【技术实现步骤摘要】
本专利技术涉及计算机,尤其涉及一种基于流量分析的网络资产处理方法、系统、电子装置及计算机可读存储介质。
技术介绍
1、随着计算机网络技术的高速发展,网络已深刻地融入到社会生活的各个方面。当前,电力能源互联网建设正在热火朝天地进行着,网络资产数量和种类不断增加。能源、电力等关键基础设施是网络安全的重中之重,为了有效防御电力系统网络攻击并保障关键信息基础设施安全,如何有效采集和管理网络资产是当前电力能源行业所面临的重要问题。
2、然而,现有技术中存在以下问题:
3、当前已有的网络资产探测方法普遍采用了主动探测扫描方法,例如通过向目标网络所在的设备发送预设数据包的方式来获取资产反馈信息。该方法首先需要明确目标网络,然后通过构造发送数据包或直接使用扫描工具对目标网络进行资产探测。然而,对于电力能源系统来说,首先其网络空间资产分布广泛,网络地址空间庞大,难以选择和确认目标网络;其次,它对网络安全尤为重视,主动探测方式并不适合。
4、现有技术中还有的采用复杂度高的人工智能算法模型(如:神经网络模型),其对硬件资源要求较高,功耗相对较大,耗费成本也随之而提升。对于一直坚持“双碳”目标的电力能源企业来说,这些模型可能并不适合。
技术实现思路
1、本专利技术的目的在于提供一种基于流量分析的网络资产处理方法、系统、电子装置及计算机可读存储介质,旨在实现对电力能源系统网络资产的有效采集和安全管理。
2、为实现上述目的,第一方面,本专利技术提供一种基于流量分
3、采集待分析的网络流量,并对采集的网络流量进行过滤;
4、对过滤后的网络流量进行流会话管理,得到网络流会话;
5、通过内置协议规则或自定义协议规则从所述网络流会话中识别对应的应用层协议,并根据已识别的应用层协议类型解析对应协议的字段特征;其中,当无法基于内置协议规则或自定义协议规则从所述网络流会话中识别出对应的应用层协议时,通过预先训练的监督式机器学习算法模型识别应用层协议;
6、基于识别出的应用层协议及字段特征,进行指定网段的资产识别处理,并生成对应的资产日志,以针对所述资产日志进行相应的网络资产管理。
7、优选地,所述基于识别出的应用层协议及字段特征,进行指定网段的资产识别处理,并生成对应的资产日志的步骤之后,还包括:
8、基于非监督模式的异常检测算法模型对资产日志字段进行异常检测,当发现异常时,上报异常日志。
9、优选地,所述的通过内置协议规则或自定义协议规则从所述网络流会话中识别对应的应用层协议,并根据已识别的应用层协议类型解析对应协议的字段特征,具体包括:
10、通过基于单个字段进行匹配,多个字段值的逻辑组合匹配,或者特征串匹配的规则识别所述网络流会话中的应用层协议,并按照预设的多种类型的协议解析插件,从所述网络流会话中识别并解析该应用层协议相关的字段特征;
11、所述的当无法基于内置协议规则或自定义协议规则从所述网络流会话中识别出对应的应用层协议时,通过预先训练的监督式机器学习算法模型识别应用层协议,具体包括:
12、基于所述网络流会话对应的流量行为特征,通过预先训练的监督式机器学习算法模型识别应用层协议;其中,所述监督式机器学习算法模型的训练过程如下:
13、采集指定数量各种类型的应用层协议流量样本;
14、针对每一个样本,解析并提取流会话基本特征,所述流会话基本特征包括:传输协议类型、流起始时间、流结束时间、包长度(字节数)序列、包抵达时间序列和/或ttl序列;
15、针对每一个样本,基于所述流会话基本特征,使用统计学方法完成特征计算和存储,获取对应每一个样本的数百维计算特征;
16、采用lightgbm 模型对每一个样本的数百维计算特征进行训练,当模型训练完毕后,得到所述监督式机器学习算法模型;
17、所述通过预先训练的监督式机器学习算法模型识别应用层协议,具体包括:
18、针对所述网络流会话,提取与模型训练中相同的数百维计算特征,并利用训练好的监督式机器学习算法模型对所述网络流会话对应的数百维计算特征进行预测分类,以识别所述网络流会话对应的应用层协议。
19、优选地,所述基于识别出的应用层协议及字段特征,进行指定网段的资产识别处理,并生成对应的资产日志的步骤,包括:
20、针对识别出的指定应用层协议,新建一条识别内网指定服务器类型资产的内置规则,当一条指定应用层协议流会话匹配该内置规则时,将已解析的服务端资产特征和/或客户端基本解析特征进行合并,最终形成资产日志;其中,所述指定服务器类型资产包括http服务器资产、dns服务器资产或ftp服务器资产;
21、基于不同的应用层协议对应的字段特征,设计对应协议类型的日志格式,并将日志封装实现过程集成在对应的应用层协议解析插件中,以将所述资产日志上报到指定模块进行展示。
22、优选地,所述的基于非监督模式的异常检测算法模型对资产日志字段进行异常检测,当发现异常时,上报异常日志,包括:
