[发明专利]一种基于K-Means的正常Server IP白名单的挖掘方法

权利要求书

1.一种基于K-Means的正常ServerIP白名单的挖掘方法，其特征在于，所述方法包括如下步骤：

A.采集大量的网络流量并进行解析，提取出常用互联网公司的Server IP及对应域名并保存得到初始白名单，然后还原两个IP间的双向流并保存为pcap文件；

所述的步骤A进一步包括如下步骤：

A1.通过Wireshark和Streamdump流量采集工具采集所需网络流量并保存为pcap文件；

A2.利用Streamdump解析出两个IP间的双向流，保存四元组参数命名IP[Port]-IP[Port].pcap文件；

A3.从采集的网络流量中提取出常用域名的ServerIP构建初始白名单；

B.根据步骤A得到的双向流pcap文件，进行解析然后统计分析流的基本信息；

所述的步骤B进一步包括如下步骤：

B1.利用Streamdump解析步骤A中得到的四元组参数命名pcap文件；

B2.根据解析结果，统计实验所需相关流信息；

B3.提取的流信息具体包括：流开始时间戳、源地址、目的地址、源端口、目的端口、上行包个数、下行包个数、上行包总载荷大小、下行包总载荷大小、传输层上行包载荷不为0个数、传输层下行包载荷不为0个数、目的地址对应的域名、上行包总载荷与下行包总载荷的比值；

B4.将提取到的流信息存入数据库；

C.根据步骤B得到的流信息，以ServerIP为研究对象提取流特征；

所述的步骤C进一步包括如下步骤：

C1.从数据库读取步骤B中提取到的流信息；

C2.提取实验所需的流特征；

C3.提取的流特征的属性包括：目的地址、域名、所有流中最大的下行流载荷大小、所有流中最大的上行流载荷大小、总上行流与总上行流和总下行流和的比值、下/上在[0-0.2)内的条数占总条数的值、下/上在[0.2-0.6)内的条数占总条数的值、下/上在[0.6-1)内的条数占总条数的值、下/上在[1-4)内的条数占总条数的值、下/上在[4-10)内的条数占总条数的值、下/上大于10的条数占总条数的值、上行流载荷在[2，6)KB的条数占总条数的比例、上行流载荷在[6，14)KB的条数占总条数的比例、上行流载荷大于14KB的条数占总条数的比例、下行流载荷在[0，2)KB的条数占总条数的比例、下行流载荷在[2，6)KB的条数占总条数的比例、下行流载荷在[6，14)KB的条数占总条数的比例、下行流载荷大于14KB的条数占总条数的比例；

C4.将提取到的流特征集保存为CSV文件；

D.利用K-Means聚类算法进行聚类，然后分析聚类结果得到正常ServerIP白名单；

所述的步骤D进一步包括如下步骤：

D1.利用K-Means聚类算法，对提取到的流特征集进行聚类，并将聚类结果以(ServerIP，聚类标签)的形式进行保存；

D2.分析步骤A中得到的初始白名单在聚类结果中的分布，通过观察分布特征，从而挖掘出正常Server IP白名单。