CN115955323A - 一种网络安全态势感知方法、装置及电子设备 - Google Patents
一种网络安全态势感知方法、装置及电子设备 Download PDFInfo
- Publication number
- CN115955323A CN115955323A CN202111177095.0A CN202111177095A CN115955323A CN 115955323 A CN115955323 A CN 115955323A CN 202111177095 A CN202111177095 A CN 202111177095A CN 115955323 A CN115955323 A CN 115955323A
- Authority
- CN
- China
- Prior art keywords
- data
- data element
- network
- node
- calculating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本申请实施例提供了一种网络安全态势感知方法、装置及电子设备,包括:获取网络中各节点的上行流量数据和下行流量数据;针对各节点,分别对上行流量数据和下行流量数据进行聚类,得到对应于各节点的聚类结果;根据聚类结果、上行流量数据和下行流量数据计算网络的网络态势感知值;在网络态势感知值大于阈值的情况下,进行安全报警。因此,本申请实施例通过各节点的上行流量数据和下行流量数据计算网络态势感知值,无需综合分析多种网络安全要素,降低了网络安全态势感知的维度,提高了网络安全态势感知的效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络安全态势感知方法、装置及电子设备。
背景技术
网络安全态势感知作为网络管理员对网络安全状态监控的一种技术,用来综合分析网络安全要素,评估网络安全状况,预测网络的发展趋势。
随着网络规模的不断扩大,网络安全事件呈现出体量巨大、类型繁多、价值密度低以及快速处理等特征。由于网络安全事件的这些特征,网络安全态势生成需要综合分析多种网络安全要素,如系统流动、入侵攻击等,网络安全态势感知的维度较高,进一步导致网络安全态势感知的效率较低。
发明内容
本申请实施例的目的是提供一种网络安全态势感知方法、装置及电子设备,降低网络安全态势感知的维度,进一步提高网络态势感知的效率。
为了解决上述技术问题,本申请实施例是这样实现的:
第一方面,本申请实施例提供了一种网络安全态势感知方法,包括:
获取网络中各节点的上行流量数据和下行流量数据;针对各节点,分别对上行流量数据和下行流量数据进行聚类,得到对应于各节点的聚类结果;根据聚类结果、上行流量数据和下行流量数据计算网络的网络态势感知值;在网络态势感知值大于阈值的情况下,进行安全报警。
第二方面,本申请实施例提供了一种网络安全态势感知装置,装置包括:
获取模块,用于获取网络中各节点的上行流量数据和下行流量数据;聚类模块,用于针对各节点,分别对上行流量数据和下行流量数据进行聚类,得到对应于各节点的聚类结果;计算模块,用于根据聚类结果、上行流量数据和下行流量数据计算网络的网络态势感知值;报警模块,用于在网络态势感知值大于阈值的情况下,进行安全报警。
第三方面,本申请实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线;其中,处理器、通信接口以及存储器通过总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序,实现如第一方面的网络安全态势感知方法步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,实现如第一方面的网络安全态势感知方法步骤。
本申请实施例提供的技术方案,包括:获取网络中各节点的上行流量数据和下行流量数据;针对各节点,分别对上行流量数据和下行流量数据进行聚类,得到对应于各节点的聚类结果;根据聚类结果、上行流量数据和下行流量数据计算网络的网络态势感知值;在网络态势感知值大于阈值的情况下,进行安全报警。因此,本申请实施例通过各节点的上行流量数据和下行流量数据计算网络态势感知值,无需综合分析多种网络安全要素,降低了网络安全态势感知的维度,提高了网络安全态势感知的效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出本申请实施例提供的一种网络拓扑结构的结构图;
