CN114884749A - 一种基于人工智能的网络安全态势感知方法 - Google Patents

一种基于人工智能的网络安全态势感知方法 Download PDF

Info

Publication number
CN114884749A
CN114884749A CN202210784685.8A CN202210784685A CN114884749A CN 114884749 A CN114884749 A CN 114884749A CN 202210784685 A CN202210784685 A CN 202210784685A CN 114884749 A CN114884749 A CN 114884749A
Authority
CN
China
Prior art keywords
target
access
uplink flow
flow
connection number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210784685.8A
Other languages
English (en)
Other versions
CN114884749B (zh
Inventor
田常立
王晨
陈倩
张垒
周志远
田艳艳
刘茂宽
赵立勋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhilian Xintong Technology Co ltd
Original Assignee
Zhilian Xintong Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhilian Xintong Technology Co ltd filed Critical Zhilian Xintong Technology Co ltd
Priority to CN202210784685.8A priority Critical patent/CN114884749B/zh
Publication of CN114884749A publication Critical patent/CN114884749A/zh
Application granted granted Critical
Publication of CN114884749B publication Critical patent/CN114884749B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及人工智能技术领域,具体涉及一种基于人工智能的网络安全态势感知方法。该方法获取各目标IP的连接数、访问时长、访问次数、上行流量序列和总上行流量;基于访问次数、访问时长和上行流量序列计算目标IP的访问行为评价指标;分析上行流量得到各目标IP的流量分布得分;根据连接数和流量分布得分得到行为宽恕系数;根据访问行为评价指标、行为宽恕系数、上行流量获得目标IP的最大连接数和最大上行流量。本发明实施例通过分析目标IP的连接数、上行流量和访问时长,获得各目标IP对应的最大连接数和最大上行流量,通过限制目标IP的连接数和上行流量,避免遭受DDoS攻击,实现网络安全态势感知的目的。

Description

一种基于人工智能的网络安全态势感知方法
技术领域
本发明涉及人工智能技术领域,具体涉及一种基于人工智能的网络安全态势感知方法。
背景技术
网络安全态势感知为在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时,系统的连接能力也在不断的提高。但在连接能力信息、连通能力提高的同时,基于网络连接的安全问题也日益突出。
随着网络规模的不断壮大,网络结构的日益复杂,当前更多用户拥有内部基础架构。近年来,用户在数据中心中混合使用公有云、内部计算和私有云,能够将存储和计算甚至整个服务保留在内部基础机构中,能够让云服务的网络资源利用企业内网的服务实现快速上线和快速交付。网络安全态势感知服务难以针对专用负载进行优化。因此在用户眼中,混合云配置简单、门槛低,只要访问公有云出口的反向代理域名,即可享受如同内网一样的体验。因此存在一种资源无法有效分配,更容易遭受DDoS攻击。由于在连接后,不同用户对公有云出口的资源占用是未知的,故在最终用户的体验上会相互受到影响。用户中的其中一方可能利用了多线程下载工具、DDoS工具会使得该网络遭受DDoS攻击,导致该方实质上对带宽资源的侵占更多,而对带宽资源的侵占主要体现在用户的目标IP的连接数过多和目标IP的上行流量过大。
目前,常用的方法是简单的对连接的流量加以限制,能够基于自动配置对目标IP进行带宽限制。但是预先对所有IP进行带宽限制是无效的,因为在DDoS、多线程下载等建立多个连接客户端的情况下,仅对目标IP进行带宽限制是无法有效限制其资源的。
发明内容
为了解决上述技术问题,本发明的目的在于提供一种基于人工智能的网络安全态势感知方法,所采用的技术方案具体如下:
获取各目标IP与公有云之间建立的连接数、各目标IP的访问时长、各目标IP的上行流量序列和对应的总上行流量;
获取各目标IP的访问时长的数量作为访问次数;基于所述访问次数、所述访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标;基于所述总上行流量,对各目标IP进行分析,得到每个目标IP的流量分布得分和分布概率;根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数;所述差异系数和所述流量分布得分的绝对值的乘积作为行为宽恕系数;
基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价;当所述网络异常评价大于预设异常阈值时,根据所述访问行为评价指标和所述行为宽恕系数获得目标IP的最大连接数,根据所述行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。
优选的,所述基于所述访问次数、所述访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标,包括:
获取上行流量和预设标准上行流量的差值作为波动差值;多个所述波动差值的平方的均值作为上行流量序列的波动程度;
所述访问行为评价指标的计算公式为:
Figure DEST_PATH_IMAGE001
其中,
Figure 591091DEST_PATH_IMAGE002
为所述访问行为评价指标;
Figure 836128DEST_PATH_IMAGE003
为所述访问次数;
Figure 553548DEST_PATH_IMAGE004
第i段访问时长;tanh()为双曲正切函数;
Figure 401287DEST_PATH_IMAGE005
为上行流量序列的波动程度;
Figure 153343DEST_PATH_IMAGE006
为第一调节参数。
优选的,所述基于所述总上行流量,对各目标IP进行分析,得到每个目标IP的流量分布得分和分布概率,包括:
基于各目标IP的所述总上行流量,对各目标IP进行冷热点分析,得到每个目标IP的流量分布得分和分布概率。
优选的,所述根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数,包括:
获取连接数序列中的中值;目标IP对应的连接数和所述中值的比值减一作为初始差异值;第二调节参数和所述初始差异值的绝对值作为第二差异值;
以十为底数,所述第二差异值为指数的指数函数为目标IP对应的差异系数。
优选的,所述基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价,包括:
所述网络异常评价的计算公式为:
Figure 434194DEST_PATH_IMAGE007
其中,
Figure 638911DEST_PATH_IMAGE008
为所述网络异常评价;
Figure 290341DEST_PATH_IMAGE009
为最大值函数;
Figure 896903DEST_PATH_IMAGE010
为符号函数;
Figure 218163DEST_PATH_IMAGE011
为双曲线正切函数;
Figure 159443DEST_PATH_IMAGE012
为均值函数;
Figure 99717DEST_PATH_IMAGE013
为实时上行流量;
Figure 810053DEST_PATH_IMAGE014
为预设标准上行流量;
Figure 177580DEST_PATH_IMAGE006
为第一调节参数;
Figure 606156DEST_PATH_IMAGE015
为第三调节参数;
Figure 818963DEST_PATH_IMAGE016
为第一段访问时长;
Figure 914964DEST_PATH_IMAGE017
标准第一段访问时长。
优选的,所述根据所述访问行为评价指标和所述行为宽恕系数获得目标IP的最大连接数,包括:
获取目标IP对应的历史最大连接数;
以自然常数为底数,负的所述行为宽恕系数为指数的指数函数,乘上所述访问行为评价指标得到第一权重,所述第一权重加一为第二权重,所述第二权重的倒数和所述历史最大连接数相乘得到第一连接数;
预设调节参数乘上所述历史最大连接数得到第二连接数;
获取所述第一连接数和所述第二连接数中较小的数值作为目标IP的最大连接数。
优选的,所述根据所述行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量,包括:
预设标准上行流量和实时上行流量的差异作为波动差值;
以自然常数为底,以负的所述行为宽恕系数为指数的指数函数,乘上所述波动差值得到调节上行流量;实时上行流量和所述调节上行流量的和为目标IP的最大上行流量。
本发明实施例至少具有如下有益效果:
本发明利用人工智能技术,该方法获取各目标IP的连接数、访问时长、访问次数、上行流量序列和对应的总上行流量;基于访问次数、访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标,通过访问行为评价指标的大小可以判断用户是否存在浪费资源的行为;分析各目标IP得到每个目标IP的流量分布得分和分布概率;根据目标IP对应的连接数和流量分布得分得到行为宽恕系数,通过行为宽恕系数分析目标IP的异常程度,当目标IP出现异常时,也即出现浪费情况时,其对应的行为宽恕系数大;基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价;当网络异常评价大于预设异常阈值时,根据访问行为评价指标和行为宽恕系数获得目标IP的最大连接数,根据行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。本发明实施例通过分析目标IP的连接数、上行流量的大小和访问时长,对目标IP的异常程度进行分析,得到访问行为评价指标和行为宽恕系数,进一步的,获得各目标IP对应的最大连接数和最大上行流量,以限制目标IP的连接数和上行流量,来实现避免遭受DDoS攻击的情况,进而实现网络安全态势感知的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1为本发明一个实施例所提供的一种基于人工智能的网络安全态势感知方法的方法流程图。
具体实施方式
为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种基于人工智能的网络安全态势感知方法,其具体实施方式、结构、特征及其功效,详细说明如下。在下述说明中,不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外,一或多个实施例中的特定特征、结构、或特点可由任何合适形式组合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。
本发明实施例提供了一种基于人工智能的网络安全态势感知方法的具体实施方法,该方法适用于网络安全态势感知场景。该场景下各用户对应一个目标IP,各目标IP与公有云之间建立连接,一个目标IP可与公有云之间建立多条连接,每个目标IP对应一个总上行流量。为了解决仅对流量加以限制无法实现有效限制其资源的问题。本发明实施例通过分析目标IP的连接数、上行流量的大小和访问时长,对目标IP的异常程度进行分析,得到访问行为评价指标和行为宽恕系数,进一步的,获得各目标IP对应的最大连接数和最大上行流量,以限制目标IP的连接数和上行流量,来实现避免遭受DDoS攻击的情况,进而实现网络安全态势感知的目的。
下面结合附图具体的说明本发明所提供的一种基于人工智能的网络安全态势感知方法的具体方案。
请参阅图1,其示出了本发明一个实施例提供的一种基于人工智能的网络安全态势感知方法的步骤流程图,该方法包括以下步骤:
步骤S100,获取各目标IP与公有云之间建立的连接数、各目标IP的访问时长、各目标IP的上行流量序列和对应的总上行流量。
常见的数据访问是类似于物联网的远程数据库、居家办公的云桌面、视频监控传输等服务,其共同特征是对流量持续消耗,但时间上断断续续。因为行为上没有明显的特征,此类网络安全态势感知较弱,而此类混合云又是最便利、最广泛使用的。
首先,对各目标IP与公有云之间建立的连接数进行获取。
由于目标IP以及使用业务的需求不一样,最终在进行访问时,业务的所需连接的连接数也不同。为了达到节流和防止分布式拒绝服务攻击(DDoS)的目的,对目标IP与公有云之间的连接数的建立进行检测并控制是很有必要的。需要说明的是,该目标IP与公有云之间建立的连接数的获取为本领域技术人员的公知技术。
在进行访问时,如果每秒处理包量(PPS)比较低时,用户会不自觉的调大重试比例,具体体现在请求量很高。在网络质量较差的情况下,有大部分网络资源用于提升该IP的每秒处理包量,对于这种情况是情有可原的。但如果在周围每秒处理包量比较高的情况下,仍有较高的请求量,则可以视为一种浪费,有可能是多次连接或者是受到了分布式拒绝服务攻击,需要对其进行控制。
对于流量的采集使用分布式采集,整个公网服务器针对各个目标IP进行流量分析,形成一个网状结构,采集各个目标IP的上行流量信息。基于目标IP的分布状况,获得多个目标IP对应的上行流量序列和总上行流量。具体的:
流量是由用户按照业务内容进行调整后流出的,例如远程桌面的画质、视频的码率等,由于每个人舒适度不一样,因此最终产生的上行出口处的流量可能不同。如果出现某一处流出的流量异常高,或者异常低,并且其持续的时间比较长,能够一定程度说明当前目标IP的使用存在浪费的问题。获取固定时间段内每个上行出口处的上行流量大小。需要说明的是,上行流量的获取是本领域技术人员的公知技术,如通过LoadBalance服务内嵌的记录工具即可得到。即得到了业务进行时上行流量的大小。
