CN110769007B - 一种基于异常流量检测的网络安全态势感知方法及装置 - Google Patents

一种基于异常流量检测的网络安全态势感知方法及装置 Download PDF

Info

Publication number
CN110769007B
CN110769007B CN201911361567.0A CN201911361567A CN110769007B CN 110769007 B CN110769007 B CN 110769007B CN 201911361567 A CN201911361567 A CN 201911361567A CN 110769007 B CN110769007 B CN 110769007B
Authority
CN
China
Prior art keywords
network security
security situation
abnormal
vulnerability
probability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911361567.0A
Other languages
English (en)
Other versions
CN110769007A (zh
Inventor
王栋
杨珂
玄佳兴
俞果
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Digital Technology Holdings Co ltd
Original Assignee
State Grid E Commerce Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid E Commerce Co Ltd filed Critical State Grid E Commerce Co Ltd
Priority to CN201911361567.0A priority Critical patent/CN110769007B/zh
Publication of CN110769007A publication Critical patent/CN110769007A/zh
Application granted granted Critical
Publication of CN110769007B publication Critical patent/CN110769007B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于异常流量检测的网络安全态势感知方法及装置,方法包括:对网络异常流量进行分类,得到异常流量分类结果;基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。本发明解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。

Description

一种基于异常流量检测的网络安全态势感知方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于异常流量检测的网络安全态势感知方法及装置。
背景技术
随着互联网的快速发展,电子政务、电子商务、电子金融等网络服务越来越流行,用户的生活、工作和学习逐渐由现实世界转移到互联网中来,人们对互联网的依赖正在日益增加。然而,互联网的开放性特点使得任何符合其技术标准的设备或软件都可以不受限制地接入互联网,导致互联网各类安全事件层出不穷,网络安全形势变得日益严峻。
网络异常流量对企业的网络服务影响十分严重,网络设备故障、内网用户有意无意的非法操作以及病毒爆发都能导致网络瘫痪、业务中断;黑客攻击等会导致核心数据泄露或被毁坏,对企业经济造成巨额损失;业务停顿、数据外泄必然会导致公司声誉受损,伤害影响深远。当面临各种网络安全威胁时,发现和判断异常流量的效率将是有决定性意义的。目前机器学习技术已应用于异常流量检测,建立了相应的理论体系,取得了一些研究成果,但在通用性、检测范围、对实际工作的指导方面仍存在很大不足。
因此,如何更加有效全面的通过异常流量检测对网络安全态势进行感知,是一项亟待解决的问题。
发明内容
有鉴于此,本发明提供了一种基于异常流量检测的网络安全态势感知方法,解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
本发明提供了一种基于异常流量检测的网络安全态势感知方法,包括:
使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;
基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,具体评估步骤如下:
基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及
基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,具体预测步骤如下:
基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及
基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
优选地,所述对网络异常流量进行分类,得到异常流量分类结果,包括:
选择流量数据包的属性特征;
采集流量数据包的属性特征;
依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
使用k均值聚类算法将异常流量划分成簇;
针对每一个簇,使用C4.5决策树算法进行分类;
将所有簇中相同的类合并为一类,得到异常流量分类结果。
一种基于异常流量检测的网络安全态势感知装置,包括:
网络异常流量分类模块,用于使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;
