[发明专利]一种基于数据包捕获技术的网络威胁分析系统及方法在审
| 申请号: | 201710032555.8 | 申请日: | 2017-01-16 |
| 公开(公告)号: | CN106685984A | 公开(公告)日: | 2017-05-17 |
| 发明(设计)人: | 徐剑;玄鹏开;徐健巡;张浩然 | 申请(专利权)人: | 东北大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 沈阳东大知识产权代理有限公司21109 | 代理人: | 李在川 |
| 地址: | 110819 辽宁*** | 国省代码: | 辽宁;21 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种基于数据包捕获技术的网络威胁分析系统及方法,包括数据包捕获模块、基于包的异常检测模块、基于流的异常检测模块、网络威胁数据库和威胁分析展示模块;方法包括:通过winpcap进行网络监听获取数据包,基于包的异常检测模块检测时间片是否异常;基于流的异常检测模块对异常时间片及相邻的时间片进行数据流检测,将得到的异常时间片流信息与异常检测统计信息写入威胁分析数据库;威胁分析对流检测结果进行统计,通过web界面显示;本发明通过数据包捕获技术能够精准捕获网络中数据流量,减少资源消耗;基于数据包和数据流的多粒度异常检测能够精准检测网络威胁;通过威胁分析能自动分析提取攻击类型;对网络威胁能够及时做出预警。 | ||
| 搜索关键词: | 一种 基于 数据包 捕获 技术 网络 威胁 分析 系统 方法 | ||
【主权项】:
一种基于数据包捕获技术的网络威胁分析系统,其特征在于,包括:数据包捕获模块、基于包的异常检测模块、基于流的异常检测模块、网络威胁数据库和威胁分析展示模块;所述数据包捕获模块,用于实时捕获大规模网络流量数据包,将一定时间片长度内捕获到的数据包以时间片命名,并发送给基于包的异常检测模块;所述基于包的异常检测模块,用于接收数据包捕获模块发送的时间片,对时间片进行概要信息的记录;根据概要信息提取时间片网络流数据特征,形成特征文件;对特征文件进行异常检测,得到异常时间片;将异常时间片发送给网络威胁数据库,并将异常时间片及其相邻时间片发送给基于流的异常检测模块;所述基于流的异常检测模块,用于接收基于包的异常检测模块发送的异常时间片和相邻时间片,对异常时间片结合相邻时间片进行流重组,判断是否能提取出该异常时间片的流,是,进行该异常时间片的流特征提取和流特征选择,形成流特征文件,否则,重新进行流重组;对流特征文件进行异常检测,将检测结果融合得到异常流数据检测结果;将异常流数据检测结果发送给网络威胁数据库;所述异常流数据检测结果包括:攻击类型、攻击源、攻击目标和攻击发生的时间;所述网络威胁数据库,用于存储基于包的异常检测模块和基于流的异常检测模块发送的异常时间片和异常数据流检测结果,并将异常数据流检测结果转发给威胁分析展示模块;存储威胁分析展示模块发送的统计分析结果;所述威胁分析展示模块,用于接收异常数据流检测结果,进行检测结果统计分析,将统计分析结果发送给网络威胁数据库,并向用户显示。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于东北大学,未经东北大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710032555.8/,转载请声明来源钻瓜专利网。
