本發(fā)明涉及網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域：
，具體而言，涉及一種網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)方法及裝置。
背景技術(shù)：
：隨著網(wǎng)絡(luò)攻擊技術(shù)和工具的發(fā)展演變，網(wǎng)絡(luò)攻擊方式不斷朝著自動(dòng)化、智能化、協(xié)同化方向發(fā)展，其中協(xié)同化網(wǎng)絡(luò)攻擊借助自身隱蔽性好、可靠性高等特征在黑客組織得到大范圍的傳播和應(yīng)用。目前，絕大多數(shù)企業(yè)或機(jī)構(gòu)已經(jīng)實(shí)現(xiàn)傳統(tǒng)服務(wù)模式到互聯(lián)網(wǎng)服務(wù)模式的轉(zhuǎn)變，面對(duì)多領(lǐng)域業(yè)務(wù)擴(kuò)展、大量的用戶(hù)群體和快速變化的網(wǎng)絡(luò)環(huán)境，協(xié)同攻擊因其協(xié)同關(guān)系復(fù)雜和協(xié)同節(jié)點(diǎn)眾多，使傳統(tǒng)的基于動(dòng)態(tài)基線(xiàn)控制的檢測(cè)方式無(wú)法適應(yīng)現(xiàn)有安全運(yùn)維環(huán)境。該種傳統(tǒng)網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)方式存在如下缺陷：短時(shí)間的動(dòng)態(tài)基線(xiàn)閾值不能排除風(fēng)暴點(diǎn)行為相關(guān)性，易造成風(fēng)暴特性誤判；協(xié)同攻擊風(fēng)暴點(diǎn)的挖掘沒(méi)有專(zhuān)業(yè)的技術(shù)體系，僅是傳統(tǒng)的數(shù)量級(jí)統(tǒng)計(jì)方式；風(fēng)暴點(diǎn)協(xié)作性判定尚未實(shí)現(xiàn)，只關(guān)注變化趨勢(shì)，缺少對(duì)風(fēng)暴本身產(chǎn)生原因的最終調(diào)查。技術(shù)實(shí)現(xiàn)要素：有鑒于此，本發(fā)明的目的在于提供一種網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)方法及裝置。一方面，本發(fā)明較佳實(shí)施例提供一種網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)方法，該方法包括：對(duì)網(wǎng)絡(luò)攻擊事件集建立三維數(shù)據(jù)模型，并計(jì)算得到該三維數(shù)據(jù)模型的異常時(shí)間區(qū)間；獲取所述異常時(shí)間區(qū)間的神經(jīng)網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果，以根據(jù)該神經(jīng)網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果及異常時(shí)間區(qū)間內(nèi)的網(wǎng)絡(luò)攻擊事件數(shù)量，得到該異常時(shí)間區(qū)間內(nèi)的風(fēng)暴時(shí)間區(qū)間；獲取所述風(fēng)暴時(shí)間區(qū)間內(nèi)的所有網(wǎng)絡(luò)攻擊事件構(gòu)成第一事件集，并計(jì)算所述第一事件集內(nèi)每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的絕對(duì)事件數(shù)量分布矩陣的標(biāo)準(zhǔn)差，以根據(jù)該標(biāo)準(zhǔn)差的計(jì)算結(jié)果從所述第一事件集中提取存在非周期性行為相似特性的網(wǎng)絡(luò)攻擊事件構(gòu)成第二事件集；對(duì)所述第二事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件按照預(yù)設(shè)的周期頻率建立事件數(shù)量的頻率分布圖，計(jì)算該頻率分布圖的偏度系數(shù)，并根據(jù)所述偏度系數(shù)從所述第二事件集中提取頻率分布異常的網(wǎng)絡(luò)攻擊事件構(gòu)成第三事件集；分別計(jì)算第三事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的實(shí)時(shí)事件數(shù)量趨勢(shì)圖及頻率分布圖的峰度系數(shù)，根據(jù)該峰度系數(shù)的計(jì)算結(jié)果從所述第三事件集中提取峰度系數(shù)大于預(yù)設(shè)閾值的網(wǎng)絡(luò)攻擊事件構(gòu)成第四事件集；以及判斷該第四事件集中每一個(gè)網(wǎng)絡(luò)攻擊事件的周期性行為相關(guān)性，并根據(jù)判斷結(jié)果從所述第四事件集中提取不具有周期性行為相關(guān)性的網(wǎng)絡(luò)攻擊事件構(gòu)成最終的風(fēng)暴源事件集。另一方面，本發(fā)明較佳實(shí)施例提供一種網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)裝置，該裝置包括：異常時(shí)間區(qū)間計(jì)算模塊，用于對(duì)網(wǎng)絡(luò)攻擊事件集建立三維數(shù)據(jù)模型，并計(jì)算得到該三維數(shù)據(jù)模型的異常時(shí)間區(qū)間；風(fēng)暴區(qū)間獲取模塊，用于獲取所述異常時(shí)間區(qū)間的神經(jīng)網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果，以根據(jù)該神經(jīng)網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果及異常時(shí)間區(qū)間內(nèi)的網(wǎng)絡(luò)攻擊事件數(shù)量，得到該異常時(shí)間區(qū)間內(nèi)的風(fēng)暴時(shí)間區(qū)間；標(biāo)準(zhǔn)差計(jì)算模塊，用于獲取所述風(fēng)暴時(shí)間區(qū)間內(nèi)的所有網(wǎng)絡(luò)攻擊事件構(gòu)成第一事件集，并計(jì)算所述第一事件集內(nèi)每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的絕對(duì)事件數(shù)量分布矩陣的標(biāo)準(zhǔn)差，以根據(jù)該標(biāo)準(zhǔn)差的計(jì)算結(jié)果從所述第一事件集中提取存在非周期性行為相似特性的網(wǎng)絡(luò)攻擊事件構(gòu)成第二事件集；偏度系數(shù)計(jì)算模塊，用于對(duì)所述第二事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件按照預(yù)設(shè)的周期頻率建立事件數(shù)量的頻率分布圖，計(jì)算該頻率分布圖的偏度系數(shù)，并根據(jù)所述偏度系數(shù)從所述第二事件集中提取頻率分布異常的網(wǎng)絡(luò)攻擊事件構(gòu)成第三事件集；峰度系數(shù)計(jì)算模塊，用于分別計(jì)算第三事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的實(shí)時(shí)事件數(shù)量趨勢(shì)圖及頻率分布圖的峰度系數(shù)，根據(jù)該峰度系數(shù)的計(jì)算結(jié)果從所述第三事件集中提取峰度系數(shù)大于預(yù)設(shè)閾值的網(wǎng)絡(luò)攻擊事件構(gòu)成第四事件集；及風(fēng)暴源獲取模塊，用于判斷該第四事件集中每一個(gè)網(wǎng)絡(luò)攻擊事件的周期性行為相關(guān)性，并根據(jù)判斷結(jié)果從所述第四事件集中提取不具有周期性行為相關(guān)性的網(wǎng)絡(luò)攻擊事件構(gòu)成最終的風(fēng)暴源事件集。本發(fā)明較佳實(shí)施例提供的網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)方法及裝置，結(jié)合神經(jīng)網(wǎng)絡(luò)模型預(yù)估和基于K階矩的離散度分析、偏度分析及峰度分析排除行為相關(guān)性風(fēng)暴源事件，與傳統(tǒng)的基于動(dòng)態(tài)基線(xiàn)的風(fēng)暴源檢測(cè)方法相比，具有更為精確合理的風(fēng)暴源事件捕獲特性，基于相同的特征數(shù)據(jù)庫(kù)，具有分析維度多樣化、對(duì)網(wǎng)絡(luò)攻擊事件的協(xié)同性分析深入、數(shù)據(jù)表達(dá)更直觀(guān)的優(yōu)勢(shì)。