[发明专利]一种网络流量异常检测方法

权利要求书

1.一种网络流量异常检测方法，其特征在于：对网络空间安全态势的量化表达包括如下步骤：

(1)流量特征采集与态势特征指标提取；

(2)面向态势特征的自适应学习与异常分析；

(3)网络异常态势检测与告警。

2.如权利要求1所述的网络流量异常检测方法，其特征在于：对网络流量安全态势的量化表达包括如下步骤：

(1)流量采集与态势特征指标提取：

利用流量探针，对流量进行7x24小时捕获、分析，从中获取多个维度的态势特征指标，实现特征指标在线实时采集、日志和入库，指定周期针对全网、子网和单个IP主机各自生成一条分析记录，该记录包含了所有特征指标的当前值；

(2)面向态势特征的自适应学习与异常检测分析：

在流量采集和态势特征提取的基础上，对流量特征采集获得的指标数据进行自适应学习与异常分析；

(3)网络异常态势检测与告警：

在自适应学习的和异常分析基础上，进行异常态势的在线告警，在线的异常告警输出分为三类：①单个特征指标绝对值异常告警：任意特征指标的当前采样值，一旦突破阈值，则产生报警记录；②单个特征指标突跳告警：任意特征指标的前一采样值和当前采样值的跳变尺度，一旦突破跳变阈值，则产生报警记录；③多个特征指标关联告警：如果多个特征指标的当前采样值或突跳尺度均符合关联知识库的某项条目规定，则产生多个特征指标的关联报警记录。

3.如权利要求2所述的网络流量异常检测方法，其特征在于：步骤(1)中，

多个维度的态势特征指标的获取包括如下步骤：

<1>首先，在线采集目标环境的实际流量；

<2>其次，对流量进行多维度特征指标提取，对网络空间的流量态势进行实时量化；

<3>然后，采用经验模态分解方法，对每个特征指标进行频域分解，获得不同频率的信号分量，计算不同分量的信号强度、周期、方差和能量特征值；

<4>最后，上述多个维度特征指标的多个特征值共同构成了流量特征刻画指标体系。

4.如权利要求3所述的网络流量异常检测方法，其特征在于：步骤<2>中，多维度特征指标提取内容包括：如下6个大类：

1)流量统计类特征指标：该类指标提供一种对网络宏观或微观实体流量概要统计特征的刻画手段，用于发现网络物理攻击、大规模主动攻击威胁；

2)流量形态类特征指标：旨在刻画网络的流量形态，包括规模、用户构成和应用行为模式，用于发现大规模主动攻击、内部攻击、网络物理攻击威胁；

3)加密通信行为类特征指标：旨在对加密网络中的加密会话、加密机和协议符合性提供刻画和验证依据，用于发现针对加密机的内部攻击威胁；

4)一般性行为类特征指标：旨在对全网、IP子网、主机/用户的一般行为进行刻画，可用于描述基本网络服务的态势，用于发现主动/内部攻击威胁；

5)网络空间结构类特征指标：旨在对网络形态进行刻画，主要针对全网路由特征、服务器群和关键骨干链路的路由特征进行刻画，用于发现网络物理攻击和特定类型的主动攻击；

6)应用访问行为类特征指标：旨在对用户和应用服务器的应用行为进行刻画，用于发现特定类型的内部用户攻击。