本发明专利技术公开了一种新的基于流数据的局域网网络安全检测方法,选择源IP地址(SrcIP)、目标IP地址(DstIP)、网络连接流量(ConFlow)三个字段特征属性,使用变异的滑动窗口技术,把十字转门模型、收银机模型与时间序列模型相结合着处理大型流数据,从而实现网络的实时监控。
【技术实现步骤摘要】
本专利技术设及一种新的对流数据网络安全检测的方法,其中在滑动窗口、流数据模 型的选择上有很大的创新。
技术介绍
随着科技信息的发展,互联网已经成为人们日常生活中不可缺少的一部分,网络 规模的不断扩大、新的网络协议、网络业务内容层出不穷。在人们越多的依赖于网络的同 时,各种网络的安全问题也不断涌现:病毒、黑客等各种网络攻击技术越来越多、危害越来 越大;人们需求的增加,与有限的带宽之间的矛盾日益尖锐;网络自身的故障和性能问题; 如何有效的检测和控制不安全的网络行为,构架安全的网络环境成为时下最热口的也是一 个经久不衰的话题之一。 局域网的其中一个最大威胁是网络的滥用。用户无节制的使用网络资源,一方面 造成资源的浪费,另一方面导致宽带被少数人占用,影响大部人的正常浏览网页的操作。在 如此复杂的网络环境中,如何从海量、复杂的数据中及时有效发现网络中的异常现象和故 障,杜绝恶意攻击网络的行为W及滥用网络资源的现象,净化网络环境、合理利用网络资 源,最大程度的保证局域网络的安全运行,是一个亟待解决的问题。数据挖掘为监测网络的 安全提供了一条可行的途径。 W往对局域网的研究,采用的是传统的数据挖掘技术,其操作前提是数据W静态 存储的方式保存,它们具有限定的大小,可控制的操作,详细的定义结构,因而,参与挖掘的 数据本身具有持久性,本身没有时间概念;得到相对稳定的源数据后再对其应用相应的数 据挖掘算法,通过多次循环扫描挖掘出有价值的知识结构。然而,开放性、交换性和实时性 是互联网与生具有的特性,它是随时间延续而无限增长的动态数据集合,其特点是实时、次 序独立、规模宏大且不能预知其最大值、一经处理,除非特意保存,否则不能被再次取出处 理,或者再次提取数据代价昂贵,流数据的产生从根本上改变了传统信息收集和交换、处理 的方式。显然静态数据挖掘已经不能适应人们处理流数据的要求,使用有界的内存、有界的 处理时间、采用单遍扫描的技术W动态的查询捕获数据、挖掘数据、及时反馈信息的数据挖 掘技术一流数据挖掘应运产生。 流数据挖掘是当前数据挖掘领域的热口话题,流数据挖掘的概念实际上是源于传 统的数据挖掘技术,但在处理的过程中又不同于传统的挖掘技术,根据传统数据挖掘的分 类,流数据挖掘技术也分为流数据聚类技术、流数据分类技术、基于划分的流聚类等。针对 局域网的特性,选择合适的流数据挖掘技术对局域网的大量、动态的数据进行分析处理,建 立局域网的安全规则,并将其应用到具体的局域网络,监测网络的威胁行为,及时消除网络 威胁。目前并没有行之有效的基于流数据挖掘的网络安全检测方法。
技术实现思路
为解决W上述技术问题,本专利技术人提出了一种新的基于流数据的局域网网络安全 检测方法,包括如下步骤: 1. 用大纲数据结构中的等高直方图来存储流入的数据,每个等高直方图就是一个桶 (bucket); 2. 在桶中存储=部分信息:①W用户的源IP地址(SrcIP)作为标识的桶特征值。② 目的IP地址(DstIP)。③数据流量包流量总和(SumConFlow); 3. 在当前时间窗口(t,t+N)内,对于初始窗口,对其特征属性值进行累加,即当新数 据对象C'到达时,首先与已有桶的特征值进行比较,如具有相同的标识,则应用收银机模型 进行累加,并将其放入具有相同标识的桶中,然后更新桶内的目的IP地址与桶内的网络连 接流量值;如果不存在相同标识的对象,则创建一个新桶,并将其放入,新桶的特征均值为 对象。的源IP地址,然后更新桶内的目的IP地址与桶内的网络连接流量值; 4. 对于窗口的滑动过程中,采用十字转口模型。窗口每次向前移动的大小为a*N,同时 窗口的大小也增加a*N,移动后的窗口终止位置与移动前窗口的终止位置之间的数据量为 2a*N。运里a为0~1之间参数,具体取值根据实际流数据检测的需要认为设定; 5. 对于新到来的数据对象,依然采用第3步来进行处理。而对于离开的数据对象的处 理方式如下:查找离开的数据所在的桶,并检测与该数据具有相同标识符的目标IP地址的 个数,若为多个,则减去一个,并将该数据对象的流量去除;若为一个,则去掉该数据,并删 除该数据对象所对应的桶; 6. 聚类结果为代表不同源IP地址的桶,加W分析归类。 在上述方案中,本专利技术人创造性的采用了如下技术手段: (1)特征属性的选择。网络数据的检测会从数据包入手,本专利技术的则是选择源IP地址(SrcIP)、目标IP地址(DstIP)、网络连接流量(ConFlow)S个字段特征属性。 似变异的滑动窗口技术。 传统的网络监测技术中的滑动窗口大都是两类:基于元组个数的滑动窗口和基于 时间定义的滑动窗口。本专利技术的则是是对传统滑动窗口的改进,窗口滑动时窗口的大小是 可变化的。即窗口每次向前移动的大小为a*N,同时窗口的大小也增加a*N,移动后的窗口 终止位置与移动前窗口的终止位置之间的数据量为2a*N。运里a为0~1之间参数,具体 取值根据实际流数据检测的需要认为设定。 樹十字转口模型、收银机模型与时间序列模型的使用。 静态数据挖掘已经不能适应人们处理流数据的要求,如何使用有界的内存、有界 的处理时间、采用单遍扫描的技术W动态的查询捕获数据、挖掘数据是研究的重点和难点。 本专利技术使用桶存储流入和流出的数据;在使用变异的滑动窗口技术上,把十字转口模型、收 银机模型与时间序列模型相结合。窗口初始化没有移动时使用收音机模型,当窗口滑动过 程中,使用十字转口模型和收音机模型。 上述方法适合处理大型流数据,能够实时的监控网络。辅助网络管理员对网络 进行检测,因此本算法具有一定的学术价值和实用价值:促进网络安全行为检测方法的革 新;扩大流数据挖掘算法的应用领域;对W后研究和改进的流数据聚类算法具有重要的 参考价值。【具体实施方式】 ,其基本思路是: 1. 用大纲数据结构中的等高直方图来存储流入的数据,当前第1页1 2 本文档来自技高网...
【技术保护点】
一种新的基于流数据的局域网网络安全检测方法,包括如下步骤:(1)用大纲数据结构中的等高直方图来存储流入的数据,每个等高直方图就是一个桶(bucket);(2)在桶中存储三部分信息:① 以用户的源IP地址(SrcIP)作为标识的桶特征值,②目的IP地址(DstIP),③数据流量包流量总和(SumConFlow);(3)在当前时间窗口 (t,t+N)内, 对于初始窗口,对其特征属性值进行累加,即当新数据对象到达时,首先与已有桶的特征值进行比较,如具有相同的标识,则应用收银机模型进行累加,并将其放入具有相同标识的桶中,然后更新桶内的目的IP地址与桶内的网络连接流量值;如果不存在相同标识的对象,则创建一个新桶,并将其放入,新桶的特征均值为对象的源IP地址,然后更新桶内的目的IP地址与桶内的网络连接流量值;(4)对于窗口的滑动过程中,采用十字转门模型,窗口每次向前移动的大小为a*N,同时窗口的大小也增加a*N,移动后的窗口终止位置与移动前窗口的终止位置之间的数据量为2a*N;这里a为0~1之间参数,具体取值根据实际流数据检测的需要认为设定;(5)对于新到来的数据对象,依然采用第3步来进行处理;而对于离开的数据对象的处理方式如下:查找离开的数据所在的桶,并检测与该数据具有相同标识符的目标IP地址的个数,若为多个,则减去一个,并将该数据对象的流量去除;若为一个,则去掉该数据,并删除该数据对象所对应的桶;(6)聚类结果为代表不同源IP地址的桶,加以分析归类。...
【技术特征摘要】
【专利技术属性】
技术研发人员:李玲玲,
申请(专利权)人:李玲玲,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。