一种基于流量监测的网络攻击追踪溯源方法与系统与流程

1.本发明属于网络安全技术领域，尤其涉及一种基于流量监测的网络攻击追踪溯源方法与系统。


背景技术：

2.为了实现对网站的网络安全状态的实时监测以及对网络攻击的追踪溯源，在授权公告号cn114584401b《一种面向大规模网络攻击的追踪溯源系统及方法》中通过对网络出入口经过的流量进行网络攻击检测和异常行为识别，并基于网络攻击信息判断攻击信息是否源地址伪造攻击，对攻击流的源ip地址进行主动扫描和探测，实现对网络攻击者的追踪溯源，但是却忽视了对被监视网络区域以及待检测网络设备的区分，对于网络安全监测设备，特别是大型的网络安全监测设备，其所需监测的网络设备和网络区域的数量十分庞大，同时所需要监测的网络流量的数量级也十分的庞大，因此若不能进行区分，则有可能导致监测的时效性受到一定程度的影响，从而会使得安全风险有可能扩大化，进而导致不必要的数据泄露风险以及其它网络安全风险的出现。
3.针对上述技术问题，本发明提供了一种基于流量监测的网络攻击追踪溯源方法与系统。


技术实现要素：

4.为实现本发明目的，本发明采用如下技术方案：
5.根据本发明的一个方面，提供了一种基于流量监测的网络攻击追踪溯源方法。
6.一种基于流量监测的网络攻击追踪溯源方法，其特征在于，具体包括：
7.s11确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值，并基于所述网络区域的基础评估值确定所述网络区域是否属于核心网络区域，若是，则将所述网络区域作为核心网络区域，并进入步骤s13，若否，则进入步骤s12；
8.s12基于所述网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，并基于所述网络区域的入侵评估值以及基础评估值确定所述网络区域的类型，所述网络区域的类型包括核心网络区域和一般网络区域；
9.s13根据所述网络区域的类型的不同，确定所述网络区域的监测频率，并基于所述监测频率对所述网络区域的网络流量进行分析，并当所述网络区域的网络用户的实时网络流量存在异常时，进入步骤s14；
10.s14基于所述网络用户的历史日志确定所述网络用户的历史访问行为，并结合所述网络用户的实时网络流量和访问行为，确定所述网络用户是否为风险用户，并当所述网络用户为风险用户时，基于所述网络用户的ip地址或者访问设备指纹实现对所述网络用户的溯源。
11.通过结合网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的
基础评估值的确定，从而实现了从网络设备的情况以及网络流量的情况实现了对核心网络区域的确定，这也为区别性的进行监测频率的确定奠定了基础，提升了安全监测的效率和针对性。
12.通过基于所述网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，从而实现了不仅从网络入侵的角度进行核心网络区域的确定，同时也进一步与网络入侵成功的角度进行核心网络区域的确定，从而全面考虑到网络区域的易受攻击性和脆弱性，这也为区别性的进行监测频率的确定奠定了基础，提升了安全监测的效率和针对性。
13.通过基于所述网络用户的历史日志确定所述网络用户的历史访问行为，并结合所述网络用户的实时网络流量和访问行为，确定所述网络用户是否为风险用户，从而实现了从历史访问行为以及实时网络情况两个方面对风险用户的识别，实现了从更长的时间维度对风险用户的认定，提升了风险识别的准确性。
14.进一步的技术方案在于，所述网络区域根据不同的网络区域的作用和设备类型具体确定，具体的根据电气设备或者电压等级，将相同的电气设备所对应的网络设备或者相同的电压等级的电气设备所对应的网络设备划分为同一个网络区域。
15.进一步的技术方案在于，所述网络区域的基础评估值构建的具体步骤为：
16.s21基于所述网络区域的历史网络流量，确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，并将所述网络区域的历史网络流量进行基础评估值的确定，若否，则进入步骤s22；
17.s22基于所述网络区域的网络设备的种类确定是否所述网络区域为潜在风险区域，若是，则进入步骤s23，若否，则进入步骤s24；
18.s23基于所述网络区域的网络设备的数量确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，并基于所述网络区域的不同种类的网络设备的数量进行基础评估值的确定，若否，则进入步骤s24；
19.s24确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值。
20.进一步的技术方案在于，基于所述网络区域的不同种类的网络设备的数量进行基础评估值的确定，具体包括：
21.基于网络设备的种类确定所述网络设备的设备基础评估值，并结合不同种类的网络设备的数量对所述设备基础评估值进行修正得到设备评估值；
22.基于不同种类的网络设备的设备评估值的和进行基础评估值的确定。
23.进一步的技术方案在于，所述网络区域的类型确定的具体步骤为：
24.s31基于所述网络区域在历史中的网络入侵的次数和类型构建基础入侵评估值，并基于所述基础入侵评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入步骤s32；
25.s32基于所述网络区域在历史中的网络入侵成功的次数和类型构建入侵成功评估值，并基于所述入侵成功评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入步骤s33；
26.s33基于所述网络区域的入侵成功评估值、基础入侵评估值构建所述网络区域的
入侵评估值，并基于所述入侵评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入步骤s34；
27.s34基于所述网络区域的入侵评估值和基础评估值确定所述网络区域的评估值，并基于所述评估值确定所述网络区域的类型。
28.进一步的技术方案在于，根据所述网络区域的类型的不同，确定所述网络区域的监测频率，具体包括：
29.基于所述网络区域的类型的不同，确定所述网络区域的基础监测频率，其中所述核心网络区域的基础监测频率大于一般网络区域的基础监测频率；
30.基于所述网络区域的评估值对所述基础监测频率进行修正得到监测频率，其中监测频率大于基础监测频率。
31.进一步的技术方案在于，确定所述网络用户是否为风险用户的具体步骤为：
32.s41基于所述网络用户的历史日志进行所述网络用户的历史访问行为的确定，其中所述历史访问行为至少包括访问流量均值、设定时间内的访问频率均值、是否为异常网络用户以及被识别为异常网络用户的次数，并确定所述网络用户是否为异常网络用户，若是，则进入步骤s42，若否，则进入步骤s43；
33.s42基于所述网络用户被识别为异常网络用户的次数确定所述网络用户是否为风险用户，若是，则将所述网络用户作为风险用户，若否，则进入步骤s43；
34.s43基于所述历史访问行为确定所述网络用户的访问流量均值以及设定时间内的访问频率均值得到所述网络用户的历史访问值，并基于所述网络用户的实时网络流量以及在设定时间内的访问频率确定所述网络用户的实时访问值，并基于所述实时访问值以及所述历史访问值得到所述网络用户的访问风险评估值，并基于所述访问风险评估值确定所述网络用户是否为风险用户，若是，则将所述网络用户作为风险用户，若否，则进入步骤s44；
35.s44基于所述网络用户的访问风险评估值、被识别为异常网络用户的次数进行所述网络用户的综合访问风险评估值的确定，并基于所述综合访问风险评估值确定所述网络用户是否为风险用户。
36.进一步的技术方案在于，当所述综合访问风险评估值大于风险阈值时，则确定所述网络用户为风险用户。
37.另一方面，本发明提供了一种基于流量监测的网络攻击追踪溯源系统，采用上述的一种基于流量监测的网络攻击追踪溯源方法，具体包括：
38.网络区域划分模块；监测频率确定模块；风险用户识别模块；网络用户溯源模块；
39.其中所述网络区域划分模块负责确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值，基于所述网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，并基于所述网络区域的入侵评估值以及基础评估值确定所述网络区域的类型；
40.所述监测频率确定模块负责根据所述网络区域的类型的不同，确定所述网络区域的监测频率；
41.所述风险用户识别模块负责基于所述监测频率对所述网络区域的网络流量进行分析，并当所述网络区域的网络用户的实时网络流量存在异常时，基于所述网络用户的历
史日志确定所述网络用户的历史访问行为，并结合所述网络用户的实时网络流量和访问行为，确定所述网络用户是否为风险用户；
42.所述网络用户溯源模块负责基于所述网络用户的ip地址或者访问设备指纹实现对所述网络用户的溯源。
43.另一方面，本发明提供了一种计算机存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行上述的一种基于流量监测的网络攻击追踪溯源方法。
44.其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。
45.为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
46.通过参照附图详细描述其示例实施方式，本发明的上述和其它特征及优点将变得更加明显。
47.图1是根据实施例1的一种基于流量监测的网络攻击追踪溯源方法的流程图。
48.图2是根据实施例2的一种基于流量监测的网络攻击追踪溯源系统的框图。
具体实施方式
49.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的实施方式；相反，提供这些实施方式使得本发明将全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。图中相同的附图标记表示相同或类似的结构，因而将省略它们的详细描述。
50.用语“一个”、“一”、“该”、“所述”用以表示存在一个或多个要素/组成部分/等；用语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等。
51.实施例1
52.为解决上述问题，根据本发明的一个方面，如图1所示，提供了一种基于流量监测的网络攻击追踪溯源方法，其特征在于，具体包括：
53.s11确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值，并基于所述网络区域的基础评估值确定所述网络区域是否属于核心网络区域，若是，则将所述网络区域作为核心网络区域，并进入步骤s13，若否，则进入步骤s12；
54.需要说明的是，历史网络流量为限定时间内的网络流量的和，一般可以取最近一周或者一个月的网络流量。
55.需要说明的是，所述网络区域根据不同的网络区域的作用和设备类型具体确定，具体的根据电气设备或者电压等级，将相同的电气设备所对应的网络设备或者相同的电压等级的电气设备所对应的网络设备划分为同一个网络区域。
56.具体的举例说明，所述网络区域的基础评估值构建的具体步骤为：
57.s21基于所述网络区域的历史网络流量，确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，并将所述网络区域的历史网络流量进行基础评估值的确定，若否，则进入步骤s22；
58.具体的举例说明，当所述网格区域的历史网络流量大于所有的网格区域的历史网络流量的平均值时，则将其作为核心网络区域，具体的基础评估值根据网络区域的历史网络流量的倒数构建基本项，并将1与基本项的差作为基本评估值。
59.s22基于所述网络区域的网络设备的种类确定是否所述网络区域为潜在风险区域，若是，则进入步骤s23，若否，则进入步骤s24；
60.需要说明的是，网络设备的种类过多时，则其受到攻击的风险越大，因此将其作为潜在风险区域，也就是作为备选的核心网络区域。
61.s23基于所述网络区域的网络设备的数量确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，并基于所述网络区域的不同种类的网络设备的数量进行基础评估值的确定，若否，则进入步骤s24；
62.需要说明的是，网格区域的网络设备的数量越多，则网格区域为核心网络区域的可能性就越大，其受到攻击的可能性就越大。
63.s24确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值。
64.需要说明的是，所述基础评估值采用基于abc-bp神经网络的预测模型进行确定。
65.需要另外说明的是，在传统的abc算法中，跟随蜂都是根据式的轮盘赌策略来进行蜜源的选择，在算法求解的过程中，有些蜜源的适应度非常大，即产生了超常个体，这些个体的较强竞争力会影响整个种群的多样性，使得算法提前停止寻优或者过早收敛。
66.为了降低这种选择压力对算法的影响，保持种群多样性，通过改进型公式对选择概率进行优化，其中选择概率的计算公式为：
[0067][0068]
其中fit(xi)为第i个蜜源的适应度，max(fit)为所有的蜜源的适应度的最大值，p(xi)为跟随蜂选择第i个蜜源的概率，n为蜜源的总数量，h为信息扩散系数。
[0069]
由于传统abc算法中每个个体进化频率之间无显著差异，说明传统概率模型无法保证好的蜜源吸引跟随蜂。而在改进型abc算法中，有些个体明显有较高的进化频率，说明信息扩散概率模型可以更好保证较好的蜜源作为跟随蜂选择的下一位置，使优秀蜜源被更多跟随蜂所关注。因此，信息扩散概率模型可以使abc中隐藏的优秀蜜源更有价值，提高了abc的深度开采能力。
[0070]
具体的举例说明，基于所述网络区域的不同种类的网络设备的数量进行基础评估值的确定，具体包括：
[0071]
基于网络设备的种类确定所述网络设备的设备基础评估值，并结合不同种类的网
络设备的数量对所述设备基础评估值进行修正得到设备评估值；
[0072]
基于不同种类的网络设备的设备评估值的和进行基础评估值的确定。
[0073]
在本实施例中，通过结合网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值的确定，从而实现了从网络设备的情况以及网络流量的情况实现了对核心网络区域的确定，这也为区别性的进行监测频率的确定奠定了基础，提升了安全监测的效率和针对性。
[0074]
s12基于所述网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，并基于所述网络区域的入侵评估值以及基础评估值确定所述网络区域的类型，所述网络区域的类型包括核心网络区域和一般网络区域；
[0075]
具体举例说明，所述网络区域的类型确定的具体步骤为：
[0076]
s31基于所述网络区域在历史中的网络入侵的次数和类型构建基础入侵评估值，并基于所述基础入侵评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入步骤s32；
[0077]
s32基于所述网络区域在历史中的网络入侵成功的次数和类型构建入侵成功评估值，并基于所述入侵成功评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入步骤s33；
[0078]
s33基于所述网络区域的入侵成功评估值、基础入侵评估值构建所述网络区域的入侵评估值，并基于所述入侵评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入步骤s34；
[0079]
s34基于所述网络区域的入侵评估值和基础评估值确定所述网络区域的评估值，并基于所述评估值确定所述网络区域的类型。
[0080]
在本实施例中，通过基于所述网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，从而实现了不仅从网络入侵的角度进行核心网络区域的确定，同时也进一步与网络入侵成功的角度进行核心网络区域的确定，从而全面考虑到网络区域的易受攻击性和脆弱性，这也为区别性的进行监测频率的确定奠定了基础，提升了安全监测的效率和针对性。
[0081]
s13根据所述网络区域的类型的不同，确定所述网络区域的监测频率，并基于所述监测频率对所述网络区域的网络流量进行分析，并当所述网络区域的网络用户的实时网络流量存在异常时，进入步骤s14；
[0082]
具体的举例说明，根据所述网络区域的类型的不同，确定所述网络区域的监测频率，具体包括：
[0083]
基于所述网络区域的类型的不同，确定所述网络区域的基础监测频率，其中所述核心网络区域的基础监测频率大于一般网络区域的基础监测频率；
[0084]
基于所述网络区域的评估值对所述基础监测频率进行修正得到监测频率，其中监测频率大于基础监测频率。
[0085]
s14基于所述网络用户的历史日志确定所述网络用户的历史访问行为，并结合所述网络用户的实时网络流量和访问行为，确定所述网络用户是否为风险用户，并当所述网络用户为风险用户时，基于所述网络用户的ip地址或者访问设备指纹实现对所述网络用户的溯源。
[0086]
具体的举例说明，确定所述网络用户是否为风险用户的具体步骤为：
[0087]
s41基于所述网络用户的历史日志进行所述网络用户的历史访问行为的确定，其中所述历史访问行为至少包括访问流量均值、设定时间内的访问频率均值、是否为异常网络用户以及被识别为异常网络用户的次数，并确定所述网络用户是否为异常网络用户，若是，则进入步骤s42，若否，则进入步骤s43；
[0088]
s42基于所述网络用户被识别为异常网络用户的次数确定所述网络用户是否为风险用户，若是，则将所述网络用户作为风险用户，若否，则进入步骤s43；
[0089]
s43基于所述历史访问行为确定所述网络用户的访问流量均值以及设定时间内的访问频率均值得到所述网络用户的历史访问值，并基于所述网络用户的实时网络流量以及在设定时间内的访问频率确定所述网络用户的实时访问值，并基于所述实时访问值以及所述历史访问值得到所述网络用户的访问风险评估值，并基于所述访问风险评估值确定所述网络用户是否为风险用户，若是，则将所述网络用户作为风险用户，若否，则进入步骤s44；
[0090]
s44基于所述网络用户的访问风险评估值、被识别为异常网络用户的次数进行所述网络用户的综合访问风险评估值的确定，并基于所述综合访问风险评估值确定所述网络用户是否为风险用户。
[0091]
需要说明的是，当所述综合访问风险评估值大于风险阈值时，则确定所述网络用户为风险用户。
[0092]
需要说明的是，访问设备指纹为访问设备的唯一标识，具体的可以为imei、uuid等。
[0093]
在本实施例中，通过基于所述网络用户的历史日志确定所述网络用户的历史访问行为，并结合所述网络用户的实时网络流量和访问行为，确定所述网络用户是否为风险用户，从而实现了从历史访问行为以及实时网络情况两个方面对风险用户的识别，实现了从更长的时间维度对风险用户的认定，提升了风险识别的准确性。
[0094]
实施例2
[0095]
如图2所示，本发明提供了本发明提供了一种基于流量监测的网络攻击追踪溯源系统，采用上述的一种基于流量监测的网络攻击追踪溯源方法，具体包括：
[0096]
网络区域划分模块；监测频率确定模块；风险用户识别模块；网络用户溯源模块；
[0097]
其中所述网络区域划分模块负责确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值，基于所述网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，并基于所述网络区域的入侵评估值以及基础评估值确定所述网络区域的类型；
[0098]
所述监测频率确定模块负责根据所述网络区域的类型的不同，确定所述网络区域的监测频率；
[0099]
所述风险用户识别模块负责基于所述监测频率对所述网络区域的网络流量进行分析，并当所述网络区域的网络用户的实时网络流量存在异常时，基于所述网络用户的历史日志确定所述网络用户的历史访问行为，并结合所述网络用户的实时网络流量和访问行为，确定所述网络用户是否为风险用户；
[0100]
所述网络用户溯源模块负责基于所述网络用户的ip地址或者访问设备指纹实现
对所述网络用户的溯源。
[0101]
实施例3
[0102]
本发明提供了一种计算机存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行上述的一种基于流量监测的网络攻击追踪溯源方法。
[0103]
在本技术所提供的几个实施例中，应该理解到，所揭露的系统和方法，也可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0104]
另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
[0105]
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0106]
以上述依据本发明的理想实施例为启示，通过上述的说明内容，相关工作人员完全可以在不偏离本项发明技术思想的范围内，进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容，必须要根据权利要求范围来确定其技术性范围。

技术特征：
1.一种基于流量监测的网络攻击追踪溯源方法，其特征在于，具体包括：s11确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值，并基于所述网络区域的基础评估值确定所述网络区域是否属于核心网络区域，若是，则将所述网络区域作为核心网络区域，并进入步骤s13，若否，则进入步骤s12;s12基于所述网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，并基于所述网络区域的入侵评估值以及基础评估值确定所述网络区域的类型，所述网络区域的类型包括核心网络区域和一般网络区域；s13根据所述网络区域的类型的不同，确定所述网络区域的监测频率，并基于所述监测频率对所述网络区域的网络流量进行分析，并当所述网络区域的网络用户的实时网络流量存在异常时，进入步骤s14；s14基于所述网络用户的历史日志确定所述网络用户的历史访问行为，并结合所述网络用户的实时网络流量和访问行为，确定所述网络用户是否为风险用户，并当所述网络用户为风险用户时，基于所述网络用户的ip地址或者访问设备指纹实现对所述网络用户的溯源。2.如权利要求1所述的网络攻击追踪溯源方法，其特征在于，所述网络区域根据不同的网络区域的作用和设备类型具体确定，具体的根据电气设备或者电压等级，将相同的电气设备所对应的网络设备或者相同的电压等级的电气设备所对应的网络设备划分为同一个网络区域。3.如权利要求1所述的网络攻击追踪溯源方法，其特征在于，所述网络区域的基础评估值构建的具体步骤为：s21基于所述网络区域的历史网络流量，确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，并将所述网络区域的历史网络流量进行基础评估值的确定，若否，则进入步骤s22；s22基于所述网络区域的网络设备的种类确定是否所述网络区域为潜在风险区域，若是，则进入步骤s23，若否，则进入步骤s24；s23基于所述网络区域的网络设备的数量确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，并基于所述网络区域的不同种类的网络设备的数量进行基础评估值的确定，若否，则进入步骤s24；s24确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值。4.如权利要求3所述的网络攻击追踪溯源方法，其特征在于，基于所述网络区域的不同种类的网络设备的数量进行基础评估值的确定，具体包括：基于网络设备的种类确定所述网络设备的设备基础评估值，并结合不同种类的网络设备的数量对所述设备基础评估值进行修正得到设备评估值；基于不同种类的网络设备的设备评估值的和进行基础评估值的确定。5.如权利要求1所述的网络攻击追踪溯源方法，其特征在于，所述网络区域的类型确定的具体步骤为：基于所述网络区域在历史中的网络入侵的次数和类型构建基础入侵评估值，并基于所
