技術(shù)特征:1.一種蠕蟲事件的檢測(cè)方法,其特征在于��,應(yīng)用于電子設(shè)備���,所述方法包括:
針對(duì)每個(gè)發(fā)送設(shè)備����,統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸����,針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量���,其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)�,每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù)���,及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量����;
根據(jù)預(yù)設(shè)的聚類算法,對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理����,得到每個(gè)聚類;
根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量�����,及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量��,確定目標(biāo)聚類���;
針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量�����,對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新�,針對(duì)每個(gè)可疑次數(shù)���,判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值���,如果是,確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊。
2.如權(quán)利要求1所述的方法�,其特征在于,所述針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量包括:
針對(duì)發(fā)送設(shè)備��,確定所述發(fā)送設(shè)備對(duì)應(yīng)的特征向量中的第一參數(shù)���、第二參數(shù)和第三參數(shù)�����,其中第一參數(shù)的確定過程包括:識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)��,識(shí)別所述第一次數(shù)的第一最大值����,確定所述第一最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值����,將1與所述比值的差作為所述第一參數(shù);第二參數(shù)的確定過程包括:識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸時(shí)�,每個(gè)接收設(shè)備每次使用的接收端口�����,統(tǒng)計(jì)每個(gè)接收設(shè)備的每個(gè)接收端口被使用的第二次數(shù),識(shí)別所述第二次數(shù)的第二最大值�,確定所述第二最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值為所述第二參數(shù);第三參數(shù)的確定過程包括:統(tǒng)計(jì)所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)與每個(gè)接收設(shè)備傳輸?shù)臄?shù)據(jù)包的大小和數(shù)量����,識(shí)別相同大小且數(shù)量最多的數(shù)據(jù)包的第三數(shù)量,將所述第三數(shù)量與數(shù)據(jù)包的總的數(shù)量的比值確定為第三參數(shù)���。
3.如權(quán)利要求1所述的方法���,其特征在于,所述根據(jù)預(yù)設(shè)的聚類算法����,對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理之前,所述方法還包括:
根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息�,識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同;
如果是��,將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的特征向量刪除�����。
4.如權(quán)利要求1所述的方法�,其特征在于��,所述預(yù)設(shè)的聚類算法包括:
基于劃分的K均值聚類Kmeans算法和Kmeans++算法���。
5.如權(quán)利要求1所述的方法,其特征在于��,所述確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊后����,所述方法還包括:
根據(jù)所述目標(biāo)發(fā)送設(shè)備和所述目標(biāo)接收設(shè)備對(duì)應(yīng)的每個(gè)目標(biāo)特征向量,根據(jù)所述目標(biāo)接收設(shè)備的接收端口����,進(jìn)行此次數(shù)據(jù)傳輸采用的傳輸協(xié)議,及進(jìn)行此次數(shù)據(jù)傳輸?shù)臄?shù)據(jù)包的大小���,與蠕蟲類型表中保存的每種類型的蠕蟲攻擊對(duì)應(yīng)的接收端口��、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比��,確定每個(gè)目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型�。
6.如權(quán)利要求1所述的方法�,其特征在于,所述針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量���,對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新之前����,所述方法還包括:
根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息�,識(shí)別每個(gè)目標(biāo)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同;
如果是�,將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的目標(biāo)特征向量刪除。
7.一種蠕蟲事件的檢測(cè)裝置����,其特征在于,所述裝置包括:
第一確定模塊��,用于針對(duì)每個(gè)發(fā)送設(shè)備����,統(tǒng)計(jì)設(shè)定的時(shí)間長(zhǎng)度內(nèi)接收設(shè)備與發(fā)送設(shè)備之間的每次數(shù)據(jù)包的傳輸,針對(duì)每個(gè)發(fā)送設(shè)備確定特征向量�����,其中所述特征向量中包含發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)�����,每次數(shù)據(jù)傳輸時(shí)接收設(shè)備的每個(gè)接收端口被用使用的第二次數(shù),及每次數(shù)據(jù)傳輸時(shí)的數(shù)據(jù)包的大小及數(shù)量�;
處理模塊,用于根據(jù)預(yù)設(shè)的聚類算法��,對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理����,得到每個(gè)聚類;
第二確定模塊��,用于根據(jù)每個(gè)聚類的中心點(diǎn)對(duì)應(yīng)特征向量����,及預(yù)設(shè)的蠕蟲標(biāo)準(zhǔn)點(diǎn)對(duì)應(yīng)的特征向量,確定目標(biāo)聚類����;
第三確定模塊,用于針對(duì)目標(biāo)聚類中的每個(gè)目標(biāo)特征向量�,對(duì)所述目標(biāo)特征向量對(duì)應(yīng)的每個(gè)接收設(shè)備對(duì)應(yīng)的可疑次數(shù)進(jìn)行更新,針對(duì)每個(gè)可疑次數(shù)�����,判斷更新后的可疑次數(shù)是否大于設(shè)定的次數(shù)閾值�����,如果是,確定該可疑次數(shù)對(duì)應(yīng)的目標(biāo)發(fā)送設(shè)備對(duì)目標(biāo)接收設(shè)備存在蠕蟲攻擊����。
8.如權(quán)利要求7所述的裝置�,其特征在于,所述第一確定模塊��,具體用于針對(duì)發(fā)送設(shè)備��,確定所述發(fā)送設(shè)備對(duì)應(yīng)的特征向量中的第一參數(shù)��、第二參數(shù)和第三參數(shù)�����,其中第一參數(shù)的確定過程包括:識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸?shù)牡谝淮螖?shù)�,識(shí)別所述第一次數(shù)的第一最大值,確定所述第一最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值�����,將1與所述比值的差作為所述第一參數(shù)����;第二參數(shù)的確定過程包括:識(shí)別所述發(fā)送設(shè)備與每個(gè)接收設(shè)備進(jìn)行數(shù)據(jù)傳輸時(shí)����,每個(gè)接收設(shè)備每次使用的接收端口����,統(tǒng)計(jì)每個(gè)接收設(shè)備的每個(gè)接收端口被使用的第二次數(shù),識(shí)別所述第二次數(shù)的第二最大值�,確定所述第二最大值與所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)總的數(shù)據(jù)傳輸?shù)拇螖?shù)的比值為所述第二參數(shù);第三參數(shù)的確定過程包括:統(tǒng)計(jì)所述發(fā)送設(shè)備在所述設(shè)定的時(shí)間長(zhǎng)度內(nèi)與每個(gè)接收設(shè)備傳輸?shù)臄?shù)據(jù)包的大小和數(shù)量���,識(shí)別相同大小且數(shù)量最多的數(shù)據(jù)包的第三數(shù)量��,將所述第三數(shù)量與數(shù)據(jù)包的總的數(shù)量的比值確定為第三參數(shù)�����。
9.如權(quán)利要求7所述的裝置��,其特征在于�����,所述裝置還包括:
第一識(shí)別刪除模塊��,用于根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息����,識(shí)別每個(gè)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同;如果是�,將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的特征向量刪除。
10.如權(quán)利要求7所述的裝置����,其特征在于���,所述處理模塊��,具體用于采用基于劃分的K均值聚類Kmeans算法和Kmeans++算法對(duì)確定的每個(gè)特征向量進(jìn)行聚類處理�����,得到每個(gè)聚類����。
11.如權(quán)利要求7所述的裝置�����,其特征在于,所述裝置還包括:
第四確定模塊��,用于根據(jù)所述目標(biāo)發(fā)送設(shè)備和所述目標(biāo)接收設(shè)備對(duì)應(yīng)的每個(gè)目標(biāo)特征向量���,根據(jù)所述目標(biāo)接收設(shè)備的接收端口���,進(jìn)行此次數(shù)據(jù)傳輸采用的傳輸協(xié)議,及進(jìn)行此次數(shù)據(jù)傳輸?shù)臄?shù)據(jù)包的大小�,與蠕蟲類型表中保存的每種類型的蠕蟲攻擊對(duì)應(yīng)的接收端口、傳輸協(xié)議及數(shù)據(jù)包的大小進(jìn)行對(duì)比�����,確定每個(gè)目標(biāo)該特征向量對(duì)應(yīng)的蠕蟲攻擊類型�����。
12.如權(quán)利要求7所述的裝置��,其特征在于����,所述裝置還包括:
第二識(shí)別刪除模塊,用于根據(jù)白名單中保存的每個(gè)發(fā)送設(shè)備的標(biāo)識(shí)信息,識(shí)別每個(gè)目標(biāo)特征向量對(duì)應(yīng)的發(fā)送設(shè)備是否與所述白名單中保存的發(fā)送設(shè)備相同�;如果是,將所述白名單中保存的發(fā)送設(shè)備對(duì)應(yīng)的目標(biāo)特征向量刪除�����。