,统一标准接口,统一数据标准,并通过分布式存储管理技术,在满足一致性要求的基础上,实现安全、可靠、快速、有效的对多类型、多格式的数据统一存储管理。
可选的,在大数据分布式计算过程中,可以通过两个或多个计算机互相共享信息,将需要进行大量计算的数据分割成小块,由多台计算机分别计算,再对运算结果进行统一合并。采用分布式任务调度机制,动态灵活的将计算资源进行分配和调度,从而达到资源利用最大化,计算节点不会出现闲置和过载的情况,采用分布式实时计算框架和分布式离线计算框架相结合的分布式计算框架和模块化设计,构建一个支持多种分布式计算模型的统一动态调度、管理和计算的大数据分布式计算平台,有效的支撑大数据挖掘分析。
可选的,在大数据挖掘分析过程中,可以通过上述数据采集、数据预处理、数据分布式计算等过程,将数据设置在管理***中,为了得到有用的信息,需要采用数据挖掘分析技术,自动智能的对大数据分析、探索、挖掘,探寻数据的模式及特征,寻找数据的信息变化,从而最终使用蕴藏在数据中的信息和知识。数据模型库是针对所有算法的特征,构建一个通用库,实现了大数据格式的数据结构定义,对算法参数,数学模型库,模型评估体系和挖掘分析的结果等进行统一管理,提供了数据挖掘分析的入口,根据输入的算法参数,自动调用挖掘分析所用的算法及其相应的模型等。
数据挖掘算法可以针对大数据分布式存储管理,分布式计算的特性,统一匹配各种数据挖掘算法,根据具体业务需求,工具库可配置相应的算法进行挖掘,具备灵活的动态扩展和分布式任务调度机制。
可选的,在信息安全大数据应用中,随着大数据技术的不断创新和广泛应用,信息安全领域越来越迫切需要依托大数据处理技术来实现网络攻击的分析,面向信息安全领域的大数据分析平台在大数据采集、预处理、分布式计算和挖掘分析的基础上,需面向信息***提供信息安全保证服务。
大数据安全分析平台采用世界先进的大数据技术作为底层支撑,解决了传统安全分析中数据分析的性能瓶颈问题,实现了实时安全数据分析功能,完成了自主灵活的安全可视化目标。可以通过管理节点运行数据库(如Postgres SQL),可以通过安装包安装管理节点,每个集群只能存在一个管理节点。可以通过工作节点运行分布式的服务组件(如Hadoop、Kafka等)。管理节点安装完成之后,在***的Web页面中对工作节点进行部署,每个集群可以部署多个工作节点。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述实施例中任意一项的网络攻击源的检测方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述实施例中任意一项的网络攻击源的检测方法。
图2是根据本发明实施例的另一种可选的网络攻击源的检测装置的示意图,如图2所示,该装置,包括:采集单元21,用于采集网络中的目标数据源,其中,目标数据源包括产生网络攻击的攻击源;预处理单元23,用于对目标数据源中的数据进行层级化的预处理操作;第一建立单元25,用于对经过预处理操作后的数据进行数据挖掘,建立数据模型库,其中,数据模型库中包括对目标数据源进行分析之后得到的分析结果;确定单元27,用于根据分析结果确定攻击源。
在上述实施例中,可以通过采集单元21采集网络中的目标数据源,以进行相应的处理,得到目标数据源中产生网络攻击的攻击源,在处理的过程中,可以预处理单元23先对采集到的目标数据源进行层级化的预处理操作,并第一建立单元25对预处理操作后的数据进行数据挖掘,以建立一个数据模型库,该模型库中可以包括对目标数据进行分析之后得到的分析结果,通过确定单元27可以确定上述的攻击源。根据该实施例,可以对网络中大量的数据源进行相应的分析处理,以确定出数据源中可以产生网络攻击的攻击源,解决相关技术中在发生网络攻击时,确定网络攻击的源头的效率低的技术问题,在确定出大量数据源中的攻击源后,可以相对应的阻止攻击源攻击网络,达到了有效保护网络信息安全的效果。
可选的,第一建立单元包括:确定子模块,用于通过数据挖掘技术,得到预处理操作后的数据的特征信息、关联信息以及模式信息;建立子模块,用于根据特征信息、关联信息以及模式信息建立数据模型库。
另一种可选的实施方式,装置还包括:调用单元,用于在根据特征信息、关联信息以及模式信息建立数据模型库之后,根据输入的算法参数,调用数据模型库中存储的目标数据;第二建立单元,用于通过调用的目标数据,建立模型评估体系,其中,模型评估体系用于对产生网络攻击的攻击源进行评估,得到评估参数;确定单元包括:第一确定子模块,用于基于数据模型库中的各项数据的模式及特征,确定数据模型库中的各项数据的信息变化;第二确定子模块,用于根据数据模型库中的各项数据的信息变化和评估参数,确定攻击源。
对于上述实施方式,预处理单元包括:预处理子模块,用于利用目标技术对目标数据源进行层级化的预处理操作,其中,目标技术包括以下至少一种:数据切片技术、数据分类技术、数据聚合技术以及数据索引标记技术,预处理操作包括下述至少之一:聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种网络攻击源的检测方法,其特征在于,包括:
采集网络中的目标数据源,其中,所述目标数据源包括产生网络攻击的攻击源,在采集网络中的目标数据源时,对多个多源异构数据采用前置探针的方式采集所述目标数据源;
对所述目标数据源中的数据进行层级化的预处理操作;
对经过预处理操作后的数据进行数据挖掘,建立数据模型库,其中,所述数据模型库中包括对所述目标数据源进行分析之后得到的分析结果;
根据所述分析结果确定所述攻击源,
在对目标数据源中的数据进行层级化的预处理操作之后,对经过预处理操作后的数据进行数据挖掘,建立数据模型库之前,所述检测方法还包括:对经过预处理的目标数据源进行分布式计算,将目标数据源中分割为多个数据源模块,通过多台终端或服务器处理所述多个数据源模块,并对处理后的数据源模块进行合并操作,其中,在对目标数据源进行分布式计算时,采用分布式实时计算框架和分布式离线计算框架相结合分析所述目标数据源,
其中,对所述目标数据源进行层级化的预处理操作包括:利用目标技术对所述目标数据源进行层级化的预处理操作,其中,所述目标技术包括以下至少一种:数据切片技术、数据分类技术、数据聚合技术以及数据索引标记技术,所述预处理操作包括下述至少之一:聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作。
