[发明专利]一种变长时间窗口下复杂图网络的聚类方法

权利要求书

1.一种变长时间窗口下复杂图网络的聚类方法，其特征在于其包括以下步骤：

步骤1；选定单位时间窗口，将日志数据按照单位时间窗口划分，从而将变长时间窗口下的数据分析问题转化为多个固定单位时间窗口内的数据分析；

步骤2：计算笛卡尔积，计算聚类的簇的距离，依据距离划分攻击组织，实现了对变长时间窗口下的攻击组织进行了持续跟踪，并从单位时间窗口角度对攻击组织的成员增加、减少的变化进行刻画，满足了对攻击组织变迁的了解需求；

其中所述的计算笛卡尔积，计算聚类的簇的距离，依据距离划分攻击组织的具体步骤是：

先按L_t,t∈{T₁,T₂,…,T_n}构建以关键实体为中心的无向图其中，V⁰是图的初始顶点，即实体；E⁰是图的初始边，表示CC控制Bot或Bot对被攻击者发起攻击；L_t表示t时间窗口内的日志数据；T_n表示第n个时间窗口；

再定义社区模块度

其中，A_ij是顶点i和顶点j之间的权重，在此恒定为1；

k_i和k_j表示顶点的度数；

m表示所有边的数量；

c_i表示顶点所属的社区；

δ是克罗内克函数；

其中p_ij表示顶点i和顶点j之间在随机网络下存在边数的期望；

然后初始化循环迭代次数记录器k为0，进行以下循环迭代：

将图中的每个点i∈V^k看作一个社区；

尝试将每个顶点i,依次将其分配到相邻顶点j所在社区，计算其模块度变化量ΔM；

取本次循环ΔM最大值ΔM_max,若ΔM_max＞0，则保留ΔM_max所对应的顶点分配尝试；

若循环不再发生顶点的实际社区重分配，循环终止，记此时图聚类结果为C_t,t∈{T₁,T₂,…,T_n}；

对于上述单位时间窗口聚类计算结果C_t,t∈{T₁,T₂,…,T_n},记录各聚类结果内不同簇的关键实体集合，如表示在内编号为x的簇含有的关键实体集合，即使用T₁时间窗口内的日志数据得到的关键实体集合，其中x表示标号x的上限值；

对于两个相邻时间窗口内的关键实体集合做笛卡尔积运算，能得形如的集合运算结果，其中T_a，T_b表示相邻的时间窗口；

对于R中每个数对计算其距离其中：A和B表示两个相邻时间窗口内的关键实体集合A和关键实体集合B；

若一个数对中两个元素距离大于阈值，则认为两元素具有演进关系，即二者同属一个攻击组织，若已有唯一攻击组织编号G_id，id为随机产生且唯一的值，则将其归入该攻击组织中，若没有已知的攻击组织编号关联，则新建一个编号；

最终可得攻击组织其中p∈{1,2,…,P},q∈{1,2,…,Q}，它包含在不同时间窗口(T_a,T_b,T_c,T_d…)内的聚类结果，T_a，T_b，T_c，T_d表示两两相邻的时间窗口，而实现对变长窗口的图网络聚类。

2.根据权利要求1所述的一种变长时间窗口下复杂图网络的聚类方法，其特征在于其中所述的选定单位时间窗口，将日志数据按照单位时间窗口划分的具体步骤是：

首先接入网络安全日志数据，抽取实体信息，抽取的实体信息包括：从DDoS攻击日志中抽取时间、CC、Bot和被攻击者的IP地址；

然后，依照全部日志L时间跨度，选定单位时间窗口T，包括一年的数据，选定T为1个月，日志数据L依据时间窗口分为L_t,t∈{T₁,T₂,…,T_n}。