[发明专利]主机聚类方法及装置

权利要求书

1.一种主机聚类方法，其特征在于，方法包括：

获取通信网络在目标时间段内的多个网络数据包；

对每个网络数据包进行数据提取，确定对应的网络流元数据；

根据所有网络流元数据，确定待聚类主机以及所述待聚类主机的主机行为特征；

根据所述主机行为特征，对所述待聚类主机进行聚类，得到所述目标时间段的主机聚类结果。

2.根据权利要求1所述的方法，其特征在于，所述对每个网络数据包进行数据提取，确定对应的网络流元数据，包括：

通过目标进程提取每个网络数据包对应的网络流元数据，

其中，所述目标进程是多个独立的子任务拼接确定的，所述目标进程包括的子任务以及所述子任务的拼接关系是根据场景类型确定的。

3.根据权利要求1所述的方法，其特征在于，所述网络流元数据包括源IP、目的IP以及网络流量，

其中，根据所有网络流元数据，确定待聚类主机，包括：

根据所述所有网络流元数据，确定目标主机的连接次数以及网络流量之和，所述目标主机为包括至少一个所述网络流元数据中源IP或目的IP的主机；

在所述连接次数大于或等于第一阈值，且所述网络流量之和大于或等于第二阈值时，将所述目标主机确定为所述待聚类主机。

4.根据权利要求1所述的方法，其特征在于，所述网络流元数据包括源IP以及目的IP，

其中，根据所有网络流元数据，确定所述待聚类主机的主机行为特征，包括：

根据所述所有网络流元数据的源IP以及目的IP，确定包括待聚类主机IP的目标网络流元数据；

根据所述目标网络流元数据，确定所述待聚类主机的主机行为特征，

其中，所述主机行为特征包括所述待聚类主机的连接特征、所述待聚类主机的在网络中的功能特征、所述待聚类主机的流量特征以及所述待聚类主机的应用特征中的一种或多种。

5.根据权利要求4所述的方法，其特征在于，所述根据所述目标网络流元数据，确定所述待聚类主机的主机行为特征，包括：

根据所述目标网络流元数据，确定与所述待聚类主机存在主机通信的IP集合；

确定所述IP集合中的IP数量、第二个字节的熵与第四个字节的熵之间的比值R1以及第三个字节的熵与第四个字节的熵之间的比值R2，其中，字节的熵是根据所述IP集合中所有IP的对应字节的数值分布信息确定的；

根据所述IP集合中的IP数量、所述比值R1以及所述比值R2，确定所述待聚类主机的连接特征。

6.根据权利要求4所述的方法，其特征在于，所述网络流元数据还包括源端口以及目的端口，

其中，所述根据所述目标网络流元数据，确定所述待聚类主机的主机行为特征，包括：

根据每个目标网络流元数据的源端口以及目的端口，确定所述待聚类主机的源端口数量、目的端口数量以及端口类型，其中，所述端口类型包括系统端口、用户端口以及动态端口；

根据所述源端口数量、目的端口数量以及端口类型，确定所述待聚类主机的在网络中的功能特征。

7.根据权利要求4所述的方法，其特征在于，所述网络流元数据还包括网络流量、传输时间信息以及传输层协议，所述方法还包括：确定历史时间段内所述待聚类主机的目标网络流元数据的第一数量以及所述目标时间段内目标网络流元数据的第二数量，

其中，所述根据所述目标网络流元数据，确定所述待聚类主机的主机行为特征，包括：

根据所述第一数量、所述第二数量以及目标时间段的数量，确定所述待聚类主机的网络流平均包个数，所述目标时间段的数量是根据历史时间段与目标时间段确定的；

根据目标网络流元数据的网络流量之和以及所述目标时间段的时长，确定待聚类主机的平均流量；

根据目标网络流元数据的网络流量之和以及目标网络元数据的数量，确定平均包数据量；

根据所述传输时间信息，确定平均持续时间；

根据所述传输层协议以及所述目标时间段的时长，确定流平均标识位数量；

根据所述网络流平均包个数、平均流量、平均包数据量、平均持续时间、流平均标识位数量，确定所述待聚类主机的流量特征。