【技术实现步骤摘要】
一种网络有组织攻击入侵检测方法及装置
[0001]本专利技术属于网络安全
,尤其涉及一种网络有组织攻击入侵检测方法及装置。
技术介绍
[0002]自20世纪末期Internet兴起以来,网络空间越来越成为人们日常工作和生活中不可或缺的空间。然而,由于普通民众对网络安全认知的缺乏以及网络空间基础设施自身设计上的缺陷,网络空间犯罪层出不穷,网络攻击难以根除。这些攻击对个人、企业、政府部门的利益造成了严重的损失。网络空间中的安全问题也因此受到了广泛的关注。对于网络攻击——更广泛地说,网络威胁的防御,企业和政府部门比较普遍的做法是部署威胁检测系统。
[0003]现有的网络威胁检测方法主要有三类。第一类是基于知识的检测,也称为基于签名的检测,主要根据某些特定规则检测威胁。这类方法可以高准确率地检测已知攻击,但对未知攻击检测性能较差,第二类是基于异常的检测,主要通过与预定义的正常行为进行比较来检测威胁。这类方法可以很好地处理未知攻击,但是其误报率较高。第三类是基于机器学习的检测,通过提取流量的隐含特征检测威胁。这类方法已经...
【技术保护点】
【技术特征摘要】
1.一种网络有组织攻击入侵检测方法,其特征在于,包括:通过Wireshark软件捕获网络数据包;基于捕获的网络数据包构建网络拓扑图;基于构建的网络拓扑图生成网络拓扑图的连通分支;采用Embed算法对各个连通分支生成各个节点的网络嵌入向量;采用LOF算法对网络嵌入向量计算LOF异常值;根据LOF异常值对网络有组织攻击发出告警。2.根据权利要求1所述的一种网络有组织攻击入侵检测方法,其特征在于,所述基于捕获的网络数据包构建网络拓扑图包括:对Wireshark捕获的网络数据包进行过滤,留下网络层IP地址的校验和正确的数据包;对每个IP地址的校验和正确的数据包提取目的IP地址和源IP地址;对所有IP地址从0开始连续编号,得到编号后的网络拓扑图。3.根据权利要求2所述的一种网络有组织攻击入侵检测方法,其特征在于,所述基于构建的网络拓扑图生成网络拓扑图的连通分支包括:对编号后的网络拓扑图生成连通分支;对于每个连通分支,将其中的节点从0开始重新连续编号,得到新的子图。4.根据权利要求1所述的一种网络有组织攻击入侵检测方法,其特征在于,所述采用Embed算法对各个连通分支生成各个节点的网络嵌入向量包括:初始化:对于每个连通分支G(V,E),其中,V为节点的集合,E为边的集合,先用图划分软件METIS对其进行初始划分,并对每个节点的d维网络嵌入向量初始化为Current
i
;迭代:对于非边集合E
n
,抽样得到其子集E
s
,计算方向向量Direction
i
,计算节点i新的网络嵌入向量Next
i
;若满足迭代结束条件,则结束迭代,输出Current
i
;否则Current
i
=Next
...
【专利技术属性】
技术研发人员:郭云飞,陈鹏,张建朋,扈红超,王亚文,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。