【技术实现步骤摘要】
本专利技术涉及网络流量分析,具体涉及一种基于ip协议ttl值智能识别与分类方法、系统及介质。
技术介绍
1、随着数字化建设的推进与普及,企业或一定区域内的网络结构愈加复杂,其内部系统难以管理,其数据安全也难以保障。为了监测内部系统的运行情况以及其相关的数据风险,网络管理员或相关监管部门与系统需要对网络流量中的ip区域进行划分,主要是区分是否为己方所纳管的区域。
2、对于一个部门、企业等一定区域的内部网络中,通常需要对其互联网数据进行监测与审计,对与不同的流向有不同的监测模型与方法,尤其对于内部系统流量的监测,以防止保密数据或敏感数据泄露或其他网络以及数据安全风险的发生。而针对这一类检测的前提之一是对所纳管的网络流量的流向进行区分,区分出其中的内部系统与用户的ip范围,以及外网ip的范围。这一需求的必要性主要来自以下3个方面:
3、(1)ipv4私网段的使用并非硬性要求,只是使用惯例。在实际使用场景下,很多企业或区域内部都不会依照此惯例分配其内部系统的ip;
4、(2)公网ipv4地址已分配用尽。由于全球公网ipv4地址已经分配用尽,而ipv6协议有待普及,全球诸多运营商、企业等都会采用nat等技术手段来解决这一问题,这也导致在一定区域内的ip地址不再局限于私网段所划分范围;
5、(3)仅凭借私网段无法精确判断所纳管系统的范围。即实际内部系统的ip地址段可能只用到了私网段的部分,但如果仅用私网段进行判断,则无法对内部网络结构的变动与实际情况进行监测。
6、例如,公开号为c
技术实现思路
1、本专利技术解决了企业或一定范围环境内部各个终端或服务器在入网过程中ip地址使用不规范的问题,提出一种基于ip协议ttl值智能识别与分类方法、系统及介质,本专利技术的方法能够对ip地址进行准确的识别和分类,给企业内部网络环境管理与数据安全监测治理提供一定的监测维度,即ip地址是否归属企业或所管辖范围内部。
2、为了实现上述目的,本专利技术采用以下技术方案:一种基于ip协议ttl值智能识别与分类方法,包括以下步骤:
3、获取环境流量数据并将其作为样本数据;
4、对样本数据中的ttl数据进行处理,采用变化点检测算法计算得到ttl数据中的临界值;
5、根据临界值对样本数据进行判断得到内外网访问情况,对于无法判断的样本数据,通过判断其源端或者目的端是否有一端在内网范围内来得到内外网访问情况;
6、根据内外网访问情况生成内网ip清单;
7、根据内网ip清单对流量进行分析,判定其网络结构上的归属,并增加相应信息。
8、本技术方案中,首先抽样获取环境流量数据,以得到样本数据,随后对样本数据进行分析判定,最终得到网络架构的分类判定依据;主要是对数据的清洗、ttl数据中的临界值的计算、根据临界值对样本数据的判定以及内网ip清单的输出;根据内网ip清单来对流量进行分析判定,将最终判定后的数据输送给相应的数据安全或网络管理系统进行监测分析。
9、本专利技术还进一步设置为:所述根据临界值对样本数据进行判断得到内外网访问情况,包括:
10、在临界值对应的区间内,若样本数据的ttl值大于临界值的数据,则判定为内网-内网访问模式;若样本数据的ttl值小于临界值的数据,则判定为内网-外网访问模式或者外网-内网访问模式;
11、结合掩码输出内网ip集合与互联网ip集合。
12、本技术方案中,在通过相应的变电检测算法得到ttl的临界值之后,根据临界值来对ttl数据进行分类,主要分成上述的内网-内网访问模式、内网-外网(外网-内网)访问模式以及无法判断的样本数据集合;对于能够判断的样本数据,即判定为内网-内网访问模式、内网-外网(外网-内网)访问模式的样本数据,其能够结合掩码来输出相应的内网ip集合以及互联网ip集合。
13、本专利技术还进一步设置为:所述通过判断其源端或者目的端是否有一端在内网范围内来得到内外网访问情况,包括:
14、将无法判断的样本数据集合与http层数据进行关联,根据http协议请求体的ua字段来判定源端的操作系统,进而根据其ttl初始值来判断访问类型;
15、对于非http协议会话,则采用已得到的内外网访问情况来进行迭代判断。
16、本技术方案中,对于无法采用tll临界值来进行判定的数据集合,采用http协议请求体的ua字段与已知的ip清单来进行辅助迭代判断。
17、本专利技术还进一步设置为:所述获取环境流量数据并将其作为样本数据,包括:
18、通过深度流量解析与还原技术获取相关网络环境的网络会话流量数据,并对待使用的字段进行还原并规范。
19、本技术方案中,对上述的环境流量数据中的部分字段进行还原处理,例如源地址(srcip)、目的地址(dstip)、源端口(srcport)、目的端口(dstport)以及生存时间(ttl)。
20、本专利技术还进一步设置为:所述采用变化点检测算法计算得到ttl数据中的临界值,包括:
21、采用贝叶斯变点检测算法来对ttl数据形成的集合进行计算,确定ttl数据中的变点位置,将这些变点位置作为ttl数据中的临界值。
22、本技术方案中,贝叶斯变点检测算法是一种发现时间序列中变化点的方法,基于贝叶斯统计学的理论,找出数据序列中突然发生变化的位置,这些变化可能表示了不同的数据模式或行为,最终确定样本数据的变点位置(即ttl值分界线位置)。
23、本专利技术还进一步设置为:所述对样本数据中的ttl数据进行处理,包括:
24、对ttl数据的源端和目的端进行去方向化处理。
25、本技术方案中,对数据的源端和目的端进行去方向化,即不再区分源端和目的端。
26、本专利技术还进一步设置为:所述对于非http协议会话,则采用已得到的内外网访问情况来进行迭代判断,包括:
27、ttl值区间范围为[a,b]时,区间内存在有临界值c1,则ttl值处于[c1,b]的访问,判定为内网-内网访问模式,其源端和目的端均为内网;
28、ttl值处于[a,c1]的访问,判定为内网-内网访问模式,但无法判断方向的情况,通过已得到的内外网访问情况来判断方向。
29、本技术方案中,反复迭代进行计算,直至没有新结果产生。
30、本专利技术还进一步设置为:所述通过已得到的内外网访问情况来判断方向,包括:
31、若源端归属于内网ip中,则对应的目的端判定为外网;若源端归属于外网ip中,则对应的目的端判定为内网。
本文档来自技高网...
【技术保护点】
1.一种基于IP协议TTL值智能识别与分类方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于IP协议TTL值智能识别与分类方法,其特征在于,所述根据临界值对样本数据进行判断得到内外网访问情况,包括:
3.根据权利要求1或2所述的一种基于IP协议TTL值智能识别与分类方法,其特征在于,所述通过判断其源端或者目的端是否有一端在内网范围内来得到内外网访问情况,包括:
4.根据权利要求1或2所述的一种基于IP协议TTL值智能识别与分类方法,其特征在于,所述获取环境流量数据并将其作为样本数据,还包括:
5.根据权利要求1所述的一种基于IP协议TTL值智能识别与分类方法,其特征在于,所述采用变化点检测算法计算得到TTL数据中的临界值,包括:
6.根据权利要求1或2所述的一种基于IP协议TTL值智能识别与分类方法,其特征在于,所述对样本数据中的TTL数据进行处理,包括:
7.根据权利要求3所述的一种基于IP协议TTL值智能识别与分类方法,其特征在于,所述对于非HTTP协议会话,则采用已得到的内外网访问情况来
8.根据权利要求7所述的一种基于IP协议TTL值智能识别与分类方法,其特征在于,所述通过已得到的内外网访问情况来判断方向,包括:
9.一种基于IP协议TTL值智能识别与分类系统,使用权利要求1-8任一项所述的一种基于IP协议TTL值智能识别与分类方法,其特征在于,包括:
10.一种介质,所述介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-8任一项所述的一种基于IP协议TTL值智能识别与分类方法的步骤。
...【技术特征摘要】
1.一种基于ip协议ttl值智能识别与分类方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于ip协议ttl值智能识别与分类方法,其特征在于,所述根据临界值对样本数据进行判断得到内外网访问情况,包括:
3.根据权利要求1或2所述的一种基于ip协议ttl值智能识别与分类方法,其特征在于,所述通过判断其源端或者目的端是否有一端在内网范围内来得到内外网访问情况,包括:
4.根据权利要求1或2所述的一种基于ip协议ttl值智能识别与分类方法,其特征在于,所述获取环境流量数据并将其作为样本数据,还包括:
5.根据权利要求1所述的一种基于ip协议ttl值智能识别与分类方法,其特征在于,所述采用变化点检测算法计算得到ttl数据中的临界值,包括:
6.根据权利要求1或2所述...
【专利技术属性】
技术研发人员:黎彬,蒋哲辕,曾超男,范鹏宇,朱锦浩,高扬,谭聪,张雨彤,
申请(专利权)人:华信咨询设计研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。