本发明专利技术公开了一种异常流量的识别方法,包括如下步骤:通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法;根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。本发明专利技术的有益效果为:通过对用户的行为分析对异常流量及逆行判断,具有良好的实时性,能够应用于多种场合。
【技术实现步骤摘要】
【专利说明】一种异常流量的识别方法及装置
本专利技术涉及一种异常流量的识别方法及装置。
技术介绍
网络对我们来说必不可少,但是任何事情都有不利的一面,在使用网络的时候同样会产生很多障碍,而最难避免的就是网络的异常流量,异常流量等同于黑客攻击,它针对某一特定端口发起如洪水般的非正常流量导致网络瘫痪,并且给我们带来巨大的损失,客户无法通讯,商务无法进行,进而保证网络流量的稳定性就起到了至关重要的作用。针对相关技术中的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术的目的是提供一种异常流量的识别方法,以克服目前现有技术存在的上述不足。本专利技术的目的是通过以下技术方案来实现: 一种异常流量的识别方法,包括如下步骤: 通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模 对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法; 根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。进一步的,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。一种异常流量的设别装置,包括流量抓取装置、时间模型建模装置、特征值预测装置以及异常流量判断装置;其中: 流量抓取装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据; 时间模型建模装置:用于对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模 特征值预测装置:用于对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法; 异常流量判断装置:用于根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。本专利技术的有益效果为:通过对用户的行为分析对异常流量及逆行判断,具有良好的实时性,能够应用于多种场合。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是根据本专利技术实施例的异常流量识别方法的流程图。【具体实施方式】下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本专利技术保护的范围。如图1所示,根据本专利技术的实施例所述的一种异常流量的识别方法,包括如下步骤: 通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模 对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法; 其中,对流量的预期是根据以前的流量特征统计出来用户预期的行为。根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。进一步的,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。一种异常流量的设别装置,包括流量抓取装置、时间模型建模装置、特征值预测装置以及异常流量判断装置;其中: 流量抓取装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据; 时间模型建模装置:用于对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模 特征值预测装置:用于对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法; 异常流量判断装置:用于根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。综上所述,借助于本专利技术的上述技术方案,通过对用户的行为分析对异常流量及逆行判断,具有良好的实时性,能够应用于多种场合。以上所述仅为本专利技术的较佳实施例而已,并不用以限制本专利技术,凡在本专利技术的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本专利技术的保护范围之内。【主权项】1.一种异常流量的识别方法,其特征在于,包括如下步骤: 通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模; 对建模后的流量值进行特征值预测,;采用差分方程形式设计用户流量行为时间序列的预测方法; 根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。2.根据权利要求1所述的异常流量的识别方法,其特征在于,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。3.一种异常流量的设别装置,其特征在于,包括流量抓取装置、时间模型建模装置、特征值预测装置以及异常流量判断装置;其中: 流量抓取装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据; 时间模型建模装置:用于对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模 特征值预测装置:用于对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法; 异常流量判断装置:用于根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。【专利摘要】本专利技术公开了一种异常流量的识别方法,包括如下步骤:通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法;根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。本专利技术的有益效果为:通过对用户的行为分析对异常流量及逆行判断,具有良好的实时性,能够应用于多种场合。【IPC分类】H04L12/26, H04L12/801, H04L29/06, H04L12/721【公开号】CN105357079【申请号】CN201510856011【专利技术人】储来斌 【申请人】睿峰网云(北京)科技股份有限公司【公开日】2016年2月24日【申请日】2015年11月30日本文档来自技高网...
【技术保护点】
一种异常流量的识别方法,其特征在于,包括如下步骤:通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模;对建模后的流量值进行特征值预测,;采用差分方程形式设计用户流量行为时间序列的预测方法;根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。
【技术特征摘要】
【专利技术属性】
技术研发人员:储来斌,
申请(专利权)人:睿峰网云北京科技股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。