為是不安全的���,阻斷該網(wǎng)絡(luò)行為�,流程結(jié)束���。
[0031]優(yōu)選地���,所述的網(wǎng)絡(luò)行為安全分析模塊,具體用于將待識別的網(wǎng)絡(luò)行為與網(wǎng)絡(luò)行為秩序鏈中的網(wǎng)絡(luò)行為進(jìn)行比較��,如果待識別的網(wǎng)絡(luò)行為與網(wǎng)絡(luò)行為秩序鏈中的網(wǎng)絡(luò)行為相同,則確定該網(wǎng)絡(luò)行為是安全的����,放行該網(wǎng)絡(luò)行為;
[0032]如果待識別的網(wǎng)絡(luò)行為與網(wǎng)絡(luò)行為秩序鏈中的網(wǎng)絡(luò)行為不相同���,則統(tǒng)計(jì)特定時(shí)間段內(nèi)所述待識別的網(wǎng)絡(luò)行為的個(gè)數(shù)���,當(dāng)該個(gè)數(shù)不大于預(yù)先設(shè)定的攻擊閾值,則放行該網(wǎng)絡(luò)行為�,將該網(wǎng)絡(luò)行為中的IP地址與端口號保存到灰名單中�;當(dāng)該個(gè)數(shù)大于預(yù)先設(shè)定的攻擊閾值,則阻斷該網(wǎng)絡(luò)行為�����,將該網(wǎng)絡(luò)行為中的IP地址與端口號保存到黑名單中�����。
[0033]由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出����,本發(fā)明實(shí)施例通過利用聚類算法對網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)行為進(jìn)行自學(xué)習(xí)得到網(wǎng)絡(luò)行為秩序鏈,提供了一種基于網(wǎng)絡(luò)秩序的網(wǎng)絡(luò)行為安全分析的方法及裝置����,使得能夠有效地驗(yàn)證出網(wǎng)絡(luò)行為是安全或者非安全的�����,能夠有效地檢測出網(wǎng)絡(luò)攻擊行為���,以保證網(wǎng)絡(luò)應(yīng)用的安全性與可靠性,給網(wǎng)絡(luò)用戶一個(gè)安全�����、可靠的網(wǎng)絡(luò)應(yīng)用環(huán)境����。
[0034]本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出,這些將從下面的描述中變得明顯�,或通過本發(fā)明的實(shí)踐了解到。
【附圖說明】
[0035]為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案���,下面將對實(shí)施例描述中所需要使用的附圖作簡單地介紹����,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動(dòng)性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�����。
[0036]圖1為本發(fā)明實(shí)施例提供的一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的方法的實(shí)現(xiàn)原理示意圖�����;
[0037]圖2為本發(fā)明實(shí)施例提供的一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的方法的處理流程圖;
[0038]圖3本發(fā)明實(shí)施例提供的一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的裝置的應(yīng)用場景示意圖����;
[0039]圖4為本發(fā)明實(shí)施例提供的一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的裝置的具體實(shí)現(xiàn)結(jié)構(gòu)圖,圖中�,網(wǎng)絡(luò)行為秩序鏈獲取模塊41,網(wǎng)絡(luò)行為安全分析模塊42和主機(jī)白�、灰和黑名單初始設(shè)置模塊43。
【具體實(shí)施方式】
[0040]下面詳細(xì)描述本發(fā)明的實(shí)施方式,所述實(shí)施方式的示例在附圖中示出����,其中自始至終相同或類似的標(biāo)號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實(shí)施方式是示例性的�,僅用于解釋本發(fā)明,而不能解釋為對本發(fā)明的限制�。
[0041]本技術(shù)領(lǐng)域技術(shù)人員可以理解,除非特意聲明���,這里使用的單數(shù)形式“一”�����、“一個(gè)”��、“所述”和“該”也可包括復(fù)數(shù)形式����。應(yīng)該進(jìn)一步理解的是���,本發(fā)明的說明書中使用的措辭“包括”是指存在所述特征��、整數(shù)���、步驟���、操作、元件和/或組件�,但是并不排除存在或添加一個(gè)或多個(gè)其他特征、整數(shù)���、步驟��、操作�、元件��、組件和/或它們的組�。應(yīng)該理解,當(dāng)我們稱元件被“連接”或“耦接”到另一元件時(shí)��,它可以直接連接或耦接到其他元件�,或者也可以存在中間元件����。此外,這里使用的“連接”或“耦接”可以包括無線連接或耦接����。這里使用的措辭“和/或”包括一個(gè)或更多個(gè)相關(guān)聯(lián)的列出項(xiàng)的任一單元和全部組合��。
[0042]本技術(shù)領(lǐng)域技術(shù)人員可以理解��,除非另外定義��,這里使用的所有術(shù)語(包括技術(shù)術(shù)語和科學(xué)術(shù)語)具有與本發(fā)明所屬領(lǐng)域中的普通技術(shù)人員的一般理解相同的意義��。還應(yīng)該理解的是��,諸如通用字典中定義的那些術(shù)語應(yīng)該被理解為具有與現(xiàn)有技術(shù)的上下文中的意義一致的意義���,并且除非像這里一樣定義,不會用理想化或過于正式的含義來解釋���。
[0043]為便于對本發(fā)明實(shí)施例的理解���,下面將結(jié)合附圖以幾個(gè)具體實(shí)施例為例做進(jìn)一步的解釋說明,且各個(gè)實(shí)施例并不構(gòu)成對本發(fā)明實(shí)施例的限定�。
[0044]實(shí)施例一
[0045]本發(fā)明實(shí)施例基于聚類算法的網(wǎng)絡(luò)秩序構(gòu)建技術(shù)、基于關(guān)聯(lián)分析算法的網(wǎng)絡(luò)秩序鏈構(gòu)建技術(shù)��、黑白灰名單技術(shù)對網(wǎng)絡(luò)行為進(jìn)行安全分析�����,克服了以上三大方向的方法中存在的缺點(diǎn),能夠防御各種網(wǎng)絡(luò)攻擊行為���。
[0046]本發(fā)明實(shí)施例提供的一種對網(wǎng)絡(luò)行為進(jìn)行安全分析的方法的實(shí)現(xiàn)原理示意圖如圖1所示���,具體處理流程如圖2所示,包括如下的處理步驟:
[0047]步驟S210:設(shè)置網(wǎng)絡(luò)主機(jī)的初始的白名單����、灰名單和黑名單。
[0048]在網(wǎng)絡(luò)結(jié)構(gòu)秩序初始化階段����,根據(jù)大量的先驗(yàn)知識得到安全的可信域中的各個(gè)主機(jī)的IP地址和端口號,以及不可信域中的各個(gè)主機(jī)的IP地址和端口號��。然后����,將安全的各個(gè)主機(jī)的IP地址和端口號保存到初始的白名單中,將不可信域中的各個(gè)主機(jī)的IP地址和端口號保存到初始的灰名單中��。并且��,設(shè)置初始的黑名單為空��,黑名單中的主機(jī)的IP地址和端口號是不安全的���,是需要阻斷的���。
[0049]上述白名單、灰名單和黑名單構(gòu)成網(wǎng)絡(luò)秩序結(jié)構(gòu)模型���。
[0050]步驟S220:利用k-means聚類算法對網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)行為進(jìn)行自學(xué)習(xí)得到網(wǎng)絡(luò)行為秩序�,運(yùn)用關(guān)聯(lián)分析算法關(guān)聯(lián)多個(gè)網(wǎng)絡(luò)行為秩序形成一條完整的網(wǎng)絡(luò)行為秩序鏈�����。
[0051]運(yùn)用k-means聚類算法聚合網(wǎng)絡(luò)行為秩序��,k-means聚類算法的工作過程為:首先����,選取每天的網(wǎng)絡(luò)行為次數(shù)大于設(shè)定的閾值(比如5)的主機(jī)作為待聚類的主機(jī),從待聚類的所有網(wǎng)絡(luò)主機(jī)中任意選擇k個(gè)對象作為初始聚類中心�,以每個(gè)初始聚類中心為一簇,依次選取剩下的各個(gè)待聚類的網(wǎng)絡(luò)主機(jī)�,計(jì)算出待聚類的網(wǎng)絡(luò)主機(jī)與各初始聚類中心之間的相似度���,將待聚類的網(wǎng)絡(luò)主機(jī)歸納于最小的組合距離對應(yīng)的初始聚類中心所在的簇,依次類推�,依次將所有待聚類的網(wǎng)絡(luò)主機(jī)分別歸納于對應(yīng)的簇中,完成第一輪網(wǎng)絡(luò)主機(jī)聚類���。
[0052]用各簇的均值元組代替當(dāng)前簇的聚類中心���,按照所述第一輪網(wǎng)絡(luò)主機(jī)聚類的過程,進(jìn)行第二輪的網(wǎng)絡(luò)主機(jī)聚類���,依次類推����,每輪網(wǎng)絡(luò)主機(jī)聚類結(jié)束后�����,用各簇的均值網(wǎng)絡(luò)主機(jī)代替當(dāng)前簇的聚類中心��,并進(jìn)行下一輪的網(wǎng)絡(luò)主機(jī)聚類�����,直至最終所有網(wǎng)絡(luò)主機(jī)所屬的簇不再發(fā)生改變,則聚類結(jié)束����;
[0053]兩個(gè)網(wǎng)絡(luò)主機(jī)X����,Y之間的相似度的計(jì)算公式如下:
[0054]sim(x, y) = (a+d/ (a+b+c+d)
[0055]其中 X = {xl,,�,xi,,�����,xn}��,y = {yl,���,����,yi,����,���,yn},a = Σ xi*yi�,b = Σ yi*(l_xi),c=E xi* (1-yi)�����,d = Σ (l~xi)氺(1-yi)��,(i = 1�����,.2����,.n)。
[0056]xi為在一個(gè)時(shí)間窗內(nèi)網(wǎng)絡(luò)主機(jī)X的第i端口的流量統(tǒng)計(jì)值���,X為在一個(gè)時(shí)間窗內(nèi)網(wǎng)絡(luò)主機(jī)X所有端口的流量統(tǒng)計(jì)序列為在一個(gè)時(shí)間窗內(nèi)網(wǎng)絡(luò)主機(jī)Y的第i端口的流量統(tǒng)計(jì)值�,y為在一個(gè)時(shí)間窗內(nèi)網(wǎng)絡(luò)主機(jī)Y所有端口的流量統(tǒng)計(jì)序列�����,η為網(wǎng)絡(luò)主機(jī)X,Y的主機(jī)端口總數(shù)��。比如網(wǎng)絡(luò)主機(jī)X在60秒內(nèi)80端口的流量統(tǒng)計(jì)值為6000個(gè)��。
[0057]本領(lǐng)域技術(shù)人員應(yīng)能理解上述網(wǎng)絡(luò)主機(jī)之間的相似度的計(jì)算方法僅為舉例���,其他現(xiàn)有的或今后可能出現(xiàn)的輸入框應(yīng)用類型如可適用于本發(fā)明實(shí)施例,也應(yīng)包含在本發(fā)明保護(hù)范圍以內(nèi)�����,并在此以引用方式包含于此��。
[0058]在上述聚類過程結(jié)束以后�,將各個(gè)簇的最終的聚類中心作為該簇中的所有網(wǎng)購主機(jī)的代表。一個(gè)網(wǎng)絡(luò)行為中主要包括會話五元組�,即源IP地址、目的IP地址���、源端口�����、目的端口�、協(xié)議號,上述各個(gè)簇的最終的聚類中心分別對應(yīng)一個(gè)簇的最終的網(wǎng)絡(luò)行為�����。然后�����,運(yùn)用關(guān)聯(lián)分析算法關(guān)聯(lián)多個(gè)網(wǎng)絡(luò)行為形成一條完整的網(wǎng)絡(luò)行為秩序鏈�,多個(gè)網(wǎng)絡(luò)行為秩序鏈構(gòu)成網(wǎng)絡(luò)行為秩序模型。
[0059]白名單里包含主機(jī)IP地址與秩序鏈信息����,在對多個(gè)IP依次進(jìn)行網(wǎng)絡(luò)行為安全性驗(yàn)證時(shí),如果多個(gè)IP地址都在白名單中��,也屬于同一個(gè)秩序鏈���,那么這些IP地址的可信度就會增加���。
[0060]上述網(wǎng)絡(luò)秩序結(jié)構(gòu)模型和網(wǎng)絡(luò)行為秩序模型構(gòu)成網(wǎng)絡(luò)秩序模型。
[0061]步驟S230:利用白名單和黑名單對待識別的網(wǎng)絡(luò)行為進(jìn)行初步的安全驗(yàn)證�。
[0062]針對待識別的網(wǎng)絡(luò)行為�,首先獲取該網(wǎng)絡(luò)行為中包括的會話五元