CN111669370A - 一种基于数据分析的网络攻击溯源方法及系统 - Google Patents
一种基于数据分析的网络攻击溯源方法及系统 Download PDFInfo
- Publication number
- CN111669370A CN111669370A CN202010414201.1A CN202010414201A CN111669370A CN 111669370 A CN111669370 A CN 111669370A CN 202010414201 A CN202010414201 A CN 202010414201A CN 111669370 A CN111669370 A CN 111669370A
- Authority
- CN
- China
- Prior art keywords
- data
- tracing
- network
- attack
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000007405 data analysis Methods 0.000 title claims abstract description 21
- 238000004458 analytical method Methods 0.000 claims abstract description 55
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 10
- 238000005516 engineering process Methods 0.000 claims description 20
- 230000008859 change Effects 0.000 claims description 18
- 239000011159 matrix material Substances 0.000 claims description 15
- 230000007246 mechanism Effects 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 13
- 238000005070 sampling Methods 0.000 claims description 13
- 238000013528 artificial neural network Methods 0.000 claims description 10
- 238000011161 development Methods 0.000 claims description 9
- 239000000284 extract Substances 0.000 claims description 9
- 238000010606 normalization Methods 0.000 claims description 9
- 238000011176 pooling Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 5
- 238000013480 data collection Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 241000282414 Homo sapiens Species 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Computer Hardware Design (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于数据分析的网络攻击溯源方法,包括:步骤S1、将网络划分为多个区域,每个区域设置溯源平台装置;步骤S2、溯源平台装置对其区域内的各路由器的分组数据进行随机采集;步骤S3、通过预设的卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;并对所采集的数据进行分析,得到疑似攻击数据;步骤S4、对疑似攻击数据进行追踪溯源处理,并记录;如涉及其他区域,则与其他区域的溯源平台装置进行通信以得到溯源数据。本发明还公开了相应的系统。实施本发明,通过独立设置的溯源平台装置,只需搜集数据并分析,根据分析结果进行追踪溯源,无需对原网络设备的软硬件进行改造,占用网络资源较少,不会增加网络流量负担。
Description
技术领域
本发明属于网络技术领域,特别是涉及到一种基于数据分析的网络攻击溯源方法及系统。
背景技术
随着互联网的覆盖面逐渐扩大,网络技术也得到飞速发展,网络已经成为人们日常生活中不可缺少的内容,尤其是互联网在很多方面都取代传统的运作方式,提供低耗、开放、高效的网络服务,与人类的发展更加紧密结合在一起。然而,网络上的恶意行为也随之增多,基于网络的攻击行为层出不穷,尽管互联网也有防护策略以及安全机制等,但攻击者利用网络的互联性,使用伪造的IP地址,使攻击源的位置很难背确定,因此网络攻击的追踪溯源,已成为现在网络安全面临的重要问题。
现有技术中针对网络攻击的追踪溯源已经有了多种方案,但这些方案基本都存在一些不足,例如,分组标记溯源法,对网络中所有路由器都实施分组标记,虽然这样就能基本解决溯源问题,但是硬件(路由器芯片)复杂度及成本的上升,又导致分组数据长度的增加,加重了网络负担;又例如:日志记录溯源法,将报文作为日志记录,需要的时候可从日志中直接获取数据,但其对网络资源的需求量很大;另外,在网络中实施URRF技术,可以解决数据的源地址的验证问题,也是一种解决方案,但同样需要提升路由器的计算能力,而且需要全网配置,占用较大的网络资源;其他溯源的方案也都类似。因此,目前亟需一种无须占用较多网络资源的网络攻击溯源方法。
发明内容
本发明所要解决的技术问题在于,本发明提出一种基于数据分析的网络攻击溯源方法及系统,实现对网络资源的占用也比较少,不会增加网络流量负担。
为解决上述技术问题,本发明的一方面,提供一种基于数据分析的网络攻击溯源方法,其包括如下步骤:
步骤S1、将网络划分为多个区域,每个区域设置一个溯源平台装置;
步骤S2、每一区域中的溯源平台装置对所属区域内的各路由器的分组数据进行随机采集;
步骤S3、所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;对所述随机采集的数据进行分析,得到疑似攻击数据;
步骤S4、所述溯源平台装置对疑似攻击数据进行追踪溯源处理,并记录溯源数据;其中,如果涉及其他区域,则与其他区域的溯源平台装置进行通信,得到相关数据进行追踪溯源。
其中,所述步骤S2具体为:
每隔预定周期通过随机采样算法抽样选取路由器以及选取路由器中的分组数据。
其中,步骤S2中所述的分组数据采集,在所采集的分组数据中加入有代表其所属路由器的特征码。
其中,步骤S3中所述的分析模型的建立过程包括:
步骤S31、收集网络攻击案例中的攻击数据,提取数据的要素,形成多层的矩阵数据;
步骤S32、对每层数据进行归一化处理;
步骤S33、由卷积层和池化层构成的神经网络单元,对矩阵数据进行操作,提取出攻击数据的特征,建立分析模型。
其中,步骤S3中所述的分析模型的建立还包括:
步骤S34、在全连接层将攻击数据的特征与变化方向数据组合成新的特征,建立新型攻击预测模型,其中,所述变化方向数据为结合当前网络技术的热点、新技术、发展方向所转化得到的数据。
其中,所述溯源平台装置至少采用2个及以上的数据采集服务器,1个模型分析服务器以及1个追踪溯源服务器;各服务器之间为网状拓扑结构连接;数据采集服务器设有负载均衡机制;追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元。
其中,所述溯源平台装置至少采用多个服务器,每个服务器都具有数据采集单元、模型分析单元、追踪溯源单元、与其他溯源平台装置通信的通信单元,各服务器之间设有负载均衡机制。
相应地,本发明的另一方面,还提供一种基于数据分析的网络攻击溯源系统,其包括:
多个互联通信的溯源平台装置,每个溯源平台装置属于一片网络区域,各网络区域共同构成整体网络;
所述每一溯源平台装置均包括:
数据采集单元,用于所述溯源平台装置对所属区域内的各路由器的分组数据进行随机采集;
模型分析单元,用于所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;通过所述分析模型对所述数据采集单元所采集的数据进行分析,得到疑似攻击数据;
追踪溯源单元,用于所述溯源平台装置对疑似攻击数据进行追踪溯源处理,并记录溯源数据;其中,如果涉及其他区域,则与其他区域的溯源平台装置进行通信,得到相关数据进行追踪溯源。
其中,模型分析单元包括:
收集单元,用于收集网络攻击案例中的攻击数据,提取数据的要素,形成多层的矩阵数据;
归一化处理单元,用于对每层数据进行归一化处理;由卷积层和池化层构成的神经网络单元,对矩阵数据进行操作,提取出攻击数据的特征;
建立单元,用于建立分析模型;以及
转化处理单元,用于在全连接层将攻击数据的特征与变化方向数据组合成新的特征,建立新型攻击预测模型,其中,所述变化方向数据为结合当前网络技术的热点、新技术、发展方向转化得到的数据。
其中,所述数据采集单元、模型分析单元、追踪溯源单元各自为单独的服务器,各服务器之间为网状拓扑结构连接;数据采集服务器为2个以上,设有负载均衡机制;追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元;
或者:
所述数据采集单元、模型分析单元、追踪溯源单元各自为服务器中的一个单元;有多个服务器,每台都具有上述单元,各服务器之间设有负载均衡机制。
与现有技术相比,本发明具有如下的有益效果:
本发明设置独立的溯源平台装置,仅需要搜集数据进行分析,并根据分析结果进行追踪溯源,不需要对原网络设备的软硬件进行改造,对网络资源的占用也比较少,不会增加网络流量负担;
本发明采集数据时采用随机采样算法,在数据足够多的情况下完全可以收集到相关的网络攻击数据,同时节省服务器资源;
本发明通过神经网络对攻击数据的特征进行分析,能够得到比较准确的网络攻击数据的特征模型,并根据模型比较精准的判断网络攻击数据;从而进行追踪溯源;
本发明的特征模型还可结合最新的网络技术发展的热点、方向、新技术等,生成预测新型攻击的预测模型;对有可能出现的新型的网络攻击进行预判;
溯源平台装置应用了负载均衡手段,保持工作的稳定性和持久性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,根据这些附图获得其他的附图仍属于本发明的范畴。
图1是本发明提供的一种基于数据分析的网络攻击溯源方法的一个实施例的主流程示意图;
图2是图1中步骤S3的更详细的结构示意图;
图3是本发明实施例涉及的神经网络示意图。
图4是本发明提供的一种基于数据分析的网络攻击溯源装系统中溯源平台装置的一个实施例的结构示意图;
图5是本发明提供的一种基于数据分析的网络攻击溯源系统中溯源平台装置的另一个实施例的结构示意图;
图6是图4或图5中模型分析单元的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
为使本发明专利的目的、特征更明显易懂,下面结合附图对本发明专利的具体实施方式作进一步的说明。
本发明的主要设计思想是把需要进行攻击溯源的网络按照覆盖范围划分为多个区域,每个区域内都设置一个溯源平台装置。
具体地,如图1所示,示出了本发明提供的一种基于数据分析的网络攻击溯源方法的一个实施例的主流程示意图;一并结合图2和图3所示,在本实施例中,所述方法包括如下步骤:
步骤S1、将网络划分为多个区域,每个区域设置一个溯源平台装置;
步骤S2、每一区域中的溯源平台装置对所属区域内的各路由器的分组数据进行随机采集;具体地,所述步骤S2具体为:
每隔预定周期通过随机采样算法抽样选取路由器以及选取路由器中的分组数据。
且步骤S2中所述的分组数据采集,在所采集的分组数据中加入有代表其所属路由器的特征码。
步骤S3、所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;对所述随机采集的数据进行分析,得到疑似攻击数据。
其中,步骤S3中所述的分析模型的建立过程包括:
步骤S31、收集网络攻击案例中的攻击数据,提取数据的要素,形成多层的矩阵数据;溯源平台装置收集网络攻击的历史案例,提取出其中网络攻击数据的要素,将网络攻击数据形成多层的矩阵,每一层包含一种要素的数据,例如报文数据的长度、源地址的数值、目的地址的数值、使用的端口等等;
步骤S32、对每层数据进行归一化处理;对于该矩阵的每一层数据进行归一化,统一为同一种格式,这是因为例如IP地址可能含有IPV6或IPV4的不同格式;
步骤S33、由卷积层和池化层构成的神经网络单元,对矩阵数据进行操作,提取出攻击数据的特征,建立分析模型;
请结合图3所示,通过卷积神经网络的由卷积层和池化层构成的单元,对矩阵数据进行操作,提取出攻击数据的特征;在全连接层还可以与变化方向数据组合,形成新的特征,根据形成的特征建立分析模型。这里所述的变化方向数据是指人工将目前网络技术的一些新的变化特征转化为数据进行输入,例如IP地址的变化隐藏方法、端口应用的变化、报文中的新出现的特征码等等,作为新型网络攻击的一种变化方向;
建立模型后,溯源平台装置可对所属区域内的路由器的分组数据进行随机采集;所述随机采集时通过随机采样算法抽样选取路由器以及对路由器抽样选取其转发的分组数据;在不间断的抽样选取过程中,随机采样数据足够多到可以收集到蕴含网络攻击的相关数据;采集中可以在所采集的分组数据中加入代表其所属路由器的特征码,方便数据分类分析。通过模型将采集的数据进行分析,得到疑似攻击数据;
更进一步的,还可以包含步骤S34、在全连接层将攻击数据的特征与变化方向数据组合成新的特征,建立新型攻击预测模型,其中,所述变化方向数据为结合当前网络技术的热点、新技术、发展方向所转化得到的数据。
步骤S4、所述溯源平台装置对疑似攻击数据进行追踪溯源处理,并记录溯源数据;其中,如果涉及其他区域,则与其他区域的溯源平台装置进行通信,得到相关数据进行追踪溯源。
对疑似攻击数据进行追踪溯源;由于疑似攻击数据已经被采集和完整记录,其源地址、目的地址、转发路由器等数据都存在,即使可能有部分过程数据缺失,但根据现有数据也很容易得到攻击数据的转发路径,反向追踪至初始的发送主机,如果涉及其他区域,溯源平台装置与其他区域的溯源平台装置进行通信,得到相关数据,进行完整的追踪溯源;并将溯源数据进行记录。
可以理解的是,溯源平台装置的设立,使得网络攻击溯源无需对现有路由器等网络设备进行改造,同时由于溯源主要依靠服务器的数据分析,也不会对网络在成额外的负担,不会增加现有网络的压力;而且通过神经网络建立分析模型提取攻击特征,即使攻击方使用跳板机(步骤Stepping步骤Stone)、僵尸机(Zombie)、反射器(Reflector)等手段,也很容易会根据相关特征被分析出来。
其中,所述溯源平台装置至少采用2个及以上的数据采集服务器,1个模型分析服务器以及1个追踪溯源服务器;各服务器之间为网状拓扑结构连接;数据采集服务器设有负载均衡机制;追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元。
其中,所述溯源平台装置至少采用多个服务器,每个服务器都具有数据采集单元、模型分析单元、追踪溯源单元、与其他溯源平台装置通信的通信单元,各服务器之间设有负载均衡机制。
相应地,本发明的另一方面,还提供一种基于数据分析的网络攻击溯源系统,具体地,请结合图4-图6所示,本发明的系统其包括:
多个互联通信的溯源平台装置1,每个溯源平台装置属于一片网络区域,各网络区域共同构成整体网络;
所述每一溯源平台装置1均包括:
数据采集单元10,用于所述溯源平台装置对所属区域内的各路由器的分组数据进行随机采集;
模型分析单元11,用于所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;通过所述分析模型对所述数据采集单元所采集的数据进行分析,得到疑似攻击数据;
追踪溯源单元12,用于所述溯源平台装置对疑似攻击数据进行追踪溯源处理,并记录溯源数据;其中,如果涉及其他区域,则与其他区域的溯源平台装置进行通信,得到相关数据进行追踪溯源。
更具体地,所述模型分析单元11包括:
收集单元110,用于收集网络攻击案例中的攻击数据,提取数据的要素,形成多层的矩阵数据;
归一化处理单元111,用于对每层数据进行归一化处理;由卷积层和池化层构成的神经网络单元,对矩阵数据进行操作,提取出攻击数据的特征;
建立单元112,用于建立分析模型;以及
转化处理单元113,用于在全连接层将攻击数据的特征与变化方向数据组合成新的特征,建立新型攻击预测模型,其中,所述变化方向数据为结合当前网络技术的热点、新技术、发展方向转化得到的数据。
在一些具体的例子中,所述溯源平台装置1可以采用不同的形式来实现,在一个例子中,所述数据采集单元10、模型分析单元11、追踪溯源单元12各自为单独的服务器,各服务器之间为网状拓扑结构连接;数据采集服务器为2个以上,设有负载均衡机制;追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元;
或者:
在另一个例子中,所述数据采集单元10、模型分析单元11、追踪溯源单元12各自为服务器中的一个单元;有多个服务器,每台都具有上述单元,各服务器之间设有负载均衡机制,各服务器均设置有一通信单元13。
下述对这两种溯源平台装置进行更详细的描述。
溯源平台装置结构一:
如图4所示,是溯源平台装置的一种结构形式,主要包括2个数据采集服务器,1个模型分析服务器,1个追踪溯源服务器;4个服务器之间采用网状拓扑结构链接;
两台数据采集服务器设有负载均衡机制;用于对所属区域内的路由器的分组数据进行随机采集;数据采集服务器还可以为更多台。
对于网络攻击而言,其分组数据是会体现出某种有共性的数据特征,例如:分组数据的源地址是虚假的、不存在于路由表的地址;或者源地址是指向跳板机的地址、僵尸机的地址、反射器的地址;或者其数据经过的路径包括某些特定的路由器;或者分组数据的目的地址的端口是属于非常用的、具有受攻击风险的端口数据等等;模型分析服务器用于所述溯源平台装置通过卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;通过模型将步骤S2采集的数据进行分析,得到疑似攻击数据;这里所述的得到疑似数据,是指建立分析模型后,通过模型将S2采集的数据进行分析,符合攻击数据特征的数据即为疑似数据。
追踪溯源服务器用于所述溯源平台装置对疑似攻击数据进行追踪溯源;涉及其他区域的与其他区域的溯源平台装置进行通信,得到相关数据进行追踪溯源;并将溯源数据进行记录。
溯源平台装置结构二:
如图5所示,是本发明实施例中溯源平台装置的另一种结构形式,主要包括3个服务器,每个服务器都设有数据采集单元、模型分析单元、追踪溯源单元;
数据采集单元用于对所属区域内的路由器的分组数据进行随机采集;
模型分析单元用于所述溯源平台装置通过卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;通过模型将步骤S2采集的数据进行分析,得到疑似攻击数据;
追踪溯源单元用于所述溯源平台装置对疑似攻击数据进行追踪溯源;涉及其他区域的与其他区域的溯源平台装置进行通信,得到相关数据进行追踪溯源;并将并将追踪溯源得到的所述疑似数据的真实发起者的源地址、以及该数据的真实路径等信息作为溯源数据进行记录。
三个服务器之间设有负载均衡机制,可稳定持久运行。
更多细节,可以参照前述对图1至图3的描述,在此不进行赘述。
与现有技术相比,本发明具有如下的有益效果:
本发明设置独立的溯源平台装置,仅需要搜集数据进行分析,并根据分析结果进行追踪溯源,不需要对原网络设备的软硬件进行改造,对网络资源的占用也比较少,不会增加网络流量负担;
本发明采集数据时采用随机采样算法,在数据足够多的情况下完全可以收集到相关的网络攻击数据,同时节省服务器资源;
本发明通过神经网络对攻击数据的特征进行分析,能够得到比较准确的网络攻击数据的特征模型,并根据模型比较精准的判断网络攻击数据;从而进行追踪溯源;
本发明的特征模型还可结合最新的网络技术发展的热点、方向、新技术等,生成预测新型攻击的预测模型;对有可能出现的新型的网络攻击进行预判;
溯源平台装置应用了负载均衡手段,保持工作的稳定性和持久性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于数据分析的网络攻击溯源方法,其特征在于,包括:
步骤S1、将网络划分为多个区域,每个区域设置一个溯源平台装置;
步骤S2、每一区域中的溯源平台装置对所属区域内的各路由器的分组数据进行随机采集;
步骤S3、所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;对所述随机采集的数据进行分析,得到疑似攻击数据;
步骤S4、所述溯源平台装置对疑似攻击数据进行追踪溯源处理,并记录溯源数据;其中,如果涉及其他区域,则与其他区域的溯源平台装置进行通信,得到相关数据进行追踪溯源。
2.根据权利要求1所述的一种基于数据分析的网络攻击溯源方法,其特征在于,所述步骤S2具体为:
每隔预定周期通过随机采样算法抽样选取路由器以及选取路由器中的分组数据。
3.根据权利要求1或2所述的一种基于数据分析的网络攻击溯源方法,其特征在于,步骤S2中所述的分组数据采集,在所采集的分组数据中加入有代表其所属路由器的特征码。
4.根据权利要求1所述的一种基于数据分析的网络攻击溯源方法,其特征在于,步骤S3中所述的分析模型的建立过程包括:
步骤S31、收集网络攻击案例中的攻击数据,提取数据的要素,形成多层的矩阵数据;
步骤S32、对每层数据进行归一化处理;
步骤S33、由卷积层和池化层构成的神经网络单元,对矩阵数据进行操作,提取出攻击数据的特征,建立分析模型。
5.根据权利要求4所述的一种基于数据分析的网络攻击溯源方法,其特征在于,步骤S3中所述的分析模型的建立还包括:
步骤S34、在全连接层将攻击数据的特征与变化方向数据组合成新的特征,建立新型攻击预测模型,其中,所述变化方向数据为结合当前网络技术的热点、新技术、发展方向所转化得到的数据。
6.根据权利要求1所述的一种基于数据分析的网络攻击溯源方法,其特征在于,所述溯源平台装置至少采用2个及以上的数据采集服务器,1个模型分析服务器以及1个追踪溯源服务器;各服务器之间为网状拓扑结构连接;数据采集服务器设有负载均衡机制;追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元。
7.根据权利要求1所述的一种基于数据分析的网络攻击溯源方法,其特征在于,所述溯源平台装置至少采用多个服务器,每个服务器都具有数据采集单元、模型分析单元、追踪溯源单元、与其他溯源平台装置通信的通信单元,各服务器之间设有负载均衡机制。
8.一种基于数据分析的网络攻击溯源系统,其特征在于,包括:
多个互联通信的溯源平台装置,每个溯源平台装置属于一片网络区域,各网络区域共同构成整体网络;
所述每一溯源平台装置均包括:
数据采集单元,用于所述溯源平台装置对所属区域内的各路由器的分组数据进行随机采集;
模型分析单元,用于所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取,建立分析模型;通过所述分析模型对所述数据采集单元所采集的数据进行分析,得到疑似攻击数据;
追踪溯源单元,用于所述溯源平台装置对疑似攻击数据进行追踪溯源处理,并记录溯源数据;其中,如果涉及其他区域,则与其他区域的溯源平台装置进行通信,得到相关数据进行追踪溯源。
9.根据权利要求8所述的一种基于数据分析的网络攻击溯源系统,其特征在于,模型分析单元包括:
收集单元,用于收集网络攻击案例中的攻击数据,提取数据的要素,形成多层的矩阵数据;
归一化处理单元,用于对每层数据进行归一化处理;由卷积层和池化层构成的神经网络单元,对矩阵数据进行操作,提取出攻击数据的特征;
建立单元,用于建立分析模型;以及
转化处理单元,用于在全连接层将攻击数据的特征与变化方向数据组合成新的特征,建立新型攻击预测模型,其中,所述变化方向数据为结合当前网络技术的热点、新技术、发展方向转化得到的数据。
10.根据权利要求8所述的一种基于数据分析的网络攻击溯源系统,其特征在于,所述数据采集单元、模型分析单元、追踪溯源单元各自为单独的服务器,各服务器之间为网状拓扑结构连接;数据采集服务器为2个以上,设有负载均衡机制;追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元;
或者:
所述数据采集单元、模型分析单元、追踪溯源单元各自为服务器中的一个单元;有多个服务器,每台都具有上述单元,各服务器之间设有负载均衡机制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010414201.1A CN111669370A (zh) | 2020-05-15 | 2020-05-15 | 一种基于数据分析的网络攻击溯源方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010414201.1A CN111669370A (zh) | 2020-05-15 | 2020-05-15 | 一种基于数据分析的网络攻击溯源方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111669370A true CN111669370A (zh) | 2020-09-15 |
Family
ID=72383690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010414201.1A Pending CN111669370A (zh) | 2020-05-15 | 2020-05-15 | 一种基于数据分析的网络攻击溯源方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111669370A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112822685A (zh) * | 2021-02-01 | 2021-05-18 | 中国南方电网有限责任公司 | 一种基于溯源的Android移动攻击防范方法、装置和系统 |
| CN112866234A (zh) * | 2021-01-14 | 2021-05-28 | 中国南方电网有限责任公司 | 一种网络攻击溯源方法、装置和系统 |
| CN114338211A (zh) * | 2021-12-31 | 2022-04-12 | 上海浦东发展银行股份有限公司 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
| CN114389840A (zh) * | 2021-12-09 | 2022-04-22 | 华迪计算机集团有限公司 | 基于glm析因方法确定网络攻击源所在区域的方法及系统 |
| CN115550065A (zh) * | 2022-11-25 | 2022-12-30 | 国网四川省电力公司信息通信公司 | 基于大规模多数据源的一体化网络安全分析系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375295A (zh) * | 2016-08-30 | 2017-02-01 | 四川新环佳科技发展有限公司 | 数据存储监控方法 |
| CN106470213A (zh) * | 2016-10-17 | 2017-03-01 | 杭州迪普科技股份有限公司 | 一种攻击报文的溯源方法和装置 |
| US20170169360A1 (en) * | 2013-04-02 | 2017-06-15 | Patternex, Inc. | Method and system for training a big data machine to defend |
| CN109120602A (zh) * | 2018-07-25 | 2019-01-01 | 中国人民公安大学 | 一种IPv6攻击溯源方法 |
| CN110351266A (zh) * | 2019-07-03 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 基于神经网络的识别网络黑产ip的方法 |
| CN110543884A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种基于图像的网络攻击组织溯源方法 |
-
2020
- 2020-05-15 CN CN202010414201.1A patent/CN111669370A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170169360A1 (en) * | 2013-04-02 | 2017-06-15 | Patternex, Inc. | Method and system for training a big data machine to defend |
| CN106375295A (zh) * | 2016-08-30 | 2017-02-01 | 四川新环佳科技发展有限公司 | 数据存储监控方法 |
| CN106470213A (zh) * | 2016-10-17 | 2017-03-01 | 杭州迪普科技股份有限公司 | 一种攻击报文的溯源方法和装置 |
| CN110543884A (zh) * | 2018-05-29 | 2019-12-06 | 国际关系学院 | 一种基于图像的网络攻击组织溯源方法 |
| CN109120602A (zh) * | 2018-07-25 | 2019-01-01 | 中国人民公安大学 | 一种IPv6攻击溯源方法 |
| CN110351266A (zh) * | 2019-07-03 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 基于神经网络的识别网络黑产ip的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 孙强强; 连耿雄: "电力信息管理系统安全态势感知架构与智能化防护", 《数字通信世界》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112866234A (zh) * | 2021-01-14 | 2021-05-28 | 中国南方电网有限责任公司 | 一种网络攻击溯源方法、装置和系统 |
| CN112866234B (zh) * | 2021-01-14 | 2022-03-01 | 中国南方电网有限责任公司 | 一种网络攻击溯源方法、装置和系统 |
| CN112822685A (zh) * | 2021-02-01 | 2021-05-18 | 中国南方电网有限责任公司 | 一种基于溯源的Android移动攻击防范方法、装置和系统 |
| CN112822685B (zh) * | 2021-02-01 | 2022-12-23 | 中国南方电网有限责任公司 | 一种基于溯源的Android移动攻击防范方法、装置和系统 |
| CN114389840A (zh) * | 2021-12-09 | 2022-04-22 | 华迪计算机集团有限公司 | 基于glm析因方法确定网络攻击源所在区域的方法及系统 |
| CN114389840B (zh) * | 2021-12-09 | 2023-08-01 | 华迪计算机集团有限公司 | 基于glm析因方法确定网络攻击源所在区域的方法及系统 |
| CN114338211A (zh) * | 2021-12-31 | 2022-04-12 | 上海浦东发展银行股份有限公司 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
| CN114338211B (zh) * | 2021-12-31 | 2023-10-20 | 上海浦东发展银行股份有限公司 | 一种网络攻击的溯源方法和装置、电子设备及存储介质 |
| CN115550065A (zh) * | 2022-11-25 | 2022-12-30 | 国网四川省电力公司信息通信公司 | 基于大规模多数据源的一体化网络安全分析系统及方法 |
| CN115550065B (zh) * | 2022-11-25 | 2023-03-03 | 国网四川省电力公司信息通信公司 | 基于大规模多数据源的一体化网络安全分析系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111669370A (zh) | 一种基于数据分析的网络攻击溯源方法及系统 | |
| US6741990B2 (en) | System and method for efficient and adaptive web accesses filtering | |
| CN109660401A (zh) | 一种分布式网络资产探测方法 | |
| US10547674B2 (en) | Methods and systems for network flow analysis | |
| Gao et al. | Tracing cyber attacks from the practical perspective | |
| CN111953527B (zh) | 一种网络攻击还原系统 | |
| CN106797328A (zh) | 收集和分析所选择的网络流量 | |
| Sung et al. | Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation | |
| CN113489619B (zh) | 一种基于时间序列分析的网络拓扑推断方法及装置 | |
| CN109271793A (zh) | 物联网云平台设备类别识别方法及系统 | |
| CN101184000A (zh) | 基于报文采样和应用签名的互联网应用流量识别方法 | |
| CN104702564A (zh) | 一种网络共享用户识别方法及装置 | |
| US7907543B2 (en) | Apparatus and method for classifying network packet data | |
| Wijesinghe et al. | An enhanced model for network flow based botnet detection | |
| Xu et al. | [Retracted] DDoS Detection Using a Cloud‐Edge Collaboration Method Based on Entropy‐Measuring SOM and KD‐Tree in SDN | |
| CN112235336A (zh) | 一种基于协议指纹的区块链节点主动发现方法 | |
| CN113382039B (zh) | 一种基于5g移动网络流量分析的应用识别方法和系统 | |
| CN114172731A (zh) | IPv6地址的快速验证溯源方法、装置、设备及介质 | |
| Mainuddin et al. | IoT device identification based on network traffic characteristics | |
| Qin et al. | MUCM: multilevel user cluster mining based on behavior profiles for network monitoring | |
| CN114760216A (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN114553546B (zh) | 基于网络应用的报文抓取的方法和装置 | |
| CN113726809B (zh) | 基于流量数据的物联网设备识别方法 | |
| CN113452668B (zh) | 物联网终端接入监控方法、计算机程序及存储介质 | |
| CN110620682B (zh) | 资源信息的获取方法及装置、存储介质、终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200915 |
|
| RJ01 | Rejection of invention patent application after publication |