| 主权项 |
一种基于TCP协议的高效多级异常流量检测方法,其特征在于,包括以下步骤:101、在时间段T内收集网络流量数据,然后对于网络流量数据中的原始流量序列R,在时刻t的观测值用x<sub>t</sub>表示,x<sub>t</sub>∈R,t=1,2,…,T,按照|x<sub>t</sub>|>kvar_R准则去除不可用的流量数据值x<sub>t</sub>,其中k表示的是格拉布斯准则系数,var_R表示所述序列R的方差,将保留下来的流量数据,作为一个流量观测序列X;102、对流量观测序列X进行差分平稳化预处理,预处理得到的差分流量序列为D,其中差分值d<sub>t</sub>=x<sub>t</sub>‑x<sub>t‑1</sub>,t>1,d<sub>t</sub>∈D,t=1,2,…N,得到差分流量序列D后,输入步骤103中;103、分别计算出序列X和序列D的平均值和方差,并根据平均值和方差,预估t时刻的差分流量值所在的区间[l<sub>t</sub>,h<sub>t</sub>],<img file="FDA0000679955440000011.GIF" wi="402" he="92" /><img file="FDA0000679955440000012.GIF" wi="426" he="91" />其中p<sub>t</sub>表示t时刻的阈值预测值,l<sub>t</sub>和h<sub>t</sub>分别表示在t时刻允许的差分流量的最小值和最大值,var_d<sub>t</sub>表示在t时刻的差分流量的方差,在检测到步骤102中的差分流量序列D输入后,防火墙即开启初级检测防御功能,对传送过来的数据,根据t时刻的阈值预测值p<sub>t</sub>进行检测,当t时刻的差分流量数据值在差分流量预测值的区间[l<sub>t</sub>,h<sub>t</sub>]范围内时,判定其为正常流量,并将其转发给服务器;当超出区间[l<sub>t</sub>,h<sub>t</sub>]范围时,判定为异常流量,跳转至步骤104;104、防火墙的多级检测系统对转发过来的数据包进行分解,提取数据包中的关键字段key_field,并对这些关键字段key_field进行判定,若没有发现异常字段,则将其转发给服务器;若检测到异常字段,则将该数据包丢弃;105、经过步骤104中的再次检测后,将正常的数据包转发给服务器,使得服务器与客户端建立第一次握手连接;106、在建立了第一次握手连接后,服务器将会发送回复信息M<sub>response</sub>给客户端,同时等待客户端的确认信息ACK,当客户端收到服务器的回复信息M<sub>response</sub>后,两端建立了第二次握手连接;当服务器收到了确认信息ACK之后,服务器与客户端的建立了第三次握手连接,两者之间即可通信。 |
