基于多元数据的重要网络攻击团伙识别方法技术

本发明专利技术为一种基于多元数据的重要网络攻击团伙识别方法，主要步骤包括：数据清洗和特征筛选，组建特征计算数据集，筛选出评分参考项，赋予分数权重及对进行团伙评判。本发明专利技术通过专家经验组建特征计算数据集，并以此数据集为基础计算各个特征的皮尔森系数并结合距离相关系数，将关联性比较大的特征作为重要团伙评判特征，并将筛选出来的特征人工赋权使其更适应实际情况。本发明专利技术对不同类型特征采用的碰撞、数量统计和模板匹配三种统计法，同时引用了统计特征工程和人工赋权结合的方法，既保证了所选特征与结果的相关性，同时又可以根据实际情况对权重进行调整，进而完成对重要团伙的识别。其解决了本领域面向重要团伙自动化识别的关键技术指标。的关键技术指标。的关键技术指标。

【技术实现步骤摘要】
基于多元数据的重要网络攻击团伙识别方法


[0001]本专利技术涉及一种网络安全领域，特别是涉及一种基于多元数据的重要 网络攻击团伙识别方法。

技术介绍

[0002]目前基于大量安全事件数据可对安全事件进行粗轮廓统计分析，也可 对事件开展一定的追踪溯源。随着网络攻击和防御之间对抗的加深和演 变，网络攻击行为向着分布化、规模化等趋势发展。与其他大量由单个攻 击资源发起的偶发性攻击事件不同，团伙攻击是通过相对独占的规模化攻 击资源，基于一定的攻击手法进行规模化攻击的攻击行为，团伙攻击行为 往往带有典型的情报、经济等利益目标，得到尤为特殊的关注，例如APT 攻击组织、黑产团伙即是典型的团伙性攻击事件的发起者。
[0003]网络攻击团伙作为一个有规模的组织，给当今的互联网安全带来了巨 大的威胁，任何连接互联网的设备都可以作为资源被网络攻击团伙侵占， 包括笔记本电脑、台式电脑、智能手机、DVR播放器、无线路由器以及其他 物联网(IoT)设备。整个攻击网络由命令和控制(C&C)服务器控制。C &C服务器是受黑客或黑客组本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多元数据的重要网络攻击团伙识别方法，其特征在于：具体步骤如下：步骤1：数据清洗和特征筛选删掉原始数据中的无用字段避免内存浪费，同时保证各个特征的相关性和有效性；步骤2：组建特征计算数据集通过大量专家经验组建特征计算数据集；步骤3：筛选出评分参考项根据特征计算数据集通过过滤法即JFilter计算各个特征的皮尔森系数和距离相关系数即Distance Correlation筛选出和团伙重要性相关度高的特征作为之后的评分参考项；步骤4：赋予分数权重针对筛选出和团伙重要性相关度高的特征赋予分数权重，其中部分权重通过json格式写入配置文件；步骤5：对进行团伙评判采用归一化统计方法对每一个团伙进行评判；计算完所有子项评分之后，将所有子项合并得出总分，之后按照总分高低进行排名，并且给出多个等级的评级。2.根据权利要求1所述的一种基于多元数据的重要网络攻击团伙识别方法，其特征在于：所述的过滤法即Filter计算各个特征的皮尔森系数，皮尔森系数计算方法如下：其中：r为皮尔森相关系数X为自变量Y为因变量。3.根据权利要求1所述的一种基于多元数据的重要网络攻击团伙识别方法，其特征在于...

【专利技术属性】
技术研发人员：饶毓，肖崇蕙，吕利锋，赵德润，滑亚康，吴铁军，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：