网络攻击行为的预测方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种网络攻击行为的预测方法、装置、设备及存储介质，该预测方法包括：对于网络的每个节点，计算所述节点的敏感数据特征之间的关联度；根据所述节点的敏感数据特征之间的关联度，建立所述节点的敏感数据特征之间的关联关系；根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，所述安全感知序列是表示所述节点的安全性的序列；根据所述节点的安全感知序列，得到所述节点的安全态势序列；根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为。根据本发明专利技术实施例，将大数据网络的安全态势运用到网络攻击行为预测中，可以根据预测出的网络攻击行为及时地采取防御措施。

Prediction methods, devices, devices and storage media of network attack

【技术实现步骤摘要】
网络攻击行为的预测方法、装置、设备及存储介质
本专利技术属于计算机领域，尤其涉及一种网络攻击行为的预测方法、装置、设备及存储介质。
技术介绍
网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。可以将当前的网络攻击行为检测技术分为两类：一类为误用检测技术；另一类为异常检测技术。误用检测技术是由安全专家根据收集的攻击实例来抽取能够表征该类攻击事件的攻击特征串，然后在实时入侵检测时将网络数据流与先前提取的攻击特征串进行特征匹配，匹配成功则表示检测到了该类型网络攻击事件。异常检测技术则首先为被监控对象构建正常行为轮廓，然后在实时检测时，判断被检测对象当前行为轮廓与正常行为轮廓的偏离程度，当偏离程度超过一定阈值时，表示发生了网络攻击事件。由于异常检测技术存在构建正常行为轮廓困难和报警模糊的问题，实际应用中多数采用误用检测技术检测网络攻击行为。但是误用检测技术只能在网络已经被攻击时才能检测出网络出现异常，无法提前预测网络的情况。
技术实现思路
本专利技术实施例提供一种网络攻击行为的预测方法、装置、设备及存储介质，能够提前预测出网络的攻击行为，可以及时采取防御措施。一方面，本专利技术实施例提供一种网络攻击行为的预测方法，包括：对于网络的每个节点，计算所述节点的敏感数据特征之间的关联度；根据所述节点的敏感数据特征之间的关联度，建立所述节点的敏感数据特征之间的关联关系；根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，所述安全感知序列是表示所述节点的安全性的序列；根据所述节点的安全感知序列，得到所述节点的安全态势序列；根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为。另一方面，本专利技术实施例提供了一种网络攻击行为的预测装置，所述装置包括：关联度计算模块，用于对于网络的每个节点，计算所述节点的敏感数据特征之间的关联度；建立关联模块，用于根据所述节点的敏感数据特征之间的关联度，建立所述节点的敏感数据特征之间的关联关系；感知序列确定模块，用于根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，所述安全感知序列是表示所述节点的安全性的序列；态势序列确定模块，用于根据所述节点的安全感知序列，得到所述节点的安全态势序列；攻击预测模块，用于根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为。再一方面，本专利技术实施例提供了一种预测网络攻击行为的设备，设备包括：处理器以及存储有计算机程序指令的存储器；所述处理器执行所述计算机程序指令时实现如上所述的网络攻击行为的预测方法。再一方面，本专利技术实施例提供了一种计算机存储介质，所述计算机存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如上所述的网络攻击行为的预测方法。本专利技术实施例的网络攻击行为的预测方法、装置、设备及存储介质，根据具有关联关系的敏感数据特征，确定节点的安全感知序列，然后由此得到网络节点的安全态势，从而挖掘出网络的安全状态及变化趋势。将大数据网络的安全态势运用到网络攻击行为预测中，可以根据预测出的网络攻击行为及时地采取防御措施，降低网络攻击带来的损失。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对本专利技术实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术一个实施例提供的网络攻击行为的预测方法的流程示意图；图2是本专利技术一个实施例提供的敏感数据特征之间的关联关系示意图；图3是本专利技术一个实施例提供的网络攻击行为的预测装置的结构示意图；图4是本专利技术又一个实施例提供的预测网络攻击行为的设备的结构示意图。具体实施方式下面将详细描述本专利技术的各个方面的特征和示例性实施例，为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本专利技术进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本专利技术，并不被配置为限定本专利技术。对于本领域技术人员来说，本专利技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本专利技术的示例来提供对本专利技术更好的理解。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。为了解决现有技术问题，本专利技术实施例提供了一种网络攻击行为的预测方法、装置、设备及存储介质。下面首先对本专利技术实施例所提供的网络攻击行为的预测方法进行介绍。图1示出了本专利技术一个实施例提供的网络攻击行为的预测方法的流程示意图。如图1所示，该方法包括：S101，对于网络的每个节点，计算该节点的敏感数据特征之间的关联度。需要补充的是，可以从网络与安全设备的日志、网络运行情况信息、业务与应用的日志记录等获取敏感数据。在获取到敏感数据之后，可以采用聚类算法对敏感数据进行聚类，得到敏感数据特征。其中，聚类算法包括但不限于K均值(K-means)算法。关联度反映了两个敏感数据特征由同一个攻击行为所引发的可靠度。关联度越高，两个敏感数据特征对应同一攻击的概率越大。关联度是反映两个敏感数据特征之间是否存在关联关系，也即安全事件是否对应同一攻击的重要指标。S102，根据该节点的敏感数据特征之间的关联度，建立该节点的敏感数据特征之间的关联关系。筛选出关联度大于预设阈值的敏感数据特征，根据筛选出的敏感数据特征之间的关联度大小，同时出现不同敏感数据特征的数据量，建立敏感数据特征之间的关联关系。敏感数据特征之间具有直接关联关系和间接关联关系，其中，关联度大于预设阈值的两个敏感数据特征之间具有直接关联关系，如果两个不具有直接关联关系的敏感数据特征均与另一个敏感数据特征之间具有直接关联关系，那么这两个不具有直接关联关系的敏感数据特征具有间接关联关系。比如，敏感数据特征i和敏感数据特征k之间的关联度大于预设阈值，敏感数据特征k和敏感数据特征m之间的关联度大于预设阈值，那么特征i和特征k之间是直接关联关系，特征k和特征m之间也是直接关联关系，特征i和特征m之间是间接关联关系。可以建立如图2所示的敏感数据特征之间的关联关系。从图2可以看出，与特征i存在直接关联关系的敏感数据特征分别是特征j和特征k；与特征i存在间接关联关系的敏感数据特征分别是特征j、特征k本文档来自技高网...

【技术保护点】
1.一种网络攻击行为的预测方法，其特征在于，包括：/n对于网络的每个节点，计算所述节点的敏感数据特征之间的关联度；/n根据所述节点的敏感数据特征之间的关联度，建立所述节点的敏感数据特征之间的关联关系；/n根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，所述安全感知序列是表示所述节点的安全性的序列；/n根据所述节点的安全感知序列，得到所述节点的安全态势序列；/n根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为。/n

【技术特征摘要】
1.一种网络攻击行为的预测方法，其特征在于，包括：
对于网络的每个节点，计算所述节点的敏感数据特征之间的关联度；
根据所述节点的敏感数据特征之间的关联度，建立所述节点的敏感数据特征之间的关联关系；
根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，所述安全感知序列是表示所述节点的安全性的序列；
根据所述节点的安全感知序列，得到所述节点的安全态势序列；
根据所述网络的各个所述节点的安全态势序列，预测网络攻击行为。


2.根据权利要求1所述的方法，其特征在于，所述计算所述节点的敏感数据特征之间的关联度，包括：
计算所述节点的敏感数据特征之间的支持度和自信度，所述支持度表示两个敏感数据特征同时出现的概率，所述自信度表示在一个敏感数据特征出现的情况下，另一个敏感数据特征也出现的概率；
根据所述节点的敏感数据特征之间的支持度和自信度，计算所述节点的敏感数据特征之间的关联度。


3.根据权利要求2所述的方法，其特征在于，所述计算所述节点的敏感数据特征之间的支持度和自信度，包括：
根据所述节点的敏感数据中，同时出现敏感数据特征i和敏感数据特征j的数据量，以及所述节点的敏感数据总量，计算所述敏感数据特征i和所述敏感数据特征j之间的支持度Sij；
和/或，
根据所述节点的敏感数据中，同时出现敏感数据特征i和敏感数据特征j的数据量，以及出现敏感数据特征i但不出现敏感数据特征j的数据量，计算敏感数据特征i对于敏感数据特征j的自信度Cij，自信度Cij表示在敏感数据特征i出现的情况下，敏感数据特征j也出现的概率。


4.根据权利要求2所述的方法，其特征在于，所述根据所述节点的敏感数据特征之间的支持度和自信度，计算所述节点的敏感数据特征之间的关联度，包括：
根据所述节点的敏感数据特征i的预定权重、所述节点的敏感数据特征j的预定权值、所述敏感数据特征i和所述敏感数据特征j之间的支持度、以及所述敏感数据特征i和所述敏感数据特征j对于彼此的自信度，计算所述敏感数据特征i和所述敏感数据特征j之间的关联度。


5.根据权利要求1所述的方法，其特征在于，所述根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，包括：
将所述节点的每个敏感数据特征作为待处理特征，根据所述节点的敏感数据特征之间的关联关系，获取与所述待处理特征存在直接关联关系的敏感数据特征，作为直接相关联特征；
根据所述待处理特征与所述直接相关联特征之间的关联度、以及所述节点的流量异常特征与访问频繁特征之间的关联度，计算所述待处理特征与所述直接相关联特征之间的匹配度；
根据所述直接相关联特征的数量、以及所述待处理特征与各个所述直接相关联特征之间的匹配度，计算所述待处理特征的风险值，作为所述节点的安全感知序列中的子序列，所述待处理特征的风险值用于表示当所述节点上出现所述待处理特征时所述节点被攻击的概率。


6.根据权利要求1所述的方法，其特征在于，所述根据所述节点的敏感数据特征之间的关联关系，确定所述节点的安全感知序列，包括：
将所述节点的每个敏感数据特征作为待处理特征，根据所述节点的敏感数据特征之间的关联关系，确定所述待处理特征在敏感数据中的重要程度；
根据所述待处理特征在敏感数据中的重要程...

【专利技术属性】
技术研发人员：刘冬岩，徐金阳，高琛，
申请(专利权)人：中国移动通信集团辽宁有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：辽宁;21