| 发明名称 |
一种新的基于流数据的局域网网络安全检测方法 |
| 摘要 |
本发明公开了一种新的基于流数据的局域网网络安全检测方法,选择源IP地址(SrcIP)、目标IP地址(DstIP)、网络连接流量(ConFlow)三个字段特征属性,使用变异的滑动窗口技术,把转门模型、收银机模型与时间序列模型相结合着处理大型流数据,从而实现网络的实时监控。 |
| 申请公布号 |
CN105429971A |
申请公布日期 |
2016.03.23 |
| 申请号 |
CN201510758435.7 |
申请日期 |
2015.11.10 |
| 申请人 |
李玲玲 |
发明人 |
李玲玲 |
| 分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
| 代理机构 |
|
代理人 |
|
| 主权项 |
一种新的基于流数据的局域网网络安全检测方法,包括如下步骤:(1)用大纲数据结构中的等高直方图来存储流入的数据,每个等高直方图就是一个桶(bucket);(2)在桶中存储三部分信息:① 以用户的源IP地址(SrcIP)作为标识的桶特征值,②目的IP地址(DstIP),③数据流量包流量总和(SumConFlow);(3)在当前时间窗口 (t,t+N)内, 对于初始窗口,对其特征属性值进行累加,即当新数据对象<img file="946983dest_path_image001.GIF" wi="15" he="19" />到达时,首先与已有桶的特征值进行比较,如具有相同的标识,则应用收银机模型进行累加,并将其放入具有相同标识的桶中,然后更新桶内的目的IP地址与桶内的网络连接流量值;如果不存在相同标识的对象,则创建一个新桶,并将其放入,新桶的特征均值为对象<img file="dest_path_image002.GIF" wi="16" he="21" />的源IP地址,然后更新桶内的目的IP地址与桶内的网络连接流量值;(4)对于窗口的滑动过程中,采用十字转门模型,窗口每次向前移动的大小为a*N,同时窗口的大小也增加a*N,移动后的窗口终止位置与移动前窗口的终止位置之间的数据量为2a*N;这里a为0~1之间参数,具体取值根据实际流数据检测的需要认为设定;(5)对于新到来的数据对象,依然采用第3步来进行处理;而对于离开的数据对象的处理方式如下:查找离开的数据所在的桶,并检测与该数据具有相同标识符的目标IP地址的个数,若为多个,则减去一个,并将该数据对象的流量去除;若为一个,则去掉该数据,并删除该数据对象所对应的桶;(6)聚类结果为代表不同源IP地址的桶,加以分析归类。 |
| 地址 |
235000 安徽省淮北市相山区相阳路146号淮北职业技术学院东校区计算机系 |
