就像是一场梦，醒来还是很感动，蛋黄的长裙，蓬松的头发，还是很想被你保护，我心里的惨痛。最近又是看论文、又是看专利，还要凑点时间来追剧，难搞哦。

• 和博士聊了一下得知可以在sci-hub上免费看论文
• 捣鼓了一下，发现确实好用，chrome浏览器安装sci-hub插件即可
• 美滋滋～

1、专利分析

一种基于多粒度异常检测的网络威胁评估方法。

2、技术领域

本发明涉及网络安全技术，特别是基于网络流量的网络安全威胁评估。

3、背景技术

随着互联网技术的飞速发展，网络逐渐成为人们生产和生活中必不可缺的一部分，极大的方便了人们的生产生活。与此同时，日趋复杂的网络环境也产生了纷繁多样的网络攻击，给社会带来巨大的经济损失，并对国家安全形成巨大挑战。

• 都是客套话，可惜这个我学不会啊。

当前虽有防火墙、入侵检测设备、入侵防御系统等诸多安全产品，但其面对告诉网络环境下复杂、多样化攻击的检测需求，一方面，基于统计或简单的包模式匹配的检测手段，无法满足应对多样化攻击的精准检测要求；另一方面，准确性较高的检测模型，如基于流特征匹配或包内容深度检测等方法，无法满足高速网络环境下的实时检测需求或因耗费过多资源而导致不能实际应用的问题。

• 这块已经开始铺垫了，当前要么检测太简单，要么检测太复杂。

近年来，随着网络态势感知技术的发展，在当前网络安全产品之上，越来越多的研究或机构，构建了网络安全态势感知框架，以促使网络管理员增进对当前网络安全状况的及时了解，帮助网络用户了解其所在网络的安全等级，使得管理人员和网络用户及时指定响应的防范策略、做好对应的防范工作，预防和避免因为网络攻击所造成的损失。

• 开始说态势感知了，又是一段客套话。

然而，目前的网络安全态势评估，大多基于安全设备或系统产生的安全告警日志数据评估态势，存在一下主要问题：评估结果依赖于安全设备自身的检测性能，且基于日志评估态势具有一定的时延，不能满足实时态势评估需求；此外，日志数据的多源异构性，不适用于高速大流量网络环境下的威胁态势评估。

• 先说态势评估依赖安全设备，你个糟老头子，巧妇难道没有米也能做饭吗？
• 然后又批评说日志多源异构、具有时延，这是凑字数的吗？

也有部分基于网络流量的威胁态势评估，然而，直接基于数据包的态势评估，其攻击检测结果准确性不高；而基于网络流特征的态势评估，又无法满足高速网络环境下的实时态势评估需求。

• 这块又开始说态势感知的检测，啧啧，语无伦次
• 最后又强调了态势评估无法满足实时性，呵呵，这根本不是核心问题

4、发明内容

针对上述情况，为克服现有技术之缺陷，本发明之目的就是提供一种基于多粒度异常检测的网络威胁评估方法，可有效解决现有基于网络数据包或网络流量的威胁态势评估技术不能很好的适应高速网络环境下快速准确识别攻击事件、感知威胁态势的问题。

• 又一个劲的说高速识别不行，啧啧。
• 解决数据包检测、网络流量检测的态势评估技术。
• 呵呵，我想问，你到底评估了啥呢？

本发明解决的技术方案是，首先利用基于包的粗粒度异常检测，分析出含有异常网络流量的时间片；再通过基于流的细粒度异常检测，对异常时间片的网络流量，进行流重组、提取流特征属性，利用流特征的异常检测算法判断出攻击类型；最后，对检测出的威胁事件，量化评估当前网络受威胁的严重程度。

• 先找异常包所在的时间片；
• 再根据时间片对这个包所在的流拎出来；
• 再从拎出来的流中提取特征属性；
• 再利用流特征的异常检测算法识别出攻击类型（说白了就是基础异常检测）；
• 最后量化评估网络威胁的严重程度（搞到最后才嘴一下量化评估）。

一、基于包的粗粒度异常检测，包括有：在线监听实时网络环境中的数据流量，数据包属性统计，特征提取，异常检测，记录检查结果；通过基于包的粗粒度异常检测模块后，将时间片分为正常时间片和异常时间片，异常时间片进入下一环节，进行基于流的细粒度异常检测；

• 粗粒度分析就是分析数据包属性统计特征（按照时间片）；
• 检测出异常时间片和正常时间片，正常就算了，异常继续分析。

二、基于流的细粒度异常检测，包括有：流重组，流特征提取，细粒度异常检测，检测结果融合与入库；

• 这就是通过细粒度来确认这个时间片中的异常。

三、威胁态势评估，最后得到时间段内网络的威胁值，值越大，表明网络当前遭受的威胁其危害程度越严重。

• 最后量化时间片的威胁值，这才算重点好不啦。

本发明方法易操作，可高精度实时检测出网络遭受的威胁事件的严重程度，有助于网络工作人员及时掌握当前网络遭受的安全威胁，有时间采取有效的应急响应措施，环节或避免网络遭受严重的危害。该方法稳定可靠，确保网络使用安全和使用效果，经济和社会效应巨大。

• 临尾来了一个彩虹屁，可尽情吹吧。

五、具体实施方式

一、基于包的粗粒度异常检测

1、在线监听实时网络环境中的数据流量，按照1分钟为时间窗口进行存储，利用WinPcap在存储的同时提取序号、时间、源IP、目的IP、源端口、目的端口、协议类型和长度的属性；

• 获取数据有一点low啊，这一看就是实验室的作品。

2、数据包属性统计，对每个数据包提取出源IP属性、目的IP属性、源端口属性、目的端口属性、字节数属性、协议类型属性，用概要数据结构对每个时间窗口内这6个属性的统计信息进行记录；

• 特征6元组：{sip,dip,sport,dport,bytes,protocol}。

3、特征提取，在时间窗T内，根据所记录的统计信息，利用非广延熵提取出该时间窗口网络流数据的特征，用特征向量L={l1,l2,l3...ln}；

• 啥玩意的非广延熵。

4、异常检测，利用随机森林的算法对包的特征进行快速检测，得到异常类型R2L、U2R、PROBE和DOS；

• 就这？异常类型就4个吗？

5、记录检查结果，将粗粒度检测中可能存在问题的数据包的时间片名称记录在文件和威胁态势感知数据库中，供后续细粒度检测组流时使用；通过基于包的粗粒度异常检测模块后，将时间片分为正常时间片和异常时间片，对异常时间片进行基于流的细粒度异常检测。

• 粗粒度筛选异常时间片。

二、基于流的细粒度异常检测

1、流重组，根据粗粒度异常检测的结果，选择当前时间片和临近时间片内的数据包，对异常时间片内涉及的包进行流重组，以确保完整的流数据被组合到一起，进行流特征提取；

• 准备对筛选出来的异常时间片，进行细粒度分析咯。

2、流特征提取，对于异常时间片涉及的流，进行属性分析与特征属性提取，形成流特征文件，用于异常检测，流特征属性是由流特征选择模块经流特征选择，从原始特征集中选择出的用于攻击流分类的最优的特征子集；

• 提取特征子集，准备再次进行异常检测。

3、细粒度异常检测，通过决策树算法对流特征文件进行检测判断，判断出每个流是否异常，并将log文件与检测结果写入威胁态势感知数据库；

• 使用决策树算法进行异常检测，判断出异常流。

4、检测结果融入合与入库，由于不同网络流可能属于同一攻击，因此要将决策树算法检测结果根据攻击融合策略进行融合，得到准确可靠的网络异常状况，将结果存入log文件与威胁态势感知数据库，用于威胁态势感知评估与可视化；

• 通过决策树检测出的异常流入库。

三、威胁态势评估

1、攻击类型发生的种类，即在该时间段内，发生的攻击类型占4大类攻击中的几类，同一时间段内发生多种类型攻击对网络的威胁程度要大于只发生单一攻击的威胁程度；

• 事件类型越多，威胁程度越大。

2、每种攻击类型发生的次数，即该时间段内每种攻击类型各发生多少次；

• 事件发生次数越多，威胁程度越大。

3、至当前时间窗口为止各攻击类型发生的概率ProbX，也就是从开始检测开始至当前时间窗口为止，每种攻击类型发生总次数占检测总记录数的百分比；

• ProbX=事件数X/所有事件数，就这？这也算概率？

4、网络威胁值计算：T(t)=a*

(markX*(1+probX)*w + (1-a)*T(t-1))

• markX：标记该种异常在该时间窗口内是否发生，发生标记1，不发生标记0
• w：表示每种攻击类型对应的威胁权重
• a：在威胁态势值变化时过去攻击事件被检测到未来被检测中所占的比例
• 最难理解的是这个 求和
  为啥把(1-a)*T(t-1)包进去？
• 不应该是求和
  之后再做加法吗？

完。