附圖說(shuō)明為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，應(yīng)當(dāng)理解，以下附圖僅示出了本發(fā)明的某些實(shí)施例，因此不應(yīng)被看作是對(duì)范圍的限定，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他相關(guān)的附圖。圖1為本發(fā)明較佳實(shí)施例提供的數(shù)據(jù)處理設(shè)備的示意性結(jié)構(gòu)框圖；圖2為本發(fā)明較佳實(shí)施例提供的網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)方法的流程圖；圖3為本發(fā)明較佳實(shí)施例提供的一種絕對(duì)事件數(shù)量分布矩陣的示意圖；圖4為本發(fā)明較佳實(shí)施例提供的一種示意性頻率分布圖；圖5為本發(fā)明較佳實(shí)施例提供的網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)裝置的功能模塊框圖。附圖標(biāo)記：數(shù)據(jù)處理設(shè)備100風(fēng)暴區(qū)間獲取模塊420存儲(chǔ)器200標(biāo)準(zhǔn)差計(jì)算模塊430處理器300偏度系數(shù)計(jì)算模塊440網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)裝置400峰度系數(shù)計(jì)算模塊450異常時(shí)間區(qū)間計(jì)算模塊410風(fēng)暴源獲取模塊460具體實(shí)施方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。通常在此處附圖中描述和示出的本發(fā)明實(shí)施例的組件可以以各種不同的配置來(lái)布置和設(shè)計(jì)。應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類(lèi)似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。因此，以下對(duì)在附圖中提供的本發(fā)明的實(shí)施例的詳細(xì)描述并非旨在限制要求保護(hù)的本發(fā)明的范圍，而是僅僅表示本發(fā)明的選定實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。如圖1所示，是本較佳實(shí)施例提供的一種數(shù)據(jù)處理設(shè)備100的示意性結(jié)構(gòu)框圖。該數(shù)據(jù)處理設(shè)備100包括存儲(chǔ)器200、處理器300以及網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)裝置400。所述數(shù)據(jù)處理設(shè)備100可以是計(jì)算機(jī)或其他任意具有數(shù)據(jù)處理能力的計(jì)算設(shè)備。所述存儲(chǔ)器200與處理器300之間直接或間接地電性連接，以實(shí)現(xiàn)數(shù)據(jù)的傳輸或交互。例如，可通過(guò)一條或多條通訊總線(xiàn)或信號(hào)線(xiàn)實(shí)現(xiàn)電性連接。所述網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)裝置400包括至少一個(gè)可以軟件或固件(firmware)的形式存儲(chǔ)于所述存儲(chǔ)器200中或固化在所述數(shù)據(jù)處理設(shè)備100的操作系統(tǒng)(operatingsystem，OS)中的軟件功能模塊。所述處理器300用于執(zhí)行存儲(chǔ)器200中存儲(chǔ)的可執(zhí)行模塊，例如所述網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)裝置400包括的軟件功能模塊或計(jì)算機(jī)程序。