本发明专利技术涉及一种异常网络流量检测方法,所述方法包括(1)通过网络分析工具监听网络获取网络数据包从中采集网络流量数据;(2)对网络流量数据按照协议类型进行统计;(3)利用预设聚类算法,对统计后特征向量进行聚类;(4)对聚类中的对象检测异常网络流量。本发明专利技术通过网络流量数据分析其特征向量,利用预设聚类算法,对所述特征向量进行聚类;分析聚类中的对象异常情况,从而确定网络流量的异常情况,提高了异常网络流量检测的准确率,解决了现有技术中因为没有相关业务而不能准确的将其进行分类的问题,从而解决了无法得知该未知流量是否为异常网络流量的问题;因此,提高了异常网络流量检测的准确率。
An anomaly network traffic detection method
【技术实现步骤摘要】
一种异常网络流量检测方法
本专利技术属于数据处理
,具体涉及一种异常网络流量检测方法。
技术介绍
随着信息技术的发展,异常网络流量管理是信息安全管理工作中的一项重要工作。当前异常网络流量所引发的潜在风险巨大,但又缺乏有效的检测管理机制,通过单一的流量检测设备无法有效解决企业内部异常网络流量带来的安全风险和影响。现有的技术方案都是通过流量本身的不同维度来发现网络流量存在异常,与特定业务系统是没有逻辑关系的。比如网络中可能存在办公系统,邮件系统,视频系统,新闻系统等,现有流量异常检测系统并不区分这些业务。采用这种方式检测异常网络流量存在三方面的问题:(1)统计分析的流量是整体流量,而不是特定业务的流量,导致不能有效识别出存在异常网络流量的业务系统;(2)难以检测利用业务内部逻辑漏洞进行的攻击;(3)无法发现合法员工的非法活动。因此,迫切需要一种能够在网络中检测异常网络流量的技术方案。
技术实现思路
有鉴于此,本专利技术的目的在于克服现有技术的不足,提供一种异常网络流量检测方法。为实现以上目的,本专利技术采用如下技术方案:一种异常网络流量检测方法,其改进之处在于:所述方法包括(1)通过网络分析工具监听网络获取网络数据包从中采集网络流量数据;(2)对网络流量数据按照协议类型进行统计;(3)利用预设聚类算法,对统计后特征向量进行聚类;(4)对聚类中的对象检测异常网络流量。进一步的,所述步骤(1)包括从所述监听网络获取网络数据包中识别出网络协议,根据所述网络协议提取所述网络流量数据。进一步的,所述网络流量数据包属性包括:包协议类型、包长度、源IP地址、目的IP地址、源端口和目的端口;所述网络流量数据包括以下的一项或多项:网络层的IP五元组信息,传输层的连接频率、上行数据量或者下行数据量,应用层的统一资源定位符或者请求频率,业务层的请求类型。进一步的,所述步骤(2)包括对网络流量数据按照协议类型进行统计,获得不同协议的网络流量数据;对所述不同协议的网络流量数据按照时间进行统计,获得目标时间段内不同协议的网络流量数据。进一步的,对所述网络流量数据按照协议类型进行统计,获得不同协议的网络流量数据包括:TCP协议、UDP协议和ICMP协议的网络流量数据。进一步的,所述步骤(3)包括根据所述特征数据的协议类型,采取预设聚类算法对所述目标时间段内不同协议的特征数据进行分析,获得对所述目标时间段内不同协议的网络流量数据的分析结果。进一步的,通过所述特征数据提取特征向量,包括基本特征、时间戳、从源主机到目标主机数据的字节数、从目标主机到源主机的数据字节数;将所述数据的特征分为离散型与连续型,其中离散型的特征直接使用互信息公式计算两个特征之间的相关度;对于连续型的特征,使用最大信息系数来评估两个特征之间的相关度;根据两个特征之间的相关度进行类别的划分,采用K-means算法进行聚类,同一聚类中的对象相似度较高,不同聚类中的对象相似度较小;聚类相似度是利用各聚类中对象的均值所获得一个中心对象来进行计算的,输出满足方差最小标准的k个聚类;其中,K-means算法接收输入量k,将输入的n个数据对象划分为k个类。进一步的,所述步骤(4)包括加入抽样机制,通过抽取各数据类型抽样样本来表示整个流量类型簇的流量类型。进一步的,所述对每一个聚类中的对象进行抽样,计算抽样样本在高维空间的密度以及距离,并确定聚类中心;为高维空间中的每一个点选择距离最近的一个聚类中心;通过对聚类中的对象进行抽样以及样本进行鉴别,确定各数据的类型,以甄别出异常网络流量。进一步的,检测到异常网络流量,则进行告警;所述告警的方式包括以下的一种或多种:邮件告警,页面告警,短信告警;如果检测到所述网络程序发送异常网络流量则进行告警,并向用户提供发送异常网络流量的网络程序的名称。本专利技术采用以上技术方案,本专利技术通过网络流量数据分析其特征向量,利用预设聚类算法,对所述特征向量进行聚类;分析聚类中的对象异常情况,从而确定网络流量的异常情况,提高了异常网络流量检测的准确率,解决了现有技术中因为没有相关业务而不能准确的将其进行分类的问题,从而解决了无法得知该未知流量是否为异常网络流量的问题。本专利技术采用的聚类算法,即使存在未知流量也可以通过聚类算法自动将其分类,因此,提高了异常网络流量检测的准确率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术提供的一种异常网络流量检测方法流程示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将对本专利技术的技术方案进行详细的描述。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本专利技术所保护的范围。本专利技术提供一种异常网络流量检测方法,所述方法包括(1)通过网络分析工具监听网络获取网络数据包从中采集网络流量数据;(2)对网络流量数据按照协议类型进行统计;(3)利用预设聚类算法,对统计后特征向量进行聚类;(4)对聚类中的对象检测异常网络流量。上述技术方案中,所述步骤(1)包括从所述监听网络获取网络数据包中识别出网络协议,根据所述网络协议提取所述网络流量数据。例如:通过wireshark监听网络识别出网络协议,并将监听到数据包采集到本地进行缓存,调整时间格式用于统计;上述技术方案中,所述网络流量数据包属性包括:包协议类型、包长度、源IP地址、目的IP地址、源端口和目的端口;所述网络流量数据包括以下的一项或多项:网络层的IP五元组信息,传输层的连接频率、上行数据量或者下行数据量,应用层的统一资源定位符或者请求频率,业务层的请求类型。网络流量数据包括开始时间、持续时间、源IP地址、源端口、目的IP地址、目的端口、传输层协议类型、上行流量字节数、上行流量数据包数、上行流量小于127字节的数据包数、上行流量大于1500字节的数据包数、下行流量字节数、下行流量数据包数、下行流量小于127字节的数据包数和下行流量大于1500字节的数据包数中的任意一项或多项。上述技术方案中,所述步骤(2)包括对网络流量数据按照协议类型进行统计,获得不同协议的网络流量数据;对所述不同协议的网络流量数据按照时间进行统计,获得目标时间段内不同协议的网络流量数据。上述技术方案中,对所述网络流量数据按照协议类型进行统计,获得不同协议的网络流量数据包括:TCP协议、UDP协议和ICMP协议的网络流量数据。网络流量数据的协议类型的不同,会导致在网络流量数据的参数不同,例如,对于ICMP协议的网络流量数据而言,由于其不涉及端口号,不建立会话,每条网络流量数据只包含一个数据包,所以可提取的特征维度较少,以按同源IP地址汇总统计为例,提取的特征数据的特征维度包括但不限于数据包总数、流量总字节数和不同源/目的IP地址数和源/目的IP地址信息熵。对于UDP或TCP协议的网络流量数据而言,以按同目的IP地址汇总统计为例,提取的特征数据的特征维度包括但不限于数据包本文档来自技高网...
【技术保护点】
一种异常网络流量检测方法,其特征在于:所述方法包括(1)通过监听网络获取网络数据包从中采集网络流量数据;(2)对网络流量数据按照协议类型进行统计;(3)利用预设聚类算法,对统计后特征向量进行聚类;(4)对聚类中的对象检测异常网络流量。
【技术特征摘要】
1.一种异常网络流量检测方法,其特征在于:所述方法包括(1)通过监听网络获取网络数据包从中采集网络流量数据;(2)对网络流量数据按照协议类型进行统计;(3)利用预设聚类算法,对统计后特征向量进行聚类;(4)对聚类中的对象检测异常网络流量。2.根据权利要求1所述的一种异常网络流量检测方法,其特征在于:所述步骤(1)包括从所述监听网络获取网络数据包中识别出网络协议,根据所述网络协议提取所述网络流量数据。3.根据权利要求1所述的一种异常网络流量检测方法,其特征在于:所述网络流量数据包属性包括:包协议类型、包长度、源IP地址、目的IP地址、源端口和目的端口;所述网络流量数据包括以下的一项或多项:网络层的IP五元组信息,传输层的连接频率、上行数据量或者下行数据量,应用层的统一资源定位符或者请求频率,业务层的请求类型。4.根据权利要求1所述的一种异常网络流量检测方法,其特征在于:所述步骤(2)包括对网络流量数据按照协议类型进行统计,获得不同协议的网络流量数据;对所述不同协议的网络流量数据按照时间进行统计,获得目标时间段内不同协议的网络流量数据。5.根据权利要求4所述的一种异常网络流量检测方法,其特征在于:对所述网络流量数据按照协议类型进行统计,获得不同协议的网络流量数据包括:TCP协议、UDP协议和ICMP协议的网络流量数据。6.根据权利要求1所述的一种异常网络流量检测方法,其特征在于:所述步骤(3)包括根据所述特征数据的协议类型,采取预设聚类算法对所述目标时间段内不同协议的特征数据进行分析,获得对所述目标时间段内不同协议的网络流量...
【专利技术属性】
技术研发人员:周慧斌,冯康,何烈军,
申请(专利权)人:广东奥飞数据科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。