CN103078760A - 一种在线式网络异常流量诊断方法 - Google Patents

Abstract

本发明为一种在线式网络异常流量诊断方法，本发明针对传统的异常监控方法的参数基准范围难以确定，缺乏灵活性，而且误报率也相当高，调用系统也随之增多，导致机器性能下降的缺陷，提出了一种在线式网络异常流量诊断方法，以网口零拷贝方式在线抓取网络上的流量数据包，分析并格式化为统一格式，以曲线的形式表示，再与预先构建的轮廓线比较，监测异常状况。

Description

一种在线式网络异常流量诊断方法

技术领域：

本发明涉及网络异常流量检测以及入侵检测技术领域的一种在线式网络异常诊断方法。 

背景技术：

随着网络技术的发展，网络上的网络攻击、蠕虫病毒、恶意下载和对网络资源的不当使用等各种问题也随之而来，造成网络性能下降、网络拥塞甚至网络中断和网络设备失效的严重问题。网络攻击、蠕虫病毒、恶意下载和对网络资源的不当使用都会出现网络流量异常，因此，对网络流量进行监控和管理，发现网络中的异常情况，已经成为网络安全管理中需要解决的首要问题。 

目前的网络异常诊断方法有很多种，传统的网络异常流量检测有2个不足：第一，参数基准范围难以确定，缺乏灵活性和误报率高；第二，由于系统日益复杂化合网络数据流量急剧增加，抓取网络上的流量包增多，调用系统也随之增多，导致机器性能下降。 

发明内容：

为了克服上述缺陷，本发明的目的在于，提供一种在线式网络异常流量诊断方法。以网口零拷贝方式在线抓取网络上的流量数据包，分析并格式化为统一格式，以曲线的形式表示，再与预先构建的轮廓线比较，监测异常状况。 

本发明通过以下步骤实现： 

步骤一：以网口零拷贝方式在线抓取网络上的流量数据包； 

步骤二：对抓取的数据包进行分析、学习，构建正常状态的流量轮廓线； 

步骤三：继续实时抓取网络上的流量数据包进行分析，格式化为统一格式，以曲线形式表示； 

步骤四：与正常状态的流量轮廓线进行比较，如果发现异常，则报警并将异常种类记录到异常状况数据库，执行步骤六，否则执行步骤五； 

步骤五：通过均值算法重新运算，学习这个正常周期曲线，生成的新参照轮廓线，并返回步骤三； 

步骤六：根据发现的异常的状况，分别采取限制流量、限制连接数、限制访问等措施。 

所述的步骤一中，采用DMA技术，在外部设备与存储器之间直接抓取数据包，减少拷贝次数与系统调用。 

所述的步骤二中，将分析抓取的数据包，通过均值运算，经过一段时间的自学习，针对不同的监测目标(包括预设端口，总连接数，新建连接数，出入口流量大小，出入口流量包数)生成不同的参照轮廓线。 

所述的步骤三中，每个数据包将会被分析为一个记录R，格式如R(T，Src.IP，Src.Port，Dst.IP，Dst.Port，Protocol，Size，FLAG)其中，T表示当前时间，Src.IP和Src.Port表示源IP和端口，Dst.IP和Dst.IP表示目的IP和端口，Protocol表示协议，Size表示包大小，FLAG表示连接的状态； 

将元记录以统计连接、端口、流量的为目的被格式化为3种不同的记录Rc、Rp、Rs，格式如： 

Rc(T，Totle_Conn，New_Conn)其中T表示当前时间，Totle Conn表示总连接数，New_Conn表示新建的连接数； 

Rp(T，Port1，[Port2，]...)其中T表示当前时间，Port1表示要监测的端口，省略号表示可以自定义要监测的端口； 

Rs(T，Size，Pack，FLAG)其中T表示当前时间，Size表示流量的大小，Pack表示包的数量，FLAG表示连接状态； 

以上3个记录集分别代表了T时段关于连接、端口、流量(大小/包数量)的指标统计，实际曲线由这些记录确定。 

所述的步骤四中，通过实际曲线(包括实时连接曲线、实时端口曲线、实时流量曲线(大小/包数量))与预定义轮廓线的比较，若实际曲线的点值超越轮廓线所定义的范围，则将其定义为异常。 

所述的步骤五中，若一个周期的实际曲线的点值都在定义的正常范围内，则系统会考虑将这一实际曲线的各个点值与当前参照轮廓线进行再运算，以运算后的轮廓线值作为继续监测的标准，实际曲线的点值生成精确度为1min。 

附图说明：

附图为本发明专利实施步骤的流程图。 

具体实施方式：

由附图所示，本发明的实施步骤是： 

步骤一：采用了DMA技术，以网口零拷贝方式在线在外部设备 与存储器之间直接抓取流量数据包，减少拷贝次数与系统调用； 

步骤二：对抓取的数据包进行分析、学习，构建正常状态的流量轮廓线；将分析抓取的数据包，通过均值运算，经过一段时间的自学习，针对不同的监测目标(包括预设端口，总连接数，新建连接数，出入口流量大小，出入口流量包数)生成不同的参照轮廓线； 

步骤三：继续实时抓取网络上的流量数据包进行分析，每个数据包将会被分析为一个记录R，格式如R(T，Src.IP，Src.Port，Dst.IP，Dst.Port，Protocol，Size，FLAG)其中，T表示当前时间，Src.IP和Src.Port表示源IP和端口，Dst.IP和Dst.IP表示目的IP和端口，Protocol表示协议，Size表示包大小，FLAG表示连接的状态； 

将元记录以统计连接、端口、流量的为目的被格式化为3种不同的记录Rc、Rp、Rs，格式如： 

Rc(T，Totle_Conn，New_Conn)其中T表示当前时间，Totle_Conn表示总连接数，New_Conn表示新建的连接数； 

Rp(T，Port1，[Port2，]...)其中T表示当前时间，Port1表示要监测的端口，省略号表示可以自定义要监测的端口； 

Rs(T，Size，Pack，FLAG)其中T表示当前时间，Size表示流量的大小，Pack表示包的数量，FLAG表示连接状态； 

以上3个记录集分别代表了T时段关于连接、端口、流量(大小/包数量)的指标统计，实际曲线由这些记录确定； 

步骤四：与正常状态的流量轮廓线进行比较，若实际曲线的点值超越轮廓线所定义的范围，则将其定义为异常，报警并将异常种类记 录到异常状况数据库，然后执行步骤六，否则执行步骤五； 

步骤五：若一个周期的实际曲线的点值都在定义的正常范围内，则通过均值算法重新运算，学习这个正常周期曲线，生成的新参照轮廓线，并返回步骤三。 

步骤六：根据发现的异常的状况，分别采取限制流量、限制连接数、限制访问等措施。 

Claims (3)

1.一种在线式网络异流量常诊断方法，其特征在于：所述的方法由以下步骤实现：

步骤一：以网口零拷贝方式在线抓取网络上的流量数据包；

步骤二：对抓取的数据包进行分析、学习，构建正常状态的流量轮廓线；

步骤三：继续实时抓取网络上的流量数据包进行分析，格式化为统一格式，以曲线形式表示；

步骤四：与正常状态的流量轮廓线进行比较，如果发现异常，则报警并将异常种类记录到异常状况数据库，执行步骤六，否则执行步骤五；

步骤五：通过均值算法重新运算，学习这个正常周期曲线，生成的新参照轮廓线，并返回步骤三；

步骤六：根据发现的异常的状况，分别采取限制流量、限制连接数、限制访问等措施。

2.根据权利要求1所述的一种在线式网络异流量常诊断方法，其特征在于：所述的步骤一采用DMA技术，在外部设备与存储器之间直接抓取数据包。

3.根据权利要求1所述的一种在线式网络异流量常诊断方法，其特征在于：所述步骤三所描述的流量数据包进行分析，即是将每个数据包将会被分析为一个记录R(T，Src.IP，Src.Port，Dst.IP，Dst.Port，Protocol，Size，FLAG)；

将元记录以统计连接、端口、流量的为目的被格式化为3种不同的记录Rc、Rp、Rs；

Rc(T，Totle_Conn，New_Conn)其中T表示当前时间，Totle_Conn表示总连接数，New_Conn表示新建的连接数；

Rp(T，Port1，[Port2，]...)其中T表示当前时间，Port1表示要监测的端口，省略号表示可以自定义要监测的端口；

Rs(T，Size，Pack，FLAG)其中T表示当前时间，Size表示流量的大小，Pack表示包的数量，FLAG表示连接状态；

以上3个记录集分别代表了T时段关于连接、端口、流量(大小/包数量)的指标统计，实际曲线由这些记录确定。