一种网络行为数据的方法和可视化平台技术

本发明专利技术公开了一种网络行为数据的方法和可视化平台，设置数据帧为最小的传输单位，根据不同业务的特点，在每个数据帧传输的开始阶段就为每一个最小传输单位选择最优的调制方式，满足不同用户的不同认证需求；并且将每个用户终端的网络行为数据与访问关系模型进行匹配，判断每个用户终端是否为访问异常，可视化显示访问异常用户终端发起的攻击事件发生脉络和攻击路径。

A Method and Visualization Platform for Network Behavior Data

【技术实现步骤摘要】
一种网络行为数据的方法和可视化平台
本申请涉及通信
，尤其涉及一种网络行为数据的方法和可视化平台。
技术介绍
多个用户终端访问业务服务器会有各自不同的需求，例如订阅了不同的业务，请求访问不同的资源，尤其是当用户终端处于移动的状态下，如何保证不同用户的不同认证需求就显得非常重要。现有的流量监控技术仅针对流量本身进行解析，没有结合不同业务的特点、不同用户的属性。
技术实现思路
本专利技术的目的在于提供一种网络行为数据的方法和可视化平台，设置数据帧为最小的传输单位，根据不同业务的特点，在每个数据帧传输的开始阶段就为每一个最小传输单位选择最优的调制方式，满足不同用户的不同认证需求。并且将每个用户终端的网络行为数据与访问关系模型进行匹配，可视化显示访问异常用户终端发起的攻击事件发生脉络和攻击路径。以此解决上述
技术介绍
中提出的问题。第一方面，本申请提供一种网络行为数据的方法，所述方法包括：网络中间设备获取多个用户终端的网络行为数据，封装为网络数据包，并设置数据帧为最小传输单位，为每一个最小传输单位确定各自的优先等级和对应的QoS值；根据优先等级和QoS值，查询选择每一个最小传输单位相应的调制方式；所述网络行为数据包括认证数据、访问数据、业务数据中一个或多个；其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述网络数据包数据流调制为信息符号，通过传输网络发送到网络侧设备；所述循环前缀的长度大于传输信道的最大时延扩展；网络侧设备通过传输网络接收信息符号，估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流，经过再封装还原成数据包，传递给网络侧的服务器；服务器解析数据包，分析每个用户终端的网络行为数据，将每个用户终端的网络行为数据与访问关系模型进行匹配，根据所述匹配的结果认定所述用户终端是否为访问异常；如果判断用户终端为访问异常，则通知网络中间设备限制该用户终端的访问流量，直至下一次判断该用户终端为访问正常；所述服务器分析访问异常用户终端的网络行为数据，多重维度进行深度关联分析和数据挖掘，用于更新访问关系模型，并梳理出攻击事件的发生脉络和攻击路径，将所述发生脉络和攻击路径传送给显示装置；所述显示装置通过大屏幕可视化显示访问异常用户终端发起的攻击事件发生脉络和攻击路径。结合第一方面，在第一方面第一种可能的实现方式中，所述将每个用户终端的网络行为数据与访问关系模型进行匹配，根据所述匹配的结果认定所述用户终端是否为访问异常，包括：根据匹配的结果，判断所述用户终端是否偏离访问关系模型的基准；如果判断为是，则认定所述用户终端访问异常；如果判断为否，则认定所述用户终端访问正常。结合第一方面，在第一方面第二种可能的实现方式中，所述梳理出攻击事件的发生脉络和攻击路径之前，还包括：对采集的所述日志信息从时间、空间多重维度进行深度关联分析和数据挖掘，建立规则库；将疑似攻击的溯源信息与规则库中的信息进行对比，通过传播查询和追溯查询构建溯源图，根据所述溯源图获取攻击事件的发生脉络和攻击路径。结合第一方面，在第一方面第三种可能的实现方式中，所述传输业务包括：多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。第二方面，本申请提供一种网络行为数据的可视化平台，所述可视化平台包括：网络中间设备，用于获取多个用户终端的网络行为数据，封装为网络数据包，并设置数据帧为最小传输单位，为每一个最小传输单位确定各自的优先等级和对应的QoS值；根据优先等级和QoS值，查询选择每一个最小传输单位相应的调制方式；所述网络行为数据包括认证数据、访问数据、业务数据中一个或多个；其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述网络数据包数据流调制为信息符号，通过传输网络发送到网络侧设备；所述循环前缀的长度大于传输信道的最大时延扩展；网络侧设备，用于通过传输网络接收信息符号，估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流，经过再封装还原成数据包，传递给网络侧的服务器；服务器，用于解析数据包，分析每个用户终端的网络行为数据，将每个用户终端的网络行为数据与访问关系模型进行匹配，根据所述匹配的结果认定所述用户终端是否为访问异常；如果判断用户终端为访问异常，则通知网络中间设备限制该用户终端的访问流量，直至下一次判断该用户终端为访问正常；所述服务器分析访问异常用户终端的网络行为数据，多重维度进行深度关联分析和数据挖掘，用于更新访问关系模型，并梳理出攻击事件的发生脉络和攻击路径，将所述发生脉络和攻击路径传送给显示装置；显示装置，用于通过大屏幕可视化显示访问异常用户终端发起的攻击事件发生脉络和攻击路径。结合第二方面，在第二方面第一种可能的实现方式中，所述将每个用户终端的网络行为数据与访问关系模型进行匹配，根据所述匹配的结果认定所述用户终端是否为访问异常，包括：根据匹配的结果，判断所述用户终端是否偏离访问关系模型的基准；如果判断为是，则认定所述用户终端访问异常；如果判断为否，则认定所述用户终端访问正常。结合第二方面，在第二方面第二种可能的实现方式中，所述梳理出攻击事件的发生脉络和攻击路径之前，还包括：对采集的所述日志信息从时间、空间多重维度进行深度关联分析和数据挖掘，建立规则库；将疑似攻击的溯源信息与规则库中的信息进行对比，通过传播查询和追溯查询构建溯源图，根据所述溯源图获取攻击事件的发生脉络和攻击路径。结合第二方面，在第二方面第三种可能的实现方式中，所述传输业务包括：多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。本专利技术提供一种网络行为数据的方法和可视化平台，设置数据帧为最小的传输单位，根据不同业务的特点，在每个数据帧传输的开始阶段就为每一个最小传输单位选择最优的调制方式，满足不同用户的不同认证需求；并且将每个用户终端的网络行为数据与访问关系模型进行匹配，判断每个用户终端是否为访问异常，可视化显示访问异常用户终端发起的攻击事件发生脉络和攻击路径。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术网络行为数据的方法的流程图；图2为本专利技术网络行为数据的可视化平台的框架图。具体实施方式下面结合附图对本专利技术的优选实施例进行详细阐述，以使本专利技术的优点和特征能更易于被本领域技术人员理解，从而对本专利技术的保护范围做出更为清楚明确的界定。图1为本申请提供的网络本文档来自技高网...

【技术保护点】
1.一种网络行为数据的方法，其特征在于，包括：网络中间设备获取多个用户终端的网络行为数据，封装为网络数据包，并设置数据帧为最小传输单位，为每一个最小传输单位确定各自的优先等级和对应的QoS值；根据优先等级和QoS值，查询选择每一个最小传输单位相应的调制方式；所述网络行为数据包括认证数据、访问数据、业务数据中一个或多个；其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述网络数据包数据流调制为信息符号，通过传输网络发送到网络侧设备；所述循环前缀的长度大于传输信道的最大时延扩展；网络侧设备通过传输网络接收信息符号，估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流，经过再封装还原成数据包，传递给网络侧的服务器；服务器解析数据包，分析每个用户终端的网络行为数据，将每个用户终端的网络行为数据与访问关系模型进行匹配，根据所述匹配的结果认定所述用户终端是否为访问异常；如果判断用户终端为访问异常，则通知网络中间设备限制该用户终端的访问流量，直至下一次判断该用户终端为访问正常；所述服务器分析访问异常用户终端的网络行为数据，多重维度进行深度关联分析和数据挖掘，用于更新访问关系模型，并梳理出攻击事件的发生脉络和攻击路径，将所述发生脉络和攻击路径传送给显示装置；所述显示装置通过大屏幕可视化显示访问异常用户终端发起的攻击事件发生脉络和攻击路径。...

【技术特征摘要】
1.一种网络行为数据的方法，其特征在于，包括：网络中间设备获取多个用户终端的网络行为数据，封装为网络数据包，并设置数据帧为最小传输单位，为每一个最小传输单位确定各自的优先等级和对应的QoS值；根据优先等级和QoS值，查询选择每一个最小传输单位相应的调制方式；所述网络行为数据包括认证数据、访问数据、业务数据中一个或多个；其中，所述选择调制方式包括：估计载波所在的传输信道的第一CSI值，设置循环前缀的长度，根据所述第一CSI值自适应选择一种调制阶数，按照选择的调制方式和调制阶数，把所述网络数据包数据流调制为信息符号，通过传输网络发送到网络侧设备；所述循环前缀的长度大于传输信道的最大时延扩展；网络侧设备通过传输网络接收信息符号，估计传输信道的第二CSI值，根据所述第二CSI值自适应选择一种调制阶数，根据上一次成功传输的业务数据包，获得传输的业务重要性，根据传输业务的重要性，确定相应优先等级，按照优先等级由高到低的顺序选择解调方式，按照选择的解调方式和调制阶数，把接收到的信息符号解调为数据流，经过再封装还原成数据包，传递给网络侧的服务器；服务器解析数据包，分析每个用户终端的网络行为数据，将每个用户终端的网络行为数据与访问关系模型进行匹配，根据所述匹配的结果认定所述用户终端是否为访问异常；如果判断用户终端为访问异常，则通知网络中间设备限制该用户终端的访问流量，直至下一次判断该用户终端为访问正常；所述服务器分析访问异常用户终端的网络行为数据，多重维度进行深度关联分析和数据挖掘，用于更新访问关系模型，并梳理出攻击事件的发生脉络和攻击路径，将所述发生脉络和攻击路径传送给显示装置；所述显示装置通过大屏幕可视化显示访问异常用户终端发起的攻击事件发生脉络和攻击路径。2.根据权利要求1所述的方法，其特征在于，所述将每个用户终端的网络行为数据与访问关系模型进行匹配，根据所述匹配的结果认定所述用户终端是否为访问异常，包括：根据匹配的结果，判断所述用户终端是否偏离访问关系模型的基准；如果判断为是，则认定所述用户终端访问异常；如果判断为否，则认定所述用户终端访问正常。3.根据权利要求1-2任一所述的方法，其特征在于，所述梳理出攻击事件的发生脉络和攻击路径之前，还包括：对采集的所述日志信息从时间、空间多重维度进行深度关联分析和数据挖掘，建立规则库；将疑似攻击的溯源信息与规则库中的信息进行对比，通过传播查询和追溯查询构建溯源图，根据所述溯源图获取攻击事件的发生脉络和攻击路径。4.根据权利要求1-3任一所述的方法，其特征在于，所述传输业务包括：多媒体数据、音频数据、视频数据、文本数据中的一种或若干种组合。5.一种网络行为数据的可视化...

【专利技术属性】
技术研发人员：段彬，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：湖北,42