[发明专利]一种在网络设备上提取流量攻击报文特征的方法和单元

权利要求书

1.一种在网络设备上提取流量攻击报文特征的方法，包括：

选定需要提取报文特征的、作为攻击流量类型的网络报文类型；

以选定类型报文的报头字段为项，在接收到的选定类型报文中，找到所 有满足最小支持度的频繁项目集；

对所找到的所有频繁项目集先按照元数降序排序，再对元数相同的频繁 项目集按照支持度降序排序；从排序后的频繁项目集里，依次选取一组满足 报文过滤比例阈值的频繁项目集的最小集合为选定类型报文的攻击报文特 征；

其中所述找到所有满足最小支持度的频繁项目集，包括：

c1、以选定类型报文的各报头字段为项，针对各报头字段值分别提取出 满足预设的最小支持度的、元数为一的独元频繁项目集，将独元频繁项目集 设置为当前频繁项目集；

c2、从当前频繁项目集出发，采用拼接和剪枝方法生成元数增一的候选 频繁项目集；

c3、基于报文抽样缓冲区中的网络报文统计各候选频繁项目集的支持度， 选择所有满足最小支持度的候选频繁项目集为所求的元数增一的频繁项目 集，并设置当前频繁项目集为所求的所有元数增一的频繁项目集；

c4、重复步骤c2至c3，直至无法生成元数更多的频繁项目集。

2.如权利要求1所述的方法，其特征在于，具体包括以下步骤：

a、选定需要提取报文特征的、作为攻击流量类型的网络报文类型，并构 建一个攻击报文抽样缓冲区；

b、在检测周期内对所述网络设备的特定接收端口接收的选定类型报文进 行抽样，并存储到报文抽样缓冲区；

c、以选定类型报文的报头字段为项，对报文抽样缓冲区中的网络报文进 行频繁项目集挖掘，找到所有满足最小支持度的频繁项目集，包括：

c1、以选定类型报文的各报头字段为项，针对各报头字段值分别提取出 满足预设的最小支持度的、元数为一的独元频繁项目集，将独元频繁项目集 设置为当前频繁项目集；

c2、从当前频繁项目集出发，采用拼接和剪枝方法生成元数增一的候选 频繁项目集；

c3、基于报文抽样缓冲区中的网络报文统计各候选频繁项目集的支持度， 选择所有满足最小支持度的候选频繁项目集为所求的元数增一的频繁项目 集，并设置当前频繁项目集为所求的所有元数增一的频繁项目集；

c4、重复步骤c2至c3，直至无法生成元数更多的频繁项目集；

d、对所找到的所有频繁项目集先按照元数降序排序，再对元数相同的频 繁项目集按照支持度降序排序；从排序后的频繁项目集里，依次选取一组满 足预先设定的报文过滤比例阈值的频繁项目集最小集为所选类型网络报文的 报文攻击特征。

3.如权利要求2所述的方法，其特征在于，所述步骤a中：

构建的报文抽样缓冲区为循环缓冲区，允许容纳的最大报文数量是固定 的，当要存储的网络报文数量超过最大报文容量时，最先进入的网络报文将 被覆盖。

4.如权利要求2所述的方法，其特征在于，所述步骤b中：

仅将抽样的网络报文报头存储到报文抽样缓冲区。

5.如权利要求2所述的方法，其特征在于，所述步骤a和步骤b之间具 体还包括：

ab1、统计一个统计时间段内网络设备各接收端口的选定类型报文到达速 率；

ab2、统计时间段结束后，判断是否存在某一接收端口的选定类型报文到 达速率超过检测阈值，存在则启动检测周期的计时，执行步骤b；否则返回 ab1；

步骤b中的特定接收端口是指：选定类型报文到达速率超过检测阈值的 接收端口。

6.如权利要求5所述的方法，其特征在于，步骤b中：

报文抽样频率为最后一个统计时间段内所述特定接收端口所接收到的选 定类型报文数量，除以报文缓冲区最大报文容量所得到的商。