23、通过分析资产日志字段并进行统计,以画像形式刻画每一类资产的统计特征数据,其中,所述统计特征数据包括:资产数量、资产被访问的总频次、源访问对象数量、被各源对象访问的时间信息或被各源对象访问的次数信息;
24、基于资产的统计特征数据,提取指定时间内资产的相关的访问日志,并解析和存储日志中的指定访问特征信息;
25、将所述指定访问特征信息转换为访问特征信息序列;
26、利用概率分布统计分析算法,从给定的观察数据序列中学习并提取出正常行为模式库;
27、基于所述正常行为模式库,对资产日志字段进行异常检测,当发现异常时,上报异常日志。
28、优选地,所述采集待分析的网络流量,并对采集的网络流量进行过滤的步骤,包括:
29、通过流量镜像方式或端节点部署方式来采集待做分析的网络流量;
30、利用基于ip地址、ip地址段、端口和/或协议类型的自定义配置规则对采集的网络流量进行筛选过滤。
31、优选地,所述对过滤后的网络流量进行流会话管理,得到网络流会话的步骤,包括:
32、针对过滤后的网络流量进行包括流建立、流更新和/或流释放的流会话管理操作,得到对应的网络流会话。
33、第二方面,本专利技术提供一种基于流量分析的网络资产处理系统,所述网络资产处理系统包括:
34、采集模块,用于采集待分析的网络流量,并对采集的网络流量进行过滤;
35、管理模块,用于对过滤后的网络流量进行流会话管理,得到网络流会话;
36、识别模块,用于通过内置协议规则或自定义协议规则从所述网络流会话中识别对应的应用层协议,并根据已识别的应用层协议类型解析对应协议的字段特征;其中,当无法基于内置协议规则或自定义协议规本文档来自技高网...
【技术保护点】
1.一种基于流量分析的网络资产处理方法,其特征在于,所述基于流量分析的网络资产处理方法包括:
2.如权利要求1所述的基于流量分析的网络资产处理方法,其特征在于,所述基于识别出的应用层协议及字段特征,进行指定网段的资产识别处理,并生成对应的资产日志的步骤之后,还包括:
3.如权利要求1或2所述的基于流量分析的网络资产处理方法,其特征在于,所述的通过内置协议规则或自定义协议规则从所述网络流会话中识别对应的应用层协议,并根据已识别的应用层协议类型解析对应协议的字段特征,具体包括:
4.如权利要求1或2所述的基于流量分析的网络资产处理方法,其特征在于,所述基于识别出的应用层协议及字段特征,进行指定网段的资产识别处理,并生成对应的资产日志的步骤,包括:
5.如权利要求2所述的基于流量分析的网络资产处理方法,其特征在于,所述的基于非监督模式的异常检测算法模型对资产日志字段进行异常检测,当发现异常时,上报异常日志,包括:
6.如权利要求1或2所述的基于流量分析的网络资产处理方法,其特征在于,所述采集待分析的网络流量,并对采集的网络流量
7.如权利要求1或2所述的基于流量分析的网络资产处理方法,其特征在于,所述对过滤后的网络流量进行流会话管理,得到网络流会话的步骤,包括:
8.一种基于流量分析的网络资产处理系统,其特征在于,所述网络资产处理系统包括:
9.一种电子装置,其特征在于,所述电子装置包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7中任一项所述的基于流量分析的网络资产处理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的基于流量分析的网络资产处理方法的步骤。
...【技术特征摘要】
1.一种基于流量分析的网络资产处理方法,其特征在于,所述基于流量分析的网络资产处理方法包括:
2.如权利要求1所述的基于流量分析的网络资产处理方法,其特征在于,所述基于识别出的应用层协议及字段特征,进行指定网段的资产识别处理,并生成对应的资产日志的步骤之后,还包括:
3.如权利要求1或2所述的基于流量分析的网络资产处理方法,其特征在于,所述的通过内置协议规则或自定义协议规则从所述网络流会话中识别对应的应用层协议,并根据已识别的应用层协议类型解析对应协议的字段特征,具体包括:
4.如权利要求1或2所述的基于流量分析的网络资产处理方法,其特征在于,所述基于识别出的应用层协议及字段特征,进行指定网段的资产识别处理,并生成对应的资产日志的步骤,包括:
5.如权利要求2所述的基于流量分析的网络资产处理方法,其特征在于,所述的基于非监督模式的异常检测算法模型对资产日志字段进行异常检测,当发现异常时...
【专利技术属性】
技术研发人员:顾显俊,黄梦琦,邢骏,万珍,李威,魏朝,陈俊龙,田聪,邹子旭,付忠祥,杨凯,覃思航,
申请(专利权)人:国网湖北省电力有限公司武汉供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。