图2示出本申请实施例提供一种网络安全态势感知方法的第一种流程示意图;
图3示出本申请实施例提供一种网络安全态势感知方法的第二种流程示意图;
图4示出本申请实施例提供一种网络安全态势感知装置的模块组成示意图;
图5示出本申请实施例提供一种电子设备的结构示意图;
具体实施方式
本申请实施例提供了一种网络安全态势感知方法、装置及电子设备,降低网络安全态势感知的维度,进一步提高网络态势感知的效率。
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
在一些应用场景中,如图1所示的,网络中的网络拓扑结构图可以包括网关A,网关B、网关C、本地服务器A、本地服务器B、本地服务器C、云服务器A等。其中,网管A,网关B、网关C、本地服务器A、本地服务器B、本地服务器C、云服务器A可以作为网络中的节点,每个节点代表一个传输网上的阶段,两个阶段若建立连接,则在网络拓扑图中对应的两个节点间存在一条边。值得注意的是,网络拓扑结构图并不局限于图1所示的结构,根据网络的实际情况,网络拓扑结构图还可以为其他类型。
如图1网络拓扑结构图中所示的各节点,网络的各节点中的网络流量数据包括上行流量数据和下行流量数据,对于上行流量数据,其包括但不限于数据包标识、数据包大小、数据包到达时间、源地址和目的地址。对于下行流量数据,其包括但不限于数据包标识、数据包大小、数据包发送时间、源地址和目的地址。
下面以图1所示例的网络拓扑结构为例,对本申请实施例提供的网络安全态势感知方法进行说明。
如图2所示,本申请实施例提供一种网络安全态势感知方法,该方法的执行主体可以为服务器,其中,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群,而且,该服务器可以是能够进行网络安全态势感知的服务器。该网络安全态势感知方法具体可以包括以下步骤:
在S201中,获取网络中各节点的上行流量数据和下行流量数据。
具体来讲,对于上行流量数据,其包括但不限于数据包标识、数据包大小、数据包到达时间、源地址和目的地址。对于下行流量数据,其包括但不限于数据包标识、数据包大小、数据包发送时间、源地址和目的地址,上行流量数据和下行流量数据中的数据包标识可以相同。
对于各节点而言,其对应有安全权值,各个节点的安全权值可以是该节点在网络拓扑结构中的度与该节点的级别的乘积。其中,该节点的级别可以为用户预先定义的安全级别,如服务器的安全级别为3,网关的安全级别为2等。
在S202中,分别对上行流量数据和下行流量数据进行聚类,得到聚类结果。
具体来讲,在对上行流量数据和下行流量数据进行聚类时,可以首先从上行流量数据或下行流量数据中选取任意一个数据元素作为中心数据元素,将与该中心数据元素相关度较高的数据元素归为一类,从而将上行流量数据或下行流量数据划分为多个类别。
在S203中,根据聚类结果、上行流量数据和下行流量数据计算网络态势感知值。在网络态势感知值大于阈值的情况下,进行安全报警。
具体来讲,阈值可以根据网络的实际情况由用户自定义设置,本申请实施例在此并不作限定。
在一种可能的实现方式中,计算网络态势感知值具体包括:
针对各节点,计算各数据类中的数据元素的数量和对应节点的安全权值的第一乘积,各数据类的平均相关度和对应节点的贡献度的第二乘积;对第一乘积和第二乘积求和,得到第一和值;计算具有相同数据包标识的上行数据和下行数据的时间参数的方差;计算第一和值和方差的比值,将各比值进行叠加得到各节点的网络态势感知值;对各节点的网络态势感知值进行叠加,得到网络的网络态势感知值。
具体来讲,网络态势感知值可以通过以下公式进行计算:
网络态势感知值=ΣΣ(任一节点中各类包括的元素数量任一节点的安全权重值+任一节点每类平均相关度*任一节点的贡献度)/任一节点中包括的具有相同数据包标识的上行数据和下行数据的时间参数的方差。
其中,左侧的第一个求和“Σ”是对各节点的网络态势值进行叠加,第二个求和“Σ”是对单个节点中各比值进行叠加。
其中,每个节点的贡献度=每个节点与其所在的类的中心节点之间的相关度/各类中各节点与中心节点的相关度的均值。中心节点是每个节点类别中的中心节点,其可以由用户自定义设置,归属于该中心节点所在类别中的节点也可以由用户自定义设置,本申请实施例在此不作限定。
由以上本申请实施例提供的技术方案可见,通过各节点的上行流量数据和下行流量数据计算网络态势感知值,无需综合分析多种网络安全要素,降低了网络安全态势感知的维度,提高了网络安全态势感知的效率。
如图3所示,本申请实施例提供一种网络安全态势感知方法,该方法的执行主体可以为服务器,其中,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群,而且,该服务器可以是能够进行网络安全态势感知的服务器。该网络安全态势感知方法具体可以包括以下步骤:
S301、获取网络中各节点的上行流量数据和下行流量数据;
S302、执行循环过程,直至上行流量数据或下行流量数据中所有的数据元素均归类。
循环过程包括:
从上行流量数据或下行流量数据未归类的数据元素中选取中心数据元素,将中心数据元素作为一类数据类的中心;从上行流量数据或下行流量数据未归类的数据元素中选取目标数据元素;计算目标数据元素与中心数据元素的相关度;从各相关度中确定最大值和最小值;将最大值对应的目标数据元素归类到中心数据元素所在的数据类,将最小值对应的目标数据元素作为未归类的新的中心数据元素。
下面以上行流量数据为例,对数据的聚类过程进行详细说明:
针对任一节点,对于上行流量数据组成的集合记为S上,任选S上中的一个数据元素j(中心数据元素),将数据元素j作为一个数据类的中心。按照上行数据序列中上行数据的时间顺序,由早到晚依次选择S上中未归类的任意数据元素(目标数据元素),计算该目标数据元素与中心数据元素(数据元素j)的相关度。例如数据元素i(目标数据元素),计算数据元素i与数据元素j之间的相关度Sij。
在一种可能的实现方式中,如图3所示的,计算目标数据元素与中心数据元素的相关度包括:
确定中心数据元素所在的节点的安全权值;计算中心数据元素和目标数据元素相关的第一概率;计算中心数据元素和目标数据元素相关的第二概率;计算中心数据元素和目标数据元素之间的源地址的相似度;计算安全权值、第一概率、第二概率和相似度的乘积,得到相关度。
具体来讲,相关度Sij可以通过以下计算公式进行计算:
Sij=W*Pt(i|j)*Pp(i|j)*Aip(i,j)
其中,W为节点的安全权值,确定中心数据元素所在的节点的安全权值包括:确定网络的网络拓扑结构;基于网络拓扑结构确定中心数据元素所在节点的度;计算节点中心数据元素所在节点的预定义的安全级别和节点的度的乘积,得到安全权值。
其中,安全权值W的计算公式如下:
W=网络拓扑结构中该节点的度*该节点的级别。
其中,该节点的级别可以为用户预先定义的安全级别,如服务器的安全级别为3,网关的安全级别为2等。
在一种可能的实现方式中,计算中心数据元素和目标数据元素相关的第一概率包括:
将上行流量数据或下行流量数据按照到达时间从早到晚进行排序,得到上行数据序列或下行数据序列;计算中心数据元素的到达时间与在中心数据元素排序前一位的数据元素的到达时间之间的第一到达时间差,将第一到达时间差作为中心数据元素的时间间隔属性的第一数值;计算目标数据元素的到达时间与在目标数据元素排序前一位的数据元素的到达时间之间的第二到达时间差,将第二到达时间差作为目标数据元素的时间间隔属性的第二数值;根据第一数值、第二数值和上行流量数据中所有数据元素的时间间隔属性的值的均值计算第一概率;或者根据第一数值、第二数值和下行流量数据中所有数据元素的时间间隔属性的值的均值。
具体来讲,记Pt(i|j)为数据元素i与数据元素j相关的第一概率,Pt(i|j)的计算公式如下:
Pt(i|j)=(1-|数据元素i的时间间隔属性的值-数据元素j的时间间隔属性的值/所有上行数据的时间间隔属性的值的均值)*(数据元素i的时间间隔属性的值/数据元素j的时间间隔属性的值)。
其中,时间间隔属性的值得计算具体如下:将上行流量数据按照到达时间从早到晚进行排序,得到上行数据序列。计算上行数据序列中每个上行数据的到达时间与在其排序前一位的上行数据的到达时间之间的到达时间差,将该到达时间差作为该上行数据的时间间隔属性的值。对于首个到达的上行数据,将0作为其时间间隔属性的值。
将下行流量数据按照发送时间从早到晚进行排序,得到下行数据序列。计算下行数据序列中每个下行数据的到达时间与其排序前一位的下行数据的到达时间之间的到达时间差,将该时间差作为该下行数据的时间间隔属性的值。对于首个发出的下行数据包,将0作为其时间间隔属性的值。
将上行流量数据中的数据包按照数据包标识分类,对于存在统一数据包标识的上行数据和下行数据,计算其上行数据到达时间和下行数据发送时间之间的时间差,该时间差作为数据包标识的时间参数。
