主权项 |
一种基于流量异常及特征分析的攻击行为检测方法,包括以下三个步骤:(1)获取网络流量;(2)计算网络流量的赫斯特指数:2a)设置采样间隔n,依据单位时间内流经网络适配器A的流量序列X={X<sub>i</sub>|i=1,2,...,n},求出流量序列X的均值<img file="FDA0000786822080000012.GIF" wi="68" he="75" />2b)设置时移系数k,依据流量序列X的均值计算时移系数为k的流量序列的自协方差γ<sub>k</sub>、方差γ<sub>0</sub>及时移系数为k的流量序列的自相关系数ρ<sub>k</sub>;2c)设置赫斯特指数初始值H<sub>0</sub>及迭代终止值s,并利用2b)中选择的时移系数k和计算出来的自相关系数ρ<sub>k</sub>带入迭代公式:<img file="FDA0000786822080000011.GIF" wi="604" he="96" />进行计算,得到赫斯特指数H,其中,m表示迭代次数且m≥0;2d)设置报警阈值q,并将赫斯特指数H与设置的报警阈值q进行比较:若H≤q,则流量序列X不符合自相似特性,判断为存在疑似攻击流量,执行步骤(3),若H>q,则此流量序列符合自相似特性,判断为不存在疑似攻击流量,返回步骤(1);(3)对疑似攻击流量做攻击流量特征分析:3a)使用网络封包分析软件对疑似攻击流量进行解包,获取数据包中的数据字段,并将其保存到本地文件D中;3b)使用攻击流量特征库L中的攻击流量特征字串c对本地文件D中的数据字段进行匹配,若匹配成功,则判断为受到攻击,对用户进行报警,否则,认为未受到攻击,返回步骤(1)。 |