CN109361649A

CN109361649A - 一种网关代理检测方法与装置

Info

Publication number: CN109361649A
Application number: CN201811023025.8A
Authority: CN
Inventors: 林皓; 成航; 胡建斌
Original assignee: Beijing VRV Software Corp Ltd
Current assignee: Beijing VRV Software Corp Ltd
Priority date: 2018-09-03
Filing date: 2018-09-03
Publication date: 2019-02-19

Abstract

本发明公开了一种网关代理检测方法与装置包括：从网关采集网络流量数据并进行预处理；从网络流量数据中提取出多种模型特征；使用归一化、投影聚类、遗传算子方法分析模型特征并获得分析结果；展示分析结果。本发明提出的网关代理检测方法与装置能够针对不同网关代理或不同类型的网关代理进行检测，提高网络安全稳定性，降低网络管理难度。

Description

一种网关代理检测方法与装置

技术领域

本发明涉及数据库领域，更具体地，特别是指一种网关代理检测方法与装置。

背景技术

代理服务器和NAT(网络地址转换)技术的广泛使用有利也有弊。一方面，私有地址空间的建立一定程度上解决了IP地址紧缺的问题，在某种程度上也更有利于管理内部网络，可以根据设置增强网络的安全性。但是另一方面，外部网络对于内部私有地址空间是未知的，这为隐藏自身真实的身份提供了条件，对一些恶意用户接入网络从事非法或者非授权的网络活动提供了可能。

针对现有技术中网关代理难以检测的问题，目前尚未有有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种网关代理检测方法与装置，能够针对不同网关代理或不同类型的网关代理进行检测，提高网络安全稳定性，降低网络管理难度。

基于上述目的，本发明实施例的一方面提供了一种网关代理检测方法，包括以下步骤：

从网关采集网络流量数据并进行预处理；

从网络流量数据中提取出多种模型特征；

使用归一化、投影聚类、遗传算子方法分析模型特征并获得分析结果；

展示分析结果。

在一些实施方式中，从网络流量数据中提取出多种模型特征，为针对每单位时间每IP地址，均提取以下至少之一作为模型特征：流量与报文数、数据流数、端口数、TCP连接数、DNS连接数、目的IP数。

此处的单位时间通常是取一天。

在一些实施方式中，归一化为将模型特征与初始化投影方向向量归一化。

在一些实施方式中，投影聚类包括：

根据归一化的模型特征与初始化投影方向向量获得投影值；

对投影值聚类，并选出高适应度投影方向向量。

在一些实施方式中，遗传算子包括：

将高适应度投影方向向量两两分组并交叉互换，选出最佳投影适应度投影方向向量；

对最佳投影适应度投影方向向量一个分位进行随机赋值或取反以尝试获取最优解。

在一些实施方式中，获得分析结果包括：

将最优解代入真实数据计算获得各真实样本的投影值；

将投影值与黑白样本中心对比，当两者差异非常小时将投影值划归到黑白样本的类中，并更新黑白样本的类；

根据黑白样本中投影值的分布确定网关代理的使用情况。

本发明实施例的另一方面，还提供了一种网关代理检测装置，包括：

数据预处理模块，用于从网关采集网络流量数据并进行预处理；

模型特征提取模块，用于从网络流量数据中提取出多种模型特征；

模型数据分析模块，用于使用归一化、投影聚类、遗传算子方法分析模型特征并获得分析结果；

结果数据展示模块，用于展示分析结果；

网关代理检测装置使用了上述方法。

本发明实施例的另一方面，还提供了一种计算机设备，包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时执行上述的方法。

本发明实施例的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时执行上述的方法。

本发明实施例的另一方面，还提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算程序，所述计算程序包括指令，当所述指令被计算机执行时，使所述计算机执行上述方法。

本发明具有以下有益技术效果：本发明实施例提供的网关代理检测方法与装置，通过从网关采集网络流量数据并进行预处理、从网络流量数据中提取出多种模型特征、使用归一化、投影聚类、遗传算子方法分析模型特征并获得分析结果、展示分析结果的技术方案，能够针对不同网关代理或不同类型的网关代理进行检测，提高网络安全稳定性，降低网络管理难度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的网关代理检测方法的实施例的流程示意图；

图2为本发明提供的网关代理检测装置的实施例的模块示意图；

图3为本发明提供的执行所述网关代理检测方法的计算机设备的一个实施例的硬件结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

基于上述目的，本发明实施例的第一个方面，提出了一种能够针对不同网关代理或不同类型的网关代理进行检测的方法的实施例。图1示出的是本发明提供的网关代理检测方法的实施例的流程示意图。

所述网关代理检测方法，可选地，包括以下步骤：

步骤S101，从网关采集网络流量数据并进行预处理；

步骤S103，从网络流量数据中提取出多种模型特征；

步骤S105，使用归一化、投影聚类、遗传算子方法分析模型特征并获得分析结果；

步骤S107，展示分析结果。

在步骤S101中按照制定好的预处理规则，对网络流量数据进行补齐、纠错、过滤、去重等操作以提高数据质量。

对于每单位时间每个源IP地址，本发明实施例提取：

流量与报文数：上下行数据的Byte数和package数；

流的数目：数据流(五元组，包含源IP、目的IP、源port、目的port和传输层协议)的数目；

端口数目：源和目的port数；

TCP连接数；

DNS连接数；和

目的IP数

作为模型特征。

在一些实施方式中，归一化为将模型特征与初始化投影方向向量归一化。归一化是将模型特征x(j)与初始化的投影方向向量a(j)种子归一化的操作。

在一些实施方式中，投影聚类包括：

根据归一化的模型特征与初始化投影方向向量获得投影值；

对投影值聚类，并选出高适应度投影方向向量。

投影聚类将归一化的模型特征与投影方向向量带入公式F-1，得一维投影值z(i)：

根据z(i)进行k均值聚类。投影值z(i)的所期望的分布特征为：对于投影点，局部需要尽量聚集，而整体需要投影点团之间能够尽可能散开。对投影指标函数进行构造：

Q(α)＝S_z/D_z (F-2)

其中：

m为聚类数、Z_k为第k个聚类的中心、d(z_i,Z_k)为样本到对应的聚类中心距离(欧氏空间距离)、准则函数D_z为各类样本到对应聚类中心距离的总和。根据公式F-2、F-3、F-4计算出每个投影方向向量a(j)的投影适应度Q(a)，并挑选出投影适应度高的投影方向向量。

在一些实施方式中，遗传算子包括：

遗传算子包括两个操作：交叉操作将投影适应度高的投影方向向量种子两两分组，再选3个分位进行交叉互换，选出投影适应度最优异的投影方向向量种子，交叉操作的目的是为了保留大部分优秀的投影方向向量种子；变异操作将最优异的投影方向向量种子其中一个分位的值进行随机或取反，目的是为了突破本次投影适应度的最优解，探索更好的可能性。

在一些实施方式中，获得分析结果包括：

将最优解代入真实数据计算获得各真实样本的投影值；

根据黑白样本中投影值的分布确定网关代理的使用情况。

经过遗传算子和投影聚类的有限次(也就是遗传代数次)循环，比较投影适应度的值，得到所需的最佳投影方向a(j)，将其代入真实数据计算可得到各真实样本的一维投影值。随意挑选其中样本的一维投影值进行与最佳黑白样本中心对比，当两个值差异非常小时，则可以认为它们可以被划分到同一类中。从而得出新的黑白样本，也就得出哪些IP的终端疑似是代理服务器或NAT网关。

最后，将得到模型分析结果数据在web界面上进行展示并进行预警告警。

从上述实施例可以看出，本发明实施例提供的网关代理检测方法，通过从网关采集网络流量数据并进行预处理、从网络流量数据中提取出多种模型特征、使用归一化、投影聚类、遗传算子方法分析模型特征并获得分析结果、展示分析结果的技术方案，能够针对不同网关代理或不同类型的网关代理进行检测，提高网络安全稳定性，降低网络管理难度。内网与外网的间隔使内部网络用户可以逃逸自己的真实身份对网络进行刺探和攻击活动，所以对于网络安全而言，可提升网络安全系数和网络稳定性。私有地址空间的建立改变了原有的网络结构，所以对于网络管理者而言，可降低网络管理的难度。同时，利用大数据和机器学习技术，提升数据分析能力和数据统计效率，实现对代理服务器及NAT网关的快速发现、快速定位。

需要特别指出的是，上述网关代理检测方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于网关代理检测方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第二个方面，提出了一种能够针对不同网关代理或不同类型的网关代理进行检测的装置的实施例。图2示出的是本发明提供的网关代理检测装置的实施例的结构示意图。

如图2所示，网关代理检测装置包括：

数据预处理模块21，用于从网关采集网络流量数据并进行预处理；

模型特征提取模块22，用于从网络流量数据中提取出多种模型特征；

模型数据分析模块23，用于使用归一化、投影聚类、遗传算子方法分析模型特征并获得分析结果；

结果数据展示模块24，用于展示分析结果。

网关代理检测装置使用了上述的方法。

本发明实施例提供的网关代理检测装置，通过从网关采集网络流量数据并进行预处理、从网络流量数据中提取出多种模型特征、使用归一化、投影聚类、遗传算子方法分析模型特征并获得分析结果、展示分析结果的技术方案，能够针对不同网关代理或不同类型的网关代理进行检测，提高网络安全稳定性，降低网络管理难度。

需要特别指出的是，上述网关代理检测装置的实施例采用了所述网关代理检测方法的实施例来具体说明各模块的工作过程，本领域技术人员能够很容易想到，将这些模块应用到所述网关代理检测方法的其他实施例中。当然，由于所述网关代理检测方法实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于所述网关代理检测装置也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在所述实施例之上。

基于上述目的，本发明实施例的第三个方面，提出了一种执行所述网关代理检测方法的计算机设备的一个实施例。

所述执行所述网关代理检测方法的计算机设备包括存储器、至少一个处理器以及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时执行上述任意一种方法。

如图3所示，为本发明提供的执行所述网关代理检测方法的计算机设备的一个实施例的硬件结构示意图。

以如图3所示的计算机设备为例，在该计算机设备中包括一个处理器301以及一个存储器302，并还可以包括：输入装置303和输出装置304。

处理器301、存储器302、输入装置303和输出装置304可以通过总线或者其他方式连接，图3中以通过总线连接为例。

存储器302作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的所述网关代理检测方法对应的程序指令/模块。处理器301通过运行存储在存储器302中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例的网关代理检测方法。

存储器302可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据网关代理检测装置的使用所创建的数据等。此外，存储器302可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器302可选包括相对于处理器301远程设置的存储器，这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置303可接收输入的数字或字符信息，以及产生与网关代理检测装置的用户设置以及功能控制有关的键信号输入。输出装置304可包括显示屏等显示设备。

所述一个或者多个网关代理检测方法对应的程序指令/模块存储在所述存储器302中，当被所述处理器301执行时，执行上述任意方法实施例中的网关代理检测方法。

所述执行所述网关代理检测方法的计算机设备的任何一个实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

基于上述目的，本发明实施例的第四个方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的网关代理检测方法与实现上述任意装置/系统实施例中的网关代理检测装置/系统。所述计算机可读存储介质的实施例，可以达到与之对应的前述任意方法与装置/系统实施例相同或者相类似的效果。

基于上述目的，本发明实施例的第五个方面，提出了一种计算机程序产品，该计算机程序产品包括存储在计算机可读存储介质上的计算程序，该计算机程序包括指令，当该指令被计算机执行时，使该计算机执行上述任意方法实施例中的网关代理检测方法与实现上述任意装置/系统实施例中的网关代理检测装置/系统。所述计算机程序产品的实施例，可以达到与之对应的前述任意方法与装置/系统实施例相同或者相类似的效果。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。所述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

此外，典型地，本发明实施例公开所述的装置、设备等可为各种电子终端设备，例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等，也可以是大型终端设备，如服务器等，因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。

此外，根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时，执行本发明实施例公开的方法中限定的上述功能。

此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。

此外，应该明白的是，本文所述的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM)，该RAM可以充当外部高速缓存存储器。作为例子而非限制性的，RAM可以以多种形式获得，比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。

本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。

结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行：通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器，但是可替换地，处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。

结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。

在一个或多个示例性设计中，所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。

上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。

Claims

1.一种网关代理检测方法，其特征在于，包括以下步骤：

从网关采集网络流量数据并进行预处理；

从所述网络流量数据中提取出多种模型特征；

使用归一化、投影聚类、遗传算子方法分析所述模型特征并获得分析结果；

展示所述分析结果。

2.根据权利要求1所述的方法，其特征在于，从所述网络流量数据中提取出多种所述模型特征，为针对每单位时间每IP地址，均提取以下至少之一作为所述模型特征：流量与报文数、数据流数、端口数、TCP连接数、DNS连接数、目的IP数。

3.根据权利要求1所述的方法，其特征在于，所述归一化为将所述模型特征与初始化投影方向向量归一化。

4.根据权利要求3所述的方法，其特征在于，所述投影聚类包括：

根据归一化的所述模型特征与所述初始化投影方向向量获得投影值；

对所述投影值聚类，并选出高适应度投影方向向量。

5.根据权利要求4所述的方法，其特征在于，所述遗传算子包括：

将所述高适应度投影方向向量两两分组并交叉互换，选出最佳投影适应度投影方向向量；

对所述最佳投影适应度投影方向向量一个分位进行随机赋值或取反以尝试获取最优解。

6.根据权利要求5所述的方法，其特征在于，获得所述分析结果包括：

将所述最优解代入真实数据计算获得各真实样本的投影值；

将投影值与黑白样本中心对比，当两者差异非常小时将投影值划归到所述黑白样本的类中，并更新所述黑白样本的类；

根据所述黑白样本中投影值的分布确定网关代理的使用情况。

7.一种网关代理检测装置，其特征在于，包括：

模型特征提取模块，用于从所述网络流量数据中提取出多种模型特征；

模型数据分析模块，用于使用归一化、投影聚类、遗传算子方法分析所述模型特征并获得分析结果；

结果数据展示模块，用于展示所述分析结果；

其中，所述装置使用如权利要求1-6任意一项所述的方法。

8.一种计算机设备，包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时执行如权利要求1-6任意一项所述的方法。

9.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时执行权利要求1-6任意一项所述的方法。

10.一种计算机程序产品，其特征在于，所述计算机程序产品包括存储在计算机可读存储介质上的计算程序，所述计算程序包括指令，当所述指令被计算机执行时，使所述计算机执行权利要求1-6任意一项所述的方法。