[发明专利]用于网络安全异常检测的网络路径分析系统及方法

权利要求书

1.用于网络安全异常检测的网络路径分析方法，其特征在于，包括以下步骤：

S10、获取目标网络的网络拓扑结构，控制器对所述目标网络中靠近终端的接口和链路进行染色处理，控制器在靠近平台侧的交换机处，根据流量染色值对接入流量进行过滤处理，得到正常网络流和过滤掉的异常网络流；

S20、对所述正常网络流和异常网络流进行网络流异常分析，得到网络流异常评分；

S30、设置测试模型，对目标网络进行网络攻击检测，以时间间隔△t捕获到网络流序列，经过时间段T₁和T₂后，分别得到检测数据g₁=（V₁，E₁）和g₂=（V₂，E₂），其中T₂＞T₁，V₁和V₂为测试网络流节点集，E₁和E₂为测试网络流的交互关系集；

S40、利用不同攻击类型依次对所述测试模型进行攻击，以时间间隔△t捕获到网络流序列，经过时间段T₁和T₂后，分别得到攻击数据g_1k´=（V_1k´，E_1k´）和g_2k´=（V_2k´，E_2k´），其中V_1k´和V_2k´为不同攻击类型对应的攻击网络流节点集，E_1k´和E_2k´为不同攻击类型对应的攻击网络流的交互关系集，k为攻击类型总数，利用所述攻击数据计算网络攻击最短路径阈值；

S40进一步包括如下步骤：

S41、设置攻击类型标签，根据得到的日志信息识别攻击类型，对相应攻击行为打上攻击类型标签；

S42、计算所述目标网络在不同攻击类型下经过时间段T₁后的第一网络攻击最短路径SPL_1k，以及经过时间段T₂后的第二网络攻击最短路径SPL_2k，SPL_1k和SPL_2k通过以下公式计算：

；

其中d（v_i,v_j）表示网络流节点集中任意1个节点对之间的最短距离，n为节点对个数，n=|V|(|V|-1)/2，|V|为某个时间段对应的网络流节点数；当计算SPL_1k时，对应的节点对个数为n=|V_1k´|(|V_1k´|-1)/2，当计算SPL_2k时，对应的节点对个数为n=|V_2k´|(|V_2k´|-1)/2；

S43、计算网络攻击最短路径最大阈值SPL_max和最小阈值SPL_min：

SPL_max=λ₁SPL₁₁+λ₂SPL₁₂+…+λ_kSPL_1k；

SPL_min=λ₁SPL₂₁+λ₂SPL₂₂+…+λ_kSPL_2k；

其中，λ_k为不同攻击类型的攻击因子；

S50、利用所述网络攻击最短路径阈值对所述检测数据进行网络路径异常分析，得到网络路径异常评分；

S60、通过所述网络流异常评分和所述网络路径异常评分计算目标网络综合评分，综合评估该目标网络的网络拓扑结构脆弱性；

S70、输出该目标网络的网络拓扑结构脆弱性分析结果及相应建议。