示出网络中主机端口之间的交互行为,以分析网络中主机应用端口之间行为特征,检测出有关端口之间的交互异常,如端口扫描等。
[0058]根据点和边的特征属性量确定为流连接数量,在通信网络中可以根据网络流连接图的基本成图规则生成基于网络流连接数的网络流连接图,具体为:首先根据Wn的设定,可以提取入流量或出流量数大于Wn的主机,从而能够抓取网络中高流量的核心节点,通过分析它们之间的流量连接特征,确定主要节点之间的流行为特征;再根据设定,提取与主要节点活动频繁的叶子节点,分析他们之间流量连接行为,以确定主要节点在网络中的流行为特征。
[0059]如图5所示,为本发明基于流连接数量的网络流连接图。其中,数据来自于美国CAIDA组织的0C-48链路五分钟的流统计数据。根据本发明的基于网络流连接图的网络流连接行为特征分析方法提取节点流连接数量大于1000的节点,并每隔100的连接量分一级,边流连接数量大于100,即Wn= 1000,Vg= 100,We= 100,e G= O。根据等级标出节点颜色,颜色越深表示流连接数量越大,黑色节点表示不满足节点筛选条件的叶子节点。由图我们可以得出:
[0060](I)左下角的社团为异常社团,经过IP查询后,其中心节点为保留IP,故推断出CAIDA利用telescope进行实验;
[0061](2)该图抓取出几个网络中的大流量节点,均为保留地址,而CAIDA作为美国网络安全的科研机构,运用保留地址进行实验并不少见;
[0062](3)该图中蕴含大量的网络信息,利用这些网络信息我们可以进行异常检测,网络流行为特征的提取与分析,网络主要社团的活动分析,具有较高的研宄价值。
[0063]本发明基于流连接数量的网络流连接图可表示出网络中主机流量之间的交互,以分析网络中主机之间流连接数量所表现出的流行为特征,检测出有关流量突然增大或减小等异常,如ALPHA流异常等。
[0064]对于网络流连接行为特征库的建立以及异常检测的精确化,一种网络流连接图是无法完全并精确地体现的,因此本发明提出将两个网络流连接图结合从而对网络流连接行为特征进行分析。
[0065]对网络流行为特征库的建立以及分析,需要对于网络流从不同的属性方面去刻画,例如网络流的连接图参数特征、网络流的连接图结构特征、网络流的端口种类特征、网络流的通信量特征等,因此,为了全面的建立网络流行为特征库,需要把多种网络流连接图进行合成;即对相同的原始流数据进行不同成图方式的处理,生成多种网络流连接图,交叉比对其中相同节点,提取相同节点后,根据不同种网络流连接图反映出的网络流特征,对这些节点的流行为建立特征库,进行分析。
[0066]网络异常流行为会在某一主要流特征上反映出不寻常的表现,但是对于网络流的其他属性的研宄,可以更加精确地确定异常的形式,如端口扫描,其主要表现为某两个节点之间流的端口种类异常增多,但是,由于其扫描的特征,基本是一条流访问一个端口,那么可以依据节点之间的端口种类数或者网络流数是否近似为整数来判断该异常是否为端口扫描。
[0067]本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
【主权项】
1.一种基于网络流连接图的网络流连接行为特征分析方法,其特征在于,包括以下步骤: A、设定网络流连接图节点确定规则,确定网络流连接行为中的节点对象; B、设定网络流连接图边生成规则,确定网络流连接行为中边的交互模式; C、设定网络流连接图节点过滤规则和分级规则,根据节点过滤规则提取主要节点,并根据节点分级规则对主要节点进行分级; D、设定网络流连接图边过滤规则和分级规则,根据边过滤规则提取主要边,并根据边分级规则对主要边进行分级; E、根据节点和边的过滤规则生成多种网络流连接图,结合多种网络流连接图对网络流连接行为特征进行分析。2.如权利要求1所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述步骤A中网络流连接图节点确定规则具体为:以网络通信中的通信单位作为节点。3.如权利要求2所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述步骤B中网络流连接图边生成规则具体为:将有流量连接的对应主要节点连成一条边。4.如权利要求2所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述网络流连接图节点过滤规则具体为:设定节点阈值,提取节点特征属性量大于节点阈值的节点作为主要节点。5.如权利要求4所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述步骤C中网络流连接图节点分级规则具体为:根据节点特征属性量对主要节点进行等级划分,对于不同级别的节点进行着色区分。6.如权利要求3所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述步骤D中网络流连接图边过滤规则具体为:设定边阈值,提取边特征属性量大于边阈值的边,并保留该边另一端小于节点阈值的叶子节点。7.如权利要求6所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述步骤D中网络流连接图边分级规则具体为:根据边特征属性量对边进行等级划分,对于不同级别的节点进行着色区分。8.如权利要求1所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述步骤E中生成多种网络流连接图包括生成基于端口种类数的网络流连接图和基于网络流连接数的网络流连接图。9.如权利要求8所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述生成基于端口种类数的网络流连接图具体包括:首先根据节点阈值的设定,提取开放大于节点阈值的端口种类数的主机,从而抓取网络中扮演主要服务器或活跃客户机角色的节点,通过分析他们之间的端口交互,确定主要节点之间的网络流行为特征;再根据边阈值的设定,提取与主要节点活动频繁的叶子节点,分析它们之间的端口交互行为,以确定主要节点在网络中的网络流行为特征。10.如权利要求8所述的基于网络流连接图的网络流连接行为特征分析方法,其特征在于,所述生成基于网络流连接数的网络流连接图具体包括:首先根据节点阈值的设定,提取入流量或出流量数大于节点阈值的主机,从而抓取网络中高流量的核心节点,通过分析它们之间的流量连接特征,确定主要节点之间的网络流行为特征;再根据边阈值的设定,提取与主要节点活动频繁的叶子节点,分析他们之间流量连接行为,以确定主要节点在网络中的网络流行为特征。
【专利摘要】本发明公开了一种基于网络流连接图的网络流连接行为特征分析方法;其包括设定节点确定规则、确定节点对象,设定边生成规则、确定边的交互模式,设定节点过滤规则和分级规则、提取主要节点并进行分级,设定边过滤规则和分级规则、提取主要边并进行分级,生成基于端口种类数的网络流连接图和基于网络流连接数的网络流连接图、结合两图对网络流连接行为特征进行分析。本发明的基于网络流连接图的网络流连接行为特征分析方法,用多种成图方式全面准确地刻画大规模通信网络流行为,从而适应当今复杂的网络规模,以实现全面、准确地提取分析网络流行为特征。
【IPC分类】H04L29/06
【公开号】CN104935570
【申请号】CN201510192318
【发明人】胡光岷, 翟学萌, 胡航宇
【申请人】电子科技大学
【公开日】2015年9月23日
【申请日】2015年4月22日