对其上行流量进行长时间检测,即从用户开始访问到访问结束,得到上行流量的变化情况,每隔固定时间段采集一次各个目标IP对应的上行流量,构建上行流量序列。在本发明实施例中上行流量序列的采样频率为0.2Hz,也即固定时间段为5秒,即每5秒采集一次上行流量的大小。每个目标IP对应一个上行流量序列,目标IP对应的上行流量序列内的上行流量之和为目标IP的总上行流量。
进一步的,确定每个目标IP的每次访问时长。
一般而言,在访问过程中,用户会休息或者使服务进入暂停状态,如远程桌面的操作段时间暂停和视频拉流等服务暂停的行为,如果一直为访问状态,则认为当前目标IP存在浪费网络资源的情形,如出现了分布式拒绝服务攻击(DDoS)。当访问时间是断断续续的状态,则说明当前用户是间歇式访问,则认为当前用户为正常使用状态。
由于访问的启用是通过登录后进行相关操作,故可以作为一个开始判断状态,对用户的访问时长进行统计。需要说明的是,访问时长序列是一个用户多次开启和关闭,也即登入和登出时产生的时间数据间。用户每登录登出一次,即确定一次访问时长数据。
步骤S200,获取各目标IP的访问时长的数量作为访问次数;基于所述访问次数、所述访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标;基于所述总上行流量,对各目标IP进行分析,得到每个目标IP的流量分布得分和分布概率;根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数;所述差异系数和所述流量分布得分的绝对值的乘积作为行为宽恕系数。
对用户的访问行为进行评价,得到访问行为评价指标。该访问行为包括访问次数、访问时长和上行流量序列的波动程度。进一步的,基于各个目标IP的上行流量大小,再结合当前各个用户的访问行为评价指标,对当前的上行流量进行适当控制,以达到节流目的。
首先,获取各目标IP的访问时长的数量作为访问次数,也即获取访问时长序列的长度作为访问次数。该访问次数越大,反映用户对服务的访问和退出越频繁,也说明了用户对网络资源的重视程度。
如果用户从开始到结束一直未关闭连接,这可能是下载工具或者长时间传输导致的,存在着网络资源浪费的行为,故基于用户在访问时的访问时长和访问次数,以及目标IP所对应的上行流量的大小,对用户的访问行为进行评价。如果用户的上行流量使用数据在不合适的区间内,并且长期稳定,则可判断为DDoS状况,可以确定用户有攻击或者滥用的动机。
基于访问次数、访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标,具体的:
获取上行流量和预设标准上行流量的差值作为波动差值,多个波动差值的平方的均值作为上行流量序列的波动程度。在本发明实施例中预设标准上行流量的取值为2Mbps,在其他实施例中实施者可根据实际情况调整该取值。
该访问行为评价指标
Figure 187813DEST_PATH_IMAGE002
的计算公式为:
Figure 838106DEST_PATH_IMAGE018
其中,
Figure 120183DEST_PATH_IMAGE003
为访问次数;
Figure 799252DEST_PATH_IMAGE004
第i段访问时长;tanh()为双曲正切函数;
Figure 508582DEST_PATH_IMAGE005
为上行流量序列的波动程度;
Figure 646171DEST_PATH_IMAGE006
为第一调节参数。在本发明实施例中第一调节参数的取值为0.03,在其他实施例中实施者可根据实际情况调整该取值。
其中,
Figure 466360DEST_PATH_IMAGE019
访问时长之和反映了用户的当前访问的总访问时长,该总访问时长越小,则更能反映用户的节流意识强,当下对资源的浪费比较少。
其中,
Figure 412319DEST_PATH_IMAGE020
反映了用户在访问时的上行流量的变化情况,将用户整个访问过程中的上行流量和预设标准上行流量进行比较,确定是否存在浪费资源的行为。其中,双曲正切函数则实现了数据的归一化处理。
需要说明的是,该访问行为评价指标可以通过相关历史数据得到,为了避免因用户行为的快速转变而导致的最终评价过于保守的情况出现,该历史数据仅参考最近三次的数据,得到三个历史数据对应的访问行为评价指标,再对其求均值。得到各目标IP对应的访问行为评价指标。
混合云的用户群主要是在一个城市或者一个省内的,鉴于主干网络的性能也是按照片区维护的,因此一个片区的主干网络会因临时性过载导致该片区用户对服务访问的性能不佳,因此可以按照片区进行分析和划分:
如果公有云流量均一致,即都是一个衡定的合适访问的流量,这时候各个访问目标IP的访问流量理应相接近,如果有一片区域带宽较低,以至于使用者的服务建立多次连接,这种情况可以给予一定程度的宽恕,对后续节流进行约束,保证用户的使用体验较佳。
基于总上行流量,对各目标IP进行分析,得到每个目标IP的流量分布得分和分布概率。
具体的:基于各目标IP的总上行流量,对各目标IP进行冷热点分析,得到每个目标IP的流量分布得分和分布概率。使用冷热点分析的目的是,避免了单个区域流量异常,即可能是用户网络质量较差,导致系统误判了当前目标IP的上行流量。冷热点分析能够参考附近的上行流量,对上行流量的分布做出更详细的分析。
其中,设置评估字段为当前公有云部的每秒处理包量(PPS),概念化模型为反距离模型。其中,距离计算方法为欧式距离,对空间权重矩阵进行标准化,其他保持默认。该空间权重矩阵由实施者根据公有云结构分布确定下的目标IP权重。在本发明实施例中将近距离片区的目标IP的权重设定为1,距离较远的目标IP的权重设定为0.3,其中,基于运营商的信息,按照OLT的输出端口划分,不在同一端口目标IP的认为是距离较远的目标IP,或者已登记的IP地址范围划定地理围栏,超出的作为距离较远的目标IP,反之则认为是近距离的目标IP。其中,反距离模型为冷热点分析中常用的一种模型,为本领域技术人员的公知技术。
最终,根据所采集得到的流量数据集,返回相关参数,包括当前的流量分布得分Z、分布概率P以及当前得分的置信度。
当目标IP的流量分布得分大于1时,反映该目标IP被高值所包围,呈现出高值聚类,由此形成了流量比较高的区域空间聚集的分布特征,反之,当目标IP的流量分布得分小于-1时,反映该目标IP被低值所包围,呈现出低值聚类,由此形成了流量比较低的区域空间聚集的分布特性。其中,流量分布得分Z服从统计学上的正态分布特征,即在流量分布得分为0时,分布概率P最大。需要说明的是,流量分布得分Z需要实施者根据当前公有云的实际布局,长期的观测数据进行进一步设定,以实现能够对当前的流量异常区域进行发现。
当目标IP越异常,则对应的流量分布得分Z的绝对值越大,其中,流量分布得分的符号表示了冷热点的方向,也即表示了与当前流量差异的高或低。
由于目标IP分布的链路部署的差异,各个目标IP的上行流量会形成明显差异,并且由于维护等,各个业务出口数据不一样也会形成差异,同时这种差异会随着业务开启的数量,其对应的差异也会发生变化,是无法把控的一个因素,因此也将作为行为宽恕系数的一个影响因素。
对所有目标IP的上行流量进行分析,得到每个目标IP的上行流量的差异系数。根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数。具体的:
获取连接数序列中的中值,目标IP对应的连接数和中值的比值减一作为初始差异值;第二调节参数和初始差异值的绝对值作为第二差异值。以十为底数,第二差异值为指数的指数函数为目标IP对应的差异系数。
该差异系数
Figure 541818DEST_PATH_IMAGE021
的计算公式为:
Figure 183015DEST_PATH_IMAGE022
其中,
Figure 56162DEST_PATH_IMAGE023
为第i个目标IP的连接数;
Figure 466414DEST_PATH_IMAGE024
为公有云的所有目标IP对应的连接数序列;
Figure 766815DEST_PATH_IMAGE025
为连接数序列中的中值;
Figure 285521DEST_PATH_IMAGE026
为第二调节参数。在本发明实施例中第二调节参数的取值为10,在其他实施例中实施者可根据实际情况调整该取值。
当目标IP对应的连接数和公有云中所有目标IP对应的连接数的中值相近,其大小接近于1,则当发生浪费事件时,对访问行为的宽恕度比较低。
将差异系数和流量分布得分的绝对值的乘积作为行为宽恕系数。其中,流量分布得分表示公有云流量分布的差异评价分。由于流量分布得分存在方向,所以对流量分布得分进行绝对值处理。当差异系数和流量分布得分越低,则该目标IP为正常IP的概率越大,则该目标IP对应的行为宽恕系数就越小;反之,当差异系数和流量分布得分越高,则系统可以对当前用户的访问行为进行一定程度的宽恕,对应的行为宽恕评价就越大。
步骤S300,基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价;当所述网络异常评价大于预设异常阈值时,根据所述访问行为评价指标和所述行为宽恕系数获得目标IP的最大连接数,根据所述行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。
结合各用户的目标IP的上行流量,以及公有云大数据分析得到的最佳访问间隔时间,进一步判断目标IP是否存在滥用行为。也即基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价。
该网络异常评价
Figure 447512DEST_PATH_IMAGE008
的计算公式为:
Figure 695959DEST_PATH_IMAGE027
其中,
Figure 183572DEST_PATH_IMAGE028
为最大值函数;
Figure 788909DEST_PATH_IMAGE010
为符号函数;
Figure 754591DEST_PATH_IMAGE011
为双曲线正切函数;
Figure 123125DEST_PATH_IMAGE012
为均值函数;
Figure 516060DEST_PATH_IMAGE013
为实时上行流量;
Figure 602833DEST_PATH_IMAGE014
为预设标准上行流量;
Figure 106627DEST_PATH_IMAGE006
为第一调节参数;
Figure 595246DEST_PATH_IMAGE015
为第三调节参数;
Figure 893503DEST_PATH_IMAGE016
为第三段访问时长;
Figure 467573DEST_PATH_IMAGE017
标准第一段访问时长。
在本发明实施例中第一调节参数的取值为0.03,第三调节参数的取值为0.8,在其他实施例中实施者可根据实际情况调整该取值。其中,标准第一段访问时长根据公有云的大数据分析得到的第一段访问时间比较合适访问时长。
其中,网络异常评价的计算公式中,
Figure 775058DEST_PATH_IMAGE029
为对于上行流量的衡量,对上行流量的检测为实时进行的,均值为本次开始访问到监测时刻的所有数据的均值。
Figure 118183DEST_PATH_IMAGE030
为对第一段访问时长的判断,
Figure 243134DEST_PATH_IMAGE017
为第一段访问时间比较合适访问时长,如果第一段访问时长过度超时,则反映当前目标IP存在浪费的行为。使用第三调节参数对第一段访问时长进行修正,为用户留出了一定的空余时间。
当网络异常评价大于预设异常阈值时,则反映了当前用户存在一定的浪费公有云带宽资源的行为,即刻采取控流措施。也即根据网络异常评价和行为宽恕系数获得目标IP的最大连接数,根据行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。在本发明实施例中预设异常阈值为0,在其他实施例中实施者可根据实际情况调整该取值。
其中,根据访问行为评价指标和行为宽恕系数获得目标IP的最大连接数。具体的:
获取目标IP对应的历史最大连接数。以自然常数为底数,负的行为宽恕系数为指数的指数函数,乘上访问行为评价指标得到第一权重,第一权重加一为第二权重,该第二权重的倒数和历史最大连接数相乘得到第一连接数。
预设调节参数乘上最大连接数得到第二连接数。在本发明实施例中预设调节参数的取值为0.4,在其他实施例中实施者可根据实际情况调整该取值。
获取第一连接数和第二连接数中较小的数值作为最大连接数。
该最大连接数
Figure 648707DEST_PATH_IMAGE031
的计算公式为:
Figure 150096DEST_PATH_IMAGE032
其中,
Figure 364040DEST_PATH_IMAGE033
为最小值函数;
Figure 536524DEST_PATH_IMAGE034
为历史最大连接数;
Figure 570340DEST_PATH_IMAGE002
为访问行为评价指标;
Figure DEST_PATH_IMAGE035
为行为宽恕系数;
Figure 672157DEST_PATH_IMAGE036
为自然常数。
其中,Min表示最大连接数的取值的下限,在该下限下能够保证用户在该状态下实现访问。
进一步的,对最大上行流量进行分析计算,根据行为宽恕系数、实时上行流量大小和标准上行流量的差异获得最大上行流量。具体的:
预设标准上行流量和实时的上行流量的差异作为波动差值。
以自然常数为底,以负的行为宽恕系数为指数的指数函数,乘上波动差值得到调节上行流量。实时上行流量和调节上行流量的和为目标IP的最大上行流量。
该最大上行流量
Figure 989874DEST_PATH_IMAGE037
的计算公式为:
Figure 66415DEST_PATH_IMAGE038
其中,
Figure 977739DEST_PATH_IMAGE039
为实时上行流量;
Figure 414405DEST_PATH_IMAGE014
为预设标准上行流量;
Figure 337362DEST_PATH_IMAGE036
为自然常数;
Figure 834071DEST_PATH_IMAGE035
为行为宽恕系数。在本发明实施例中预设标准上行流量的取值为2Mbps,进行预设标准上行流量的限定是为了保证混合云后端的upstream服务器不会在短时间内遭受到大量的流量访问从而导致服务异常。
具体的对上行流量和连接数的调节方法为:如实施者使用的是NGINX服务器,则使用imit_req模块,将业务的请求数与流量近似等比例缩放后设定请求数,如对目标IP限制为100req/s。
即实现了对连接数和上行流量的最大限制,以达到节流、防滥用、防止DDoS攻击的目的。即目标IP的连接数不能超过最大连接数,上行流量也不能超过最大上行流量,也通过对最大连接数和最大上行流量的限制,实现避免遭受DDoS攻击的情况,进而实现了网络安全态势感知。
综上所述,本发明利用人工智能技术,该方法获取各目标IP与公有云之间建立的连接数、各目标IP的访问时长、各目标IP的上行流量序列和对应的总上行流量;获取各目标IP的访问时长的数量作为访问次数;基于访问次数、访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标;基于总上行流量,对各目标IP进行分析,得到每个目标IP的流量分布得分和分布概率;根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数;差异系数和流量分布得分的绝对值的乘积作为行为宽恕系数;基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价;当网络异常评价大于预设异常阈值时,根据访问行为评价指标和行为宽恕系数获得目标IP的最大连接数,根据行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。本发明实施例通过分析目标IP的连接数、上行流量的大小和访问时长,对目标IP的异常程度进行分析,得到访问行为评价指标和行为宽恕系数,进一步的,获得各目标IP对应的最大连接数和最大上行流量,以限制目标IP的连接数和上行流量,来实现避免遭受DDoS攻击的情况,进而实现网络安全态势感知的目的。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于人工智能的网络安全态势感知方法,其特征在于,该方法包括以下步骤:
获取各目标IP与公有云之间建立的连接数、各目标IP的访问时长、各目标IP的上行流量序列和对应的总上行流量;
获取各目标IP的访问时长的数量作为访问次数;基于所述访问次数、所述访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标;基于所述总上行流量,对各目标IP进行分析,得到每个目标IP的流量分布得分和分布概率;根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数;所述差异系数和所述流量分布得分的绝对值的乘积作为行为宽恕系数;
基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价;当所述网络异常评价大于预设异常阈值时,根据所述访问行为评价指标和所述行为宽恕系数获得目标IP的最大连接数,根据所述行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。
2.根据权利要求1所述的一种基于人工智能的网络安全态势感知方法,其特征在于,所述基于所述访问次数、所述访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标,包括:
获取上行流量和预设标准上行流量的差值作为波动差值;多个所述波动差值的平方的均值作为上行流量序列的波动程度;
所述访问行为评价指标的计算公式为:
Figure 907915DEST_PATH_IMAGE001
其中,
Figure 262672DEST_PATH_IMAGE002
为所述访问行为评价指标;
Figure 447666DEST_PATH_IMAGE003
为所述访问次数;
Figure 204270DEST_PATH_IMAGE004
第i段访问时长;tanh()为双曲正切函数;
Figure 918148DEST_PATH_IMAGE005
为上行流量序列的波动程度;
Figure 353677DEST_PATH_IMAGE006
为第一调节参数。
3.根据权利要求1所述的一种基于人工智能的网络安全态势感知方法,其特征在于,所述基于所述总上行流量,对各目标IP进行分析,得到每个目标IP的流量分布得分和分布概率,包括:
基于各目标IP的所述总上行流量,对各目标IP进行冷热点分析,得到每个目标IP的流量分布得分和分布概率。
4.根据权利要求1所述的一种基于人工智能的网络安全态势感知方法,其特征在于,所述根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数,包括:
获取连接数序列中的中值;目标IP对应的连接数和所述中值的比值减一作为初始差异值;第二调节参数和所述初始差异值的绝对值作为第二差异值;
以十为底数,所述第二差异值为指数的指数函数为目标IP对应的差异系数。
5.根据权利要求1所述的一种基于人工智能的网络安全态势感知方法,其特征在于,所述基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价,包括:
所述网络异常评价的计算公式为:
Figure 817063DEST_PATH_IMAGE007
其中,
Figure 428173DEST_PATH_IMAGE008
为所述网络异常评价;
Figure 844110DEST_PATH_IMAGE009
为最大值函数;
Figure 173461DEST_PATH_IMAGE010
为符号函数;
Figure 434678DEST_PATH_IMAGE011
为双曲线正切函数;
Figure 103556DEST_PATH_IMAGE012
为均值函数;
Figure 424816DEST_PATH_IMAGE013
为实时上行流量;
Figure 241463DEST_PATH_IMAGE014
为预设标准上行流量;
Figure 306370DEST_PATH_IMAGE006
为第一调节参数;
Figure 892073DEST_PATH_IMAGE015
为第三调节参数;
Figure 384234DEST_PATH_IMAGE016
为第一段访问时长;
Figure 422597DEST_PATH_IMAGE017
标准第一段访问时长。
6.根据权利要求1所述的一种基于人工智能的网络安全态势感知方法,其特征在于,所述根据所述访问行为评价指标和所述行为宽恕系数获得目标IP的最大连接数,包括:
获取目标IP对应的历史最大连接数;
以自然常数为底数,负的所述行为宽恕系数为指数的指数函数,乘上所述访问行为评价指标得到第一权重,所述第一权重加一为第二权重,所述第二权重的倒数和所述历史最大连接数相乘得到第一连接数;
预设调节参数乘上所述历史最大连接数得到第二连接数;
获取所述第一连接数和所述第二连接数中较小的数值作为目标IP的最大连接数。
7.根据权利要求1所述的一种基于人工智能的网络安全态势感知方法,其特征在于,所述根据所述行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量,包括:
预设标准上行流量和实时上行流量的差异作为波动差值;
以自然常数为底,以负的所述行为宽恕系数为指数的指数函数,乘上所述波动差值得到调节上行流量;实时上行流量和所述调节上行流量的和为目标IP的最大上行流量。
CN202210784685.8A 2022-07-06 2022-07-06 一种基于人工智能的网络安全态势感知方法 Active CN114884749B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210784685.8A CN114884749B (zh) 2022-07-06 2022-07-06 一种基于人工智能的网络安全态势感知方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210784685.8A CN114884749B (zh) 2022-07-06 2022-07-06 一种基于人工智能的网络安全态势感知方法

Publications (2)

Publication Number Publication Date
CN114884749A true CN114884749A (zh) 2022-08-09
CN114884749B CN114884749B (zh) 2022-09-16

Family

ID=82682775

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210784685.8A Active CN114884749B (zh) 2022-07-06 2022-07-06 一种基于人工智能的网络安全态势感知方法

Country Status (1)

Country Link
CN (1) CN114884749B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117880856A (zh) * 2024-03-11 2024-04-12 武汉众诚华鑫科技有限公司 一种基于人工智能的电信基站安全预警方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170034195A1 (en) * 2015-07-27 2017-02-02 Electronics And Telecommunications Research Institute Apparatus and method for detecting abnormal connection behavior based on analysis of network data
CN110881034A (zh) * 2019-11-11 2020-03-13 重庆工业职业技术学院 一种基于虚拟化技术的计算机网络安全系统
CN111181932A (zh) * 2019-12-18 2020-05-19 广东省新一代通信与网络创新研究院 Ddos攻击检测与防御方法、装置、终端设备及存储介质
CN113079143A (zh) * 2021-03-24 2021-07-06 北京锐驰信安技术有限公司 一种基于流数据的异常检测方法及系统
US20220141239A1 (en) * 2021-05-11 2022-05-05 Asna Suhail Zaman Physical and network security system and methods
WO2022088405A1 (zh) * 2020-10-28 2022-05-05 杭州安恒信息技术股份有限公司 一种网络安全防护方法、装置及系统
CN114531681A (zh) * 2020-10-30 2022-05-24 华为技术有限公司 一种异常终端控制方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170034195A1 (en) * 2015-07-27 2017-02-02 Electronics And Telecommunications Research Institute Apparatus and method for detecting abnormal connection behavior based on analysis of network data
CN110881034A (zh) * 2019-11-11 2020-03-13 重庆工业职业技术学院 一种基于虚拟化技术的计算机网络安全系统
CN111181932A (zh) * 2019-12-18 2020-05-19 广东省新一代通信与网络创新研究院 Ddos攻击检测与防御方法、装置、终端设备及存储介质
WO2022088405A1 (zh) * 2020-10-28 2022-05-05 杭州安恒信息技术股份有限公司 一种网络安全防护方法、装置及系统
CN114531681A (zh) * 2020-10-30 2022-05-24 华为技术有限公司 一种异常终端控制方法及装置
CN113079143A (zh) * 2021-03-24 2021-07-06 北京锐驰信安技术有限公司 一种基于流数据的异常检测方法及系统
US20220141239A1 (en) * 2021-05-11 2022-05-05 Asna Suhail Zaman Physical and network security system and methods

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘智宏等: "浅谈电信网络环境下的DDOS攻击防护技术", 《数字技术与应用》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117880856A (zh) * 2024-03-11 2024-04-12 武汉众诚华鑫科技有限公司 一种基于人工智能的电信基站安全预警方法及系统
CN117880856B (zh) * 2024-03-11 2024-05-31 武汉众诚华鑫科技有限公司 一种基于人工智能的电信基站安全预警方法及系统

Also Published As

Publication number Publication date
CN114884749B (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
CN106656800B (zh) 一种路径选取方法及系统、网络加速节点及网络加速系统
CN110233860B (zh) 一种负载均衡方法、装置和系统
US10091675B2 (en) System and method for estimating an effective bandwidth
WO2018161447A1 (zh) 一种cdn客户源站的防护方法和系统
CN104348647B (zh) 多源带宽调度方法、装置及系统
CN109257293A (zh) 一种用于网络拥堵的限速方法、装置及网关服务器
CN113467910B (zh) 基于业务等级的过载保护调度方法
US20120236739A1 (en) Network device, and multi-wide area network interface selection module and method
US20040032828A1 (en) Service management in cellular networks
US20110153828A1 (en) Load balancing apparatus and method for regulating load using the same
CN110855564B (zh) 路由路径智能选择方法、装置、设备及可读存储介质
CN114884749B (zh) 一种基于人工智能的网络安全态势感知方法
CN108650317B (zh) 内容分发网络的负载调节方法、装置及设备
CN113612640B (zh) 数据通信方法及装置、电子设备、存储介质
CN110072130A (zh) 一种基于http/2的has视频切片推送方法
Piamrat et al. QoE-based network selection for multimedia users in IEEE 802.11 wireless networks
US8380528B2 (en) Controlling service provided by a packet switched network based on bids from consumer equipment
JP2016127359A (ja) 通信制御装置
CN116866357B (zh) 一种多云容器集群资源优化管理方法及系统
CN113840330A (zh) 建立连接的方法、网关设备、网络系统及调度中心
CN111278039B (zh) 用户感知压抑识别方法、装置、设备及介质
CN112003921B (zh) 一种边缘计算环境中热门数据主动缓存与替换的方法
Yeznabad et al. Cross-layer joint optimization algorithm for adaptive video streaming in mec-enabled wireless networks
CN114845338A (zh) 一种面向用户接入的随机退避方法
CN106357798A (zh) Portal页面中媒体文件的存储及获取方法、云控制器及终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Method of Network Security Situation Awareness Based on Artificial Intelligence

Effective date of registration: 20221207

Granted publication date: 20220916

Pledgee: China Postal Savings Bank Limited by Share Ltd. Wenshang County sub branch

Pledgor: Zhilian Xintong Technology Co.,Ltd.

Registration number: Y2022980025489

PE01 Entry into force of the registration of the contract for pledge of patent right