【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及网络环境中密文流量流转的溯源处理,具体是指一种基于多粒度密文流量流转关联特征表征模型的溯源方法、装置、处理器及其计算机可读存储介质。
技术介绍
1、目前,随着互联网的快速发展,网络安全问题日益突出,恶意攻击和数据泄露等事件频繁发生,为保护敏感数据的安全,加密数据已成为关键有效的技术手段,网络空间中的密文流量激增,但由于传统的网络监测等方法往往无法直接检测或识别加密流量的内容,导致重要数据违规流转难以被发现。
2、已有的密文流量识别技术主要用于识别是否为异常流量、流量加密与否、加密协议类型、加密应用、加密服务等,无法直接应用于重要数据违规流转溯源。
3、已有的溯源方法多结合网络取证和威胁情报,对网络攻击发起者、攻击源进行攻击者地理位置、主机信息、攻击工具和攻击状态等溯源,存在效率低、误报率高、无法处理大规模数据等问题,而且不适用于具有备案机制的重要数据流转溯源情形。
4、因此,需要一种能适用于具有备案机制的重要数据违规流转事件的密文流量溯源方法。
技术实现思路
1、本专利技术的目的是克服了上述现有技术的缺点,提供了一种基于多粒度密文流量流转关联特征表征模型的溯源方法、装置、处理器及其计算机可读存储介质。
2、为了实现上述目的,本专利技术的基于多粒度密文流量流转关联特征表征模型的溯源方法、装置、处理器及其计算机可读存储介质如下:
3、该基于多粒度密文流量流转关联特征表征模型的溯源方法,其主要特点
4、(1)对获取到的密文流量进行数据特征提取和表征处理;
5、(2)对通过提取和表征处理所得的密文流量特征建立有向流转关联特征表征模型,并进行以违规流转特征为主线的综合分析;
6、(3)结合备案信息,根据密文流量有向流转关联特征表征模型的综合分析结果,追踪重要数据违规流转路径,以实现对违规流转事件的完整溯源。
7、较佳地,所述的步骤(1)具体以下步骤:
8、(1.1)对密文流量进行特征提取,包括:对所述的密文流量的分组数据包特征、数据包五元组特征、数据包统计特征进行提取,并利用聚类算法和分类方法对相应的特征进行分类处理,最终得到经过数据预处理和整合后的特征;
9、(1.2)对密文流量进行特征表征处理,包括:对提取出的密文流量特征按照包级特征、会话级特征和连接级特征进行不同层面的表征处理。
10、较佳地,所述的分组数据包特征包括:数据包长度、数据包达到间隔时间顺序;
11、所述的数据包五元组特征包括:源ip地址、目标ip地址、端口号、协议类型;
12、所述的数据包统计特征包括:均包大小、最大包大小、最小包大小、标准差包大小、协议类型分布;
13、所述的包级特征具体为:通过图关系表征数据包层面的关系特征;
14、所述的会话级特征具体为:通过图关系表征会话层面的关系特征;
15、所述的连接级特征具体为:通过图关系表征ip层面的链接特征。
16、较佳地,所述的步骤(2)具体包括以下步骤:
17、(2.1)对通过提取和表征处理所得的密文流量特征进行包级有向流转关联模型的建立,具体为:根据数据包级流转关系建立有向的关联模型,其中流转方向分为正向和负向,流向目标为正向,流向源头为负向;
18、(2.2)对通过提取和表征处理所得的密文流量特征进行会话级时序有向关联模型的建立,具体为:根据会话级时序关系建立有向的关联模型,其中,时序方向分为正向和负向,时间戳之差大于0为正向,时间戳之差小于0为负向;
19、(2.3)对通过提取和表征处理所得的密文流量特征进行ip级有向流转关联模型建立,具体为:根据ip级流转关系建立有向的关联模型,其中,流转方向分为正向和负向,从ip流出为正向,流入ip为负向;
20、(2.4)对建立的包级有向流转关联模型、会话级时序有向关联模型和ip级有向流转关联模型进行以违规流转特征为主线的综合分析。
21、尤佳地,所述的步骤(2.1)具体包括以下步骤:
22、(2.1.1)定义数据包之间的关联关系:将每个数据包表示为一个节点,基于包括分组包特征分类标识及数据包的源地址和目的地址、传输协议、端口号的属性,将流向目标定义为正向,流向源头定义为为负向,使用有向边连接相关节点之间的关联关系;
23、(2.1.2)使用图论算法分析和推理数据包之间的关联关系:使用深度优先搜索算法或广度优先搜索算法遍历图中的节点和边,从而发现和识别对应的关联关系;
24、(2.1.3)使用图的属性和特征进行关联分析:包括计算节点的度数以及节点之间的最短路径和连通性。
25、尤佳地,所述的步骤(2.2)具体包括以下步骤:
26、(2.2.1)定义各个会话之间的关联关系:基于相似包组特征、相同的参与者的要素,将每个会话创建一个节点,并用唯一的标识符进行表示;
27、(2.2.1)根据定义好的关联关系,添加边连接不同的会话节点,其中,如果会话节点a和会话节点b具有相同的参与者,则计算会话级时间戳之差,如果时间戳之差大于0,则边的方向为正向,从而在节点a和节点b之间添加一条正向边;
28、(2.2.3)为每条边定义一个权重,以表示关联关系的强度或重要性,其中,所述的权重能够预先定义或者根据度量指标进行计算得出。
29、尤佳地,所述的步骤(2.3)具体包括以下步骤:
30、(2.3.1)将每个ip地址看作一个节点,且所述的ip地址作为节点的唯一标识符;
31、(2.3.2)根据网络流量数据,添加边连接不同的ip地址节点,即从ip地址a发送的数据包被ip地址b接收到,则在所述的节点a和节点b之间添加一条有向边,用于表示数据流从a流向b;
32、(2.3.3)为每条边定义一个权重,以表示关联关系的强度,其中,所述的权重基于流量的数量、频率或其他度量指标进行定义。
33、尤佳地,所述的步骤(2.4)具体包括以下步骤:
34、(2.4.1)使用图论算法和分析结果对分组数据包进行相关操作和决策;
35、(2.4.2)分析图模型并发现不同会话之间的关联关系,包括查找特定节点的邻居节点、计算节点的重要性、查找某个节点的最短路径、全部路径;
36、(2.4.3)通过分析图模型发现不同ip地址之间的关联关系,包括使用图论算法查找特定节点的邻居节点、计算节点的重要性,查找到达节点的全部路径。
37、尤佳地,所述的步骤(3)具体包括:进行流转源头锁定、中间路径日志标记以及完整溯源链条输出的处理;其中,
38、所述的流转源头锁定,具体为:根据流转关联特征表征模型追溯重要数据违规流转源头,比对备案信息,并将无备案信息的视为违规流转,对其进行源头ip锁定;
<本文档来自技高网...【技术保护点】
1.一种基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的方法包括以下步骤:
2.根据权利要求1所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(1)具体包括以下步骤:
3.根据权利要求2所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,
4.根据权利要求2所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(2)具体包括以下步骤:
5.根据权利要求4所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(2.1)具体包括以下步骤:
6.根据权利要求4所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(2.2)具体包括以下步骤:
7.根据权利要求4所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(2.3)具体包括以下步骤:
8.根据权利要求5至7中任一项所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的
9.根据权利要求8所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(3)具体包括:进行流转源头锁定、中间路径日志标记以及完整溯源链条输出的处理;其中,
10.一种实现基于多粒度密文流量流转关联特征表征模型的溯源装置,其特征在于,所述的装置包括:
11.一种实现基于多粒度密文流量流转关联特征表征模型的溯源处理器,其特征在于,所述的处理器被配置成执行计算机可执行指令,所述的计算机可执行指令被所述的处理器执行时,实现权利要求9所述的基于多粒度密文流量流转关联特征表征模型的溯源方法的步骤。
12.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述的计算机程序可被处理器执行以实现权利要求9所述的基于多粒度密文流量流转关联特征表征模型的溯源方法的步骤。
...【技术特征摘要】
1.一种基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的方法包括以下步骤:
2.根据权利要求1所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(1)具体包括以下步骤:
3.根据权利要求2所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,
4.根据权利要求2所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(2)具体包括以下步骤:
5.根据权利要求4所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(2.1)具体包括以下步骤:
6.根据权利要求4所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(2.2)具体包括以下步骤:
7.根据权利要求4所述的基于多粒度密文流量流转关联特征表征模型的溯源方法,其特征在于,所述的步骤(2.3)具体包括以下步骤:
...【专利技术属性】
技术研发人员:张琳琳,陈兵,邹翔,华娇,高尉,
申请(专利权)人:公安部第三研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。