[发明专利]一种网络异常流量检测方法及装置

说明书

本发明涉及一种网络异常流量检测方法及装置，包括以下步骤；S1、建立标准流元素模型；S2、利用标准流元素模型来获取网络流量数据；S3：对获取的网络流量数据进行量解析；S4、基于解析后的网络流量，建立各类异常流量特征模型；S5、针对异常流量特征模型中的各个异常流量分析；S6、告警通知。本发明根据流量包因素建立了标准流元素模型，基于标准流元素模型来获取网络流量数据并解析，尽可能包括了各类异常流量，提高了检测识别效率和检测准确率。

技术领域

本发明涉及配电网通信技术领域，尤其涉及一种网络异常流量检测方法及装置。

背景技术

随着互联网技术的迅速发展，网络环境也逐渐变得复杂，网络中时刻充斥着大量的异常流量数据，威胁设备安全。目前，复杂网络中的异常流量种类较多，存在AlphaAnomaly异常流量、DDos异常流量、Port Scan异常流量、Network Scan异常流量等恶意行为，也有来自于如路由问题、链路故障等网络软硬件故障。因此现在对网络异常流量检测的难度也不断加大。

现有的网络异常流量检测装置通常没有包含各个异常流量的特征信息，这就导致不能够快速对异常流量进行分析。

申请号为“CN201610202100.1”的发明专利公开了一种智能变电站网络异常流量检测方法，包括以下几个步骤：(1)配置变电站交换机的镜像端口，通过镜像端口接入变电站网络；(2)解析捕获的报文；(3)对累计的报文信息按照不同的源地址进行统计分析，判断每个源地址是否存在异常流量；(4)对累计的报文信息按照不同的源/目的地址进行统计分析，判断每对源/目的地址之间是否存在异常流量；(5)将异常信息发送给远方调度系统，存储累计的报文信息，返回步骤(2)，进行新一轮异常流量检测，但是该专利方案中，并未建立包括尽可能多的各类异常流量的模型，这就导致检测识别效率也有待提升。

发明内容

本发明所要解决的技术问题解决现有的网络异常流量检测装置不能够快速对异常流量进行分析的问题。

本发明通过以下技术手段实现解决上述技术问题的：

一种网络异常流量检测方法，包括以下步骤；

S1、建立标准流元素模型；

流量包因素包括源IP地址、源端口、目的IP地址、目的端口、协议类型、字节长度这六个域；所述协议类型的基础元素s_ip和d_ip分别表示源地址和目的地址；s_port和d_port分别表示源端口和目标端口；

根据流量包因素建立标准流元素模型；

S2、利用标准流元素模型来获取网络流量数据；

S3：对获取的网络流量数据进行量解析；

S4、基于解析后的网络流量，建立各类异常流量特征模型；

S5、针对异常流量特征模型中的各个异常流量分析；

S6、告警通知。

根据流量包因素建立了标准流元素模型，基于标准流元素模型来获取网络流量数据并解析，尽可能包括了各类异常流量，提高了检测识别效率和检测准确率。