CN106603326B - 基于异常反馈的NetFlow采样处理方法 - Google Patents

基于异常反馈的NetFlow采样处理方法 Download PDF

Info

Publication number
CN106603326B
CN106603326B CN201610940054.5A CN201610940054A CN106603326B CN 106603326 B CN106603326 B CN 106603326B CN 201610940054 A CN201610940054 A CN 201610940054A CN 106603326 B CN106603326 B CN 106603326B
Authority
CN
China
Prior art keywords
flow
abnormal
netflow
traffic
acquisition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610940054.5A
Other languages
English (en)
Other versions
CN106603326A (zh
Inventor
李千目
张文强
戚湧
王印海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Science and Technology
Original Assignee
Nanjing University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Science and Technology filed Critical Nanjing University of Science and Technology
Priority to CN201610940054.5A priority Critical patent/CN106603326B/zh
Publication of CN106603326A publication Critical patent/CN106603326A/zh
Application granted granted Critical
Publication of CN106603326B publication Critical patent/CN106603326B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于异常反馈的NetFlow采样处理方法。本方法以NetFlow原理为基础,利用异常分析服务器输出的分析结果,提取异常流量对应的NetFlow记录的特征值,反馈器进行基于统计结果的异常检测,输出防范策略的行为特征参数,发送给路由流量采集点和采集服务器,路由流量采集点调整对异常流量包的采样率,采集服务器调整对路由流量采集点的流量接收权重。本发明充分利用异常分析的分析结果,实时自动调整路由流量采集点采样率,调整采集服务器的采集策略,避免无效流量的采集,降低来自路由流量采集点的接收压力,实现对网络流量状态的实时反馈与利用。

