專(zhuān)利名稱(chēng):網(wǎng)絡(luò)流量異常檢測(cè)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域����,尤指一種適用于高速I(mǎi)P城域網(wǎng)的網(wǎng)絡(luò)流量異常檢測(cè)方法和系統(tǒng)。
背景技術(shù):
隨著Internet的發(fā)展�,網(wǎng)絡(luò)流量飛速增長(zhǎng),互聯(lián)網(wǎng)已成為不可或缺的信息載體���。與此同時(shí)���,網(wǎng)絡(luò)流量也經(jīng)常會(huì)出現(xiàn)偏離正常范圍的異常流量��,主要是由蠕蟲(chóng)傳播�、DOS攻擊���、DDOS攻擊�����、僵尸網(wǎng)絡(luò)等惡意網(wǎng)絡(luò)攻擊行為以及網(wǎng)絡(luò)配置失誤��、偶發(fā)性線(xiàn)路中斷等引起����。這些異常流量往往會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)服務(wù)質(zhì)量急劇下降����,使受害端主機(jī)、網(wǎng)絡(luò)直接癱瘓���。因此�����,如 何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進(jìn)行網(wǎng)絡(luò)異常檢測(cè)并及時(shí)提供預(yù)警信息��,對(duì)保障網(wǎng)絡(luò)正常運(yùn)行具有重要意義���。同時(shí),隨著網(wǎng)絡(luò)帶寬的不斷提高��,網(wǎng)絡(luò)流量異常檢測(cè)面臨新的問(wèn)題一方面�����,網(wǎng)絡(luò)傳輸速率大幅度提高����,相同的網(wǎng)絡(luò)攻擊,在局域網(wǎng)表現(xiàn)非常明顯���,而在高速線(xiàn)路中可能并不容易發(fā)現(xiàn)�,需要高準(zhǔn)確性的網(wǎng)絡(luò)流量異常檢測(cè)模型��;另一方面�����,網(wǎng)絡(luò)帶寬提高的同時(shí)也加快了網(wǎng)絡(luò)攻擊的速度����,以網(wǎng)絡(luò)蠕蟲(chóng)爆發(fā)為例���,它能夠在IOmin甚至更短的時(shí)間內(nèi)感染互聯(lián)網(wǎng)內(nèi)大部分脆弱主機(jī)。這就要求異常檢測(cè)系統(tǒng)在快速高效識(shí)別出異常流量的同時(shí)�����,還能夠?qū)崟r(shí)實(shí)施阻斷策略�。因此,異常檢測(cè)的關(guān)鍵是通過(guò)對(duì)網(wǎng)絡(luò)流量正常行為的描述來(lái)分析和發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中可能出現(xiàn)的異常行為�,并向管理員提出警告,或主動(dòng)作出反應(yīng)?�,F(xiàn)有的異常檢測(cè)方法主要有統(tǒng)計(jì)異常檢測(cè)法���,基于域值的異常檢測(cè)法�����,基于小波的異常檢測(cè)法�����,基于免疫學(xué)的異常檢測(cè)法���,基于機(jī)器學(xué)習(xí)��、數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)法以及基于流量信息熵的異常檢測(cè)法等,但是這些方法主要存在以下問(wèn)題(I)報(bào)警意義不明確����。由于上述異常檢測(cè)方法只檢測(cè)網(wǎng)絡(luò)流量中的一種或幾種特征向量,而且選取的特征向量沒(méi)有特定的攻擊含義��,因而檢測(cè)系統(tǒng)報(bào)警時(shí)只能知道網(wǎng)絡(luò)中某些特征向量出現(xiàn)了異常���,但是不能判斷出現(xiàn)了什么樣的攻擊��。(2)不能提供協(xié)同運(yùn)行的共享數(shù)據(jù)���。由于Internet是沒(méi)有集中管理的多個(gè)管理域的互聯(lián)網(wǎng)絡(luò),但是異常檢測(cè)要求各個(gè)檢測(cè)系統(tǒng)之間是協(xié)同運(yùn)行的��,因而作為協(xié)同運(yùn)行的主要內(nèi)容的共享數(shù)據(jù)的提供就顯得非常重要�。