CN107070700B - 一种基于身份自动识别的网络服务提供方法 - Google Patents

一种基于身份自动识别的网络服务提供方法 Download PDF

Info

Publication number
CN107070700B
CN107070700B CN201710133178.7A CN201710133178A CN107070700B CN 107070700 B CN107070700 B CN 107070700B CN 201710133178 A CN201710133178 A CN 201710133178A CN 107070700 B CN107070700 B CN 107070700B
Authority
CN
China
Prior art keywords
user
network
flow
time interval
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710133178.7A
Other languages
English (en)
Other versions
CN107070700A (zh
Inventor
董黎刚
杨丹丹
周敬
何博翰
王伟明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Gongshang University
Original Assignee
Zhejiang Gongshang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Gongshang University filed Critical Zhejiang Gongshang University
Priority to CN201710133178.7A priority Critical patent/CN107070700B/zh
Publication of CN107070700A publication Critical patent/CN107070700A/zh
Application granted granted Critical
Publication of CN107070700B publication Critical patent/CN107070700B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2425Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于身份自动识别的网络服务提供方法。它主要包括以下步骤:1)采用sFlow技术提取出网络用户流量特征信息:时间戳、源IP地址、流量大小;2)统计每个IP地址一周内对应时间区间上的网络在线次数;3)利用k‑means均值算法,根据每周对应时间区间上的网络在线次数,对IP地址进行聚类分析,得到N个用户类别,以及每个用户类别各自特征信息的特征中心值;4)对N个用户类别分别制定相应的网络策略;5)下发OpenFlow流表到OVS交换机上;6)在OVS交换机上,按照流表进行转发;7)每周将新获取到的网络用户流量特征信息与N个用户类别的特征中心值进行匹配,将其IP地址归属到与特征中心值相似度最高的用户类别,更新用户类别所含的IP地址。

