[发明专利]一种基于异常流量检测的网络安全态势感知方法及装置

说明书

本发明公开了一种基于异常流量检测的网络安全态势感知方法及装置，方法包括：对网络异常流量进行分类，得到异常流量分类结果；基于异常流量分类结果对网络安全态势进行评估，得到网络安全态势评估结果；基于网络安全态势评估结果对网络安全态势进行预测，得到网络安全态势预测结果。本发明解决了网络服务运营者网络系统流量无法可知可控的问题，能够通过异常流量分类，找到威胁的来源以及类型，能够确定威胁的危害程度，并通过定量方法预测网络安全态势，从而指导网络服务运营者尽快采取相应的防护措施。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于异常流量检测的网络安全态势感知方法及装置。

背景技术

随着互联网的快速发展，电子政务、电子商务、电子金融等网络服务越来越流行，用户的生活、工作和学习逐渐由现实世界转移到互联网中来，人们对互联网的依赖正在日益增加。然而，互联网的开放性特点使得任何符合其技术标准的设备或软件都可以不受限制地接入互联网，导致互联网各类安全事件层出不穷，网络安全形势变得日益严峻。

网络异常流量对企业的网络服务影响十分严重，网络设备故障、内网用户有意无意的非法操作以及病毒爆发都能导致网络瘫痪、业务中断；黑客攻击等会导致核心数据泄露或被毁坏，对企业经济造成巨额损失；业务停顿、数据外泄必然会导致公司声誉受损，伤害影响深远。当面临各种网络安全威胁时，发现和判断异常流量的效率将是有决定性意义的。目前机器学习技术已应用于异常流量检测，建立了相应的理论体系，取得了一些研究成果，但在通用性、检测范围、对实际工作的指导方面仍存在很大不足。

因此，如何更加有效全面的通过异常流量检测对网络安全态势进行感知，是一项亟待解决的问题。

发明内容

有鉴于此，本发明提供了一种基于异常流量检测的网络安全态势感知方法，解决了网络服务运营者网络系统流量无法可知可控的问题，能够通过异常流量分类，找到威胁的来源以及类型，能够确定威胁的危害程度，并通过定量方法预测网络安全态势，从而指导网络服务运营者尽快采取相应的防护措施。

本发明提供了一种基于异常流量检测的网络安全态势感知方法，包括：

使用k均值聚类算法和C4.5决策树算法对网络异常流量进行分类，得到异常流量分类结果；

基于所述异常流量分类结果对网络安全态势进行评估，得到网络安全态势评估结果，其中，具体评估步骤如下：

基于统计分析方法计算各类异常流量危害程度，评估网络安全态势，以及

基于统计分析方法计算各个漏洞被利用的可能性，分析漏洞利用概率；

基于所述网络安全态势评估结果对网络安全态势进行预测，得到网络安全态势预测结果，其中，具体预测步骤如下：

基于预测方法和历史网络安全态势数据，预测未来的网络安全态势，以及

基于预测方法和历史漏洞利用概率数据，预测未来的漏洞利用概率。

优选地，所述对网络异常流量进行分类，得到异常流量分类结果，包括：

选择流量数据包的属性特征；

采集流量数据包的属性特征；

依据源IP地址统计流量数据包的个数，当个数超过阈值时则判定该IP地址对应的流量数据包为异常流量；

使用k均值聚类算法将异常流量划分成簇；

针对每一个簇，使用C4.5决策树算法进行分类；

将所有簇中相同的类合并为一类，得到异常流量分类结果。

一种基于异常流量检测的网络安全态势感知装置，包括：