| 发明名称 | 一种大流量环境下主机网络异常行为检测及分类方法 | ||
| 摘要 | 本发明公开了一种大流量环境下主机网络异常行为检测及分类方法,属于互联网技术领域。本发明包括以下步骤:步骤1、网络连接表生成与维护;步骤2、创建连接记录表;步骤3、遍历网络连接表副本;步骤4、计算主机源/目的端口熵和最大占比;步骤5、主机异常网络行为识别。本发明以源节点的源/目的端口熵值及最大占比等几个因素来判断该节点行为是否异常,并进一步对异常行为进行分类。本发明提供一种实用的,能适应大流量环境,算法简单易于在各类网络设备中实现,具有一定实时性,同时又满足准确性要求,能识别出各种网络扫描和DoS/DDoS攻击流量,提供详细信息,辅助进一步精确拦截完成的异常检测方法。 | ||
| 申请公布号 | CN104836702A | 申请公布日期 | 2015.08.12 |
| 申请号 | CN201510227895.7 | 申请日期 | 2015.05.06 |
| 申请人 | 华中科技大学 | 发明人 | 周丽娟 |
| 分类号 | H04L12/26(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 武汉东喻专利代理事务所(普通合伙) 42224 | 代理人 | 宋业斌 |
| 主权项 | 一种大流量环境下主机网络异常行为检测及分类方法,其特征在于,包括:步骤1生成与维护网络连接表,所述网络连接表中的每个网络连接由源IP地址、目的IP地址、源端口、目的端口、协议及时间信息唯一标识;步骤2实时以netflow数据格式将所述网络连接表发送到系统,所述系统获取一定时间间隔的netflow数据后,解析所述netflow数据并建立当前的网络连接表副本,然后开启新的线程遍历所述网络连接表,进行统计分析;步骤3在获得所述一定时间间隔的网络连接表副本后,采用哈希算法对所述网络连接表副本进行处理,构建主机记录表存储主机信息;步骤4遍历所述主机记录表,读取其中网络连接总数的值,判断是否超过检测阈值,如果未超过所述检测阈值则读取下一个主机记录,否则对该主机记录所有内容进行遍历,统计目的IP总数和所有源端口及目的端口的分布,遍历完毕后,计算出该主机的源端口熵、目的端口熵、源最大占比和目的最大占比;步骤5根据所述步骤4的计算结果判断该主机的异常行为类型。 | ||
| 地址 | 430074 湖北省武汉市洪山区珞喻路1037号 | ||