基于异常流量检测的网络安全态势感知方法及设备的制作技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本技术公开了一种基于异常流量检测的网络安全态势感知方法及装置,方法包括:对网络异常流量进行分类,得到异常流量分类结果;基于异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果;基于网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果。本技术解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
权利要求书
1.一种基于异常流量检测的网络安全态势感知方法,其特征在于,包括:
使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;
基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,具体评估步骤如下:
基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及
基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,具体预测步骤如下:
基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及
基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
2.根据权利要求1所述的方法,其特征在于,所述对网络异常流量进行分类,得到异常流量分类结果,包括:
选择流量数据包的属性特征;
采集流量数据包的属性特征;
依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
使用k均值聚类算法将异常流量划分成簇;
针对每一个簇,使用C4.5决策树算法进行分类;
将所有簇中相同的类合并为一类,得到异常流量分类结果。
3.一种基于异常流量检测的网络安全态势感知装置,其特征在于,包括:
网络异常流量分类模块,用于使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;
评估模块,用于基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,所述评估模块包括:网络安全态势评估单元,用于基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及漏洞利用概率分析单元,用于基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
预测模块,用于基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,所述预测模块包括:网络安全态势预测单元,用于基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及漏洞利用概率预测单元,用于基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
4.根据权利要求3所述的装置,其特征在于,所述网络异常流量分类模块包括:
选择单元,用于选择流量数据包的属性特征;
采集单元,用于采集流量数据包的属性特征;
判定单元,用于依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
聚类单元,用于使用k均值聚类算法将异常流量划分成簇;
分类单元,用于针对每一个簇,使用C4.5决策树算法进行分类;
合并单元,用于将所有簇中相同的类合并为一类,得到异常流量分类结果。
技术说明书
一种基于异常流量检测的网络安全态势感知方法及装置
技术领域
本技术涉及网络安全技术领域,尤其涉及一种基于异常流量检测的网络安全态势感知方法及
装置。
背景技术
随着互联网的快速发展,电子政务、电子商务、电子金融等网络服务越来越流行,用户的生活、工作和学习逐渐由现实世界转移到互联网中来,人们对互联网的依赖正在日益增加。然而,互联网的开放性特点使得任何符合其技术标准的设备或软件都可以不受限制地接入互联网,导致互联网各类安全事件层出不穷,网络安全形势变得日益严峻。
网络异常流量对企业的网络服务影响十分严重,网络设备故障、内网用户有意无意的非法操作以及病毒爆发都能导致网络瘫痪、业务中断;黑客攻击等会导致核心数据泄露或被毁坏,对企业经济造成巨额损失;业务停顿、数据外泄必然会导致公司声誉受损,伤害影响深远。当面临各种网络安全威胁时,发现和判断异常流量的效率将是有决定性意义的。目前机器学习技术已应用于异常流量检测,建立了相应的理论体系,取得了一些研究成果,但在通用性、检测范围、对实际工作的指导方面仍存在很大不足。
因此,如何更加有效全面的通过异常流量检测对网络安全态势进行感知,是一项亟待解
决的问题。
技术内容
有鉴于此,本技术提供了一种基于异常流量检测的网络安全态势感知方法,解决了网络服务运营者网络系统流量无法可知可控的问题,能够通过异常流量分类,找到威胁的来源以及类型,能够确定威胁的危害程度,并通过定量方法预测网络安全态势,从而指导网络服务运营者尽快采取相应的防护措施。
本技术提供了一种基于异常流量检测的网络安全态势感知方法,包括:
使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类,得到异常流量分类结果;基于所述异常流量分类结果对网络安全态势进行评估,得到网络安全态势评估结果,其中,
具体评估步骤如下:
基于统计分析方法计算各类异常流量危害程度,评估网络安全态势,以及
基于统计分析方法计算各个漏洞被利用的可能性,分析漏洞利用概率;
基于所述网络安全态势评估结果对网络安全态势进行预测,得到网络安全态势预测结果,其中,具体预测步骤如下:
基于预测方法和历史网络安全态势数据,预测未来的网络安全态势,以及
基于预测方法和历史漏洞利用概率数据,预测未来的漏洞利用概率。
优选地,所述对网络异常流量进行分类,得到异常流量分类结果,包括:
选择流量数据包的属性特征;
采集流量数据包的属性特征;
依据源IP地址统计流量数据包的个数,当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量;
使用k均值聚类算法将异常流量划分成簇;
针对每一个簇,使用C4.5决策树算法进行分类;
将所有簇中相同的类合并为一类,得到异常流量分类结果。
一种基于异常流量检测的网络安全态势感知装置,包括:
网络异常流量分类模块,用于使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分