基于网络流量的入侵监控方法及系统与流程

本发明涉及网络安全，具体地说是一种基于网络流量的入侵监控方法及系统。

背景技术：

1、随着互联网的快速发展，大量的网络流量涌入网络，给网络安全带来了诸多挑战。为了保护网络安全，监控和分析网络流量变得至关重要。

2、目前已有一些对网络流量进行监控分析技术方案，但它们存在一些限制和不足之处。以下是其中几种常见的技术方案：

3、1. 传统网络监控系统：传统的网络监控系统主要针对ipv4网络设计，无法完全适应ipv6网络的需求。这些系统通常基于snmp（simple network management protocol）和netflow等协议来采集网络流量数据，并使用规则引擎来检测和报警。然而，在ipv6网络中，snmp的功能受限，netflow协议需要升级到ipv6版本才能支持ipv6流量的采集和分析。

4、2. suricata和elk栈：suricata是一个开源入侵检测和防火墙系统，支持ipv6网络。elk栈（elasticsearch、logstash和kibana）是一个流行的开源日志分析平台。结合suricata和elk栈，可以实现对ipv6网络的流量采集、分析和可视化展示。然而，该方案对于高吞吐、海量数据分析尚显不足。

技术实现思路

1、为此，本发明所要解决的技术问题在于提供一种基于网络流量的入侵监控方法及系统，基于流量采集、处理和恶意进攻行为识别的强大技术体系，能够更好地满足网络监控的需求，并具备一定的灵活性和扩展性。

2、为解决上述技术问题，本发明提供如下技术方案：

3、基于网络流量的入侵监控方法，包括如下步骤：

4、s1）数据采集单元采集经过网络数据转发设备的网络流量并将采集的网络流量发送至网络监测单元进行监测分析；

5、s2）网络监测单元中内置有suricata引擎的第一监测分析模块和内置有决策树模型的第二监测分析模块分别对步骤s1）中数据采集单元所采集到的网络流量进行分析并将分析结果发送logstash单元进行处理；

6、s3）logstash单元对步骤s2）中得到分析结果和步骤s1）所采集的网络流量进行数据整合和数据统一处理得到处理后数据并将处理后数据在可视化单元展示。

7、上述方法，在步骤s3）中，logstash单元将处理后数据发送至决策树训练单元对决策树模型进行训练，决策树训练单元将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新。

8、上述方法，决策树训练单元每次训练决策树模型时所使用的决策树基础模型版本不低于决策树训练单元每次训练决策树模型时第二监测分析模块中内置的决策树模型的版本。

9、上述方法，决策树训练单元在对决策树模型进行训练前，先依据数据的信息增益将处理后数据分为训练组数据和验证组数据，然后用训练组数据和验证组数据对决策树模型进行训练。

10、上述方法，决策树训练单元利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理，并将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。

11、上述方法，网络监测单元通过数据收集单元和数据转发单元与logstash单元通信连接。

12、一种利用上述基于网络流量的入侵监控方法进行入侵监控的系统，包括：

13、数据采集单元，用于采集经过网络数据转发设备的网络流量；

14、网络监测单元，用于对网络流量进行监测分析；网络监测单元包括内置有suricata引擎的第一监测分析模块和内置有决策树模型的第二监测分析模块，第一监测分析模块和第二监测分析模块分别对数据单元采集到的网络流量进行监测分析；

15、logstash单元，用于对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理；数据统一处理包括数据过滤和转换；

16、存储单元，用于存储数据采集单元采集的网络流量、网络监测单元对网络流量进行监测分析得到的分析结果和logstash单元对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理的处理后数据；

17、可视化单元，用于对logstash单元对数据采集单元采集到的网络流量与网络监测单元对网络流量进行监测分析得到的分析结果进行数据整合和数据统一处理的处理后数据进行展示；

18、数据采集单元与网络监测单元通信连接，网络监测单元与logstash单元通信连接，logstash单元与可视化单元通信连接，数据采集单元、网络监测单元、logstash单元和可视化单元分别与存储单元通信连接。

19、上述系统，还包括数据转发单元和用于对网络检测单元分析结果进行收集的数据收集单元，网络监测单元依次通过数据收集单元和数据转发单元与logstash单元通信连接。

20、上述系统，还包括用于对决策树模型进行训练的决策树训练单元，决策树训练单元利用logstash单元处理后得到的处理后数据对决策树模型进行训练，并将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新。

21、上述系统，决策树训练单元内置有决策树筛选模块，决策树筛选模块利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理，然后再由决策树训练单元将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。

22、本发明的技术方案取得了如下有益的技术效果：

23、1.本发明采用了新型的网络入侵检测技术和算法，因此可以提供更准确、全面的网络入侵检测能力。这意味着它可以更好地识别已知攻击、应对未知攻击和零日漏洞等，从而提高网络的安全性。

24、2.本发明改进了大数据分析技术，以适应网络的复杂特征。这使得系统能够更快速、准确地分析海量的网络数据，识别潜在的网络威胁和异常行为。这种敏捷的大数据分析能力使得系统能够更及时地响应和应对各种威胁。

25、3.通过深入分析和解释网络流量的多样化特征，系统可以更精确地识别异常行为和潜在的攻击行为。这种基于流量特征的行为分析能力提高了系统的准确性和可信度。

26、4.本发明提供了高性能和灵活配置管理。通过优化算法、采用并行计算和分布式处理等技术手段，系统的性能和响应速度得到了提高。此外，系统还提供了灵活的配置管理界面，使管理员能够根据需要进行监控策略和规则的定制。这种高性能和灵活配置管理使得系统更加适应各种复杂的网络环境和需求。

技术特征：

1.基于网络流量的入侵监控方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的方法，其特征在于，在步骤s3）中，logstash单元将处理后数据发送至决策树训练单元对决策树模型进行训练，决策树训练单元将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新。

3.根据权利要求2所述的方法，其特征在于，决策树训练单元每次训练决策树模型时所使用的决策树基础模型版本不低于决策树训练单元每次训练决策树模型时第二监测分析模块中内置的决策树模型的版本。

4.根据权利要求2所述的方法，其特征在于，决策树训练单元在对决策树模型进行训练前，先依据数据的信息增益将处理后数据分为训练组数据和验证组数据，然后用训练组数据和验证组数据对决策树模型进行训练。

5.根据权利要求2所述的方法，其特征在于，决策树训练单元利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理，并将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。

6.根据权利要求1所述的方法，其特征在于，网络监测单元通过数据收集单元和数据转发单元与logstash单元通信连接。

7.一种利用权利要求1所述的基于网络流量的入侵监控方法进行入侵监控的系统，其特征在于，包括：

8.根据权利要求7所述的系统，其特征在于，还包括数据转发单元和用于对网络检测单元分析结果进行收集的数据收集单元，网络监测单元依次通过数据收集单元和数据转发单元与logstash单元通信连接。

9.根据权利要求7所述的系统，其特征在于，还包括用于对决策树模型进行训练的决策树训练单元，决策树训练单元利用logstash单元处理后得到的处理后数据对决策树模型进行训练，并将训练后得到的决策树模型发送至第二监测分析模块用以对第二监测分析模块中内置的决策树模型进行迭代更新。

10.根据权利要求9所述的系统，其特征在于，决策树训练单元内置有决策树筛选模块，决策树筛选模块利用遗传算法对训练出来的决策树模型进行选择、交叉和变异处理，然后再由决策树训练单元将处理后得到的决策树模型发送至第二监测分析模块对第二监测分析模块内置的决策树进行迭代更新。

技术总结
本发明公开一种基于网络流量的入侵监控方法及系统，其中，所述系统包括数据采集单元、网络监测单元、Logstash单元、存储单元、可视化单元、数据转发单元、数据收集单元和决策树训练单元；数据采集单元与网络监测单元通信连接，网络监测单元依次通过数据收集单元和数据转发单元与Logstash单元通信连接，Logstash单元与可视化单元通信连接，数据采集单元、网络监测单元、Logstash单元、可视化单元和决策树训练单元分别与存储单元通信连接。本发明基于流量采集、处理和恶意进攻行为识别的强大技术体系，能够更好地满足网络监控的需求，并具备一定的灵活性和扩展性。

技术研发人员：王鹏飞,张成
受保护的技术使用者：明阳时创（北京）科技有限公司
技术研发日：
技术公布日：2024/1/16