(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114186232A(43)申请公布日2022.03.15(21)申请号202111519490.2G06K9/62(2022.01)(22)申请日2021.12.13(71)申请人南方电网科学研究院有限责任公司地址510663广东省广州市萝岗区科学城科翔路11号J1栋3、4、5楼及J3栋3楼申请人中国南方电网有限责任公司(72)发明人蒙家晓蒋屹新匡晓云陈晓许爱东关泽武陈霖杜金燃洪超戴涛徐传懋赖博宇黄建理(74)专利代理机构北京集佳知识产权代理有限公司11227代理人李增苗(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书9页附图3页(54)发明名称一种网络攻击团队识别方法、装置、电子设备及存储介质(57)摘要本发明公开了一种网络攻击团队识别方法、装置、电子设备及存储介质，用于解决无法从海量的告警信息中有效、准确地识别网络攻击的技术问题。本发明包括：从预设数据库中提取网络攻击日志数据；对所述网络攻击日志数据进行标准化处理，得到标准化日志数据集；对所述标准化日志数据集中的数据对象进行聚类，得到多个网络攻击团队；生成每个所述网络攻击团队的团队画像；当接收到网络异常信息时，在多个所述团队画像中匹配所述网络异常信息，确定所述网络异常信息对应的目标网络攻击团队。CN114186232ACN114186232A权利要求书1/2页1.一种网络攻击团队识别方法，其特征在于，包括：从预设数据库中提取网络攻击日志数据；对所述网络攻击日志数据进行标准化处理，得到标准化日志数据集；对所述标准化日志数据集中的数据对象进行聚类，得到多个网络攻击团队；生成每个所述网络攻击团队的团队画像；当接收到网络异常信息时，在多个所述团队画像中匹配所述网络异常信息，确定所述网络异常信息对应的目标网络攻击团队。2.根据权利要求1所述的网络攻击团队识别方法，其特征在于，所述对所述标准化日志数据集中的数据对象进行聚类，得到多个网络攻击团队的步骤，包括：计算所述标准化日志数据集中每一个所述数据对象的第一欧拉距离和所有所述数据对象的平均距离；根据所述第一欧拉距离和所述平均距离，从所述标准化日志数据集中提取第一样本，生成第一样本数据集；统计所述第一样本数据集中的第一样本的数据总数；根据所述数据总数计算第一聚类数；基于所述第一聚类数对所述第一样本数据集中的第一样本进行聚类，得到第二样本数据集；所述第二样本数据集包含与所述第一聚类数对应的多个第一聚类簇；每个第一聚类簇对应一个第二样本；根据所述第一聚类数计算第二聚类数；从所述第二样本数据集中提取第二欧拉距离最小的两个第二样本，生成第二聚类簇，并将所述第二聚类簇添加进预设第三样本数据集中；判断所述第三样本数据集中的所述第二聚类簇的数量是否等于所述第二聚类数；若是，分别计算各个所述第二聚类簇内的第一样本的算数平均数；判断任意两个第二聚类簇的算数平均数的差值是否均大于预设阈值；若是，将每个第二聚类簇确定为网络攻击团队。3.根据权利要求2所述的网络攻击团队识别方法，其特征在于，还包括：若所述第三样本数据集中的所述第二聚类簇的数量不等于所述第二聚类数，则返回从所述第二样本数据集中提取第二欧拉距离最小的两个第二样本，生成第二聚类簇，并将所述第二聚类簇添加进预设第三样本数据集中的步骤。4.根据权利要求2所述的网络攻击团队识别方法，其特征在于，还包括：若存在两个第二聚类簇的算数平均数的差值不大于预设阈值，则将所述第二聚类数设置为第一聚类数，将所述第三样本数据集设置为第二样本数据集，并返回根据所述第一聚类数计算第二聚类数的步骤。5.根据权利要求2所述的网络攻击团队识别方法，其特征在于，所述根据所述第一欧拉距离和所述平均距离，从所述标准化日志数据集中提取第一样本，生成第一样本数据集的步骤，包括：从所述标准化日志数据集中提取第一欧拉距离不大于所述平均距离的数据对象作为第一样本，生成第一样本数据集。6.一种网络攻击团队识别装置，其特征在于，包括：2CN114186232A权利要求书2/2页提取模块，用于从预设数据库中提取网络攻击日志数据；标准化处理模块，用于对所述网络攻击日志数据进行标准化处理，得到标准化日志数据集；聚类模块，用于对所述标准化日志数据集中的数据对象进行聚类，得到多个网络攻击团队；团队画像生成模块，用于生成每个所述网络攻击团队的团队画像；目标网络攻击团队确定模块，用于当接收到网络异常信息时，在多个所述团队画像中匹配所述网络异常信息，确定所述网络异常信息对应的目标网络攻击团队。7.根据权利要求6所述的网络攻击团队识别装置，其特征在于，所述聚类模块，包括：第一欧拉距离和平均距离计算子模块，用于计算所述标准化日志数据集中每一个所述数据对象的第一欧拉