[发明专利]一种基于网络空间探测行为的攻击组织动态识别方法

权利要求书

1.一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，包括以下步骤：

利用开源网络空间探测工具对暴露在互联网上的工控设备进行扫描，得到网络攻击流量集，并将开源网络空间探测工具作为类别标签；

以流量会话为基本单元对网络攻击流量集进行分割，从流量会话中提取攻击模式AP，构成攻击模式集；

利用One-Vs-One算法和无参有监督二分类算法建立基于攻击模式的多分类模型，并利用攻击模式集对其进行训练；

为多分类模型建立新类别判定机制；

为多分类模型建立自更新判定机制；

以C类网段和多分类模型输出的攻击模式类别作为攻击组织的识别依据，建立攻击组织识别机制，以识别网络空间中的攻击组织。

2.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述攻击模式集为攻击模式AP构成的集合，攻击模式AP由流量会话中所有工控流量的特征向量构成，表示为：

AP＝{A₁,A₂,…,A_m}

其中，A_i表示工控流量的特征向量，i＝1,2，…，m，m表示特征向量的个数，所述工控流量为包含工控协议请求数据的数据报文，A_i表示为：

A_i＝{a₁,a₂,…,a_q}

其中，a_i表示具体的特征属性，q表示特征属性个数。

3.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述多分类模型MC采用投票机制，票数最多的类别被判定为最终输出类别，表示为：

MC＝{M₁,M₂,…,M_p}

其中，M_i表示一个无参有监督二分类模型，i＝1,2，…，p，p＝n(n-1)/2表示二分类模型的总个数，n为类别总数。

4.根据权利要求1所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述新类别判定机制包括阈值判定和模型判定两个判定步骤，当新的攻击模式同时通过两个判定时，则认为新的攻击模式代表了新的类别，并使用该攻击模式创建对应的新二分类模型，以扩展多分类模型。

5.根据权利要求4所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述阈值判定包括攻击模式指纹判定和平均特征向量判定两个子判定条件，且二者为“或”关系，即二者之一成立则阈值判定通过。

6.根据权利要求5所述的一种基于网络空间探测行为的攻击组织动态识别方法，其特征在于，所述攻击模式指纹判定表示为：

其中，APF表示测试攻击模式的指纹，且攻击模式初始被多分类模型分为C_i类别，APF_ij表示类别C_i中的第j个攻击模式指纹，dist()表示向量间的欧几里得距离，d_min()表示APF与类别C_i中所有攻击模式指纹间的最小距离，D_fin表示指纹阈值，APF表示为：

APF＝{V₁,V₂,…,V_n}

其中，V_i表示攻击模式属于类别C_i的平均票数，i＝1,2，…，n，表示为：

其中，v_ji表示特征向量A_j属于类别C_i的票数，表示为：

其中，m_k表示一个二分类模型的分类结果，p_k表示分类结果m_k对应的概率，I_i为指示函数，当m_k为i时，I_i值为1，否则值为0。