CN112995104B - 一种通信设备及网络安全预测方法 - Google Patents
一种通信设备及网络安全预测方法 Download PDFInfo
- Publication number
- CN112995104B CN112995104B CN201911300271.8A CN201911300271A CN112995104B CN 112995104 B CN112995104 B CN 112995104B CN 201911300271 A CN201911300271 A CN 201911300271A CN 112995104 B CN112995104 B CN 112995104B
- Authority
- CN
- China
- Prior art keywords
- flow data
- network
- abnormal
- determining
- security level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种通信设备及网络安全预测方法,能够对网络流量数据进行全面分析,提高网络安全预测的性能。该设备执行下列过程:实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据;根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种通信设备及网络安全预测方法。
背景技术
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统能够连续可靠正常地运行,网络服务不中断。
网络安全是一个庞大而复杂的目标,几乎所有的网络安全方面的技术都只是着眼于某一个方面的修修补补,无法站在整个网络全局进行分析,普遍只针对网络安全领域的某一部分进行安全防护,并且目前的网络安全技术大都是在攻击行为发生之后才能进行防护,存在事后发现、功能片面、性能不足等缺陷。
发明内容
本发明提供了一种通信设备及网络安全预测方法,能够对网络流量数据进行全面分析,对网络全局进行安全分析预测,提高网络安全预测的性能。
根据示例性的实施方式中的第一方面,提供一种通信设备,该设备包括处理器以及存储器,其中,所述存储器存储有程序代码,当所述存储器存储的一个或多个计算机程序被所述处理器执行时,使得所述设备执行下列过程:
实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及
周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据,其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
本实施例提供一种通信设备,能够对全网的数据流量进行分析,通过实时对目标流量数据进行特征提取,筛选出第一异常流量数据,能够保证预测的网络安全等级的实时性及有效性,同时,通过周期对目标流量进行特征提取,筛选出第二异常流量数据,能够保证预测的网络安全等级的准确性,根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级,能够对全网的各类型的攻击进行预测,功能更加全面,提高了网络安全预测的性能。
在一些示例性的实施方式中,所述处理器具体用于:
若所述第二异常流量数据等于或少于所述第一异常流量数据,则根据所述第一异常流量数据确定当前时刻网络的安全等级;
本实施例中提供的第一种确定当前时刻网络的安全等级的方式,该方式下能够在保证安全等级准确性的同时,实时地快速地确定出当前时刻网络的安全等级;
在一些示例性的实施方式中,所述处理器具体用于:
若所述第二异常流量数据多于所述第一异常流量数据,则根据所述第二异常流量数据确定当前时刻网络的安全等级;
本实施例中提供的第二种确定当前时刻网络的安全等级的方式,该方式下由于第二异常流量数据多于第一异常流量数据,为了保证确定的当前时刻网络的安全等级的准确性,可以根据第二异常流量数据确定。
在一些示例性的实施方式中,所述处理器具体用于:
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
本实施例中提供的第三种确定当前时刻网络的安全等级的方式,该方式下将第一异常流量数据及第二异常流量数据分别确定的安全等级进行综合,确定出最终的当前时刻网络的安全等级,能够使得确定出的安全等级具备实时性的同时更加准确。
在一些示例性的实施方式中,所述处理器具体用于:
通过熵值赋权法确定第一异常流量数据或所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述第一异常流量数据或所述第二异常流量数据中各预设指标及所述各预设指标的权重值确定当前时刻网络的安全等级;
在一些示例性的实施方式中,所述处理具体用于:
通过熵值赋权法确定所述第一异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;以及
通过熵值赋权法确定所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级。
本实施例提供的确定安全等级的方式,首先通过熵值赋权法确定异常流量数据中各预设指标的权重值,相比于人工确定的权重值,避免了人为的影响因素,能够求得最优权重且更具客观性,具有较高的再现性和可信度,另外,通过模糊综合评价法,能够能较好地解决模糊的、难以量化的问题,从而较好的解决对安全等级难以量化的问题,根据各预设指标及所述各预设指标的权重值确定出当前时刻网络的安全等级。
在一些示例性的实施方式中,所述处理器具体还用于:
存储采集的流量数据,统计第一时段内所述流量数据的访问信息,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
在一些示例性的实施方式中,所述处理器具体还用于:
存储所述第二异常流量数据,统计第二时段内所述第二异常流量数据的访问信息,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线。
本实施例还提供了一种存储并统计流量数据的方式,能够用于攻击之后的溯源、回查等处理,一种方式是可以根据采集的流量数据中的地理路线,查看历史网络中整体流量数据的分布,趋势等信息,另一种方式是可以根据采集的异常流量数据中的攻击路线,查看历史网络中异常流量数据的分布、趋势、攻击路线等信息。
在一些示例性的实施方式中,所述处理器具体还用于:
对采集的流量数据进行复制,从其中一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为实时进行特征提取使用的目标流量数据,从其中另一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为周期进行特征提取使用的目标流量数据;或
从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,对所述目标流量数据进行复制,将其中一份目标流量数据作为实时进行特征提取使用的目标流量数据,将其中另一份目标流量数据作为周期进行特征提取使用的目标流量数据。
本实施例还提供了两种确定目标流量数据的方式,由于本实施例中通过并行的两种方式采集流量数据进行特征提取,一种是实时采集流量数据进行特征提取,另一种是周期采集流量数据进行特征提取,因此本实施例提供的方式一是首先对采集的流量数据进行复制,然后分别对流量数据进行剔除得到各自的目标流量数据,通过实时以及周期的方式对目标流量数据进行特征提取,方式二是首先对采集的流量数据进行剔除得到目标流量数据,然后对目标流量数据进行复制,分别通过实时以及周期的方式对目标流量数据进行特征提取。实际实施中,可以根据实际需求采用任一方式实施。
根据示例性的实施方式中的第二方面,提供一种网络安全预测方法,应用于通信设备,该方法包括:
实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及
周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据,其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
在一些示例性的实施方式中,根据所述第一异常流量数据确定当前时刻网络的安全等级,包括:
若所述第二异常流量数据等于或少于所述第一异常流量数据,则根据所述第一异常流量数据确定当前时刻网络的安全等级;
根据所述第二异常流量数据确定当前时刻网络的安全等级,包括:
若所述第二异常流量数据多于所述第一异常流量数据,则根据所述第二异常流量数据确定当前时刻网络的安全等级;
根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,包括:
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
在一些示例性的实施方式中,根据所述第一异常流量数据或所述第二异常流量数据确定当前时刻网络的安全等级,包括:
通过熵值赋权法确定第一异常流量数据或所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述第一异常流量数据或所述第二异常流量数据中各预设指标及所述各预设指标的权重值确定当前时刻网络的安全等级;
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,包括:
通过熵值赋权法确定所述第一异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;以及
通过熵值赋权法确定所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级。
在一些示例性的实施方式中,采集流量数据之后,还包括:
存储采集的流量数据,统计第一时段内所述流量数据的访问信息,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
根据分类结果筛选出第二异常流量数据之后,还包括:
存储所述第二异常流量数据,统计第二时段内所述第二异常流量数据的访问信息,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线。
在一些示例性的实施方式中,该方法还包括:
对采集的流量数据进行复制,从其中一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为实时进行特征提取使用的目标流量数据,从其中另一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为周期进行特征提取使用的目标流量数据;或
从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,对所述目标流量数据进行复制,将其中一份目标流量数据作为实时进行特征提取使用的目标流量数据,将其中另一份目标流量数据作为周期进行特征提取使用的目标流量数据。
根据示例性的实施方式中的第三方面,提供一种网络安全预测装置,该装置包括:实时筛选异常流量模块、周期筛选异常流量模块、预测安全等级模块,其中:
实时筛选异常流量模块,用于实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及
周期筛选异常流量模块,用于周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据,其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
预测安全等级模块,用于根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
在一些示例性的实施方式中,所述预测安全等级模块具体用于:
若所述第二异常流量数据等于或少于所述第一异常流量数据,则根据所述第一异常流量数据确定当前时刻网络的安全等级;
所述预测安全等级模块具体用于:
若所述第二异常流量数据多于所述第一异常流量数据,则根据所述第二异常流量数据确定当前时刻网络的安全等级;
所述预测安全等级模块具体用于:
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
在一些示例性的实施方式中,所述预测安全等级模块具体用于:
通过熵值赋权法确定第一异常流量数据或所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述第一异常流量数据或所述第二异常流量数据中各预设指标及所述各预设指标的权重值确定当前时刻网络的安全等级;
所述预测安全等级模块具体用于:
通过熵值赋权法确定所述第一异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;以及
通过熵值赋权法确定所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级。
在一些示例性的实施方式中,所述装置还包括存储统计模块具体用于:
存储采集的流量数据,统计第一时段内所述流量数据的访问信息,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
所述存储统计模块具体用于:
存储所述第二异常流量数据,统计第二时段内所述第二异常流量数据的访问信息,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线。
在一些示例性的实施方式中,所述装置还包括复制模块具体用于:
对采集的流量数据进行复制,从其中一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为实时进行特征提取使用的目标流量数据,从其中另一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为周期进行特征提取使用的目标流量数据;或
从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,对所述目标流量数据进行复制,将其中一份目标流量数据作为实时进行特征提取使用的目标流量数据,将其中另一份目标流量数据作为周期进行特征提取使用的目标流量数据。
根据示例性的实施方式中的第三方面,提供一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面所述方法的步骤。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示例性示出了本发明实施例提供的一种网络安全预测方法流程图;
图2示例性示出了本发明实施例提供的一种对采集流量数据进行处理的示意图;
图3示例性示出了本发明实施例提供的一种对采集流量数据进行处理的实施流程图;
图4示例性示出了本发明实施例提供的另一种对采集流量数据进行处理的示意图;
图5示例性示出了本发明实施例提供的另一种对采集流量数据进行处理的实施流程图;
图6示例性示出了本发明实施例提供的一种网络安全预测的具体实施方法流程图;
图7示例性示出了本发明实施例提供的一种对全网流量数据进行可视化的方法流程图;
图8示例性示出了本发明实施例提供的一种对异常流量数据进行可视化的方法流程图;
图9示例性示出了本发明实施例提供的一种网络安全预测的应用场景示意图;
图10示例性示出了本发明实施例提供的一种通信设备示意图;
图11示例性示出了本发明实施例提供的一种网络安全预测装置示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。本发明实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本发明实施例中术语“第一”、“第二”仅用于描述目的,而不能理解为暗示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征,在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本发明实施例中术语“通信设备”,是计算机网络中的设备,包括网关、服务器等。
针对目前网络安全的防护主要用于发生攻击之后,对攻击行为进行分析并采取一些防护措施,并且防护措施也仅针对已经发生的攻击,无法对整个网络全局进行安全防护,并且对网络进行安全分析检测的过程中,无法保证实时性和准确性,没有一种有效的网络安全预测的方法。
为了解决上述技术问题,本实施例提出了一种网络安全预测方法,能够针对全网的流量数据进行实时分析得到异常流量数据,并结合周期分析得到的异常流量数据,更加实时准确地确定当前时刻网络安全等级并预测下一时刻网络安全等级,提供了一种有效地预测方法,由于针对全网的数据流量进行分析,能够保证对各类攻击行为的预测,使得更加全面地进行网络安全防护。
本发明实施例的执行主体为通信设备,该通信设备可以是网关或服务器,能够采集通信网络中交换机设备输出的流量数据。
下面,对本实施例中提出的一种网络安全预测方法的具体实施方式进行说明,如图1所示,本实施例中提出的一种网络安全预测方法,应用于通信设备,具体流程如下所示:
步骤100、实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;
步骤101、周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据;
上述步骤100、步骤101是并行执行的,可选的,可通过两条线路并行实施,一条线路用于实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,另一条线路用于周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征。
其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
需要说明的是,本实施例中的预设流量类型包括但不限于白名单类型的流量数据,以及黑名单类型的流量数据。其中,白名单类型的流量数据以及黑名单类型的流量数据都可以根据实际情况进行设置,容易理解的是,白名单类型的流量数据是不具攻击性的,黑名单类型的流量数据可能是已知类型的攻击,已经针对该已知类型的攻击制定了防护措施,由于对于此类型的流量数据已经采取了对应的防护措施,因此对于此类型的流量数据不需要重新进行特征提取,实施中,只需要针对剔除属于预设流量类型的流量数据后得到的目标流量数据进行分析,由于目标流量数据是一些未知的流量数据,因此需要对该部分的流量数据进行分析,确定是否存在异常流量数据,如攻击类型的流量数据。
在一种可能的实施中,可以将采集的流量数据通过剔除属于白名单及黑名单类型的流量数据后,分发到三张虚拟网卡,区分出白名单、黑名单以及目标流量数据。
作为一种可选的实施方式,本实施例中可通过如下方式采集流量数据:
使用数据平面开发套件(DPDK,Data Plane Development Kit)采集流量数据;
DPDK主要基于Linux系统运行,用于快速数据包处理,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。DPDK使用了轮询(polling)而不是中断来处理数据包,在收到数据包时,经DPDK重载的网卡驱动不会通过中断通知CPU,而是直接将数据包存入内存,交付应用层软件通过DPDK提供的接口来直接处理,这样节省了大量的CPU中断时间和内存拷贝时间。
本实施例中采集流量数据之后,可通过如下任一种方式进行处理:
方式1、先复制后剔除的方式;
如图2所示,该方式下先对采集的流量数据进行复制,然后通过并行处理的线路1和线路2,分别进行剔除属于预设流量类型的流量数据,线路1和线路2分别得到目标流量数据;
将通过线路1得到的目标流量数据作为实时进行特征提取使用的目标流量数据,对线路1得到的目标流量数据进行实时特征提取得到第一特征,通过线路1将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;
以及,将通过线路2得到的目标流量数据作为周期进行特征提取使用的目标流量数据,对线路2得到的目标流量数据进行周期特征提取得到第二特征,通过线路2将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据。
可选的,上述线路1可以使用Thrift接口实时将采集的流量数据存储到Hbase,在Hbase上实时对目标流量数据进行特征提取;
上述线路2可以将采集的流量数据存储到Hadoop,在Hadoop上周期对目标流量数据进行特征提取。
其中,HBase是一个分布式的、面向列的开源数据库;Hadoop是一个分布式系统基础架构,能够进行高速运算和存储;Thrift是一种接口描述语言和二进制通讯协议。
如图3所示,该方式的具体实施流程如下:
步骤300、对采集的流量数据进行复制;
步骤301、从其中一份流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,执行步骤303;
步骤302、从其中另一份流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,执行步骤307;
上述步骤301、步骤302可同时执行。
步骤303、实时对得到的目标流量数据进行特征提取;
步骤304、得到所述目标流量数据的第一特征;
步骤305、将所述第一特征输入到第一分类模型进行分类;
步骤306、根据分类结果筛选出第一异常流量数据;
步骤307、周期对设定时长内得到的目标流量数据进行特征提取;
步骤308、得到所述目标流量数据的第二特征;
步骤309、将所述第二特征输入到第二分类模型进行分类;
步骤310、根据分类结果筛选出第二异常流量数据。
方式2、先剔除后复制的方式;
如图4所示,该方式下,先剔除采集的流量数据中属于预设流量类型的流量数据,得到目标流量数据,然后对所述目标流量数据进行复制,通过并行处理的线路1和线路2对目标流量数据进行特征提取;
将线路1得到的目标流量数据作为实时进行特征提取使用的目标流量数据,通过线路1对得到的目标流量数据进行实时特征提取得到第一特征,并通过线路1将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;
以及,将线路2得到的目标流量数据作为周期进行特征提取使用的目标流量数据,通过线路2对得到的目标流量数据进行周期特征提取得到第二特征,通过线路2将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据。
可选的,上述线路1可以使用Thrift接口实时将采集的流量数据存储到Hbase,在Hbase上实时对目标流量数据进行特征提取;
上述线路2可以将采集的流量数据存储到Hadoop,在Hadoop上周期对目标流量数据进行特征提取。
如图5所示,该方式的具体实施流程如下:
步骤500、从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据;
步骤501、对所述目标流量数据进行复制;
步骤502、将其中一份目标流量数据作为实时进行特征提取使用的目标流量数据,执行步骤504;
步骤503、将其中另一份目标流量数据作为周期进行特征提取使用的目标流量数据,执行步骤508;
上述步骤502、步骤503可同时执行。
步骤504、实时对得到的目标流量数据进行特征提取;
步骤505、得到所述目标流量数据的第一特征;
步骤506、将所述第一特征输入到第一分类模型进行分类;
步骤507、根据分类结果筛选出第一异常流量数据;
步骤508、周期对设定时长内得到的目标流量数据进行特征提取;
步骤509、得到所述目标流量数据的第二特征;
步骤510、将所述第二特征输入到第二分类模型进行分类;
步骤511、根据分类结果筛选出第二异常流量数据。
可选的,上述周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征中,所述设定时长可以与所述周期相同,也可不同,例如可以每间隔1小时,对该1小时内采集到的目标流量数据进行特征提取得到目标流量数据的第二特征,本实施例中的周期可以为1小时、1天、1个月、1年等,对此本实施例不作过多限定。
可选的,本实施例通过如下方式对目标流量数据进行特征提取:
根据预定义的特征,从目标流量数据中提取出符合所述预定义的特征,需要说明的是,所述预定义的特征包括但不限于各类攻击或威胁的流量数据的特征。
可选的,对目标流量数据进行特征提取,得到的特征包括如下任一或任多特征:
域名;源IP;目标IP;源端口;目标端口;传输协议;负载的最大值;
通过上述特征还可以进一步得到如下任一或任多特征:
同步序列编号(Synchronize Sequence Numbers,SYN)报文数;每秒转发报文数;传输的数据包中设置PSH标志的次数;ACK报文数;在初始窗口中向前发送的字节数;子流中转发方向的平均包数;总字节数;每个数据包的平均字节数;流量持续时间等。
作为一种可选的实施方式,本实施例中第一分类模型与第二分类模型可以相同,也可以不同,其中,第一分类模型或第二分类模型包括但不限于如下任一种分类模型:
随机森林模型;朴素贝叶斯模型;K最近邻(KNN,K-Nearest Neighbor)模型。
上述任一分类模型都可以对采集到的目标流量数据进行分类,得到各种类型的目标流量数据。其中,随机森林模型通过随机森林的每颗分类树(cart树)实现分类,朴素贝叶斯模型通过朴素贝叶斯算法实现分类,KNN模型通过测量不同特征值之间的距离实现分类。
需要说明的是,本实施例中通过第一分类模型、第二分类模型进行分类后,得到各种类型的目标流量数据,从得到的各种类型的目标流量数据中筛选出第一异常流量数据及第二异常流量数据,其中,第一异常流量数据及第二异常流量数据可以是相同类型的异常流量数据,也可以是不同类型的异常流量数据,例如可以都是DDoS攻击类型的异常流量数据,也可以一个是暴力破解类型的异常流量数据,另一个是DDoS攻击类型的异常流量数据。
另外,所述第一异常流量数据中可能包括一种类型的异常流量数据,也可能包括多种类型的异常流量数据;同样的,所述第二异常流量数据中可能包括一种类型的异常流量数据,也可能包括多种类型的异常流量数据。
作为一种可选的实施方式,筛选出第一异常流量数据之后,还包括:
根据第一异常流量数据所属的类型,确定攻击类型;
筛选出第二异常流量数据之后,还包括:
根据第二异常流量数据所属的类型,确定攻击类型。
可选的,还可以根据攻击类型确定与该类型的攻击对应的威胁事件的类型。
步骤101、根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
需要说明的是,第一异常流量数据是通过实时进行特征提取后得到的,具备实时性,第二异常流量数据是通过周期进行特征提取后得到的,由于周期进行特征是对设定时长内采集到的目标流量数据进行特征提取,由于该设定时长内的目标流量数据的数据量通常大于实时采集到的目标流量数据的数据量,因此,相较于通过周期进行特征提取能够提取更多的特征,进而通过第二分类模型进行分类后,得到的结果更加准确,从而能够更准确的筛选出第二异常流量;
因此,通过第一异常流量数据确定当前时刻网络的安全等级能够保证实时性,通过第二异常流量数据确定当前时刻网络的安全等级能够保证准确性。
本实施例提供了三种确定当前时刻网络的安全等级的方式,具体如下所示:
方式1、根据所述第一异常流量数据确定当前时刻网络的安全等级;
若所述第二异常流量数据等于或少于所述第一异常流量数据,则根据所述第一异常流量数据确定当前时刻网络的安全等级;
由于第二异常流量数据等于或少于所述第一异常流量数据,则说明第一异常流量数据是不缺失数据的,此时通过第一异常流量数据确定当前时刻网络的安全等级能够保证实时性的同时,也能够保证准确性。
可选的,通过如下方式根据所述第一异常流量数据确定当前时刻网络的安全等级:
通过熵值赋权法确定第一异常流量数据中各预设指标的权重值;
通过模糊综合评价法,根据所述第一异常流量数据中各预设指标及所述各预设指标的权重值确定当前时刻网络的安全等级。
其中,本实施例中的各预设指标包括但不限于如下指标:
流量数据的平均长度;流量数据包的平均大小;流量字节速率;流量数据包速率;异常流量占比。
方式2、根据所述第二异常流量数据确定当前时刻网络的安全等级;
若所述第二异常流量数据多于所述第一异常流量数据,则根据所述第二异常流量数据确定当前时刻网络的安全等级;
由于第二异常流量数据多于所述第一异常流量数据,则说明此时第一异常流量数据缺失数据,可能导致确定的当前时刻网络的安全等级不够准确,因此,可以通过第二异常流量数据确定当前时刻网络的安全等级。
可选的,若所述第二异常流量数据多于所述第一异常流量数据,还可以将第二异常流量数据中多于所述第一异常流量数据的流量数据添加到第一异常流量数据中,通过添加后的第一异常流量数据确定当前时刻网络的安全等级,仍能够保证确定的当前时刻网络的安全等级的准确性。
可选的,通过如下方式根据所述第二异常流量数据确定当前时刻网络的安全等级:
通过熵值赋权法确定第二异常流量数据中各预设指标的权重值;
通过模糊综合评价法,根据所述第二异常流量数据中各预设指标及所述各预设指标的权重值确定当前时刻网络的安全等级。
其中,本实施例中的各预设指标包括但不限于如下指标:
流量数据的平均长度;流量数据包的平均大小;流量字节速率;流量数据包速率;异常流量占比。
方式3、根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级;
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
该方式下,分别通过第一异常流量数据及第二异常流量数据确定当前时刻网络的安全等级,将确定的第一安全等级和第二安全等级进行综合,从而确定出最终的安全等级。
可选的,根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,包括:
通过熵值赋权法确定所述第一异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;以及
通过熵值赋权法确定所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级。
作为一种可选的实施方式,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级,包括如下任一方式:
方式1、求取第一安全等级和第二安全等级的平均值,根据得到的平均值确定当前时刻网络的安全等级;
方式2、通过所述第一安全等级和第二安全等级对应的权重,分别对所述第一安全等级和第二安全等级进行加权求和,根据所述求和值确定当前时刻网络的安全等级。
需要说明的是,本实施例中的安全等级可分为低级、中级、高级,其中安全等级可以理解为对网络安全进行评分,安全等级则是评分结果即得分,如安全等级评分范围为0-100,其中,0-39中的得分属于低级,40-59中的得分属于中级,60-100中的得分属于高级。
同样的第一安全等级、第二安全等级也可理解为一个得分。
如图6所示,本实施例还提供了一种网络安全预测的具体实施方法,如下所示:
步骤600、采集流量数据;
步骤601、从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,执行步骤602、步骤607;
步骤602、实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征;
步骤603、将所述第一特征输入到第一分类模型进行分类;
步骤604、根据分类结果筛选出第一异常流量数据;
步骤605、通过熵值赋权法确定第一异常流量数据中各预设指标的权重值;
步骤606、通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;
步骤607、周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征;
步骤608、将所述第二特征输入到第二分类模型进行分类;
步骤609、根据分类结果筛选出第二异常流量数据;
步骤610、通过熵值赋权法确定第二异常流量数据中各预设指标的权重值;
步骤611、通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级;
步骤612、根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
作为一种可选的实施方式,本实施例还提供了一种存储流量数据以用于后续溯源、回查、对全网流量数据进行分析,其中,一种是对采集的流量数据进行存储及统计;另一种是对筛选出的第二异常流量数据进行存储及统计。
一种情况是,采集流量数据之后,还包括:
存储采集的流量数据,统计第一时段内所述流量数据的访问信息,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
其中,通过源IP地址信息与地理位置映射表确定源地理位置,通过目标IP地址信息与地理位置映射表确定目标地理位置,从而确定出流量数据的地理路线。
另一种情况是,根据分类结果筛选出第二异常流量数据之后,还包括:
存储所述第二异常流量数据,统计第二时段内所述第二异常流量数据的访问信息,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线。
其中,通过源IP地址信息与地理位置映射表确定源地理位置,通过目标IP地址信息与地理位置映射表确定目标地理位置,从而确定出第二异常流量数据的攻击路线。
可选的,为了便于用户直观的查看全网的流量数据分布及攻击情况,还可以统计访问信息中的访问日期、访问时间、源端口、目标端口等信息。
需要说明的是,本实施例中的第一时段和第二时段可以是相同的时段,也可以是不同的时段,其中第一时段可以是1天,或1个月,或1年,第二时段可以是1小时,1分钟等。
可选的,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线之后,还包括:
在显示界面显示所述流量数据的地理路线。
可选的,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线之后,还包括:
在显示界面显示所述第二异常流量数据的攻击路线。
作为一种可选的实施方式,根据分类结果筛选出第一异常流量数据之后,还包括:
根据分类结果确定所述第一异常流量数据所属的攻击类型,通过与所述攻击类型对应的告警信号进行预警。
作为一种可选的实施方式,该方法还包括:
根据所述流量数据的访问信息中的访问日期和访问时间统计访问次数,对流量数据的访问次数进行显示;
根据所述第二异常流量数据的访问信息中的访问日期和访问时间统计攻击次数,对所述第二异常流量数据的攻击次数进行显示。
如图7所示,本实施例还提供一种对全网流量数据进行可视化的方法,具体实施步骤如下:
步骤700、存储采集的流量数据;
步骤701、统计第一时段内所述流量数据的访问信息;
所述访问信息包括:访问时间、访问日期、源IP地址信息、目标IP地址信息、源端口信息、目标端口信息、使用的通信协议等;
步骤702、根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
步骤703、通过显示界面显示第一时段内所述流量数据的访问信息及地理路线。
如图8所示,本实施例还提供一种对异常流量数据进行可视化的方法,具体实施步骤如下:
步骤801、存储第二异常流量数据;
步骤802、统计第二时段内所述第二异常流量数据的访问信息;
所述访问信息包括:访问时间、访问日期、源IP地址信息、目标IP地址信息、源端口信息、目标端口信息、使用的通信协议等;
步骤803、根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线;
步骤804、通过显示界面显示第二时段内所述第二异常流量数据的访问信息及攻击路线。
基于相同的发明构思,本发明实施例还提供了一种通信设备,由于该设备即是本发明实施例中的方法中的设备,并且该设备解决问题的原理与该方法相似,因此该设备的实施可以参见方法的实施,重复之处不再赘述。
本实施例中提供的通信设备可以是网关设备,也可以是服务器设备。
本实施例的应用场景如图9所示,本实施例提供的通信设备901(可以是网关设备或服务器设备)能够采集通信网络中各个交换机设备输出的流量数据,并根据对采集的流量数据进行处理,对网络安全进行预测。
本实施例提供的一种通信设备如图10所示,该通信设备包括处理器1000、存储器1001、接口1002,接口1003,该通信设备用于通过接口1002、接口1003和其他的网络互连,使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种通信系统之间,可视为一个翻译器,可以完成数据的转发;其中,所述存储器1001存储有程序代码,当所述存储器1001存储的一个或多个计算机程序被所述处理器1000执行时,使得所述设备执行下列过程:
实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及
周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据,其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
作为一种可选的实施方式,所述处理器1000具体用于:
若所述第二异常流量数据等于或少于所述第一异常流量数据,则根据所述第一异常流量数据确定当前时刻网络的安全等级;
所述处理器1000具体用于:
若所述第二异常流量数据多于所述第一异常流量数据,则根据所述第二异常流量数据确定当前时刻网络的安全等级;
所述处理器1000具体用于:
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
作为一种可选的实施方式,所述处理器1000具体用于:
通过熵值赋权法确定第一异常流量数据或所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述第一异常流量数据或所述第二异常流量数据中各预设指标及所述各预设指标的权重值确定当前时刻网络的安全等级;
所述处理具体用于:
通过熵值赋权法确定所述第一异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;以及
通过熵值赋权法确定所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级。
作为一种可选的实施方式,所述处理器1000具体还用于:
存储采集的流量数据,统计第一时段内所述流量数据的访问信息,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
所述处理器1000具体还用于:
存储所述第二异常流量数据,统计第二时段内所述第二异常流量数据的访问信息,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线。
作为一种可选的实施方式,所述处理器1000具体还用于:
对采集的流量数据进行复制,从其中一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为实时进行特征提取使用的目标流量数据,从其中另一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为周期进行特征提取使用的目标流量数据;或
从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,对所述目标流量数据进行复制,将其中一份目标流量数据作为实时进行特征提取使用的目标流量数据,将其中另一份目标流量数据作为周期进行特征提取使用的目标流量数据。
基于相同的发明构思,本发明实施例还提供了一种网络安全预测装置,由于该装置即是本发明实施例中的方法中的装置,并且该装置解决问题的原理与该方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
如图11所示,该装置包括:实时筛选异常流量模块1100、周期筛选异常流量模块1101、预测安全等级模块1102,其中:
实时筛选异常流量模块1100,用于实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及
周期筛选异常流量模块1101,用于周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据,其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
预测安全等级模块1102,用于根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
在一些示例性的实施方式中,所述预测安全等级模块1102具体用于:
若所述第二异常流量数据等于或少于所述第一异常流量数据,则根据所述第一异常流量数据确定当前时刻网络的安全等级;
所述预测安全等级模块1102具体用于:
若所述第二异常流量数据多于所述第一异常流量数据,则根据所述第二异常流量数据确定当前时刻网络的安全等级;
所述预测安全等级模块1102具体用于:
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
在一些示例性的实施方式中,所述预测安全等级模块1102具体用于:
通过熵值赋权法确定第一异常流量数据或所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述第一异常流量数据或所述第二异常流量数据中各预设指标及所述各预设指标的权重值确定当前时刻网络的安全等级;
所述预测安全等级模块1102具体用于:
通过熵值赋权法确定所述第一异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;以及
通过熵值赋权法确定所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级。
在一些示例性的实施方式中,所述装置还包括存储统计模块具体用于:
存储采集的流量数据,统计第一时段内所述流量数据的访问信息,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
所述存储统计模块具体用于:
存储所述第二异常流量数据,统计第二时段内所述第二异常流量数据的访问信息,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线。
在一些示例性的实施方式中,所述装置还包括复制模块具体用于:
对采集的流量数据进行复制,从其中一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为实时进行特征提取使用的目标流量数据,从其中另一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为周期进行特征提取使用的目标流量数据;或
从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,对所述目标流量数据进行复制,将其中一份目标流量数据作为实时进行特征提取使用的目标流量数据,将其中另一份目标流量数据作为周期进行特征提取使用的目标流量数据。
基于相同的发明构思,本发明实施例还提供一种计算机存储介质,所述计算机存储介质中存储有计算机程序指令,当所述指令在计算机上运行时,使得所述计算机执行如下所述的处理方法:
实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及
周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据,其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的设备。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令设备的制造品,该指令设备实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种通信设备,其特征在于,该设备包括处理器以及存储器,其中,所述存储器存储有程序代码,当所述存储器存储的一个或多个计算机程序被所述处理器执行时,使得所述设备执行下列过程:
实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及
周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据,其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
2.根据权利要求1所述的设备,其特征在于,所述处理器具体用于:
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
3.根据权利要求2所述的设备,其特征在于,所述处理器具体用于:
通过熵值赋权法确定所述第一异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;以及
通过熵值赋权法确定所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级。
4.根据权利要求1所述的设备,其特征在于,所述处理器具体还用于:
存储采集的流量数据,统计第一时段内所述流量数据的访问信息,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
所述处理器具体还用于:
存储所述第二异常流量数据,统计第二时段内所述第二异常流量数据的访问信息,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线。
5.根据权利要求1所述的设备,其特征在于,所述处理器具体还用于:
对采集的流量数据进行复制,从其中一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为实时进行特征提取使用的目标流量数据,从其中另一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为周期进行特征提取使用的目标流量数据;或
从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,对所述目标流量数据进行复制,将其中一份目标流量数据作为实时进行特征提取使用的目标流量数据,将其中另一份目标流量数据作为周期进行特征提取使用的目标流量数据。
6.一种网络安全预测方法,其特征在于,应用于通信设备,该方法包括:
实时对采集到的目标流量数据进行特征提取得到所述目标流量数据的第一特征,将所述第一特征输入到第一分类模型进行分类,根据分类结果筛选出第一异常流量数据;以及
周期对设定时长内采集到的目标流量数据进行特征提取得到所述目标流量数据的第二特征,将所述第二特征输入到第二分类模型进行分类,根据分类结果筛选出第二异常流量数据,其中所述目标流量数据是从采集的流量数据中剔除属于预设流量类型的流量数据后得到的;
根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,并根据时间序列预测法预测下一时刻网络的安全等级。
7.根据权利要求6所述的方法,其特征在于,根据所述第一异常流量数据和所述第二异常流量数据确定当前时刻网络的安全等级,包括:
根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,根据所述第一安全等级和第二安全等级确定当前时刻网络的安全等级。
8.根据权利要求7所述的方法,其特征在于,根据第一异常流量数据确定当前时刻网络的第一安全等级,以及根据第二异常流量数据确定当前时刻网络的第二安全等级,包括:
通过熵值赋权法确定所述第一异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第一安全等级;以及
通过熵值赋权法确定所述第二异常流量数据中各预设指标的权重值;通过模糊综合评价法,根据所述各预设指标及所述各预设指标的权重值确定当前时刻网络的第二安全等级。
9.根据权利要求6所述的方法,其特征在于,采集流量数据之后,还包括:
存储采集的流量数据,统计第一时段内所述流量数据的访问信息,根据所述访问信息中的源网际互连协议IP地址信息及目标IP地址信息确定所述流量数据的地理路线;
根据分类结果筛选出第二异常流量数据之后,还包括:
存储所述第二异常流量数据,统计第二时段内所述第二异常流量数据的访问信息,根据所述访问信息中的源IP地址信息及目标IP地址信息确定所述第二异常流量数据的攻击路线。
10.根据权利要求6所述的方法,其特征在于,该方法还包括:
对采集的流量数据进行复制,从其中一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为实时进行特征提取使用的目标流量数据,从其中另一份流量数据中剔除属于预设流量类型的流量数据后得到的目标流量数据作为周期进行特征提取使用的目标流量数据;或
从采集的流量数据中剔除属于预设流量类型的流量数据后得到目标流量数据,对所述目标流量数据进行复制,将其中一份目标流量数据作为实时进行特征提取使用的目标流量数据,将其中另一份目标流量数据作为周期进行特征提取使用的目标流量数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911300271.8A CN112995104B (zh) | 2019-12-16 | 2019-12-16 | 一种通信设备及网络安全预测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911300271.8A CN112995104B (zh) | 2019-12-16 | 2019-12-16 | 一种通信设备及网络安全预测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995104A CN112995104A (zh) | 2021-06-18 |
| CN112995104B true CN112995104B (zh) | 2022-05-20 |
Family
ID=76342019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911300271.8A Active CN112995104B (zh) | 2019-12-16 | 2019-12-16 | 一种通信设备及网络安全预测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995104B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685016A (zh) * | 2012-06-06 | 2012-09-19 | 济南大学 | 互联网流量区分方法 |
| CN106411597A (zh) * | 2016-10-14 | 2017-02-15 | 广东工业大学 | 一种网络流量异常检测方法及系统 |
| CN106790050A (zh) * | 2016-12-19 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种异常流量检测方法及检测系统 |
| CN108833376A (zh) * | 2018-05-30 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 面向软件定义网络的DoS攻击检测方法 |
| CN109167798A (zh) * | 2018-11-01 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于机器学习的家用物联网设备DDoS检测方法 |
| CN109656818A (zh) * | 2018-12-05 | 2019-04-19 | 北京计算机技术及应用研究所 | 一种软件密集系统故障预测方法 |
| CN110225001A (zh) * | 2019-05-21 | 2019-09-10 | 清华大学深圳研究生院 | 一种基于主题模型的动态自更新网络流量分类方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
-
2019
- 2019-12-16 CN CN201911300271.8A patent/CN112995104B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685016A (zh) * | 2012-06-06 | 2012-09-19 | 济南大学 | 互联网流量区分方法 |
| CN106411597A (zh) * | 2016-10-14 | 2017-02-15 | 广东工业大学 | 一种网络流量异常检测方法及系统 |
| CN106790050A (zh) * | 2016-12-19 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种异常流量检测方法及检测系统 |
| CN108833376A (zh) * | 2018-05-30 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 面向软件定义网络的DoS攻击检测方法 |
| CN109167798A (zh) * | 2018-11-01 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于机器学习的家用物联网设备DDoS检测方法 |
| CN109656818A (zh) * | 2018-12-05 | 2019-04-19 | 北京计算机技术及应用研究所 | 一种软件密集系统故障预测方法 |
| CN110225001A (zh) * | 2019-05-21 | 2019-09-10 | 清华大学深圳研究生院 | 一种基于主题模型的动态自更新网络流量分类方法 |
Non-Patent Citations (1)
| Title |
|---|
| 在线学习的大规模网络流量分类研究;易磊等;《智能系统学报》;20160513;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995104A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2019095719A1 (zh) | 网络流量异常检测方法、装置、计算机设备和存储介质 | |
| CN111935172B (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| CN102340485B (zh) | 基于信息关联的网络安全态势感知系统及其方法 | |
| CN111901327B (zh) | 云网络漏洞挖掘方法、装置、电子设备及介质 | |
| CN110535702B (zh) | 一种告警信息处理方法及装置 | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| KR102120214B1 (ko) | 앙상블 기계학습 기법을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법 | |
| CN113408609A (zh) | 一种网络攻击检测方法及系统 | |
| US11424993B1 (en) | Artificial intelligence system for network traffic flow based detection of service usage policy violations | |
| CN113055335B (zh) | 用于检测通信异常的方法、装置、网络系统和存储介质 | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| JP6750457B2 (ja) | ネットワーク監視装置、プログラム及び方法 | |
| CN110149247B (zh) | 一种网络状态的检测方法及装置 | |
| CN112995104B (zh) | 一种通信设备及网络安全预测方法 | |
| CN113645215A (zh) | 异常网络流量数据的检测方法、装置、设备及存储介质 | |
| CN116471124B (zh) | 基于大数据信息进行分析的计算机网络安全预测系统 | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN108768774B (zh) | 一种定量化的网络安全评估方法及评估系统 | |
| EP3826242B1 (en) | Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device | |
| Evangelou et al. | Predictability of netflow data | |
| CN110928942A (zh) | 指标数据监控管理方法及装置 | |
| KR101326804B1 (ko) | 분산서비스거부 공격 탐지 방법 및 시스템 | |
| CN112579833A (zh) | 基于用户操作数据的业务关联关系获取方法及装置 | |
| CN112333155A (zh) | 一种异常流量的检测方法、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |