基于IPv6发展态势监测的分析方法与流程

本发明涉及计算机监测，尤其涉及基于ipv6发展态势监测的分析方法。

背景技术：

1、态势感知是一种基于环境的、动态、整体地洞悉风险的能力，是以大数据为基础，从全局视角提升对威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是能力的落地,态势感知的概念最早被提出，覆盖感知、理解和预测三个层次；为确保网络以及对潜在网络威胁的感知能力，很多企业都会选用网络态势感知系统来提高网络稳定运行的能力；企业会选择使用态势感知系统进行分析和防御，通过该防御实现网络环境中异常项的事前防御，减少态势感知系统防御的使用次数，以保障资源成本的使用效益最大的同时，通过该防御避免发生更为严重的告警事件；

2、现有技术cn110445807a公开了网络态势感知系统及方法，该系统包括，数据采集单元，用于采集网络中的日志、系统日志、漏洞数据和流量数据等网络要素；网络态势分析单元，对网络要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析；网络态势评估单元，根据网络态势分析单元的分析结果，评估当前网络的状态；网络态势预测单元，根据当前网络的状态和历史信息，预测网络状态的发展趋势；网络态势联动单元，根据当前网络状态及其发展趋势，对事件进行处置；网络态势溯源单元，定位攻击源、发现攻击路径、取证攻击行为；从采集网络中的安全日志、系统日志、漏洞数据和流量数据等网络安全要素；对网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析；根据的分析结果，评估当前网络的安全状态；根据当前网络的安全状态和历史信息，预测网络安全状态的发展趋势；根据当前网络安全状态及其发展趋势，对安全事件进行处置；定位攻击源、发现攻击路径、取证攻击行为；

3、存在以下问题：

4、可靠性差，仅进行动态预警没有学习能力，根据当前网络的状态和历史信息，预测网络状态的发展趋势，一旦出现预警信息不属于历史信息出现的，则进行攻击造成瘫痪；

5、具有滞后性，因网络入侵行为逐渐趋于复杂化和间接化，尤其是当网络过于复杂，数据量迅猛发展的当前，评估效率显得尤为低下。

技术实现思路

1、为了解决上述问题，本发明提出基于ipv6发展态势监测的分析方法，以更加确切地解决上述所述的问题。

2、本发明提出基于ipv6发展态势监测的分析方法，包括：

3、s1：实时监测ipv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析，得出流数据监测结果；

4、s2：基于流数据监测结果提取ipv6态势要素；

5、s3：将所述ipv6态势要素进行融合分析，获得态势评估指标，根据态势评估指标反映出ipv6发展态势。

6、进一步的，所述基于ipv6发展态势监测的分析方法，所述实时监测ipv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析的步骤，其中所述实时异常监测算法对流数据进行采集的方式包括：

7、基于ipv6传输链路中的流数据的数据包按固定时间窗口进行切分，对每一个数据包，从中提取出五个属性字段，表示起始ip、目的ip，起始端口、目的端口以及字节数，并进行记录，对新到来的数据包对记录实时更新。

8、进一步的，所述基于ipv6发展态势监测的分析方法，所述实时监测ipv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析的步骤，其中所述实时异常监测算法对采集后的流数据进行基于非广延熵的特征提取方式包括：

9、基于非广延熵对在窗口内的数据项进行特征提取，设置窗口，属性字段分有种数据项，其中基于的第种取值出现的次数，表示属性字段在窗口内出现的总次数，经排序后得到关于的有序概率集合，从有序概率集合找出对熵值贡献最大的个，满足的最小索引值，由得到，非广延熵可由下式确定：

10、，

11、，

12、表示数据项在窗口出现的概率，表示非广延熵，表示非广延参数，通过不同的参数，提取出流量属性观测值分布在不同概率区间的特征，无论流数据中攻击或异常所占比例多少，都会得到相应的特征；

13、基于非广延熵对在窗口内进行特征提取，再结合计算过程中得到的五个属性在窗口内不同取值的个数和平均包数统计特征,构成窗口流数据的特征向量。

14、进一步的，所述基于ipv6发展态势监测的分析方法，所述基于非广延熵对在窗口内的分布数据项进行特征提取的步骤后，包括：根据特征向量集建立双随机森林模型进行异常监测；

15、输入的特征向量，第一随机森林模型的投票公式可通过下式确定根据进行投票决策：

16、，

17、其中是第一随机森林示性函数，表示随机森林中树的总数；表示输入特征向量；表示第一随机森林分类器,表示次随机向量，表示森林特征数量；当时，信任该投票结果，记为，并将其作为最终的监测结果，当时，将送入第二随机森林模型；

18、第二随机森林模型的建立方法是从训练集中选择出时的特征向量组成新的训练集；

19、第二随机森林模型的投票公式可通过下式确定：

20、，

21、表示是随机森林中树的总数，表示次随机向量，表示森林特征数量，表示训练集的特征向量总数，是第二随机森林示性函数，表示第二随机森林分类器，设定阈值为，当时，，将确定为异常事件类型数据，记为。

22、进一步的，所述基于ipv6发展态势监测的分析方法，所述基于流数据监测结果提取ipv6态势要素的步骤，包括：

23、ipv6态势要素包括和；网络流监测结果用表示，，其中表示正常流数据，指异常事件类型数据；表示监测到的事件对全局网络威胁概率，可用以下公式确定：

24、，

25、其中，表示证据计数器计算数目，表示整个网络中分支网络的数目总和；

26、表示监测到的事件对分支网络带来的威胁概率；

27、，

28、，

29、其中，表示中非正常结果的数据表，表示监测到的事件对某个分支网络带来的威胁概率，表示非正常流数据，表示的长度，即该时间窗口受威胁流量的个数，表示事件在该分支发生的概率，表示事件在分支网络被监测的次数，在每个时间窗口得到该分支网络监测结果后进行相应的累加更新，表示服务应答流异常监测中对该事件的确认次数。

30、进一步的，所述基于ipv6发展态势监测的分析方法，所述将所述ipv6态势要素进行融合分析，获得态势评估指标，根据态势评估指标反映出ipv6发展态势，包括：

31、态势评估指标包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标；

32、基于和进行融合分析，获得态势评估指标；

33、理论威胁指标表示网络中所有事件发生的可能性；计算公式如下：

34、，

35、其中，参数，表示证据计数器计算数目，表示整个网络中分支网络的数目总和；表示监测到的事件对某个分支网络带来的威胁概率，表示中非正常结果的数据表，表示监测到的事件对全局网络威胁概率；表示网络流监测出事件类型对应的权重。

36、进一步的，所述基于ipv6发展态势监测的分析方法，所述实际威胁指标，即由服务应答流的监测结果所确定的当中的事件对网络造成的威胁，表示服务应答流异常监测后确定的事件列表，则实际威胁指标的计算公式如下：

37、，

38、其中，表示实际威胁指标；表示整个网络中分支网络的数目总和，若在一个时间窗口有事件产生了实际的威胁，则认为在未来持续的数个时间段该威胁都会存在，即使是在随后的时间窗口没有监测到任何事件，也不能认为监测到的威胁会立即消失；

39、所述网络防御能力，表示监控大规模入口到各分支网络入口之间的所有设备体现的总体防御能力；

40、。

41、进一步的，所述基于ipv6发展态势监测的分析方法，所述态势评估指标包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标，的步骤中，包括：所述威胁可控度指标表示网络中监测到的实际威胁有一部分是有已知解决方案的，属于可以采取措施进行控制的威胁，另外还有一部分新攻击、新病毒之类的威胁是当前无法确认的威胁，即无解决方案可参考，通过可以反映出状态在多大程度上可以被改善；威胁可控度指标计算公式如下:

42、，

43、表示威胁可控度指标，表示分支网内所监测到的异常事件数总和，表示所有分支网络中所监测到异常和攻击的总和。

44、进一步的，所述基于ipv6发展态势监测的分析方法，所述理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标计算出态势评估总指标从而反映出ipv6发展态势；所述态势评估总指标可通过下式表示：

45、；

46、其中表示态势评估总指标，表示非正常流数据。

47、本发明的有益效果：

48、（1）本发明提出的通过实时异常监测算法进行异常监测，包括ipv6数据采集、基于非广延熵进行特征提取和双随机森林进行异常监测，针对整个网络入口处数据速度快、数据量大、攻击和异常数据量相对较小的问题，采用数据结构记录部分属性的统计信息，用非广延熵将每一个统计量分解后放大以发现少量异常原本不明显的危害特征，再结合随机森林强大的分类检测能力和快速并行决策方式对面向网络的数据流进行实时的异常检测，具有较强学习能力，适应性好，可靠性高；

49、（2）本发明提出基于流数据监测结果计算提取出ipv6态势要素，包括和；表示监测到的事件对全局网络威胁概率，表示监测到的事件对某个分支网络带来的威胁概率，并将ipv6态势要素进行融合分析，获得态势评估指标，包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标，根据态势评估指标计算出态势评估总指标从而反映出ipv6发展态势解决因网络入侵行为逐渐趋于复杂化和间接化而评估效率低的问题，态势预测准确率高，有效提前预测并解决ipv6传输中的异常特征。