本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種蠕蟲事件的檢測(cè)方法及裝置。

背景技術(shù)：

近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，越來(lái)越多的傳統(tǒng)行業(yè)融合互聯(lián)網(wǎng)發(fā)展新形態(tài)、新業(yè)態(tài)，如今許多企業(yè)的業(yè)務(wù)開展都離不開互聯(lián)網(wǎng)技術(shù)的支持，互聯(lián)網(wǎng)在提供便捷性的同時(shí)，也存在不小的安全隱患。由于互聯(lián)網(wǎng)的開放性和訪問的便捷性，在網(wǎng)絡(luò)環(huán)境中進(jìn)行數(shù)據(jù)傳輸也存在一定的安全問題，比如在網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)傳輸時(shí)，可能存在網(wǎng)絡(luò)蠕蟲，網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化，綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，一旦出現(xiàn)網(wǎng)絡(luò)蠕蟲，它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，從而破壞用戶的大部分重要數(shù)據(jù)，給很多企業(yè)帶來(lái)?yè)p失，因此，對(duì)蠕蟲事件的檢測(cè)尤為重要。

在現(xiàn)有技術(shù)中，蠕蟲事件的檢測(cè)主要基于網(wǎng)路中數(shù)據(jù)包的檢測(cè)，需要檢測(cè)數(shù)據(jù)包的內(nèi)容，將數(shù)據(jù)包的內(nèi)容與已掌握的蠕蟲特征碼進(jìn)行匹配，如果檢測(cè)到數(shù)據(jù)包的內(nèi)容中有與蠕蟲特征碼匹配成功的特征，則確定當(dāng)前存在蠕蟲攻擊。但是在網(wǎng)絡(luò)中，有大量的數(shù)據(jù)包，基于數(shù)據(jù)包的內(nèi)容檢測(cè)蠕蟲事件效率較低，另外，如果數(shù)據(jù)包被加密，則無(wú)法獲取到數(shù)據(jù)包的內(nèi)容，因此，基于數(shù)據(jù)包的內(nèi)容無(wú)法實(shí)現(xiàn)蠕蟲事件的檢測(cè)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供一種蠕蟲事件的檢測(cè)方法及裝置，用以實(shí)現(xiàn)蠕蟲事件的檢測(cè)，并提高蠕蟲事件的檢測(cè)效率。

本發(fā)明方法包括一種蠕蟲事件的檢測(cè)方法，該方法包括：

針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量；

根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類；

根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類；

針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。

進(jìn)一步地，所述針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量包括：

針對(duì)發(fā)送設(shè)備，確定所述發(fā)送設(shè)備對(duì)應(yīng)的特征向量中的第一參數(shù)、第二參數(shù)和第三參數(shù)，其中第一參數(shù)的確定過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，識(shí)別所述第一次數(shù)的第一最大值，確定所述第一最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值，將1與所述比值的差作為所述第一參數(shù)；第二參數(shù)的確定過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸時(shí)，每個(gè)接收設(shè)備每次使用的接收端口，統(tǒng)計(jì)每個(gè)接收設(shè)備的每個(gè)接收端口被使用的第二次數(shù)，識(shí)別所述第二次數(shù)的第二最大值，確定所述第二最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值為所述第二參數(shù)；第三參數(shù)的確定過程包括：統(tǒng)計(jì)所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)與每個(gè)接收設(shè)備傳輸?shù)臄?shù)據(jù)包的大小和數(shù)量，識(shí)別相同大小且數(shù)量最多的數(shù)據(jù)包的第三數(shù)量，將所述第三數(shù)量與數(shù)據(jù)包的總的數(shù)量的比值確定為第三參數(shù)。

進(jìn)一步地，所述根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理之前，所述方法還包括：

根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；

如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的特征向量刪除。

進(jìn)一步地，所述預(yù)設(shè)的聚類算法包括：

基于劃分的K均值聚類Kmeans算法和Kmeans++算法。

進(jìn)一步地，所述確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊后，所述方法還包括：

根據(jù)所述目標(biāo)發(fā)送設(shè)備和所述目標(biāo)接收設(shè)備對(duì)應(yīng)的每個(gè)目標(biāo)特征向量，根據(jù)所述目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)傳輸采用的傳輸協(xié)議，及進(jìn)行此次數(shù)據(jù)傳輸?shù)臄?shù)據(jù)包的大小，與蠕蟲類型表中保存的每種類型的蠕蟲攻擊對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比，確定每個(gè)目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型。

進(jìn)一步地，所述針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新之前，所述方法還包括：

根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)目標(biāo)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；

如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的目標(biāo)特征向量刪除。

另一方面，本發(fā)明實(shí)施例提供了一種蠕蟲事件的檢測(cè)裝置，所述裝置包括：

第一確定模塊，用于針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量；

處理模塊，用于根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類；

第二確定模塊，用于根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類；

第三確定模塊，用于針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。

進(jìn)一步地，所述第一確定模塊，具體用于針對(duì)發(fā)送設(shè)備，確定所述發(fā)送設(shè)備對(duì)應(yīng)的特征向量中的第一參數(shù)、第二參數(shù)和第三參數(shù)，其中第一參數(shù)的確定過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，識(shí)別所述第一次數(shù)的第一最大值，確定所述第一最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值，將1與所述比值的差作為所述第一參數(shù)；第二參數(shù)的確定過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸時(shí)，每個(gè)接收設(shè)備每次使用的接收端口，統(tǒng)計(jì)每個(gè)接收設(shè)備的每個(gè)接收端口被使用的第二次數(shù)，識(shí)別所述第二次數(shù)的第二最大值，確定所述第二最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值為所述第二參數(shù)；第三參數(shù)的確定過程包括：統(tǒng)計(jì)所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)與每個(gè)接收設(shè)備傳輸?shù)臄?shù)據(jù)包的大小和數(shù)量，識(shí)別相同大小且數(shù)量最多的數(shù)據(jù)包的第三數(shù)量，將所述第三數(shù)量與數(shù)據(jù)包的總的數(shù)量的比值確定為第三參數(shù)。

進(jìn)一步地，所述裝置還包括：

第一識(shí)別刪除模塊，用于根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的特征向量刪除。

進(jìn)一步地，所述處理模塊，具體用于采用基于劃分的K均值聚類Kmeans算法和Kmeans++算法對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類。

進(jìn)一步地，所述裝置還包括：

第四確定模塊，用于根據(jù)所述目標(biāo)發(fā)送設(shè)備和所述目標(biāo)接收設(shè)備對(duì)應(yīng)的每個(gè)目標(biāo)特征向量，根據(jù)所述目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)傳輸采用的傳輸協(xié)議，及進(jìn)行此次數(shù)據(jù)傳輸?shù)臄?shù)據(jù)包的大小，與蠕蟲類型表中保存的每種類型的蠕蟲攻擊對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比，確定每個(gè)目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型。

進(jìn)一步地，所述裝置還包括：

第二識(shí)別刪除模塊，用于根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)目標(biāo)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的目標(biāo)特征向量刪除。

本發(fā)明實(shí)施例提供一種蠕蟲事件的檢測(cè)方法及裝置，所述方法包括：針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量；根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類；根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類；針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。由于在本發(fā)明實(shí)施例中，電子設(shè)備能夠根據(jù)每個(gè)發(fā)送設(shè)備和接收設(shè)備之間的每次數(shù)據(jù)傳輸，確定對(duì)應(yīng)的特征向量，并根據(jù)確定的特征向量，采用預(yù)設(shè)的聚類算法進(jìn)行聚類處理，根據(jù)蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量確定出目標(biāo)聚類，進(jìn)而檢測(cè)蠕蟲事件，因此，本發(fā)明實(shí)施例提供的蠕蟲事件的檢測(cè)方法不需要檢測(cè)數(shù)據(jù)包的內(nèi)容，僅根據(jù)特征向量的分布，即可實(shí)現(xiàn)蠕蟲事件的檢測(cè)，同時(shí)，也提高了在高速網(wǎng)絡(luò)中進(jìn)行蠕蟲事件的檢測(cè)效率。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)要介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實(shí)施例1提供的一種蠕蟲事件的檢測(cè)過程示意圖；

圖2為本發(fā)明實(shí)施例3提供的一種蠕蟲事件的檢測(cè)過程示意圖；

圖3為本發(fā)明實(shí)施例4提供的一種蠕蟲事件的檢測(cè)過程示意圖；

圖4為本發(fā)明實(shí)施例5提供的一種蠕蟲事件的檢測(cè)過程示意圖；

圖5為本發(fā)明實(shí)施例提供的一種蠕蟲事件的檢測(cè)裝置結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步地詳細(xì)描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部份實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

實(shí)施例1：

圖1為本發(fā)明實(shí)施例提供的一種蠕蟲事件的檢測(cè)過程示意圖，該過程包括以下步驟：

S101：針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量。

本發(fā)明實(shí)施例提供的蠕蟲事件的檢測(cè)方法應(yīng)用于電子設(shè)備，所述電子設(shè)備可以為PC、平板電腦及網(wǎng)絡(luò)安全產(chǎn)品等設(shè)備。

發(fā)送設(shè)備對(duì)接收設(shè)備存在蠕蟲攻擊時(shí)，一般情況下，蠕蟲攻擊的接收設(shè)備比較離散，發(fā)送設(shè)備會(huì)比較分散的與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸，而不會(huì)一直與某一個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸，因此存在蠕蟲攻擊時(shí)，接收設(shè)備接收數(shù)據(jù)包的頻次一般較低；蠕蟲攻擊時(shí)會(huì)比較集中的攻擊接收設(shè)備的某一接收端口，因此存在蠕蟲攻擊時(shí)，發(fā)送設(shè)備基本上都會(huì)與接收設(shè)備的固定的接收端口進(jìn)行數(shù)據(jù)傳輸；進(jìn)行蠕蟲攻擊時(shí)的數(shù)據(jù)包的大小比較固定，發(fā)送設(shè)備發(fā)送的數(shù)據(jù)包的大小基本上是相同的，因此存在蠕蟲攻擊時(shí)，發(fā)送設(shè)備發(fā)送的相同大小的數(shù)據(jù)包的數(shù)量會(huì)比較多。

