买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：中国人民解放军国防科技大学

摘要：本发明提出一种基于图分析的网络空间测绘主机群发现与行为分析方法及装置，属于网络空间测绘技术领域。本发明解决网络管理员难以从大量来自网络空间测绘的数据中识别潜在组织及行为的问题。通过图分析的方法充分利用测绘流量的协同性，将网络行为与潜在社会化关系相关联，从而提高网络空间测绘组织的识别率，并进行多维度行为分析。

主权项：1.一种基于图分析的网络空间测绘主机群发现与行为分析方法，其特征在于，所述方法包括：步骤S1、基于采集的测绘流量构建网络图模型，通过对所述网络图模型进行网络解析来划分网络空间测绘主机群；步骤S2、在预设时间窗口内提取所述网络空间测绘主机群的图演化事件，依据网络空间测绘行为特征对所述图演化事件进行测绘行为识别，以调整对所述网络空间测绘主机群的划分；步骤S3、通过统计属性分析对经调整的网络空间测绘主机群进行拆解或合并，从而形成网络空间测绘组织，对所述网络空间测绘组织进行网络空间测绘行为分析；其中，在所述步骤S1中：布置感知节点，通过感知节点采集所述测绘流量，并将所述测绘流量转化为结构化数据，形成测绘流量PCAP数据包；从所述测绘流量PCAP数据包中筛选出具有相同五元组信息的数据包，并对筛选出的数据包按照时间顺序进行排序及合并，从而形成网络流；其中，所述五元组信息包括：源IP地址、目的IP地址、源端口号、目的端口号、协议；从每个网络流中提取出源IP和目的IP，作为实体主机节点；以端口号作为节点属性；通过有向边连接各个节点，所述有向边表示从源IP指向目的IP的通信行为；从而构建所述网络图模型；其中，所述网络图模型存储在Neo4j图数据库中；其中，在所述步骤S1中：通过计算所述各个节点的度、介数中心性、紧密中心性来确定网络结构和节点重要性；其中，度表示节点连接数量，介数中心性表示节点在网络中的中介程度，紧密中心性表示节点与其他节点之间的紧密连接程度；利用社区发现算法将网络中的节点划分为具有最大内部连接、最小外部链接的社区结构，作为网络空间测绘主机群；其中，在所述步骤S3的所述统计属性分析中，分析的统计属性具体包括：当前时间窗口内主机群之间的相似度、主机群之间的主机IP地址的相似度、主机群内部成员主机的IP地址相似度；当前时间窗口内主机群内部成员主机数量比较、当前时间窗口内和历史时间窗口内主机群内部成员主机数量比较；当前时间窗口内主机群内部成员主机在历史时间窗口内的出现频次；其中，在所述步骤S3中，所述网络空间测绘行为分析包括：计算所述网络空间测绘组织的组织成员数统计特性，包括四分位数、均值、方差、最值；其中：四分位数表征组织成员数的中心位置和分布的分散程度；均值表征组织数据的集中趋势；方差表征组织数的变化程度和不确定性，方差高于第三判别值时所述网络空间测绘组织单独行动，否则所述网络空间测绘组织统一行动；最值表征所述网络空间测绘组织的异常行为；利用图模型中节点和边的属性，对所述网络空间测绘组织的扫描端口、协议和工具进行统计展示，包括在不同扫描时间窗口、不同扫描频率、不同扫描周期的可视化展示；对所述网络空间测绘组织的测绘行为进行基于地理位置分布的可视化展示。

全文数据：

权利要求：

百度查询： 中国人民解放军国防科技大学 一种基于图分析的网络空间测绘主机群发现与行为分析方法及装置