[發(fā)明專利]一種基于對稱度Sketch的網(wǎng)絡流量異常檢測與定位方法有效

申請?zhí)枺?/td>	201611119888.6	申請日：	2016-12-08
公開（公告）號：	CN106657038B	公開（公告）日：	2019-12-27
發(fā)明（設計）人：	秦濤;劉艷雨;王平輝;王博;沈壯;管曉宏	申請（專利權）人：	西安交通大學
主分類號：	H04L29/06	分類號：	H04L29/06;H04L12/26
代理公司：	61215 西安智大知識產權代理事務所	代理人：	劉國智
地址：	710049 陜***	國省代碼：	陜西;61
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	一種基于對稱 sketch 網(wǎng)絡流量異常檢測定位方法
鉆瓜網(wǎng) 技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種基于對稱度Sketch的網(wǎng)絡流量異常檢測與定位方法，其特征在于，基于連接對稱度來實現(xiàn)異常行為的檢測，包括網(wǎng)絡流量實時更新、網(wǎng)絡主機對稱度實時計算、主機流量異常檢測、異常源定位四個部分；

在進行異常行為檢測時，獲取每條流的源IP和目的IP進行網(wǎng)絡流量實時更新，根據(jù)IP地址的結構特征，采用IP分段hash，將IP分為四段分別對相應的hash函數(shù)組映射，最后將映射結果整合成一個字符串作為hash表中的鍵；其中，數(shù)據(jù)更新部分涉及對兩個sketch數(shù)據(jù)結構的更新操作，一個sketch是出連接度sketch，記為M_out；另一個是入連接度sketch，記為M_in；出連接度sketch和入連接度sketch采用同一組hash函數(shù)組；

所述網(wǎng)絡主機對稱度實時計算，是計算出連接度sketch和入連接度sketch的比值，得到對稱度sketch M_sm：M_sm＝M_in/M_out；

所述主機流量異常檢測，是根據(jù)當前窗口的對稱度sketchM_sm，利用切比雪夫不等式來設定閾值，衡量流量偏離正常流量行為的程度，得到異常sketch；

所述異常源定位，是通過設計sketch中的關鍵hash函數(shù)組，利用中國余數(shù)定理實現(xiàn)sketch的逆向求解；若異常sketch中每個hash表中有且僅有一個異常鍵，則利用這一組異常鍵可以唯一逆向確定一個異常IP。

2.如權利要求1所述的基于對稱度Sketch的網(wǎng)絡流量異常檢測與定位方法，其特征在于，所述的對稱度sketch由H張hash表T[j][·](0≤j<H)構成，對應的hash函數(shù)如下所示：

h_j(x)≡xmodm_j,1≤j≤H

其中m₁，…，m_H均為互不相等的質數(shù)；

對稱度sketch選擇四個hash函數(shù)，選擇的質數(shù)分別為2、3、5、11；通過該hash函數(shù)組得到的對稱度sketch和異常sketch，能夠逆向唯一確定一個IP。

3.如權利要求1或2所述的基于對稱度Sketch的網(wǎng)絡流量異常檢測與定位方法，其特征在于，所述的網(wǎng)絡流量實時更新包括如下操作：

記輸入網(wǎng)絡數(shù)據(jù)流為I＝a₁,a₂,…，每個數(shù)據(jù)項為a_i＝(k_i,u_i)，鍵值k_i為源IP、和/或目的IP及其結合；更新數(shù)值u_i為數(shù)據(jù)包的字節(jié)數(shù)、數(shù)據(jù)包的個數(shù)或網(wǎng)絡流的個數(shù)等統(tǒng)計量；當更新數(shù)據(jù)項a_i＝(k_i,u_i)到達后,將每一張hash表j(1≤j≤H)相應的T[j][h_j(k_i)]項加上更新數(shù)值u_i，如下式所示：