在本發(fā)明實(shí)施例中預(yù)先設(shè)定了時(shí)間長(zhǎng)度，每個(gè)發(fā)送設(shè)備與每個(gè)接收設(shè)備之間存在數(shù)據(jù)包的傳輸，電子設(shè)備針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)的傳輸，其中，設(shè)定時(shí)間長(zhǎng)度可以為2分鐘、5分鐘、8分鐘等。針對(duì)每個(gè)發(fā)送設(shè)備，通過統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)的傳輸，可以針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含接收該發(fā)送設(shè)備發(fā)送的數(shù)據(jù)包的接收設(shè)備的第一接收次數(shù)，接收設(shè)備接收每個(gè)數(shù)據(jù)包的接收端口的第二接收次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量。

例如，以設(shè)定時(shí)間長(zhǎng)度為5分鐘為例，針對(duì)每個(gè)發(fā)送設(shè)備，電子設(shè)備統(tǒng)計(jì)5分鐘內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，所述特征向量中包含該5分鐘內(nèi)統(tǒng)計(jì)的接收該發(fā)送設(shè)備發(fā)送的數(shù)據(jù)包的接收設(shè)備的第一接收次數(shù)，接收設(shè)備接收每個(gè)數(shù)據(jù)包的接收端口的第二接收次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量。

S102：根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類。

根據(jù)上述分析可知，發(fā)送設(shè)備對(duì)接收設(shè)備存在蠕蟲攻擊時(shí)，蠕蟲攻擊的接收設(shè)備比較離散，蠕蟲攻擊的接收設(shè)備的端口比較集中，進(jìn)行蠕蟲攻擊時(shí)的數(shù)據(jù)包的大小比較固定，而存在蠕蟲攻擊時(shí)，接收設(shè)備接收數(shù)據(jù)包的頻次一般較低，而接收設(shè)備中接收數(shù)據(jù)包的接收端口的使用頻次將會(huì)比較多，發(fā)送設(shè)備發(fā)送的數(shù)據(jù)包的大小比較固定。發(fā)送設(shè)備對(duì)接收設(shè)備存在蠕蟲攻擊時(shí)，其對(duì)應(yīng)的特征向量的分布也會(huì)比較集中，在本發(fā)明實(shí)施例中，根據(jù)特征向量的位置分布，確定是否存在蠕蟲事件。

具體的，為了確定特征向量的分布，采用預(yù)設(shè)的聚類算法對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類。在進(jìn)行聚類處理時(shí)，每個(gè)特征向量中包含三個(gè)參數(shù)，因此可以將每個(gè)特征向量對(duì)應(yīng)到一個(gè)三維空間中，確定每個(gè)特征向量對(duì)應(yīng)的特征點(diǎn)。根據(jù)每個(gè)特征點(diǎn)及預(yù)設(shè)的聚類算法，可以對(duì)每個(gè)特征向量進(jìn)行聚類處理。

S103：根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類。

電子設(shè)備中預(yù)先保存有蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，電子設(shè)備根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類后，確定每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)的特征向量，進(jìn)而確定的每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)的特征向量，到預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量的歐式距離，將與預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量的歐氏距離最近的中心點(diǎn)所在的聚類確定為目標(biāo)聚類。

具體的，計(jì)算每個(gè)聚類的中心點(diǎn)，并計(jì)算確定的每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)的特征向量到預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量的歐式距離的過程屬于現(xiàn)有技術(shù)，在本發(fā)明實(shí)施例中對(duì)該過程不進(jìn)行贅述。

S104：針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。

因?yàn)樘卣飨蛄渴歉鶕?jù)發(fā)送設(shè)備和接收設(shè)備之間數(shù)據(jù)的傳輸過程確定的，一個(gè)特征向量對(duì)應(yīng)一個(gè)發(fā)送設(shè)備和該發(fā)送設(shè)備對(duì)應(yīng)的接收設(shè)備，因此，如果某一特征向量位于目標(biāo)聚類中，則說明該設(shè)定時(shí)間長(zhǎng)度內(nèi)該發(fā)送設(shè)備對(duì)接收設(shè)備可能存在蠕蟲攻擊，因此將特征向量對(duì)應(yīng)的發(fā)送設(shè)備及該發(fā)送設(shè)備對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新。

