本发明公开了一种基于进程的网络数据流量分析方法,具体为网络安全技术领域。
背景技术
随着网络技术的不断发展,网络安全显得越来越重要。为了发现网络中存在的问题,需要对网络数据进行分析,在现有的网络分析软件中都是针对网络数据包,数据包的地址、会话、协议等来进行分析,但是这种分析方式不能知道这些数据包的来源,是由什么软件产生的,不能直接定位到该产生软件本身,同时,现有的关于进程的分析软件,也仅仅只是对进程的通信流量进行统计,没有再进一步的对通信数据进行分析,这样简单的分析只能看出某个进程通信数据的多少,而针对发现网络问题并进一步的分析,并没有多大的意义。为此,我们提出了一种基于进程的网络数据流量分析方法投入使用,以解决上述问题。
技术实现要素:
本发明的目的在于提供一种基于进程的网络数据流量分析方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于进程的网络数据流量分析方法,该分析方法的具体步骤如下:
s1:根据netfpga平台流量采集器对前端数据报文进行抽样提取,实现对统计流量的约减;
s2:获取抽样数据报文中的进程名及进程id信息,同时还有该进程发送数据包的源端口信息,随后对该进行信息内容标定到系统时间内,为后续的进程信息管理提供时间参考;
s3:通过修改windump代码,首先获取数据报文头信息,随后存储到系统的报文头缓冲区,等待合成进程流量信息;
s4:将获取到的进程口和源端口信息保存到哈希表中,当进程结束时,该哈希表也随之清空并释放资源;
s5:利用获取的报文头信息,在哈希表中,以进程源端口为索引,获取源端口和进程标识的对应关系,从而生成进程流量信息的进程标识、时间戳、协议、源端口、目的地以及目的端口信息;
s6:采用fifo加临界区的方式控制进程系统信息和进程流量信息的访问,提取用于检测用户异常流量行为的特征值,产生各个特征的时间序列,利用特征时间序列构建用户流量行为模型。
优选的,所述步骤s1中,netfpga平台流量采集器的核心部分由2片fpga芯片组成,其中一片为性能较高的virtex-iipro50,用于数据处理,另一片为性能较低的spartan型fpga芯片,用于连接平台外部cpu的pci接口的控制逻辑。
优选的,所述步骤s1中,抽样提取分为周期抽样和随机抽样,其中周期抽样以固定的间隔抽取数据报文,在选择抽取的第一个数据报文后,每隔n个数据报文抽取下一个数据报文;随机抽样以相同的抽样概率随机抽取n个数据报文。
优选的,所述步骤s2中,采用一个32-bit的计时器作为统计的时间标签,时间计数的精度为ms,以满足实际网络环境对测量时间的要求。
优选的,所述步骤s3中,系统的存储资源包括36mbsram、64mbddr2sdram,其外部接口包括1个连接pc主机的pci总线接口、4个千兆位以太网接口物理层收发器和2个sata接口。
优选的,所述pci总线接口采用高宽带的pci总线协议,利用高性能的dma控制器实现平台间高速流统计信息的传输,实现服务器主机上数据流量统计应用软件与netfpga平台流量采集器硬件通信。
优选的,所述步骤s6中,构建用户流量行为模型的流程如下:
s61:对时间序列进行零均值平稳化处理,若时间序列为非平稳序列,具有向上或详细的趋势,建模之前需要进行序列平稳化处理,即零均值化、平稳化处理,选择残差序列最小平方和对应的模型为最终模型;
s62:在对用户流量行为序列{xi},i=1,2,…,n建立用户流量行为模型后,需要在t时刻用xt,xt-1,xt-2,…对xt+1进行预测,预测过程中将时刻t作为原点,向前进行预测步长为l的预测,预测值记为
s63:对每一个特征时间序列建立合适的用户流量行为模型,并通过特征集中特征个数k个特征时间序列的预测,得出k个预测值,预测值与真实值之间的偏差计算公式为
与现有技术相比,本发明的有益效果是:本发明通过对网络数据进行抽样后,提取报文头数据进程流量信息,并存储在哈希表中,利用特征值的各个时间序列建立用户流量行为模型,通过特征值与真实值之间的偏差计算得出该用户行为的数据,能够对用户的网络行为进行预测,从而对网络数据流量进行分析。
附图说明
图1为本发明工作流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明发明提供一种技术方案:一种基于进程的网络数据流量分析方法,该分析方法的具体步骤如下:
s1:根据netfpga平台流量采集器对前端数据报文进行抽样提取,实现对统计流量的约减,netfpga平台流量采集器的核心部分由2片fpga芯片组成,其中一片为性能较高的virtex-iipro50,用于数据处理,另一片为性能较低的spartan型fpga芯片,用于连接平台外部cpu的pci接口的控制逻辑,抽样提取分为周期抽样和随机抽样,其中周期抽样以固定的间隔抽取数据报文,在选择抽取的第一个数据报文后,每隔n个数据报文抽取下一个数据报文;随机抽样以相同的抽样概率随机抽取n个数据报文;
s2:获取抽样数据报文中的进程名及进程id信息,同时还有该进程发送数据包的源端口信息,随后对该进行信息内容标定到系统时间内,为后续的进程信息管理提供时间参考,采用一个32-bit的计时器作为统计的时间标签,时间计数的精度为ms,以满足实际网络环境对测量时间的要求;
s3:通过修改windump代码,首先获取数据报文头信息,随后存储到系统的报文头缓冲区,等待合成进程流量信息,系统的存储资源包括36mbsram、64mbddr2sdram,其外部接口包括1个连接pc主机的pci总线接口、4个千兆位以太网接口物理层收发器和2个sata接口,所述pci总线接口采用高宽带的pci总线协议,利用高性能的dma控制器实现平台间高速流统计信息的传输,实现服务器主机上数据流量统计应用软件与netfpga平台流量采集器硬件通信;
s4:将获取到的进程口和源端口信息保存到哈希表中,当进程结束时,该哈希表也随之清空并释放资源;
s5:利用获取的报文头信息,在哈希表中,以进程源端口为索引,获取源端口和进程标识的对应关系,从而生成进程流量信息的进程标识、时间戳、协议、源端口、目的地以及目的端口信息;
s6:采用fifo加临界区的方式控制进程系统信息和进程流量信息的访问,提取用于检测用户异常流量行为的特征值,产生各个特征的时间序列,利用特征时间序列构建用户流量行为模型,构建用户流量行为模型的流程如下:
s61:对时间序列进行零均值平稳化处理,若时间序列为非平稳序列,具有向上或详细的趋势,建模之前需要进行序列平稳化处理,即零均值化、平稳化处理,选择残差序列最小平方和对应的模型为最终模型;
s62:在对用户流量行为序列{xi},i=1,2,…,n建立用户流量行为模型后,需要在t时刻用xt,xt-1,xt-2,…对xt+1进行预测,预测过程中将时刻t作为原点,向前进行预测步长为l的预测,预测值记为
s63:对每一个特征时间序列建立合适的用户流量行为模型,并通过特征集中特征个数k个特征时间序列的预测,得出k个预测值,预测值与真实值之间的偏差计算公式为
本发明通过对网络数据进行抽样后,提取报文头数据进程流量信息,并存储在哈希表中,利用特征值的各个时间序列建立用户流量行为模型,通过特征值与真实值之间的偏差计算得出该用户行为的数据,能够对用户的网络行为进行预测,从而对网络数据流量进行分析。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。