CN105357079A - 一种异常流量的识别方法及装置 - Google Patents
一种异常流量的识别方法及装置 Download PDFInfo
- Publication number
- CN105357079A CN105357079A CN201510856011.4A CN201510856011A CN105357079A CN 105357079 A CN105357079 A CN 105357079A CN 201510856011 A CN201510856011 A CN 201510856011A CN 105357079 A CN105357079 A CN 105357079A
- Authority
- CN
- China
- Prior art keywords
- flow
- time
- traffic
- network traffic
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常流量的识别方法,包括如下步骤:通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法;根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。本发明的有益效果为:通过对用户的行为分析对异常流量及逆行判断,具有良好的实时性,能够应用于多种场合。
Description
技术领域
本发明涉及一种异常流量的识别方法及装置。
背景技术
网络对我们来说必不可少,但是任何事情都有不利的一面,在使用网络的时候同样会产生很多障碍,而最难避免的就是网络的异常流量,异常流量等同于黑客攻击,它针对某一特定端口发起如洪水般的非正常流量导致网络瘫痪,并且给我们带来巨大的损失,客户无法通讯,商务无法进行,进而保证网络流量的稳定性就起到了至关重要的作用。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
本发明的目的是提供一种异常流量的识别方法,以克服目前现有技术存在的上述不足。
本发明的目的是通过以下技术方案来实现:
一种异常流量的识别方法,包括如下步骤:
通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;
对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模
对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法;
根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。
进一步的,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。
一种异常流量的设别装置,包括流量抓取装置、时间模型建模装置、特征值预测装置以及异常流量判断装置;其中:
流量抓取装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;
时间模型建模装置:用于对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模
特征值预测装置:用于对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法;
异常流量判断装置:用于根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。
本发明的有益效果为:通过对用户的行为分析对异常流量及逆行判断,具有良好的实时性,能够应用于多种场合。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的异常流量识别方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明的实施例所述的一种异常流量的识别方法,包括如下步骤:
通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;
对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模
对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法;
其中,对流量的预期是根据以前的流量特征统计出来用户预期的行为。
根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。
进一步的,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。
一种异常流量的设别装置,包括流量抓取装置、时间模型建模装置、特征值预测装置以及异常流量判断装置;其中:
流量抓取装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;
时间模型建模装置:用于对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模
特征值预测装置:用于对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法;
异常流量判断装置:用于根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。
综上所述,借助于本发明的上述技术方案,通过对用户的行为分析对异常流量及逆行判断,具有良好的实时性,能够应用于多种场合。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种异常流量的识别方法,其特征在于,包括如下步骤:
通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;
对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模;
对建模后的流量值进行特征值预测,;采用差分方程形式设计用户流量行为时间序列的预测方法;
根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。
2.根据权利要求1所述的异常流量的识别方法,其特征在于,抓取的网络流量信息包括时间信息,源地址,源端口,目的地址,目的端口,TCP/UDP协议,方向,长度,头部长度,tcp头部长度,tcp标志位。
3.一种异常流量的设别装置,其特征在于,包括流量抓取装置、时间模型建模装置、特征值预测装置以及异常流量判断装置;其中:
流量抓取装置:用于通过旁路抓包抓取网络流量信息,并且根据抓取的网络流量信息生成流量数据;
时间模型建模装置:用于对抓取的网络流量进行平稳化处理,并且利用剩余平方差的最小原则对网络流量中的时间流量进行建模
特征值预测装置:用于对建模后的流量值进行特征值预测,采用差分方程形式设计用户流量行为时间序列的预测方法;