所述處理器300在接收到執(zhí)行指令后，執(zhí)行所述功能模塊或程序，下述本發(fā)明任一實(shí)施例揭示的流過(guò)程定義的服務(wù)器所執(zhí)行的方法可以應(yīng)用于處理器300中，或者由處理器300實(shí)現(xiàn)。請(qǐng)參閱圖2，是本發(fā)明較佳實(shí)施例提供的網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)方法的流程圖。下面將對(duì)圖2所示的具體流程及步驟進(jìn)行詳細(xì)闡述。步驟S101，對(duì)網(wǎng)絡(luò)攻擊事件集建立三維數(shù)據(jù)模型，并計(jì)算得到該三維數(shù)據(jù)模型的異常時(shí)間區(qū)間。首先，對(duì)用戶(hù)系統(tǒng)的網(wǎng)絡(luò)日志進(jìn)行關(guān)聯(lián)分析得到網(wǎng)絡(luò)攻擊事件集。然后對(duì)該網(wǎng)絡(luò)攻擊事件集建立三維數(shù)據(jù)模型(X軸：N天，Y軸：24小時(shí)，Z軸：事件數(shù)量)，并計(jì)算該三維數(shù)據(jù)模型的峰值及峰間距比例，得到異常時(shí)間區(qū)間。具體計(jì)算過(guò)程為，根據(jù)事件數(shù)量區(qū)間段分布比例獲取所述三維數(shù)據(jù)模型中的可疑峰值節(jié)點(diǎn)，并計(jì)算該峰值節(jié)點(diǎn)其余數(shù)據(jù)節(jié)點(diǎn)X、Y軸斜率，判斷是否為異常時(shí)間區(qū)間。步驟S103，獲取所述異常時(shí)間區(qū)間的神經(jīng)網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果，以根據(jù)該神經(jīng)網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果及異常時(shí)間區(qū)間內(nèi)的網(wǎng)絡(luò)攻擊事件數(shù)量，得到該異常時(shí)間區(qū)間內(nèi)的風(fēng)暴時(shí)間區(qū)間。根據(jù)行為規(guī)則對(duì)所述網(wǎng)絡(luò)攻擊事件集進(jìn)行周期性行為特征分析，并根據(jù)分析結(jié)果提取數(shù)據(jù)樣本集合以建立所述神經(jīng)網(wǎng)絡(luò)模型。所述行為規(guī)則依托于用戶(hù)系統(tǒng)的業(yè)務(wù)劃分、工作模式、網(wǎng)絡(luò)環(huán)境和設(shè)備配置策略。對(duì)該神經(jīng)網(wǎng)絡(luò)模型的特征數(shù)據(jù)進(jìn)行長(zhǎng)期機(jī)器學(xué)習(xí)和樣本訓(xùn)練，以預(yù)測(cè)當(dāng)前異常時(shí)間區(qū)間內(nèi)網(wǎng)絡(luò)攻擊事件的數(shù)量。若所述神經(jīng)網(wǎng)絡(luò)模型的預(yù)測(cè)值與該異常時(shí)間區(qū)間的某一子區(qū)間內(nèi)的網(wǎng)絡(luò)攻擊事件的數(shù)量之差在預(yù)設(shè)偏差范圍內(nèi)，則認(rèn)為該子區(qū)間為正常時(shí)間區(qū)間，即不存在風(fēng)暴源威脅，否則，則認(rèn)為該子區(qū)間為風(fēng)暴時(shí)間區(qū)間。步驟S105，獲取所述風(fēng)暴時(shí)間區(qū)間內(nèi)的所有網(wǎng)絡(luò)攻擊事件構(gòu)成第一事件集，并計(jì)算所述第一事件集內(nèi)每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的絕對(duì)事件數(shù)量分布矩陣的標(biāo)準(zhǔn)差，以根據(jù)該標(biāo)準(zhǔn)差的計(jì)算結(jié)果從所述第一事件集中提取存在非周期性行為相似特性的網(wǎng)絡(luò)攻擊事件構(gòu)成第二事件集。對(duì)所述第一事件集內(nèi)的每一個(gè)網(wǎng)絡(luò)攻擊事件，根據(jù)X軸(歷史相似時(shí)間節(jié)點(diǎn))及Y軸(24小時(shí))，分別構(gòu)建實(shí)時(shí)事件數(shù)量分布矩陣，并對(duì)該實(shí)時(shí)事件數(shù)量分布矩陣進(jìn)行3x3窗口中值濾波獲得該實(shí)時(shí)事件數(shù)量分布矩陣的基線(xiàn)矩陣。