技術領域

本發明屬于網絡安全技術領域，具體涉及一種基于機器深度學習的網絡安全態勢特征聚類方法。

背景技術

近年來，隨著移動互聯網和智能終端時代的到來與普及，人們的線上行為越來越頻繁，營銷規模越來越大，各種社交網絡組成了復雜、異構的大規模網絡。然而，由于通信網絡存在可移動性、可擴展性、大規模性、泛在性等特性，在網絡滲入人們社會生活的同時，也成為黑客攻擊的首要目標，導致網絡安全漏洞數量持續快速增長。因此，安全問題必將成為未來大規模網絡首要解決的問題。

由于入侵的網絡數據多種多樣，且不斷有新的網絡入侵方式在出現。對網絡入侵進行特征分析，讓人們對于入侵的網絡數據特征類型更加了解，能夠制定有效的防止網絡入侵的方法。入侵的網絡數據特征廣泛，難以進行分析，因此，采用聚類方法對入侵數據特征進行聚類，對聚類后得到的特征再分析。

聚類算法有多種，參考專利文獻CN103136327A公開了一種基于局部特征聚類的時間序列符號化方法，包括：讀取原始時間序列的步驟；調用滑動窗口程序利用滑動窗口將所述原始時間序列分割為多個子時間序列的步驟；將所述原始時間序列的每個子時間序列采用多個斜率表示的步驟；采用K均值聚類算法實現所述子時間序列聚類的步驟；以及對于每個聚類結果賦予相應的符號標識的步驟。

上述參考專利文獻采用的是K均值聚類算法，K均值聚類算法存在著如下缺點：對于高維數據（如成百上千維），其計算速度十分慢，主要是慢在計算距離上，它的另外一個缺點就是它需要設定希望得到的聚類數k，若對于數據沒有很好的理解，那么設置k值就成了一種估計性的工作，使得聚類結果不準確。

發明內容

針對現有技術存在的不足之處，本發明提出了一種基于機器深度學習的網絡安全態勢特征聚類方法，該聚類方法在獲取惡意數據包后，對惡意數據包進行處理分析，將分析結果作為惡意數據包的特征數據集，再對該特征數據集進行聚類。

本發明采用如下技術方案：

基于機器深度學習的網絡安全態勢特征聚類方法，包括以下步驟，

S1、獲取網絡惡意數據包，以及惡意數據包對應的屬性信息；

S2、對惡意數據包，以及與惡意數據包對應的屬性信息進行處理分析，得到惡意數據包的特征數據集；

S3、采用聚類算法對惡意數據包所包含的特征進行聚類。

進一步的，所述步驟S1中惡意數據包對應的屬性信息包括源物理端口、虛擬局域網標識、源網絡硬件地址、源IP地址、源傳輸控制協議端口中的至少一種。

進一步的，所述步驟S2中惡意數據包的特征數據集包括惡意數據包大小、惡意數據包類型及惡意數據包的屬性信息。

進一步的，所述步驟S3中聚類算法為凝聚型層次聚類算法或層次聚類算法。

進一步的，所述步驟S3中聚類算法為K-MEANS算法、DBSCAN算法或CLIQUE算法。

進一步的，所述步驟S3具體包括以下步驟，

S301，將每個惡意數據包當作一個類簇，并計算任意兩個類簇中心之間的距離；

S302，將距離最小的兩個類簇合并成為一個新的類簇；

S303，計算新類簇的中心位置；

S304，重新計算新類簇與所有類簇中心之間的距離；

S305，判斷類簇數是否等于預設值k，如果等于，則結束，如果不等于，則跳轉到步驟S302。

更進一步的，所述距離計算采用歐式距離。

更進一步的，所述步驟S2中惡意數據包的特征數據集包括惡意數據包大小、惡意數據包類型和源IP地址。

更進一步的，所述步驟S2中惡意數據包的特征數據集包括惡意數據包大小、惡意數據包類型、源物理端口、源網絡硬件地址、源IP地址和源傳輸控制協議端口。

本發明具有如下優點：1，距離和規則的相似度容易定義，限制少；2，不需要預先制定聚類數；3，可以發現類的層次關系。

附圖說明

圖1是基于機器深度學習的網絡安全態勢特征聚類方法流程圖。

具體實施方式

為進一步說明各實施例，本發明提供有附圖。這些附圖為本發明揭露內容的一部分，其主要用以說明實施例，并可配合說明書的相關描述來解釋實施例的運作原理。配合參考這些內容，本領域普通技術人員應能理解其他可能的實施方式以及本發明的優點。圖中的組件并未按比例繪制，而類似的組件符號通常用來表示類似的組件。

現結合附圖和具體實施方式對本發明進一步說明。

參閱圖1所示，為本發明提出的基于機器深度學習的網絡安全態勢特征聚類方法流程圖，包括以下步驟，