评估模块,用于基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,所述评估模块包括:网络安全态势评估单元,用于基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及漏洞利用概率分析单元,用于基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
预测模块,用于基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,所述预测模块包括:网络安全态势预测单元,用于基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及漏洞利用概率预测单元,用于基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
优选地,所述网络异常流量分类模块包括:
选择单元,用于选择流量数据包的属性特征;
采集单元,用于采集流量数据包的属性特征;
判定单元,用于依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
聚类单元,用于使用k均值聚类算法将异常流量划分成簇;
分类单元,用于针对每一个簇,使用C4.5决策树算法进行分类;
合并单元,用于将所有簇中相同的类合并为一类,得到异常流量分类结果。
综上所述,本发明公开了一种基于异常流量检测的网络安全态势感知方法,当需要对网络安全态势进行感知时,首先使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;然后基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,具体评估步骤如下:基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;然后,基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,具体预测步骤如下:基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。本发明解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明公开的一种基于异常流量检测的网络安全态势感知方法实施例1的方法流程图;
图2为本发明公开的一种基于异常流量检测的网络安全态势感知方法实施例2的方法流程图;
图3为本发明公开的一种基于异常流量检测的网络安全态势感知装置实施例1的结构示意图;
图4为本发明公开的一种基于异常流量检测的网络安全态势感知装置实施例2的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明公开的一种基于异常流量检测的网络安全态势感知方法实施例1的方法流程图,所述方法可以包括以下步骤:
S101、对网络异常流量进行分类,得到异常流量分类结果;
当需要对网络安全态势进行感知时,首先基于流量统计特征分析识别网络正常流量和异常流量,并基于机器学习分类算法将异常流量细分为不同的类,包括网络设备故障、内网用户非法操作、恶意下载、信息炸弹、网络扫描、拒绝服务攻击(DoS攻击)、分布式拒绝服务攻击(DDoS攻击)、网络蠕虫病毒等。
S102、基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;
然后,基于网络异常流量分类结果对各类异常流量数据包的个数进行统计,计算当前各类异常流量出现的可能性;以及深入分析针对设备漏洞类攻击流量,统计各漏洞被利用次数,计算当前各漏洞被利用的概率。
S103、基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。
然后,基于历史网络安全态势数据,通过预测算法计算未来一段时间各类异常流量出现的可能性;以及基于历史漏洞利用概率数据,通过预测算法计算未来一段时间各漏洞被利用的概率。
综上所述,在上述实施例中,当需要对网络安全态势进行感知时,首先对网络异常流量进行分类,得到异常流量分类结果;然后基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。本发明解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
如图2所示,为本发明公开的一种基于异常流量检测的网络安全态势感知方法实施例1的方法流程图,所述方法可以包括以下步骤:
S201、选择流量数据包的属性特征;
当需要对网络安全态势进行感知时,首先对流量数据包的属性特征进行选择;例如,选择源IP地址、目的IP地址、源端口号、目的端口号、协议号等5个属性。
S202、采集流量数据包的属性特征;
然后,对流量数据包的属性特征进行采集。
S203、依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
在采集到流量数据包的属性特征后,进一步根据源IP地址对流量数据包的个数进行统计,并根据统计得到的流量数据包的个数判断数量是否超过阈值,当个数超过阈值时,将对应的IP地址对应的流量数据包确定为异常流量。需要说明的是,所述阈值可以根据实际需求预先进行灵活的设定。
S204、使用k均值聚类算法将异常流量划分成簇;
然后,使用k均值聚类算法对异常流量进行划分,将将异常流量划分成簇。
S205、针对每一个簇,使用C4.5决策树算法进行分类;
然后,将异常流量划分得到的每一个簇,采用C4.5决策树算法进行分类。
S206、将所有簇中相同的类合并为一类,得到异常流量分类结果;
S207、基于统计分析方法计算各类异常流量危害程度,评估网络安全态势;
在得到异常流量的分类结果后,进一步给定态势分析的时间区间长度T,针对T时间段内的所有异常流量做如下分析:
第1步:通过异常流量分类方法完成分类,假设有n个类;
第2步:统计每个类的异常流量数据包的个数,记为
