专利名称:基于数据流行为分析的网络访问异常检测装置及方法
技术领域:
本发明涉及网络技术领域,特别涉及网络访问异常检测装置及方法领域,具体是 指一种基于数据流行为分析的网络访问异常检测装置及方法。
背景技术:
目前,现有的网络流流量分析技术分为以下几类1、通过对网络流量的总计,并设置阀值来判断网络流量是否有异常。例如,通过网 络设备上的SNMP接口,定期获取相关网口的数据流量,例如,单播包总包数,单播包总字节 数等等,并通过预设的阀值进行比较,判断是否异常。2、通过对单个或数个连续的数据包进行分析,判断数据包是否属于异常流量。例 如,通过对数据包的协议、端口以及大小来进行判断。例如,SQL Slammer蠕虫是通过UDP 1434端口发送大小为376字节的数据包进行扫描来加以判断。3、基于对历史流量的分析,统计网络流量的行为并进行预测,将一种数据流量分 析的方法应用到各类网络设备中,该方法分析一段时期内历史数据流量,通过计算机算法 挖掘出流量的变化规律,同时对下一周期内流量的情况进行预测,一旦实际测量值与预测 值产生较大的差异,则认为产生了异常的访问流量。上述各种现有方法的缺点在于方法1只能对总流量的大小进行简单识别,无法 区分这些流量中那部分是正常流量,哪部分是异常流量。方法2虽然可以识别出具体的异 常流量数据包,但是由于是通过预设的数据包特征模式,无法识别出新的变异后的异常流 量。方法3考虑到了流量的历史访问规律,能检测出严重违背历史经验的流量访问突变,因 此并不需要知道所有可能导致流量异常的数据包的特征模式。但是,目前大部分属于方法 3的数据流行为检测技术,仅仅考虑了对数据流行为的统计,并未考虑一旦检测到有异常数 据流之后,如何进一步的阻止相关的异常流量。同时,由于属于方法3的这些技术是针对于 历史数据流的变化规律进行统计,但未考虑到攻击方可能会采用一个缓慢的不断增加异常 流量的过程,即在这样的情况中,缓慢增加的攻击流量,会导致算法不断的修正对历史流量 规律的统计,从而不断增加系统预测流量的大小,从而当异常流量达到显著数量的情况下, 系统仍然无法进行检测。所以,现有的方法都存在不同的缺陷,难以应用在大规模数据流量 的网络访问异常检测之中。
发明内容
本发明的目的是克服了上述现有技术中的缺点,提供一种能在大规模数据流量分 析的应用环境中快速高效地总结流量行为,识别异常流量,并有效避免无法检测出缓慢异 常流量增加的情况,从而提高检测准确性,且应用方式较为简单,应用成本低廉,且适用范 围广泛的基于数据流行为分析的网络访问异常检测装置及方法。为了实现上述的目的,本发明的基于数据流行为分析的网络访问异常检测装置具 有如下构成
该装置包括流量信息收集模块、异常行为检测模块和异常流量处理模块,所述的 流量信息收集模块的输入端连接该检测装置外部的路由设备,所述的流量信息收集模块的 输出端分别连接所述的异常行为检测模块和异常流量处理模块的输入端,所述的异常行为 检测模块的输出端连接所述的异常流量处理模块的输入端,所述的异常流量处理模块的输 出端连接该检测装置外部的路由设备。本发明所提供的利用所述的装置实现基于数据流行为分析的网络访问异常检测 方法,其包括以下步骤(1)所述的流量信息收集模块从外部路由设备获得原始流量数据;(2)所述的流量信息收集模块对原始流量数据进行过滤,将明显异常的流量数据 发送至所述的异常流量处理模块,并将经过滤的流量数据发送至所述的异常行为检测模 块;(3)所述的异常行为检测模块根据一确定的检测标准对所述的经过滤的流量数据 进行检测,并将检测出的异常流量数据发送至所述的异常流量处理模块;(4)所述的异常行为检测模块根据检测结果自动更新所述的检测标准;(5)所述的异常流量处理模块根据所获得的异常流量的流量信息向外部路由设备 发送流量阻断指令。该基于数据流行为分析的网络访问异常检测方法中,所述的原始流量数据为 netflow v5格式数据或sFlow格式数据。该基于数据流行为分析的网络访问异常检测方法中,所述的步骤( 具体包括以 下步骤(21)所述的流量信息收集模块对原始流量数据进行解析,获得流量数据信息;(22)所述的流量信息收集模块将明显异常的原始流量数据的流量数据信息存入 一异常流量数据库;(23)所述的流量信息收集模块将其余的流量数据存入一待检测流量数据库。