[发明专利]主机聚类方法及装置

说明书

本公开涉及一种主机聚类方法及装置，该方法包括：获取通信网络在目标时间段内的多个网络数据包；对每个网络数据包进行数据提取，确定对应的网络流元数据；根据所有网络流元数据，确定待聚类主机以及待聚类主机的主机行为特征；根据主机行为特征，对待聚类主机进行聚类，得到目标时间段的主机聚类结果。本公开实施例，通过提取通信网络在目标时间段内的网络数据包对应的网络流元数据，以确定待聚类主机的主机行为特征，并基于主机行为特征进行主机聚类，能够提供一种高效率、高性能的主机聚类方法。

技术领域

本公开涉及计算机技术领域，尤其涉及一种主机聚类方法及装置。

背景技术

随着科技的不断发展，通信网络的安全分析日趋复杂。对主机(例如，互联网通信网络中的节点)进行聚类，便于进行通信网络的安全分析，例如，能够快速明确主机角色、监控通信网络的情况、检测通信网络的异常行为等。

然而，相关技术中，尚且缺乏高效率、高性能的主机聚类方法。

发明内容

有鉴于此，本公开提出了一种主机聚类方法及装置。

根据本公开的一方面，提供了一种主机聚类方法，所述方法包括：

获取通信网络在目标时间段内的多个网络数据包；

对每个网络数据包进行数据提取，确定对应的网络流元数据；

根据所有网络流元数据，确定待聚类主机以及所述待聚类主机的主机行为特征；

根据所述主机行为特征，对所述待聚类主机进行聚类，得到所述目标时间段的主机聚类结果。

在一种可能的实现方式中，所述对每个网络数据包进行数据提取，确定对应的网络流元数据，包括：

通过目标进程提取每个网络数据包对应的网络流元数据，

其中，所述目标进程是多个独立的子任务拼接确定的，所述目标进程包括的子任务以及所述子任务的拼接关系是根据场景类型确定的。

在一种可能的实现方式中，所述网络流元数据包括源IP、目的IP以及网络流量，

其中，根据所有网络流元数据，确定待聚类主机，包括：

根据所述所有网络流元数据，确定目标主机的连接次数以及网络流量之和，所述目标主机为包括至少一个所述网络流元数据中源IP或目的IP的主机；

在所述连接次数大于或等于第一阈值，且所述网络流量之和大于或等于第二阈值时，将所述目标主机确定为所述待聚类主机。

在一种可能的实现方式中，所述网络流元数据包括源IP以及目的IP，

其中，根据所有网络流元数据，确定所述待聚类主机的主机行为特征，包括：

根据所述所有网络流元数据的源IP以及目的IP，确定包括待聚类主机IP的目标网络流元数据；

根据所述目标网络流元数据，确定所述待聚类主机的主机行为特征，

其中，所述主机行为特征包括所述待聚类主机的连接特征、所述待聚类主机的在网络中的功能特征、所述待聚类主机的流量特征以及所述待聚类主机的应用特征中的一种或多种。

在一种可能的实现方式中，所述根据所述目标网络流元数据，确定所述待聚类主机的主机行为特征，包括：

根据所述目标网络流元数据，确定与所述待聚类主机存在主机通信的IP集合；

确定所述IP集合中的IP数量、第二个字节的熵与第四个字节的熵之间的比值R1以及第三个字节的熵与第四个字节的熵之间的比值R2，其中，字节的熵是根据所述IP集合中所有IP的对应字节的数值分布信息确定的；