本發(fā)明涉及網(wǎng)絡(luò)檢測(cè)領(lǐng)域，具體而言，涉及一種網(wǎng)絡(luò)攻擊源的檢測(cè)方法和裝置。

背景技術(shù)：

在電網(wǎng)的信息化建設(shè)中，涉及多個(gè)業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)的規(guī)模龐大而復(fù)雜，隨著信息化建設(shè)的不斷深入，網(wǎng)絡(luò)安全問題也日益得到關(guān)注。目前在網(wǎng)絡(luò)安全方面，一般部署的是防火墻、ids(入侵檢測(cè)系統(tǒng))等安全產(chǎn)品，不具有對(duì)網(wǎng)絡(luò)內(nèi)大量數(shù)據(jù)流進(jìn)行綜合、深度監(jiān)測(cè)的能力，但隨著網(wǎng)絡(luò)攻擊手段的不斷提升，攻擊方式在不斷變換，網(wǎng)絡(luò)中會(huì)存在大量攻擊數(shù)據(jù)，現(xiàn)有的安全防護(hù)手段，不能有效確定這些攻擊的源頭，無法在出現(xiàn)網(wǎng)絡(luò)攻擊時(shí)提供可靠、有力的安全保障。

深度打擊網(wǎng)絡(luò)攻擊，保障信息安全迫在眉睫，大數(shù)據(jù)作為一個(gè)重要的生產(chǎn)因素已經(jīng)迅速發(fā)展為國(guó)家高度關(guān)注的重點(diǎn)，在網(wǎng)絡(luò)攻擊日趨多樣化的現(xiàn)狀下，大數(shù)據(jù)分析已經(jīng)成為必然趨勢(shì)，信息安全必然需要大數(shù)據(jù)的保駕護(hù)航。目前的網(wǎng)絡(luò)攻擊分析，安全事件追溯，只通過傳統(tǒng)的安全設(shè)備去追查難免出現(xiàn)信息孤島，信息缺失等情況。

針對(duì)上述的相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí)，確定網(wǎng)絡(luò)攻擊的源頭的效率低的問題，目前尚未提出有效的解決方案。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)攻擊源的檢測(cè)方法和裝置，以至少解決相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí)，確定網(wǎng)絡(luò)攻擊的源頭的效率低的技術(shù)問題。

根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種網(wǎng)絡(luò)攻擊源的檢測(cè)方法，包括：采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源，其中，所述目標(biāo)數(shù)據(jù)源包括產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源；對(duì)所述目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作；對(duì)經(jīng)過預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，建立數(shù)據(jù)模型庫，其中，所述數(shù)據(jù)模型庫中包括對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行分析之后得到的分析結(jié)果；根據(jù)所述分析結(jié)果確定所述攻擊源。

進(jìn)一步地，對(duì)經(jīng)過預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，建立數(shù)據(jù)模型庫包括：通過數(shù)據(jù)挖掘技術(shù)，得到所述預(yù)處理操作后的數(shù)據(jù)的特征信息、關(guān)聯(lián)信息以及模式信息；根據(jù)所述特征信息、所述關(guān)聯(lián)信息以及所述模式信息建立所述數(shù)據(jù)模型庫。

進(jìn)一步地，在根據(jù)所述特征信息、關(guān)聯(lián)信息以及模式信息建立所述數(shù)據(jù)模型庫之后，所述方法還包括：根據(jù)輸入的算法參數(shù)，調(diào)用所述數(shù)據(jù)模型庫中存儲(chǔ)的目標(biāo)數(shù)據(jù)；通過調(diào)用的所述目標(biāo)數(shù)據(jù)，建立模型評(píng)估體系，其中，所述模型評(píng)估體系用于對(duì)產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源進(jìn)行評(píng)估，得到評(píng)估參數(shù)；根據(jù)所述分析結(jié)果確定所述攻擊源包括：基于所述數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的模式及特征，確定所述數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化；根據(jù)所述數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化和所述評(píng)估參數(shù)，確定所述攻擊源。

