CN116723059B - 一种针对网络信息的安全分析系统 - Google Patents
一种针对网络信息的安全分析系统 Download PDFInfo
- Publication number
- CN116723059B CN116723059B CN202311001504.0A CN202311001504A CN116723059B CN 116723059 B CN116723059 B CN 116723059B CN 202311001504 A CN202311001504 A CN 202311001504A CN 116723059 B CN116723059 B CN 116723059B
- Authority
- CN
- China
- Prior art keywords
- network information
- data packet
- information data
- detected
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 22
- 238000013139 quantization Methods 0.000 claims abstract description 56
- 230000005856 abnormality Effects 0.000 claims abstract description 22
- 230000002159 abnormal effect Effects 0.000 claims description 50
- 238000000034 method Methods 0.000 claims description 46
- 238000001514 detection method Methods 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 9
- 241000700605 Viruses Species 0.000 claims description 7
- 244000035744 Hura crepitans Species 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000009897 systematic effect Effects 0.000 claims description 2
- 238000001914 filtration Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及数据处理技术领域,具体涉及一种针对网络信息的安全分析系统,包括:获取待检测网络信息数据包和恶意数据包样本库;解析待检测网络信息数据包获得待检测网络信息数据包个体特征信息,并对其个体特征进行量化处理;根据恶意数据包样本库中每种个体特征异常频率得到网络信息数据包的每个个体特征的危险度权重值;根据网络信息数据包的五个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度;根据待检测网络信息数据包的风险度对其进行安全性划分。本发明对每一个网络信息数据包进行基于数据包自身特征和流量信息的危险度检测,从而最大程度的过滤网络威胁,维护系统安全。
Description
技术领域
本发明涉及数据处理技术领域,具体涉及一种针对网络信息的安全分析系统。
背景技术
现有的网络安全检测中,多数异常检测模型的检测率、误报率和漏报率不够理想,检测率和误报率很难平衡,也就是检测率较高的情况下不能降低误报率。这也是异常检测和入侵检测面临的主要问题。目前大量的商业入侵检测系统仍然主要是基于误用检测的特征匹配,然而异常检测虽然能够捕获误用检测特征编码,但是不能捕获到涵盖攻击的数据,和发现未曾定义的异常情况;而且现有的依靠流量分析对数据包进行过滤的手段只会拦截一些在流量异常下的恶意数据包,而对于一些伪装后的恶意数据包并不能准确的检测出来,从而使得系统遭受到入侵。
发明内容
本发明提供一种针对网络信息的安全分析系统,以解决现有的问题。
本发明的一种针对网络信息的安全分析系统采用如下技术方案:
本发明一个实施例提供了一种针对网络信息的安全分析系统,该系统包括以下模块:
数据包采集模块:获取待检测网络信息数据包和恶意数据包样本库,所述恶意数据包样本库由若干个历史网络信息数据包组成;
数据包特征量化模块:解析待检测网络信息数据包获得待检测网络信息数据包若干个个体特征;通过对待检测网络信息数据包若干个个体特征进行量化得到待检测网络信息数据包的每个特征量化值;
获取数据包特征权重模块:根据恶意数据包样本库得到历史网络信息数据包每个个体特征异常频率;根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到历史网络信息数据包每个个体特征的权重影响值;根据历史网络信息数据包每个个体特征异常频率和历史网络信息数据包每个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值;
获取数据包风险度模块:根据历史网络信息数据包的每个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度;
数据包安全划分模块:根据待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分,并对划分后的待检测网络信息数据包进行处理。
优选的,所述获取待检测网络信息数据包和恶意数据包样本库,包括的具体步骤如下:
利用抓包软件获取待检测网络信息数据包;收集若干个恶意的历史网络信息数据包作为恶意数据包样本库。
优选的,所述解析待检测网络信息数据包获得待检测网络信息数据包若干个个体特征,包括的具体步骤如下:
对获取到的待检测网络信息数据包进行解析,获得待检测网络信息数据包的若干个个体特征,即MAC地址、IP地址、数据长度、请求调用的端口以及所使用的协议。
优选的,所述通过对待检测网络信息数据包若干个个体特征进行量化得到待检测网络信息数据包的每个特征量化值,包括的具体步骤如下:
预设三个参数;对于待检测网络信息数据包的个体特征MAC地址,记为MAC特征;在本地查询MAC地址表,若待检测网络信息数据包的MAC地址存在于MAC地址表,则将待检测网络信息数据包的MAC特征量化值记为/>;若不存在于MAC地址表中,将待检测网络信息数据包的MAC特征量化值记为/>;
对于待检测网络信息数据包的个体特征IP地址,记为IP特征;若待检测网络信息数据包的IP地址为常用的IP地址,则将待检测网络信息数据包的IP特征量化值记为;若待检测网络信息数据包的IP地址为不常用的IP地址,则将待检测网络信息数据包的IP特征量化值记为/>;若待检测网络信息数据包的IP地址为异常的IP地址,则将待检测网络信息数据包的IP特征量化值记为/>;
对于待检测网络信息数据包的个体特征数据长度,记为数据长度特征;若待检测网络信息数据包的数据长度在常用的网络信息数据包的数据长度范围内,则将待检测网络信息数据包的数据长度特征量化值记为;若待检测网络信息数据包的数据长度不在常用的网络信息数据包的数据长度范围内,则将待检测网络信息数据包的数据长度特征量化值记为/>;
对于待检测网络信息数据包的个体特征请求调用的端口,记为端口特征;若待检测网络信息数据包的请求调用的端口不是常用端口或者是关闭端口,则将待检测网络信息数据包的端口特征量化值记为;对于其他情况,一致将待检测网络信息数据包的端口特征量化值记为/>;
对于待检测网络信息数据包的个体特征所使用的协议,记为协议特征;根据待检测网络信息数据包解析出的协议号对待检测网络信息数据包结构进行解析,得到待检测网络信息数据包结构;若待检测网络信息数据包结构正常,则将待检测网络信息数据包的协议特征量化值记为;否则,将待检测网络信息数据包的协议特征量化值记为/>。
优选的,所述根据恶意数据包样本库得到历史网络信息数据包每个个体特征异常频率,包括的具体步骤如下:
对于恶意数据包样本库中任意一个历史网络信息数据包,若该历史网络信息数据包的MAC特征量化值为,则认为该历史网络信息数据包MAC特征异常;若该历史网络信息数据包的IP特征量化值为/>,则认为该历史网络信息数据包IP特征异常;若该历史网络信息数据包的数据长度特征量化值为/>,则认为该历史网络信息数据包数据长度特征异常;若该历史网络信息数据包的端口特征量化值记/>,则认为该历史网络信息数据包端口特征异常;若该历史网络信息数据包的协议特征量化值为/>,则认为该历史网络信息数据包协议特征异常;
通过对恶意数据包样本库的五个个体特征异常频率进行统计,获得历史网络信息数据包的五个个体特征异常频率,MAC特征异常频率、IP特征异常频率、数据长度特征异常频率、端口特征异常频率以及协议特征异常频率,分别记为。
优选的,所述根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到历史网络信息数据包每个个体特征的权重影响值,包括的具体步骤如下:
根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到每个个体特征的权重影响值,其计算表达式为:
式中,表示历史网络信息数据包的IP特征的权重影响值;/>表示恶意数据包样本库中只具有IP特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意一个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意两个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意三个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量;表示恶意数据包样本库中具有IP特征异常的历史网络信息数据包数量;/>为五个预设参数值的均值;/>为预设参数;
同理,获得历史网络信息数据包每个个体特征的权重影响值。
优选的,所述根据历史网络信息数据包每个个体特征异常频率和历史网络信息数据包每个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值,包括的具体步骤如下:
获得历史网络信息数据包的IP特征的危险度权重值的计算表达式为:
式中,表示历史网络信息数据包的IP特征的危险度权重值;/>表示历史网络信息数据包的IP特征异常频率;/>表示历史网络信息数据包的IP特征的权重影响值;/>表示在恶意数据包样本库中具有IP特征异常的历史网络信息数据包数量;/>表示在恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量均值;/>表示历史网络信息数据包的第/>个个体特征异常频率;/>表示历史网络信息数据包的第/>个个体特征的权重影响值;/>表示在恶意数据包样本库中具有第/>个个体特征异常的历史网络信息数据包数量;表示自然常数;
同理,获得待检测历史网络信息数据包的其余四个个体特征危险度权重值,最终获得历史网络信息数据包的每个个体特征的危险度权重值。
优选的,所述根据历史网络信息数据包的每个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度,包括的具体公式如下:
式中,表示待检测网络信息数据包的风险度;/>表示待检测网络信息数据包的IP特征量化值;/>表示历史网络信息数据包的IP特征的危险度权重值;/>表示待检测网络信息数据包的MAC特征量化值;/>表示历史网络信息数据包的MAC特征的危险度权重值;/>表示待检测网络信息数据包的数据长度特征量化值;/>表示历史网络信息数据包的数据长度特征的危险度权重值;/>表示待检测网络信息数据包的端口特征量化值;/>表示历史网络信息数据包的端口特征的危险度权重值;/>表示待检测网络信息数据包的协议特征量化值;/>表示历史网络信息数据包的协议特征的危险度权重值;/>为预设参数;/>表示待检测网络信息数据包所在数据流的流量大小;/>表示本系统所介入网络的流量带宽。
优选的,所述根据待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分,并对划分后的待检测网络信息数据包进行处理,包括的具体步骤如下:
将待检测网络信息数据包的风险度记为,若/>,则将待检测网络信息数据包划分为安全网络信息数据包;若/>,则将待检测网络信息数据包划分为待定网络信息数据包;若/>,则将待检测网络信息数据包划分为高危网络信息数据包。
优选的,所述对划分后的待检测网络信息数据包进行处理,包括的具体步骤如下:
在对待检测网络信息数据包进行划分后,对于安全网络信息数据包,将其进行接收;对于高危网络信息数据包,直接将其丢弃;而对于待定网络信息数据包,利用安全沙盒对这些网络信息数据包进行接收,在接收后进行病毒检测,对于通过病毒检测的网络信息数据包进行系统接收,完成数据传输,否则直接丢弃。
本发明的技术方案的有益效果是:针对现有的依靠流量分析对数据包进行过滤的手段只会拦截一些在流量异常下的恶意数据包,而对于一些伪装后的恶意数据包并不能准确的检测出来,从而使得系统遭受到入侵的问题,本发明在对传向主机的网络信息进行安全分析时,不是利用流量分析阻拦一部分特征明显的危险数据后进行单一流量包危险匹配判断,而是在接收前,对每一个网络信息数据包进行基于数据包自身特征和流量信息的危险度检测,从而最大程度的过滤网络威胁,维护系统安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种针对网络信息的安全分析系统的模块框架图。
具体实施方式
为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种针对网络信息的安全分析系统,其具体实施方式、结构、特征及其功效,详细说明如下。在下述说明中,不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外,一或多个实施例中的特定特征、结构或特点可由任何合适形式组合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。
下面结合附图具体的说明本发明所提供的一种针对网络信息的安全分析系统的具体方案。
请参阅图1,其示出了本发明一个实施例提供的一种针对网络信息的安全分析系统的模块框架图,该系统包括以下模块:
数据包采集模块:获取待检测网络信息数据包和恶意数据包样本库。
需要说明的是,本实施例主要是对网络信息数据包进行安全性分析,从而筛选出恶意数据拒绝接收,从而达到保护系统的目的,因此,需要收集到所需要进行分析的网络信息数据包以及该网络信息数据包所在数据流的流量信息,此外,还需要收集一些恶意的网络信息数据包作为样本库,以方便后续对网络信息数据包样本特征的权重分析。
具体的,利用抓包软件获取待检测网络信息数据包;收集若干个现有的恶意的历史网络信息数据包作为恶意数据包样本库。
至此,获得待检测网络信息数据包和恶意数据包样本库。
数据包特征量化模块:解析待检测网络信息数据包获得待检测网络信息数据包个体特征信息,并对其个体特征进行量化处理。
需要说明的是,对于一个网络信息数据包而言,其IP地址可以进行伪造,但由于MAC地址是由设备制造商写入的全球唯一的序列号,其在传播过程中无法伪装改造,表示了该网络信息数据包的唯一来源,若数据包所来源的MAC地址为非常见地址,即在本地MAC表中不存在的地址,则该网络信息数据包为危险数据包的可能性就大大的提升;
同理,虽然网络信息数据包的IP地址可以伪造,但却仍然可以携带信息,当IP地址经过查询后若其来自于异常或者是不常用的来源地址,则该网络信息数据包所携带的数据危险程度也就较高;
而网络数据包的数据长度作为表征网络信息数据包外显特征的一个量,除去一些特殊用途的网络信息数据包外,正常网络信息数据包的数据长度一般都会在一个稳定的范围内,对于任意一个网络信息数据包来说,过空或过满都有可能是危险的网络信息数据包,过空的网络信息数据包有可能是用来造成信道堵塞,泛洪攻击的工具包,而过满的网络信息数据包则有可能携带蠕虫等病毒信息,因此,网络信息数据包的数据长度可以作为表征数据包危险性的一个指标;
对于网络信息数据包所请求的端口来说。由于不同的端口其用处是不同的,而一些恶意的网络信息数据包会通过调用一些特殊端口完成对系统的提权,从而入侵系统;
另外,还有一些网络信息数据包,会利用协议格式的漏洞,构造不符合协议规定的数据结构或字段,从而欺骗系统进行解析而出现异常,从而导致系统崩溃、拒绝访问或利用其他安全漏洞。
预设三个参数,其中本实施例以/>例进行叙述,本实施例不进行具体限定,其中/>根据具体实施情况而定。
进一步需要说明的是,若网络信息数据包的个体特征在经过初步判断是属于正常的,则将其量化值记为,对于网络信息数据包的个体特征可能有危险但不确定是否是由特殊情况而造成的对于一些不常用的参数使用,将其量化值记为/>;对于只要出现这种情况,在正常情况下网络信息数据包的个体特征一定是在进行一些非法访问或者是遭受恶意入侵,则将其量化值记为/>。
具体的,对获取到的待检测网络信息数据包进行解析,获得待检测网络信息数据包的多个个体特征,即MAC地址、IP地址、数据长度、请求调用的端口以及所使用的协议;并对待检测网络信息数据包的五个个体特征进行量化,其量化过程如下:
(1)对于待检测网络信息数据包的个体特征MAC地址,记为MAC特征;在本地查询MAC地址表,若待检测网络信息数据包的MAC地址存在于MAC地址表,则将待检测网络信息数据包的MAC特征量化值记为;若不存在于MAC地址表中,将待检测网络信息数据包的MAC特征量化值记为/>;
(2)对于待检测网络信息数据包的个体特征IP地址,记为IP特征;若待检测网络信息数据包的IP地址为常用的IP地址,则将待检测网络信息数据包的IP特征量化值记为;若待检测网络信息数据包的IP地址为不常用的IP地址,则将待检测网络信息数据包的IP特征量化值记为/>;若待检测网络信息数据包的IP地址为异常的IP地址,则将待检测网络信息数据包的IP特征量化值记为/>;
(3)对于待检测网络信息数据包的个体特征数据长度,记为数据长度特征;若待检测网络信息数据包的数据长度在常用的网络信息数据包的数据长度范围内,则将待检测网络信息数据包的数据长度特征量化值记为;若待检测网络信息数据包的数据长度不在常用的网络信息数据包的数据长度范围内,则将待检测网络信息数据包的数据长度特征量化值记为/>;
(4)对于待检测网络信息数据包的个体特征请求调用的端口,记为端口特征;若待检测网络信息数据包的请求调用的端口不是常用端口或者是关闭端口,则将待检测网络信息数据包的端口特征量化值记为;对于其他情况,一致将待检测网络信息数据包的端口特征量化值记为/>;
(5)对于待检测网络信息数据包的个体特征所使用的协议,记为协议特征;根据待检测网络信息数据包解析出的协议号对待检测网络信息数据包结构进行解析,得到待检测网络信息数据包结构;若待检测网络信息数据包结构正常,则将待检测网络信息数据包的协议特征量化值记为;否则,将待检测网络信息数据包的协议特征量化值记为/>。
至此,完成待检测网络信息数据包的五个个体特征的量化,得到待检测网络信息数据包的五个特征量化值。
获取数据包特征权重模块:根据恶意数据包样本库中每种个体特征异常频率得到历史网络信息数据包的每个个体特征的危险度权重值。
具体的,对于恶意数据包样本库中任意一个历史网络信息数据包,若该历史网络信息数据包的MAC特征量化值为,则认为该历史网络信息数据包MAC特征异常;若该历史网络信息数据包的IP特征量化值为/>,则认为该历史网络信息数据包IP特征异常;若该历史网络信息数据包的数据长度特征量化值为/>,则认为该历史网络信息数据包数据长度特征异常;若该历史网络信息数据包的端口特征量化值记/>,则认为该历史网络信息数据包端口特征异常;若该历史网络信息数据包的协议特征量化值为/>,则认为该历史网络信息数据包协议特征异常;
进而通过对恶意数据包样本库的五个个体特征异常的频率进行统计,获得历史网络信息数据包的五个个体特征异常频率,MAC特征异常频率、IP特征异常频率、数据长度特征异常频率、端口特征异常频率以及协议特征异常频率,分别记为。
预设五个参数,其中本实施例以例进行叙述,本实施例不进行具体限定,其中且可根据具体实施情况而定。
需要说明的是,对于历史网络信息数据包的任意一个个体特征来说,若其对于该历史网络信息数据包的恶意程度影响越大,则在恶意数据包样本库中具有该个体特征异常的历史网络信息数据包越多;同时,对于恶意数据包样本库中任意一个历史网络信息数据包来说,若其在某个个体特征上该个体特征造成的恶意程度越高,这说明该个体特征对于历史网络信息数据包的安全性就越重要,相应的该个体特征的权重影响值也就越高,因此统计出恶意数据包样本库中与具有该个体特征相关的历史网络信息数据包对其进行聚类后统计数量,针对具有不同的个体特征异常的历史网络信息数据包数量,给其赋予不同的权值,来达到所述个体特征对于历史网络信息数据包重要性的不同影响程度的目的。
具体的,根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到每个个体特征的权重影响值,其计算表达式为(以历史网络信息数据包的IP特征为例):
式中,表示历史网络信息数据包的IP特征的权重影响值;/>表示恶意数据包样本库中只具有IP特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意一个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意两个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意三个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量;表示恶意数据包样本库中具有IP特征异常的历史网络信息数据包数量;/>为五个预设参数值的均值;/>为预设参数。
需要说明的是,利用历史网络信息数据包的个体特征在恶意数据包样本库出现频率以及其数量关系,来表征历史网络信息数据包的个体特征对于历史网络信息数据包危险程度的影响程度,并利用其计算出给每个历史网络信息数据包的个体特征的指标权值。其中若在某个历史网络信息数据包的个体特征异常状态下的频率出现越高,说明这种个体特征更容易被用来篡改传播危险信息;而在整体数量中,若某历史网络信息数据包的个体特征异常状态下的异常历史网络信息数据包数量越多,其与平均数量的差值越大,则该历史网络信息数据包的个体特征的危险性越高,其对于指标权值的影响也越大,使用以自然常数为底数的指数函数来增强这种影响,同时差值为0的情况进行调整,不会使得最终的计算为0。
具体的,则通过历史网络信息数据包的五个个体特征异常频率和历史网络信息数据包的五个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值的计算表达式如下:
式中,表示历史网络信息数据包的IP特征的危险度权重值;/>表示历史网络信息数据包的IP特征异常频率;/>表示历史网络信息数据包的IP特征的权重影响值;/>表示在恶意数据包样本库中具有IP特征异常的历史网络信息数据包数量;/>表示在恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量均值;/>表示历史网络信息数据包的第/>个个体特征异常频率;/>表示历史网络信息数据包的第/>个个体特征的权重影响值;/>表示在恶意数据包样本库中具有第/>个个体特征异常的历史网络信息数据包数量;表示自然常数。
对于待检测历史网络信息数据包的其余四个个体特征危险度权重值,同理通过上述方法获得,将历史网络信息数据包的MAC特征的危险度权重值、历史网络信息数据包的数据长度特征的危险度权重值、历史网络信息数据包的端口特征的危险度权重值和历史网络信息数据包的协议特征的危险度权重值分别记为。
至此,获得历史网络信息数据包的五个个体特征的危险度权重值。
获取数据包风险度模块:根据历史网络信息数据包的五个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度。
需要说明的是,一般来说,待检测网络信息数据包的流量是恒稳不变的,当系统遭受泛洪攻击时,则会突然遭受到大量的网络信息数据包请求,因此,当待检测网络信息数据包所在的数据流量过多时,其传输过来的数据就很有可能是危险数据,因此,需要在对待检测网络信息数据包进行危险度计算时,需要对所在数据流量进行考虑。
具体的,根据历史网络信息数据包的五个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度的计算表达式为:
式中,表示待检测网络信息数据包的风险度;/>表示待检测网络信息数据包的IP特征量化值;/>表示历史网络信息数据包的IP特征的危险度权重值;/>表示待检测网络信息数据包的MAC特征量化值;/>表示历史网络信息数据包的MAC特征的危险度权重值;/>表示待检测网络信息数据包的数据长度特征量化值;/>表示历史网络信息数据包的数据长度特征的危险度权重值;/>表示待检测网络信息数据包的端口特征量化值;/>表示历史网络信息数据包的端口特征的危险度权重值;/>表示待检测网络信息数据包的协议特征量化值;/>表示历史网络信息数据包的协议特征的危险度权重值;b和c表示预设参数,表示表示待检测网络信息数据包的每个个体特征量化值最大值之和,用于进行归一化;/>表示待检测网络信息数据包所在数据流的流量大小;/>表示本系统所介入网络的流量带宽。
其中和/>都可以通过测网速的方法直接获得,而使用15的目的为对上述表达式的结果进行调整,使其可以归置到/>区间中。
至此,获得待检测网络信息数据包的风险度。
数据包安全划分模块:根据待检测网络信息数据包的风险度对其进行安全性划分。
根据上述所得待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分的具体操作为:
将待检测网络信息数据包的风险度记为,若/>,则将待检测网络信息数据包划分为安全网络信息数据包;若/>,则将待检测网络信息数据包划分为待定网络信息数据包;若/>,则将待检测网络信息数据包划分为高危网络信息数据包。
在对待检测网络信息数据包进行划分后,对于安全网络信息数据包,将其进行接收,以确保系统的正常运行;对于高危网络信息数据包,其一定为威胁网络信息数据包或者是来自网络的无用网络信息数据包,直接将其丢弃;而对于待定网络信息数据包,其有可能是伪装成正常网络信息数据包的恶意数据,也有可能是某些具有特殊用途的特殊网络信息数据包;因此需要利用安全沙盒对这些网络信息数据包进行接收,在接收后进行病毒检测,对于通过病毒检测的网络信息数据包进行系统接收,完成数据传输,否则直接丢弃。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种针对网络信息的安全分析系统,其特征在于,该系统包括以下模块:
数据包采集模块:获取待检测网络信息数据包和恶意数据包样本库,所述恶意数据包样本库由若干个历史网络信息数据包组成;
数据包特征量化模块:解析待检测网络信息数据包获得待检测网络信息数据包若干个个体特征;通过对待检测网络信息数据包若干个个体特征进行量化得到待检测网络信息数据包的每个特征量化值;
获取数据包特征权重模块:根据恶意数据包样本库得到历史网络信息数据包每个个体特征异常频率;根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到历史网络信息数据包每个个体特征的权重影响值;根据历史网络信息数据包每个个体特征异常频率和历史网络信息数据包每个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值;
获取数据包风险度模块:根据历史网络信息数据包的每个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度;
数据包安全划分模块:根据待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分,并对划分后的待检测网络信息数据包进行处理;
所述根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到历史网络信息数据包每个个体特征的权重影响值,包括的具体步骤如下:
根据恶意数据包样本库中具有不同个体特征异常的历史网络信息数据包的数量得到每个个体特征的权重影响值,其计算表达式为:
式中,表示历史网络信息数据包的IP特征的权重影响值;/>表示恶意数据包样本库中只具有IP特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意一个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意两个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常和其他任意三个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量;/>表示恶意数据包样本库中具有IP特征异常的历史网络信息数据包数量;/>为五个预设参数值的均值;/>为预设参数;
同理,获得历史网络信息数据包每个个体特征的权重影响值。
2.根据权利要求1所述一种针对网络信息的安全分析系统,其特征在于,所述获取待检测网络信息数据包和恶意数据包样本库,包括的具体步骤如下:
利用抓包软件获取待检测网络信息数据包;收集若干个恶意的历史网络信息数据包作为恶意数据包样本库。
3.根据权利要求1所述一种针对网络信息的安全分析系统,其特征在于,所述解析待检测网络信息数据包获得待检测网络信息数据包若干个个体特征,包括的具体步骤如下:
对获取到的待检测网络信息数据包进行解析,获得待检测网络信息数据包的若干个个体特征,即MAC地址、IP地址、数据长度、请求调用的端口以及所使用的协议。
4.根据权利要求1所述一种针对网络信息的安全分析系统,其特征在于,所述通过对待检测网络信息数据包若干个个体特征进行量化得到待检测网络信息数据包的每个特征量化值,包括的具体步骤如下:
预设三个参数;对于待检测网络信息数据包的个体特征MAC地址,记为MAC特征;在本地查询MAC地址表,若待检测网络信息数据包的MAC地址存在于MAC地址表,则将待检测网络信息数据包的MAC特征量化值记为/>;若不存在于MAC地址表中,将待检测网络信息数据包的MAC特征量化值记为/>;
对于待检测网络信息数据包的个体特征IP地址,记为IP特征;若待检测网络信息数据包的IP地址为常用的IP地址,则将待检测网络信息数据包的IP特征量化值记为;若待检测网络信息数据包的IP地址为不常用的IP地址,则将待检测网络信息数据包的IP特征量化值记为/>;若待检测网络信息数据包的IP地址为异常的IP地址,则将待检测网络信息数据包的IP特征量化值记为/>;
对于待检测网络信息数据包的个体特征数据长度,记为数据长度特征;若待检测网络信息数据包的数据长度在常用的网络信息数据包的数据长度范围内,则将待检测网络信息数据包的数据长度特征量化值记为;若待检测网络信息数据包的数据长度不在常用的网络信息数据包的数据长度范围内,则将待检测网络信息数据包的数据长度特征量化值记为;
对于待检测网络信息数据包的个体特征请求调用的端口,记为端口特征;若待检测网络信息数据包的请求调用的端口不是常用端口或者是关闭端口,则将待检测网络信息数据包的端口特征量化值记为;对于其他情况,一致将待检测网络信息数据包的端口特征量化值记为/>;
对于待检测网络信息数据包的个体特征所使用的协议,记为协议特征;根据待检测网络信息数据包解析出的协议号对待检测网络信息数据包结构进行解析,得到待检测网络信息数据包结构;若待检测网络信息数据包结构正常,则将待检测网络信息数据包的协议特征量化值记为;否则,将待检测网络信息数据包的协议特征量化值记为/>。
5.根据权利要求4所述一种针对网络信息的安全分析系统,其特征在于,所述根据恶意数据包样本库得到历史网络信息数据包每个个体特征异常频率,包括的具体步骤如下:
对于恶意数据包样本库中任意一个历史网络信息数据包,若该历史网络信息数据包的MAC特征量化值为,则认为该历史网络信息数据包MAC特征异常;若该历史网络信息数据包的IP特征量化值为/>,则认为该历史网络信息数据包IP特征异常;若该历史网络信息数据包的数据长度特征量化值为/>,则认为该历史网络信息数据包数据长度特征异常;若该历史网络信息数据包的端口特征量化值记/>,则认为该历史网络信息数据包端口特征异常;若该历史网络信息数据包的协议特征量化值为/>,则认为该历史网络信息数据包协议特征异常;
通过对恶意数据包样本库的五个个体特征异常频率进行统计,获得历史网络信息数据包的五个个体特征异常频率,MAC特征异常频率、IP特征异常频率、数据长度特征异常频率、端口特征异常频率以及协议特征异常频率,分别记为。
6.根据权利要求1所述一种针对网络信息的安全分析系统,其特征在于,所述根据历史网络信息数据包每个个体特征异常频率和历史网络信息数据包每个个体特征的权重影响值得到历史网络信息数据包的每个个体特征的危险度权重值,包括的具体步骤如下:
获得历史网络信息数据包的IP特征的危险度权重值的计算表达式为:
式中,表示历史网络信息数据包的IP特征的危险度权重值;/>表示历史网络信息数据包的IP特征异常频率;/>表示历史网络信息数据包的IP特征的权重影响值;/>表示在恶意数据包样本库中具有IP特征异常的历史网络信息数据包数量;/>表示在恶意数据包样本库中具有五个个体特征异常的历史网络信息数据包数量均值;/>表示历史网络信息数据包的第/>个个体特征异常频率;/>表示历史网络信息数据包的第/>个个体特征的权重影响值;表示在恶意数据包样本库中具有第/>个个体特征异常的历史网络信息数据包数量;/>表示自然常数;
同理,获得待检测历史网络信息数据包的其余四个个体特征危险度权重值,最终获得历史网络信息数据包的每个个体特征的危险度权重值。
7.根据权利要求1所述一种针对网络信息的安全分析系统,其特征在于,所述根据历史网络信息数据包的每个个体特征的危险度权重值结合待检测网络信息数据包的流量信息得到待检测网络信息数据包的风险度,包括的具体公式如下:
式中,表示待检测网络信息数据包的风险度;/>表示待检测网络信息数据包的IP特征量化值;/>表示历史网络信息数据包的IP特征的危险度权重值;/>表示待检测网络信息数据包的MAC特征量化值;/>表示历史网络信息数据包的MAC特征的危险度权重值;/>表示待检测网络信息数据包的数据长度特征量化值;/>表示历史网络信息数据包的数据长度特征的危险度权重值;/>表示待检测网络信息数据包的端口特征量化值;/>表示历史网络信息数据包的端口特征的危险度权重值;/>表示待检测网络信息数据包的协议特征量化值;/>表示历史网络信息数据包的协议特征的危险度权重值;/>为预设参数;/>表示待检测网络信息数据包所在数据流的流量大小;/>表示本系统所介入网络的流量带宽。
8.根据权利要求1所述一种针对网络信息的安全分析系统,其特征在于,所述根据待检测网络信息数据包的风险度对待检测网络信息数据包进行安全性划分,并对划分后的待检测网络信息数据包进行处理,包括的具体步骤如下:
将待检测网络信息数据包的风险度记为,若/>,则将待检测网络信息数据包划分为安全网络信息数据包;若/>,则将待检测网络信息数据包划分为待定网络信息数据包;若/>,则将待检测网络信息数据包划分为高危网络信息数据包。
9.根据权利要求8所述一种针对网络信息的安全分析系统,其特征在于,所述对划分后的待检测网络信息数据包进行处理,包括的具体步骤如下:
在对待检测网络信息数据包进行划分后,对于安全网络信息数据包,将其进行接收;对于高危网络信息数据包,直接将其丢弃;而对于待定网络信息数据包,利用安全沙盒对这些网络信息数据包进行接收,在接收后进行病毒检测,对于通过病毒检测的网络信息数据包进行系统接收,完成数据传输,否则直接丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311001504.0A CN116723059B (zh) | 2023-08-10 | 2023-08-10 | 一种针对网络信息的安全分析系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311001504.0A CN116723059B (zh) | 2023-08-10 | 2023-08-10 | 一种针对网络信息的安全分析系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116723059A CN116723059A (zh) | 2023-09-08 |
| CN116723059B true CN116723059B (zh) | 2023-10-20 |
Family
ID=87870162
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311001504.0A Active CN116723059B (zh) | 2023-08-10 | 2023-08-10 | 一种针对网络信息的安全分析系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116723059B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957579A (zh) * | 2012-09-29 | 2013-03-06 | 北京邮电大学 | 一种网络异常流量监测方法及装置 |
| CN104657915A (zh) * | 2015-03-10 | 2015-05-27 | 国家电网公司 | 一种动态自适应的电力系统终端安全威胁评估方法 |
| CN109413071A (zh) * | 2018-10-31 | 2019-03-01 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
| CN110417721A (zh) * | 2019-03-07 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 安全风险评估方法、装置、设备及计算机可读存储介质 |
| CN111817875A (zh) * | 2020-06-03 | 2020-10-23 | 华为技术有限公司 | 检测网络故障的方法和装置 |
| CN112583852A (zh) * | 2020-12-28 | 2021-03-30 | 华北电力大学 | 一种异常流量检测方法 |
| AU2019396129A1 (en) * | 2018-12-14 | 2021-06-17 | Newsouth Innovations Pty Limited | Apparatus and process for monitoring network behaviour of internet-of-things (IoT) devices |
| CN113079143A (zh) * | 2021-03-24 | 2021-07-06 | 北京锐驰信安技术有限公司 | 一种基于流数据的异常检测方法及系统 |
| CN113489720A (zh) * | 2021-07-01 | 2021-10-08 | 中电智恒信息科技服务有限公司 | 一种超大规模网络中攻击暴露面分析方法及系统 |
| CN113489713A (zh) * | 2021-06-30 | 2021-10-08 | 平安科技(深圳)有限公司 | 网络攻击的检测方法、装置、设备及存储介质 |
| CN114172702A (zh) * | 2021-11-26 | 2022-03-11 | 中能电力科技开发有限公司 | 一种电网工控系统网络安全监测方法及系统 |
| CN115225384A (zh) * | 2022-07-19 | 2022-10-21 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115795030A (zh) * | 2022-10-26 | 2023-03-14 | 招联消费金融有限公司 | 文本分类方法、装置、计算机设备和存储介质 |
| CN116055185A (zh) * | 2023-01-28 | 2023-05-02 | 北京京航计算通讯研究所 | 分布式网络信息发布系统的主动网络安全防御方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101270041B1 (ko) * | 2011-10-28 | 2013-05-31 | 삼성에스디에스 주식회사 | Arp 스푸핑 공격 탐지 시스템 및 방법 |
| US20220103592A1 (en) * | 2020-09-30 | 2022-03-31 | Forescout Technologies, Inc. | Enhanced risk assessment |
| US20230077107A1 (en) * | 2021-08-31 | 2023-03-09 | Ira Winkler | Method for assessing individual vulnerability to predatory internet attacks |
-
2023
- 2023-08-10 CN CN202311001504.0A patent/CN116723059B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957579A (zh) * | 2012-09-29 | 2013-03-06 | 北京邮电大学 | 一种网络异常流量监测方法及装置 |
| CN104657915A (zh) * | 2015-03-10 | 2015-05-27 | 国家电网公司 | 一种动态自适应的电力系统终端安全威胁评估方法 |
| CN109413071A (zh) * | 2018-10-31 | 2019-03-01 | 新华三信息安全技术有限公司 | 一种异常流量检测方法及装置 |
| AU2019396129A1 (en) * | 2018-12-14 | 2021-06-17 | Newsouth Innovations Pty Limited | Apparatus and process for monitoring network behaviour of internet-of-things (IoT) devices |
| CN110417721A (zh) * | 2019-03-07 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 安全风险评估方法、装置、设备及计算机可读存储介质 |
| CN111817875A (zh) * | 2020-06-03 | 2020-10-23 | 华为技术有限公司 | 检测网络故障的方法和装置 |
| CN112583852A (zh) * | 2020-12-28 | 2021-03-30 | 华北电力大学 | 一种异常流量检测方法 |
| CN113079143A (zh) * | 2021-03-24 | 2021-07-06 | 北京锐驰信安技术有限公司 | 一种基于流数据的异常检测方法及系统 |
| CN113489713A (zh) * | 2021-06-30 | 2021-10-08 | 平安科技(深圳)有限公司 | 网络攻击的检测方法、装置、设备及存储介质 |
| CN113489720A (zh) * | 2021-07-01 | 2021-10-08 | 中电智恒信息科技服务有限公司 | 一种超大规模网络中攻击暴露面分析方法及系统 |
| CN114172702A (zh) * | 2021-11-26 | 2022-03-11 | 中能电力科技开发有限公司 | 一种电网工控系统网络安全监测方法及系统 |
| CN115225384A (zh) * | 2022-07-19 | 2022-10-21 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN115795030A (zh) * | 2022-10-26 | 2023-03-14 | 招联消费金融有限公司 | 文本分类方法、装置、计算机设备和存储介质 |
| CN116055185A (zh) * | 2023-01-28 | 2023-05-02 | 北京京航计算通讯研究所 | 分布式网络信息发布系统的主动网络安全防御方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于模糊综合评价模型的DNS健康度评估;朱毅;陈兴蜀;陈敬涵;邵国林;;《信息网络安全》(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116723059A (zh) | 2023-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107454109B (zh) | 一种基于http流量分析的网络窃密行为检测方法 | |
| CN110149343B (zh) | 一种基于流的异常通联行为检测方法和系统 | |
| KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| CN108289088B (zh) | 基于业务模型的异常流量检测系统及方法 | |
| CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
| US8578493B1 (en) | Botnet beacon detection | |
| US8650646B2 (en) | System and method for optimization of security traffic monitoring | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| US8144603B2 (en) | Apparatuses and methods for detecting anomalous event in network | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| US20070150955A1 (en) | Event detection system, management terminal and program, and event detection method | |
| JP2004312064A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
| CN109922048A (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
| CN112788007A (zh) | 基于卷积神经网络的DDoS攻击检测方法 | |
| Gunasekaran | Comparison of network intrusion detection systems in cloud computing environment | |
| KR100628317B1 (ko) | 네트워크 공격 상황 탐지 장치 및 그 방법 | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| CN116723059B (zh) | 一种针对网络信息的安全分析系统 | |
| JP2005210601A (ja) | 不正侵入検知装置 | |
| CN115017502A (zh) | 一种流量处理方法、及防护系统 | |
| CN112788039A (zh) | 一种DDoS攻击识别方法、装置及存储介质 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN114338221B (zh) | 一种基于大数据分析的网络检测系统 | |
| CN113377051B (zh) | 一种基于fpga的网络安全防护设备 | |
| CN112671800B (zh) | 一种威胁量化企业风险值的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |