(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211512639.9 (22)申请日 2022.11.30 (71)申请人 浙江省能源集团有限公司 地址 310007 浙江省杭州市西湖区天目山 路152号 申请人 浙江鹏信 信息科技股份有限公司 (72)发明人 孙科达　范海东　解剑波　应依依　 王正位　魏亚洁　国毓芯　赵祥廷　 章亮　 (74)专利代理 机构 浙江永鼎律师事务所 3 3233 专利代理师 王日精 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/04(2022.01) (54)发明名称 网络攻击监控预警方法及系统 (57)摘要 本发明涉及网络攻击监控预警方法及系统， 基于网络攻击的历史日志信息， 根据防御端IP和 攻击端IP 对历史日志信息进行分组， 得到防御端 日志数据和攻击端日志数据； 之后对防御端日志 数据和攻击端日志数据分别构建IP时序矩阵和 IP时间差矩阵， 基于IP时间差矩阵， 获取各待预 警IP和当前时刻之前邻近的数个时间差， 形成第 一预测数据集； 对第一预测数据集分布进行 Holt‑Winters和ARIMA预测， 并利用熵权法对两 种预测的时间差进行权重划分， 得到目标时间 差； 最后根据当前时刻和目标时间差得到各待预 警IP下一时刻攻击或被攻击的目标时刻。 本发明 实现防御端和攻击端 对攻击时间的双向预警。 权利要求书3页 说明书12页 附图2页 CN 115550072 A 2022.12.30 CN 115550072 A 1.网络攻击监控预警方法， 其特 征在于， 包括以下步骤： S1、 获取网络攻击的历史日志信息， 历史日志信息包括防御端IP、 攻击端IP和攻击时 间； S2、 根据防御端IP和攻击端IP对历史日志信息进行分组， 得到 防御端日志数据和攻击 端日志数据； S3、 分别对 防御端日志数据和攻击端日志数据进行数据特征聚合， 并对数据特征聚合 后得到的数据特 征集进行层次聚类， 得到防御端聚类簇和攻击端聚类簇； S4、 将防御端聚类簇内的日志数据以IP为单位进行聚合处理， 得到防御端IP及其对应 的攻击时间构成的第一IP时序 矩阵， 再根据第一IP时序 矩阵转换得到防御端IP及其对应的 相邻攻击时间的差值构成的第一 IP时间差矩阵； 将攻击端聚类簇内的日志数据以IP为单位进行聚合处理， 得到攻击端IP及其对应的攻 击时间构成的第二IP时序 矩阵， 再根据第二IP时序 矩阵转换得到攻击端IP及其对应的相 邻 攻击时间的时间差构成的第二 IP时间差矩阵； S5、 基于第一IP时间差矩阵、 第二IP时间差矩阵， 获取各待预警IP和当前 时刻之前邻近 的数个时间差， 形成第一预测数据集； S6、 对第一预测数据集进行Holt ‑Winters预测， 得到各待预警IP下一时刻攻击或被攻 击的第一时间差； 对第一预测数据集进行ARIMA预测， 得到各待预警IP下一时刻攻击或被攻击的第二时 间差； S7、 利用熵权法对第一时间差和第二时间差进行权重划分， 以得到目标时间差； 并根据 当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。 2.根据权利要求1所述的网络攻击监控预警方法， 其特征在于， 所述步骤S3中， 对 防御 端日志数据进行数据特征聚合得到的数据特征包括防御端IP、 全天被攻击频次、 平均被攻 击时间间隔、 攻击类型、 连续被攻击跨越小时窗数量、 小时窗内最大被攻击频次； 对攻击端日志数据进行数据特征聚合得到的数据特征包括攻击端IP、 全天攻击频次、 平均攻击时间 间隔、 攻击类型、 连续 攻击跨越小时窗数量、 小时窗内最大攻击频次。 3.根据权利要求1所述的网络攻击监控预警方法， 其特征在于， 所述步骤S4中， 第一IP 时序矩阵或第二 IP时序矩阵为： 其中， IPi为第i个防御端IP或攻击端IP， i取值为1～ m之间的整数， m为防御端IP或攻击 端IP的总数量； tij为第i个防御端IP的第 j次被攻击的时刻或第 i个攻击端IP的第 j次攻击的时刻， j取 值为1～n之间的整数， n为历史日志信息内被攻击或攻击的总次数。 4.根据权利要求3所述的网络攻击监控预警方法， 其特征在于， 所述步骤S4中， 第一IP 时间差矩阵或第二 IP时间差矩阵为：权　利　要　求　书 1/3 页 2 CN 115550072 A 2其中，cij=ti(j+1)‑ tij。 5.根据权利要求4所述的网络攻击监控预警方法， 其特征在于， 所述步骤S5中， 第一预 测数据集的矩阵形式为： 其中， 为第k个待预警IP， k取值为1～K之间的整数， K为待预警IP的总数量； 为第k个待预警IP的当前时刻之前邻近的第 l个时间差， l取值为1～ L之间的整数， L 为选取当前时刻之前邻近的时间差的个数。 6.根据权利要求1所述的网络攻击监控预警方法， 其特 征在于， 还 包括以下步骤： S40、 基于第一IP时序矩阵， 将防御端聚类簇内的日志数据按分钟划分为24*60个时间 窗， 统计每个时间窗内被攻击的次数， 得到被攻击次数时间窗矩阵； 基于第二IP时序矩阵， 将攻击端聚类簇内的日志数据按分钟划分为24*60个时间窗， 统 计每个时间窗内攻击的次数， 得到攻击次数时间窗矩阵； S50、 获取各待预警IP和当前时刻之前邻近的数个时间窗， 形成第二预测数据集； S60、 将第二预测数据集输入GRU网络， 并将GRU网络的输出作为全连接神经网络的输 入， 通过全连接神经网络的输出 得到当前时刻之后的数个时间窗的次数 预警。 7.根据权利要求6所述的网络攻击监控预警方法， 其特征在于， 所述步骤S40 中， 被攻击 次数时间窗矩阵或攻击次数时间窗矩阵为： 其中， IPi为第i个防御端IP或攻击端IP， i取值为1～ m之间的整数， m为防御端IP或攻击 端IP的总数量； piq为第i个防御端IP的第 q个时间窗内被攻击的次数或攻击次数， q取值为1～24*60之 间的整数。权　利　要　求　书 2/3 页 3 CN 115550072 A 3