電子設(shè)備可以對(duì)特征向量對(duì)應(yīng)的發(fā)送設(shè)備，及該發(fā)送設(shè)備對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新。例如，針對(duì)每個(gè)發(fā)送設(shè)備，電子設(shè)備統(tǒng)計(jì)第一個(gè)5分鐘內(nèi)該發(fā)送設(shè)備a與接收設(shè)備b、接收設(shè)備c之間存在數(shù)據(jù)的傳輸，將目標(biāo)聚類中的特征向量對(duì)應(yīng)的特征屬性存入可疑事件表，其中該特征屬性為該特征向量對(duì)應(yīng)的發(fā)送設(shè)備a和接收設(shè)備b、接收設(shè)備c的信息，并確定該特征向量對(duì)應(yīng)的發(fā)送設(shè)備a和接收設(shè)備b的可疑次數(shù)為1，發(fā)送設(shè)備a和接收設(shè)備c的可疑次數(shù)為1。當(dāng)電子設(shè)備統(tǒng)計(jì)第二個(gè)5分鐘內(nèi)發(fā)送設(shè)備a與接收設(shè)備b、接收設(shè)備d之間數(shù)據(jù)的傳輸，根據(jù)目標(biāo)聚類中的特征向量對(duì)應(yīng)的特征屬性，識(shí)別可疑事件表中是否存在于該特征屬性相同的特征向量，因此特征向量對(duì)應(yīng)特征屬性發(fā)送設(shè)備a和接收設(shè)備b的信息記錄在可疑事件表，因此對(duì)該特征屬性對(duì)應(yīng)的可疑次數(shù)更新，而特征向量對(duì)應(yīng)特征屬性發(fā)送設(shè)備a和接收設(shè)備d的信息沒有記錄在可疑事件表，因此將該特征向量對(duì)應(yīng)的發(fā)送設(shè)備a和接收設(shè)備d的信息添加到可疑事件表，并確定該發(fā)送設(shè)備a和接收設(shè)備d的可疑次數(shù)為1，依次類推，判斷更新后的可疑次數(shù)是否大于預(yù)設(shè)次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。

另外，在確定所述目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊后，電子設(shè)備可以通過顯示界面將目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊的信息展示給用戶，具體的，可以將該目標(biāo)發(fā)送設(shè)備的IP地址、目標(biāo)接收設(shè)備IP地址、目標(biāo)接收設(shè)備的接收端口等信息展示給用戶。

由于在本發(fā)明實(shí)施例中，電子設(shè)備能夠根據(jù)每個(gè)發(fā)送設(shè)備和接收設(shè)備之間的每次數(shù)據(jù)傳輸，確定對(duì)應(yīng)的特征向量，并根據(jù)確定的特征向量，采用預(yù)設(shè)的聚類算法進(jìn)行聚類處理，根據(jù)蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量確定出異常聚類，進(jìn)而檢測(cè)蠕蟲事件，因此，本發(fā)明實(shí)施例提供的蠕蟲事件的檢測(cè)方法不需要檢測(cè)數(shù)據(jù)包內(nèi)容，僅根據(jù)特征向量的分布，即可實(shí)現(xiàn)蠕蟲事件的檢測(cè)，同時(shí)，也提高了在高速網(wǎng)絡(luò)中進(jìn)行蠕蟲事件的檢測(cè)效率。

實(shí)施例2：

在上述實(shí)施例的基礎(chǔ)上，為了針對(duì)每個(gè)發(fā)送設(shè)備確定設(shè)定時(shí)間長(zhǎng)度內(nèi)的數(shù)據(jù)傳輸過程中每個(gè)發(fā)送設(shè)備對(duì)應(yīng)的特征向量，在本發(fā)明實(shí)施例中，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量包括：

針對(duì)該發(fā)送設(shè)備，確定該發(fā)送設(shè)備對(duì)應(yīng)的特征向量中的第一參數(shù)、第二參數(shù)和第三參數(shù)，其中第一參數(shù)的確定過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)包傳輸?shù)牡谝淮螖?shù)，識(shí)別所述第一次數(shù)的第一最大值，確定所述第一最大值與所述發(fā)送設(shè)備在該設(shè)定時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)包傳輸?shù)拇螖?shù)的比值，將1與所述比值的差作為所述第一參數(shù)；第二參數(shù)的確定過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)包傳輸時(shí)，每個(gè)接收設(shè)備每次使用的接收端口，統(tǒng)計(jì)每個(gè)接收設(shè)備的每個(gè)接收端口被使用的第二次數(shù)，識(shí)別所述第二次數(shù)的第二最大值，確定所述第二最大值與所述發(fā)送設(shè)備在該設(shè)定時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)包傳輸?shù)拇螖?shù)的比值為所述第二參數(shù)；第三參數(shù)的確定過程包括：統(tǒng)計(jì)所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)與每個(gè)接收設(shè)備傳輸?shù)臄?shù)據(jù)包的大小和數(shù)量，識(shí)別相同大小且數(shù)量最多的數(shù)據(jù)包的第三數(shù)量，將所述第三數(shù)量與數(shù)據(jù)包的總的數(shù)量的比值確定為第三參數(shù)。

電子設(shè)備從發(fā)送設(shè)備和接收設(shè)備的數(shù)據(jù)傳輸過程中提取特征向量，所述特征向量中包含發(fā)送設(shè)備的IP地址(sip)、接收設(shè)備的IP地址(dip)和接收設(shè)備的接收端口(dstport)。另外，電子設(shè)備針對(duì)每個(gè)發(fā)送設(shè)備，確定該發(fā)送設(shè)備對(duì)應(yīng)的特征向量中包含三個(gè)參數(shù)，分別為第一參數(shù)dipratio、第二參數(shù)dportratio和第三參數(shù)bppratio。其中，電子設(shè)備確定第一參數(shù)dipratio的過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)包傳輸?shù)牡谝淮螖?shù)，識(shí)別所述第一次數(shù)的第一最大值為max(dip)，確定所述第一最大值max(dip)與所述發(fā)送設(shè)備在該設(shè)定時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)包傳輸?shù)拇螖?shù)count(dip)的比值，將1與所述比值的差作為所述第一參數(shù)，即dipratio＝1-max(dip)/count(dip)。

