[发明专利]一种网络异常流量检测方法及装置

权利要求书

1.一种网络异常流量检测方法，其特征在于，包括以下步骤；

S1、建立标准流元素模型；

流量包因素包括源IP地址、源端口、目的IP地址、目的端口、协议类型、字节长度这六个域；所述协议类型的基础元素s_ip和d_ip分别表示源地址和目的地址；s_port和d_port分别表示源端口和目标端口；

根据流量包因素建立标准流元素模型；

S2、利用标准流元素模型来获取网络流量数据；

S3：对获取的网络流量数据进行量解析；

S4、基于解析后的网络流量，建立各类异常流量特征模型；

S5、针对异常流量特征模型中的各个异常流量分析；

S6、告警通知。

2.根据权利要求1所述的网络异常流量检测方法，其特征在于，所述步骤S1包括；基于源IP地址、源端口、目的IP地址、目的端口、协议类型、字节长度，通过网络流统计特征的机器学习进行网络流元素模型；即利用已知类型的网络流量集合C与其特征T进行学习训练分类模型f:T→C,并利用训练建立的分类模型对未知类型的网络流进行分类建模，其中，C＝{c₁,c₁,c₁,...c_k}，表示网络流类型集合，T＝{t₁,t₁,t₁,...t_n}，表示网络流的特征集合，c_i表示第i个的网络流，t_i表示一个为各种统计特征构成的特征向量A＝{A_i1,A_i2,...A_im}；k、n、m为正整数，A_im表示第i个网络流对应第m个特征向量。

3.根据权利要求2所述的网络异常流量检测方法，其特征在于，所述步骤S2包括，通过基于Wireshark的WinPcap编程接口，以旁路镜像抓包的形式，抓取流经交换机设备的网络流量数据。

4.根据权利要求3所述的网络异常流量检测方法，其特征在于，所述步骤S3包括，对已抓取的网络流量数据进行解析，实时解析网络流量数据中的IP地址、源端口、目的IP地址、目的端口、协议类型、字节长度关键要素，根据标准流元素模型自动转换为标准流因素，并解析流量分组数。

5.根据权利要求4所述的网络异常流量检测方法，其特征在于，所述异常流量包括Alpha Anomaly、DDos、Port Scan、Network Scan、Worms。

6.根据权利要求5所述的网络异常流量检测方法，其特征在于，所述步骤S5包括；异常网络流量分析是基于ANFIS算法模型的异常检测分析。

7.根据权利要求6所述的网络异常流量检测方法，其特征在于，所述告警通知包括短信、警报声的方式提醒运维人员。

8.一种基于利要求1-6任一所述的网络异常流量检测方法的检测装置，其特征在于，包括；

建立模块，用于建立标准流元素模型；还包括；

流量包因素包括源IP地址、源端口、目的IP地址、目的端口、协议类型、字节长度这六个域；所述协议类型的基础元素s_ip和d_ip分别表示源地址和目的地址；s_port和d_port分别表示源端口和目标端口；

根据流量包因素建立标准流元素模型；

获取模块，用于利用标准流元素模型来获取网络流量数据；

解析模块，用于对获取的网络流量数据进行量解析；

特征模型模块，用于基于解析后的网络流量，建立各类异常流量特征模型；

分析模块，用于对各个异常流量分析；

告警模块，用于告警通知。