一种面向云计算的网络流量异常检测系统及方法技术方案

本发明专利技术公开了一种面向云计算的网络流量异常检测系统及方法，检测系统包括客户端、云应用服务器、云平台、云入口路由器和流量异常检测装置；检测方法包括采集网络流量，计算流量分布数据，构造流量样本池；利用所述流量样本池，构造并训练流量异常检测卷积神经网络模型；利用训练好的流量异常检测卷积神经网络模型，对流量进行实时检测；利用实时流量数据，不断更新流量样本池；利用更新后的流量样本池，重新训练流量异常检测卷积神经网络模型，并替换已有的流量异常检测卷积神经网络模型。优点是：基于流量分布卷积分析，从而充分考虑细分流量的相关性特征，提升了检测精度和效率；采用样本池和模型自动更新的方式，提升了检测时效性。

【技术实现步骤摘要】
一种面向云计算的网络流量异常检测系统及方法
本专利技术涉及网络流量异常检测领域，尤其涉及一种面向云计算的网络流量异常检测系统及方法。
技术介绍
当前网络安全态势异常严峻，网络攻击越来越多地见诸报道，对重点企业、个人和重要部门机关带来了严重的网络安全威胁。这种高级持续性威胁(apt,advancedpersistentthreat)利用其极强的针对性、伪装性和阶段性等特性能够很容易地躲避传统检测技术的识别。新型攻击手段技术层出不穷，使得一般的入侵防御系统不能有效匹配识别。与此同时，任何网络攻击都是通过网络传输，在攻击主机与被攻击主机之间必然会有相关数据包传输，这给予了很多网络安全工程师与灵感。其中，从分析、处理网络之间传输流量的角度去检测网络攻击是一种最有效途径之一。网络异常检测系统需要强大的时效性，越早发现出网络异常，就能更早的阻断网络攻击，也就能很好的减轻甚至避免网络攻击带来的损失。随着计算机技术的发展，机器学习和深度学习等相关算法研究越来越成熟，同时在很多领域运用取得了巨大成功。深度学习能够较好的自动提取流量特征，避免少量静本文档来自技高网...

【技术保护点】
1.一种面向云计算的网络流量异常检测系统，其特征在于：包括/n客户端；所述客户端可以是单台工作计算机或代理网关，每个客户端拥有一个源IP，通过该源IP向云平台中某个云应用服务器发送网络数据包；/n云应用服务器；每个云应用服务器向客户提供一种云应用，每个云应用服务器都拥有一个目的IP，通过该目的IP和客户端进行网络通信；/n云平台；某个云服务商运营的所有云应用服务器构成云平台，所述云平台对应一组目的IP；/n云入口路由器；接收由客户端发送来的网络数据包，并将接收到的网络数据包分发给各个云应用服务器；/n流量异常检测装置；接收云入口路由器发送过来的网络流量镜像，并根据累计的历史流量数据，构造流量异...

【技术特征摘要】
1.一种面向云计算的网络流量异常检测系统，其特征在于：包括
客户端；所述客户端可以是单台工作计算机或代理网关，每个客户端拥有一个源IP，通过该源IP向云平台中某个云应用服务器发送网络数据包；
云应用服务器；每个云应用服务器向客户提供一种云应用，每个云应用服务器都拥有一个目的IP，通过该目的IP和客户端进行网络通信；
云平台；某个云服务商运营的所有云应用服务器构成云平台，所述云平台对应一组目的IP；
云入口路由器；接收由客户端发送来的网络数据包，并将接收到的网络数据包分发给各个云应用服务器；
流量异常检测装置；接收云入口路由器发送过来的网络流量镜像，并根据累计的历史流量数据，构造流量异常检测卷积神经网络模型，利用流量异常检测卷积神经网络模型进行网络流量异常的实时检测；
所述流量异常检测装置包括，
流量采集模块；用于接收云入口路由器发送过来的网络流量镜像，根据每个网络数据包的头部长度信息累加后，获得流量分布数据；
模型生成模块；利用流量样本池中的流量样本，训练卷积神经网络模型，获得流量异常检测卷积神经网络模型；
异常检测实施模块；对当前流量分布数据，利用异常检测实施模块，获得检测结果；
流量样本池更新模块；利用新的流量样本，更新流量样本池，从而保证流量样本池的时效性；
模型更新模块；利用更新的流量样本池，重新训练流量异常检测卷积神经网络模型，并进行模型更新，保持流量异常检测卷积神经网络模型的时效性。


2.一种面向云计算的网络流量异常检测方法，其特征在于：所述检测方法使用上述权利要求1所述的检测系统实现；所述检测方法包括如下步骤，
S1、采集网络流量，计算流量分布数据，构造流量样本池；
S2、利用所述流量样本池，构造并训练流量异常检测卷积神经网络模型；
S3、利用训练好的流量异常检测卷积神经网络模型，对流量进行实时检测；
S4、利用实时流量数据，不断更新流量样本池；
S5、利用更新后的流量样本池，重新训练流量异常检测卷积神经网络模型，并使用重新训练好的流量异常检测卷积神经网络模型替换已有的流量异常检测卷积神经网络模型。


3.根据权利要求2所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S1具体包括如下内容，
S11、将所述流量异常检测装置连接到云入口路由器的一个网络接口NIC；
S12、为该网络接口NIC配置嗅探功能；
S13、云入口路由器将所有通过自身的网络流量拷贝后发送给所述网络接口NIC；
S14、所述流量异常检测装置构造并初始化流量分布二维数组LD；所述流量分布二维数组LD的每一行对应一个源IP；每一列对应一个目的IP；初始化之后的流量分布二维数组LD中的每个元素都为零；
S15、所述流量异常检测装置采集云入口路由器发送来的网络流量，所述网络流量包括多个网络数据包；
S16、所述流量异常检测装置根据接收的各个网络数据包，计算流量分布数据；具体为，解析各个网络数据包的头部，获取每个网络数据包的源IP为IPs，目的IP为IPd，长度为Len；则流量分布二维数组LD中的行为IPs列为IPd的元素(IPs,IPd)的值等于采集到的源IP为IPs、目的IP为IPd的网络数据包Len的累加长度LenSum；
S17、所述流量异常检测装置持续分析一分钟的网络流量，得到一个流量分布二维数组LD，并把该流量分布二维数组LD作为一个流量样本，放入流量样本池中；
S18、判断是否满足预设条件，若是，则进入步骤S2；若否，则将流量分布二维数组清零，并返回步骤S15；所述预设条件为，流量异常检测装置采集云入口路由器发送来的网络流量的采集时长不小于采集时段D。


4.根据权利要求3所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S2具体包括如下内容，
S21、归一化流量样本池中的流量样本；
S22、构造流量样本类别，并根据每一类流量样本的流量总量，对流量样本的类别进行排序；
S23、构造流量异常检测卷积神经网络模型；
S24、训练所述流量异常检测卷积神经网络模型。


5.根据权利要求4所述的面向云计算的网络流量异常检测方法，其特征在于：步骤S...

【专利技术属性】
技术研发人员：莫毓昌，
申请(专利权)人：华侨大学，
类型：发明
国别省市：福建;35