亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種大流量環(huán)境下主機(jī)網(wǎng)絡(luò)異常行為檢測(cè)及分類方法_2

文檔序號(hào):8514518閱讀:來源:國(guó)知局
或目的端口集中等特性,提出W源節(jié)點(diǎn)的源/目的端口滴值及最大占比等幾個(gè)因素來描 述該一特性,W此判斷該節(jié)點(diǎn)行為是否異常,并進(jìn)一步對(duì)異常行為進(jìn)行分類;
[0030] 2、本發(fā)明為一種實(shí)用的,能適應(yīng)大流量環(huán)境,算法簡(jiǎn)單易于在各類網(wǎng)絡(luò)設(shè)備中實(shí) 現(xiàn),具有一定實(shí)時(shí)性,同時(shí)又滿足準(zhǔn)確性要求,能識(shí)別出各種網(wǎng)絡(luò)掃描和DoS/DDoS攻擊流 量,提供詳細(xì)信息,輔助進(jìn)一步精確攔截完成的異常檢測(cè)方法。
【附圖說明】
[0031] 圖1為本發(fā)明系統(tǒng)整體框架圖;
[0032] 圖2為本發(fā)明的方法流程圖;
[0033] 圖3本發(fā)明數(shù)據(jù)源示意圖;
[0034] 圖4為本發(fā)明連接記錄表的構(gòu)建過程示意圖;
[00巧]圖5為本發(fā)明主機(jī)記錄表的結(jié)構(gòu)示意圖;
[0036] 圖6為本發(fā)明主機(jī)記錄表的構(gòu)建過程示意圖。
【具體實(shí)施方式】
[0037] 為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,W下結(jié)合附圖及實(shí)施例,對(duì) 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用W解釋本發(fā)明,并 不用于限定本發(fā)明。此外,下面所描述的本發(fā)明各個(gè)實(shí)施方式中所設(shè)及到的技術(shù)特征只要 彼此之間未構(gòu)成沖突就可W相互組合。
[0038] 本發(fā)明提出對(duì)短時(shí)間內(nèi)并發(fā)連接數(shù)高的源節(jié)點(diǎn)進(jìn)行源/目的端口分布規(guī)律進(jìn)行 研究,建立測(cè)量模型,計(jì)算滴值和最大占比,然后通過闊值進(jìn)行各類主機(jī)網(wǎng)絡(luò)行為異常檢測(cè) 和分類。為便于說明,先介紹本發(fā)明使用的一些概念即定義如下。
[0039] 源/目的端口滴的測(cè)量模型:
[0040] (1)概念及定義
[0041] 本發(fā)明的研究對(duì)象為主動(dòng)發(fā)起網(wǎng)絡(luò)連接的源節(jié)點(diǎn),特別是在短時(shí)間內(nèi)發(fā)起了較多 網(wǎng)絡(luò)連接(超過闊值)的源節(jié)點(diǎn),通過分析該源節(jié)點(diǎn)所有并發(fā)連接的源/目的端口分布規(guī) 律,進(jìn)一步來判斷是屬于哪一類的異常行為。
[004引 定義1;源端口滴
[0043] 假設(shè)T為同一源節(jié)點(diǎn)對(duì)應(yīng)的n個(gè)網(wǎng)絡(luò)連接的集合,每個(gè)網(wǎng)絡(luò)連接都是由一個(gè)唯 一的五元組(SIP,DIP,Spo;rt,Dpo;rt,protocol)定義的,其中,SIP、DIP、Sport、Dport、 protocol分別表示源IP、目的IP、源端口、目的端口、協(xié)議。該些網(wǎng)絡(luò)連接的所有源端 口(Sport)分屬K個(gè)不同的集合,其中第i個(gè)源端口(Spodi)在集合T中出現(xiàn)的概率為
【主權(quán)項(xiàng)】
1. 一種大流量環(huán)境下主機(jī)網(wǎng)絡(luò)異常行為檢測(cè)及分類方法,其特征在于,包括: 步驟1生成與維護(hù)網(wǎng)絡(luò)連接表,所述網(wǎng)絡(luò)連接表中的每個(gè)網(wǎng)絡(luò)連接由源IP地址、目的 IP地址、源端口、目的端口、協(xié)議及時(shí)間信息唯一標(biāo)識(shí); 步驟2實(shí)時(shí)以netflow數(shù)據(jù)格式將所述網(wǎng)絡(luò)連接表發(fā)送到系統(tǒng),所述系統(tǒng)獲取一定時(shí) 間間隔的netflow數(shù)據(jù)后,解析所述netflow數(shù)據(jù)并建立當(dāng)前的網(wǎng)絡(luò)連接表副本,然后開啟 新的線程遍歷所述網(wǎng)絡(luò)連接表,進(jìn)行統(tǒng)計(jì)分析; 步驟3在獲得所述一定時(shí)間間隔的網(wǎng)絡(luò)連接表副本后,采用哈希算法對(duì)所述網(wǎng)絡(luò)連接 表副本進(jìn)行處理,構(gòu)建主機(jī)記錄表存儲(chǔ)主機(jī)信息; 步驟4遍歷所述主機(jī)記錄表,讀取其中網(wǎng)絡(luò)連接總數(shù)的值,判斷是否超過檢測(cè)閾值,如 果未超過所述檢測(cè)閾值則讀取下一個(gè)主機(jī)記錄,否則對(duì)該主機(jī)記錄所有內(nèi)容進(jìn)行遍歷,統(tǒng) 計(jì)目的IP總數(shù)和所有源端口及目的端口的分布,遍歷完畢后,計(jì)算出該主機(jī)的源端口熵、 目的端口摘、源最大占比和目的最大占比; 步驟5根據(jù)所述步驟4的計(jì)算結(jié)果判斷該主機(jī)的異常行為類型。
2. 如權(quán)利要求1所述的方法,其特征在于,在所述步驟1中,當(dāng)新網(wǎng)絡(luò)連接生成時(shí),將其 插入所述網(wǎng)絡(luò)連接表;當(dāng)某個(gè)網(wǎng)絡(luò)連接長(zhǎng)時(shí)間無數(shù)據(jù)包傳輸時(shí),將其從所述網(wǎng)絡(luò)連接表中 刪除;根據(jù)設(shè)置的輸出時(shí)間間隔自動(dòng)輸出所述網(wǎng)絡(luò)連接表的全部?jī)?nèi)容。
3. 如權(quán)利要求1所述的方法,其特征在于,在所述步驟2中建立所述網(wǎng)絡(luò)連接表副本和 分析所述網(wǎng)絡(luò)連接表副本需在所述一定時(shí)間間隔內(nèi)完成。
4. 如權(quán)利要求1-3中任一項(xiàng)所述的方法,其特征在于,所述步驟3包括以下子步驟: (3-1)從所述網(wǎng)絡(luò)連接表副本中獲取一條連接記錄; (3-2)提取該連接記錄中的源IP地址,對(duì)該源IP地址進(jìn)行哈希運(yùn)算; (3-3)根據(jù)計(jì)算的哈希值判斷該源IP地址在所述主機(jī)記錄表中是否存在,如果存在則 執(zhí)行步驟(3-4),否則執(zhí)行步驟(3-5); (3-4)更新所述主機(jī)記錄表中該源IP地址對(duì)應(yīng)的主機(jī)記錄,連接總數(shù)加1,然后執(zhí)行步 驟(3-6); (3-5)新建一條主機(jī)記錄并插入到所示主機(jī)記錄表中,然后執(zhí)行所述步驟(3-4); (3-6)判斷所述連接記錄表副本是否遍歷完畢,如果是則執(zhí)行所述步驟4,否則執(zhí)行所 述步驟(3-1)。
5. 如權(quán)利要求1-3中任一項(xiàng)所述的方法,其特征在于,在所述步驟4中,所述主機(jī) 的源端口熵定義為"(,八2,…,Λa ) = £ hJog ,其中,假設(shè)T為同一源節(jié)點(diǎn)對(duì)應(yīng) /=1 i 的η個(gè)網(wǎng)絡(luò)連接的集合,所述η個(gè)網(wǎng)絡(luò)連接的所有源端口分屬K個(gè)不同的集合,第i個(gè) 源端口 Sporti在所述集合T中出現(xiàn)的概率為& =沖凈腦欠數(shù),ie [1,K], η PSi> 0,八,=1,η表示集合T中總的源端口數(shù);所述主機(jī)的目的端口熵定義為 // (叫,…,ζΛ/,, log 4,其中,第i個(gè)目的端口 Dporti在所述集合T中出現(xiàn) 的概率為i Pdi> 0,= 1;所述主機(jī)的源端口最大占比
i=l 定義為M (Ps1, Ps2,…,PsK) =MAX(Psi);所述主機(jī)的目的端口最大占比定義為M (Pd1, Pd2,… ,PdK) =MAX(Pdi)0
6.如權(quán)利要求5所述的方法,其特征在于,在所述步驟5中,對(duì)于單個(gè)目的IP數(shù),若網(wǎng) 絡(luò)連接數(shù)大于等于2000且目的端口熵小于等于0. 3或目的端口最大占比大于等于0. 9,則 判斷主機(jī)行為類型為目的端口 DoS攻擊;對(duì)于單個(gè)目的IP數(shù),若網(wǎng)絡(luò)連接數(shù)大于等于500 且目的端口熵大于等于9且源端口熵大于等于9,則判斷主機(jī)行為類型為端口掃描;對(duì)于多 個(gè)目的IP數(shù),若網(wǎng)絡(luò)連接數(shù)大于等于500且目的端口熵小于等于2. 6或目的端口最大占比 大于等于〇. 5,則判斷主機(jī)行為類型為目的端口掃描;對(duì)于多個(gè)目的IP數(shù),若網(wǎng)絡(luò)連接數(shù)大 于等于500且源端口熵小于等于0. 5或源端口最大占比大于等于0. 9,則判斷主機(jī)行為類 型為源端口掃描;對(duì)于多個(gè)目的IP數(shù),若網(wǎng)絡(luò)連接數(shù)大于等于500且目的端口熵大于等于 6或目的端口最大占比介于0至0. 5之間,則判斷主機(jī)行為類型為P2P應(yīng)用。
【專利摘要】本發(fā)明公開了一種大流量環(huán)境下主機(jī)網(wǎng)絡(luò)異常行為檢測(cè)及分類方法,屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域。本發(fā)明包括以下步驟:步驟1、網(wǎng)絡(luò)連接表生成與維護(hù);步驟2、創(chuàng)建連接記錄表;步驟3、遍歷網(wǎng)絡(luò)連接表副本;步驟4、計(jì)算主機(jī)源/目的端口熵和最大占比;步驟5、主機(jī)異常網(wǎng)絡(luò)行為識(shí)別。本發(fā)明以源節(jié)點(diǎn)的源/目的端口熵值及最大占比等幾個(gè)因素來判斷該節(jié)點(diǎn)行為是否異常,并進(jìn)一步對(duì)異常行為進(jìn)行分類。本發(fā)明提供一種實(shí)用的,能適應(yīng)大流量環(huán)境,算法簡(jiǎn)單易于在各類網(wǎng)絡(luò)設(shè)備中實(shí)現(xiàn),具有一定實(shí)時(shí)性,同時(shí)又滿足準(zhǔn)確性要求,能識(shí)別出各種網(wǎng)絡(luò)掃描和DoS/DDoS攻擊流量,提供詳細(xì)信息,輔助進(jìn)一步精確攔截完成的異常檢測(cè)方法。
【IPC分類】H04L29-06, H04L12-26
【公開號(hào)】CN104836702
【申請(qǐng)?zhí)枴緾N201510227895
【發(fā)明人】周麗娟
【申請(qǐng)人】華中科技大學(xué)
【公開日】2015年8月12日
【申請(qǐng)日】2015年5月6日
當(dāng)前第2頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1