Description

一种基于身份自动识别的网络服务提供方法
技术领域
本发明涉及基于SDN(Software Defined Network,软件定义网络)架构下利用数据挖掘动态分析网络用户行为特征信息,并将分析结果应用于网络服务的制定和自动下发,为网络用户提供定制化的网络服务。
背景技术
网络安全问题是当前网络面临的一项亟待解决的问题,解决网络安全问题最有效的手段之一是使用防火墙。而传统防火墙网络架构存在的主要问题之一是防火墙安全策略是由网络管理员逐一进行配置,给网络管理员带来庞大的负担。而SDN网络的出现可以很好地解决上述问题。
近几年,随着互联网技术和电子商务的快速发展,为了维护互联网安全,阻止潜在的威胁,并给网络用户提供个性化的网络服务。在大数据环境下,基于数据挖掘技术的网络用户行为分析吸引不少网络安全研究者。通过分析网络用户的行为数据可以发现网络用户的行为特征,从而为更新安全策略提供依据。对网络用户行为分析主要集中在两个方向,网络用户异常行为分析和网络用户行为偏好分析。对网络用户异常行为进行分析是为了维护互联网安全,防御潜在威胁;对网络用户行为偏好分析是为了给网络用户提供定制化的网络服务。
目前对于网络用户行为分析的研究,大多是对网络用户正常上网行为进行统计分析或是预测分析,从而得到用户行为偏好和行为趋势,其最终是网络用户行为信息的呈现,并没有对网络用户的身份进行自动识别。
然而,在网络管理当中,网络管理员每天都有大量而繁琐的工作需要完成。其中网络服务策略的制定和下发,需要网络管理员根据网络用户的IP地址,手动的制定相关的网络服务并且下发,然而网络用户的IP地址可能动态变化,从而需要网络管理员人为的进行身份识别,这显然加剧了网络管理员的工作负荷,而且过多的人为干预,增加了网络管理的出错概率。
发明内容
本发明的目的是设计一种基于身份自动识别的网络服务提供方法,用SDN交换机取代传统的防火墙设备,使用数据挖掘技术对网络中的用户行为数据分析,进行网络用户的身份自动识别,并将分析得到的用户行为特征信息应用到网络服务的策略上,为网络用户提供定制的个性化的网络服务。
一种基于身份自动识别的网络服务提供方法,其特征在于,使用数据挖掘技术分析网络用户的流量数据信息,从而获取网络用户的具体行为特征,根据系统预设的行为特征相对应的网络策略,给网络用户提供个性化的网络服务。其方法包括以下步骤:
1-1)在OVS(OpenvSwitch)交换机上创建sFlow Agent并设置相关参数(时间间隔和采样频率),通过sFlow-RT提供的访问接口获取网络用户流量特征信息:时间戳、源IP地址、流量大小;
1‐2)取每天8:00—23:00之间的流量信息并以每10分钟作为一个时间区间,汇总“IP地址、时间区间、对应流量大小”三部分信息,计算出每天每个IP地址在时间区间上的平均流量值作为各自的流量阈值,统计出所有IP地址一周内时间区间上的在线次数(时间区间上流量小于阈值,视为不在线;反之,视为在线);
1-3)利用k-means均值算法,根据每周对应时间区间上的在线次数,对IP地址进行聚类分析,得到N个用户类别(类别之间的特征相似性最小,同一类别的特征相似性最大,每个用户类别含有多个IP地址),以及每个用户类别各自特征信息的特征中心值;
1‐4)对N个用户类别分别制定相应的网络策略(OpenFlow流表形式);
1‐5)下发OpenFlow流表到OVS交换机上;
1‐6)在OVS交换机上,按照流表进行转发;
1‐7)每周将新获取到的网络用户流量特征信息与N个用户类别的特征中心值进行匹配,将其IP地址归属到与特征中心值相似度最高的用户类别,更新网络策略,然后跳转到步骤1-4)。
本发明的有益效果:
我们提出的一种基于身份自动识别的网络服务提供方法,是在SDN架构下利用数据挖掘动态分析网络用户行为特征信息,自动识别出网络用户的特征身份,并将分析结果应用于网络服务的制定和自动下发,从而减轻了网络管理员制定和下发网络服务策略的工作负荷,并且能够为网络用户提供定制化的网络服务。
附图说明
图1OVS交换机信息;
图2系统验证实验拓扑。
具体实施方式
以下通过附图和具体实施方式对本发明做进一步的说明。
一种基于身份自动识别的网络服务提供方法,其特征在于,使用数据挖掘技术分析网络用户的流量数据信息,从而获取网络用户的具体行为特征,根据系统预设的行为特征相对应的网络策略,给网络用户提供个性化的网络服务。其方法包括以下步骤:
1-1)在OVS(OpenvSwitch)交换机上创建sFlow Agent并设置相关参数(时间间隔和采样频率),通过sFlow-RT提供的访问接口获取网络用户流量特征信息:时间戳、源IP地址、流量大小;
1‐2)取每天8:00—23:00之间的流量信息并以每10分钟作为一个时间区间,汇总“IP地址、时间区间、对应流量大小”三部分信息,计算出每天每个IP地址在时间区间上的平均流量值作为各自的流量阈值,统计出所有IP地址一周内时间区间上的在线次数(时间区间上流量小于阈值,视为不在线;反之,视为在线);
1-3)利用k-means均值算法,根据每周对应时间区间上的在线次数,对IP地址进行聚类分析,得到N个用户类别(类别之间的特征相似性最小,同一类别的特征相似性最大,每个用户类别含有多个IP地址),以及每个用户类别各自特征信息的特征中心值;
1‐4)对N个用户类别分别制定相应的网络策略(OpenFlow流表形式);
1‐5)下发OpenFlow流表到OVS交换机上;
1‐6)在OVS交换机上,按照流表进行转发;
1‐7)每周将新获取到的网络用户流量特征信息与N个用户类别的特征中心值进行匹配,将其IP地址归属到与特征中心值相似度最高的用户类别,更新网络策略,然后跳转到步骤1-4);
实施例
1.实验环境的搭建
1.1OpenvSwitch(OVS)的安装及配置
操作系统为Linux系统,在命令行终端搜索OVS相关资源,输入命令:#apt‐cachesearch openvswitch,可看到关于OVS的各种组件。在本实例中用到的主要组件是openvswitch‐switch,该组件是OVS的实现模块,而可看到的组件列表中的openvswitch‐common包含了openvswitch‐switch,因此我们只需要安装openvswitch‐common即可。
