The invention discloses a network port traffic anomaly detection method and a system. The method is as follows: 1) read the traffic of the connected session log in the target data platform and group it according to the source port number and destination port number, then count the traffic index data of each port to form the traffic sequence of the corresponding port; 2) according to the traffic sequence of each port, form the input vector of the port and input LSTM. The network obtains the traffic prediction value of the port time t; compares the traffic prediction value of the port time t with the observed value; determines the traffic anomaly of the port if the deviation is greater than the set condition; 3) determines the traffic anomaly of the port qualitatively according to all the recent traffic logs and the preset rules of the port. If it can not be judged, the abnormal traffic events of the port are classified by the trained machine learning model, and the abnormal traffic events of the port are identified.
【技术实现步骤摘要】
一种网络端口流量异常检测方法及系统
本专利技术涉及大数据、网络安全、深度学习等领域,涉及一种网络端口流量异常检测方法及系统,利用广域网流量被动分析手段对DDoS、僵尸网络、病毒传播等网络异常事件进行发现与画像。
技术介绍
今天的互联网面临着诸多安全威胁。例如,分布式拒绝服务(DDoS,DistributedDenialofService)攻击对诸多组织机构的网站和设备造成过严重损失。DDoS是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。DDoS攻击常常由某一个僵尸网络发起。僵尸网络是由被感染僵尸程序的主机组成的一个可控网络。攻击者通过命令和控制信道(C&C,CommandandControl)对僵尸主机发送指令,从而进行信息窃取、拒绝服务攻击等网络攻击和犯罪。自上世纪九十年代末出现,僵尸网络结构和形态从最初简单的集中式C&C发展到基于P2P的分布式C&C,所使用的域名则从最初的固定域名演变为域名自动生成(DomainGenerationAutomation)...
【技术保护点】
1.一种网络端口流量异常检测方法,其步骤包括:1)对目标数据平台中的通联会话日志流量进行读取并按照源端口号、目的端口号分组汇总,然后统计每个端口的流量指标数据,构成对应端口的流量序列;2)根据每一端口的流量序列,构成该端口的输入向量,输入LSTM网络得到该端口时刻t的流量预测值;将该端口时刻t的流量预测值与该端口时刻t的观测值进行对比;如果二者偏差大于设定条件,则确定该端口的流量异常;3)对于流量异常的端口,威胁发现模块从该目标数据平台抽取该端口的近期全部流量日志,根据提取的流量日志和预设规则对该端口的流量异常进行定性,判断出该端口的流量异常事件;如果根据预设规则无法对该端...
【技术特征摘要】
1.一种网络端口流量异常检测方法,其步骤包括:1)对目标数据平台中的通联会话日志流量进行读取并按照源端口号、目的端口号分组汇总,然后统计每个端口的流量指标数据,构成对应端口的流量序列;2)根据每一端口的流量序列,构成该端口的输入向量,输入LSTM网络得到该端口时刻t的流量预测值;将该端口时刻t的流量预测值与该端口时刻t的观测值进行对比;如果二者偏差大于设定条件,则确定该端口的流量异常;3)对于流量异常的端口,威胁发现模块从该目标数据平台抽取该端口的近期全部流量日志,根据提取的流量日志和预设规则对该端口的流量异常进行定性,判断出该端口的流量异常事件;如果根据预设规则无法对该端口的流量异常进行定性,则将提取的流量日志输入训练好的机器学习模型对该端口的流量异常进行分类,识别出该端口的流量异常事件。2.如权利要求1所述的方法,其特征在于,所述设定条件为:其中,o(t)为端口时刻t的观测值,p(t)为端口时刻t的预测值;o(τ)为端口时刻τ的观测值,p(τ)为端口时刻τ的预测值,T为观测周期长度,m为自然数,k1,k2为比例系数。3.如权利要求2所述的方法,其特征在于,k1,k2的取值均为2。4.如权利要求1所述的方法,其特征在于,威胁发现模块判断出该端口的流量异常事件是否为僵尸网络事件的方法为:当提取的流量日志中出现单个主机针对大量主机相同端口发起单SYN包连接时,则认定流量源为扫描源;当出现针对相同网络端口的扫描源超过设定阈值时,认定流量异常事件为活跃僵尸网络事件。5.如权利要求4所述的方法,其特征在于,确定出僵尸网络事件中的僵尸机的方法为:将威胁发现模块认定为扫描源的主机确定为僵尸机,将周期性或准周期性对同一非周知域名发起请求的主机确定为僵尸机;所述非周知域名为设定的周知域名名单之外的域名。6.如权利要求5所述的方法,其特征在于,判断一流量源是否周期性或准周期性对同一非周知域名发起请求的方法为:获取该流量源的请求解析域名集合,并过滤掉周知域名;然后对请求解析域名集合中剩余的每个域名执行如下操作:61)如果该流量源对当前域名d的解析请求事件序列数Nd低于阈值k5,则忽略对域名d的所有解析请求事件,结束对该域名d的处理;否则,进入步骤62);62)针对所有间隔,用DBSCAN算法对该流量源对域名d的所有解析请求事件进行聚类,将解析请求间隔值相同的聚为一类,如果一聚类结果C,满足|C|>k6Nd,则认定该流量源周期性对域名d发起请求,取该聚类结...
【专利技术属性】
技术研发人员:李明哲,涂波,刘丙双,戴帅夫,张建宇,李少华,闻博,梅锋,李莉,蒋志鹏,周模,冯婷婷,尚秋里,张洛什,李传海,方喆君,孙中豪,
申请(专利权)人:长安通信科技有限责任公司,国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。