[发明专利]网络流特征向量提取方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络流特征向量提取发方法。

背景技术

网络安全系统指的是那些专门为网络或计算机系统提供安全服务的系统。它包括防火墙、入侵检测系统和入侵防范系统等。

由于网络技术和网络带宽的发展迅速，网络中的数据流量也成倍增加，在高速骨干网络上，数据流量已经达到每秒钟上Gbit甚至10Gbit。不断增大的网络流量对网络安全提出了新的挑战：传统的基于网络包的网络安全系统的效率已难以满足高速骨干网监测的需要。在高速宽带网络环境下，网络数据高速无穷到达，且不间断，呈现海量数据特点，并且本地无法进行存储。因此，依靠网络包捕获-网络包还原-模式匹配的传统的网络安全系统效率无法满足需要。

网络流(NetFLow)是两个网络实体之间持续一段时间并属于相同流属性值集的数据包序列。作为一种数据交换方式，网络流从一个微观层面上反映了主机行为和主机之间相互通信的细节。通过收集IP协议流量信息，网络流能够为网络安全类系统提供精确、高效、可靠的处理对象。网络流是目前网络安全技术领域的热点，它的应用能够提升网络安全系统在高速网络中的性能。

思科公司首先提出了网络流的概念，并引入了两个重要的参数：流规范(flow specification)和流超时(flow timeout)。

流规范的定义可以用一个五元组来表示：

1、源IP地址；

2、目的IP地址；

3、TCP/UDP协议的原始端口号(0代表其它协议)；

4、TCP/UDP协议的目的端口号(0代表其它协议)；

5、IP协议类型。

按照流规范的定义，对于一个新进的网络数据包，如果在Cache(高速缓冲存储器)中无法能够找到与之相对应的网络流信息，则在Cache中创建一个新的网络流。流超时规定了4个规则来判定一个网络流是否终结：

1、TCP协议标志位是FIN或者RST；

2、收到一个数据包后15秒内没有另外的数据包到达；

3、网络流创建30分钟；

4、网络流的Cache已满。

网络流是一种流数据，可以采用流数据模型描述。流数据模型解释了一种信号描述方式。设流数据中的数据项a₁，a₂，...，a_n依次按下标顺序到达，描述了一个信号A。流数据模式定义了如何用a描述信号A。流数据模型分为3种：

1、时间序列模型(Time Series Model)

每个数据项a_i都以i的增序出现。此时，数据流中的每个数据项都代表一个独立的信号。

2、现金登记模型(Cash Register Model)

在这个模型中，每个数据项a_i都代表信号A的增量。该模型和现金登记类似，随着时间的推进，多个a_i能够增加一个给定的信号A。此时，数据流中的多个数据项增量式的表达一个信号。

3、十字转门模型(Turnstile Model)

这个模型与现金登记模型类似，每一个数据项a_i都是信号A的更新。与现金登记模型不同，在十字转门模型中，数据项的更新可以是负值。此时，随着数据项的流入，信号可能会增加，也可能会减少。

网络流采用的模型是现金登记模型。其中，每一个新进的数据包都是一个数据项，每一个网络流都是一个信号。随着时间的推进，网络流的内容逐渐丰富，而数据包在更新完网络流后也将完成它的使命。整个过程中无需存储数据包，也无需对其进行深度处理，只需要用它更新描述网络流的概要数据结构。

利用网络流能够有效提升网络安全设备的效率，满足日益增长的网络带宽的需要。然而，目前描述网络流的概要数据结构比较简单，包含的信息量比较少，无法完备地刻画主机之间相互通信的细节，从而导致网络安全系统无法准确地分析网络中存在的异常行为。

发明内容

(一)要解决的技术问题

本发明所要解决的技术问题是：如何提供一种网络流特征向量提取方法，为网络安全设备提供丰富、可靠的知识，以分析网络中存在的异常行为。

(二)技术方案

为解决上述问题，本发明提供了一种网络流特征向量提取方法，该方法包括步骤：

S1.查找捕获到的新进网络包在网络流表中对应的网络流；