基于IP地址分類識(shí)別的問(wèn)題線路確定方法與流程

本發(fā)明涉及網(wǎng)絡(luò)安全，尤其是涉及基于ip地址分類識(shí)別的問(wèn)題線路確定方法。

背景技術(shù)：

1、隨著網(wǎng)絡(luò)攻擊手段的復(fù)雜化與規(guī)模化，傳統(tǒng)的基于流量閾值或靜態(tài)規(guī)則的安全檢測(cè)方法逐漸暴露出局限性。現(xiàn)有技術(shù)通常采用單一維度的特征（如請(qǐng)求頻率、端口訪問(wèn)次數(shù)）進(jìn)行異常判定，難以有效識(shí)別低頻隱蔽攻擊或協(xié)議混合型攻擊行為。例如，針對(duì)分布式拒絕服務(wù)（ddos）攻擊中攻擊源ip的分散化與行為偽裝，傳統(tǒng)方法易因特征維度單一導(dǎo)致漏檢，或在動(dòng)態(tài)網(wǎng)絡(luò)負(fù)載下因固定閾值產(chǎn)生大量誤報(bào)。

2、此外，現(xiàn)有方案多聚焦于單個(gè)ip地址的行為分析，缺乏對(duì)協(xié)同攻擊群體的關(guān)聯(lián)挖掘，難以應(yīng)對(duì)跨ip協(xié)同的端口掃描、跨協(xié)議攻擊等新型威脅。在檢測(cè)效率方面，海量ip數(shù)據(jù)的實(shí)時(shí)處理需求與計(jì)算資源消耗之間的矛盾日益突出，尤其在云環(huán)境或大型企業(yè)網(wǎng)絡(luò)中，傳統(tǒng)集中式檢測(cè)架構(gòu)難以平衡檢測(cè)精度與實(shí)時(shí)性要求。

3、上述缺陷使得現(xiàn)有技術(shù)無(wú)法滿足復(fù)雜網(wǎng)絡(luò)環(huán)境下精準(zhǔn)識(shí)別問(wèn)題線路、自適應(yīng)防御協(xié)同攻擊的需求，亟須一種融合多維度行為分析、動(dòng)態(tài)閾值調(diào)整及高效群體檢測(cè)的綜合解決方案。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的是提供基于ip地址分類識(shí)別的問(wèn)題線路確定方法，克服了現(xiàn)有方法在多維度攻擊行為識(shí)別、動(dòng)態(tài)閾值適應(yīng)及協(xié)同攻擊群體檢測(cè)方面的不足。

2、為實(shí)現(xiàn)以上目的，本發(fā)明通過(guò)以下技術(shù)方案予以實(shí)現(xiàn)：

3、基于ip地址分類識(shí)別的問(wèn)題線路確定方法，包括以下步驟：

4、采集網(wǎng)絡(luò)流量日志中的ip地址行為數(shù)據(jù)，所述行為數(shù)據(jù)包括時(shí)間戳、協(xié)議類型、目標(biāo)端口及物理位置；

5、根據(jù)所述行為數(shù)據(jù)提取每個(gè)ip地址的多維度特征，所述多維度特征至少包括時(shí)間規(guī)律性熵值、協(xié)議多樣性比例、目標(biāo)端口分散度及請(qǐng)求速率變化率；

6、基于所述多維度特征構(gòu)建ip關(guān)聯(lián)圖，其中節(jié)點(diǎn)表示ip地址，邊權(quán)重通過(guò)融合特征相似性、時(shí)間同步性及物理位置距離計(jì)算得到；

7、對(duì)所述ip關(guān)聯(lián)圖進(jìn)行社區(qū)劃分，檢測(cè)具有相似行為模式的異常ip群體；

8、根據(jù)歷史誤報(bào)率和實(shí)時(shí)網(wǎng)絡(luò)負(fù)載動(dòng)態(tài)調(diào)整檢測(cè)閾值，所述動(dòng)態(tài)調(diào)整通過(guò)反饋控制機(jī)制實(shí)現(xiàn)；

9、基于所述檢測(cè)閾值和異常ip群體的統(tǒng)計(jì)特征，判定問(wèn)題線路并生成告警信息。

10、優(yōu)選的，所述采集網(wǎng)絡(luò)流量日志中的ip地址行為數(shù)據(jù)時(shí)，過(guò)濾內(nèi)網(wǎng)ip地址，僅保留公網(wǎng)ip地址進(jìn)行分析。

11、優(yōu)選的，所述根據(jù)所述行為數(shù)據(jù)提取每個(gè)ip地址的多維度特征的步驟中：

12、時(shí)間規(guī)律性熵值：基于ip請(qǐng)求時(shí)間戳的分箱統(tǒng)計(jì)結(jié)果，計(jì)算時(shí)間間隔分布的熵值；

13、協(xié)議多樣性比例：統(tǒng)計(jì)http與https協(xié)議請(qǐng)求數(shù)占ip總請(qǐng)求數(shù)的比例；

14、目標(biāo)端口分散度：根據(jù)ip訪問(wèn)的目標(biāo)端口號(hào)計(jì)算其方差，用于衡量端口訪問(wèn)集中程度；

15、請(qǐng)求速率變化率：通過(guò)滑動(dòng)窗口內(nèi)請(qǐng)求量的二階導(dǎo)數(shù)，量化請(qǐng)求速率的突變程度。

16、優(yōu)選的，所述ip關(guān)聯(lián)圖中邊權(quán)重的計(jì)算公式為：

17、

18、其中，表示ip地址和的特征向量；表示特征向量與的余弦相似度；表示ip地址和在時(shí)間窗口內(nèi)的請(qǐng)求時(shí)間序列數(shù)據(jù)；為時(shí)間同步性系數(shù)，表示兩個(gè)ip請(qǐng)求行為的時(shí)間相關(guān)性；表示ip地址和的物理位置經(jīng)緯度坐標(biāo)；表示基于經(jīng)緯度坐標(biāo)計(jì)算的球面地理距離；為非負(fù)權(quán)重參數(shù)。

19、優(yōu)選的，所述對(duì)所述ip關(guān)聯(lián)圖進(jìn)行社區(qū)劃分，檢測(cè)具有相似行為模式的異常ip群體的步驟包括：

20、使用louvain算法對(duì)ip關(guān)聯(lián)圖進(jìn)行社區(qū)發(fā)現(xiàn)，輸出具有強(qiáng)關(guān)聯(lián)性的ip群體集合；

21、計(jì)算每個(gè)社區(qū)內(nèi)ip地址的協(xié)議熵，所述協(xié)議熵用于衡量社區(qū)內(nèi)網(wǎng)絡(luò)協(xié)議類型的分布隨機(jī)性；

22、若協(xié)議熵低于預(yù)設(shè)閾值，則縮短當(dāng)前時(shí)間窗口長(zhǎng)度以提升檢測(cè)敏感度；

23、對(duì)每個(gè)社區(qū)內(nèi)的ip地址進(jìn)行二次聚類，結(jié)合時(shí)間同步性與行為特征相似性，識(shí)別突發(fā)性異常子群體。

24、優(yōu)選的，所述根據(jù)歷史誤報(bào)率和實(shí)時(shí)網(wǎng)絡(luò)負(fù)載動(dòng)態(tài)調(diào)整檢測(cè)閾值的步驟包括：

25、建立反饋控制模型，其輸入為實(shí)時(shí)誤報(bào)率和異常ip群體規(guī)模，輸出為檢測(cè)閾值調(diào)整量；

26、基于pid控制機(jī)制計(jì)算閾值調(diào)整量，公式為：

27、

28、其中，為下一時(shí)刻的檢測(cè)閾值；為當(dāng)前時(shí)刻的檢測(cè)閾值；，為初始比例系數(shù)，為當(dāng)前異常ip群體規(guī)模，為總活躍ip數(shù)量；為積分系數(shù)；為微分系數(shù)；實(shí)時(shí)誤報(bào)率，定義為錯(cuò)誤告警次數(shù)與總告警次數(shù)的比值；歷史誤報(bào)率從初始時(shí)刻到當(dāng)前時(shí)刻的積分；為誤報(bào)率隨時(shí)間的變化率；

29、根據(jù)實(shí)時(shí)網(wǎng)絡(luò)負(fù)載對(duì)閾值進(jìn)行補(bǔ)償，當(dāng)負(fù)載超過(guò)預(yù)設(shè)安全值時(shí)，按比例降低檢測(cè)閾值：

30、

31、其中，為經(jīng)過(guò)負(fù)載補(bǔ)償后的最終檢測(cè)閾值；為實(shí)時(shí)網(wǎng)絡(luò)負(fù)載；為預(yù)設(shè)的網(wǎng)絡(luò)負(fù)載安全閾值；為網(wǎng)絡(luò)允許的最大負(fù)載閾值。

32、優(yōu)選的，所述初始比例系數(shù)、積分系數(shù)、微分系數(shù)通過(guò)歷史攻擊數(shù)據(jù)訓(xùn)練得到；

33、當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變更時(shí)，基于預(yù)設(shè)時(shí)間段內(nèi)的誤報(bào)率和攻擊數(shù)據(jù)重新訓(xùn)練所述初始比例系數(shù)、積分系數(shù)、微分系數(shù)。

34、優(yōu)選的，所述統(tǒng)計(jì)特征滿足以下任一條件時(shí)判定為問(wèn)題線路：

35、異常ip群體規(guī)模超過(guò)當(dāng)前檢測(cè)閾值；

36、異常群體行為與正常模式的馬氏距離超過(guò)預(yù)設(shè)倍數(shù)標(biāo)準(zhǔn)差。

37、優(yōu)選的，所述告警信息包括異常ip列表、關(guān)聯(lián)時(shí)間窗口及攻擊類型分類。

38、本發(fā)明還提供基于ip地址分類識(shí)別的問(wèn)題線路確定裝置，包括：

39、數(shù)據(jù)采集模塊，用于過(guò)濾并劃分網(wǎng)絡(luò)流量日志中的ip行為數(shù)據(jù)；

40、特征提取模塊，用于計(jì)算多維度特征并生成特征矩陣；

41、關(guān)聯(lián)圖構(gòu)建模塊，用于計(jì)算ip節(jié)點(diǎn)間邊權(quán)重并生成關(guān)聯(lián)圖；

42、社區(qū)檢測(cè)模塊，用于劃分異常ip群體并動(dòng)態(tài)調(diào)整時(shí)間窗口；

43、動(dòng)態(tài)調(diào)參模塊，用于通過(guò)pid反饋機(jī)制優(yōu)化檢測(cè)閾值；

44、告警輸出模塊，基于閾值和統(tǒng)計(jì)特征生成問(wèn)題線路告警。

45、綜上所述，本發(fā)明包括以下至少一種有益技術(shù)效果：

46、1.本發(fā)明通過(guò)融合時(shí)間規(guī)律性熵值、協(xié)議多樣性比例等異構(gòu)特征，構(gòu)建ip關(guān)聯(lián)圖進(jìn)行群體行為分析，克服傳統(tǒng)方法依賴單一特征導(dǎo)致的檢測(cè)盲區(qū)。相較于僅基于流量閾值或協(xié)議統(tǒng)計(jì)的檢測(cè)方式，多維度特征協(xié)同分析能夠更全面識(shí)別隱蔽性攻擊（如低頻慢速攻擊、混合協(xié)議掃描），顯著提升異常行為檢出率。

47、?2.本發(fā)明引入基于pid反饋控制與網(wǎng)絡(luò)負(fù)載補(bǔ)償?shù)拈撝祫?dòng)態(tài)調(diào)整機(jī)制，解決固定閾值在流量波動(dòng)場(chǎng)景下的誤報(bào)與漏檢矛盾。通過(guò)實(shí)時(shí)誤報(bào)率與攻擊數(shù)據(jù)反饋，閾值可隨攻擊強(qiáng)度、網(wǎng)絡(luò)負(fù)載智能調(diào)節(jié)，在高并發(fā)業(yè)務(wù)流量中保持檢測(cè)靈敏度，同時(shí)避免低負(fù)載時(shí)過(guò)度告警。

48、?3.本發(fā)明通過(guò)協(xié)議-端口映射表與馬氏距離統(tǒng)計(jì)判定，實(shí)現(xiàn)攻擊類型的自動(dòng)化分類（如ddos、端口掃描等）。結(jié)合異常ip列表與關(guān)聯(lián)時(shí)間窗口信息，支持攻擊源快速定位與攻擊鏈溯源分析，為后續(xù)防御策略制定提供數(shù)據(jù)支撐，縮短安全事件響應(yīng)周期。

49、?4.本發(fā)明采用社區(qū)劃分與二次聚類相結(jié)合的檢測(cè)架構(gòu)，在粗粒度社區(qū)劃分基礎(chǔ)上進(jìn)行細(xì)粒度子群體分析。該分層檢測(cè)策略有效降低計(jì)算復(fù)雜度，同時(shí)通過(guò)協(xié)議熵驅(qū)動(dòng)的動(dòng)態(tài)時(shí)間窗口調(diào)整，提升對(duì)突發(fā)性攻擊的實(shí)時(shí)捕捉能力，適用于大規(guī)模網(wǎng)絡(luò)環(huán)境下的高效檢測(cè)。

50、?5.本發(fā)明告警信息與第三方安全設(shè)備（如防火墻、流量清洗系統(tǒng)）的api接口集成，實(shí)現(xiàn)攻擊ip自動(dòng)封禁、異常流量牽引等處置操作。通過(guò)檢測(cè)與處置的閉環(huán)聯(lián)動(dòng)，減少人工干預(yù)延遲，提升網(wǎng)絡(luò)安全防護(hù)體系的主動(dòng)防御能力。