[发明专利]一种基于主机活跃性和通信模式分析实时异常流量检测方法

权利要求书

1.一种基于主机活跃性和通信模式分析实时异常流量检测方法，其利用提供各种网络服务的广域网以及与广域网连接的区域网和局域网、和安装在集中检测设备上的抽样单元、提取计算单元、比较单元、知识库单元来实现，所述基于主机活跃性和通信模式分析实时异常流量检测方法的特征在于，包括以下步骤：

①创建报文抽样循环缓冲区，所述循环缓冲区包括：16个哈希表结构和8个报文抽样循环缓冲分区；

②抽样单元的时间窗开启，统计开始；

③抽样单元按照报文分类对报文进行活跃IP统计和自适应抽样；

④抽样单元的时间窗关闭，统计结束；

⑤所述的提取计算单元基于哈希表结构提取活跃IP地址集合并计算特征分布熵向量，具体包括以下步骤：对各类报文子空间对应的源活跃IP和目的活跃IP哈希表结构进行遍历；提取出各类报文相关的源活跃IP和目的活跃IP集合；对于提取的每一活跃源活跃IP或目的活跃IP，从相应报文抽样循环缓冲区中抽取与该活跃IP相关的报文样本集；基于标准熵方法计算出活跃IP报文样本在源地址SIP、目的地址DIP、源端口地址Sport、目的端口地址Dport四元属性上的特征分布熵向量，其中，所述特征分布熵向量包括：源特征分布熵向量和宿特征分布熵向量；

⑥提取计算单元基于报文抽样循环区提取活跃IP活跃性、活跃IP源特征分布熵向量和宿特征分布熵向量并计算报文通信模式，包括以下步骤：从各类报文子空间相关的源活跃IP和目的活跃IP哈希表结构提取活跃IP活跃性；从各类报文抽样循环缓冲区中提取活跃IP源特征分布熵向量和宿特征分布熵向量值；将提取的活跃IP活跃性和活跃IP的源特征分布熵向量、宿特征分布熵向量值构成了各活跃IP的通信模式；

⑦比较单元从知识库单元提取异常流量通信模式样本与上一步骤获得的通信模式进行比较，如相同则报警，如不同则回到步骤②，

其中，所述各类报文子空间是指将整个网络报文空间按报文类型进行划分而获得的。

2.根据权利要求1所述的一种基于主机活跃性和通信模式分析实时异常流量检测方法，其特征在于所述的抽样单元按照报文分类对报文进行活跃IP统计和自适应抽样的方法，包括以下步骤：

①判别报文类型；

②抽取报文源地址SIP、目的地址DIP、源端口地址Sport、目的端口地址Dport四元组属性；

③更新与该报文组的源活跃IP和目的活跃IP相关哈希表结构；

④由该类型报文子空间抽样策略决定该报文是否被采样；

⑤将获得并采用的报文四元组记录顺序存储到对应报文抽样循环缓冲区中。

3.根据权利要求1所述的一种基于主机活跃性和通信模式分析实时异常流量检测方法，其特征在于所述的知识库单元收集各类型异常流量事件样本，所述的知识库单元构建的方法，包括以下步骤：

①分别在各类型报文子空间中提取各异常流量事件的局部通信特征；

②通过合并从各类型报文子空间中提取的局部通信特征得到完整通信模式；

③基于这些异常流量通信模式构建一个适于在线异常流量检测使用的知识库单元。

4.根据权利要求3所述的一种基于主机活跃性和通信模式分析实时异常流量检测方法，其特征在于所述的知识库单元收集各类型异常流量事件样本包括：α流、Flood、Flash-Crowd、端口扫描、网络扫描、设备故障和蠕虫扫描。

5.根据权利要求3所述的一种基于主机活跃性和通信模式分析实时异常流量检测方法，其特征在于所述的各类型报文子空间包括：TCP-SYNOnly、TCP-SYNACK、TCP-RST、TCP-ACKONLY、UDP、ICMP-Req、ICMP-Rply和ICMP-unreach。

6.根据权利要求3所述的一种基于主机活跃性和通信模式分析实时异常流量检测方法，其特征在于所述的异常流量通信模式的描述方法：

异常事件发生点活跃度和异常事件相关报文特征分布，所述的异常事件发生点活跃度是指在整个异常流量事件过程中发送或接收的网络报文数；所述的异常事件相关报文特征分布是指事件相关报文抽样样品在源地址SIP、目的地址DIP、源端口地址Sport和目的端口地址Dport四个报文属性上取值的发散或聚合情况，所述的异常事件相关报文特征分布的计算方法是采用线性计数数组和均匀映射方法来高效计算近似熵，得到异常流量事件样本在不同类型报文子空间中的源特征分布熵向量和宿特征分布熵向量。