可视化分析方法、系统、电子设备、存储介质及其应用技术方案

一种可视化分析方法、系统、电子设备及存储介质及其应用，属网络安全技术领域，包括获取网络节点流数据的网络特征，聚合相同源/目的主机的流数据的网络特征，筛选控制节点，得到控制行为相关节点的控制关系；构建网络拓扑，将控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件；可视化显示节点关系文件以及控制行为相关节点的控制关系及其相关属性；由控制关系及相关属性得到节点间的多级控制关系和网络中的异常节点。基于流数据判定僵尸网络中哪些节点是多级控制网络中的非顶层节点，从而发现网络设备之间的多级控制关系，定位可能处于跳板位置的C&C服务器节点，为后续溯源分析，发现隐藏的主机节点提供帮助。的主机节点提供帮助。的主机节点提供帮助。

【技术实现步骤摘要】
可视化分析方法、系统、电子设备、存储介质及其应用


[0001]本专利技术属于网络安全
，特别是涉及一种僵尸网络多级控制关系的可视化分析方法，一种僵尸网络多级控制关系的可视化分析系统，一种僵尸网络多级控制关系的可视化分析的电子设备，一种计算机可读存储介质，还涉及一种僵尸网络多级控制关系的可视化分析方法的应用。

技术介绍

[0002]在互联网高速发展的背景下，僵尸网络已出现多年，目前已有多种的检测手段，主要分三大类：bot分析类、I DS类和框架设计类。bot分析类的主要检测手段是利用蜜罐捕获僵尸网络，从静态代码层面或模拟环境运行层面分析僵尸网络的特征和行为模式。I DS类则是根据数据获取方法检测僵尸网络，通过主动发送请求获得设备响应，从而查找在特定主机上运行的可疑程序和脚本称为主动类；通过设备获取或嗅探获得数据，通过基于规则或异常的方法检测僵尸网络行为的被动类。框架设计类主要针对采用加密等方式，而难以有效检测的僵尸网络，这类方法利用各类数据挖掘方法，包括机器学习、统计学和数据库系统等检测僵尸网络行为，源数据大部分是现有数据集，也有部分研究者通过设置多台设备搭建内部网络，在该网络中的设备上运行开源僵尸网络代码并捕获各个设备的流量，从而得到较完整的僵尸网络流量数据。
[0003]随着互联网网络的快速发展，僵尸网络也在不断发展和变化。Mirai是一种广泛传播的代表性僵尸网络家族，自披露以来，多次用于世界上的危险和大规模的DDoS攻击，包括OVH攻击和Dyn攻击。目前Mirai的大量变体仍然是最活跃的家族之一，其他如Gafgyt、Mozi等家族也在不断向着更复杂、更隐蔽的方向进化。Abbas等人对Mirai家族和Qbot家族的17个僵尸网络变种进行了静态代码分析，挖掘出攻击者的视角、一般行为、使用的技术和实现的技术等。Shao等人使用两种不同的配置来探索自适应学习策略在僵尸网络检测中的有效性，使用真实抓取的网络数据验证所提出的自适应在线学习策略的性能。Panda等人使用3种机器学习方法验证了所设计的特征子集选择方法以及僵尸网络检测系统的有效性。
[0004]然而现有的僵尸网络检测的相关技术主要是针对网络中的单点异常分析发现单个僵尸节点，而僵尸网络的主机通常尽可能使用少量流量与C&C服务器通信，且不与僵尸网络中的机器人直接连接，因此在网络中常常处于隐匿状态。这就导致如果仅通过对网络上的单个节点流量进行检测以发现异常；同时在僵尸网络检测时而往往忽略了不同僵尸节点之间的关系，难以建立整个僵尸网络的可视化拓扑架构，将网络节点间的控制关系以关系图的形式直观展示。如果仅通过对网络上的单个节点流量进行检测以发现异常，从而检测僵尸网络行为是不全面的，发现网络中藏匿的僵尸网络跳板节点效率和准确性低，而关闭流量异常节点的处置方法又难以对整个僵尸网络造成打击。对于防守者而言，难以发现可疑的攻击者使用的僵尸网络及节点，不利于后续利用报文数据分析以及实际取证溯源分析，难于为发现隐藏的主机节点提供帮助。
[0005]综上僵尸网络分析方法，现有的僵尸网络分析方法主要缺陷在于：目前僵尸网络
检测的相关技术主要是针对网络中的单点异常分析发现单个僵尸节点，而往往忽略了不同僵尸节点之间的关系，难以建立整个僵尸网络的架构。因此，如何发现可疑的攻击者使用的僵尸跳板网络节点，建立有效防御手段是必要的。

技术实现思路

[0006]本专利技术的目的在于，提供一种可视化分析方法、系统、电子设备、存储介质及其应用，以解决难以建立整个僵尸网络的可视化拓扑架构，对网络节点间单个僵尸节点和不同僵尸节点之间的控制关系以关系图的形式直观展示，不能从整个可视化拓扑架构上检测僵尸网络行为，发现网络中藏匿的僵尸网络跳板节点效率和准确性低，不利于后续利用报文数据分析以及实际取证溯源分析，难以为发现隐藏的主机节点提供帮助的技术问题。
[0007]本专利技术的目的及解决其技术问题是采用以下技术方案来实现的。
[0008]本专利技术一方面提出了一种可视化分析方法，包括：获取网络节点流数据的网络特征，聚合具有相同源/目的主机的流数据的网络特征，筛选控制节点，基于所述控制节点得到存在于网络中控制行为相关节点的控制关系；构建网络拓扑，将所述控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件；可视化显示节点关系文件以及所述控制行为相关节点的控制关系和所述控制关系的相关属性；由所述控制关系及所述相关属性得到节点间的多级控制关系和网络中的异常节点。
[0009]优选地，获取网络节点流数据的网络特征，包括：从每条流数据中选取源IP、目的IP、源端口、目的端口、从源IP到目的IP的包数和字节数，及该条流数据传输时段特征。
[0010]优选地，传输时段特征是以小时为区间，将1天划分为12个时段，每个时段2小时为特征的。
[0011]优选地，所述聚合具有相同源/目的主机的流数据包括：合并具有相同源和目的IP和相同源和目的端口特征的数据，得到正向流数据集T。
[0012]优选地，筛选控制节点，包括：将正向流数据集T中的源IP与目的IP，目的端口与源端口互换得到的反向流数据集T
′
，将所述反向流数据集T
′
与正向流数据集T合并构成双向流数据集TC；以IP和端口构成的二元组为分析单位，将双向流数据集TC中每个二元组连接的目的IP的数量作为该二元组的度；筛选度大于k1的二元组，再以IP为单位去重，得到控制节点的IP集合C，其中k1为不小于2的整数。
[0013]优选地，得到存在于网络中控制行为相关节点的控制关系，包括：以源IP和源端口构成的二元组为分析单位，统计正向流数据集T中每个二元组不同源IP的数量；筛选不同源IP的数量值大于k2的二元组，再以源IP为单位去重，得到正向流数据集T中控制端的IP列表C1；以目的IP和目的端口构成的二元组为分析单位，统计反向流数据集T
′
中每个二元组不同目的IP的数量；筛选不同目的IP的数量值大于k2的二元组，再以目标IP为单位去重，得到反向流数据集T
′
中受控制端的IP列表C2；遍历双向流数据集TC中的所述流数据，若满足源IP属于所述控制端的IP列表C1且目的IP属于所述受控端的IP列表C2，则将符合条件的流数据合并为控制行为集合V，其中k2为不小于2的整数。
[0014]优选地，构建网络拓扑，将所述控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件，包括：将获取的所述控制行为相关节点的控制关系导入图数据库构建的网络拓扑；筛选用户限制条件下的控制行为相关节点的控制关系；
生成用户限制条件下的拓扑图及节点关系文件；导出基于所述拓扑图的所述节点关系文件。
[0015]优选地，可视化显示节点关系文件以及所述控制行为相关节点的控制关系和所述控制关系的相关属性；由所述控制关系及所述相关属性得到节点间的多级控制关系和网络中的异常节点，包括：将所述节点关系文件作为可视化输入，可视化本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种可视化分析方法，其特征在于，包括：获取网络节点流数据的网络特征，聚合具有相同源/目的主机的流数据的网络特征，筛选控制节点，基于控制节点得到存在于网络中控制行为相关节点的控制关系；构建网络拓扑，将控制行为相关节点的控制关系导入图数据库构建的网络拓扑，生成拓扑图及节点关系文件；可视化显示节点关系文件以及控制行为相关节点的控制关系和控制关系的相关属性；由控制关系及相关属性得到节点间的多级控制关系和网络中的异常节点。2.根据权利要求1的方法，其特征在于，获取网络节点流数据的网络特征，包括：从每条流数据中选取源IP、目的IP、源端口、目的端口、从源IP到目的IP的包数和字节数，及该条流数据传输时段特征。3.根据权利要求2的方法，其特征在于，传输时段特征是以小时为区间，将1天划分为12个时段，每个时段2小时为特征的。4.根据权利要求1的方法，其特征在于，聚合具有相同源/目的主机的流数据包括：合并具有相同源和目的IP和相同源和目的端口特征的数据，得到正向流数据集T。5.根据权利要求1的方法，其特征在于，筛选控制节点，包括：将正向流数据集T中的源IP与目的IP，目的端口与源端口互换得到的反向流数据集T
′
，将反向流数据集T
′
与正向流数据集T合并构成双向流数据集TC；以IP和端口构成的二元组为分析单位，将双向流数据集TC中每个二元组连接的目的IP的数量作为该二元组的度；筛选度大于k1的二元组，再以IP为单位去重，得到控制节点的IP集合C，其中k1为不小于2的整数。6.根据权利要求5的方法，其特征在于，得到存在于网络中控制行为相关节点的控制关系，包括：以源IP和源端口构成的二元组为分析单位，统计正向流数据集T中每个二元组不同源IP的数量；筛选不同源IP的数量值大于k2的二元组，再以源IP为单位去重，得到正向流数据集T中控制端的IP列表C1；以目的IP和目的端口构成的二元组为分析单位，统计反向流数据集T
′
中每个二元组不同目的IP的数量；筛选不同目的IP的数量值大于k2的二元组，再以目标IP为单位去重，得到反向流数据集T
′
...

【专利技术属性】
技术研发人员：严寒冰，付博扬，秦佳伟，贾世琳，郎波，
申请(专利权)人：付博扬，
类型：发明
国别省市：