本發明提供了一種網絡入侵檢測方法，包括以下步驟：(1)對歷史終端行為數據進行數據處理；(2)判斷是否存在Kmeans聚類分析模型，如果不存在，根據歷史終端行為數據建立基于spark的Kmeans聚類分析模型，進入步驟(3)，如果存在，直接進行步驟(3)；(3)根據所述Kmeans聚類分析模型對新接收到的終端行為數據進行分析；(4)檢測到網絡入侵和可疑連接行為，并進行攻擊鏈地圖展示。提高功能擴展和時效性，降低漏報率，使人機界面更為友好。

技術領域

本發明屬于計算機網絡技術領域，涉及一種終端異常行為分析方法。

背景技術

分析終端異常行為、檢測網絡入侵是要找到與以往所見的正常連接不同的連接，對保障網絡安全至關重要?，F有常用的檢測網絡入侵的方法為基于異常的網絡入侵檢測系統(A-NIDS)。A-NIDS又分為基于異常數據包的入侵檢測和基于異常網絡流量的入侵檢測?；诋惓祿娜肭謾z測中，從網絡中獲得數據來源，根據異常數據包特征庫的特征，對捕獲到的數據包進行實時分析，若數據包與異常數據包特征庫中某一特征相匹配，則認為是一個異常數據包。基于異常數據包的入侵檢測的缺點是需要不斷更新異常數據包特征庫，否則如果異常數據包的特征未收集在異常數據包特征庫，則難以識別異常數據包?；诋惓＞W絡流量的入侵檢測中，根據采樣所得到的樣本來預測當前網絡的流量，若當前網絡流量與預測相比有較大差異，具體表現為突發性網絡流量激增，可以認為網絡流量發生異常。當異常確定為入侵時，將產生報警?；诋惓＞W絡流量的入侵檢測的缺點是小流量下的入侵不能被檢測到，且如果正常流量行為突然出現增加，會導致系統誤判。

聚類就是對大量未知標注的數據集，按數據的內在相似性將數據集劃分為多個類別，使類別內的數據相似度較大而類別間的數據相似度較小。聚類是最有名的非監督學習算法，Kmeans是應用最廣泛的聚類算法，它試圖在數據集中找出k個簇群。在Kmeans算法中，數據點是由所有數值型特征組成的特征向量，簡稱向量。數據點相互距離一般采用歐氏距離，如點1(x11，x12，x13，…，x1n)，點2(x21，x22，x23，…，x2n)之間的距離計算如下：

Kmeans算法中簇群實質上是一個點，即組成該簇群的所有點的中心(稱為質心)，它是簇群中所有點的算術平均值，因此算法取名Kmeans。算法開始時隨機選擇k個數據點作為簇群的質心，然后把每個數據點分配給最近的質心，接著對每個簇群計算該簇群所有數據點的平均值，并將其作為該簇群的新質心，然后不斷重復該過程直到質心穩定不再變化，由此得到k個簇群。以數據集合為三維，簇群內為兩點，兩點分別為X＝(x1,x2,x3),Y＝(y1,y2,y3)為例，中心點Z變為Z＝(z1,z2,z3)，其中z1＝(x1+y1)/2，z2＝(x2+y2)/2，z3＝(x3+y3)/2。Kmeans聚類算法有以下優點：1.作為解決聚類問題的一種經典算法，具有簡單、快速的特點；2.對處理大數據集具有可伸縮性和高效率；3.當結果簇密集時效果較好。雖然目前已有將Kmeans模型用于網絡入侵檢測的方法(如CN 107895171A)，但該方法通過深度置信網絡與Kmeans算法結合分類，算法復雜，且Kmeans模型的訓練數據為幾種攻擊類型的異常數據，在異常數據收集不完整時存在出現漏報的風險。

發明內容

針對現有入侵檢測方法中存在的問題，基于Kmeans算法特點，本發明提供了一種基于spark的機器學習Kmeans分析模型的終端異常行為分析方法。檢測網絡入侵及可疑連接的本質是要找到與以往見過的正常連接不同的連接，本發明根據每個網絡連接的統計屬性進行聚類，聚類的結果簇定義了正常的歷史連接類型，界定了正常連接的區域，任何在區域之外的點都是不正常的、可疑的，將正常連接區域之外的點認定為網絡入侵。本發明還將終端行為分析結果的攻擊鏈通過地圖顯示，并提供了相應的分析系統。