一种基于SNMP与NetFlow结合的网络异常流量检测方法

摘要

本发明涉及一种网络异常检测方法，特别是一种基于SNMP与NetFlow结合的网络异常流量检测方法。本发明包括：(1)NetFlow数据采集与处理：NetFlow监控程序实时扫描预处理数据库中的数据表，采用基于NetFlow的流量检测方法，检测预处理数据库中的信息是否异常，若有异常则向监控程序提交异常信息的IP地址和协议号；(2)SNMP管理程序分析异常。本发明降低了误报率；采用NetFlow预处理方法，将采集到的大量数据经过四种方法处理，最终分成多张具有统计意义的数据表，为之后的检测方法提高了扫描速度，降低了计算开销。

主权项

一种基于SNMP与NetFlow结合的网络异常流量检测方法，其特征在于：(1)NetFlow数据采集与处理：(1.1)网络交换设备采集NetFlow数据，存入NetFlow数据库；(1.2)NetFlow数据库采用NetFlow预处理方法，经过数据选择、填补缺省值、数据规范化和数据归类的方法，将原始数据整理成规格化的数据并分成数据表，存入预处理数据库；(1.3)NetFlow监控程序实时扫描预处理数据库中的数据表，采用基于NetFlow的流量检测方法，检测预处理数据库中的信息是否异常，若有异常则向监控程序提交异常信息的IP地址和协议号；(2)SNMP管理程序分析异常：(2.1)SNMP管理程序进入睡眠状态，等待接收异常；(2.2)管理程序判断是否接收到异常IP地址，若有则到步骤(2.3)，否则返回步骤(2.1)；(2.3)SNMP管理端接收异常IP地址，向代理发送GET请求，查询该条IP的流量数；(2.4)代理收到GET请求后，查询该IP地址上的流量，发送GET‑RESPONSE，将查询结果反馈给SNMP管理程序；(2.5)SNMP管理端向代理发送GET‑NEXT请求，继续查询流量数；(2.6)代理收到GET‑NEXT请求后，逐条查询IP地址上的流量，向SNMP管理程序发送GET‑RESPONSE，并返回查询结果；(2.7)重复步骤(2.5)和(2.6)，直到代理返回“NULL”；(2.8)统计IP地址上的总流量；(2.9)判断流量是否高于阈值，若是则到步骤(2.10)，否则转到步骤(2.11)；(2.10)网管工作站确定该IP有异常，结束；(2.11)网管工作站认为没有异常，改为安全事件，结束。