Figure 342434DEST_PATH_IMAGE001
Figure 782905DEST_PATH_IMAGE002
,则当前网络 安全态势可以描述为向量P:
Figure 464422DEST_PATH_IMAGE003
,其中,
Figure 997035DEST_PATH_IMAGE004
Figure 727093DEST_PATH_IMAGE002
,表示每类异常 流量出现的概率,值越大威胁也越大,是重点防御方向。
S208、基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
同时,在得到异常流量的分类结果后,进一步给定态势分析的时间区间长度T,针对T时间段内的所有异常流量做如下分析:
第1步:利用漏洞扫描工具扫描自身网络系统中存在的漏洞并编号,假设总共有m个漏洞;
第2步:分析每一个异常流量数据包攻击的漏洞对象,并统计每个漏洞被利用的总 次数,记为
Figure 723868DEST_PATH_IMAGE005
Figure 481346DEST_PATH_IMAGE006
,则当前漏洞利用概率可以描述为:
Figure 766834DEST_PATH_IMAGE007
,其中,
Figure 831742DEST_PATH_IMAGE008
Figure 886286DEST_PATH_IMAGE009
,表示每个 漏洞被利用的可能性大小,可能性越大,越需要重点防御。
S209、基于预测方法和历史网络安全态势数据,预测未来的网络安全态势;
然后,进一步给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个异 常流量类在每个阶段的数据包的个数,记为
Figure 581709DEST_PATH_IMAGE010
Figure 354493DEST_PATH_IMAGE011
,对于 下一个区间T的态势预测方法如下:
第1步:利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
Figure 458978DEST_PATH_IMAGE012
Figure 633607DEST_PATH_IMAGE013
第2步:预测下一个区间的网络安全态势如下:
Figure 234353DEST_PATH_IMAGE014
,其中,
Figure 291170DEST_PATH_IMAGE015
,表示下一个时 间区间每类异常流量出现的概率,值越大威胁也越大,是下一个阶段的重点防御方向。
S210、基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
进一步,给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个漏洞被 利用的次数,记为
Figure 901143DEST_PATH_IMAGE016
Figure 664700DEST_PATH_IMAGE017
,对于下一个区间T的漏洞利用概率预 测如下:
第1步:利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
Figure 967505DEST_PATH_IMAGE018
Figure 750434DEST_PATH_IMAGE019
第2步:预测下一个区间的漏洞利用概率为:
Figure 164098DEST_PATH_IMAGE020
,其中,
Figure 782161DEST_PATH_IMAGE021
Figure 255868DEST_PATH_IMAGE022
,表示下一个时间区间每个漏洞被利用的可能性大小,值越大,下一个区间 越需要重点防御。
综上所述,本发明针对网络系统流量开展异常流量检测,通过基于机器学习的异常流量分类方法,实现了异常流量精细化分析,提出了网络安全态势统计分析方法,实现了定量描述特定时间区间的网络安全态势情况,并且提出了一种量化漏洞利用可能性的统计方法,以及提出了一种态势预测方法,根据历史和当前的态势情况,预测未来的态势趋势。解决了网络服务运营者网络系统流量无法可知可控的问题,通过异常流量分类,实现了找到威胁的来源以及类型,确定威胁的危害程度,并通过定量方法实现了预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
如图3所示,为本发明公开的一种基于异常流量检测的网络安全态势感知装置实施例1的结构示意图,所述装置可以包括:
网络异常流量分类模块301,用于对网络异常流量进行分类,得到异常流量分类结果;
当需要对网络安全态势进行感知时,首先基于流量统计特征分析识别网络正常流量和异常流量,并基于机器学习分类算法将异常流量细分为不同的类,包括网络设备故障、内网用户非法操作、恶意下载、信息炸弹、网络扫描、拒绝服务攻击(DoS攻击)、分布式拒绝服务攻击(DDoS攻击)、网络蠕虫病毒等。
评估模块302,用于基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;
然后,基于网络异常流量分类结果对各类异常流量数据包的个数进行统计,计算当前各类异常流量出现的可能性;以及深入分析针对设备漏洞类攻击流量,统计各漏洞被利用次数,计算当前各漏洞被利用的概率。
预测模块303,用于基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。
然后,基于历史网络安全态势数据,通过预测算法计算未来一段时间各类异常流量出现的可能性;以及基于历史漏洞利用概率数据,通过预测算法计算未来一段时间各漏洞被利用的概率。
综上所述,在上述实施例中,当需要对网络安全态势进行感知时,首先对网络异常流量进行分类,得到异常流量分类结果;然后基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。本发明解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
