一种网络攻击场景的因果知识挖掘方法、装置及服务器

摘要

本发明实施例提供一种网络攻击场景的因果知识挖掘方法、装置及服务器，其中方法包括：接收网络中的安全设备在经网络攻击后所上传的告警信息；按照告警信息所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景；对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。本发明实施例在进行因果知识挖掘时具有较高的自动化程度，能够对全面的网络攻击场景进行有效的因果知识挖掘。

说明书

技术领域

本发明涉及信息安全技术领域，更具体地说，涉及一种网络攻击场景的因果知识挖掘方法、装置及服务器。

背景技术

因果知识是指网络空间中多步网络攻击活动的模式抽象，每一个因果知识都代表着一种可能的攻击模式，它是网络攻击场景重构或网络攻击活动还原的模板、依据。因此对网络攻击场景的因果知识进行准确高效的挖掘，对于网络攻击场景的重构，和网络攻击活动的还原具有重要的意义。

目前主要是基于预定义的谓词进行因果知识的挖掘，其主要步骤如下：首先依据专家经验为每种已知的攻击类型AttackType_i定义一个对应的因果谓词<Pre_i，AttackType_i，Post_i>，其中Pre_i表示对应类型的攻击成功发生所需的前提条件集合，包括网络或系统需要符合的一些条件以及攻击者所具备的能力，Post_i表示攻击成功发生后可能会产生的结果集合，包括攻击者对某些事实的发现或某种能力的获取等；在定义好各个因果谓词，形成因果谓词集以后，基于下述假设采用循环遍历的方法，对谓词集中的谓词进行相互匹配，挖掘不同的因果知识，构建因果知识库。假设为：如果攻击类型AttackType_i和AttackType_j之间具有逻辑上的前后步骤关系，即如果攻击类型AttackType_j是AttackType_i的直接后续步骤，那么当且仅当AttackType_i结果集合中的元素能够完全或部分匹配AttackType_j的前提条件集合中的元素。

本发明的发明人在实现本发明的过程中发现现有技术至少存在如下问题：现有技术进行因果知识挖掘的对象是依据专家经验定义的谓词集，谓词集的人工定义限制了因果知识挖掘的自动化程度，同时也增加了管理员的人工负担；并且预定义的谓词集并不全面，不能包括所有的网络攻击场景，因此对于涉及谓词集以外攻击类型的场景知识，现有技术将无能为力，不能进行因果知识的有效挖掘。可见，目前急需提供一种新的网络攻击场景的因果知识挖掘方法，以提升因果知识挖掘的自动化程度，且能对全面的网络攻击场景进行有效的因果知识挖掘。

发明内容

有鉴于此，本发明实施例提供一种网络攻击场景的因果知识挖掘方法、装置及服务器，以解决现有因果知识挖掘方式所存在的自动化程度较低，无法对全面的网络攻击场景进行有效的因果知识挖掘的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种网络攻击场景的因果知识挖掘方法，包括：

接收网络中的安全设备在经网络攻击后所上传的告警信息；

按照告警信息所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景；

对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。

其中，所述按照告警所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景的过程包括：

将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇。

其中，所述将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇包括：

判断当前告警信息的源IP地址或目的IP地址是否与，已有类簇的告警信息的源IP地址或目的IP地址对应；

若是，将所述当前告警信息加入到所述已有类簇中，所述已有类簇中的各告警信息具有时序关系；

若否，为所述当前告警信息建立一个新的类簇。

其中，所述对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识包括：

通过马尔可夫性质算法对各个类簇进行分析，对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵；

将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链，一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。

其中，所述对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵包括：

对于各个类簇，为各类簇构建一个为空的转移概率矩阵，按照类簇中的告警信息的时序关系，遍历各个类簇中的各个告警信息；

若某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中，则在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1；

若某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中，则在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列，将该两告警信息对应的攻击场景间的计数器加1；

将各类簇所对应的转移概率矩阵进行归一化处理，得到各类簇所属的攻击场景相对应的一步转移概率矩阵。

本发明实施例还提供一种网络攻击场景的因果知识挖掘装置，包括：

接收模块，用于接收网络中的安全设备在经网络攻击后所上传的告警信息；

聚类模块，用于按照告警信息所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景；

分析挖掘模块，用于对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。

其中，所述聚类模块包括：

类簇形成单元，用于将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇；

所述类簇形成单元包括：

判断子单元，用于判断当前告警信息的源IP地址或目的IP地址是否与，已有类簇的告警信息的源IP地址或目的IP地址对应；

加入子单元，用于在所述判断子单元的判断结果为是时，将所述当前告警信息加入到所述已有类簇中，所述已有类簇中的各告警信息具有时序关系；

新建子单元，用于在所述判断子单元的判断结果为否时，为所述当前告警信息建立一个新的类簇。

其中，所述分析挖掘模块包括：

一步转移概率矩阵确定单元，用于通过马尔可夫性质算法对各个类簇进行分析，对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵；

马尔可夫链生成单元，用于将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链，一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。

其中，所述一步转移概率矩阵确定单元包括：

矩阵构建子单元，用于对于各个类簇，为各类簇构建一个为空的转移概率矩阵，按照类簇中的告警信息的时序关系，遍历各个类簇中的各个告警信息；

第一加值子单元，用于在某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中时，在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1；

第二加值子单元，用于在某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中时，在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列，将该两告警信息对应的攻击场景间的计数器加1；

归一处理子单元，用于将各类簇所对应的转移概率矩阵进行归一化处理，得到各类簇所属的攻击场景相对应的一步转移概率矩阵。

本发明实施例还提供一种服务器，包括上述所述的网络攻击场景的因果知识挖掘装置。

基于上述技术方案，本发明实施例提供的网络攻击场景的因果知识挖掘方法，将安全设备所上传的告警信息按照告警信息所属的攻击场景进行聚类，形成多个类簇，一个类簇对应一个攻击场景；从而对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。相比现有基于谓词的因果知识挖掘方法，本发明实施例将安全设备所产生的告警信息作为因果知识挖掘的数据源，整个挖掘过程无需任何人工辅助，其自动化程度明显高于现有技术；并且本发明实施例直接面向安全设备的告警信息进行因果知识的挖掘，除受安全设备漏报率的影响外，其可以挖掘出任何隐藏在告警信息中的潜在攻击模式的因果知识，能够对全面的网络攻击场景进行有效的因果知识挖掘。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络攻击场景的因果知识挖掘方法的流程图；

图2为本发明实施例提供的类簇形成方法的流程图；

图3为本发明实施例提供的挖掘出各个类簇对应的攻击场景的因果知识的方法流程图；

图4为本发明实施例提供的马尔可夫链的示意图；

图5为本发明实施例提供的一步转移概率矩阵的示意图；

图6为本发明实施例提供的生成一步转移概率矩阵的方法流程图；

图7为本发明实施例提供的告警信息的示意图；

图8为本发明实施例提供的两个类簇的示意图；

图9为本发明实施例提供的两个一步转移概率矩阵的示意图；

图10为本发明实施例提供的两个图形化的马尔可夫链的示意图；

图11为本发明实施例提供的一种网络攻击场景的因果知识挖掘装置的结构框图；

图12为本发明实施例提供的聚类模块的结构框图；

图13为本发明实施例提供的类簇形成单元的结构框图；

图14为本发明实施例提供的分析挖掘模块的结构框图；

图15为本发明实施例提供的一步转移概率矩阵确定单元的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种网络攻击场景的因果知识挖掘方法的流程图，该方法可应用于部署在网络中的服务器中，参照图1，该方法可以包括：

步骤S100、接收网络中的安全设备在经网络攻击后所上传的告警信息；

在网络攻击者对目标网络进行攻击时，攻击者的攻击动作将会触发目标网络中的安全设备，如IDS（入侵检测系统）、防火墙等生成告警信息（如日志告警）；安全设备在生成告警信息后，将向服务器上传所生成的告警信息，所上传的告警信息即是本发明实施例进行因果知识挖掘的数据源；

可选的，告警ai可以简单描述为一个形如ai=(timestamp,pluginID,pluginSID,srcIP,srcPort,desIP,desPort,priority)的8元组，其中timestamp为安全设备检测到恶意特征的时间，pluginID为生成该告警信息的安全设备ID，pluginSID为告警信息在对应安全设备中的分类信息，srcIP和srcPort分别是攻击源IP地址和源端口，desIP和desPort分别是目的IP地址和目的端口，priority为告警的优先级。pluginID和pluginSID一起作为键值决定了告警的攻击类型。

步骤S110、按照告警信息所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景；

可选的，本发明实施例可基于IP（Internet Protocol，网协）地址的相关性，按照各告警信息所属的攻击场景对各告警信息进行聚类，形成类簇，一个类簇对应一个攻击场景。

可选的，本发明实施例的告警信息聚类规则可以如下：如果告警ai和告警aj是地址相关可聚类的，那么ai的IP地址，不论是源IP地址或目的IP地址，总有一个和aj的源IP地址或目的IP地址相同（即具有IP地址相关性的任意两个告警信息，一个告警信息的源IP地址或目的IP地址中总有一个，与另一告警信息的源IP地址或目的IP地址相同）。由同一攻击活动触发的告警信息，彼此在IP地址分布上总是具有相关性，如多步攻击中，前一攻击步骤的目标节点可能就是下一攻击步骤的源节点，因此上述聚类规则的本质就是依据这种IP地址相关性，尽可能的将同一攻击活动的告警信息聚类在一起，为后续的因果知识挖掘提供客观准确的输入。具体的，可将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇。

步骤S120、对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。

本发明实施例提供的网络攻击场景的因果知识挖掘方法，将安全设备所上传的告警信息按照告警信息所属的攻击场景进行聚类，形成多个类簇，一个类簇对应一个攻击场景；从而对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。相比现有基于谓词的因果知识挖掘方法，本发明实施例将安全设备所产生的告警信息作为因果知识挖掘的数据源，整个挖掘过程无需任何人工辅助，其自动化程度明显高于现有技术；并且本发明实施例直接面向安全设备的告警信息进行因果知识的挖掘，除受安全设备漏报率的影响外，其可以挖掘出任何隐藏在告警信息中的潜在攻击模式的因果知识，能够对全面的网络攻击场景进行有效的因果知识挖掘。

可选的，本发明实施例将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇的实现方式可以如图2所示，图2为本发明实施例提供的类簇形成方法的流程图，参照图2，该方法可以包括：

步骤S200、判断当前告警信息的源IP地址或目的IP地址是否与，已有类簇的告警信息的源IP地址或目的IP地址对应，若是，执行步骤S210，若否，执行步骤S220；

已有类簇中所具有的告警信息的源IP地址或目的IP地址是对应相关的。

步骤S210、将所述当前告警信息加入到所述已有类簇中，所述已有类簇中的各告警信息具有时序关系；

若当前告警信息的源IP地址或目的IP地址，与已有类簇中的某一类簇的告警信息的源IP地址或目的IP地址相对应，则说明当前告警信息所属的攻击场景与该类簇对应的攻击场景一致，可将当前告警信息加入了该类簇中；

可选的，已有类簇中所具有的各告警信息具有时序关系，即各告警信息在类簇中按照原有的时序关系进行存储。

步骤S220、为所述当前告警信息建立一个新的类簇。

若当前告警信息的源IP地址或目的IP地址，与已有类簇中的某一类簇的告警信息的源IP地址或目的IP地址不对应，则说明已有类簇中没有任何一个类簇所对应的攻击场景，与当前告警信息所属的攻击场景一致，可为当前告警信息新建一个类簇，通过该新建的类簇来对应当前告警信息所属的攻击场景。

值得注意的是，对于下一个进行处理的告警信息，步骤S220新建的类簇将作为已有类簇；可通过循环执行图2所示方法，以使所有告警信息均进行聚类处理，得到最终的类簇。

为便于理解图2所示方法，可将图2所示方法中表达的聚类算法描述如下：当有告警信息上报时，如果该告警信息是第一条告警a0，那么此时没有任何类簇，构建第一个类簇A0，将a0添加到类簇A0中，并将a0的源IP地址和目的IP地址添加到A0对应的地址集IPset0中。可设集合IPseti存储的是类簇Ai中所有告警信息的IP地址，判断一条新产生的告警信息是否属于Ai，不需用该告警信息和Ai中的所有告警信息两两匹配，只需判断该告警信息的源IP地址或目的IP地址是否已存在集合IPseti中即可；如果上报的告警信息不是第一条告警信息，那么通过IP地址比对的方式，判断其属于哪个类簇，并更新对应类簇的地址集，如果上报的告警信息不属于任何一个已形成的类簇，那么类似a0为其新建立一个类簇。每次为类簇添加所属告警信息时，可保持告警信息间原有的时序关系。

在对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识的具体实现上，本发明实施例可采用不同的挖掘算法实现因果知识的挖掘，对于具体地因果知识挖掘算法本发明实施例并不作限制；作为一种优选方式，下面对基于马尔可夫性质的因果知识挖掘算法进行介绍，值得注意的是，下述介绍仅为优选方式，其不应成为本发明保护范围的限制。

可选的，在形成多个类簇后，可通过马尔可夫性质的因果知识挖掘算法对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识；对应的，图3示出了挖掘出各个类簇对应的攻击场景的因果知识的方法流程，参照图3，该方法可以包括：

步骤S300、通过马尔可夫性质算法对各个类簇进行分析，对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵；

步骤S310、将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链，一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。

