1.一种网络异常行为和流量监测的精确定位方法,其特征在于包括:网络节点的分类步骤、基于滑动窗口的网络正常行为自学习步骤、信息熵步骤、基于时序的关联分析步骤、基于报文内容的匹配步骤。
2.根据权利要求1所述的一种网络异常行为和流量监测的精确定位方法,其特征在于还包括以下步骤:
步骤A、基于进出流量大小判定网络节点类型;
步骤B、基于节点网络行为信息熵与流量情况精确定位网络异常行为类型;
步骤C、基于时序与报文内容分析回溯攻击路径。
3.根据权利要求2所述的一种网络异常行为和流量监测的精确定位方法,其特征在于所述步骤B包括:
步骤B1、自学习历史信息熵与正常网络流量;
步骤B2、实时计算信息熵与统计节点流量信息;
步骤B3、比较信息熵与流量情况精确定位网络异常行为类型。
4.根据权利要求2所述的一种网络异常行为和流量监测的精确定位方法,其特征在于所述步骤C包括:
步骤C1、基于时序的关联分析;
步骤C2、基于报文内容的匹配分析。
5.根据权利要求2所述的一种网络异常行为和流量监测的精确定位方法,其特征在于步骤B的基于节点网络行为信息熵与流量情况精确定位网络异常行为类型包括:滑动窗口监测时间点、抓包时间、源IP地址、目的IP地址、信息熵、发送的网络包个数、接收的网络包个数、载荷散列表。
6.根据权利要求2所述的一种网络异常行为和流量监测的精确定位方法,其特征在于步骤A的判定网络节点类型为判定网络节点是云节点、管节点或端节点中的哪种类型;
步骤B含有实时计算信息熵与统计节点流量信息,基于信息熵与流量精确定位异常行为类型。
7.根据权利要求2所述的一种网络异常行为和流量监测的精确定位方法,其特征在于步骤C含有攻击路径回溯模块基于时序进行关联分析,基于报文内容进行匹配分析,最后判定攻击的源头节点。
8.根据权利要求1或者2所述的一种网络异常行为和流量监测的精确定位方法,其特征在于还含有以下步骤;
步骤301:判定网络节点为云节点、管节点或端节点;
步骤302:自学习历史信息熵与正常网络流量;
步骤303:实时计算信息熵与统计节点流量信息;
步骤304:基于信息熵与流量精确定位网络异常行为;
步骤305:基于时序的关联分析攻击路径;
步骤306:基于报文内容的匹配分析攻击路径。
9.根据权利要求1所述的一种网络异常行为和流量监测的精确定位系统,其特征在于包括:
判定网络节点类型模块,
异常行为精确定位模块和攻击路径回溯模块。
10.根据权利要求9所述的一种网络异常行为和流量监测的精确定位系统,其特征在于:
判定网络节点类型模块,用于判定网络节点为云节点、管节点或端节点;
异常行为精确定位模块,包括自学习历史信息熵与正常网络流量、实时计算信息熵与统计节点流量信息、异常行为精确定位;
攻击路径回溯模块,包括基于时序的关联分析、基于报文内容的匹配分析。