[发明专利]一种基于Netflow日志数据的DDOS攻击检测方法及装置

说明书

本发明公开了一种基于Netflow日志数据的DDOS攻击检测方法和装置，该方法包括以下步骤：通过LDA分析模型对新采集到的Netflow数据进行分值评估；当评估分值高于预定分值时，丢弃新采集的Netflow数据，当当评估分值低于预定分值时，确定新采集的Netflow数据为可疑Netflow数据；判断该可疑Netflow数据的源IP地址在某个时间段内对服务器的访问次数；如果访问次数大于设定阈值，判断该可疑Netflow数据为DDOS攻击，并在地图显示。通过本发明的技术方案，提高数据分析的效率，便于用户定位问题所在。

技术领域

本发明涉及数据安全领域，具体涉及一种基于Netflow日志的网络安全威胁分析方法及系统。

背景技术

NetFlow是Ciso公司发布的一款用于分析网络数据包信息的工具包，广泛的用于路由器和交换机中。它基于流的方式采集网络数据，输出的流数据能很好的表征会话级的特征。利用Netflow技术可以检测网络上的IP流信息。采集到的Netflow流量信息可以帮助进行网络规划，网络管理，流量计费和病毒检测等等。

机器学习，利用监督和无监督机器学习技术，进行异常事件侦测，以辨识网路弱点。是一种让计算机在没有事先明确的编程的情况下做出正确反应的科学。在过去的十年中，机器学习已经给我们在自动驾驶汽车，实用语音识别，有效的网络搜索，以及提高人类基因组的认识方面带来大量帮助。机器学习LDA模型，

网络安全，指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

随着科技的发展，计算机技术、信息技术、网络技术的应用对人们日常生活、工作与学习提供了极大的便利，也促进了企业的发展。但是，网络技术发展的同时，企业信息管理系统和商业机密数据都收到了外界非法入侵者的严重威胁，企业信息安全发展形势日益严峻。目前，大部分企业的内部网络中都存储了大量数据信息，随着自动化办公系统的普遍应用，越来越多的业务工作依赖于网络完成，一旦网络收到了黑客的恶意攻击，会给企业带来无法估计的重大损失，尤其是商业机密数据如果受到非法入侵者的篡改和窃取，甚至会给社会带来极大的负面影响。

随着各种网络应用迅速增加，由此带来了网络流量的激增。在这些流量中，网络用户的上网行为如何管理？各种类型的流量如何分布？根据目前的网络安全态势，建立一个能快速、高效识别网络异常流量分析的检测模型迫在眉睫，从而保护网络环境，为人们放心安全使用网络应用打好基石。

基于Netflow的单一攻击检测技术，该技术完全依赖于网络流量异常数据，无对流量本身数据的分析和统计，从而导致在系统用户高峰期访问的时候，这种情况下，服务器自身的流量数据会大幅度的提升，如果仅仅依赖流量数据的分析，检测系统会在业务高峰期的时候进行错误告警，影响正常的业务逻辑。

如图1，现有技术中心基于Netflow的单一攻击检测技术主要分为三个阶段：

1.流量数据收集：利用流量收集工具进行Netflow数据的收集和解析，将流量数据转化为可读的数据。

2.统计分类：将流量数据进行统计归类，发现异常数据。

3.告警阶段：抓取告警数据，告警。

现有技术存在以下问题：

1.没有对Netflow数据进行分析，仅简单的归类处理

2.误报警频率高

3.报警数据可信度底

4.可视化效果差

发明内容