网络流行为的行为分析参数的提取方法技术

本发明专利技术属于网络流行为分析技术领域，其特征依次含有以下步骤：用所用协议、源ＩＰ地址和端口、目的ＩＰ地址和端口五元组组成的字符串来描述网络中端到端的网络流通信行为，据此将网络通信分成１４种行为模式，由五元组中确定和不确定的特征值组成的１４个关键字来加以描述；对任一具体网络流，用特征值字符匹配确定分类关键字并纳入相应的行为模式；１４种行为模式中各具体的网络流用对应的Ｈａｓｈ表来记录，在表中的位置用Ｈａｓｈ＿０值确定，存在同一模式Ｈａｓｈ表中Ｈａｓｈ＿０值相同的不同网络流用Ｈａｓｈ＿１、Ｈａｓｈ＿２值来加以区分，在此基础上，对具体网络流进行分类并计算其带宽、流数量、包数量之分布，用于检测异常网络流。

【技术实现步骤摘要】

【技术保护点】
网络流行为的行为分析参数的提取方法，其特征在于：该方法是在选定作为测量点的互联网接入服务商、或者用户子网的核心层或汇聚层的服务器上依次按以下步骤实现的：步骤（１）：初始化设定：在两个终端用户之间的单向的数据包序列被定义为一个 网络流，一个单独的网络流表示为：ｆｌｏｗ（ｐｒｏｔｙｐｅ，ｓｒｃＩＰ，ｓｒｃＰｏｒｔ，ｄｓｔＩＰ，ｄｓｔＰｏｒｔ，ｂｙｔｅｓ，ｐｋｔｓ）其中：ｐｒｏｔｙｐｅ：是通信协议类型，记为特征Ａ，并用小写字母ａ表示一个具体的特 征值；ｓｒｃＩＰ：是源ＩＰ地址，记为特征Ｂ，并用小写字母ｂ表示一个具体的特征值；ｄｓｔＩＰ：是目标ＩＰ地址，记为特征Ｃ，并用小写字母ｃ表示一个具体的特征值；ｓｒｃＰｏｒｔ：是源端口，记为特征Ｄ，并用小写字母ｄ表示一个 具体的特征值；ｄｓｔＰｏｒｔ：是目标端口，记为特征Ｅ，并用小写字母ｅ表示一个具体的特征值；ｂｙｔｅｓ：表示流的字节数；ｐｋｔｓ：表示流的数据包个数；设定：网络流的行为定义为从流的角度描述网络节点之间的通信模式 ，用五个特征来表示一个确定的网络流，在排除了没有意义的特征组合且某些特征的取值不确定时，得到的是一类具有相同特征组合的网络流，称为行为模式，对一种确定的特征组合由于每个特征的取值不同而得到同一模式的不同实例，用五元组（ａ，ｂ，ｃ，ｄ，ｅ）表示一个具体的网络流实例，下面把网络流的行为按照其特征组合进行归类，一共得到下述１４种描述网络通信的网络流行为模式：ＡＢ：使用同一协议从同一源ＩＰ地址发出的网络流，用五元组（ａ，ｂ，＊，＊，＊）表示ＡＢ模式的一个具体实例，＊表示该特征 的取值不确定，下同；ＡＣ：使用同一协议发送到同一的源端口的网络流，用五元组（ａ，＊，ｃ，＊，＊）表示ＡＣ模式的一个具体实例；ＡＤ：使用同一协议发送到同一目的ＩＰ地址的网络流，用五元组（ａ，＊，＊，ｄ，＊）表示ＡＤ模式的一个具 体实例；ＡＥ：使用同一协议发往同一目的端口的网络流，用五元组（ａ，＊，＊，＊，ｅ）表示ＡＥ模式的一个具体实例；ＡＢＣ：使用同一协议从同一源ＩＰ地址和同一源端口发出的网络流，用五元组（ａ，ｂ，ｃ，＊，＊）表示ＡＢＣ模式的一个具 体实例；ＡＢＤ：使用同一协议从同一源ＩＰ地址发送到同一目的ＩＰ地址的网络流，用五元组（ａ，ｂ，＊，ｄ，＊）表示ＡＢＤ模式的一个...

【技术特征摘要】

【专利技术属性】
技术研发人员：秦华，张书杰，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：11[中国|北京]