[发明专利]网络攻击源的检测方法和装置

权利要求书

1.一种网络攻击源的检测方法，其特征在于，包括：

采集网络中的目标数据源，其中，所述目标数据源包括产生网络攻击的攻击源，在采集网络中的目标数据源时，对多个多源异构数据采用前置探针的方式采集所述目标数据源；

对所述目标数据源中的数据进行层级化的预处理操作；

对经过预处理操作后的数据进行数据挖掘，建立数据模型库，其中，所述数据模型库中包括对所述目标数据源进行分析之后得到的分析结果；

根据所述分析结果确定所述攻击源，

在对目标数据源中的数据进行层级化的预处理操作之后，对经过预处理操作后的数据进行数据挖掘，建立数据模型库之前，所述检测方法还包括：对经过预处理的目标数据源进行分布式计算，将目标数据源中分割为多个数据源模块，通过多台终端或服务器处理所述多个数据源模块，并对处理后的数据源模块进行合并操作，其中，在对目标数据源进行分布式计算时，采用分布式实时计算框架和分布式离线计算框架相结合分析所述目标数据源,

其中，对所述目标数据源进行层级化的预处理操作包括：利用目标技术对所述目标数据源进行层级化的预处理操作，其中，所述目标技术包括以下至少一种：数据切片技术、数据分类技术、数据聚合技术以及数据索引标记技术，所述预处理操作包括下述至少之一：聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作。

2.根据权利要求1所述的检测方法，其特征在于，对经过预处理操作后的数据进行数据挖掘，建立数据模型库包括：

通过数据挖掘技术，得到所述预处理操作后的数据的特征信息、关联信息以及模式信息；

根据所述特征信息、所述关联信息以及所述模式信息建立所述数据模型库。

3.根据权利要求2所述的检测方法，其特征在于，

在根据所述特征信息、关联信息以及模式信息建立所述数据模型库之后，所述方法还包括：根据输入的算法参数，调用所述数据模型库中存储的目标数据；通过调用的所述目标数据，建立模型评估体系，其中，所述模型评估体系用于对产生网络攻击的攻击源进行评估，得到评估参数；

根据所述分析结果确定所述攻击源包括：基于所述数据模型库中的各项数据的模式及特征，确定所述数据模型库中的各项数据的信息变化；根据所述数据模型库中的各项数据的信息变化和所述评估参数，确定所述攻击源。

4.一种网络攻击源的检测装置，其特征在于，包括：

采集单元，用于采集网络中的目标数据源，其中，所述目标数据源包括产生网络攻击的攻击源，在采集网络中的目标数据源时，对多个多源异构数据采用前置探针的方式采集所述目标数据源；

预处理单元，用于对所述目标数据源中的数据进行层级化的预处理操作；

第一建立单元，用于对经过预处理操作后的数据进行数据挖掘，建立数据模型库，其中，所述数据模型库中包括对所述目标数据源进行分析之后得到的分析结果；

确定单元，用于根据所述分析结果确定所述攻击源，

所述网络攻击源的检测装置还用于在对目标数据源中的数据进行层级化的预处理操作之后，对经过预处理操作后的数据进行数据挖掘，建立数据模型库之前，对经过预处理的目标数据源进行分布式计算，将目标数据源中分割为多个数据源模块，通过多台终端或服务器处理所述多个数据源模块，并对处理后的数据源模块进行合并操作，其中，在对目标数据源进行分布式计算时，采用分布式实时计算框架和分布式离线计算框架相结合分析所述目标数据源,

所述预处理单元包括：预处理子模块，用于利用目标技术对所述目标数据源进行层级化的预处理操作，其中，所述目标技术包括以下至少一种：数据切片技术、数据分类技术、数据聚合技术以及数据索引标记技术，所述预处理操作包括下述至少之一：聚合操作、重组操作、清洗操作、提取操作、管理操作以及切分操作。

5.根据权利要求4所述的检测装置，其特征在于，第一建立单元包括：

确定子模块，用于通过数据挖掘技术，得到所述预处理操作后的数据的特征信息、关联信息以及模式信息；

建立子模块，用于根据所述特征信息、所述关联信息以及所述模式信息建立所述数据模型库。