[发明专利]一种面向蜜罐威胁数据的聚类与归因分析方法

权利要求书

1.一种面向蜜罐威胁数据的聚类与归因分析方法，其特征在于，方法步骤包括：

S1、在主机上建立蜜罐系统；蜜罐系统开启伪装模式；

S2、在蜜罐系统的网关连接点连接网络连接监控模块、入侵检测模块、捕获模块、攻击模拟模块、攻击处理模块、攻击分析模块和处理结果反馈模块；

S3、蜜罐系统动态设置多种类型的服务端口作为诱饵，诱捕攻击方对其攻击；

S4、网络连接监控模块对攻击行为进行监控，

S5、入侵检测模块对攻击行为进行鉴定，鉴定结果为攻击行为时，捕获模块捕获威胁数据；

S6、采用PCA法减少威胁数据中的噪声和冗余，进行降维，得到新的低维度威胁数据，再对新的威胁数据进行方差归一化处理；

S7、从新的威胁数据中提取出潜在的攻击行为，找到威胁数据中的隐藏模式以及相关变量；

S8、攻击处理模块包括数据处理单元、存储单元和调度单元，存储单元包括用于存储处理攻击数据的函数的数据库；数据处理单元对攻击行为分类；调度单元根据分类结果向数据库发出调取处理攻击行为对应的处理函数的指令；

S9、攻击结束后，攻击分析模块对攻击行为数据进行汇总，分析威胁数据，追溯安全威胁的类型与根源，并对安全威胁态势进行预测，将结果反馈至处理结果反馈模块；

S10、采用攻击模拟模块自我学习，增强蜜罐安全防护能力。

2.根据权利要求1所述的一种面向蜜罐威胁数据的聚类与归因分析方法，其特征在于，蜜罐系统为高交互蜜罐，采用的诱饵类型包括文件、数据库、旗标和代码。

3.根据权利要求1所述的一种面向蜜罐威胁数据的聚类与归因分析方法，其特征在于，PCA方法实施时先利用线性变换，将数据变换到一个新的坐标系统中；然后再利用降维的思想，使得任何数据投影的第一大方差在第一个坐标上，第二大方差在第二个坐标上，最终使数据直观呈现在二维坐标系。

4.根据权利要求1所述的一种面向蜜罐威胁数据的聚类与归因分析方法，其特征在于，采用K-Means聚类与均值偏移聚类结合方式，其中聚类模型采用k-means算法，其定义如下：

基于攻击时序相似性以及SOM神经网络，将原始的时间序列数据转换为低维的特征向量，把威胁数据集分割成不同的类，使类内差异最小，类间差异最大。

5.根据权利要求1所述的一种面向蜜罐威胁数据的聚类与归因分析方法，其特征在于，归因分析模型采用多点触摸式归因方式，根据经验判断每次捕获对主机系统安全性影响的加权值。