本發(fā)明涉及網(wǎng)絡(luò)安全��,尤其是涉及基于ip地址分類識別的問題線路確定方法�。
背景技術(shù):
1�、隨著網(wǎng)絡(luò)攻擊手段的復(fù)雜化與規(guī)模化����,傳統(tǒng)的基于流量閾值或靜態(tài)規(guī)則的安全檢測方法逐漸暴露出局限性。現(xiàn)有技術(shù)通常采用單一維度的特征(如請求頻率�����、端口訪問次數(shù))進(jìn)行異常判定�����,難以有效識別低頻隱蔽攻擊或協(xié)議混合型攻擊行為。例如�,針對分布式拒絕服務(wù)(ddos)攻擊中攻擊源ip的分散化與行為偽裝����,傳統(tǒng)方法易因特征維度單一導(dǎo)致漏檢,或在動態(tài)網(wǎng)絡(luò)負(fù)載下因固定閾值產(chǎn)生大量誤報�����。
2����、此外,現(xiàn)有方案多聚焦于單個ip地址的行為分析���,缺乏對協(xié)同攻擊群體的關(guān)聯(lián)挖掘���,難以應(yīng)對跨ip協(xié)同的端口掃描、跨協(xié)議攻擊等新型威脅�。在檢測效率方面,海量ip數(shù)據(jù)的實(shí)時處理需求與計算資源消耗之間的矛盾日益突出����,尤其在云環(huán)境或大型企業(yè)網(wǎng)絡(luò)中,傳統(tǒng)集中式檢測架構(gòu)難以平衡檢測精度與實(shí)時性要求。
3����、上述缺陷使得現(xiàn)有技術(shù)無法滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下精準(zhǔn)識別問題線路、自適應(yīng)防御協(xié)同攻擊的需求�����,亟須一種融合多維度行為分析�、動態(tài)閾值調(diào)整及高效群體檢測的綜合解決方案。
技術(shù)實(shí)現(xiàn)思路
1�����、本發(fā)明的目的是提供基于ip地址分類識別的問題線路確定方法���,克服了現(xiàn)有方法在多維度攻擊行為識別����、動態(tài)閾值適應(yīng)及協(xié)同攻擊群體檢測方面的不足�。
2、為實(shí)現(xiàn)以上目的�����,本發(fā)明通過以下技術(shù)方案予以實(shí)現(xiàn):
3、基于ip地址分類識別的問題線路確定方法��,包括以下步驟:
4����、采集網(wǎng)絡(luò)流量日志中的ip地址行為數(shù)據(jù),所述行為數(shù)據(jù)包括時間戳��、協(xié)議類型�、目標(biāo)端口及物理位置�;
5、根據(jù)所述行為數(shù)據(jù)提取每個ip地址的多維度特征����,所述多維度特征至少包括時間規(guī)律性熵值、協(xié)議多樣性比例����、目標(biāo)端口分散度及請求速率變化率;
6�����、基于所述多維度特征構(gòu)建ip關(guān)聯(lián)圖�,其中節(jié)點(diǎn)表示ip地址,邊權(quán)重通過融合特征相似性、時間同步性及物理位置距離計算得到��;
7�����、對所述ip關(guān)聯(lián)圖進(jìn)行社區(qū)劃分�����,檢測具有相似行為模式的異常ip群體��;
8�、根據(jù)歷史誤報率和實(shí)時網(wǎng)絡(luò)負(fù)載動態(tài)調(diào)整檢測閾值,所述動態(tài)調(diào)整通過反饋控制機(jī)制實(shí)現(xiàn)����;
9、基于所述檢測閾值和異常ip群體的統(tǒng)計特征����,判定問題線路并生成告警信息。
10��、優(yōu)選的�����,所述采集網(wǎng)絡(luò)流量日志中的ip地址行為數(shù)據(jù)時,過濾內(nèi)網(wǎng)ip地址��,僅保留公網(wǎng)ip地址進(jìn)行分析�����。
11����、優(yōu)選的����,所述根據(jù)所述行為數(shù)據(jù)提取每個ip地址的多維度特征的步驟中:
12、時間規(guī)律性熵值:基于ip請求時間戳的分箱統(tǒng)計結(jié)果����,計算時間間隔分布的熵值;
13�、協(xié)議多樣性比例:統(tǒng)計http與https協(xié)議請求數(shù)占ip總請求數(shù)的比例;
14���、目標(biāo)端口分散度:根據(jù)ip訪問的目標(biāo)端口號計算其方差��,用于衡量端口訪問集中程度�����;
15���、請求速率變化率:通過滑動窗口內(nèi)請求量的二階導(dǎo)數(shù)���,量化請求速率的突變程度。
16���、優(yōu)選的��,所述ip關(guān)聯(lián)圖中邊權(quán)重的計算公式為:
17����、
18�����、其中�����,表示ip地址和的特征向量;表示特征向量與的余弦相似度����;表示ip地址和在時間窗口內(nèi)的請求時間序列數(shù)據(jù);為時間同步性系數(shù)�����,表示兩個ip請求行為的時間相關(guān)性����;表示ip地址和的物理位置經(jīng)緯度坐標(biāo);表示基于經(jīng)緯度坐標(biāo)計算的球面地理距離�����;為非負(fù)權(quán)重參數(shù)���。
19、優(yōu)選的��,所述對所述ip關(guān)聯(lián)圖進(jìn)行社區(qū)劃分����,檢測具有相似行為模式的異常ip群體的步驟包括:
20�����、使用louvain算法對ip關(guān)聯(lián)圖進(jìn)行社區(qū)發(fā)現(xiàn)����,輸出具有強(qiáng)關(guān)聯(lián)性的ip群體集合��;
21�、計算每個社區(qū)內(nèi)ip地址的協(xié)議熵,所述協(xié)議熵用于衡量社區(qū)內(nèi)網(wǎng)絡(luò)協(xié)議類型的分布隨機(jī)性�����;
22�����、若協(xié)議熵低于預(yù)設(shè)閾值���,則縮短當(dāng)前時間窗口長度以提升檢測敏感度����;
23��、對每個社區(qū)內(nèi)的ip地址進(jìn)行二次聚類,結(jié)合時間同步性與行為特征相似性�����,識別突發(fā)性異常子群體��。
24�、優(yōu)選的,所述根據(jù)歷史誤報率和實(shí)時網(wǎng)絡(luò)負(fù)載動態(tài)調(diào)整檢測閾值的步驟包括:
25�����、建立反饋控制模型����,其輸入為實(shí)時誤報率和異常ip群體規(guī)模,輸出為檢測閾值調(diào)整量�;
26、基于pid控制機(jī)制計算閾值調(diào)整量����,公式為:
27���、
28���、其中����,為下一時刻的檢測閾值��;為當(dāng)前時刻的檢測閾值���;���,為初始比例系數(shù),為當(dāng)前異常ip群體規(guī)模��,為總活躍ip數(shù)量����;為積分系數(shù);為微分系數(shù)���;實(shí)時誤報率����,定義為錯誤告警次數(shù)與總告警次數(shù)的比值;歷史誤報率從初始時刻到當(dāng)前時刻的積分�;為誤報率隨時間的變化率;
29�����、根據(jù)實(shí)時網(wǎng)絡(luò)負(fù)載對閾值進(jìn)行補(bǔ)償��,當(dāng)負(fù)載超過預(yù)設(shè)安全值時��,按比例降低檢測閾值:
30�����、
31��、其中�,為經(jīng)過負(fù)載補(bǔ)償后的最終檢測閾值;為實(shí)時網(wǎng)絡(luò)負(fù)載���;為預(yù)設(shè)的網(wǎng)絡(luò)負(fù)載安全閾值���;為網(wǎng)絡(luò)允許的最大負(fù)載閾值。
32����、優(yōu)選的,所述初始比例系數(shù)��、積分系數(shù)��、微分系數(shù)通過歷史攻擊數(shù)據(jù)訓(xùn)練得到�����;
33�����、當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變更時�,基于預(yù)設(shè)時間段內(nèi)的誤報率和攻擊數(shù)據(jù)重新訓(xùn)練所述初始比例系數(shù)、積分系數(shù)���、微分系數(shù)����。
