CN116527378B - 一种云手机监控管理方法和系统 - Google Patents

一种云手机监控管理方法和系统 Download PDF

Info

Publication number
CN116527378B
CN116527378B CN202310581712.6A CN202310581712A CN116527378B CN 116527378 B CN116527378 B CN 116527378B CN 202310581712 A CN202310581712 A CN 202310581712A CN 116527378 B CN116527378 B CN 116527378B
Authority
CN
China
Prior art keywords
data
network
weight
information entropy
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310581712.6A
Other languages
English (en)
Other versions
CN116527378A (zh
Inventor
陈侃
郑霄
胡君方
周东升
章哲斌
李鹏飞
凌昊
金涛
李永清
王承志
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Longene Technology Co ltd
Original Assignee
Hangzhou Longene Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Longene Technology Co ltd filed Critical Hangzhou Longene Technology Co ltd
Priority to CN202310581712.6A priority Critical patent/CN116527378B/zh
Publication of CN116527378A publication Critical patent/CN116527378A/zh
Application granted granted Critical
Publication of CN116527378B publication Critical patent/CN116527378B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种云手机监控管理方法和系统,属于云手机安全技术领域,方法包括:获取数据交换请求;在数据交换请求对应的数据包在数据流表中匹配失败的情况下,提取数据交换请求的目的IP地址;计算当前网络环境下目的IP地址的实际信息熵;构建信息熵预测模型;通过信息熵预测模型输出当前网络环境下目的IP地址的预测信息熵;对比预测信息熵与实际信息熵,判断是否存在异常;当存在异常时,获取数据流表;提取数据流表中的多个数据特征;确定各个数据特征的权重参数;根据各个数据特征的权重参数构建随机森林模型;将各个数据特征的特征值输入至随机森林模型,通过随机森林模型判断是否遭受到网络攻击;当遭受到网络攻击时,启动防御模式。

Description

一种云手机监控管理方法和系统
技术领域
本发明属于云手机安全技术领域,具体涉及一种云手机监控管理方法和系统。
背景技术
随着云手机的兴起,用户使用普通配置的手机终端就可以连接云手机平台使用各种高端、复杂的应用业务,包括游戏、办公、金融等。
当前,云手机在用户使用过程中产生的应用数据、文档、隐私数据等都被保存在云端,一旦云手机受到网络攻击,用户的隐私数据容易泄露。
现有的云手机网络安全监控方法中,往往通过检测网络的拥堵状态来判断云手机是否受到网络攻击,在网络存在拥堵的情况下,通过降低端口的带宽资源来降低网络攻击的风险,此种监控方法快速、高效,但是误报率高,在并非收到网络攻击而导致网络拥堵的情况下贸然限制端口的带宽资源,影响云手机的数据处理效率,进而影响云手机的运行流畅度。
发明内容
为了解决现有技术存在的误报率高,网络安全监控的准确性低,影响云手机的数据处理效率,进而影响云手机的运行流畅度的技术问题,本发明提供一种云手机监控管理方法和系统。
第一方面
本发明提供了一种云手机监控管理方法,应用于云手机,包括:
S101:获取数据交换请求;
S102:在数据交换请求对应的数据包在数据流表中匹配失败的情况下,提取数据交换请求的目的IP地址;
S103:计算当前网络环境下目的IP地址的实际信息熵;
S104:构建信息熵预测模型;
S105:通过信息熵预测模型输出当前网络环境下目的IP地址的预测信息熵;
S106:对比预测信息熵与实际信息熵,判断是否存在异常;
S107:在确定存在异常的情况下,获取数据流表;
S108:提取数据流表中的多个数据特征;
S109:确定各个数据特征的权重参数;
S110:根据各个数据特征的权重参数构建随机森林模型;
S111:将各个数据特征的特征值输入至随机森林模型,通过随机森林模型判断是否遭受到网络攻击;
S112:在确定遭受到网络攻击的情况下,启动防御模式。
第二方面
本发明提供了一种云手机监控管理系统,用于执行第一方面中的云手机监控管理方法。
与现有技术相比,本发明至少具有以下有益技术效果:
在本发明中,通过比对数据交换请求的目的IP地址的预测信息熵与实际信息熵,初步确定云手机的网络是否存在异常。在确定云手机的网络存在异常之后通过随机森林模型进一步地检测云手机是否受到网络攻击。在确定遭受到网络攻击的情况下,启动防御模式。提高了网络安全监控的准确性,保护了用户的隐私安全,同时不影响云手机的数据处理效率,保证云手机的运行流畅度。
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对本发明的上述特性、技术特征、优点及其实现方式予以进一步说明。
图1是本发明提供的一种云手机监控管理方法的流程示意图;
图2是本发明提供的一种云手机监控管理方法的结构示意图。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
为使图面简洁,各图中只示意性地表示出了与发明相关的部分,它们并不代表其作为产品的实际结构。另外,以使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个,或仅标出了其中的一个。在本文中,“一个”不仅表示“仅此一个”,也可以表示“多于一个”的情形。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
在本文中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接。可以是机械连接,也可以是电连接。可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
另外,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
在一个实施例中,参考说明书附图1,示出了本发明提供的云手机监控管理方法的流程示意图。参考说明书附图2,示出了本发明提供的一种云手机监控管理方法的结构示意图。
本发明提供的一种云手机监控管理方法,应用于云手机,包括:
S101:获取数据交换请求。
其中,数据交换请求是指在云手机系统中,用户设备与云端服务器之间进行数据交换的请求。这些请求可以是用户发起的,也可以外部的网络攻击者伪装成用户发起的,还可以是系统自动触发的。
