[发明专利]对广域网流量行为进行监测管理的方法和装置

说明书

本发明实施例提供了一种对广域网流量行为进行监测管理的方法和装置。该方法主要包括:通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段；将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值；将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。应用本发明,能够有效地检测出广域网中的异常流量攻击，以保证网络应用的安全性与可用性，给网络用户一个安全、可用的网络应用环境。

技术领域

本发明涉及技术领域，尤其涉及一种对广域网流量行为进行监测管理的方法和装置。

背景技术

在互联网飞速发展的今天，网民数量正在以每分钟百人的速度激增，就在这互联网遍及千家万户的时候，广域网大规模攻击频繁发生，例如2014年8月份众多大型游戏网站和服务商的服务器遭受了有预谋的DDoS攻击，影响了这些网站的服务质量；受害最严重的就是索尼的PSN服务网络，曾经全部瘫痪，众多玩家无法正常进行在线游戏和购买游戏内容；2014年12月运营商DNS网络DDoS攻击事件，多个省份不断出现网页访问缓慢，甚至无法打开等故障现象。如今DDoS攻击单纯为破坏的可能性越来越小，从最终攻击者获取利益来看分为三类：敲诈勒索、实施报复及获取竞争优势。

目前，现有的广域网流量行为智能监测与安全分析方法主要包括三大技术：一是流量统计和阈值检测技术；二是源与目的主机可信性验证技术；三是分布与特征检测技术。

上述现有的广域网流量行为智能监测与安全分析方法的缺点为：存在较大的误报率、不能全面检测异常流量攻击、特征检测性能不高。

发明内容

本发明的实施例提供了一种对广域网流量行为进行监测管理的方法和装置，以实现有效地对广域网中的流量行为进行智能监测与安全分析。

为了实现上述目的，本发明采取了如下技术方案。

根据本发明的一个方面，提供了一种对广域网流量行为进行监测管理的方法，包括：

通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段；

将每个数据段分割成多个子数据段，根据每个时间段对应的数据段中的子数据段，计算每个时间段内网络流量行为的趋势值；

将时间段内的网络流量行为的趋势值与预先设定的趋势阈值比较，根据比较结果判断出所述时间段内的流量行为为正常流量行为或者异常流量行为。

优选地，所述的通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段，包括：

获取广域网中传输的数据包，解析所述数据包的协议，对所述数据包的网络行为信息进行规范化，规范化后的网络行为信息格式包括开始时间、结束时间、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目的端口、协议类型、TCP标志、包个数、字节数、流数量、IP包分片偏移量。

优选地，所述的通过对广域网中传输的数据包进行解析获取网络行为信息流，将所述网络行为信息流分割成多个连续的数据段，每个数据段对应一个时间段，包括：

设基于时间段的网络行为信息流为X＝{x(t₁),,,x(t_j),,,x(t_c)}，其中,x(t₁)为t₁时间段的网络行为信息，x(t_c)为t_c时间段的网络行为信息，I＝{t₁,,,t_j,,,t_c}；