專利名稱：基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)異常流量檢測(cè)及入侵檢測(cè)技術(shù)領(lǐng)域，具體涉及一種基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)方法。
背景技術(shù)：
伴隨著網(wǎng)絡(luò)的正常應(yīng)用流量，網(wǎng)絡(luò)上各種異常流量也隨之而來(lái)，影響到網(wǎng)絡(luò)的正常運(yùn)行，威脅著用戶主機(jī)的安全和使用。網(wǎng)絡(luò)異常往往由網(wǎng)絡(luò)攻擊、蠕蟲(chóng)病毒、網(wǎng)絡(luò)濫用等原因引起的，例如各種網(wǎng)絡(luò)掃描、DDoS攻擊、網(wǎng)絡(luò)蠕蟲(chóng)病毒、惡意下載、對(duì)網(wǎng)絡(luò)資源的不當(dāng)使用等都會(huì)造成網(wǎng)絡(luò)性能下降，嚴(yán)重時(shí)會(huì)影響正常的網(wǎng)絡(luò)使用，造成網(wǎng)絡(luò)擁塞，甚至造成網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)設(shè)備的失效。因此，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)和管理，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的已知類型和未知類型的網(wǎng)絡(luò)異常，已經(jīng)成為網(wǎng)絡(luò)安全管理中需要解決的首要問(wèn)題，其對(duì)提高網(wǎng)絡(luò)的可靠性和可用性有著重要的意義。
傳統(tǒng)的網(wǎng)絡(luò)異常流量檢測(cè)是通過(guò)長(zhǎng)時(shí)間的網(wǎng)絡(luò)運(yùn)行流量信息的分析、學(xué)習(xí)，建立網(wǎng)絡(luò)正常使用模式的性能參數(shù)基準(zhǔn)范圍，當(dāng)網(wǎng)絡(luò)運(yùn)行狀態(tài)與正?；€有明顯偏差時(shí)，則判定網(wǎng)絡(luò)中存在異常發(fā)生。該方法可以發(fā)現(xiàn)基本的網(wǎng)絡(luò)異常，但是，它存在算法運(yùn)算復(fù)雜、不具時(shí)間特性、缺乏靈活性和誤報(bào)率高等缺陷。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)方法，以克服現(xiàn)有技術(shù)存在的算法運(yùn)算復(fù)雜、不具時(shí)間特性、缺乏靈活性和誤報(bào)率高的缺陷。
本發(fā)明的技術(shù)方案是根據(jù)異常檢測(cè)器觀察主體的活動(dòng)，然后產(chǎn)生描述這些活動(dòng)行為的屬性，每一個(gè)屬性保存記錄主體當(dāng)前某種行為，并定時(shí)地將當(dāng)前的屬性與存儲(chǔ)的屬性合并，通過(guò)比較當(dāng)前的屬性與已存儲(chǔ)的屬性以及時(shí)間段加權(quán)值來(lái)判斷異常行為。
本發(fā)明的目的是通過(guò)以下幾個(gè)步驟來(lái)實(shí)現(xiàn)的步驟一建立時(shí)間段加權(quán)統(tǒng)計(jì)系數(shù)表；步驟二抓取網(wǎng)絡(luò)上的數(shù)據(jù)包抓取網(wǎng)絡(luò)上的數(shù)據(jù)包是指以旁路偵聽(tīng)方式捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包；步驟三對(duì)于抓來(lái)的數(shù)據(jù)包進(jìn)行屬性分解；所描述的數(shù)據(jù)包的屬性分解是指將抓取到的網(wǎng)絡(luò)數(shù)據(jù)包按照屬性項(xiàng)進(jìn)行分解歸類。亦即通過(guò)抓取網(wǎng)絡(luò)數(shù)據(jù)包的形式，產(chǎn)生每個(gè)TCP/IP連接的屬性記錄，這些記錄的格式如下所示R(T，Src.IP，Src.Port，Dst.IP，Dst.Port，F(xiàn)LAG)其中，T代表連接開(kāi)始的時(shí)間；Src.IP代表源IP；Src.Port代表源端口；Dst.IP代表目的IP；Dst.Port代表目的端口；FLAG表示TCP/IP連接的狀態(tài)。通過(guò)以上的屬性項(xiàng)，系統(tǒng)將會(huì)為每一個(gè)TCP/IP連接記錄一個(gè)屬性記錄集R。
步驟四加載概率矩陣；該概率矩陣是指由所有TCP/IP連接的屬性記錄集R所組成的變長(zhǎng)度的概率矩陣步驟五遍歷概率矩陣；遍歷概率矩陣是指將概率矩陣進(jìn)行統(tǒng)計(jì)性遍歷。在遍歷的過(guò)程中，將具有相同的屬性的TCP/IP連接進(jìn)行歸并，并由此得到概率矩陣的統(tǒng)計(jì)值，為下一步進(jìn)行做好準(zhǔn)備步驟六根據(jù)公式0＜log2P(x)＜+∞計(jì)算出閥值；計(jì)算閥值的公式0＜log2P(x)＜+∞是通過(guò)以下方法計(jì)算的

步驟七將計(jì)算出來(lái)的閥值與預(yù)定義的閾值相對(duì)比；步驟八根據(jù)比對(duì)的結(jié)果來(lái)判斷是否存在異常，并執(zhí)行相應(yīng)的動(dòng)作。
與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點(diǎn)是本發(fā)明算法簡(jiǎn)便、判斷準(zhǔn)確，在判斷模型中加入了時(shí)間段加權(quán)屬性，為異常的監(jiān)測(cè)增強(qiáng)了可靠性和靈活性?？捎糜谌肭謾z測(cè)、IDS等設(shè)備中，對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)，準(zhǔn)確、快速的發(fā)現(xiàn)和定位網(wǎng)絡(luò)中存在的已知類型和未知類型的網(wǎng)絡(luò)異常。


附圖為本發(fā)明基于貝葉斯統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)方法流程圖。
具體實(shí)施例方式下面將通過(guò)在IDS設(shè)備中實(shí)施本發(fā)明進(jìn)行詳細(xì)描述。實(shí)施時(shí)，需要在IDS設(shè)備中設(shè)置基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)模塊，該模塊完成基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)、控制功能。
本發(fā)明的步驟是(一)在系統(tǒng)中建立時(shí)間段加權(quán)統(tǒng)計(jì)系數(shù)表該表是覆蓋每一個(gè)時(shí)間段的，根據(jù)每個(gè)時(shí)間段的不同網(wǎng)絡(luò)訪問(wèn)特點(diǎn)由管理人員人工設(shè)定。格式如下

(二)以旁路偵聽(tīng)方式捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包
(三)對(duì)數(shù)據(jù)包以固定的格式進(jìn)行屬性的分解(四)加載概率矩陣將每一條TCP/IP連接的屬性記錄集R匯集在一起組成變長(zhǎng)度的概率矩陣

(五)遍歷概率矩陣在遍歷的過(guò)程中，將具有相同的屬性的TCP/IP連接進(jìn)行歸并(例如L3和L1兩個(gè)連接的屬性值完全相同，則將L3和L1歸并，并記連接次數(shù)為2)，并由此得到概率矩陣的統(tǒng)計(jì)參數(shù)值，這些值至少包括總連接數(shù)、每個(gè)連接的匯總數(shù)。
(六)系統(tǒng)通過(guò)給定的公式計(jì)算出閥值(七)將閥值與系統(tǒng)預(yù)設(shè)的閾值相對(duì)比；(八)根據(jù)結(jié)果來(lái)判斷是否存在異常，并執(zhí)行相應(yīng)的動(dòng)作。
最后所應(yīng)說(shuō)明的是以上實(shí)施方式僅用以說(shuō)明而非限制本發(fā)明的技術(shù)方案，盡管參照上述實(shí)施方式對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對(duì)本發(fā)明進(jìn)行修改或者等同替換，而不脫離本發(fā)明的精神和范圍的任何修改與局部替換，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍內(nèi)。
權(quán)利要求
1.基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)方法，其特征在于根據(jù)異常檢測(cè)器觀察主體的活動(dòng)，然后產(chǎn)生描述這些活動(dòng)行為的屬性，每一個(gè)屬性保存記錄主體當(dāng)前某種行為，并定時(shí)地將當(dāng)前的屬性與存儲(chǔ)的屬性合并，通過(guò)比較當(dāng)前的屬性與已存儲(chǔ)的屬性以及時(shí)間段加權(quán)值來(lái)判斷異常行為。
2.如權(quán)利要求1所述，基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)方法，其特征在于是通過(guò)以下幾個(gè)步驟來(lái)實(shí)現(xiàn)的步驟一建立時(shí)間段加權(quán)統(tǒng)計(jì)系數(shù)表；步驟二抓取網(wǎng)絡(luò)上的數(shù)據(jù)包抓取網(wǎng)絡(luò)上的數(shù)據(jù)包是指以旁路偵聽(tīng)方式捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包；步驟三對(duì)于抓來(lái)的數(shù)據(jù)包進(jìn)行屬性分解；所描述的數(shù)據(jù)包的屬性分解是指將抓取到的網(wǎng)絡(luò)數(shù)據(jù)包按照屬性項(xiàng)進(jìn)行分解歸類，亦即通過(guò)抓取網(wǎng)絡(luò)數(shù)據(jù)包的形式，產(chǎn)生每個(gè)TCP/IP連接的屬性記錄，這些記錄的格式如下所示R(T，Src.IP，Src.Port，Dst.IP，Dst.Port，F(xiàn)LAG)其中，T代表連接開(kāi)始的時(shí)間；Src.IP代表源IP；Src.Port代表源端口；Dst.IP代表目的IP；Dst.Port代表目的端口；FLAG表示TCP/IP連接的狀態(tài)，通過(guò)以上的屬性項(xiàng)，系統(tǒng)將會(huì)為每一個(gè)TCP/IP連接記錄一個(gè)屬性記錄集R；步驟四加載概率矩陣；該概率矩陣是指由所有TCP/IP連接的屬性記錄集R所組成的變長(zhǎng)度的概率矩陣步驟五遍歷概率矩陣；遍歷概率矩陣是指將概率矩陣進(jìn)行統(tǒng)計(jì)性遍歷。在遍歷的過(guò)程中，將具有相同的屬性的TCP/IP連接進(jìn)行歸并，并由此得到概率矩陣的統(tǒng)計(jì)值，為下一步進(jìn)行做好準(zhǔn)備步驟六根據(jù)公式0＜log2P(x)＜+∞計(jì)算出閥值；計(jì)算閥值的公式0＜log2P(x)＜+∞是通過(guò)以下方法計(jì)算的 步驟七將計(jì)算出來(lái)的閥值與預(yù)定義的閾值相對(duì)比；步驟八根據(jù)比對(duì)的結(jié)果來(lái)判斷是否存在異常，并執(zhí)行相應(yīng)的動(dòng)作。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)異常流量檢測(cè)及入侵檢測(cè)技術(shù)領(lǐng)域，具體涉及一種基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)方法。本發(fā)明的目的是提供一種基于時(shí)間段加權(quán)統(tǒng)計(jì)模型的網(wǎng)絡(luò)異常檢測(cè)方法，以克服現(xiàn)有技術(shù)存在的算法運(yùn)算復(fù)雜、不具時(shí)間特性、缺乏靈活性和誤報(bào)率高的缺陷。本發(fā)明的技術(shù)方案是根據(jù)異常檢測(cè)器觀察主體的活動(dòng)，然后產(chǎn)生描述這些活動(dòng)行為的屬性，每一個(gè)屬性保存記錄主體當(dāng)前某種行為，并定時(shí)地將當(dāng)前的屬性與存儲(chǔ)的屬性合并，通過(guò)比較當(dāng)前的屬性與已存儲(chǔ)的屬性以及時(shí)間段加權(quán)值來(lái)判斷異常行為。與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點(diǎn)是本發(fā)明算法簡(jiǎn)便、判斷準(zhǔn)確，在判斷模型中加入了時(shí)間段加權(quán)屬性，為異常的監(jiān)測(cè)增強(qiáng)了可靠性和靈活性。
文檔編號(hào)H04L12/24GK1750481SQ20051009609
公開(kāi)日2006年3月22日 申請(qǐng)日期2005年9月29日 優(yōu)先權(quán)日2005年9月29日
發(fā)明者白亮, 廖明濤, 向冬, 張永斌, 劉志強(qiáng), 何清, 張宇 申請(qǐng)人:西安交大捷普網(wǎng)絡(luò)科技有限公司