技術(shù)領(lǐng)域

本發(fā)明屬于數(shù)據(jù)處理技術(shù)領(lǐng)域，具體涉及一種異常網(wǎng)絡(luò)流量檢測方法。

背景技術(shù)

隨著信息技術(shù)的發(fā)展，異常網(wǎng)絡(luò)流量管理是信息安全管理工作中的一項重要工作。當前異常網(wǎng)絡(luò)流量所引發(fā)的潛在風險巨大，但又缺乏有效的檢測管理機制，通過單一的流量檢測設(shè)備無法有效解決企業(yè)內(nèi)部異常網(wǎng)絡(luò)流量帶來的安全風險和影響。

現(xiàn)有的技術(shù)方案都是通過流量本身的不同維度來發(fā)現(xiàn)網(wǎng)絡(luò)流量存在異常，與特定業(yè)務系統(tǒng)是沒有邏輯關(guān)系的。比如網(wǎng)絡(luò)中可能存在辦公系統(tǒng)，郵件系統(tǒng)，視頻系統(tǒng)，新聞系統(tǒng)等，現(xiàn)有流量異常檢測系統(tǒng)并不區(qū)分這些業(yè)務。采用這種方式檢測異常網(wǎng)絡(luò)流量存在三方面的問題：(1)統(tǒng)計分析的流量是整體流量，而不是特定業(yè)務的流量，導致不能有效識別出存在異常網(wǎng)絡(luò)流量的業(yè)務系統(tǒng)；(2)難以檢測利用業(yè)務內(nèi)部邏輯漏洞進行的攻擊；(3)無法發(fā)現(xiàn)合法員工的非法活動。

因此，迫切需要一種能夠在網(wǎng)絡(luò)中檢測異常網(wǎng)絡(luò)流量的技術(shù)方案。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種異常網(wǎng)絡(luò)流量檢測方法。

為實現(xiàn)以上目的，本發(fā)明采用如下技術(shù)方案：

一種異常網(wǎng)絡(luò)流量檢測方法，其改進之處在于：所述方法包括

(1)通過網(wǎng)絡(luò)分析工具監(jiān)聽網(wǎng)絡(luò)獲取網(wǎng)絡(luò)數(shù)據(jù)包從中采集網(wǎng)絡(luò)流量數(shù)據(jù)；

(2)對網(wǎng)絡(luò)流量數(shù)據(jù)按照協(xié)議類型進行統(tǒng)計；

(3)利用預設(shè)聚類算法，對統(tǒng)計后特征向量進行聚類；

(4)對聚類中的對象檢測異常網(wǎng)絡(luò)流量。

進一步的，所述步驟(1)包括從所述監(jiān)聽網(wǎng)絡(luò)獲取網(wǎng)絡(luò)數(shù)據(jù)包中識別出網(wǎng)絡(luò)協(xié)議，根據(jù)所述網(wǎng)絡(luò)協(xié)議提取所述網(wǎng)絡(luò)流量數(shù)據(jù)。

進一步的，所述網(wǎng)絡(luò)流量數(shù)據(jù)包屬性包括：包協(xié)議類型、包長度、源IP地址、目的IP地址、源端口和目的端口；所述網(wǎng)絡(luò)流量數(shù)據(jù)包括以下的一項或多項：網(wǎng)絡(luò)層的IP五元組信息，傳輸層的連接頻率、上行數(shù)據(jù)量或者下行數(shù)據(jù)量，應用層的統(tǒng)一資源定位符或者請求頻率，業(yè)務層的請求類型。

進一步的，所述步驟(2)包括對網(wǎng)絡(luò)流量數(shù)據(jù)按照協(xié)議類型進行統(tǒng)計，獲得不同協(xié)議的網(wǎng)絡(luò)流量數(shù)據(jù)；對所述不同協(xié)議的網(wǎng)絡(luò)流量數(shù)據(jù)按照時間進行統(tǒng)計，獲得目標時間段內(nèi)不同協(xié)議的網(wǎng)絡(luò)流量數(shù)據(jù)。

進一步的，對所述網(wǎng)絡(luò)流量數(shù)據(jù)按照協(xié)議類型進行統(tǒng)計，獲得不同協(xié)議的網(wǎng)絡(luò)流量數(shù)據(jù)包括：TCP協(xié)議、UDP協(xié)議和ICMP協(xié)議的網(wǎng)絡(luò)流量數(shù)據(jù)。

進一步的，所述步驟(3)包括根據(jù)所述特征數(shù)據(jù)的協(xié)議類型，采取預設(shè)聚類算法對所述目標時間段內(nèi)不同協(xié)議的特征數(shù)據(jù)進行分析，獲得對所述目標時間段內(nèi)不同協(xié)議的網(wǎng)絡(luò)流量數(shù)據(jù)的分析結(jié)果。

進一步的，通過所述特征數(shù)據(jù)提取特征向量，包括基本特征、時間戳、從源主機到目標主機數(shù)據(jù)的字節(jié)數(shù)、從目標主機到源主機的數(shù)據(jù)字節(jié)數(shù)；

將所述數(shù)據(jù)的特征分為離散型與連續(xù)型，其中離散型的特征直接使用互信息公式計算兩個特征之間的相關(guān)度；對于連續(xù)型的特征，使用最大信息系數(shù)來評估兩個特征之間的相關(guān)度；

根據(jù)兩個特征之間的相關(guān)度進行類別的劃分，采用K-means算法進行聚類，同一聚類中的對象相似度較高，不同聚類中的對象相似度較小；聚類相似度是利用各聚類中對象的均值所獲得一個中心對象來進行計算的，輸出滿足方差最小標準的k個聚類；其中，K-means算法接收輸入量k，將輸入的n個數(shù)據(jù)對象劃分為k個類。

進一步的，所述步驟(4)包括加入抽樣機制，通過抽取各數(shù)據(jù)類型抽樣樣本來表示整個流量類型簇的流量類型。

進一步的，所述對每一個聚類中的對象進行抽樣，計算抽樣樣本在高維空間的密度以及距離，并確定聚類中心；

為高維空間中的每一個點選擇距離最近的一個聚類中心；

通過對聚類中的對象進行抽樣以及樣本進行鑒別，確定各數(shù)據(jù)的類型，以甄別出異常網(wǎng)絡(luò)流量。

進一步的，檢測到異常網(wǎng)絡(luò)流量，則進行告警；所述告警的方式包括以下的一種或多種：郵件告警，頁面告警，短信告警；如果檢測到所述網(wǎng)絡(luò)程序發(fā)送異常網(wǎng)絡(luò)流量則進行告警，并向用戶提供發(fā)送異常網(wǎng)絡(luò)流量的網(wǎng)絡(luò)程序的名稱。

本發(fā)明采用以上技術(shù)方案，