专利名称:基于时间段加权统计模型的网络异常检测方法
技术领域:
本发明涉及网络异常流量检测及入侵检测技术领域,具体涉及一种基于时间段加权统计模型的网络异常检测方法。
背景技术:
伴随着网络的正常应用流量,网络上各种异常流量也随之而来,影响到网络的正常运行,威胁着用户主机的安全和使用。网络异常往往由网络攻击、蠕虫病毒、网络滥用等原因引起的,例如各种网络扫描、DDoS攻击、网络蠕虫病毒、恶意下载、对网络资源的不当使用等都会造成网络性能下降,严重时会影响正常的网络使用,造成网络拥塞,甚至造成网络中断、网络设备的失效。因此,对网络流量进行实时监测和管理,发现网络中存在的已知类型和未知类型的网络异常,已经成为网络安全管理中需要解决的首要问题,其对提高网络的可靠性和可用性有着重要的意义。
传统的网络异常流量检测是通过长时间的网络运行流量信息的分析、学习,建立网络正常使用模式的性能参数基准范围,当网络运行状态与正常基线有明显偏差时,则判定网络中存在异常发生。该方法可以发现基本的网络异常,但是,它存在算法运算复杂、不具时间特性、缺乏灵活性和误报率高等缺陷。
发明内容
本发明的目的是提供一种基于时间段加权统计模型的网络异常检测方法,以克服现有技术存在的算法运算复杂、不具时间特性、缺乏灵活性和误报率高的缺陷。
本发明的技术方案是根据异常检测器观察主体的活动,然后产生描述这些活动行为的属性,每一个属性保存记录主体当前某种行为,并定时地将当前的属性与存储的属性合并,通过比较当前的属性与已存储的属性以及时间段加权值来判断异常行为。
本发明的目的是通过以下几个步骤来实现的步骤一建立时间段加权统计系数表;步骤二抓取网络上的数据包抓取网络上的数据包是指以旁路侦听方式捕获网络上的数据包;步骤三对于抓来的数据包进行属性分解;所描述的数据包的属性分解是指将抓取到的网络数据包按照属性项进行分解归类。亦即通过抓取网络数据包的形式,产生每个TCP/IP连接的属性记录,这些记录的格式如下所示R(T,Src.IP,Src.Port,Dst.IP,Dst.Port,FLAG)其中,T代表连接开始的时间;Src.IP代表源IP;Src.Port代表源端口;Dst.IP代表目的IP;Dst.Port代表目的端口;FLAG表示TCP/IP连接的状态。通过以上的属性项,系统将会为每一个TCP/IP连接记录一个属性记录集R。
步骤四加载概率矩阵;该概率矩阵是指由所有TCP/IP连接的属性记录集R所组成的变长度的概率矩阵步骤五遍历概率矩阵;遍历概率矩阵是指将概率矩阵进行统计性遍历。在遍历的过程中,将具有相同的属性的TCP/IP连接进行归并,并由此得到概率矩阵的统计值,为下一步进行做好准备步骤六根据公式0<log2P(x)<+∞计算出阀值;计算阀值的公式0<log2P(x)<+∞是通过以下方法计算的
步骤七将计算出来的阀值与预定义的阈值相对比;步骤八根据比对的结果来判断是否存在异常,并执行相应的动作。
与现有技术相比,本发明的优点是本发明算法简便、判断准确,在判断模型中加入了时间段加权属性,为异常的监测增强了可靠性和灵活性。可用于入侵检测、IDS等设备中,对网络流量进行实时监测,准确、快速的发现和定位网络中存在的已知类型和未知类型的网络异常。
附图为本发明基于贝叶斯统计模型的网络异常检测方法流程图。
具体实施例方式下面将通过在IDS设备中实施本发明进行详细描述。实施时,需要在IDS设备中设置基于时间段加权统计模型的网络异常检测模块,该模块完成基于时间段加权统计模型的网络异常检测、控制功能。
本发明的步骤是(一)在系统中建立时间段加权统计系数表该表是覆盖每一个时间段的,根据每个时间段的不同网络访问特点由管理人员人工设定。格式如下
(二)以旁路侦听方式捕获网络上的数据包
(三)对数据包以固定的格式进行属性的分解(四)加载概率矩阵将每一条TCP/IP连接的属性记录集R汇集在一起组成变长度的概率矩阵
(五)遍历概率矩阵在遍历的过程中,将具有相同的属性的TCP/IP连接进行归并(例如L3和L1两个连接的属性值完全相同,则将L3和L1归并,并记连接次数为2),并由此得到概率矩阵的统计参数值,这些值至少包括总连接数、每个连接的汇总数。
(六)系统通过给定的公式计算出阀值(七)将阀值与系统预设的阈值相对比;(八)根据结果来判断是否存在异常,并执行相应的动作。
最后所应说明的是以上实施方式仅用以说明而非限制本发明的技术方案,尽管参照上述实施方式对本发明进行了详细的说明,本领域的普通技术人员应当理解依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改与局部替换,其均应涵盖在本发明的权利要求范围内。
权利要求
1.基于时间段加权统计模型的网络异常检测方法,其特征在于根据异常检测器观察主体的活动,然后产生描述这些活动行为的属性,每一个属性保存记录主体当前某种行为,并定时地将当前的属性与存储的属性合并,通过比较当前的属性与已存储的属性以及时间段加权值来判断异常行为。
2.如权利要求1所述,基于时间段加权统计模型的网络异常检测方法,其特征在于是通过以下几个步骤来实现的步骤一建立时间段加权统计系数表;步骤二抓取网络上的数据包抓取网络上的数据包是指以旁路侦听方式捕获网络上的数据包;步骤三对于抓来的数据包进行属性分解;所描述的数据包的属性分解是指将抓取到的网络数据包按照属性项进行分解归类,亦即通过抓取网络数据包的形式,产生每个TCP/IP连接的属性记录,这些记录的格式如下所示R(T,Src.IP,Src.Port,Dst.IP,Dst.Port,FLAG)其中,T代表连接开始的时间;Src.IP代表源IP;Src.Port代表源端口;Dst.IP代表目的IP;Dst.Port代表目的端口;FLAG表示TCP/IP连接的状态,通过以上的属性项,系统将会为每一个TCP/IP连接记录一个属性记录集R;步骤四加载概率矩阵;该概率矩阵是指由所有TCP/IP连接的属性记录集R所组成的变长度的概率矩阵步骤五遍历概率矩阵;遍历概率矩阵是指将概率矩阵进行统计性遍历。在遍历的过程中,将具有相同的属性的TCP/IP连接进行归并,并由此得到概率矩阵的统计值,为下一步进行做好准备步骤六根据公式0<log2P(x)<+∞计算出阀值;计算阀值的公式0<log2P(x)<+∞是通过以下方法计算的 步骤七将计算出来的阀值与预定义的阈值相对比;步骤八根据比对的结果来判断是否存在异常,并执行相应的动作。
全文摘要
本发明涉及网络异常流量检测及入侵检测技术领域,具体涉及一种基于时间段加权统计模型的网络异常检测方法。本发明的目的是提供一种基于时间段加权统计模型的网络异常检测方法,以克服现有技术存在的算法运算复杂、不具时间特性、缺乏灵活性和误报率高的缺陷。本发明的技术方案是根据异常检测器观察主体的活动,然后产生描述这些活动行为的属性,每一个属性保存记录主体当前某种行为,并定时地将当前的属性与存储的属性合并,通过比较当前的属性与已存储的属性以及时间段加权值来判断异常行为。与现有技术相比,本发明的优点是本发明算法简便、判断准确,在判断模型中加入了时间段加权属性,为异常的监测增强了可靠性和灵活性。
文档编号H04L12/24GK1750481SQ20051009609
公开日2006年3月22日 申请日期2005年9月29日 优先权日2005年9月29日
发明者白亮, 廖明涛, 向冬, 张永斌, 刘志强, 何清, 张宇 申请人:西安交大捷普网络科技有限公司