一种异常流量的识别方法及装置的制造方法
【专利说明】一种异常流量的识别方法及装置
[0001]
技术领域
[0002]本发明涉及一种异常流量的识别方法及装置。
[0003]
【背景技术】
[0004]网络对我们来说必不可少,但是任何事情都有不利的一面,在使用网络的时候同样会产生很多障碍,而最难避免的就是网络的异常流量,异常流量等同于黑客攻击,它针对某一特定端口发起如洪水般的非正常流量导致网络瘫痪,并且给我们带来巨大的损失,客户无法通讯,商务无法进行,进而保证网络流量的稳定性就起到了至关重要的作用。
[0005]针对相关技术中的问题,目前尚未提出有效的解决方案。
[0006]
【发明内容】
[0007]本发明的目的是提供一种异常流量的识别方法及装置,以克服目前现有技术存在的上述不足。
[0008]本发明的目的是通过以下技术方案来实现:
一种异常流量的识别方法,其特征在于,包括如下步骤:
通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据; 根据生成的网络流量数据定义出相应的流量特征;
根据不同的流量特征类型进行分类,并且将相同类型的流量特征定义为特征模块;利用贝叶斯分类器对相应的特征模块进行分析,并且确定出特征模块的属性向量,根据属性向量计算后验概率;
当后验概率和历史概率比出现了很大的偏离,则定位异常发生的网络用户。
[0009]进一步的,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。
[0010]进一步的,根据贝叶斯公式,后延概率可以表示为Ρ{Η0|χ}=Ρ (Η0)Ρ{χ|Η0}/Ρ(x),P{Hl|x}=P (Hl)P{x|Hl}/P (x),公式中后验概率:Ρ{Ηθ|χ}是给定观测值x条件下HO出现的概率。
[0011]—种异常流量的识别装置,包括抓包装置、流量定义装置、特征模块生成装置、特征点选取装置以及异常用户定位装置,其中:
抓包装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;
流量定义装置:用于根据生成的网络流量数据定义出相应的流量特征;
特征模块生成装置:用于根据不同的流量特征类型进行分类,并且将相同类型的流量特征定义为特征模块;
特征点选取装置:用于利用贝叶斯分类器对相应的特征模块进行分析,并且确定出特征模块的属性向量,根据属性向量计算后验概率进而选取特征点;
异常用户定位装置:用于后验概率和历史概率比出现了很大的偏离,则定位异常发生的网络用户。
[0012]进一步的,所述抓包装置抓取的信息包括源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。
[0013]
【附图说明】
[0014]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0015]图1是根据本发明实施例的异常流量的识别方法的流程图。
[0016]
【具体实施方式】
[0017]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0018]如图1所示,根据本发明的实施例所述的一种异常流量的识别方法,其特征在于,包括如下步骤:
通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据; 根据生成的网络流量数据定义出相应的流量特征;
根据不同的流量特征类型进行分类,并且将相同类型的流量特征定义为特征模块;利用贝叶斯分类器对相应的特征模块进行分析,并且确定出特征模块的属性向量,根据属性向量计算后验概率;
当后验概率和历史概率比出现了很大的偏离,则定位异常发生的网络用户。
[0019]进一步,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。
[0020]进一步的,根据贝叶斯公式,后延概率可以表示为Ρ{Η0|χ}=Ρ (Η0)Ρ{χ|Η0}/Ρ(x),P{Hl|x}=P (Hl)P{x|Hl}/P (x),公式中后验概率:Ρ{Ηθ|χ}是给定观测值x条件下HO出现的概率。
[0021]—种异常流量的识别装置,其特征在于,包括抓包装置、流量定义装置、特征模块生成装置、特征点选取装置以及异常用户定位装置,其中:
抓包装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据; 流量定义装置:用于根据生成的网络流量数据定义出相应的流量特征;
特征模块生成装置:用于根据不同的流量特征类型进行分类,并且将相同类型的流量特征定义为特征模块;
特征点选取装置:用于利用贝叶斯分类器对相应的特征模块进行分析,并且确定出特征模块的属性向量,根据属性向量计算后验概率进而选取特征点;
异常用户定位装置:用于后验概率和历史概率比出现了很大的偏离,则定位异常发生的网络用户。
[0022]进一步的,所述抓包装置抓取的信息包括源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。
[0023]综上所述,借助于本发明的上述技术方案,通过流量特征提取、流量行为分析,等等步骤,本发明的异常流量识别方法基于行为分析技术进行识别,具有良好的实时性,能够应用于多种场合,同时,通过信息积累,能进一步发现更多的异常流量。
[0024]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种异常流量的识别方法,其特征在于,包括如下步骤: 通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据; 根据生成的网络流量数据定义出相应的流量特征; 根据不同的流量特征类型进行分类,并且将相同类型的流量特征定义为特征模块; 利用贝叶斯分类器对相应的特征模块进行分析,并且确定出特征模块的属性向量,根据属性向量计算后验概率; 当后验概率和历史概率比出现了很大的偏离,则定位异常发生的网络用户。2.根据权利要求1所述的异常流量的识别方法,其特征在于,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。3.根据权利要求1所述的流量识别方法,其特征在于,根据贝叶斯公式,后延概率可以表示为 P{HO|x}=P (HO)P{x|HO}/P (x), P {HI | x} =P (HI )P {x | HI}/P (x),公式中后验概率:P {HO I x}是给定观测值x条件下HO出现的概率。4.一种异常流量的识别装置,其特征在于,包括抓包装置、流量定义装置、特征模块生成装置、特征点选取装置以及异常用户定位装置,其中: 抓包装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据; 流量定义装置:用于根据生成的网络流量数据定义出相应的流量特征; 特征模块生成装置:用于根据不同的流量特征类型进行分类,并且将相同类型的流量特征定义为特征模块; 特征点选取装置:用于利用贝叶斯分类器对相应的特征模块进行分析,并且确定出特征模块的属性向量,根据属性向量计算后验概率进而选取特征点; 异常用户定位装置:用于后验概率和历史概率比出现了很大的偏离,则定位异常发生的网络用户。5.根据权利要求4所述的异常流量的识别装置,其特征在于,所述抓包装置抓取的信息包括源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。
【专利摘要】本发明公开了一种异常流量的识别方法,包括如下步骤:通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;根据生成的网络流量数据定义出相应的流量特征;根据不同的流量特征类型进行分类,并且将相同类型的流量特征定义为特征模块;利用贝叶斯分类器对相应的特征模块进行分析,并且确定特征模块的属性向量,根据属性向量计算后验概率进而选取特征点;如果出现了异常定位异常发生的网络用户。本发明的有益效果为:通过流量特征提取、流量行为分析,等等步骤,本发明的异常流量识别方法基于行为分析技术进行识别,具有良好的实时性,能够应用于多种场合,同时,通过信息积累,能进一步发现更多的异常流量。
【IPC分类】H04L29/06
【公开号】CN105376248
【申请号】CN201510856705
【发明人】沈能辉
【申请人】睿峰网云(北京)科技股份有限公司
【公开日】2016年3月2日
【申请日】2015年11月30日