S102:在数据交换请求对应的数据包在数据流表中匹配失败的情况下,提取数据交换请求的目的IP地址。
其中,数据流表是存储在云端的虚拟网络设备(如虚拟路由器、虚拟交换机)中的表格,用于管理数据包的转发和处理。数据流表中的规则可以根据数据包的源IP地址、目的IP地址、端口号、协议类型等信息进行匹配。匹配成功后,设备会执行相应的操作,例如转发数据包到特定的目的地、对数据包进行安全检查或应用特定的服务策略。如果数据交换请求对应的数据包在数据流表中匹配失败意味着没有找到与该数据包相匹配的规则,造成这种情况的原因是多方面的,但却是云手机受到网络攻击的一种非常明显的前期征兆。网络攻击者往往会发送错误的数据交换请求,匹配失败的数据包可能是由于未知或恶意流量引起的。
在一种可能的实施方式中,S102具体包括子步骤S1021至S1024:
S1021:捕获含有数据交换请求的数据包。
具体而言,可以使用网络抓包工具(如Wireshark)来捕获和记录数据包。
S1022:解析数据包中的报文。
其中,报文是对数据交换请求进行封装和传输的结构化数据,报文中存储有大量的关于数据交换请求以及数据包的信息。
S1023:在报文中查找与目的IP地址相关的字段。
需要说明的是,在大多数网络协议中,目的IP地址通常被封装在报文的特定字段中。具体的字段名称和位置取决于所使用的协议,如IPv4的目的IP地址通常位于IP报文头部的目的IP地址字段(Destination IPAddress)。
S1024:从字段中提取出目的IP地址。
具体而言,根据所使用的编程语言或工具,可以使用相应的方法或函数来提取字段的值。例如,使用网络编程库或正则表达式来提取字段值。
S103:计算当前网络环境下目的IP地址的实际信息熵。
其中,信息熵可以衡量信息的不确定性和随机性,是对信息源中的信息内容进行量化的一种度量。
在一种可能的实施方式中,S103具体包括子步骤S1031和S1032:
S1031:计算第i种目的IP地址出现的概率pi
其中,xi表示第i种目的IP地址出现的次数,n1表示含有目的IP地址的数据交换请求的总个数。
S1032:计算当前网络环境下目的IP地址的实际信息熵H:
其中,m1表示目标IP地址的种类数。
S104:构建信息熵预测模型。
具体而言,可以基于统计方法来构建信息熵预测模型,通过分析过去的数据,计算其信息熵,并将其作为预测模型的基础。可以使用频率统计方法、直方图分析等来估计概率分布,并根据概率分布计算信息熵。也可以基于机器学习的方法来构建信息熵预测模型,例如决策树、随机森林或者神经网络等。
S105:通过信息熵预测模型输出当前网络环境下目的IP地址的预测信息熵。
在一种可能的实施方式中,S105具体包括子步骤S1051和S1052:
S1051:获取前a个目的IP地址的信息熵序列{Ht-a,Ht-a+1,…,Ht-1}。
S1052:通过信息熵预测模型输出当前网络环境下目的IP地址的预测信息熵
其中,μ表示常数项,αi表示自回归系数,βi表示滑动平均系数,et和et-i表示误差,t表示当前目的IP地址对应的时刻。
其中,自回归系数是指时间序列模型中,当前时刻的观测值与过去时刻的观测值之间的线性关系的系数。在信息熵预测模型中,自回归系数表示当前时刻目的IP地址的信息熵与过去时刻目的IP地址信息熵之间的关系。
其中,滑动平均系数是时间序列模型中,当前时刻的观测值与过去时刻的误差项之间的线性关系的系数。在信息熵预测模型中,滑动平均系数表示当前时刻目的IP地址的信息熵与过去时刻的预测误差之间的关系。
需要说明的是,机器学习算法通常在处理更为复杂的非线性关系以及高维数据中有着更好的优势,但随之而言的也会增加模型的复杂度,往往具有较高的复杂性和黑盒特性,难以解释其内部的决策过程。而在本发明中,借助之前的信息熵序列,对接下来的信息熵进行预测,降低了模型的复杂度,提升了处理的效率。
S106:对比预测信息熵与实际信息熵,判断是否存在异常。
在一种可能的实施方式中,S106具体包括子步骤S1061至S1063:
S1061:将预测信息熵与实际信息熵作差。
S1062:在预测信息熵与实际信息熵之间的差值大于预设值的情况下,确定存在异常。
其中,本领域技术人员可以根据实际需要调整预设值的大小,本发明不做限定。预设值可以理解为是一个预警值,如果预测信息熵与实际信息熵之间的差值过大,则意味着当前的数据交换请求存在异常,进而需要进一步地确认一下诊断。
S1063:在预测信息熵与实际信息熵之间的差值小于或者等于预设值的情况下,确定不存在异常。
S107:在确定存在异常的情况下,获取数据流表。
S108:提取数据流表中的多个数据特征。
其中,数据流表中包含的数据特征可以帮助监测是否受到网络攻击。这些特征反映了网络流量的变化和规律,通过与正常行为进行比较,可以发现异常流量和攻击行为,并及时采取相应的防御措施。
在一种可能的实施方式中,数据特征包括:对流百分比、流平均网络包数、网络包平均字节数、流数据包中位数、流平均生效时间和数据包命中率。
其中,对流百分比是指某个特定流所占据的网络流量的比例,表示该流在整个网络流量中所占的比重。网络攻击通常会引起流量的异常变化,这可能会导致对流百分比异常增大。
其中,流平均网络包数是指某个特定流的平均网络包数量,表示该流在数据流表中的平均包含的网络包数目。
其中,网络包平均字节数是指某个特定流中平均每个网络包的字节数,表示该流中数据包的平均大小。
其中,流数据包中位数是指某个特定流中的网络包数量的中位数,表示该流的网络包数量的中间值,即有一半的流的数据包数量小于该值,一半的流的数据包数量大于该值。
需要说明的是,不同类型的网络攻击通常会对网络流量中的数据包数量、大小和分布模式产生影响。通过监测流平均网络包数、网络包平均字节数和流数据包中位数,可以捕捉到数据包特征的变化情况,从而判断是否存在攻击。
其中,流平均生效时间是指某个特定流在数据流表中的平均生效时间,表示该流在网络中的平均持续时间。网络攻击可能会导致攻击流的生效时间异常延长或缩短。通过监测流平均生效时间,可以检测到流的生效时间是否超出了正常范围,进而判断是否存在异常情况。
其中,数据包命中率是指在数据流表中查找到匹配规则的数据包数量与总数据包数量之间的比率,表示数据包成功匹配规则的概率,即命中规则的百分比。网络攻击通常会导致特定流的数据包无法匹配规则,从而导致数据包命中率下降。
S109:确定各个数据特征的权重参数。
其中,权重参数可以体现监控网络攻击过程中对不同数据特征的重要性。对于监控网络攻击中较为重要或关联性较高的数据特征在后续的监控网络攻击的过程中给予更大的影响力,以更准确地诊断云手机是否受到网络攻击。
需要说明的是,现有技术在确定各个数据特征的权重参数时,往往采用的单一的计算方式,例如层次分析法、熵理想点法、标准离差法和专家评估法等等。
在一种可能的实施方式中,S109具体包括子步骤S1091至S109X:
S1091:通过层次分析法确定各个数据特征的第一权重集合A1
其中,层次分析法能够利用专家的理论知识和丰富经验,避免评价结果受到数据的随机误差影响。但是,层次分析法需要决策者进行一系列的对比和判断,涉及到主观性较大的权重评估过程,可能受到决策者主观意见和判断的影响,导致结果的偏差。
S1092:通过熵理想点法确定各个数据特征的第二权重集合A2
其中,熵理想点法综合反映了数据特征包含信息量的多寡和各评价对象之间的差距。但是,熵理想点法仅仅考虑了数据特征数据的变异性,没有考虑数据特征之间的相互关系和重要性,可能忽略了某些重要的数据特征。
S1093:通过标准离差法确定各个数据特征的第三权重集合A3
其中,标准离差法可以通过对数据特征数据的标准差进行计算,考虑数据特征的变异性和波动情况,有助于反映数据特征之间的差异和波动程度。但是,标准离差法仅仅考虑了数据特征的变异性,没有考虑数据特征之间的相互关系和重要性,可能忽略了某些重要的数据特征。
S1094:通过专家评估法确定各个数据特征的第四权重集合A4
其中,专家评估法可以通过专家的经验和知识,结合对问题的深入了解和判断,对数据特征的权重进行评估,有可能获得相对准确的权重结果。但是,专家评估法在权重评估过程中可能缺乏量化和客观性,难以避免主观性和人为因素对权重的影响,结果可能存在较大的不确定性。
因此,为了平衡层次分析法、熵理想点法、标准离差法和专家评估法之间的优点和缺点,本申请采用了将层次分析法、熵理想点法、标准离差法和专家评估法进行综合考虑的方式,以进行权重的确定。
S1095:计算第一权重集合、第二权重集合、第三权重集合和第四权重集合中权重值的差异性参数Sj
其中,Sj表示第j个权重集合的标准差,xij表示第j个权重集合中第i个数据特征的权重值,表示第j个权重集合中各个数据特征的权重值的平均值,n2表示数据特征的个数,n2=5。
其中,差异性参数可以衡量各个权重计算方法之间的差异程度。通过差异性参数可以评估权重值的稳定性,消除检测决策者主观性,可以帮助评估权重值的一致性和稳定性,从而提高决策结果的可靠性。
需要说明的是,计算差异性参数可以采用标准差或者方差。在本发明中,采用标准差的方式计算差异性参数。
S1096:计算参考权重集合A0,A0=[x′1,x′2,…,x′i]:
其中,m2表示权重集合的个数,m2=4,x′i表示各个权重集合中第i个评价数据特征的权重值的平均值。
其中,以各个权重值的平均值作为参考值,可以评价出各个权重计算方法之间的关联性。
S1097:计算第一权重集合、第二权重集合、第三权重集合和第四权重集合中权重值的关联性参数Rj
其中,ρ表示超参数,ρ∈[0,1]。
其中,关联性参数可以衡量各个权重计算方法之间的关联程度,即彼此之间的相互依赖关系。
S1098:根据差异性参数Sj和关联性参数Rj确定各个权重计算方法的优先级参数Bj
Bj=Sj·Rj
其中,某一个权重计算方法的差异性参数越高,意味着这个权重计算方法的相对于其他数据特征的差异性越大,对于评价的内容具有越高的区分度,这个权重计算方法的优先级也应当越高。某一个权重计算方法的关联性参数越高,意味着这个权重计算方法的横向相似性越大,对于其他权重计算方法存在影响力,这个权重计算方法的优先级也应当越高。对此,将差异性参数和关联性参数相乘得到优先级参数,以评价各个权重计算方法的优先级。
S1099:根据优先级参数,确定各个权重计算方法的权重wj
其中,权重计算方法的优先级越高,其分配到的权重也就越高,对于数据特征权重的确定起到更加主导的地位。
S109X:根据各个权重计算方法的权重wj、第一权重集合A1、第二权重集合A2、第三权重集合A3和第四权重集合A4确定最终的权重集合A*,将最终的权重集合A*中的权重作为各个数据特征的权重参数,
在本发明中,不同的权重确定方法可能在不同情境下更为适用,本发明综合考虑层次分析法、熵理想点法、标准离差法和专家评估法,可以减少单一方法可能存在的偏差和不确定性,更全面地反映数据特征的重要性和优先级,从而提高权重结果的可靠性。
S110:根据各个数据特征的权重参数构建随机森林模型。
在一种可能的实施方式中,S110具体包括子步骤S1101至S1109:
S1101:获取样本数据集,样本数据集包括多个样本,每个样本的数据特征包含对流百分比、流平均网络包数、网络包平均字节数、流数据包中位数、流平均生效时间和数据包命中率。
S1102:定义正常和异常两个标签值。
S1103:按照权重参数由高到低的顺序,挑选重要性最高的数据特征作为第一级决策树,根据重要性最高的数据特征由大到小地对各个样本进行排列,不同的第一级决策树采用不同的第一预设特征值,将大于或者等于第一预设特征值的样本划分到网络正常类,将小于第一预设特征值的样本划分为网络异常类。
需要说明的是,挑选重要性最高的评估数据特征作为第一级决策树,优先选择对模型性能有更大贡献的数据特征构建决策树,可以减少不必要的特征冗余和噪声,提高模型的效率和准确性。同时还有助于用户或利益相关者理解模型的判定依据和评估结果,增强对模型的信任和接受度。
S1104:计算每一颗第一级决策树的第一诊断准确性参数D1
D1=p1·(1-p1)+p2·(1-p2)
其中,p1表示网络正常类样本被划分到网络正常类的概率也即网络正常类样本被划分正确的概率,1-p1表示网络正常类样本被划分到网络异常类的概率也即网络正常类样本被划分错误的概率,p2表示网络异常类样本被划分到网络异常类的概率也即网络异常类样本被划分正确的概率,1-p2表示网络异常类样本被划分到网络正常类的概率,也即网络异常类样本被划分错误的概率。
其中,第一分类准确性参数D1体现了第一级决策树分类的准确性。
S1105:按照权重参数由高到低的顺序挑选重要性第二高的数据特征作为第二级决策树,根据重要性第二高的数据特征由大到小地对上一级决策树划分错误的样本进行排列,不同的第二级决策树采用不同的第二预设特征值,将大于或者等于第二预设特征值的样本划分到网络正常类,将小于第二预设特征值的样本划分为网络异常类。
S1106:计算每一颗第二级决策树的第二诊断准确性参数D2
需要说明的是,可以参照S1104来计算每一颗第二级决策树的第二分类准确性参数D2
S1107:将第二诊断准确性参数D2减去第一诊断准确性参数D1计算准确性增益。
其中,准确性增益体现了增加一级决策树之后对于准确性的提升效果。
S1108:在准确性增益大于预设增益值的情况下,对相应的第二决策树进行保留。在准确性增益小于或者等于预设增益值的情况下,对相应的第二决策树进行去除。
其中,本领域技术人员可以根据实际情况调整预设增益值的具体大小,本发明不做限定。
需要说明的是,在准确性增益小于或者等于预设增益值的情况下,对相应的第二决策树进行去除,可以避免引入对模型贡献较小的决策树,从而提高模型的泛化能力、简化模型结构和提高模型的解释性。
S1109:重复S1105和S1108,按照权重参数由高到低的顺序依次挑选重要性第三高的数据特征作为第三级决策树、重要性第四高的数据特征作为第四级决策树和重要性最低的数据特征作为第五级决策树,完成五级决策树的构建。
需要说明的是,按照重要性顺序构建决策树可以提高特征选择的效果,实现层级化的特征划分,提高模型的解释性,并简化模型结构。这些优势有助于构建更有效、可解释和可操作的云手机监控管理模型。
S111:将各个数据特征的特征值输入至随机森林模型,通过随机森林模型判断是否遭受到网络攻击。
其中,随机森林是一种集成学习方法,通过统一多个不同参数的决策树的结果,随机森林模型能够综合各个决策树的优势,提高模型的准确性、稳定性和泛化能力。
在一种可能的实施方式中,S111具体包括子步骤S1111至S1114:
S1111:随机选择多个参数不同的决策树输出网络攻击诊断结果。
S1112:采用少数服从多数的原则对多个参数不同的决策树输出的网络攻击诊断结果进行统计。
S1113:在网络正常类的网络攻击诊断结果占多数的情况下,最终确定未遭受到网络攻击。
S1114:在网络异常类的网络攻击诊断结果占多数的情况下,最终确定遭受到网络攻击。
需要说明的是,通过随机选择多个参数不同的决策树并采用少数服从多数的原则统计结果,可以提高网络攻击诊断的准确性、鲁棒性和可靠性,减少误判率,从而更好地保护网络安全和及时应对攻击。
S112:在确定遭受到网络攻击的情况下,启动防御模式。
进一步地,在云手机启动防御模式后的具体措施可以有:
第一,可以隔离受感染的系统:将受感染的系统与其他系统隔离,以防止攻击者进一步侵入和扩散。这可以通过物理隔离、虚拟隔离或网络隔离等方式实现。
第二,可以加强访问控制:审查和加强网络和系统的访问控制措施,例如使用强密码策略、多因素身份验证、访问控制列表等,以确保只有授权用户可以访问关键资源。
第三,可以更新和修补漏洞:及时应用操作系统、应用程序和设备的安全补丁和更新,以修补已知的漏洞,减少攻击者利用的机会。
第四,可以强化防火墙和入侵检测系统:配置和管理防火墙和入侵检测系统,以监测和阻止潜在的恶意流量和攻击行为。
第五,可以实施网络流量监测:使用网络流量监测工具来检测异常活动、恶意流量和攻击行为,以及及时发现和应对安全事件。
第六,可以数据备份和恢复:定期备份重要数据,并确保备份数据存储在安全的位置。在遭受攻击时,可以恢复数据以减少损失和停机时间。
与现有技术相比,本发明至少具有以下有益技术效果:
在本发明中,通过比对数据交换请求的目的IP地址的预测信息熵与实际信息熵,初步确定云手机的网络是否存在异常。在确定云手机的网络存在异常之后通过随机森林模型进一步地检测云手机是否受到网络攻击。在确定遭受到网络攻击的情况下,启动防御模式。提高了网络安全监控的准确性,保护了用户的隐私安全,同时不影响云手机的数据处理效率,保证云手机的运行流畅度。
实施例2
在一个实施例中,本发明提供的一种云手机监控管理系统,用于执行实施例1中的云手机监控管理方法。
本发明提供的一种云手机监控管理系统可以实现上述实施例1中的云手机监控管理方法的步骤和效果,为避免重复,本发明不再赘述。
与现有技术相比,本发明至少具有以下有益技术效果:
在本发明中,通过比对数据交换请求的目的IP地址的预测信息熵与实际信息熵,初步确定云手机的网络是否存在异常。在确定云手机的网络存在异常之后通过随机森林模型进一步地检测云手机是否受到网络攻击。在确定遭受到网络攻击的情况下,启动防御模式。提高了网络安全监控的准确性,保护了用户的隐私安全,同时不影响云手机的数据处理效率,保证云手机的运行流畅度。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (7)

1.一种云手机监控管理方法,其特征在于,应用于云手机,包括:
S101:获取数据交换请求;
S102:在所述数据交换请求对应的数据包在数据流表中匹配失败的情况下,提取所述数据交换请求的目的IP地址;
S103:计算当前网络环境下目的IP地址的实际信息熵;
S104:构建信息熵预测模型;
S105:通过所述信息熵预测模型输出当前网络环境下目的IP地址的预测信息熵;
S106:对比所述预测信息熵与所述实际信息熵,判断是否存在异常;
S107:在确定存在异常的情况下,获取所述数据流表;
S108:提取所述数据流表中的多个数据特征;
S109:确定各个所述数据特征的权重参数;
S110:根据各个所述数据特征的权重参数构建随机森林模型;
S111:将各个所述数据特征的特征值输入至所述随机森林模型,通过所述随机森林模型判断是否遭受到网络攻击;
S112:在确定遭受到网络攻击的情况下,启动防御模式;
其中,所述S105具体包括:
S1051:获取前a个目的IP地址的信息熵序列{Ht-a,Ht-a+1,…,Ht-1};
S1052:通过所述信息熵预测模型输出当前网络环境下目的IP地址的预测信息熵
其中,μ表示常数项,αi表示自回归系数,βi表示滑动平均系数,et和et-i表示误差,t表示当前目的IP地址对应的时刻;
其中,所述S109具体包括:
S1091:通过层次分析法确定各个数据特征的第一权重集合A1
S1092:通过熵理想点法确定各个数据特征的第二权重集合A2
S1093:通过标准离差法确定各个数据特征的第三权重集合A3
S1094:通过专家评估法确定各个数据特征的第四权重集合A4
S1095:计算所述第一权重集合、所述第二权重集合、所述第三权重集合和所述第四权重集合中权重值的差异性参数Sj
其中,Sj表示第j个权重集合的标准差,xij表示第j个权重集合中第i个数据特征的权重值,表示第j个权重集合中各个数据特征的权重值的平均值,n2表示数据特征的个数,n2=6;
S1096:计算参考权重集合A0,A0=[x′1,x'2,…,x′i]:
其中,m2表示权重集合的个数,m2=4,x′i表示各个权重集合中第i个评价数据特征的权重值的平均值;
S1097:计算所述第一权重集合、所述第二权重集合、所述第三权重集合和所述第四权重集合中权重值的关联性参数Rj
其中,ρ表示超参数,ρ∈[0,1];
S1098:根据所述差异性参数Sj和所述关联性参数Rj确定各个权重计算方法的优先级参数Bj
Bj=Sj·Rj
S1099:根据所述优先级参数,确定各个权重计算方法的权重wj
S109X:根据各个权重计算方法的权重wj、所述第一权重集合A1、所述第二权重集合A2、所述第三权重集合A3和所述第四权重集合A4确定最终的权重集合A*,将最终的权重集合A*中的权重作为各个所述数据特征的权重参数,
2.根据权利要求1所述的云手机监控管理方法,其特征在于,所述S102具体包括:
S1021:捕获含有所述数据交换请求的数据包;
S1022:解析所述数据包中的报文;
S1023:在所述报文中查找与所述目的IP地址相关的字段;
S1024:从所述字段中提取出所述目的IP地址。
3.根据权利要求1所述的云手机监控管理方法,其特征在于,所述S103具体包括:
S1031:计算第i种目的IP地址出现的概率pi
其中,xi表示第i种目的IP地址出现的次数,n1表示含有目的IP地址的数据交换请求的总个数;
S1032:计算当前网络环境下目的IP地址的实际信息熵H:
其中,m1表示目标IP地址的种类数。
4.根据权利要求1所述的云手机监控管理方法,其特征在于,所述S106具体包括:
S1061:将所述预测信息熵与所述实际信息熵作差;
S1062:在所述预测信息熵与所述实际信息熵之间的差值大于预设值的情况下,确定存在异常;
S1063:在所述预测信息熵与所述实际信息熵之间的差值小于或者等于所述预设值的情况下,确定不存在异常。
5.根据权利要求1所述的云手机监控管理方法,其特征在于,所述数据特征包括:对流百分比、流平均网络包数、网络包平均字节数、流数据包中位数、流平均生效时间和数据包命中率。
6.根据权利要求1所述的云手机监控管理方法,其特征在于,所述S110具体包括:
S1101:获取样本数据集,所述样本数据集包括多个样本,每个样本的数据特征包含对流百分比、流平均网络包数、网络包平均字节数、流数据包中位数、流平均生效时间和数据包命中率;
S1102:定义正常和异常两个标签值;
S1103:按照所述权重参数由高到低的顺序,挑选重要性最高的数据特征作为第一级决策树,根据重要性最高的数据特征由大到小地对各个样本进行排列,不同的所述第一级决策树采用不同的第一预设特征值,将大于或者等于所述第一预设特征值的样本划分到网络正常类,将小于所述第一预设特征值的样本划分为网络异常类;
S1104:计算每一颗所述第一级决策树的第一诊断准确性参数D1
D1=p1·(1-p1)+p2·(1-p2)
其中,p1表示网络正常类样本被划分到网络正常类的概率也即网络正常类样本被划分正确的概率,1-p1表示网络正常类样本被划分到网络异常类的概率也即网络正常类样本被划分错误的概率,p2表示网络异常类样本被划分到网络异常类的概率也即网络异常类样本被划分正确的概率,1-p2表示网络异常类样本被划分到网络正常类的概率,也即网络异常类样本被划分错误的概率;
S1105:按照所述权重参数由高到低的顺序挑选重要性第二高的数据特征作为第二级决策树,根据重要性第二高的数据特征由大到小地对上一级决策树划分错误的样本进行排列,不同的所述第二级决策树采用不同的第二预设特征值,将大于或者等于所述第二预设特征值的样本划分到网络正常类,将小于所述第二预设特征值的样本划分为网络异常类;
S1106:计算每一颗所述第二级决策树的第二诊断准确性参数D2
S1107:将所述第二诊断准确性参数D2减去所述第一诊断准确性参数D1计算准确性增益;
S1108:在所述准确性增益大于预设增益值的情况下,对相应的第二决策树进行保留;在所述准确性增益小于或者等于所述预设增益值的情况下,对相应的第二决策树进行去除;
S1109:重复S1105和S1108,按照权重参数由高到低的顺序依次挑选重要性第三高的数据特征作为第三级决策树、重要性第四高的数据特征作为第四级决策树和重要性最低的数据特征作为第五级决策树,完成五级决策树的构建。
7.根据权利要求6所述的云手机监控管理方法,其特征在于,S111具体包括:
S1111:随机选择多个参数不同的决策树输出网络攻击诊断结果;
S1112:采用少数服从多数的原则对多个参数不同的决策树输出的网络攻击诊断结果进行统计;
S1113:在网络正常类的网络攻击诊断结果占多数的情况下,最终确定未遭受到网络攻击;
S1114:在网络异常类的网络攻击诊断结果占多数的情况下,最终确定遭受到网络攻击。
CN202310581712.6A 2023-05-22 2023-05-22 一种云手机监控管理方法和系统 Active CN116527378B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310581712.6A CN116527378B (zh) 2023-05-22 2023-05-22 一种云手机监控管理方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310581712.6A CN116527378B (zh) 2023-05-22 2023-05-22 一种云手机监控管理方法和系统

Publications (2)

Publication Number Publication Date
CN116527378A CN116527378A (zh) 2023-08-01
CN116527378B true CN116527378B (zh) 2023-12-26

Family

ID=87395895

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310581712.6A Active CN116527378B (zh) 2023-05-22 2023-05-22 一种云手机监控管理方法和系统

Country Status (1)

Country Link
CN (1) CN116527378B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167789A (zh) * 2018-09-13 2019-01-08 上海海事大学 一种云环境LDoS攻击数据流检测方法及系统
CN111680786A (zh) * 2020-06-10 2020-09-18 中国地质大学(武汉) 一种基于改进权重门控单元的时序预测方法
CN113923041A (zh) * 2021-10-20 2022-01-11 广东工业大学 一种SDN网络下DDoS攻击流量识别检测方法
CN114422277A (zh) * 2022-04-01 2022-04-29 中国人民解放军战略支援部队航天工程大学 防御网络攻击的方法、装置、电子设备和计算机可读介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11848959B2 (en) * 2020-05-13 2023-12-19 Nanjing University Of Posts And Telecommunications Method for detecting and defending DDoS attack in SDN environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109167789A (zh) * 2018-09-13 2019-01-08 上海海事大学 一种云环境LDoS攻击数据流检测方法及系统
CN111680786A (zh) * 2020-06-10 2020-09-18 中国地质大学(武汉) 一种基于改进权重门控单元的时序预测方法
CN113923041A (zh) * 2021-10-20 2022-01-11 广东工业大学 一种SDN网络下DDoS攻击流量识别检测方法
CN114422277A (zh) * 2022-04-01 2022-04-29 中国人民解放军战略支援部队航天工程大学 防御网络攻击的方法、装置、电子设备和计算机可读介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于随机森林分类模型的DDoS攻击检测方法;于鹏程;戚湧;李千目;计算机应用研究(010);全文 *

Also Published As

Publication number Publication date
CN116527378A (zh) 2023-08-01

Similar Documents

Publication Publication Date Title
US11848950B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
US11316878B2 (en) System and method for malware detection
US10296739B2 (en) Event correlation based on confidence factor
CA2417817C (en) System and method of detecting events
EP2040435B1 (en) Intrusion detection method and system
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
US20040157556A1 (en) System for intrusion detection
US20070289013A1 (en) Method and system for anomaly detection using a collective set of unsupervised machine-learning algorithms
US20050108377A1 (en) Method for detecting abnormal traffic at network level using statistical analysis
WO2006071985A2 (en) Threat scoring system and method for intrusion detection security networks
WO2010114363A1 (en) Method and system for alert classification in a computer network
CN114143037B (zh) 一种基于进程行为分析的恶意加密信道检测方法
JP2004312064A (ja) ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
CN111835681A (zh) 一种大规模流量异常主机检测方法和装置
Chakir et al. An efficient method for evaluating alerts of Intrusion Detection Systems
KR102244036B1 (ko) 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
CN116527378B (zh) 一种云手机监控管理方法和系统
CN109257384B (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
TWI704782B (zh) 骨幹網路異常流量偵測方法和系統
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
CN116155519A (zh) 威胁告警信息处理方法、装置、计算机设备和存储介质
García-Teodoro et al. Automatic signature generation for network services through selective extraction of anomalous contents
CN109302403B (zh) 网络入侵检测方法、系统、设备及计算机可读存储介质
Barsha et al. Anomaly Detection in SCADA Systems: A State Transition Modeling

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant