本申请公开了用于实时网络流量分析的系统和方法。提供了一种用于检测网络中的恶意流量流的系统。该系统包括处理器。基于为通过网络传输的多个数据分组接收的分组信息,处理器被编程为计算多个数据分组的到达间隔时间和分组持续时间。处理器还被编程为过滤分组信息以去除噪声。处理器被进一步编程为基于分组信息、到达间隔时间和分组持续时间生成至少一个直方图。此外,处理器被编程为基于分组信息、到达间隔时间和分组持续时间生成功率谱密度估计。此外,处理器被编程为分析至少一个直方图和功率谱密度估计,以检测一个或多个意外数据流。此外,处理器被编程为报告一个或多个意外数据流。数据流。
【技术实现步骤摘要】
用于实时网络流量分析的系统和方法
[0001]本领域总体涉及网络流量分析,更具体地涉及在已知、受控和不断变化的环境中检测流量中的恶意流量流。
技术介绍
[0002]包括通信卫星在内的通信系统是恶意行为者的潜在目标。检测这些恶意行为者的入侵可能很困难,因为监控卫星和其他通信系统之间的每一次通信可能并不实际,因为设备和网络的配置和拓扑结构可能会随着时间的推移而不断变化。
[0003]此外,网络设备(诸如卫星)和其他系统之间的许多通信流均是加密的,这会降低传输速度并可能妨碍对正在传输的消息进行分析。在许多情况下,入侵检测系统需要能够实时分析消息,并且能够处理间歇性或短消息。因此,提高通信系统的检测能力的附加安全性或系统将是有利的。
[0004]本
技术介绍
部分旨在向读者介绍可能与本公开的各个方面相关的技术的各个方面,本公开的这些方面在下文中描述和/或要求保护。该论述被认为有助于向读者提供背景信息,以便于更好地理解本公开的各个方面。因此,应当理解,这些陈述应从这个角度来解读,而不是作为对现有技术的承认。
技术实现思路
[0005]在一方面,提供了一种用于检测网络中的恶意流量流(traffic flow)的系统。该系统包括计算机系统,该计算机系统包括与至少一个存储器设备通信的至少一个处理器。基于为通过网络传输的多个数据分组/数据包(data packet)接收的分组信息,至少一个处理器被编程为计算多个数据分组的到达间隔时间和分组持续时间。至少一个处理器还被编程为过滤分组信息以去除噪声。至少一个处理器被进一步编程为基于分组信息、到达间隔时间和分组持续时间生成至少一个直方图。至少一个处理器被进一步编程为基于分组信息、到达间隔时间和分组持续时间生成功率谱密度估计。此外,至少一个处理器被编程为分析至少一个直方图和功率谱密度估计,以检测一个或多个意外数据流。此外,至少一个处理器被编程为报告一个或多个意外数据流。
[0006]在另一方面,提供了一种用于检测网络中的恶意流量流的方法。该方法由计算机系统实施,该计算机系统包括与至少一个存储器设备通信的至少一个处理器。该方法还包括由处理器接收通过网络传输的多个数据分组的分组信息。该方法还包括由处理器基于分组信息计算多个数据分组的到达间隔时间。此外,该方法包括由处理器基于分组信息计算多个数据分组的分组持续时间。此外,该方法包括由处理器过滤分组信息以去除噪声。此外,该方法包括由处理器基于分组信息、到达间隔时间和分组持续时间生成至少一个直方图。此外,该方法还包括由处理器基于分组信息、到达间隔时间和分组持续时间生成功率谱密度估计。此外,该方法还包括由处理器分析至少一个直方图和功率谱密度估计,以检测一个或多个意外数据流。此外,该方法还包括由处理器报告一个或多个意外数据流。
[0007]在另一方面,提供了一种用于检测网络中的恶意流量流的系统。该系统包括计算机系统,该计算机系统包括与至少一个存储器设备通信的至少一个处理器。至少一个处理器被编程为接收要在系统上执行的安全策略,其中安全策略包括配置数据。至少一个处理器还被编程为接收通过网络传输的多个数据分组的分组信息。至少一个处理器被进一步编程为基于分组信息和安全策略来计算多个数据分组的到达间隔时间。此外,至少一个处理器被编程成由处理器基于分组信息来计算多个数据分组的分组持续时间。此外,至少一个处理器被编程为基于安全策略过滤分组信息以去除噪声。此外,至少一个处理器被编程为基于分组信息、到达间隔时间和分组持续时间生成至少一个直方图。此外,至少一个处理器还被编程为基于分组信息、到达间隔时间和分组持续时间生成功率谱密度估计。此外,至少一个处理器被进一步编程为基于安全策略分析至少一个直方图和功率谱密度估计,以检测一个或多个意外数据流。此外,至少一个处理器还被编程为报告一个或多个意外数据流。
[0008]与上述方面相关的特征存在各种改进。另外的特征也可结合在上述方面中。这些改进和附加功能可单独存在或以任何组合存在。例如,下面论述的与所示示例中的任何一个相关的各种特征可单独或以任何组合并入上述方面中的任何一个。
附图说明
[0009]下面描述的附图描绘了其中公开的系统和方法的各个方面。应当理解,每个附图描绘了所公开的系统和方法的特定方面的示例,并且每个附图旨在符合其可能的示例。此外,在可能的情况下,以下描述引用包括在以下附图中的附图标记,其中多个附图中描绘的特征用一致的附图标记指定。
[0010]在附图中示出了目前论述的布置,然而,应当理解,本示例不限于所示的精确布置和手段,其中:
[0011]图1图示了根据本公开的一个示例的示例通信卫星系统的框图。
[0012]图2图示了包括图1所示的示例通信卫星系统的第一网络配置中的示例网络的框图。
[0013]图3图示了从图2所示的第一网络配置到第二网络配置的转换的框图。
[0014]图4图示了用于分析流量流数据以检测图1所示系统和图2所示网络中的恶意数据流的示例算法。
[0015]图5图示了使用图4所示算法对流量流进行第一分析的第一曲线图。
[0016]图6图示了图5所示的流量流的第一分析的第一直方图。
[0017]图7图示了使用图4所示算法对流量流进行第二分析的第二曲线图。
[0018]图8图示了图7所示的流量流的第二分析的第二直方图。
[0019]图9图示了使用图4所示算法对流量流进行第三分析的第三曲线图。
[0020]图10图示了图9所示的流量流的第三分析的第三直方图。
[0021]图11图示了使用图4所示算法对流量流进行第四分析的第四曲线图。
[0022]图12图示了图11所示的流量流的第四分析的第四直方图。
[0023]图13图示了使用图4所示算法对流量流进行第五分析的第五曲线图。
[0024]图14图示了图13所示的流量流的第五分析的第五直方图。
[0025]图15图示了使用图4所示算法对流量流进行第六分析的第六曲线图。
[0026]图16图示了图15所示的流量流的第六分析的第六直方图。
[0027]图17图示了用于分析图2所示网络上的通信流量的示例通信网络分析仪(“CNA”)系统的简化框图。
[0028]图18图示了分析图2所示网络上的通信流量并使用图17所示系统的示例过程。
[0029]图19图示了根据本公开的一个示例在图17所示的系统中使用的用户计算机设备的示例配置。
[0030]图20图示了根据本公开的一个示例在图17所示的系统中使用的服务器计算机设备的示例配置。
具体实施方式
[0031]本领域总体涉及入侵检测,并且更具体地涉及在已知、受控和不断变化的环境中检测加密流量流中的恶意流量流。在一个示例中,通信网络分析仪(“CNA”)计算机设备基于当前时间和可用通信设备确定通信网络,激活具有安全策略的算法以监控通过通信网络传输的分组。本文所描述的系统和方法被设计成能够实时地监控流量,而不依赖于网络上正本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于检测网络(200)中恶意流量流的系统,其包含计算机系统(1710),所述计算机系统包括与至少一个存储器设备(1910)通信的至少一个处理器(1905),其中所述至少一个处理器(1905)被编程为:基于为通过所述网络(200)传输的多个数据分组接收的分组信息,计算所述多个数据分组的到达间隔时间(408)和分组持续时间(420);过滤所述分组信息以去除噪声;基于所述分组信息、所述到达间隔时间(408)和所述分组持续时间(420)生成至少一个直方图(600);基于所述分组信息、所述到达间隔时间(408)和所述分组持续时间(420)生成功率谱密度估计;分析所述至少一个直方图(600)和所述功率谱密度估计,以检测一个或多个意外数据流;以及报告所述一个或多个意外数据流。2.根据权利要求1所述的系统,其中所述至少一个处理器(1905)被进一步编程为基于审查由所述计算机系统(1710)传输的多个数据分组来确定所述分组信息。3.根据权利要求1或2所述的系统,其中所述分组信息包括与所述多个数据分组相关联的到达时间(402)、所述多个数据分组的长度(404)以及所述多个数据分组的比特率(406)。4.根据权利要求1或2所述的系统,其中所述至少一个处理器(1905)被进一步编程为调整所述多个数据分组的所述到达间隔时间(408)以去除一个或多个间隙。5.根据权利要求4所述的系统,其中所述至少一个处理器(1905)被进一步编程为:基于所述分组信息计算所述多个数据分组的到达间隔率(412);计算所述多个数据分组的中值到达间隔率(412);以及基于所述中值到达间隔率(412)调整所述到达间隔时间(408)以去除所述一个或多个间隙。6.根据权利要求1或2所述的系统,其中所述至少一个处理器(1905)被进一步编程为将检测准则应用于所述多个数据分组的所...
【专利技术属性】
技术研发人员:R,
申请(专利权)人:波音公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。