[发明专利]基于机器学习的IP分类方法及系统

权利要求书

1.基于机器学习的IP分类方法，其特征在于，包括如下步骤：

步骤1、采集主机流量和威胁情报数据；

步骤2、设置主机流量维度，威胁情报维度；

步骤3、对流量数据进行分析；

步骤4、将分析后的流量数据形成流量数据分析结果；

步骤5、将流量数据分析结果存储到数据库中；

步骤6、对存储到数据库中的流量数据进行对比筛选，筛选出系数相匹配的IP、匹配结果及匹配次数，并将筛选结果生成表格进行展示；

步骤3具体包括如下步骤：

步骤301、对流量数据进行标准化，将各指标特征分布在区间[0,1]；

步骤302、标准化后的流量数据采用kmeans聚类算法处理，通过交叉验证后得到主机流量采用k1＝2，威胁数据采用k2＝4；

步骤303、对标准化后的流量数据采用tsne降维算法处理，得到两个低维空间映射相关系数。

2.根据权利要求1所述的基于机器学习的IP分类方法，其特征在于，步骤1中，通过snmp工具采集主机流量，通过API采集第三方威胁情报数据。

3.根据权利要求1所述的基于机器学习的IP分类方法，其特征在于，步骤2中，设置主机流量维度包括源IP、目的IP及时间，设置威胁情报数据维度包括源IP、攻击数、攻击周期及攻击事件类型。

4.基于机器学习的IP分类系统，其特征在于，包括数据采集单元、数据清洗单元、数据分析单元、IP数据比对单元以及匹配IP数据可视化单元；

所述数据采集单元用于采集主机流量和第三方威胁情报数据；

所述数据清洗单元用于对数据采集单元采集到的数据进行清洗；

所述数据分析单元用于对数据清洗单元处理后的数据进行标准化，使数据标准化到[0,1]之间，再采用kmeans聚类分析和tsne降维分析，对数据进行聚类和分析，并存储到Nosql数据库中；

所述IP数据比对单元用于将主机流量和威胁情报分析结果表中IP、两个相关系数的维度，结合k分类进行比对，筛选出与威胁情报匹配的IP和未匹配的IP；

所述可视化单元用于对IP数据比对单元中的匹配和未匹配的IP进行直观的展示，并添加其匹配结果及匹配次数数据，展示IP分类结果。

5.根据权利要求4所述的基于机器学习的IP分类系统，其特征在于，所述清洗包括行列计算和拆分及归并。