CN105049276A

CN105049276A - 对广域网流量行为进行监测管理的方法和装置

Info

Publication number: CN105049276A
Application number: CN201510291029.4A
Authority: CN
Inventors: 张洁
Original assignee: Beijing Eastern Prism Technology Corp Ltd
Current assignee: Beijing Eastern Prism Technology Corp Ltd
Priority date: 2015-05-29
Filing date: 2015-05-29
Publication date: 2015-11-11
Anticipated expiration: 2035-05-29
Also published as: CN105049276B

Abstract

本发明实施例提供了一种对广域网流量行为进行监测管理的方法和装置。该方法主要包括:通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段；将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值；将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。应用本发明,能够有效地检测出广域网中的异常流量攻击，以保证网络应用的安全性与可用性，给网络用户一个安全、可用的网络应用环境。

Description

对广域网流量行为进行监测管理的方法和装置

技术领域

本发明涉及技术领域，尤其涉及一种对广域网流量行为进行监测管理的方法和装置。

背景技术

在互联网飞速发展的今天，网民数量正在以每分钟百人的速度激增，就在这互联网遍及千家万户的时候，广域网大规模攻击频繁发生，例如2014年8月份众多大型游戏网站和服务商的服务器遭受了有预谋的DDoS攻击，影响了这些网站的服务质量；受害最严重的就是索尼的PSN服务网络，曾经全部瘫痪，众多玩家无法正常进行在线游戏和购买游戏内容；2014年12月运营商DNS网络DDoS攻击事件，多个省份不断出现网页访问缓慢，甚至无法打开等故障现象。如今DDoS攻击单纯为破坏的可能性越来越小，从最终攻击者获取利益来看分为三类：敲诈勒索、实施报复及获取竞争优势。

目前，现有的广域网流量行为智能监测与安全分析方法主要包括三大技术：一是流量统计和阈值检测技术；二是源与目的主机可信性验证技术；三是分布与特征检测技术。

上述现有的广域网流量行为智能监测与安全分析方法的缺点为：存在较大的误报率、不能全面检测异常流量攻击、特征检测性能不高。

发明内容

本发明的实施例提供了一种对广域网流量行为进行监测管理的方法和装置，以实现有效地对广域网中的流量行为进行智能监测与安全分析。

为了实现上述目的，本发明采取了如下技术方案。

根据本发明的一个方面，提供了一种对广域网流量行为进行监测管理的方法，包括：

通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段；

将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值；

将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。

优选地，所述的通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段，包括：

获取广域网中传输的数据包，解析所述数据包的协议，对所述数据包的网络行为信息进行规范化，规范化后的网络行为信息格式包括开始时间、结束时间、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目的端口、协议类型、TCP标志、包个数、字节数、流数量、IP包分片偏移量。

设基于时间段的网络行为信息流为X＝{x(t₁),,,x(t_j),,,x(t_c)}，其中,x(t₁)为t₁时间段的网络行为信息，x(t_c)为t_c时间段的网络行为信息，I＝{t₁,,,t_j,,,t_c}；

将所述网络行为信息流X分割成一系列连续的非空数据段{X₁,,,X_j,,X_m}，其中第j个数据段X_j对应的数据段为t_j,X_m包含当前时间段的网络行为信息t_c的数据段。

优选地，所述的将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值，包括：

将每个数据段分割成多个子数据段，其中第j个数据段X_j＝{X_j(1),,,X_j(2),,,X_j(n)}，对应的数据段为t_j,n为数据段X_j的长度；

计算第j个滑动时间窗口内网络流量行为的标准差s，计算方式为:

s_{j} = \sqrt{\frac{{(X_{j} (1) - x_{j})}^{2} + {(X_{j} (2) - x_{j})}^{2} + . . . + {(X_{j} (n) - x_{j})}^{2}}{m}}

x_j为X_j(1),,,X_j(2),,,X_j(n)的平均值，标准差s_j为第j个时间段内网络流量行为的趋势值。

按照所述s_j的计算过程，计算出每个时间段内网络流量行为的趋势值。

优选地，所述的将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为，包括：

计算所有时间段的网络流量行为趋势值s的信息熵H(x)，信息熵H(x)的计算公式为：

H(x)＝-∑p(s_j)×logp(s_j)，j＝1,2,..m

其中，s_j为第j个时间段的网络流量行为的趋势值，p(s_j)＝s_j/∑s_j，j＝1,2,..m；

当信息熵H(x)小于预先设定的趋势阈值时，取所有时间段的网络流量行为的趋势值的最大值作为最新的趋势阈值；

将待监测滑动时间窗口的趋势值与所述最新的趋势阈值比较，若待监测滑动时间窗口的趋势值大于最新的趋势阈值，则判断待监测滑动时间窗口内的流量行为为异常流量行为；若待监测滑动时间窗口的趋势值小于所述最新的趋势阈值，则判断待监测滑动时间窗口内的流量行为为正常流量行为。

根据本发明的另一个方面，提供了一种对广域网流量行为进行监测管理的装置，其特征在于，包括：

网络行为信息流获取模块，用于通过对广域网中传输的数据包进行解析获取网络行为信息流；

数据段划分模块，用于将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段；

数据段趋势值计算模块，用于将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值；

流量行为判断模块，用于将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。

优选地，所述的网络行为信息流获取模块，用于获取广域网中传输的数据包，解析所述数据包的协议，对所述数据包的网络行为信息进行规范化，规范化后的网络行为信息格式包括开始时间、结束时间、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目的端口、协议类型、TCP标志、包个数、字节数、流数量、IP包分片偏移量。

优选地，所述的数据段划分模块，用于设基于时间段的网络行为信息流为X＝{x(t₁),,,x(t_j),,,x(t_c)}，其中,x(t₁)为t₁时间段的网络行为信息，x(t_c)为t_c时间段的网络行为信息，I＝{t₁,,,t_j,,,t_c}；

优选地，所述的数据段趋势值计算模块，用于将每个数据段分割成多个子数据段，其中第j个数据段X_j＝{X_j(1),,,X_j(2),,,X_j(n)}，对应的数据段为t_j,n为数据段X_j的长度，

s_{j} = \sqrt{\frac{{(X_{j} (1) - x_{j})}^{2} + {(X_{j} (2) - x_{j})}^{2} + . . . + {(X_{j} (n) - x_{j})}^{2}}{m}}

优选地，所述的流量行为判断模块，用于计算所有时间段的网络流量行为趋势值s的信息熵H(x)，信息熵H(x)的计算公式为：

H(x)＝-∑p(s_j)×logp(s_j)，j＝1,2,..m

由上述本发明的实施例提供的技术方案可以看出，本发明实施例提供一种在广域网中对流量行为进行智能监测与安全分析的装置，使得能够有效地检测出广域网中的异常流量攻击，以保证网络应用的安全性与可用性，给网络用户一个安全、可用的网络应用环境。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种对广域网流量行为进行监测管理的装置的应用场景示意图；

图2为本发明实施例一提供的一种对广域网流量行为进行监测管理的方法的处理流程图；

图3为本发明实施例一提供的一种对广域网流量行为进行监测管理的装置的具体结构示意图，图中，网络行为信息流获取模块31，数据段划分模块32，数据段趋势值计算模块33，流量行为判断模块34和安全分析模块35。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

实施例一

本发明实施例采用基于滑动时间窗口的趋势监测技术、趋势阈值自学习技术、信息熵技术对网络流量进行广域网流量行为的智能监测与安全分析，克服了以上三大方向的方法中存在的缺点，能够防御各种异常流量攻击。

对广域网流量行为进行智能监测与安全分析的装置的应用场景示意图如图1所示，对广域网流量行为进行智能监测与安全分析装置设置在城域网和广域网之间，其中，城域网，包括路由器与交换机，可以传送和路由网络流量，以及城域网内部的网络用户和网络服务；对广域网流量行为进行智能监测与安全分析装置，用于获得与解析广域网中传输的数据包，监测管理网络流量行为，检测异常流量攻击；广域网，包括路由器与交换机，可以传送和路由网络流量。

本发明实施例提出的一种对广域网流量行为进行智能监测与安全分析的方法的处理流程如图2所示，包括以下的处理步骤：

步骤201：获取广域网中传输的数据包；

步骤202：解析广域网中传输的数据包的协议，对广域网中传输的数据包的网络行为信息进行规范化，规范化后的网络行为信息格式包括开始时间、结束时间、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目的端口、协议类型、TCP标志、包个数、字节数、流数量、IP包分片偏移量；

步骤203：基于滑动时间窗口计算趋势，假设基于滑动时间窗口的网络行为信息流为X＝{x(t₁),,,x(t_j),,,x(t_c)}，其中,x(t₁)为t₁时间段的网络行为信息，x(t_c)为t_c时间段的网络行为信息，I＝{t₁,,,t_j,,,t_c}。

在本发明实施例中，将每个时间段作为一个滑动时间窗口，将上述网络行为信息流X分割成一系列连续的非空数据段{X₁,,,X_j,,X_m}，其中第j个数据段X_j＝{X_j(1),,,X_j(2),,,X_j(n)}，对应第j个滑动时间窗口，对应的数据到达时间段为t_j,n为数据段X_j的长度，X_m包含当前时间段的网络行为信息t_c的数据段，是当前数据段。

s_{j} = \sqrt{\frac{{(X_{j} (1) - x_{j})}^{2} + {(X_{j} (2) - x_{j})}^{2} + . . . + {(X_{j} (n) - x_{j})}^{2}}{m}}

x_j为X_j(1),,,X_j(2),,,X_j(n)的平均值，标准差s_j为第j个滑动时间窗口内网络流量行为的趋势值。

按照上述s_j的计算过程，计算出每个滑动时间窗口内网络流量行为的趋势值。

步骤204：基于信息熵自学习趋势阈值，计算所有滑动时间窗口内网络流量行为趋势值s的信息熵H(x)，信息熵H(x)的计算公式为：

H(x)＝-∑p(s_j)×logp(s_j)，j＝1,2,..m

其中，s_j为第j个滑动时间窗口内的网络流量行为的趋势值，p(s_j)＝sj/∑s_j为s_j的概率值(j＝1,2,..m)。

当信息熵H(x)小于预先设定的趋势阈值时，取所有滑动时间窗口的网络流量行为的趋势值的最大值作为最新的趋势阈值；当信息熵H(x)大于预先设定的趋势阈值，丢弃该信息熵H(x)。

步骤205：异常流量行为监测，将待监测滑动时间窗口的趋势值与上述最新的趋势阈值比较，若待监测滑动时间窗口的趋势值大于最新的趋势阈值，则判断待监测滑动时间窗口内的流量行为为异常流量行为；

若待监测滑动时间窗口的趋势值小于最新的趋势阈值，则判断待监测滑动时间窗口内的流量行为为正常流量行为。

步骤206：判定流量行为是否是异常流量攻击,若是，则执行步骤207，否则，执行步骤201；

步骤207：计算源主机与目的主机的信息熵，计算公式为：H(x)＝-∑p(x_i)×logp(x_i)，i＝1,2,..m

其中x_i为网络流量行为IP地址，p(x_i)为概率函数，源主机IP地址的信息熵大于预先设定的熵阈值，异常流量行为为拒绝服务攻击，目的主机IP地址的信息熵大于熵阈值，异常流量行为为网络扫描；

步骤208：流量行为安全分析，对于拒绝服务攻击,如果该异常流量行为中是TCP连接且只有SYN与SYN+ACK报文，则判定该异常流量行为是SYNFlood拒绝服务攻击；如果该异常流量行为由UDP报文组成且IP分片包的偏移量存在重叠现象，则判定该异常流量行为是Teardrop拒绝服务攻击；该异常流量行为中是ICMP应答响应包，则判定该异常流量行为是Smurf拒绝服务攻击。

实施例二

本发明实施例提供了一种对广域网流量行为进行监测管理的装置，该装置的具体结构如图3所示，包括如下的模块：

网络行为信息流获取模块31，用于通过对广域网中传输的数据包进行解析获取网络行为信息流；

数据段划分模块32，用于将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段；

数据段趋势值计算模块33，用于将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值；

流量行为判断模块34，用于将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。

安全分析模块35，用于进行源与目的主机信息熵计算、流量行为安全分析。

进一步地，所述的网络行为信息流获取模块31，用于获取广域网中传输的数据包，解析所述数据包的协议，对所述数据包的网络行为信息进行规范化，规范化后的网络行为信息格式包括开始时间、结束时间、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目的端口、协议类型、TCP标志、包个数、字节数、流数量、IP包分片偏移量。

进一步地，所述的数据段划分模块32，用于设基于时间段的网络行为信息流为X＝{x(t₁),,,x(t_j),,,x(t_c)}，其中,x(t₁)为t₁时间段的网络行为信息，x(t_c)为t_c时间段的网络行为信息，I＝{t₁,,,t_j,,,t_c}；

进一步地，所述的数据段趋势值计算模块33，用于将每个数据段分割成多个子数据段，其中第j个数据段X_j＝{X_j(1),,,X_j(2),,,X_j(n)}，对应的数据段为t_j,n为数据段X_j的长度，

s_{j} = \sqrt{\frac{{(X_{j} (1) - x_{j})}^{2} + {(X_{j} (2) - x_{j})}^{2} + . . . + {(X_{j} (n) - x_{j})}^{2}}{m}}

进一步地，所述的流量行为判断模块34，用于计算所有时间段的网络流量行为趋势值s的信息熵H(x)，信息熵H(x)的计算公式为：

H(x)＝-∑p(s_j)×logp(s_j)，j＝1,2,..m

进一步地，安全分析模块35，具体用于计算源主机与目的主机的信息熵，计算公式为：H(x)＝-∑p(x_i)×logp(x_i)，i＝1,2,..m

流量行为安全分析，对于拒绝服务攻击,如果该异常流量行为中是TCP连接且只有SYN与SYN+ACK报文，则判定该异常流量行为是SYNFlood拒绝服务攻击；如果该异常流量行为由UDP报文组成且IP分片包的偏移量存在重叠现象，则判定该异常流量行为是Teardrop拒绝服务攻击；该异常流量行为中是ICMP应答响应包，则判定该异常流量行为是Smurf拒绝服务攻击。

用本发明实施例的装置进行对广域网流量行为进行监测管理的具体过程与前述方法实施例类似，此处不再赘述。

综上所述，本发明实施例提供一种在广域网中对流量行为进行智能监测与安全分析的装置，使得能够有效地检测出广域网中的异常流量攻击，降低了误报率，以保证网络应用的安全性与可用性，给网络用户一个安全、可用的网络应用环境。

本发明的方法及装置与目前已有的流量检测技术相比，与流量统计和阈值检测技术相比，具有准确检测与误报率低的优点，与源和目的主机可信性验证技术相比，具有监测范围广、监测方式灵活与漏报率低的优点，与分布和特征检测技术，具有漏报率低与性能高的优点。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种对广域网流量行为进行监测管理的方法，其特征在于，包括：

2.根据权利要求1所述的对广域网流量行为进行监测管理的方法，其特征在于，所述的通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段，包括：

3.根据权利要求1所述的对广域网流量行为进行监测管理的方法，其特征在于，所述的通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段，包括：

4.根据权利要求3所述的对广域网流量行为进行监测管理的方法，其特征在于，所述的将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值，包括：

s_{j} = \sqrt{\frac{{(X_{j} (1) - x_{j})}^{2} + {(X_{j} (2) - x_{j})}^{2} + . . . + {(X_{j} (n) - x_{j})}^{2}}{m}}

5.根据权利要求3所述的对广域网流量行为进行监测管理的方法，其特征在于，所述的将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为，包括：

H(x)＝-Σp(s_j)×logp(s_j)，j＝1,2,..m

其中，s_j为第j个时间段的网络流量行为的趋势值，p(s_j)＝s_j/Σs_j，j＝1,2,..m；

6.一种对广域网流量行为进行监测管理的装置，其特征在于，包括：

7.根据权利要求6所述的对广域网流量行为进行监测管理的装置，其特征在于：

所述的网络行为信息流获取模块，用于获取广域网中传输的数据包，解析所述数据包的协议，对所述数据包的网络行为信息进行规范化，规范化后的网络行为信息格式包括开始时间、结束时间、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目的端口、协议类型、TCP标志、包个数、字节数、流数量、IP包分片偏移量。

8.根据权利要求6所述的对广域网流量行为进行监测管理的装置，其特征在于：

所述的数据段划分模块，用于设基于时间段的网络行为信息流为X＝{x(t₁),,,x(t_j),,,x(t_c)}，其中,x(t₁)为t₁时间段的网络行为信息，x(t_c)为t_c时间段的网络行为信息，I＝{t₁,,,t_j,,,t_c}；

9.根据权利要求8所述的对广域网流量行为进行监测管理的装置，其特征在于：

所述的数据段趋势值计算模块，用于将每个数据段分割成多个子数据段，其中第j个数据段X_j＝{X_j(1),,,X_j(2),,,X_j(n)}，对应的数据段为t_j,n为数据段X_j的长度，

s_{j} = \sqrt{\frac{{(X_{j} (1) - x_{j})}^{2} + {(X_{j} (2) - x_{j})}^{2} + . . . + {(X_{j} (n) - x_{j})}^{2}}{m}}

10.根据权利要求9所述的对广域网流量行为进行监测管理的装置，其特征在于：

所述的流量行为判断模块，用于计算所有时间段的网络流量行为趋势值s的信息熵H(x)，信息熵H(x)的计算公式为：

H(x)＝-Σp(s_j)×logp(s_j)，j＝1,2,..m