本公开的实施例提供了基于网络流量的团伙攻击检测方法、装置、设备及介质。所述方法包括获取待检测流量数据;所述待检测流量数据包括:用户信息、实体信息及对应时间戳;将所述待检测流量划分成多个组合,其中,每个组合包括用户信息及对应实体信息和时间戳;对于所述多个组合中的每一个,按照预设时间窗口大小进行时间窗分割;计算目标时间窗口内两两用户间的同步性,并提取出同步性大于等于预设阈值的两两用户;基于联通分量算法对提取出的两两用户进行同步性处理,得到多个风险集群;基于得到的多个风险集群判断是否存在团伙攻击。以此方式,可将团伙行为和正常用户进行有效区分,并挖掘出大量的团伙用户,快速准确识别bot团伙的攻击行为。的攻击行为。的攻击行为。
【技术实现步骤摘要】
基于网络流量的团伙攻击检测方法、装置、设备及介质
[0001]本公开涉及网络安全领域,尤其涉及基于网络流量的团伙攻击检测方法、装置、设备及介质
技术介绍
[0002]随着互联网技术的发展和检测攻击策略的不断完善,个体攻击的难度越来越大,同时由于个体账户获取成本越来越低,攻击行为团伙化、组织化的趋势不断增加,并且各类团伙攻击对金融、电商等企业造成的损失非常巨大。由于甄别团伙行为的规则依赖于从大量历史案例中总结出来的“专家知识”,但攻击行为不断发生变化和规则的滞后性,使得团伙攻击行为难以高效快速的检测,如果不及时发现大规模的攻击行为,就无法确保系统的安全稳定。
技术实现思路
[0003]本公开提供了一种基于网络流量的团伙攻击检测方法、装置、设备及介质。
[0004]根据本公开的第一方面,提供了一种基于网络流量的团伙攻击检测方法。该方法包括:
[0005]获取待检测流量数据;所述待检测流量数据包括:用户信息、实体信息及对应时间戳;
[0006]将所述待检测流量划分成多个组合,其中,每个组合包括用户信息及对应实体信息和时间戳;
[0007]对于所述多个组合中的每一个,按照预设时间窗口大小进行时间窗分割;
[0008]计算目标时间窗口内两两用户间的同步性,并提取出同步性大于等于预设阈值的两两用户;
[0009]基于联通分量算法对提取出的两两用户进行同步性处理,得到多个风险集群;
[0010]基于得到的多个风险集群判断是否存在团伙攻击。
[0011]进一步地,所述用户信息包括:用户ID、IP地址、用户代理信息,对于一个用户是以用户ID或以IP地址加用户代理信息进行表示;所述实体信息包括:访问路径、设备信息。
[0012]进一步地,所述对于所述多个组合中的每一个,按照预设时间窗口大小进行时间窗分割,包括:
[0013]基于时间戳对划分的多个组合按照时间顺序进行排序,生成时间序列组合;
[0014]根据预设时间窗口大小对所述时间序列组合进行分割,其中,相邻的预设时间窗口的交集不为空。
[0015]进一步地,所述目标时间窗口为单个时间窗口,所述计算目标时间窗口内两两用户间的同步性,包括:
[0016]按预设时间间隔计算单个时间窗口内两两用户的第一实体的组合数量,得到两两用户的第一实体的独立操作数;
[0017]按所述预设时间间隔统计两两用户的同步组合数量,得到两两用户的第一实体的同步操作数;
[0018]计算所述同步操作数与所述独立操作数的比值,得到对应两用户的第一实体的初始同步性;
[0019]直至所有实体分别计算完成初始同步性,将最大初始同步性作为对应两用户的单实体的同步值。
[0020]进一步地,所述目标时间窗口为所有时间窗口,所述计算目标时间窗口内两两用户间的同步性,还包括:
[0021]若两用户的单实体的同步值为0或1,则计算所有时间窗口内两两用户对应所有实体的组合数量,得到两两用户对应的整体操作数;
[0022]获取两两用户对应的整体同步数;所述整体同步数为两两用户的所有实体的同步操作数之和;
[0023]计算所述整体同步数与所述整体操作数的比值,得到对应两用户的整体的同步性。
[0024]进一步地,所述基于得到的多个风险集群判断是否存在团伙攻击,包括:
[0025]基于预设数量逐个对得到的多个风险集群的大小进行判断;
[0026]若风险集群的用户数量大于等于所述预设数量,则表示对应风险集群存在团伙攻击;
[0027]若风险集群的用户数量小于所述预设数量,则计算对应风险集群的异常分数值;若所述异常分数值大于等于预设异常数值,则表示对应风险集群存在团伙攻击。
[0028]进一步地,所述异常分数值的计算公式如下:
[0029][0030]其中,score((u,v,t))表示目标用户的异常分数值;u、v分别表示节点;t表示当前时刻;表示当前时间窗口u
‑
v之间出现的组合数量;表示当前时间窗口的前面所有时间窗口u
‑
v之间出现的组合数量。
[0031]根据本公开的第二方面,提供了一种基于网络流量的团伙攻击检测装置。该装置包括:
[0032]流量获取模块,用于获取待检测流量数据;所述待检测流量数据包括:用户信息、实体信息及对应时间戳;
[0033]划分组合模块,用于将所述待检测流量划分成多个组合,其中,每个组合包括用户信息及对应实体信息和时间戳;
[0034]时间窗分割模块,用于对于所述多个组合中的每一个,按照预设时间窗口大小进行时间窗分割;
[0035]同步性计算模块,用于计算目标时间窗口内两两用户间的同步性,并提取出同步性大于等于预设阈值的两两用户;
[0036]风险集群模块,用于基于联通分量算法对提取出的两两用户进行同步性处理,得到多个风险集群;
[0037]攻击判断模块,用于基于得到的多个风险集群判断是否存在团伙攻击。
[0038]根据本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
[0039]根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面所述的方法。
[0040]本公开的实施例提供的基于网络流量的团伙攻击检测方法、装置、设备及介质,所述方法包括获取待检测流量数据,将所述待检测流量划分成多个组合,按照预设时间窗口大小对组合进行时间窗分割后,计算目标时间窗口内两两用户间的同步性,并提取出同步性大于等于预设阈值的两两用户;基于联通分量算法对提取出的两两用户进行同步性处理,得到多个风险集群;基于得到的多个风险集群判断是否存在团伙攻击。以此方式,可将团伙行为和正常用户进行有效区分,并挖掘出大量的团伙用户,快速准确识别bot团伙的攻击行为。
[0041]应当理解,
技术实现思路
部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0042]结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0043]图1示出了根据本公开的实施例的一种基于网络流量的团伙攻击检测方法的流程图;
[0044]图2示出了根据本公开的又一实施例的一种基于网络流量的团伙攻击检测方法的流程图;
[0045]图3示出了根据本公开的又一实施例的一种基于网络流量的团伙攻击检测方法的流程图;
[0046]图4示出了根据本公开的又一实施例的一种基于网络流量的团伙攻击检测方法的流程图;
[0047]图本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于网络流量的团伙攻击检测方法,其特征在于,包括:获取待检测流量数据;所述待检测流量数据包括:用户信息、实体信息及对应时间戳;将所述待检测流量划分成多个组合,其中,每个组合包括用户信息及对应实体信息和时间戳;对于所述多个组合中的每一个,按照预设时间窗口大小进行时间窗分割;计算目标时间窗口内两两用户间的同步性,并提取出同步性大于等于预设阈值的两两用户;基于联通分量算法对提取出的两两用户进行同步性处理,得到多个风险集群;基于得到的多个风险集群判断是否存在团伙攻击。2.根据权利要求1所述的方法,其特征在于,所述用户信息包括:用户ID、IP地址、用户代理信息,对于一个用户是以用户ID或以IP地址加用户代理信息进行表示;所述实体信息包括:访问路径、设备信息。3.根据权利要求1所述的方法,其特征在于,所述对于所述多个组合中的每一个,按照预设时间窗口大小进行时间窗分割,包括:基于时间戳对划分的多个组合按照时间顺序进行排序,生成时间序列组合;根据预设时间窗口大小对所述时间序列组合进行分割,其中,相邻的预设时间窗口的交集不为空。4.根据权利要求1所述的方法,其特征在于,所述目标时间窗口为单个时间窗口,所述计算目标时间窗口内两两用户间的同步性,包括:按预设时间间隔计算单个时间窗口内两两用户的第一实体的组合数量,得到两两用户的第一实体的独立操作数;按所述预设时间间隔统计两两用户的同步组合数量,得到两两用户的第一实体的同步操作数;计算所述同步操作数与所述独立操作数的比值,得到对应两用户的第一实体的初始同步性;直至所有实体分别计算完成初始同步性,将最大初始同步性作为对应两用户的单实体的同步值。5.根据权利要求4所述的方法,其特征在于,所述目标时间窗口为所有时间窗口,所述计算目标时间窗口内两两用户间的同步性,还包括:若两用户的单实体的同步值为0或1,则计算所有时间窗口内两两用户对应所有实体的组合数量,得到两两用户对应的整体操作数;获取两两用户对应的整体同步数;所述整体同步数为两两用户的所有实体的同步操作数之和;计算所述整体同步数与所述整体操作数的比值,得到...
【专利技术属性】
技术研发人员:解建华,高霞,刘玉权,
申请(专利权)人:中通服创发科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。