述基础入侵评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入下一步骤；基于所述网络区域在历史中的网络入侵成功的次数和类型构建入侵成功评估值，并基于所述入侵成功评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入下一步骤；基于所述网络区域的入侵成功评估值、基础入侵评估值构建所述网络区域的入侵评估值，并基于所述入侵评估值确定所述网络区域是否为核心网络区域，若是，则将所述网络区域作为核心网络区域，若否，则进入下一步骤；基于所述网络区域的入侵评估值和基础评估值确定所述网络区域的评估值，并基于所述评估值确定所述网络区域的类型。6.如权利要求1所述的网络攻击追踪溯源方法，其特征在于，根据所述网络区域的类型的不同，确定所述网络区域的监测频率，具体包括：基于所述网络区域的类型的不同，确定所述网络区域的基础监测频率，其中所述核心网络区域的基础监测频率大于一般网络区域的基础监测频率；基于所述网络区域的评估值对所述基础监测频率进行修正得到监测频率，其中监测频率大于基础监测频率。7.如权利要求1所述的网络攻击追踪溯源方法，其特征在于，确定所述网络用户是否为风险用户的具体步骤为：s41基于所述网络用户的历史日志进行所述网络用户的历史访问行为的确定，其中所述历史访问行为至少包括访问流量均值、设定时间内的访问频率均值、是否为异常网络用户以及被识别为异常网络用户的次数，并确定所述网络用户是否为异常网络用户，若是，则进入步骤s42，若否，则进入步骤s43；s42基于所述网络用户被识别为异常网络用户的次数确定所述网络用户是否为风险用户，若是，则将所述网络用户作为风险用户，若否，则进入步骤s43；s43基于所述历史访问行为确定所述网络用户的访问流量均值以及设定时间内的访问频率均值得到所述网络用户的历史访问值，并基于所述网络用户的实时网络流量以及在设定时间内的访问频率确定所述网络用户的实时访问值，并基于所述实时访问值以及所述历史访问值得到所述网络用户的访问风险评估值，并基于所述访问风险评估值确定所述网络用户是否为风险用户，若是，则将所述网络用户作为风险用户，若否，则进入步骤s44；s44基于所述网络用户的访问风险评估值、被识别为异常网络用户的次数进行所述网络用户的综合访问风险评估值的确定，并基于所述综合访问风险评估值确定所述网络用户是否为风险用户。8.如权利要求7所述的网络攻击追踪溯源方法，其特征在于，当所述综合访问风险评估值大于风险阈值时，则确定所述网络用户为风险用户。9.一种基于流量监测的网络攻击追踪溯源系统，采用权利要求1-9任一项所述的一种基于流量监测的网络攻击追踪溯源方法，具体包括：网络区域划分模块；监测频率确定模块；风险用户识别模块；网络用户溯源模块；其中所述网络区域划分模块负责确定网络监测终端所需要的网络区域，并基于所述网络区域的网络设备的种类和数量、历史网络流量确定所述网络区域的基础评估值，基于所
述网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，并基于所述网络区域的入侵评估值以及基础评估值确定所述网络区域的类型；所述监测频率确定模块负责根据所述网络区域的类型的不同，确定所述网络区域的监测频率；所述风险用户识别模块负责基于所述监测频率对所述网络区域的网络流量进行分析，并当所述网络区域的网络用户的实时网络流量存在异常时，基于所述网络用户的历史日志确定所述网络用户的历史访问行为，并结合所述网络用户的实时网络流量和访问行为，确定所述网络用户是否为风险用户；所述网络用户溯源模块负责基于所述网络用户的ip地址或者访问设备指纹实现对所述网络用户的溯源。10.一种计算机存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-8任一项所述的一种基于流量监测的网络攻击追踪溯源方法。

技术总结
本发明提供一种基于流量监测的网络攻击追踪溯源方法与系统，属于网络安全技术领域，具体包括：基于网络区域的网络设备的种类和数量、历史网络流量确定网络区域的基础评估值，基于网络区域的历史中的网络入侵的次数和类型、网络入侵成功的次数和类型确定所述网络区域的入侵评估值，并基于网络区域的入侵评估值以及基础评估值确定网络区域的类型，根据网络区域的类型的不同，确定网络区域的监测频率，并当网络区域的网络用户的实时网络流量存在异常时，基于网络用户的历史访问行为，并实时网络流量和访问行为，确定其为风险用户时，基于IP地址或者访问设备指纹实现对网络用户的溯源，从而保证了追踪溯源的效率。从而保证了追踪溯源的效率。从而保证了追踪溯源的效率。


技术研发人员：党芳芳 李丁丁 李帅 宋一凡 刘晗 邱日轩 闫丽景 王政 焦琪迪
受保护的技术使用者：国网河南省电力公司 国网江西省电力有限公司信息通信分公司
技术研发日：2023.07.24
技术公布日：2023/10/6