利用所述實(shí)時(shí)事件數(shù)量分布矩陣及基線(xiàn)矩陣，計(jì)算實(shí)時(shí)事件數(shù)量偏差，并根據(jù)公式：絕對(duì)數(shù)量＝|偏差|+基線(xiàn)數(shù)量得出絕對(duì)事件數(shù)量分布矩陣，以將正、反向事件風(fēng)暴進(jìn)行規(guī)整統(tǒng)一。得到絕對(duì)事件數(shù)量分布矩陣后，計(jì)算該絕對(duì)事件數(shù)量分布矩陣的二階中心矩，以得到矩陣數(shù)據(jù)的橫向、縱向標(biāo)準(zhǔn)差。標(biāo)準(zhǔn)差表示數(shù)據(jù)的離散程度。如圖3所示，橫向?yàn)?4小時(shí)網(wǎng)絡(luò)攻擊事件的數(shù)量趨勢(shì)，其離散度表示當(dāng)前網(wǎng)絡(luò)攻擊事件的實(shí)時(shí)數(shù)量分布狀態(tài)，離散度越高表示數(shù)據(jù)波動(dòng)性越大，存在風(fēng)暴源事件的可能性越大；縱向(歷史相似時(shí)間節(jié)點(diǎn))離散度表示當(dāng)前網(wǎng)絡(luò)攻擊事件的歷史數(shù)量分布狀態(tài)，離散度越高表示事件不存在周期性行為相似特性的可能性越大。通過(guò)橫縱數(shù)據(jù)離散度關(guān)聯(lián)分析，排除周期性行為相似性，提取與總體風(fēng)暴時(shí)間區(qū)間重合的風(fēng)暴源事件集合，即根據(jù)所述絕對(duì)事件數(shù)量分布矩陣的橫、縱向標(biāo)準(zhǔn)差的計(jì)算結(jié)果，從所述第一事件集中提取存在周期性行為相似特性的網(wǎng)絡(luò)攻擊事件構(gòu)成第二事件集。步驟S107，對(duì)所述第二事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件按照預(yù)設(shè)的周期頻率建立事件數(shù)量的頻率分布圖，計(jì)算該頻率分布圖的偏度系數(shù)，并根據(jù)所述偏度系數(shù)從所述第二事件集中提取頻率分布異常的網(wǎng)絡(luò)攻擊事件構(gòu)成第三事件集。將所述風(fēng)暴時(shí)間區(qū)間所在當(dāng)天的24小時(shí)按照預(yù)設(shè)周期頻率，如可以是15分鐘，但不限于此，劃分為若干時(shí)間段，獲取每一個(gè)時(shí)間段內(nèi)的網(wǎng)絡(luò)攻擊事件數(shù)量的發(fā)生次數(shù)，形成頻率分布圖。例如，于某一具體實(shí)施方式中，得到如圖4所示的頻率分布圖，該頻率分布圖中單一時(shí)間段內(nèi)事件發(fā)生次數(shù)(事件頻率)在600～800及800～1000的時(shí)間段占總時(shí)間段的比例相同，為34.14％，時(shí)間頻率在400～600及1000～1200的時(shí)間段占總時(shí)間段的比例相同，為13.59％，其余部分可同理推得。計(jì)算所述頻率分布圖的三階中心矩，以得到該頻率分布圖的偏度系數(shù)。偏度系數(shù)為0表示所述頻率分布圖為正太分布，低頻和高頻數(shù)據(jù)較少，數(shù)量偏差較小，數(shù)據(jù)整體趨勢(shì)較為平穩(wěn)；當(dāng)偏度系數(shù)越小(<0負(fù)偏)數(shù)據(jù)集中在低頻部分，存在正向風(fēng)暴(事件數(shù)量突發(fā)性增加)；當(dāng)偏度系數(shù)越大(>0正偏)數(shù)據(jù)集中在高頻部分，存在逆向風(fēng)暴(事件數(shù)量突發(fā)性較少)。根據(jù)所述偏度系數(shù)的計(jì)算結(jié)果從所述第二事件集中提取頻率分布圖為正偏或負(fù)偏的網(wǎng)絡(luò)攻擊事件構(gòu)成第三事件集。步驟S109，分別計(jì)算第三事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的實(shí)時(shí)事件數(shù)量趨勢(shì)圖及頻率分布圖的峰度系數(shù)，根據(jù)該峰度系數(shù)的計(jì)算結(jié)果從所述第三事件集中提取峰度系數(shù)大于預(yù)設(shè)閾值的網(wǎng)絡(luò)攻擊事件構(gòu)成第四事件集。計(jì)算第三事件集中每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的實(shí)時(shí)事件數(shù)量趨勢(shì)圖及頻率分布圖的四階中心矩，得到峰度系數(shù)。峰度系數(shù)用來(lái)度量數(shù)據(jù)在中心聚集程度，在正態(tài)分布情況下，峰度系數(shù)值等于3。峰度系數(shù)大于3時(shí)表明數(shù)據(jù)在中心的聚集程度較高，有比正態(tài)分布更短的尾部；峰度系數(shù)小于3時(shí)表明數(shù)據(jù)在中心的聚集程度較低，有比正態(tài)分布更長(zhǎng)的尾部。實(shí)時(shí)事件數(shù)量趨勢(shì)圖的峰度系數(shù)越大表示對(duì)應(yīng)的網(wǎng)絡(luò)攻擊事件發(fā)生的時(shí)間越短。頻率分布圖的峰度系數(shù)越大表明對(duì)應(yīng)的網(wǎng)絡(luò)攻擊事件的風(fēng)暴強(qiáng)度越大。根據(jù)該峰度系數(shù)的計(jì)算結(jié)果從所述第三事件集中提取峰度系數(shù)大于預(yù)設(shè)閾值的網(wǎng)絡(luò)攻擊事件構(gòu)成第四事件集。步驟S111，判斷該第四事件集中每一個(gè)網(wǎng)絡(luò)攻擊事件的周期性行為相關(guān)性，并根據(jù)判斷結(jié)果從所述第四事件集中提取不具有周期性行為相關(guān)性的網(wǎng)絡(luò)攻擊事件構(gòu)成最終的風(fēng)暴源事件集。根據(jù)第四事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件對(duì)應(yīng)的單事件神經(jīng)網(wǎng)絡(luò)模型及該網(wǎng)絡(luò)攻擊事件在所述風(fēng)暴時(shí)間區(qū)間對(duì)應(yīng)的歷史相似時(shí)間節(jié)點(diǎn)處的事件發(fā)生數(shù)量，采用如下公式計(jì)算所述單事件神經(jīng)網(wǎng)絡(luò)模型的預(yù)測(cè)值與真實(shí)的事件發(fā)生數(shù)量的標(biāo)準(zhǔn)偏差，：St=1n-1Σi=0n-1(yt-i-b)2]]>其中，St為標(biāo)準(zhǔn)偏差值，b為單事件神經(jīng)網(wǎng)絡(luò)模型的預(yù)測(cè)值，yt為網(wǎng)絡(luò)攻擊事件在當(dāng)前時(shí)間節(jié)點(diǎn)的事件發(fā)生數(shù)量，yt-1,yt-2....yt-n+1為網(wǎng)絡(luò)攻擊事件在歷史相似時(shí)間節(jié)點(diǎn)的事件發(fā)生數(shù)量。利用所述標(biāo)準(zhǔn)偏差確定周期性行為相關(guān)性偏差區(qū)間，即低/中/高風(fēng)暴時(shí)間區(qū)間，并計(jì)算所述網(wǎng)絡(luò)攻擊事件在風(fēng)暴時(shí)間區(qū)間內(nèi)的真實(shí)事件發(fā)生數(shù)量與所述單事件神經(jīng)網(wǎng)絡(luò)模型的預(yù)測(cè)值之間的偏差值。若所述偏差值落在所述周期性行為相關(guān)性偏差區(qū)間內(nèi)，則該網(wǎng)絡(luò)攻擊事件具有周期性行為相關(guān)性。若所述偏差值未落在所述周期性行為相關(guān)性偏差區(qū)間內(nèi)，則該網(wǎng)絡(luò)攻擊事件不具有周期性行為相關(guān)性。最后，根據(jù)判斷結(jié)果從所述第四事件集中提取不具有周期性行為相關(guān)性的網(wǎng)絡(luò)攻擊事件構(gòu)成最終的風(fēng)暴源事件集。請(qǐng)參閱圖5，是本發(fā)明較佳實(shí)施例提供的網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)裝置400的功能模塊框圖。所述網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)裝置400包括異常時(shí)間區(qū)間計(jì)算模塊410、風(fēng)暴區(qū)間獲取模塊420、標(biāo)準(zhǔn)差計(jì)算模塊430、偏度系數(shù)計(jì)算模塊440、峰度系數(shù)計(jì)算模塊450以及風(fēng)暴源獲取模塊460。