【技术实现步骤摘要】
本专利技术属于网络流量监测分析领域和分类方法,具体涉及一种捕获数据包方法和一种分类网络流量异常的方法。
技术介绍
伴随着因特网的迅速发展,网络用户及规模猛增,对网络管理和网络安全提出了更大的挑战,各种网络攻击行为层出不穷,网络安全已经成为大家关注的热点。为了有效的遏制这种行为,我们必须对网络数据进行监测,并且发现网络流量异常行为,比如分布式DOS攻击,信息炸弹等,并且及时采取相应的防御措施。 如今的网络链路的速率迅速增长,已经开始从Mbit/s迈向Gbit/s,在不久的将来还可能达到50Gbit/s甚至是Tbit/s。前兆网卡和千兆交换机已经开始逐步进入主流市场,几乎每个新的局域网用户都会采用此项技术,一个普通家庭用户所能够获得的带宽比几年前一个公司获得的带宽还要大。面对高速网络,传统的流量监测和分析技术所依赖的数据包捕获方法遇到了许多的瓶颈,如PCI总线吞吐量、存储容量、内存访问速度、CPU处理能力、系统调用的开销、中断开销以及操作系统的任务调度机制等都对网络数据包捕获产生一定影响。 网卡具有4种工作模式:广播模式,多播传送模式,直接模式,混杂模式脚。网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。如果采用混杂模式,网卡将接受同一网络内所有主机所发送的数据包,这样就可以到达对所有数据包进行捕获的目的。而目前用windows平台下数据包捕获中,利用用户编写服务提供者接口程序SPI以及利用Windows驱动程序提供的分层结构模式,可将用户驱动程序挂到其他驱动程序上。第一种方法工作在用户级,效率不高,而且...
【技术保护点】
一种数据监测技术和分类网络流量异常的方法,其特征在于包括以下步骤: 第一步、采用Winpcap进行流量采集; 第二步、构建以流量特征的熵为测度的流量矩阵; 第三步,利用因子分析法分类异常流量。
【技术特征摘要】
1.一种数据监测技术和分类网络流量异常的方法,其特征在于包括以下步骤: 第一步、采用Winpcap进行流量采集; 第二步、构建以流量特征的熵为测度的流量矩阵; 第三步,利用因子分析法分类异常流量。2.根据权利要求1所述的一种数据监测技术和分类网络流量异常的方法,其特征在于:所述流量特征的熵具体定义和计算方法如下: 随机观察流量特征X,样本总数S,不同的样本取值个数N,其中流量特征i出现了 Iii次,i e X,则该流量特征的样本熵定义为:其中,当所有样本的取值相同时Η(χ) = O,当样本取值的分散程度最大化,SPII1= n2 =...= ηΝ 时,//(X) = 1n2' ,因此 O S //(x) < log),相应定义源 IP 地址、目的 IP 地址、源端口和目的端口这4个流量特征的样本熵,分别为H(SrcIP)、H(DstIP)、H(SrcPort)和 H(DstPort) ο3.根据权利要求1所述的一种数据监测技术和分类网络流量异常的...
【专利技术属性】
技术研发人员:张小松,向琦,牛伟纳,陈瑞东,王东,黄金,戴中印,赖特,柯明敏,张艺峰,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。