(3)可擴(kuò)展性較差由于現(xiàn)有的異常檢測(cè)系統(tǒng)大多采用一種或幾種單一的網(wǎng)絡(luò)特征向量作為學(xué)習(xí)和判斷的依據(jù),對(duì)網(wǎng)絡(luò)流量的異常描述較為單?����。辉诋惓z測(cè)系統(tǒng)協(xié)同運(yùn)行中網(wǎng)絡(luò)特征向量選取得較少就可能會(huì)影響檢測(cè)系統(tǒng)的可擴(kuò)展性���。(4)檢測(cè)精度��、實(shí)時(shí)性�、全面性和新異常行為識(shí)別能力不能滿(mǎn)足異常檢測(cè)的測(cè)試要求���。檢測(cè)精度�����、實(shí)時(shí)性����、全面性和新異常行為識(shí)別能力是評(píng)價(jià)異常檢測(cè)系統(tǒng)的四大關(guān)鍵指標(biāo)�����。而目前的異常檢測(cè)方法由于不能負(fù)荷高速網(wǎng)絡(luò)流量的實(shí)時(shí)測(cè)量���,尚不能實(shí)現(xiàn)實(shí)時(shí)異常檢測(cè)�����;且一般采用分組抽樣式處理���,由于抽樣不可避免地會(huì)丟失流量信息����,導(dǎo)致檢測(cè)精度和準(zhǔn)確度降低��,不能滿(mǎn)足高速流量監(jiān)控的精度需求����;此外現(xiàn)有的異常檢測(cè)手段單一�����,識(shí)別能力有限��,其檢測(cè)全面性和識(shí)別新異常行為的能力都比較差�����?�?梢?jiàn),現(xiàn)有流量異常檢測(cè)實(shí)現(xiàn)方式�����,存在檢測(cè)精度��、實(shí)時(shí)性�����、全面性和報(bào)警意義不明確等諸多導(dǎo)致檢測(cè)效果不佳的因素��;同時(shí)�����,由于針對(duì)單一特征向量檢測(cè)��、控制策略單一�����,導(dǎo)致異常檢測(cè)的可擴(kuò)展性差����,識(shí)別能力有限����。且由于軟件處理識(shí)別速率低���,導(dǎo)致在異常檢測(cè)時(shí)僅能給管理員發(fā)送報(bào)警�����,不能實(shí)現(xiàn)異常流量的阻斷�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)流量異常檢測(cè)方法和系統(tǒng),用以解決現(xiàn)有技術(shù)中存在流量異常檢測(cè)效果不佳���、靈活性和可擴(kuò)展性差的問(wèn)題��。一種網(wǎng)絡(luò)流量異常檢測(cè)方法�����,包括監(jiān)控網(wǎng)絡(luò)中的流量��,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù)���;根據(jù)提取的基本特征數(shù)據(jù)����,確定選定的攻擊行為的組合特征數(shù)據(jù)��,其中�����,所述組合特征數(shù)據(jù)為基本特征數(shù)據(jù)的子集�;將確定的組合特征數(shù)據(jù)輸入對(duì)應(yīng)的所述選定的攻擊行為的流量模型,得到輸出結(jié)果����;所述流量模型為根據(jù)樣本特征庫(kù)中的選定的攻擊行為的樣本數(shù)據(jù)預(yù)先建立的;根據(jù)得到的輸出結(jié)果���,確定網(wǎng)絡(luò)流量中是否存在選定的攻擊行為�。一種網(wǎng)絡(luò)流量異常檢測(cè)系統(tǒng)����,包括流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)和網(wǎng)管分析子系統(tǒng);流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)����,用于監(jiān)控網(wǎng)絡(luò)中的流量�����,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù)�;網(wǎng)管分析子系統(tǒng)���,用于根據(jù)提取的基本特征數(shù)據(jù)�,確定選定的攻擊行為的組合特征數(shù)據(jù)�����,其中����,所述組合特征數(shù)據(jù)為基本特征數(shù)據(jù)的子集�����;將確定的組合特征數(shù)據(jù)輸入對(duì)應(yīng)的所述選定的攻擊行為的流量模型��,得到輸出結(jié)果����;所述流量模型為根據(jù)樣本特征庫(kù)中的選定的攻擊行為的樣本數(shù)據(jù)預(yù)先建立的���;根據(jù)所述選定的攻擊行為的流量模型的輸出結(jié)果,確定網(wǎng)絡(luò)流量中是否存在該選定的攻擊行為�����。本發(fā)明有益效果如下本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量異常檢測(cè)方法和系統(tǒng)�����,通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的流量����,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù),確定選定的攻擊行為的組合特征數(shù)據(jù)��,將確定的組合特征數(shù)據(jù)依次輸入對(duì)應(yīng)的所述選定的攻擊行為的流量模型�,得到輸出結(jié)果,從而確定網(wǎng)絡(luò)流量中存在該選定的攻擊行為��。該方法針對(duì)不同的攻擊行為分別建立模型�,從而可以準(zhǔn)確的檢測(cè)出是哪種攻擊行為,報(bào)警意義明確�,檢測(cè)精度高����;該方法實(shí)時(shí)提取網(wǎng)絡(luò)流量中的基本特征數(shù)據(jù)����,且針對(duì)不同攻擊行為有針對(duì)性的確定組合特征數(shù)據(jù),從而可以全面的檢測(cè)各種攻擊行為�����,利于多個(gè)管理域的協(xié)作管理�。該方法可以方便的擴(kuò)展可檢測(cè)的攻擊行為,當(dāng)有新的攻擊行為時(shí)����,可以建立其流量模型,對(duì)其進(jìn)行檢測(cè)�����,擴(kuò)展方便��。該方法能夠獲取良好的檢測(cè)效果�����、較高的檢測(cè)精度��。
圖I為本發(fā)明實(shí)施例中網(wǎng)絡(luò)流量異常檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖�;圖2為本發(fā)明實(shí)施例中網(wǎng)絡(luò)流量異常檢測(cè)方法的流程圖3為本發(fā)明實(shí)施例中建基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型的結(jié)構(gòu)圖;圖4為本發(fā)明實(shí)施例中網(wǎng)絡(luò)流量異常檢測(cè)系統(tǒng)在城域網(wǎng)絡(luò)中的部署圖�����;圖5為本發(fā)明實(shí)施例中網(wǎng)絡(luò)流量異常檢測(cè)系統(tǒng)的具體結(jié)構(gòu)示意圖��;圖6為本發(fā)明實(shí)施例中網(wǎng)管分析子系統(tǒng)的具體結(jié)構(gòu)示意圖����。
具體實(shí)施例方式針對(duì)現(xiàn)有技術(shù)中,網(wǎng)絡(luò)流量異常檢測(cè)效果不佳�、靈活性和可擴(kuò)展性差等若干問(wèn)題,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)流量異常檢測(cè)方法���,基于實(shí)時(shí)提取的網(wǎng)絡(luò)流量的特征數(shù)據(jù)實(shí)現(xiàn)流量異常檢測(cè)����,由于針對(duì)不同的異常攻擊行為考慮了相應(yīng)的多種特征數(shù)據(jù)的組合���,使檢測(cè)的實(shí)時(shí)性���、準(zhǔn)確性����、全面性都獲得提高���,且檢測(cè)靈活性和可擴(kuò)展也比較好���。 本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)流量異常檢測(cè)方法,通過(guò)如圖I所示的網(wǎng)絡(luò)流量異常檢測(cè)系統(tǒng)實(shí)現(xiàn)����。該系統(tǒng)包括流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)I和網(wǎng)管分析子系統(tǒng)2。流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)1����,用于流量統(tǒng)計(jì)過(guò)濾子系統(tǒng),用于監(jiān)控網(wǎng)絡(luò)中的流量�����,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù)���。網(wǎng)管分析子系統(tǒng)2���,用于根據(jù)提取的基本特征數(shù)據(jù),確定選定的攻擊行為的組合特征數(shù)據(jù)���,其中����,所述組合特征數(shù)據(jù)為基本特征數(shù)據(jù)的子集����;將確定的組合特征數(shù)據(jù)輸入對(duì)應(yīng)的所述選定的攻擊行為的流量模型,得到輸出結(jié)果�����;所述流量模型為根據(jù)樣本特征庫(kù)中的選定的攻擊行為的樣本數(shù)據(jù)預(yù)先建立的�;根據(jù)所述選定的攻擊行為的流量模型的輸出結(jié)果,確定網(wǎng)絡(luò)流量中存在該選定的攻擊行為���。優(yōu)選的��,網(wǎng)管分析子系統(tǒng)2��,還用于確定網(wǎng)絡(luò)流量中存在該選定的攻擊行為����,根據(jù)該選定的攻擊行為的屬性信息,設(shè)置流量控制參數(shù)���;流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)1�����,還用于根據(jù)設(shè)置的流量控制參數(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾控制�����。上述基于高速I(mǎi)P城域網(wǎng)的網(wǎng)絡(luò)流量異常檢測(cè)方法的流程如圖2所示����,包括如下步驟步驟Sll :監(jiān)控網(wǎng)絡(luò)中的流量���,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù)�����。實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的流量����,從網(wǎng)絡(luò)流量中的下列至少一個(gè)信息中提取設(shè)定數(shù)量的特征信息,作為基本特征數(shù)據(jù)流量相關(guān)信息���、數(shù)據(jù)包相關(guān)信息、協(xié)議相關(guān)信息�����、端口相關(guān)信息�、端口流量相關(guān)信息、地址相關(guān)信息����、TCP標(biāo)志位的相關(guān)信息。具體的��,從上述信息中提取設(shè)定數(shù)量特征數(shù)據(jù)��,具體包括下列數(shù)據(jù)中的若干種流報(bào)文數(shù)��、流字節(jié)數(shù)�、流開(kāi)始時(shí)間、流結(jié)束時(shí)間�、包長(zhǎng)震蕩頻率����、數(shù)據(jù)包平均間隔�、平均包長(zhǎng)、SYN包個(gè)數(shù)��、協(xié)議類(lèi)型����、源端口、目的端口��、每秒鐘發(fā)送的數(shù)據(jù)包數(shù)量��、源地址���、目的地址��。通過(guò)這些基本特征數(shù)據(jù)可以比較詳細(xì)地描述了網(wǎng)絡(luò)流量的運(yùn)行狀態(tài)���。例如統(tǒng)計(jì)到的基本特征數(shù)據(jù)可以記為包含η個(gè)基本特征變量的基本特征集X1,X2,L L Χη���。其中�,η表示基本特征集中的基本特征變量的數(shù)量,優(yōu)選的��,η = 256�����。步驟S12 :根據(jù)提取的基本特征數(shù)據(jù)�����,確定選定的攻擊行為的組合特征數(shù)據(jù)�����,其中���,組合特征數(shù)據(jù)為基本特征數(shù)據(jù)的子集。將提取的基本特征數(shù)據(jù)與選定的攻擊行為進(jìn)行類(lèi)別互熵�����;根據(jù)互熵結(jié)果����,確定各基本特征數(shù)據(jù)對(duì)選定的攻擊行為的重要程度�;根據(jù)各基本特征數(shù)據(jù)對(duì)選定的攻擊行為的重要程度���,從基本特征數(shù)據(jù)中確定選定的攻擊行為的組合特征數(shù)據(jù)����。即針對(duì)每種可能存在的攻擊行為進(jìn)行組合特征數(shù)據(jù)的選取�����。在進(jìn)行特征數(shù)據(jù)的約簡(jiǎn)時(shí)��,運(yùn)用信息熵相關(guān)理論�,通過(guò)計(jì)算基本特征集中的各基本特征變量X1, x2,L L 乂 與不同的攻擊行為的互熵進(jìn)行重要特征選取����,根據(jù)互熵的大小確定基本特征變量XiQ = 1,2�����,......�,η)的重要程度λ it)根據(jù)重要程度選取重要的基本特征變量組成組合特征集X1, X2,......Xm,其中m
< η。進(jìn)而得到組合特征數(shù)據(jù)
權(quán)利要求
1.一種網(wǎng)絡(luò)流量異常檢測(cè)方法��,其特征在于��,包括 監(jiān)控網(wǎng)絡(luò)中的流量�,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù); 根據(jù)提取的基本特征數(shù)據(jù)��,確定選定的攻擊行為的組合特征數(shù)據(jù)���,其中�����,所述組合特征數(shù)據(jù)為基本特征數(shù)據(jù)的子集�; 將確定的組合特征數(shù)據(jù)輸入對(duì)應(yīng)的攻擊行為的流量模型��,得到輸出結(jié)果��;所述流量模型為根據(jù)樣本特征庫(kù)中的各攻擊行為的樣本數(shù)據(jù)預(yù)先建立的��; 根據(jù)得到的輸出結(jié)果���,確定網(wǎng)絡(luò)流量中是否存在攻擊行為并確定攻擊行為的類(lèi)型。
2.如權(quán)利要求I所述的方法�����,其特征在于,所述提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù)�����,具體包括 從網(wǎng)絡(luò)流量中的下列至少一個(gè)信息中提取設(shè)定數(shù)量的特征信息�,作為基本特征數(shù)據(jù)流量相關(guān)信息、數(shù)據(jù)包相關(guān)信息����、協(xié)議相關(guān)信息、端口相關(guān)信息����、端口流量相關(guān)信息、地址相關(guān)息�、TCP標(biāo)志位的相關(guān)信息。
3.如權(quán)利要求2所述的方法�����,其特征在于�����,所述提取網(wǎng)絡(luò)流量的設(shè)定數(shù)量特征數(shù)據(jù),具體包括下列數(shù)據(jù)中的若干種 流報(bào)文數(shù)��、流字節(jié)數(shù)�、流開(kāi)始時(shí)間、流結(jié)束時(shí)間����、包長(zhǎng)震蕩頻率、數(shù)據(jù)包平均間隔���、平均包長(zhǎng)����、SYN包個(gè)數(shù)�、協(xié)議類(lèi)型、源端口�、目的端口����、每秒鐘發(fā)送的數(shù)據(jù)包數(shù)量、源地址�����、目的地址。
4.如權(quán)利要求I所述的方法���,其特征在于���,所述根據(jù)提取的基本特征數(shù)據(jù),確定選定的攻擊行為的組合特征數(shù)據(jù)��,具體包括 將提取的基本特征數(shù)據(jù)與選定的攻擊行為進(jìn)行類(lèi)別互熵���; 根據(jù)互熵結(jié)果���,確定各基本特征數(shù)據(jù)對(duì)所述選定的攻擊行為的重要程度; 根據(jù)各基本特征數(shù)據(jù)對(duì)所述選定的攻擊行為的重要程度���,從基本特征數(shù)據(jù)中確定所述選定的攻擊行為的組合特征數(shù)據(jù)����。
5.如權(quán)利要求I所述的方法�����,其特征在于,根據(jù)樣本特征庫(kù)中的選定的攻擊行為的樣本數(shù)據(jù)建立流量模型的過(guò)程包括 根據(jù)樣本數(shù)據(jù)的期望輸出和實(shí)際輸出�����,確定基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型的模型參數(shù)權(quán)值�����; 根據(jù)確定的基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型的模型參數(shù)權(quán)值�����,調(diào)整量子小波神經(jīng)網(wǎng)絡(luò)模型的量子間隔��; 根據(jù)確定的模型參數(shù)權(quán)值和調(diào)整后的量子間隔建立基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型����。
6.如權(quán)利要求5所述的方法,其特征在于�����,所述根據(jù)樣本數(shù)據(jù)的期望輸出和實(shí)際輸出���,確定基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型的模型參數(shù)權(quán)值��;具體包括 根據(jù)樣本數(shù)據(jù)的期望輸出和實(shí)際輸出�,訓(xùn)練樣本的均方誤差函數(shù)
7.如權(quán)利要求6所述的方法���,其特征在于��,所述根據(jù)確定的基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型的模型參數(shù)權(quán)值�����,調(diào)整量子小波神經(jīng)網(wǎng)絡(luò)模型的量子間隔�,具體包括 根據(jù)得到的模型參數(shù)權(quán)值Wij�����、vJk, Bj, bj���,調(diào)整調(diào)整量子小波神經(jīng)網(wǎng)絡(luò)模型的量子間隔O
8.如權(quán)利要求7所述的方法��,其特征在于�,所述建立的基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型為
9.如權(quán)利要求I所述的方法��,其特征在于�,將確定的組合特征數(shù)據(jù)輸入對(duì)應(yīng)的所述選定的攻擊行為的流量模型��,得到輸出結(jié)果�,具體包括 輸入層輸入組合特征集X1, X2, L L Xm����,經(jīng)輸入層計(jì)算得到用于輸入隱含層的輸入層節(jié)點(diǎn)輸出函數(shù); 將得到的輸入層節(jié)點(diǎn)輸出函數(shù)輸入隱含層�,經(jīng)隱含層計(jì)算得到隱含層節(jié)點(diǎn)輸出函數(shù); 將得到的隱含層節(jié)點(diǎn)輸出函數(shù)輸入輸出層���,經(jīng)輸出層計(jì)算后得到輸出結(jié)果��。
10.如權(quán)利要求9所述的方法�����,其特征在于�,所述輸入層節(jié)點(diǎn)輸出函數(shù)為Pi= AiXi I=I, 2, L, m ����; 其中=Xi為組合特征數(shù)據(jù)中的特征向量;λ i表示特征向量Xi的重要程度�。
11.如權(quán)利要求10所述的方法,其特征在于�����,所述隱含層節(jié)點(diǎn)輸出函數(shù)為
12.如權(quán)利要求11所述的方法���,其特征在于���,輸出結(jié)果滿(mǎn)足下列公式
13.如權(quán)利要求I所述的方法,其特征在于�,所述選定的攻擊行為包括下列攻擊行為中的一種或幾種DDoS攻擊、木馬病毒��、惡意代碼和僵死病毒���。
14.如權(quán)利要求13所述的方法��,其特征在于�����,所述根據(jù)得到的輸出結(jié)果��,確定網(wǎng)絡(luò)流量中是否存在攻擊行為并確定攻擊行為的類(lèi)型�����,具體包括 若輸出所述輸出結(jié)果的攻擊行為的流量模型為DDoS攻擊的流量模型�,當(dāng)輸出結(jié)果為正常流量的輸出值時(shí),確認(rèn)不存在DDoS攻擊����;當(dāng)其輸出結(jié)果為異常流量的輸出值時(shí),確定存在的攻擊行為的類(lèi)型為DDoS攻擊���; 若輸出所述輸出結(jié)果的攻擊行為的流量模型為木馬病毒的流量模型����,當(dāng)輸出結(jié)果為正常流量的輸出值時(shí)����,確認(rèn)不存在木馬病毒;當(dāng)其輸出結(jié)果為異常流量的輸出值時(shí)����,確定存在的攻擊行為的類(lèi)型為木馬病毒; 若輸出所述輸出結(jié)果的攻擊行為的流量模型為惡意代碼的流量模型����,當(dāng)輸出結(jié)果為正常流量的輸出值時(shí),確認(rèn)不存在惡意代碼;當(dāng)其輸出結(jié)果為異常流量的輸出值時(shí)�,確定存在的攻擊行為的類(lèi)型為惡意代碼; 若輸出所述輸出結(jié)果的攻擊行為的流量模型為僵死病毒的流量模型����,當(dāng)輸出結(jié)果為正常流量的輸出值時(shí),確認(rèn)不存在僵死病毒��;當(dāng)其輸出結(jié)果為異常流量的輸出值時(shí)�����,確定存在的攻擊行為的類(lèi)型為僵死病毒�。
15.如權(quán)利要求1-14任一所述的方法��,其特征在于���,還包括 在確定出網(wǎng)絡(luò)流量中存在該選定的攻擊行為時(shí)����,根據(jù)該選定的攻擊行為的屬性信息����,設(shè)置流量控制參數(shù),對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾控制。
16.如權(quán)利要求15所述的方法�����,其特征在于��,還包括���,在確定出網(wǎng)絡(luò)流量中存在該選定的攻擊行為時(shí)�,向用戶(hù)提供告警展示信息���; 所述告警展示信息包括下列展示信息中的一種或幾種各攻擊行為的分類(lèi)告警展示���、攻擊信息的圖表展示和異常檢測(cè)的策略規(guī)則展示。
17.一種網(wǎng)絡(luò)流量異常檢測(cè)系統(tǒng)����,其特征在于,包括流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)和網(wǎng)管分析子系統(tǒng)��; 流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)���,用于監(jiān)控網(wǎng)絡(luò)中的流量�����,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù)��; 網(wǎng)管分析子系統(tǒng)��,用于根據(jù)提取的基本特征數(shù)據(jù)��,確定選定的攻擊行為的組合特征數(shù)據(jù)�,其中,所述組合特征數(shù)據(jù)為基本特征數(shù)據(jù)的子集���;將確定的組合特征數(shù)據(jù)輸入對(duì)應(yīng)的所述選定的攻擊行為的流量模型,得到輸出結(jié)果���;所述流量模型為根據(jù)樣本特征庫(kù)中的選定的攻擊行為的樣本數(shù)據(jù)預(yù)先建立的�;根據(jù)所述選定的攻擊行為的流量模型的輸出結(jié)果����,確定網(wǎng)絡(luò)流量中是否存在攻擊行為并確定攻擊行為的類(lèi)型。
18.如權(quán)利要求17所述的系統(tǒng)�����,其特征在于,所述網(wǎng)管分析子系統(tǒng)��,還用于確定網(wǎng)絡(luò)流量中存在該選定的攻擊行為�����,根據(jù)該選定的攻擊行為的屬性信息�,設(shè)置流量控制參數(shù); 流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)�����,還用于根據(jù)設(shè)置的流量控制參數(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾控制�����。
19.如權(quán)利要求17所述的系統(tǒng)����,其特征在于,所述流量統(tǒng)計(jì)過(guò)濾子系統(tǒng)�,具體包括 流量統(tǒng)計(jì)識(shí)別模塊,用于監(jiān)控網(wǎng)絡(luò)中的流量����,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù)����; 在線(xiàn)過(guò)濾模塊��,用于獲取網(wǎng)管分析子系統(tǒng)確定網(wǎng)絡(luò)流量中存在選定的攻擊行為時(shí)����,根據(jù)該選定的攻擊行為的屬性信息,設(shè)置流量控制參數(shù)��;以及根據(jù)獲取的流量控制參數(shù)對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾控制�����。
20.如權(quán)利要求17所述的系統(tǒng)��,其特征在于���,所述網(wǎng)管分析子系統(tǒng),具體包括 模型建立模塊��,用于根據(jù)樣本特征庫(kù)中的選定的攻擊行為的樣本數(shù)據(jù)預(yù)先建立選定的攻擊行為的流量模型�; 數(shù)據(jù)提取模塊,用于根據(jù)提取的基本特征數(shù)據(jù)���,確定選定的攻擊行為的組合特征數(shù)據(jù)����,其中,所述組合特征數(shù)據(jù)為基本特征數(shù)據(jù)的子集����; 數(shù)據(jù)分析模塊,用于將確定的組合特征數(shù)據(jù)輸入對(duì)應(yīng)的所述選定的攻擊行為的流量模型�,得到輸出結(jié)果; 流量識(shí)別模塊�����,用于根據(jù)所述選定的攻擊行為的流量模型的輸出結(jié)果���,確定網(wǎng)絡(luò)流量中存在該選定的攻擊彳丁為����。
21.如權(quán)利要求20所述的系統(tǒng)��,其特征在于���,所述數(shù)據(jù)提取模塊����,具體用于 將提取的基本特征數(shù)據(jù)與選定的攻擊行為進(jìn)行類(lèi)別互熵;根據(jù)互熵結(jié)果����,確定各基本特征數(shù)據(jù)對(duì)所述選定的攻擊行為的重要程度;根據(jù)各基本特征數(shù)據(jù)對(duì)所述選定的攻擊行為的重要程度����,從基本特征數(shù)據(jù)中確定所述選定的攻擊行為的組合特征數(shù)據(jù)。
22.如權(quán)利要求20所述的系統(tǒng)�����,其特征在于�����,所述模型建立模塊�����,具體用于 根據(jù)樣本數(shù)據(jù)的期望輸出和實(shí)際輸出����,確定基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型的模型參數(shù)權(quán)值; 根據(jù)確定的基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型的模型參數(shù)權(quán)值��,調(diào)整量子小波神經(jīng)網(wǎng)絡(luò)模型的量子間隔��; 根據(jù)確定的模型參數(shù)權(quán)值和調(diào)整后的量子間隔建立基于量子小波神經(jīng)網(wǎng)絡(luò)的流量模型�����。
23.如權(quán)利要求20所述的系統(tǒng)���,其特征在于�,所述數(shù)據(jù)分析模塊�,具體用于 輸入層輸入組合特征集X1, X2, L L Xm,經(jīng)輸入層計(jì)算得到用于輸入隱含層的輸入層節(jié)點(diǎn)輸出函數(shù)�����; 將得到的輸入層節(jié)點(diǎn)輸出函數(shù)輸入隱含層�����,經(jīng)隱含層計(jì)算得到隱含層節(jié)點(diǎn)輸出函數(shù)�����; 將得到的隱含層節(jié)點(diǎn)輸出函數(shù)輸入輸出層,經(jīng)輸出層計(jì)算后得到輸出結(jié)果����。
24.如權(quán)利要求20-23任一所述的系統(tǒng),其特征在于�,所述網(wǎng)管分析子系統(tǒng),還包括 規(guī)則挖掘模塊����,用于在確定出網(wǎng)絡(luò)流量中存在該選定的攻擊行為時(shí),根據(jù)該選定的攻擊行為的屬性信息�,設(shè)置流量控制參數(shù)。
25.如權(quán)利要求20-23任一所述的系統(tǒng)���,其特征在于�����,所述網(wǎng)管分析子系統(tǒng)��,還包括 信息輸出模塊�����,用于針對(duì)每種攻擊行為����,向用戶(hù)展示流量識(shí)別模塊的確定結(jié)果�����,以及當(dāng)存在選定的攻擊行為時(shí)���,向用戶(hù)提供告警展示信息�����。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)流量異常檢測(cè)方法和系統(tǒng)����,該方法包括監(jiān)控網(wǎng)絡(luò)中的流量�,提取網(wǎng)絡(luò)流量的基本特征數(shù)據(jù);根據(jù)提取的基本特征數(shù)據(jù)�����,確定選定的攻擊行為的組合特征數(shù)據(jù)��,其中,所述組合特征數(shù)據(jù)為基本特征數(shù)據(jù)的子集���;將確定的組合特征數(shù)據(jù)輸入對(duì)應(yīng)的所述選定的攻擊行為的流量模型����,得到輸出結(jié)果���;所述流量模型為根據(jù)樣本特征庫(kù)中的選定的攻擊行為的樣本數(shù)據(jù)預(yù)先建立的�����;根據(jù)得到的輸出結(jié)果���,確定網(wǎng)絡(luò)流量中是否存在選定的攻擊行為。實(shí)現(xiàn)了流量檢測(cè)多元化���、識(shí)別更準(zhǔn)確��,可擴(kuò)展性強(qiáng)����。
文檔編號(hào)H04L12/24GK102821002SQ20111015422
公開(kāi)日2012年12月12日 申請(qǐng)日期2011年6月9日 優(yōu)先權(quán)日2011年6月9日
發(fā)明者楊柳青 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)河南有限公司信陽(yáng)分公司