如图4所示,为本发明公开的一种基于异常流量检测的网络安全态势感知装置实施例2的结构示意图,所述装置可以包括:
选择单元401,用于选择流量数据包的属性特征;
当需要对网络安全态势进行感知时,首先对流量数据包的属性特征进行选择;例如,选择源IP地址、目的IP地址、源端口号、目的端口号、协议号等5个属性。
采集单元402,用于采集流量数据包的属性特征;
然后,对流量数据包的属性特征进行采集。
判定单元403,用于依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
在采集到流量数据包的属性特征后,进一步根据源IP地址对流量数据包的个数进行统计,并根据统计得到的流量数据包的个数判断数量是否超过阈值,当个数超过阈值时,将对应的IP地址对应的流量数据包确定为异常流量。需要说明的是,所述阈值可以根据实际需求预先进行灵活的设定。
聚类单元404,用于使用k均值聚类算法将异常流量划分成簇;
然后,使用k均值聚类算法对异常流量进行划分,将将异常流量划分成簇。
分类单元405,用于针对每一个簇,使用C4.5决策树算法进行分类;
然后,将异常流量划分得到的每一个簇,采用C4.5决策树算法进行分类。
合并单元406,用于将所有簇中相同的类合并为一类,得到异常流量分类结果;
网络安全态势评估单元407,用于基于统计分析方法计算各类异常流量危害程度,评估网络安全态势;
在得到异常流量的分类结果后,进一步给定态势分析的时间区间长度T,针对T时间段内的所有异常流量做如下分析:
第1步:通过异常流量分类方法完成分类,假设有n个类;
第2步:统计每个类的异常流量数据包的个数,记为
Figure 21699DEST_PATH_IMAGE023
Figure 707895DEST_PATH_IMAGE024
,则当前 网络安全态势可以描述为向量P:
Figure 213088DEST_PATH_IMAGE025
,其中,
Figure 654434DEST_PATH_IMAGE026
Figure 110823DEST_PATH_IMAGE027
,表示每类异常 流量出现的概率,值越大威胁也越大,是重点防御方向。
漏洞利用概率分析单元408,用于基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
同时,在得到异常流量的分类结果后,进一步给定态势分析的时间区间长度T,针对T时间段内的所有异常流量做如下分析:
第1步:利用漏洞扫描工具扫描自身网络系统中存在的漏洞并编号,假设总共有m个漏洞;
第2步:分析每一个异常流量数据包攻击的漏洞对象,并统计每个漏洞被利用的总 次数,记为
Figure 600710DEST_PATH_IMAGE028
Figure 193365DEST_PATH_IMAGE029
,则当前漏洞利用概率可以描述为:
Figure 805612DEST_PATH_IMAGE030
,其中,
Figure 982253DEST_PATH_IMAGE031
Figure 541411DEST_PATH_IMAGE032
,表示每个 漏洞被利用的可能性大小,可能性越大,越需要重点防御。
网络安全态势预测单元409,用于基于预测方法和历史网络安全态势数据,预测未来的网络安全态势;
然后,进一步给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个异 常流量类在每个阶段的数据包的个数,记为
Figure 50889DEST_PATH_IMAGE033
Figure 771721DEST_PATH_IMAGE034
,对于 下一个区间T的态势预测方法如下:
第1步:利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
Figure 937123DEST_PATH_IMAGE035
Figure 34392DEST_PATH_IMAGE036
第2步:预测下一个区间的网络安全态势如下:
Figure 165421DEST_PATH_IMAGE037
,其中,
Figure 525995DEST_PATH_IMAGE038
,表示下一个时间区间 每类异常流量出现的概率,值越大威胁也越大,是下一个阶段的重点防御方向。
漏洞利用概率预测单元410,用于基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
进一步,给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个漏洞被 利用的次数,记为
Figure 444273DEST_PATH_IMAGE039
Figure 79654DEST_PATH_IMAGE040
,对于下一个区间T的漏洞利用概率 预测如下:
第1步:利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
Figure 298145DEST_PATH_IMAGE041
Figure 626358DEST_PATH_IMAGE042
第2步:预测下一个区间的漏洞利用概率为:
Figure 31932DEST_PATH_IMAGE043
,其中,
Figure 205424DEST_PATH_IMAGE044
Figure 60115DEST_PATH_IMAGE045
,表示 下一个时间区间每个漏洞被利用的可能性大小,值越大,下一个区间越需要重点防御。
综上所述,本发明针对网络系统流量开展异常流量检测,通过基于机器学习的异常流量分类方法,实现了异常流量精细化分析,提出了网络安全态势统计分析方法,实现了定量描述特定时间区间的网络安全态势情况,并且提出了一种量化漏洞利用可能性的统计方法,以及提出了一种态势预测方法,根据历史和当前的态势情况,预测未来的态势趋势。解决了网络服务运营者网络系统流量无法可知可控的问题,通过异常流量分类,实现了找到威胁的来源以及类型,确定威胁的危害程度,并通过定量方法实现了预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (1)

