本发明涉及信息安全技术领域,尤其涉及一种六维空间流量安全分析模型生成方法及系统。
背景技术:
传统的ip包流量识别仅对ip包头的“5元组”进行分析,来确定当前流量的基本信息,仅仅分析数据包网络层和传输层的内容,对ip数据业务和内容不能进行深度分析。
dpi(deeppacketinspection,深度报文检测)技术在分析包头的基础上,增加了对(数据)应用层的分析,能够分析osi七层模型中的四到七层协议的特征,但依然对一些场景无法达到全面的流量分析能力。
技术实现要素:
针对上述现有技术中存在的问题,本发明提出了一种六维空间流量安全分析模型生成方法及系统,将流量发散到23元组进行分析,以求实现更为准确、全面的流量分析检测,能够更高效的识别出恶意流量和apt事件。
具体发明内容包括:
一种六维空间流量安全分析模型生成方法,包括:
建立由源ip、源端口、目的ip、目的端口、协议号组成的基本要素维度;基本要素维度记录网络通信的基本要素,包括每一次攻击行为通信;
建立由每一次会话的开始时间和结束时间组成的时间维度;时间维度记录每一次会话、每一次ip通信时长,包括每一次攻击行为、每一个攻击动作的持续时长;
建立由斜率、传输速度组成的变化维度;变化维度记录每一对上下行通信数据包比例,以及每一次通信数据包大小与时间的比例;
建立由固定关键字、浮动关键字、关键载荷信息、用户身份标识、应用标识组成的信息维度;信息维度不负责信息的还原,只按照需求、规定和场景记录安全分析所需要的关键信息;
建立根据相同五元组包数形成的关联维度;相同五元组代表一次会话,并代表零散信息的关联性,五元组包数多少代表一次通信时间长短以及传输信息的大小,故而关联维度可对攻击行为的类别以及动作内容做初步的判断;
建立由源ip经度、源ip纬度、源ip国家、源ip城市、目的ip经度、目的ip纬度、目的ip国家、目的ip城市组成的空间维度;空间维度记录每一个通信ip的精确地理位置,包括每一次攻击的精确的源发起地理位置;
将所述基本要素维度、时间维度、变化维度、信息维度、关联维度、空间维度进行组合,得到六维空间流量安全分析模型。
进一步地,所述斜率,其计算方式为:具有相同五元组的数据包中,上行数据包的个数与下行数据包的个数进行求商计算,若下行数据包个数为0,则视为无响应。
进一步地,所述传输速度,其计算方式为:数据包大小之和与传输时间进行求商计算。
一种六维空间流量安全分析模型生成系统,包括:
维度建立模块,用于建立由源ip、源端口、目的ip、目的端口、协议号组成的基本要素维度;建立由每一次会话的开始时间和结束时间组成的时间维度;建立由斜率、传输速度组成的变化维度;建立由固定关键字、浮动关键字、关键载荷信息、用户身份标识、应用标识组成的信息维度;建立根据相同五元组包数形成的关联维度;建立由源ip经度、源ip纬度、源ip国家、源ip城市、目的ip经度、目的ip纬度、目的ip国家、目的ip城市组成的空间维度;
其中,时间维度记录每一次会话、每一次ip通信时长,包括每一次攻击行为、每一个攻击动作的持续时长;变化维度记录每一对上下行通信数据包比例,以及每一次通信数据包大小与时间的比例;信息维度不负责信息的还原,只按照需求、规定和场景记录安全分析所需要的关键信息;相同五元组代表一次会话,并代表零散信息的关联性,五元组包数多少代表一次通信时间长短以及传输信息的大小,故而关联维度可对攻击行为的类别以及动作内容做初步的判断;空间维度记录每一个通信ip的精确地理位置,包括每一次攻击的精确的源发起地理位置;
模型建立模块,用于将所述基本要素维度、时间维度、变化维度、信息维度、关联维度、空间维度进行组合,得到六维空间流量安全分析模型。
进一步地,所述斜率,其计算方式为:具有相同五元组的数据包中,上行数据包的个数与下行数据包的个数进行求商计算,若下行数据包个数为0,则视为无响应。
进一步地,所述传输速度,其计算方式为:数据包大小之和与传输时间进行求商计算。
本发明的有益效果是:
本发明将流量特征发散到23元组,将流量各部分特征通过六维空间模型表征出来,通过本发明的六维空间流量安全分析模型能够有效实现对流量更加全面的分析,能够高效识别出恶意流量和攻击事件,分析结果更加准确。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种六维空间流量安全分析模型生成的方法流程图;
图2为本发明一种六维空间流量安全分析模型生成的系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种六维空间流量安全分析模型生成的方法实施例,如图1所示,包括:
s101:建立由源ip、源端口、目的ip、目的端口、协议号组成的基本要素维度;基本要素维度记录网络通信的基本要素,包括每一次攻击行为通信;
s102:建立由每一次会话的开始时间和结束时间组成的时间维度;时间维度记录每一次会话、每一次ip通信时长,包括每一次攻击行为、每一个攻击动作的持续时长;
s103:建立由斜率、传输速度组成的变化维度;变化维度记录每一对上下行通信数据包比例,以及每一次通信数据包大小与时间的比例;
s104:建立由固定关键字、浮动关键字、关键载荷信息、用户身份标识、应用标识组成的信息维度;信息维度不负责信息的还原,只按照需求、规定和场景记录安全分析所需要的关键信息;
s105:建立根据相同五元组包数形成的关联维度;相同五元组代表一次会话,并代表零散信息的关联性,五元组包数多少代表一次通信时间长短以及传输信息的大小,故而关联维度可对攻击行为的类别以及动作内容做初步的判断;
s106:建立由源ip经度、源ip纬度、源ip国家、源ip城市、目的ip经度、目的ip纬度、目的ip国家、目的ip城市组成的空间维度;空间维度记录每一个通信ip的精确地理位置,包括每一次攻击的精确的源发起地理位置;
s107:将所述基本要素维度、时间维度、变化维度、信息维度、关联维度、空间维度进行组合,得到六维空间流量安全分析模型。
优选地,所述斜率,其计算方式为:具有相同五元组的数据包中,上行数据包的个数与下行数据包的个数进行求商计算,若下行数据包个数为0,则视为无响应。
优选地,所述传输速度,其计算方式为:数据包大小之和与传输时间进行求商计算。
本发明还给出了一种六维空间流量安全分析模型生成的系统实施例,如图2所示,包括:
维度建立模块201,用于建立由源ip、源端口、目的ip、目的端口、协议号组成的基本要素维度;建立由每一次会话的开始时间和结束时间组成的时间维度;建立由斜率、传输速度组成的变化维度;建立由固定关键字、浮动关键字、关键载荷信息、用户身份标识、应用标识组成的信息维度;建立根据相同五元组包数形成的关联维度;建立由源ip经度、源ip纬度、源ip国家、源ip城市、目的ip经度、目的ip纬度、目的ip国家、目的ip城市组成的空间维度;
其中,时间维度记录每一次会话、每一次ip通信时长,包括每一次攻击行为、每一个攻击动作的持续时长;变化维度记录每一对上下行通信数据包比例,以及每一次通信数据包大小与时间的比例;信息维度不负责信息的还原,只按照需求、规定和场景记录安全分析所需要的关键信息;相同五元组代表一次会话,并代表零散信息的关联性,五元组包数多少代表一次通信时间长短以及传输信息的大小,故而关联维度可对攻击行为的类别以及动作内容做初步的判断;空间维度记录每一个通信ip的精确地理位置,包括每一次攻击的精确的源发起地理位置;
模型建立模块202,用于将所述基本要素维度、时间维度、变化维度、信息维度、关联维度、空间维度进行组合,得到六维空间流量安全分析模型。
优选地,所述斜率,其计算方式为:具有相同五元组的数据包中,上行数据包的个数与下行数据包的个数进行求商计算,若下行数据包个数为0,则视为无响应。
优选地,所述传输速度,其计算方式为:数据包大小之和与传输时间进行求商计算。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。针对现有技术中传统五元组和深度包检测技术在一些场景中无法达到有效的检测能力这一技术问题,本发明提出了一种六维空间流量安全分析模型生成方法及系统,包括:建立由源ip、源端口、目的ip、目的端口、协议号组成的基本要素维度;建立由每一次会话的开始时间和结束时间组成的时间维度;建立由斜率、传输速度组成的变化维度;建立由固定关键字、浮动关键字、关键载荷信息、用户身份标识、应用标识组成的信息维度;建立根据相同五元组包数形成的关联维度;建立由源ip经度、源ip纬度、源ip国家、源ip城市、目的ip经度、目的ip纬度、目的ip国家、目的ip城市组成的空间维度;将所述基本要素维度、时间维度、变化维度、信息维度、关联维度、空间维度进行组合,得到六维空间流量安全分析模型。本发明将流量特征发散到23元组,将流量各部分特征通过六维空间模型表征出来,通过本发明的六维空间流量安全分析模型能够有效实现对流量更加全面的分析,能够高效识别出恶意流量和攻击事件,分析结果更加准确。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。