CN111343206B - 一种针对数据流攻击的主动防御方法及装置 - Google Patents
一种针对数据流攻击的主动防御方法及装置 Download PDFInfo
- Publication number
- CN111343206B CN111343206B CN202010422590.2A CN202010422590A CN111343206B CN 111343206 B CN111343206 B CN 111343206B CN 202010422590 A CN202010422590 A CN 202010422590A CN 111343206 B CN111343206 B CN 111343206B
- Authority
- CN
- China
- Prior art keywords
- curve
- determining
- flow
- similarity
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种针对数据流攻击的主动防御方法及装置。将获取到的数据流以及数据流对应的网络协议编码的编码特征值对应存入预设的数据流列表中。根据数据流列表的每个列表区域中的数据流的流量和网络协议对应的协议编码的编码特征值确定数据流在预设坐标平面中的流量曲线。确定预设特征与提取到的列表区域中的流量曲线的曲线特征的相似度。能够在根据相似度确定曲线特征对应的计算机设备存在数据流攻击行为时,在计算机设备发动数据流攻击行为之前主动切断计算机设备与目标网络的通信,实现对数据流攻击的主动防御。
Description
技术领域
本发明涉及大数据数据流检测技术领域,具体而言,涉及一种针对数据流攻击的主动防御方法及装置。
背景技术
随着大数据和通信网络的发展,计算机设备面临着多种多样的网络攻击。网络攻击(Cyber Attacks,CA)是指针对计算机设备的信息系统、网络系统或基础设施系统的进攻动作。网络攻击会使得计算机设备暴露在不安全的使用环境下,对计算机设备的正常运行以及计算机设备内存储的重要数据信息而言是相当不利的。数据流攻击作为网络攻击中的一种攻击类型,会极大地影响计算机设备所在网络的网速。一般来说,在网速出现异常性和非常规性延迟时会启动针对数据流攻击的防御手段,但这种方式即便能够防御数据流攻击,仍然无法挽回之前出现的网速延迟带来的损失。
发明内容
为了改善上述问题,本发明提供了一种针对数据流攻击的主动防御方法及装置。
本发明实施例的第一方面,提供了一种针对数据流攻击的主动防御方法,包括:
周期性地获取目标网络中的每个计算机设备所发送的数据流;其中,所述目标网络中包括多个相互通信的计算机设备;
确定获取到的每个计算机设备的每组数据流的网络协议对应的协议编码的编码特征值,将每个计算机设备的每组数据流以及该数据流对应的网络协议对应的协议编码的编码特征值存入预设的数据流列表中;
确定所述数据流列表中每个列表区域中的每个数据流的数据流量,按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流量在预设坐标平面中的流量曲线;其中,所述预设坐标平面包括用于表征网络协议对应的协议编码的编码特征值的先后顺序的横轴和用于表征数据流量的大小的纵轴;
提取每个列表区域对应的流量曲线的曲线特征,确定每个曲线特征与预设特征的相似度;所述预设特征为不存在数据流攻击行为的数据流对应的流量曲线的曲线特征;
根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为;
在所述曲线特征对应的计算机设备存在数据流攻击行为时,切断所述计算机设备与所述目标网络中的其他计算机设备之间的通信。
优选地,根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为的步骤,包括:
确定所述目标网络在之前设定时段内存在所述数据流攻击行为的计算机设备的累计数量;
确定所述累计数量与所述目标网络在所述设定时段内的所有计算机设备的总数的比值;
根据所述比值和所述设定时段对应的时长值确定用于对预设的基准区间进行调整的加权系数;其中,所述基准区间用于确定相似度值对应的计算机设备是否存在数据流攻击行为;
根据所述加权系数对所述基准区间进行调整,得到目标区间;
根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为。
优选地,根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为的步骤,进一步包括:
判断所述相似度是否落入所述目标区间内;
若所述相似度未落入所述目标区间内,则确定所述相似度对应的计算机设备存在所述数据流攻击行为;
若所述相似度落入所述目标区间内,则确定所述相似度对应的计算机设备不存在所述数据流攻击行为。