1.一种基于异常流量检测的网络安全态势感知方法,其特征在于,包括:
使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果,包括:选择流量数据包的属性特征,其中,所述属性特征包括:选择源IP地址、目的IP地址、源端口号、目的端口号、协议号;采集流量数据包的属性特征;依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;使用k均值聚类算法将异常流量划分成簇;针对每一个簇,使用C4.5决策树算法进行分类;将所有簇中相同的类合并为一类,得到异常流量分类结果;
基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,具体评估步骤如下:
基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及,基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,具体预测步骤如下:
基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,包括:给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个异常流量类在每个阶段的数据包的个数,记为Nl,i,l=1,…,L;i=1,…,n,对于下一个区间T的态势预测方法如下:
利用移动平均法预测下一个区间T每个异常流量类的数据包个数如下:
Figure FDA0002668959660000011
预测下一个区间的网络安全态势如下:
Figure FDA0002668959660000012
其中,
Figure FDA0002668959660000013
表示下一个时间区间每类异常流量出现的概率,值越大威胁也越大,是下一个阶段的重点防御方向;
以及,基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率,包括:
给定态势分析的时间区间长度T,以及此前最近的L个阶段中每个漏洞被利用的次数,记为Ml,i,l=1,…,L;i=1,…,m,对于下一个区间T的漏洞利用概率预测如下:
利用移动平均法预测下一个区间T针对每个漏洞被利用的次数如下:
Figure FDA0002668959660000021
预测下一个区间每个漏洞被利用的概率为:
Figure FDA0002668959660000022
其中,
Figure FDA0002668959660000023
表示下一个时间区间每个漏洞被利用的概率,值越大,下一个区间越需要重点防御;基于预测出的所述下一个时间区间每类异常流量出现的概率以及每个漏洞被利用的概率采取相应的防护措施。
CN201911361567.0A 2019-12-26 2019-12-26 一种基于异常流量检测的网络安全态势感知方法及装置 Active CN110769007B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911361567.0A CN110769007B (zh) 2019-12-26 2019-12-26 一种基于异常流量检测的网络安全态势感知方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911361567.0A CN110769007B (zh) 2019-12-26 2019-12-26 一种基于异常流量检测的网络安全态势感知方法及装置

