一种基于流量特征的异常流量检测方法
申请人信息
- 申请人:国家计算机网络与信息安全管理中心
- 申请人地址:100029 北京市朝阳区裕民路甲3号
- 发明人: 国家计算机网络与信息安全管理中心
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种基于流量特征的异常流量检测方法 |
| 专利类型 | 发明申请 |
| 申请号 | CN202311530543.X |
| 申请日 | 2023/11/16 |
| 公告号 | CN117395070A |
| 公开日 | 2024/1/12 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 国家计算机网络与信息安全管理中心 |
| 发明人 | 周波; 王勇; 王宏韬; 韩凯飞; 陈新兴 |
| 地址 | 北京市朝阳区裕民路甲3号 |
摘要文本
本发明涉及异常流量检测技术领域,公开了一种基于流量特征的异常流量检测方法,首先统计业务服务器单位时间内的业务流量大小,具体包括比特每秒bps和包每秒pps,将业务流量进行流量特征解析,并生成对应的流量特征日志;再对所有业务流量的流量特征进行统计,按照一个固定的时间范围统计维度为源IP和目的IP,统计后使用pattern‑defeating quicksort算法对源IP和目的IP进行排序并取TopK;将流量特征日志与对应的TopK的源IP和目的IP进行关联,将关联的结果生成结果日志;通过移动平均算法或指数加权移动平均算法,使用单位时间内的流量大小数据生成对应的基线。本发明提供更全面的网络安全分析,有助于识别复杂的威胁和攻击,准确性高、可伸缩性大。 (更多数据,详见专利查询网)
专利主权项内容
1.一种基于流量特征的异常流量检测方法,其特征在于:具体按以下步骤执行:S : 首先统计业务服务器单位时间内的业务流量大小,具体包括比特每秒bps和包每秒pps,将业务流量进行流量特征解析,并生成对应的流量特征日志;1S : 对所有业务流量的流量特征进行统计,按照一个固定的时间范围统计维度为源IP和目的IP,统计后使用pattern-defeating quicksort算法对源IP和目的IP进行排序并取TopK;2S : 将流量特征日志与对应的TopK的源IP和目的IP进行关联,将关联的结果生成结果日志;3S : 通过移动平均算法或指数加权移动平均算法,使用单位时间内的流量大小数据生成对应的基线;4S : 根据经验选择简单移动平均算法或指数加权移动平均算法计算出基线数据后,定义阈值范围的下限为a%,上限为b%,根据生成的基线计算具体异常值的范围;5S : 当流量指标出现异常时,查询对应时间段的结果日志,将在对应时间段内TopK的源IP、目的IP的分布方式和通联关系和通过上述算法生成的源IP、目的IP的分布方式和通联关系的基线比较,判断是否为异常流量。6 关注微信公众号马克数据网