進(jìn)一步地，對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作包括：利用目標(biāo)技術(shù)對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作，其中，所述目標(biāo)技術(shù)包括以下至少一種：數(shù)據(jù)切片技術(shù)、數(shù)據(jù)分類技術(shù)、數(shù)據(jù)聚合技術(shù)以及數(shù)據(jù)索引標(biāo)記技術(shù)，所述預(yù)處理操作包括下述至少之一：聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)包括存儲(chǔ)的程序，其中，所述程序執(zhí)行上述實(shí)施例中任意一項(xiàng)所述的網(wǎng)絡(luò)攻擊源的檢測(cè)方法。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種處理器，所述處理器用于運(yùn)行程序，其中，所述程序運(yùn)行時(shí)執(zhí)行上述實(shí)施例中任意一項(xiàng)所述的網(wǎng)絡(luò)攻擊源的檢測(cè)方法。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種網(wǎng)絡(luò)攻擊源的檢測(cè)裝置，包括：采集單元，用于采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源，其中，所述目標(biāo)數(shù)據(jù)源包括產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源；預(yù)處理單元，用于對(duì)所述目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作；第一建立單元，用于對(duì)經(jīng)過預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，建立數(shù)據(jù)模型庫，其中，所述數(shù)據(jù)模型庫中包括對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行分析之后得到的分析結(jié)果；確定單元，用于根據(jù)所述分析結(jié)果確定所述攻擊源。

進(jìn)一步地，所述第一建立單元包括：確定子模塊，用于通過數(shù)據(jù)挖掘技術(shù)，得到所述預(yù)處理操作后的數(shù)據(jù)的特征信息、關(guān)聯(lián)信息以及模式信息；建立子模塊，用于根據(jù)所述特征信息、所述關(guān)聯(lián)信息以及所述模式信息建立所述數(shù)據(jù)模型庫。

進(jìn)一步地，所述裝置還包括：調(diào)用單元，用于在根據(jù)所述特征信息、關(guān)聯(lián)信息以及模式信息建立所述數(shù)據(jù)模型庫之后，根據(jù)輸入的算法參數(shù)，調(diào)用所述數(shù)據(jù)模型庫中存儲(chǔ)的目標(biāo)數(shù)據(jù)；第二建立單元，用于通過調(diào)用的所述目標(biāo)數(shù)據(jù)，建立模型評(píng)估體系，其中，所述模型評(píng)估體系用于對(duì)產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源進(jìn)行評(píng)估，得到評(píng)估參數(shù)；所述確定單元包括：第一確定子模塊，用于基于所述數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的模式及特征，確定所述數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化；第二確定子模塊，用于根據(jù)所述數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化和所述評(píng)估參數(shù)，確定所述攻擊源。

進(jìn)一步地，所述預(yù)處理單元包括：預(yù)處理子模塊，用于利用目標(biāo)技術(shù)對(duì)所述目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作，其中，所述目標(biāo)技術(shù)包括以下至少一種：數(shù)據(jù)切片技術(shù)、數(shù)據(jù)分類技術(shù)、數(shù)據(jù)聚合技術(shù)以及數(shù)據(jù)索引標(biāo)記技術(shù)，所述預(yù)處理操作包括下述至少之一：聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作。

在本發(fā)明實(shí)施例中，可以通過采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源，以進(jìn)行相應(yīng)的處理，得到目標(biāo)數(shù)據(jù)源中產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源，在處理的過程中，可以先對(duì)采集到的目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作，并對(duì)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，以建立一個(gè)數(shù)據(jù)模型庫，該模型庫中可以包括對(duì)目標(biāo)數(shù)據(jù)進(jìn)行分析之后得到的分析結(jié)果，通過該分析結(jié)果可以確定上述的攻擊源。根據(jù)該實(shí)施例，可以對(duì)網(wǎng)絡(luò)中大量的數(shù)據(jù)源進(jìn)行相應(yīng)的分析處理，以確定出數(shù)據(jù)源中可以產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源，解決相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí)，確定網(wǎng)絡(luò)攻擊的源頭的效率低的技術(shù)問題，在確定出大量數(shù)據(jù)源中的攻擊源后，可以相對(duì)應(yīng)的阻止攻擊源攻擊網(wǎng)絡(luò)，達(dá)到了有效保護(hù)網(wǎng)絡(luò)信息安全的效果。

附圖說明

此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中：

圖1是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)攻擊源的檢測(cè)方法的示意圖；

圖2是根據(jù)本發(fā)明實(shí)施例的另一種可選的網(wǎng)絡(luò)攻擊源的檢測(cè)裝置的示意圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。

需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對(duì)象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

