专利名称:基于同心轴多维数据可视化模型检测DDos攻击的方法
技术领域:
本发明属于网络安全可视化领域,涉及一种基于同心轴多维数据可视化算法对 DDos攻击进行检测的方法。
背景技术:
DDoS是一种基于DoS的特殊形式的拒绝服务攻击。是一种分布、协作的大规模攻击方式。主要目标是比较大的站点,如企业网站、搜索引擎和政府部门的站点。基本的DoS 攻击只要一台能连接hternet的单机就可实现,DDoS攻击则是利用一批受控制的机器向一台机器发起攻击,具有较大的破坏性。信息可视化技术是在现代信息处理平台的基础上,根据用户对信息的需要,利用适当的可视化符号表示各种信息和信息内外部的关系,使人们更方便、迅速地与信息源进行交互,发现隐藏在信息中的各类知识。信息的种类不同、信息应用领域的复杂性以及用户的不同需求的多样性,导致人们研究开发了大量形式各异的可视化技术。网络安全可视化要处理的往往是高维、无结构化的多变量数据,同时这些数据具有规模大、非数值型等特点;在数据的关联关系上面临着关系隐式化、时间依赖性强、类型多等困难;在绘制方面也没有统一的显示模型。在网络安全信息可视化技术中已经取得了初步成果,首先,在显示方式和绘制方法方面,提出了利用散点图(Scatterplot)、颜色映射(Color Map)、图元(Glyphs)、平行轴坐标(Parallel Coordinate)、自组织映射 (Self-Organizing Maps)等方式进行网络和系统监控、异常检测、入侵发现、模式的分析及报警。但是在以往的研究开发的模型中,网络安全可视化的模型中,会出现表示维度有限, 或当数据量过大时线段交织在一起无法分辨的状况,对于网络安全状况的检测产生了很大的影响。
发明内容
本发明的目的在于克服现有技术的上述不足,改进平行轴技术,提出一种基于同心轴多维数据可视化模型对DDos攻击进行实时检测的方法,包括以下几个部分(1)网络数据的获取和提取从原始数据提取源IP地址,目的IP地址,目的端口号作为可视化模型的三个维度;(2)以显示屏幕中心为原点,根据屏幕的尺寸建立3个半径依次递增同心圆周,把源IP地址、目的IP地址和目的端口号三类数据依次映射到同心轴从内到外的三个轴上,称数据点为三类数据映射到三个同心轴上的点,方法如下源IP地址和目的IP地址在各自的同心轴上对应的位置的计算公式x轴坐标为cos(sIP. val/sIP. maxval*2)^RadiussIP, y 轴坐标为 sin(sIP. val/sIP. maxval*2)*RadiussIP,其中,sIP. val 为将要显示的源 IP 地址转换成的十进制数值;sIP. maxval为将255. 255. 255. 255转换成十进制后的数值; RadiussIP为将要显示的源IP地址所在轴的轴半径;目的端口号在同心轴上对应的位置的计算公式x 轴坐标为 cos(dPort. val/dPort. maxval*2)*RadiusPort,y 轴坐标为sin(dPort. val/dPort. maxval氺2)氺RadiusPort,其中,dPort. val 为当前端口号,dPort. maxval为最大端口号,RadiusPort为目的端口号所在轴的轴半径;(3)按照下列的同心轴曲线的表示方法,绘制步骤(2)中映射到三个同心轴上的数据点的曲线空间分布,建立多维数据可视化模型(a).设两个数据点分别位于一个同心轴的两个纬度上,极坐标值分别是93和 θ b,定义由这两个数据点形成的曲线的弯曲方向
权利要求
1. 一种基于同心轴多维数据可视化模型检测DDos攻击的方法,包括以下几个部分(1)网络数据的获取和提取从原始数据提取源IP地址,目的IP地址,目的端口号作为可视化模型的三个维度;(2)以显示屏幕中心为原点,根据屏幕的尺寸建立3个半径依次递增同心圆周,把源IP 地址、目的IP地址和目的端口号三类数据依次映射到同心轴从内到外的三个轴上,称数据点为三类数据映射到三个同心轴上的点,方法如下源IP地址和目的IP地址在各自的同心轴上对应的位置的计算公式x轴坐标为cos(sIP. val/sIP. maxval*2) ^RadiussIP, y轴坐标为 sin(sIP. val/sIP. maxval*2)*RadiussIP,其中,sIP. val 为将要显示的源 IP 地址转换成的十进制数值;sIP. maxval为将255. 255. 255. 255转换成十进制后的数值;RadiussIP 为将要显示的源IP地址所在轴的轴半径;目的端口号在同心轴上对应的位置的计算公式 X 车由 It示为 cos (dPort. val/dPort. maxval*2) ^RadiusPort, y 车由 It示为 sin(dPort. val/ dPort. maxvaR2)*RadiusPort,其中,dPort. val 为当前端口号,dPort. maxval 为最大端口号,RadiusPort为目的端口号所在轴的轴半径;(3)按照下列的同心轴曲线的表示方法,绘制步骤中映射到三个同心轴上的数据点的曲线空间分布,建立多维数据可视化模型(a).设两个数据点分别位于一个同心轴的两个纬度上,极坐标值分别是93和0b,定义由这两个数据点形成的曲线的弯曲方向
全文摘要
本发明属于网络安全可视化领域,涉及一种基于同心轴多维数据可视化模型检测DDos攻击的方法,包括从原始网络数据中提取源IP地址,目的IP地址,目的端口号作为可视化模型的三个维度;创建同心轴多维数据可视化模型,把源IP地址、目的IP地址和目的端口号依次映射到同心轴从内到外的三个轴上;采用“焦点+背景环境”的径向畸变和角度畸变的交互方法调整坐标轴和曲线空间分布,使同心轴多维数据可视化图形的细节得到更清晰的显示;通过得到同心轴图形的特征和DDos的特征来分析目标是否遭到了DDos攻击。本发明能给予网络分析人员更加清晰、易辨识、可控的可视化结果极大的增加网络分析人员发现DDos攻击的可能。
文档编号H04L29/12GK102299911SQ20111016888
公开日2011年12月28日 申请日期2011年6月22日 优先权日2011年6月22日
发明者付磊, 吕良福, 张亚平, 张加万, 张怡, 郭庆辉 申请人:天津大学