本發明提供一種基于K?means集群算法的攻擊源特征識別方法，包括大數據采集、大數據存儲和大數據分析，其中，所述大數據分析包括基于特征的、基于行為的、基于機器學習和統計學的三個分析單元。所述基于機器學習和統計學單元還實現對異常的數據集進行攻擊源特征識別，具體包括第一步：連接數據庫，從數據庫中選擇需要進行特征識別的數據；第二步：對數據進行標準化的判斷，判斷數據是否滿足特征識別處理的要求；第三步：對數據進行特征識別處理和分析處理之后輸出異常的數據集合，形成攻擊源特征識別分析報告。本發明方法適應性強，能夠對電力通信網絡的海量網絡數據進行監控，快速識別出網絡攻擊事件，解決現有網絡安全問題。

技術領域

本發明涉及網絡安全，具體涉及一種基于K-means集群算法的攻擊源特征識別方法。

背景技術

當今時代，人類社會正在經歷主要由網絡引發的信息化歷史進程，與世界上大多數國家一樣，中國正在接受信息化發展階段的洗禮。目前，隨著信息科技革命的急遽發展，世界上大多數國家和地區都在孜孜以求，為搶占下一階段經濟社會發展制高點展開激烈競爭，其中網絡安全和信息化建設成為重要內容。因此，加強網絡安全研究和信息化建設工作是順應時代發展潮流的自然之舉，將為實現中國未來經濟社會發展目標提供重要支撐。

眾所周知，隨著業務和IT基礎設施的規模不斷擴大，以及新的技術的發展，國內電網電力通信網絡的規模越來越大，傳統的基于關系型數據庫技術的安全事件和信息管理系統及類似的日志審計系統或安全管理系統都無法滿足高速海量事件的處理要求。主要體現在超過一定事件數量規模后，傳統的事件管理技術無法完成對所有信息事件的實時采集和存儲，受限于單臺系統的計算能力，海量的實時數據無法得到有效的關聯分析，會產生漏報和誤報，導致無法有效發現安全攻擊。歷史數據無法得到有效的分析，采用關系型數據庫技術在對海量數據進行歷史查詢和檢索時耗時很長，生成報表往往需要耗費數小時，這些已無法滿足安全分析人員日常的安全工作的要求。

發明內容

為了解決上述現有技術中存在的問題，本發明的目的是提供一種基于K-means集群算法的攻擊源特征識別方法，能夠對電力通信網絡的海量網絡數據進行監控，快速識別出網絡攻擊事件，解決現有網絡安全問題。

為了達到上述發明目的，本發明的技術方案以如下方式實現：

一種基于K-means集群算法的攻擊源特征識別方法，包括如下步驟：

A.大數據的采集：通過分布式部署的安全事件采集器高速采集安全事件，采集器對采集到的原始安全數據和事件進行預處理，包括泛化、過濾和歸并，并將其發送至大數據態勢感知預警平臺；

B.大數據的存儲：大數據態勢感知預警平臺使用關系數據庫和分布式文件系統保存收到的結構化的事件和原始事件，通過分布式存儲節點，將其保存至分布于平臺中各節點中的文件系統中，并通過專用的數據庫適配工具實現結構化數據和非結構化數據的轉換；其中，所述分布式文件系統采用冗余式保存技術，實現了安全數據的安全存儲，每個節點上的數據都在其他節點上有備份，一旦節點損壞并不會對數據造成影響，系統會重新分配數據；

C.大數據的分析：大數據態勢感知預警平臺還設置有安全事件分析模塊對大數據進行安全分析，并輸出分析報告，所述安全事件分析模塊包括基于特征的、基于行為的、基于機器學習和統計學的三個分析單元；

其中，所述基于特征的分析單元采用了基于CEP的流式計算框架自動地對采集來的網絡數據進行實時和歷史分析，具體包括將所有的關聯規則都預編譯為CQL(ContinuousQuery Language，持續查詢語言)，送入CEP引擎，對實時事件流進行模式匹配；其中，所述模式匹配模型采用不確定有限狀態機(Nondeterministic Finite Automata，NFA)結合RETE算法，通過基于特征的規則關聯分析引擎，識別已知模式的攻擊和違規的其他操作數據；