[发明专利]一种基于大数据关联的网络攻击检测方法

摘要

本发明提出了一种基于大数据关联的网络攻击检测方法，该方法包括：对历史木马程序进行大数据挖掘分析，挖掘历史木马程序的频繁邻接情节，由历史木马程序的频繁邻接情节构成频繁情节知识库；将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配，若匹配上，则判定所述目标程序为木马程序；若未匹配上，则采用朴素贝叶斯算法判断所述目标程序是否为木马程序；当判定目标程序为木马程序时，根据目标程序的邻接情节后缀事件，预测目标程序后续攻击行为。本发明可以提高对未知木马程序的检测率，并对木马程序提供有效的控制手段。

主权项

1.一种基于大数据关联的网络攻击检测方法，其特征在于，包括：步骤一，对历史木马程序进行大数据挖掘分析，挖掘历史木马程序的频繁邻接情节，由历史木马程序的频繁邻接情节构成频繁情节知识库；步骤二，将目标程序的邻接情节与频繁情节知识库中的历史木马程序的频繁邻接情节进行对比匹配，若匹配上，则判定所述目标程序为木马程序；若未匹配上，则采用朴素贝叶斯算法判断所述目标程序是否为木马程序；步骤三，当判定目标程序为木马程序时，根据目标程序的邻接情节后缀事件，预测目标程序后续攻击行为；其中，所述采用朴素贝叶斯算法判断所述目标程序是否为木马程序，具体包括：B1：设置随机变量分类集C；C＝{正常程序，不确定程序，木马程序}；设c1＝正常程序，c2＝不确定程序，c3＝木马程序；B2：通过朴素贝叶斯算法，计算程序样本集合Z中包含目标程序邻接情节em的正常程序概率p(c1|em)、程序样本集合Z中包含目标程序邻接情节em的不确定程序概率p(c2|em)和程序样本集合Z中包含目标程序邻接情节em的木马程序概率p(c3|em)；B3：将目标程序邻接情节[b1,b2,…bi,…,bm]分别代入p(c1|em)、p(c2|em)和p(c3|em)，得到：B4：对p(c1|em)、p(c2|em)和p(c3|em)进行比较，判断目标程序是否为木马程序，判断过程如下：若p(c1|em)为最大值，则判定目标程序为正常程序；若p(c2|em)为最大值，则判定目标程序为不确定程序；若p(c3|em)为最大值，则判定目标程序为木马程序；若判定目标程序为木马程序，则基于欧几里得距离寻找最相似邻接情节。