马尔可夫链通常用于对离散事件的随机取值过程进行建模，图4是一个马尔可夫链的示例，也是本发明实施例最终挖掘出的因果知识示例。图中的每一个状态（节点）代表一种攻击类型，状态之间的转移概率表示攻击者从当前攻击类型转移到下一攻击类型的条件概率。马尔可夫链模型要求给定状态的所有转移概率之和必须等于1。

一阶马尔可夫性质也称马尔可夫性质，是指马尔可夫链下一时刻的状态取值只与当前状态有关，而与之前的状态序列无关。例如，如果当前状态为AttackType_k，那么下一时刻的状态为AttackType_x还是AttackType_y，仅与AttackType_x有关，而与之前的AttackType_i和AttackType_j无关。满足一阶马尔可夫性质的马尔可夫链称为一阶马尔可夫链，一阶马尔可夫链也可用一步转移概率矩阵表示，一步转移概率矩阵可如图5所示。本发明实施例基于马尔可夫性质的因果知识挖掘算法的核心内容就是从各个独立类簇中，挖掘出隐藏的一步转移概率矩阵。

可选的，步骤S300所示的生成一步转移概率矩阵的实现方式可以如图6所示，包括：

步骤S400、对于各个类簇，为各类簇构建一个为空的转移概率矩阵，按照类簇中的告警信息的时序关系，遍历各个类簇中的各个告警信息；

步骤S410、若某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中，则在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1；

步骤S420、若某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中，则在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列，将该两告警信息对应的攻击场景间的计数器加1；

步骤S430、将各类簇所对应的转移概率矩阵进行归一化处理，得到各类簇所属的攻击场景相对应的一步转移概率矩阵。

值得注意的是，步骤S410和步骤S420为步骤S400下的两个不同的处理分支，两者没有严格先后顺序。

可结合下述描述对图6所示方法进行理解：针对类簇Ai，首先为其构建一个为空的转移概率矩阵T；然后按告警信息的时序，从头依次遍历类簇中的各个告警信息。如果告警信息ai和ai+1的时序依次出现，那么基于一阶马尔可夫性质，攻击类型ai+1.AttackType的出现仅与ai.AttackType有关，那么在矩阵T中将ai.AttackType到ai+1.AttackType间的计数器加1。如果告警对应的攻击类型不在矩阵中，那么先在T中新增加对应的行和列，然后再将新增行、列所对应的ai.AttackType到ai+1.AttackType间的计数器加1；依上述过程，处理完所有类簇后，为满足马尔可夫链要求，可对矩阵再进行归一化处理，将转移频率转换到转移概率；最终得到了对应攻击场景的一步转移概率矩阵。将一步转移概率矩阵转换成图形化的马尔可夫链因果知识，完成因果知识的挖掘。

本发明实施例最终给出的因果知识是马尔可夫链的形式，有效的解决了强关联因果知识灵活性不高的问题。通过将概率引入到因果知识中，利用转移概率描述不同攻击类型之间的潜在因果关系，提高了因果知识的客观性和准确性。同时概率的引入也有助于后续的基于概率知识的攻击意图推理、预测等工作。

可选的，本发明实施例可采用基于告警信息的IP地址相关性的告警聚类算法，和基于马尔可夫性质的因果知识挖掘算法，完成因果知识的挖掘；告警聚类算法和基于马尔可夫性质的因果知识挖掘算法的时间复杂度均为O(n)级，因此整个因果知识挖掘的过程是可伸缩的。同时，本技术方案也采用了并行处理技术（对各个类簇的挖掘可以并行进行），因此相比于现有技术，本发明实施例提供的网络攻击场景的因果知识挖掘方法的可扩展性更强。

现以示例方式对本发明实施例提供的网络攻击场景的因果知识挖掘方法进行介绍：

1、假设网络空间中发生了两种多步攻击活动，“消耗FTP（File TransferProtocol，文件传输协议）服务器磁盘空间的攻击”和“远程木马植入攻击”。两种攻击活动发生后，入侵检测（可选的，本实施例中的入侵检测设备为Snort，相应的后续因果知识中的攻击类型名称也是Snort定义的）等安全设备生成如图7所示的部分告警信息并上报。告警信息中的第2列和第3列分别是pluginID和pluginSID，二者一起决定了告警的攻击类型；

2、基于IP地址相关性的告警聚类算法对图7所示的告警信息进行聚类，产生如图8所示的两个类簇。其中第一个为“消耗FTP服务器磁盘空间”攻击场景的对应类簇，第二个为“远程木马植入”攻击场景的对应类簇；

3、基于马尔可夫性质的因果知识挖掘算法并行处理如图8所示的两个类簇，处理结束后对应的生成两个一步转移概率矩阵，如图9所示；

4、查找矩阵每一行和每一列对应的攻击类型名称，绘制图形化的马尔可夫链因果知识，结果如图10所示。其中图10中的左图为“消耗FTP服务器磁盘空间”攻击场景的模板知识，从中可以看出此类攻击场景一般都经过了端口扫描、口令猜测（导致FTP认证失败）、口令暴力破解以及大流量传输（导致Netflow异常）等几个步骤。图10中的右图为“远程木马植入”攻击场景的模板知识，此类攻击场景一般都经过了端口扫描、Telnet登陆尝试、缓冲区溢出攻击、木马程序远程安装（告警类型为RSERVICES Rsh root）、木马程序交互（告警类型为Mstream_Zombie）等几个步骤。将生成的两个因果知识存入到因果知识库中，供后续的告警实时关联分析使用，以支撑攻击场景的实时重构等。

下面对本发明实施例提供的网络攻击场景的因果知识挖掘装置进行介绍，下文描述的网络攻击场景的因果知识挖掘装置与上文描述的网络攻击场景的因果知识挖掘方法可相互对应参照。

图11为本发明实施例提供的一种网络攻击场景的因果知识挖掘装置的结构框图，该装置可应用于部署在网络中的服务器中，参照图11，该装置可以包括：

接收模块100，用于接收网络中的安全设备在经网络攻击后所上传的告警信息；

聚类模块200，用于按照告警信息所属的攻击场景对各告警信息进行聚类，形成多个类簇，一个类簇对应一个攻击场景；

分析挖掘模块300，用于对各个类簇进行分析，挖掘出各个类簇对应的攻击场景的因果知识。

本发明实施例提供的网络攻击场景的因果知识挖掘装置，具有较高的自动化程度，能够对全面的网络攻击场景进行有效的因果知识挖掘。

可选的，聚类模块200的结构可如图12所示，包括：

类簇形成单元210，用于将IP地址具有相关性的告警信息所属的攻击场景确定为同一攻击场景，将属于同一攻击场景的告警信息聚成一个类簇，形成多个类簇。

图13示出了类簇形成单元210的一种可选结构，参照图13，类簇形成单元210可以包括：

判断子单元211，用于判断当前告警信息的源IP地址或目的IP地址是否与，已有类簇的告警信息的源IP地址或目的IP地址对应；

加入子单元212，用于在判断子单元211的判断结果为是时，将所述当前告警信息加入到所述已有类簇中，所述已有类簇中的各告警信息具有时序关系；

新建子单元213，用于在判断子单元211的判断结果为否时，为所述当前告警信息建立一个新的类簇。

图14示出了分析挖掘模块300的一种可选结构，参照图14，分析挖掘模块300可以包括：

一步转移概率矩阵确定单元310，用于通过马尔可夫性质算法对各个类簇进行分析，对于各个类簇，按照类簇中的告警信息的时序关系，确定与各个类簇所属的攻击场景相对应的一步转移概率矩阵；

马尔可夫链生成单元320，用于将各个类簇对应的一步转移概率矩阵转换成对应的图形化的马尔可夫链，一个马尔可夫链对应一个类簇所对应的攻击场景的因果知识。

图15示出了一步转移概率矩阵确定单元310的一种可选结构，参照图15，一步转移概率矩阵确定单元310可以包括：

矩阵构建子单元311，用于对于各个类簇，为各类簇构建一个为空的转移概率矩阵，按照类簇中的告警信息的时序关系，遍历各个类簇中的各个告警信息；

第一加值子单元312，用于在某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景在该类簇对应的转移概率矩阵中时，在该类簇对应的转移概率矩阵中将该两告警信息对应的攻击场景间的计数器加1；

第二加值子单元313，用于在某个类簇的相邻的两告警信息的时序存在接续关系，且该两告警信息对应的攻击场景不在该类簇对应的转移概率矩阵中时，在该类簇对应的转移概率矩阵中增加该两告警信息对应的攻击场景所对应的行和列，将该两告警信息对应的攻击场景间的计数器加1；

归一处理子单元314，用于将各类簇所对应的转移概率矩阵进行归一化处理，得到各类簇所属的攻击场景相对应的一步转移概率矩阵。

本发明实施例还提供一种服务器，该服务器可以包括上述所述的网络攻击场景的因果知识挖掘装置，对于该装置的描述可参照上文图11～图15部分的描述，此处不再赘述。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器（RAM）、内存、只读存储器（ROM）、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。