對(duì)廣域網(wǎng)流量行為進(jìn)行監(jiān)測(cè)管理的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及技術(shù)領(lǐng)域，尤其涉及一種對(duì)廣域網(wǎng)流量行為進(jìn)行監(jiān)測(cè)管理的方法和裝 置。
【背景技術(shù)】
[0002] 在互聯(lián)網(wǎng)飛速發(fā)展的今天，網(wǎng)民數(shù)量正在以每分鐘百人的速度激增，就在這互聯(lián) 網(wǎng)遍及千家萬(wàn)戶的時(shí)候，廣域網(wǎng)大規(guī)模攻擊頻繁發(fā)生，例如2014年8月份眾多大型游戲網(wǎng) 站和服務(wù)商的服務(wù)器遭受了有預(yù)謀的DDoS攻擊，影響了這些網(wǎng)站的服務(wù)質(zhì)量；受害最嚴(yán)重 的就是索尼的PSN服務(wù)網(wǎng)絡(luò)，曾經(jīng)全部癱瘓，眾多玩家無(wú)法正常進(jìn)行在線游戲和購(gòu)買游戲 內(nèi)容；2014年12月運(yùn)營(yíng)商DNS網(wǎng)絡(luò)DDoS攻擊事件，多個(gè)省份不斷出現(xiàn)網(wǎng)頁(yè)訪問(wèn)緩慢，甚至 無(wú)法打開等故障現(xiàn)象。如今DDoS攻擊單純?yōu)槠茐牡目赡苄栽絹?lái)越小，從最終攻擊者獲取利 益來(lái)看分為三類：敲詐勒索、實(shí)施報(bào)復(fù)及獲取競(jìng)爭(zhēng)優(yōu)勢(shì)。
[0003] 目前，現(xiàn)有的廣域網(wǎng)流量行為智能監(jiān)測(cè)與安全分析方法主要包括三大技術(shù)：一是 流量統(tǒng)計(jì)和閾值檢測(cè)技術(shù)；二是源與目的主機(jī)可信性驗(yàn)證技術(shù)；三是分布與特征檢測(cè)技 術(shù)。
[0004] 上述現(xiàn)有的廣域網(wǎng)流量行為智能監(jiān)測(cè)與安全分析方法的缺點(diǎn)為：存在較大的誤報(bào) 率、不能全面檢測(cè)異常流量攻擊、特征檢測(cè)性能不高。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明的實(shí)施例提供了一種對(duì)廣域網(wǎng)流量行為進(jìn)行監(jiān)測(cè)管理的方法和裝置，以實(shí) 現(xiàn)有效地對(duì)廣域網(wǎng)中的流量行為進(jìn)行智能監(jiān)測(cè)與安全分析。
[0006] 為了實(shí)現(xiàn)上述目的，本發(fā)明采取了如下技術(shù)方案。
[0007] 根據(jù)本發(fā)明的一個(gè)方面，提供了一種對(duì)廣域網(wǎng)流量行為進(jìn)行監(jiān)測(cè)管理的方法，包 括：
[0008] 通過(guò)對(duì)廣域網(wǎng)中傳輸?shù)臄?shù)據(jù)包進(jìn)行解析獲取網(wǎng)絡(luò)行為信息流，將所述網(wǎng)絡(luò)行為信 息流分割成多個(gè)連續(xù)的數(shù)據(jù)段，每個(gè)數(shù)據(jù)段對(duì)應(yīng)一個(gè)時(shí)間段；
[0009] 將每個(gè)數(shù)據(jù)段分割成多個(gè)子數(shù)據(jù)段，根據(jù)每個(gè)時(shí)間段對(duì)應(yīng)的數(shù)據(jù)段中的子數(shù)據(jù) 段，計(jì)算每個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)流量行為的趨勢(shì)值；
[0010] 將時(shí)間段內(nèi)的網(wǎng)絡(luò)流量行為的趨勢(shì)值與預(yù)先設(shè)定的趨勢(shì)閾值比較，根據(jù)比較結(jié)果 判斷出所述時(shí)間段內(nèi)的流量行為為正常流量行為或者異常流量行為。
[0011] 優(yōu)選地，所述的通過(guò)對(duì)廣域網(wǎng)中傳輸?shù)臄?shù)據(jù)包進(jìn)行解析獲取網(wǎng)絡(luò)行為信息流，將 所述網(wǎng)絡(luò)行為信息流分割成多個(gè)連續(xù)的數(shù)據(jù)段，每個(gè)數(shù)據(jù)段對(duì)應(yīng)一個(gè)時(shí)間段，包括：
