(19)国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202211512639.9
(22)申请日 2022.11.30
(71)申请人 浙江省能源集团有限公司
地址 310007 浙江省杭州市西湖区天目山
路152号
申请人 浙江鹏信 信息科技股份有限公司
(72)发明人 孙科达 范海东 解剑波 应依依
王正位 魏亚洁 国毓芯 赵祥廷
章亮
(74)专利代理 机构 浙江永鼎律师事务所 3 3233
专利代理师 王日精
(51)Int.Cl.
H04L 9/40(2022.01)
H04L 43/04(2022.01)
(54)发明名称
网络攻击监控预警方法及系统
(57)摘要
本发明涉及网络攻击监控预警方法及系统,
基于网络攻击的历史日志信息, 根据防御端IP和
攻击端IP 对历史日志信息进行分组, 得到防御端
日志数据和攻击端日志数据; 之后对防御端日志
数据和攻击端日志数据分别构建IP时序矩阵和
IP时间差矩阵, 基于IP时间差矩阵, 获取各待预
警IP和当前时刻之前邻近的数个时间差, 形成第
一预测数据集; 对第一预测数据集分布进行
Holt‑Winters和ARIMA预测, 并利用熵权法对两
种预测的时间差进行权重划分, 得到目标时间
差; 最后根据当前时刻和目标时间差得到各待预
警IP下一时刻攻击或被攻击的目标时刻。 本发明
实现防御端和攻击端 对攻击时间的双向预警。
权利要求书3页 说明书12页 附图2页
CN 115550072 A
2022.12.30
CN 115550072 A
1.网络攻击监控预警方法, 其特 征在于, 包括以下步骤:
S1、 获取网络攻击的历史日志信息, 历史日志信息包括防御端IP、 攻击端IP和攻击时
间;
S2、 根据防御端IP和攻击端IP对历史日志信息进行分组, 得到 防御端日志数据和攻击
端日志数据;
S3、 分别对 防御端日志数据和攻击端日志数据进行数据特征聚合, 并对数据特征聚合
后得到的数据特 征集进行层次聚类, 得到防御端聚类簇和攻击端聚类簇;
S4、 将防御端聚类簇内的日志数据以IP为单位进行聚合处理, 得到防御端IP及其对应
的攻击时间构成的第一IP时序 矩阵, 再根据第一IP时序 矩阵转换得到防御端IP及其对应的
相邻攻击时间的差值构成的第一 IP时间差矩阵;
将攻击端聚类簇内的日志数据以IP为单位进行聚合处理, 得到攻击端IP及其对应的攻
击时间构成的第二IP时序 矩阵, 再根据第二IP时序 矩阵转换得到攻击端IP及其对应的相 邻
攻击时间的时间差构成的第二 IP时间差矩阵;
S5、 基于第一IP时间差矩阵、 第二IP时间差矩阵, 获取各待预警IP和当前 时刻之前邻近
的数个时间差, 形成第一预测数据集;
S6、 对第一预测数据集进行Holt ‑Winters预测, 得到各待预警IP下一时刻攻击或被攻
击的第一时间差;
对第一预测数据集进行ARIMA预测, 得到各待预警IP下一时刻攻击或被攻击的第二时
间差;
S7、 利用熵权法对第一时间差和第二时间差进行权重划分, 以得到目标时间差; 并根据
当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。
2.根据权利要求1所述的网络攻击监控预警方法, 其特征在于, 所述步骤S3中, 对 防御
端日志数据进行数据特征聚合得到的数据特征包括防御端IP、 全天被攻击频次、 平均被攻
击时间间隔、 攻击类型、 连续被攻击跨越小时窗数量、 小时窗内最大被攻击频次;
对攻击端日志数据进行数据特征聚合得到的数据特征包括攻击端IP、 全天攻击频次、
平均攻击时间 间隔、 攻击类型、 连续 攻击跨越小时窗数量、 小时窗内最大攻击频次。
3.根据权利要求1所述的网络攻击监控预警方法, 其特征在于, 所述步骤S4中, 第一IP
时序矩阵或第二 IP时序矩阵为:
其中, IPi为第i个防御端IP或攻击端IP, i取值为1~ m之间的整数, m为防御端IP或攻击
端IP的总数量;
tij为第i个防御端IP的第 j次被攻击的时刻或第 i个攻击端IP的第 j次攻击的时刻, j取
值为1~n之间的整数, n为历史日志信息内被攻击或攻击的总次数。
4.根据权利要求3所述的网络攻击监控预警方法, 其特征在于, 所述步骤S4中, 第一IP
时间差矩阵或第二 IP时间差矩阵为:权 利 要 求 书 1/3 页
2
CN 115550072 A
2其中,cij=ti(j+1)‑ tij。
5.根据权利要求4所述的网络攻击监控预警方法, 其特征在于, 所述步骤S5中, 第一预
测数据集的矩阵形式为:
其中,
为第k个待预警IP, k取值为1~K之间的整数, K为待预警IP的总数量;
为第k个待预警IP的当前时刻之前邻近的第 l个时间差, l取值为1~ L之间的整数, L
为选取当前时刻之前邻近的时间差的个数。
6.根据权利要求1所述的网络攻击监控预警方法, 其特 征在于, 还 包括以下步骤:
S40、 基于第一IP时序矩阵, 将防御端聚类簇内的日志数据按分钟划分为24*60个时间
窗, 统计每个时间窗内被攻击的次数, 得到被攻击次数时间窗矩阵;
基于第二IP时序矩阵, 将攻击端聚类簇内的日志数据按分钟划分为24*60个时间窗, 统
计每个时间窗内攻击的次数, 得到攻击次数时间窗矩阵;
S50、 获取各待预警IP和当前时刻之前邻近的数个时间窗, 形成第二预测数据集;
S60、 将第二预测数据集输入GRU网络, 并将GRU网络的输出作为全连接神经网络的输
入, 通过全连接神经网络的输出 得到当前时刻之后的数个时间窗的次数 预警。
7.根据权利要求6所述的网络攻击监控预警方法, 其特征在于, 所述步骤S40 中, 被攻击
次数时间窗矩阵或攻击次数时间窗矩阵为:
其中, IPi为第i个防御端IP或攻击端IP, i取值为1~ m之间的整数, m为防御端IP或攻击
端IP的总数量;
piq为第i个防御端IP的第 q个时间窗内被攻击的次数或攻击次数, q取值为1~24*60之
间的整数。权 利 要 求 书 2/3 页
3
CN 115550072 A
3
专利 网络攻击监控预警方法及系统
安全报告 >
其他 >
文档预览
中文文档
18 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共18页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-18 16:43:49上传分享