异常流量判断装置:用于根据时间序列的预测方法建立用户的行为模型,将行为模型外的流量判断为异常流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510856011.4A CN105357079A (zh) | 2015-11-30 | 2015-11-30 | 一种异常流量的识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510856011.4A CN105357079A (zh) | 2015-11-30 | 2015-11-30 | 一种异常流量的识别方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105357079A true CN105357079A (zh) | 2016-02-24 |
Family
ID=55332955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510856011.4A Pending CN105357079A (zh) | 2015-11-30 | 2015-11-30 | 一种异常流量的识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105357079A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733921A (zh) * | 2017-11-14 | 2018-02-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| CN111953504A (zh) * | 2019-05-15 | 2020-11-17 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| CN103078760A (zh) * | 2009-12-31 | 2013-05-01 | 蓝盾信息安全技术股份有限公司 | 一种在线式网络异常流量诊断方法 |
-
2015
- 2015-11-30 CN CN201510856011.4A patent/CN105357079A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078760A (zh) * | 2009-12-31 | 2013-05-01 | 蓝盾信息安全技术股份有限公司 | 一种在线式网络异常流量诊断方法 |
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
Non-Patent Citations (2)
| Title |
|---|
| 刘光星: "单因素时间序列ARMA建模在卡钻预测中的应用研究", 《重庆科技学院学报(自然科学版)》 * |
| 李秀龙: "基于网络流量监测与预测的用户流量行为分析方法研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107733921A (zh) * | 2017-11-14 | 2018-02-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| WO2019095719A1 (zh) * | 2017-11-14 | 2019-05-23 | 深圳中兴网信科技有限公司 | 网络流量异常检测方法、装置、计算机设备和存储介质 |
| CN111953504A (zh) * | 2019-05-15 | 2020-11-17 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
| CN111953504B (zh) * | 2019-05-15 | 2023-03-24 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105337951B (zh) | 对***攻击进行路径回溯的方法与装置 | |
| CN105376247A (zh) | 一种基于频繁算法的异常流量的识别方法及装置 | |
| US9942256B2 (en) | Detecting network address translation devices in a network based on network traffic logs | |
| DE602005017910D1 (de) | Verfahren und vorrichtung zur erkennung einer unterstützung eines protokolls, das ergänzungskopfteile definiert | |
| CN104753732A (zh) | 一种基于分布式的网络流量分析***及方法 | |
| CN101841440B (zh) | 基于支持向量机与深层包检测的对等网络流量识别方法 | |
| CN106034056A (zh) | 一种业务安全分析的方法和*** | |
| WO2012162419A3 (en) | Systems and methods for analyzing network metrics | |
| CN105790990B (zh) | 一种监管配用电通信业务的方法及其*** | |
| WO2010118255A3 (en) | Methods, systems, and computer program products for network server performance anomaly detection | |
| DE602007013747D1 (de) | Verfahren und Vorrichtung zur Klassifizierung von Datenverkehr in IP-Netzen | |
| CN101262491A (zh) | 应用层网络分析方法及*** | |
| CN109271793A (zh) | 物联网云平台设备类别识别方法及*** | |
| CN105357079A (zh) | 一种异常流量的识别方法及装置 | |
| CN105812346B (zh) | 一种串口设备和以太网设备的数据交互方法 | |
| CN105450434A (zh) | 一种基于流量图的互联网流量分析方法 | |
| CN104298782A (zh) | 互联网用户主动访问行为轨迹的分析方法 | |
| CN105359472A (zh) | 一种用于OpenFlow网络的数据处理方法和装置 | |
| WO2017120019A3 (en) | Data monitoring/ aggregation for evaluating connections between networks | |
| CN107046509A (zh) | 一种基于镜像口解析的智能工控网络数据整合方法 | |
| Köwener et al. | Learning energy efficiency networks for companies-saving potentials, realization and dissemination | |
| CN105323258A (zh) | 一种基于时间衰减模型的异常流量的识别方法及装置 | |
| CN103905184A (zh) | 经典网络融入量子保密通信网络流量控制方法 | |
| CN205353708U (zh) | 一种应用数据双活的实时监测*** | |
| CN105279230A (zh) | 通过主动学习方法构建互联网应用特征识别数据库的方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160224 |