一种网络异常行为和流量监测的精确定位方法与系统与流程

本发明涉及一种网络异常行为和流量监测的精确定位方法与系统，属于网络安全技术领域。

背景技术：

互联网极大地变革着人们的工作与生活方式，改变了人们的观念，大大促进了社会的发展，同时，作为虚拟世界的互联网与现实社会一样也存在损害别人利益的行为，比如蠕虫、木马、DDoS频繁发生，这些黑恶行为严重影响互联网上网络服务的可用性，消耗了网络带宽，甚至使部分网络服务瘫痪，同时由于物理安全问题，网络故障问题也时有发生，影响了用户的上网体验。

网络异常行为和流量监测的精确定位技术的发展有三个方向，一是流量统计和阈值检测技术；二是源与目的主机可信性验证技术；三是分布与特征技术。对于这三个方向的技术，它们的优点是技术比较成熟，能够比较有效地定位网络异常行为；缺陷是存在较大的误报率或漏报率，或者性能较低。

技术实现要素：

为了克服现有技术的不足,本发明提供一种网络异常行为和流量监测的精确定位方法与系统。

一种网络异常行为和流量监测的精确定位方法，包括：网络节点的分类步骤、基于滑动窗口的网络正常行为自学习步骤、信息熵步骤、基于时序的关联分析步骤、基于报文内容的匹配步骤。

一种网络异常行为和流量监测的精确定位方法，还含有以下步骤；

步骤A、基于进出流量大小判定网络节点类型；

步骤B、基于节点网络行为信息熵与流量情况精确定位网络异常行为类型；

步骤C、基于时序与报文内容分析回溯攻击路径。

一种网络异常行为和流量监测的精确定位系统，包括：

判定网络节点类型模块，

异常行为精确定位模块和攻击路径回溯模块。

本发明的优点是使得能够快速精确定位网络异常行为、回溯攻击路径，以保证网络应用的安全性与可用性，给网络用户一个安全、可用的网络应用环境。

附图说明

当结合附图考虑时，通过参照下面的详细描述，能够更完整更好地理解本发明以及容易得知其中许多伴随的优点，但此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定，如图其中：

图1是网络异常行为和流量监测的精确系统的组网示意图；

图2是本发明方法的系统结构示意图；

图3是本发明方法的主流程图；

图4是本发明方法判定网络节点类型的流程图；

图5是本发明方法精确定位网络异常行为的流程图；

图6是本发明方法回溯攻击路径的流程图；

下面结合附图和实施例对本发明进一步说明。

具体实施方式

显然，本领域技术人员基于本发明的宗旨所做的许多修改和变化属于本发明的保护范围。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当称元件、组件被“连接”到另一元件、组件时，它可以直接连接到其他元件或者组件，或者也可以存在中间元件或者组件。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。

为便于对本发明实施例的理解，下面将做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例1：如图1、图2、图3、图4、图5、图6所示，一种网络异常行为和流量监测的精确定位方法，包括以下步骤：

步骤A、基于进出流量大小判定网络节点类型；

步骤B、基于节点网络行为信息熵与流量情况精确定位网络异常行为类型；

步骤C、基于时序与报文内容分析回溯攻击路径。

所述步骤B包括：

步骤B1、自学习历史信息熵与正常网络流量；

步骤B2、实时计算信息熵与统计节点流量信息；

步骤B3、比较信息熵与流量情况精确定位网络异常行为类型。

所述通过基于信息熵与流量精确定位网络异常行为所需信息包括：滑动窗口监测时间点、抓包时间、源IP地址、目的IP地址、信息熵、发送的网络包个数、接收的网络包个数、载荷散列表。

优选地，所述步骤C包括：

步骤C1、基于时序的关联分析；

步骤C2、基于报文内容的匹配分析。

判定网络节点类型模块判定网络节点是云节点、管节点或端节点中的哪种类型；异常行为精确定位模块自学习历史信息熵与正常网络流量，实时计算信息熵与统计节点流量信息，基于信息熵与流量精确定位异常行为类型；攻击路径回溯模块基于时序进行关联分析，基于报文内容进行匹配分析，最后判定攻击的源头节点。

一种网络异常行为和流量监测的精确定位方法，包括以下步骤：

判定网络节点类型步骤，判定网络节点为云节点、管节点或端节点；

异常行为精确定位步骤，包括自学习历史信息熵与正常网络流量、实时计算信息熵与统计节点流量信息、异常行为精确定位；

攻击路径回溯步骤，包括基于时序的关联分析、基于报文内容的匹配分析。

一种网络异常行为和流量监测的精确定位系统，如图1所示。其中含有云平台，包括交换机、虚拟服务器、虚拟防火墙；用于判定网络节点类型、精确定位网络异常行为、回溯攻击路径；

互联网，包括路由器与交换机，可以传送和路由网络流量。

实施例2：参照图2，一种网络异常行为和流量监测的精确定位系统，包括判定网络节点类型模块，异常行为精确定位模块和攻击路径回溯模块。

判定网络节点类型模块，用于判定网络节点为云节点、管节点或端节点；

异常行为精确定位模块，包括自学习历史信息熵与正常网络流量、实时计算信息熵与统计节点流量信息、异常行为精确定位；

攻击路径回溯模块，包括基于时序的关联分析、基于报文内容的匹配分析。

实施例3：结合图3所示的流程图对本发明作进一步的详细说明。

一种网络异常行为和流量监测的精确定位方法，含有以下步骤；

步骤301：判定网络节点为云节点、管节点或端节点；

步骤302：自学习历史信息熵与正常网络流量；

步骤303：实时计算信息熵与统计节点流量信息；

步骤304：基于信息熵与流量精确定位网络异常行为；

步骤305：基于时序的关联分析攻击路径；

步骤306：基于报文内容的匹配分析攻击路径。

实施例4：结合图4所示的流程图对本发明作进一步的详细说明。

一种网络异常行为和流量监测的精确定位方法，含有以下步骤；

步骤401：以小时为周期，统计网络节点的进出流量；

步骤402：判断进流量是否等于出流量，若不是，转入步骤403；若是，判定为管节点；

步骤403：判断进流量是否大于出流量，若是，判定为端节点，否则判定为云节点。

实施例5：结合图5所示的流程图对本发明作进一步的详细说明。

一种网络异常行为和流量监测的精确定位方法，含有以下步骤；

步骤501：以周为滑动时间窗，自学习每小时节点信息熵；

步骤502：计算当前每小时节点的信息熵，信息熵的计算公式为H(x)＝-∑p(xi)log(2,p(xi))(i＝1,2,..n)，其中xi为网络流量行为值，P(xi)为概率函数；

步骤503：若是端节点且出流量是否大于入流量，若不是，转入步骤504；若是，判断信息熵值是否增倍，若是，则判定为蠕虫，否则判定为木马；

步骤504：判断云节点且入流量是否大于出流量，若不是，转入步骤505；若是，判断信息信息熵是否增倍，若是，则判定为DDoS，否则终止程序；

步骤505：判断管节点且总流量倍增或倍减，若不是，终止程序；若是，判断信息熵值是否增减，若是，转入步骤506，若不是，终止程序；

步骤506：定位为网络故障。

实施例6：结合图6所示的流程图对本发明作进一步的详细说明。

一种网络异常行为和流量监测的精确定位方法，含有以下步骤；

步骤601：计算网络异常行为节点发送数据的散列值，放入散列表；

步骤602：判断网络异常行为节点是否是端节点，若是，则时间段赋值为5秒，转入步骤605；否则，执行步骤603；

步骤603：判断网络异常行为节点是否是云节点，若是，则时间段赋值为1秒，转入步骤605；否则，执行步骤604；

步骤604：判断网络异常行为节点是否是管节点，若是，则时间段赋值为0.1秒，否则，结束程序；

步骤605：计算网络异常行为节点相应时间段内接收数据的散列值，放入散列表；

步骤606：判断进出数据散列值是否相等，若是，则转向关联网络异常行为节点，执行步骤601，否则，执行步骤607；

步骤607：判定为网络异常行为源节点。

如上所述，对本发明的实施例进行了详细地说明，但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形，这对本领域的技术人员来说是显而易见的。因此，这样的变形例也全部包含在本发明的保护范围之内。