CN113452714A - 主机聚类方法及装置 - Google Patents

主机聚类方法及装置 Download PDF

Info

Publication number
CN113452714A
CN113452714A CN202110727288.2A CN202110727288A CN113452714A CN 113452714 A CN113452714 A CN 113452714A CN 202110727288 A CN202110727288 A CN 202110727288A CN 113452714 A CN113452714 A CN 113452714A
Authority
CN
China
Prior art keywords
host
network
clustered
determining
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110727288.2A
Other languages
English (en)
Other versions
CN113452714B (zh
Inventor
谷源涛
蒙治伸
张振威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tsinghua University
Original Assignee
Tsinghua University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tsinghua University filed Critical Tsinghua University
Priority to CN202110727288.2A priority Critical patent/CN113452714B/zh
Publication of CN113452714A publication Critical patent/CN113452714A/zh
Application granted granted Critical
Publication of CN113452714B publication Critical patent/CN113452714B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/906Clustering; Classification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及一种主机聚类方法及装置,该方法包括:获取通信网络在目标时间段内的多个网络数据包;对每个网络数据包进行数据提取,确定对应的网络流元数据;根据所有网络流元数据,确定待聚类主机以及待聚类主机的主机行为特征;根据主机行为特征,对待聚类主机进行聚类,得到目标时间段的主机聚类结果。本公开实施例,通过提取通信网络在目标时间段内的网络数据包对应的网络流元数据,以确定待聚类主机的主机行为特征,并基于主机行为特征进行主机聚类,能够提供一种高效率、高性能的主机聚类方法。

Description

主机聚类方法及装置
技术领域
本公开涉及计算机技术领域,尤其涉及一种主机聚类方法及装置。
背景技术
随着科技的不断发展,通信网络的安全分析日趋复杂。对主机(例如,互联网通信网络中的节点)进行聚类,便于进行通信网络的安全分析,例如,能够快速明确主机角色、监控通信网络的情况、检测通信网络的异常行为等。
然而,相关技术中,尚且缺乏高效率、高性能的主机聚类方法。
发明内容
有鉴于此,本公开提出了一种主机聚类方法及装置。
根据本公开的一方面,提供了一种主机聚类方法,所述方法包括:
获取通信网络在目标时间段内的多个网络数据包;
对每个网络数据包进行数据提取,确定对应的网络流元数据;
根据所有网络流元数据,确定待聚类主机以及所述待聚类主机的主机行为特征;
根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果。
在一种可能的实现方式中,所述对每个网络数据包进行数据提取,确定对应的网络流元数据,包括:
通过目标进程提取每个网络数据包对应的网络流元数据,
其中,所述目标进程是多个独立的子任务拼接确定的,所述目标进程包括的子任务以及所述子任务的拼接关系是根据场景类型确定的。
在一种可能的实现方式中,所述网络流元数据包括源IP、目的IP以及网络流量,
其中,根据所有网络流元数据,确定待聚类主机,包括:
根据所述所有网络流元数据,确定目标主机的连接次数以及网络流量之和,所述目标主机为包括至少一个所述网络流元数据中源IP或目的IP的主机;
在所述连接次数大于或等于第一阈值,且所述网络流量之和大于或等于第二阈值时,将所述目标主机确定为所述待聚类主机。
在一种可能的实现方式中,所述网络流元数据包括源IP以及目的IP,
其中,根据所有网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据所述所有网络流元数据的源IP以及目的IP,确定包括待聚类主机IP的目标网络流元数据;
根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,
其中,所述主机行为特征包括所述待聚类主机的连接特征、所述待聚类主机的在网络中的功能特征、所述待聚类主机的流量特征以及所述待聚类主机的应用特征中的一种或多种。
在一种可能的实现方式中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据所述目标网络流元数据,确定与所述待聚类主机存在主机通信的IP集合;
确定所述IP集合中的IP数量、第二个字节的熵与第四个字节的熵之间的比值R1以及第三个字节的熵与第四个字节的熵之间的比值R2,其中,字节的熵是根据所述IP集合中所有IP的对应字节的数值分布信息确定的;
根据所述IP集合中的IP数量、所述比值R1以及所述比值R2,确定所述待聚类主机的连接特征。
在一种可能的实现方式中,所述网络流元数据还包括源端口以及目的端口,
其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据每个目标网络流元数据的源端口以及目的端口,确定所述待聚类主机的源端口数量、目的端口数量以及端口类型,其中,所述端口类型包括系统端口、用户端口以及动态端口;
根据所述源端口数量、目的端口数量以及端口类型,确定所述待聚类主机的在网络中的功能特征。
在一种可能的实现方式中,所述网络流元数据还包括网络流量、传输时间信息以及传输层协议,所述方法还包括:确定历史时间段内所述待聚类主机的目标网络流元数据的第一数量以及所述目标时间段内目标网络流元数据的第二数量,
其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据所述第一数量、所述第二数量以及目标时间段的数量,确定所述待聚类主机的网络流平均包个数,所述目标时间段的数量是根据历史时间段与目标时间段确定的;
根据目标网络流元数据的网络流量之和以及所述目标时间段的时长,确定待聚类主机的平均流量;
根据目标网络流元数据的网络流量之和以及目标网络元数据的数量,确定平均包数据量;
根据所述传输时间信息,确定平均持续时间;
根据所述传输层协议以及所述目标时间段的时长,确定流平均标识位数量;
根据所述网络流平均包个数、平均流量、平均包数据量、平均持续时间、流平均标识位数量,确定所述待聚类主机的流量特征。
在一种可能的实现方式中,所述网络流元数据还包括应用层协议信息,所述应用层协议信息包括应用层协议类型和/或基本特征,
其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征:包括:
根据所述目标网络流元数据的应用层协议信息,确定所述待聚类主机的应用层协议信息;
根据所述待聚类主机的应用层协议信息,确定所述待聚类主机的应用特征。
在一种可能的实现方式中,所述根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果,包括:
确定任意两个主机簇的簇间相似度,其中,每个主机簇包括至少一个待聚类主机,所述簇间相似度是所述两个主机簇中具有最大相似度的两个待聚类主机的相似度信息,所述两个待聚类主机分别归属于不同主机簇,所述相似度信息是根据所述两个待聚类主机的主机行为特征确定的;
根据所述簇间相似度,执行聚类操作;
在满足任意预设条件时,确定所述目标时间段的主机聚类结果,
其中,所述预设条件包括主机簇的数量小于或等于第三阈值、两个主机簇组合得到的簇间分散度大于或等于第四阈值以及所有待聚类主机处于同一主机簇。
在一种可能的实现方式中,所述主机聚类结果包括至少一个主机簇,所述方法还包括:
根据至少一个主机簇,执行以下至少一种操作:
确定所述至少一个主机簇中主机的行为模式;
确定所述至少一个主机簇中主机在所述通信网络中的角色信息;
对所述通信网络进行网络监控;
对所述通信网络进行异常检测;
对所述通信网络进行访问控制。
根据本公开的另一方面,提供了一种主机聚类装置,装置包括:
获取模块,用于获取通信网络在目标时间段内的多个网络数据包;
第一确定模块,用于对每个网络数据包进行数据提取,确定对应的网络流元数据;
第二确定模块,用于根据所有网络流元数据,确定待聚类主机以及所述待聚类主机的主机行为特征;
聚类模块,用于根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果。
本公开实施例,基于网络流量特征分析方法,通过提取通信网络在目标时间段内的网络数据包对应的网络流元数据,以确定待聚类主机的主机行为特征,并基于主机行为特征进行主机聚类,提供一种高效率、高性能的主机聚类方法。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出根据本公开实施例的一种主机聚类方法的流程图。
图2示出根据本公开实施例的一种主机聚类方法中提取网络流元数据的流程图。
图3示出根据本公开实施例的一种主机聚类系统的示意图。
图4示出根据本公开实施例的一种主机聚类装置的框图。
图5示出根据本公开实施例的一种主机聚类装置的框图。
图6示出根据本公开实施例的一种主机聚类装置的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
网络流量特征分析是目前网络研究的重要研究领域之一,其定义是通过使用统计信息或其他复杂方法发现有用信息的过程,例如,可以包括捕获、收集和存储网络流量数据,汇总数据以进行查询和分析,以及分析数据以挖掘有用的信息。挖掘的信息可以被用于网络管理、网络度量以及网络安全相关领域。
其中,网络流量特征分析主要基于网络流层次或者单个主机层次。例如,将主机通信信息按照网络流进行聚合整理,提取特征再进行分析。或者,针对网络单个主机层次进行特征分析。例如,确定单个主机的行为特征,或是根据主机的流量特征分析主机的角色。如前所述,主机为互联网通信网络中的各个节点,例如,可以是一台个人电脑或者服务器等设备。主机可以理解为一个设备,例如,可以等同于一个网际互连协议(Internet Protocol,IP),一个主机也可以对应多个IP,例如,同一个路由器的多个IP对应一个主机。
相关技术中,缺乏以主机群(或称主机簇)的特征层次进行分析的方法,从而导致无法从宏观角度上进行分析,无法通过主机群层次来找出普遍性的规律和挖掘深层次的行为模式。例如,无法从主机群层次进行主机行为模式的识别、无法从主机群层次对所述通信网络进行网络监控、无法从主机群层次对所述通信网络进行异常检测以及无法从主机群层次对所述通信网络进行访问控制等。其中,主机群可以理解为一系列行为相似的主机的集合。
为解决上述问题,借助网络流量特征分析的方法,本公开提出了一种主机聚类方法,能够针对主机群的网络流量数据的分析,从而实现具有较快运行速度,并能以较高性能完成大规模网络流量数据的主机聚类方法。
图1示出根据本公开实施例的一种主机聚类方法的流程图。如图1所示,该方法包括:
在步骤S11中,获取通信网络在目标时间段内的多个网络数据包;
在步骤S12中,对每个网络数据包进行数据提取,确定对应的网络流元数据;
在步骤S13中,根据所有网络流元数据,确定待聚类主机以及所述待聚类主机的主机行为特征;
在步骤S14中,根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果。
本公开实施例,通过提取通信网络在目标时间段内的网络数据包对应的网络流元数据,以确定待聚类主机的主机行为特征,并基于主机行为特征进行主机聚类,从而实现高效率、高性能的主机聚类方法。
其中,网络流元数据可以包括对任意层次(例如,如网络层、传输层、应用层等)的任意协议(例如,传输层的传输控制协议、应用层的超文本传输协议,实时传输协议、会话初始协议等协议)解析后得到的各类元数据。
举例来说,网络流元数据可以包括网络流的数据统计信息,例如,网络数据包的网络流量、网络流的基本特征(例如,传输时间信息)等。其中,网络流可以是由通信网络流量传输的数据中提取得到的流数据,网络流可以对应唯一五元组信息标识,五元组信息可以包括源IP,目的IP,源端口,目的端口,传输层协议,网络流元数据可以包括五元组信息。其中,五元组信息可以理解为网络流元数据在网络流层面的一种索引,网络流元数据可以按照五元组信息进行划分。网络流元数据还可以包括网络层元信息、应用层协议信息、会话元数据等任意类型的元数据,其中,应用层协议信息可以包括应用层协议类型和/或基本特征,本公开对网络流元数据的类型、内容均不作限制。
其中,主机行为特征可以包括体现主机的各个层次的行为特征,可以是抽象化主机的行为特征,可以用于构建主机画像。主机行为特征可以用于计算不同待聚类主机之间的相似度信息,例如,可以根据主机行为特征,计算两个待聚类主机之间的距离,以此作为相似度信息。并在此基础上,进行主机聚类,划分得到至少一个主机簇,主机簇中包括相似度较高的主机。
在一种可能的实现方式中,主机行为特征可以是根据网络数据包的流量统计特征和流量业务类型特征确定的。例如,主机行为特征可以包括至少一个特征层次,用于在目标时间段内对主机的一系列特征属性进行抽象描述。其中,主机行为特征包括多个层次时,可以从不同层次基于网络数据包,对相应的待聚类主机进行分析,以进行主机聚类,从而能够挖掘出更深层次的主机行为模式。
在一种可能的实现方式中,主机行为特征可以包括连接特征、功能特征、流量特征以及应用特征中的至少一者。
其中,连接特征可以用于表征待聚类主机与其他主机的交流信息。功能特征可以用于表征待聚类主机在通信网络中的作用,例如,为服务器或者终端。流量特征可以包括待聚类主机与网络流量相关的统计信息。应用特征可以用于表征待聚类主机业务的分布信息,可以用于准确地定位待聚类主机的角色信息,例如,可以用于确定服务器的服务类型,还可以用于确定终端对应的用户访问习惯等。本公开对主机行为特征的特征层次以及内容均不作限制。
其中,获取通信网络在目标时间段内的多个网络数据包,可以是实时获取通信网络在目标时间段内的每个网络数据包,也可以是获取通信网络在历史的一个目标时间段内的多个网络数据包。其中,目标时间段的取值可以灵活设置,例如,可以按照网络数据包的数据量以及详细程度进行设置,例如,可以是每小时或者每天,本公开对此不作限制。
在一种可能的实现方式中,对每个网络数据包进行数据提取,确定对应的网络流元数据,可以在实时获取到每个网络数据包时,对该网络数据包进行数据提取和挖掘,确定对应的网络流元数据,也可以是对多个网络数据包进行数据提取和挖掘,分别确定每个网络数据包对应的网络流元数据。
在一些可选的实施例中,对网络数据包进行数据提取和挖掘可以是并行操作。例如,并行执行对不同网络数据包的数据提取和挖掘操作。其中,并行执行数据提取和挖掘操作可以是针对不同网络数据包同一类型的网络流元数据,也可以是针对不同网络数据包不同类型的网络流元数据,本公开对此不作限制。
在一种可能的实现方式中,对每个网络数据包进行数据提取,确定对应的网络流元数据,可以包括:
通过目标进程提取每个网络数据包对应的网络流元数据,
其中,所述目标进程是多个独立的子任务拼接确定的,所述目标进程包括的子任务以及所述子任务的拼接关系是根据场景类型确定的。
举例来说,可以根据场景类型与网络流元数据类型的对应关系,确定待提取的网络流元数据类型,以根据待提取的网络流元数据类型确定对应的子任务。其中,场景类型与网络流元数据类型的对应关系可以灵活设置,子任务之间彼此独立,每个子任务可以用于提取至少一个类型的网络流元数据。不同子任务用于提取的网络流元数据类型可以不相同。可以将多个独立的子任务进行拼接,得到目标进程,以通过目标进程提取每个网络数据包对应的与场景类型匹配的各类网络流元数据。
其中,每个子任务可以独立用于数据处理和数据挖掘,以得到相应的处理结果,便于存储以及有效利用关键信息。例如,每个子任务得到的网络流元数据可以存储在内存中,并在目标进程完成时将确定的各类网络流元数据存储到数据库中,例如,网络流元数据存储数据库。
通过这种方式,能够提高提取网络流元数据的运行并行度,并实现流水线提取网络流元数据,并行利用资源,提高主机聚类过程的运算速度。例如,子任务a和子任务b用于依次提取第一类网络流元数据和第二类网络流元数据。子任务a在对网络数据包A提取得到第一类型的网络流元数据后,可以由子任务b对网络数据包A提取第二类网络流元数据。子任务a可以用于对网络数据包B提取第一类型的网络流元数据,从而能够有效提高网络流元数据的运行并行度,并实现流水线处理。
并且,通过目标进程提取每个网络数据包对应的网络流元数据还能够提高对网络流元数据提取的灵活度,提高处理效率。例如,可以根据场景类型,灵活确定子任务,并拼接为目标进程。在场景类型变化时,也利于灵活增加子任务、减少子任务、调整子任务的拼接关系,高效地确定更新后的目标进程。
图2示出根据本公开实施例的一种主机聚类方法中提取网络流元数据的流程图。为便于理解,下面结合图2示例性说明通过目标进程提取每个网络数据包对应的网络流元数据。应理解,图2示出的仅为提取网络流元数据的示例性流程,本申请的提取网络流元数据的流程并不限制于此。
如图2所示,可以获取网络数据包,例如,可以获取到Packet Capture(简称为pcap)这一存储格式的网络数据包。目标进程是由多个独立的子任务拼接得到。对于任意一个网络数据包,可以经第一个子任务处理,例如,寻找该数据包的包头信息,并解析得到网络层元信息,将确定的传输层数据包发送给第二个子任务处理。第二个子任务根据传输层协议,在网络流级别上检测应用层协议,例如,依照传输层协议和传输负载的一些特殊字段的组合,来推断网络数据包的应用层协议,将确定的应用层数据包发送给第三个子任务处理。第三个子任务解析传输层以及应用层协议,例如,按照第二个子任务的推断结果,依照对应的官方文档格式进行解析,以提取会话元数据及主机活动,并将确定的会话元数据发送给第四个子任务处理。第四个子任务提取会话元数据包,并提取网络流的基本特征。
其中,根据所有网络流元数据,确定的待聚类主机,可以是将网络流元数据中包括的源IP或者目的IP对应的目标主机,确定为待聚类主机。还可以是将网络流元数据中包括的源IP或者目的IP对应的目标主机中满足预设条件的目标主机确定为待聚类主机。预设条件可以包括该目标主机在目标时间段内的连接次数大于或等于第一阈值或者目标主机在目标时间段内的网络流量之和大于或等于第二阈值等,本公开对预设条件不作限制。
在一种可能的实现方式中,所述网络流元数据包括源IP、目的IP以及网络流量,其中,根据所有网络流元数据,确定待聚类主机,可以包括:
根据所述所有网络流元数据,确定目标主机的连接次数以及网络流量之和,所述目标主机为包括至少一个所述网络流元数据中源IP或目的IP的主机;
在所述连接次数大于或等于第一阈值,且所述网络流量之和大于或等于第二阈值时,将所述目标主机确定为所述待聚类主机。
举例来说,可以根据所有网络流元数据,确定在目标时间段内目标主机的连接次数,例如,将包括目标主机IP的网络流元数据的个数之和确定为连接次数。还可以确定包括目标主机IP的每个网络流元数据的网络流量,以确定网络流量之和。其中,第一阈值、第二阈值均可以灵活设置,例如,第一阈值可以根据目标时间段内网络数据包的数量来确定,第二阈值可以根据目标时间段内网络数据包的总网络流量来确定,本公开对此不作限制。
这样,可以筛选在目标时间段内具有一定活跃度的目标主机作为待聚类主机,能够提高主机聚类的目的性和运行效率。
在一种可能的实现方式中,根据所有网络流元数据,确定所述待聚类主机的主机行为特征,可以是根据提取到的所有网络流元数据,确定每个待聚类主机的各类主机行为特征。其中,所有网络流元数据可以是存储在数据库中的。
在一种可能的实现方式中,所述网络流元数据包括源IP以及目的IP,
其中,根据所有网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据所述所有网络流元数据的源IP以及目的IP,确定包括待聚类主机IP的目标网络流元数据;
根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,
其中,所述主机行为特征包括所述待聚类主机的连接特征、所述待聚类主机的在网络中的功能特征、所述待聚类主机的流量特征以及所述待聚类主机的应用特征中的一种或多种。
举例来说,对于任意一个待聚类主机,可以根据所有网络流元数据的源IP以及目的IP,确定包括待聚类主机IP的目标网络流元数据,以基于目标网络流元数据,确定该待聚类主机的主机行为特征。如前所说,主机行为特征可以包括待聚类主机的连接特征、所述待聚类主机的在网络中的功能特征、所述待聚类主机的流量特征以及所述待聚类主机的应用特征中的一种或多种,在此不再赘述。
通过确定每个待聚类主机对应的目标网络流元数据,能够准确地根据目标网络流元数据,确定该待聚类主机的主机行为特征。
在一种可能的实现方式中,所述网络流元数据包括传输层协议,若传输层协议为传输控制协议(Transmission Control Protocol,TCP),则所述目标网络流元数据为包括待聚类主机IP,且TCP连接为待聚类主机创建的网络流元数据,并根据目标网络流元数据,确定该待聚类主机的主机行为特征。
在一种可能的实现方式中,若传输层协议为用户数据报协议(User DatagramProtocol,UDP),则所述目标网络流元数据为包括待聚类主机IP的网络流元数据,并根据目标网络流元数据,确定该待聚类主机的主机行为特征。
这样,通过区分传输层协议,将TCP确定为有向的,将UDP连接确定为双向的,分别确定用于确定待聚类主机的主机行为特征的目标网络流元数据,能够提高主机聚类结果的准确度。
在一种可能的实现方式中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,可以包括:
根据所述目标网络流元数据,确定与所述待聚类主机存在主机通信的IP集合;
确定所述IP集合中的IP数量、第二个字节的熵与第四个字节的熵之间的比值R1以及第三个字节的熵与第四个字节的熵之间的比值R2,其中,字节的熵是根据所述IP集合中所有IP对应字节的数值的分布信息确定的;
根据所述IP集合中的IP数量、所述比值R1以及所述比值R2,确定所述待聚类主机的连接特征。
其中,与所述待聚类主机存在主机通信可以根据五元组信息确定,例如,五元组信息中的源IP为待聚类主机的IP,则目的IP为与待聚类主机存在主机通信的IP,或者,五元组信息中的目的IP为待聚类主机的IP,则源IP为与待聚类主机存在主机通信的IP。这样,可以确定IP集合以及IP集合中的IP数量。
在一种可能的实现方式中,可以根据所述IP集合中所有IP的目标字节的数值的分布信息,确定目标字节的熵,目标字节可以为第二个字节、第三个字节以及第四个字节,并将第二个字节的熵与第四个字节的熵的比值确定为比值R1,将第三个字节的熵与第四个字节的熵的比值确定为比值R2。其中,数值的分布信息可以包括该数值的出现概率。
在一种可能的实现方式中,可以根据目标字节的每个数值的出现概率,确定该目标字节的熵。
以第二个字节的数值为多个为例,可以根据如下公式确定第二个字节的熵H(X2):
H(X2)=-γ1×log2γ1-…-γq×log2γq
其中,γ1用于表示数值1的出现概率,γq用于表示数值1的出现概率,其中,q为大于1的整数。
例如,IP集合包括4个IP“127.0.0.1”、“127.0.1.1”、“127.1.1.0”以及“127.2.0.2”。其中,第二个字节的数值分别为:0、0、1和2。可以确定该IP集合中第二个字节的数值的分布信息为:数值0出现2次,出现概率为1/2,数值1出现1次,出现概率为1/4,数值2出现1次,出现概率为1/4。则
Figure BDA0003139135260000111
可以根据所述IP集合中的IP数量、所述比值R1以及所述比值R2,确定所述待聚类主机的连接特征,例如,将IP集合中的IP数量、所述比值R1以及所述比值R2确定为连接特征。
通过这种方法,可以得到待聚类主机的连接特征,从而确定待聚类主机与其他主机的交流信息。
在一种可能的实现方式中,所述网络流元数据还包括源端口以及目的端口,其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,可以包括:
根据每个目标网络流元数据的源端口以及目的端口,确定所述待聚类主机的源端口数量、目的端口数量以及端口类型,其中,所述端口类型包括系统端口、用户端口以及动态端口;
根据所述源端口数量、目的端口数量以及端口类型,确定所述待聚类主机的在网络中的功能特征。
其中,待聚类主机的源端口数量可以是指在该待聚类主机的所有目标网络流元数据中,源端口为待聚类主机的端口的数量。待聚类主机的目的端口数量可以是指在该待聚类主机的所有目标网络流元数据中,目的端口为待聚类主机的端口的数量。
其中,端口类型包括系统端口、用户端口以及动态端口。可以根据待聚类主机的端口号,确定其端口类型。例如,端口号在0到1023之间的为系统端口,端口号在1024到49151之间的为用户端口,端口号在49152到65535之间的为动态端口。
根据所述源端口数量、目的端口数量以及端口类型,确定所述待聚类主机的在网络中的功能特征,例如,将源端口数量、目的端口数量以及端口类型确定为功能特征。
通过这种方式,可以得到待聚类主机的功能特征,从而确定待聚类主机在通信网络中的作用。
在一种可能的实现方式中,所述网络流元数据还包括网络流量、传输时间信息以及传输层协议,所述方法还包括:确定历史时间段内所述待聚类主机的目标网络流元数据的第一数量以及所述目标时间段内目标网络流元数据的第二数量,
其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据所述第一数量、所述第二数量以及目标时间段的数量,确定所述待聚类主机的网络流平均包个数,所述目标时间段的数量是根据历史时间段与目标时间段确定的;
根据目标网络流元数据的网络流量之和以及所述目标时间段的时长,确定待聚类主机的平均流量;
根据目标网络流元数据的网络流量之和以及目标网络元数据的数量,确定平均包数据量;
根据所述传输时间信息,确定平均持续时间;
根据所述传输层协议以及所述目标时间段的时长,确定流平均标识位数量;
根据所述网络流平均包个数、平均流量、平均包数据量、平均持续时间、流平均标识位数量,确定所述待聚类主机的流量特征。
举例来说,可以根据网络流元数据,分别确定网络流平均包个数、平均流量、平均包数据量、平均持续时间、流平均标识位数量,并确定为待聚类主机的流量特征。
其中,网络流平均包个数可以用于表征待聚类主机在目标时间段内的平均网络数据包的个数。例如,可以确定历史时间段内所述待聚类主机的目标网络流元数据的第一数量以及所述目标时间段内目标网络流元数据的第二数量。应理解,目标网络流元数据是根据网络数据包进行数据提取和数据挖掘确定的,其数量与待聚类主机的网络数据包的数量相同。
可以根据所述第一数量、所述第二数量以及目标时间段的数量,确定所述待聚类主机的网络流平均包个数,其中,所述目标时间段的数量是根据历史时间段与目标时间段确定的。例如,历史时间段为12小时,目标时间段为1小时,则目标时间段的数量为13。可以确定第一数量与第二数量的数量和,并将数量和与目标时间段的数量的比值,确定为网络流平均包个数。
其中,平均流量可以是指待聚类主机在目标时间段内的网络流量。例如,可以根据目标网络流元数据的网络流量之和以及所述目标时间段的时长的比值,确定待聚类主机的平均流量。例如,目标时间段的时长为10分钟,目标时间段内网络流量之和为100MB,则平均流量可以为10MB/分钟。
其中,平均包数据量可以是指待聚类主机在目标时间段内每个网络数据包的平均数据量。例如,可以根据目标网络流元数据的网络流量之和以及目标网络元数据的数量,确定平均包数据量。例如,目标时间段内网络流量之和为100MB,目标网络元数据的数量(与网络数据包的数量相同)为100个,则平均包数据量为1MB/包。
其中,平均持续时间可以是指目标时间段内每个网络数据包的间隔时间特征。例如,可以根据所述传输时间信息,确定平均持续时间。其中,传输时间信息可以包括传输开始时间以及传输结束时间,可以用确定平均持续时间。
其中,流平均标识位数量可以是目标时间段内待聚类主机网络数据包中任意标识位的平均个数。以传输层协议信息为TCP为例,TCP的包头中包括多个标识位,例如,确认字符(Acknowledge Character,ACK)、传输标识位PUSH、传输标识位PSH、连接标识位SYN等。可以确定任意一个标识位在目标时间段内待聚类主机网络数据包中的平均个数,确定为该标识位对应的流平均标识位数量。
举例来说,流平均标识位数量可以包括流平均确认字符ACK数量,其可以是指目标时间段内待聚类主机网络数据包中传输层协议信息为TCP包中ACK包的平均个数。例如,可以根据所述传输层协议以及所述目标时间段的时长,确定流平均确认字符数量。例如,可以根据传输层协议,确定ACK包的个数,并根据ACK包的个数与时长的比值,确定流平均确认字符数量。例如,目标时间段的时长为10分钟,ACK包的个数为50,则流平均确认字符数量可以为5个/分钟。
流平均标识位数量还可以包括流平均数据传输标识数量,其可以是指目标时间段内待聚类主机网络数据包中传输层协议信息为TCP包中传输标识PSH的平均个数。例如,可以根据所述传输层协议以及所述目标时间段的时长,确定流平均数据传输标识数量。例如,可以根据传输层协议,确定PSH的个数,并根据PSH的个数与时长的比值,确定流平均数据传输标识数量。例如,目标时间段的时长为10分钟,PSH的个数为40,则流平均数据传输标识数量可以为4个/分钟。
通过这种方式,可以得到待聚类主机的流量特征。本公开对流平均标识位数量的标识位类型、标识位的数量均不作限制。
在一种可能的实现方式中,所述网络流元数据还包括应用层协议信息,所述应用层协议信息包括应用层协议类型和/或基本特征,
其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征:包括:
根据所述目标网络流元数据的应用层协议信息,确定所述待聚类主机的应用层协议信息;
根据所述待聚类主机的应用层协议信息,确定所述待聚类主机的应用特征。
举例来说,应用层协议信息可以是通过对网络数据包进行深度包检测,确定的网络流元数据,其可以包括应用层协议类型和/或基本特征。可以将待聚类主机的应用层协议信息,确定为应用特征。
通过这种方式,可以得到待聚类主机的应用特征,以确定待聚类主机业务的分布信息。
其中,根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果可以是通过各类聚类方法,根据各待聚类主机的主机行为特征实现的。例如,可以采用聚合层次聚类(Hierarchical Clustering)的方法来对待聚类主机进行聚类,通过将数据组织成若干组并形成一个相应的树状图来进行聚类。本公开对聚类方法不作限制。
在一种可能的实现方式中,所述根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果,可以包括:
确定任意两个主机簇的簇间相似度,其中,每个主机簇包括至少一个待聚类主机,所述簇间相似度是所述两个主机簇中具有最大相似度的两个待聚类主机的相似度信息,所述两个待聚类主机分别归属于不同主机簇,所述相似度信息是根据所述两个待聚类主机的主机行为特征确定的;
根据所述簇间相似度,执行聚类操作;
在满足任意预设条件时,确定所述目标时间段的主机聚类结果,
其中,所述预设条件包括主机簇的数量小于或等于第三阈值、两个主机簇组合得到的簇间分散度大于或等于第四阈值以及所有待聚类主机处于同一主机簇。
举例来说,初始状态下每个主机可以构成一个主机簇,可以迭代执行确定任意两个主机簇的簇间相似度以及根据所述簇间相似度,执行聚类操作的处理过程。在满足任意预设条件时,可以确定所述目标时间段的主机聚类结果。应理解,随着迭代操作,每个主机簇包括至少一个待聚类主机。
其中,在迭代过程中,对于任意两个主机簇,可以确定两个主机簇中具有最大相似度的两个待聚类主机的相似度信息,其中,两个待聚类主机分别归属于不同主机簇。两个待聚类主机的相似度信息可以是根据两个待聚类主机的主机行为特征确定的。
举例来说,可以根据两个待聚类主机的主机行为特征,确定两个待聚类主机之间的距离,并将该距离作为相似度信息,以得到两个主机簇的簇间相似度。例如,确定两个待聚类主机之间的距离可以是杰卡德距离(Jaccard Distance)等任意距离确定方式。其中,在包括多个类型主机行为特征时,可以分别确定不同类型主机行为特征的距离,并将加权距离值确定为两个待聚类主机之间的相似度信息。本公开对确定距离以及确定相似度信息的方式均不作限制。
为便于理解,下面以主机行为特征包括数值类型特征以及非数值类型特征进行示例性说明,其中,非数值类型特征以集合类型特征为例进行说明,例如,可以为端口类型这一集合特征。
在一些可选的实施例中,可以根据如下公式,确定第xi个待聚类主机以及第xj个待聚类主机之间的距离:
D(xi,xj)=α1×d1(xi,Num,xj,Num)+α2×d2(xi,Port,xj,Port)
其中,D(xi,xj)用于表示第xi个待聚类主机以及第xj个待聚类主机之间的距离。d1(xi,Num,xj,Num)用于表示基于数值类型特征确定的第xi个待聚类主机以及第xj个待聚类主机之间的第一距离,α1用于表示第一距离的加权系数。xi,Num、xj,Num分别用于表示第xi个待聚类主机以及第xj个待聚类主机的数值类型特征的主机行为特征。d2(xi,Port,xj,Port)用于表示基于端口类型确定的第xi个待聚类主机以及第xj个待聚类主机之间的第二距离,α2用于表示第二距离的加权系数。xi,Port、xj,Port分别用于表示第xi个待聚类主机以及第xj个待聚类主机的端口类型集合特征。
在一些可选的实施例中,可以根据如下公式,确定第xi个待聚类主机以及第xj个待聚类主机之间的第二距离:
Figure BDA0003139135260000161
这样,可以确定两个待聚类主机之间的相似度信息,得到簇间相似度。可以根据所述簇间相似度,执行聚类操作,例如,可以将相似度较高的两个主机簇进行组合,得到一个组合后的主机簇。在满足任意预设条件时,可以确定所述目标时间段的主机聚类结果,主机聚类结果可以包括至少一个主机簇。
其中,预设条件可以包括主机簇的数量小于或等于第三阈值、两个主机簇组合得到的簇间分散度大于或等于第四阈值以及所有待聚类主机处于同一主机簇。
这样,能够实现对根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果,从而能够基于主机聚类结果进行后续分析、监控、检测等处理。本公开对第三阈值、第四阈值均不作限制。
在一种可能的实现方式中,主机行为特征包括多个子特征,针对每个子特征,对所有待聚类主机对应特征数值进行归一化处理以及降维处理,得到取值范围在0到1之间的特征数值。并基于取值范围在0到1之间的特征数值的主机行为特征,确定前文所述的两个待聚类主机的相似度信息。
其中,可以在归一化处理后进行降维处理,降维处理可以采用主成分分析特征降维方法。子特征可以是前文所述每个层次的主机行为特征中的任意一个特征,例如,流量特征中的网络流平均包个数、连接特征中的IP集合中的IP数量等。
在一种可能的实现方式中,所述方法还包括:根据至少一个主机簇,执行以下至少一种操作:
确定所述至少一个主机簇中主机的行为模式;
确定所述至少一个主机簇中主机在所述通信网络中的角色信息;
对所述通信网络进行网络监控;
对所述通信网络进行异常检测;
对所述通信网络进行访问控制。
举例来说,对于任意一主机簇中的主机,可以挖掘其行为模型,确定行为模式。还可以确定其在通信网络中的角色信息。还可以基于任意一主机簇,对通信网络进行网络监控、异常检测以及访问控制等任意操作。例如,可以根据至少一个主机簇,构建适用于通信网络的访问控制规则,例如,构建访问控制列表(Access Control Lists,ACL),以应对黑客攻击、网络病毒等威胁网络安全的情况。其中,可以根据至少一个主机簇中主机的主机行为特征进行构建ACL。
通过这种方式,可以根据主机聚类结果,实现各类应用,例如,可以快速明确主机角色、监控通信网络的情况、检测通信网络的异常行为等,从而提高通信网络的安全性。
图3示出根据本公开实施例的一种主机聚类系统的示意图。如图3所示,网络数据包采集部分可以获取通信网络在目标时间段内的多个网络数据包,主机画像构建部分可以通过网络流元数据提取模块对获取到的网络数据包进行数据处理和挖掘,以确定网络流元数据。主机画像构建部分还可以将网络流元数据存储在网络元数据存储数据库(图中所示的数据库)中,并通过主机画像构建模块基于网络流元数据对待聚类主机进行主机画像,例如,确定主机行为特征。主机聚类分析部分可以通过主机聚类分析模块基于主机行为特征执行聚类操作,得到主机聚类结果。
图4示出根据本公开实施例的一种主机聚类装置的框图。如图4所示,装置包括:
获取模块21,用于获取通信网络在目标时间段内的多个网络数据包;
第一确定模块22,用于对每个网络数据包进行数据提取,确定对应的网络流元数据;
第二确定模块23,用于根据所有网络流元数据,确定待聚类主机以及所述待聚类主机的主机行为特征;
聚类模块24,用于根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果。
在一种可能的实现方式中,所述第一确定模块,用于:通过目标进程提取每个网络数据包对应的网络流元数据,
其中,所述目标进程是多个独立的子任务拼接确定的,所述目标进程包括的子任务以及所述子任务的拼接关系是根据场景类型确定的。
在一种可能的实现方式中,所述网络流元数据包括源IP、目的IP以及网络流量,所述第二确定模块,用于根据所述所有网络流元数据,确定目标主机的连接次数以及网络流量之和,所述目标主机为包括至少一个所述网络流元数据中源IP或目的IP的主机;
在所述连接次数大于或等于第一阈值,且所述网络流量之和大于或等于第二阈值时,将所述目标主机确定为所述待聚类主机。
在一种可能的实现方式中,所述网络流元数据包括源IP以及目的IP,所述第二确定模块,用于根据所述所有网络流元数据的源IP以及目的IP,确定包括待聚类主机IP的目标网络流元数据;
根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,
其中,所述主机行为特征包括所述待聚类主机的连接特征、所述待聚类主机的在网络中的功能特征、所述待聚类主机的流量特征以及所述待聚类主机的应用特征中的一种或多种。
在一种可能的实现方式中,所述第二确定模块,用于根据所述目标网络流元数据,确定与所述待聚类主机存在主机通信的IP集合;
确定所述IP集合中的IP数量、第二个字节的熵与第四个字节的熵之间的比值R1以及第三个字节的熵与第四个字节的熵之间的比值R2,其中,字节的熵是根据所述IP集合中所有IP的对应字节的数值分布信息确定的;
根据所述IP集合中的IP数量、所述比值R1以及所述比值R2,确定所述待聚类主机的连接特征。
在一种可能的实现方式中,所述网络流元数据还包括源端口以及目的端口,所述第二确定模块,用于根据每个目标网络流元数据的源端口以及目的端口,确定所述待聚类主机的源端口数量、目的端口数量以及端口类型,其中,所述端口类型包括系统端口、用户端口以及动态端口;
根据所述源端口数量、目的端口数量以及端口类型,确定所述待聚类主机的在网络中的功能特征。
在一种可能的实现方式中,所述网络流元数据还包括网络流量、传输时间信息以及传输层协议,所述装置还包括:第四确定模块,用于确定历史时间段内所述待聚类主机的目标网络流元数据的第一数量以及所述目标时间段内目标网络流元数据的第二数量,
所述第二确定模块,用于根据所述第一数量、所述第二数量以及目标时间段的数量,确定所述待聚类主机的网络流平均包个数,所述目标时间段的数量是根据历史时间段与目标时间段确定的;
根据目标网络流元数据的网络流量之和以及所述目标时间段的时长,确定待聚类主机的平均流量;
根据目标网络流元数据的网络流量之和以及目标网络元数据的数量,确定平均包数据量;
根据所述传输时间信息,确定平均持续时间;
根据所述传输层协议以及所述目标时间段的时长,确定流平均标识位数量;
根据所述网络流平均包个数、平均流量、平均包数据量、平均持续时间、流平均标识位数量,确定所述待聚类主机的流量特征。
在一种可能的实现方式中,所述网络流元数据还包括应用层协议信息,所述应用层协议信息包括应用层协议类型和/或基本特征,
所述第二确定模块,用于根据所述目标网络流元数据的应用层协议信息,确定所述待聚类主机的应用层协议信息;
根据所述待聚类主机的应用层协议信息,确定所述待聚类主机的应用特征。
在一种可能的实现方式中,所述聚类模块,用于确定任意两个主机簇的簇间相似度,其中,每个主机簇包括至少一个待聚类主机,所述簇间相似度是所述两个主机簇中具有最大相似度的两个待聚类主机的相似度信息,所述两个待聚类主机分别归属于不同主机簇,所述相似度信息是根据所述两个待聚类主机的主机行为特征确定的;
根据所述簇间相似度,执行聚类操作;
在满足任意预设条件时,确定所述目标时间段的主机聚类结果,
其中,所述预设条件包括主机簇的数量小于或等于第三阈值、两个主机簇组合得到的簇间分散度大于或等于第四阈值以及所有待聚类主机处于同一主机簇。
在一种可能的实现方式中,所述装置还包括执行模块,用于根据至少一个主机簇,执行以下至少一种操作:
确定所述至少一个主机簇中主机的行为模式;
确定所述至少一个主机簇中主机在所述通信网络中的角色信息;
对所述通信网络进行网络监控;
对所述通信网络进行异常检测;
对所述通信网络进行访问控制。
需要说明的是,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据个人喜好和/或实际应用场景灵活设定。
图5示出根据本公开实施例的一种主机聚类装置的框图。例如,装置800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图5,装置800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制装置800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在装置800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为装置800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当装置800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当装置800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为装置800提供各个方面的状态评估。例如,传感器组件814可以检测到装置800的打开/关闭状态,组件的相对定位,例如所述组件为装置800的显示器和小键盘,传感器组件814还可以检测装置800或装置800一个组件的位置改变,用户与装置800接触的存在或不存在,装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器804,上述计算机程序指令可由装置800的处理器820执行以完成上述方法。
图6示出根据本公开实施例的一种主机聚类装置的框图。例如,装置1900可以被提供为一服务器。参照图6,装置1900包括处理组件1922,其进一步包括一个或多个处理器,以及由存储器1932所代表的存储器资源,用于存储可由处理组件1922的执行的指令,例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1922被配置为执行指令,以执行上述方法。
装置1900还可以包括一个电源组件1926被配置为执行装置1900的电源管理,一个有线或无线网络接口1950被配置为将装置1900连接到网络,和一个输入输出(I/O)接口1958。装置1900可以操作基于存储在存储器1932的操作系统,例如Windows ServerTM,MacOS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器1932,上述计算机程序指令可由装置1900的处理组件1922执行以完成上述方法。
本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (11)

1.一种主机聚类方法,其特征在于,方法包括:
获取通信网络在目标时间段内的多个网络数据包;
对每个网络数据包进行数据提取,确定对应的网络流元数据;
根据所有网络流元数据,确定待聚类主机以及所述待聚类主机的主机行为特征;
根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果。
2.根据权利要求1所述的方法,其特征在于,所述对每个网络数据包进行数据提取,确定对应的网络流元数据,包括:
通过目标进程提取每个网络数据包对应的网络流元数据,
其中,所述目标进程是多个独立的子任务拼接确定的,所述目标进程包括的子任务以及所述子任务的拼接关系是根据场景类型确定的。
3.根据权利要求1所述的方法,其特征在于,所述网络流元数据包括源IP、目的IP以及网络流量,
其中,根据所有网络流元数据,确定待聚类主机,包括:
根据所述所有网络流元数据,确定目标主机的连接次数以及网络流量之和,所述目标主机为包括至少一个所述网络流元数据中源IP或目的IP的主机;
在所述连接次数大于或等于第一阈值,且所述网络流量之和大于或等于第二阈值时,将所述目标主机确定为所述待聚类主机。
4.根据权利要求1所述的方法,其特征在于,所述网络流元数据包括源IP以及目的IP,
其中,根据所有网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据所述所有网络流元数据的源IP以及目的IP,确定包括待聚类主机IP的目标网络流元数据;
根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,
其中,所述主机行为特征包括所述待聚类主机的连接特征、所述待聚类主机的在网络中的功能特征、所述待聚类主机的流量特征以及所述待聚类主机的应用特征中的一种或多种。
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据所述目标网络流元数据,确定与所述待聚类主机存在主机通信的IP集合;
确定所述IP集合中的IP数量、第二个字节的熵与第四个字节的熵之间的比值R1以及第三个字节的熵与第四个字节的熵之间的比值R2,其中,字节的熵是根据所述IP集合中所有IP的对应字节的数值分布信息确定的;
根据所述IP集合中的IP数量、所述比值R1以及所述比值R2,确定所述待聚类主机的连接特征。
6.根据权利要求4所述的方法,其特征在于,所述网络流元数据还包括源端口以及目的端口,
其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据每个目标网络流元数据的源端口以及目的端口,确定所述待聚类主机的源端口数量、目的端口数量以及端口类型,其中,所述端口类型包括系统端口、用户端口以及动态端口;
根据所述源端口数量、目的端口数量以及端口类型,确定所述待聚类主机的在网络中的功能特征。
7.根据权利要求4所述的方法,其特征在于,所述网络流元数据还包括网络流量、传输时间信息以及传输层协议,所述方法还包括:确定历史时间段内所述待聚类主机的目标网络流元数据的第一数量以及所述目标时间段内目标网络流元数据的第二数量,
其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征,包括:
根据所述第一数量、所述第二数量以及目标时间段的数量,确定所述待聚类主机的网络流平均包个数,所述目标时间段的数量是根据历史时间段与目标时间段确定的;
根据目标网络流元数据的网络流量之和以及所述目标时间段的时长,确定待聚类主机的平均流量;
根据目标网络流元数据的网络流量之和以及目标网络元数据的数量,确定平均包数据量;
根据所述传输时间信息,确定平均持续时间;
根据所述传输层协议以及所述目标时间段的时长,确定流平均标识位数量;
根据所述网络流平均包个数、平均流量、平均包数据量、平均持续时间、流平均标识位数量,确定所述待聚类主机的流量特征。
8.根据权利要求4所述的方法,其特征在于,所述网络流元数据还包括应用层协议信息,所述应用层协议信息包括应用层协议类型和/或基本特征,
其中,所述根据所述目标网络流元数据,确定所述待聚类主机的主机行为特征:包括:
根据所述目标网络流元数据的应用层协议信息,确定所述待聚类主机的应用层协议信息;
根据所述待聚类主机的应用层协议信息,确定所述待聚类主机的应用特征。
9.根据权利要求1所述的方法,其特征在于,所述根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果,包括:
确定任意两个主机簇的簇间相似度,其中,每个主机簇包括至少一个待聚类主机,所述簇间相似度是所述两个主机簇中具有最大相似度的两个待聚类主机的相似度信息,所述两个待聚类主机分别归属于不同主机簇,所述相似度信息是根据所述两个待聚类主机的主机行为特征确定的;
根据所述簇间相似度,执行聚类操作;
在满足任意预设条件时,确定所述目标时间段的主机聚类结果,
其中,所述预设条件包括主机簇的数量小于或等于第三阈值、两个主机簇组合得到的簇间分散度大于或等于第四阈值以及所有待聚类主机处于同一主机簇。
10.根据权利要求1所述的方法,其特征在于,所述主机聚类结果包括至少一个主机簇,所述方法还包括:
根据至少一个主机簇,执行以下至少一种操作:
确定所述至少一个主机簇中主机的行为模式;
确定所述至少一个主机簇中主机在所述通信网络中的角色信息;
对所述通信网络进行网络监控;
对所述通信网络进行异常检测;
对所述通信网络进行访问控制。
11.一种主机聚类装置,其特征在于,装置包括:
获取模块,用于获取通信网络在目标时间段内的多个网络数据包;
第一确定模块,用于对每个网络数据包进行数据提取,确定对应的网络流元数据;
第二确定模块,用于根据所有网络流元数据,确定待聚类主机以及所述待聚类主机的主机行为特征;
聚类模块,用于根据所述主机行为特征,对所述待聚类主机进行聚类,得到所述目标时间段的主机聚类结果。
CN202110727288.2A 2021-06-29 2021-06-29 主机聚类方法及装置 Active CN113452714B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110727288.2A CN113452714B (zh) 2021-06-29 2021-06-29 主机聚类方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110727288.2A CN113452714B (zh) 2021-06-29 2021-06-29 主机聚类方法及装置

Publications (2)

Publication Number Publication Date
CN113452714A true CN113452714A (zh) 2021-09-28
CN113452714B CN113452714B (zh) 2022-11-18

Family

ID=77813894

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110727288.2A Active CN113452714B (zh) 2021-06-29 2021-06-29 主机聚类方法及装置

Country Status (1)

Country Link
CN (1) CN113452714B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114726570A (zh) * 2021-12-31 2022-07-08 中国电信股份有限公司 一种基于图模型的主机流量异常检测方法及装置

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040103211A1 (en) * 2002-11-21 2004-05-27 Jackson Eric S. System and method for managing computer networks
CN104836702A (zh) * 2015-05-06 2015-08-12 华中科技大学 一种大流量环境下主机网络异常行为检测及分类方法
US20160191563A1 (en) * 2014-11-03 2016-06-30 Vectra Networks, Inc. System for detecting threats using scenario-based tracking of internal and external network traffic
US9516039B1 (en) * 2013-11-12 2016-12-06 EMC IP Holding Company LLC Behavioral detection of suspicious host activities in an enterprise
CN107070930A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种面向主机的可疑网络连接识别方法
CN107733937A (zh) * 2017-12-01 2018-02-23 广东奥飞数据科技股份有限公司 一种异常网络流量检测方法
CN110290022A (zh) * 2019-06-24 2019-09-27 中国人民解放军陆军工程大学 一种基于自适应聚类的未知应用层协议识别方法
CN110602020A (zh) * 2018-06-12 2019-12-20 蓝盾信息安全技术有限公司 一种基于dga域名和周期性网络连接会话行为的僵尸网络检测技术
CN110661807A (zh) * 2019-09-30 2020-01-07 奇安信科技集团股份有限公司 IPv6地址的自动化采集方法及装置
CN110798426A (zh) * 2018-08-01 2020-02-14 深信服科技股份有限公司 一种洪水类DoS攻击行为的检测方法、系统及相关组件
CN110912933A (zh) * 2019-12-17 2020-03-24 中国科学院信息工程研究所 一种基于被动测量的设备识别方法
US20200099597A1 (en) * 2018-08-20 2020-03-26 Arbor Networks. Inc. Scalable unsupervised host clustering based on network metadata
CN111988285A (zh) * 2020-08-03 2020-11-24 中国电子科技集团公司第二十八研究所 一种基于行为画像的网络攻击溯源方法
CN112257760A (zh) * 2020-09-30 2021-01-22 北京航空航天大学 一种基于时序模体的主机网络通信行为异常检测方法

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040103211A1 (en) * 2002-11-21 2004-05-27 Jackson Eric S. System and method for managing computer networks
US9516039B1 (en) * 2013-11-12 2016-12-06 EMC IP Holding Company LLC Behavioral detection of suspicious host activities in an enterprise
US20160191563A1 (en) * 2014-11-03 2016-06-30 Vectra Networks, Inc. System for detecting threats using scenario-based tracking of internal and external network traffic
CN104836702A (zh) * 2015-05-06 2015-08-12 华中科技大学 一种大流量环境下主机网络异常行为检测及分类方法
CN107070930A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种面向主机的可疑网络连接识别方法
CN107733937A (zh) * 2017-12-01 2018-02-23 广东奥飞数据科技股份有限公司 一种异常网络流量检测方法
CN110602020A (zh) * 2018-06-12 2019-12-20 蓝盾信息安全技术有限公司 一种基于dga域名和周期性网络连接会话行为的僵尸网络检测技术
CN110798426A (zh) * 2018-08-01 2020-02-14 深信服科技股份有限公司 一种洪水类DoS攻击行为的检测方法、系统及相关组件
US20200099597A1 (en) * 2018-08-20 2020-03-26 Arbor Networks. Inc. Scalable unsupervised host clustering based on network metadata
CN110290022A (zh) * 2019-06-24 2019-09-27 中国人民解放军陆军工程大学 一种基于自适应聚类的未知应用层协议识别方法
CN110661807A (zh) * 2019-09-30 2020-01-07 奇安信科技集团股份有限公司 IPv6地址的自动化采集方法及装置
CN110912933A (zh) * 2019-12-17 2020-03-24 中国科学院信息工程研究所 一种基于被动测量的设备识别方法
CN111988285A (zh) * 2020-08-03 2020-11-24 中国电子科技集团公司第二十八研究所 一种基于行为画像的网络攻击溯源方法
CN112257760A (zh) * 2020-09-30 2021-01-22 北京航空航天大学 一种基于时序模体的主机网络通信行为异常检测方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114726570A (zh) * 2021-12-31 2022-07-08 中国电信股份有限公司 一种基于图模型的主机流量异常检测方法及装置

Also Published As

Publication number Publication date
CN113452714B (zh) 2022-11-18

Similar Documents

Publication Publication Date Title
Schmidt et al. Monitoring smartphones for anomaly detection
US20160112287A1 (en) Storing and analyzing network traffic data
CN110502651B (zh) 图像处理方法及装置、电子设备和存储介质
WO2021027343A1 (zh) 一种人脸图像识别方法及装置、电子设备和存储介质
US20220019838A1 (en) Image Processing Method and Device, and Storage Medium
WO2022198853A1 (zh) 任务调度方法及装置、电子设备、存储介质和程序产品
US11621971B2 (en) Low-complexity detection of potential network anomalies using intermediate-stage processing
CN110175546B (zh) 图像处理方法及装置、电子设备和存储介质
CN110188871B (zh) 运算方法、装置及相关产品
CN111786973B (zh) 一种流日志采集方法、装置、设备和存储介质
CN110995810A (zh) 一种基于人工智能的对象识别方法和相关装置
JP2020512623A (ja) マルチメディアプロセスとの対話に基づいて関連するユーザを推奨する方法および装置
CN113452714B (zh) 主机聚类方法及装置
Li et al. Activetracker: Uncovering the trajectory of app activities over encrypted internet traffic streams
CN115348092A (zh) 一种工控网络异常流量检测方法、装置及电子设备
CN111814627B (zh) 人员检测方法及装置、电子设备和存储介质
US11003513B2 (en) Adaptive event aggregation
CN110995687B (zh) 一种猫池设备识别方法、装置、设备及存储介质
CN116134785A (zh) 网络设备属性的低时延识别
CN112269730A (zh) 异常日志检测方法、异常日志检测装置及存储介质
CN111814631A (zh) 人员检测方法及装置、电子设备和存储介质
CN111814630A (zh) 行为分析方法及装置、电子设备和存储介质
CN114301757B (zh) 一种网络资产处理方法、装置、设备以及存储介质
CN117081784A (zh) 流量识别模型训练方法、识别方法、装置、设备和介质
Tung et al. VoIP packets filtering for mobile instant messaging using N-gram models

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant