技術領域

本發明涉及作為網絡安全的重要產品之一的網絡入侵檢測系統(NIDS-Network?Intrusion?Detection?System)的一種核心關鍵技術，尤其涉及一種自適應抽樣的流量檢測方法及系統。

背景技術

流量檢測是網絡安全的重要產品的NIDS的核心功能之一，是指在獲得網絡流量數據基礎之上，通過全面地統計和分析網絡流量狀況，向用戶顯示網絡中不同流量信息的變化、分布趨勢，并能夠對由于蠕蟲、拒絕服務攻擊等安全事件帶來的流量異常及時發現和報警。

傳統的網絡流量檢測是對網絡上通過的所有報文都進行捕捉和統計、分析的方式進行的。隨著網絡應用的不斷豐富和高速網絡技術的不斷發展，當流量超過一定的閥值后，傳統的基于每包檢測的方式已經不再適用，因為過于繁重的流量檢測工作降低了NIDS處理報文的速度，當網絡流量增大到超過NIDS處理極限的時候NIDS不僅無法提供比較精確的流量檢測數據，而且也會嚴重影響自身的入侵檢測率。

報文抽樣技術是高速網絡流量檢測中經常采用的一種有效流量檢測技術。它對觀測點所在網絡上通過的報文進行抽樣操作，形成報文樣本，這些樣本所反映出來的特征可以從某種程度上體現出網絡上真實流量特征。

在國內外高速網絡流量檢測技術的研究中，網絡流量的抽樣技術已經成為了研究的重點。

發明內容

鑒于上述現有技術中存在的問題，本發明提供一種自適應抽樣的流量檢測方法及系統。

一種自適應抽樣的流量檢測方法，包含以下步驟：

構造抽樣周期表的步驟；

查找抽樣周期表，得到對應的抽樣周期的步驟；

在抽樣周期內隨機進行樣本報文的抽樣的步驟；

根據抽樣得到的樣本報文的特征生成抽樣周期內的報文總特征的步驟；

判斷是否達到自適應的控制條件，若達到自適應的控制條件，再次查找抽樣周期表，重復抽樣過程的步驟。

本發明還提供一種自適應抽樣的流量檢測系統，包含：

用于查找抽樣周期表，得到對應的抽樣周期的自適應模塊；

用于在抽樣周期內隨機進行樣本報文的抽樣的報文抽樣模塊；

用于根據抽樣得到的樣本報文的特征生成抽樣周期內的報文總特征的特征分析模塊；

其中報文抽樣模塊進一步包含：用于對網絡上通過的報文進行計數，當計數超過預定值觸發抽樣動作的報文計數器。

自適應模塊與報文抽樣模塊連接并傳遞數據，報文抽樣模塊與特征分析模塊連接并傳遞數據。

本發明的優點在于：

1.可以在不影響或輕微影響入侵檢測性能的前提下，實現一定精度的流量檢測；

2.選擇了基于報文計數溢出的觸發方式，可以實時有效地反映當前網絡負載的高低和變化，而且也符合NIDS基于報文檢測的工作方式；

3.根據對某一具體NIDS的全面測試和分析，得到了比計算值更加客觀的數據，構造了一個抽樣周期表，該表反映了網絡流量與抽樣周期間的一種映射關系。本發明以其作為網絡流量變化時進行自適應控制時確定抽樣周期的基準模板；

4.實現了對網絡抽樣的自適應調節。采用組合條件來作為自適應的控制條件，保證了自適應控制的及時性。采用了從捕包網卡硬件上直接得到網絡包統計信息的方法，不僅使得到的數據更接近真實的網絡流量，從而保證了調整抽樣周期的準確性，而且可以有效地避免自適應控制時產生死鎖。

附圖說明

圖1為本發明模塊連接示意圖；

圖2為本發明程序流程示意圖。

下面結合附圖和實施例對發明進一步說明。

具體實施方式

有關本發明的技術內容及詳細說明，現配合附圖說明如下：

本發明的一種自適應抽樣的流量檢測方法，它使NIDS在高速網絡的環境中，能夠在不影響或輕微影響入侵檢測性能的前提下，實現一定精度的流量檢測。利用網絡流量的相關性預測流量狀態，并隨著流量的變化快速調整抽樣的參數，自動在允許誤差范圍內進行盡可能精確的抽樣，更好地捕捉到網絡流量特征和網絡行為特征。

一、確定抽樣策略