[发明专利]一种ISP异常流量检测方法及系统

说明书

技术领域

本发明涉及信息安全领域，特别是一种ISP异常流量检测方法及系统。

背景技术

传统的网络异常流量检测技术包括基于特征码的检测技术和异常检测技术。基于特征码的网络异常流量检测技术(如DDOS攻击流量、端口扫描攻击流量等)，仅当其特征库中事先保存有危险网络数据流特征码的情况下才能检测到，否则将会逃过检测；传统异常检测技术通过建立正常行为模型，然后与建立的正常行为模型进行比对，如果超过一定的阈值，则检测到异常，否则正常。因此异常检测技术具有未知异常流量的能力，常用的异常检测方法有：MULTOPS方法、D-WARD方法、预测方法、基于统计的方法、基于数据挖掘的方法等。传统异常检测技术存在以下主要缺点：

(1)存在较高的误报率，由于实际用户行为模型经常发生变化，所以建立的正常行为模型会缺乏自适应性或自适应性较差，常将正常网络流量识别为异常网络流量。

(2)缺乏对由于大量突发正常网络访问导致的网络流量异常的检测能力，如黑客操纵大量僵尸机发起正常HTTP访问。

(3)缺乏网络流量异常流量的容忍机制。

针对ISP(Internet Service Provider)，如果由于误报而阻断了用户的网络连接，将直接导致正常用户网络业务被中断。因此，如何使ISP具备一定程度的异常流量容忍能力并有效地检测异常流量，给ISP提出了很大挑战。

发明内容

本发明的目的是针对现有技术存在的缺点，提供一种ISP异常流量的检测方法及检测系统，可以解决误报率较低、自适应能力差或无自适应能力的问题，还采用了网络流量异常流量的容忍机制，使其具有大量突发正常网络访问导致的网络流量异常的检测能力。

本发明的目的是通过以下技术方案实现的：

本发明的一种ISP异常流量检测方法，其检测方法包括：

步骤S1，捕获网络数据包；

步骤S2，对捕获的网络数据包进行危险网络数据流的识别，确定危险区域；

步骤S3，提取发送至危险区域的危险网络数据流的危险模式；

步骤S4，将危险网络数据流的危险模式与记忆检测器进行匹配，同时更新记忆检测器抗体浓度；

步骤S5，根据记忆检测器抗体浓度确定网络异常流量风险值。所述网络异常流量风险值包括某一类网络异常流量风险值和计算机整体网络异常流量风险值。

具体的，在上述的步骤S2中，对捕获的网络数据包进行危险网络数据流的识别方法包括：方法一，首先，计算并确定某数据流净载荷的区间范围；其次，计算t时刻该数据流净载荷字节数与其在[t-l，t]时间范围内数据流净载荷字节数的差值；再次，判断该差值是否在该数据流净载荷的区间范围内，如果在，则该数据流不存在危险，否则该数据流存在危险。方法二，首先，通过计算并确定某数据流阈值；其次，计算t时刻该数据流与其在[t-l，t]时间范围内数据流字节数的差值；再次，判断该差值是否小于数据流阈值，如果是则该数据流存在危险，否则该数据流不存在危险。本发明的数据流净载荷的区间范围和数据流阈值的计算与确定中，都利用异常容忍因子。

具体的，在上述的步骤S2中，确定所述危险区域的方法包括：步骤S21，从所有危险的数据流中提取出这些数据流的目标IP地址；步骤S22，将这些IP地址区域标识为危险区域；

具体的，在上述的步骤S4中，所述的记忆检测器由检测器进化而来，其演化过程及方法包括：步骤S41，检测器与危险网络数据流的危险模式进行匹配；步骤S42，判断匹配是否成功，如果是则执行步骤S45，否则执行步骤：步骤S43，检测器存活时间减少；步骤S44，判断检测器存活时间是否为零，若为零，则删除该检测器，否则返回步骤S41；步骤S45，检测器存激活度增加；步骤S46，判断检测器激活度是否大于记忆检测器阈值，若大于，则进化为记忆检测器，否则返回步骤S41。所述记忆检测器抗体浓度的更新方法包括：步骤S41′，记忆检测器在抗体浓度保持周期内与网络危险数据流的危险模式进行匹配；步骤S42′，判断匹配是否成功，若匹配成功，则该记忆检测器的抗体浓度增加，并同时配置该记忆检测器的存活时间为0，否则该记忆检测器的抗体浓度减少，同时该记忆检测器的存活时间加1。

本发明的一种ISP异常流量检测系统，所述ISP异常流量检测系统部署在ISP出口位置处，将ISP出口路由器的网络数据旁路到所述ISP异常流量检测系统，所述ISP异常流量检测系统包括网络数据包捕获模块，还包括：