本發(fā)明屬于網(wǎng)絡(luò)異常檢測(cè)技術(shù)領(lǐng)域，具體涉及一種基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)及方法。

背景技術(shù)：

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，網(wǎng)絡(luò)環(huán)境交叉滲透，網(wǎng)絡(luò)攻擊紛繁多樣。層出不窮的網(wǎng)絡(luò)安全事件給社會(huì)帶來(lái)巨大的經(jīng)濟(jì)損失和嚴(yán)重的社會(huì)影響。

為應(yīng)對(duì)目前網(wǎng)絡(luò)中越來(lái)越多的威脅，當(dāng)前市場(chǎng)上出現(xiàn)了入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、殺毒軟件、防火墻等多樣化的網(wǎng)絡(luò)安全產(chǎn)品，但是這些產(chǎn)品具有以下局限性：

(1)無(wú)法滿足高速網(wǎng)絡(luò)的發(fā)展：面對(duì)較大實(shí)時(shí)的網(wǎng)絡(luò)數(shù)據(jù)，很難滿足精準(zhǔn)檢測(cè)的要求，而滿足精確檢測(cè)要求的產(chǎn)品效率較低或需要消耗大量的系統(tǒng)資源；

(2)報(bào)文檢測(cè)無(wú)關(guān)性：絕大多數(shù)入侵檢測(cè)系統(tǒng)采用模式匹配的方法。而簡(jiǎn)單包模式匹配是基于單個(gè)包的匹配檢測(cè)，由于其無(wú)法跟蹤協(xié)議的狀態(tài)，因此針對(duì)協(xié)議破綻的很多攻擊由于單個(gè)包都是看似正常的，故攻擊是無(wú)法檢測(cè)出來(lái)的；

(3)無(wú)法檢測(cè)未知類(lèi)型攻擊：一系列IDS產(chǎn)品主要是采用模式匹配等方法來(lái)發(fā)現(xiàn)入侵行為，而IDS所使用的規(guī)則庫(kù)主要依賴(lài)于人工分析提??；

(4)網(wǎng)絡(luò)檢測(cè)結(jié)果復(fù)雜：由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大與網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，多種網(wǎng)絡(luò)安全軟件的多源海量檢測(cè)結(jié)果也紛繁復(fù)雜，致使管理人員無(wú)法及時(shí)做出響應(yīng)。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)上述現(xiàn)有技術(shù)存在的不足，本發(fā)明提供一種基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)及方法。

本發(fā)明的技術(shù)方案如下：

一種基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)，包括：數(shù)據(jù)包捕獲模塊、基于包的異常檢測(cè)模塊、基于流的異常檢測(cè)模塊、網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)和威脅分析展示模塊；

所述數(shù)據(jù)包捕獲模塊，用于實(shí)時(shí)捕獲大規(guī)模網(wǎng)絡(luò)流量數(shù)據(jù)包，將一定時(shí)間片長(zhǎng)度內(nèi)捕獲到的數(shù)據(jù)包以該時(shí)間片命名，并發(fā)送給基于包的異常檢測(cè)模塊；

所述基于包的異常檢測(cè)模塊，用于接收數(shù)據(jù)包捕獲模塊發(fā)送的時(shí)間片，對(duì)該時(shí)間片進(jìn)行概要信息的記錄；根據(jù)概要信息提取該時(shí)間片網(wǎng)絡(luò)流數(shù)據(jù)特征，形成特征文件；利用GBRT提升樹(shù)算法對(duì)特征文件進(jìn)行檢測(cè)，得到異常時(shí)間片；將異常時(shí)間片發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，并將異常時(shí)間片及其相鄰時(shí)間片發(fā)送給基于流的異常檢測(cè)模塊；

所述基于流的異常檢測(cè)模塊，用于接收基于包的異常檢測(cè)模塊發(fā)送的異常時(shí)間片和相鄰時(shí)間片，對(duì)異常時(shí)間片結(jié)合相鄰時(shí)間片進(jìn)行流重組，判斷是否能提取出該異常時(shí)間片的流，是，進(jìn)行該異常時(shí)間片的流特征提取和流特征選擇，形成流特征文件，否則，重新進(jìn)行流重組；利用AdaBoost算法對(duì)流特征文件進(jìn)行異常檢測(cè)，將檢測(cè)結(jié)果融合得到異常流數(shù)據(jù)檢測(cè)結(jié)果；將異常流數(shù)據(jù)檢測(cè)結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)；所述異常流數(shù)據(jù)檢測(cè)結(jié)果包括：攻擊類(lèi)型、攻擊源、攻擊目標(biāo)和攻擊發(fā)生的時(shí)間；

所述網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，用于存儲(chǔ)基于包的異常檢測(cè)模塊和基于流的異常檢測(cè)模塊發(fā)送的異常時(shí)間片和異常數(shù)據(jù)流檢測(cè)結(jié)果，并將異常數(shù)據(jù)流檢測(cè)結(jié)果轉(zhuǎn)發(fā)給威脅分析展示模塊；存儲(chǔ)威脅分析展示模塊發(fā)送的統(tǒng)計(jì)分析結(jié)果；

所述威脅分析展示模塊，用于接收異常數(shù)據(jù)流檢測(cè)結(jié)果，進(jìn)行檢測(cè)結(jié)果統(tǒng)計(jì)分析，將統(tǒng)計(jì)分析結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，并向用戶顯示。

利用基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)的網(wǎng)絡(luò)威脅分析方法，包括如下步驟：

步驟1：數(shù)據(jù)包捕獲模塊實(shí)時(shí)捕獲數(shù)據(jù)包，并判斷是否滿足時(shí)間片長(zhǎng)度，是，以時(shí)間片命名捕獲到的數(shù)據(jù)包，將該時(shí)間片發(fā)送給基于包的異常檢測(cè)模塊，否則，繼續(xù)捕獲數(shù)據(jù)包；

步驟2：基于包的異常檢測(cè)模塊接收數(shù)據(jù)包捕獲模塊發(fā)送的時(shí)間片，進(jìn)行概要信息的記錄；

步驟3：基于包的異常檢測(cè)模塊根據(jù)概要信息提取該時(shí)間片網(wǎng)絡(luò)流數(shù)據(jù)特征，形成特征文件；

步驟4：基于包的異常檢測(cè)模塊利用GBRT提升樹(shù)算法對(duì)特征文件進(jìn)行異常檢測(cè)，判斷該時(shí)間片是否異常，是，得到異常時(shí)間片，執(zhí)行步驟5，否則，執(zhí)行步驟1；

步驟5：基于包的異常檢測(cè)模塊將異常時(shí)間片發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，并將異常時(shí)間片及其相鄰時(shí)間片發(fā)送給基于流的異常檢測(cè)模塊；

步驟6：基于流的異常檢測(cè)模塊接收基于包的異常檢測(cè)模塊發(fā)送的異常時(shí)間片和相鄰時(shí)間片，對(duì)異常時(shí)間片結(jié)合相鄰時(shí)間片進(jìn)行流重組，判斷是否能提取出該異常時(shí)間片的流，是，進(jìn)行該異常時(shí)間片的流特征提取和流特征選擇，形成流特征文件，否則，重新進(jìn)行流重組；

步驟7：基于流的異常檢測(cè)模塊利用AdaBoost算法對(duì)流特征文件進(jìn)行異常檢測(cè)，將檢測(cè)結(jié)果融合得到異常流數(shù)據(jù)檢測(cè)結(jié)果，所述異常流數(shù)據(jù)檢測(cè)結(jié)果包括：攻擊類(lèi)型、攻擊源、攻擊目標(biāo)、攻擊發(fā)生的時(shí)間；

步驟8：基于流的異常檢測(cè)模塊將異常流數(shù)據(jù)檢測(cè)結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)；

步驟9：網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)存儲(chǔ)基于包的異常檢測(cè)模塊和基于流的異常檢測(cè)模塊發(fā)送的異常時(shí)間片和異常數(shù)據(jù)流檢測(cè)結(jié)果，并將異常數(shù)據(jù)流檢測(cè)結(jié)果發(fā)送給威脅分析展示模塊；

步驟10：威脅分析展示模塊接收異常數(shù)據(jù)流的檢測(cè)結(jié)果，進(jìn)行檢測(cè)結(jié)果統(tǒng)計(jì)分析，將統(tǒng)計(jì)分析結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，并向用戶顯示；

步驟11：網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)存儲(chǔ)威脅分析展示模塊發(fā)送的分析結(jié)果。

有益效果：本發(fā)明的一種基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)及方法與現(xiàn)有技術(shù)相比，具有以下優(yōu)點(diǎn)：

1、通過(guò)數(shù)據(jù)包捕獲技術(shù)能夠精準(zhǔn)捕獲網(wǎng)絡(luò)中數(shù)據(jù)流量，減少資源消耗；

2、基于數(shù)據(jù)包和數(shù)據(jù)流的多粒度異常檢測(cè)能夠精準(zhǔn)檢測(cè)網(wǎng)絡(luò)威脅；

3、通過(guò)威脅分析能自動(dòng)分析提取攻擊類(lèi)型；

4、對(duì)網(wǎng)絡(luò)威脅能夠及時(shí)做出預(yù)警。

附圖說(shuō)明

圖1本發(fā)明一種實(shí)施方式的一種基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)結(jié)構(gòu)框圖；

圖2本發(fā)明一種實(shí)施方式的一種基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析方法流程圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本發(fā)明的一種實(shí)施方式作詳細(xì)說(shuō)明。

基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)對(duì)網(wǎng)絡(luò)中大規(guī)模實(shí)時(shí)的網(wǎng)絡(luò)流量通過(guò)winpcap監(jiān)聽(tīng)，基于包的異常檢測(cè)模塊將網(wǎng)絡(luò)流量按照時(shí)間片通過(guò)檢測(cè)技術(shù)檢測(cè)出時(shí)間片是否異常；通過(guò)基于流的異常檢測(cè)模塊對(duì)異常時(shí)間片及相鄰的時(shí)間片進(jìn)行數(shù)據(jù)流檢測(cè)，將得到的異常時(shí)間片流信息與異常檢測(cè)統(tǒng)計(jì)信息寫(xiě)入威脅分析數(shù)據(jù)庫(kù)；威脅分析展示模塊通過(guò)分析網(wǎng)絡(luò)異常檢測(cè)結(jié)果，得到網(wǎng)絡(luò)威脅分析評(píng)估結(jié)果，寫(xiě)入威脅分析數(shù)據(jù)庫(kù)，并實(shí)時(shí)讀取網(wǎng)絡(luò)威脅分析評(píng)估結(jié)果、網(wǎng)絡(luò)異常檢測(cè)統(tǒng)計(jì)結(jié)果、網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)記錄信息在web界面進(jìn)行實(shí)時(shí)展示，提供決策人員實(shí)時(shí)掌控網(wǎng)絡(luò)分析狀況。

本實(shí)施方式采用的是后臺(tái)為PHP語(yǔ)言、前臺(tái)為extjs框架的MVC框架搭建。MVC是一種使用模型-視圖-控制器(Model View Controller，MVC)設(shè)計(jì)創(chuàng)建基于B/S架構(gòu)的Web應(yīng)用程序的模式。

在MVC結(jié)構(gòu)中，模型(Model)主要處理相應(yīng)的與數(shù)據(jù)庫(kù)相關(guān)的操作，具體負(fù)責(zé)基于包的檢測(cè)和基于流檢測(cè)結(jié)果和數(shù)據(jù)庫(kù)的交互并為控制器控制訪問(wèn)和修改這些數(shù)據(jù)提供接口。

視圖(View)層用來(lái)顯示從模型中獲取的基于數(shù)據(jù)包和數(shù)據(jù)流檢測(cè)結(jié)果。在原型系統(tǒng)中視圖層主要采用ExtJS框架進(jìn)行搭建。

控制器(Controller)定義了原型系統(tǒng)的交互行為。在原型系統(tǒng)中控制器層起到了承前啟后的作用。控制器層是模型層與視圖層之間的橋梁，控制器可以接受用戶在視圖層的輸入也可以將模型層數(shù)據(jù)傳遞給視圖層。

代碼采用了分層架構(gòu)，保證了整個(gè)框架邏輯清晰、將各個(gè)對(duì)象之間的耦合程度降到最低，使得本系統(tǒng)具有較強(qiáng)的拓展性和復(fù)用性。采用B/S架構(gòu)，用戶可以在瀏覽器上向服務(wù)器發(fā)送請(qǐng)求，服務(wù)器在確定用戶身份后做出響應(yīng)返回瀏覽器端。

如圖1所示，一種基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)，包括：數(shù)據(jù)包捕獲模塊、基于包的異常檢測(cè)模塊、基于流的異常檢測(cè)模塊、網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)和威脅分析展示模塊；

所述數(shù)據(jù)包捕獲模塊，用于判斷用戶是否選擇了網(wǎng)卡，未選擇網(wǎng)卡，顯示網(wǎng)絡(luò)的設(shè)備列表，獲取用戶選擇的網(wǎng)卡，選擇了網(wǎng)卡，對(duì)大規(guī)模網(wǎng)絡(luò)流量，利用winpcap技術(shù)實(shí)時(shí)捕獲數(shù)據(jù)包，將一定時(shí)間片長(zhǎng)度內(nèi)捕獲到的數(shù)據(jù)包以該時(shí)間片命名，并發(fā)送給基于包的異常檢測(cè)模塊；

所述基于包的異常檢測(cè)模塊，用于接收數(shù)據(jù)包捕獲模塊發(fā)送的該時(shí)間片，進(jìn)行概要信息的記錄；根據(jù)概要信息，利用非廣延熵提取該時(shí)間片網(wǎng)絡(luò)流數(shù)據(jù)特征，形成特征文件；利用GBRT(Gradient Boost Regression Tree)提升樹(shù)對(duì)特征文件進(jìn)行檢測(cè)，得到異常時(shí)間片；將異常數(shù)據(jù)包的檢測(cè)結(jié)果和日志文件發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，并將異常時(shí)間片及其相鄰時(shí)間片發(fā)送給基于流的異常檢測(cè)模塊；所述異常數(shù)據(jù)包的檢測(cè)結(jié)果為異常時(shí)間片內(nèi)數(shù)據(jù)包的基本信息；

本實(shí)施方式中，進(jìn)行概要信息記錄的方法為：對(duì)每個(gè)數(shù)據(jù)包提取出六個(gè)屬性即源IP、目的IP、源端口、目的端口、字節(jié)數(shù)、協(xié)議類(lèi)型，并用概要數(shù)據(jù)結(jié)構(gòu)對(duì)每個(gè)時(shí)間窗口內(nèi)這些屬性的統(tǒng)計(jì)信息進(jìn)行記錄。

所述基于流的異常檢測(cè)模塊，用于接收基于包的異常檢測(cè)模塊發(fā)送的異常時(shí)間片和相鄰時(shí)間片，對(duì)異常時(shí)間片結(jié)合相鄰時(shí)間片進(jìn)行流重組，判斷是否能提取出該異常時(shí)間片的流，是，進(jìn)行該異常時(shí)間片的流特征提取和流特征選擇，形成流特征文件，否則，重新進(jìn)行流重組；利用AdaBoost算法對(duì)流特征文件進(jìn)行異常檢測(cè)，將檢測(cè)結(jié)果融合得到異常流數(shù)據(jù)檢測(cè)結(jié)果；將異常流數(shù)據(jù)檢測(cè)結(jié)果和日志文件發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)；所述異常流數(shù)據(jù)檢測(cè)結(jié)果包括：攻擊類(lèi)型、攻擊源、攻擊目標(biāo)、攻擊發(fā)生的時(shí)間；

本實(shí)施方式中，采用數(shù)據(jù)集國(guó)際知識(shí)發(fā)現(xiàn)和數(shù)據(jù)挖掘競(jìng)賽(Data Mining and Knowledge Discovery CUP99，KDD CUP99)，根據(jù)DARPA(Defense Advanced Research Projects Agency)提供的truthlist對(duì)時(shí)間片進(jìn)行標(biāo)記，含有攻擊數(shù)據(jù)的時(shí)間窗口標(biāo)記為DARPA中的四種攻擊類(lèi)別之一，不含有攻擊數(shù)據(jù)的窗口則標(biāo)記為NORMAL。

DARPA數(shù)據(jù)集中主要的四種攻擊類(lèi)型是：

1)R2L：Remote File Access

遠(yuǎn)端的攻擊者利用如netBIOS、NFS等服務(wù)，發(fā)現(xiàn)可利用的帳號(hào)或不適當(dāng)?shù)脑O(shè)定，非法登入主機(jī)。

2)U2R：User Gain Root

發(fā)動(dòng)此類(lèi)攻擊的攻擊者，是一些有一般用戶權(quán)限的合法使用者，或通過(guò)非法手段獲得一般用戶權(quán)限的非法使用者。他們通過(guò)利用漏洞，發(fā)動(dòng)諸如緩沖區(qū)溢出等攻擊，獲得超級(jí)用戶的權(quán)限。

3)DOS：拒絕服務(wù)攻擊

最基本的DOS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，使服務(wù)器超載，從而無(wú)法為正常的用戶提供服務(wù)。服務(wù)資源通常包括網(wǎng)絡(luò)帶寬，存儲(chǔ)容量，開(kāi)放的進(jìn)程或向內(nèi)的連接。

4)PROBE：網(wǎng)絡(luò)掃描

網(wǎng)絡(luò)掃描是一種常見(jiàn)的產(chǎn)生網(wǎng)絡(luò)異常流量的行為，通常攻擊者都是通過(guò)掃描來(lái)確定其目標(biāo)的。掃描可以得到目標(biāo)的操作系統(tǒng)版本信息，提供的服務(wù)和端口信息，有了這些信息攻擊者就可以有針對(duì)性地發(fā)動(dòng)攻擊。它表現(xiàn)為在一段時(shí)間內(nèi)，一個(gè)或多個(gè)源IP訪問(wèn)大量不同的目的IP的某個(gè)端口或一個(gè)目標(biāo)的不同端口。

網(wǎng)絡(luò)流具有連續(xù)性，利用時(shí)間片存儲(chǔ)數(shù)據(jù)包可能導(dǎo)致將異常流連接或正常流連接從中分開(kāi)，因此在對(duì)一個(gè)時(shí)間片流重組時(shí)候需要制定策略來(lái)讀取相鄰的時(shí)間片來(lái)確保需要流重組的時(shí)間片的流的完整性，TCP是一種面向連接的協(xié)議，客戶和服務(wù)器之間的任何一次會(huì)話都需要建立連接。而TCP流重組是為了對(duì)TCP會(huì)話進(jìn)行分析，是對(duì)應(yīng)用層分析檢測(cè)的基礎(chǔ)。因此需要對(duì)異常時(shí)間片進(jìn)行流重組以提取出流特征屬性進(jìn)行詳細(xì)的檢測(cè)。

所述流特征提取是從數(shù)據(jù)流里提取出通過(guò)流特征選擇程序選擇好的流特征，流特征選擇是指從原始特征集中選擇使某種評(píng)估標(biāo)準(zhǔn)最優(yōu)的特征子集。其目的是使選出的最優(yōu)特征子集所構(gòu)建的模型達(dá)到和特征選擇前近似甚至更好的預(yù)測(cè)精度。這樣不但提高了分類(lèi)計(jì)算效率，而且大幅度提升了測(cè)試準(zhǔn)確度。

由于不同網(wǎng)絡(luò)流可能屬于同一攻擊，因此需要將AdaBoost算法檢測(cè)結(jié)果根據(jù)攻擊融合策略進(jìn)行所述檢測(cè)結(jié)果融合，得到更加準(zhǔn)確可靠的網(wǎng)絡(luò)異常狀況。

所述網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，用于存儲(chǔ)基于包的異常檢測(cè)模塊和基于流的異常檢測(cè)模塊發(fā)送的異常數(shù)據(jù)包的檢測(cè)結(jié)果和異常數(shù)據(jù)流的檢測(cè)結(jié)果，并將異常數(shù)據(jù)流的檢測(cè)結(jié)果轉(zhuǎn)發(fā)給威脅分析展示模塊，存儲(chǔ)日志文件；存儲(chǔ)威脅分析展示模塊發(fā)送的統(tǒng)計(jì)分析結(jié)果；

所述威脅分析展示模塊，用于接收異常數(shù)據(jù)流檢測(cè)結(jié)果，進(jìn)行檢測(cè)結(jié)果統(tǒng)計(jì)分析，統(tǒng)計(jì)分析結(jié)果包括：網(wǎng)絡(luò)異常檢測(cè)統(tǒng)計(jì)結(jié)果即攻擊類(lèi)型發(fā)生種類(lèi)、每類(lèi)攻擊發(fā)生的次數(shù)、至當(dāng)前時(shí)間窗口為止各攻擊類(lèi)型發(fā)生的概率和攻擊類(lèi)型所占的事件安全權(quán)重，根據(jù)網(wǎng)絡(luò)異常檢測(cè)統(tǒng)計(jì)結(jié)果得到一個(gè)綜合的威脅值即網(wǎng)絡(luò)威脅分析評(píng)估結(jié)果。將威脅值、網(wǎng)絡(luò)異常檢測(cè)統(tǒng)計(jì)結(jié)果和網(wǎng)絡(luò)數(shù)據(jù)記錄發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，將威脅值和網(wǎng)絡(luò)異常檢測(cè)統(tǒng)計(jì)結(jié)果向用戶展示，展示的形式是攻擊事件統(tǒng)計(jì)表、攻擊事件餅圖、網(wǎng)絡(luò)威脅分析圖等。

本實(shí)施方式中，威脅分析展示模塊通過(guò)web前端實(shí)現(xiàn)動(dòng)態(tài)展示的效果。前端采用EXTJS技術(shù)實(shí)現(xiàn)結(jié)果的展現(xiàn)，后臺(tái)采用PHP技術(shù)實(shí)現(xiàn)對(duì)本地功能代碼的調(diào)用及與網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)的交互。

如圖2所示，利用基于數(shù)據(jù)包捕獲技術(shù)的網(wǎng)絡(luò)威脅分析系統(tǒng)的網(wǎng)絡(luò)威脅分析方法，包括如下步驟：

步驟1：數(shù)據(jù)包捕獲模塊判斷用戶是否選擇了網(wǎng)卡，未選擇網(wǎng)卡，顯示網(wǎng)絡(luò)的設(shè)備列表，獲取用戶選擇的網(wǎng)卡，選擇了網(wǎng)卡，執(zhí)行步驟2；

步驟2：數(shù)據(jù)包捕獲模塊利用winpcap技術(shù)實(shí)時(shí)捕獲數(shù)據(jù)包，并判斷是否滿足時(shí)間片長(zhǎng)度，是，以時(shí)間片命名捕獲到的數(shù)據(jù)包，將該時(shí)間片發(fā)送給基于包的異常檢測(cè)模塊，否則，繼續(xù)捕獲數(shù)據(jù)包；

步驟3：基于包的異常檢測(cè)模塊接收數(shù)據(jù)包捕獲模塊發(fā)送的時(shí)間片，進(jìn)行概要信息記錄；

步驟4：基于包的異常檢測(cè)模塊根據(jù)概要信息提取時(shí)間片網(wǎng)絡(luò)流數(shù)據(jù)特征，形成特征文件；

步驟5：基于包的異常檢測(cè)模塊利用GBRT提升樹(shù)算法對(duì)特征文件進(jìn)行檢測(cè)，判斷該時(shí)間片是否異常，是，得到異常時(shí)間片，執(zhí)行步驟6，否則，執(zhí)行步驟2；

步驟6：基于包的異常檢測(cè)模塊將異常時(shí)間片和日志文件發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，并將異常時(shí)間片及其相鄰時(shí)間片發(fā)送給基于流的異常檢測(cè)模塊；

步驟7：基于流的異常檢測(cè)模塊接收基于包的異常檢測(cè)模塊發(fā)送的異常時(shí)間片和相鄰時(shí)間片，對(duì)異常時(shí)間片結(jié)合相鄰時(shí)間片進(jìn)行流重組，判斷是否能提取出該異常時(shí)間片的流，是，進(jìn)行該異常時(shí)間片的流特征提取和流特征選擇，形成流特征文件，否則，重新進(jìn)行流重組；

步驟8：基于流的異常檢測(cè)模塊利用AdaBoost算法對(duì)流特征文件進(jìn)行異常檢測(cè)，將檢測(cè)結(jié)果融合得到異常流數(shù)據(jù)檢測(cè)結(jié)果，所述異常流數(shù)據(jù)檢測(cè)結(jié)果包括：攻擊類(lèi)型、攻擊源、攻擊目標(biāo)、攻擊發(fā)生的時(shí)間；

步驟9：基于流的異常檢測(cè)模塊將異常流數(shù)據(jù)檢測(cè)結(jié)果和日志文件發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)；

步驟10：網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)存儲(chǔ)基于包的異常檢測(cè)模塊和基于流的異常檢測(cè)模塊發(fā)送的異常時(shí)間片數(shù)據(jù)包、異常數(shù)據(jù)流的檢測(cè)結(jié)果和日志文件，并將異常數(shù)據(jù)流的檢測(cè)結(jié)果轉(zhuǎn)發(fā)給威脅分析展示模塊；

步驟11：威脅分析展示模塊接收異常數(shù)據(jù)流的檢測(cè)結(jié)果，進(jìn)行檢測(cè)結(jié)果統(tǒng)計(jì)分析，將統(tǒng)計(jì)分析結(jié)果發(fā)送給網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)，并向用戶顯示；

步驟12：網(wǎng)絡(luò)威脅數(shù)據(jù)庫(kù)存儲(chǔ)威脅分析展示模塊發(fā)送的統(tǒng)計(jì)分析結(jié)果。