[发明专利]在内网检测异常以识别协同群组攻击的方法、装置和系统

权利要求书

1.一种计算机执行的方法，包括：

通过计算系统确定网络的异常图形，包括节点、边线和异常图形中节点的入度；

通过计算系统将具有至少两个入度的节点指定为潜在的目标；

通过计算系统将不具有传入连接的节点指定为潜在地受感染的节点；以及

当所述潜在地受感染的节点连接到至少一个相同的潜在的目标节点时，通过计算系统将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击相关联。

2.根据权利要求1所述的计算机执行的方法，其中权利要求1的步骤由计算系统在滑动时间窗口内周期地执行。

3.根据权利要求1所述的计算机执行的方法，进一步包括：

通过计算系统从所述异常图形中删除传入的边线，该传入的边线转向具有一个入度的节点。

4.根据权利要求1所述的计算机执行的方法，进一步包括：

通过计算系统确定异常图形中每个弱关联的子图。

5.根据权利要求4所述的计算机执行的方法，进一步包括：

利用给定的子图中非有向边线的数量来计算每个子图的汇总的统计量O_k，所述汇总的统计量由下式确定：

$O_k=\underset{i\<j}{\mathrm{\Σ}}\max \{\mathrm{II}(e_{\mathrm{ij}}\∈E_k),\mathrm{II}(e_{\mathrm{ji}}\∈E_k)\}$

其中e_ij和e_ji表示给定子图的边线集E_k中的边线。

6.根据权利要求1所述的计算机执行的方法，其中所述计算系统配置为将异常图形中的所有节点和边线视为为独立的实体。