该基于数据流行为分析的网络访问异常检测方法中,所述的流量数据信息包括源 IP地址、源端口、目的IP地址、目的端口、协议类型、端口号、字节数、数据包数及数据流产 生时间。该基于数据流行为分析的网络访问异常检测方法中,所述的步骤C3)具体包括以 下步骤(31)所述的异常行为检测模块读取所述的待检测流量数据库中的流量数据;(32)所述的异常行为检测模块基于前一周期内一确定时间段的数据流量值生成 本周期内对应时间段的流量数据的预测值;(33)所述的异常行为检测模块将本周期该时间段的预测值与本周期内该时间段 的流量数据实际值比较,判断两者差距是否大于预设的阈值,若大于,则确定该流量数据为 异常流量数据,并进入步骤(34),若不大于,则进入步骤;(34)所述的异常行为检测模块将该异常流量数据的信息存入所述的异常流量数 据库,并进入步骤(5)。该基于数据流行为分析的网络访问异常检测方法中,所述的步骤(3 具体是指设第m个周期的第i个时间段内的实际数据流量值为T(i,m),则根据以下公式得到
6在第m+1个周期内对应的第i个时间段内的预测数据流量值P(i,m+1)P(i,m+1) = a(i,m)+b(i,m),其中a(i,m)=2S' (i,m)-S〃(i,m),
权利要求
1.一种基于数据流行为分析的网络访问异常检测装置,其特征在于,所述的装置包括 流量信息收集模块、异常行为检测模块和异常流量处理模块,所述的流量信息收集模块的 输入端连接该检测装置外部的路由设备,所述的流量信息收集模块的输出端分别连接所述 的异常行为检测模块和异常流量处理模块的输入端,所述的异常行为检测模块的输出端连 接所述的异常流量处理模块的输入端,所述的异常流量处理模块的输出端连接该检测装置 外部的路由设备。
2.一种利用权利要求1所述的装置实现基于数据流行为分析的网络访问异常检测方 法,其特征在于,所述的方法包括以下步骤(1)所述的流量信息收集模块从外部路由设备获得原始流量数据;(2)所述的流量信息收集模块对原始流量数据进行过滤,将明显异常的流量数据发送 至所述的异常流量处理模块,并将经过滤的流量数据发送至所述的异常行为检测模块;(3)所述的异常行为检测模块根据一确定的检测标准对所述的经过滤的流量数据进行 检测,并将检测出的异常流量数据发送至所述的异常流量处理模块;(4)所述的异常行为检测模块根据检测结果自动更新所述的检测标准;(5)所述的异常流量处理模块根据所获得的异常流量的流量信息向外部路由设备发送 流量阻断指令。
3.根据权利要求2所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,所述的原始流量数据为netflow v5格式数据或sFlow格式数据。
4.根据权利要求2所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,所述的步骤( 具体包括以下步骤(21)所述的流量信息收集模块对原始流量数据进行解析,获得流量数据信息;(22)所述的流量信息收集模块将明显异常的原始流量数据的流量数据信息存入一异 常流量数据库;(23)所述的流量信息收集模块将其余的流量数据存入一待检测流量数据库。
5.根据权利要求4所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,所述的流量数据信息包括源IP地址、源端口、目的IP地址、目的端口、协议类型、端口 号、字节数、数据包数及数据流产生时间。
6.根据权利要求4所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,所述的步骤C3)具体包括以下步骤(31)所述的异常行为检测模块读取所述的待检测流量数据库中的流量数据;(32)所述的异常行为检测模块基于前一周期内一确定时间段的数据流量值生成本周 期内对应时间段的流量数据的预测值;(33)所述的异常行为检测模块将本周期该时间段的预测值与本周期内该时间段的流 量数据实际值比较,判断两者差距是否大于预设的阈值,若大于,则确定该流量数据为异常 流量数据,并进入步骤(34),若不大于,则进入步骤;(34)所述的异常行为检测模块将该异常流量数据的信息存入所述的异常流量数据库, 并进入步骤(5)。
7.根据权利要求6所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,所述的步骤(32)具体是指设第m个周期的第i个时间段内的实际数据流量值为T(i,m),则根据以下公式得到在第 m+1个周期内对应的第i个时间段内的预测数据流量值P(i,m+1)P(i,m+1) = a(i,m)+b(i,m),其中a(i,111)=2S'一 " (i,m) ° (i,m),UO.( 》—U,0UJη) ~1[—OiS'(i,,m)与S“(i,m)分别为在第m个周期中第S'(i,,m)=α-T(i,m) + (1- a )S' (“―D,S"(i,,m)=α-S, (i,m)+(l_a ) S" (i,m—D,α为预设的预测敏感系数。
8.根据权利要求7所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,在第1个周期中第i个时间段的预测参数S' (i,0)与S" (W)分别为S' (U) = S" (i, 0) = T(ijl)。
9.根据权利要求7所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,步骤(3 具体包括以下步骤(33-1)所述的异常行为检测模块判断|T(i,m)-P(i,m)|是否大于预设的阈值;(33-2)若大于,则确定第m个周期的第i个时间段的流量数据为异常流量数据,并进入 步骤(34);(33-3)若不大于,则进入步骤G)。
10.根据权利要求9所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,步骤(34)具体包括以下步骤(34-1)所述的异常行为检测模块依确定的选取规则采集所述的第m个周期的第i个时 间段的流量数据的流量数据信息;(34-2)所述的异常行为检测模块并将所采集的流量数据信息存入所述的异常流量数 据库,并进入步骤(5)。
11.根据权利要求10所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,所述的选取规则具体为以下之一(1)采集该时间段内流量数据字节或数据包较大的数据流的流量数据信息;(2)采集非关键端口产生的数据流的流量数据信息;(3)综合采集非关键端口产生的数据字节或数据包较大的数据流的流量数据信息。
12.根据权利要求7所述的基于数据流行为分析的网络访问异常检测方法,其特征在 于,所述的步骤(4)具体是指所述的异常行为检测模块将第m+1个周期的第i个时间段的流量数据预测值P(i,m+1)设 置为P(i, m+1) — T(i,m) 0
13.根据权利要求4至12中任一项所述的基于数据流行为分析的网络访问异常检测方 法,其特征在于,所述的步骤( 具体包括以下步骤(51)所述的异常流量处理模块读取所述的异常流量数据库中的流量数据信息;(52)所述的异常流量处理模块统计所述的流量数据信息中的外部IP地址、协议类型 及端口号;(53)所述的异常流量处理模块向外部路由设备发送针对所述的外部IP地址的流量阻 断指令。
全文摘要
本发明涉及一种基于数据流行为分析的网络访问异常检测装置,其包括流量信息收集模块、异常行为检测模块和异常流量处理模块,流量信息收集模块的分别连接异常行为检测模块和异常流量处理模块,异常行为检测模块连接异常流量处理模块。本发明还涉及一种利用该装置的方法,该方法先过滤掉明显异常的流量数据,再利用一网络行为模型对经过滤的流量数据进行检测,并自动更新网络行为模型;最后根据检测结果阻断流量。利用本发明的装置和方法能建立正常网络行为模型,将该模型跟实时数据进行比较,以检测实时流量是否异常;并动态修正网络行为模型,分析异常流量来源,对异常流量进行阻断,从而快速有效地识别异常流量,提高检测的准确性。
文档编号H04L12/26GK102130800SQ20111008301
公开日2011年7月20日 申请日期2011年4月1日 优先权日2011年4月1日
发明者逯利军, 钱培专 申请人:苏州赛特斯网络科技有限公司