[发明专利]基于流量统计特征的路由器威胁感知方法及系统

说明书

本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统，该方法包含：采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。本发明从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能，具有较好的应用前景。

技术领域

本发明属于网络信息安全技术领域，特别涉及一种基于流量统计特征的路由器威胁感知方法及系统。

背景技术

互联网在带给人们生活便利的同时，也带来了网络安全隐患。随着计算机网络技术的发展，互联网安全问题层出不穷。路由器作为网络空间信息基础设施的核心装备，通过对不同网络之间的数据包的存储、分组转发处理，实现了互联网络中的信息传递，其安全性直接影响乃至制约网络空间安全。路由器的安全威胁体现在主系统设计与实现中的漏洞无法避免和使用开源代码无意识带入的陷门，其漏洞和后门一旦被利用就会产生难以估量的危害。因此，如何保障路由器的安全性与可靠性、研究路由器的安全防护，对维护互联网体系的稳定、提升互联网体系的抗攻击性具有重要作用。传统的对路由器的安全防护技术是一种静态的防御方法。传统的安全防御思想建立在现有的网络体系架构上，通过部署防御策略对数据传输系统提供安全保护，主要包括用户验证等访问控制技术、建立虚拟专用网等传输加密技术、防火墙防护技术、内置入侵检测技术等，通过不断地挖掘漏洞、封堵后门等被动的方式来自我完善。当系统目标遭受到木马威胁或后门攻击时，由于特征库未能及时更新从而导致被动防御系统产生滞后性。同时，被动防御的方式依赖于先验知识，难以抵御未知的安全威胁，这种只能针对“特异性”攻击的防御效果使得被动防御存在较大的局限性。拟态防御思路是通过构建具有动态性、冗余性、异构性等内生安全能力的系统，改变传统安全防护技术固有的静态性、确定性和相似性，减少漏洞等的利用成功率并且干扰后门等的可控性，从而显著增加攻击难度和成本。拟态防御通过或动态化、多样化机制与策略的选取，构建一种内生安全的融合式防御体系，极大地增加攻击的难度与成本。

发明内容

为此，本发明提供一种基于流量统计特征的路由器威胁感知方法及系统，从路由器的流量信息为出发点，基于流量统计特征实现路由器威胁感知检测，拓宽拟态路由器异常检测的维度，提升网络安全防御性能。

按照本发明所提供的设计方案，提供一种基于流量统计特征的路由器威胁感知方法，包含如下内容：

采集路由器软件系统中各路由执行体流量特征；对采集到的流量特征进行数据预处理，获取用于聚类分析的特征数据；

基于Conopy算法对特征数据进行一级聚类，并基于轮廓系数选取最佳K值；根据最佳K值对多个路由执行体进行二级聚类分析，依据聚类中心点和聚类簇获取两两路由执行体的聚类中心点距离；

通过聚类中心点距离判定存在威胁的路由执行体为异常路由执行体。

作为本发明基于流量统计特征的路由器威胁感知方法，进一步地，通过数据接口收集路由器软件系统中多个路由执行体流量数据包，对数据包进行特征提取获取各路由执行体流量特征。

作为本发明基于流量统计特征的路由器威胁感知方法，进一步地，对流量特征进行数据预处理，包含：剔除数据控制和无效值的过滤处理、通过比例缩放转化为无量纲纯数值的标准化处理、将标准化数据映射到0～1范围的归一化处理及利用主成分分析法抽取数据特征分量的降维处理。

作为本发明基于流量统计特征的路由器威胁感知方法，进一步地，利用主成分分析法进行降维处理中，首先通过线性变换将数据转变为各维度线性无关表示，然后通过抽取数据中心特征分量来对数据进行降维处理。