下面將對(duì)圖5所示的具體功能模塊進(jìn)行詳細(xì)描述。所述異常時(shí)間區(qū)間計(jì)算模塊410，用于對(duì)網(wǎng)絡(luò)攻擊事件集建立三維數(shù)據(jù)模型，并計(jì)算得到該三維數(shù)據(jù)模型的異常時(shí)間區(qū)間。具體地，該異常時(shí)間區(qū)間計(jì)算模塊410可用于執(zhí)行圖2所示的步驟S101，具體的操作方法可參照步驟S101的詳細(xì)描述。所述風(fēng)暴區(qū)間獲取模塊420，用于獲取所述異常時(shí)間區(qū)間的神經(jīng)網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果，以根據(jù)該神經(jīng)網(wǎng)絡(luò)模型預(yù)測(cè)結(jié)果及異常時(shí)間區(qū)間內(nèi)的網(wǎng)絡(luò)攻擊事件數(shù)量，得到該異常時(shí)間區(qū)間內(nèi)的風(fēng)暴時(shí)間區(qū)間。具體地，該風(fēng)暴區(qū)間獲取模塊420可用于執(zhí)行圖2所示的步驟S103，具體的操作方法可參照步驟S103的詳細(xì)描述。標(biāo)準(zhǔn)差計(jì)算模塊430，用于獲取所述風(fēng)暴時(shí)間區(qū)間內(nèi)的所有網(wǎng)絡(luò)攻擊事件構(gòu)成第一事件集，并計(jì)算所述第一事件集內(nèi)每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的絕對(duì)事件數(shù)量分布矩陣的標(biāo)準(zhǔn)差，以根據(jù)該標(biāo)準(zhǔn)差的計(jì)算結(jié)果從所述第一事件集中提取存在非周期性行為相似特性的網(wǎng)絡(luò)攻擊事件構(gòu)成第二事件集。具體地，該標(biāo)準(zhǔn)差計(jì)算模塊430可用于執(zhí)行圖2所示的步驟S105，具體的操作方法可參照步驟S105的詳細(xì)描述。偏度系數(shù)計(jì)算模塊440，用于對(duì)所述第二事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件按照預(yù)設(shè)的周期頻率建立事件數(shù)量的頻率分布圖，計(jì)算該頻率分布圖的偏度系數(shù)，并根據(jù)所述偏度系數(shù)從所述第二事件集中提取頻率分布異常的網(wǎng)絡(luò)攻擊事件構(gòu)成第三事件集。具體地，該偏度系數(shù)計(jì)算模塊440可用于執(zhí)行圖2所示的步驟S107，具體的操作方法可參照步驟S107的詳細(xì)描述。峰度系數(shù)計(jì)算模塊450，用于分別計(jì)算第三事件集中的每一個(gè)網(wǎng)絡(luò)攻擊事件所對(duì)應(yīng)的實(shí)時(shí)事件數(shù)量趨勢(shì)圖及頻率分布圖的峰度系數(shù)，根據(jù)該峰度系數(shù)的計(jì)算結(jié)果從所述第三事件集中提取峰度系數(shù)大于預(yù)設(shè)閾值的網(wǎng)絡(luò)攻擊事件構(gòu)成第四事件集。具體地，該峰度系數(shù)計(jì)算模塊450可用于執(zhí)行圖2所示的步驟S109，具體的操作方法可參照步驟S109的詳細(xì)描述。風(fēng)暴源獲取模塊460，用于判斷該第四事件集中每一個(gè)網(wǎng)絡(luò)攻擊事件的周期性行為相關(guān)性，并根據(jù)判斷結(jié)果從所述第四事件集中提取不具有周期性行為相關(guān)性的網(wǎng)絡(luò)攻擊事件構(gòu)成最終的風(fēng)暴源事件集。具體地，該風(fēng)暴源獲取模塊460可用于執(zhí)行圖2所示的步驟S111，具體的操作方法可參照步驟S111的詳細(xì)描述。