[发明专利]基于蜜罐实战生成的网络攻击知识图谱的行为预测方法

权利要求书

1.基于蜜罐实战生成的网络攻击知识图谱的行为预测方法，其特征在于，包括如下步骤：

S1：部署诱捕节点和蜜罐，绑定节点信息，当受到攻击后，记录下攻击信息，其中攻击信息包括攻击行为、攻击来源IP和端口、攻击方式、攻击内容和攻击时间；

S2：将步骤S1所记录的攻击信息进行知识图谱构建，图谱构建方法如下：将所有攻击信息按照攻击类型划分为第一级节点M1、第二级节点M2和第三级节点M3，第一级节点M1、第二级节点M2和第三级节点M3是从属关系，即第一级节点M1是第二级节点M2的父级，第二级节点M2是第三级节点M3的父级；

S3：根据知识图谱选定k类簇的各自中心点C_j，计算各个簇内的点i到中心点C_j的距离，得到k个距离数组D_ij，取最小值Min{[D_ij]}，其对应中心点j，中心点j便是i新划分到的簇的中心点，完成所有点的第一次聚类；

S4：将i轮换成其所在的簇的中心点，计算距离代价总和；

S5：判断距离代价总和是否小于给定距离代价阈值e，如果距离代价总和小于给定距离代价阈值e，则认为已经达到收敛条件，如果没有达到，则继续迭代直至收敛，最终分类成k个行为相关的簇，生成聚类模型；

S6：将k个簇的相似行为采用三元组的形式[{Pre_Attack_Event}{Predict}{Af_Attack_Event}]进行记录或给定一个距离值d，认定在这个距离内的攻击事件都是有相互发生的可能性来进行记录，从而做出相关性预测；

S7：再次收集来自同一攻击来源IP连续的攻击信息，记录每次攻击行为，然后将这次攻击事件放入到聚类模型里面进行验证，如果超出预期则再进行聚类重构，从而不断完善聚类模型；

步骤S4中计算距离代价总和方式为，设任意一点t，距离簇的原中心点j的距离为D_jt，然后中心点由j变更为i后，距离中心点i簇的距离为D_it，两者距离差的绝对值为dist{i，j，t}＝|D_jt-D_it|，dist{i，j，t}为中心点由j变为i，t点需要付出的距离代价，最后得到距离代价总和。

2.如权利要求1所述的基于蜜罐实战生成的网络攻击知识图谱及行为预测方法，其特征在于，第一级节点M1包括SSH扫描攻击、Http攻击和FTP攻击事件；第二级节点M2包括单次发生的攻击事件；第三级节点M3包括攻击IP，攻击端口，攻击时间，攻击序列，攻击行为和攻击威胁等级的集合。

3.如权利要求1所述的基于蜜罐实战生成的网络攻击知识图谱的行为预测方法，其特征在于，认定小于距离值d的攻击行为具有高度相似或者高度连读，极有可能在短时间内连续发生。

4.如权利要求3所述的基于蜜罐实战生成的网络攻击知识图谱的行为预测方法，其特征在于，如果两个攻击行为之间的距离小于距离值d，即认定这两个攻击行为有发生连续性的可能。

5.如权利要求1所述的基于蜜罐实战生成的网络攻击知识图谱的行为预测方法，其特征在于，步骤S1中绑定节点信息是将诱捕节点和蜜罐进行绑定，记录节点IP和蜜罐IP。

6.如权利要求2所述的基于蜜罐实战生成的网络攻击知识图谱的行为预测方法，其特征在于，攻击序列用于表示攻击事件与事件间攻击发生的顺序先后，如果是同一攻击来源的同一次攻击，则按顺序连接攻击序列，若同一攻击来源会发生不同的攻击方式；各级依照以下三元组进行连接：

{M1}-[r2:happend]-{M2}

{M2}-[r1:include]-{M3}。