(19)中华人民共和国国家知识产权局*CN102118272A*(12)发明专利申请(10)申请公布号CN102118272A(43)申请公布日2011.07.06(21)申请号200910214525.4(22)申请日2009.12.31(71)申请人蓝盾信息安全技术股份有限公司地址510665广东省广州市天河区科韵路16号自编1栋2101(72)发明人柯宗贵柯宗庆张越陈文浩(74)专利代理机构北京市国枫律师事务所11366代理人杨思东(51)Int.Cl.H04L12/26(2006.01)权利要求书1页说明书3页附图1页(54)发明名称一种网络边界异常监控方法(57)摘要本发明针对传统的异常监控方法的参数基准范围难以确定，缺乏灵活性，而且误报率也相当高的缺陷，提出了一种网络边界异常监控方法，以网口零拷贝方式在线抓取网络上的流量数据包，分析并格式化为统一格式，以曲线的形式表示，再与预先构建的轮廓线比较，监测异常状况。CN10287ACCNN110211827202118278A权利要求书1/1页1.一种网络边界异常监控方法，其特征在于：所述的方法由以下步骤实现：步骤一：以网口零拷贝方式在线抓取网络上的流量数据包；步骤二：对抓取的数据包进行分析，构建正常状态的流量轮廓线；步骤三：继续实时抓取网络上的流量数据包进行分析，格式化为统一格式，以曲线形式表示；步骤四：与正常状态的流量轮廓线进行比较，如果发现异常，则报警并将异常种类记录到异常状况数据库；步骤五：通过均值算法重新运算，学习这个正常周期曲线，生成的新参照轮廓线，并返回步骤三。2.根据权利要求1所述的一种网络边界异常监控方法，其特征在于：所述步骤三所描述的流量数据包进行分析，即是将每个数据包将会被分析为一个记录R(T，Src.IP，Src.Port，Dst.IP，Dst.Port，Protocol，Size，FLAG)；将元记录以统计连接、端口、流量的为目的被格式化为3种不同的记录Rc、Rp、Rs；Rc(T，Totle_Conn，New_Conn)其中T表示当前时间，Totle_Conn表示总连接数，New_Conn表示新建的连接数；Rp(T，Port1，[Port2，]...)其中T表示当前时间，Port1表示要监测的端口，省略号表示可以自定义要监测的端口；Rs(T，Size，Pack，FLAG)其中T表示当前时间，Size表示流量的大小，Pack表示包的数量，FLAG表示连接状态；以上3个记录集分别代表了T时段关于连接、端口、流量(大小/包数量)的指标统计，实际曲线由这些记录确定。2CCNN110211827202118278A说明书1/3页一种网络边界异常监控方法技术领域：[0001]本发明涉及网络异常流量检测以及入侵检测技术领域的一种网络边界异常监控方法。背景技术：[0002]随着网络技术的发展，网络上的网络攻击、蠕虫病毒、恶意下载和对网络资源的不当使用等各种问题也随之而来，造成网络性能下降、网络拥塞甚至网络中断和网络设备失效的严重问题。网络攻击、蠕虫病毒、恶意下载和对网络资源的不当使用都会出现网络流量异常，因此，对网络流量进行监控和管理，发现网络中的异常情况，已经成为网络安全管理中需要解决的首要问题。[0003]传统的网络异常检测方法是通过长时间的网络运行流量信息的分析、学习，建立网络正常状态下的参数基准范围，当网络流量状态与正常状态有较大偏差时，则判定网络中存在异常状况。此方法的参数基准范围难以确定，缺乏灵活性，而且误报率也相当高。发明内容：[0004]为了克服上述的缺陷，本发明提供一种网络边界异常监控方法。以网口零拷贝方式在线抓取网络上的流量数据包，分析并格式化为统一格式，以曲线的形式表示，再与预先构建的轮廓线比较，监测异常状况。[0005]本发明是通过以下步骤实现的：[0006]步骤一：以网口零拷贝方式在线抓取网络上的流量数据包；[0007]步骤二：对抓取的数据包进行分析、学习，构建正常状态的流量轮廓线；[0008]步骤三：继续实时抓取网络上的流量数据包进行分析，格式化为统一格式，以曲线形式表示；[0009]步骤四：与正常状态的流量轮廓线进行比较，如果发现异常，则报警并将异常种类记录到异常状况数据库；[0010]步骤五：通过均值算法重新运算，学习这个正常周期曲线，生成的新参照轮廓线，并返回步骤三。[0011]所述的步骤一中，可采用DMA技术，在外部设备与存储器之间直接抓取数据包，减少拷贝次数与系统调用。[0012]所述的步骤二中，将分析抓取的数据包，通过均值运算，经过一段时间的自学习，针对不同的监测目标(包括预设端口，总连接数，新建连接数，出入口流量大小，出入口流量包数)生成不同的参照轮廓线。[0013]所述的步骤三中，每个数据包将会被分析为一个记录R，格式