2.根据权利要求1所述的检测方法,其特征在于,对经过预处理操作后的数据进行数据挖掘,建立数据模型库包括:
通过数据挖掘技术,得到所述预处理操作后的数据的特征信息、关联信息以及模式信息;
根据所述特征信息、所述关联信息以及所述模式信息建立所述数据模型库。
3.根据权利要求2所述的检测方法,其特征在于,
在根据所述特征信息、关联信息以及模式信息建立所述数据模型库之后,所述方法还包括:根据输入的算法参数,调用所述数据模型库中存储的目标数据;通过调用的所述目标数据,建立模型评估体系,其中,所述模型评估体系用于对产生网络攻击的攻击源进行评估,得到评估参数;
根据所述分析结果确定所述攻击源包括:基于所述数据模型库中的各项数据的模式及特征,确定所述数据模型库中的各项数据的信息变化;根据所述数据模型库中的各项数据的信息变化和所述评估参数,确定所述攻击源。
4.一种网络攻击源的检测装置,其特征在于,包括:
采集单元,用于采集网络中的目标数据源,其中,所述目标数据源包括产生网络攻击的攻击源,在采集网络中的目标数据源时,对多个多源异构数据采用前置探针的方式采集所述目标数据源;
预处理单元,用于对所述目标数据源中的数据进行层级化的预处理操作;
第一建立单元,用于对经过预处理操作后的数据进行数据挖掘,建立数据模型库,其中,所述数据模型库中包括对所述目标数据源进行分析之后得到的分析结果;
确定单元,用于根据所述分析结果确定所述攻击源,
所述网络攻击源的检测装置还用于在对目标数据源中的数据进行层级化的预处理操作之后,对经过预处理操作后的数据进行数据挖掘,建立数据模型库之前,对经过预处理的目标数据源进行分布式计算,将目标数据源中分割为多个数据源模块,通过多台终端或服务器处理所述多个数据源模块,并对处理后的数据源模块进行合并操作,其中,在对目标数据源进行分布式计算时,采用分布式实时计算框架和分布式离线计算框架相结合分析所述目标数据源,
所述预处理单元包括:预处理子模块,用于利用目标技术对所述目标数据源进行层级化的预处理操作,其中,所述目标技术包括以下至少一种:数据切片技术、数据分类技术、数据聚合技术以及数据索引标记技术,所述预处理操作包括下述至少之一:聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作。
5.根据权利要求4所述的检测装置,其特征在于,第一建立单元包括:
确定子模块,用于通过数据挖掘技术,得到所述预处理操作后的数据的特征信息、关联信息以及模式信息;
建立子模块,用于根据所述特征信息、所述关联信息以及所述模式信息建立所述数据模型库。
6.根据权利要求5所述的检测装置,其特征在于,
所述装置还包括:调用单元,用于在根据所述特征信息、关联信息以及模式信息建立所述数据模型库之后,根据输入的算法参数,调用所述数据模型库中存储的目标数据;第二建立单元,用于通过调用的所述目标数据,建立模型评估体系,其中,所述模型评估体系用于对产生网络攻击的攻击源进行评估,得到评估参数;
所述确定单元包括:第一确定子模块,用于基于所述数据模型库中的各项数据的模式及特征,确定所述数据模型库中的各项数据的信息变化;第二确定子模块,用于根据所述数据模型库中的各项数据的信息变化和所述评估参数,确定所述攻击源。
7.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至3中任意一项所述的网络攻击源的检测方法。
8.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至3中任意一项所述的网络攻击源的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710201535.9A CN107104951B (zh) | 2017-03-29 | 2017-03-29 | 网络攻击源的检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710201535.9A CN107104951B (zh) | 2017-03-29 | 2017-03-29 | 网络攻击源的检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107104951A CN107104951A (zh) | 2017-08-29 |
| CN107104951B true CN107104951B (zh) | 2020-06-19 |
Family
ID=59674894
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710201535.9A Active CN107104951B (zh) | 2017-03-29 | 2017-03-29 | 网络攻击源的检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107104951B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194612B (zh) * | 2018-07-26 | 2021-05-18 | 北京计算机技术及应用研究所 | 一种基于深度置信网络和svm的网络攻击检测方法 |
| CN109558466B (zh) * | 2018-11-29 | 2020-07-28 | 成都天衡智造科技有限公司 | 一种制造业数据挖掘中的源数据配置管理方法 |
| CN111666270A (zh) * | 2020-06-03 | 2020-09-15 | 北京软通智慧城市科技有限公司 | 一种事件分析***及事件分析方法 |
| CN111835781B (zh) * | 2020-07-21 | 2022-05-20 | 杭州安恒信息技术股份有限公司 | 一种基于失陷主机发现同源攻击的主机的方法及*** |
| CN112256791A (zh) * | 2020-10-27 | 2021-01-22 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
| CN113225359A (zh) * | 2021-07-12 | 2021-08-06 | 深圳市永达电子信息股份有限公司 | 一种基于类脑计算的安全流量分析*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009135396A1 (zh) * | 2008-05-09 | 2009-11-12 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法、处理装置及网络分析监控中心 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102790706B (zh) * | 2012-07-27 | 2015-01-21 | 福建富士通信息软件有限公司 | 海量事件安全分析方法及装置 |
| CN104636494A (zh) * | 2015-03-04 | 2015-05-20 | 浪潮电子信息产业股份有限公司 | 一种基于Spark大数据平台的日志审计倒查*** |
| CN105207826A (zh) * | 2015-10-26 | 2015-12-30 | 南京联成科技发展有限公司 | 一种基于Tachyou的Spark大数据平台的安全攻击告警定位*** |
| CN105468995A (zh) * | 2015-12-15 | 2016-04-06 | 吉林大学 | 以Oracle为核心的基于数据挖掘入侵检测*** |
-
2017
- 2017-03-29 CN CN201710201535.9A patent/CN107104951B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009135396A1 (zh) * | 2008-05-09 | 2009-11-12 | 成都市华为赛门铁克科技有限公司 | 网络攻击处理方法、处理装置及网络分析监控中心 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107104951A (zh) | 2017-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107104951B (zh) | 网络攻击源的检测方法和装置 | |
| EP2487860B1 (en) | Method and system for improving security threats detection in communication networks | |
| CN108039959B (zh) | 一种数据的态势感知方法、***及相关装置 | |
| CN105608144B (zh) | 一种基于多层模型迭代的大数据分析平台装置及方法 | |
| CN114039758B (zh) | 一种基于事件检测模式的网络安全威胁识别方法 | |
| CN113225359A (zh) | 一种基于类脑计算的安全流量分析*** | |
| CN112685459A (zh) | 一种基于K-means集群算法的攻击源特征识别方法 | |
| Sisiaridis et al. | Reducing data complexity in feature extraction and feature selection for big data security analytics | |
| CN114465874A (zh) | 故障预测方法、装置、电子设备与存储介质 | |
| CN110519231A (zh) | 一种跨域数据交换监管***及方法 | |
| CN113409555A (zh) | 一种基于物联网的实时报警联动方法及*** | |
| CN113516565A (zh) | 一种基于知识库的电力监控***告警智能处理方法及其装置 | |
| Solmaz et al. | ALACA: A platform for dynamic alarm collection and alert notification in network management systems | |
| CN110149303B (zh) | 一种党校的网络安全预警方法及预警*** | |
| CN112288317B (zh) | 一种基于多源异构数据治理的工业大数据分析平台和方法 | |
| Yin-huan | Design of intrusion detection model based on data mining technology | |
| CN117033501A (zh) | 大数据采集分析*** | |
| Lee et al. | Detecting anomaly teletraffic using stochastic self-similarity based on Hadoop | |
| CN116668054A (zh) | 一种安全事件协同监测预警方法、***、设备及介质 | |
| Seelammal et al. | Computational intelligence in intrusion detection system for snort log using hadoop | |
| CN114157017A (zh) | 一种基于大数据的电网信息运维主动预警方法 | |
| Naukudkar et al. | Enhancing performance of security log analysis using correlation-prediction technique | |
| Kostadinov et al. | Reducing the number of incidents in converged IT infrastructure using correlation approach | |
| CN116915459B (zh) | 一种基于大语言模型的网络威胁分析方法 | |
| Zhao et al. | Multi-stage Location for Root-Cause Metrics in Online Service Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |