CN104092588A - 一种基于SNMP与NetFlow结合的网络异常流量检测方法 - Google Patents

一种基于SNMP与NetFlow结合的网络异常流量检测方法 Download PDF

Info

Publication number
CN104092588A
CN104092588A CN201410352941.1A CN201410352941A CN104092588A CN 104092588 A CN104092588 A CN 104092588A CN 201410352941 A CN201410352941 A CN 201410352941A CN 104092588 A CN104092588 A CN 104092588A
Authority
CN
China
Prior art keywords
data
netflow
address
snmp
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410352941.1A
Other languages
English (en)
Other versions
CN104092588B (zh
Inventor
王慧强
吕宏武
周沫
郭方方
冯光升
唐匀龙
林俊宇
梁晓
何占博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Engineering University
Original Assignee
Harbin Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Engineering University filed Critical Harbin Engineering University
Priority to CN201410352941.1A priority Critical patent/CN104092588B/zh
Publication of CN104092588A publication Critical patent/CN104092588A/zh
Application granted granted Critical
Publication of CN104092588B publication Critical patent/CN104092588B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种网络异常检测方法,特别是一种基于SNMP与NetFlow结合的网络异常流量检测方法。本发明包括:(1)NetFlow数据采集与处理:NetFlow监控程序实时扫描预处理数据库中的数据表,采用基于NetFlow的流量检测方法,检测预处理数据库中的信息是否异常,若有异常则向监控程序提交异常信息的IP地址和协议号;(2)SNMP管理程序分析异常。本发明降低了误报率;采用NetFlow预处理方法,将采集到的大量数据经过四种方法处理,最终分成多张具有统计意义的数据表,为之后的检测方法提高了扫描速度,降低了计算开销。

Description

一种基于SNMP与NetFlow结合的网络异常流量检测方法
技术领域
本发明涉及一种网络异常检测方法,特别是一种基于SNMP与NetFlow结合的网络异常流量检测方法。
背景技术
随着互联网技术的迅速发展,网络已由传统单一网络变成了复杂异构的网络。人们在感受互联网带来便捷的同时,也遭受着网络的各种入侵威胁。网络异常流量检测是保护用户设备安全的一种有效方法。目前常用的网络流量检测方法有两种:基于SNMP的流量检测技术和基于NetFlow的流量检测技术。
SNMP(简单网络管理协议)是应用最广泛的网管协议,基于SNMP收集的网络流量信息包括:输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等。它的优点是数据准确性高,从宏观的角度查看网络的整体性能和状况,对管理人员从大局的较大分析和解决问题很方便。但是,由于SNMP管理端使用轮询的方式获得信息,在需要采集点很多的网络中轮询会产生巨大的网络管理报文,导致网络拥塞,SNMP的消息可能会丢失,因此SNMP协议的缺点是支持的数据容量小。
NetFlow主要由Cisco路由器支持,采集是基于网络设备提供的NetFlow机制实现的网络流量信息采集,在此基础上实现的流量信息采集效率和效果均能够满足网络流量异常监测的需求。它使用源和目的端点的IP地址和传输层端口号、协议类型、服务类型以及输入接口等来标记网络流,包含了比SNMP更为丰富的信息。它信息采集效率高,对网络的影响小,部署难度小,部署成本低,是当前监测网络主干流量的最理想的采集工具,非常适合于网络性能分析。但是,基于NetFlow检测流量技术也存在一些限制条件,它采集的数据只是统计意义上的准确性,误报率较高。
因此,这两种方法单独使用都有很大的缺陷,采用SNMP检测技术可以弥补NetFlow检测技术准确率低的缺点,而采用NetFlow检测技术可以弥补SNMP检测技术数据容量小的缺点。于是本发明提出一种基于SNMP与NetFlow流结合的网络异常流量检测的方法,将两种方法结合使用,不仅扩大的数据检测范围,还降低了误报率。
目前涉及SNMP和NetFlow这两方面的文章有一篇:基于NetFlow和SNMP的网络流态势融合分析方法研究(赵勇,哈尔滨工程大学,2012-02-01),该文章利用两种数据提出一种数据关联方法,重点在于数据字段的融合方法上,与本发明不同。本发明的目的是利用两种数据检测网络运行情况,提出分层检测思想,首先采用细粒度检测NetFlow数据,初步判断异常,再利用SNMP协议二次判断异常,以达到监控网络的目的。
发明内容
本发明的目的在于提供一种更准确、更全面的扩大检测范围,降低误报率的网络流量异常检测方法。
本发明的目的是这样实现的:
(1)NetFlow数据采集与处理:
(1.1)网络交换设备采集NetFlow数据,存入NetFlow数据库;
(1.2)NetFlow数据库采用NetFlow预处理方法,经过数据选择、填补缺省值、数据规范化和数据归类的方法,将原始数据整理成规格化的数据并分成数据表,存入预处理数据库;
(1.3)NetFlow监控程序实时扫描预处理数据库中的数据表,采用基于NetFlow的流量检测方法,检测预处理数据库中的信息是否异常,若有异常则向监控程序提交异常信息的IP地址和协议号;
(2)SNMP管理程序分析异常:
(2.1)SNMP管理程序进入睡眠状态,等待接收异常;
(2.2)管理程序判断是否接收到异常IP地址,若有则到步骤(2.3),否则返回步骤(2.1);
(2.3)SNMP管理端接收异常IP地址,向代理发送GET请求,查询该条IP的流量数;
(2.4)代理收到GET请求后,查询该IP地址上的流量,发送GET-RESPONSE,将查询结果反馈给SNMP管理程序;
(2.5)SNMP管理端向代理发送GET-NEXT请求,继续查询流量数;
(2.6)代理收到GET-NEXT请求后,逐条查询IP地址上的流量,向SNMP管理程序发送GET-RESPONSE,并返回查询结果;
(2.7)重复步骤(2.5)和(2.6),直到代理返回“NULL”;
(2.8)统计IP地址上的总流量;
(2.9)判断流量是否高于阈值,若是则到步骤(2.10),否则转到步骤(2.11);
(2.10)网管工作站确定该IP有异常,结束;
(2.11)网管工作站认为没有异常,改为安全事件,结束。
NetFlow预处理方法包括:
(1.2.1)NetFlow数据库中,选择源IP地址、目的IP地址、源端口、目的端口、协议类型、包数量、字节数和流数量属性列的数据,已提取的数据中只保留协议类型值为6、17、1三种信息,其中6为TCP协议,17为UDP协议,1为ICMP协议;
(1.2.2)NetFlow数据库扫描删选后的数据,若属性值中有缺失数据则填补缺省值,填补的属性值都用同一个常数值替换;
(1.2.3)填补完整后的数据进行数据规范化,源IP地址和目的IP地址用Hash函数转为二维矩阵X[M][N],对包数量和字节数属性值按比例缩小,使之落入特定区间;
(1.2.4)规范后的数据进行数据归类,将转换为二维矩阵后的IP地址第一维相同的归为一类,形成一张数据表,将相同协议类型的归类为一张数据表;
(1.2.5)预处理后生成多张单个数据表;
(1.2.6)将生成的数据表存入预处理数据库。
NetFlow的流量检测方法包括:
(1.3.1)设定预处理数据库中属性列的阈值,包括包数量N、字节数M、同一网段IP地址ip;
(1.3.2)NetFlow监控程序扫描预处理数据库中的数据表,统计每张表的源IP地址数量C(ip),提交到后台管理程序;
(1.3.3)管理程序检查源IP地址在同一网段的数量是否超过阈值,若是,转到步骤(1.3.4),否则返回步骤(1.3.2);
(1.3.4)NetFlow监控程序再次扫描预处理数据库,统计源IP所在的网段中目的IP地址,提交到管理程序;
(1.3.5)管理程序判断目的IP地址是否为同一个IP地址,若是,转到步骤(1.3.6),否则返回步骤(1.3.2);
(1.3.6)NetFlow监控程序查询该目的IP地址对应的协议类型,提交给管理程序;
(1.3.7)管理程序初步判断网络收到攻击,将收到的目的IP地址和协议类型提交给SNMP管理程序。
本发明的有益效果包括:实现了多级检测方法,首先采集NetFlow数据检测整个网络流量情况,找出初步判定的异常数据,再利用SNMP协议进行再次检测异常数据,最终判定网络是偶有异常,保证了告警的正确性,降低了误报率;采用NetFlow预处理方法,将采集到的大量数据经过四种方法处理,最终分成多张具有统计意义的数据表,为之后的检测方法提高了扫描速度,降低了计算开销。
附图说明
图1为NetFlow采集与预处理方法的框图;
图2为DoS攻击下基于NetFlow的流量检测方法的流程图;
图3为SNMP异常检测方法的流程图。
具体实施方式
下面结合附图对本发明的原理和特征进行描述。
本发明提供一种基于NetFlow与SNMP结合的网络异常流量检测方法,用于网络流量异常检测,所述方法包括两个过程:NetFlow数据采集与处理过程和SNMP分析异常过程。
1、NetFlow数据采集与处理过程
NetFlow数据采集与处理过程具体流程为:
1)网络交换设备采集NetFlow数据,存入NetFlow数据库;
2)NetFlow数据库采用NetFlow预处理方法,经过数据选择、填补缺省值、数据规范化和数据归类的方法,将原始数据整理成规格化的数据并分成多张数据表,存入预处理数据库;
3)NetFlow监控程序实时扫描预处理数据库中的数据表,采用基于NetFlow的流量检测方法,检测预处理数据库中的信息是否异常,若有异常则向监控程序提交异常信息的IP地址和协议号。
前述的NetFlow预处理方法,具体包括:
1)NetFlow数据库中,选择源IP地址、目的IP地址、源端口、目的端口、协议类型、包数量、字节数和流数量属性列的数据,已提取的数据中只保留协议类型值为6、17、1三种(其他类型研究价值不大)的信息,其中6为TCP协议,17为UDP协议,1为ICMP协议;
2)NetFlow数据库扫描删选后的数据,若属性值中有缺失数据则填补缺省值,填补的属性值都用同一个常数值(如∞)替换;
3)填补完整后的数据进行数据规范化,源IP地址和目的IP地址用Hash函数转为二维矩阵X[M][N],对包数量和字节数属性值按比例缩小,使之落入一个小的特定区间;
4)规范后的数据进行数据归类,将转换为二维矩阵后的IP地址第一维相同的归为一类,形成一张数据表,将相同协议类型的归类为一张数据表
5)预处理后生成多张单个数据表;
6)将生成的数据表存入预处理数据库。
前述的基于NetFlow的流量检测方法,具体步骤为:
1)管理员设定预处理数据库中属性列的阈值,包括包数量N、字节数M、同一网段IP地址ip;
2)NetFlow监控程序扫描预处理数据库中的数据表,统计每张表的源IP地址数量C(ip),提交到后台管理程序;
3)管理程序检查源IP地址在同一网段的数量是否超过阈值,若是,转到步骤4),否则返回步骤2);
4)NetFlow监控程序再次扫描预处理数据库,统计源IP所在的网段中目的IP地址,提交到管理程序;
5)管理程序判断目的IP地址是否为同一个IP地址,若是,转到步骤6),否则返回步骤2);
6)NetFlow监控程序查询该目的IP地址对应的协议类型,提交给管理程序;
7)管理程序初步判断网络收到攻击,将收到的目的IP地址和协议类型提交给SNMP管理程序。
2、SNMP分析异常过程
SNMP分析异常过程部署了SNMP管理程序和受管设备的代理,该过程采用SNMP轮询机制,接收NetFlow数据采集与处理过程提交的异常IP地址和协议类型,SNMP管理程序根据SNMP协议中MIB定义的信息,向受管设备中的代理(Agent)发出流量请求,要求代理返回流量数,多次询问直到代理返回NULL,最后根据流量总数判定网络是否异常,具体步骤为:
1)SNMP管理程序进入睡眠状态,等待接收异常;
2)管理程序判断是否接收到异常IP地址,若有则到步骤3),否则返回步骤1);
3)SNMP管理端接收异常IP地址,向代理发送GET请求,查询该条IP的流量数;
4)代理收到GET请求后,查询该IP地址上的流量,发送GET-RESPONSE,将查询结果反馈给SNMP管理程序;
5)SNMP管理端向代理发送GET-NEXT请求,继续查询流量数;
6)代理收到GET-NEXT请求后,逐条查询IP地址上的流量,向SNMP管理程序发送GET-RESPONSE,并返回查询结果;
7)重复步骤5)和6),直到代理返回“NULL”;
8)统计IP地址上的总流量;
9)判断流量是否高于阈值,若是则到步骤10),否则转到步骤11);
10)网管工作站确定该IP有异常,结束;
11)网管工作站认为没有异常,改为安全事件,结束。
图1为NetFlow采集与预处理过程,在预处理过程中,采用数据选择、填补缺省值、数据规范化和数据归类的方法。数据选择将一些不能用的或非必要的数据去除,降低计算负载;填补缺省值对必要属性列填补空白数据,提高数据分析的准确性;数据规范化将一些数据较大的属性值按比例缩小为能处理的数据,形成适合数据分析的形式;数据归类将相近数据条归为一张数据表,方便计算;通过以上方法将庞大的初始数据分为多张规范化的数据表存入数据仓库,减轻了之前需要计算整张数据表的庞大任务。基于NetFlow的流量检测方法通过阈值判定方法,初步检测流量异常情况。NetFlow采集与处理过程具体流程为:
1)网管工作站对网络交换设备采集NetFlow数据,读取一个NetFlow数据包,对数据包解析;
2)将读取的信息条存入NetFlow数据库;
3)数据选择,从NetFlow数据库中的选择源IP地址、目的IP地址、源端口、目的端口、协议类型、包数量、字节数和流数量属性列的数据,只保留协议类型值为6、17、1三种(其他类型研究价值不大)的相关条目信息,其中6为TCP协议,17为UDP协议,1为ICMP协议;
4)填补缺省值,对已保留的属性值中缺失数据填补缺省值,将遗漏的属性值用同一个常数值(如∞)替换;
5)数据规范化,对源IP地址和目的IP地址用Hash机制转变为二维矩阵X[M][N],如IP地址为192.168.0.25,经过Hash函数转换为二维矩阵X[360][25];对包数量和字节数属性值按比例缩放,使之落入一个小的特定区间,如设定包数量范围为0.0~10.0,字节数范围为0.~1000.0;
6)数据归类,将转换为二维矩阵后的IP地址第一维相同的归为一类,例如IP地址范围为192.168.0.1~192.168.0.127转换后的二维矩阵范围为X[360][1]~X[360][127],即第一维为360的的IP地址归为一类,形成一张数据表;将相同协议类型的归位一类,如协议类型值都为6的,即TCP传输控制协议的归到一张数据表;
7)预处理后生成多张单个数据表;
8)多张单个数据表存入预处理数据库。
图2为DoS攻击下基于NetFlow的流量检测方法流程图。DoS攻击使用非正常的数据流量攻击网络设备或其接入的服务器,致使网络设备或服务器的性能下降,或占用网络带宽,影响其它相关用户流量的正常通信,最终可能导致网络服务的不可用。DoS可以利用TCP协议的缺陷,通过SYN打开半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接。本例中多个伪造的源IP同时向一个目的IP发起TCP SYN攻击,具体步骤为:
1)管理员设定预处理数据库中属性列的阈值,包数量设为8、字节数为850、同一网段IP地址为400;
2)NetFlow监控程序扫描预处理数据库中的数据表,统计每张表的源IP地址数量;
3)管理程序检查源IP地址在同一网段的数量是否超过阈值,若是,转到步骤4),否则返回步骤2);
4)NetFlow监控程序再次扫描预处理数据库,统计源IP所在的网段中目的IP地址,提交到管理程序;
5)管理程序判断目的IP地址是否为同一个IP地址,若是,转到步骤6),否则返回步骤2);
6)NetFlow监控程序查询该目的IP地址对应的协议类型,提交给管理程序;
7)管理程序初步判断网络收到攻击,将收到的目的IP地址和协议类型提交给SNMP管理程序。
图3为SNMP异常检测方法的流程图,监控端收到异常的IP地址和协议类型后,采用SNMP网络异常检测方法检测异常信息是否属实,具体步骤为:
1)SNMP管理程序进入睡眠状态;
2)管理程序判断是否接收到异常IP地址,若有则到步骤3),否则返回步骤1);
3)SNMP管理端接收异常IP地址,向代理发送GET请求;
4)代理收到GET请求后,查询该IP地址上的流量,发送GET-RESPONSE,将查询结果反馈给SNMP管理程序;
5)SNMP管理端向代理发送GET-NEXT请求;
6)代理收到GET-NEXT请求后,逐项查询该IP地址上的流量,并向SNMP管理程序发送GET-RESPONSE;
7)重复步骤5)和6),直到代理返回“NULL”;
8)统计IP地址上的总流量;
9)判断流量是否高于阈值,若是则到步骤10),否则转到步骤11);
10)网管工作站确定该IP有异常,结束;
11)网管工作站认为没有异常,改为安全事件,结束。
本发明提供的一种基于NetFlow与SNMP结合的网络异常流量检测方法,提高了网络异常流量检测的准确性,降低了误报率。与单一分析NetFlow数据或者SNMP协议相比,这两种检测方法结合,能全面、精确的检测网络异常流量。本发明有益效果在于:(1)实现多级检测方法,利用NetFlow数据进行细粒度检测分析,再采用SNMP协议进行粗粒度检测分析,保证了告警的正确性,降低误报率。(2)采用NetFlow预处理方法,将采集到的大量数据分成多张具有统计意义的数据表,为之后的检测方法提高了扫描速度,降低了计算开销。

Claims (3)

1.一种基于SNMP与NetFlow结合的网络异常流量检测方法,其特征在于:
(1)NetFlow数据采集与处理:
(1.1)网络交换设备采集NetFlow数据,存入NetFlow数据库;
(1.2)NetFlow数据库采用NetFlow预处理方法,经过数据选择、填补缺省值、数据规范化和数据归类的方法,将原始数据整理成规格化的数据并分成数据表,存入预处理数据库;
(1.3)NetFlow监控程序实时扫描预处理数据库中的数据表,采用基于NetFlow的流量检测方法,检测预处理数据库中的信息是否异常,若有异常则向监控程序提交异常信息的IP地址和协议号;
(2)SNMP管理程序分析异常:
(2.1)SNMP管理程序进入睡眠状态,等待接收异常;
(2.2)管理程序判断是否接收到异常IP地址,若有则到步骤(2.3),否则返回步骤(2.1);
(2.3)SNMP管理端接收异常IP地址,向代理发送GET请求,查询该条IP的流量数;
(2.4)代理收到GET请求后,查询该IP地址上的流量,发送GET-RESPONSE,将查询结果反馈给SNMP管理程序;
(2.5)SNMP管理端向代理发送GET-NEXT请求,继续查询流量数;
(2.6)代理收到GET-NEXT请求后,逐条查询IP地址上的流量,向SNMP管理程序发送GET-RESPONSE,并返回查询结果;
(2.7)重复步骤(2.5)和(2.6),直到代理返回“NULL”;
(2.8)统计IP地址上的总流量;
(2.9)判断流量是否高于阈值,若是则到步骤(2.10),否则转到步骤(2.11);
(2.10)网管工作站确定该IP有异常,结束;
(2.11)网管工作站认为没有异常,改为安全事件,结束。
2.根据权利要求1所述的一种基于SNMP与NetFlow结合的网络异常流量检测方法,其特征在于:所述的NetFlow预处理方法包括:
(1.2.1)NetFlow数据库中,选择源IP地址、目的IP地址、源端口、目的端口、协议类型、包数量、字节数和流数量属性列的数据,已提取的数据中只保留协议类型值为6、17、1三种信息,其中6为TCP协议,17为UDP协议,1为ICMP协议;
(1.2.2)NetFlow数据库扫描删选后的数据,若属性值中有缺失数据则填补缺省值,填补的属性值都用同一个常数值替换;
(1.2.3)填补完整后的数据进行数据规范化,源IP地址和目的IP地址用Hash函数转为二维矩阵X[M][N],对包数量和字节数属性值按比例缩小,使之落入特定区间;
(1.2.4)规范后的数据进行数据归类,将转换为二维矩阵后的IP地址第一维相同的归为一类,形成一张数据表,将相同协议类型的归类为一张数据表;
(1.2.5)预处理后生成多张单个数据表;
(1.2.6)将生成的数据表存入预处理数据库。
3.根据权利要求1所述的一种基于SNMP与NetFlow结合的网络异常流量检测方法,其特征在于:所述的NetFlow的流量检测方法包括:
(1.3.1)设定预处理数据库中属性列的阈值,包括包数量N、字节数M、同一网段IP地址ip;
(1.3.2)NetFlow监控程序扫描预处理数据库中的数据表,统计每张表的源IP地址数量C(ip),提交到后台管理程序;
(1.3.3)管理程序检查源IP地址在同一网段的数量是否超过阈值,若是,转到步骤(1.3.4),否则返回步骤(1.3.2);
(1.3.4)NetFlow监控程序再次扫描预处理数据库,统计源IP所在的网段中目的IP地址,提交到管理程序;
(1.3.5)管理程序判断目的IP地址是否为同一个IP地址,若是,转到步骤(1.3.6),否则返回步骤(1.3.2);
(1.3.6)NetFlow监控程序查询该目的IP地址对应的协议类型,提交给管理程序;
(1.3.7)管理程序初步判断网络收到攻击,将收到的目的IP地址和协议类型提交给SNMP管理程序。
CN201410352941.1A 2014-07-23 2014-07-23 一种基于SNMP与NetFlow结合的网络异常流量检测方法 Expired - Fee Related CN104092588B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410352941.1A CN104092588B (zh) 2014-07-23 2014-07-23 一种基于SNMP与NetFlow结合的网络异常流量检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410352941.1A CN104092588B (zh) 2014-07-23 2014-07-23 一种基于SNMP与NetFlow结合的网络异常流量检测方法

Publications (2)

Publication Number Publication Date
CN104092588A true CN104092588A (zh) 2014-10-08
CN104092588B CN104092588B (zh) 2017-11-21

Family

ID=51640270

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410352941.1A Expired - Fee Related CN104092588B (zh) 2014-07-23 2014-07-23 一种基于SNMP与NetFlow结合的网络异常流量检测方法

Country Status (1)

Country Link
CN (1) CN104092588B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104618377A (zh) * 2015-02-04 2015-05-13 上海交通大学 基于NetFlow的僵尸网络检测系统与检测方法
CN104660464A (zh) * 2015-01-22 2015-05-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN105407103A (zh) * 2015-12-19 2016-03-16 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN106034056A (zh) * 2015-03-18 2016-10-19 北京启明星辰信息安全技术有限公司 一种业务安全分析的方法和系统
CN107819612A (zh) * 2014-11-03 2018-03-20 中国人民解放军空军装备研究院雷达与电子对抗研究所 一种对空射击管理系统中的监管方法
CN108566306A (zh) * 2018-04-28 2018-09-21 广东电网有限责任公司 一种基于数据均衡技术的网络安全实时异常检测方法
CN115941423A (zh) * 2022-11-22 2023-04-07 北京润通丰华科技有限公司 一种路由器NetFlow数据采集判断及纠错的方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101188531A (zh) * 2007-12-27 2008-05-28 沈阳东软软件股份有限公司 一种监测网络流量异常的方法及系统
CN102209010A (zh) * 2011-06-10 2011-10-05 北京神州绿盟信息安全科技股份有限公司 一种网络测试系统和方法
US8185619B1 (en) * 2006-06-28 2012-05-22 Compuware Corporation Analytics system and method
CN103457791A (zh) * 2013-08-19 2013-12-18 国家电网公司 一种智能变电站网络采样和控制链路的自诊断方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8185619B1 (en) * 2006-06-28 2012-05-22 Compuware Corporation Analytics system and method
CN101188531A (zh) * 2007-12-27 2008-05-28 沈阳东软软件股份有限公司 一种监测网络流量异常的方法及系统
CN102209010A (zh) * 2011-06-10 2011-10-05 北京神州绿盟信息安全科技股份有限公司 一种网络测试系统和方法
CN103457791A (zh) * 2013-08-19 2013-12-18 国家电网公司 一种智能变电站网络采样和控制链路的自诊断方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵晓峰等: "基于 NETFLOW与SNMP 的园区网流量监控系统", 《计算机技术与发展》 *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107819612A (zh) * 2014-11-03 2018-03-20 中国人民解放军空军装备研究院雷达与电子对抗研究所 一种对空射击管理系统中的监管方法
CN104660464A (zh) * 2015-01-22 2015-05-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN104660464B (zh) * 2015-01-22 2016-01-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN104618377B (zh) * 2015-02-04 2018-01-30 上海交通大学 基于NetFlow的僵尸网络检测系统与检测方法
CN104618377A (zh) * 2015-02-04 2015-05-13 上海交通大学 基于NetFlow的僵尸网络检测系统与检测方法
CN106034056B (zh) * 2015-03-18 2020-04-24 北京启明星辰信息安全技术有限公司 一种业务安全分析的方法和系统
CN106034056A (zh) * 2015-03-18 2016-10-19 北京启明星辰信息安全技术有限公司 一种业务安全分析的方法和系统
CN105407103B (zh) * 2015-12-19 2018-06-29 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN105407103A (zh) * 2015-12-19 2016-03-16 中国人民解放军信息工程大学 一种基于多粒度异常检测的网络威胁评估方法
CN108566306A (zh) * 2018-04-28 2018-09-21 广东电网有限责任公司 一种基于数据均衡技术的网络安全实时异常检测方法
CN108566306B (zh) * 2018-04-28 2020-08-04 广东电网有限责任公司 一种基于数据均衡技术的网络安全实时异常检测方法
CN115941423A (zh) * 2022-11-22 2023-04-07 北京润通丰华科技有限公司 一种路由器NetFlow数据采集判断及纠错的方法
CN115941423B (zh) * 2022-11-22 2024-08-23 北京润通丰华科技有限公司 一种路由器NetFlow数据采集判断及纠错的方法

Also Published As

Publication number Publication date
CN104092588B (zh) 2017-11-21

Similar Documents

Publication Publication Date Title
CN104092588A (zh) 一种基于SNMP与NetFlow结合的网络异常流量检测方法
CN102315974B (zh) 基于层次化特征分析的tcp、udp流量在线识别方法和装置
CN105871832B (zh) 一种基于协议属性的网络应用加密流量识别方法及其装置
US8797901B2 (en) Method and its devices of network TCP traffic online identification using features in the head of the data flow
CN102801738B (zh) 基于概要矩阵的分布式拒绝服务攻击检测方法及系统
CN109766695A (zh) 一种基于融合决策的网络安全态势感知方法和系统
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
CN108040074A (zh) 一种基于大数据的实时网络异常行为检测系统及方法
CN107404400A (zh) 一种网络态势感知实现方法及装置
CN106357673A (zh) 一种多租户云计算系统DDoS攻击检测方法及系统
CN104660464B (zh) 一种基于非广延熵的网络异常检测方法
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
CN107370752B (zh) 一种高效的远控木马检测方法
CN104618377A (zh) 基于NetFlow的僵尸网络检测系统与检测方法
US20070234425A1 (en) Multistep integrated security management system and method using intrusion detection log collection engine and traffic statistic generation engine
CN103491069A (zh) 网络数据包的过滤方法
CN107566192B (zh) 一种异常流量处理方法及网管设备
KR101602189B1 (ko) 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템
CN107302534A (zh) 一种基于大数据平台的DDoS网络攻击检测方法及装置
CN106603326A (zh) 基于异常反馈的NetFlow采样处理方法
CN105227408A (zh) 一种智能木马识别装置及方法
CN104009986A (zh) 一种基于主机的网络攻击跳板检测方法及装置
Wang et al. Honeynet construction based on intrusion detection
CN106685962A (zh) 一种反射型ddos攻击流量的防御系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20171121