CN102118273A - 一种人机互动式网络异常诊断方法 - Google Patents
一种人机互动式网络异常诊断方法 Download PDFInfo
- Publication number
- CN102118273A CN102118273A CN 200910214526 CN200910214526A CN102118273A CN 102118273 A CN102118273 A CN 102118273A CN 200910214526 CN200910214526 CN 200910214526 CN 200910214526 A CN200910214526 A CN 200910214526A CN 102118273 A CN102118273 A CN 102118273A
- Authority
- CN
- China
- Prior art keywords
- network
- outline line
- flow
- curve
- man
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明针对传统的异常监控方法的参数基准范围难以确定,缺乏灵活性,而且误报率也相当高,在初始状态就处于异常状态的网络,难以制定标准参数基准范围的缺陷,提出了一种人机互动式网络异常诊断方法,任意提取一段历史流量数据包,分析并格式化为统一格式,以曲线的形式表示,再与预先构建的轮廓线比较,监测异常状况,限制出现异常状况的计算机,在网络状况正常的情况下,重新制定标准的基准范围。
Description
技术领域:
本发明涉及网络异常流量检测以及入侵检测技术领域的一种人机互动式网络异常诊断方法。
背景技术:
传统的网络异常检测方法是通过长时间的网络运行流量信息的分析、学习,建立网络正常状态下的参数基准范围,当网络流量状态与正常状态有较大偏差时,则判定网络中存在异常状况。在分析、学习的过程中,如果一开始网络就是存在异常的情况,那么分析、学习后得出的参数基准范围也不是正常的,这样会导致大量的漏报。而且传统的网络异常检测方法,只能针对整个网络的状况进行分析,若是网络中个别主机出现异常流量,整个网络状况还属于正常状态,在这个情况下是不会发出警报的,但有异常流量的主机很可能就存在威胁。
发明内容:
为了解决上述缺陷,本发明提供了一种人机互动式网络异常诊断方法。
本发明是通过以下步骤实施的:
步骤一:根据目标网络段的实际情况,通过参数设定的方式构建一个参照轮廓线;
步骤二:任意提取一段历史流量数据包;
步骤三:分析数据包,提取数据包中的端口访问记录、流量和连接数格式化为统一格式,以曲线的形式表示;
步骤四:将实际曲线与参照轮廓线比较,如发现异常流量,则执行步骤五,否则执行步骤六;
步骤五:分析超出参照轮廓线部分的数据,得出网络中出现异常状态的计算机地址,对该计算机实行限制流量、限制连接数、限制访问的操作;
步骤六:得出分析报告,并固定的时间段为单位(天/星期/月),通过不断学习这些周期的流量数据,由均值算法得到一个可供参照的轮廓线,返回执行步骤二。
所述步骤一中,构建参照轮廓线,还可以在固定的时间段为单位(天/星期/月),通过不断学习这些周期的流量数据,由均值算法得到一个可供参照的轮廓线。
所述步骤三中,每个数据包将会被分析为一个记录R,格式如R(T,Src.IP,Src.Port,Dst.IP,Dst.Port,Protocol,Size,FLAG)其中,T表示当前时间,Src.IP和Src.Port表示源IP和端口,Dst.IP和Dst.IP表示目的IP和端口,Protocol表示协议,Size表示包大小,FLAG表示连接的状态。
接着,这些元记录会以统计连接、端口、流量的为目的被格式化为3种不同的记录Rc、Rp、Rs,格式如:
Rc(T,Totle_Conn,New_Conn)其中T表示当前时间,Totle_Conn表示总连接数,New_Conn表示新建的连接数;
Rp(T,Port1,[Port2,]...)其中T表示当前时间,Port1表示要监测的端口,省略号表示可以自定义要监测的端口;Rs(T,Size,Pack,FLAG)其中T表示当前时间,Size表示流量的大小,Pack表示包的数量,FLAG表示连接状态。
以上3个记录集分别代表了T时段关于连接、端口、流量(大小/包数量)的指标统计,实际曲线由这些记录确定。
所述的步骤四中,通过实际曲线(包括实时连接曲线、实时端口曲线、实时流量曲线(大小/包数量))与预定义轮廓线比较,若实际曲线的点值超越轮廓线所定义的范围,则可以将其定义为异常。
附图说明:
附图为本发明所述方法的流程图。
具体实施方式:
由图1所示,本发明是通过以下步骤实施的:
步骤一:根据目标网络段的实际情况,通过参数设定的方式构建一个参照轮廓线;
步骤二:任意提取一段历史流量数据包;
步骤三:分析数据包,提取数据包中的端口访问记录、流量和连接数格式化为统一格式,以曲线的形式表示;
每个数据包将会被分析为一个记录R,格式如R(T,Src.IP,Src.Port,Dst.IP,Dst.Port,Protocol,Size,FLAG)其中,T表示当前时间,Src.IP和Src.Port表示源IP和端口,Dst.IP和Dst.IP表示目的IP和端口,Protocol表示协议,Size表示包大小,FLAG表示连接的状态。
接着,这些元记录会以统计连接、端口、流量的为目的被格式化为3种不同的记录Rc、Rp、Rs,格式如:
Rc(T,Totle Conn,New_Conn)其中T表示当前时间,Totle_Conn表示总连接数,New_Conn表示新建的连接数;
Rp(T,Port1,[Port2,]...)其中T表示当前时间,Port1表示要监测的端口,省略号表示可以自定义要监测的端口;
Rs(T,Size,Pack,FLAG)其中T表示当前时间,Size表示流量的大小,Pack表示包的数量,FLAG表示连接状态。
以上3个记录集分别代表了T时段关于连接、端口、流量(大小/包数量)的指标统计,实际曲线由这些记录确定。
步骤四:将实际曲线与参照轮廓线比较,如发现异常流量,则执行步骤五,否则执行步骤六;
通过实际曲线(包括实时连接曲线、实时端口曲线、实时流量曲线(大小/包数量))与预定义轮廓线的比较,若实际曲线的点值超越轮廓线所定义的范围,则可以将其定义为异常。
步骤五:分析超出参照轮廓线部分的数据,得出网络中出现异常状态的计算机地址,对该计算机实行限制流量、限制连接数、限制访问的操作;
步骤六:得出分析报告,得出分析报告,并固定的时间段为单位(天/星期/月),通过不断学习这些周期的流量数据,由均值算法得到一个可供参照的轮廓线,返回执行步骤二。
Claims (1)
1.一种人机互动式网络异常诊断方法,其特征在于:所述的方法由以下步骤实现:
步骤一:根据目标网络段的实际情况,通过参数设定的方式构建一个参照轮廓线;
步骤二:任意提取一段历史流量数据包;
步骤三:分析数据包,提取数据包中的端口访问记录、流量和连接数格式化为统一格式,以曲线的形式表示;
步骤四:将实际曲线与参照轮廓线比较,如发现异常流量,则执行步骤五,否则执行步骤六;
步骤五:分析超出参照轮廓线部分的数据,得出网络中出现异常状态的计算机地址,对该计算机实行限制流量、限制连接数、限制访问的操作;
步骤六:得出分析报告,并固定的时间段为单位(天/星期/月),通过不断学习这些周期的流量数据,由均值算法得到一个可供参照的轮廓线,返回执行步骤二。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910214526 CN102118273A (zh) | 2009-12-31 | 2009-12-31 | 一种人机互动式网络异常诊断方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910214526 CN102118273A (zh) | 2009-12-31 | 2009-12-31 | 一种人机互动式网络异常诊断方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102118273A true CN102118273A (zh) | 2011-07-06 |
Family
ID=44216877
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910214526 Pending CN102118273A (zh) | 2009-12-31 | 2009-12-31 | 一种人机互动式网络异常诊断方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102118273A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486324A (zh) * | 2014-12-10 | 2015-04-01 | 北京百度网讯科技有限公司 | 识别网络攻击的方法及系统 |
| CN107404471A (zh) * | 2017-04-05 | 2017-11-28 | 青海民族大学 | 一种基于admm算法网络流量异常检测方法 |
| CN108111463A (zh) * | 2016-11-24 | 2018-06-01 | 蓝盾信息安全技术有限公司 | 基于平均值和标准差的多维度基线自学习和异常行为分析 |
-
2009
- 2009-12-31 CN CN 200910214526 patent/CN102118273A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104486324A (zh) * | 2014-12-10 | 2015-04-01 | 北京百度网讯科技有限公司 | 识别网络攻击的方法及系统 |
| CN104486324B (zh) * | 2014-12-10 | 2018-02-27 | 北京百度网讯科技有限公司 | 识别网络攻击的方法及系统 |
| CN108111463A (zh) * | 2016-11-24 | 2018-06-01 | 蓝盾信息安全技术有限公司 | 基于平均值和标准差的多维度基线自学习和异常行为分析 |
| CN107404471A (zh) * | 2017-04-05 | 2017-11-28 | 青海民族大学 | 一种基于admm算法网络流量异常检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106909698B (zh) | 一种除尘器运维诊断和滤袋实时寿命管理方法 | |
| CN106371986A (zh) | 一种日志处理运维监控系统 | |
| CN109586239B (zh) | 智能变电站实时诊断及故障预警方法 | |
| CN106656627A (zh) | 一种基于业务的性能监控和故障定位的方法 | |
| CN103914044B (zh) | 一种智能在线监控保护装置 | |
| CN103078760A (zh) | 一种在线式网络异常流量诊断方法 | |
| CN109710501B (zh) | 一种服务器数据传输稳定性的检测方法和系统 | |
| CN202075305U (zh) | 一种全功能旋转机械状态记录装置 | |
| CN107765658A (zh) | 一种基于物联网的压缩机控制方法、装置及系统 | |
| CN103581951B (zh) | 一种基站检测方法及装置 | |
| CN107167179A (zh) | 一种基于可视化的桥梁健康监测系统与方法 | |
| CN102118273A (zh) | 一种人机互动式网络异常诊断方法 | |
| CN107404471A (zh) | 一种基于admm算法网络流量异常检测方法 | |
| CN103544091A (zh) | Windows进程的监控方法及装置 | |
| CN103179039A (zh) | 一种有效过滤正常网络数据包的方法 | |
| CN105871861B (zh) | 一种自学习协议规则的入侵检测方法 | |
| CN103941722A (zh) | 通过部件特征倍频幅值趋势监测和诊断设备故障的方法 | |
| CN104615123B (zh) | 基于k近邻的传感器故障隔离方法 | |
| CN103499804B (zh) | 一种电能计量装置异常分析系统及其分析方法 | |
| CN105653835A (zh) | 一种基于聚类分析的异常检测方法 | |
| CN106446008A (zh) | 数据库安全事件的管理方法及分析系统 | |
| WO2024067837A1 (zh) | 确定设备稳定性的方法及装置、计算机设备、存储介质 | |
| CN206331290U (zh) | 制氧机远程监控系统 | |
| CN109933533A (zh) | 一种可视化数据测试方法、装置、设备及可读存储介质 | |
| CN103366119A (zh) | 病毒趋势异常的监控方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110706 |