「网络安全专利分析」一种基于多粒度异常检测的网络威胁评估方法
就像是一场梦,醒来还是很感动,蛋黄的长裙,蓬松的头发,还是很想被你保护,我心里的惨痛。最近又是看论文、又是看专利,还要凑点时间来追剧,难搞哦。
- 和博士聊了一下得知可以在sci-hub上免费看论文
- 捣鼓了一下,发现确实好用,chrome浏览器安装sci-hub插件即可
- 美滋滋~
1、专利分析
一种基于多粒度异常检测的网络威胁评估方法。
2、技术领域
本发明涉及网络安全技术,特别是基于网络流量的网络安全威胁评估。
3、背景技术
随着互联网技术的飞速发展,网络逐渐成为人们生产和生活中必不可缺的一部分,极大的方便了人们的生产生活。与此同时,日趋复杂的网络环境也产生了纷繁多样的网络攻击,给社会带来巨大的经济损失,并对国家安全形成巨大挑战。
- 都是客套话,可惜这个我学不会啊。
当前虽有防火墙、入侵检测设备、入侵防御系统等诸多安全产品,但其面对告诉网络环境下复杂、多样化攻击的检测需求,一方面,基于统计或简单的包模式匹配的检测手段,无法满足应对多样化攻击的精准检测要求;另一方面,准确性较高的检测模型,如基于流特征匹配或包内容深度检测等方法,无法满足高速网络环境下的实时检测需求或因耗费过多资源而导致不能实际应用的问题。
- 这块已经开始铺垫了,当前要么检测太简单,要么检测太复杂。
近年来,随着网络态势感知技术的发展,在当前网络安全产品之上,越来越多的研究或机构,构建了网络安全态势感知框架,以促使网络管理员增进对当前网络安全状况的及时了解,帮助网络用户了解其所在网络的安全等级,使得管理人员和网络用户及时指定响应的防范策略、做好对应的防范工作,预防和避免因为网络攻击所造成的损失。
- 开始说态势感知了,又是一段客套话。
然而,目前的网络安全态势评估,大多基于安全设备或系统产生的安全告警日志数据评估态势,存在一下主要问题:评估结果依赖于安全设备自身的检测性能,且基于日志评估态势具有一定的时延,不能满足实时态势评估需求;此外,日志数据的多源异构性,不适用于高速大流量网络环境下的威胁态势评估。
- 先说态势评估依赖安全设备,你个糟老头子,巧妇难道没有米也能做饭吗?
- 然后又批评说日志多源异构、具有时延,这是凑字数的吗?
也有部分基于网络流量的威胁态势评估,然而,直接基于数据包的态势评估,其攻击检测结果准确性不高;而基于网络流特征的态势评估,又无法满足高速网络环境下的实时态势评估需求。
- 这块又开始说态势感知的检测,啧啧,语无伦次
- 最后又强调了态势评估无法满足实时性,呵呵,这根本不是核心问题
4、发明内容
针对上述情况,为克服现有技术之缺陷,本发明之目的就是提供一种基于多粒度异常检测的网络威胁评估方法,可有效解决现有基于网络数据包或网络流量的威胁态势评估技术不能很好的适应高速网络环境下快速准确识别攻击事件、感知威胁态势的问题。
- 又一个劲的说高速识别不行,啧啧。
- 解决数据包检测、网络流量检测的态势评估技术。
- 呵呵,我想问,你到底评估了啥呢?
本发明解决的技术方案是,首先利用基于包的粗粒度异常检测,分析出含有异常网络流量的时间片;再通过基于流的细粒度异常检测,对异常时间片的网络流量,进行流重组、提取流特征属性,利用流特征的异常检测算法判断出攻击类型;最后,对检测出的威胁事件,量化评估当前网络受威胁的严重程度。
- 先找异常包所在的时间片;
- 再根据时间片对这个包所在的流拎出来;
- 再从拎出来的流中提取特征属性;
- 再利用流特征的异常检测算法识别出攻击类型(说白了就是基础异常检测);
- 最后量化评估网络威胁的严重程度(搞到最后才嘴一下量化评估)。
一、基于包的粗粒度异常检测,包括有:在线监听实时网络环境中的数据流量,数据包属性统计,特征提取,异常检测,记录检查结果;通过基于包的粗粒度异常检测模块后,将时间片分为正常时间片和异常时间片,异常时间片进入下一环节,进行基于流的细粒度异常检测;
- 粗粒度分析就是分析数据包属性统计特征(按照时间片);
- 检测出异常时间片和正常时间片,正常就算了,异常继续分析。
二、基于流的细粒度异常检测,包括有:流重组,流特征提取,细粒度异常检测,检测结果融合与入库;
- 这就是通过细粒度来确认这个时间片中的异常。
三、威胁态势评估,最后得到时间段内网络的威胁值,值越大,表明网络当前遭受的威胁其危害程度越严重。
- 最后量化时间片的威胁值,这才算重点好不啦。
本发明方法易操作,可高精度实时检测出网络遭受的威胁事件的严重程度,有助于网络工作人员及时掌握当前网络遭受的安全威胁,有时间采取有效的应急响应措施,环节或避免网络遭受严重的危害。该方法稳定可靠,确保网络使用安全和使用效果,经济和社会效应巨大。
- 临尾来了一个彩虹屁,可尽情吹吧。
五、具体实施方式
一、基于包的粗粒度异常检测
1、在线监听实时网络环境中的数据流量,按照1分钟为时间窗口进行存储,利用WinPcap在存储的同时提取序号、时间、源IP、目的IP、源端口、目的端口、协议类型和长度的属性;
- 获取数据有一点low啊,这一看就是实验室的作品。
2、数据包属性统计,对每个数据包提取出源IP属性、目的IP属性、源端口属性、目的端口属性、字节数属性、协议类型属性,用概要数据结构对每个时间窗口内这6个属性的统计信息进行记录;
- 特征6元组:{sip,dip,sport,dport,bytes,protocol}。
3、特征提取,在时间窗T内,根据所记录的统计信息,利用非广延熵提取出该时间窗口网络流数据的特征,用特征向量L={l1,l2,l3...ln};
- 啥玩意的非广延熵。
4、异常检测,利用随机森林的算法对包的特征进行快速检测,得到异常类型R2L、U2R、PROBE和DOS;
- 就这?异常类型就4个吗?
5、记录检查结果,将粗粒度检测中可能存在问题的数据包的时间片名称记录在文件和威胁态势感知数据库中,供后续细粒度检测组流时使用;通过基于包的粗粒度异常检测模块后,将时间片分为正常时间片和异常时间片,对异常时间片进行基于流的细粒度异常检测。
- 粗粒度筛选异常时间片。
二、基于流的细粒度异常检测
1、流重组,根据粗粒度异常检测的结果,选择当前时间片和临近时间片内的数据包,对异常时间片内涉及的包进行流重组,以确保完整的流数据被组合到一起,进行流特征提取;
- 准备对筛选出来的异常时间片,进行细粒度分析咯。
2、流特征提取,对于异常时间片涉及的流,进行属性分析与特征属性提取,形成流特征文件,用于异常检测,流特征属性是由流特征选择模块经流特征选择,从原始特征集中选择出的用于攻击流分类的最优的特征子集;
- 提取特征子集,准备再次进行异常检测。
3、细粒度异常检测,通过决策树算法对流特征文件进行检测判断,判断出每个流是否异常,并将log文件与检测结果写入威胁态势感知数据库;
- 使用决策树算法进行异常检测,判断出异常流。
4、检测结果融入合与入库,由于不同网络流可能属于同一攻击,因此要将决策树算法检测结果根据攻击融合策略进行融合,得到准确可靠的网络异常状况,将结果存入log文件与威胁态势感知数据库,用于威胁态势感知评估与可视化;
- 通过决策树检测出的异常流入库。
三、威胁态势评估
1、攻击类型发生的种类,即在该时间段内,发生的攻击类型占4大类攻击中的几类,同一时间段内发生多种类型攻击对网络的威胁程度要大于只发生单一攻击的威胁程度;
- 事件类型越多,威胁程度越大。
2、每种攻击类型发生的次数,即该时间段内每种攻击类型各发生多少次;
- 事件发生次数越多,威胁程度越大。
3、至当前时间窗口为止各攻击类型发生的概率ProbX,也就是从开始检测开始至当前时间窗口为止,每种攻击类型发生总次数占检测总记录数的百分比;
- ProbX=事件数X/所有事件数,就这?这也算概率?
4、网络威胁值计算:T(t)=a*
(markX*(1+probX)*w + (1-a)*T(t-1))
- markX:标记该种异常在该时间窗口内是否发生,发生标记1,不发生标记0
- w:表示每种攻击类型对应的威胁权重
- a:在威胁态势值变化时过去攻击事件被检测到未来被检测中所占的比例
- 最难理解的是这个 求和
为啥把(1-a)*T(t-1)包进去?
- 不应该是求和
之后再做加法吗?
完。
「网络安全专利分析」一种基于多粒度异常检测的网络威胁评估方法相关推荐
- PyOD是一种基于Python的异常检测工具箱。它提供了一系列流行的异常检测算法,可以用于识别各种异常情况,例如离群值、孤立点和噪声数据。在本文中,将介绍PyO...
PyOD是一种基于Python的异常检测工具箱.它提供了一系列流行的异常检测算法,可以用于识别各种异常情况,例如离群值.孤立点和噪声数据.在本文中,将介绍PyOD的简介.安装和使用方法. 一.简介 P ...