Publications (2)

Publication Number Publication Date
CN110769007A CN110769007A (zh) 2020-02-07
CN110769007B true CN110769007B (zh) 2020-11-24

Family

ID=69341643

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911361567.0A Active CN110769007B (zh) 2019-12-26 2019-12-26 一种基于异常流量检测的网络安全态势感知方法及装置

Country Status (1)

Country Link
CN (1) CN110769007B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111695823B (zh) * 2020-06-16 2022-07-01 清华大学 一种基于工控网络流量的异常评估方法与系统
CN111935144B (zh) * 2020-08-10 2021-05-25 武汉思普崚技术有限公司 一种流量安全分析的方法及系统
CN115333915B (zh) * 2022-06-01 2023-12-05 中电莱斯信息系统有限公司 一种面向异构主机的网络管控系统
CN114844722B (zh) * 2022-06-08 2023-03-24 郑州龙名网络科技有限公司 基于域名的网络安全检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1595193A2 (en) * 2001-08-14 2005-11-16 Riverhead Networks Inc. Detecting and protecting against worm traffic on a network
CN105208037A (zh) * 2015-10-10 2015-12-30 中国人民解放军信息工程大学 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN106060043A (zh) * 2016-05-31 2016-10-26 北京邮电大学 一种异常流量的检测方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624696B (zh) * 2011-12-27 2014-11-05 中国航天科工集团第二研究院七〇六所 一种网络安全态势评估方法
CN103248630A (zh) * 2013-05-20 2013-08-14 上海交通大学 基于数据挖掘的网络安全态势分析方法
CN105407103B (zh) * 2015-12-19 2018-06-29 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN107204876B (zh) * 2017-05-22 2020-09-29 成都网络空间安全技术有限公司 一种网络安全风险评估方法
CN109766695A (zh) * 2018-12-14 2019-05-17 杭州迪普科技股份有限公司 一种基于融合决策的网络安全态势感知方法和系统
CN110213108A (zh) * 2019-06-11 2019-09-06 四川久远国基科技有限公司 一种网络安全态势感知预警方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1595193A2 (en) * 2001-08-14 2005-11-16 Riverhead Networks Inc. Detecting and protecting against worm traffic on a network
CN105208037A (zh) * 2015-10-10 2015-12-30 中国人民解放军信息工程大学 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN106060043A (zh) * 2016-05-31 2016-10-26 北京邮电大学 一种异常流量的检测方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《基于聚类与决策树的入侵检测系统的研究与实现》;王俭;《中国优秀硕士学位论文全文数据库》;20081231;第4章 *
《网络安全态势感知与趋势分析系统的研究与实现》;骆德文;《中国优秀硕士学位论文全文数据库》;20080531;第2,4,5章 *

Also Published As

Publication number Publication date
CN110769007A (zh) 2020-02-07

Similar Documents

Publication Publication Date Title
CN110769007B (zh) 一种基于异常流量检测的网络安全态势感知方法及装置
US11700269B2 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
US9094288B1 (en) Automated discovery, attribution, analysis, and risk assessment of security threats
Li Using genetic algorithm for network intrusion detection
US8418249B1 (en) Class discovery for automated discovery, attribution, analysis, and risk assessment of security threats
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US20170034195A1 (en) Apparatus and method for detecting abnormal connection behavior based on analysis of network data
Abdullah et al. Performance evaluation of a genetic algorithm based approach to network intrusion detection system
US11750628B2 (en) Profiling network entities and behavior
CN110224970B (zh) 一种工业控制系统的安全监视方法和装置
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
KR100656351B1 (ko) 네트워크의 취약성 평가 기반의 위험 관리 분석 방법 및 그장치
Mangrulkar et al. Network attacks and their detection mechanisms: A review
Vural et al. Mobile botnet detection using network forensics
Sawaya et al. Detection of attackers in services using anomalous host behavior based on traffic flow statistics
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP2007074339A (ja) 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
CN108965350B (zh) 一种邮件审计方法、装置和计算机可读存储介质
Leghris et al. Improved security intrusion detection using intelligent techniques
KR100656340B1 (ko) 비정상 트래픽 정보 분석 장치 및 그 방법
Feng et al. A behavior-based online engine for detecting distributed cyber-attacks
Gore et al. Improvised Ensemble Model for Fast Prediction of DoS/DDoS Attacks in Various Networks
Mahmoud et al. A hybrid snort-negative selection network intrusion detection technique
Chakir et al. A real-time risk assessment model for intrusion detection systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 100032 room 8018, 8 / F, building 7, Guangyi street, Xicheng District, Beijing

Patentee after: State Grid Digital Technology Holdings Co.,Ltd.

Address before: 100053 8th floor, Xianglong business building, 311 guanganmennei street, Xicheng District, Beijing

Patentee before: STATE GRID ELECTRONIC COMMERCE Co.,Ltd.