[发明专利]一种桌面云虚拟网络行为分类方法

说明书

本发明涉及云计算网络技术领域，特别是一种桌面云虚拟网络行为分类方法。本发明的方法是：获取一段时间范围内桌面云虚拟机网络端口上虚拟机目的出口网络特征信息；根据出口网络特征信息建立网络特征向量集合；对网络特征向量集合采取聚类分析，最终聚类后分析不同类别的网络数据包特征，特别是某种类别下虚拟网络端口数量较少的数据特征。本方法实现了将桌面云上虚拟机的虚拟网络行为进行分类；可以应用于内部网络安全分析、用户兴趣聚类等多种应用场景。

技术领域

本发明涉及云计算网络技术领域，特别是一种桌面云虚拟网络行为分类方法。

背景技术

随着云计算的普及，很多企业、政府事业单位采用统一的桌面云环境提供办公需求。桌面云环境的虚拟机网络一般是连接外部网络来满足日常的办公需要，其网络的出口需要通常是具有相同的数据包通信特征的；特别是相同部门、相同行业的虚拟桌面云用户，其网络通信应具有大部分的相同外网连接需求。当虚拟桌面云环境入侵后，特别是通过Windows漏洞将木马渗透到虚拟机里面，利用虚拟机的资源在后台进行外部资源的访问或发动网络攻击的时候；我们需要发现虚拟桌面云的网络不正常现象。有时候在公司使用桌面云的时候，需要考虑怎么去挖掘用户的网络行为，调动公司相关同事的兴趣，更加安全的、积极的办公，提高办公效率等。

发明内容

本发明解决的技术问题在于提出了一种桌面云虚拟网络行为分类方法，实现对使用桌面云虚拟机的用户网络行为进行聚类，挖掘用户网络行为的异常以及不同用户的相同兴趣点，间接提高桌面云网络环境的安全性，调动用户办公的积极性。

本发明解决上述技术问题的技术方案是：

所述的方法包括如下步骤：

(1)获取一段时间范围内桌面云虚拟机网络端口上虚拟机目的出口网络特征信息；

(2)根据出口网络特征信息建立网络特征向量集合；

(3)对网络特征向量集合采取聚类分析，最终聚类后分析不同类别的网络数据特征；

所述的聚类分析是将网络特征向量导入到数据分析平台，采用聚类算法；将聚类分成2类，并定义最小阈值和最大阈值；首先观察每个类别下端口特征记录数量，如果特征记录数量小于最小阈值将不再执行，将该类别下的端口特征记录作为一类；该类别可作为特别观察项；如果另外类别的端口数量大于该最小阈值且超过最大阈值，则可以再进行聚类分析，依次进行，直到类别中端口数量小于最大阈值。

所述的出口网络特征信息包括IP地址、流量大小；并进行持久化存储。

所述的一段时间是自定义的时间段；可以是一小时，一天；在该时间段内的目的IP地址下的流量大小进行累加处理。

所述的特征向量为矩阵特征向量，向量特征为目的IP地址，特征的值为流量大小。

所述的聚类分析中，利用Spark平台；获取类别下的特征向量中相同的特征项，特征项描述了目的IP地址信息，再利用外部信息识别出该IP地址所代表的所在区域以及提供的服务信息，从而发现潜在的使用虚拟机用户的相同兴趣点。

本发明方案的有益效果如下：

(1)实现了对使用桌面云虚拟机的用户网络行为进行聚类；

(2)挖掘用户网络行为的异常以及不同用户的相同兴趣点；

(3)间接提高桌面云网络环境的安全性，调动用户办公的积极性。

附图说明

下面结合附图对本发明进一步说明：

图1为本发明方法的流程图。

具体实施方式

本发明的实施流程如图1所示，具体实施步骤如下：