【技术实现步骤摘要】
:本专利技术涉及网络异常流量检测以及入侵检测
的一种在线式网络异常诊断方法。
技术介绍
:随着网络技术的发展,网络上的网络攻击、蠕虫病毒、恶意下载和对网络资源的不当使用等各种问题也随之而来,造成网络性能下降、网络拥塞甚至网络中断和网络设备失效的严重问题。网络攻击、蠕虫病毒、恶意下载和对网络资源的不当使用都会出现网络流量异常,因此,对网络流量进行监控和管理,发现网络中的异常情况,已经成为网络安全管理中需要解决的首要问题。目前的网络异常诊断方法有很多种,传统的网络异常流量检测有2个不足:第一,参数基准范围难以确定,缺乏灵活性和误报率高;第二,由于系统日益复杂化合网络数据流量急剧增加,抓取网络上的流量包增多,调用系统也随之增多,导致机器性能下降
技术实现思路
:为了克服上述缺陷,本专利技术的目的在于,提供。以网口零拷贝方式在线抓取网络上的流量数据包,分析并格式化为统一格式,以曲线的形式表示,再与预先构建的轮廓线比较,监测异常状况。本专利技术通过以下步骤实现:步骤一:以网口零拷贝方式在线抓取网络上的流量数据包;步骤二:对抓取的数据包进行分析、学习,构建正常状态的流量轮...
【技术保护点】
一种在线式网络异流量常诊断方法,其特征在于:所述的方法由以下步骤实现:步骤一:以网口零拷贝方式在线抓取网络上的流量数据包;步骤二:对抓取的数据包进行分析、学习,构建正常状态的流量轮廓线;步骤三:继续实时抓取网络上的流量数据包进行分析,格式化为统一格式,以曲线形式表示;步骤四:与正常状态的流量轮廓线进行比较,如果发现异常,则报警并将异常种类记录到异常状况数据库,执行步骤六,否则执行步骤五;步骤五:通过均值算法重新运算,学习这个正常周期曲线,生成的新参照轮廓线,并返回步骤三;步骤六:根据发现的异常的状况,分别采取限制流量、限制连接数、限制访问等措施。
【技术特征摘要】
1.一种在线式网络异流量常诊断方法,其特征在于所述的方法由以下步骤实现步骤一以网口零拷贝方式在线抓取网络上的流量数据包;步骤二 对抓取的数据包进行分析、学习,构建正常状态的流量轮廓线;步骤三继续实时抓取网络上的流量数据包进行分析,格式化为统一格式,以曲线形式表不;步骤四与正常状态的流量轮廓线进行比较,如果发现异常,则报警并将异常种类记录到异常状况数据库,执行步骤六,否则执行步骤五;步骤五通过均值算法重新运算,学习这个正常周期曲线,生成的新参照轮廓线,并返回步骤三;步骤六根据发现的异常的状况,分别采取限制流量、限制连接数、限制访问等措施。2.根据权利要求1所述的一种在线式网络异流量常诊断方法,其特征在于所述的步骤一采用DMA技术,在外部设备与存储器之间直接抓取数据包。3.根据权利要求1所述的一种在线式网络异流量常诊断方法,其特征在于所述步骤三所描述的流量数据包...
【专利技术属性】
技术研发人员:柯宗贵,柯宗庆,张越,陈文浩,
申请(专利权)人:蓝盾信息安全技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。