【技术实现步骤摘要】
一种基于K-Means的正常Server IP白名单的挖掘方法
[0001]本专利技术涉及计算机网络流量分析
,旨在通过抓取网络流量并重组为双向流,然后以Server IP为研究对象提取对应流的相关特征,利用K-Means聚类算法对特征数据进行聚类,再分析预先构建的白名单在聚类结果中的分布,从而挖掘出正常Server IP白名单,得到该白名单后,便可以过滤掉许多正常网络行为产生的流量,减小入侵检测系统的检测压力。
技术介绍
[0002]随着计算机技术与物联网技术的不断发展与普及,联网设备数量迅速增长,且联网设备产生的流量也越来越多,这对入侵检测系统(IDS)带来了巨大的挑战。入侵检测系统通过对网络流量进行实时监控,发现存在于其中的异常行为,但实际经过入侵检测系统的大部分流量其实是正常网络行为产生的流量,这种流量占比高且数量大,十分影响入侵检测系统的检测效率。
[0003]为了解决输入入侵检测系统的待检测流量正常流量占比较大的问题,需要对原始流量进行过滤,从而减小待检测流量的数量。目前主流的过滤方法为基于策略的过...
【技术保护点】
【技术特征摘要】
1.一种基于K-Means的正常Server IP白名单的挖掘方法,其特征在于,所述方法包括如下步骤:A. 采集大量的网络流量并进行解析,提取出常用互联网公司的Server IP及对应域名并保存得到初始白名单,然后还原两个IP间的双向流并保存为pcap文件;B. 根据步骤A得到的双向流pcap文件,进行解析然后统计分析流的基本信息;C. 根据步骤B得到的流信息,以Server IP为研究对象提取流特征;D. 利用K-Means聚类算法进行聚类,然后分析聚类结果得到正常Server IP白名单。2.根据权利要求1所述的一种基于K-Means的正常Server IP白名单的挖掘方法,其特征在于,所述的步骤A进一步包括如下步骤:A1. 通过Wireshark和Streamdump流量采集工具采集所需网络流量并保存为pcap文件;A2. 利用Streamdump解析出两个IP间的双向流,保存四元组参数命名IP[Port]-IP[Port].pcap文件;A3. 从采集的网络流量中提取出常用域名的Server IP构建初始白名单。3.根据权利要求1所述的一种基于K-Means的正常Server IP白名单的挖掘方法,其特征在于,所述的步骤B进一步包括如下步骤:B1. 利用Streamdump解析步骤A中得到的四元组参数命名pcap文件;B2. 根据解析结果,统计实验所需相关流信息;B3. 提取的流信息具体包括:流开始时间戳、源地址、目的地址、源端口、目的端口、上行包个数、下行包个数、上行包总载荷大小(网络层)、下行包总载荷大小(网络层)、传输层上行包载荷不为0个数、传输层下行包载荷不为0个数、目的地址对应的域名、上...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。