一种计算机流量异常检测分析系统技术方案

本发明专利技术公开了一种计算机流量异常检测分析系统，所述网络流量监测过程分为三个阶段：(1)收集网络数据：(2)数据处理：(3)异常检测：该系统通过单链路的主千网络流量，检测范围较广，能有效的发现链路之间或者OD流之间异常行为的相关性；而且当数据流监测对象改变时，能够灵活的制定检测策略，提高系统对异常流量的检测速率。

A computer flow anomaly detection and analysis system

The invention discloses a computer traffic anomaly detection and analysis system, the network traffic monitoring process is divided into three stages: (1) collecting network data; (2) data processing; (3) anomaly detection: the system can detect a wide range of anomalies between links or between OD streams through the main 1000 network traffic of a single link. Moreover, when the monitoring object changes, the system can flexibly formulate detection strategies to improve the detection rate of abnormal traffic.

【技术实现步骤摘要】
一种计算机流量异常检测分析系统
本专利技术涉及计算机系统设备
，具体为一种计算机流量异常检测分析系统。
技术介绍
互联网的快速发展从根本上改变了人们的生活和工作方式,大大提高了工作效率,然而随着人们对互联网的依赖性的增强异常流量的危害也在不断扩大，目前影响互联网正常运行的异常流量主要有DDOS攻击、网络蠕虫、不可控P2P应用和一些能够影响网络带宽和性能的流量。
技术实现思路
本专利技术的目的在于提供一种计算机流量异常检测分析系统，以解决现有的技术缺陷和不能达到的技术要求。为实现上述目的，本专利技术提供如下技术方案：一种计算机流量异常检测分析系统，所述网络流量监测过程分为三个阶段：(1)收集网络数据：收集的数据包括与配置相关的静态数据、与网络事件相关的动态数据和从动态数据中总结出来的统计数据；(2)数据处理：对收集的数据进行处理，主要是从中提取感兴趣的不正常的信息；(3)异常检测：对报告的信息进行综合分析，检测是否出现问题，并分析产生问题的原因；所述该分析系统工作流程包括三个步骤，建模样本选择，模型学习建立与偏离度评估；所述目前常用的流量的采集方式分为三种：一是基于SNMP的流量监测技术；二是基于操作系统底层提供的功能；三是基于NetFlow的流量监测技术；所述网络异常通常意味着网络的性能或流量参数等出现异常，在异常检测中，统计模型中常用的测量测度包括审计事件的数量、间隔时间、资源消耗等。优选的，所述SNMP的流量监测优点是能从宏观的角度查看网络的整体性能和状况，给管理人员从大局的层面分析和解决问题带来了方便；基于操作系统底层提供的功能和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息；NetFlow的流量监测技术和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。优选的，所述网络流量异常检测的基础是网络上产生的流量数据；按照数据聚集的粒度，网络流量数据源可以分成包追踪，网络流和SNMP统计数据，包追踪是指流经网络或网络链路上的IP数据包序列；网络流是在特定的源和目的端点之间的某一单向应用数据包序列的聚合，由支持网络流功能的路由器按照所转发的数据包的属性进行聚集所产生；网络流不包含数据包的内容信息，但保留了数据包的特征信息；SNMP统计数据是指支持SNMP的网络设备对所流经及转发的数据包按流量进行分类统计的数据，网络流的粒度包含了数据流的主要特征，但却不包含数据的内容，网络流包含了用于异常分析的主要属性，又有较少的数据量，对网络流进行数据分析时不关注包负载，减小了包处理开销，更便于进行高效、实时的网络异常的检测及确定。优选的，所述对于一个复杂的网络系统，为了保障重要应用的带宽需求，通过基于带宽的网络流量分析会使其更加明确，对网络流量进行协议划分，针对不同的协议进行流量监控和分析，在某一个协议的一个时间段内出现超常暴涨，就有可能是攻击流量或蠕虫病毒出现。优选的，所述流量异常检测分析系统它通过对采集的网络流量进行挖掘、关联性分析；将网络流量、访问行为和业务系统的安全结合起来，帮助管理人员掌握网络资源使用情况、分析业务系统异常情况，保障业务系统的安全、稳定和高效运行。与现有技术相比，本专利技术的有益效果如下：单链路的主千网络流量，检测范围较广，能有效的发现链路之间或者OD流之间异常行为的相关性；而且当数据流监测对象改变时，能够灵活的制定检测策略，提高系统对异常流量的检测速率。具体实施方式下面将结合本专利技术，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术提供一种技术方案：一种计算机流量异常检测分析系统，所述网络流量监测过程分为三个阶段：(1)收集网络数据：收集的数据包括与配置相关的静态数据、与网络事件相关的动态数据和从动态数据中总结出来的统计数据；(2)数据处理：对收集的数据进行处理，主要是从中提取感兴趣的不正常的信息；(3)异常检测：对报告的信息进行综合分析，检测是否出现问题，并分析产生问题的原因；所述该分析系统工作流程包括三个步骤，建模样本选择，模型学习建立与偏离度评估；所述目前常用的流量的采集方式分为三种：一是基于SNMP的流量监测技术；二是基于操作系统底层提供的功能；三是基于NetFlow的流量监测技术；所述网络异常通常意味着网络的性能或流量参数等出现异常，在异常检测中，统计模型中常用的测量测度包括审计事件的数量、间隔时间、资源消耗等。SNMP的流量监测优点是能从宏观的角度查看网络的整体性能和状况，给管理人员从大局的层面分析和解决问题带来了方便；基于操作系统底层提供的功能和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息；NetFlow的流量监测技术和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。网络流量异常检测的基础是网络上产生的流量数据；按照数据聚集的粒度，网络流量数据源可以分成包追踪，网络流和SNMP统计数据，包追踪是指流经网络或网络链路上的IP数据包序列；网络流是在特定的源和目的端点之间的某一单向应用数据包序列的聚合，由支持网络流功能的路由器按照所转发的数据包的属性进行聚集所产生；网络流不包含数据包的内容信息，但保留了数据包的特征信息；SNMP统计数据是指支持SNMP的网络设备对所流经及转发的数据包按流量进行分类统计的数据，网络流的粒度包含了数据流的主要特征，但却不包含数据的内容，网络流包含了用于异常分析的主要属性，又有较少的数据量，对网络流进行数据分析时不关注包负载，减小了包处理开销，更便于进行高效、实时的网络异常的检测及确定。对于一个复杂的网络系统，为了保障重要应用的带宽需求，通过基于带宽的网络流量分析会使其更加明确，对网络流量进行协议划分，针对不同的协议进行流量监控和分析，在某一个协议的一个时间段内出现超常暴涨，就有可能是攻击流量或蠕虫病毒出现。流量异常检测分析系统它通过对采集的网络流量进行挖掘、关联性分析；将网络流量、访问行为和业务系统的安全结合起来，帮助管理人员掌握网络资源使用情况、分析业务系统异常情况，保障业务系统的安全、稳定和高效运行。本专利技术一种计算机流量异常检测分析系统可以根据实际需要实时改变设置，针对某种特定的攻击行为，将涉及该攻击行为的基本特征的子集作为描述该种攻击行为的特征。比如对于SYNFLOOD攻击，组合特征就可以选取pkts/s、平均包长、SYN包的个数等信息。利用以往基本特征集合的数据对该种攻击行为的特征进行学习和训练，就可以实时得到该攻击行为组合特征的正常和异常模型。用此模型就可以实时地对网络上该种攻击行为进行检测。另一方面对于已知攻击种类和行为的数据集进行学习还能对人为选取的攻击组合特征进行优化，使之更能反映该攻击行为的特点。由于数据集是通过对网络流量实时提取获得的，真实地反映了网络的实时状态，因而通过共享该数据集可以为网络中不同管理域之间异常检测系统提供一个协同运行和控制的平台。尽管已经示出和描述了本专利技术的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本专利技术的原理本文档来自技高网...

【技术保护点】
1.一种计算机流量异常检测分析系统，其特征在于：所述网络流量监测过程分为三个阶段：(1)收集网络数据：收集的数据包括与配置相关的静态数据、与网络事件相关的动态数据和从动态数据中总结出来的统计数据；(2)数据处理：对收集的数据进行处理，主要是从中提取感兴趣的不正常的信息；(3)异常检测：对报告的信息进行综合分析，检测是否出现问题，并分析产生问题的原因；所述该分析系统工作流程包括三个步骤，建模样本选择，模型学习建立与偏离度评估；所述目前常用的流量的采集方式分为三种：一是基于SNMP的流量监测技术；二是基于操作系统底层提供的功能；三是基于NetFlow的流量监测技术；所述网络异常通常意味着网络的性能或流量参数等出现异常，在异常检测中，统计模型中常用的测量测度包括审计事件的数量、间隔时间、资源消耗等。

【技术特征摘要】
1.一种计算机流量异常检测分析系统，其特征在于：所述网络流量监测过程分为三个阶段：(1)收集网络数据：收集的数据包括与配置相关的静态数据、与网络事件相关的动态数据和从动态数据中总结出来的统计数据；(2)数据处理：对收集的数据进行处理，主要是从中提取感兴趣的不正常的信息；(3)异常检测：对报告的信息进行综合分析，检测是否出现问题，并分析产生问题的原因；所述该分析系统工作流程包括三个步骤，建模样本选择，模型学习建立与偏离度评估；所述目前常用的流量的采集方式分为三种：一是基于SNMP的流量监测技术；二是基于操作系统底层提供的功能；三是基于NetFlow的流量监测技术；所述网络异常通常意味着网络的性能或流量参数等出现异常，在异常检测中，统计模型中常用的测量测度包括审计事件的数量、间隔时间、资源消耗等。2.根据权利要求1所述的一种计算机流量异常检测分析系统，其特征在于：所述SNMP的流量监测优点是能从宏观的角度查看网络的整体性能和状况，给管理人员从大局的层面分析和解决问题带来了方便；基于操作系统底层提供的功能和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息；NetFlow的流量监测技术和其它两种流量采集方式相比，流量镜像采集的最大特点是能够提供丰富的应用层信息。3.根据权利要求1所述的一种计算机流量异常检测分析系统，其特征在于：所述网络流量异常检测的基础是网络...

【专利技术属性】
技术研发人员：罗子江，王继红，崔潇，倪照风，杨晨，郭祥，王一，陈焕飞，
申请(专利权)人：贵州财经大学，
类型：发明
国别省市：贵州,52