34����、優(yōu)選的�����,所述統(tǒng)計特征滿足以下任一條件時判定為問題線路:
35�、異常ip群體規(guī)模超過當(dāng)前檢測閾值����;
36、異常群體行為與正常模式的馬氏距離超過預(yù)設(shè)倍數(shù)標(biāo)準(zhǔn)差���。
37��、優(yōu)選的��,所述告警信息包括異常ip列表����、關(guān)聯(lián)時間窗口及攻擊類型分類����。
38、本發(fā)明還提供基于ip地址分類識別的問題線路確定裝置�����,包括:
39、數(shù)據(jù)采集模塊����,用于過濾并劃分網(wǎng)絡(luò)流量日志中的ip行為數(shù)據(jù)���;
40����、特征提取模塊��,用于計算多維度特征并生成特征矩陣�;
41、關(guān)聯(lián)圖構(gòu)建模塊�,用于計算ip節(jié)點(diǎn)間邊權(quán)重并生成關(guān)聯(lián)圖;
42��、社區(qū)檢測模塊�,用于劃分異常ip群體并動態(tài)調(diào)整時間窗口;
43����、動態(tài)調(diào)參模塊,用于通過pid反饋機(jī)制優(yōu)化檢測閾值�;
44�、告警輸出模塊�,基于閾值和統(tǒng)計特征生成問題線路告警。
45���、綜上所述��,本發(fā)明包括以下至少一種有益技術(shù)效果:
46���、1.本發(fā)明通過融合時間規(guī)律性熵值、協(xié)議多樣性比例等異構(gòu)特征�����,構(gòu)建ip關(guān)聯(lián)圖進(jìn)行群體行為分析��,克服傳統(tǒng)方法依賴單一特征導(dǎo)致的檢測盲區(qū)����。相較于僅基于流量閾值或協(xié)議統(tǒng)計的檢測方式,多維度特征協(xié)同分析能夠更全面識別隱蔽性攻擊(如低頻慢速攻擊�����、混合協(xié)議掃描)�����,顯著提升異常行為檢出率。
47�、?2.本發(fā)明引入基于pid反饋控制與網(wǎng)絡(luò)負(fù)載補(bǔ)償?shù)拈撝祫討B(tài)調(diào)整機(jī)制,解決固定閾值在流量波動場景下的誤報與漏檢矛盾�。通過實(shí)時誤報率與攻擊數(shù)據(jù)反饋,閾值可隨攻擊強(qiáng)度����、網(wǎng)絡(luò)負(fù)載智能調(diào)節(jié)��,在高并發(fā)業(yè)務(wù)流量中保持檢測靈敏度���,同時避免低負(fù)載時過度告警���。
48、?3.本發(fā)明通過協(xié)議-端口映射表與馬氏距離統(tǒng)計判定�,實(shí)現(xiàn)攻擊類型的自動化分類(如ddos、端口掃描等)����。結(jié)合異常ip列表與關(guān)聯(lián)時間窗口信息,支持攻擊源快速定位與攻擊鏈溯源分析���,為后續(xù)防御策略制定提供數(shù)據(jù)支撐���,縮短安全事件響應(yīng)周期��。
49�、?4.本發(fā)明采用社區(qū)劃分與二次聚類相結(jié)合的檢測架構(gòu)���,在粗粒度社區(qū)劃分基礎(chǔ)上進(jìn)行細(xì)粒度子群體分析�����。該分層檢測策略有效降低計算復(fù)雜度����,同時通過協(xié)議熵驅(qū)動的動態(tài)時間窗口調(diào)整��,提升對突發(fā)性攻擊的實(shí)時捕捉能力�����,適用于大規(guī)模網(wǎng)絡(luò)環(huán)境下的高效檢測�����。
50、?5.本發(fā)明告警信息與第三方安全設(shè)備(如防火墻�、流量清洗系統(tǒng))的api接口集成,實(shí)現(xiàn)攻擊ip自動封禁�、異常流量牽引等處置操作。通過檢測與處置的閉環(huán)聯(lián)動�,減少人工干預(yù)延遲,提升網(wǎng)絡(luò)安全防護(hù)體系的主動防御能力�。