[发明专利]恶意行为挖掘方法及装置

说明书

本发明提供了一种恶意行为挖掘方法及装置，涉及云计算技术领域。所述恶意行为挖掘方法包括：采集多维度异构数据；将所述多维度异构数据进行分布式实时处理，生成实时数据流；基于预先建立的恶意行为攻击特征库，判断所述实时数据流中是否有恶意行为；在为否时，将所述实时数据流标准化，形成行为数据链并输入到数据库中进行挖掘。本发明通过在各维度的提取的数据特征进行训练得到攻击特征库，能够在处理实时数据时迅速判断出是否为恶意行为数据，同时可以通过这些数据不断的更新特征库，使得该模型在判定结果上更加的精确，可以更持续地对大量、复杂的数据进行完整、快速地判断。

技术领域

本发明涉及云计算技术领域，具体而言，涉及一种恶意行为挖掘方法及装置。

背景技术

随着大数据时代的到来，移动通信、云计算、虚拟化等其他网络趋势的快速发展，给传统网络信息安全带来了新的问题，尤其是随着云计算平台或数据中心规模的扩大以及云平台的网络流量迅速增长，许多恶意的攻击行为(如APT)隐藏在大规模的网络流量中，对云平台或核心数进行攻击或窃取。因此，如何有效检测云平台下恶意行为并进行有效防护，进而确保平台下机密数据的安全，是目前信息安全领域亟待解决的关键问题。

传统的数据挖掘算法是基于一般知识的通用算法，对于数据量大小、数据格式和数据属性的要求较高。在早期，哥伦比亚大学的Lee等人研究组对数据挖掘在入侵检测中的应用做了开创性的工作，探讨了关联规则和序列分析等数据挖掘技术在入侵检测中的应用构架和方法；接着Lee等人又提出了核心属性和相关属性的概念，利用领域知识提高了检测模型的精度；Pronoy提出的用聚类技术建立用户的正常行为模型；Zanero等人利用聚类和关联规则进行联合挖掘方法等等。随着数据挖掘技术的不断发展，越来越多的学者提出了各种各样的数据挖掘方法来解决信息安全问题。

深度学习，是近些年来兴起的一种新的机器学习领域，其理论研究还基本处于起步阶段，但在人工智能和自然语言处理等应用领域引起了广泛的关注，发挥出了巨大的能量。在当今以大数据为主要研究热点的时代，深度模型复杂而强大的特点可以深刻地描述出大量数据里所蕴含的复杂而丰富的信息，能更精确地预测未来或未知事件。

上述的这些方法都是基于传统数据挖掘技术进行的，在当今大数据时代，现有的恶意行为的挖掘方法并没有很好的考虑到新形势下网络攻击的特征不明显、关联性强、维度高等特性，导致传统的恶意行为的挖掘算法无法直接移植到云计算大数据模式下，这也就不能充分利用大数据的高维度和深关联度的特性，也就不能保障大数据时代的信息安全。在大数据情景下，网络流量的规模和速度非常惊人，在这种情况下网络数据流中内容的关联关系很难及时的捕获与分析，网络数据流中网络攻击很容易混入到系统中；除此之外，由于新形势下的网络攻击具有很好的潜伏特性，要想挖掘出潜在平台的攻击行为非常困难。

发明内容

本发明的目的在于提供一种恶意行为挖掘方法及装置，其能够有效改善上述问题。

本发明的实施例是这样实现的：

第一方面，本发明实施例提供了一种恶意行为挖掘方法，所述方法包括：采集多维度异构数据，其中，所述多维度异构数据包括：网络数据，访问日志，虚拟机中数据，及系统日志；将所述多维度异构数据进行分布式实时处理，生成实时数据流；基于预先建立的恶意行为攻击特征库，判断所述实时数据流中是否有恶意行为；在为否时，将所述实时数据流标准化，形成行为数据链并输入到数据库中进行挖掘。

第二方面，本发明实施例还提供了一种恶意行为挖掘装置，其包括采集模块，用于采集多维度异构数据，其中，所述多维度异构数据包括：网络数据，访问日志，虚拟机中数据，及系统日志；处理模块，用于将所述多维度异构数据进行分布式实时处理，生成实时数据流；检测模块，用于基于预先建立的恶意行为攻击特征库，判断所述实时数据流中是否有恶意行为；结果模块，用于在所述实时数据流中没有恶意行为时，将所述实时数据流标准化，形成行为数据链并输入到数据库中进行挖掘。