基于IPv6发展态势监测的分析方法与流程

基于ipv6发展态势监测的分析方法
技术领域
1.本发明涉及计算机监测技术领域，尤其涉及基于ipv6发展态势监测的分析方法。


背景技术：

2.态势感知是一种基于环境的、动态、整体地洞悉风险的能力，是以大数据为基础，从全局视角提升对威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是能力的落地,态势感知的概念最早被提出，覆盖感知、理解和预测三个层次；为确保网络以及对潜在网络威胁的感知能力，很多企业都会选用网络态势感知系统来提高网络稳定运行的能力；企业会选择使用态势感知系统进行分析和防御，通过该防御实现网络环境中异常项的事前防御，减少态势感知系统防御的使用次数，以保障资源成本的使用效益最大的同时，通过该防御避免发生更为严重的告警事件；现有技术cn110445807a公开了网络态势感知系统及方法，该系统包括，数据采集单元，用于采集网络中的日志、系统日志、漏洞数据和流量数据等网络要素；网络态势分析单元，对网络要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析；网络态势评估单元，根据网络态势分析单元的分析结果，评估当前网络的状态；网络态势预测单元，根据当前网络的状态和历史信息，预测网络状态的发展趋势；网络态势联动单元，根据当前网络状态及其发展趋势，对事件进行处置；网络态势溯源单元，定位攻击源、发现攻击路径、取证攻击行为；从采集网络中的安全日志、系统日志、漏洞数据和流量数据等网络安全要素；对网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析；根据的分析结果，评估当前网络的安全状态；根据当前网络的安全状态和历史信息，预测网络安全状态的发展趋势；根据当前网络安全状态及其发展趋势，对安全事件进行处置；定位攻击源、发现攻击路径、取证攻击行为；存在以下问题：可靠性差，仅进行动态预警没有学习能力，根据当前网络的状态和历史信息，预测网络状态的发展趋势，一旦出现预警信息不属于历史信息出现的，则进行攻击造成瘫痪；具有滞后性，因网络入侵行为逐渐趋于复杂化和间接化，尤其是当网络过于复杂，数据量迅猛发展的当前，评估效率显得尤为低下。


技术实现要素：

3.为了解决上述问题，本发明提出基于ipv6发展态势监测的分析方法，以更加确切地解决上述所述的问题。
4.本发明提出基于ipv6发展态势监测的分析方法，包括：s1：实时监测ipv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析，得出流数据监测结果；s2：基于流数据监测结果提取ipv6态势要素；s3：将所述ipv6态势要素进行融合分析，获得态势评估指标，根据态势评估指标反
映出ipv6发展态势。
5.进一步的，所述基于ipv6发展态势监测的分析方法，所述实时监测ipv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析的步骤，其中所述实时异常监测算法对流数据进行采集的方式包括：基于ipv6传输链路中的流数据的数据包按固定时间窗口进行切分，对每一个数据包，从中提取出五个属性字段，表示起始ip、目的ip，起始端口、目的端口以及字节数，并进行记录，对新到来的数据包对记录实时更新。
6.进一步的，所述基于ipv6发展态势监测的分析方法，所述实时监测ipv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析的步骤，其中所述实时异常监测算法对采集后的流数据进行基于非广延熵的特征提取方式包括：基于非广延熵对在窗口内的数据项进行特征提取，设置窗口，属性字段分有种数据项，其中基于的第种取值出现的次数，表示属性字段在窗口内出现的总次数，经排序后得到关于的有序概率集合，从有序概率集合找出对熵值贡献最大的个，满足的最小索引值，由得到，非广延熵可由下式确定：，，表示数据项在窗口出现的概率，表示非广延熵，表示非广延参数，通过不同的参数，提取出流量属性观测值分布在不同概率区间的特征，无论流数据中攻击或异常所占比例多少，都会得到相应的特征；基于非广延熵对在窗口内进行特征提取，再结合计算过程中得到的五个属性在窗口内不同取值的个数和平均包数统计特征,构成窗口流数据的特征向量。
7.进一步的，所述基于ipv6发展态势监测的分析方法，所述基于非广延熵对在窗口内的分布数据项进行特征提取的步骤后，包括：根据特征向量集建立双随机森林模型进行异常监测；输入的特征向量，第一随机森林模型的投票公式可通过下式确定根据进行投票决策：，其中是第一随机森林示性函数，表示随机森林中树的总数；表示输入特征向量；表示第一随机森林分类器,表示次随机向量，表示森林特征数量；当时，信任该投票结果，记为，并将其作为最终的监测结果，当时，
将送入第二随机森林模型；第二随机森林模型的建立方法是从训练集中选择出时的特征向量组成新的训练集；第二随机森林模型的投票公式可通过下式确定：，表示是随机森林中树的总数，表示次随机向量，表示森林特征数量，表示训练集的特征向量总数，是第二随机森林示性函数，表示第二随机森林分类器，设定阈值为，当时，，将确定为异常事件类型数据，记为。
8.进一步的，所述基于ipv6发展态势监测的分析方法，所述基于流数据监测结果提取ipv6态势要素的步骤，包括：ipv6态势要素包括和；网络流监测结果用表示，，其中表示正常流数据，指异常事件类型数据；表示监测到的事件对全局网络威胁概率，可用以下公式确定：，其中，表示证据计数器计算数目，表示整个网络中分支网络的数目总和；表示监测到的事件对分支网络带来的威胁概率；，，其中，表示中非正常结果的数据表，表示监测到的事件对某个分支网络带来的威胁概率，表示非正常流数据，表示的长度，即该时间窗口受威胁流量的个数，表示事件在该分支发生的概率，表示事件在分支网络被监测的次数，在每个时间窗口得到该分支网络监测结果后进行相应的累加更新，表示服务应答流异常监测中对该事件的确认次数。
9.进一步的，所述基于ipv6发展态势监测的分析方法，所述将所述ipv6态势要素进行融合分析，获得态势评估指标，根据态势评估指标反映出ipv6发展态势，包括：态势评估指标包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标；基于和进行融合分析，获得态势评估指标；理论威胁指标表示网络中所有事件发生的可能性；计算公式如下：
，其中，参数，表示证据计数器计算数目，表示整个网络中分支网络的数目总和；表示监测到的事件对某个分支网络带来的威胁概率，表示中非正常结果的数据表，表示监测到的事件对全局网络威胁概率；表示网络流监测出事件类型对应的权重。
10.进一步的，所述基于ipv6发展态势监测的分析方法，所述实际威胁指标，即由服务应答流的监测结果所确定的当中的事件对网络造成的威胁，表示服务应答流异常监测后确定的事件列表，则实际威胁指标的计算公式如下：，其中，表示实际威胁指标；表示整个网络中分支网络的数目总和，若在一个时间窗口有事件产生了实际的威胁，则认为在未来持续的数个时间段该威胁都会存在，即使是在随后的时间窗口没有监测到任何事件，也不能认为监测到的威胁会立即消失；所述网络防御能力，表示监控大规模入口到各分支网络入口之间的所有设备体现的总体防御能力；。
11.进一步的，所述基于ipv6发展态势监测的分析方法，所述态势评估指标包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标，的步骤中，包括：所述威胁可控度指标表示网络中监测到的实际威胁有一部分是有已知解决方案的，属于可以采取措施进行控制的威胁，另外还有一部分新攻击、新病毒之类的威胁是当前无法确认的威胁，即无解决方案可参考，通过可以反映出状态在多大程度上可以被改善；威胁可控度指标计算公式如下:，表示威胁可控度指标，表示分支网内所监测到的异常事件数总和，表示所有分支网络中所监测到异常和攻击的总和。
12.进一步的，所述基于ipv6发展态势监测的分析方法，所述理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标计算出态势评估总指标从而反映出ipv6发展态势；所述态势评估总指标可通过下式表示：；其中表示态势评估总指标，表示非正常流数据。
13.本发明的有益效果：
（1）本发明提出的通过实时异常监测算法进行异常监测，包括ipv6数据采集、基于非广延熵进行特征提取和双随机森林进行异常监测，针对整个网络入口处数据速度快、数据量大、攻击和异常数据量相对较小的问题，采用数据结构记录部分属性的统计信息，用非广延熵将每一个统计量分解后放大以发现少量异常原本不明显的危害特征，再结合随机森林强大的分类检测能力和快速并行决策方式对面向网络的数据流进行实时的异常检测，具有较强学习能力，适应性好，可靠性高；（2）本发明提出基于流数据监测结果计算提取出ipv6态势要素，包括和；表示监测到的事件对全局网络威胁概率，表示监测到的事件对某个分支网络带来的威胁概率，并将ipv6态势要素进行融合分析，获得态势评估指标，包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标，根据态势评估指标计算出态势评估总指标从而反映出ipv6发展态势解决因网络入侵行为逐渐趋于复杂化和间接化而评估效率低的问题，态势预测准确率高，有效提前预测并解决ipv6传输中的异常特征。
附图说明
14.图1为本发明基于ipv6发展态势监测的分析方法的流程示意图。
具体实施方式
15.为了更加清楚完整的说明本发明的技术方案，下面结合附图对本发明作进一步说明。
16.请参考图1，本发明提出基于ipv6发展态势监测的分析方法；s1：实时监测ipv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析，得出流数据监测结果；在本实施方式中，由于ipv6传输的优越性，ipv6的报文结构相比ipv4精简了许多；ipv4的报文长度不固定，且有一个变化无常的option字段来实现一些功能；ipv6在此前提下长度固定，且将option字段、分片的字段的功能转移到ipv6扩展报头中；极大的精简了ipv6的报文结构，更多的功能通过添加不同的扩展报头来实现；通过实时监测ipv6扩展报头中的ipv6传输流数据，基于实时异常监测算法将采集到的流数据进行分析，得出流数据监测结果；其中实时异常监测算法包括数据采集、基于非广延熵进行特征提取和根据双随机森林进行异常监测；数据采集：基于ipv6传输链路中的数据包按固定时间窗口进行切分，对每一个数据包，从中提取出五个属性字段，表示起始ip、目的ip，起始端口、目的端口以及字节数，运用数据结构进行记录，并根据新到来的数据包对记录实时更新，将数据包进行传输，基于非广延熵对流数据进行特征提取；特征提取：基于非广延熵对在窗口内的分布数据项进行特征提取，设置窗口，属性字段
分有种数据项，其中基于的第种取值出现的次数，表示属性字段在窗口内出现的总次数，经排序后得到关于的有序概率集合，从有序概率集合找出对熵值贡献最大的个，满足的最小索引值，由得到，在一个实施例中有9个值分别为-2、-11、001、05、11、13、15、17、2，使取值与首尾分布相对应，在概率动态变化较大的分布头部，对较多的区间进行特征放大考察，提高对变化的捕捉能力，在相对取值较为单一的尾部用较少的参数,避免特征的重复和相关，参数取值空间在中；取-2到2这个区间的值已经可以获得足够的信息用于异常检测，取大于2或小于-2的值对检测结果的改善没有太多帮助，因此将参数的取值范围定在该区间；非广延熵可由下式确定：，，表示数据项在窗口出现的概率，表示非广延熵，表示非广延参数，当时，相当于把高概率区间的特征进行放大，当时，相当于把低概率区间的特征进行放大，当，非广延熵收敛域香农熵，，表示香农熵；利用非广延熵的这个特点，集中在熵值贡献大的数据项中，减少噪声的干扰；通过不同的参数，提取出流量属性观测值分布在不同概率区间的特征，这样无论攻击或异常所占比例多少，都会得到相应的特征；基于非广延熵对在窗口内的分布数据项进行特征提取，再结合计算过程中得到的五个属性在窗口内不同取值的个数和平均包数统计特征用香农熵度量,构成窗口流数据的特征向量；根据双随机森林进行异常监测；首先利用随机森林从训练集全体中学习到的第一随机森林模型,对流量特征向量进行检测，满足投票阈值的结果作为最终检测结果，检测结束；不满足投票阈值的结果，利用随机森林从训练子集(由训练集中包含各类攻击的数据组成的子集)中学习得到的第二随机森林模型，对流量特征向量进行检测，根据检测阈值得到最终检测结果；输入的待测特征向量，第一随机森林模型的投票公式可通过下式确定根据进行投票决策：，其中是第一随机森林示性函数，表示随机森林中树的总数；表示输入特征向量；表示第一随机森林分类器,表示次随机向量，表
示森林特征数量；当时，信任该投票结果，记为，并将其作为最终的监测结果，当时，将送入第二随机森林模型；第二随机森林模型的建立方法是从训练集中选择出时的特征向量组成新的训练集；第二随机森林模型的投票公式可通过下式确定：，表示是随机森林中树的总数，表示次随机向量，表示森林特征数量，表示训练集的特征向量总数，是第二随机森林示性函数，表示第二随机森林分类器，设定阈值为，当时，，将确定为异常事件类型数据，记为，还有一种情况是当，在此的事件结果为无法确认其为正常流数据还是某类攻击的异常数据，此事件发生后将输出结果反向输入双随机森林，若得到结果等于待测特征向量，则分类在正常数据流中，反之，分类在异常事件类型数据。
17.s2：基于流数据监测结果提取ipv6态势要素；在本实施方式中，ipv6态势要素包括和；网络流监测结果用表示，，其中表示正常流数据，指异常事件类型数据，指低于监测阈值，无法确定其为正常还是某类攻击的异常监测结果；表示监测到的事件对全局网络威胁概率，可用以下公式确定：，其中，表示证据计数器计算数目，表示整个网络中分支网络的数目总和；表示监测到的事件对分支网络带来的威胁概率；，，表示中非正常结果的数据表，表示监测到的事件对某个分支网络带来的威胁概率，表示非正常流数据，表示的长度，即该时间窗口受威胁流量的个数，表示事件在该分支发生的概率，表示事件在分支网络被监测的次数，在每个时间窗口得到该分支网络监测结果后进行相应的累加更新，
表示服务应答流异常监测中对该事件的确认次数。
18.s3：将ipv6态势要素进行融合分析，获得态势评估指标，根据态势评估指标反映出ipv6发展态势；在本实施方式中，态势评估指标包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标；基于和进行融合分析，获得态势评估指标；理论威胁指标：表示网络中所有事件发生的可能性；具体来说主要有两部分：一部分是在大规模网络入口处由网络流检测到，但不确定是否会突破网络内部的安全防护设备并到达内部分支网络的事件;另一部分是能够突破安全防护设备的检测，但不确定是否会突破主机安全防护手段的事件；相对来说，第一部分对理论威胁指数的影响要小于第二部分，因为第二部分检测到的事件可以突破网络中安全防护设备的防护，也就存在着突破主机安全防护软件并对主机产生影响的可能计算公式如下：，设定参数，表示证据计数器计算数目，表示整个网络中分支网络的数目总和；表示监测到的事件对某个分支网络带来的威胁概率，表示中非正常结果的数据表，表示监测到的事件对全局网络威胁概率；表示网络流监测出事件类型对应的权重。
19.实际威胁指标：即由服务应答流的监测结果所确定的当中的事件对网络造成的威胁，表示服务应答流异常监测后确定的事件列表，则实际威胁指标的计算公式如下:，其中，表示实际威胁指标；表示整个网络中分支网络的数目总和，若在一个时间窗口有事件产生了实际的威胁，则认为在未来持续的数个时间段该威胁都会存在，即使是在随后的时间窗口没有监测到任何事件，也不能认为监测到的威胁会立即消失，因此在对该指标进行更新时，如下一个时间窗口没有事件发生则采取缓慢更新的策略，即在原有数值的基础上减1，如有事件发生则按事件权值累加，不进行减1操作；该指数最小值为0,表示当前网络没有受到任何威胁；网络防御能力：表示监控大规模入口到各分支网络入口之间的所有设备体现的总体防御能力，防御成功率要素，与威胁要素相对应，该要素涉及到两个方面，一个是位于分支网络之前的所有安全防护设备的防御成功率，另一个是分支网络内部各主机安全防护手段的成功率，该要素也来源于当前时间窗口和历史结果的统计；。
20.威胁可控度指标：表示网络中监测到的实际威胁有一部分是有已知解决方案的，属于可以采取措施进行控制的威胁，另外还有一部分如新攻击、新病毒之类的威胁是当前无法确认的威胁，即无解决方案可参考，通过可以反映出状态在多大程度上可以被改善；由事件检测中无法确定事件类型的异常结果所占的比例决定；整个模型中，有两处的检测结果同时包含了确定事件和异常事件结果，即网络流的检测和主机流的检测，由于网络流的检测是基于包的粗粒度检测，异常结果包含的原因较为复杂多样；威胁可控度指标计算公式如下:；表示威胁可控度指标，表示分支网内所监测到的异常事件数总和，表示所有分支网络中所监测到异常和攻击的总和。
21.根据理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标计算出态势评估总指标从而反映出ipv6发展态势；所述态势评估总指标可通过下式表示：；其中表示态势评估总指标，表示非正常流数据；当态势评估总指标时，表明在传输链路中自身防御能力不足以抵御异常事件并预测后续会持续威胁危害，自身可控度低，此时需要运维人员及时去进行异常事件的排查，若时，表示传输链路中出现少量异常事件或没有异常数据发生，自身防御能力足够支撑对异常事件进行排查，威胁可控度高，无需运维人员刻意进行排查。
22.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
23.以上所述仅为本技术的优选实施例，并非因此限制本技术的专利范围，凡是利用本技术说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其它相关的技术领域，均同理包括在本技术的专利保护范围内。
24.尽管已经示出和描述了本技术的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本技术的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本技术的范围由所附权利要求及其等同物限定。
25.当然，本发明还可有其它多种实施方式，基于本实施方式，本领域的普通技术人员在没有做出任何创造性劳动的前提下所获得其他实施方式，都属于本发明所保护的范围。

技术特征：
1.基于ipv6发展态势监测的分析方法，其特征在于，包括：s1：实时监测ipv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析，得出流数据监测结果；s2：基于流数据监测结果提取ipv6态势要素；s3：将所述ipv6态势要素进行融合分析，获得态势评估指标，根据态势评估指标反映出ipv6发展态势；所述实时异常监测算法对流数据进行采集的方式包括：基于ipv6传输链路中的流数据的数据包按固定时间窗口进行切分，对每一个数据包，从中提取出五个属性字段，表示起始ip、目的ip，起始端口、目的端口以及字节数，并进行记录，对新到来的数据包对记录实时更新；所述实时异常监测算法对采集后的流数据进行基于非广延熵的特征提取方式包括：基于非广延熵对在窗口内的数据项进行特征提取，设置窗口，属性字段分有种数据项，其中基于的第种取值出现的次数，表示属性字段在窗口内出现的总次数，经排序后得到关于的有序概率集合，从有序概率集合找出对熵值贡献最大的个，满足的最小索引值，由得到，非广延熵可由下式确定：，，表示数据项在窗口出现的概率，表示非广延熵，表示非广延参数，通过不同的参数，提取出流量属性观测值分布在不同概率区间的特征，无论流数据中攻击或异常所占比例多少，都会得到相应的特征；基于非广延熵对在窗口内进行特征提取，再结合计算过程中得到的五个属性在窗口内不同取值的个数和平均包数统计特征,构成窗口流数据的特征向量。2.根据权利要求1所述基于ipv6发展态势监测的分析方法，其特征在于，所述基于非广延熵对在窗口内的分布数据项进行特征提取的步骤后，包括：根据特征向量集建立双随机森林模型进行异常监测；输入的特征向量，第一随机森林模型的投票公式可通过下式确定根据进行投票决策：，其中是第一随机森林示性函数，表示随机森林中树的总数；表示输入特征向量；表示第一随机森林分类器，表示次随机向量，表示森林特
