[发明专利]一种异常流的检测方法及系统

说明书

技术领域

本发明涉及网络安全领域，特别是涉及一种基于频繁项挖掘的异常流的检 测方法及系统。

背景技术

近年来，随着Internet的快速发展，服务类型不断增多，各种类型的网 络威胁也层出不穷，网络数据监控变得越来越重要。在互联网快速发展的同时， 链路带宽与业务量随之成倍增长，网络规模和复杂度不断提高，半导体性能的 提升却相对滞后，导致计算能力与高速海量数据不匹配问题突出。在高速网络 环境下，新一代网络监控与安全管理系统需要考虑采用按需监控技术，因此过 滤不必处理的数据流，只将异常流定位后分流出来，再交由更上层安全监测系 统进行分析确认，能够减轻监控负担。

TCP协议是目前Internet上使用最广泛的传输协议，根据MCI电信公司 的统计，Internet上总字节数的95％及总数据分组的90％使用TCP协议传输。 大部分的网络攻击都是针对基于TCP协议的网络应用，其中，最常见的攻击方 式：拒绝服务(Denial of Service，DoS)攻击与端口扫描都会造成某一类 IP分组大量出现。例如，当网络中目的地址相同的IP分组大量出现时，则可 能发生了拒绝服务攻击；当源地址相同的IP分组大量出现时，则可能存在恶 意软件对网络中的端口进行扫描。发现具备这类特性的异常流，并对它们进行 监控，对于保护网络资源和防范网络攻击具有重要意义。

传统高速网络下的异常检测方法主要包括对网络流量分析或对地址端口 分布变化的分析，这类方法虽然能够检测出高速网络下的异常，并对异常进行 报警，但无法实现对异常流定位，所以不能够将异常数据导出，以帮助更进一 步分析。而基于静态规则集的包分类技术主要依靠静态的分类规则进行分类， 也无法适用于异常流的识别。

有关数据流研究中的频繁项挖掘技术虽然可以用于解决异常流的识别问 题，但在实际的网络环境下技术的实施还存在一些限制，一方面，由于计算存 储资源有限，对流识别技术的计算性能和消耗存储空间有较苛刻的要求；另一 方面，网络数据具有动态特性，在监测中需要更关注短期内情况变化，已有的 这些算法难以解决这个问题，需要对已有的技术进行改进。

发明内容

本发明的目的在于提供一种异常流的检测方法及系统。其能够在只使用少 量计算存储资源的前提下，快速识别网络中试图频繁建立连接的流，可以帮助 实现异常流的按需监控，减轻网络监控负担。

为实现本发明的目的而提供的异常流的检测方法，包括步骤：

步骤A.捕获网络中的IP分组，采集其中满足预设条件的SYN分组，并 提取所述SYN分组的地址信息作为数据项，组成数据项集合；

步骤B.挖掘所述数据项集合中预设时间内频繁出现的数据项作为频繁 项，记录所述频繁项所对应的地址信息，并根据该频繁项定位行为异常的流。

还包括：步骤C.对所述频繁项进行熵值计算，为网络异常情况的评估提 供依据。

所述步骤A，包括步骤：

步骤A1.捕获网络中的IP分组，检查IP分组中的协议标志；若协议标 志为6，表明该分组是TCP分组，继续步骤A2；否则丢弃该IP分组；

步骤A2.检查采集的TCP分组的SYN标志位的置位，如果该标志位的置 位为1，则表明是SYN分组，继续步骤A3；否则丢弃该TCP分组；

步骤A3.检查采集的SYN分组的ACK标志位与RST标志位是否置位，若 置位均为0，则继续步骤A4，否则丢弃该SYN分组；

步骤A4.提取并保存现有的SYN分组中的地址信息，作为数据项，组成 数据项集合。

所述步骤B，包括步骤：

步骤B1.将所述数据项集合中的数据项每个分作一期；并对候选 集合D初始化：D为空，当期数据读取次数count为0；

步骤B2.对于每一个新到的数据项e，若数据项e在候选集合D中，则e对 应的计数器f加1，否则直接将<e，1>加入候选集D，并且当期数据读取次数count 加1；

步骤B3.若当期数据读取次数count数达到w，当期数据处理结束，重新 计算候选集合D中各数据项的频度，确定频繁项，得到异常流；

步骤B4.返回步骤B2，读取新一期数据。

所述步骤B3，包括步骤：