优选地,按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流量在预设坐标平面中的流量曲线的步骤,具体包括:
将每个列表区域中的每个数据流量的网络协议对应的协议编码的编码特征值确定为横坐标并将该数据流量对应的流量值确定为与所述横坐标匹配的纵坐标;
确定根据所述横坐标和所述纵坐标在所述预设坐标平面中确定每个列表区域对应的多个映射坐标点;其中,每个映射坐标点表征一个数据流量的网络协议对应的协议编码的编码特征值和流量值;
对每个列表区域对应的多个映射坐标点进行拟合得到拟合曲线;对所述拟合曲线进行平滑处理得到流量曲线。
优选地,提取每个列表区域对应的流量曲线的曲线特征的步骤,包括:
计算得到每个列表区域对应的流量曲线的斜率变化、每个列表区域对应的映射坐标点的纵坐标中每相邻两个纵坐标之间的第一差值、每个列表区域对应的映射坐标点的横坐标中每相邻两个横坐标之间的第二差值;
基于所述斜率变化、所述第一差值、所述第二差值确定所述流量曲线的特征维度;
从每个列表区域对应的流量曲线中提取与所述特征维度对应的特征值,并将提取到的特征值进行整合得到所述流量曲线对应的曲线特征。
优选地,确定每个曲线特征与预设特征的相似度的步骤,进一步包括:
确定每个曲线特征的第一特征向量与所述预设特征的第二特征向量之间的余弦距离;
根据所述余弦距离确定所述曲线特征与所述预设特征的相似度。
本发明实施例的第二方面,提供了一种针对数据流攻击的主动防御装置,包括:
定时获取模块,用于周期性地获取目标网络中的每个计算机设备所发送的数据流;其中,所述目标网络中包括多个相互通信的计算机设备;
数据存入模块,用于确定获取到的每个计算机设备的每组数据流的网络协议对应的协议编码的编码特征值,将每个计算机设备的每组数据流以及该数据流对应的网络协议对应的协议编码的编码特征值存入预设的数据流列表中;
流量确定模块,用于确定所述数据流列表中每个列表区域中的每个数据流的流量,按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流量在预设坐标平面中的流量曲线;其中,所述预设坐标平面包括用于表征网络协议对应的协议编码的编码特征值的先后顺序的横轴和用于表征数据流量的大小的纵轴;
特征提取模块,用于提取每个列表区域对应的流量曲线的曲线特征,确定每个曲线特征与预设特征的相似度;所述预设特征为不存在数据流攻击行为的数据流对应的流量曲线的曲线特征;
攻击检测模块,用于根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为;
主动防御模块,用于在所述曲线特征对应的计算机设备存在数据流攻击行为时,切断所述计算机设备与所述目标网络中的其他计算机设备之间的通信。
优选地,所述攻击检测模块,具体用于:
确定所述目标网络在之前设定时段内存在所述数据流攻击行为的计算机设备的累计数量;
确定所述累计数量与所述目标网络在所述设定时段内的所有计算机设备的总数的比值;
根据所述比值和所述设定时段对应的时长值确定用于对预设的基准区间进行调整的加权系数;其中,所述基准区间用于确定相似度值对应的计算机设备是否存在数据流攻击行为;
根据所述加权系数对所述基准区间进行调整,得到目标区间;
根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为;
所述攻击检测模块,进一步用于:
判断所述相似度是否落入所述目标区间内;
若所述相似度未落入所述目标区间内,则确定所述相似度对应的计算机设备存在所述数据流攻击行为;
若所述相似度落入所述目标区间内,则确定所述相似度对应的计算机设备不存在所述数据流攻击行为。
优选地,所述流量确定模块,具体用于:
将每个列表区域中的每个数据流量的网络协议对应的协议编码的编码特征值确定为横坐标并将该数据流量对应的流量值确定为与所述横坐标匹配的纵坐标;
确定根据所述横坐标和所述纵坐标在所述预设坐标平面中确定每个列表区域对应的多个映射坐标点;其中,每个映射坐标点表征一个数据流量的网络协议对应的协议编码的编码特征值和流量值;
对每个列表区域对应的多个映射坐标点进行拟合得到拟合曲线;对所述拟合曲线进行平滑处理得到流量曲线。
优选地,所述特征提取模块,用于:
计算得到每个列表区域对应的流量曲线的斜率变化、每个列表区域对应的映射坐标点的纵坐标中每相邻两个纵坐标之间的第一差值、每个列表区域对应的映射坐标点的横坐标中每相邻两个横坐标之间的第二差值;
基于所述斜率变化、所述第一差值、所述第二差值确定所述流量曲线的特征维度;
从每个列表区域对应的流量曲线中提取与所述特征维度对应的特征值,并将提取到的特征值进行整合得到所述流量曲线对应的曲线特征;
所述特征提取模块,进一步用于:
确定每个曲线特征的第一特征向量与所述预设特征的第二特征向量之间的余弦距离;
根据所述余弦距离确定所述曲线特征与所述预设特征的相似度。
有益效果
