为了在海量、多源、异构的网络威胁入侵日志中快速、准确地甄别真实的攻击事件及发现攻击者,并构建其特征画像,提出一种基于大数据流式解析技术和L0uvain社群发现算法(big data s慨锄aIlalysis蚰d buvain,BDsAL)的构建攻击者画像的方法。根据攻击模式枚举与分类(co眦non attack paltem en咖neration蚰d cl鹅sifica.tion,cAPEC)标准定义了安全事件的范式模型,并结合大数据流式消息队列实现将多源异构日志快速范化成为范式化安全事件。通过提取和扩展安全事件的特征生成事件特征图,并按照时空和攻击模式特征,使用社群发现算法对特征图进行聚类,以发现攻击者。最后,结合实验室真实的攻防数据,验证了该方法的可行性和有效性。
