一种异常流量检测分析方法技术

本发明专利技术公开了一种异常流量检测分析方法，涉及异常流量检测技术领域，包括获取一段预设时间内所有端口的历史异常流量记录次数，根据历史异常流量记录次数确定待检测端口；获取待检测端口的历史流量记录和当前流量记录，并进行基线分析得到流量的基线值和基线阈值；基于基线阈值判断是否存在流量异常，若存在流量异常，则获取对应异常时段的NetFlow记录，并找出产生异常流量的主机。本申请通过历史异常流量记录次数确定待检测端口，对待检测端口的进行基线分析，得到基线阈值，以判断是否存在流量异常，从而找到对应的主机和端口。提高了异常流量检测的精度，保证了网络流量的安全运行。保证了网络流量的安全运行。保证了网络流量的安全运行。

【技术实现步骤摘要】
一种异常流量检测分析方法


[0001]本申请涉及异常流量检测
，更具体地，涉及一种异常流量检测分析方法。

技术介绍

[0002]随着计算机和通信技术的发展，电力企业网络的规模越来越大，复杂性也在不断提升，各种应用业务也越来越广泛，因此发生各种故障的可能性也越大，各式各样的异常流量也随之而来。异常流量的产生不仅会影响网络的正常运行、降低工作效率，更有可能造成企业机密信息的泄露，影响企业的发展。因此，异常流量检测成为电力企业面临的一大难题。
[0003]现有技术中，异常流量检测的准确性低，可靠性差，误判率较高，无法满足现代企业或公司要求。
[0004]因此，如何提高异常流量检测准确性，是目前有待解决的技术问题。

技术实现思路

[0005]本专利技术提供一种异常流量检测分析方法，用以解决现有技术中异常流量检测准确性低的技术问题。所述方法包括：获取一段预设时间内所有端口的历史异常流量记录次数，根据历史异常流量记录次数确定待检测端口；获取待检测端口的历史流量记录和当前流量记录，并进行基线分析得到流量的基线值和基线阈值；基于基线阈值判断是否存在流量异常，若存在流量异常，则获取对应异常时段的NetFlow记录，并找出产生异常流量的主机。
[0006]本申请一些实施例中，根据历史异常流量记录次数确定待检测端口，包括：基于历史异常流量记录次数和预设时间得到流量异常频率；获取异常流量均值，基于异常流量均值和均值阈值得到偏离度。
[0007]本申请一些实施例中，根据历史异常流量记录次数确定待检测端口，还包括：基于偏离度修正异常频率，将修正后的异常频率大于频率阈值的端口确定为待检测端口。
[0008]本申请一些实施例中，根据历史流量记录和当前流量记录进行基线分析，包括：读取待检测端口的NetFlow记录并统计，得到历史流量记录，确定目标时间粒度；根据历史流量记录并以目标时间粒度为单位计算基线值，并动态更新基线值；基于基线值确定基线阈值。
[0009]本申请一些实施例中，确定目标时间粒度，包括：在历史流量记录中，获取多个时间粒度及其对应的异常流量，基于时间粒度建立第一状态空间，基于异常流量建立第二状态空间；根据第一状态空间和第二状态空间得到非线性依赖度，基于非线性依赖度确定目
标时间粒度。
[0010]本申请一些实施例中，基于非线性依赖度确定目标时间粒度，包括：将非线性依赖度中最大值所对应的的时间粒度作为目标时间粒度。
[0011]本申请一些实施例中，动态更新基线值，包括：获取今天某个时间段下正常流量值和昨天对应时间段下的基线值；基于今天某个时间段下正常流量值和昨天对应时间段下的基线值更新基线值。
[0012]本申请一些实施例中，基于基线值确定基线阈值，包括：基于基线值和预设常数得到初始基线阈值，基于线性依赖度修正初始基线阈值得到基线阈值。
[0013]本申请一些实施例中，找出产生异常流量的主机，包括：根据异常时段的NetFlow记录得到端口的字节数和封包数，并进行Top排序，得到前n个可能存在异常流量的主机。
[0014]本申请一些实施例中，所述方法还包括：若n不等于1，则获取n个主机的上下行流量，基于上下行流量确定各个主机的异常概率；若n等于1，则该主机为异常流量的主机。
[0015]通过应用以上技术方案，获取一段预设时间内所有端口的历史异常流量记录次数，根据历史异常流量记录次数确定待检测端口；获取待检测端口的历史流量记录和当前流量记录，并进行基线分析得到流量的基线值和基线阈值；基于基线阈值判断是否存在流量异常，若存在流量异常，则获取对应异常时段的NetFlow记录，并找出产生异常流量的主机。本申请通过历史异常流量记录次数确定待检测端口，对待检测端口的进行基线分析，得到基线阈值，以判断是否存在流量异常，从而找到对应的主机和端口。提高了异常流量检测的精度，保证了网络流量的安全运行。
附图说明
[0016]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0017]图1示出了本专利技术实施例提出的一种异常流量检测分析方法的流程示意图。
具体实施方式
[0018]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0019]本申请实施例提供一种异常流量检测分析方法，如图1所示，该方法包括以下步骤：步骤S101，获取一段预设时间内所有端口的历史异常流量记录次数，根据历史异
常流量记录次数确定待检测端口。
[0020]本实施例中，根据端口的历史异常流量记录次数得到异常频率较高的端口，将其作为待检测端口进行流量监控。
[0021]为了提高端口检测的准确性，本申请一些实施例中，根据历史异常流量记录次数确定待检测端口，包括：基于历史异常流量记录次数和预设时间得到流量异常频率；获取异常流量均值，基于异常流量均值和均值阈值得到偏离度。
[0022]本申请一些实施例中，根据历史异常流量记录次数确定待检测端口，还包括：基于偏离度修正异常频率，将修正后的异常频率大于频率阈值的端口确定为待检测端口。
[0023]本实施例中，基于异常流量均值和均值阈值得到偏离度，偏离度即异常流量均值和均值阈值之差。基于偏离度修正异常频率具体为：设定偏离度为A，预设偏离度数组A0（A1，A2，A3，A4），其中，第一预设偏离度为A1，第二预设偏离度为A2，第三预设偏离度为A3，第四预设偏离度为A4，且A1＜A2＜A3＜A4；设定异常频率为L，预设异常频率修正系数数组为F0（F1，F2，F3，F4），其中，第一预设异常频率修正系数为F1，第二预设异常频率修正系数为F2，第三预设异常频率修正系数为F3，第四预设异常频率修正系数为F4，且0.8＜F1＜F2＜F3＜F4＜1.2；根据偏离度与各个预设偏离度之间的关系，确定异常频率修正系数，对异常频率进行修正；若A＜A1，确定第一预设异常频率修正系数F1作为异常频率修正系数，修正后的异常频率为L*F1；若A1≤A＜A2，确定第二预设异常频率修正系数F2作为异常频率修正系数，修正后的异常频率为L*F2；若A2≤A＜A3，确定第三预设异常频率修正系数F3作为异常频率修正系数，修正后的异常频率为L*F3；若A3≤A＜A4，确定第四预设异常频率修正系数F4作为异常频率修正系数，修正后的异常频率为L*F4。
[0024]步骤S102，获取待检测端口的历史流量记录和当前流量记录，并进行基线分析得到流量的基线值和基线阈值。
[0025]本实施例中，基线分析是一种多时间段平均法，其思想本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常流量检测分析方法，其特征在于，所述方法包括：获取一段预设时间内所有端口的历史异常流量记录次数，根据历史异常流量记录次数确定待检测端口；获取待检测端口的历史流量记录和当前流量记录，并进行基线分析得到流量的基线值和基线阈值；基于基线阈值判断是否存在流量异常，若存在流量异常，则获取对应异常时段的NetFlow记录，并找出产生异常流量的主机。2.如权利要求1所述的方法，其特征在于，根据历史异常流量记录次数确定待检测端口，包括：基于历史异常流量记录次数和预设时间得到流量异常频率；获取异常流量均值，基于异常流量均值和均值阈值得到偏离度。3.如权利要求2所述的方法，其特征在于，根据历史异常流量记录次数确定待检测端口，还包括：基于偏离度修正异常频率，将修正后的异常频率大于频率阈值的端口确定为待检测端口。4.如权利要求1所述的方法，其特征在于，根据历史流量记录和当前流量记录进行基线分析，包括：读取待检测端口的NetFlow记录并统计，得到历史流量记录，确定目标时间粒度；根据历史流量记录并以目标时间粒度为单位计算基线值，并动态更新基线值；基于基线值确定基线阈值。5.如权利要求4所述的方法，其特征在于，确定目标时间粒度，包括：在历史流量记...

【专利技术属性】
技术研发人员：张慧娜，赵海韵，武臻，冷超，
申请(专利权)人：华能信息技术有限公司，
类型：发明
国别省市：