首先,将获取到的数据流以及数据流的网络协议对应的协议编码的编码特征值对应存入预设的数据流列表中。其次,根据数据流列表的每个列表区域中的数据流的流量和网络协议对应的协议编码的编码特征值确定数据流量在预设坐标平面中的流量曲线。然后,确定预设特征与提取到的列表区域中的流量曲线的曲线特征的相似度。从而在根据相似度确定曲线特征对应的计算机设备存在数据流攻击行为时,在计算机设备发动数据流攻击行为之前主动切断计算机设备与目标网络的通信,从而实现对数据流攻击的主动防御。
可以理解,通过上述方法,能够在计算机设备发送数据流攻击行为之前进行主动防御,从而避免目标网络受到数据流攻击造成的网速延迟。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例所提供的一种针对数据流攻击的主动防御方法的流程图。
图2为本发明实施例所提供的一种针对数据流攻击的主动防御装置的流程图。
具体实施方式
下面将参照附图更详细地描述本发明公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
请参阅图1,为本发明实施例所提供的一种针对数据流攻击的主动防御方法的流程图,所述方法具体可以包括以下步骤所描述的内容。
步骤S1,周期性地获取目标网络中的每个计算机设备所发送的数据流。
在本申请实施例中,所述目标网络中包括多个相互通信的计算机设备。周期性地获取数据流可以理解为按照预设时间间隔获取目标网络中的每个计算机设备所发送的数据流。其中,预设时间间隔可以根据目标网络中计算机设备的数量来设置。例如,目标网络中计算机设备的数量越多,预设时间间隔越小,目标网络中计算机设备的数量越少,预设时间间隔越大。
步骤S2,确定获取到的每个计算机设备的每组数据流的网络协议对应的协议编码的编码特征值,将每个计算机设备的每组数据流以及该数据流对应的网络协议对应的协议编码的编码特征值存入预设的数据流列表中。
在本申请实施例中,所述网络协议对应的协议编码的编码特征值是所述计算机设备将所述数据流进行输出的时刻,所述数据流列表中包括多个列表区域,每个列表区域用于存储一个计算机设备对应的数据流和网络协议对应的协议编码的编码特征值,所述列表区域与所述计算机设备一一对应。
步骤S3,确定所述数据流列表中每个列表区域中的每个数据流的流量,按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流量在预设坐标平面中的流量曲线。
在本申请实施例中,所述预设坐标平面包括用于表征网络协议对应的协议编码的编码特征值的先后顺序的横轴和用于表征数据流量的大小的纵轴。
步骤S4,提取每个列表区域对应的流量曲线的曲线特征,确定每个曲线特征与预设特征的相似度。
在本实施例中,所述预设特征为不存在数据流攻击行为的数据流对应的流量曲线的曲线特征。
步骤S5,根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为。
步骤S6,在所述曲线特征对应的计算机设备存在数据流攻击行为时,切断所述计算机设备与所述目标网络中的其他计算机设备之间的通信。
例如,若存在数据流攻击行为的计算机设备为M1,其他计算机设备为M2~Mn,n为正整数。则在本实施例中,切断计算机设备与目标网络中的其他计算机设备之间的通信,具体可以通过以下两种方式实现。
第一种方式,分别向计算机设备M2~Mn发送用于拦截或者拒绝接收计算机设备M1的数据流,使得计算机设备M1在后续向计算机设备M2~Mn发送数据流时,计算机设备M2~Mn主动地对计算机设备M1的数据流进行主动防御。
第二种方式,为计算机设备M1设置屏蔽网络,使得计算机设备M1无法对外发送数据流。
在执行上述步骤S1-步骤S5所描述的内容时,首先,将获取到的数据流以及数据流的网络协议对应的协议编码的编码特征值对应存入预设的数据流列表中。其次,根据数据流列表的每个列表区域中的数据流的流量和网络协议对应的协议编码的编码特征值确定数据流量在预设坐标平面中的流量曲线。然后,确定预设特征与提取到的列表区域中的流量曲线的曲线特征的相似度。从而在根据相似度确定曲线特征对应的计算机设备存在数据流攻击行为时,在计算机设备发动数据流攻击行为之前主动切断计算机设备与目标网络的通信,从而实现对数据流攻击的主动防御。
可以理解,通过上述方法,能够在计算机设备发送数据流攻击行为之前进行主动防御,从而避免目标网络受到数据流攻击造成的网速延迟。
在一种可选的实施方式中,在步骤S5中,根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为的步骤,具体包括以下子步骤所描述的内容。
步骤S51,确定所述目标网络在之前设定时段内存在所述数据流攻击行为的计算机设备的累计数量。
在本申请实施例中,设定时段可以是以当前时刻为终止时刻,当前时刻之前的某一时刻为起始时刻之间的时段。例如,当前时刻为T1,当前时刻之前的某一时刻为T2,则设定时段可以是T2~T1对应的时段。可以理解,在实际应用中,设定时段可以根据实际情况进行调整,再次不作限定。
步骤S52,确定所述累计数量与所述目标网络在所述设定时段内的所有计算机设备的总数的比值。
步骤S53,根据所述比值和所述设定时段对应的时长值确定用于对预设的基准区间进行调整的加权系数。
在本实施例中,所述基准区间用于确定相似度值对应的计算机设备是否存在数据流攻击行为。
步骤S54,根据所述加权系数对所述基准区间进行调整,得到目标区间。
例如,以基准区间为[a,b],加权系数为x进行说明。其中,根据加权系数x完成调整的目标区间可以为[c,d]。进一步地,c=a-a*x,d=b-b*x。
步骤S55,根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为。
可以理解,根据步骤S51-步骤S52所描述的方法,能够将目标网络在设定时段内存在数据流攻击行为的计算机设备的累计数量考虑在内,从而确定出用于对预设的基准区间进行加权的加权系数。然后根据加权系数对基准区间进行调整从而得到目标区间。如此,可以根据目标区间准确地确定相似度对应的计算机设备是否存在数据流攻击行为。这样,能够将目标网络的数据流攻击行为的时效性考虑在内,进而确保确定数据流攻击行为的可靠性。
在另一种可替换的实施方式中,在步骤S55中,根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为的步骤,进一步可以包括以下子步骤:判断所述相似度是否落入所述目标区间内;若所述相似度未落入所述目标区间内,则确定所述相似度对应的计算机设备存在所述数据流攻击行为;若所述相似度落入所述目标区间内,则确定所述相似度对应的计算机设备不存在所述数据流攻击行为。
在本实施例中,若相似度位于目标区间的两个区间端点上,也可以认为相似度落入目标区间中。
在一个可能的示例中,步骤S3所描述的按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流量在预设坐标平面中的流量曲线的步骤,具体包括以下步骤所描述的内容。
步骤S31,将每个列表区域中的每个数据流量的网络协议对应的协议编码的编码特征值确定为横坐标并将该数据流量对应的流量值确定为与所述横坐标匹配的纵坐标。
步骤S32,确定根据所述横坐标和所述纵坐标在所述预设坐标平面中确定每个列表区域对应的多个映射坐标点。
在本申请实施例中,每个映射坐标点表征一个数据流量的网络协议对应的协议编码的编码特征值和流量值。
步骤S33,对每个列表区域对应的多个映射坐标点进行拟合得到拟合曲线;对所述拟合曲线进行平滑处理得到流量曲线。
在具体实施时,通过步骤S31-步骤S33所描述的内容,能够对每个列表区域在预设坐标平面中的多个映射坐标点进行拟合和平滑处理,从而得到便于进行特征提取的流量曲线。
可选地,在步骤S4中,提取每个列表区域对应的流量曲线的曲线特征的步骤,可以通过以下子步骤所描述的方法实现。
步骤S41,计算得到每个列表区域对应的流量曲线的斜率变化、每个列表区域对应的映射坐标点的纵坐标中每相邻两个纵坐标之间的第一差值、每个列表区域对应的映射坐标点的横坐标中每相邻两个横坐标之间的第二差值。
步骤S42,基于所述斜率变化、所述第一差值、所述第二差值确定所述流量曲线的特征维度。
步骤S43,从每个列表区域对应的流量曲线中提取与所述特征维度对应的特征值,并将提取到的特征值进行整合得到所述流量曲线对应的曲线特征。
在具体实施时,基于步骤S41-步骤S43所描述的内容,能够从流量曲线的斜率变化和横纵坐标之差的角度对流量曲线进行特征分析,从而完整、全面地提取流量曲线对应的曲线特征。
进一步地,确定每个曲线特征与预设特征的相似度的步骤,进一步包括:确定每个曲线特征的第一特征向量与所述预设特征的第二特征向量之间的余弦距离;根据所述余弦距离确定所述曲线特征与所述预设特征的相似度。
在上述基础上,请结合参阅图2,还提供了一种针对数据流攻击的主动防御装置400,包括:定时获取模块401、数据存入模块402、流量确定模块403、特征提取模块404、攻击检测模块405和主动防御模块406。
所述定时获取模块401,用于周期性地获取目标网络中的每个计算机设备所发送的数据流;其中,所述目标网络中包括多个相互通信的计算机设备。
所述数据存入模块402,用于确定获取到的每个计算机设备的每组数据流的网络协议对应的协议编码的编码特征值,将每个计算机设备的每组数据流以及该数据流对应的网络协议对应的协议编码的编码特征值存入预设的数据流列表中。
所述流量确定模块403,用于确定所述数据流列表中每个列表区域中的每个数据流的流量,按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流量在预设坐标平面中的流量曲线;其中,所述预设坐标平面包括用于表征网络协议对应的协议编码的编码特征值的先后顺序的横轴和用于表征数据流量的大小的纵轴。
所述特征提取模块404,用于提取每个列表区域对应的流量曲线的曲线特征,确定每个曲线特征与预设特征的相似度;所述预设特征为不存在数据流攻击行为的数据流对应的流量曲线的曲线特征。
所述攻击检测模块405,用于根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为。
所述主动防御模块406,用于在所述曲线特征对应的计算机设备存在数据流攻击行为时,切断所述计算机设备与所述目标网络中的其他计算机设备之间的通信。
在具体实施时,关于定时获取模块401、数据存入模块402、流量确定模块403、特征提取模块404、攻击检测模块405和主动防御模块406的说明请参阅对图1中步骤S1-步骤S6的说明,在此不作更多说明。
在一种可替换的实施方式中,所述攻击检测模块405,具体用于:
确定所述目标网络在之前设定时段内存在所述数据流攻击行为的计算机设备的累计数量;
确定所述累计数量与所述目标网络在所述设定时段内的所有计算机设备的总数的比值;
根据所述比值和所述设定时段对应的时长值确定用于对预设的基准区间进行调整的加权系数;其中,所述基准区间用于确定相似度值对应的计算机设备是否存在数据流攻击行为;
根据所述加权系数对所述基准区间进行调整,得到目标区间;
根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为;
所述攻击检测模块405,进一步用于:
判断所述相似度是否落入所述目标区间内;
若所述相似度未落入所述目标区间内,则确定所述相似度对应的计算机设备存在所述数据流攻击行为;
若所述相似度落入所述目标区间内,则确定所述相似度对应的计算机设备不存在所述数据流攻击行为。
在一种可替换的实施方式中,所述流量确定模块403,具体用于:
将每个列表区域中的每个数据流量的网络协议对应的协议编码的编码特征值确定为横坐标并将该数据流量对应的流量值确定为与所述横坐标匹配的纵坐标;
确定根据所述横坐标和所述纵坐标在所述预设坐标平面中确定每个列表区域对应的多个映射坐标点;其中,每个映射坐标点表征一个数据流量的网络协议对应的协议编码的编码特征值和流量值;
对每个列表区域对应的多个映射坐标点进行拟合得到拟合曲线;对所述拟合曲线进行平滑处理得到流量曲线。
在一种可替换的实施方式中,所述特征提取模块404,用于:
计算得到每个列表区域对应的流量曲线的斜率变化、每个列表区域对应的映射坐标点的纵坐标中每相邻两个纵坐标之间的第一差值、每个列表区域对应的映射坐标点的横坐标中每相邻两个横坐标之间的第二差值;
基于所述斜率变化、所述第一差值、所述第二差值确定所述流量曲线的特征维度;
从每个列表区域对应的流量曲线中提取与所述特征维度对应的特征值,并将提取到的特征值进行整合得到所述流量曲线对应的曲线特征;
所述特征提取模块404,进一步用于:
确定每个曲线特征的第一特征向量与所述预设特征的第二特征向量之间的余弦距离;
根据所述余弦距离确定所述曲线特征与所述预设特征的相似度。
综上,在应用上述的方法时,首先,将获取到的数据流以及数据流的网络协议对应的协议编码的编码特征值对应存入预设的数据流列表中。其次,根据数据流列表的每个列表区域中的数据流的流量和网络协议对应的协议编码的编码特征值确定数据流量在预设坐标平面中的流量曲线。然后,确定预设特征与提取到的列表区域中的流量曲线的曲线特征的相似度。从而在根据相似度确定曲线特征对应的计算机设备存在数据流攻击行为时,在计算机设备发动数据流攻击行为之前主动切断计算机设备与目标网络的通信,从而实现对数据流攻击的主动防御。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种针对数据流攻击的主动防御方法,其特征在于,包括:
周期性地获取目标网络中的每个计算机设备所发送的数据流;其中,所述目标网络中包括多个相互通信的计算机设备;
确定获取到的每个计算机设备的每组数据流的网络协议对应的协议编码的编码特征值,将每个计算机设备的每组数据流以及该数据流对应的网络协议对应的协议编码的编码特征值存入预设的数据流列表中;
确定所述数据流列表中每个列表区域中的每个数据流的流量,按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流在预设坐标平面中的流量曲线;其中,所述预设坐标平面包括用于表征网络协议对应的协议编码的编码特征值的先后顺序的横轴和用于表征流量的大小的纵轴;
提取每个列表区域对应的流量曲线的曲线特征,确定每个曲线特征与预设特征的相似度;所述预设特征为不存在数据流攻击行为的数据流对应的流量曲线的曲线特征;
根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为;
在所述曲线特征对应的计算机设备存在数据流攻击行为时,切断所述计算机设备与所述目标网络中的其他计算机设备之间的通信;
其中,根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为的步骤,包括:
确定所述目标网络在之前设定时段内存在所述数据流攻击行为的计算机设备的累计数量;
确定所述累计数量与所述目标网络在所述设定时段内的所有计算机设备的总数的比值;
根据所述比值和所述设定时段对应的时长值确定用于对预设的基准区间进行调整的加权系数;其中,所述基准区间用于确定相似度值对应的计算机设备是否存在数据流攻击行为;
根据所述加权系数对所述基准区间进行调整,得到目标区间;
根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为。
2.如权利要求1所述的方法,其特征在于,根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为的步骤,进一步包括:
判断所述相似度是否落入所述目标区间内;
若所述相似度未落入所述目标区间内,则确定所述相似度对应的计算机设备存在所述数据流攻击行为;
若所述相似度落入所述目标区间内,则确定所述相似度对应的计算机设备不存在所述数据流攻击行为。
3.如权利要求1-2任一项所述的方法,其特征在于,按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流量在预设坐标平面中的流量曲线的步骤,具体包括:
将每个列表区域中的每个数据流量的网络协议对应的协议编码的编码特征值确定为横坐标并将该数据流量对应的流量值确定为与所述横坐标匹配的纵坐标;
确定根据所述横坐标和所述纵坐标在所述预设坐标平面中确定每个列表区域对应的多个映射坐标点;其中,每个映射坐标点表征一个数据流量的网络协议对应的协议编码的编码特征值和流量值;
对每个列表区域对应的多个映射坐标点进行拟合得到拟合曲线;对所述拟合曲线进行平滑处理得到流量曲线。
4.如权利要求1所述的方法,其特征在于,提取每个列表区域对应的流量曲线的曲线特征的步骤,包括:
计算得到每个列表区域对应的流量曲线的斜率变化、每个列表区域对应的映射坐标点的纵坐标中每相邻两个纵坐标之间的第一差值、每个列表区域对应的映射坐标点的横坐标中每相邻两个横坐标之间的第二差值;
基于所述斜率变化、所述第一差值、所述第二差值确定所述流量曲线的特征维度;
从每个列表区域对应的流量曲线中提取与所述特征维度对应的特征值,并将提取到的特征值进行整合得到所述流量曲线对应的曲线特征。
5.如权利要求4所述的方法,其特征在于,确定每个曲线特征与预设特征的相似度的步骤,进一步包括:
确定每个曲线特征的第一特征向量与所述预设特征的第二特征向量之间的余弦距离;
根据所述余弦距离确定所述曲线特征与所述预设特征的相似度。
6.一种针对数据流攻击的主动防御装置,其特征在于,包括:
定时获取模块,用于周期性地获取目标网络中的每个计算机设备所发送的数据流;其中,所述目标网络中包括多个相互通信的计算机设备;
数据存入模块,用于确定获取到的每个计算机设备的每组数据流的网络协议对应的协议编码的编码特征值,将每个计算机设备的每组数据流以及该数据流对应的网络协议对应的协议编码的编码特征值存入预设的数据流列表中;
流量确定模块,用于确定所述数据流列表中每个列表区域中的每个数据流的数据流量,按照网络协议对应的协议编码的编码特征值的先后顺序确定每个列表区域中的数据流量在预设坐标平面中的流量曲线;其中,所述预设坐标平面包括用于表征网络协议对应的协议编码的编码特征值的先后顺序的横轴和用于表征数据流量的大小的纵轴;
特征提取模块,用于提取每个列表区域对应的流量曲线的曲线特征,确定每个曲线特征与预设特征的相似度;所述预设特征为不存在数据流攻击行为的数据流对应的流量曲线的曲线特征;
攻击检测模块,用于根据所述相似度确定所述曲线特征对应的计算机设备是否存在数据流攻击行为;
主动防御模块,用于在所述曲线特征对应的计算机设备存在数据流攻击行为时,切断所述计算机设备与所述目标网络中的其他计算机设备之间的通信;
其中,所述攻击检测模块,具体用于:
确定所述目标网络在之前设定时段内存在所述数据流攻击行为的计算机设备的累计数量;
确定所述累计数量与所述目标网络在所述设定时段内的所有计算机设备的总数的比值;
根据所述比值和所述设定时段对应的时长值确定用于对预设的基准区间进行调整的加权系数;其中,所述基准区间用于确定相似度值对应的计算机设备是否存在数据流攻击行为;
根据所述加权系数对所述基准区间进行调整,得到目标区间;
根据所述目标区间确定所述相似度对应的计算机设备是否存在数据流攻击行为;
所述攻击检测模块,进一步用于:
判断所述相似度是否落入所述目标区间内;
若所述相似度未落入所述目标区间内,则确定所述相似度对应的计算机设备存在所述数据流攻击行为;
若所述相似度落入所述目标区间内,则确定所述相似度对应的计算机设备不存在所述数据流攻击行为。
7.如权利要求6所述的装置,其特征在于,所述流量确定模块,具体用于:
将每个列表区域中的每个数据流量的网络协议对应的协议编码的编码特征值确定为横坐标并将该数据流量对应的流量值确定为与所述横坐标匹配的纵坐标;
确定根据所述横坐标和所述纵坐标在所述预设坐标平面中确定每个列表区域对应的多个映射坐标点;其中,每个映射坐标点表征一个数据流量的网络协议对应的协议编码的编码特征值和流量值;
对每个列表区域对应的多个映射坐标点进行拟合得到拟合曲线;对所述拟合曲线进行平滑处理得到流量曲线。
8.如权利要求6所述的装置,其特征在于,所述特征提取模块,用于:
计算得到每个列表区域对应的流量曲线的斜率变化、每个列表区域对应的映射坐标点的纵坐标中每相邻两个纵坐标之间的第一差值、每个列表区域对应的映射坐标点的横坐标中每相邻两个横坐标之间的第二差值;
基于所述斜率变化、所述第一差值、所述第二差值确定所述流量曲线的特征维度;
从每个列表区域对应的流量曲线中提取与所述特征维度对应的特征值,并将提取到的特征值进行整合得到所述流量曲线对应的曲线特征;
所述特征提取模块,进一步用于:
确定每个曲线特征的第一特征向量与所述预设特征的第二特征向量之间的余弦距离;
根据所述余弦距离确定所述曲线特征与所述预设特征的相似度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010422590.2A CN111343206B (zh) | 2020-05-19 | 2020-05-19 | 一种针对数据流攻击的主动防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010422590.2A CN111343206B (zh) | 2020-05-19 | 2020-05-19 | 一种针对数据流攻击的主动防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111343206A CN111343206A (zh) | 2020-06-26 |
| CN111343206B true CN111343206B (zh) | 2020-08-21 |
Family
ID=71188103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010422590.2A Active CN111343206B (zh) | 2020-05-19 | 2020-05-19 | 一种针对数据流攻击的主动防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111343206B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112788047A (zh) * | 2020-07-14 | 2021-05-11 | 袁媛 | 基于工业互联网的网络流量异常检测方法及大数据平台 |
| CN112866260A (zh) * | 2020-08-27 | 2021-05-28 | 黄天红 | 结合云计算和用户行为分析的流量检测方法及大数据中心 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1764126A (zh) * | 2005-11-11 | 2006-04-26 | 上海交通大学 | 突发性异常网络流量的检测与监控方法 |
| CN102821081A (zh) * | 2011-06-10 | 2012-12-12 | 中国电信股份有限公司 | 监测小流量ddos攻击的方法和系统 |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
| CN110247893A (zh) * | 2019-05-10 | 2019-09-17 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9774614B2 (en) * | 2014-06-24 | 2017-09-26 | Qualcomm Incorporated | Methods and systems for side channel analysis detection and protection |
| CN107294953B (zh) * | 2017-05-18 | 2020-04-28 | 深信服科技股份有限公司 | 攻击操作检测方法及装置 |
| CN107231377B (zh) * | 2017-07-21 | 2020-04-24 | 河南工程学院 | 基于突变平衡态理论的BGP-LDoS攻击检测方法 |
| CN107360182B (zh) * | 2017-08-04 | 2020-05-01 | 南京翼辉信息技术有限公司 | 一种用于嵌入式的主动网络防御系统及其防御方法 |
-
2020
- 2020-05-19 CN CN202010422590.2A patent/CN111343206B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1764126A (zh) * | 2005-11-11 | 2006-04-26 | 上海交通大学 | 突发性异常网络流量的检测与监控方法 |
| CN102821081A (zh) * | 2011-06-10 | 2012-12-12 | 中国电信股份有限公司 | 监测小流量ddos攻击的方法和系统 |
| CN104348811A (zh) * | 2013-08-05 | 2015-02-11 | 深圳市腾讯计算机系统有限公司 | 分布式拒绝服务攻击检测方法及装置 |
| CN106330964A (zh) * | 2016-10-14 | 2017-01-11 | 成都信息工程大学 | 一种网络入侵探测与主动防御联动控制装置 |
| CN110247893A (zh) * | 2019-05-10 | 2019-09-17 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于曲线相似度进行业务流量监测的方法;葛良等;《中兴通讯技术》;20140704;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111343206A (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200322237A1 (en) | Traffic detection method and traffic detection device | |
| US8677488B2 (en) | Distributed denial of service attack detection apparatus and method, and distributed denial of service attack detection and prevention apparatus for reducing false-positive | |
| CN112019574B (zh) | 异常网络数据检测方法、装置、计算机设备和存储介质 | |
| CN111427336B (zh) | 一种工业控制系统的漏洞扫描方法、装置及设备 | |
| US8301802B2 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US20150131445A1 (en) | Similarity matching method and related device and communication system | |
| CN111343206B (zh) | 一种针对数据流攻击的主动防御方法及装置 | |
| CN109617868B (zh) | 一种ddos攻击的检测方法、装置及检测服务器 | |
| US20180278632A1 (en) | Method and device for detecting network attack | |
| CN114760152B (zh) | 一种云数据中心虚拟化节点网络安全预警方法 | |
| CN106790175B (zh) | 一种蠕虫事件的检测方法及装置 | |
| CN102164182A (zh) | 一种网络协议识别设备和方法 | |
| CN113364698A (zh) | 带宽估计方法、系统、电子设备与存储介质 | |
| CN103338131A (zh) | 检测日志传输丢失率的方法和设备 | |
| CN116346434A (zh) | 电力系统网络攻击行为监测准确度提升方法及系统 | |
| CN108259576B (zh) | 一种软硬件实时信息传输系统和方法 | |
| CN116318785A (zh) | 一种伪造攻击流量的识别方法及系统 | |
| CN111432275B (zh) | 评估视频质量的方法和设备 | |
| CN115277193A (zh) | 一种信标调制方法、装置及电子设备 | |
| CN112367311B (zh) | DDoS攻击检测方法、装置、设备及存储介质 | |
| KR102182675B1 (ko) | 기계학습을 이용한 무선 단말 식별 방법 및 시스템 | |
| CA2980763A1 (en) | System and method for locating events and/or devices on a network | |
| US20200100113A1 (en) | Method of detecting and filtering illegitimate streams in a satellite communication network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |