專利名稱:基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)異常流量檢測及入侵檢測技術(shù)領(lǐng)域,具體涉及一種基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測方法。
背景技術(shù):
伴隨著網(wǎng)絡(luò)的正常應(yīng)用流量,網(wǎng)絡(luò)上各種異常流量也隨之而來,影響到網(wǎng)絡(luò)的正常運(yùn)行,威脅著用戶主機(jī)的安全和使用。網(wǎng)絡(luò)異常往往由網(wǎng)絡(luò)攻擊、蠕蟲病毒、網(wǎng)絡(luò)濫用等原因引起的,例如各種網(wǎng)絡(luò)掃描、DDoS攻擊、網(wǎng)絡(luò)蠕蟲病毒、惡意下載、對網(wǎng)絡(luò)資源的不當(dāng)使用等都會造成網(wǎng)絡(luò)性能下降,嚴(yán)重時會影響正常的網(wǎng)絡(luò)使用,造成網(wǎng)絡(luò)擁塞,甚至造成網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)設(shè)備的失效。因此,對網(wǎng)絡(luò)流量進(jìn)行實(shí)時監(jiān)測和管理,發(fā)現(xiàn)網(wǎng)絡(luò)中存在的已知類型和未知類型的網(wǎng)絡(luò)異常,已經(jīng)成為網(wǎng)絡(luò)安全管理中需要解決的首要問題,其對提高網(wǎng)絡(luò)的可靠性和可用性有著重要的意義。
傳統(tǒng)的網(wǎng)絡(luò)異常流量檢測是通過長時間的網(wǎng)絡(luò)運(yùn)行流量信息的分析、學(xué)習(xí),建立網(wǎng)絡(luò)正常使用模式的性能參數(shù)基準(zhǔn)范圍,當(dāng)網(wǎng)絡(luò)運(yùn)行狀態(tài)與正?;€有明顯偏差時,則判定網(wǎng)絡(luò)中存在異常發(fā)生。該方法可以發(fā)現(xiàn)基本的網(wǎng)絡(luò)異常,但是,它存在算法運(yùn)算復(fù)雜、不具時間特性、缺乏靈活性和誤報率高等缺陷。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測方法,以克服現(xiàn)有技術(shù)存在的算法運(yùn)算復(fù)雜、不具時間特性、缺乏靈活性和誤報率高的缺陷。
本發(fā)明的技術(shù)方案是根據(jù)異常檢測器觀察主體的活動,然后產(chǎn)生描述這些活動行為的屬性,每一個屬性保存記錄主體當(dāng)前某種行為,并定時地將當(dāng)前的屬性與存儲的屬性合并,通過比較當(dāng)前的屬性與已存儲的屬性以及時間段加權(quán)值來判斷異常行為。
本發(fā)明的目的是通過以下幾個步驟來實(shí)現(xiàn)的步驟一建立時間段加權(quán)統(tǒng)計系數(shù)表;步驟二抓取網(wǎng)絡(luò)上的數(shù)據(jù)包抓取網(wǎng)絡(luò)上的數(shù)據(jù)包是指以旁路偵聽方式捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包;步驟三對于抓來的數(shù)據(jù)包進(jìn)行屬性分解;所描述的數(shù)據(jù)包的屬性分解是指將抓取到的網(wǎng)絡(luò)數(shù)據(jù)包按照屬性項(xiàng)進(jìn)行分解歸類。亦即通過抓取網(wǎng)絡(luò)數(shù)據(jù)包的形式,產(chǎn)生每個TCP/IP連接的屬性記錄,這些記錄的格式如下所示R(T,Src.IP,Src.Port,Dst.IP,Dst.Port,F(xiàn)LAG)其中,T代表連接開始的時間;Src.IP代表源IP;Src.Port代表源端口;Dst.IP代表目的IP;Dst.Port代表目的端口;FLAG表示TCP/IP連接的狀態(tài)。通過以上的屬性項(xiàng),系統(tǒng)將會為每一個TCP/IP連接記錄一個屬性記錄集R。
步驟四加載概率矩陣;該概率矩陣是指由所有TCP/IP連接的屬性記錄集R所組成的變長度的概率矩陣步驟五遍歷概率矩陣;遍歷概率矩陣是指將概率矩陣進(jìn)行統(tǒng)計性遍歷。在遍歷的過程中,將具有相同的屬性的TCP/IP連接進(jìn)行歸并,并由此得到概率矩陣的統(tǒng)計值,為下一步進(jìn)行做好準(zhǔn)備步驟六根據(jù)公式0<log2P(x)<+∞計算出閥值;計算閥值的公式0<log2P(x)<+∞是通過以下方法計算的
步驟七將計算出來的閥值與預(yù)定義的閾值相對比;步驟八根據(jù)比對的結(jié)果來判斷是否存在異常,并執(zhí)行相應(yīng)的動作。
與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點(diǎn)是本發(fā)明算法簡便、判斷準(zhǔn)確,在判斷模型中加入了時間段加權(quán)屬性,為異常的監(jiān)測增強(qiáng)了可靠性和靈活性。可用于入侵檢測、IDS等設(shè)備中,對網(wǎng)絡(luò)流量進(jìn)行實(shí)時監(jiān)測,準(zhǔn)確、快速的發(fā)現(xiàn)和定位網(wǎng)絡(luò)中存在的已知類型和未知類型的網(wǎng)絡(luò)異常。
附圖為本發(fā)明基于貝葉斯統(tǒng)計模型的網(wǎng)絡(luò)異常檢測方法流程圖。
具體實(shí)施例方式下面將通過在IDS設(shè)備中實(shí)施本發(fā)明進(jìn)行詳細(xì)描述。實(shí)施時,需要在IDS設(shè)備中設(shè)置基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測模塊,該模塊完成基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測、控制功能。
本發(fā)明的步驟是(一)在系統(tǒng)中建立時間段加權(quán)統(tǒng)計系數(shù)表該表是覆蓋每一個時間段的,根據(jù)每個時間段的不同網(wǎng)絡(luò)訪問特點(diǎn)由管理人員人工設(shè)定。格式如下
(二)以旁路偵聽方式捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包
(三)對數(shù)據(jù)包以固定的格式進(jìn)行屬性的分解(四)加載概率矩陣將每一條TCP/IP連接的屬性記錄集R匯集在一起組成變長度的概率矩陣
(五)遍歷概率矩陣在遍歷的過程中,將具有相同的屬性的TCP/IP連接進(jìn)行歸并(例如L3和L1兩個連接的屬性值完全相同,則將L3和L1歸并,并記連接次數(shù)為2),并由此得到概率矩陣的統(tǒng)計參數(shù)值,這些值至少包括總連接數(shù)、每個連接的匯總數(shù)。
(六)系統(tǒng)通過給定的公式計算出閥值(七)將閥值與系統(tǒng)預(yù)設(shè)的閾值相對比;(八)根據(jù)結(jié)果來判斷是否存在異常,并執(zhí)行相應(yīng)的動作。
最后所應(yīng)說明的是以上實(shí)施方式僅用以說明而非限制本發(fā)明的技術(shù)方案,盡管參照上述實(shí)施方式對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對本發(fā)明進(jìn)行修改或者等同替換,而不脫離本發(fā)明的精神和范圍的任何修改與局部替換,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍內(nèi)。
權(quán)利要求
1.基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測方法,其特征在于根據(jù)異常檢測器觀察主體的活動,然后產(chǎn)生描述這些活動行為的屬性,每一個屬性保存記錄主體當(dāng)前某種行為,并定時地將當(dāng)前的屬性與存儲的屬性合并,通過比較當(dāng)前的屬性與已存儲的屬性以及時間段加權(quán)值來判斷異常行為。
2.如權(quán)利要求1所述,基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測方法,其特征在于是通過以下幾個步驟來實(shí)現(xiàn)的步驟一建立時間段加權(quán)統(tǒng)計系數(shù)表;步驟二抓取網(wǎng)絡(luò)上的數(shù)據(jù)包抓取網(wǎng)絡(luò)上的數(shù)據(jù)包是指以旁路偵聽方式捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包;步驟三對于抓來的數(shù)據(jù)包進(jìn)行屬性分解;所描述的數(shù)據(jù)包的屬性分解是指將抓取到的網(wǎng)絡(luò)數(shù)據(jù)包按照屬性項(xiàng)進(jìn)行分解歸類,亦即通過抓取網(wǎng)絡(luò)數(shù)據(jù)包的形式,產(chǎn)生每個TCP/IP連接的屬性記錄,這些記錄的格式如下所示R(T,Src.IP,Src.Port,Dst.IP,Dst.Port,F(xiàn)LAG)其中,T代表連接開始的時間;Src.IP代表源IP;Src.Port代表源端口;Dst.IP代表目的IP;Dst.Port代表目的端口;FLAG表示TCP/IP連接的狀態(tài),通過以上的屬性項(xiàng),系統(tǒng)將會為每一個TCP/IP連接記錄一個屬性記錄集R;步驟四加載概率矩陣;該概率矩陣是指由所有TCP/IP連接的屬性記錄集R所組成的變長度的概率矩陣步驟五遍歷概率矩陣;遍歷概率矩陣是指將概率矩陣進(jìn)行統(tǒng)計性遍歷。在遍歷的過程中,將具有相同的屬性的TCP/IP連接進(jìn)行歸并,并由此得到概率矩陣的統(tǒng)計值,為下一步進(jìn)行做好準(zhǔn)備步驟六根據(jù)公式0<log2P(x)<+∞計算出閥值;計算閥值的公式0<log2P(x)<+∞是通過以下方法計算的 步驟七將計算出來的閥值與預(yù)定義的閾值相對比;步驟八根據(jù)比對的結(jié)果來判斷是否存在異常,并執(zhí)行相應(yīng)的動作。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)異常流量檢測及入侵檢測技術(shù)領(lǐng)域,具體涉及一種基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測方法。本發(fā)明的目的是提供一種基于時間段加權(quán)統(tǒng)計模型的網(wǎng)絡(luò)異常檢測方法,以克服現(xiàn)有技術(shù)存在的算法運(yùn)算復(fù)雜、不具時間特性、缺乏靈活性和誤報率高的缺陷。本發(fā)明的技術(shù)方案是根據(jù)異常檢測器觀察主體的活動,然后產(chǎn)生描述這些活動行為的屬性,每一個屬性保存記錄主體當(dāng)前某種行為,并定時地將當(dāng)前的屬性與存儲的屬性合并,通過比較當(dāng)前的屬性與已存儲的屬性以及時間段加權(quán)值來判斷異常行為。與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點(diǎn)是本發(fā)明算法簡便、判斷準(zhǔn)確,在判斷模型中加入了時間段加權(quán)屬性,為異常的監(jiān)測增強(qiáng)了可靠性和靈活性。
文檔編號H04L12/24GK1750481SQ20051009609
公開日2006年3月22日 申請日期2005年9月29日 優(yōu)先權(quán)日2005年9月29日
發(fā)明者白亮, 廖明濤, 向冬, 張永斌, 劉志強(qiáng), 何清, 張宇 申請人:西安交大捷普網(wǎng)絡(luò)科技有限公司