[发明专利]一种基于流检测的网络安全检测方法

权利要求书

1.一种基于流检测的网络安全检测方法，其步骤包括：

1)将监听的网络数据实时地传送到分布式流处理平台；

2)分布式流处理平台对网络数据包进行实时解析，再根据网络数据协议特征库对解析的网络数据内容分别进行特征匹配和访问统计，将匹配确认为异常或根据访问统计确认为异常的网络流量数据发送给数据处理平台进行存储；

3)数据处理平台对存储的网络流量数据进行聚类分析、分类，然后根据得到的网络数据类别动态更新所述网络数据协议特征库。

2.如权利要求1所述的方法，其特征在于，所述网络数据内容包括：数据包的协议、发送地址、目的地址、发送端口、目的端口、数据包长度和数据包头部校验和。

3.如权利要求1或2所述的方法，其特征在于，所述特征匹配是将网络数据内容与网络数据异常特征信息通过匹配引擎进行异常判断。

4.如权利要求3所述的方法，其特征在于，特征匹配时，采用恒虚警率异常探测算法进行异常判断，判断网络数据是否为异常网络数据。

5.如权利要求3所述的方法，其特征在于，根据特征匹配判断是否为异常的方法为：计算已知的正常网络数据的均值和协方差矩阵的最大似然估计值；对未知的网络数据，将该网络数据的数据特征减去均值得到的转置矩阵乘以最大似然估值的逆矩阵，然后乘以数据特征减去均值的差，如果得到的值小于设定阈值则判定为异常。

6.如权利要求1或2所述的方法，其特征在于，根据访问统计确认是否为异常的方法为：统计一定时间内目标网络地址的所有访问，判断单位时间内不同协议类型的会话统计信息、应用类型的访问统计信息和收发的含设定协议标识位的数据分组数量是否在设定的正常范围之内，如果数据不在正常范围内，则确认为异常。

7.如权利要求1所述的方法，其特征在于，所述网络数据协议特征库包括网络流量数据基本特征和网络流量数据异常特征。

8.如权利要求7所述的方法，其特征在于，所述网络流量数据基本特征包括发送地址、目的地址、发送端口、目的端口、数据包长度和数据包头部校验；所述网络流量数据基本特征根据异常的端口访问和数据包流速的大小来判断异常行为。

9.如权利要求1所述的方法，其特征在于，利用模糊多标签SVM方法对存储的网络流量数据进行聚类分析、分类，得到网络数据类别。