[發明專利]一種應用于IPv6網絡環境的網絡攻擊檢測方法在審
| 申請號: | 202111167987.2 | 申請日: | 2021-09-30 |
| 公開(公告)號: | CN113904841A | 公開(公告)日: | 2022-01-07 |
| 發明(設計)人: | 王小雨;劉川;梁仲華;李建偉;羅丹 | 申請(專利權)人: | 中國信息通信研究院;全球能源互聯網研究院有限公司;國網上海市電力公司;國網北京市電力公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;G06V10/764;G06V10/774;G06N20/00 |
| 代理公司: | 北京奧肯律師事務所 11881 | 代理人: | 賈融 |
| 地址: | 100083*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 應用于 ipv6 網絡 環境 攻擊 檢測 方法 | ||
1.一種應用于IPv6網絡環境的網絡攻擊檢測方法,其特征在于:包括以下步驟:
步驟一:網絡流量數據采集
使用SNMP采集、xFlow采集以及網絡流量全鏡像采集方式對網絡流量進行采集;采集IPv6網絡正常工作、受到DDOS攻擊、R2L攻擊、U2R攻擊網絡攻擊時的網絡流量數據,作為機器學習的訓練樣本;
步驟二:特征提取
針對每個采集的網絡流量數據的連接持續時間、有效負載大小、錯誤率、協議類型和服務類型,并依據各個攻擊對應的不同數據特征選定出較為常用、有針對性的特征;
所述的常用、有針對性的特征為:流平均包數、流包平均比特、端口增速、流增長速率、目的IP增速和流量類型特征;
步驟三:根據步驟二選定的特征修改網絡流量訓練數據;
步驟四:根據修改得到的網絡流量訓練數據中的網絡攻擊類別以及其對應的網絡流量特征生成決策樹算法;對需要檢測的網絡流量數據提取對應的數據特征,完成特征提取,并將提取到的特征數據根據決策樹算法生成決策樹;
步驟五:根據生成的決策樹對修改后的網絡流量數據進行特征分類、識別,從而完成對網絡攻擊的檢測。
2.根據權利要求1所述的一種應用于IPv6網絡的網絡攻擊檢測方法,其特征在于:所述的特征提取為根據正常工作以及不同網絡攻擊下的IPv6網絡,對網絡流量數據提取對應的數據特征,依據所提取的特征對網絡所處攻擊狀態進行分類。
3.根據權利要求1所述一種應用于IPv6網絡的網絡攻擊檢測方法,其特征在于:所述的常用、有針對性的特征為:流平均包數、流包平均比特、端口增速、流增長速率、目的IP增速和流量類型特征;
數據特征根據以下公式計算:
其中Si表示流包數;
其中pkt_byte表示每個包的比特數;
端口增速=Δports/T
其中Δports表示在固定時間T增長的端口數;
流增長速率=ΔSFlows/T
其中ΔSFlows表示在固定時間T內增長的流表數;
目的IP增速=ΔIP/T
其中ΔIP表示在固定時間T內增長的目的IP數。
4.根據權利要求1所述的一種應用于IPv6網絡的網絡攻擊檢測方法,其特征在于:所述的決策樹為在獲取到各個網絡攻擊狀態下的網絡流量數據后,依據不同網絡攻擊狀態下IPv6網絡,對網絡流量數據提取對應的數據特征進行特征提取,將所提取到的特征數據根據步驟四生成的決策樹算法生成決策樹。
5.根據權利要求1所述的一種應用于IPv6網絡的網絡攻擊檢測方法,其特征在于:步驟四所述的決策樹算法是ID3算法;ID3算法的核心思想是信息增益度量屬性選擇,選擇分裂后信息增益最大的屬性進行分裂;該算法采用自頂向下的貪婪搜索遍歷可能的決策樹空間;
信息增益的定義為:
其中,
為S相對于c個狀態的熵.pi為每個狀態的概率;V(A)為屬性A的值域;S為樣本集合,SV是S中在屬性A上等于V的樣本集合。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國信息通信研究院;全球能源互聯網研究院有限公司;國網上海市電力公司;國網北京市電力公司,未經中國信息通信研究院;全球能源互聯網研究院有限公司;國網上海市電力公司;國網北京市電力公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202111167987.2/1.html,轉載請聲明來源鉆瓜專利網。
