(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111503668.4 (22)申请日 2021.12.09 (71)申请人 华迪计算机集团有限公司 地址 100192 北京市海淀区杏石口路甲18 号航天信息园1号楼西区三层 (72)发明人 汪媛　黄兆强　张乃夫　 (74)专利代理 机构 北京工信联合知识产权代理 有限公司 1 1266 代理人 贾银秋 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 7/00(2006.01) (54)发明名称 基于GLM析因方法确定网络攻击源 所在区域 的方法及系统 (57)摘要 本发明公开了一种基于GLM析因方法确定网 络攻击源所在区域的方法及系统， 包括： 根据不 同区域和不同时间段的网络安全攻击数据的分 析需求， 确定需要采集的网络攻击数据信息； 基 于所述网络攻击数据信息， 按照预设采集方法进 行数据采集， 获取不同区域对应的样本数据； 对 所述样本数据进行正态性和方差齐性校验； 当所 述样本数据同时满足正态性和方差齐性时， 进行 样本因素GLM析因方差分析,获取析因方差分析 结果； 根据所述析因方差分析结果进行网络攻击 溯源， 确定网络攻击源所在的区域。 本发明能够 实现网络安全运营方式向事前安全防护运营方 向方式转变， 提升网络防护的针对性， 提升安全 运维部门的运行效率， 从而进一步提高网络安全 性。 权利要求书2页 说明书8页 附图2页 CN 114389840 A 2022.04.22 CN 114389840 A 1.一种基于GLM析因方法确定网络攻击源所在区域的方法， 其特征在于， 所述方法包 括： 根据不同区域和不同时间段的网络安全攻击数据的分析需求， 确定 需要采集的网络攻 击数据信息； 基于所述网络攻击数据信息， 按照预设采集方法进行数据采集， 获取不同区域对应的 样本数据； 对所述样本数据进行正态性和方差齐性校验； 当所述样本数据同时满足正态性和方差齐性时， 进行样本因素GLM析因方差分析,获取 析因方差分析 结果； 根据所述析因方差分析 结果进行网络攻击溯源， 确定网络攻击源所在的区域。 2.根据权利要求1所述的方法， 其特 征在于， 所述网络攻击数据信息， 包括： 网络攻击来源信息、 攻击目的数据信息、 攻击手段信息和攻击危害程度信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述方法基于简单随机抽样进行数据采 集， 获取不同区域对应的样本数据； 其中， 采用比例样本容 量公式法确定样本容 量， 包括： 其中， n为样本容量； P为比例值； Z为对应的标准正态分布的分位点值； e为抽样误差； N 为总体数量。 4.根据权利要求1所述的方法， 其特 征在于， 在进行样本正态性检验时， 若样本分布呈明显的正偏态或负偏态， 则样本均数不能反 映总体分布情况， 此时采用非参数检验方法对样本进行检测， 以得到稳健的统计分析结果 或者重新进 行样本采样； 若样本 分布通过标准正态性检测， 则采用标准的参数分析方法， 对 样本数据进行分析处 理； 基于方齐性校验判断样本数据是否满足样本方差齐性， 并当检测到样本方差不齐时， 采用校正方法对方差检测结果进行校正； 其中， 所述校正方法包括： Tamhane ’s T2、 Dunnett’s、 Game‑Howell或Dunnett’s C。 5.根据权利要求1所述的方法， 其特征在于， 所述根据所述析因方差分析结果进行网络 攻击溯源， 确定网络攻击源所在的区域， 包括： 若根据析因方差结果确定分析因素间高阶效应P值小于5％， 则确定分析因素间存在高 阶交互效应， 因素 水平间存在统计学差异， 选取概 率最大的区域 为网络攻击源所在的区域。 6.一种基于GLM析因系统分析的网络溯源攻击的分析系统， 其特征在于， 所述系统包 括： 网络攻击数据信 息确定单元， 用于根据不同区域和不同时间段的网络安全攻击数据的 分析需求， 确定需要采集的网络攻击数据信息； 样本数据获取单元， 用于基于所述网络攻击数据信息， 按照预设采集系统进行数据采 集， 获取不同区域对应的样本数据； 校验单元， 用于对所述样本数据进行正态性和方差齐性校验；权　利　要　求　书 1/2 页 2 CN 114389840 A 2析因方差分析单元， 用于当所述样本数据同时满足正态性和方差齐性时， 进行样本因 素GLM析因方差分析,获取 析因方差分析 结果； 网络攻击源确定单元， 用于根据所述析因方差分析结果进行网络攻击溯源， 确定网络 攻击源所在的区域。 7.根据权利要求6所述的系统， 其特 征在于， 所述网络攻击数据信息， 包括： 网络攻击来源信息、 攻击目的数据信息、 攻击手段信息和攻击危害程度信息 。 8.根据权利要求6所述的系统， 其特征在于， 所述样本数据获取单元， 基于简单随机抽 样进行数据采集， 获取不同区域对应的样本数据； 其中， 采用比例样本容 量公式法确定样本容 量， 包括： 其中， n为样本容量； P为比例值； Z为对应的标准正态分布的分位点值； e为抽样误差； N 为总体数量。 9.根据权利要求6所述的系统， 其特 征在于， 在进行样本正态性检验时， 若样本分布呈明显的正偏态或负偏态， 则样本均数不能反 映总体分布情况， 此时采用非参数检验系统对样本进行检测， 以得到稳健的统计分析结果 或者重新进 行样本采样； 若样本 分布通过标准正态性检测， 则采用标准的参数分析系统， 对 样本数据进行分析处 理； 基于方齐性校验判断样本数据是否满足样本方差齐性， 并当检测到样本方差不齐时， 采用校正系统对方差检测结果进行校正； 其中， 所述校正系统包括： Tamhane ’s T2、 Dunnett’s、 Game‑Howell或Dunnett’s C。 10.根据权利要求6所述的系统， 其特征在于， 所述网络攻击源确定单元， 根据 所述析因 方差分析 结果进行网络攻击溯源， 确定网络攻击源所在的区域， 包括： 若根据析因方差结果确定分析因素间高阶效应P值小于5％， 则确定分析因素间存在高 阶交互效应， 因素 水平间存在统计学差异， 选取概 率最大的区域 为网络攻击源所在的区域。权　利　要　求　书 2/2 页 3 CN 114389840 A 3