[发明专利]一种ISP异常流量检测方法及系统

权利要求书

1.一种ISP异常流量检测方法，其特征在于，其检测方法包括：

步骤S1，捕获网络数据包；

步骤S2，对捕获的网络数据包进行危险网络数据流的识别，确定危险区域；

步骤S3，提取发送至危险区域的危险网络数据流的危险模式；

步骤S4，将危险网络数据流的危险模式与记忆检测器进行匹配，同时更新记忆检测器抗体浓度；

步骤S5，根据记忆检测器抗体浓度确定网络异常流量风险值。

2.根据权利要求1所述的ISP异常流量检测方法，其特征在于，所述对捕获的网络数据包进行危险网络数据流的识别方法包括：计算并确定某数据流净载荷的区间范围；计算t时刻该数据流净载荷字节数与其在[t-l,t]时间范围内数据流净载荷字节数的差值；判断该差值是否在该数据流净载荷的区间范围内，如果在，则该数据流不存在危险，否则该数据流存在危险。

3.根据权利要求1所述的ISP异常流量检测方法，其特征在于，所述对捕获的网络数据包进行危险网络数据流的识别方法包括：计算并确定某数据流阈值；计算t时刻该数据流与其在[t-l,t]时间范围内数据流字节数的差值；判断该差值是否小于数据流阈值，如果是则该数据流存在危险，否则该数据流不存在危险。

4.根据权利要求1所述的ISP异常流量检测方法，其特征在于，确定所述危险区域的方法：

步骤S21，从所有危险的数据流中提取出这些数据流的目标IP地址；

步骤S22，将这些IP地址区域标识为危险区域。

5.根据权利要求1所述的ISP异常流量检测方法，其特征在于，所述记忆检测器由检测器进化而来，其演化步骤包括：

步骤S41，检测器与危险网络数据流的危险模式进行匹配；

步骤S42，判断匹配是否成功，如果是则执行步骤S45，否则执行步骤：

步骤S43，检测器存活时间减少；

步骤S44，判断检测器存活时间是否为零，若为零，则删除该检测器，否则返回步骤S41；

步骤S45，检测器存激活度增加；

步骤S46，判断检测器激活度是否大于记忆检测器阈值，若大于，则进化为记忆检测器，否则返回步骤S41。

6.根据权利要求1所述的ISP异常流量检测方法，其特征在于，所述记忆检测器抗体浓度的更新方法包括：

步骤S41′，记忆检测器在抗体浓度保持周期内与网络危险数据流的危险模式进行匹配；

步骤S42′，判断匹配是否成功，若匹配成功，则该记忆检测器的抗体浓度增加，并同时配置该记忆检测器的存活时间为0，否则该记忆检测器的抗体浓度减少，同时该记忆检测器的存活时间加1。

7.根据权利要求1所述的ISP异常流量检测方法，其特征在于，所述网络异常流量风险值包括某一类网络异常流量风险值和计算机整体网络异常流量风险值。

8.一种ISP异常流量检测系统，所述ISP异常流量检测系统部署在ISP出口位置处，将ISP出口路由器的网络数据旁路到所述ISP异常流量检测系统，所述ISP异常流量检测系统包括网络数据包捕获模块，其特征在于，还包括：

危险识别模块：将网络数据包捕获模块捕获的数据包进行数据流分析，判断网络数据流中是否存在危险，对存在危险的网络数据流交由危险区域识别模块处理；

危险区域识别模块：提取存在危险的网络数据流的目标IP地址，将这些IP地址标识为危险区域，并提取发送至标识为危险区域的危险网络数据的危险模式，将提取的危险模式交由网络异常流量模式识别模块进行处理；

网络异常流量模式识别模块：对危险模式进行匹配识别，如果匹配不成功则说明网络数据流中没有异常，否则产生告警并交由危险评估模块进行危险评估；

危险评估模块：对网络异常流量模式识别模块输出的告警进行风险评估。

9.根据权利要求8所述的ISP异常流量检测系统，其特征在于，所述ISP异常流量检测系统还包括免疫响应模块，所述免疫响应模块根据危险评估模块的评估结果，采取相应的措施减少网络异常流量带来影响。