(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111644457.2 (22)申请日 2021.12.2 9 (71)申请人 云南电网有限责任公司信息中心 地址 650034 云南省昆明市拓东路73号 (72)发明人 杭菲璐　罗震宇　郭威　陈何雄　 毛正雄　何映军　谢林江　张振红　 白晓羽　占梦来　张军　 (74)专利代理 机构 昆明正原 专利商标代理有限 公司 53100 专利代理师 于洪　金耀生 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于相对密度 的网络异常IP及端口混 合检测方法 (57)摘要 本发明涉及一种基于相对密度的网络异常 IP及端口混合检测方法， 该方法先从数据源中提 取所需要的字段； 提取所有不重复的源MA C地址； 基于每个源MAC地址 下， 提取所有 不重复的 （目的 IP地址， 目的端口） ； 之后， 提取访问次数、 不同源 IP的个数、 单位时间内访问个数峰值这三个特 征； 对特征进行标准化处理后， 采用欧式距离计 算每个 （目的IP地址， 目的端口） 的k个最近邻； 计 算每个 （目的IP地址， 目的端口） 的相对密度及异 常得分； 定义异常得分阈值， 对高于阈值的 （目的 IP地址， 目的端口） 进行标记 。 本发明将目的IP地 址及目的端口进行混合异常检测， 不再单独考 虑， 具有更高的准确性和可解释性， 易于推广应 用。 权利要求书1页 说明书5页 附图2页 CN 114499987 A 2022.05.13 CN 114499987 A 1.一种基于相对密度的网络异常IP及端口混合检测方法， 其特 征在于， 包括如下步骤： 步骤 （1） ， 从数据源中提取 所需要的字段； 步骤 （2） ， 使用源MAC地址作 为一个用户或一个资产的标识， 从步骤 （1） 提取的字段中提 取所有不重复的源MAC地址； 步骤 （3） ， 在步骤 （2） 提取的每个源MAC地址下， 提取所有不重复 的 （目的IP地址， 目的端 口） ； 步骤 （4） ， 对步骤 （3） 提取的所有 （目的IP地址， 目的端口） ， 提取访问次数、 不 同源IP的 个数、 单位时间内访问个数峰值 这三个特征； 步骤 （5） ， 对步骤 （4） 提取的特 征进行标准化处理； 步骤 （6） ， 基于步骤 （5） 标准化后的特征值， 采用欧式距离计算每个 （目的IP地址， 目的 端口） 的k个最近邻； 步骤 （7） ， 计算每个 （目的IP地址， 目的端口） 的相对密度， 取相对密度的倒数作为异常 得分； 步骤 （8） ， 定义异常得分阈值， 高于阈值的 （目的IP地址， 目的端口） 标记为此MAC用户或 资产的异常目的IP及目的端口。 2.根据权利要求1所述的基于相对密度的网络异常IP及端口混合检测方法， 其特征在 于： 步骤 （1） 中， 所需要的字段包括时间戳、 源MAC地址、 源IP地址、 目的IP地址、 源端口号和 目的端口号。 3.根据权利要求1所述的基于相对密度的网络异常IP及端口混合检测方法， 其特征在 于： 步骤 （4） 中， 单位时间为6 0s。 4.根据权利要求1所述的基于相对密度的网络异常IP及端口混合检测方法， 其特征在 于： 步骤 （5） 中， 所述的标准 化处理为Z‑Score标准化。 5.根据权利要求1所述的基于相对密度的网络异常IP及端口混合检测方法， 其特征在 于： 步骤 （6） 中， k=10 。权　利　要　求　书 1/1 页 2 CN 114499987 A 2一种基于相对密 度的网络异常IP及端口混合检测方 法 技术领域 [0001]本发明属于网络异常检测技术领域， 具体涉及一种基于相对密度的网络异常IP及 端口混合检测方法。 背景技术 [0002]在当今这个时代， 没有互联 网的生活几乎是不可能的。 互联 网的潜力十分巨大， 其 增长已经反映在与教育、 娱乐、 医疗保健等各个领域。 然而， 在人类生活的每一个领域使用 互联网也有其自身的挑战。 最重要的挑战涉及数据安全性。 网络入侵是 由于计算网络中未 经授权的访问而出现 的安全漏洞。 识别网络中不同类型入侵的过程由入侵检测系统(IDS) 执行。 IDS中的攻击可分为探针攻击、 DoS攻击、 R2L 攻击、 U2R攻击 。 [0003]在探针攻击中， 未经授权的人员会"嗅探"网络并识别特定目标资源的漏洞， 例如， 攻击者可以使用一个不 寻常的端口号作为与其 他IP地址的标识来 攻击不同的端口。 [0004]DoS是Denial  of Service的简称， 即拒绝服务， 造成DoS的攻击行为被称为DoS攻 击， 其目的是使计算机或网络无法提供正常的服务。 最常见的DoS攻击有计算机网络宽带攻 击和连通性攻击。 DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍 地耗尽被攻击对 象的资源， 目的是让目标计算机或网络无法提供正常的服务或资源访问， 使目标系统服务系统停止响应甚至崩溃， 而在此攻击中并不包括侵入目标服务器或目标网 络设备。 这些服务资源包括网络带宽， 文件系统空间容量， 开放的进程或者允许的连接。 这 种攻击会导致资源的匮乏， 无论计算机的处理速度多 快、 内存容量多 大、 网络带宽的速度多 快都无法避免这种攻击带来的后果。 [0005]在R2L攻击中， 攻击者可以未经授权访问受害者的网络， 从而更容易嗅探到数据， 这可以通过虚拟专用网络(VPN)框架来阻止 。 [0006]U2R攻击是一种攻击者可以获得访问网络的根源特权的攻击。 这会导致几种灾难， 例如获得对控制列 表的未经授权的访问权限。 其中目的IP和端口作为标识主机和应用的信 息， 它们的异常检测显得格外 重要。 [0007]目前， 主要采用基于防火墙规则的网络IP异常检测和基于相对密度的DNS请求数 据流源IP异常检测这两种算法。 [0008]基于防火墙规则的网络IP异常检测算法具体是： 防火墙对进入内部网络的数据包 放行还是禁止， 判断依据为防火墙安全 策略， 来自于它的配置文件。 防火墙安全 策略是一个 访问控制列表， 该列表有多行， 每一行就是一条防火墙规则。 防火墙规则是由三部分构成： 规则序号、 网络字段过滤域及动作。 规则序号表示的是该规则在防火墙安全策略规则表中 的顺序， 保证了数据包对规则进 行匹配操作的次序。 序号的大小决定了规则的优 先级， 序号 越小， 规则的优先级越高。 网络字段过滤域可以有许多项， 但在防火墙规则中通常使用的是 下面的五项： 协议、 源IP地址、 源端口、 目的IP地址和目的端口。 规则动作是指对数据包的处 理行为， 通常为接受和禁止两种选择， 即允许数据包通过防火墙和不让数据包通过防火墙。 如果数据包找不到匹配的规则， 那么它最后将匹配一条默认的过滤规则。 防火墙规则表是说　明　书 1/5 页 3 CN 114499987 A 3