本发明涉及网络安全
技术领域:
,尤其涉及一种云平台流量安全分析系统及方法。
背景技术:
:随着互联网规模的不断增大,对云平台量进行精确的安全分析,有利于实现对云平台网络运行状态的有效管理,云平台网络流量安全分析也是实现云平台网络控制、云平台网络规划,保证云平台网络安全以服务质量的重要前提,在新一代网络协议设计、网络管理与诊断、设计高性能路由器等方面具有重要意义,由于网络流量具有自相似性、长相关性和多重分形性等复杂性质,传统技术方案难以对云平台网络流量进行精确地安全分析。技术实现要素:本发明所要解决的技术问题在于,提出一种云平台流量安全分析系统及方法,以提高准确率,降低复杂度。为了解决上述技术问题,本发明提供一种云平台流量安全分析系统,包括:流量采集单元,实时采集网络流量数据包,并存储到第一预设数据库中;流量分析单元,提取第一预设数据库内存储的网络流量包的流量特征,并存储到第二预设数据库中;神经网络单元,基于若干bp神经网络,对存储到第二预设数据库的所述流量特征进行分析判断,确定网络流量数据包是否为异常数据包。进一步地,所述云平台流量安全分析系统还包括标记单元,用于在判断所述网络流量数据包为异常数据包时,对异常数据包进行标记,并将相应的异常数据包存储至第三预设数据库中。进一步地,所述流量特征包括:数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号和数据包长度。进一步地,所述云平台流量安全分析系统还包括判断模块,所述判断模块内设有若干用于判断流量包风险等级的判断规则,所述判断规则包括:若数据包源ip地址的出现频率在第一频率阈值范围内,则该网络流量数据包为高风险;若数据包源ip地址的出现频率在第二频率阈值范围内,则该网络流量数据包为中风险;若数据包源ip地址的出现频率在第三频率阈值范围内,则该网络流量数据包为低风险;若数据包长度不大于第一长度阈值时,则该网络流量数据包为低风险,否则为高风险。进一步地,所述判断规则还包括:预设异常端口号的表达式,若数据包源地址的端口号、数据包目的地址的端口号之间的关系符合异常端口号的表达式,则该网络流量数据包为高风险,否则为低风险。进一步地,所述云平台流量安全分析系统还包括第四预设数据库,所述第四预设数据库中存放有预设的异常端口号的表达式。进一步地,所述云平台流量安全分析系统还包括赋值模块,所述赋值模块用于根据网络流量包的风险等级以及数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号、数据包长度的重要程度进行赋值。进一步地,所述神经网络单元包括输入部分、神经网络部分、集成输出部分,所述输入部分、神经网络部分、集成输出部分依次信号相连,所述输入部分的输入因子为赋值后的网络流量包的风险等级以及数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号、数据包长度的重要程度;所述神经网络部分为隐含层神经元数量不同的bp神经网络模型,所述隐含层神经元数量范围为[6,10]。进一步地,所述集成输出部分采用加权平均法将多个bp神经网络模型的输出结果进行集成,所述集成输出部分输出结果为最终的网络流量包异常情况风险指标值。本发明还提供一种云平台流量安全分析方法,包括下列步骤:s1、实时采集网络流量数据包,并存储到第一预设数据库中;s2、提取第一预设数据库内存储的网络流量包的流量特征,并存储到第二预设数据库中;s3、基于流量特征,采用若干判断规则判断流量包风险等级;s4、对网络流量包的风险等级以及流量特征的重要程度进行赋值;s5、建立包括多个的bp神经网络模型的神经网络部分进行学习训练,将多个bp神经网络模型的训练结果进行集成,得到基于神经网络集成的网络流量包异常情况风险指标值;s6、将网络流量包异常情况风险指标值较高的网络流量包标记为异常流量包。本发明实施例的有益效果在于:通过建立若干bp神经网络模型集成输出的方式,从而得到比单个最佳神经网络更好的效果,bp神经网络具有很强的非线性映射的能力,可以用来拟合复杂的函数,本发明所建立网络流量安全分析系统,不但准确率高,而且复杂度较低,可在不同终端上使用。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例一一种云平台流量安全分析系统的模块示意图。图2为本发明实施例一中的神经网络单元示意图。图3为本发明实施例二一种云平台流量安全分析方法的流程示意图。具体实施方式以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。请参见图1至图2,本发明实施例一提供一种云平台流量安全分析系统,包括:流量采集单元,实时采集网络流量数据包,并存储到第一预设数据库中;流量分析单元,提取第一预设数据库内存储的网络流量包的流量特征,并存储到第二预设数据库中;神经网络单元,基于若干bp神经网络,对存储到第二预设数据库的所述流量特征进行分析判断,确定网络流量数据包是否为异常数据包。在本实施例中,通过实时采集网络流量数据,并存储到第一预设数据库中,实现了网络流量数据的实时采集和存储,为网络流量安全分析系统提供了数据支持,通过根据采集到的预设时间段内的网络流量数据,确定在所采集到的网络流量数据是否为异常,提高了网络流量异常检测的效率,实现了对未知网络流量的异常分析,提高了网络流量异常检测的准确性,适用于多样化的流量类型,满足异常检测的实时性要求。在上述的任一实施例中,优选的,所述流量特征包括:数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号和数据包长度。在上述的任一实施例中,优选的,还包括判断模块,所述判断模块内设有若干用于判断流量包风险等级的判断规则,所述判断规则包括:若数据包源ip地址的出现频率在第一频率阈值范围内,则该网络流量数据包为高风险;其第一频率阈值可优选设置为大于70%,当数据包源ip地址的出现频率大于70%时,则该网络流量数据包为高风险;若数据包源ip地址的出现频率在第二频率阈值范围内,则该网络流量数据包为中风险。其第二频率阈值可优选设置为大于50%小于70%,当数据包源ip地址的出现频率在大于50%小于70%的范围时,则该网络流量数据包为中风险;若数据包源ip地址的出现频率在第三频率阈值范围内,则该网络流量数据包为低风险;其第三频率阈值可优选设置为小于50%,当数据包源ip地址的出现频率为小于50%时,则该网络流量数据包为中风险;若数据包长度不大于第一长度阈值时,则该网络流量数据包为低风险,否则为高风险;其第一长度阈值可根据目前的网络流量的协议来设置,数据包过长或过短都为高风险。在上述实施例中,优选的,所述判断规则还包括:预设异常端口号的表达式,若数据包源地址的端口号、数据包目的地址的端口号之间的关系符合异常端口号的表达式,则该网络流量数据包为高风险等级,否则为低风险。优选的,还包括第四预设数据库,所述第四预设数据库中存放有预设的异常端口号的表达式,其表达式例如,当数据包的网络协议为tcp时,数据包源地址的端口号为30,数据包目的地址的端口号为49,则表明为此数据包为异常的tcp端口访问,该流量数据包为高风险等级。在上述任一实施例中,优选的,还包括赋值模块,所述赋值模块用于根据网络流量包的风险等级以及数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号、数据包长度的重要程度进行赋值。可将数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号、数据包长度等特征通过专家打分法进行打分评判,确定其特征的重要程度,其风险等级的赋值情况如表1所示:表1风险等级高风险低风险赋值31其重要程度等级与重要程度系数关系具体如表2所示:表2重要程度系数重要中等重要一般重要赋值21.51在上述任一实施例中,优选的,所述神经网络单元包括输入部分、神经网络部分、集成输出部分,所述输入部分、神经网络部分、集成输出部分依次信号相连,所述输入部分的输入因子为赋值后的网络流量包的风险等级以及数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号、数据包长度的重要程度;所述神经网络部分为隐含层神经元数量不同的bp神经网络模型,所述隐含层神经元数量范围为[6,10]。所述集成输出部分采用加权平均法将多个bp神经网络模型的输出结果进行集成,所述集成输出部分输出结果为最终的网络流量包异常情况风险指标值。在上述任一实施例中,优选的,还包括标记单元,用于在判断所述网络流量数据包为异常数据包时,对异常数据包进行标记,并将相应的异常数据包存储至第三预设数据库中。参见图3,本发明实施例二提供一种云平台流量安全分析方法,包括下列步骤:s1、实时采集网络流量数据包,并存储到第一预设数据库中;s2、提取第一预设数据库内存储的网络流量包的流量特征,并存储到第二预设数据库中;s3、基于流量特征,采用若干判断规则判断流量包风险等级;s4、对网络流量包的风险等级以及流量特征的重要程度进行赋值;s5、建立包括多个的bp神经网络模型的神经网络部分进行学习训练,将多个bp神经网络模型的训练结果进行集成,得到基于神经网络集成的网络流量包异常情况风险指标值;s6、将网络流量包异常情况风险指标值较高的网络流量包标记为异常流量包。本发明实施例二所公开的一种云平台流量安全分析方法为一种云平台流量安全分析系统的具体处理步骤,其有益效果与实施例一全一致,本实施例在此不再做具体阐述。通过上述说明可知,本发明实施例的有益效果在于:通过建立若干bp神经网络模型集成输出的方式,从而得到比单个最佳神经网络更好的效果,bp神经网络具有很强的非线性映射的能力,可以用来拟合复杂的函数,本发明所建立网络流量安全分析系统,不但准确率高,而且复杂度较低,可在不同终端上使用。以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。当前第1页1 2 3
技术特征:1.一种云平台流量安全分析系统,其特征在于,包括:
流量采集单元,实时采集网络流量数据包,并存储到第一预设数据库中;
流量分析单元,提取第一预设数据库内存储的网络流量包的流量特征,并存储到第二预设数据库中;
神经网络单元,基于若干bp神经网络,对存储到第二预设数据库的所述流量特征进行分析判断,确定网络流量数据包是否为异常数据包。
2.根据权利要求1所述的云平台流量安全分析系统,其特征在于,还包括标记单元,用于在判断所述网络流量数据包为异常数据包时,对异常数据包进行标记,并将相应的异常数据包存储至第三预设数据库中。
3.根据权利要求1所述的云平台流量安全分析系统,其特征在于,所述流量特征包括:数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号和数据包长度。
4.根据权利要求3所述的云平台流量安全分析系统,其特征在于,还包括判断模块,所述判断模块内设有若干用于判断流量包风险等级的判断规则,所述判断规则包括:
若数据包源ip地址的出现频率在第一频率阈值范围内,则该网络流量数据包为高风险;
若数据包源ip地址的出现频率在第二频率阈值范围内,则该网络流量数据包为中风险;
若数据包源ip地址的出现频率在第三频率阈值范围内,则该网络流量数据包为低风险;
若数据包长度不大于第一长度阈值时,则该网络流量数据包为低风险,否则为高风险。
5.根据权利要求4所述的云平台流量安全分析系统,其特征在于,所述判断规则还包括:预设异常端口号的表达式,若数据包源地址的端口号、数据包目的地址的端口号之间的关系符合异常端口号的表达式,则该网络流量数据包为高风险,否则为低风险。
6.根据权利要求5所述的云平台流量安全分析系统,其特征在于,还包括第四预设数据库,所述第四预设数据库中存放有预设的异常端口号的表达式。
7.根据权利要求6所述的云平台流量安全分析系统,其特征在于,还包括赋值模块,所述赋值模块用于根据网络流量包的风险等级以及数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号、数据包长度的重要程度进行赋值。
8.根据权利要求7所述的云平台流量安全分析系统,其特征在于,所述神经网络单元包括输入部分、神经网络部分、集成输出部分,所述输入部分、神经网络部分、集成输出部分依次信号相连,所述输入部分的输入因子为赋值后的网络流量包的风险等级以及数据包源ip地址、数据包源地址的端口号、数据包目的地址的端口号、数据包长度的重要程度;
所述神经网络部分为隐含层神经元数量不同的bp神经网络模型,所述隐含层神经元数量范围为[6,10]。
9.根据权利要求8所述的云平台流量安全分析系统,其特征在于,所述集成输出部分采用加权平均法将多个bp神经网络模型的输出结果进行集成,所述集成输出部分输出结果为最终的网络流量包异常情况风险指标值。
10.一种云平台流量安全分析方法,其特征在于,包括下列步骤:
s1、实时采集网络流量数据包,并存储到第一预设数据库中;
s2、提取第一预设数据库内存储的网络流量包的流量特征,并存储到第二预设数据库中;
s3、基于流量特征,采用若干判断规则判断流量包风险等级;
s4、对网络流量包的风险等级以及流量特征的重要程度进行赋值;
s5、建立包括多个的bp神经网络模型的神经网络部分进行学习训练,将多个bp神经网络模型的训练结果进行集成,得到基于神经网络集成的网络流量包异常情况风险指标值;
s6、将网络流量包异常情况风险指标值较高的网络流量包标记为异常流量包。
技术总结本发明公开一种云平台流量安全分析系统及方法,其中,云平台流量安全分析系统包括:流量采集单元,实时采集网络流量数据包,并存储到第一预设数据库中;流量分析单元,提取第一预设数据库内存储的网络流量包的流量特征,并存储到第二预设数据库中;神经网络单元,基于若干BP神经网络,对存储到第二预设数据库的所述流量特征进行分析判断,确定网络流量数据包是否为异常数据包。本发明通过建立若干BP神经网络模型集成输出的方式,从而得到比单个最佳神经网络更好的效果,BP神经网络具有很强的非线性映射的能力,可以用来拟合复杂的函数,本发明所建立网络流量安全分析系统,不但准确率高,而且复杂度较低,可在不同终端上使用。
技术研发人员:邓巍;刘昕林;黄萍;刘威
受保护的技术使用者:深圳供电局有限公司
技术研发日:2020.11.04
技术公布日:2021.03.12
