[发明专利]一种基于TCP协议的高效多级异常流量检测方法

摘要

本发明请求保护一种基于TCP协议的高效多级异常流量检测方法，在传统的异常流量检测的过程中加入了一种多级异常检测机制。该方法是对网络中客户端发送的数据流量的异常检测，它使用差分均值的方法对客户端产生的原始流量进行差分平稳化处理，同时根据网络中已有的流量进行分析、统计，动态的设定一个自适应阈值区间，对平稳化之后的流量进行自适应阈值差分流量检测，并对通过初级检测的数据包进行进一步的异常检测。这种进一步的异常检测主要是对经过路由转发过来的数据包进行解析，提取其关键字段，根据对关键字段的判定，进一步判断从客户端发送过来的数据包是否为异常。本发明提高了检测精度且简便易于实现。

主权项

一种基于TCP协议的高效多级异常流量检测方法，其特征在于，包括以下步骤：101、在时间段T内收集网络流量数据，然后对于网络流量数据中的原始序列R，在时刻t的观测值用xt表示，xt∈R,t＝1,2,…,T，按照|xt|＞kvar_R准则去除不可用的流量数据值xt，其中k表示的是格拉布斯准则系数，var_R表示原始序列R的方差，将保留下来的流量数据，作为一个观测序列X；102、对观测序列X进行差分平稳化预处理，预处理得到的差分序列为D,其中差分值dt＝xt‑xt‑1,t＞1，dt∈D,t＝1,2,…N，得到差分序列D后，输入步骤103中；103、分别计算出观测序列X和差分序列D的平均值和方差，并根据平均值和方差，预估t时刻的差分流量值所在的区间[lt,ht]，n表示客户端的数量，其中pt表示t时刻的阈值预测值，lt和ht分别表示在t时刻允许的差分流量的最小值和最大值，var_dt表示在t时刻的差分流量的方差，在检测到步骤102中的差分序列D输入后，防火墙即开启初级检测防御功能，对传送过来的数据，根据t时刻的阈值预测值pt进行检测，当t时刻的差分流量数据值在差分流量预测值的区间[lt,ht]范围内时，判定其为正常流量，并将其转发给服务器；当超出区间[lt,ht]范围时，判定为异常流量，跳转至步骤104；104、防火墙的多级检测系统对转发过来的数据包进行分解，提取数据包中的关键字段key_field，并对这些关键字段key_field进行判定，若没有发现异常字段，则将其转发给服务器；若检测到异常字段，则将该数据包丢弃；105、经过步骤104中的再次检测后，将正常的数据包转发给服务器，使得服务器与客户端建立第一次握手连接；106、在建立了第一次握手连接后，服务器将会发送回复信息Mresponse给客户端，同时等待客户端的确认信息ACK，当客户端收到服务器的回复信息Mresponse后，两端建立了第二次握手连接；当服务器收到了确认信息ACK之后，服务器与客户端的建立了第三次握手连接，两者之间即可通信。