申请/专利权人：浙江省能源集团有限公司;浙江鹏信信息科技股份有限公司

申请日：2022-11-30

公开（公告）日：2023-03-17

公开（公告）号：CN115550072B

主分类号：H04L9/40

分类号：H04L9/40;H04L43/04

优先权：

专利状态码：有效-授权

法律状态：2023.03.17#授权;2023.01.20#实质审查的生效;2022.12.30#公开

摘要：本发明涉及网络攻击监控预警方法及系统，基于网络攻击的历史日志信息，根据防御端IP和攻击端IP对历史日志信息进行分组，得到防御端日志数据和攻击端日志数据；之后对防御端日志数据和攻击端日志数据分别构建IP时序矩阵和IP时间差矩阵，基于IP时间差矩阵，获取各待预警IP和当前时刻之前邻近的数个时间差，形成第一预测数据集；对第一预测数据集分布进行Holt‑Winters和ARIMA预测，并利用熵权法对两种预测的时间差进行权重划分，得到目标时间差；最后根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。本发明实现防御端和攻击端对攻击时间的双向预警。

主权项：1.网络攻击监控预警方法，其特征在于，包括以下步骤：S1、获取网络攻击的历史日志信息，历史日志信息包括防御端IP、攻击端IP和攻击时间；S2、根据防御端IP和攻击端IP对历史日志信息进行分组，得到防御端日志数据和攻击端日志数据；S3、分别对防御端日志数据和攻击端日志数据进行数据特征聚合，并对数据特征聚合后得到的数据特征集进行层次聚类，得到防御端聚类簇和攻击端聚类簇；S4、将防御端聚类簇内的日志数据以IP为单位进行聚合处理，得到防御端IP及其对应的攻击时间构成的第一IP时序矩阵，再根据第一IP时序矩阵转换得到防御端IP及其对应的相邻攻击时间的差值构成的第一IP时间差矩阵；将攻击端聚类簇内的日志数据以IP为单位进行聚合处理，得到攻击端IP及其对应的攻击时间构成的第二IP时序矩阵，再根据第二IP时序矩阵转换得到攻击端IP及其对应的相邻攻击时间的时间差构成的第二IP时间差矩阵；S5、基于第一IP时间差矩阵、第二IP时间差矩阵，获取各待预警IP和当前时刻之前邻近的数个时间差，形成第一预测数据集；S6、对第一预测数据集进行Holt-Winters预测，得到各待预警IP下一时刻攻击或被攻击的第一时间差；对第一预测数据集进行ARIMA预测，得到各待预警IP下一时刻攻击或被攻击的第二时间差；S7、利用熵权法对第一时间差和第二时间差进行权重划分，以得到目标时间差；并根据当前时刻和目标时间差得到各待预警IP下一时刻攻击或被攻击的目标时刻。

全文数据：

权利要求：

百度查询： 浙江省能源集团有限公司;浙江鹏信信息科技股份有限公司 网络攻击监控预警方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD