一种基于流行为特征的互联网数据中心ip地址查找方法

一种基于流行为特征的互联网数据中心ip地址查找方法
【技术领域】
[0001] 本发明属于通信网络技术领域，具体设及一种基于流行为特征的互联网数据中屯、IP地址查找方法的设计。
【背景技术】
[0002] 在通信网络中，网络流是指通过网络传输的具有某种特定属性的分组序列。特定 属性可W根据研究的需要来确定，如具有相同五元组（源主机IP地址、目的主机IP地址、 源主机端口号、目的主机端口号和通信协议）的流信息序列聚合成承载网络信息的一条网 络流。
[0003] 网络流行为特征（networkflowbehavior)通常指多个或单个网络流所表现出来 的行为特征，是指特定环境下网络中流的行为特征，包括网络流的产生特征、网络流的运行 特征、网络流之间的关系特征及其特征参数的变化等；网络流行为特征模式指网络流行为 所表现出来的可识别并且可W对网络流起到标识作用的属性规律。流的连接行为特征刻画 了网络中实体之间的连接模式，描述网络实体之间的交互行为模式，例如通信网络中用户 之间的交互行为，社交网络中对象间的关系等。通过提取主机通信交互的连接特征，分析网 络流的连接模式W及构建应用行为、用户W及其他网络实体的连接趋势的模型等手段可W 获得全面准确的通信网络流行为特征及其变化特征，对提高网络管理和监控具有十分重要 的意义。
[0004] 网络流行为可视化是使用节点和连线组成的图形来表示通信网络主机之间的交 互行为，根据不同类型的研究需求利用可视化技术将网络主机之间的连接关系抽象成计算 机屏幕上的图形。目前对于网络流行为的可视化技术较为简单，大部分研究人员都聚焦在 可视化的布局算法，在网络主机之间的流连接量、端口开放的种类数等流信息属性方面有 待于更深一步的研究。 阳0化]互联网数据中屯、（IDC-InternetDataCenter)是指对入驻企业、商户或网站服务 器群托管的场所，它是各种模式电子商务赖W安全运作的基础设施，也是支持企业及其商 业合作伙伴（包括分销商、供应商、客户等）实施价值链管理的平台，它为企业和各类网站 提供大规模、高质量、安全可靠的专业化业务，包括服务器托管、空间租用、网络带宽批发W 及电子商务等。其具体业务涵盖也伴随着互联网的不断发展而发展。
[0006] 随着现代技术的不断发展，企业也在不断地扩展，用户需要的已经不仅仅是机房， 而是更多的增值服务，它们需要服务商提供安全性分析、数据流分析、资源占用分析等关键 性业务分析。同样，他们需要的也不仅仅是单一的IDC服务，而是全套的网络服务解决方 案。要实现运一切，既要包括基础的网络平台建设，又需要有系统维护、安全保证等多方面 的技术支持，运也为IDC的发展提出了更高的要求。
[0007] 由于图挖掘技术在可视化W及连接模式的刻画等方面具备的优势，已经普遍被运 用于刻画网络流的连接关系特征。
[0008] 网络流量传播图（TDG)在 2007 年由MariosIliofotou和MichalisFaloutsos 等提出。TDG是刻画网络主机之间不同应用交互的流量传播图，其中网络主机映射为图形的 节点，主机之间的交互行为映射为图形的边。网络流量传播图能够描述不同应用行为的流 连接关系特征，但无法准确、高效地刻画大规模通信网络的流连接关系。

【发明内容】

[0009] 本发明的目的是为了解决现有技术中网络流量传播图无法准确、高效地刻画大规 模通信网络的流连接关系的问题，提出了一种基于流行为特征的互联网数据中屯、IP地址 查找方法。
[0010] 本发明的技术方案为：一种基于流行为特征的互联网数据中屯、IP地址查找方法， 包括W下步骤：
[0011] Sl、从互联网出口获取流数据；
[0012]S2、对频繁IP进行挖掘；
[0013]S3、对疑似目标IP进行挖掘；
[0014]S4、对IP地址块进行聚合；
[0015]S5、确定互联网数据中屯、的规模、地理位置及服务类型。
[0016] 进一步地，步骤S2包括W下分步骤：
[0017]S21、建立WIIP地址，端口号，传输层协议号}为索引的字典，对于每一组特定的 IIP地址，端口号，传输层协议号}，将同时符合W下条件的流f加入该索引的索引内容：
[0018] (1)流f中源IP或目的IP与索引IP相同；
[0019] 似流f中源端口号或目的端口号与索引端口号相同；
[0020] (3)流f中传输层协议号等于索引传输层协议号； 阳021] S22、计算索引内容中每个IP的四种参数：访问量、被访问量、上行流量W及下行 流量；
[0022]S23、统计每个IP的上述四种参数，提取每种参数排名靠前的IP集合，对四个集合 求并集，得到频繁IP集合。
[0023] 进一步地，步骤S3中采用基于特定应用流分析的方法对疑似目标IP进行挖掘，具 体为：
[0024] 根据步骤S21中建立的索引字典结构，统计频繁IP的访问/被访问端口种类数， 提取开放端口种类单一的IP，对其进行反向DNS查询，若返回多种域名，则将其标记为互联 网数据中屯、疑似目标IP。
[0025] 进一步地，步骤S3中采用基于多种应用流分析的方法对疑似目标IP进行挖掘，具 体为：
[0026] 根据步骤S21中建立的索引字典结构，统计频繁IP的访问/被访问端口种类数， 提取开放端口具有多个种类的IP，根据其负载特征字符串对该IP的流进行分类，判断该IP 开放的应用种类，若提供了多种应用服务种类，则将其标记为互联网数据中屯、疑似目标IP。
[0027] 进一步地，步骤S4中采用基于IP关联度的方法对IP地址块进行聚合，具体包括 W下分步骤： W2引 S4A1、建立目标IP向量F= (IP地址，IP地理位置经缔度）；
[0029] S4A2、对F中任意两个IP地址进行与运算，计算其相同的前N位IP数，返回数值 N作为二者IP的匹配度，并对匹配度进行归一化处理；
[0030] S4A3、计算两个IP之间的关联度；
[0031] S4A4、提取关联度较高的IP，构成IP地址块集合。
[0032] 进一步地，步骤S4中采用基于频繁IP的网络流连接图共引网络的方法对IP地址 块进行聚合，具体包括W下分步骤：
[0033] S4B1、构建频繁IP的网络流连接图；
[0034]S4B2、生成频繁IP网络流连接图的共引网络；
[0035]S4B3、对频繁IP网络流连接图的共引网络进行社团划分；
[0036] S4B4、对划分出的频繁IP地址块进行聚合，形成IP簇。
[0037] 进一步地，步骤S5具体为：
[0038] 采用GeoIP技术确定IP地址块的地理位置，将相似地理位置的IP地址块聚合到 一起，寻找包含运些IP地址块的最小网络地址，其主机数即为互联网数据中屯、的IP数量， 其所在地即为互联网数据中屯、的地理位置；
[0039] 互联网数据中屯、的服务类型可通过主动访问其IP进行确定，通过计算机主动探 寻运些IP，根据DNS返回值或IP服务器返回内容确定该IP的服务类型，验证得到其所在互 联网数据中屯、的服务内容。
[0040] 本发明的有益效果是：本发明首次提出了利用IP流行为分析查找互联网数据中 屯、的IP，开拓了一种新的基于流行为的特定IP查找方法。由于一条流的确定只需要获取 网络中包的头文件，并不需要包内容，因此不设及用户隐私，W公开透明的方式确定特定目 标，可W带来如下有益效果：
[0041] (1)准确查找互联网数据中屯、IP，获取各互联网数据中屯、之间的流连接关系，便 于在互联网全网范围内的对互联网数据中屯、进行资源优化与分配。
[0042] (2)供互联网数据中屯、IPW监视其竞争对手流量、服务类型等，有利于监测方针 对竞争对手的信息制定自身的商业策略。
[0043] (3)利用相似的方法可针对不同类型IP进行查找与发现，有利于网络情报的获取 与挖掘。
【附图说明】
[0044] 图1为本发明提供的一种基于流行为特征的互联网数据中屯、IP地址查找方法流 程图。 W45] 图2为本发明步骤S2的分步骤流程图。
[0046] 图3为本发明步骤S4中基于IP关联度的IP地址块聚合方法流程图。
[0047] 图4为本发明步骤S4中基于频繁IP的网络流连接图共引网络的IP地址块聚合 方