一種在線式網絡異常流量診斷方法技術

本發明專利技術為一種在線式網絡異常流量診斷方法，本發明專利技術針對傳統的異常監控方法的參數基準范圍難以確定，缺乏靈活性，而且誤報率也相當高，調用系統也隨之增多，導致機器性能下降的缺陷，提出了一種在線式網絡異常流量診斷方法，以網口零拷貝方式在線抓取網絡上的流量數據包，分析并格式化為統一格式，以曲線的形式表示，再與預先構建的輪廓線比較，監測異常狀況。

【技術實現步驟摘要】

:本專利技術涉及網絡異常流量檢測以及入侵檢測
的一種在線式網絡異常診斷方法。
技術介紹
:隨著網絡技術的發展，網絡上的網絡攻擊、蠕蟲病毒、惡意下載和對網絡資源的不當使用等各種問題也隨之而來，造成網絡性能下降、網絡擁塞甚至網絡中斷和網絡設備失效的嚴重問題。網絡攻擊、蠕蟲病毒、惡意下載和對網絡資源的不當使用都會出現網絡流量異常，因此，對網絡流量進行監控和管理，發現網絡中的異常情況，已經成為網絡安全管理中需要解決的首要問題。目前的網絡異常診斷方法有很多種，傳統的網絡異常流量檢測有2個不足:第一，參數基準范圍難以確定，缺乏靈活性和誤報率高；第二，由于系統日益復雜化合網絡數據流量急劇增加，抓取網絡上的流量包增多，調用系統也隨之增多，導致機器性能下降
技術實現思路
:為了克服上述缺陷，本專利技術的目的在于，提供。以網口零拷貝方式在線抓取網絡上的流量數據包，分析并格式化為統一格式，以曲線的形式表示，再與預先構建的輪廓線比較，監測異常狀況。本專利技術通過以下步驟實現:步驟一:以網口零拷貝方式在線抓取網絡上的流量數據包；步驟二:對抓取的數據包進行分析、學習，構建正常狀態的流量輪廓線；步驟三:繼續實時抓取網絡上的流量數據包進行分析，格式化為統一格式，以曲線形式表示；步驟四:與正常狀態的流量輪廓線進行比較，如果發現異常，則報警并將異常種類記錄到異常狀況數據庫，執行步驟六，否則執行步驟五；步驟五:通過均值算法重新運算，學習這個正常周期曲線，生成的新參照輪廓線，并返回步驟三；步驟六:根據發現的異常的狀況，分別采取限制流量、限制連接數、限制訪問等措施。所述的步驟一中，采用DMA技術，在外部設備與存儲器之間直接抓取數據包，減少拷貝次數與系統調用。所述的步驟二中，將分析抓取的數據包，通過均值運算，經過一段時間的自學習，針對不同的監測目標(包括預設端口，總連接數，新建連接數，出入口流量大小，出入口流量包數)生成不同的參照輪廓線。所述的步驟三中，每個數據包將會被分析為一個記錄R,格式如R(T, Src.1P, Src.Port, Dst.1P, Dst.Port, Protocol, Size, FLAG)其中，T 表不當前時間，Src.1P 和 Src.Port表示源IP和端口，Dst.1P和Dst.1P表示目的IP和端口，Protocol表示協議，Size表示包大小，FLAG表示連接的狀態；將元記錄以統計連接、端口、流量的為目的被格式化為3種不同的記錄Rc、Rp、Rs，格式如:Re (T, Totle_Conn, New_Conn)其中 T 表示當前時間，Totle Conn 表示總連接數，New_Conn表示新建的連接數；Rp (T, Portl, [Port2，]...)其中T表示當前時間，Portl表示要監測的端口，省略號表示可以自定義要監測的端口；Rs (T, Size, Pack, FLAG)其中T表示當前時間，Size表示流量的大小，Pack表示包的數量，FLAG表示連接狀態；以上3個記錄集分別代表了 T時段關于連接、端口、流量(大小/包數量)的指標統計，實際曲線由這些記錄確定。所述的步驟四中，通過實際曲線(包括實時連接曲線、實時端口曲線、實時流量曲線(大小/包數量))與預定義輪廓線的比較，若實際曲線的點值超越輪廓線所定義的范圍，則將其定義為異常。所述的步驟五中，若一個周期的實際曲線的點值都在定義的正常范圍內，則系統會考慮將這一實際曲線的各個點值與當前參照輪廓線進行再運算，以運算后的輪廓線值作為繼續監測的標準，實際曲線的點值生成精確度為lmin。附圖說明:附圖為本專利技術專利實施步驟的流程圖。具體實施方式:由附圖所示，本專利技術的實施步驟是:步驟一:采用了 DMA技術，以網口零拷貝方式在線在外部設備與存儲器之間直接抓取流量數據包，減少拷貝次數與系統調用；步驟二:對抓取的數據包進行分析、學習，構建正常狀態的流量輪廓線；將分析抓取的數據包，通過均值運算，經過一段時間的自學習，針對不同的監測目標(包括預設端口，總連接數，新建連接數，出入口流量大小，出入口流量包數)生成不同的參照輪廓線；步驟三:繼續實時抓取網絡上的流量數據包進行分析，每個數據包將會被分析為一個記錄 R，格式如 R(T, Src.1P, Src.Port, Dst.1P, Dst.Port, Protocol, Size, FLAG)其中，T表示當前時間，Src.1P和Src.Port表示源IP和端口，Dst.1P和Dst.1P表示目的IP和端口，Protocol表示協議，Size表示包大小，FLAG表示連接的狀態；將元記錄以統計連接、端口、流量的為目的被格式化為3種不同的記錄Rc、Rp、Rs，格式如:Re (T, Totle_Conn, New_Conn)其中 T 表示當前時間，Totle_Conn 表示總連接數，New_Conn表示新建的連接數；Rp (T, Portl, [Port2，]...)其中T表示當前時間，Portl表示要監測的端口，省略號表示可以自定義要監測的端口；Rs (T, Size, Pack, FLAG)其中T表示當前時間，Size表示流量的大小，Pack表示包的數量，FLAG表示連接狀態；以上3個記錄集分別代表了 T時段關于連接、端口、流量(大小/包數量)的指標統計，實際曲線由這些記錄確定；步驟四:與正常狀態的流量輪廓線進行比較，若實際曲線的點值超越輪廓線所定義的范圍，則將其定義為異常，報警并將異常種類記錄到異常狀況數據庫，然后執行步驟六，否則執行步驟五；步驟五:若一個周期的實際曲線的點值都在定義的正常范圍內，則通過均值算法重新運算，學習這個正常周期曲線，生成的新參照輪廓線，并返回步驟三。步驟六:根據發現的異常的狀況，分別采取限制流量、限制連接數、限制訪問等措施。本文檔來自技高網...

【技術保護點】
一種在線式網絡異流量常診斷方法，其特征在于：所述的方法由以下步驟實現：步驟一：以網口零拷貝方式在線抓取網絡上的流量數據包；步驟二：對抓取的數據包進行分析、學習，構建正常狀態的流量輪廓線；步驟三：繼續實時抓取網絡上的流量數據包進行分析，格式化為統一格式，以曲線形式表示；步驟四：與正常狀態的流量輪廓線進行比較，如果發現異常，則報警并將異常種類記錄到異常狀況數據庫，執行步驟六，否則執行步驟五；步驟五：通過均值算法重新運算，學習這個正常周期曲線，生成的新參照輪廓線，并返回步驟三；步驟六：根據發現的異常的狀況，分別采取限制流量、限制連接數、限制訪問等措施。

【技術特征摘要】
1.一種在線式網絡異流量常診斷方法，其特征在于所述的方法由以下步驟實現步驟一以網口零拷貝方式在線抓取網絡上的流量數據包；步驟二 對抓取的數據包進行分析、學習，構建正常狀態的流量輪廓線；步驟三繼續實時抓取網絡上的流量數據包進行分析，格式化為統一格式，以曲線形式表不;步驟四與正常狀態的流量輪廓線進行比較，如果發現異常，則報警并將異常種類記錄到異常狀況數據庫，執行步驟六，否則執行步驟五；步驟五通過均值算法重新運算，學習這個正常周期曲線，生成的新參照輪廓線，并返回步驟三；步驟六根據發現的異常的狀況，分別采取限制流量、限制連接數、限制訪問等措施。2.根據權利要求1所述的一種在線式網絡異流量常診斷方法，其特征在于所述的步驟一采用DMA技術，在外部設備與存儲器之間直接抓取數據包。3.根據權利要求1所述的一種在線式網絡異流量常診斷方法，其特征在于所述步驟三所描述的流量數據包...

【專利技術屬性】
技術研發人員：柯宗貴，柯宗慶，張越，陳文浩，
申請(專利權)人：藍盾信息安全技術股份有限公司，
類型：發明
國別省市：