征数量；当时，信任该投票结果，记为，并将其作为最终的监测结果，当时，将送入第二随机森林模型；第二随机森林模型的建立方法是从训练集中选择出时的特征向量组成新的训练集；第二随机森林模型的投票公式可通过下式确定：，表示是随机森林中树的总数，表示次随机向量，表示森林特征数量，表示训练集的特征向量总数，是第二随机森林示性函数，表示第二随机森林分类器，设定阈值为，当时，将确定为异常事件类型数据，记为。3.根据权利要求1所述基于ipv6发展态势监测的分析方法，其特征在于，所述基于流数据监测结果提取ipv6态势要素的步骤，包括：ipv6态势要素包括和；网络流监测结果用表示，，其中表示正常流数据，指异常事件类型数据；表示监测到的事件对全局网络威胁概率，可用以下公式确定：，其中，表示证据计数器计算数目，表示整个网络中分支网络的数目总和；表示监测到的事件对分支网络带来的威胁概率；，，其中，表示中非正常结果的数据表，表示监测到的事件对某个分支网络带来的威胁概率，表示非正常流数据，表示的长度，即该时间窗口受威胁流量的个数，表示事件在该分支发生的概率，表示事件在分支网络被监测的次数，在每个时间窗口得到该分支网络监测结果后进行相应的累加更新，表示服务应答流异常监测中对该事件的确认次数。4.根据权利要求1所述基于ipv6发展态势监测的分析方法，其特征在于，所述将所述ipv6态势要素进行融合分析，获得态势评估指标，根据态势评估指标反映出ipv6发展态势，包括：态势评估指标包括理论威胁指标、实际威胁指标、威胁可控
度指标和网络防御能力指标；基于和进行融合分析，获得态势评估指标；理论威胁指标表示网络中所有事件发生的可能性；计算公式如下：，其中，参数，表示证据计数器计算数目，表示整个网络中分支网络的数目总和；表示监测到的事件对某个分支网络带来的威胁概率，表示中非正常结果的数据表，表示监测到的事件对全局网络威胁概率；表示网络流监测出事件类型对应的权重。5.根据权利要求4所述基于ipv6发展态势监测的分析方法，其特征在于，所述实际威胁指标，即由服务应答流的监测结果所确定的当中的事件对网络造成的威胁，表示服务应答流异常监测后确定的事件列表，则实际威胁指标的计算公式如下：，其中，表示实际威胁指标；表示整个网络中分支网络的数目总和，若在一个时间窗口有事件产生了实际的威胁，则认为在未来持续的数个时间段该威胁存在，即使是在随后的时间窗口没有监测到任何事件，也不能认为监测到的威胁会立即消失；所述网络防御能力，表示监控大规模入口到各分支网络入口之间的所有设备体现的总体防御能力；。6.根据权利要求4所述基于ipv6发展态势监测的分析方法，其特征在于，所述态势评估指标包括理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标的步骤中，包括：所述威胁可控度指标表示网络中监测到的实际威胁有一部分是有已知解决方案的，属于可以采取措施进行控制的威胁，另外还有一部分新攻击、新病毒之类的威胁是当前无法确认的威胁，即无解决方案可参考，通过可以反映出状态在多大程度上可以被改善；威胁可控度指标计算公式如下:，表示威胁可控度指标，表示分支网内所监测到的异常事件数总和，表示所有分支网络中所监测到异常和攻击的总和。7.根据权利要求6所述基于ipv6发展态势监测的分析方法，其特征在于，所述理论威胁指标、实际威胁指标、威胁可控度指标和网络防御能力指标计算出态势评估总指标从而反映出ipv6发展态势；所述态势评估总指标可通过下式表示：
；其中表示态势评估总指标，表示非正常流数据。

技术总结
本发明提出基于IPv6发展态势监测的分析方法，包括：实时监测IPv6网络传输流数据，基于实时异常监测算法将采集到的流数据进行分析，得出流数据监测结果；基于流数据监测结果提取IPv6态势要素；将IPv6态势要素进行融合分析，获得态势评估指标，根据态势评估指标反映出IPv6发展态势；实时异常监测算法进行异常监测，包括IPv6数据采集、基于非广延熵进行特征提取和根据双随机森林进行异常监测，采用概要数据结构快速记录部分属性的统计信息，用非广延熵将每一个统计量分解发现少量异常原本不明显的特征，结合随机森林强大的分类检测能力和快速并行决策方式对面向网络的数据流进行实时的异常检测。的数据流进行实时的异常检测。的数据流进行实时的异常检测。


技术研发人员：冯波 谢传中 王超 罗志鹏 夏金栋
受保护的技术使用者：国家计算机网络与信息安全管理中心江西分中心
技术研发日：2023.07.19
技术公布日：2023/8/24