一种基于流的网络节点异常检测方法和系统技术方案

本发明专利技术涉及一种基于流的网络节点异常检测方法和系统，所述方法包括：根据待检测节点的历史网络流量数据，获取稳定通信对象集，所述稳定通信对象集包括稳定通信端口集和稳定通信对端集；根据所述稳定通信对象集和待检测节点的历史网络流量数据，获取多维特征统计阈值；获取待检测节点的实时网络流量数据，根据所述多维特征统计阈值对所述待检测节点进行检测和评价。所述方法和系统能够基于形成网络流数据的网络节点，通过对网络流量特征的细致划分，对其可能遭受网络攻击等异常事件，进行实时检测，检测准确率高。

A network node anomaly detection method and system based on flow

The invention relates to a method and system for anomaly detection based on the flow of network nodes, the method comprises the following steps: according to the historical data flow detection node network, and obtain the stable communication object set, the stability of the communication object set includes stable communication ports and stable communication set to end set; according to the communication object set and to be stable detection of node traffic data acquisition network history, multidimensional statistical threshold; real-time traffic data of the network node to be detected, according to the characteristics of the multidimensional statistical threshold to detect node detection and evaluation. The method and system can be based on the network nodes that form the network flow data, through the detailed division of the network traffic characteristics, to detect the abnormal events which may be subjected to network attacks and so on, and the detection accuracy is high.

【技术实现步骤摘要】
一种基于流的网络节点异常检测方法和系统
本专利技术涉及计算机网络安全
，尤其涉及一种基于流的网络节点异常检测方法和系统。
技术介绍
随着计算机与网络技术的迅猛发展，互联网用户规模日益增长，中国互联网络信息中心(CNNIC)发布的报告显示，截至2015年12月，我国网民规模已达6.88亿，互联网普及率为50.3％，同时，全国使用互联网办公的企业达89.0％，互联网已成为人们生产生活中不可或缺的重要基础设施。与此同时，网络安全问题日益突出，频繁发生的网络安全事件给互联网带来了巨大威胁。其中，网络攻击和网络窃密是信息系统的重要威胁。造成网络安全事件的异常网络行为，如网络攻击与窃密等，往往涉及到网络流量的异常，因此，通过异常检测，发现网络异常行为，结合相关技术进行异常的响应与处理，维护网络安全，具有十分重要的意义。目前存在多种网络流量异常检测方法，基于的技术主要包括统计分析、信号处理、机器学习、数据挖掘等。统计分析方法是先通过统计历史流量的一些特征值，如IP数目、流量大小、特定包头数据包的数目等，计算出相应的统计阈值，再根据当前流量特征值与统计阈值的偏差，判断是否异常。基于统计分析的方本文档来自技高网...

【技术保护点】
一种基于流的网络节点异常检测方法，其特征在于：所述方法包括：步骤1、根据待检测节点的历史网络流量数据，获取稳定通信对象集，所述稳定通信对象集包括稳定通信端口集和稳定通信对端集；步骤2、根据所述稳定通信对象集和待检测节点的历史网络流量数据，获取多维特征统计阈值；步骤3、获取待检测节点的实时网络流量数据，根据所述多维特征统计阈值对所述待检测节点进行检测和评价。

【技术特征摘要】
1.一种基于流的网络节点异常检测方法，其特征在于：所述方法包括：步骤1、根据待检测节点的历史网络流量数据，获取稳定通信对象集，所述稳定通信对象集包括稳定通信端口集和稳定通信对端集；步骤2、根据所述稳定通信对象集和待检测节点的历史网络流量数据，获取多维特征统计阈值；步骤3、获取待检测节点的实时网络流量数据，根据所述多维特征统计阈值对所述待检测节点进行检测和评价。2.根据权利要求1所述的基于流的网络节点异常检测方法，其特征在于：所述步骤1包括：步骤1.1、基于第一时间窗口，统计各通信对象的通信时长和流量均值，所述通信对象包括通信端口和通信对端；步骤1.2、分别对网络节点的通信端口和通信对端进行聚类划分，得到网络节点的稳定通信端口样本集和稳定通信对端样本集；步骤1.3、交叉检验所述稳定通信端口样本集和稳定对端样本集，排除异常稳定通信端口样本和异常稳定通信对端样本，从而获取稳定通信端口集和稳定通信对端集。3.根据权利要求1所述的基于流的网络节点异常检测方法，其特征在于：所述步骤2包括：步骤2.1、定义多个维度的流量特征和每个维度的流量特征对应的属性信息，选择不同的属性信息对多个维度的流量特征进行组合，构成多维流量特征；步骤2.2、定义多维比率特征、稳定通信对性命中百分比，并与所述多维流量特征进行组合，形成多维属性组合特征集；步骤2.3、基于第二时间窗口，对网络节点的历史网络流量数据进行统计分析，得到网络节点的多维流量特征统计值；步骤2.4、根据所述多维流量特征统计值和所述稳定通信对象集获取比率特征值和百分比特征值；步骤2.5、对所述多维流量特征统计值进行分布规律校验，根据所服从的分布规律，通过对应的比率特征值和百分比特征值获取对应的多维特征统计阈值。4.根据权利要求3所述的基于流的网络节点异常检测方法，其特征在于：所述流量特征项包括4各维度：流方向、流网络协议类型，服务端口和流量指标，其中，所述流方向的属性信息包括：流入、流出、无方向流；所述流网络协议类型的属性信息包括：TCP、UDP和ICMP；所述端口服务号的属性信息范围为：0-65535；所述流量指标的属性信息包括：字节数、网络包数和对端IP数。5.根据权利要求4所述的基于流的网络节点异常检测方法，其特征在于：对各维度上的参数进行交叉组合，构成4元组多维流量特征项，即＜流方向，协议类型，端口号，流指标>。6.根据权利要求3所述的基于流的网络节点异常检测方法，其特征在于：所述步骤2.3中，所述比率特征包括：流入比流出的字节数比率、流入比流出的包数比率、TC...

【专利技术属性】
技术研发人员：严寒冰，李志辉，李书豪，周昊，张永铮，饶毓，张帅，贾子骁，吕志泉，韩志辉，姚力，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：北京,11