[发明专利]一种网络异常攻击的检测方法

摘要

本发明旨在提出一种网络异常攻击的检测方法，配合使用数据标记、对数据标记切分、归一化处理、数据建模及数据异常攻击判断等步骤，实现对网络异常攻击的高效检测，解决了传统的基于规则的检测方法所面临的维护成本在，门槛高，需要实时更新的问题。同时也解决了目前工业安全厂家普遍无法解决的私有协议的攻击检测问题。

主权项

一种网络异常攻击的检测方法，其特征在于：包括：步骤1：将网络指定目的端口k的一系列数据流记为：Sk＝[Sk1,Sk2,…Skm]，m为数据流的个数；步骤2：对标记后的数据进行切分处理：利用n‑gram方法，取n＝1，对步骤1中的Ski(i＝1,2,…m)进行切分，即将Ski按一个字节长度进行切分；得到Ski所对应的一个字节向量Bki＝[Bki1,Bki2,…Bkin]，n为数据Ski的长度；步骤3：对切分后数据进行归一化处理：对步骤2中的Bki进行归一化处理为向量Fki；Fki＝[Fki1，Fki2，…Fkij，…Fki256]，其中Fki长度固定为256，成员Fkij意义为数值Bkij在数据Ski出现的频率，即Fkij＝Bkij在Ski中出现的次数/n；步骤4：建立数据模型：Fk即为数据流Sk的特征向量：特征向量Fk＝[Fk1,Fk2,…Fkm],m为端口k一系列数据流个数,计算平均值标准差σ和平均距离d；F‾=Σi=1mΣj=1256Fkij256m]]>σ=Σi=1m|Fki-F‾|2m]]>d=Σi=1m|Fki-F‾σ|2]]>步骤5：进行数据异常攻击判断：网络指定目的端口k新收到的数据为SS；对应的特征向量为FF＝[FF1，FF2，…FF3，…FF256]，利用如下函数计算向量FF与的距离dd，及σ为步骤4中取得的计算值：dd=|FF-F‾σ|]]>利用切比雪夫不等式，取k＝10：P(|dd-d|≥10σ)≤1100]]>即特征向量FF与的距离dd与模型平均距离d的偏差大于10σ的概率小于等于1％；因此如果特征向量FF与的距离dd与模型平均距离d的偏差大于10σ，即|dd‑d|>10σ则判定端口k新收到的数据SS为网络数据异常攻击，反则端口k新收到的数据SS为正常合法数据。