一种基于数据分析的网络攻击溯源方法及系统技术方案

本发明专利技术公开一种基于数据分析的网络攻击溯源方法，包括：步骤S1、将网络划分为多个区域，每个区域设置溯源平台装置；步骤S2、溯源平台装置对其区域内的各路由器的分组数据进行随机采集；步骤S3、通过预设的卷积神经网络对各种网络攻击的特征进行提取，建立分析模型；并对所采集的数据进行分析，得到疑似攻击数据；步骤S4、对疑似攻击数据进行追踪溯源处理，并记录；如涉及其他区域，则与其他区域的溯源平台装置进行通信以得到溯源数据。本发明专利技术还公开了相应的系统。实施本发明专利技术，通过独立设置的溯源平台装置，只需搜集数据并分析，根据分析结果进行追踪溯源，无需对原网络设备的软硬件进行改造，占用网络资源较少，不会增加网络流量负担。

【技术实现步骤摘要】
一种基于数据分析的网络攻击溯源方法及系统
本专利技术属于网络
，特别是涉及到一种基于数据分析的网络攻击溯源方法及系统。
技术介绍
随着互联网的覆盖面逐渐扩大，网络技术也得到飞速发展，网络已经成为人们日常生活中不可缺少的内容，尤其是互联网在很多方面都取代传统的运作方式，提供低耗、开放、高效的网络服务，与人类的发展更加紧密结合在一起。然而，网络上的恶意行为也随之增多，基于网络的攻击行为层出不穷，尽管互联网也有防护策略以及安全机制等，但攻击者利用网络的互联性，使用伪造的IP地址，使攻击源的位置很难背确定，因此网络攻击的追踪溯源，已成为现在网络安全面临的重要问题。现有技术中针对网络攻击的追踪溯源已经有了多种方案，但这些方案基本都存在一些不足，例如，分组标记溯源法，对网络中所有路由器都实施分组标记，虽然这样就能基本解决溯源问题，但是硬件(路由器芯片)复杂度及成本的上升，又导致分组数据长度的增加，加重了网络负担；又例如：日志记录溯源法，将报文作为日志记录，需要的时候可从日志中直接获取数据，但其对网络资源的需求量很大；另外，在网络中实施URRF技术，可以解决数据的源地址的验证问题，也是一种解决方案，但同样需要提升路由器的计算能力，而且需要全网配置，占用较大的网络资源；其他溯源的方案也都类似。因此，目前亟需一种无须占用较多网络资源的网络攻击溯源方法。
技术实现思路
本专利技术所要解决的技术问题在于，本专利技术提出一种基于数据分析的网络攻击溯源方法及系统，实现对网络资源的占用也比较少，不会增加网络流量负担。为解决上述技术问题，本专利技术的一方面，提供一种基于数据分析的网络攻击溯源方法，其包括如下步骤：步骤S1、将网络划分为多个区域，每个区域设置一个溯源平台装置；步骤S2、每一区域中的溯源平台装置对所属区域内的各路由器的分组数据进行随机采集；步骤S3、所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取，建立分析模型；对所述随机采集的数据进行分析，得到疑似攻击数据；步骤S4、所述溯源平台装置对疑似攻击数据进行追踪溯源处理，并记录溯源数据；其中，如果涉及其他区域，则与其他区域的溯源平台装置进行通信，得到相关数据进行追踪溯源。其中，所述步骤S2具体为：每隔预定周期通过随机采样算法抽样选取路由器以及选取路由器中的分组数据。其中，步骤S2中所述的分组数据采集，在所采集的分组数据中加入有代表其所属路由器的特征码。其中，步骤S3中所述的分析模型的建立过程包括：步骤S31、收集网络攻击案例中的攻击数据，提取数据的要素，形成多层的矩阵数据；步骤S32、对每层数据进行归一化处理；步骤S33、由卷积层和池化层构成的神经网络单元，对矩阵数据进行操作，提取出攻击数据的特征，建立分析模型。其中，步骤S3中所述的分析模型的建立还包括：步骤S34、在全连接层将攻击数据的特征与变化方向数据组合成新的特征，建立新型攻击预测模型，其中，所述变化方向数据为结合当前网络技术的热点、新技术、发展方向所转化得到的数据。其中，所述溯源平台装置至少采用2个及以上的数据采集服务器，1个模型分析服务器以及1个追踪溯源服务器；各服务器之间为网状拓扑结构连接；数据采集服务器设有负载均衡机制；追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元。其中，所述溯源平台装置至少采用多个服务器，每个服务器都具有数据采集单元、模型分析单元、追踪溯源单元、与其他溯源平台装置通信的通信单元，各服务器之间设有负载均衡机制。相应地，本专利技术的另一方面，还提供一种基于数据分析的网络攻击溯源系统，其包括：多个互联通信的溯源平台装置，每个溯源平台装置属于一片网络区域，各网络区域共同构成整体网络；所述每一溯源平台装置均包括：数据采集单元，用于所述溯源平台装置对所属区域内的各路由器的分组数据进行随机采集；模型分析单元，用于所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取，建立分析模型；通过所述分析模型对所述数据采集单元所采集的数据进行分析，得到疑似攻击数据；追踪溯源单元，用于所述溯源平台装置对疑似攻击数据进行追踪溯源处理，并记录溯源数据；其中，如果涉及其他区域，则与其他区域的溯源平台装置进行通信，得到相关数据进行追踪溯源。其中，模型分析单元包括：收集单元，用于收集网络攻击案例中的攻击数据，提取数据的要素，形成多层的矩阵数据；归一化处理单元，用于对每层数据进行归一化处理；由卷积层和池化层构成的神经网络单元，对矩阵数据进行操作，提取出攻击数据的特征；建立单元，用于建立分析模型；以及转化处理单元，用于在全连接层将攻击数据的特征与变化方向数据组合成新的特征，建立新型攻击预测模型，其中，所述变化方向数据为结合当前网络技术的热点、新技术、发展方向转化得到的数据。其中，所述数据采集单元、模型分析单元、追踪溯源单元各自为单独的服务器，各服务器之间为网状拓扑结构连接；数据采集服务器为2个以上，设有负载均衡机制；追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元；或者：所述数据采集单元、模型分析单元、追踪溯源单元各自为服务器中的一个单元；有多个服务器，每台都具有上述单元，各服务器之间设有负载均衡机制。与现有技术相比，本专利技术具有如下的有益效果：本专利技术设置独立的溯源平台装置，仅需要搜集数据进行分析，并根据分析结果进行追踪溯源，不需要对原网络设备的软硬件进行改造，对网络资源的占用也比较少，不会增加网络流量负担；本专利技术采集数据时采用随机采样算法，在数据足够多的情况下完全可以收集到相关的网络攻击数据，同时节省服务器资源；本专利技术通过神经网络对攻击数据的特征进行分析，能够得到比较准确的网络攻击数据的特征模型，并根据模型比较精准的判断网络攻击数据；从而进行追踪溯源；本专利技术的特征模型还可结合最新的网络技术发展的热点、方向、新技术等，生成预测新型攻击的预测模型；对有可能出现的新型的网络攻击进行预判；溯源平台装置应用了负载均衡手段，保持工作的稳定性和持久性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，根据这些附图获得其他的附图仍属于本专利技术的范畴。图1是本专利技术提供的一种基于数据分析的网络攻击溯源方法的一个实施例的主流程示意图；图2是图1中步骤S3的更详细的结构示意图；图3是本专利技术实施例涉及的神经网络示意图。图4是本专利技术提供的一种基于数据分析的网络攻击溯源装系统中溯源平台装置的一个实施例的结构示意图；图5是本专利技术提供的一种基于数据分析的网络攻击溯源系统中溯源平台装置的另一个实本文档来自技高网...

【技术保护点】
1.一种基于数据分析的网络攻击溯源方法，其特征在于，包括：/n步骤S1、将网络划分为多个区域，每个区域设置一个溯源平台装置；/n步骤S2、每一区域中的溯源平台装置对所属区域内的各路由器的分组数据进行随机采集；/n步骤S3、所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取，建立分析模型；对所述随机采集的数据进行分析，得到疑似攻击数据；/n步骤S4、所述溯源平台装置对疑似攻击数据进行追踪溯源处理，并记录溯源数据；其中，如果涉及其他区域，则与其他区域的溯源平台装置进行通信，得到相关数据进行追踪溯源。/n

【技术特征摘要】
1.一种基于数据分析的网络攻击溯源方法，其特征在于，包括：
步骤S1、将网络划分为多个区域，每个区域设置一个溯源平台装置；
步骤S2、每一区域中的溯源平台装置对所属区域内的各路由器的分组数据进行随机采集；
步骤S3、所述溯源平台装置通过预设的卷积神经网络对各种网络攻击的特征进行提取，建立分析模型；对所述随机采集的数据进行分析，得到疑似攻击数据；
步骤S4、所述溯源平台装置对疑似攻击数据进行追踪溯源处理，并记录溯源数据；其中，如果涉及其他区域，则与其他区域的溯源平台装置进行通信，得到相关数据进行追踪溯源。


2.根据权利要求1所述的一种基于数据分析的网络攻击溯源方法，其特征在于，所述步骤S2具体为：
每隔预定周期通过随机采样算法抽样选取路由器以及选取路由器中的分组数据。


3.根据权利要求1或2所述的一种基于数据分析的网络攻击溯源方法，其特征在于，步骤S2中所述的分组数据采集，在所采集的分组数据中加入有代表其所属路由器的特征码。


4.根据权利要求1所述的一种基于数据分析的网络攻击溯源方法，其特征在于，步骤S3中所述的分析模型的建立过程包括：
步骤S31、收集网络攻击案例中的攻击数据，提取数据的要素，形成多层的矩阵数据；
步骤S32、对每层数据进行归一化处理；
步骤S33、由卷积层和池化层构成的神经网络单元，对矩阵数据进行操作，提取出攻击数据的特征，建立分析模型。


5.根据权利要求4所述的一种基于数据分析的网络攻击溯源方法，其特征在于，步骤S3中所述的分析模型的建立还包括：
步骤S34、在全连接层将攻击数据的特征与变化方向数据组合成新的特征，建立新型攻击预测模型，其中，所述变化方向数据为结合当前网络技术的热点、新技术、发展方向所转化得到的数据。


6.根据权利要求1所述的一种基于数据分析的网络攻击溯源方法，其特征在于，所述溯源平台装置至少采用2个及以上的数据采集服务器，1个模型分析服务器以及1个追踪溯源服务器；各服务器之间为网状拓扑结构连接；数据采集服务器设有负载均衡机制；追踪溯源服务器设有与其它溯源平台装置的追踪溯源服务器相互通信的通信单元。

【专利技术属性】
技术研发人员：孙强强，连耿雄，陈昊，丘惠军，
申请(专利权)人：深圳供电局有限公司，
类型：发明
国别省市：广东;44