[发明专利]网络外向流量分类方法、特征矩阵设计及监测方法和系统

权利要求书

1.一种网络外向流量分类方法，其特征在于：根据外向流量的源头类型、外向流量传输的对象类型、应用类别、角色和业务相关性这五个要素将流量进行分类；并按照以下方式分为四类：

第一类：外向流量的源头为系统、流量对象为系统、应用为B2B、源头角色为客户端、业务相关性为相关；

第二类：外向流量的源头为系统、流量对象为系统、应用为B2B、源头角色为服务器、业务相关性为相关；

第三类：外向流量的源头为系统、流量对象为用户、应用为B2C、源头角色为服务器、业务相关性为相关；

第四类：外向流量的源头为用户；外向流量传输的对象为系统、应用为B2C、源头角色为客户端、业务相关性为相关；

其中B2B:机构对机构；B2B/C：B2B操作中的客户端；B2B/S：B2B操作中的服务器端；B2C：机构对个人；B2C/S：B2C操作中的服务器端；B2C/C：B2C操作中的客户端；P2P：端对端。

2.根据权利要求1所述的网络外向流量分类方法，其特征在于：所述类别还包括：

第五类：外向流量的源头为用户；外向流量传输的对象为系统、应用为B2C、源头角色为客户端、业务相关性为不相关；

第六类：外向流量的源头为用户、外向流量传输的对象为用户、应用为P2P、源头角色为对等端、业务相关性为相关；

第七类：外向流量的源头为用户、外向流量传输的对象为用户、应用为P2P、源头角色为对等端、业务相关性为不相关。

3.一种基于权利要求1所述网络外向流量分类方法的特征矩阵设计，其特征在于：提供五个属性包括：

网络属性：目的地址/端口、源地址/端口、时间、应用类型、协议类型、数据量；

系统属性：数据来源的系统、数据来源的应用、数据产生的驱动者、数据目的系统、数据目的应用；

用户属性：数据来源的系统使用者及身份、数据来源的应用使用者及身份；数据来源的网络登录身份；

安全属性：是否来自于具有访问控制的系统；是否来自于具有访问控制的应用；是否来自于被隔离的网段；是否来自于只有内网可以访问的系统；是否来自于不允许访问外网的系统或应用；是否有其它内网系统直接连接在流量来源的系统；数据源系统是否有最新的补丁、是否做过安全加固；目的地址是否属于黑名单；目的地址是否属于允许的、但被认为是高风险的地址；目的地址是否有过可以行为；

业务属性：流量来源系统所属的部门、目的地址业务相关性；

然后将任意一类别的流量与所述五个属性进行组合，以形成以类别为列，属性为行的特征矩阵。

4.一种基于权利要求3所述特征矩阵的网络外向流量监测方法，其特征在于包括以下步骤：

步骤S01：在外向流量正常的情况下，构建特征矩阵作为比对数据；

步骤S02：将互联网出口作为外向流量的截获点，采用常用的镜像方式，将所有的外向流量复制并存放到一个监控系统上；

步骤S03：对监控系统上的外向流量进行所述分类，并构建特征矩阵；

步骤S04：将步骤S03构建的特征矩阵与所述步骤S01作为比对数据的特征矩阵进行比对，任何偏离特征的流量，则被认为是可疑流量。

5.一种基于权利要求3所述特征矩阵的网络外向流量监测系统，其特征在于包括：

第一个子系统主要是由外向流量分类引擎和特征矩阵生成引擎及若干个信息库组成；所述外向流量分类引擎根据所述分类方法将流量监测数据进行分类；所述特征矩阵生成引擎根据所述特征矩阵生成方法将由外向流量分类引擎分类的流量生成特征矩阵；

第二个子系统，即特征捕捉子系统，是对实际流量数据的特征进行扫描，计算其特征矩阵，然后与正常流量的特征进行比较，判断外向流量是否存在异常。

6.根据权利要求5所述的网络外向流量监测系统，其特征在于：所述流量监测数据是由交换机镜像端口将外向流量数据进行存储获得。