本发明专利技术提出基于IPv6发展态势监测的分析方法,包括:实时监测IPv6网络传输流数据,基于实时异常监测算法将采集到的流数据进行分析,得出流数据监测结果;基于流数据监测结果提取IPv6态势要素;将IPv6态势要素进行融合分析,获得态势评估指标,根据态势评估指标反映出IPv6发展态势;实时异常监测算法进行异常监测,包括IPv6数据采集、基于非广延熵进行特征提取和根据双随机森林进行异常监测,采用概要数据结构快速记录部分属性的统计信息,用非广延熵将每一个统计量分解发现少量异常原本不明显的特征,结合随机森林强大的分类检测能力和快速并行决策方式对面向网络的数据流进行实时的异常检测。的数据流进行实时的异常检测。的数据流进行实时的异常检测。
【技术实现步骤摘要】
基于IPv6发展态势监测的分析方法
[0001]本专利技术涉及计算机监测
,尤其涉及基于IPv6发展态势监测的分析方法。
技术介绍
[0002]态势感知是一种基于环境的、动态、整体地洞悉风险的能力,是以大数据为基础,从全局视角提升对威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是能力的落地,态势感知的概念最早被提出,覆盖感知、理解和预测三个层次;为确保网络以及对潜在网络威胁的感知能力,很多企业都会选用网络态势感知系统来提高网络稳定运行的能力;企业会选择使用态势感知系统进行分析和防御,通过该防御实现网络环境中异常项的事前防御,减少态势感知系统防御的使用次数,以保障资源成本的使用效益最大的同时,通过该防御避免发生更为严重的告警事件;现有技术CN110445807A公开了网络态势感知系统及方法,该系统包括,数据采集单元,用于采集网络中的日志、系统日志、漏洞数据和流量数据等网络要素;网络态势分析单元,对网络要素数据进行分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析;网络态势评估单元,根据网络态势分析单元的分析结果,评估当前网络的状态;网络态势预测单元,根据当前网络的状态和历史信息,预测网络状态的发展趋势;网络态势联动单元,根据当前网络状态及其发展趋势,对事件进行处置;网络态势溯源单元,定位攻击源、发现攻击路径、取证攻击行为;从采集网络中的安全日志、系统日志、漏洞数据和流量数据等网络安全要素;对网络安全要素数据进行分类、归并、关联分析等手段进行处理融合,对融合的信息进行综合分析;根据的分析结果,评估当前网络的安全状态;根据当前网络的安全状态和历史信息,预测网络安全状态的发展趋势;根据当前网络安全状态及其发展趋势,对安全事件进行处置;定位攻击源、发现攻击路径、取证攻击行为;存在以下问题:可靠性差,仅进行动态预警没有学习能力,根据当前网络的状态和历史信息,预测网络状态的发展趋势,一旦出现预警信息不属于历史信息出现的,则进行攻击造成瘫痪;具有滞后性,因网络入侵行为逐渐趋于复杂化和间接化,尤其是当网络过于复杂,数据量迅猛发展的当前,评估效率显得尤为低下。
技术实现思路
[0003]为了解决上述问题,本专利技术提出基于IPv6发展态势监测的分析方法,以更加确切地解决上述所述的问题。
[0004]本专利技术提出基于IPv6发展态势监测的分析方法,包括:S1:实时监测IPv6网络传输流数据,基于实时异常监测算法将采集到的流数据进行分析,得出流数据监测结果;S2:基于流数据监测结果提取IPv6态势要素;S3:将所述IPv6态势要素进行融合分析,获得态势评估指标,根据态势评估指标反
映出IPv6发展态势。
[0005]进一步的,所述基于IPv6发展态势监测的分析方法,所述实时监测IPv6网络传输流数据,基于实时异常监测算法将采集到的流数据进行分析的步骤,其中所述实时异常监测算法对流数据进行采集的方式包括:基于IPv6传输链路中的流数据的数据包按固定时间窗口进行切分,对每一个数据包,从中提取出五个属性字段,表示起始IP、目的IP,起始端口、目的端口以及字节数,并进行记录,对新到来的数据包对记录实时更新。
[0006]进一步的,所述基于IPv6发展态势监测的分析方法,所述实时监测IPv6网络传输流数据,基于实时异常监测算法将采集到的流数据进行分析的步骤,其中所述实时异常监测算法对采集后的流数据进行基于非广延熵的特征提取方式包括:基于非广延熵对在窗口内的数据项进行特征提取,设置窗口,属性字段分有种数据项,其中基于的第种取值出现的次数,表示属性字段在窗口内出现的总次数,经排序后得到关于的有序概率集合,从有序概率集合找出对熵值贡献最大的个,满足的最小索引值,由得到,非广延熵可由下式确定:,,表示数据项在窗口出现的概率,表示非广延熵,表示非广延参数,通过不同的参数,提取出流量属性观测值分布在不同概率区间的特征,无论流数据中攻击或异常所占比例多少,都会得到相应的特征;基于非广延熵对在窗口内进行特征提取,再结合计算过程中得到的五个属性在窗口内不同取值的个数和平均包数统计特征,构成窗口流数据的特征向量。
[0007]进一步的,所述基于IPv6发展态势监测的分析方法,所述基于非广延熵对在窗口内的分布数据项进行特征提取的步骤后,包括:根据特征向量集建立双随机森林模型进行异常监测;输入的特征向量,第一随机森林模型的投票公式可通过下式确定根据进行投票决策:,其中是第一随机森林示性函数,表示随机森林中树的总数;表示输入特征向量;表示第一随机森林分类器,表示次随机向量,表示森林特征数量;当时,信任该投票结果,记为,并将其作为最终的监测结果,当时,
将送入第二随机森林模型;第二随机森林模型的建立方法是从训练集中选择出时的特征向量组成新的训练集;第二随机森林模型的投票公式可通过下式确定:,表示是随机森林中树的总数,表示次随机向量,表示森林特征数量,表示训练集的特征向量总数,是第二随机森林示性函数,表示第二随机森林分类器,设定阈值为,当时,,将确定为异常事件类型数据,记为。
[0008]进一步的,所述基于IPv6发展态势监测的分析方法,所述基于流数据监测结果提取IPv6态势要素的步骤,包括:IPv6态势要素包括和;网络流监测结果用表示,,其中表示正常流数据,指异常事件类型数据;表示监测到的事件对全局网络威胁概率,可用以下公式确定:,其中,表示证据计数器计算数目,表示整个网络中分支网络的数目总和;表示监测到的事件对分支网络带来的威胁概率;,,其中,表示中非正常结果的数据表,表示监测到的事件对某个分支网络带来的威胁概率,表示非正常流数据,表示的长度,即该时间窗口受威胁流量的个数,表示事件在该分支发生的概率,表示事件在分支网络被监测的次数,在每个时间窗口得到该分支网络监测结果后进行相应的累加更新,表示服务应答流异常监测中对该事件的确认次数。
[0009]进一步的,所述基于IPv6发展态势监测的分析方法,所述将所述IPv6态势要素进行融合分析,获得态势评估指标,根据态势评估指标反映出IPv6发展态势,包括:态势评估指标包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标;基于和进行融合分析,获得态势评估指标;理论威胁指标表示网络中所有事件发生的可能性;计算公式如下:
,其中,参数,表示证据计数器计算数目,表示整个网络中分支网络的数目总和;表示监测到的事件对某个分支网络带来的威胁概率,表示中非正常结果的数据表,表示监测到的事件对全局网络威胁概率;表示网络流监测出事件类型对应的权重。
[0010]进一步的,所述基于IPv6发展态势监测的分析方法,所述实际威胁指标,即由服务应答流的监测结果所确定的当中的事件对网络造成的威胁,表示服务应答流异常监测后确定的事件列表,则实际威胁指标的计算公式如下:,其中,表示实际威胁指标;表示整个网络中分支网络的数目总和,若在一个时间窗口有事件产生了实际的威胁,则认为在未来持续的数个时间段该威胁都会存在,即使是在随后的时间窗口没有监测到任何事件,也不能本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于IPv6发展态势监测的分析方法,其特征在于,包括:S1:实时监测IPv6网络传输流数据,基于实时异常监测算法将采集到的流数据进行分析,得出流数据监测结果;S2:基于流数据监测结果提取IPv6态势要素;S3:将所述IPv6态势要素进行融合分析,获得态势评估指标,根据态势评估指标反映出IPv6发展态势;所述实时异常监测算法对流数据进行采集的方式包括:基于IPv6传输链路中的流数据的数据包按固定时间窗口进行切分,对每一个数据包,从中提取出五个属性字段,表示起始IP、目的IP,起始端口、目的端口以及字节数,并进行记录,对新到来的数据包对记录实时更新;所述实时异常监测算法对采集后的流数据进行基于非广延熵的特征提取方式包括:基于非广延熵对在窗口内的数据项进行特征提取,设置窗口,属性字段分有种数据项,其中基于的第种取值出现的次数,表示属性字段在窗口内出现的总次数,经排序后得到关于的有序概率集合,从有序概率集合找出对熵值贡献最大的个,满足的最小索引值,由得到,非广延熵可由下式确定:,,表示数据项在窗口出现的概率,表示非广延熵,表示非广延参数,通过不同的参数,提取出流量属性观测值分布在不同概率区间的特征,无论流数据中攻击或异常所占比例多少,都会得到相应的特征;基于非广延熵对在窗口内进行特征提取,再结合计算过程中得到的五个属性在窗口内不同取值的个数和平均包数统计特征,构成窗口流数据的特征向量。2.根据权利要求1所述基于IPv6发展态势监测的分析方法,其特征在于,所述基于非广延熵对在窗口内的分布数据项进行特征提取的步骤后,包括:根据特征向量集建立双随机森林模型进行异常监测;输入的特征向量,第一随机森林模型的投票公式可通过下式确定根据进行投票决策:,其中是第一随机森林示性函数,表示随机森林中树的总数;表示输入特征向量;表示第一随机森林分类器,表示次随机向量,表示森林特
征数量;当时,信任该投票结果,记为,并将其作为最终的监测结果,当时,将送入第二随机森林模型;第二随机森林模型的建立方法是从训练集中选择出时的特征向量组成新的训练集;第二随机森林模型的投票公式可通过下式确定:,表示是随机森林中树的总数,表示次随机向量,表示森林特征数量,表示训练集的特征向量总数,是第二随机森林示性函数,表示第二随机森林分类器,设定阈值为,当时,将确定为异常事件类型数据,记为。3.根据权利要求1所述基于IPv6发展态势监测的分析方法,其特征在于,所述基于流数据监测结果提取IPv6态势要素的步骤,包括:IPv6态势要素包括和;网络流监测结果用表示,,其中表示正常流数据,指异常事件类型数据;表示监测到的事件对全局网络威胁概率,可用以下公式确定:,其中,表示证据计数器计算数目,表示...
【专利技术属性】
技术研发人员:冯波,谢传中,王超,罗志鹏,夏金栋,
申请(专利权)人:国家计算机网络与信息安全管理中心江西分中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。