计算中心数据元素和目标数据元素相关的第二概率包括:
计算中心数据元素的数据量和目标数据元素的数据量的差值和第一比值;从中心数据元素和目标数据元素中选取数据量小的一者作为目标数据量;计算差值与目标数据量的第二比值与第一比值的乘积,作为第二概率。
具体来讲,Pp(i|j)为数据元素i与数据元素j相关的第二概率,可以按照以下公式计算:
Pp(i|j)=(|元素i的包大小-元素j的包大小|/min{元素i的包大小,元素j的包大小})*(元素i的包大小/元素j的包大小)
其中,元素i的包大小即为目标数据元素的数据量,元素j的包大小即为中心数据元素的数据量。min{元素i的包大小,元素j的包大小}表示从中心数据元素和目标数据元素中选取数据量小的一者作为目标数据量。
在一种可能的实现方式中,计算中心数据元素和目标数据元素之间的源地址的相似度包括:
从源地址最左侧的十进制数开始依次比较中心数据元素与目标数据元素在对应位置的数值,查找第一个不同的十进制数所在的位置;根据第一个不同的十进制数所在的位置的数值计算中心数据元素与目标数据元素之间的源地址的相似度。
具体来讲,将Aip(i,j)作为数据元素i与数据元素j之间的源地址的相似度,其中源地址(源IP地址)分为4个十进制数,源地址的相似度计算方式为:
例如:数据元素i的源地址为120.244.110.131,数据元素j的源地址为120.244.110.100,那数据元素i和数据元素j第一个不同的十进制数的位置在最右侧。即数据元素i的“131”所在的位置,数据元素j的“100”所在的位置。
进一步,以源地址为AAA.BBB.CCC.DDD为例。
如果第一个不同的十进制数在最右侧(从左到右第四位),即(DDD的位置),则数据元素i和数据元素j之间源地址的相似度=两个不同数之差的绝对值/255。
如果第一个不同的十进制数在右数第二(从左到右第三位),(即CCC的位置),则数据元素i和数据元素j之间源地址的相似度=(1-两个不同数之差的绝对值/255)/2。
如果第一个不同的十进制数在左数第二(从左到右第二位),(即BBB的位置),则数据元素i和数据元素j之间源地址的相似度=(1-两个不同数之差的绝对值/255)/4。
如果第一个不同的十进制数在左数第一(从左到右第一位),(即AAA的位置),则数据元素i和数据元素j之间源地址的相似度=(1-两个不同数之差的绝对值/255)/8。
在S上中所有未归类的数据元素中,将相关度最大的数据元素归类到数据元素j所在的类中,将相关度最小的数据元素作为一个新类中心。
从S上中依次选择未归类的数据元素,按照上述的方法重复执行,直至所有的数据元素均归类。
对于下行流量数据组成集合S下,按照S上中数据元素的归类方式对S下中的数据元素进行归类,本申请实施例在此不再赘述。
S303、根据聚类结果、上行流量数据和下行流量数据计算网络态势感知值;在网络态势感知值大于阈值的情况下,进行安全报警。
值得注意的是,S301和S303具有与上述实施例S201和S203相同或类似的实施方式,其可以互相参照,本申请实施例在此并不作赘述。
通过本申请实施例公开的技术方案,通过各节点的上行流量数据和下行流量数据计算网络态势感知值,无需综合分析多种网络安全要素,降低了网络安全态势感知的维度,提高了网络安全态势感知的效率。
对应上述实施例提供的网络安全态势感知方法,基于相同的技术构思,本申请实施例还提供了一种网络安全态势感知装置,图4为本申请实施例提供的网络安全态势感知装置的模块组成示意图,该网络安全态势感知装置用于执行图2至图3描述的网络安全态势感知方法,如图4所示,该网络安全态势感知装置包括:
获取模块401,用于获取网络中各节点的上行流量数据和下行流量数据;聚类模块402,用于针对各节点,分别对上行流量数据和下行流量数据进行聚类,得到对应于各节点的聚类结果;计算模块403,用于根据聚类结果、上行流量数据和下行流量数据计算网络的网络态势感知值;报警模块404,用于在网络态势感知值大于阈值的情况下,进行安全报警。
由以上本申请实施例提供的技术方案可见,通过各节点的上行流量数据和下行流量数据计算网络态势感知值,无需综合分析多种网络安全要素,降低了网络安全态势感知的维度,提高了网络安全态势感知的效率。
在一种可能的实现方式中,聚类模块402,还用于执行循环过程,直至上行流量数据或下行流量数据中所有的数据元素均归类;循环过程包括:从上行流量数据或下行流量数据未归类的数据元素中选取中心数据元素,将中心数据元素作为一类数据类的中心;从上行流量数据或下行流量数据未归类的数据元素中选取目标数据元素;计算目标数据元素与中心数据元素的相关度;从各相关度中确定最大值和最小值;
将最大值对应的目标数据元素归类到中心数据元素所在的数据类,将最小值对应的目标数据元素作为未归类的新的中心数据元素。
在一种可能的实现方式中,聚类模块402,还用于确定中心数据元素所在的节点的安全权值;计算中心数据元素和目标数据元素相关的第一概率;计算中心数据元素和目标数据元素相关的第二概率;计算中心数据元素和目标数据元素之间的源地址的相似度;计算安全权值、第一概率、第二概率和相似度的乘积,得到相关度。
在一种可能的实现方式中,聚类模块402,还用于确定网络的网络拓扑结构;基于网络拓扑结构确定中心数据元素所在节点的度;计算中心数据元素所在节点的预定义的安全级别和节点的度的乘积,得到安全权值。
在一种可能的实现方式中,聚类模块402,还用于将上行流量数据或下行流量数据按照到达时间从早到晚进行排序,得到上行数据序列或下行数据序列;计算中心数据元素的到达时间与在中心数据元素排序前一位的数据元素的到达时间之间的第一到达时间差,将第一到达时间差作为中心数据元素的时间间隔属性的第一数值;计算目标数据元素的到达时间与在目标数据元素排序前一位的数据元素的到达时间之间的第二到达时间差,将第二到达时间差作为目标数据元素的时间间隔属性的第二数值;根据第一数值、第二数值和上行流量数据中所有数据元素的时间间隔属性的值的均值计算第一概率;或者根据第一数值、第二数值和下行流量数据中所有数据元素的时间间隔属性的值的均值。
在一种可能的实现方式中,聚类模块402,还用于计算中心数据元素的数据量和目标数据元素的数据量的差值和第一比值;从中心数据元素和目标数据元素中选取数据量小的一者作为目标数据量;计算差值与目标数据量的第二比值与第一比值的乘积,作为第二概率。
在一种可能的实现方式中,聚类模块402,还用于从源地址最左侧的十进制数开始依次比较中心数据元素与目标数据元素在对应位置的数值,查找第一个不同的十进制数所在的位置;根据第一个不同的十进制数所在的位置的数值计算中心数据元素与目标数据元素之间的源地址的相似度。
在一种可能的实现方式中,计算模块403,还用于针对各节点,计算各数据类中的数据元素的数量和对应节点的安全权值的第一乘积,各数据类的平均相关度和对应节点的贡献度的第二乘积;对第一乘积和第二乘积求和,得到第一和值;计算具有相同数据包标识的上行数据和下行数据的时间参数的方差;计算第一和值和方差的比值,将各比值进行叠加得到各节点的网络态势感知值;对各节点的网络态势感知值进行叠加,得到网络的网络态势感知值。
本申请实施例提供的网络安全态势感知装置能够实现上述网络安全态势感知方法对应的实施例中的各个过程,为避免重复,这里不再赘述。
需要说明的是,本申请实施例提供的网络安全态势感知装置与本申请实施例提供的网络安全态势感知方法基于同一发明构思,因此该实施例的具体实施可以参见前述网络安全态势感知方法的实施,重复之处不再赘述。
对应上述实施例提供的网络安全态势感知方法,基于相同的技术构思,本申请实施例还提供了一种电子设备,该电子设备用于执行上述的网络安全态势感知方法,图5为实现本发明各个实施例的一种电子设备的结构示意图,如图5所示。电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器501和存储器502,存储器502中可以存储有一个或一个以上存储应用程序或数据。其中,存储器502可以是短暂存储或持久存储。存储在存储器502的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对电子设备中的一系列计算机可执行指令。更进一步地,处理器501可以设置为与存储器502通信,在电子设备上执行存储器502中的一系列计算机可执行指令。电子设备还可以包括一个或一个以上电源503,一个或一个以上有线或无线网络接口504,一个或一个以上输入输出接口505,一个或一个以上键盘506。
具体在本实施例中,电子设备包括有处理器、通信接口、存储器和通信总线;其中,处理器、通信接口以及存储器通过总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序,实现以下方法步骤:
获取网络中各节点的上行流量数据和下行流量数据;针对各节点,分别对上行流量数据和下行流量数据进行聚类,得到对应于各节点的聚类结果;根据聚类结果、上行流量数据和下行流量数据计算网络的网络态势感知值;在网络态势感知值大于阈值的情况下,进行安全报警。
本申请实施例还提供一种计算机可读存储介质,存储介质内存储有计算机程序,计算机程序被处理器执行时实现以下方法步骤:
获取网络中各节点的上行流量数据和下行流量数据;针对各节点,分别对上行流量数据和下行流量数据进行聚类,得到对应于各节点的聚类结果;根据聚类结果、上行流量数据和下行流量数据计算网络的网络态势感知值;在网络态势感知值大于阈值的情况下,进行安全报警。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,电子设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、装置或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种网络安全态势感知方法,其特征在于,所述方法包括:
获取网络中各节点的上行流量数据和下行流量数据;
针对各所述节点,分别对所述上行流量数据和所述下行流量数据进行聚类,得到对应于各所述节点的聚类结果;
根据所述聚类结果、所述上行流量数据和所述下行流量数据计算所述网络的网络态势感知值;
在所述网络态势感知值大于阈值的情况下,进行安全报警。
2.根据权利要求1所述的方法,其特征在于,所述分别对所述上行流量数据和下行流量数据进行聚类包括:
执行循环过程,直至所述上行流量数据或所述下行流量数据中所有的数据元素均归类;
所述循环过程包括:
从所述上行流量数据或所述下行流量数据未归类的数据元素中选取中心数据元素,将所述中心数据元素作为一类数据类的中心;
从所述上行流量数据或所述下行流量数据未归类的数据元素中选取目标数据元素;
计算所述目标数据元素与所述中心数据元素的相关度;
从各所述相关度中确定最大值和最小值;
将最大值对应的目标数据元素归类到所述中心数据元素所在的数据类,将最小值对应的目标数据元素作为未归类的新的中心数据元素。
3.根据权利要求2所述的方法,其特征在于,所述计算所述目标数据元素与所述中心数据元素的相关度包括:
确定所述中心数据元素所在的节点的安全权值;
计算中心数据元素和所述目标数据元素相关的第一概率;计算中心数据元素和所述目标数据元素相关的第二概率;
计算所述中心数据元素和所述目标数据元素之间的源地址的相似度;
计算所述安全权值、所述第一概率、所述第二概率和所述相似度的乘积,得到所述相关度。
4.根据权利要求3所述的方法,其特征在于,所述确定所述中心数据元素所在的节点的安全权值包括:
确定所述网络的网络拓扑结构;
基于所述网络拓扑结构确定所述中心数据元素所在节点的度;
计算所述中心数据元素所在节点的预定义的安全级别和所述节点的度的乘积,得到所述安全权值。
5.根据权利要求3所述的方法,其特征在于,所述计算中心数据元素和所述目标数据元素相关的第一概率包括:
将所述上行流量数据或所述下行流量数据按照到达时间从早到晚进行排序,得到上行数据序列或下行数据序列;
计算中心数据元素的到达时间与在所述中心数据元素排序前一位的数据元素的到达时间之间的第一到达时间差,将所述第一到达时间差作为所述中心数据元素的时间间隔属性的第一数值;
计算目标数据元素的到达时间与在所述目标数据元素排序前一位的数据元素的到达时间之间的第二到达时间差,将所述第二到达时间差作为所述目标数据元素的时间间隔属性的第二数值;
根据所述第一数值、所述第二数值和所述上行流量数据中所有数据元素的时间间隔属性的值的均值计算所述第一概率;
或者根据所述第一数值、所述第二数值和所述下行流量数据中所有数据元素的时间间隔属性的值的均值。
6.根据权利要求3所述的方法,其特征在于,所述计算中心数据元素和所述目标数据元素相关的第二概率包括:
计算所述中心数据元素的数据量和所述目标数据元素的数据量的差值和第一比值;
从所述中心数据元素和所述目标数据元素中选取数据量小的一者作为目标数据量;
计算所述差值与所述目标数据量的第二比值与所述第一比值的乘积,作为所述第二概率。
7.根据权利要求3所述的方法,其特征在于,所述计算所述中心数据元素和所述目标数据元素之间的源地址的相似度包括:
从源地址最左侧的十进制数开始依次比较中心数据元素与目标数据元素在对应位置的数值,查找第一个不同的十进制数所在的位置;
根据第一个不同的十进制数所在的位置的数值计算中心数据元素与目标数据元素之间的源地址的相似度。
8.根据权利要求1所述的方法,其特征在于,所述根据所述聚类结果、所述上行流量数据和所述下行流量数据计算所述网络的网络态势感知值包括:
针对各所述节点,计算各数据类中的数据元素的数量和对应节点的安全权值的第一乘积,各数据类的平均相关度和对应节点的贡献度的第二乘积;
对所述第一乘积和所述第二乘积求和,得到第一和值;
计算具有相同数据包标识的上行数据和下行数据的时间参数的方差;
计算所述第一和值和所述方差的比值,将各所述比值进行叠加得到各所述节点的网络态势感知值;
对各所述节点的网络态势感知值进行叠加,得到所述网络的网络态势感知值。
9.一种网络安全态势感知装置,其特征在于,所述装置包括:
获取模块,用于获取网络中各节点的上行流量数据和下行流量数据;
聚类模块,用于针对各所述节点,分别对所述上行流量数据和所述下行流量数据进行聚类,得到对应于各所述节点的聚类结果;
计算模块,用于根据所述聚类结果、所述上行流量数据和所述下行流量数据计算所述网络的网络态势感知值;
报警模块,用于在所述网络态势感知值大于阈值的情况下,进行安全报警。
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线;其中,所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信;所述存储器,用于存放计算机程序;所述处理器,用于执行所述存储器上所存放的程序,实现如权利要求1-8任一项所述的网络安全态势感知方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111177095.0A CN115955323A (zh) | 2021-10-09 | 2021-10-09 | 一种网络安全态势感知方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111177095.0A CN115955323A (zh) | 2021-10-09 | 2021-10-09 | 一种网络安全态势感知方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115955323A true CN115955323A (zh) | 2023-04-11 |
Family
ID=87289641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111177095.0A Pending CN115955323A (zh) | 2021-10-09 | 2021-10-09 | 一种网络安全态势感知方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115955323A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116705180A (zh) * | 2023-08-08 | 2023-09-05 | 山东北国发展集团有限公司 | 基于多维数据分析的n2o催化分解监测方法及系统 |
-
2021
- 2021-10-09 CN CN202111177095.0A patent/CN115955323A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116705180A (zh) * | 2023-08-08 | 2023-09-05 | 山东北国发展集团有限公司 | 基于多维数据分析的n2o催化分解监测方法及系统 |
| CN116705180B (zh) * | 2023-08-08 | 2023-10-31 | 山东北国发展集团有限公司 | 基于多维数据分析的n2o催化分解监测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109684181B (zh) | 告警根因分析方法、装置、设备及存储介质 | |
| CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
| US11087329B2 (en) | Method and apparatus of identifying a transaction risk | |
| US11237897B2 (en) | Detecting and responding to an anomaly in an event log | |
| Kas et al. | Incremental algorithm for updating betweenness centrality in dynamically growing networks | |
| Vlăduţu et al. | Internet traffic classification based on flows' statistical properties with machine learning | |
| US9275224B2 (en) | Apparatus and method for improving detection performance of intrusion detection system | |
| US20190065738A1 (en) | Detecting anomalous entities | |
| Jain et al. | Distributed anomaly detection using concept drift detection based hybrid ensemble techniques in streamed network data | |
| JP2016509300A (ja) | ウェブサイトユーザを識別する方法および装置 | |
| Papadopoulos et al. | A novel graph-based descriptor for the detection of billing-related anomalies in cellular mobile networks | |
| Kaur et al. | Dynamic resource allocation for big data streams based on data characteristics (5 V s) | |
| Larsson | 5G networks: planning, design and optimization | |
| CN114268954B (zh) | 一种物联网设备的安全监测方法、装置、设备及存储介质 | |
| Garg et al. | Fuzzy k-mean clustering in mapreduce on cloud based hadoop | |
| Hameed et al. | IOTA-based Mobile crowd sensing: detection of fake sensing using logit-boosted machine learning algorithms | |
| CN111159577A (zh) | 一种社群划分方法、装置、存储介质及电子装置 | |
| CN115955323A (zh) | 一种网络安全态势感知方法、装置及电子设备 | |
| KR101878213B1 (ko) | 가중치 그래프를 요약하는 방법, 장치 및 컴퓨터 프로그램 | |
| Behera et al. | An efficient modularity based algorithm for community detection in social network | |
| Sushmakar et al. | An unsupervised based enhanced anomaly detection model using features importance | |
| CN114760113B (zh) | 一种异常告警检测方法、装置及电子设备和存储介质 | |
| Pradhan et al. | Traffic classification in underwater networks using sdn and data-driven hybrid metaheuristics | |
| Zhang et al. | A novel anomaly detection algorithm based on trident tree | |
| CN113254672A (zh) | 异常账号的识别方法、系统、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |