本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，特別涉及一種基于流量統(tǒng)計(jì)特征的路由器威脅感知方法及系統(tǒng)，該方法包含：采集路由器軟件系統(tǒng)中各路由執(zhí)行體流量特征；對(duì)采集到的流量特征進(jìn)行數(shù)據(jù)預(yù)處理，獲取用于聚類分析的特征數(shù)據(jù)；基于Conopy算法對(duì)特征數(shù)據(jù)進(jìn)行一級(jí)聚類，并基于輪廓系數(shù)選取最佳K值；根據(jù)最佳K值對(duì)多個(gè)路由執(zhí)行體進(jìn)行二級(jí)聚類分析，依據(jù)聚類中心點(diǎn)和聚類簇獲取兩兩路由執(zhí)行體的聚類中心點(diǎn)距離；通過聚類中心點(diǎn)距離判定存在威脅的路由執(zhí)行體為異常路由執(zhí)行體。本發(fā)明從路由器的流量信息為出發(fā)點(diǎn)，基于流量統(tǒng)計(jì)特征實(shí)現(xiàn)路由器威脅感知檢測(cè)，拓寬擬態(tài)路由器異常檢測(cè)的維度，提升網(wǎng)絡(luò)安全防御性能，具有較好的應(yīng)用前景。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域，特別涉及一種基于流量統(tǒng)計(jì)特征的路由器威脅感知方法及系統(tǒng)。

背景技術(shù)

互聯(lián)網(wǎng)在帶給人們生活便利的同時(shí)，也帶來了網(wǎng)絡(luò)安全隱患。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，互聯(lián)網(wǎng)安全問題層出不窮。路由器作為網(wǎng)絡(luò)空間信息基礎(chǔ)設(shè)施的核心裝備，通過對(duì)不同網(wǎng)絡(luò)之間的數(shù)據(jù)包的存儲(chǔ)、分組轉(zhuǎn)發(fā)處理，實(shí)現(xiàn)了互聯(lián)網(wǎng)絡(luò)中的信息傳遞，其安全性直接影響乃至制約網(wǎng)絡(luò)空間安全。路由器的安全威脅體現(xiàn)在主系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)中的漏洞無法避免和使用開源代碼無意識(shí)帶入的陷門，其漏洞和后門一旦被利用就會(huì)產(chǎn)生難以估量的危害。因此，如何保障路由器的安全性與可靠性、研究路由器的安全防護(hù)，對(duì)維護(hù)互聯(lián)網(wǎng)體系的穩(wěn)定、提升互聯(lián)網(wǎng)體系的抗攻擊性具有重要作用。傳統(tǒng)的對(duì)路由器的安全防護(hù)技術(shù)是一種靜態(tài)的防御方法。傳統(tǒng)的安全防御思想建立在現(xiàn)有的網(wǎng)絡(luò)體系架構(gòu)上，通過部署防御策略對(duì)數(shù)據(jù)傳輸系統(tǒng)提供安全保護(hù)，主要包括用戶驗(yàn)證等訪問控制技術(shù)、建立虛擬專用網(wǎng)等傳輸加密技術(shù)、防火墻防護(hù)技術(shù)、內(nèi)置入侵檢測(cè)技術(shù)等，通過不斷地挖掘漏洞、封堵后門等被動(dòng)的方式來自我完善。當(dāng)系統(tǒng)目標(biāo)遭受到木馬威脅或后門攻擊時(shí)，由于特征庫未能及時(shí)更新從而導(dǎo)致被動(dòng)防御系統(tǒng)產(chǎn)生滯后性。同時(shí)，被動(dòng)防御的方式依賴于先驗(yàn)知識(shí)，難以抵御未知的安全威脅，這種只能針對(duì)“特異性”攻擊的防御效果使得被動(dòng)防御存在較大的局限性。擬態(tài)防御思路是通過構(gòu)建具有動(dòng)態(tài)性、冗余性、異構(gòu)性等內(nèi)生安全能力的系統(tǒng)，改變傳統(tǒng)安全防護(hù)技術(shù)固有的靜態(tài)性、確定性和相似性，減少漏洞等的利用成功率并且干擾后門等的可控性，從而顯著增加攻擊難度和成本。擬態(tài)防御通過或動(dòng)態(tài)化、多樣化機(jī)制與策略的選取，構(gòu)建一種內(nèi)生安全的融合式防御體系，極大地增加攻擊的難度與成本。

發(fā)明內(nèi)容

為此，本發(fā)明提供一種基于流量統(tǒng)計(jì)特征的路由器威脅感知方法及系統(tǒng)，從路由器的流量信息為出發(fā)點(diǎn)，基于流量統(tǒng)計(jì)特征實(shí)現(xiàn)路由器威脅感知檢測(cè)，拓寬擬態(tài)路由器異常檢測(cè)的維度，提升網(wǎng)絡(luò)安全防御性能。

按照本發(fā)明所提供的設(shè)計(jì)方案，提供一種基于流量統(tǒng)計(jì)特征的路由器威脅感知方法，包含如下內(nèi)容：

采集路由器軟件系統(tǒng)中各路由執(zhí)行體流量特征；對(duì)采集到的流量特征進(jìn)行數(shù)據(jù)預(yù)處理，獲取用于聚類分析的特征數(shù)據(jù)；

基于Conopy算法對(duì)特征數(shù)據(jù)進(jìn)行一級(jí)聚類，并基于輪廓系數(shù)選取最佳K值；根據(jù)最佳K值對(duì)多個(gè)路由執(zhí)行體進(jìn)行二級(jí)聚類分析，依據(jù)聚類中心點(diǎn)和聚類簇獲取兩兩路由執(zhí)行體的聚類中心點(diǎn)距離；

通過聚類中心點(diǎn)距離判定存在威脅的路由執(zhí)行體為異常路由執(zhí)行體。

作為本發(fā)明基于流量統(tǒng)計(jì)特征的路由器威脅感知方法，進(jìn)一步地，通過數(shù)據(jù)接口收集路由器軟件系統(tǒng)中多個(gè)路由執(zhí)行體流量數(shù)據(jù)包，對(duì)數(shù)據(jù)包進(jìn)行特征提取獲取各路由執(zhí)行體流量特征。

作為本發(fā)明基于流量統(tǒng)計(jì)特征的路由器威脅感知方法，進(jìn)一步地，對(duì)流量特征進(jìn)行數(shù)據(jù)預(yù)處理，包含：剔除數(shù)據(jù)控制和無效值的過濾處理、通過比例縮放轉(zhuǎn)化為無量綱純數(shù)值的標(biāo)準(zhǔn)化處理、將標(biāo)準(zhǔn)化數(shù)據(jù)映射到0～1范圍的歸一化處理及利用主成分分析法抽取數(shù)據(jù)特征分量的降維處理。

作為本發(fā)明基于流量統(tǒng)計(jì)特征的路由器威脅感知方法，進(jìn)一步地，利用主成分分析法進(jìn)行降維處理中，首先通過線性變換將數(shù)據(jù)轉(zhuǎn)變?yōu)楦骶S度線性無關(guān)表示，然后通過抽取數(shù)據(jù)中心特征分量來對(duì)數(shù)據(jù)進(jìn)行降維處理。