一种异常流量检测方法及检测系统技术方案

本申请公开了一种异常流量检测方法及检测系统，其中，所述异常流量检测方法首先对网络流量数据按照协议类型和时间进行统计，获得目标时间段内不同协议的网络数据，然后根据网络数据流的协议类型分别进行特征提取，最后根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果，以实现对所述目标时间段内不同协议的网络数据流是否属于异常流量的鉴别。由于所述异常流量检测方法对不同协议的网络数据流分别进行处理和分析，大大提高了所述异常流量检测方法的适用性。

Abnormal flow detection method and detection system

The invention discloses an anomaly detection system and method, wherein, the anomaly detection method based on network traffic data according to the protocol type and time statistics, network data obtained from different protocols in a desired period of time, then according to the network data stream protocol types for feature extraction. Finally, according to the characteristics of the data type of protocol analysis to default clustering algorithm or outlier detection algorithm for different protocols, the target time feature data, network data analysis results are obtained for different protocols of the target time flow, network data in order to achieve the target time of different protocols to identify whether the flow belonging to the abnormal traffic. Because the abnormal flow detection method processes and analyzes the network data streams of different protocols respectively, the applicability of the abnormal flow detection method is greatly improved.

【技术实现步骤摘要】
一种异常流量检测方法及检测系统
本申请涉及网络安全
，更具体地说，涉及一种异常流量检测方法及检测系统。
技术介绍
网络流量是反映网络承载的基本形态，随着网络的普及和网络使用量的与日俱增，网络流量也呈现指数式的上升。网络流量的大小在一定程度上反映了网络的安全性，许多网络攻击都会使得网络流量产生异常，例如分布式拒绝服务(DistributedDenialofService，DDoS)攻击就是利用大量的正常访问请求来攻击服务器，以占用服务器大量的服务资源，从而使得合法用户无法得到服务器的响应，甚至导致服务器的瘫痪。因此，对网络流量进行检测以发现异常流量情况并采取相应措施是保护网络安全的重要措施。对于异常流量的检测主要分为基于误用的流量检测和基于异常的流量检测，其中，基于误用的流量检测不仅需要频繁更新特征库，而且对特征库中未包含的异常流量无法检测，而基于异常的流量检测过程不依赖于特征库，并且在检测未知异常流量防范新型网络攻击方面具有优势。但现有技术中基于异常的流量检测方法大多是针对于某种特定数据类型或某种特定协议下的异常流量的检测，适用范围很小。
技术实现思路
为解决上述技术问题，本专利技术提供了一种异常流量检测方法及检测系统，以实现提升对异常流量检测的适用范围的目的。为实现上述技术目的，本专利技术实施例提供了如下技术方案：一种异常流量检测方法，包括：采集网络流量数据；对所述网络流量数据按照协议类型进行统计，获得不同协议的网络数据流；对所述不同协议的网络数据流按照时间进行统计，获得目标时间段内不同协议的网络数据流；根据所述网络数据流的协议类型，分别对所述目标时间段内不同协议的网络数据流进行特征提取，获得目标时间段内不同协议的特征数据；根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果。可选的，所述获得对所述目标时间段内不同协议的网络数据流的判断结果之后还包括：对所述分析结果进行显示。可选的，所述对所述网络流量数据按照协议类型进行统计，获得不同协议的网络数据流包括：对所述网络流量数据按照协议类型进行统计，获得TCP协议、UDP协议和ICMP协议的网络数据流。可选的，所述根据所述网络数据流的协议类型，分别对所述目标时间段内不同协议的网络数据流进行特征提取，获得目标时间段内不同协议的特征数据之后，所述根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果之前还包括：判断所述目标时间段内的不同协议的特征数据是否满足预设条件，如果是，则采用基于子空间模型的聚类算法或基于子空间模型的异常点检测算法对满足预设条件的特征数据进行分析，获得目标时间段内满足预设条件的网络数据流的分析结果；所述预设条件包括：特征数据的特征维度大于预设维度、存在无关维度且特征数据的分布密度小于预设密度。可选的，所述根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果包括：当所述特征数据的协议类型为TCP协议或UDP协议，且不满足所述预设条件时，采用异常点检测算法对协议类型为TCP协议或UDP协议，且不满足所述预设条件的特征数据进行分析，获得所述协议类型为TCP协议或UDP协议，且不满足所述预设条件的特征数据对应的目标时间段内的TCP协议和UDP协议的网络数据流的分析结果；当所述特征数据的协议类型为ICMP协议，且不满足所述预设条件时，采用异常点检测算法或基于密度的聚类算法对该特征数据进行分析，获得该特征数据对应的目标时间段内的ICMP协议的网络数据流的分析结果。一种异常流量检测系统，包括：流量采集模块，用于采集网络流量数据；第一统计模块，用于对所述网络流量数据按照协议类型进行统计，获得不同协议的网络数据流；第二统计模块，用于对所述不同协议的网络数据流按照时间进行统计，获得目标时间段内不同协议的网络数据流；特征提取模块，用于根据所述网络数据流的协议类型，分别对所述目标时间段内不同协议的网络数据流进行特征提取，获得目标时间段内不同协议的特征数据；特征分析模块，用于根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果。可选的，还包括：可视化模块，用于对所述分析结果进行显示。可选的，所述第一统计模块具体用于对所述网络流量数据按照协议类型进行统计，获得TCP协议、UDP协议和ICMP协议的网络数据流。可选的，还包括：判断模块，用于判断所述目标时间段内的不同协议的特征数据是否满足预设条件，如果是，则采用基于子空间模型的聚类算法或基于子空间模型的异常点检测算法对满足预设条件的特征数据进行分析，获得目标时间段内满足预设条件的网络数据流的分析结果；所述预设条件包括：特征数据的特征维度大于预设维度、存在无关维度且特征数据的分布密度小于预设密度。可选的，所述特征分析模块具体用于当所述特征数据的协议类型为TCP协议或UDP协议，且不满足所述预设条件时，采用异常点检测算法对协议类型为TCP协议或UDP协议，且不满足所述预设条件的特征数据进行分析，获得所述协议类型为TCP协议或UDP协议，且不满足所述预设条件的特征数据对应的目标时间段内的TCP协议和UDP协议的网络数据流的分析结果；当所述特征数据的协议类型为ICMP协议，且不满足所述预设条件时，采用异常点检测算法或基于密度的聚类算法对该特征数据进行分析，获得该特征数据对应的目标时间段内的ICMP协议的网络数据流的分析结果。从上述技术方案可以看出，本专利技术实施例提供了一种异常流量检测方法及检测系统，其中，所述异常流量检测方法首先对网络流量数据按照协议类型和时间进行统计，获得目标时间段内不同协议的网络数据，然后根据网络数据流的协议类型分别进行特征提取，最后根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果，以实现对所述目标时间段内不同协议的网络数据流是否属于异常流量的鉴别。由于所述异常流量检测方法对不同协议的网络数据流分别进行处理和分析，大大提高了所述异常流量检测方法的适用性。并且，所述异常流量检测方法根据所述特征数据的协议类型，采取相应的预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，从而在实现异常流量检测的基础上，降低了对异常流量进行检测的时间，提高了所述异常流量检测方法的效率。进一步的，所述异常流量检测方法不需要预先利用训练样本进行训练，属于无监督方法，提升了所述异常流量检测方法的使用便捷性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请的一个实本文档来自技高网...

【技术保护点】
一种异常流量检测方法，其特征在于，包括：采集网络流量数据；对所述网络流量数据按照协议类型进行统计，获得不同协议的网络数据流；对所述不同协议的网络数据流按照时间进行统计，获得目标时间段内不同协议的网络数据流；根据所述网络数据流的协议类型，分别对所述目标时间段内不同协议的网络数据流进行特征提取，获得目标时间段内不同协议的特征数据；根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果。

【技术特征摘要】
1.一种异常流量检测方法，其特征在于，包括：采集网络流量数据；对所述网络流量数据按照协议类型进行统计，获得不同协议的网络数据流；对所述不同协议的网络数据流按照时间进行统计，获得目标时间段内不同协议的网络数据流；根据所述网络数据流的协议类型，分别对所述目标时间段内不同协议的网络数据流进行特征提取，获得目标时间段内不同协议的特征数据；根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果。2.根据权利要求1所述的异常流量检测方法，其特征在于，所述获得对所述目标时间段内不同协议的网络数据流的判断结果之后还包括：对所述分析结果进行显示。3.根据权利要求1所述的异常流量检测方法，其特征在于，所述对所述网络流量数据按照协议类型进行统计，获得不同协议的网络数据流包括：对所述网络流量数据按照协议类型进行统计，获得TCP协议、UDP协议和ICMP协议的网络数据流。4.根据权利要求3所述的异常流量检测方法，其特征在于，所述根据所述网络数据流的协议类型，分别对所述目标时间段内不同协议的网络数据流进行特征提取，获得目标时间段内不同协议的特征数据之后，所述根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果之前还包括：判断所述目标时间段内的不同协议的特征数据是否满足预设条件，如果是，则采用基于子空间模型的聚类算法或基于子空间模型的异常点检测算法对满足预设条件的特征数据进行分析，获得目标时间段内满足预设条件的网络数据流的分析结果；所述预设条件包括：特征数据的特征维度大于预设维度、存在无关维度且特征数据的分布密度小于预设密度。5.根据权利要求4所述的异常流量检测方法，其特征在于，所述根据所述特征数据的协议类型，采取预设聚类算法或异常点检测算法对所述目标时间段内不同协议的特征数据进行分析，获得对所述目标时间段内不同协议的网络数据流的分析结果包括：当所述特征数据的协议类型为TCP协议或UDP协议，且不满足所述预设条件时，采用异常点检测算法对协议类型为TCP协议或UDP协议，且不满足所述预设条件的特征数据进行分析，获得所述协议类型为TCP协议或UDP协议，且不满足所述预设条件的特征数据对应的目标时间段内的TCP协议和UDP协议的网...

【专利技术属性】
技术研发人员：卞超轶，
申请(专利权)人：北京启明星辰信息安全技术有限公司，启明星辰信息技术集团股份有限公司，
类型：发明
国别省市：北京,11