[发明专利]一种网络攻击场景的因果知识挖掘方法、装置及服务器

权利要求书

1.一种网络攻击场景的因果知识挖掘方法，其特征在于，包括：

接收网络中的安全设备在经网络攻击后所上传的告警信息；

按照告警信息所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景；

对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。

2.根据权利要求1所述的方法，其特征在于，所述按照告警所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景的过程包括：

将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇。

3.根据权利要求2所述的方法，其特征在于，所述将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇包括：

判断当前告警信息的源IP地址或目的IP地址是否与，已有类簇的告警信息的源IP地址或目的IP地址对应；

若是，将所述当前告警信息加入到所述已有类簇中，所述已有类簇中的各告警信息具有时序关系；

若否，为所述当前告警信息建立一个新的类簇。

4.根据权利要求2或3所述的方法，其特征在于，所述对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识包括：

通过马尔可夫性质算法对各个类簇进行分析，对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵；

将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链，一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。

5.根据权利要求4所述的方法，其特征在于，所述对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵包括：

对于各个类簇，为各类簇构建一个为空的转移概率矩阵，按照类簇中的告警信息的时序关系，遍历各个类簇中的各个告警信息；

若某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中，则在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1；

若某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中，则在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列，将该两告警信息对应的攻击场景间的计数器加1；

将各类簇所对应的转移概率矩阵进行归一化处理，得到各类簇所属的攻击场景相对应的一步转移概率矩阵。

6.一种网络攻击场景的因果知识挖掘装置，其特征在于，包括：

接收模块，用于接收网络中的安全设备在经网络攻击后所上传的告警信息；

聚类模块，用于按照告警信息所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景；

分析挖掘模块，用于对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。

7.根据权利要求6所述的装置，其特征在于，所述聚类模块包括：

类簇形成单元，用于将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇；

所述类簇形成单元包括：

判断子单元，用于判断当前告警信息的源IP地址或目的IP地址是否与，已有类簇的告警信息的源IP地址或目的IP地址对应；

加入子单元，用于在所述判断子单元的判断结果为是时，将所述当前告警信息加入到所述已有类簇中，所述已有类簇中的各告警信息具有时序关系；

新建子单元，用于在所述判断子单元的判断结果为否时，为所述当前告警信息建立一个新的类簇。

8.根据权利要求6或7所述的装置，其特征在于，所述分析挖掘模块包括：

一步转移概率矩阵确定单元，用于通过马尔可夫性质算法对各个类簇进行分析，对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵；

马尔可夫链生成单元，用于将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链，一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。