【技术实现步骤摘要】
一种基于可编程节点的软硬件结合威胁态势感知方法
本专利技术属于网络空间安全
,涉及感知网络环境威胁的态势感知技术,具体涉及一种基于可编程节点的软硬件结合威胁态势感知方法。
技术介绍
随着计算机技术的快速发展,硬件生产技术的逐步提高,网络已经成为当前信息时代发展的重要基础与推动力。而网络的规模越来越大,拓扑越来越复杂化,数据类型的增多,都对网络安全技术的发展提出了挑战。为了保证网络空间环境的安全,网络安全态势感知技术逐渐成为网络安全领域研究的热点之一。国外研究的网络安全态势感知模型主要有JDL模型、Endsley模型和TimBass模型。国内研究的网络安全态势感知模型主要有基于Netflow的网络安全态势感知模型、基于信息融合的网络安全态势评估模型和面向大规模网络的安全态势感知模型,但这些模型均具有问题,效果并不理想:(1)基于Netflow的网络安全态势感知模型由流数据采集、事件响应与态势显示等部分构成的基于Netflow的网络安全态势感知模型。由于系统所处理的是海量数据信息,并且重点关注安全态...
【技术保护点】
1.一种基于可编程节点的软硬件结合威胁态势感知方法,其特征在于,包括如下步骤:/n(1)可编程设备使用4个CPU对流量进行操作,0号CPU接收并转发经过的流量,其他三个CPU对流信息进行摘要,提取报文流中的源地址、目的地址、源端口、目的端口、协议类型、报文长度、TCP控制字段标志URG、ACK、PSH、RST、SYN、FIN,并将这些摘要信息传递到数据库;/n(2)数据库对处理器存入的各项摘要信息分别进行熵值计算,并将计算结果上报给决策服务器;/n(3)决策服务器使用训练集训练机器学习分类器模型,训练出能够识别威胁流量流熵值的分类器;其中训练集由生成的异常流量与正常流量混合...
【技术特征摘要】
1.一种基于可编程节点的软硬件结合威胁态势感知方法,其特征在于,包括如下步骤:
(1)可编程设备使用4个CPU对流量进行操作,0号CPU接收并转发经过的流量,其他三个CPU对流信息进行摘要,提取报文流中的源地址、目的地址、源端口、目的端口、协议类型、报文长度、TCP控制字段标志URG、ACK、PSH、RST、SYN、FIN,并将这些摘要信息传递到数据库;
(2)数据库对处理器存入的各项摘要信息分别进行熵值计算,并将计算结果上报给决策服务器;
(3)决策服务器使用训练集训练机器学习分类器模型,训练出能够识别威胁流量流熵值的分类器;其中训练集由生成的异常流量与正常流量混合构造而成;所述异常流量包括:主机扫描流量、端口扫描流量、SYNFlood流量、ACKFlood流量、UDPFlood流量、HTTPFlood流量;
(4)决策服务器接收从数据库传递的报文摘要熵值计算结果,使用步骤(3)训练好的分类器对熵值结果进行分类,识别出流量是否是威胁流量,通过动态界面展示威胁的详细信息;并根据时间与接收的报文对分类器进行更新,防止流量产生概念漂移;随后进行异常流量的基于IP地址的清洗;所述识别出的威胁流量类型包括:端口扫描、主机扫描、TCP_ack、syn泛洪、UDP泛洪、http泛洪五种威胁类型。
2.根据权利要求1所述的基于可编程节点的软硬件结合威胁态势感知方法,其特征在于,所述步骤(1)具体包括如下子步骤:
(1.1)使用0号CPU接收并转发数据报文;
(1.2)优化处理器任务调度,以每一秒为时间间隔划分任务时间,每三秒为一个处理器任务周期;在每个任务周期中,在第一秒内1号CPU接收报文;在第二秒内1号CPU对报文信息摘要提取信息,提取报文中的源地址、目的地址、源端口、目的端口、协议类型、报文长度、TCP控制字段标志URG、ACK、PSH、RST、SYN、FIN,2号CPU接收报文;在第三秒内1号CPU将摘要信息上传到数据库,2号CPU对报文进行摘要,3号CPU开始接收报文;
(1.3)可编程节点创建数据库线程,连接数据库并清空选定的表,从数据库中读取计算好的熵值信息存入表中,显示表中的信息。
3.根据权利要求2所述的基于可编程节点的软硬件结合威胁态势感知方法,其特征在于,所述步骤(1.2)中对报文信息摘要提取信息时,对于每个处理器,首先判断接收的报文IP地址标准类型:IPv4、IPv6,根据报文地址类型对报文进行摘要提取。
4.根据权利要求1所述的基于可编程节点的软硬件结合威胁态势感知方法,其特征在于,所述步骤(2)中,采用以下公式进行熵值计算:
其中T为求熵值的集合的长度,...
【专利技术属性】
技术研发人员:程光,赵玉宇,吴桦,袁帅,张慰慈,
申请(专利权)人:东南大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。