首先，在對(duì)本申請(qǐng)實(shí)施例進(jìn)行描述的過程中出現(xiàn)的部分名詞或術(shù)語適用于如下解釋：

數(shù)據(jù)挖掘技術(shù)，是一種數(shù)據(jù)處理的技術(shù)，是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中，提取隱含在其中、人們事先不知道又潛在有用信息和知識(shí)的過程。

根據(jù)本發(fā)明實(shí)施例，提供了一種網(wǎng)絡(luò)攻擊源的檢測(cè)方法的實(shí)施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

圖1是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)攻擊源的檢測(cè)方法的示意圖，如圖1所示，該方法包括如下步驟：

步驟s102，采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源，其中，目標(biāo)數(shù)據(jù)源包括產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源。

步驟s104，對(duì)目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作。

步驟s106，對(duì)經(jīng)過預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，建立數(shù)據(jù)模型庫，其中，數(shù)據(jù)模型庫中包括對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行分析之后得到的分析結(jié)果。

步驟s108，根據(jù)分析結(jié)果確定攻擊源。

在上述實(shí)施例中，可以通過采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源，以進(jìn)行相應(yīng)的處理，得到目標(biāo)數(shù)據(jù)源中產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源，在處理的過程中，可以先對(duì)采集到的目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作，并對(duì)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，以建立一個(gè)數(shù)據(jù)模型庫，該模型庫中可以包括對(duì)目標(biāo)數(shù)據(jù)進(jìn)行分析之后得到的分析結(jié)果，通過該分析結(jié)果可以確定上述的攻擊源。根據(jù)該實(shí)施例，可以對(duì)網(wǎng)絡(luò)中大量的數(shù)據(jù)源進(jìn)行相應(yīng)的分析處理，以確定出數(shù)據(jù)源中可以產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源，解決相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí)，確定網(wǎng)絡(luò)攻擊的源頭的效率低的技術(shù)問題，在確定出大量數(shù)據(jù)源中的攻擊源后，可以相對(duì)應(yīng)的阻止攻擊源攻擊網(wǎng)絡(luò)，達(dá)到了有效保護(hù)網(wǎng)絡(luò)信息安全的效果。

可選的，上述實(shí)施例應(yīng)用于網(wǎng)絡(luò)信息安全方面，根據(jù)上述的實(shí)施方式，可以對(duì)網(wǎng)路中的大量數(shù)據(jù)進(jìn)行分析處理。其中，上述的數(shù)據(jù)源可以為多種類型，包括結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)及半結(jié)構(gòu)化數(shù)據(jù)，該結(jié)構(gòu)化數(shù)據(jù)可以為保存在數(shù)據(jù)庫中的數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)可以為無法依照表格存儲(chǔ)的數(shù)據(jù)，即無法存儲(chǔ)在數(shù)據(jù)庫中的數(shù)據(jù)。

可選的，上述的采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源，在采集數(shù)據(jù)時(shí)，可以對(duì)多個(gè)多源異構(gòu)數(shù)據(jù)采用前置探針的方式采集數(shù)據(jù)。在采集多個(gè)數(shù)據(jù)源后，可以在間隔預(yù)定時(shí)間內(nèi)將預(yù)設(shè)數(shù)據(jù)包的目標(biāo)數(shù)據(jù)源發(fā)送至處理中心，其中，預(yù)定時(shí)間可以根據(jù)實(shí)際情況設(shè)置，如5分鐘，即間隔5分鐘可以發(fā)送一次預(yù)設(shè)數(shù)據(jù)包，；預(yù)設(shè)數(shù)據(jù)包的大小可以是用戶自行設(shè)置，在本申請(qǐng)中不做限定。

另一種可選的實(shí)施方式，對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作包括：利用目標(biāo)技術(shù)對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作，其中，目標(biāo)技術(shù)包括以下至少一種：數(shù)據(jù)切片技術(shù)、數(shù)據(jù)分類技術(shù)、數(shù)據(jù)聚合技術(shù)以及數(shù)據(jù)索引標(biāo)記技術(shù)，預(yù)處理操作包括下述至少之一：聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作。

對(duì)于上述的數(shù)據(jù)分類技術(shù)可以為多種，如決策樹算法、神經(jīng)網(wǎng)絡(luò)算法等；數(shù)據(jù)聚合技術(shù)可以多種，如基于傳感器網(wǎng)絡(luò)的數(shù)據(jù)聚合；數(shù)據(jù)索引標(biāo)記技術(shù)為對(duì)采集到的數(shù)據(jù)進(jìn)行相應(yīng)的索引以及標(biāo)記數(shù)據(jù)的技術(shù)，在本申請(qǐng)中可以通過建立數(shù)據(jù)表的方式，對(duì)采集到的目標(biāo)數(shù)據(jù)源建立索引目錄，以通過該數(shù)據(jù)表可以快速查找到目標(biāo)數(shù)據(jù)源的位置，其中，標(biāo)記技術(shù)可以通過數(shù)字和符號(hào)等方式對(duì)采集到的數(shù)據(jù)進(jìn)行標(biāo)記。

可選的，在對(duì)采集到目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化操作時(shí)，可以通過聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作的層級(jí)遞進(jìn)方式來處理采集到的目標(biāo)數(shù)據(jù)源，其中，通過聚合操作和重組操作可以對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行基本的處理，將目標(biāo)數(shù)據(jù)源中相同或相似的數(shù)據(jù)進(jìn)行組合，通過清洗操作可以將目標(biāo)數(shù)據(jù)源中的干擾信息去除，該干擾信息包括傳輸錯(cuò)誤的數(shù)據(jù)；通過提取操作可以將目標(biāo)數(shù)據(jù)源中有異?；蛘呤枪粼吹哪繕?biāo)數(shù)據(jù)源進(jìn)行提取，通過管理操作可以將提取出的目標(biāo)數(shù)據(jù)進(jìn)行相應(yīng)的管理，通過切分操作可以將管理的目標(biāo)數(shù)據(jù)進(jìn)行切分，以將包括攻擊源的目標(biāo)數(shù)據(jù)切分出來，得到較小的數(shù)據(jù)源模塊。

對(duì)于上述的層級(jí)化預(yù)處理操作，不限于上述的操作，其操作的順序可以根據(jù)實(shí)際情況變化，也可以增加相應(yīng)的操作，如在提取操作和管理操作之間可以增加轉(zhuǎn)換操作，以將提取出的數(shù)據(jù)源轉(zhuǎn)換為方便管理的數(shù)據(jù)源。

可選的，在對(duì)目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作之后，對(duì)經(jīng)過預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，建立數(shù)據(jù)模型庫之前還可以包括：對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)源進(jìn)行分布式計(jì)算，將目標(biāo)數(shù)據(jù)源中包括的大量數(shù)據(jù)分割為多個(gè)數(shù)據(jù)源模塊，通過多臺(tái)終端或服務(wù)器處理該數(shù)據(jù)源模塊，再對(duì)處理后的數(shù)據(jù)源模塊進(jìn)行合并操作，以得到分布式計(jì)算的結(jié)果，從而達(dá)到資源利用的最大化。

可選的，在進(jìn)行分布式計(jì)算時(shí)，可以采用分布式實(shí)時(shí)計(jì)算框架和分布式離線計(jì)算框架相結(jié)合的方式分析目標(biāo)數(shù)據(jù)源，在對(duì)數(shù)據(jù)源進(jìn)行分布式計(jì)算后，可以將相應(yīng)的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)挖掘處理中心，以通過數(shù)據(jù)挖掘得到數(shù)據(jù)源中的攻擊源。

可選的，對(duì)經(jīng)過預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，建立數(shù)據(jù)模型庫包括：通過數(shù)據(jù)挖掘技術(shù)，得到預(yù)處理操作后的數(shù)據(jù)的特征信息、關(guān)聯(lián)信息以及模式信息；根據(jù)特征信息、關(guān)聯(lián)信息以及模式信息建立數(shù)據(jù)模型庫。

