[发明专利]一种基于信帧的网络入侵行为分析检测方法

权利要求书

1.一种基于信帧的网络入侵行为分析检测方法，其特征在于：包括以下步骤：

S1、采集信息：获取外网主机与内网主机之间的所有网络流会话信帧数据；

S2、提取信息：过滤并选取内网主机主动发送至外网主机的单向信帧数据；

S3、分析特征：分析单向信帧数据的时间间隔特征和流量大小特征；

S4、评分预判：对单向信帧数据的时间间隔特征和流量大小特征进行评分，当评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警。

2.如权利要求1所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：步骤S4中，依公式一对单向信帧数据的特征进行评分，当特征评分值大于预设的特征标准阈值时，则预判存在网络入侵行为并进行网络入侵报警；其中，公式一为：

3.如权利要求2所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：步骤S3中，所述时间间隔特征为在一特定周期内数据的时间偏离度特征、时间离差度特征和持续时间特征；所述公式一中，时间间隔特征评分值为时间偏离度评分值、时间离差度评分值和持续时间评分值之和。

4.如权利要求3所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：在特定周期内，获取同一内网主机与外网主机进行网络连接的连接时间间隔数组，然后从小到大排序以形成时间间隔排序位置数组；

分别取得位于时间间隔排序位置数组中75％位置、50％位置和25％位置的时间值；最后依公式二计算时间偏离度评分值；其中，公式二为：

5.如权利要求3所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：在特定周期内，获取同一内网主机与外网主机进行网络连接的连接时间间隔数组，然后从小到大排序以形成时间间隔排序位置数组；

取位于时间间隔排序位置数组中50％位置的时间值作为一次时间间隔中间值；对时间间隔排序位置数组中的所有位置的时间值与一次时间间隔中间值之差的绝对值进行从小到大排序以形成二次时间排序位置数组，取位于二次时间排序位置数组中50％位置的时间值作为二次时间间隔中间值；最后依公式三计算时间离差度评分值；其中，公式三为：

6.如权利要求3所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：在特定周期内，获取同一内网主机与外网主机进行网络连接的起始时间和结束时间以分别作为通讯开始时间值和通讯结束时间值，依公式四计算持续时间评分值；其中，公式四为：

7.如权利要求2-6中任一项所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：步骤S3中，所述流量大小特征为在一特定周期内数据的大小偏离度特征、大小离差度特征和数据频次特征；所述公式一中，流量大小特征评分值依公式五计算；其中，公式五为：

8.如权利要求7所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：在特定周期内，获取同一内网主机主动发送至外网主机的单向信帧数据的数据包大小数组，然后从小到大排序以形成数据大小排序位置数组；

分别取得位于数据大小排序位置数组中75％位置、50％位置和25％位置的时间值；最后依公式六计算大小偏离度评分值；其中，公式六为：

9.如权利要求7所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：在特定周期内，获取同一内网主机主动发送至外网主机的单向信帧数据的数据包大小数组，然后从小到大排序以形成数据大小排序位置数组；

取位于数据大小排序位置数组中50％位置的数据大小值作为一次数据包中间值；对数据大小排序位置数组中的所有位置的数据大小值与一次数据包中间值之差的绝对值进行从小到大排序以形成二次大小排序位置数组，取位于二次大小排序位置数组中50％位置的时间值作为二次数据包中间值；最后依公式七计算大小离差度评分值；其中，公式七为：

10.如权利要求7所述的一种基于信帧的网络入侵行为分析检测方法，其特征在于：在特定周期内，获取同一内网主机主动发送外网主机的单向信帧数据时所产生的数据包，对数据包按容量大小进行分组并进行次数统计；取单一分组中出现的最大次数作为数据包频次数值，依公式八计算数据频次评分值；其中，公式八为：