[发明专利]基于异常反馈的NetFlow采样处理方法

权利要求书

1.一种基于异常反馈的NetFlow采样处理方法，其特征在于，采用以下步骤：

步骤1：异常分析器分析NetFlow数据，并提取异常流量对应的NetFlow记录的特征值；

步骤2：根据步骤1分析结果，进行基于统计结果的异常检测，输出防范策略的行为特征参数；

步骤3：路由流量采集点调整对异常流量包的采样率；

步骤4：采集服务器调整对路由流量采集点的流量接收权重；

步骤2所述的基于统计结果的异常检测，具体步骤如下：

步骤2.1，将统计结果与从历史流量中提取出的基线进行比较，倘若当前观测值落在置信区间内，则认为该流量是正常的，倘若落在了置信区间以外，则将当前观测值列为可疑事件；

步骤2.2，将可疑事件信息与异常特征进行匹配：如果没有匹配成功，则将该可疑事件信息列为低可信度事件；如果匹配成功，则输出防范策略的行为特征参数；

步骤2.1所述将统计结果与从历史流量中提取出的基线进行比较，其中基线是描述正常流量的范围，即置信区间，从历史流量中提取；基线的确定采用参数度量平均值的标准偏差值来计算，通过已经观测到的历史流量的样本值X_i计算出观测值的平均值mean，i＝1，2，…，n，即

定义stdev为标准偏差，且

所述的置信区间的计算公式为：

[mean-d*stdev,mean+d*stdev]

式中：stdev为标准偏差，mean为前n次正常活动观测值的平均值，d为调整参数，d根据目前的网络流量状况进行调整，网络流量高峰期d取值大于网络流量低谷期；

步骤2.2所述的将可疑事件信息与异常特征进行匹配，具体步骤如下：将从通过基线模式过滤出来的可疑信息中提取出的特征值，与异常特征库中的特征逐条匹配，倘若与某条特征匹配成功，则生成与该特征相对应的事件，匹配的同时记录流长m，即该异常流的报文数；设路由流量采集点权重为L，若是威胁网络稳定和安全的异常流量，则L＝0；若是正常突发流量，则根据流量的大小依次增加权重。

2.根据权利要求1所述的基于异常反馈的NetFlow采样处理方法，其特征在于，步骤1所述的异常流量对应的NetFlow记录的特征值包括源地址、目的地址、协议类型、源端口、目的端口方面的特征。

3.根据权利要求1所述的基于异常反馈的NetFlow采样处理方法，其特征在于，步骤3中所述路由流量采集点调整对异常流量包的采样率，方法如下：

对于流长为m的流，即流由m个报文构成，若对每个报文采取独立随机抽样，抽样概率为q，以X表示m次独立重复实验中抽取到的报文数，则随机变量X服从参数为m、q的二项分布，抽取到k个报文的概率为：

该流被抽样到所有流长小于等于k的概率为：

给定两个阈值α和β，若P{X≤k}＜α，即计算出m，此时令m₁＝m，则认为流长小于等于m₁的流为短流；若P{X≤k}＞β，同样计算出m，此时令m₂＝m，则认为流长大于等于m₂的流为长流；另外，认为流长介于m₁和m₂之间的为中流；

设短流的抽样概率为P₁，中流的抽样概率为P₂，长流的抽样概率为P₃，以x表示到达流的流长，则x抽样率为：

未检测到异常，抽样概率为P，P是采集前初始化的抽样概率；检测到异常，抽样概率为P_x。

4.根据权利要求1所述的基于异常反馈的NetFlow采样处理方法，其特征在于，步骤4所述采集服务器调整对路由流量采集点的流量接收权重，方法如下：

采集服务器收到来自反馈器的反馈后，根据反馈的路由权重L，修改异常源所在的路由流量采集点的权重；采集服务器对应的路由流量采集点都有各自的权重L，权重越高，代表要采集的流量信息越多，则会分配更多的资源用于接收处理来自该路由流量采集点的NetFlow数据，若权重L＝0，则代表只进行对异常流量后续监控，确保威胁被彻底根除或是掌握该异常流量的实时情况。