[发明专利]具有隐私保护功能的分布式异常流量检测方法与系统

权利要求书

1.一种具有隐私保护功能的分布式异常流量检测方法，其特征在于，包括以下步骤：

S1，参与方处理步骤：参与方发现网络异常流量攻击可疑事件，对包含该可疑事件信息的原始报文进行初次加密，得到初次加密报文，将该初次加密报文发送到代理方；

S2，代理方加密步骤：代理方对初次加密报文进行再次加密，将再次加密报文发送到异常流量分析与发布中心；

S3，异常检测步骤：异常流量分析与发布中心对再次加密报文进行解密，利用得到的初次加密报文，根据预设的全局异常流量检测模型进行检测，判断是否为一次异常流量攻击事件，若是则将初次加密报文中的需解密部分发回代理方，要求代理方解密；

S4，代理方解密步骤：代理方对初次加密报文中的需解密部分进行解密，将解密结果发回异常流量分析与发布中心；

S5，公布攻击事件步骤：异常流量分析与发布中心得到解密结果后，将该次异常流量攻击事件进行公开发布。

2.根据权利要求1所述具有隐私保护功能的分布式异常流量检测方法，其特征在于，所述参与方处理步骤可进一步具体为：

S11，参与方捕获网络数据包；

S12，参与方根据本地异常数据流量检测策略发现网络数据流量可疑事件；

S13，将该可疑事件的相关信息写入原始报文，原始报文的格式为该次可疑事件的关键字与该关键词的对应值的二元组；

S14，对关键字分别按消息摘要函数和基于密钥的代理方公钥进行加密，结合对应值的明文，得到初次加密报文；

S15，将初次加密报文发送到代理方。

3.根据权利要求2所述具有隐私保护功能的分布式异常流量检测方法，其特征在于，所述代理方加密步骤可进一步具体为：对初次加密报文按异常流量分析与发布中心的公钥进行加密，得到再次加密报文，将再次加密报文发送到异常流量分析与发布中心。

4.根据权利要求3所述具有隐私保护功能的分布式异常流量检测方法，其特征在于，所述代理方解密步骤可进一步具体为：对初次加密报文中的需解密部分用代理方的私钥进行解密，将解密结果发回异常流量分析与发布中心。

5.根据权利要求2至4任意一项所述具有隐私保护功能的分布式异常流量检测方法，其特征在于：加密与解密过程所用的公钥加解密算法为RSA算法。

6.根据权利要求1所述具有隐私保护功能的分布式异常流量检测方法，其特征在于：所述异常检测步骤中所用的全局异常流量模型为基于特征码或基于数值的异常流量检测模型。

7.一种具有隐私保护功能的分布式异常流量检测系统，其特征在于：

包括参与方模块（101）、代理方模块（102）以及异常流量分析与发布中心模块（103）；

至少一个所述参与方模块（101）与所述代理方模块（102）相连接，该参与方模块（101）依据本地异常数据流量检测策略发现网络数据流量可疑事件，并将内含该可疑事件相关信息的原始报文进行初次加密，得到初次加密报文，最后将该初次加密报文发送到代理方模块（102）；

至少一个所述代理方模块（102）与所述异常流量分析与发布中心模块（103）相连接，该代理方模块（102）对所述初次加密报文进行再次加密后得到再次加密报文，并将该再次加密报文发送到异常流量分析与发布中心模块（103）；该代理方模块（102）还接收来自异常流量分析与发布中心模块（103）的初次加密报文中的需解密部分，代理方模块（102）将该需解密部分解密后将解密结果发回异常流量分析与发布中心模块（103）；

所述异常流量分析与发布中心模块（103）对再次加密报文进行解密得到初次加密报文，利用初次加密报文按照预设的全局异常流量模型判断所述网络数据流量可疑事件是否确为一次全局的异常流量攻击事件，若是则将该初次加密报文中的需解密部分发回代理方模块（102），要求代理方模块（102）进行解密，接收到反馈回来的解密结果后，将该次异常流量攻击事件进行公开发布。

8.根据权利要求7所述具有隐私保护功能的分布式异常流量检测系统，其特征在于：所述原始报文为包含可疑事件特征的关键字以及该关键字的对应值组成的二元组；所述常流量分析与发布中心模块（103）中的全局异常流量模型为基于特征码或基于数值的异常流量检测模型。