| 发明名称 | 一种网络流量异常检测方法和系统 | ||
| 摘要 | 本发明提供一种网络流量异常检测方法和系统。该检测方法包括:接收数据包,判断数据包类型并利用预先建立的协议会话状态机对该数据包所属的会话或伪会话行为的正常程度进行度量;该协议会话状态机为传输控制协议TCP会话状态机、用户数据报协议UDP会话状态机或互联网控制消息协议ICMP会话状态机;对数据包所属的会话或伪会话行为的正常程度进行度量包括:对预存会话状态跟踪表中的错误计数值进行统计,将统计后的错误计数值作为会话或者伪会话行为的正常程度的度量;根据度量的结果,利用数据挖掘来判断该会话或伪会话是否为异常。通过对会话或伪会话中的数据包进行检测和错误计数;结合数据挖掘技术进行异常判断,有效地发现网络异常会话行为模式的未知攻击。 | ||
| 申请公布号 | CN100514921C | 申请公布日期 | 2009.07.15 |
| 申请号 | CN200710063192.0 | 申请日期 | 2007.01.31 |
| 申请人 | 华为技术有限公司 | 发明人 | 沈刚;丁思捷 |
| 分类号 | H04L12/26(2006.01)I;H04L12/56(2006.01)I;H04L29/06(2006.01)I;H04L12/24(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 北京三友知识产权代理有限公司 | 代理人 | 陶海萍 |
| 主权项 | 1. 一种网络流量异常检测方法,其特征在于,包括:接收数据包,判断数据包类型并利用预先建立的协议会话状态机对该数据包所属的会话或伪会话行为的正常程度进行度量;其中,所述协议会话状态机为传输控制协议TCP会话状态机、用户数据报协议UDP会话状态机或者互联网控制消息协议ICMP会话状态机;所述对数据包所属的会话或伪会话行为的正常程度进行度量包括:对预存会话状态跟踪表中的错误计数值进行统计,将统计后的错误计数值作为会话或者伪会话行为的正常程度的度量;根据度量的结果,利用数据挖掘判断该会话或伪会话是否为异常。 | ||
| 地址 | 518129广东省深圳市龙岗区坂田华为总部办公楼 | ||