IOT流量畫像:https://apan.net/meetings/apan47/files/24/24-02-04-01.pdf
Traffic Feature Types
• Service-related Feature
• IP Address (Manufacturer Server)
• Protocol number, Port number
• DNS and NTP query
• Size-related Feature
• IP packet size, payload length, TCP window size
• Flow size
• Traffic volume, Traffic rate
• Time-related Feature
• Flow duration
• Active and sleep duration
提到了IoT設備特征:
IoT Traffic Characteristic
• Sending short bursts of data periodically
• Short active time , Long sleep time
• Low data rates, Small packet size
• Distinctive signaling patterns
• Pattern in device setup phase
• Packet sequence of commands or reports
• Connecting to predefined servers and services
• Manufacturer servers
• DSN, NTP
同時匯總得到所有
用戶一天24 h內的流量分布,找到忙時和閑時時段。
統計所有4G用戶全月24 h流量分布情況,發現凌
晨 1點到早上 7點為流量使用的低谷,即網絡閑時,其
他時間流量均較高,設定為網絡忙時。
分別統計每個極致用戶在閑時發生的流量占個
人總流量的比例,將用戶分為閑時主導(閑時流量大
於 50%)和忙時主導(忙時流量大於 50%)兩大類。得
到如下結果,98.6% 的用戶流量主要集中在忙時,僅
1.4%的用戶流量主要發生在閑時。
基於大數據分析的極致用戶畫像
按照標簽體系分級分層的方式,可以分為一級標簽、二級標簽、三級標簽等,每一個層級的標簽相當於一個業務維度的切面。在標簽應用中按照不同的業務場景進行標簽組合,形成相應用戶畫像。
IP畫像 主機畫像
行為建模,是將原始的、流於表面的數據轉化為具有潛在價值的信息的關鍵
步驟。對於每一條數據,基於行為的要素,可以提煉出很多的信息,包括:什么
人,如何表示一個行為的所屬對象;在什么地點:人物在哪里發生了行為,或者
說行為關聯了哪些地理位置;什么行為:是瀏覽行為還是購物行為,同時還需要
分析行為的發生時間、行為的持續時間、時效性等;語義分析:用戶行為的內容
有什么潛在的語義信息,如相關主題、情感偏向等等。
目的 IP 或者 Host 字段。通過該字段,可以分析個人訪問的網站和 HTTP 請
求的傾向。因此,設計標簽為——“境內”和“境外”。注意,此處除了這兩個表
明境內境外的標簽之外,還應設計黑名單功能,因此此處額外添加“黑名單”標
簽。
日期字段。通過該字段,可以分析個人的上網喜好時間和不同時間段的行為
傾向。因此,設計標簽將一天時間按照每隔 4 小時划分成六個時段的標簽。
請求 User-Agent 字段。通過該字段,可以獲知個人的上網設備。基於常用的
上網設備,涉及標簽為——“桌上設備”,“安卓移動設備”和“IOS 移動設備”。
請求文本內容。文本內容包含眾多語義信息。該部分信息的提取,主要依賴
於之前章節討論的文本分析與分類技術。該部分的標簽設計基於業務需求和文本
的訓練集。本文,基於現有的搜狗新聞分類訓練集合,主要設計——“IT 科技”、
“體育運動”和“旅行戶外”。注意,在該步驟,可以基於自身差異化需求提供多個
訓練集,只需在此步驟設計中添加相關分類標簽即可。
標簽種類 大小 描述
IP 歸屬 200 Host、IP 與歸屬地鍵值對
黑名單 200 網址列表
日期 200 時間列表,分屬不同的時間段
User-Agent 200 User-Agent 列表與所屬設備
文本內容 1000 搜狗實驗室文本語料
作為IP地址特 征標簽進行標記,特征標簽包括:IP地址的所屬單位/個人、接入商、接入網站、接入機房、所 屬行業、網站狀態、網站年齡、網站注冊商變化軌跡、權威解析商變化軌跡、接入商變化軌 跡、訪問量信息、流量變化情況、流量是否存在異常、是否存在安全事件、網站備案狀態、網 站所屬單位、是否存在詐騙、是否存在違規行為、是否進入黑名單、是否存在惡意行為、IP所 屬單位/個人信用指數、違規歷史; 多維畫像器的多維畫像模塊綜合特征標簽以及綜合信用指數、影響力指數,形成對工P 地址的全方位畫像。
歷史是否異常!!!
ddos畫像:
支持 http 自定義特征過濾如 host 過濾、user-agent 過濾、referer 過濾安全防護策略ddos 高防 ip 默認提供基礎安全策略,策略基於 ip 畫像、行為模式分析、ai 智能識別等防護算法,有效應對常見 ddos 攻擊行為,同時提供靈活防護策略,您可針對自身業務需求配置,提供針對性防護。
一種攻擊IP畫像生成方法、攻擊IP畫像生成裝置和電子設備,其中,所述攻擊IP畫像生成方法,包括:獲取由網絡安防系統產生的歷史攻擊流量數據記錄;對所述攻擊流量數據記錄進行預處理,以從所述攻擊流量數據記錄中獲取關鍵字段;基於在預設時間范圍內的各攻擊IP的攻擊次數,生成對應攻擊IP的活躍度;基於各攻擊IP的活躍度、攻擊包速率、和攻擊流量速率,生成對應攻擊IP的威脅度;以及,基於所述攻擊流量數據記錄中的至少部分關鍵字段、活躍度和威脅度,生成攻擊IP畫像。
阿里雲的IP畫像返回:https://help.aliyun.com/document_detail/123085.html
IP風險畫像 返回的Extend數據中的值及對象內容釋義。Extend數據格式為json格式。
值 內容釋義
country 國家或地區名稱,中文。例如,“中國”。
province 省級名稱,中文。例如,“浙江”
city 城市名稱,中文。例如,“杭州”
isIdc 是否是IDC機房IP。1代表是,0代表不是。
isProxy 是否是代理IP。1代表是,0代表不是。
isNat 是否是NAT IP。1代表是,0代表不是。
isBase 是否是基站IP。1代表是,0代表不是。
IP流量特征:
a)源地址;
b)目的地址;
c)數據包大小;
d)包間到達時間;
e)信道字節負載;
f)信道包負荷;
g)數據包中的協議。
主機畫像
針對某台服務器的分析是運維人員經常面臨的一個仸務,當拿到目標主機的 IP 后,通
常運維人員需要知道:
這台主機的流量在哪些匙域被監控了?
這台主機是否已經在應用系統里已經定義了?是否可以直接在應用拓撲圖上呈現?
這台主機對外提供了哪些服務?服務端口是哪些?
這台主機訪問了哪些服務器?那些服務器的端口又是哪些?
這些信息構成了一個主機在網絡上的畫像,我們可以在全局搜索里查找這個主機的 IP 來獲
得這些信息
指標有:1、CPU使用率 2、內存使用率 3、文件系統增長率 4、網絡流量 5、進程 6、端口 7、網絡訪問關系(網絡連接數)8、用戶登陸情況 9、用戶執行命令情況。
郵件畫像:
0132] 對用戶行為進行畫像
[0133] 分析郵件日志,通過地理區域、源地址、時間、郵件主題分詞、認證成功與失敗、客戶端信息、主機名等因素建模來進行行為分析。
思科的畫像:https://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Traffic-Profiles.pdf
流量畫像:
Application Protocol Select an application protocol name from the drop-down list of available protocols.
Application Protocol
Category
Select an application protocol category name from the drop-down list of available categories.
Client Select a client name from the drop-down list of available clients.
Client Category Select a client category name from the drop-down list of available categories.
Connection Type Specify in the traffic profile whether you want to use connection data collected by your Cisco
devices or by NetFlow-enabled devices. If you do not specify a connection type, the traffic
profile includes both.
Destination Country or
Source Country
Select a country from the drop-down list of available countries. This represents the country
associated with a source or destination IP address identified in network traffic.
Initiator IP,
Responder IP, or
Initiator/Responder IP
Use a specific IP address or CIDR notation to specify a range of IP addresses.
See Specifying IP Addresses in Searches, page 60-6 for a description of the syntax allowed for
IP addresses. Note, however, that you cannot use the local or remote keywords to specify IP
addresses that are or are not in the networks you are monitoring.
NetFlow Device Select the NetFlow-enabled device whose data you want to use to create the traffic profile. If
you did not add any NetFlow-enabled devices to your deployment (using the local
configuration), the NetFlow Device drop-down list is blank.
Responder Port/ICMP
Code
Type the port number or ICMP code.
Security Intelligence
Category
Select a Security Intelligence category name from the drop-down list of available categories. To
use a Security Intelligence category for a traffic profile condition, that category must be set to
Monitor instead of Block in the Security Intelligence section of your access control policy. For
more information, see Building the Security Intelligence Whitelist and Blacklist, page 13-3.
SSL Encrypted Session Select Successfully Decrypted.
Transport Protocol Type TCP or UDP as the transport protocol.
Web Application Select a web application name from the drop-down list of available web applications.
Web Application Category Select a web application category name from the drop-down list of available categories.
里面主要有流量協議分類、連接類型、目的IP國家等,流設備,訪問的web站點類別