本发明专利技术实施例提供了一种对广域网流量行为进行监测管理的方法和装置。该方法主要包括:通过对广域网中传输的数据包进行解析获取网络行为信息流,将所述网络行为信息流分割成多个连续的数据段,每个数据段对应一个时间段;将每个数据段分割成多个子数据段,根据每个时间段对应的数据段中的子数据段,计算每个时间段内网络流量行为的趋势值;将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较,根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。应用本发明专利技术,能够有效地检测出广域网中的异常流量攻击,以保证网络应用的安全性与可用性,给网络用户一个安全、可用的网络应用环境。
【技术实现步骤摘要】
本专利技术涉及
,尤其涉及一种对广域网流量行为进行监测管理的方法和装 置。
技术介绍
在互联网飞速发展的今天,网民数量正在以每分钟百人的速度激增,就在这互联 网遍及千家万户的时候,广域网大规模攻击频繁发生,例如2014年8月份众多大型游戏网 站和服务商的服务器遭受了有预谋的DDoS攻击,影响了这些网站的服务质量;受害最严重 的就是索尼的PSN服务网络,曾经全部瘫痪,众多玩家无法正常进行在线游戏和购买游戏 内容;2014年12月运营商DNS网络DDoS攻击事件,多个省份不断出现网页访问缓慢,甚至 无法打开等故障现象。如今DDoS攻击单纯为破坏的可能性越来越小,从最终攻击者获取利 益来看分为三类:敲诈勒索、实施报复及获取竞争优势。 目前,现有的广域网流量行为智能监测与安全分析方法主要包括三大技术:一是 流量统计和阈值检测技术;二是源与目的主机可信性验证技术;三是分布与特征检测技 术。 上述现有的广域网流量行为智能监测与安全分析方法的缺点为:存在较大的误报 率、不能全面检测异常流量攻击、特征检测性能不高。
技术实现思路
本专利技术的实施例提供了一种对广域网流量行为进行监测管理的方法和装置,以实 现有效地对广域网中的流量行为进行智能监测与安全分析。 为了实现上述目的,本专利技术采取了如下技术方案。 根据本专利技术的一个方面,提供了一种对广域网流量行为进行监测管理的方法,包 括: 通过对广域网中传输的数据包进行解析获取网络行为信息流,将所述网络行为信 息流分割成多个连续的数据段,每个数据段对应一个时间段; 将每个数据段分割成多个子数据段,根据每个时间段对应的数据段中的子数据 段,计算每个时间段内网络流量行为的趋势值; 将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较,根据比较结果 判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。 优选地,所述的通过对广域网中传输的数据包进行解析获取网络行为信息流,将 所述网络行为信息流分割成多个连续的数据段,每个数据段对应一个时间段,包括: 获取广域网中传输的数据包,解析所述数据包的协议,对所述数据包的网络行为 信息进行规范化,规范化后的网络行为信息格式包括开始时间、结束时间、源IP地址、目的 IP地址、源自治域、目的自治域、源端口、目的端口、协议类型、TCP标志、包个数、字节数、流 数量、IP包分片偏移量。 优选地,所述的通过对广域网中传输的数据包进行解析获取网络行为信息流,将 所述网络行为信息流分割成多个连续的数据段,每个数据段对应一个时间段,包括: 设基于时间段的网络行为信息流为X= Ixa1),,,χα,),,,χ(〇},其中,Xa1)为 时间段的网络行为信息,x(t为t。时间段的网络行为信息,I = {t i,,,t,,,,t。}; 将所述网络行为信息流X分割成一系列连续的非空数据段{Xi,,,X,,,X丄其中第 j个数据段\对应的数据段为t ,,Xni包含当前时间段的网络行为信息t。的数据段。 优选地,所述的将每个数据段分割成多个子数据段,根据每个时间段对应的数据 段中的子数据段,计算每个时间段内网络流量行为的趋势值,包括: 将每个数据段分割成多个子数据段,其中第j个数据段X,= {X , (1),,,X, (2),,,X, (η) },对应的数据段为t,,η为数据段\的长度; 计算第j个滑动时间窗口内网络流量行为的标准差s,计算方式为: X# X (1),,,X,⑵,,,X?的平均值,标准差s]为第j个时间段内网络流量行为 的趋势值。 按照所述8]的计算过程,计算出每个时间段内网络流量行为的趋势值。 优选地,所述的将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比 较,根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为,包 括: 计算所有时间段的网络流量行为趋势值s的信息熵H(X),信息熵H(X)的计算公式 为: Η(χ) = - Σ p (Sj) X Iogp (Sj) , j = I, 2, . . m 其中,Sj为第j个时间段的网络流量行为的趋势值,p(s ) = s/ Σ s.j,j = I, 2,.. m ; 当信息熵H(x)小于预先设定的趋势阈值时,取所有时间段的网络流量行为的趋 势值的最大值作为最新的趋势阈值; 将待监测滑动时间窗口的趋势值与所述最新的趋势阈值比较,若待监测滑动时间 窗口的趋势值大于最新的趋势阈值,则判断待监测滑动时间窗口内的流量行为为异常流量 行为;若待监测滑动时间窗口的趋势值小于所述最新的趋势阈值,则判断待监测滑动时间 窗口内的流量行为为正常流量行为。 根据本专利技术的另一个方面,提供了一种对广域网流量行为进行监测管理的装置, 其特征在于,包括: 网络行为信息流获取模块,用于通过对广域网中传输的数据包进行解析获取网络 行为信息流; 数据段划分模块,用于将所述网络行为信息流分割成多个连续的数据段,每个数 据段对应一个时间段; 数据段趋势值计算模块,用于将每个数据段分割成多个子数据段,根据每个时间 段对应的数据段中的子数据段,计算每个时间段内网络流量行为的趋势值; 流量行为判断模块,用于将时间段内的网络流量行为的趋势值与预先设定的趋势 阈值比较,根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行 为。 优选地,所述的网络行为信息流获取模块,用于获取广域网中传输的数据包,解析 所述数据包的协议,对所述数据包的网络行为信息进行规范化,规范化后的网络行为信息 格式包括开始时间、结束时间、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目 的端口、协议类型、TCP标志、包个数、字节数、流数量、IP包分片偏移量。 优选地,所述的数据段划分模块,用于设基于时间段的网络行为信息流为X = Mt1),,,x(tj),,,x(t。)},其中,XU1)为以寸间段的网络行为信息,x(t。)为t。时间段的 网络行为信息,I = It1,,,tj,,,t。}; 将所述网络行为信息流X分割成一系列连续的非空数据段(X1,,,X,,,XJ,其中第 j个数据段\对应的数据段为t ,,Xni包含当前时间段的网络行为信息t。的数据段。 优选地,所述的数据段趋势值计算模块,用于将每个数据段分割成多个子数据段, 其中第j个数据段X,= {X (1),,,X, (2),,,X, (η)},对应的数据段为t,,η为数据段X,的长 度, 计算第j个滑动时间窗口内网络流量行为的标准差s,计算方式为: x# X , (1),,,X, (2),,,X, (η)的平均值,标准差S]为第j个时间段内网络流量行为 的趋势值。 按照所述8]的计算过程,计算出每个时间段内网络流量行为的趋势值。[0041当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种对广域网流量行为进行监测管理的方法,其特征在于,包括:通过对广域网中传输的数据包进行解析获取网络行为信息流,将所述网络行为信息流分割成多个连续的数据段,每个数据段对应一个时间段;将每个数据段分割成多个子数据段,根据每个时间段对应的数据段中的子数据段,计算每个时间段内网络流量行为的趋势值;将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较,根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。
【技术特征摘要】
【专利技术属性】
技术研发人员:张洁,
申请(专利权)人:北京东方棱镜科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。