[发明专利]一种基于主机活跃性和通信模式分析实时异常流量检测方法无效
| 申请号: | 200710099395.5 | 申请日: | 2007-05-18 |
| 公开(公告)号: | CN101309179A | 公开(公告)日: | 2008-11-19 |
| 发明(设计)人: | 叶润国;赵东宾;许金鹏;华东明;骆拥政 | 申请(专利权)人: | 北京启明星辰信息技术有限公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L12/56;H04L29/08;H04L12/24 |
| 代理公司: | 北京市商泰律师事务所 | 代理人: | 毛燕生 |
| 地址: | 100094北京市海淀区东北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于主机活跃性和通信模式分析实时异常流量检测方法,本发明能够在高速网络环境下实时确定异常流量事件发生的时间,识别出异常流量事件的类型,并能对该异常流量事件进行物理定位。本发明包括:提供各种网络服务的广域网以及与广域网连接的区域网和局域网和安装在集中检测设备上的抽样单元、提取计算单元、比较单元、知识库单元。本发明基于先验知识建立各种类型异常流量事件的通信模式,而在异常检测时,通过提取网络中的活跃主机通信模式,并与各异常流量事件通信模式相比较,就可能识别出发生在活跃主机上的异常流量事件,支持的异常流量检测事件包括α流、各种Flood事件、Flash-Crowd、端口扫描、网络扫描、设备故障和蠕虫扫描事件。 | ||
| 搜索关键词: | 一种 基于 主机 活跃 通信 模式 分析 实时 异常 流量 检测 方法 | ||
【主权项】:
1.一种基于主机活跃性和通信模式分析实时异常流量检测方法,包括:提供各种网络服务的广域网以及与广域网连接的区域网和局域网和安装在集中检测设备上的抽样单元、提取计算单元、比较单元、知识库单元,其特征在于所述的步骤:①创建报文抽样循环缓冲区;②抽样单元的时间窗开启,统计开始;③抽样单元按照报文分类对报文进行活跃IP统计和自适应抽样;④抽样单元的时间窗关闭,统计结束;⑤提取计算单元基于哈希表结构提取活跃IP地址集合并计算特征分布熵向量;⑥提取计算单元基于报文抽样循环区提取活跃IP并计算报文通讯模式;⑦比较单元从知识库单元提取异常流量通讯模式样本与上一步骤获得的通讯模式进行比较,如相同则报警,如不同则回到步骤②。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京启明星辰信息技术有限公司,未经北京启明星辰信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/200710099395.5/,转载请声明来源钻瓜专利网。
- 上一篇:改善的清洁基底
- 下一篇:便于装卸的传导冷却超导磁体杜瓦