安装openvswitch‐common组件,在命令行终端输入:#apt‐get installopenvswitch‐common。安装完成后,通过查看OVS的版本信息来验证是否成功安装,#ovs‐vsctl show。
根据验证要求,需要创建一个具有四个接口的OVS交换机,首先创建一个网桥br0,然后将enp3s0、enp5s0、enp5s1、enp5s2四块网卡全部挂载到br0上,到此一个包含四个接口支持OpenFlow协议的交换机搭建成功,如图1所示。
安装完OVS交换机之后就需要对其进行相关配置,首先是设置OVS与控制器之间的连接,OVS与控制器的连接有三种方式,分别为:TCP、SSL、UNIX。本实例选择TCP的方式与控制器进行连接。在终端输入:#ovs‐vsctl set‐controller br0 tcp:10.20.218.202:6633,将OVS连接到IP地址为:10.20.218.202这台PC上,默认端口为6633。
1.2sFlow技术相关配置
采用sFlow技术,在OVS交换机上安装sFlow Agent,用来统计端口信息,并将信息封装成sFlow报文发送给安装在控制器PC上的sFlow Collector(sFlow Collector可以是服务器也可以是普通的PC机,主要负责接收sFlow报文数据)。在sFlow Collector端需要安装特定的软件对sFlow报文进行解析:sFlow‐RT,可以登录http://sflowrt.com网站进行下载安装。
在安装有OVS的终端输入命令:
#ovs-vsctl----id=@sflow create sFlow agent=eth0target=\"10.20.218.202:6343\"header=128sampling=64polling=1----set bridge br0sflow=@sflow
到此,OVS的安装和配置就已经完成,整个实验环境搭建结束。
2.具体实验
2.1用户流量数据采集
sFlow‐RT提供了各种流量数据的JSON格式访问接口,通过这些接口我们可以获取到网络用户的上网流量信息,主要使用到的接口如表2‐1所示。
表2-1 sFlow-RT提供的数据访问接口
Figure BDA0001240512100000051
将/activeflows/{agent}/{name}/json访问接口参数设置为?maxFlows=50&minValue=0&aggMode=max,可以获取到当前时刻网络中流量大小排名前200的用户流量信息,信息包含IP地址、协议类型和流量大小三部分。
Figure BDA0001240512100000061
但是要分析一个网络用户的上网行为是少不了用户的上网时间,因此需要我们给获取到的用户信息添加一个时间戳,最后保存用户流量数据信息格式为:
时间戳 源IP地址 流量大小
对JSON格式数据的解析以及数据信息的储存,伪代码如下。
将获取到的网络用户的特征流量信息(时间戳、源IP地址、流量大小)保存到.csv格式文件中。
2.2在线次数统计
取每天8:00—23:00之间的流量信息并以每10分钟作为一个时间区间,汇总“IP地址、时间区间、以及对应流量大小”信息,计算出每个IP地址在时间区间上的平均流量值作为各自的流量阈值,统计出所有IP地址一周内时间区间上的在线次数(时间区间上流量小于阈值,视为不在线;反之,视为在线)。
2.3k‐means均值算法聚类分析
本实验完成的是一种基于身份自动识别的网络服务提供方法,参考学院具体网络用户,设计出三个用户类别:教师、研究生、本科生。根据每周对应时间区间上的在线次数,对整个学院的网络用户IP地址进行聚类分析。我们使用weka数据挖掘工具,设置相关参数:numClusters=3,seed=200,其他参数选择默认值,结果如表2‐2所示:
表2‐2某学院网络用户聚类结果
Figure BDA0001240512100000081
Figure BDA0001240512100000101
Figure BDA0001240512100000111
从聚类的结果中可以看出,Cluster0(73%)是本科生,Cluster1(12%)是研究生,Cluster2(16%)是教师。
2.4用户类别相应的网络策略
本实验完成的是一种基于身份自动识别的网络服务提供方法,设计出三个用户类别:教师、研究生、本科生。选取网络服务:搜索引擎(百度)、网络视频(芒果TV)、网络新闻(新闻直播吧)和网络游戏(游民星空)。对不同身份类型的人,实施的策略如表2‐3所示,其中“是”表示该用户类别可以访问该网站,而“否”表示该用户类别不能访问该网站。
在完成实验环境搭建之后,按照设计的拓扑进行物理设备的连接及相关配置,接下来进行系统的验证。实验物理拓扑如图2所示。
表2-3不同身份类型的策略设计
Figure BDA0001240512100000121
在策略下发时需要域名对应的服务器IP地址,可使用nslookup命令获取对应域名服务器IP地址,结果如如表2‐4所示。
表2-4域名对应的服务器IP地址
Figure BDA0001240512100000122
Figure BDA0001240512100000131
2.5网络策略制定与部署
此实验的操作比较简单,以OpenFlow流表的形式部署网络策略,只需要运行一个定时程序即可,基于用户类别部署网络策略的代码每周执行一次。
相应的程序执行之后,可以查看OVS交换机上的流表项,如如表2‐5所示。
表2-5策略下发之后OVS上存在的流表项
Figure BDA0001240512100000132
Figure BDA0001240512100000141
2.6实验结果验证
在IP为10.20.216.33的PC上验证对教师的策略,;在IP为10.20.216.11的PC上验证对研究生的策略;在IP为10.20.216.44的PC上验证对本科生的策略,从上述实验结果验证得到,对不同用户类别的IP地址所能访问和不能访问的网站是不相同的,这就证实了针对不同用户类别的IP地址所下发的策略是有效的。也说明了基于身份自动识别的网络服务提供方法可以实现的。

Claims (1)

1.一种基于身份自动识别的网络服务提供方法,其特征在于,获取网络用户流量特征信息,根据系统预设的行为特征相对应的网络策略,给网络用户提供个性化的网络服务,具体包括以下步骤:
1-1)在OVS(OpenvSwitch)交换机上创建sFlow Agent并设置时间间隔和采样频率参数,通过sFlow-RT提供的访问接口获取网络用户流量特征信息:时间戳、源IP地址、流量大小;
1-2) 取每天8:00—23:00之间的流量信息并以每10分钟作为一个时间区间,汇总IP地址、时间区间、对应流量大小三部分信息,计算出每天每个IP地址在时间区间上的平均流量值作为各自的流量阈值,统计出所有IP地址一周内各时间区间上的在线次数,时间区间上流量小于阈值,视为不在线,反之,视为在线;
1-3)利用k-means均值算法,根据每周对应时间区间上的在线次数,对IP地址进行聚类分析,得到N个用户类别,以及每个用户类别各自特征信息的特征中心值,所述类别之间的特征相似性最小,同一类别的特征相似性最大,每个用户类别含有多个IP地址;
1-4)对N个用户类别以OpenFlow流表形式分别制定相应的网络策略;
1-5)下发OpenFlow流表到OVS交换机上;
1-6)在OVS交换机上,按照流表进行转发;
1-7)每周将新获取到的网络用户流量特征信息与N个用户类别的特征中心值进行匹配,将其IP地址归属到与特征中心值相似度最高的用户类别,更新用户类别所含的IP地址,然后跳转到步骤1-4)。
CN201710133178.7A 2017-03-07 2017-03-07 一种基于身份自动识别的网络服务提供方法 Active CN107070700B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710133178.7A CN107070700B (zh) 2017-03-07 2017-03-07 一种基于身份自动识别的网络服务提供方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710133178.7A CN107070700B (zh) 2017-03-07 2017-03-07 一种基于身份自动识别的网络服务提供方法

Publications (2)

Publication Number Publication Date
CN107070700A CN107070700A (zh) 2017-08-18
CN107070700B true CN107070700B (zh) 2020-01-21

Family

ID=59622970

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710133178.7A Active CN107070700B (zh) 2017-03-07 2017-03-07 一种基于身份自动识别的网络服务提供方法

Country Status (1)

Country Link
CN (1) CN107070700B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107645493B (zh) * 2017-08-20 2020-03-06 杭州安恒信息技术股份有限公司 一种ip组相似度计算方法
CN108599994B (zh) * 2018-03-26 2021-04-20 华南理工大学 一种基于流量聚类的sdn切片构造方法
CN108696446B (zh) * 2018-07-30 2022-01-25 网宿科技股份有限公司 一种流量特征信息的更新方法、装置及中心节点服务器

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103886090A (zh) * 2014-03-31 2014-06-25 北京搜狗科技发展有限公司 基于用户喜好的内容推荐方法及装置
CN104468403A (zh) * 2014-11-14 2015-03-25 北京航空航天大学 一种基于nacc对数据包进行网络流分类的sdn控制器

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101789887A (zh) * 2009-12-25 2010-07-28 成都市华为赛门铁克科技有限公司 网络用户分类方法、装置和网络业务监控系统
CN101848160B (zh) * 2010-05-26 2012-07-18 钱叶魁 在线检测和分类全网络流量异常的方法
CN103580962A (zh) * 2012-08-06 2014-02-12 中兴通讯股份有限公司 一种为家庭网关用户提供定制化网络服务的系统及方法
EP3111612B1 (en) * 2014-02-28 2018-03-21 British Telecommunications public limited company Profiling for malicious encrypted network traffic identification
CN105141604B (zh) * 2015-08-19 2019-03-08 国家电网公司 一种基于可信业务流的网络安全威胁检测方法及系统
CN106254181A (zh) * 2016-08-16 2016-12-21 浪潮(北京)电子信息产业有限公司 虚拟交换机流量监控的方法、系统及虚拟交换机

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103886090A (zh) * 2014-03-31 2014-06-25 北京搜狗科技发展有限公司 基于用户喜好的内容推荐方法及装置
CN104468403A (zh) * 2014-11-14 2015-03-25 北京航空航天大学 一种基于nacc对数据包进行网络流分类的sdn控制器

Also Published As

Publication number Publication date
CN107070700A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
US10084713B2 (en) Protocol type identification method and apparatus
US20090238088A1 (en) Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system
US9589275B2 (en) User behavior analysis method, and related device and method
CN107070700B (zh) 一种基于身份自动识别的网络服务提供方法
CN105302885B (zh) 一种全文数据的提取方法和装置
CN103546343A (zh) 网络流量分析系统的网络流量展示方法和系统
CN105447147A (zh) 一种数据处理方法及装置
US11650994B2 (en) Monitoring network traffic to determine similar content
CN109218457B (zh) 网络数据处理方法、装置和系统
CN111953552B (zh) 数据流的分类方法和报文转发设备
CN111200523B (zh) 中台系统配置方法、装置、设备及存储介质
CN104994016A (zh) 用于分组分类的方法和装置
US10142359B1 (en) System and method for identifying security entities in a computing environment
CN110011860A (zh) 基于网络流量分析的安卓应用识别方法
CN111222019B (zh) 特征提取的方法和装置
GB2569678A (en) Automation of SQL tuning method and system using statistic SQL pattern analysis
US20140089496A1 (en) Apparatus and method for monitoring web application telecommunication data by user
CN105701224A (zh) 一种基于大数据的证券资讯个性化服务系统
CN108011870B (zh) 一种软件远程在线升级信息自动识别管理方法
CN102984242A (zh) 一种应用协议的自动识别方法和装置
CN109165513B (zh) 系统配置信息的巡检方法、装置和服务器
US20120173341A1 (en) Information publishing method, apparatus and system
US11290384B2 (en) Access origin classification apparatus, access origin classification method and program
CN107547911B (zh) 一种节目信息搜索方法
CN110278117A (zh) 基于局域网广播的idc节点服务器部署方法、系统及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant