CN106506242B - 一种网络异常行为和流量监测的精确定位方法与系统 - Google Patents

一种网络异常行为和流量监测的精确定位方法与系统 Download PDF

Info

Publication number
CN106506242B
CN106506242B CN201611153863.8A CN201611153863A CN106506242B CN 106506242 B CN106506242 B CN 106506242B CN 201611153863 A CN201611153863 A CN 201611153863A CN 106506242 B CN106506242 B CN 106506242B
Authority
CN
China
Prior art keywords
network
node
flow
judging
abnormal behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611153863.8A
Other languages
English (en)
Other versions
CN106506242A (zh
Inventor
何华
何中天
何中旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Eastern Prism Technology Corp Ltd
Original Assignee
Beijing Eastern Prism Technology Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Eastern Prism Technology Corp Ltd filed Critical Beijing Eastern Prism Technology Corp Ltd
Priority to CN201611153863.8A priority Critical patent/CN106506242B/zh
Publication of CN106506242A publication Critical patent/CN106506242A/zh
Application granted granted Critical
Publication of CN106506242B publication Critical patent/CN106506242B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种网络异常行为和流量监测的精确定位方法与系统,属于网络安全技术领域。包括以下步骤:步骤A、基于进出流量大小判定网络节点类型;步骤B、基于节点网络行为信息熵与流量情况精确定位网络异常行为类型;步骤C、基于时序与报文内容分析回溯攻击路径。本发明的优点是使得能够快速精确定位网络异常行为、回溯攻击路径,以保证网络应用的安全性与可用性,给网络用户一个安全、可用的网络应用环境。

Description

一种网络异常行为和流量监测的精确定位方法与系统
技术领域
本发明涉及一种网络异常行为和流量监测的精确定位方法与系统,属于网络安全技术领域。
背景技术
互联网极大地变革着人们的工作与生活方式,改变了人们的观念,大大促进了社会的发展,同时,作为虚拟世界的互联网与现实社会一样也存在损害别人利益的行为,比如蠕虫、木马、DDoS频繁发生,这些黑恶行为严重影响互联网上网络服务的可用性,消耗了网络带宽,甚至使部分网络服务瘫痪,同时由于物理安全问题,网络故障问题也时有发生,影响了用户的上网体验。
网络异常行为和流量监测的精确定位技术的发展有三个方向,一是流量统计和阈值检测技术;二是源与目的主机可信性验证技术;三是分布与特征技术。对于这三个方向的技术,它们的优点是技术比较成熟,能够比较有效地定位网络异常行为;缺陷是存在较大的误报率或漏报率,或者性能较低。
发明内容
为了克服现有技术的不足,本发明提供一种网络异常行为和流量监测的精确定位方法与系统。
一种网络异常行为和流量监测的精确定位方法,包括:网络节点的分类步骤、基于滑动窗口的网络正常行为自学习步骤、信息熵步骤、基于时序的关联分析步骤、基于报文内容的匹配步骤。
一种网络异常行为和流量监测的精确定位方法,还含有以下步骤;
步骤A、基于进出流量大小判定网络节点类型;
步骤B、基于节点网络行为信息熵与流量情况精确定位网络异常行为类型;
步骤C、基于时序与报文内容分析回溯攻击路径。
一种网络异常行为和流量监测的精确定位系统,包括:
判定网络节点类型模块,
异常行为精确定位模块和攻击路径回溯模块。
本发明的优点是使得能够快速精确定位网络异常行为、回溯攻击路径,以保证网络应用的安全性与可用性,给网络用户一个安全、可用的网络应用环境。
附图说明
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,如图其中:
图1是网络异常行为和流量监测的精确系统的组网示意图;
图2是本发明方法的系统结构示意图;
图3是本发明方法的主流程图;
图4是本发明方法判定网络节点类型的流程图;
图5是本发明方法精确定位网络异常行为的流程图;
图6是本发明方法回溯攻击路径的流程图;
下面结合附图和实施例对本发明进一步说明。
具体实施方式
显然,本领域技术人员基于本发明的宗旨所做的许多修改和变化属于本发明的保护范围。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当称元件、组件被“连接”到另一元件、组件时,它可以直接连接到其他元件或者组件,或者也可以存在中间元件或者组件。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。
为便于对本发明实施例的理解,下面将做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例1:如图1、图2、图3、图4、图5、图6所示,一种网络异常行为和流量监测的精确定位方法,包括以下步骤:
步骤A、基于进出流量大小判定网络节点类型;
步骤B、基于节点网络行为信息熵与流量情况精确定位网络异常行为类型;
步骤C、基于时序与报文内容分析回溯攻击路径。
所述步骤B包括:
步骤B1、自学习历史信息熵与正常网络流量;
步骤B2、实时计算信息熵与统计节点流量信息;
步骤B3、比较信息熵与流量情况精确定位网络异常行为类型。
所述通过基于信息熵与流量精确定位网络异常行为所需信息包括:滑动窗口监测时间点、抓包时间、源IP地址、目的IP地址、信息熵、发送的网络包个数、接收的网络包个数、载荷散列表。
优选地,所述步骤C包括:
步骤C1、基于时序的关联分析;
步骤C2、基于报文内容的匹配分析。
判定网络节点类型模块判定网络节点是云节点、管节点或端节点中的哪种类型;异常行为精确定位模块自学习历史信息熵与正常网络流量,实时计算信息熵与统计节点流量信息,基于信息熵与流量精确定位异常行为类型;攻击路径回溯模块基于时序进行关联分析,基于报文内容进行匹配分析,最后判定攻击的源头节点。
一种网络异常行为和流量监测的精确定位方法,包括以下步骤:
判定网络节点类型步骤,判定网络节点为云节点、管节点或端节点;
异常行为精确定位步骤,包括自学习历史信息熵与正常网络流量、实时计算信息熵与统计节点流量信息、异常行为精确定位;
攻击路径回溯步骤,包括基于时序的关联分析、基于报文内容的匹配分析。
一种网络异常行为和流量监测的精确定位系统,如图1所示。其中含有云平台,包括交换机、虚拟服务器、虚拟防火墙;用于判定网络节点类型、精确定位网络异常行为、回溯攻击路径;
互联网,包括路由器与交换机,可以传送和路由网络流量。
实施例2:参照图2,一种网络异常行为和流量监测的精确定位系统,包括判定网络节点类型模块,异常行为精确定位模块和攻击路径回溯模块。
判定网络节点类型模块,用于判定网络节点为云节点、管节点或端节点;
异常行为精确定位模块,包括自学习历史信息熵与正常网络流量、实时计算信息熵与统计节点流量信息、异常行为精确定位;
攻击路径回溯模块,包括基于时序的关联分析、基于报文内容的匹配分析。
实施例3:结合图3所示的流程图对本发明作进一步的详细说明。
一种网络异常行为和流量监测的精确定位方法,含有以下步骤;
步骤301:判定网络节点为云节点、管节点或端节点;
步骤302:自学习历史信息熵与正常网络流量;
步骤303:实时计算信息熵与统计节点流量信息;
步骤304:基于信息熵与流量精确定位网络异常行为;
步骤305:基于时序的关联分析攻击路径;
步骤306:基于报文内容的匹配分析攻击路径。
实施例4:结合图4所示的流程图对本发明作进一步的详细说明。
一种网络异常行为和流量监测的精确定位方法,含有以下步骤;
步骤401:以小时为周期,统计网络节点的进出流量;
步骤402:判断进流量是否等于出流量,若不是,转入步骤403;若是,判定为管节点;
步骤403:判断进流量是否大于出流量,若是,判定为端节点,否则判定为云节点。
实施例5:结合图5所示的流程图对本发明作进一步的详细说明。
一种网络异常行为和流量监测的精确定位方法,含有以下步骤;
步骤501:以周为滑动时间窗,自学习每小时节点信息熵;
步骤502:计算当前每小时节点的信息熵,信息熵的计算公式为H(x)=-∑p(xi)log(2,p(xi))(i=1,2,..n),其中xi为网络流量行为值,P(xi)为概率函数;
步骤503:若是端节点且出流量是否大于入流量,若不是,转入步骤504;若是,判断信息熵值是否增倍,若是,则判定为蠕虫,否则判定为木马;
步骤504:判断云节点且入流量是否大于出流量,若不是,转入步骤505;若是,判断信息信息熵是否增倍,若是,则判定为DDoS,否则终止程序;
步骤505:判断管节点且总流量倍增或倍减,若不是,终止程序;若是,判断信息熵值是否增减,若是,转入步骤506,若不是,终止程序;
步骤506:定位为网络故障。
实施例6:结合图6所示的流程图对本发明作进一步的详细说明。
一种网络异常行为和流量监测的精确定位方法,含有以下步骤;
步骤601:计算网络异常行为节点发送数据的散列值,放入散列表;
步骤602:判断网络异常行为节点是否是端节点,若是,则时间段赋值为5秒,转入步骤605;否则,执行步骤603;
步骤603:判断网络异常行为节点是否是云节点,若是,则时间段赋值为1秒,转入步骤605;否则,执行步骤604;
步骤604:判断网络异常行为节点是否是管节点,若是,则时间段赋值为0.1秒,否则,结束程序;
步骤605:计算网络异常行为节点相应时间段内接收数据的散列值,放入散列表;
步骤606:判断进出数据散列值是否相等,若是,则转向关联网络异常行为节点,执行步骤601,否则,执行步骤607;
步骤607:判定为网络异常行为源节点。
如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。

Claims (2)

1.一种网络异常行为和流量监测的精确定位方法,其特征在于包括:网络节点的分类步骤、基于滑动窗口的网络正常行为自学习步骤、信息熵步骤、基于时序的关联分析步骤、基于报文内容的匹配步骤;
还包括以下步骤:
步骤A、网络正常行为自学习,基于进出流量大小判定网络节点类型;判定网络节点是云节点、管节点或端节点中的哪种类型;
步骤B、网络异常流量检测,基于网络节点网络行为信息熵与流量情况精确定位网络异常行为类型;自学习历史信息熵与正常网络流量;实时计算信息熵与统计节点流量信息;比较信息熵与流量情况精确定位网络异常行为类型;
步骤C、攻击路径回溯,基于时序与报文内容分析回溯攻击路径;含有攻击路径回溯模块基于时序进行关联分析,基于报文内容进行匹配分析,最后判定攻击的源头节点;
步骤A网络正常行为自学习进一步包括以下步骤:
步骤401:以小时为周期,统计网络节点的进出流量;
步骤402:判断进流量是否等于出流量,若不是,转入步骤403;若是,判定为管节点;
步骤403:判断进流量是否大于出流量,若是,判定为端节点,否则判定为云节点;
步骤B网络异常流量检测进一步包括以下步骤:
步骤501:以周为滑动时间窗,自学习每小时节点信息熵;
步骤502:计算当前每小时节点的信息熵,信息熵的计算公式为H(x)=-∑p(xi)log(2,p(xi))(i=1,2,..n),其中xi为网络流量行为值,P(xi)为概率函数;
步骤503:若是端节点且出流量是否大于入流量,若不是,转入步骤504;若是,判断信息熵值是否增倍,若是,则判定为蠕虫,否则判定为木马;
步骤504:判断云节点且入流量是否大于出流量,若不是,转入步骤505;若是,判断信息信息熵是否增倍,若是,则判定为DDoS,否则终止程序;
步骤505:判断管节点且总流量增倍或减半,若不是,终止程序;若是,判断信息熵值是否增减,若是,转入步骤506,若不是,终止程序;
步骤506:定位为网络故障;
步骤C攻击路径回溯进一步包括以下步骤:
步骤601:计算网络异常行为节点发送数据的散列值,放入散列表;
步骤602:判断网络异常行为节点是否是端节点,若是,则时间段赋值为5秒,转入步骤605;否则,执行步骤603;
步骤603:判断网络异常行为节点是否是云节点,若是,则时间段赋值为1秒,转入步骤605;否则,执行步骤604;
步骤604:判断网络异常行为节点是否是管节点,若是,则时间段赋值为0.1秒,否则,结束程序;
步骤605:计算网络异常行为节点相应时间段内接收数据的散列值,放入散列表;
步骤606:判断进出数据散列值是否相等,若是,则转向关联网络异常行为节点,执行步骤601,否则,执行步骤607;
步骤607:判定为网络异常行为源节点。
2.使用权利要求1所述方法的一种网络异常行为和流量监测的精确定位系统,其特征在于包括判定网络节点类型模块、异常行为精确定位模块和攻击路径回溯模块;
判定网络节点类型模块,用于判定网络节点为云节点、管节点或端节点;
异常行为精确定位模块,包括自学习历史信息熵、正常网络流量、实时计算信息熵、统计节点流量信息及异常行为精确定位;
攻击路径回溯模块,包括基于时序的关联分析、基于报文内容的匹配分析。
CN201611153863.8A 2016-12-14 2016-12-14 一种网络异常行为和流量监测的精确定位方法与系统 Active CN106506242B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611153863.8A CN106506242B (zh) 2016-12-14 2016-12-14 一种网络异常行为和流量监测的精确定位方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611153863.8A CN106506242B (zh) 2016-12-14 2016-12-14 一种网络异常行为和流量监测的精确定位方法与系统

Publications (2)

Publication Number Publication Date
CN106506242A CN106506242A (zh) 2017-03-15
CN106506242B true CN106506242B (zh) 2020-06-16

Family

ID=58330072

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611153863.8A Active CN106506242B (zh) 2016-12-14 2016-12-14 一种网络异常行为和流量监测的精确定位方法与系统

Country Status (1)

Country Link
CN (1) CN106506242B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108696473B (zh) * 2017-04-05 2020-11-24 中国移动通信集团广东有限公司 攻击路径还原方法及装置
CN107241307B (zh) * 2017-04-26 2023-08-08 北京立思辰计算机技术有限公司 一种基于报文内容的自学习的网络隔离安全装置和方法
CN110166271B (zh) * 2018-02-14 2023-05-30 北京京东尚科信息技术有限公司 一种检测网络节点异常的方法和装置
CN110324339B (zh) * 2019-07-02 2021-10-08 光通天下网络科技股份有限公司 基于信息熵的DDoS攻击检测方法、装置和电子设备
CN110311825A (zh) * 2019-08-08 2019-10-08 河南中烟工业有限责任公司 一种通过预警回溯快速处置通讯网络故障的方法
CN110677386A (zh) * 2019-08-29 2020-01-10 北京孚耐尔科技有限公司 一种基于大数据的异常流量监测和预测方法及装置
CN110995714B (zh) * 2019-12-06 2022-07-26 杭州安恒信息技术股份有限公司 一种检测对Web站点的团伙攻击的方法、装置及介质
CN113806204B (zh) * 2020-06-11 2023-07-25 北京威努特技术有限公司 一种报文字段相关性的评估方法、装置、系统及存储介质
CN112653589A (zh) * 2020-07-13 2021-04-13 福建奇点时空数字科技有限公司 一种基于主机数据流特征提取的网络数据流异常检测方法
CN112087316B (zh) * 2020-07-30 2022-08-05 北京思特奇信息技术股份有限公司 基于异常数据分析的网络异常根源定位方法
CN112583817B (zh) * 2020-12-07 2023-04-28 北京威努特技术有限公司 网络震荡监测与预警方法、装置和介质
CN114006726B (zh) * 2021-09-27 2023-05-02 中债金科信息技术有限公司 基于关联图的异常分析方法及装置
CN114338244B (zh) * 2022-03-10 2022-05-20 中科边缘智慧信息科技(苏州)有限公司 设备网络行为分类记录方法、装置及回溯举证方法、装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105847283A (zh) * 2016-05-13 2016-08-10 深圳市傲天科技股份有限公司 一种基于信息熵方差分析的异常流量检测方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105847283A (zh) * 2016-05-13 2016-08-10 深圳市傲天科技股份有限公司 一种基于信息熵方差分析的异常流量检测方法

Also Published As

Publication number Publication date
CN106506242A (zh) 2017-03-15

Similar Documents

Publication Publication Date Title
CN106506242B (zh) 一种网络异常行为和流量监测的精确定位方法与系统
David et al. Efficient DDoS flood attack detection using dynamic thresholding on flow-based network traffic
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
US10015188B2 (en) Method for mitigation of cyber attacks on industrial control systems
KR101574193B1 (ko) 분산 서비스 거부 공격 탐지 및 방어 장치 및 방법
KR101519623B1 (ko) 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치
US7584507B1 (en) Architecture, systems and methods to detect efficiently DoS and DDoS attacks for large scale internet
Hussein et al. SDN security plane: An architecture for resilient security services
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
CN103795709A (zh) 一种网络安全检测方法和系统
TW202019127A (zh) 異常流量偵測裝置及其異常流量偵測方法
Osanaiye et al. Change-point cloud DDoS detection using packet inter-arrival time
Thakur et al. Detection and prevention of botnets and malware in an enterprise network
JP4324189B2 (ja) 異常トラヒック検出方法およびその装置およびプログラム
Ashfaq et al. A comparative evaluation of anomaly detectors under portscan attacks
CN104009986A (zh) 一种基于主机的网络攻击跳板检测方法及装置
Lu et al. Detecting network anomalies using CUSUM and EM clustering
Paredes-Oliva et al. Portscan detection with sampled netflow
CN102223261A (zh) 一种针对报文进行采样的方法及装置
Tartakovsky et al. A nonparametric multichart CUSUM test for rapid intrusion detection
CN107104959B (zh) 一种云环境中异常行为检测方法与装置
CN106603335B (zh) 私有软件流量监控方法和设备
CN113596037A (zh) 一种基于网络全流量中事件关系有向图的apt攻击检测方法
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
CN114268458A (zh) 一种终端公网安全通信用安全防护模块的防护方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant