【技术实现步骤摘要】
一种基于行为序列的IP网络攻击群体分类方法
[0001]本专利技术属于数据安全、以及数据挖掘群体分类
,涉及一种基于行为序列的IP网络攻击群体分类方法。
技术介绍
[0002]网络攻击类型多种多样,如今在大多数安全平台和设备的拦截与防护下,可以准确识别出存在恶意行为的IP,但是由于网络攻击IP之间在被攻击平台内无通信联系或者直接关联信息,致使安全设备或者受害平台自身无法对已识别恶意IP进行群体分类。
[0003]分类方法通常是根据已有数据集本身具有特点,加上数据特征构造及数学分类算法构造的一种分类模型。该分类算法又包括有监督和无监督类型,其中无监督分模型包括如基于均值、密度等计算原理的多种聚类算法。如K
‑
means算法是基于欧式距离,初始化类别个数,计算每个点与类别中心点距离,然后将该点划归新分组,新分组均值为新中心点,继续迭代,直到中心点位置几乎不变,完成群体分类需求。
[0004]目前已有的基于行为序列的群体分类方法,大多是根据行为序列基本属性、分析对象的行为轨迹、分析对象的社交...
【技术保护点】
【技术特征摘要】
1.一种基于行为序列的IP网络攻击群体分类方法,其特征在于,步骤如下:S101、获取运营商安全防护平台的恶意IP行为数据集,包括IP、操作时间及行为序列;S102、数据清洗,并对行为序列进行字典编码,生成以IP为分析对象,及其对应的行为序列数据;S103、使用关联规则算法对所有IP的行为序列数据,进行行为频繁项计算,后用作特征字段;S104、对所有IP行为序列进行莱温斯顿距离相似度计算,将相似度范围划分为四个区间,针对每个IP统计在各个区间中的对应范围内的IP数值,四个区间作为特征字段;S105、统计全体IP行为序列中的各个指令的出现频次,作为特征字段;S106、对所有特征字段进行特征工程处理,并整理为模型输入格式;S107、使用聚类分析,得出IP网络攻击群体分类;2.根据权利要求1所述的一种基于行为序列的IP网络攻击群体分类方法,其特征在于,所述步骤S101中,与运营商安全防护相关平台数据管理中心以及相关业务人员沟通获取恶意IP行为数据集,数据包含字段有IP,操作时间、行为指令。3.根据权利要求1所述的一种基于行为序列的IP网络攻击群体分类方法,其特征在于,所述步骤S102中,对于获取的样本数据集,进行噪音处理、行为指令编码,以时间顺序对样本数据生成以IP为分析对象,及其对应的行为序列数据。4.根据权利要求1所述的一种基于行为序列的IP网络攻击群体分类方法,其特征在于,所述步骤S103中,利用apriori算法对全体IP行为数据进行频繁行为指令组合提取,得到不同长度的频繁指令组合列表,将该列表的每个指令组合作为特征字段,对每个IP的行为序列进行该...
【专利技术属性】
技术研发人员:奚阳,陈郑,胡晓坤,
申请(专利权)人:中电鸿信信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。