[发明专利]一种基于数据包特征提取的网络数据流异常检测方法在审
| 申请号: | 202010659440.3 | 申请日: | 2020-07-09 |
| 公开(公告)号: | CN111865951A | 公开(公告)日: | 2020-10-30 |
| 发明(设计)人: | 石小川;黄建福;陈瑜靓;张晶;刘家祥;刘琦;赵昆杨 | 申请(专利权)人: | 福建奇点时空数字科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F16/24 |
| 代理公司: | 北京化育知识产权代理有限公司 11833 | 代理人: | 尹均利 |
| 地址: | 361000 福建省厦门市软件园*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 数据包 特征 提取 网络 数据流 异常 检测 方法 | ||
1.一种基于数据包特征提取的网络数据流异常检测方法,其特征在于,包括以下具体步骤:
S1、实时采集数据包,并将得到的数据包分割成多个固定长度的数据段,将具有相同内容的数据段归为一类,以对所述数据段进行归类,得到样本数据库;
S2、构建防火墙上层策略;
S3、监测网络线路上的网络流量的网络数据包特征属性,并获取网络数据流的基本信息;
S4、将S3中得到的网络数据包按照S1中的分割方式,得到多个数据段;判断得到的数据段是否全部包含在样本数据库中;
将S3中得到的基本信息与防火墙上层策略中的索引信息进行匹配,根据与防火墙上层策略的匹配结果,对网络数据流进行处理;
S5、若S4中得到的数据段均包含在样本数据库中或防火墙上层策略中的索引信息和S3中得到的基本信息相匹配,则根据网络数据包特征属性,对所属类型的网络数据包进行发送;所属网络数据流无异常;
若S4中得到的数据段至少有一个数据段部包含在样本数据库中或防火墙上层策略中的索引信息和S3中得到的基本信息不匹配,则对网络数据包进行清除处理;所属网络数据流存在异常。
2.根据权利要求1所述的一种基于数据包特征提取的网络数据流异常检测方法,其特征在于,S3中得到的基本信息与防火墙上层策略中的索引信息进行匹配包括:对网络数据流依据开放系统互联网络协议栈模型中的2-4层进行数据解码,获取基本信息;判断上述基本信息与防火墙上层策略的索引信息是否满足预设的匹配条件。
3.根据权利要求1所述的一种基于数据包特征提取的网络数据流异常检测方法,其特征在于,基本信息包括源互联网协议IP、源端口、目的IP、目的端口信息和/或网络协议。
4.根据权利要求1所述的一种基于数据包特征提取的网络数据流异常检测方法,其特征在于,防火墙上层策略为入侵检测策略、URL过滤策略、内容安全策略或防病毒策略中的一种或多种。
5.根据权利要求1所述的一种基于数据包特征提取的网络数据流异常检测方法,其特征在于,S1中对数据包分割成多个固定长度的数据段后通过哈希函数将归为一类的内容相同的多个数据段映射到同一个哈希值上,将哈希值作为与归为一类的内容相同的数据段及其偏移值对应的数据段类型值,且所述数据段类型值与所述接收的数据包对应,过滤对应的数据段的数量小于或等于数据段统计阈值的数据段类型值。
6.根据权利要求1所述的一种基于数据包特征提取的网络数据流异常检测方法,其特征在于,网络数据包特征属性信息包括在各个时间窗口内的网络数据包数量信息、网络数据包尺寸数量分布信息以及数据包发送间隔分布信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于福建奇点时空数字科技有限公司,未经福建奇点时空数字科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010659440.3/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一键联动收靠背机构及其收背靠的方法
- 下一篇:一种缝纫机的内润滑机构
