本發明涉及一種網絡異常流量檢測方法及裝置，包括以下步驟；S1、建立標準流元素模型；S2、利用標準流元素模型來獲取網絡流量數據；S3：對獲取的網絡流量數據進行量解析；S4、基于解析后的網絡流量，建立各類異常流量特征模型；S5、針對異常流量特征模型中的各個異常流量分析；S6、告警通知。本發明根據流量包因素建立了標準流元素模型，基于標準流元素模型來獲取網絡流量數據并解析，盡可能包括了各類異常流量，提高了檢測識別效率和檢測準確率。

技術領域

本發明涉及配電網通信技術領域，尤其涉及一種網絡異常流量檢測方法及裝置。

背景技術

隨著互聯網技術的迅速發展，網絡環境也逐漸變得復雜，網絡中時刻充斥著大量的異常流量數據，威脅設備安全。目前，復雜網絡中的異常流量種類較多，存在AlphaAnomaly異常流量、DDos異常流量、Port Scan異常流量、Network Scan異常流量等惡意行為，也有來自于如路由問題、鏈路故障等網絡軟硬件故障。因此現在對網絡異常流量檢測的難度也不斷加大。

現有的網絡異常流量檢測裝置通常沒有包含各個異常流量的特征信息，這就導致不能夠快速對異常流量進行分析。

申請號為“CN201610202100.1”的發明專利公開了一種智能變電站網絡異常流量檢測方法，包括以下幾個步驟：(1)配置變電站交換機的鏡像端口，通過鏡像端口接入變電站網絡；(2)解析捕獲的報文；(3)對累計的報文信息按照不同的源地址進行統計分析，判斷每個源地址是否存在異常流量；(4)對累計的報文信息按照不同的源/目的地址進行統計分析，判斷每對源/目的地址之間是否存在異常流量；(5)將異常信息發送給遠方調度系統，存儲累計的報文信息，返回步驟(2)，進行新一輪異常流量檢測，但是該專利方案中，并未建立包括盡可能多的各類異常流量的模型，這就導致檢測識別效率也有待提升。

發明內容

本發明所要解決的技術問題解決現有的網絡異常流量檢測裝置不能夠快速對異常流量進行分析的問題。

本發明通過以下技術手段實現解決上述技術問題的：

一種網絡異常流量檢測方法，包括以下步驟；

S1、建立標準流元素模型；

流量包因素包括源IP地址、源端口、目的IP地址、目的端口、協議類型、字節長度這六個域；所述協議類型的基礎元素s_ip和d_ip分別表示源地址和目的地址；s_port和d_port分別表示源端口和目標端口；

根據流量包因素建立標準流元素模型；

S2、利用標準流元素模型來獲取網絡流量數據；

S3：對獲取的網絡流量數據進行量解析；

S4、基于解析后的網絡流量，建立各類異常流量特征模型；

S5、針對異常流量特征模型中的各個異常流量分析；

S6、告警通知。

根據流量包因素建立了標準流元素模型，基于標準流元素模型來獲取網絡流量數據并解析，盡可能包括了各類異常流量，提高了檢測識別效率和檢測準確率。