[0012] 獲取廣域網(wǎng)中傳輸?shù)臄?shù)據(jù)包，解析所述數(shù)據(jù)包的協(xié)議，對(duì)所述數(shù)據(jù)包的網(wǎng)絡(luò)行為 信息進(jìn)行規(guī)范化，規(guī)范化后的網(wǎng)絡(luò)行為信息格式包括開始時(shí)間、結(jié)束時(shí)間、源IP地址、目的 IP地址、源自治域、目的自治域、源端口、目的端口、協(xié)議類型、TCP標(biāo)志、包個(gè)數(shù)、字節(jié)數(shù)、流 數(shù)量、IP包分片偏移量。
[0013] 優(yōu)選地，所述的通過(guò)對(duì)廣域網(wǎng)中傳輸?shù)臄?shù)據(jù)包進(jìn)行解析獲取網(wǎng)絡(luò)行為信息流，將 所述網(wǎng)絡(luò)行為信息流分割成多個(gè)連續(xù)的數(shù)據(jù)段，每個(gè)數(shù)據(jù)段對(duì)應(yīng)一個(gè)時(shí)間段，包括：
[0014] 設(shè)基于時(shí)間段的網(wǎng)絡(luò)行為信息流為X= Ixa1),,,χα,)，，，χ(〇}，其中，Xa1)為 時(shí)間段的網(wǎng)絡(luò)行為信息，x(t為t。時(shí)間段的網(wǎng)絡(luò)行為信息，I = {t i，，，t,，，，t。};
[0015] 將所述網(wǎng)絡(luò)行為信息流X分割成一系列連續(xù)的非空數(shù)據(jù)段{Xi，，，X,，，X丄其中第 j個(gè)數(shù)據(jù)段\對(duì)應(yīng)的數(shù)據(jù)段為t ,，Xni包含當(dāng)前時(shí)間段的網(wǎng)絡(luò)行為信息t。的數(shù)據(jù)段。
[0016] 優(yōu)選地，所述的將每個(gè)數(shù)據(jù)段分割成多個(gè)子數(shù)據(jù)段，根據(jù)每個(gè)時(shí)間段對(duì)應(yīng)的數(shù)據(jù) 段中的子數(shù)據(jù)段，計(jì)算每個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)流量行為的趨勢(shì)值，包括：
[0017] 將每個(gè)數(shù)據(jù)段分割成多個(gè)子數(shù)據(jù)段，其中第j個(gè)數(shù)據(jù)段X,= {X , (1)，，，X, (2)，，，X, (η) }，對(duì)應(yīng)的數(shù)據(jù)段為t,，η為數(shù)據(jù)段\的長(zhǎng)度；
[0018] 計(jì)算第j個(gè)滑動(dòng)時(shí)間窗口內(nèi)網(wǎng)絡(luò)流量行為的標(biāo)準(zhǔn)差s，計(jì)算方式為：
[0019]
[0020] X# X (1)，，，X,⑵，，，X?的平均值，標(biāo)準(zhǔn)差s]為第j個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)流量行為 的趨勢(shì)值。
[0021] 按照所述8]的計(jì)算過(guò)程，計(jì)算出每個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)流量行為的趨勢(shì)值。
[0022] 優(yōu)選地，所述的將時(shí)間段內(nèi)的網(wǎng)絡(luò)流量行為的趨勢(shì)值與預(yù)先設(shè)定的趨勢(shì)閾值比 較，根據(jù)比較結(jié)果判斷出所述時(shí)間段內(nèi)的流量行為為正常流量行為或者異常流量行為，包 括：
[0023] 計(jì)算所有時(shí)間段的網(wǎng)絡(luò)流量行為趨勢(shì)值s的信息熵H(X)，信息熵H(X)的計(jì)算公式 為：
[0024] Η(χ) = - Σ p (Sj) X Iogp (Sj) , j = I, 2, . . m
[0025] 其中，Sj為第j個(gè)時(shí)間段的網(wǎng)絡(luò)流量行為的趨勢(shì)值，p(s ) = s/ Σ s.j，j = I, 2,.. m ；
[0026] 當(dāng)信息熵H(x)小于預(yù)先設(shè)定的趨勢(shì)閾值時(shí)，取所有時(shí)間段的網(wǎng)絡(luò)流量行為的趨 勢(shì)值的最大值作為最新的趨勢(shì)閾值；
[0027] 將待監(jiān)測(cè)滑動(dòng)時(shí)間窗口的趨勢(shì)值與所述最新的趨勢(shì)閾值比較，若待監(jiān)測(cè)滑動(dòng)時(shí)間 窗口的趨勢(shì)值大于最新的趨勢(shì)閾值，則判斷待監(jiān)測(cè)滑動(dòng)時(shí)間窗口內(nèi)的流量行為為異常流量 行為；若待監(jiān)測(cè)滑動(dòng)時(shí)間窗口的趨勢(shì)值小于所述最新的趨勢(shì)閾值，則判斷待監(jiān)測(cè)滑動(dòng)時(shí)間 窗口內(nèi)的流量行為為正常流量行為。
[0028] 根據(jù)本發(fā)明的另一個(gè)方面，提供了一種對(duì)廣域網(wǎng)流量行為進(jìn)行監(jiān)測(cè)管理的裝置， 其特征在于，包括：
[0029] 網(wǎng)絡(luò)行為信息流獲取模塊，用于通過(guò)對(duì)廣域網(wǎng)中傳輸?shù)臄?shù)據(jù)包進(jìn)行解析獲取網(wǎng)絡(luò) 行為信息流；
[0030] 數(shù)據(jù)段劃分模塊，用于將所述網(wǎng)絡(luò)行為信息流分割成多個(gè)連續(xù)的數(shù)據(jù)段，每個(gè)數(shù) 據(jù)段對(duì)應(yīng)一個(gè)時(shí)間段；
[0031] 數(shù)據(jù)段趨勢(shì)值計(jì)算模塊，用于將每個(gè)數(shù)據(jù)段分割成多個(gè)子數(shù)據(jù)段，根據(jù)每個(gè)時(shí)間 段對(duì)應(yīng)的數(shù)據(jù)段中的子數(shù)據(jù)段，計(jì)算每個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)流量行為的趨勢(shì)值；
[0032] 流量行為判斷模塊，用于將時(shí)間段內(nèi)的網(wǎng)絡(luò)流量行為的趨勢(shì)值與預(yù)先設(shè)定的趨勢(shì) 閾值比較，根據(jù)比較結(jié)果判斷出所述時(shí)間段內(nèi)的流量行為為正常流量行為或者異常流量行 為。
[0033] 優(yōu)選地，所述的網(wǎng)絡(luò)行為信息流獲取模塊，用于獲取廣域網(wǎng)中傳輸?shù)臄?shù)據(jù)包，解析 所述數(shù)據(jù)包的協(xié)議，對(duì)所述數(shù)據(jù)包的網(wǎng)絡(luò)行為信息進(jìn)行規(guī)范化，規(guī)范化后的網(wǎng)絡(luò)行為信息 格式包括開始時(shí)間、結(jié)束時(shí)間、源IP地址、目的IP地址、源自治域、目的自治域、源端口、目 的端口、協(xié)議類型、TCP標(biāo)志、包個(gè)數(shù)、字節(jié)數(shù)、流數(shù)量、IP包分片偏移量。
[0034] 優(yōu)選地，所述的數(shù)據(jù)段劃分模塊，用于設(shè)基于時(shí)間段的網(wǎng)絡(luò)行為信息流為X = Mt1),，，x(tj),，，x(t。)}，其中，XU1)為以寸間段的網(wǎng)絡(luò)行為信息，x(t。）為t。時(shí)間段的 網(wǎng)絡(luò)行為信息，I = It1,，，tj,，，t。};
[0035] 將所述網(wǎng)絡(luò)行為信息流X分割成一系列連續(xù)的非空數(shù)據(jù)段（X1,，，X,，，XJ，其中第 j個(gè)數(shù)據(jù)段\對(duì)應(yīng)的數(shù)據(jù)段為t ,，Xni包含當(dāng)前時(shí)間段的網(wǎng)絡(luò)行為信息t。的數(shù)據(jù)段。
[0036] 優(yōu)選地，所述的數(shù)據(jù)段趨勢(shì)值計(jì)算模塊，用于將每個(gè)數(shù)據(jù)段分割成多個(gè)子數(shù)據(jù)段， 其中第j個(gè)數(shù)據(jù)段X,= {X (1)，，，X, (2)，，，X, (η)}，對(duì)應(yīng)的數(shù)據(jù)段為t,，η為數(shù)據(jù)段X,的長(zhǎng) 度，
[0037] 計(jì)算第j個(gè)滑動(dòng)時(shí)間窗口內(nèi)網(wǎng)絡(luò)流量行為的標(biāo)準(zhǔn)差s，計(jì)算方式為：
[0038]
[0039] x# X , (1)，，，X, (2)，，，X, (η)的平均值，標(biāo)準(zhǔn)差S]為第j個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)流量行為 的趨勢(shì)值。
[0040] 按照所述8]的計(jì)算過(guò)程，計(jì)算出每個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)流量行為的趨勢(shì)值。
[0041