[发明专利]一种数据监测技术和分类网络流量异常的方法

说明书

技术领域

本发明属于网络流量监测分析领域和分类方法，具体涉及一种捕获数据包方法和一种分类网络流量异常的方法。

背景技术

伴随着因特网的迅速发展，网络用户及规模猛增，对网络管理和网络安全提出了更大的挑战，各种网络攻击行为层出不穷，网络安全已经成为大家关注的热点。为了有效的遏制这种行为，我们必须对网络数据进行监测，并且发现网络流量异常行为，比如分布式DOS攻击，信息炸弹等，并且及时采取相应的防御措施。

如今的网络链路的速率迅速增长，已经开始从Mbit/s迈向Gbit/s，在不久的将来还可能达到50Gbit/s甚至是Tbit/s。前兆网卡和千兆交换机已经开始逐步进入主流市场，几乎每个新的局域网用户都会采用此项技术，一个普通家庭用户所能够获得的带宽比几年前一个公司获得的带宽还要大。面对高速网络，传统的流量监测和分析技术所依赖的数据包捕获方法遇到了许多的瓶颈，如PCI总线吞吐量、存储容量、内存访问速度、CPU处理能力、系统调用的开销、中断开销以及操作系统的任务调度机制等都对网络数据包捕获产生一定影响。

网卡具有4种工作模式：广播模式，多播传送模式，直接模式，混杂模式脚。网卡的缺省工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。如果采用混杂模式，网卡将接受同一网络内所有主机所发送的数据包，这样就可以到达对所有数据包进行捕获的目的。而目前用windows平台下数据包捕获中，利用用户编写服务提供者接口程序SPI以及利用Windows驱动程序提供的分层结构模式，可将用户驱动程序挂到其他驱动程序上。第一种方法工作在用户级，效率不高，而且这两种只能截获发送到本机的数据包，不能截获发送到网卡的数据包，我们所要捕获的是网卡的数据包，故这两种方法都不适用。

目前，网络流量异常检测和分类方法多为对单条链路流量采用批处理方法。这就要求提前给定流量检测数据，然后用聚类等方法挖掘网络流量的异常行为模式。比如高能等人采用tcpdump获取链路上分组记录数据，提出一种基于数据挖掘的拒绝服务攻击检测技术；孙知信等人采用单个路由器捕获的流量作为数据源，应用聚类方法识别拒绝服务攻击行为；以及杨一等人采用抓包工具获取实验室网络出口流量数据，提出一种基于蚂蚁聚类的自适应拒绝服务供给监测技术等等。Lakhina等人首次利用流量矩阵作为数据源，用基于主成分分析的子空间方法使得单条链路上难以显现的异常行为在全网络视图上成功地被检测出来，但是主成分分析法存在没有明确和判断所有数据是否合作单独的主成分分析，使得判定结果并不是十分准确的，因子分析和主成分分析相比，由于因子分析可以使用旋转技术帮助解释因子，在解释方面更加有优势。

如何改变一种分析方法，使得所有的异常流量都被监测出来并准确的分类，是本文的内容。

发明内容

本发明目的在于提供一种实用的数据监测技术和分类流量异常的方法。

为解决上述问题，本发明采用如下技术方案：

本发明所述的数据监测技术和分类网络流量异常的方法，包括以下步骤：

一种数据监测技术和分类网络流量异常的方法，其特征在于包括以下步骤：

第一步、采用Winpcap进行流量采集；

第二步、构建以流量特征的熵为测度的流量矩阵；

第三步、利用Winpcap获得的流量向量以及因子分析模型，对因子进行旋转计算得分，然后分类异常流量：

上述技术方案中，所述流量特征的熵具体定义和计算方法如下：

随机观察流量特征X,样本总数S，不同的样本取值个数N，其中流量特征i(i∈x)出现了n_i次，则该流量特征的样本熵定义为：