可選的，上述的數(shù)據(jù)挖掘是對(duì)預(yù)處理操作后的數(shù)據(jù)進(jìn)行挖掘，以根據(jù)預(yù)處理后的數(shù)據(jù)源得到攻擊源，通過相應(yīng)的實(shí)施方式，得到有用的分析信息，其中該實(shí)施方式可以包括應(yīng)用統(tǒng)計(jì)方法、事例推理、決策樹、神經(jīng)網(wǎng)絡(luò)、遺傳算法等，其中，通神經(jīng)網(wǎng)絡(luò)技術(shù)解決數(shù)據(jù)挖掘的問題，包括用于分類、預(yù)測(cè)和模式識(shí)別的前饋式神經(jīng)網(wǎng)絡(luò)模型和用于聯(lián)想記憶和優(yōu)化計(jì)算的反饋式神經(jīng)網(wǎng)絡(luò)模型等。可選的，遺傳算法是一種基于生物自然選擇與遺傳機(jī)理的隨機(jī)搜索算法，是一種仿生全局優(yōu)化方法。可選的，決策樹是一種常用于預(yù)測(cè)模型的算法，它通過將大量數(shù)據(jù)有目的分類，從中找到一些有價(jià)值的，潛在的信息?？蛇x的，統(tǒng)計(jì)分析技術(shù)可以為對(duì)目標(biāo)數(shù)據(jù)中的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、分析，以得到數(shù)據(jù)源中的差異數(shù)據(jù)。

可選的，可以根據(jù)數(shù)據(jù)源中的存儲(chǔ)格式，將數(shù)據(jù)源中的攻擊源解析出來。對(duì)于上述的模型數(shù)據(jù)庫可以為將已經(jīng)分析出的攻擊源的類型和信息存儲(chǔ)起來，也可以存儲(chǔ)該次獲取到的數(shù)據(jù)源中的攻擊源的類型和實(shí)際數(shù)據(jù)。通過該模型數(shù)據(jù)庫可以多次分析采集到的數(shù)據(jù)源。

另一種可選的實(shí)施方式，在根據(jù)特征信息、關(guān)聯(lián)信息以及模式信息建立數(shù)據(jù)模型庫之后，方法還包括：根據(jù)輸入的算法參數(shù)，調(diào)用數(shù)據(jù)模型庫中存儲(chǔ)的目標(biāo)數(shù)據(jù)；通過調(diào)用的目標(biāo)數(shù)據(jù)，建立模型評(píng)估體系，其中，模型評(píng)估體系用于對(duì)產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源進(jìn)行評(píng)估，得到評(píng)估參數(shù)；根據(jù)分析結(jié)果確定攻擊源包括：基于數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的模式及特征，確定數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化；根據(jù)數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化和評(píng)估參數(shù)，確定攻擊源。

通過上述實(shí)施方式，可以對(duì)分析出的數(shù)據(jù)建立模型評(píng)估體系，該評(píng)估體系中可以包括對(duì)目標(biāo)數(shù)據(jù)進(jìn)行評(píng)估，每個(gè)目標(biāo)數(shù)據(jù)可以有相應(yīng)的評(píng)估值，如1、2、3、10等，可以設(shè)置在評(píng)估值超過預(yù)設(shè)閾值時(shí)，確定該評(píng)估值對(duì)應(yīng)的目標(biāo)數(shù)據(jù)源為攻擊源的可能性很大，其中，該預(yù)設(shè)閾值可以多種，如8。

可選的，對(duì)于上述實(shí)施例中的基于數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的模式及特征，確定數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化，該模式可以為已知的攻擊源的模式，該特征可以已知的攻擊源的特征，如攻擊源中包括的常用符號(hào)和代碼。對(duì)于上述的信息變化可以為上次分析出的數(shù)據(jù)和該次分析出的數(shù)據(jù)相比較而得到的變化數(shù)據(jù)，通過分析出的信息變化可以得到哪些數(shù)據(jù)產(chǎn)生變化，根據(jù)該信息變化可以更容易的分析攻擊源的位置。

可選的，通過上述實(shí)施方式，可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行分析、建模操作，以確定出產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源。

下面是根據(jù)本發(fā)明的具體實(shí)施方式。

結(jié)合國(guó)家電網(wǎng)的安全防護(hù)現(xiàn)狀，以及國(guó)家電網(wǎng)對(duì)業(yè)務(wù)安全要求，對(duì)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備和主機(jī)等設(shè)備的日志進(jìn)行大數(shù)據(jù)分析，并對(duì)其中的安全事件進(jìn)行關(guān)聯(lián)分析，數(shù)據(jù)提煉，形成基于大數(shù)據(jù)的攻擊溯源體系。

構(gòu)建面向信息安全領(lǐng)域的大數(shù)據(jù)平臺(tái)，自動(dòng)、智能、快速的對(duì)復(fù)雜來源的海量數(shù)據(jù)進(jìn)行采集，并針對(duì)大數(shù)據(jù)分布式計(jì)算特性和算法特性對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一預(yù)處理，形成統(tǒng)一的分布式存儲(chǔ)管理系統(tǒng)。利用分布式計(jì)算架構(gòu)對(duì)數(shù)據(jù)進(jìn)行快速計(jì)算和挖掘分析，以采集的大數(shù)據(jù)為基礎(chǔ)，構(gòu)建相應(yīng)的業(yè)務(wù)模型和可視化分析，從而發(fā)現(xiàn)和揭示隱含的要素和關(guān)聯(lián)。在該實(shí)施方式中，可以通過數(shù)據(jù)源采集、大數(shù)據(jù)預(yù)處理、大數(shù)據(jù)分布式計(jì)算、大數(shù)據(jù)挖掘分析、信息安全大數(shù)據(jù)應(yīng)用等方式對(duì)采集到的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相應(yīng)的處理。

可選的，上述的數(shù)據(jù)源采集可以是在信息安全領(lǐng)域，數(shù)據(jù)源根據(jù)類型的不同，包括結(jié)構(gòu)化數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)，對(duì)于大量多源異構(gòu)數(shù)據(jù)源，采用前置探針，對(duì)數(shù)據(jù)進(jìn)行集中收集、規(guī)范化等工作，將數(shù)據(jù)整合后統(tǒng)一發(fā)送到大數(shù)據(jù)應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)將根據(jù)安全事件之間的相關(guān)性，進(jìn)行關(guān)聯(lián)分析，得到更為準(zhǔn)確的監(jiān)測(cè)信息，以利于發(fā)現(xiàn)攻擊源。

可選的，在大數(shù)據(jù)預(yù)處理中，原始數(shù)據(jù)中可能存在著大量雜亂的、重復(fù)的、不完整的數(shù)據(jù)，嚴(yán)重影響到數(shù)據(jù)挖掘算法的執(zhí)行效率，甚至可能導(dǎo)致挖掘結(jié)構(gòu)的偏差。因此，在數(shù)據(jù)挖掘算法執(zhí)行之前，必須對(duì)收集到的原始數(shù)據(jù)進(jìn)行預(yù)處理，從而改進(jìn)數(shù)據(jù)的質(zhì)量，提高數(shù)據(jù)挖掘過程的效率、精度和性能。大數(shù)據(jù)預(yù)處理利用數(shù)據(jù)切片，數(shù)據(jù)分類，數(shù)據(jù)聚合，數(shù)據(jù)索引標(biāo)記等技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行層級(jí)化的聚合、重組、清洗、提取、轉(zhuǎn)換、管理、切分等預(yù)處理操作，統(tǒng)一標(biāo)準(zhǔn)接口，統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)，并通過分布式存儲(chǔ)管理技術(shù)，在滿足一致性要求的基礎(chǔ)上，實(shí)現(xiàn)安全、可靠、快速、有效的對(duì)多類型、多格式的數(shù)據(jù)統(tǒng)一存儲(chǔ)管理。

可選的，在大數(shù)據(jù)分布式計(jì)算過程中，可以通過兩個(gè)或多個(gè)計(jì)算機(jī)互相共享信息，將需要進(jìn)行大量計(jì)算的數(shù)據(jù)分割成小塊，由多臺(tái)計(jì)算機(jī)分別計(jì)算，再對(duì)運(yùn)算結(jié)果進(jìn)行統(tǒng)一合并。采用分布式任務(wù)調(diào)度機(jī)制，動(dòng)態(tài)靈活的將計(jì)算資源進(jìn)行分配和調(diào)度，從而達(dá)到資源利用最大化，計(jì)算節(jié)點(diǎn)不會(huì)出現(xiàn)閑置和過載的情況，采用分布式實(shí)時(shí)計(jì)算框架和分布式離線計(jì)算框架相結(jié)合的分布式計(jì)算框架和模塊化設(shè)計(jì)，構(gòu)建一個(gè)支持多種分布式計(jì)算模型的統(tǒng)一動(dòng)態(tài)調(diào)度、管理和計(jì)算的大數(shù)據(jù)分布式計(jì)算平臺(tái)，有效的支撐大數(shù)據(jù)挖掘分析。

可選的，在大數(shù)據(jù)挖掘分析過程中，可以通過上述數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分布式計(jì)算等過程，將數(shù)據(jù)設(shè)置在管理系統(tǒng)中，為了得到有用的信息，需要采用數(shù)據(jù)挖掘分析技術(shù)，自動(dòng)智能的對(duì)大數(shù)據(jù)分析、探索、挖掘，探尋數(shù)據(jù)的模式及特征，尋找數(shù)據(jù)的信息變化，從而最終使用蘊(yùn)藏在數(shù)據(jù)中的信息和知識(shí)。數(shù)據(jù)模型庫是針對(duì)所有算法的特征，構(gòu)建一個(gè)通用庫，實(shí)現(xiàn)了大數(shù)據(jù)格式的數(shù)據(jù)結(jié)構(gòu)定義，對(duì)算法參數(shù)，數(shù)學(xué)模型庫，模型評(píng)估體系和挖掘分析的結(jié)果等進(jìn)行統(tǒng)一管理，提供了數(shù)據(jù)挖掘分析的入口，根據(jù)輸入的算法參數(shù)，自動(dòng)調(diào)用挖掘分析所用的算法及其相應(yīng)的模型等。

數(shù)據(jù)挖掘算法可以針對(duì)大數(shù)據(jù)分布式存儲(chǔ)管理，分布式計(jì)算的特性，統(tǒng)一匹配各種數(shù)據(jù)挖掘算法，根據(jù)具體業(yè)務(wù)需求，工具庫可配置相應(yīng)的算法進(jìn)行挖掘，具備靈活的動(dòng)態(tài)擴(kuò)展和分布式任務(wù)調(diào)度機(jī)制。

可選的，在信息安全大數(shù)據(jù)應(yīng)用中，隨著大數(shù)據(jù)技術(shù)的不斷創(chuàng)新和廣泛應(yīng)用，信息安全領(lǐng)域越來越迫切需要依托大數(shù)據(jù)處理技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的分析，面向信息安全領(lǐng)域的大數(shù)據(jù)分析平臺(tái)在大數(shù)據(jù)采集、預(yù)處理、分布式計(jì)算和挖掘分析的基礎(chǔ)上，需面向信息系統(tǒng)提供信息安全保證服務(wù)。

大數(shù)據(jù)安全分析平臺(tái)采用世界先進(jìn)的大數(shù)據(jù)技術(shù)作為底層支撐，解決了傳統(tǒng)安全分析中數(shù)據(jù)分析的性能瓶頸問題，實(shí)現(xiàn)了實(shí)時(shí)安全數(shù)據(jù)分析功能，完成了自主靈活的安全可視化目標(biāo)。可以通過管理節(jié)點(diǎn)運(yùn)行數(shù)據(jù)庫(如postgressql)，可以通過安裝包安裝管理節(jié)點(diǎn)，每個(gè)集群只能存在一個(gè)管理節(jié)點(diǎn)?？梢酝ㄟ^工作節(jié)點(diǎn)運(yùn)行分布式的服務(wù)組件(如hadoop、kafka等)。管理節(jié)點(diǎn)安裝完成之后，在系統(tǒng)的web頁面中對(duì)工作節(jié)點(diǎn)進(jìn)行部署，每個(gè)集群可以部署多個(gè)工作節(jié)點(diǎn)。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)包括存儲(chǔ)的程序，其中，程序執(zhí)行上述實(shí)施例中任意一項(xiàng)的網(wǎng)絡(luò)攻擊源的檢測(cè)方法。

根據(jù)本發(fā)明實(shí)施例的另一方面，還提供了一種處理器，處理器用于運(yùn)行程序，其中，程序運(yùn)行時(shí)執(zhí)行上述實(shí)施例中任意一項(xiàng)的網(wǎng)絡(luò)攻擊源的檢測(cè)方法。

圖2是根據(jù)本發(fā)明實(shí)施例的另一種可選的網(wǎng)絡(luò)攻擊源的檢測(cè)裝置的示意圖，如圖2所示，該裝置，包括：采集單元21，用于采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源，其中，目標(biāo)數(shù)據(jù)源包括產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源；預(yù)處理單元23，用于對(duì)目標(biāo)數(shù)據(jù)源中的數(shù)據(jù)進(jìn)行層級(jí)化的預(yù)處理操作；第一建立單元25，用于對(duì)經(jīng)過預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，建立數(shù)據(jù)模型庫，其中，數(shù)據(jù)模型庫中包括對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行分析之后得到的分析結(jié)果；確定單元27，用于根據(jù)分析結(jié)果確定攻擊源。

在上述實(shí)施例中，可以通過采集單元21采集網(wǎng)絡(luò)中的目標(biāo)數(shù)據(jù)源，以進(jìn)行相應(yīng)的處理，得到目標(biāo)數(shù)據(jù)源中產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源，在處理的過程中，可以預(yù)處理單元23先對(duì)采集到的目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作，并第一建立單元25對(duì)預(yù)處理操作后的數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，以建立一個(gè)數(shù)據(jù)模型庫，該模型庫中可以包括對(duì)目標(biāo)數(shù)據(jù)進(jìn)行分析之后得到的分析結(jié)果，通過確定單元27可以確定上述的攻擊源。根據(jù)該實(shí)施例，可以對(duì)網(wǎng)絡(luò)中大量的數(shù)據(jù)源進(jìn)行相應(yīng)的分析處理，以確定出數(shù)據(jù)源中可以產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源，解決相關(guān)技術(shù)中在發(fā)生網(wǎng)絡(luò)攻擊時(shí)，確定網(wǎng)絡(luò)攻擊的源頭的效率低的技術(shù)問題，在確定出大量數(shù)據(jù)源中的攻擊源后，可以相對(duì)應(yīng)的阻止攻擊源攻擊網(wǎng)絡(luò)，達(dá)到了有效保護(hù)網(wǎng)絡(luò)信息安全的效果。

可選的，第一建立單元包括：確定子模塊，用于通過數(shù)據(jù)挖掘技術(shù)，得到預(yù)處理操作后的數(shù)據(jù)的特征信息、關(guān)聯(lián)信息以及模式信息；建立子模塊，用于根據(jù)特征信息、關(guān)聯(lián)信息以及模式信息建立數(shù)據(jù)模型庫。

另一種可選的實(shí)施方式，裝置還包括：調(diào)用單元，用于在根據(jù)特征信息、關(guān)聯(lián)信息以及模式信息建立數(shù)據(jù)模型庫之后，根據(jù)輸入的算法參數(shù)，調(diào)用數(shù)據(jù)模型庫中存儲(chǔ)的目標(biāo)數(shù)據(jù)；第二建立單元，用于通過調(diào)用的目標(biāo)數(shù)據(jù)，建立模型評(píng)估體系，其中，模型評(píng)估體系用于對(duì)產(chǎn)生網(wǎng)絡(luò)攻擊的攻擊源進(jìn)行評(píng)估，得到評(píng)估參數(shù)；確定單元包括：第一確定子模塊，用于基于數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的模式及特征，確定數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化；第二確定子模塊，用于根據(jù)數(shù)據(jù)模型庫中的各項(xiàng)數(shù)據(jù)的信息變化和評(píng)估參數(shù)，確定攻擊源。

對(duì)于上述實(shí)施方式，預(yù)處理單元包括：預(yù)處理子模塊，用于利用目標(biāo)技術(shù)對(duì)目標(biāo)數(shù)據(jù)源進(jìn)行層級(jí)化的預(yù)處理操作，其中，目標(biāo)技術(shù)包括以下至少一種：數(shù)據(jù)切片技術(shù)、數(shù)據(jù)分類技術(shù)、數(shù)據(jù)聚合技術(shù)以及數(shù)據(jù)索引標(biāo)記技術(shù)，預(yù)處理操作包括下述至少之一：聚合操作、重組操作、清洗操作、提取操作、管理操作以及切分操作。

上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述，不代表實(shí)施例的優(yōu)劣。

在本發(fā)明的上述實(shí)施例中，對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重，某個(gè)實(shí)施例中沒有詳述的部分，可以參見其他實(shí)施例的相關(guān)描述。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的技術(shù)內(nèi)容，可通過其它的方式實(shí)現(xiàn)。其中，以上所描述的裝置實(shí)施例僅僅是示意性的，例如所述單元的劃分，可以為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，單元或模塊的間接耦合或通信連接，可以是電性或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤、只讀存儲(chǔ)器(rom，read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram，randomaccessmemory)、移動(dòng)硬盤、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進(jìn)和潤(rùn)飾，這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。