网络流行为的行为分析参数的提取方法

• 摘要：

  本发明属于网络流行为分析技术领域,其特征依次含有以下步骤:用所用协议、源IP地址和端口、目的IP地址和端口五元组组成的字符串来描述网络中端到端的网络流通信行为,据此将网络通信分成14种行为模式,由五元组中确定和不确定的特征值组成的14个关键字来加以描述;对任一具体网络流,用特征值字符匹配确定分类关键字并纳入相应的行为模式;14种行为模式中各具体的网络流用对应的Hash表来记录,在表中的位置用Hash_0值确定,存在同一模式Hash表中Hash_0值相同的不同网络流用Hash_1、Hash_2值来加以区分,在此基础上,对具体网络流进行分类并计算其带宽、流数量、包数量之分布,用于检测异常网络流.

• 专利类型：

  发明专利

• 申请/专利号：

  CN200710099096.1

• 申请日期：

  2007.05.11

• 公开/公告号：

  CN101051958

• 公开/公告日：

  2007-10-10

• 发明人：

  秦华 张书杰

• 申请人：

  北京工业大学

• 主分类号：

  H04L12/26(2006.01)I,H,H04,H04L,H04L12

• 分类号：

  H04L12/26(2006.01)I,H04L12/56(2006.01)I,H04L29/06(2006.01)I,H04L12/24(2006.01)I,H,H04,H04L,H04L12,H04L29,H04L12/26,H04L12/56,H04L29/06,H04L12/24

• 主权项：

  1、网络流行为的行为分析参数的提取方法,其特征在于:该方法是在选定作为测量点的互联网接入服务商、或者用户子网的核心层或汇聚层的服务器上依次按以下步骤实现的:步骤(1):初始化设定:在两个终端用户之间的单向的数据包序列被定义为一个网络流,一个单独的网络流表示为:flow(protype,srcIP,srcPort,dstIP,dstPort,bytes,pkts)其中:protype:是通信协议类型,记为特征A,并用小写字母a表示一个具体的特征值;srcIP:是源IP地址,记为特征B,并用小写字母b表示一个具体的特征值;dstIP:是目标IP地址,记为特征C,并用小写字母c表示一个具体的特征值;srcPort:是源端口,记为特征D,并用小写字母d表示一个具体的特征值;dstPort:是目标端口,记为特征E,并用小写字母e表示一个具体的特征值;bytes:表示流的字节数;pkts:表示流的数据包个数;设定:网络流的行为定义为从流的角度描述网络节点之间的通信模式,用五个特征来表示一个确定的网络流,在排除了没有意义的特征组合且某些特征的取值不确定时,得到的是一类具有相同特征组合的网络流,称为行为模式,对一种确定的特征组合由于每个特征的取值不同而得到同一模式的不同实例,用五元组(a,b,c,d,e)表示一个具体的网络流实例,下面把网络流的行为按照其特征组合进行归类,一共得到下述14种描述网络通信的网络流行为模式:AB:使用同一协议从同一源IP地址发出的网络流,用五元组(a,b,*,*,*)表示AB模式的一个具体实例,*表示该特征的取值不确定,下同;AC:使用同一协议发送到同一的源端口的网络流,用五元组(a,*,c,*,*)表示AC模式的一个具体实例;AD:使用同一协议发送到同一目的IP地址的网络流,用五元组(a,*,*,d,*)表示AD模式的一个具体实例;AE:使用同一协议发往同一目的端口的网络流,用五元组(a,*,*,*,e)表示AE模式的一个具体实例;ABC:使用同一协议从同一源IP地址和同一源端口发出的网络流,用五元组(a,b,c,*,*)表示ABC模式的一个具体实例;ABD:使用同一协议从同一源IP地址发送到同一目的IP地址的网络流,用五元组(a,b,*,d,*)表示ABD模式的一个具体实例;ABE:使用同一协议从同一源IP地址发送到同一目的端口的网络流,用五元组(a,b,*,*,e)表示ABE模式的一个具体实例;ACD:使用同一协议发送到同一源端口和同一目的IP地址的网络流,用五元组(a,*,c,d,*)表示ACD模式的一个具体实例;ACE:使用同一协议从同一源端口发送到同一的目的端口的网络流,用五元组(a,*,c,*,e)表示ACE模式的一个具体实例;ADE:使用同一协议发送到同一目的IP地址和同一目的端口的网络流,用五元组(a,*,*,d,e)表示ADE模式的一个具体实例;ABCD:使用同一协议从同一源IP地址和同一源端口发送到同一目的地IP的网络流,用五元组(a,b,c,d,*)表示ABCD模式的一个具体实例;ABCE:使用同一协议从同一源IP地址和同一源端口发送到同一目的端口的网络流,用五元组(a,b,c,*,e)表示ABCE模式的一个具体实例;ABDE:使用同一协议从同一源IP地址发送到同一目的IP和同一目的端口的网络流,用五元组(a,b,*,d,e)表示ABDE模式的一个具体实例;ACDE:使用同一协议从同一个源端口发送到同一目的IP地址和同一目的端口的网络流,用五元组(a,*,c,d,e)表示ACDE模式的一个具体实例;步骤(2):按以下步骤对样本网络流空间中的所有网络流按照步骤(1)所表达的14种网络流行为模式进行分解,得到14种行为模式的网络流实例:步骤(2.1):初始化设定:本次分析的样本网络流空间中的网络流总数初始化为0;本次分析的样本网络流空间中所有网络流承载的总字节数初始化为0;本次分析的样本网络流空间中所有网络流承载的总数据包数初始化为0;网络流参数记录parameter初始化为0;网络流模式关键字Key初始化为空;初始化14种行为模式,分别为每种行为模式设定一个Hash表,共14个Hash表,初始化皆为空,得到Hash表的总长度;HashType的取值初始化为常量0、1、2;为Hash函数加密表cryptTable赋值,以0x00100001为种子,通过算数运算和移位运算计算出cryptTable表中的1280个元素的值;步骤(2.2):按以下步骤对当前样本网络流空间中的所有网络流按14种行为模式实例进行归类:步骤(2.2.1):读取样本网络流空间中的一个网络流,将五种特征的取值、开始时间/结束时间以及字节数、包数量分别存放到流参数记录parameter中,对照步骤(1)和步骤(2.1)中的14种网络流行为模式,采用特征值字符匹配算法,根据当前网络流的14种行为模式实例中的特征值生成Hash关键字Key;步骤(2.2.2):按以下步骤对于同一网络流的14种行为模式实例,计算Hash值并分别插入对应的模式Hash表中:步骤(2.2.2.1):根据具体的行为模式Hash关键字Key和Hashtype取值为0、1、2,分别计算三个Hash函数值Hash_0、Hash_1、Hash_2;步骤(2.2.2.2):用步骤(2.2.2.1)得到的Hash_0值对Hash表的长度取模,得到当前网络流实例在对应的模式Hash表中的位置索引值index;步骤(2.2.2.3):判定对应模式Hash表中的index位置是否已经存放了一个网络流实例:若没有,则添加一个新的网络流实例记录,存放该实例的描述字符串、Hash_1值、Hash_2值、实例流总数、数据包总数、字节总数;若已有,则将该位置存放的实例的Hash_1值、Hash_2值与当前网络流实例的Hash_1值、Hash_2值进行比较:若都相同,则认为两个实例完全相同,将实例流总数加1,并分别将当前实例的包数量和字节数累加到数据包总数和字节总数中;若两者的Hash_1和Hash_2不完全相同,则认为不是相同的网络流实例,将index＝index+1并对Hash表长度取模,转步骤(2.2.2.3)直到找到一个空位置存放当前网络流实例;步骤(3):分别按照下式对步骤(2)中已经进行了分类的网络流实例xi计算下列三个参数:带宽分布:对应于行为模式x的网络流实例xi所占带宽,用Mb(xi)表示,即:Mb(xi)＝8*(∑fj.bytes)/Δt)其中:(fj∈St)∧(fj.x＝xi),即网络流fj是样本网络流集合中的一个网络流,它的x特征的取值为xi,常数8表示1byte＝8bit;流数量分布:行为模式x的实例xi的流个数占样本流总数的比例,用Mn(xi)表示,即:Mn(xi)＝count(fj)/N其中:(fj∈St)∧(fj.x＝xi),fj定义同上,N为样本网络流集合中网络流的总数;包数量分布Mp:行为模式x的实例xi承载的数据包总数占样本数据包总数的比例,用Mp(xi)表示,即: M p ( x i ) = ( Σ / f i · pkts ) / ( Σ k = 1 k = N f k · pkts ) ]]>其中:(fj,fk∈St)∧(fj.x＝xi),fj定义同上,fk为样本网络流集合中任意的网络流,k为样本网络流集合中的网络流序号,N的定义同上.