[发明专利]一种虚拟主机防御优化方法

摘要

本发明公开了一种虚拟主机防御优化方法，所述方法包括S1、部署攻击典型样例到虚拟机网络，利用协议分析技术，实时监控与接收虚拟机网络内通信数据，监控网络内TCP和UDP协议通信数据，只处理通信数据的抓包信息；S2、据上述接收的通信数据；S3、部署网络攻击检测系统到待检网络，利用协议分析技术，实时监控与接收真实网络内通信数据，监控网络内TCP和UDP协议通信数据，只处理通信数据的抓包信息，同时进行网络攻击特征提取与预处理；S4、利用网络攻击综合实时检测方法，对待检网络进行网络攻击分析与检测；本发明能够对网络攻击进行快速、在线、实时的通用检测，准确性、实时性和溯源性更好。

主权项

一种虚拟主机防御优化方法，其特征在于，所述方法包括：S1、部署攻击典型样例到虚拟机网络，利用协议分析技术，实时监控与接收虚拟机网络内通信数据，监控网络内TCP和UDP协议通信数据，只处理通信数据的抓包信息；S2、据上述接收的通信数据，提取初始阶段网络攻击特征，采用分类方法SPRINT进行分类器训练，产生网络攻击初始阶段分类决策树模型；所述分类方法SPRINT包括如下步骤，其中的F代表初始化阶段的特征数据流集合，其中Fi＝(P1,…，Pn)，Pi代表F中的属性：i)如果F满足停止条件，则返回；ii)对于各个属性Pi，找到一个值或者值集，产生最佳分裂；iii)比较各个属性的最佳分裂，选择最佳的将F分为F1和F2；iv)递归对F1和F2产生决策树；S3、部署网络攻击检测系统到待检网络，利用协议分析技术，实时监控与接收真实网络内通信数据，监控网络内TCP和UDP协议通信数据，只处理通信数据的抓包信息，同时进行网络攻击特征提取与预处理；S4、利用网络攻击综合实时检测方法，对待检网络进行网络攻击分析与检测；该综合实时检测方法输入为某网段内已经预处理的格式化网络数据流，输出为疑似被感染的主机信息；步骤如下：S4.1、实际参数初始化，方法开始执行；S4.2、判断数据集是否满足网络攻击攻击阶段特征，采用非参数化递归CUSUM算法判断网段内是否出现DDOS或者SMTP异常报文特征，如果满足攻击阶段特征，则转向S4.4，S4.4返回后结合其结果和出现攻击特征的主机进一步判断并给出疑似被感染主机情况，继续S4.1；S4.3、如果数据满足初始阶段特征，则使用训练后的分类决策树进行判断，给出疑似被感染主机，返回S4.1继续；S4.4、根据需要将外网、内网的主机网络连接信息格式化成数据集D＝{(IljCl2,‑,d,,…，dn}，元素个数为n，Cli代表源/目的地址连接；任选k个数据作为初始聚类中心；计算其它数据与上述k个数据的相似度，根据相似度大小把其它数据分配到k个集合中；计算每个新集合的聚类中心；不断重复上述过程直到收敛结束；输出疑似被感染主机信息。