【技术实现步骤摘要】
一种网络异常的检测方法、系统及装置
[0001]本专利技术属于网络安全
,尤其是涉及一种检测网络异常的方法与应用该方法的网络检测系统及装置。
技术介绍
[0002]入侵检测,即收集计算机网络或系统中的若干关键点信息并分析,以发现是否存在可疑行为或遭受攻击的迹象。现实中,攻击行为常常混夹于正常的网络数据包之中,因此若要实现入侵行为的检测,必须对网络流量进行实时监测和管理,灵活、准确的判断流经网络的数据包是否异常并根据判断结果对数据包进行相应的处理,对提高网络的可靠性和可用性有着重要的意义。
技术实现思路
[0003]有鉴于此,本专利技术旨在提供一种检测网络异常的方法、系统及装置,以实现实时、准确的发现网络中的异常流量。
[0004]第一方面,一种网络异常检测方法,包括:旁路抓取并解析数据包,根据TCP/IP连接的各个属性,将获取到的各个连接信息依次存储;根据所述连接的属性信息查询历史记录,判断当前连接是否已存在,若已存在则累加该连接的统计次数,否则创建相应的连接记录;根据检测条件统计连接数并计算符...
【技术保护点】
【技术特征摘要】
1.一种网络异常检测方法,其特征在于,包括:旁路抓取并解析数据包,根据TCP/IP连接的各个属性,将获取到的各个连接信息依次存储;根据所述连接的属性信息查询历史记录,判断当前连接是否已存在,若已存在则累加该连接的统计次数,否则创建相应的连接记录;根据检测条件统计连接数并计算符合所述检测条件的连接的异常值,判断所述异常值是否超过预设告警阈值,若超过则告警,否则检测结束。2.根据权利要求1所述的网络异常检测方法,其特征在于,所述连接的异常值等于符合检测条件的连接数在总连接数的占比*所述检测条件对应的加权系数。3.根据权利要求2所述的网络异常检测方法,其特征在于,所述检测条件的加权系数,与符合该条件时流量发生异常的概率正相关,所述流量发生异常的概率大小根据历史统计的流量与异常发生的关系确定。4.根据权利要求1所述的网络异常检测方法,其特征在于,所述检测条件包括特定时间段、特定访问源、特定访问目标与连接的特定状态。5.根据权利要求1所述的网络异常检测方法,其特征在于,所述TCP/IP连接的属性包括源IP、源端口、目的IP、目的端口与连接状态;所述将获取到的各个连接信息依次存储时为每个连接创建唯一的ID,并记录该连接的时间戳。6.根据权利要求1所述的网络异常检测方法,其特征在于,判断连接是否已存在,包括依次比对当前连接与历史记录连接的各个属性信息是否相同,若各个属性信息均相同则当前连接已存在。7.根据权利要求1所述的网络异常检测方法,其...
【专利技术属性】
技术研发人员:刘亚轩,何建锋,陈宏伟,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。