- 数据科学家必备的5种离群点/异常检测方法
什么是异常/异常值? 在统计学中,离群值是不属于某个总体的数据点,它是一种与其他值相差甚远的异常观察,是一种与其他结构良好的数据不同的观察值. 例如,您可以清楚地看到列表中的异常值:[20,24,22 ...
- ⚡关于Eastmount博客「网络安全自学篇」系列重要通知!!!⚡
为响应2021年9月1日施行的<中华人民共和国数据安全法>,以及<中华人民共和国网络安全法>.即日起Eastmount的博客「网络安全自学篇」系列将不再发布任何有关" ...
- 计算机网络就业范围分析,计算机网络技术专业就业前景怎么样「就业形势分析」...
计算机网络技术专业作为目前的热门专业之一,在就业方向上可以有哪些选择?计算机网络技术专业就业前景如何?下文小编给大家整理了计算机网络技术专业的最新就业形势分析,供参考! 1.掌握计算机网络技术专业的基 ...
- Office 365有个AI「工作场所分析」掌握组织人力资源
2019独角兽企业重金招聘Python工程师标准>>> 从企业管理阶层的角度来看,想维持员工们工作时的高效率,同时又得顾及每个人的工时负荷是否恰到好处,这一直以来就是个让人头疼的课题 ...
- matlab plv,一种基于微状态的脑功能网络构建方法与流程
本发明涉及脑功能网络研究技术领域,更具体而言,涉及一种基于微状态的脑功能网络构建方法. 背景技术: 复杂网络作为近年来一种新兴的数据分析方法,被应用于各个方面.由于大脑是一个十分复杂的系统,不同神经元 ...
- 人工智能阴影检测与去除,实现一种基于反射的阴影检测与去除方法
人工智能阴影检测与去除,实现一种基于反射的阴影检测与去除方法(特约点评:人工智能阴影检测与去除,实现一种基于反射的阴影检测与去除方法对于阴影检测与去除任务提供了新的思路,这个创新点趣说人工智能必须推荐 ...
- 高效!Anchor DETR:旷视提出一种基于Transformer的目标检测神器!
点上方计算机视觉联盟获取更多干货 仅作学术分享,不代表本公众号立场,侵权联系删除 转载于:Sophia知乎 https://zhuanlan.zhihu.com/p/412738375 985人工智能 ...
- matlab 零速检测,一种基于车辆零速检测的惯性导航误差修正方法与流程
本发明涉及车载导航与定位领域,尤其是涉及一种基于车辆零速检测的惯性导航误差修正方法. 背景技术: 惯性导航系统(inertialnavigationsystem,ins)能根据惯性传感器(陀螺仪.加速 ...
最新文章
- 如何使wordpress导航栏在新窗口打开
- OpenStack 对接 Ceph 环境可以创建卷但不能挂载卷的问题
- python流程控制语句-Python流程控制语句
- 基于源码仿建视频解析网站
- c语言连接mysql(入门)_MySQL入门之C语言操作MySQL
- vscode 快速调到定义处_vim技巧:在程序代码中快速跳转,在文件内跳转到变量定义处...
- left join on
- java实现二维码的生成与解析
- 字节跳动 Go 语言面试高频题
- 使超星数字图书馆的PDG文件转换为PDF文件的方法
- 设计模式二 单例模式
- 如何揪出修改浏览器主页的流氓软件1
- 台式计算机电源接线图,​台式机硬盘电源线接法【图解】
- 怎么用u盘装红帽linux系统,如何使用U盘安装RedHat Linux系统?
- IOS APP 公司主体变更的转让流程
- 码云(Gitee)创建SSH KEY以及查看用户名密码
- 天轰川 推荐的Javscript大收集 大集锦
- 【总目录3】Python、神经网络与深度学习、毕业设计总结大全
- 软件测试行情前景,你可以做测试多久?到底能干到多少岁?
- LeetCode(871):最低加油次数 Minimum Number of Refueling Stops(Java)
热门文章
- 测试开发工程师mac电脑常用软件推荐
- 动词ing基本用法_(完整版)英语动词ing的用法
- ps技巧:从黑白图片中创建蒙版
- 【Unity3D Shader编程】之六 暗黑城堡篇: 表面着色器(Surface Shader)的写法(一)
- xampp 配置php版本,XAMPP各个版本配置
- Linux 给指定用户添加定时任务
- 新媒体运营教程:策划一场成功漂亮的活动策划
- 在 JDK 7 版本以上, Comparator 要满足自反性,传递性,对称性
- android 学生信息管理系统,android学生信息管理系统的报告.docx
- 系列 | 数仓实践第三篇NO.3『拉链表』