[发明专利]基于机器学习的IP分类方法及系统

说明书

本发明提出一种基于机器学习的IP分类方法及系统，属于计算机网络数据安全技术领域。本发明技术方案要点为：方法包括：采集主机流量和威胁情报数据；设置主机流量维度，威胁情报维度；对流量数据进行分析；将分析后的流量数据形成流量数据分析结果；将流量数据分析结果存储到数据库中；对存储到数据库中的流量数据进行对比筛选，并将筛选结果进行可视化展示。系统包括：数据采集单元、数据清洗单元、数据分析单元、IP数据比对单元以及匹配IP数据可视化单元。本发明能够快速、高效的对IP地址进行分类，实现对威胁情报进行分析和展示。

技术领域

本发明涉及计算机网络数据安全技术，特别涉及基于机器学习的IP分类的技术。

背景技术

随着网络和科技的迅速发展，互联网所承载的信息日渐丰富，在一方面为人们带来便利的同时，也存在大量安全隐患，ddos，木马，蠕虫等攻击时有发生，互联网安全形势严峻。当前的主要挑战是建立安全的应用程序，系统和网络，用于企业内部安全访控策略调整，提高企业内部控制异常访问的精确度。一般企业内部资产数量庞大，威胁检测也是基于已发生攻击的检测，缺乏对各种安全威胁的预知和部署，如果没有做好访控调整，可能会导致异常访问控制不到位引起安全风险增加。随着第三方威胁情报平台众多，也带来了丰富的全球安全情报资源，而主动防御讲的就是怎么利用安全情报发现一些可能对企业造成危害的攻击来源，包括用户异常行为关联分析和各种各样的结果。这是一个很好的主动去发现企业可能被攻击的状况，然后调整安全策略的一个方法。

发明内容

本发明的目的是提供一种基于机器学习的IP分类方法及系统，能够快速、高效的对IP地址进行分类，实现对威胁情报进行分析和展示。

本发明解决其技术问题，采用的技术方案是：基于机器学习的IP分类方法，包括如下步骤：

步骤1、采集主机流量和威胁情报数据；

步骤2、设置主机流量维度，威胁情报维度；

步骤3、对流量数据进行分析；

步骤4、将分析后的流量数据形成流量数据分析结果；

步骤5、将流量数据分析结果存储到数据库中；

步骤6、对存储到数据库中的流量数据进行对比筛选，并将筛选结果进行可视化展示。

具体地，步骤1中，通过snmp工具采集主机流量，通过API采集第三方威胁情报数据。

进一步地，步骤2中，设置主机流量维度包括源IP、目的IP及时间，设置威胁情报数据维度包括源IP、攻击数、攻击周期及攻击事件类型。

具体地，步骤3具体包括如下步骤：

步骤301、对流量数据进行标准化，将各指标特征分布在区间[0,1]；

步骤302、标准化后的流量数据采用kmeans聚类算法处理，通过交叉验证后得到主机流量采用k1＝2，威胁数据采用k2＝4；

步骤303、对标准化后的流量数据采用tsne降维算法处理，得到两个低维空间映射相关系数。

再进一步地，步骤6具体是指：对存储到数据库中的流量数据进行对比筛选，筛选出系数相匹配的IP、匹配结果及匹配次数，并将筛选结果生成表格进行展示。

基于机器学习的IP分类系统，包括数据采集单元、数据清洗单元、数据分析单元、IP数据比对单元以及匹配IP数据可视化单元；

所述数据采集单元用于采集主机流量和第三方威胁情报数据；

所述数据清洗单元用于对数据采集单元采集到的数据进行清洗；