[发明专利]基于机器深度学习的网络安全态势特征聚类方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种基于机器深度学习的网络安全态势特征聚类方法。

背景技术

近年来，随着移动互联网和智能终端时代的到来与普及，人们的线上行为越来越频繁，营销规模越来越大，各种社交网络组成了复杂、异构的大规模网络。然而，由于通信网络存在可移动性、可扩展性、大规模性、泛在性等特性，在网络渗入人们社会生活的同时，也成为黑客攻击的首要目标，导致网络安全漏洞数量持续快速增长。因此，安全问题必将成为未来大规模网络首要解决的问题。

由于入侵的网络数据多种多样，且不断有新的网络入侵方式在出现。对网络入侵进行特征分析，让人们对于入侵的网络数据特征类型更加了解，能够制定有效的防止网络入侵的方法。入侵的网络数据特征广泛，难以进行分析，因此，采用聚类方法对入侵数据特征进行聚类，对聚类后得到的特征再分析。

聚类算法有多种，参考专利文献CN103136327A公开了一种基于局部特征聚类的时间序列符号化方法，包括：读取原始时间序列的步骤；调用滑动窗口程序利用滑动窗口将所述原始时间序列分割为多个子时间序列的步骤；将所述原始时间序列的每个子时间序列采用多个斜率表示的步骤；采用K均值聚类算法实现所述子时间序列聚类的步骤；以及对于每个聚类结果赋予相应的符号标识的步骤。

上述参考专利文献采用的是K均值聚类算法，K均值聚类算法存在着如下缺点：对于高维数据（如成百上千维），其计算速度十分慢，主要是慢在计算距离上，它的另外一个缺点就是它需要设定希望得到的聚类数k，若对于数据没有很好的理解，那么设置k值就成了一种估计性的工作，使得聚类结果不准确。

发明内容

针对现有技术存在的不足之处，本发明提出了一种基于机器深度学习的网络安全态势特征聚类方法，该聚类方法在获取恶意数据包后，对恶意数据包进行处理分析，将分析结果作为恶意数据包的特征数据集，再对该特征数据集进行聚类。

本发明采用如下技术方案：

基于机器深度学习的网络安全态势特征聚类方法，包括以下步骤，

S1、获取网络恶意数据包，以及恶意数据包对应的属性信息；

S2、对恶意数据包，以及与恶意数据包对应的属性信息进行处理分析，得到恶意数据包的特征数据集；

S3、采用聚类算法对恶意数据包所包含的特征进行聚类。

进一步的，所述步骤S1中恶意数据包对应的属性信息包括源物理端口、虚拟局域网标识、源网络硬件地址、源IP地址、源传输控制协议端口中的至少一种。

进一步的，所述步骤S2中恶意数据包的特征数据集包括恶意数据包大小、恶意数据包类型及恶意数据包的属性信息。

进一步的，所述步骤S3中聚类算法为凝聚型层次聚类算法或层次聚类算法。

进一步的，所述步骤S3中聚类算法为K-MEANS算法、DBSCAN算法或CLIQUE算法。

进一步的，所述步骤S3具体包括以下步骤，

S301，将每个恶意数据包当作一个类簇，并计算任意两个类簇中心之间的距离；

S302，将距离最小的两个类簇合并成为一个新的类簇；

S303，计算新类簇的中心位置；

S304，重新计算新类簇与所有类簇中心之间的距离；

S305，判断类簇数是否等于预设值k，如果等于，则结束，如果不等于，则跳转到步骤S302。

更进一步的，所述距离计算采用欧式距离。

更进一步的，所述步骤S2中恶意数据包的特征数据集包括恶意数据包大小、恶意数据包类型和源IP地址。

更进一步的，所述步骤S2中恶意数据包的特征数据集包括恶意数据包大小、恶意数据包类型、源物理端口、源网络硬件地址、源IP地址和源传输控制协议端口。

本发明具有如下优点：1，距离和规则的相似度容易定义，限制少；2，不需要预先制定聚类数；3，可以发现类的层次关系。

附图说明

图1是基于机器深度学习的网络安全态势特征聚类方法流程图。

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

现结合附图和具体实施方式对本发明进一步说明。

参阅图1所示，为本发明提出的基于机器深度学习的网络安全态势特征聚类方法流程图，包括以下步骤，