具體的，以某個(gè)發(fā)送設(shè)備為例對(duì)第一參數(shù)的確定過程進(jìn)行說明，假如設(shè)定時(shí)間長(zhǎng)度為5分鐘，該發(fā)送設(shè)備在5分鐘內(nèi)向5個(gè)接收設(shè)備傳輸數(shù)據(jù)，其中，該發(fā)送設(shè)備在5分鐘內(nèi)與接收設(shè)備1進(jìn)行數(shù)據(jù)傳輸?shù)拇螖?shù)為6次，與接收設(shè)備2進(jìn)行數(shù)據(jù)傳輸?shù)拇螖?shù)為3次，與接收設(shè)備3進(jìn)行數(shù)據(jù)傳輸?shù)拇螖?shù)為2次，與接收設(shè)備4進(jìn)行數(shù)據(jù)傳輸?shù)拇螖?shù)為1次，與接收設(shè)備5進(jìn)行數(shù)據(jù)傳輸?shù)拇螖?shù)為1次，則針對(duì)該發(fā)送設(shè)備，確定出的數(shù)據(jù)傳輸次數(shù)的最大值為6，總的數(shù)據(jù)傳輸?shù)拇螖?shù)為12，經(jīng)過計(jì)算，第一參數(shù)為0.5。

電子設(shè)備確定第二參數(shù)dportratio的過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)包傳輸時(shí)，每個(gè)接收設(shè)備每次使用的接收端口，統(tǒng)計(jì)每個(gè)接收設(shè)備的每個(gè)接收端口被使用的第二次數(shù)，識(shí)別所述第二次數(shù)的第二最大值max(dstport)，確定所述第二最大值max(dstport)與所述發(fā)送設(shè)備在該設(shè)定時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)包傳輸?shù)拇螖?shù)count(dstport)的比值為所述第二參數(shù)，即dportratio＝max(dstport)/count(dstport)。

以某個(gè)發(fā)送設(shè)備為例對(duì)第二參數(shù)的確定過程進(jìn)行說明，假如設(shè)定時(shí)間長(zhǎng)度為5分鐘，在5分鐘內(nèi)，接收該發(fā)送設(shè)備傳輸?shù)臄?shù)據(jù)的接收端口有4個(gè)，統(tǒng)計(jì)所述接收端口接收數(shù)據(jù)的次數(shù)，其中，接收端口1接收數(shù)據(jù)的次數(shù)為5次，接收端口2接收數(shù)據(jù)的次數(shù)為1次，接收端口3接收數(shù)據(jù)的次數(shù)為1次，接收端口4接收數(shù)據(jù)的次數(shù)為1次，則識(shí)別出每個(gè)接收端口被使用的第二次數(shù)的最大值為5，總的數(shù)據(jù)包傳輸?shù)拇螖?shù)為8，經(jīng)過計(jì)算，第二參數(shù)為0.625。

電子設(shè)備確定第三參數(shù)bppratio的過程包括：統(tǒng)計(jì)所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)與每個(gè)接收設(shè)備傳輸?shù)臄?shù)據(jù)包的大小和數(shù)量，識(shí)別相同大小且數(shù)量最多的數(shù)據(jù)包的第三數(shù)量max(bpp)，將所述第三數(shù)量max(bpp)與數(shù)據(jù)包的總的數(shù)量count(bpp)的比值確定為第三參數(shù)。

以某個(gè)發(fā)送設(shè)備為例對(duì)第三參數(shù)的確定過程進(jìn)行說明，假如設(shè)定時(shí)間長(zhǎng)度為5分鐘，在5分鐘內(nèi)，該發(fā)送設(shè)備總共傳輸?shù)臄?shù)據(jù)包的數(shù)量為20個(gè)，其中數(shù)據(jù)包大小為150字節(jié)的有8個(gè)，數(shù)據(jù)包大小為120字節(jié)的有4個(gè)，數(shù)據(jù)包大小為110字節(jié)的有3個(gè)，數(shù)據(jù)包大小為100字節(jié)的有3個(gè)，數(shù)據(jù)包大小為800字節(jié)的有2個(gè)，則識(shí)別出相同大小且數(shù)量最多的數(shù)據(jù)包的第三數(shù)量為8個(gè)，數(shù)據(jù)包的總的數(shù)量為20個(gè)，經(jīng)過計(jì)算，第三參數(shù)為0.4。

實(shí)施例3：

在上述各實(shí)施例的基礎(chǔ)上，為了提高蠕蟲事件的檢測(cè)效率，所述對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理之前，所述方法還包括：