本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)協(xié)同攻擊風(fēng)暴源檢測(cè)方法及裝置，結(jié)合神經(jīng)網(wǎng)絡(luò)模型預(yù)估和基于K階矩的離散度分析、偏度分析及峰度分析排除行為相關(guān)性風(fēng)暴源事件，與傳統(tǒng)的基于動(dòng)態(tài)基線(xiàn)的風(fēng)暴源檢測(cè)方法相比，具有更為精確合理的風(fēng)暴源事件捕獲特性，基于相同的特征數(shù)據(jù)庫(kù)，具有分析維度多樣化、對(duì)網(wǎng)絡(luò)攻擊事件的協(xié)同性分析深入、數(shù)據(jù)表達(dá)更直觀(guān)的優(yōu)勢(shì)。值得注意的是，本發(fā)明還可以進(jìn)行進(jìn)一步的擴(kuò)展，即結(jié)合資產(chǎn)攻擊模型和資產(chǎn)關(guān)系網(wǎng)分析區(qū)間風(fēng)暴事件的協(xié)同和抑制關(guān)系，歸納出事件風(fēng)暴發(fā)生威脅共同體，繼而將風(fēng)暴源和風(fēng)暴警區(qū)納入到檢測(cè)和分析范圍中。在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的裝置和方法，也可以通過(guò)其它的方式實(shí)現(xiàn)。以上所描述的裝置實(shí)施例僅僅是示意性的，例如，附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個(gè)實(shí)施例的裝置、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的體系架構(gòu)、功能和操作。在這點(diǎn)上，流程圖或框圖中的每個(gè)方框可以代表一個(gè)模塊、程序段或代碼的一部分，所述模塊、程序段或代碼的一部分包含一個(gè)或多個(gè)用于實(shí)現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意，在有些作為替換的實(shí)現(xiàn)方式中，方框中所標(biāo)注的功能也可以以不同于附圖中所標(biāo)注的順序發(fā)生。例如，兩個(gè)連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行，它們有時(shí)也可以按相反的順序執(zhí)行，這依所涉及的功能而定。也要注意的是，框圖和/或流程圖中的每個(gè)方框、以及框圖和/或流程圖中的方框的組合，可以用執(zhí)行規(guī)定的功能或動(dòng)作的專(zhuān)用的基于硬件的系統(tǒng)來(lái)實(shí)現(xiàn)，或者可以用專(zhuān)用硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)。另外，在本發(fā)明各個(gè)實(shí)施例中的各功能模塊可以集成在一起形成一個(gè)獨(dú)立的部分，也可以是各個(gè)模塊單獨(dú)存在，也可以?xún)蓚€(gè)或兩個(gè)以上模塊集成形成一個(gè)獨(dú)立的部分。所述功能如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷(xiāo)售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。需要說(shuō)明的是，在本文中，諸如第一和第二等之類(lèi)的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái)，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過(guò)程、方法、物品或者設(shè)備不僅包括那些要素，而且還包括沒(méi)有明確列出的其他要素，或者是還包括為這種過(guò)程、方法、物品或者設(shè)備所固有的要素。在沒(méi)有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過(guò)程、方法、物品或者設(shè)備中還存在另外的相同要素。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已，并不用于限制本發(fā)明，對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類(lèi)似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。當(dāng)前第1頁(yè)1 2 3