[发明专利]基于同心轴多维数据可视化模型检测DDos攻击的方法

摘要

本发明属于网络安全可视化领域，涉及一种基于同心轴多维数据可视化模型检测DDos攻击的方法，包括：从原始网络数据中提取源IP地址，目的IP地址，目的端口号作为可视化模型的三个维度；创建同心轴多维数据可视化模型，把源IP地址、目的IP地址和目的端口号依次映射到同心轴从内到外的三个轴上；采用“焦点+背景环境”的径向畸变和角度畸变的交互方法调整坐标轴和曲线空间分布，使同心轴多维数据可视化图形的细节得到更清晰的显示；通过得到同心轴图形的特征和DDos的特征来分析目标是否遭到了DDos攻击。本发明能给予网络分析人员更加清晰、易辨识、可控的可视化结果极大的增加网络分析人员发现DDos攻击的可能。

主权项

1.一种基于同心轴多维数据可视化模型检测DDos攻击的方法，包括以下几个部分：(1)网络数据的获取和提取：从原始数据提取源IP地址，目的IP地址，目的端口号作为可视化模型的三个维度；(2)以显示屏幕中心为原点，根据屏幕的尺寸建立3个半径依次递增同心圆周，把源IP地址、目的IP地址和目的端口号三类数据依次映射到同心轴从内到外的三个轴上，称数据点为三类数据映射到三个同心轴上的点，方法如下：源IP地址和目的IP地址在各自的同心轴上对应的位置的计算公式：x轴坐标为cos(sIP.val/sIP.maxval*2)*RadiussIP，y轴坐标为sin(sIP.val/sIP.maxval*2)*RadiussIP，其中，sIP.val为将要显示的源IP地址转换成的十进制数值；sIP.maxval为将255.255.255.255转换成十进制后的数值；RadiussIP为将要显示的源IP地址所在轴的轴半径；目的端口号在同心轴上对应的位置的计算公式：x轴坐标为cos(dPort.val/dPort.maxval*2)*RadiusPort，y轴坐标为sin(dPort.val/dPort.maxval*2)*RadiusPort，其中，dPort.val为当前端口号，dPort.maxval为最大端口号，RadiusPort为目的端口号所在轴的轴半径；(3)按照下列的同心轴曲线的表示方法，绘制步骤(2)中映射到三个同心轴上的数据点的曲线空间分布，建立多维数据可视化模型：(a).设两个数据点分别位于一个同心轴的两个纬度上，极坐标值分别是θ_a和θ_b，定义由这两个数据点形成的曲线的弯曲方向：其中，δ(e)＝sgn[(Δθ)·(|Δθ|-π)]，Δθ＝θ_a-θ_b；(b).曲线模型的选取：给定n+1个控制点P_i(i∈{0，1，2L，n})，定义一条n次参数曲线，其中只有首尾两个控制点在曲线上，该n次参数曲线定义为：Pi,n(t)=Σk=0nPi+k·Fk,n(t),t∈[0,1],]]>其中，F_k，n(t)为n次B样条基函数，其表达式为：Fk,n(t)=1n!Σj=0n-k(-1)j·Cn+1j·(t+n-k-j)n,]]>其中t∈[0，1]，k∈{0，1，2L，n}；(c).曲线歧义的消减：引入称之为拉伸系数的权变量β，以给定n+1个控制点为基础构造一组新的控制点，各新控制点的定义如下：Pi′=β·Pi+(1-β)(P0+in-i(Pn-1-P0));]]>其中n表示控制点个数，i∈{0，1，2L，n}，β∈[0，1]；(4)使用径向畸变和角度畸变的交互方法调整坐标轴和曲线空间分布两部分：(a).在同心轴中定义径向畸变的交互方法：设同心轴坐标系中各轴X_α(α∈[1，3])，当进行人机交互操作选定其中一个轴X_k，并将其半径调整至时ρ_k时，则其他轴的新半径为ρα′=(ρα-ρ1ρk-ρ1)2·(ρk-ρ1)+ρ1,ifρα<ρk(ρN-ραρN-ρk)2·(ρN-ρk)+ρk,ifρα>ρk,]]>其中，ρ_α为其他轴的原半径，ρ₁为其他轴最内圈的半径，ρ_N为其他轴最外圈的半径；(b).在同心轴中引入角度畸变方法：在选取了所需观察的某维度上数据区间后，在维度上相应区域的数据在同心轴相应坐标轴上对应的映射区间被放大，而其余数据对应的映射区间被压缩，使得所观察的数据区间在视图中显示更多的细节；(5)判断目标是否遭到DDos攻击：对网络数据建立上述的基于同心轴多维数据可视化模型后，应用两种畸变的交互方法，实现对DDos攻击的检测。