根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；

如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的特征向量刪除。

電子設(shè)備中保存有白名單，所述白名單中保存有預(yù)先確定不存在蠕蟲攻擊的發(fā)送設(shè)備的標(biāo)識(shí)信息，所示標(biāo)識(shí)信息可以為發(fā)送設(shè)備的IP地址信息。當(dāng)電子設(shè)備針對(duì)每個(gè)發(fā)送設(shè)備確定出其對(duì)應(yīng)的特征向量后，根據(jù)電子設(shè)備中保存的白名單中的發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別確定出的特征向量對(duì)應(yīng)的發(fā)送設(shè)備的標(biāo)識(shí)信息是否與所述白名單中保存的發(fā)送設(shè)備相同，如果相同，則將針對(duì)該標(biāo)識(shí)信息對(duì)應(yīng)的發(fā)送設(shè)備確定出的特征向量刪除。

圖2為本發(fā)明實(shí)施例提供的一種蠕蟲事件的檢測(cè)過程示意圖，該過程包括以下步驟：

S201：針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量。

S202：根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同，如果是，進(jìn)行步驟S203，否則，進(jìn)行步驟S204。

S203：將針對(duì)該白名單中的發(fā)送設(shè)備的特征向量刪除。

S204：根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類。

S205：根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類。

S206：針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。

由于在本發(fā)明實(shí)施例中，電子設(shè)備針對(duì)每個(gè)發(fā)送設(shè)備確定出其對(duì)應(yīng)的特征向量后，根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的特征向量刪除，因此減小了進(jìn)行聚類的數(shù)據(jù)量，提高了檢測(cè)的效率。

實(shí)施例4：

在上述各實(shí)施例的基礎(chǔ)上，為了使電子設(shè)備對(duì)設(shè)定時(shí)間長(zhǎng)度內(nèi)的特征向量進(jìn)行聚類處理更加準(zhǔn)確，在本發(fā)明實(shí)施例中，所述預(yù)設(shè)的聚類算法包括：

基于劃分的K均值(Kmeans)聚類算法和Kmeans++算法。

首先電子設(shè)備基于Kmeans算法，接收用戶輸入的參數(shù)k，即將每個(gè)特征向量對(duì)應(yīng)的特征點(diǎn)劃分為k類，計(jì)算組內(nèi)平方和Cost，計(jì)算公式如下：

式中，p為每個(gè)特征向量對(duì)應(yīng)的特征點(diǎn)；

c_i為聚類C_i的中心點(diǎn)。

對(duì)于每個(gè)聚類中的特征點(diǎn)p，計(jì)算該特征點(diǎn)到其聚類中心點(diǎn)c_i的歐式距離，進(jìn)而求平方和得到組內(nèi)平方和Cost值。

在Kmeans算法中，不同的k值對(duì)最后的計(jì)算結(jié)果影響較大，為了保證對(duì)每個(gè)特征向量對(duì)應(yīng)的特征點(diǎn)聚類的準(zhǔn)確性，結(jié)合Kmeans++算法確定k值，進(jìn)而得到每個(gè)聚類。

根據(jù)Kmeans++算法，從2-20中依次選取k值，并針對(duì)所選取的每個(gè)k值計(jì)算組內(nèi)平方和Cost值，當(dāng)識(shí)別到Cost_k-1＞Cost_kandCost_k＜Cost_k+1時(shí)，將特征點(diǎn)劃分為k類對(duì)應(yīng)的聚類確定為得到的每個(gè)聚類。

例如，針對(duì)確定出的特征向量對(duì)應(yīng)的特征點(diǎn)，取k為2時(shí)，計(jì)算Cost₂＝0.1，取k為3時(shí)，計(jì)算Cost₃＝0.15，取k為4時(shí)，計(jì)算Cost₄＝0.18，取k為5時(shí)，計(jì)算Cost₅＝0.21，取k為6時(shí)，計(jì)算Cost₆＝0.2，取k為7時(shí)，計(jì)算Cost₇＝0.22，此時(shí)，識(shí)別到Cost₅＞Cost₆andCost₆＜Cost₇，因此將k為6對(duì)應(yīng)的聚類結(jié)果確定為目標(biāo)聚類結(jié)果。

具體的，采用Kmeans算法和Kmeans++算法，對(duì)特征向量進(jìn)行聚類處理的過程屬于現(xiàn)有技術(shù)，在本發(fā)明實(shí)施例中對(duì)該過程不進(jìn)行贅述。

圖3為本發(fā)明實(shí)施例提供的一種蠕蟲事件的檢測(cè)過程示意圖，該過程包括以下步驟：

S301：針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量。

S302：針對(duì)每個(gè)特征向量對(duì)應(yīng)的特征點(diǎn)，將所述特征點(diǎn)劃分為k類，并計(jì)算組內(nèi)平方和Cost_k，其中k依次取值為2到20。

