[发明专利]基于流量和活跃度分析的网络异常扫描方法、系统及存储介质

说明书

本发明属于网络异常扫描领域，尤其涉及基于流量和活跃度分析的网络异常扫描方法、系统及存储介质，方法为，将采集的计算机网络线路中的IP的数据交互信息存储至redis缓存库中，并对其进行异常扫描，将异常IP地址找出，同时通过异常过滤步骤根据用户实际的需求确定异常的阈值，将未达到设定的异常阈值的异常IP地址排除掉，进而有针对性地满足用户地需求，在过滤完成后，在一段时间内实时动态追踪异常IP地址，将持续时间长地异常IP地址进行特征化分析，分析出异常的特征，同时，将未达到异常阈值的异常IP地址进行汇总并进行低频率的追踪。因此，本发明能够解决现有网络异常扫描技术扫描效率低和无法扫描出不敏感的异常行为的问题。

技术领域

本发明属于网络异常扫描领域，尤其涉及基于流量和活跃度分析的网络异常扫描方法、系统及存储介质。

背景技术

计算机网络对人类社会的发展产生了巨大的影响，计算机网络的出现，使得互联网在人们的日常工作和生活中充当着越来越重要的角色，越来越多的人早日常工作中生活中利用互联网进行沟通，但与此同时，网络中的不安全因素也在不断增加，各种网络用户异常流量行为随之出现，其主要包含两个方面，一是用户的操作不当引起的异常网络流量行为，二是由网络攻击引起的异常流量行为，因此，针对计算机网路中的异常流量实时扫描和监测的重要性越来越高。

现有技术中使用的异常网络流量的扫描技术通常为针对大型计算机网络群体进行异常流量扫描，其在解决异常网络流量时能够得到很好的反响，但是仍存在一些问题，第一，现有扫描技术通过读取数据库中的数据交互信息来实时扫描网络中的异常数据，数据库为硬盘，其读取和缓存速率较慢，从而造成扫描效率较慢；第二，在大型计算机网络群体的扫描中，无法扫描出不敏感的异常行为，久而久之，一些小问题堆积起来，使得扫描技术的漏检率和误判率越来越高，用户的体验感也越来越差。

发明内容

本发明所解决的技术问题在于提供一种基于流量和活跃度分析地网络异常扫描方法、系统及存储介质。以解决现有网络异常扫描技术扫描效率低和无法扫描出不敏感的异常行为的问题。

本发明提供的基础方案一：基于流量和活跃度分析的网络异常扫描方法，包括：

数据采集步骤：采集计算机网络线路中的IP的数据交互信息，并将其存储至redis缓存库中；

异常扫描步骤：根据redis缓存库中存储的数据交互信息实时动态地扫描计算机网络线路上的每个IP的流量信息和活跃度信息，找出当前计算机网络线路上的异常IP地址；

异常过滤步骤：根据用户的需求设定流量异常阈值和活跃度异常阈值，从扫描结果中过滤出达到流量异常阈值和活跃度异常阈值的异常IP地址；

追踪统计步骤：汇总异常过滤步骤中的过滤后结果，并对异常过滤后结果中的异常IP地址根据预设时间进行追踪，以及统计追踪结果中达到预设时间仍处在异常的IP地址；

特征分析步骤：根据统计结果对异常IP地址的信息做特征化分析，发现异常IP地址的异常特征；

所述追踪统计步骤中还包括：

汇总未达到流量异常阈值和活跃度异常阈值的异常IP地址，并将其进行低频率追踪，若出现达到流量异常阈值和活跃度异常阈值时将其保存至统计结果中。

本发明提供的基础方案一的原理及优点在于：在现有技术中，通常使用读取数据库中的IP数据交互信息从而扫描出异常网络流量，会出现扫描效率慢的问题，同时针对大型计算机网络的异常扫描时常不能发现不敏感的异常行为，而当不敏感的异常行为问题变得严重后常因为不能及时发现从而会造成巨大的损失。