CN111935069B - 一种基于时序的流量攻击可视化表征方法 - Google Patents

一种基于时序的流量攻击可视化表征方法 Download PDF

Info

Publication number
CN111935069B
CN111935069B CN202010554756.6A CN202010554756A CN111935069B CN 111935069 B CN111935069 B CN 111935069B CN 202010554756 A CN202010554756 A CN 202010554756A CN 111935069 B CN111935069 B CN 111935069B
Authority
CN
China
Prior art keywords
flow information
address
graph
coordinate
visual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010554756.6A
Other languages
English (en)
Other versions
CN111935069A (zh
Inventor
王一川
姜新宇
张彤
朱磊
姬文江
杜延宁
宋昕
马冰
丁一凡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Clover Cyber Technology Co ltd
Original Assignee
Xian University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian University of Technology filed Critical Xian University of Technology
Priority to CN202010554756.6A priority Critical patent/CN111935069B/zh
Publication of CN111935069A publication Critical patent/CN111935069A/zh
Application granted granted Critical
Publication of CN111935069B publication Critical patent/CN111935069B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/69Types of network addresses using geographic information, e.g. room number
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于时序的流量攻击可视化表征方法,具体为:采用nfdump开源工具定时捕获网络中的netflow数据,将netflow数据储存在nfcapd二进制文件中;然后使用nfdump开源工具中的nfcapd命令从网络中读取netflow数据,提取nfcapd二进制文件中的流量信息,将流量信息存储在数据库中;建立可视化图;最后,表征可视化图中流量信息的动态。解决了现有技术中存在网络攻击中未知特征很难表征的问题。

Description

一种基于时序的流量攻击可视化表征方法
技术领域
本发明属于信息处理技术领域,具体涉及一种基于时序的流量攻击可视化表征方法。
背景技术
随着网络技术的高速发展,攻击者水平也在不断提高,网络安全逐渐成为一个不容忽视的焦点。随着网络融入到社会各界的同时网络安全威胁也逐渐渗透到各个角落。国家的信息基础设施在应对黑客组织或者具有国家背景的恶意网络威胁时面临着巨大挑战。
通常网络攻击都是有迹可循的,针对网络安全的入侵检测系统可以实时监视并分析用户及系统行为、网络中的流量数据,从而发现入侵其土或异常现象,然后记录、报警并作出及时的响应。
基于特征的入侵检测系统是当前应用最为广泛的一种攻击检测技术,它是在攻击特征库中抽取存放的各种安全攻击特征,来实时发现系统中的攻击行为。在早期的基于特征的攻击检测系统中通常采用基于网络安全专家事后分析的方式来提取攻击特征,是一种特征自提取技术。不需要人工干预,可以自动发现新攻击并提取特征,解决手工提取周期长、速度慢等问题。
但是,无论是人工提取还是自动提取特征,前提都是对攻击特征的抽象和描述,比如基于网络协议特征的攻击特征描述。许多网络安全攻击的根本原因之一就是网络协议本身存在一定安全问题,利用TCP、UDP、ICMP等协议的安全漏洞来实施攻击,使用网络协议包头的特殊字段的值是可以准确表征相应地攻击特征,如著名的针对域名服务期的查询泛洪(DNS Query Flood)攻击使用UDP协议的53号端口对域名服务器发起攻击,即能够用UDP头部的目标端口值=53来描述这种攻击。然而,对于未知特征的网络攻击目前无法抽象和描述,所以研究一种针对未知特征的网络攻击的可视化表征方法是很有必要的。
发明内容
本发明的目的是提供一种基于时序的流量攻击可视化表征方法,解决了现有技术中存在网络攻击中未知特征很难表征的问题。
本发明所采用的技术方案是,一种基于时序的流量攻击可视化表征方法,具体按照以下步骤实施:
步骤1,采用nfdump开源工具定时捕获网络中的netflow数据,将netflow数据储存在nfcapd二进制文件中;
步骤2,使用nfdump开源工具中的nfcapd命令从网络中读取netflow数据,提取nfcapd二进制文件中的流量信息,将流量信息存储在数据库中;
步骤3,建立可视化图;
步骤4,表征可视化图中流量信息的动态。
本发明的特点还在于:
步骤2中,流量信息包括协议类型、源地址/目的地址、流量大小、起始时间和持续时间。
步骤3具体为:
步骤3.1,采用百度echarts工具建立可视化图,可视化图由内网图与公网图构成,采用IP2Location数据库对公网的IP地址进行标定;
步骤3.2,将流量信息按时间顺序排列,并将每一个流量信息的IP地址标定在可视化图中。
步骤3.1中,内网图的建立具体为:
内网图的坐标系选为cartesian2d二维直角坐标系,采用series-effectScatter组件的动画特效对流量信息进行视觉突出;
公网图的建立具体为:
公网图的坐标系选为geo地图坐标系,采用series-effectScatter组建的动画特效对流量信息进行视觉突出。
步骤3.2具体为:
将流量信息的IP地址与IP2Location数据库里的公网IP地址进行对照,若流量信息的IP地址与公网IP地址相同,则通过IP2Location数据库查询流量信息的IP地址所在的实际地址信息,并且标注在公网图中;否则,将流量信息的IP地址导入到内网图中。
cartesian2d二维直角坐标系分为节点坐标与通信坐标lines,节点坐标采用timeline时间轴组件;
节点坐标表示内网IP地址在二维直角坐标系上的位置与发生通信的IP节点之间的连接;通信坐标lines表示不同时段的通信过程。
步骤4具体为:
将流量信息的每一次时间轴变化作为信号赋值给动态坐标完成动态显示;
以流量信息的IP地址的涟漪大小表示其通信频率;以不同颜色区分通信协议种类;以timeline时间轴组件的时间戳先后为基准将流量信息的产生过程依次动态显示出来。
动态坐标轴包含Scatter特效坐标和Lines特效坐标;
Scatter特效坐标用于展现流量信息之间的关系;Lines特效坐标用于流量信息动态路线的可视化。
本发明的有益效果是:
本发明一种基于时序的流量攻击可视化表征方法,将敏感数据流信息以基于时序的可视化方式表示出来,可加强对网络攻击特征的显化,在一定程度上易于识别;本发明一种基于时序的流量攻击可视化表征方法,在IDS中的攻击图技术上有应用范围,在一定程度上对于描述攻击行为或者预测攻击行为有参考价值;本发明一种基于时序的流量攻击可视化表征方法,可视化生成的效果直观、简洁、可扩展性高,在特征分析方面有一定的帮助。
附图说明
图1是本发明一种基于时序的流量攻击可视化表征方法的流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明进行详细说明。
本发明一种基于时序的流量攻击可视化表征方法,如图1所示,具体按照以下步骤实施:
具体按照以下步骤实施:
步骤1,采用nfdump开源工具定时捕获网络中的netflow数据,将netflow数据储存在nfcapd二进制文件中;
步骤2,使用nfdump开源工具中的nfcapd命令从网络中读取netflow数据,提取nfcapd二进制文件中的流量信息,将流量信息存储在数据库中;
其中,流量信息包括协议类型、源地址/目的地址、流量大小、起始时间和持续时间;
步骤3,建立可视化图;
步骤3具体为:
步骤3.1,采用百度echarts工具建立可视化图,可视化图由内网图与公网图构成,采用IP2Location数据库对公网的IP地址进行标定;
其中,内网图的建立具体为:
内网图的坐标系选为cartesian2d二维直角坐标系,采用series-effectScatter组件的动画特效对流量信息进行视觉突出;
公网图的建立具体为:
公网图的坐标系选为geo地图坐标系,采用series-effectScatter组建的动画特效对流量信息进行视觉突出;
步骤3.2,将流量信息按时间顺序排列,并将每一个流量信息的IP地址标定在可视化图中;
步骤3.2具体为:
将流量信息的IP地址与IP2Location数据库里的公网IP地址进行对照,若流量信息的IP地址与公网IP地址相同,则通过IP2Location数据库查询流量信息的IP地址所在的实际地址信息,并且标注在公网图中;否则,将流量信息的IP地址导入到内网图中;
其中,cartesian2d二维直角坐标系分为节点坐标与通信坐标lines,节点坐标采用timeline时间轴组件;
节点坐标表示内网IP地址在二维直角坐标系上的位置与发生通信的IP节点之间的连接;通信坐标lines表示不同时段的通信过程;
步骤4,表征可视化图中流量信息的动态;
步骤4具体为:
将流量信息的每一次时间轴变化作为信号赋值给动态坐标完成动态显示;
以流量信息的IP地址的涟漪大小表示其通信频率;以不同颜色区分通信协议种类;以timeline时间轴组件的时间戳先后为基准将流量信息的产生过程依次动态显示出来;
动态坐标轴包含Scatter特效坐标和Lines特效坐标;Scatter特效坐标用于展现流量信息之间的关系;Lines特效坐标用于流量信息动态路线的可视化。
其中,设定视觉表现通信频率函数Rfrequency,当流量信息的IP地址在给定时间内通信次数占总数的10%,则将rippleEffect中period值加1、scale值加0.5。
其中,设定视觉区分协议类型函数Cprotocol,预设颜色数组,每当出现不同的协议类型时,将LineStyle中的color值修改颜色数组中的不同颜色,例如TCP协议修改为浅蓝,UDP协议修改为浅绿。

Claims (3)

1.一种基于时序的流量攻击可视化表征方法,其特征在于,具体按照以下步骤实施:
步骤1,采用nfdump开源工具定时捕获网络中的netflow数据,将所述netflow数据储存在nfcapd二进制文件中;
步骤2,使用nfdump开源工具中的nfcapd命令从网络中读取netflow数据,提取nfcapd二进制文件中的流量信息,将所述流量信息存储在数据库中;
步骤3,建立可视化图;具体为:
步骤3.1,采用百度echarts工具建立可视化图,所述可视化图由内网图与公网图构成,采用IP2Location数据库对公网的IP地址进行标定;
步骤3.2,将所述流量信息按时间顺序排列,并将每一个流量信息的IP地址标定在可视化图中;
步骤4,表征可视化图中流量信息的动态,具体为:
将所述流量信息的每一次时间轴变化作为信号赋值给动态坐标完成动态显示;
以流量信息的IP地址的涟漪大小表示其通信频率;以不同颜色区分通信协议种类;以timeline时间轴组件的时间戳先后为基准将流量信息的产生过程依次动态显示出来;动态坐标轴包含Scatter特效坐标和Lines特效坐标;
所述Scatter特效坐标用于展现流量信息之间的关系;所述Lines 特效坐标用于流量信息动态路线的可视化;
所述步骤3.1中,所述内网图的建立具体为:
内网图的坐标系选为cartesian2d二维直角坐标系,采用series-effectScatter组件的动画特效对所述流量信息进行视觉突出;
所述公网图的建立具体为:
公网图的坐标系选为geo地图坐标系,采用series-effectScatter组建的动画特效对所述流量信息进行视觉突出;
所述步骤3.2具体为:
将所述流量信息的IP地址与IP2Location数据库里的公网IP地址进行对照,若流量信息的IP地址与公网IP地址相同,则通过IP2Location数据库查询流量信息的IP地址所在的实际地址信息,并且标注在公网图中;否则,将所述流量信息的IP地址导入到内网图中。
2.根据权利要求1所述的一种基于时序的流量攻击可视化表征方法,其特征在于,步骤2中,所述流量信息包括协议类型、源地址/目的地址、流量大小、起始时间和持续时间。
3.根据权利要求1所述的一种基于时序的流量攻击可视化表征方法,其特征在于,所述cartesian2d二维直角坐标系分为节点坐标与通信坐标lines,所述节点坐标采用timeline时间轴组件;
所述节点坐标表示内网IP地址在二维直角坐标系上的位置与发生通信的IP节点之间的连接;所述通信坐标lines表示不同时段的通信过程。
CN202010554756.6A 2020-06-17 2020-06-17 一种基于时序的流量攻击可视化表征方法 Active CN111935069B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010554756.6A CN111935069B (zh) 2020-06-17 2020-06-17 一种基于时序的流量攻击可视化表征方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010554756.6A CN111935069B (zh) 2020-06-17 2020-06-17 一种基于时序的流量攻击可视化表征方法

Publications (2)

Publication Number Publication Date
CN111935069A CN111935069A (zh) 2020-11-13
CN111935069B true CN111935069B (zh) 2022-08-26

Family

ID=73316425

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010554756.6A Active CN111935069B (zh) 2020-06-17 2020-06-17 一种基于时序的流量攻击可视化表征方法

Country Status (1)

Country Link
CN (1) CN111935069B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114048829B (zh) * 2022-01-14 2022-06-24 浙江大学 一种基于模版构建的网络流信道化时序筛分方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681303A (zh) * 2016-01-15 2016-06-15 中国科学院计算机网络信息中心 一种大数据驱动的网络安全态势监测及可视化方法
WO2019177264A1 (ko) * 2018-03-14 2019-09-19 마인드서프 주식회사 멀티레이어 기반의 네트워크 트래픽 시각화 분석 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681303A (zh) * 2016-01-15 2016-06-15 中国科学院计算机网络信息中心 一种大数据驱动的网络安全态势监测及可视化方法
WO2019177264A1 (ko) * 2018-03-14 2019-09-19 마인드서프 주식회사 멀티레이어 기반의 네트워크 트래픽 시각화 분석 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于图模型的大规模网络异常检测;南慧荣;《中国优秀硕士学位论文全文数据库 信息科技辑》;20181115;第4章 *

Also Published As

Publication number Publication date
CN111935069A (zh) 2020-11-13

Similar Documents

Publication Publication Date Title
CN111147513B (zh) 基于攻击行为分析的蜜网内横向移动攻击路径确定方法
US8015605B2 (en) Scalable monitor of malicious network traffic
CN107360145B (zh) 一种多节点蜜罐系统及其数据分析方法
US20110016525A1 (en) Apparatus and method for detecting network attack based on visual data analysis
US20180152468A1 (en) Processing network data using a graph data structure
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
WO2020118375A1 (en) Apparatus and process for detecting network security attacks on iot devices
CN112270346B (zh) 基于半监督学习的物联网设备识别方法及装置
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN110708292A (zh) Ip处理方法、装置、介质、电子设备
CN111935069B (zh) 一种基于时序的流量攻击可视化表征方法
CN115883223A (zh) 用户风险画像的生成方法及装置、电子设备、存储介质
CN112565278A (zh) 一种捕获攻击的方法及蜜罐系统
CN108712369A (zh) 一种工业控制网多属性约束访问控制决策系统和方法
CN105427507A (zh) 火灾监测方法及装置
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
CN112822204A (zh) 一种nat的检测方法、装置、设备及介质
CN114650416B (zh) 一种基于互联网监测的隐藏摄像头发现方法
CN111181969A (zh) 一种基于自发流量的物联网设备识别方法
CN116232696A (zh) 基于深度神经网络的加密流量分类方法
CN116248346A (zh) 面向智慧城市的cps网络安全态势感知建立方法和系统
CN115190056A (zh) 一种可编排的流量协议识别与解析方法、装置及设备
WO2021077979A1 (zh) 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法
CN115242467B (zh) 一种网络数据识别方法及系统
Kostas et al. Externally validating the IoTDevID device identification methodology using the CIC IoT 2022 Dataset

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230330

Address after: Room 1701, Building C2, Yunhuigu, No. 156, Tiangu 8th Road, Software New Town, Yuhua Street Office, High-tech Zone, Xi'an City, Shaanxi Province 710077

Patentee after: XI'AN CLOVER CYBER TECHNOLOGY CO.,LTD.

Address before: 710048 Shaanxi province Xi'an Beilin District Jinhua Road No. 5

Patentee before: XI'AN University OF TECHNOLOGY