S303：將特征點(diǎn)劃分為k類對(duì)應(yīng)的聚類確定為得到的每個(gè)聚類。

S304：根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類。

S305：針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。

由于在本發(fā)明實(shí)施例中，電子設(shè)備通過采用Kmeans算法和Kmeans++算法能夠更準(zhǔn)確的對(duì)確定出的特征向量進(jìn)行聚類處理，進(jìn)而為蠕蟲事件的檢測(cè)提供了前提條件。

實(shí)施例5：

在上述實(shí)施例的基礎(chǔ)上，當(dāng)確定目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊時(shí)，還可以確定目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備的蠕蟲攻擊的類型，在本發(fā)明實(shí)施例中，所述確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊后，所述方法還包括：

根據(jù)所述目標(biāo)發(fā)送設(shè)備和所述目標(biāo)接收設(shè)備對(duì)應(yīng)的每個(gè)目標(biāo)特征向量，根據(jù)所述目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)包傳輸采用的傳輸協(xié)議，及進(jìn)行此次傳輸?shù)臄?shù)據(jù)包的大小，與蠕蟲類型表中保存的每種類型的蠕蟲攻擊對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比，確定目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型。

電子設(shè)備中根保存有蠕蟲類型表，所述蠕蟲類型表中保存有蠕蟲攻擊的類型和每種蠕蟲攻擊的類型對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小。當(dāng)檢測(cè)出目標(biāo)發(fā)送設(shè)備在蠕蟲攻擊目標(biāo)接收設(shè)備后，根據(jù)所述目標(biāo)發(fā)送設(shè)備和所述目標(biāo)接收設(shè)備對(duì)應(yīng)的每個(gè)目標(biāo)特征向量，確定出該目標(biāo)特征向量對(duì)應(yīng)的目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)包傳輸采用的傳輸協(xié)議，及進(jìn)行此次傳輸?shù)臄?shù)據(jù)包的大小，將所述確定出的該目標(biāo)特征向量對(duì)應(yīng)的目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)包傳輸采用的傳輸協(xié)議，及進(jìn)行此次傳輸?shù)臄?shù)據(jù)包的大小與蠕蟲類型表中保存有蠕蟲攻擊的類型和每種蠕蟲攻擊的類型對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比，確定出目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型。

另外，如果在蠕蟲類型表中未發(fā)現(xiàn)與確定出的目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)包傳輸采用的傳輸協(xié)議，及進(jìn)行此次傳輸?shù)臄?shù)據(jù)包的大小對(duì)應(yīng)的蠕蟲攻擊類型，則將此目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)包傳輸采用的傳輸協(xié)議，及進(jìn)行此次傳輸?shù)臄?shù)據(jù)包的大小保存到蠕蟲事件表中，以使用戶對(duì)此特征向量對(duì)應(yīng)的蠕蟲事件指定具體的蠕蟲攻擊類型。

在確定所述目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊，并且確定出蠕蟲攻擊的類型后，電子設(shè)備可以通過顯示界面將目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊的信息展示給用戶，具體的，可以將該目標(biāo)發(fā)送設(shè)備的IP地址、目標(biāo)接收設(shè)備IP地址、目標(biāo)接收設(shè)備的接收端口以及蠕蟲攻擊類型等信息展示給用戶。

圖4為本發(fā)明實(shí)施例提供的一種蠕蟲事件的檢測(cè)過程示意圖，該過程包括以下步驟：

S401：針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量。

S402：根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類。

S403：根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類。

S404：針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。

S405：根據(jù)所述目標(biāo)發(fā)送設(shè)備和所述目標(biāo)接收設(shè)備對(duì)應(yīng)的每個(gè)目標(biāo)特征向量，根據(jù)所述目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)包傳輸采用的傳輸協(xié)議，及進(jìn)行此次傳輸?shù)臄?shù)據(jù)包的大小，與蠕蟲類型表中保存的每種類型的蠕蟲攻擊對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比，確定目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型。

由于在本發(fā)明實(shí)施例中，電子設(shè)備可以根據(jù)所述目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)包傳輸采用的傳輸協(xié)議，及進(jìn)行此次傳輸?shù)臄?shù)據(jù)包的大小，與蠕蟲類型表中保存的每種類型的蠕蟲攻擊對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比，確定出目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型，使得用戶對(duì)蠕蟲事件的認(rèn)識(shí)更具體。

實(shí)施例6：

在上述實(shí)施例的基礎(chǔ)上，為了提高蠕蟲事件的更新效率，在本發(fā)明實(shí)施例中，針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新之前，所述方法還包括：

根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)目標(biāo)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；

如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的目標(biāo)特征向量刪除。

電子設(shè)備中保存有白名單，所述白名單中保存有預(yù)先確定不存在蠕蟲事件的發(fā)送設(shè)備的標(biāo)識(shí)信息，所示標(biāo)識(shí)信息可以為發(fā)送設(shè)備的IP地址信息。當(dāng)電子設(shè)備針對(duì)每個(gè)發(fā)送設(shè)備確定出其對(duì)應(yīng)的目標(biāo)聚類后，根據(jù)電子設(shè)備中保存的白名單中的發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別確定出目標(biāo)聚類中的特征向量對(duì)應(yīng)的發(fā)送設(shè)備的標(biāo)識(shí)信息是否與所述白名單中保存的發(fā)送設(shè)備相同，如果相同，則將針對(duì)該標(biāo)識(shí)信息對(duì)應(yīng)的發(fā)送設(shè)備確定出的特征向量刪除。