Description

基于异常反馈的NetFlow采样处理方法
技术领域
本发明属于网络流量采样处理技术领域,特别是一种基于异常反馈的NetFlow采样处理方法。
背景技术
随着Internet的发展,网络用户、接入设备日益增长,对计算机网络的安全运行产生了压力,并且由于操作系统的升级与漏洞的修补,入侵主机进而进行破坏的病毒攻击方式在攻击中所占比例逐渐减少,这些攻击转而改为恶意的消耗网络有限的资源或占用系统,进而破坏系统对外提供服务的能力,但是传统的系统升级无法检测并预防此类攻击。因此,计算机网络状况的实时监控的工作,显得十分必要。计算机网络状况的实时监控,就是对网络上的数据流量进行统计和分析。由于各种各样的应用对网络带宽的需求越来越高,传统的网络流量统计和数据采集方式开销大、对数据传输延时的影响大,已经不能满足现在的需求,因此,需要一种新的流量统计技术来适应现在的网络环境。针对此类攻击,业界提出了以检测网络数据流的方法来判断网络异常和攻击:借助实时的检测网络数据流信息,通过与历史记录模式匹配(判断是否正常)、或者与异常模式匹配(判断是否被攻击),让网络管理人员可以实时查看全网的状态,检测网络性能可能出现的瓶颈,并进行自动处理或告警显示,以保证网络高效、可靠地运转。
NetFlow技术正是这样的能适应新环境的流量采集方法。它由于不需要对数据包中的数据进行分析,而只是对包头信息进行统计,因而有很高的处理速度,能够满足高速网络的需求,同时NetFlow数据提供的属性信息刚好能从多角度反映出网络中的异常行为特征,不但能够在攻击实施初期就发现异常行为,还能够监测未知的病毒。由于NetFlow具有以上特性,因此可以为网络管理员或分析者提供丰富的网络数据流信息,如IP地址、协议类型、端口以及服务类型等,这些信息可以用于网络与应用程序监测、用户监和计费、网络规划、安全分析、流量工程以及可以作为数据仓库用于数据挖掘。然而,由于分析NetFlow数据产生的结果后是由网络管理员进行下一步操作,不能对网络中的异常进行及时的干预,因此存在无效流量的采集,增加了来自路由流量采集点的接收压力,无法对网络流量状态进行实时反馈与利用。
发明内容
本发明目的在于提供一种能够对网络流量状态进行实时反馈与利用的基于异常反馈的NetFlow采样处理方法。
本发明的原理为:以NetFlow原理为基础,利用异常分析服务器输出的分析结果,提取异常流量对应的NetFlow记录的特征值,反馈器进行基于统计结果的异常检测,输出防范策略的行为特征参数,发送给路由流量采集点和采集服务器,路由流量采集点调整对特定流量包的采样率,采集服务器调整对路由流量采集点的流量接收权重。
实现本发明目的的技术解决方案为:一种基于异常反馈的NetFlow采样处理方法,采用以下步骤:
步骤1:异常分析器分析NetFlow数据,并提取异常流量对应的NetFlow记录的特征值;
步骤2:根据步骤1分析结果,进行基于统计结果的异常检测,输出防范策略的行为特征参数;
步骤3:路由流量采集点调整对异常流量包的采样率;
步骤4:采集服务器调整对路由流量采集点的流量接收权重。
进一步地,步骤1所述的异常流量对应的NetFlow记录的特征值包括源地址、目的地址、协议类型、源端口、目的端口方面的特征。
进一步地,步骤2所述的基于统计结果的异常检测,具体步骤如下:
步骤2.1,将统计结果与从历史流量中提取出的基线进行比较,倘若当前观测值落在置信区间内,则认为该流量是正常的,倘若落在了置信区间以外,则将当前观测值列为可疑事件;
步骤2.2,将可疑事件信息与异常特征进行匹配:如果没有匹配成功,则将该可疑事件信息列为低可信度事件;如果匹配成功,则输出防范策略的行为特征参数。
进一步地,步骤3中所述路由流量采集点调整对异常流量包的采样率,方法如下:
对于流长为m的流,即流由m个报文构成,若对每个报文采取独立随机抽样,抽样概率为q,以X表示m次独立重复实验中抽取到的报文数,则随机变量X服从参数为m、q的二项分布,抽取到k个报文的概率为:
Figure BDA0001138255450000021
该流被抽样到所有流长小于等于k的概率为:
Figure BDA0001138255450000031
给定两个阈值α和β,若P{X≤k}<α,即
Figure BDA0001138255450000032
计算出m,此时令m1=m,则认为流长小于等于m1的流为短流;若P{X≤k}>β,同样计算出m,此时令m2=m,则认为流长大于等于m2的流为长流;另外,认为流长介于m1和m2之间的为中流;
设短流的抽样概率为P1,中流的抽样概率为P2,长流的抽样概率为P3,以x表示到达流的流长,则x抽样率为:
Figure BDA0001138255450000033
未检测到异常,抽样概率为P,P是采集前初始化的抽样概率;检测到异常,抽样概率为Px
进一步地,步骤4所述采集服务器调整对路由流量采集点的流量接收权重,方法如下:
采集服务器收到来自反馈器的反馈后,根据反馈的路由权重L,修改异常源所在的路由流量采集点的权重;采集服务器对应的路由流量采集点都有各自的权重L,权重越高,代表要采集的流量信息越多,则会分配更多的资源用于接收处理来自该节点的NetFlow数据,若权重L=0,则代表只进行对异常流量后续监控,确保威胁被彻底根除或是掌握该异常流量的实时情况。
进一步地,步骤2.1所述将统计结果与从历史流量中提取出的基线进行比较,其中基线是描述正常流量的范围,即置信区间,从历史流量中提取;基线的确定采用参数度量平均值的标准偏差值来计算,通过已经观测到的历史流量的样本值Xi计算出观测值的平均值mean,i=1,2,…,n,即
Figure BDA0001138255450000034
定义stdev为标准偏差,且
Figure BDA0001138255450000041
所述的置信区间的计算公式为:
[mean-d*stdev,mean+d*stdev]
式中:stdev为标准偏差,mean为前n次正常活动观测值的平均值,d为调整参数,d根据目前的网络流量状况进行调整,网络流量高峰期d取值大于网络流量低谷期。
进一步地,步骤2.2所述的将可疑事件信息与异常特征进行匹配,具体步骤如下:将从通过基线模式过滤出来的可疑信息中提取出的特征值,与异常特征库中的特征逐条匹配,倘若与某条特征匹配成功,则生成与该特征相对应的事件,匹配的同时记录流长m,即该异常流的报文数;设路由流量采集点权重为L,若是威胁网络稳定和安全的异常流量,则L=0;若是正常突发流量,则根据流量的大小依次增加权重。
本发明与现有技术相比,其显著优点为:对异常流量或正常突发流量进行采集,充分利用异常分析服务器的分析结果,实时自动调整路由流量采集点采样率,调整采集服务器的采集策略,避免无效流量的接收,降低来自路由流量采集点的接收压力,实现对网络流量状态的实时反馈与利用。
附图说明
图1为本发明基于异常反馈的NetFlow采样处理方法的流程图。
图2为异常分析器检测过程图。
图3为异常流量特征匹配流程图。
具体实施方式
本发明基于异常反馈的NetFlow采样处理方法,该方法以NetFlow原理为基础,利用异常分析服务器输出的分析结果,提取异常流量对应的NetFlow记录的特征值,反馈器进行基于统计结果的异常检测,输出防范策略的行为特征参数,发送给路由流量采集点和采集服务器,路由流量采集点调整对特定流量包的采样率,采集服务器调整对路由流量采集点的流量接收权重。
本发明基于异常反馈的NetFlow采样处理方法,采用以下步骤:
步骤1:异常分析器分析NetFlow数据,并提取异常流量对应的NetFlow记录的特征值;
所述的异常流量对应的NetFlow记录的特征值包括源地址、目的地址、协议类型、源端口、目的端口方面的特征。
步骤2:根据步骤1分析结果,进行基于统计结果的异常检测,输出防范策略的行为特征参数;所述的基于统计结果的异常检测,具体步骤如下:
步骤2.1,将统计结果与从历史流量中提取出的基线进行比较,倘若当前观测值落在置信区间内,则认为该流量是正常的,倘若落在了置信区间以外,则将当前观测值列为可疑事件;
所述将统计结果与从历史流量中提取出的基线进行比较,其中基线是描述正常流量的范围,即置信区间,从历史流量中提取;基线的确定采用参数度量平均值的标准偏差值来计算,通过已经观测到的历史流量的样本值Xi计算出观测值的平均值mean,i=1,2,…,n,即
Figure BDA0001138255450000051
定义stdev为标准偏差,且
Figure BDA0001138255450000052
所述的置信区间的计算公式为:
[mean-d*stdev,mean+d*stdev]
式中:stdev为标准偏差,mean为前n次正常活动观测值的平均值,d为调整参数,d根据目前的网络流量状况进行调整,网络流量高峰期d取值大于网络流量低谷期。
步骤2.2,将可疑事件信息与异常特征进行匹配:如果没有匹配成功,则将该可疑事件信息列为低可信度事件;如果匹配成功,则输出防范策略的行为特征参数;
所述的将可疑事件信息与异常特征进行匹配,具体步骤如下:将从通过基线模式过滤出来的可疑信息中提取出的特征值,与异常特征库中的特征逐条匹配,倘若与某条特征匹配成功,则生成与该特征相对应的事件,匹配的同时记录流长m,即该异常流的报文数;设路由流量采集点权重为L,若是威胁网络稳定和安全的异常流量,则L=0;若是正常突发流量,则根据流量的大小依次增加权重。
步骤3:路由流量采集点调整对异常流量包的采样率,方法如下:
对于流长为m的流,即流由m个报文构成,若对每个报文采取独立随机抽样,抽样概率为q,以X表示m次独立重复实验中抽取到的报文数,则随机变量X服从参数为m、q的二项分布,抽取到k个报文的概率为:
Figure BDA0001138255450000061
该流被抽样到所有流长小于等于k的概率为:
Figure BDA0001138255450000062
给定两个阈值α和β,若P{X≤k}<α,即
Figure BDA0001138255450000063
计算出m,此时令m1=m,则认为流长小于等于m1的流为短流;若P{X≤k}>β,同样计算出m,此时令m2=m,则认为流长大于等于m2的流为长流;另外,认为流长介于m1和m2之间的为中流;
设短流的抽样概率为P1,中流的抽样概率为P2,长流的抽样概率为P3,以x表示到达流的流长,则x抽样率为:
Figure BDA0001138255450000064
未检测到异常,抽样概率为P,P是采集前初始化的抽样概率;检测到异常,抽样概率为Px
步骤4:采集服务器调整对路由流量采集点的流量接收权重,方法如下:
采集服务器收到来自反馈器的反馈后,根据反馈的路由权重L,修改异常源所在的路由流量采集点的权重;采集服务器对应的路由流量采集点都有各自的权重L,权重越高,代表要采集的流量信息越多,则会分配更多的资源用于接收处理来自该节点的NetFlow数据,若权重L=0,则代表只进行对异常流量后续监控,确保威胁被彻底根除或是掌握该异常流量的实时情况。
实施例1
结合图1,本发明基于异常反馈的NetFlow采样处理方法,包括以下步骤:
步骤1:异常分析器分析NetFlow数据,并提取异常流量对应的NetFlow记录的特征值。首先查看单条流记录的源地址是否异常,倘若流的源地址为127.0.0.1或者该域内的广播地址,则可直接判定该流是存在异常的。然后查看流的源和目的地址是否相等,如相等,则说明网络上出现异常流量;过滤出异常流量对应的NetFlow记录,提取异常流量对应的NetFlow记录的特征值,即六元组{源地址,目的地址,协议类型,源端口,目的端口,包长}。检测过程如附图2。
步骤2:根据步骤1分析结果,针对这些流量进行基于统计结果的异常检测,输出防范策略的行为特征参数,具体过程如下:
步骤2.1,将统计结果与从历史流量中提取出的基线进行比较,倘若当前观测值落在置信区间内,则可认为该流量是正常的,倘若落在了置信区间以外,则将其列为可疑事件。
基线是描述正常流量的范围,即置信区间,可以从历史流量中提取。基线的确定可以采用参数度量平均值的标准偏差值来计算。通过已经观测到的历史流量的样本值Xi(i=1,2,…,n)计算出观测值的平均值,即
Figure BDA0001138255450000071
定义stdev为标准偏差,且
Figure BDA0001138255450000072
所述的置信区间的计算公式为:
[mean-d*stdev,mean+d*stdev]
式中:stdev为标准偏差,mean为前n次正常活动观测值的平均值;
d为参数,它根据目前的网络流量状况不断的进行调整,倘若是网络流量高峰期,则值就会调整到较大的值,以避免误报,而在网络流量低谷期,d值就会调整到较小的值,以避免漏报。由于d是用来调整置信区间的,需要根据不同网络流量环境适当改变,在观测网络流量期间需要不断的调整d的值以确定d的取值范围。
结合图3,步骤2.2,将可疑事件信息与异常特征进行匹配,如果没有匹配成功,则将该类信息列为低可信度事件,如果匹配成功则将其视为高可信事件。将从通过基线模式过滤出来的可疑信息中提取出的特征值与异常特征库中的特征逐条匹配,倘若与某条特征匹配成功,则生成与该特征相对应的事件,匹配的同时记录流长m,该异常流的报文数。设路由流量采集点权重为L,若是威胁网络稳定和安全的异常流量如表1,则L=0;若是正常突发流量,则根据流量的大小依次增加权重如表2。
表1
特征描述 权重 攻击类型
流数大、平均包长小、源地址少且目的端口多 0 面向主机的端口扫描
流数大、平均包长小、源地址多且目的端口少 0 面向网络的端口扫描
流数大、平均包长小、源地址少且SYN多 0 Dos、DDos(TCP SYN)
目的地址多且目的端口都是445 0 震荡波变种
目的地址多、协议号为17且目标端口为1434 0 SQL Slammer蠕虫
目的地址多且目的端口都是12345 0 Netbus Trojan
出现大量目的端口号为80、包数为3、字节数为144的包 0 Red code
流数大、目标地址单一且源端口都为25 0 垃圾邮件服务器或感染了某种邮件蠕虫
表2
特征描述 权重
流数大、源地址不多、源端口不多 1
流数大、源地址多、源端口不多 2
流数大、源地址多、源端口多 3
步骤3:路由流量采集点调整对异常流量包的采样率。对于步骤2.2中反馈的流长为m的流,即流由m个报文构成,若对每个报文采取独立随机抽样,抽样概率为q,以X表示m次独立重复实验中抽取到的报文数,则随机变量X服从参数为m、q的二项分布,抽取到k个报文的概率为
Figure BDA0001138255450000081
该流被抽样到所有流长小于等于k的概率为
Figure BDA0001138255450000082
初始化两个阈值α=0.0124和β=0.1336。若P{X≤k}<α,即可计算出m,此时令m1=m,则认为流长小于等于m1的流为短流;若P{X≤k}>β,同样可计算出m,此时令m2=m,则认为流长大于等于m2的流为长流;另外,认为流长介于m1和m2之间的为中流。设短流的抽样概率为P1=0.2,中流的抽样概率为P2=0.1,长流的抽样概率为P3=0.01,以x表示到达流的流长,则其抽样率为
Figure BDA0001138255450000091
未检测到异常,抽样概率为P=0.2(这是采集前,初始化的抽样概率P);检测到异常,其抽样概率为Px
步骤4:采集服务器调整对路由流量采集点的流量接收权重。采集服务器收到来自反馈器的反馈后,根据反馈的路由权重L,修改异常源所在的路由流量采集点的权重。采集服务器对应的路由流量采集点都有各自的权重L,权重越高,代表了要采集的流量信息越多,则会分配更多的资源用于接收处理来自该节点的NetFlow数据,若权重L=0,则代表只进行对异常流量后续监控,密切监视网络,确保威胁被彻底根除或是掌握该异常流量的实时情况。

Claims (4)

1.一种基于异常反馈的NetFlow采样处理方法,其特征在于,采用以下步骤:
步骤1:异常分析器分析NetFlow数据,并提取异常流量对应的NetFlow记录的特征值;
步骤2:根据步骤1分析结果,进行基于统计结果的异常检测,输出防范策略的行为特征参数;
步骤3:路由流量采集点调整对异常流量包的采样率;
步骤4:采集服务器调整对路由流量采集点的流量接收权重;
步骤2所述的基于统计结果的异常检测,具体步骤如下:
步骤2.1,将统计结果与从历史流量中提取出的基线进行比较,倘若当前观测值落在置信区间内,则认为该流量是正常的,倘若落在了置信区间以外,则将当前观测值列为可疑事件;
步骤2.2,将可疑事件信息与异常特征进行匹配:如果没有匹配成功,则将该可疑事件信息列为低可信度事件;如果匹配成功,则输出防范策略的行为特征参数;
步骤2.1所述将统计结果与从历史流量中提取出的基线进行比较,其中基线是描述正常流量的范围,即置信区间,从历史流量中提取;基线的确定采用参数度量平均值的标准偏差值来计算,通过已经观测到的历史流量的样本值Xi计算出观测值的平均值mean,i=1,2,…,n,即
Figure FDA0002276159290000011
定义stdev为标准偏差,且
Figure FDA0002276159290000012
所述的置信区间的计算公式为:
[mean-d*stdev,mean+d*stdev]
式中:stdev为标准偏差,mean为前n次正常活动观测值的平均值,d为调整参数,d根据目前的网络流量状况进行调整,网络流量高峰期d取值大于网络流量低谷期;
步骤2.2所述的将可疑事件信息与异常特征进行匹配,具体步骤如下:将从通过基线模式过滤出来的可疑信息中提取出的特征值,与异常特征库中的特征逐条匹配,倘若与某条特征匹配成功,则生成与该特征相对应的事件,匹配的同时记录流长m,即该异常流的报文数;设路由流量采集点权重为L,若是威胁网络稳定和安全的异常流量,则L=0;若是正常突发流量,则根据流量的大小依次增加权重。
2.根据权利要求1所述的基于异常反馈的NetFlow采样处理方法,其特征在于,步骤1所述的异常流量对应的NetFlow记录的特征值包括源地址、目的地址、协议类型、源端口、目的端口方面的特征。
3.根据权利要求1所述的基于异常反馈的NetFlow采样处理方法,其特征在于,步骤3中所述路由流量采集点调整对异常流量包的采样率,方法如下:
对于流长为m的流,即流由m个报文构成,若对每个报文采取独立随机抽样,抽样概率为q,以X表示m次独立重复实验中抽取到的报文数,则随机变量X服从参数为m、q的二项分布,抽取到k个报文的概率为:
Figure FDA0002276159290000021
该流被抽样到所有流长小于等于k的概率为:
Figure FDA0002276159290000022
给定两个阈值α和β,若P{X≤k}<α,即
Figure FDA0002276159290000023
计算出m,此时令m1=m,则认为流长小于等于m1的流为短流;若P{X≤k}>β,同样计算出m,此时令m2=m,则认为流长大于等于m2的流为长流;另外,认为流长介于m1和m2之间的为中流;
设短流的抽样概率为P1,中流的抽样概率为P2,长流的抽样概率为P3,以x表示到达流的流长,则x抽样率为:
Figure FDA0002276159290000024
未检测到异常,抽样概率为P,P是采集前初始化的抽样概率;检测到异常,抽样概率为Px
4.根据权利要求1所述的基于异常反馈的NetFlow采样处理方法,其特征在于,步骤4所述采集服务器调整对路由流量采集点的流量接收权重,方法如下:
采集服务器收到来自反馈器的反馈后,根据反馈的路由权重L,修改异常源所在的路由流量采集点的权重;采集服务器对应的路由流量采集点都有各自的权重L,权重越高,代表要采集的流量信息越多,则会分配更多的资源用于接收处理来自该路由流量采集点的NetFlow数据,若权重L=0,则代表只进行对异常流量后续监控,确保威胁被彻底根除或是掌握该异常流量的实时情况。
CN201610940054.5A 2016-11-01 2016-11-01 基于异常反馈的NetFlow采样处理方法 Active CN106603326B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610940054.5A CN106603326B (zh) 2016-11-01 2016-11-01 基于异常反馈的NetFlow采样处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610940054.5A CN106603326B (zh) 2016-11-01 2016-11-01 基于异常反馈的NetFlow采样处理方法

Publications (2)

Publication Number Publication Date
CN106603326A CN106603326A (zh) 2017-04-26
CN106603326B true CN106603326B (zh) 2020-06-05

Family

ID=58590338

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610940054.5A Active CN106603326B (zh) 2016-11-01 2016-11-01 基于异常反馈的NetFlow采样处理方法

Country Status (1)

Country Link
CN (1) CN106603326B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109495428A (zh) * 2017-09-12 2019-03-19 蓝盾信息安全技术股份有限公司 一种基于流量特征和随机森林的端口扫描检测方法
CN109474623B (zh) * 2018-12-25 2022-03-01 杭州迪普科技股份有限公司 网络安全防护及其参数确定方法、装置及设备、介质
CN110365713B (zh) * 2019-08-22 2021-12-14 中国科学技术大学 针对高级持续性威胁的网络防御资源最优分配方法
CN111641591B (zh) * 2020-04-30 2022-12-06 杭州博联智能科技股份有限公司 云服务安全防御方法、装置、设备及介质
CN115514686A (zh) * 2021-06-23 2022-12-23 深信服科技股份有限公司 一种流量采集方法、装置及电子设备和存储介质
CN113890843B (zh) * 2021-09-13 2023-10-31 中盈优创资讯科技有限公司 基于netflow分析资源提供业务占比情况四阶报表的方法及装置
CN115118781B (zh) * 2022-06-27 2023-05-26 平安银行股份有限公司 业务状态的处理方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101795215A (zh) * 2010-01-28 2010-08-04 哈尔滨工程大学 网络流量异常检测方法及检测装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7133365B2 (en) * 2001-11-02 2006-11-07 Internap Network Services Corporation System and method to provide routing control of information over networks
US9219689B2 (en) * 2013-03-15 2015-12-22 International Business Machines Corporation Source-driven switch probing with feedback request

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101795215A (zh) * 2010-01-28 2010-08-04 哈尔滨工程大学 网络流量异常检测方法及检测装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"基于NetFlow的特征感知自适应的流采样方法";刘晨光等;《计算机工程与应用》;20130326;第1-4页 *
刘晨光等."基于NetFlow的特征感知自适应的流采样方法".《计算机工程与应用》.2013,第1-4页. *

Also Published As

Publication number Publication date
CN106603326A (zh) 2017-04-26

Similar Documents

Publication Publication Date Title
CN106603326B (zh) 基于异常反馈的NetFlow采样处理方法
US8001601B2 (en) Method and apparatus for large-scale automated distributed denial of service attack detection
US9130982B2 (en) System and method for real-time reporting of anomalous internet protocol attacks
US20190034631A1 (en) System and method for malware detection
CN107018084B (zh) 基于sdn架构的ddos攻击防御网络安全方法
Zhong et al. DDoS detection system based on data mining
US20150215285A1 (en) Network traffic processing system
Haris et al. Detecting TCP SYN flood attack based on anomaly detection
Alaidaros et al. An overview of flow-based and packet-based intrusion detection performance in high speed networks
CN101640666A (zh) 一种面向目标网络的流量控制装置及方法
Kshirsagar et al. CPU load analysis & minimization for TCP SYN flood detection
Hareesh et al. Anomaly detection system based on analysis of packet header and payload histograms
Nair et al. A study on botnet detection techniques
Wang et al. Exploiting Artificial Immune systems to detect unknown DoS attacks in real-time
Li et al. DDoS attack detection algorithms based on entropy computing
Shahrestani et al. Architecture for applying data mining and visualization on network flow for botnet traffic detection
KR20090083767A (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법
Araki et al. Subspace clustering for interpretable botnet traffic analysis
Haris et al. Anomaly detection of IP header threats
Haris et al. TCP SYN flood detection based on payload analysis
Du et al. IP packet size entropy-based scheme for detection of DoS/DDoS attacks
CN111641628A (zh) 一种子网欺骗DDoS攻击监测预警方法
Wei et al. TDSC: Two-stage DDoS detection and defense system based on clustering
CN112671743A (zh) 基于流量自相似性的DDoS入侵检测方法及相关装置
Alaidaros et al. From Packet-based Towards Hybrid Packet-based and Flow-based Monitoring for Efficient Intrusion Detection: An overview

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Li Qianmu

Inventor after: Zhang Wenqiang

Inventor after: Qi Yong

Inventor after: Wang Yinhai

Inventor before: Zhang Wenqiang

Inventor before: Li Qianmu

Inventor before: Qi Yong

Inventor before: Wang Yinhai

GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20170426

Assignee: NANJING SINOVATIO TECHNOLOGY Co.,Ltd.

Assignor: NANJING University OF SCIENCE AND TECHNOLOGY

Contract record no.: X2022980008506

Denomination of invention: NetFlow sampling processing method based on abnormal feedback

Granted publication date: 20200605

License type: Common License

Record date: 20220622