申请/专利权人:东南大学;国家计算机网络与信息安全管理中心江苏分中心
申请日:2024-01-25
公开(公告)日:2024-04-09
公开(公告)号:CN117633560B
主分类号:G06F18/23
分类号:G06F18/23;G06F18/24;H04L9/40
优先权:
专利状态码:有效-授权
法律状态:2024.04.09#授权;2024.03.19#实质审查的生效;2024.03.01#公开
摘要:本发明属于网络空间安全以及数据安全技术领域,涉及一种基于引力模型的网络异常数据传输行为聚类识别方法,包括步骤1,获取网络传输行为特征向量样本集,进行行为类别标注;步骤2,计算未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力,获得最大引力值;步骤3,若最大引力值超过引力捕获阈值,将未标注行为类别的网络传输行为特征向量标注为对应的行为类别,加入至对应的行为类别特征向量集合;步骤4,执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注。该方法可以在网络流量被加密的情况下,判断网络传输行为是否存在异常,从而完成对加密流量的恶意行为识别和发现。
主权项:1.一种基于引力模型的网络异常数据传输行为聚类识别方法,其特征在于,包括:步骤1,获取网络传输行为特征向量样本集,对所述样本集中部分网络传输行为特征向量进行行为类别标注,获得多个行为类别的特征向量集合,所述多个行为类别包括网络异常数据传输行为类别;步骤2,计算所述样本集中未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力值,获得最大引力值和对应的行为类别;步骤3,若所述最大引力值超过引力捕获阈值,则将所述未标注行为类别的网络传输行为特征向量标注为对应的行为类别,加入至对应的行为类别特征向量集合中;步骤4,重复执行步骤2至步骤3对其他未标注行为类别的网络传输行为特征向量进行行为类别标注;步骤2包括:参考万有引力定律公式,对未标注行为类别的网络传输行为特征向量与每个行为类别的特征向量集合之间的引力值进行计算,计算公式如下: ,上式中的表示第j个未标注行为类别的网络传输行为特征向量与类型为k的特征向量集合Ck之间的引力,1≤k≤K,K表示网络传输行为类别的数量;1≤j≤N,N表示尚未标注行为类别的网络传输行为特征向量的数量;mi表示类型为k的特征向量集合Ck中的第i个特征向量的质量,1≤i≤|Ck|,|Ck|表示类型为k的特征向量集合Ck中特征向量的数量;rij表示类型为k的特征向量集合Ck中的第i个特征向量与第j个特征向量之间的距离;在计算完第j个未标注行为类别的网络传输行为特征向量与所有行为类别的特征向量集合之间的引力后,从中选择对第j个未标注行为类别的网络传输行为特征向量具有最大引力值的行为类别;步骤2中类型为k的特征向量集合Ck中的第i个特征向量与第j个未标注行为类别的网络传输行为特征向量之间的距离rij计算公式如下: ,在上式中,I表示类型为k的特征向量集合Ck中的第i个网络传输行为特征向量值,J表示第j个未标注行为类别的网络传输行为特征向量的特征向量值;Il表示第i个网络传输行为特征向量的第l项特征值,Jl表示第j个网络传输行为特征向量的第l项特征值,n表示网络传输行为特征向量的特征数量,n≥1。
全文数据:
权利要求:
百度查询: 东南大学;国家计算机网络与信息安全管理中心江苏分中心 一种基于引力模型的网络异常数据传输行为聚类识别方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。