【技术实现步骤摘要】
一种网络异常流量检测方法及装置
本专利技术涉及配电网通信
,尤其涉及一种网络异常流量检测方法及装置。
技术介绍
随着互联网技术的迅速发展,网络环境也逐渐变得复杂,网络中时刻充斥着大量的异常流量数据,威胁设备安全。目前,复杂网络中的异常流量种类较多,存在AlphaAnomaly异常流量、DDos异常流量、PortScan异常流量、NetworkScan异常流量等恶意行为,也有来自于如路由问题、链路故障等网络软硬件故障。因此现在对网络异常流量检测的难度也不断加大。现有的网络异常流量检测装置通常没有包含各个异常流量的特征信息,这就导致不能够快速对异常流量进行分析。申请号为“CN201610202100.1”的专利技术专利公开了一种智能变电站网络异常流量检测方法,包括以下几个步骤:(1)配置变电站交换机的镜像端口,通过镜像端口接入变电站网络;(2)解析捕获的报文;(3)对累计的报文信息按照不同的源地址进行统计分析,判断每个源地址是否存在异常流量;(4)对累计的报文信息按照不同的源/目的地址进行统计分析,判断每对...
【技术保护点】
1.一种网络异常流量检测方法,其特征在于,包括以下步骤;/nS1、建立标准流元素模型;/n流量包因素包括源IP地址、源端口、目的IP地址、目的端口、协议类型、字节长度这六个域;所述协议类型的基础元素s_ip和d_ip分别表示源地址和目的地址;s_port和d_port分别表示源端口和目标端口;/n根据流量包因素建立标准流元素模型;/nS2、利用标准流元素模型来获取网络流量数据;/nS3:对获取的网络流量数据进行量解析;/nS4、基于解析后的网络流量,建立各类异常流量特征模型;/nS5、针对异常流量特征模型中的各个异常流量分析;/nS6、告警通知。/n
【技术特征摘要】 【专利技术属性】
1.一种网络异常流量检测方法,其特征在于,包括以下步骤;
S1、建立标准流元素模型;
流量包因素包括源IP地址、源端口、目的IP地址、目的端口、协议类型、字节长度这六个域;所述协议类型的基础元素s_ip和d_ip分别表示源地址和目的地址;s_port和d_port分别表示源端口和目标端口;
根据流量包因素建立标准流元素模型;
S2、利用标准流元素模型来获取网络流量数据;
S3:对获取的网络流量数据进行量解析;
S4、基于解析后的网络流量,建立各类异常流量特征模型;
S5、针对异常流量特征模型中的各个异常流量分析;
S6、告警通知。
2.根据权利要求1所述的网络异常流量检测方法,其特征在于,所述步骤S1包括;基于源IP地址、源端口、目的IP地址、目的端口、协议类型、字节长度,通过网络流统计特征的机器学习进行网络流元素模型;即利用已知类型的网络流量集合C与其特征T进行学习训练分类模型f:T→C,并利用训练建立的分类模型对未知类型的网络流进行分类建模,其中,C={c1,c1,c1,...ck},表示网络流类型集合,T={t1,t1,t1,...tn},表示网络流的特征集合,ci表示第i个的网络流,ti表示一个为各种统计特征构成的特征向量A={Ai1,Ai2,...Aim};k、n、m为正整数,Aim表示第i个网络流对应第m个特征向量。
3.根据权利要求2所述的网络异常流量检测方法,其特征在于,所述步骤S2包括,通过基于Wireshark的WinPcap编程接口,以旁路镜像抓包的形式,抓取流经交换机设备的网络流量数据。
技术研发人员:周坤,易磊磊,
申请(专利权)人:国网安徽省电力有限公司亳州供电公司,国家电网有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。