識別監控信息系統應用的方法及裝置制造方法及圖紙

本公開是關于一種識別監控信息系統應用的方法及裝置，其中所述方法包括獲取網絡中的數據包；提取所述數據包中的多個流量特征值；根據所述多個流量特征值建立特征值向量；對所述特征值向量進行聚類處理以形成多個向量簇；以及通過確定所述多個向量簇中數據密集度最高的向量簇來識別所述監控信息系統應用。其識別準確度高，并且屬于一種通用識別方法，適用于采用任意網絡協議的監控信息系統。

Method and device for identifying application of monitoring information system

This disclosure is a method and a device for identifying and monitoring information system application, wherein the method comprises the steps of obtaining network packets; extracting a plurality of flow characteristics in the data packet; according to the plurality of flow characteristic values establish feature vector; the feature vector cluster to the formation of multiple vector clusters; and by determining the data intensive multiple vectors in the cluster cluster with the highest degree vector to identify the monitoring information system application. The utility model has the advantages of high recognition accuracy, and belongs to a general identification method and is suitable for monitoring information system using any network protocol.

【技術實現步驟摘要】
識別監控信息系統應用的方法及裝置
本公開涉及網絡安全領域，尤其涉及識別監控信息系統應用的方法及裝置。
技術介紹
監控信息系統，例如廠級監控信息系統，主要為發電廠全廠的實時生產過程提供綜合優化服務，其能夠實現整個電廠范圍內信息共享和全廠生產過程的實時信息監控。監控信息系統的應用對電廠效率提升有顯著作用，為了有效保障監控信息系統的運行，安全審計產品必不可少，在行業內，提供監控信息系統的廠家非常多，如何有效識別監控信息系統應用，成為了關鍵。相關技術中，主要有兩種方式來實現對監控信息系統應用的識別。一種方式是采用三層協議及四層端口的方式來唯一確定一個應用，這種方式不適合私有協議，僅適合公開協議。另一種方式通過分析數據流內容，提取唯一性的特征碼來標記應用，這種方式誤識別率相對較高，容易造成誤報，并且投入大，需要保持更新。
技術實現思路
為克服相關技術中存在的問題，本公開提供一種識別監控信息系統應用的方法及裝置。根據本公開實施例的第一方面，提供一種識別監控信息系統應用的方法，所述方法可以包括：獲取網絡中的數據包；提取所述數據包中的多個流量特征值；根據所述多個流量特征值建立特征值向量；對所述特征值向量進行聚類處理以形成多個向量簇；以及通過確定所述多個向量簇中數據密集度最高的向量簇來識別所述監控信息系統應用。可選地，所述對所述特征值向量進行聚類處理以形成多個向量簇包括：根據所述特征值向量來生成聚類特征；以及對所述聚類特征進行所述聚類處理以形成所述多個向量簇。可選地，所述根據所述特征值向量來生成所述聚類特征包括使用以下公式來生成所述聚類特征：其中，表示所述聚類特征，N表示所述特征值向量的元素個數，di表示所述向量中第i個元素的值。可選地，所述對所述聚類特征進行所述聚類處理以形成所述多個向量簇包括：根據所述聚類特征之間的距離來對所述聚類特征進行所述聚類處理以形成所述多個向量簇。可選地，所述方法還包括：在形成新的聚類特征之后，根據該新的聚類特征與所述多個向量簇的每一個向量簇的簇中心的距離來確定該新的聚類特征所屬的向量簇。可選地，所述獲取網絡中的數據包包括：利用網絡探針來獲取所述網絡中的所述數據包。可選地，所述多個流量特征值至少包括：目的MAC地址、目的IP地址、傳輸協議以及目的端口。可選地，所述多個流量特征值還包括以下中的至少一者：源MAC地址、源IP地址、源端口以及數據包凈荷長度。根據本公開實施例的第二方面，提供一種識別監控信息系統的應用的裝置，該裝置包括：獲取單元，用于獲取所述網絡中的數據包；提取單元，用于提取所述數據包中的多個流量特征值；建立單元，用于根據所述多個流量特征值建立特征值向量；聚類單元，用于對所述向量進行聚類處理以形成多個向量簇；以及識別單元，用于通過確定所述多個向量簇中數據密集度最高的向量簇來識別所述監控信息系統應用。可選地，所述聚類單元用于：根據所述特征值向量來生成聚類特征；以及對所述聚類特征進行所述聚類處理以形成所述多個向量簇。本公開的實施例提供的技術方案可以包括以下有益效果：能夠有效識別出監控信息系統應用的關鍵流量，從而為流量保證業務提供基礎識別服務并且能夠防止一些病毒因占有大量寬帶而影響監控信息系統運行。應當理解的是，以上的一般描述和后文的細節描述僅是示例性和解釋性的，并不能限制本公開。附圖說明此處的附圖被并入說明書中并構成本說明書的一部分，示出了符合本專利技術的實施例，并與說明書一起用于解釋本專利技術的原理。圖1是根據一示例性實施例示出的一種識別監控信息系統應用的方法的流程圖；圖2是BIRCH算法進行聚類的聚類結果示意圖；圖3是根據又一示例性實施例示出的一種識別監控信息系統應用的方法的流程圖；以及圖4是根據一示例性實施例示出的一種識別監控信息系統應用的裝置的框圖。具體實施方式這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本專利技術相一致的所有實施方式。相反，它們僅是與如所附權利要求書中所詳述的、本專利技術的一些方面相一致的裝置和方法的例子。圖1是根據一示例性實施例示出的一種識別監控信息系統應用的方法的流程圖，所述監控信息系統例如可以電廠監控信息系統。如圖1所示，識別監控信息系統應用的方法可以包括以下步驟。在步驟S11中，獲取網絡中的數據包。可選地，可以利用網絡探針來獲取網絡中的數據包。在步驟S12中，提取所述數據包中的多個流量特征值。可選地，可以根據網絡中數據流特點設置需要提取的流量特征值。例如，所提取的流量特征值至少可以包括目的MAC地址、目的IP地址、傳輸協議以及目的端口。除此之外，所提取的流量特征值還可以進一步包括：源MAC地址、源IP地址、源端口以及數據包凈荷長度。在步驟S13中，根據所述多個流量特征值建立特征值向量。例如，可以將所提取數據包中的多個流量特征值直接組合成特征值向量。在步驟S14中，對所述特征值向量進行聚類處理以形成多個向量簇。對網絡中的每一個數據包均執行步驟S11至步驟S13的處理，這樣針對每一個數據包均可以形成一特征值向量，對所形成的這些特征值向量進行聚類處理后可以形成多個向量簇。例如可以使用BIRCH(BalancedIterativeReducingandClusteringusingHierarchies，利用層次方法的平衡迭代規約和聚類)聚類算法來對步驟S13中所建立的特征值向量進行聚類處理，但是本專利技術實施例并不限制于此，也可以使用任意的其它聚類算法對所述特征值向量進行聚類處理。BIRCH算法是通過CF-Tree(ClusterFeature-Tree，聚類特征樹)來實現的，其包括以下兩個執行過程：(1)生成聚類特征，聚類特征定義如下：CF＝<n,LS,SS>，其中聚類特征CF為一個3維向量，n為需要聚類的數據點總數，LS為n個數據點的線性和，SS為n個數據點的平方和。(2)執行CF聚類。得到CF聚類特征后，通過一個類似于B-樹的算法進行聚類，其中B-樹算法屬于一種公開算法，這里將不再進行介紹。聚類后可以得到類似于圖2所示的聚類結果，圖2中第一層為聚類樹的根節點，第二層為中間節點，第三層為葉節點，葉節點為對應的聚類結果，圖2的示意圖中，CF90…CF94為一類，而CF95…CF99為另外一類。在步驟S15中，通過確定所述多個向量簇中數據密集度最高的向量簇來識別所述監控信息系統應用。例如，可以通過統計所形成的多個向量簇中每個向量簇的元素個數來確定數據密集度最高的向量簇。監控信息系統正常運行時，網絡中60％至95％以上的流量都是監控信息系統的流量，對應于這些監控信息系統的流量的數據包在所提取的流量特征值上具有非常好的相似性，經過上述步驟S11至步驟S15，相似性很好的數據包可以被聚類在同一個向量簇中，這樣，數據密集度最高的向量簇所代表的數據包就對應于監控信息系統的流量，從而實現識別監控信息系統應用的目的。通過采用上述技術方案，能夠有效識別出監控信息系統應用的關鍵流量，從而為流量保證業務提供基礎識別服務并且能夠防止一些病毒因占有大量寬帶而影響監控信息系統運行。在一示例性實施例中，所述對所述特征值向量進行聚類處理以形成多個向量簇可以本文檔來自技高網...

【技術保護點】
一種識別監控信息系統應用的方法，其特征在于，所述方法包括：獲取網絡中的數據包；提取所述數據包中的多個流量特征值；根據所述多個流量特征值建立特征值向量；對所述特征值向量進行聚類處理以形成多個向量簇；以及通過確定所述多個向量簇中數據密集度最高的向量簇來識別所述監控信息系統應用。

【技術特征摘要】
1.一種識別監控信息系統應用的方法，其特征在于，所述方法包括：獲取網絡中的數據包；提取所述數據包中的多個流量特征值；根據所述多個流量特征值建立特征值向量；對所述特征值向量進行聚類處理以形成多個向量簇；以及通過確定所述多個向量簇中數據密集度最高的向量簇來識別所述監控信息系統應用。2.根據權利要求1所述的方法，其特征在于，所述對所述特征值向量進行聚類處理以形成多個向量簇包括：根據所述特征值向量來生成聚類特征；以及對所述聚類特征進行所述聚類處理以形成所述多個向量簇。3.根據權利要求2所述的方法，其特征在于，所述根據所述特征值向量來生成所述聚類特征包括使用以下公式來生成所述聚類特征：其中，表示所述聚類特征，N表示所述特征值向量的元素個數，di表示所述向量中第i個元素的值。4.根據權利要求2或3所述的方法，其特征在于，所述對所述聚類特征進行所述聚類處理以形成所述多個向量簇包括：根據所述聚類特征之間的距離來對所述聚類特征進行所述聚類處理以形成所述多個向量簇。5.根據權利要求1所述的方法，其特...

【專利技術屬性】
技術研發人員：肖海濤，陳庶樵，
申請(專利權)人：北京匡恩網絡科技有限責任公司，
類型：發明
國別省市：北京,11