由于在本發(fā)明實(shí)施例中，電子設(shè)備針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新之前，根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的特征向量刪除，因此減小了蠕蟲事件更新的數(shù)據(jù)量，提高了蠕蟲事件更新的效率。

圖5為本發(fā)明實(shí)施例提供的一種蠕蟲事件的檢測(cè)裝置結(jié)構(gòu)示意圖，該裝置包括：

第一確定模塊51，用于針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量；

處理模塊52，用于根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類；

第二確定模塊53，用于根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類；

第三確定模塊54，用于針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。

所述第一確定模塊51，具體用于針對(duì)發(fā)送設(shè)備，確定所述發(fā)送設(shè)備對(duì)應(yīng)的特征向量中的第一參數(shù)、第二參數(shù)和第三參數(shù)，其中第一參數(shù)的確定過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，識(shí)別所述第一次數(shù)的第一最大值，確定所述第一最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值，將1與所述比值的差作為所述第一參數(shù)；第二參數(shù)的確定過程包括：識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸時(shí)，每個(gè)接收設(shè)備每次使用的接收端口，統(tǒng)計(jì)每個(gè)接收設(shè)備的每個(gè)接收端口被使用的第二次數(shù)，識(shí)別所述第二次數(shù)的第二最大值，確定所述第二最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值為所述第二參數(shù)；第三參數(shù)的確定過程包括：統(tǒng)計(jì)所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)與每個(gè)接收設(shè)備傳輸?shù)臄?shù)據(jù)包的大小和數(shù)量，識(shí)別相同大小且數(shù)量最多的數(shù)據(jù)包的第三數(shù)量，將所述第三數(shù)量與數(shù)據(jù)包的總的數(shù)量的比值確定為第三參數(shù)。

所述裝置還包括：

第一識(shí)別刪除模塊55，用于根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的特征向量刪除。

所述處理模塊52，具體用于采用基于劃分的K均值聚類Kmeans算法和Kmeans++算法對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類。

所述裝置還包括：

第四確定模塊56，用于根據(jù)所述目標(biāo)發(fā)送設(shè)備和所述目標(biāo)接收設(shè)備對(duì)應(yīng)的每個(gè)目標(biāo)特征向量，根據(jù)所述目標(biāo)接收設(shè)備的接收端口，進(jìn)行此次數(shù)據(jù)傳輸采用的傳輸協(xié)議，及進(jìn)行此次數(shù)據(jù)傳輸?shù)臄?shù)據(jù)包的大小，與蠕蟲類型表中保存的每種類型的蠕蟲攻擊對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比，確定每個(gè)目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型。

所述裝置還包括：

第二識(shí)別刪除模塊57，用于根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息，識(shí)別每個(gè)目標(biāo)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同；如果是，將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的目標(biāo)特征向量刪除。

本發(fā)明實(shí)施例提供一種蠕蟲事件的檢測(cè)方法及裝置，所述方法包括：針對(duì)每個(gè)發(fā)送設(shè)備，統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸，針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量，其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)，每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)，及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量；根據(jù)預(yù)設(shè)的聚類算法，對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理，得到每個(gè)聚類；根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量，及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量，確定目標(biāo)聚類；針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量，對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新，針對(duì)每個(gè)可疑次數(shù)，判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值，如果是，確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。由于在本發(fā)明實(shí)施例中，電子設(shè)備能夠根據(jù)每個(gè)發(fā)送設(shè)備和接收設(shè)備之間的每次數(shù)據(jù)傳輸，確定對(duì)應(yīng)的特征向量，并根據(jù)確定的特征向量，采用預(yù)設(shè)的聚類算法進(jìn)行聚類處理，根據(jù)蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量確定出目標(biāo)聚類，進(jìn)而檢測(cè)蠕蟲事件，因此，本發(fā)明實(shí)施例提供的蠕蟲事件的檢測(cè)方法不需要檢測(cè)數(shù)據(jù)包的內(nèi)容，僅根據(jù)特征向量的分布，即可實(shí)現(xiàn)蠕蟲事件的檢測(cè)，同時(shí)，也提高了在高速網(wǎng)絡(luò)中進(jìn)行蠕蟲事件的檢測(cè)效率。

對(duì)于系統(tǒng)/裝置實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說明即可。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請(qǐng)的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此，本申請(qǐng)可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本申請(qǐng)可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

本申請(qǐng)是參照根據(jù)本申請(qǐng)實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上，使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

盡管已描述了本申請(qǐng)的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對(duì)這些實(shí)施例做出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本申請(qǐng)范圍的所有變更和修改。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本申請(qǐng)進(jìn)行各種改動(dòng)和變型而不脫離本申請(qǐng)的精神和范圍。這樣，倘若本申請(qǐng)的這些修改和變型屬于本申請(qǐng)權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本申請(qǐng)也意圖包含這些改動(dòng)和變型在內(nèi)。