[发明专利]一种攻击团伙识别方法、装置、设备及介质

说明书

本申请提供了一种攻击团伙识别方法、装置、设备及介质，该方法包括：连接具有有网络行为日志数据的数据库，从所述数据库中提取需要进行聚类的数据；对所述数据进行标准化处理，得到标准化处理后的数据；使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理，得到异常数据集合；对所述异常数据集合进行攻击团伙的确定处理，得到攻击团伙数据。本申请中的技术方案能够提高对攻击团伙的识别能力，实现在海量异构的安全日志下能够快速地、有效地识别攻击团伙，并且有效地防御识别出的攻击团伙未来可能发起的攻击。

技术领域

本发明涉及信息技术领域，具体涉及一种攻击团伙识别方法、装置、设备及介质。

背景技术

现代企业的网络拓扑随着业务的多元化正变得日趋复杂，网络运行日志也呈现海量化、异构化的特点。现有技术的聚类分析算法在处理大数据场景时，需要对全部增量数据重新开展距离计算再规划聚类中心，算法模型构建耗时长，不利于网络安全需要对安全态势进行快速反应的要求。如何基于海量异构的安全日志进行有效地甄别攻击团伙，是目前网络安全态势感知领域期待解决的问题。

发明内容

基于此，本发明旨在提供一种攻击团伙识别方法、装置、设备及介质，提高对攻击团伙的识别能力，实现在海量异构的安全日志下能够快速地、有效地识别攻击团伙。

第一方面，本发明提供了一种攻击团伙识别方法，包括：

S1、连接具有有网络行为日志数据的数据库，从所述数据库中提取需要进行聚类的数据；对所述数据进行标准化处理，得到标准化处理后的数据；

S2、使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理，得到异常数据集合；

S3、对所述异常数据集合进行攻击团伙的确定处理，得到攻击团伙数据。

优选地，所述步骤S1中，所述将所述数据进行标准化处理，得到标准化处理后的数据，包括：

判断所述数据是否标准化；若否，则对所述数据进行标准化处理，得到标准化处理后的数据；若是，则将所述数据作为标准化处理后的数据。

优选地，所述对所述数据进行标准化处理，包括：

对所述数据的单位进行统一，将统一单位后的数据按比例进行缩放，使所述统一单位后的数据映射到特定区间上，避免因标尺不同造成距离计算误差。

优选地，所述步骤S2中，所述使用动态增量聚类攻击团伙识别算法对所述标准化处理后的数据进行聚类分析处理，得到异常数据集合，包括：

S21、输入标准化处理后的数据作为数据集合C，对所述数据集合C进行去除孤立点处理，得到去除孤立点后的数据集合C′；

S22、根据所述数据集合C′的样本总数，得到初始聚类数；

S23、将所述聚类数与所述所述数据集合C′的样本总数输入至传统k-means算法中进行聚类，得到聚类结果；

S24、判断是否有增量数据到达所述数据库，若有增量数据到达，则从所述增量数据中随机抽取少量增量数据样本点，计算抽取出的所述少量增量数据样本点到所述聚类结果中各质心的距离，将所述增量数据划分到距离所述少量增量数据样本点最近的质心所在聚类中；

S25、根据所述聚类结果，计算所有聚类的质心之间的距离，将聚类的质心距离小于所有聚类质心距离平均值的对应质心所在聚类进行合并，得到合并后的聚类结果；根据所述合并后的聚类结果，更新聚类数，并重新计算各聚类的质心；

S26、计算所述合并后的聚类结果中各聚类的动态阈值；

S27、将所述数据集合C′各聚类中的样本点与所在聚类的质心的距离小于动态阈值的样本点取出，进行反标准化处理，还原为真实数据后放入异常数据集合H中，更新所述异常数据集合H；