網絡流特征向量提取方法

專利名稱：網絡流特征向量提取方法
技術領域：
本發明涉及網絡安全技術領域，尤其涉及一種網絡流特征向量提取發方法。
背景技術：
網絡安全系統指的是那些專門為網絡或計算機系統提供安全服務的系統。它包括防火墻、入侵檢測系統和入侵防范系統等。由于網絡技術和網絡帶寬的發展迅速，網絡中的數據流量也成倍增加，在高速骨干網絡上，數據流量已經達到每秒鐘上(^bit甚至10(ibit。不斷增大的網絡流量對網絡安全提出了新的挑戰傳統的基于網絡包的網絡安全系統的效率已難以滿足高速骨干網監測的需要。在高速寬帶網絡環境下，網絡數據高速無窮到達，且不間斷，呈現海量數據特點，并且本地無法進行存儲。因此，依靠網絡包捕獲-網絡包還原-模式匹配的傳統的網絡安全系統效率無法滿足需要。網絡流(NetFLow)是兩個網絡實體之間持續一段時間并屬于相同流屬性值集的數據包序列。作為一種數據交換方式，網絡流從一個微觀層面上反映了主機行為和主機之間相互通信的細節。通過收集IP協議流量信息，網絡流能夠為網絡安全類系統提供精確、 高效、可靠的處理對象。網絡流是目前網絡安全技術領域的熱點，它的應用能夠提升網絡安全系統在高速網絡中的性能。思科公司首先提出了網絡流的概念，并引入了兩個重要的參數流規范(flow specification)禾口流超時(flow timeout)。流規范的定義可以用一個五元組來表示1、源 IP 地址；2、目的IP地址；3、TCP/UDP協議的原始端口號(0代表其它協議)；4、TCP/UDP協議的目的端口號(0代表其它協議)；5、IP協議類型。按照流規范的定義，對于一個新進的網絡數據包，如果在Cache (高速緩沖存儲器)中無法能夠找到與之相對應的網絡流信息，則在Cache中創建一個新的網絡流。流超時規定了 4個規則來判定一個網絡流是否終結1、TCP協議標志位是FIN或者RST ；2、收到一個數據包后15秒內沒有另外的數據包到達；3、網絡流創建30分鐘；4、網絡流的Cache已滿。網絡流是一種流數據，可以采用流數據模型描述。流數據模型解釋了一種信號描述方式。設流數據中的數據項 ， ，...， 依次按下標順序到達，描述了一個信號A。流數據模式定義了如何用a描述信號A。流數據模型分為3種1、時間序列模型(Time Series Model)
每個數據項％都以i的增序出現。此時，數據流中的每個數據項都代表一個獨立的信號。2、現金登記模型(Cash Register Model)在這個模型中，每個數據項 都代表信號A的增量。該模型和現金登記類似，隨著時間的推進，多個％能夠增加一個給定的信號A。此時，數據流中的多個數據項增量式的表達一個信號。3、十字轉門模型(Turnstile Model)這個模型與現金登記模型類似，每一個數據項 都是信號A的更新。與現金登記模型不同，在十字轉門模型中，數據項的更新可以是負值。此時，隨著數據項的流入，信號可能會增加，也可能會減少。網絡流采用的模型是現金登記模型。其中，每一個新進的數據包都是一個數據項， 每一個網絡流都是一個信號。隨著時間的推進，網絡流的內容逐漸豐富，而數據包在更新完網絡流后也將完成它的使命。整個過程中無需存儲數據包，也無需對其進行深度處理，只需要用它更新描述網絡流的概要數據結構。利用網絡流能夠有效提升網絡安全設備的效率，滿足日益增長的網絡帶寬的需要。然而，目前描述網絡流的概要數據結構比較簡單，包含的信息量比較少，無法完備地刻畫主機之間相互通信的細節，從而導致網絡安全系統無法準確地分析網絡中存在的異常行為。

發明內容
(一)要解決的技術問題本發明所要解決的技術問題是如何提供一種網絡流特征向量提取方法，為網絡安全設備提供豐富、可靠的知識，以分析網絡中存在的異常行為。( 二 )技術方案為解決上述問題，本發明提供了一種網絡流特征向量提取方法，該方法包括步驟Si.查找捕獲到的新進網絡包在網絡流表中對應的網絡流；S2.根據所述網絡包更新其所對應的網絡流的初始特征；S3.判斷網絡流是否終結，若是，則從網絡流的初始特征中提取網絡流高級特征， 否則，返回步驟Si。其中，步驟Sl前還包括建立用于存儲網絡流信息的所述網絡流表的步驟。其中，所述網絡流采用現金登記模型描述。其中，步驟Sl進一步包括Si. 1判斷所述捕獲的新進網絡包的方向，并將其轉換為由監控網絡內部到外部的方向；Si. 2若在所述網絡流表中存在與轉換后的網絡包對應的網絡流，則執行步驟S2， 否則，繼續執行步驟Si. 3;Si. 3為所述網絡包創建一個新的網絡流，并將其插入到所述網絡流表中。其中，在步驟Si. 1中，若所述網絡包為監控網絡內部主機交換的網絡包，則判斷
4所述網絡包對應的網絡流的第一個網絡包的方向為從監控網絡外部到內部的方向。其中，在步驟S2中，所述初始特征包括網絡流的基本信息、網絡流的基本統計特征、以及網絡流的橫向統計特征。其中，步驟S2進一步包括S2. 1若所述網絡包為其對應的網絡流的第一個網絡包，則根據所述網絡包更新其對應的網絡流的基本信息；S2. 2根據所述網絡包更新其對應的網絡流的基本統計特征；S2. 3根據所述網絡包更新其對應的網絡流的橫向統計特征。其中，在步驟S3中，所述高級特征包括網絡流連接特征以及網絡流高級統計特征。其中，步驟S3進一步包括S3. 1從網絡流初始特征中提取網絡流連接特征；S3. 2從網絡流初始特征中提取網絡流高級統計特征。(三)有益效果本發明的方法能夠從網絡流中提取豐富且可靠的知識，完備地刻畫主機之間相互通信的細節，并且在整個處理過程中無需存儲網絡包，也無需對其進行深度處理，可以為高速網絡中高性能防火墻、入侵檢測系統和入侵防范系統等網絡安全系統的設計和實現提供技術支持。


圖1為依照本發明一種實施方式的網絡流特征向量提取方法流程圖；圖2為依照本發明一種實施方式的網絡流特征向量提取方法在入侵檢測系統應用示意圖。
具體實施例方式對于本發明所提出的網絡流特征向量提取方法，結合附圖和實施例詳細說明。針對目前描述網絡流的概要數據結構無法為網絡安全系統提供豐富的知識分析網絡中存在異常行為的問題，本發明提出了一種網絡流特征向量的提取方法。這種方法首先建立網絡流表存儲網絡流信息；利用現金登記模型，使用新進網絡包更新與其對應的網絡流的初始特征；之后從網絡流初始特征中進一步提取高級特征；最后將初始特征與高級特征相結合形成網絡流特征向量。該方法能夠從網絡流中提取豐富的統計特征、橫向特征， 通過提供精確、高效、可靠的處理對象，提升網絡安全系統在高速網絡中的檢測性能。根據實際的應用需求，可以選擇不同的特征組成特征向量。如圖1所示，依照本發明一種實施方式的網絡流特征向量提取方法在建立了用于存儲網絡流信息的網絡表后進行如下步驟，其中采用現金登記模型描述網絡流Si.尋找捕獲的新進網絡包在網絡流表中對應的網絡流；步驟Sl進一步包括Si. 1判斷網絡包的方向，并將其轉換為由監控網絡內部到外部的方向。若為監控網絡內部主機交換的網絡包，則認定與該網絡包對應的網絡流的第一個網絡包的方向為從
5監控網絡外部到內部方向；Si. 2若在網絡流表中存在與轉換后的網絡包對應的網絡流，則轉向步驟2，否則， 繼續執行步驟Si. 3 ；Si. 3若在網絡流表中不存在與轉換后的網絡包對應的網絡流，則為該數據包創建一個新的網絡流插入網絡流表中。S2.利用該網絡包更新網絡流的初始特征，包括網絡流基本信息、網絡流基本統計特征、以及橫向統計特征三部分；步驟S2進一步寶包括S2. 1若該網絡包為對應網絡流的第一個網絡包，則用其更新網絡流初始特征中的網絡流基本信息，包括 Inside_ip、Outside_ip、Inside_port、Outside_port、Protocol 等 5個特征；如下表1所示，為網絡流基本信息所表示的具體含義。表1網絡流基本信息
特征描述__類型
InsideJp內部IP離散
OutsideJp外部IP離散Inside_port內部IP對應的端口離散 Outside_port 外部IP端口離散
D + , 網絡流使用的協議TCP、UDP, Pr0t0C01 ICMP)離散S2. 2使用網絡包更新對應網絡流的基本統計特征，包括Duration、Flag、Inside_ pkg、Outside_pkg>Inside—byte、Outside—byte、Total_pkg>Total—byte、Num_of_urgent> Num_of_SYN> Num_of_eSYN> Num_of_epkg> Num_of_fragment> Num_of_options> Byte_of_ option、Max_inside_pkg_length> Min_inside_pkg_length、Max_outside_pkg_length> Min_outside_pkg_length等19個特征；如表2所示，為上述網絡流的基本統計特征所表示的具體含義。表3所示，為Flag (TCP連接標識)所表示的具體含義。表2網絡流基本統計特征
權利要求
1.一種網絡流特征向量提取方法，其特征在于，該方法包括步驟51.查找捕獲到的新進網絡包在網絡流表中對應的網絡流；52.根據所述網絡包更新其所對應的網絡流的初始特征；53.判斷網絡流是否終結，若是，則從網絡流的初始特征中提取網絡流高級特征，否則， 返回步驟Si。
2.如權利要求1所述的網絡流特征向量提取方法，其特征在于，步驟Sl前還包括建立用于存儲網絡流信息的所述網絡流表的步驟。
3.如權利要求1所述的網絡流特征向量提取方法，其特征在于，所述網絡流采用現金登記模型描述。
4.如權利要求1所述的網絡流特征向量提取方法，其特征在于，步驟Sl進一步包括 Si. 1判斷所述捕獲的新進網絡包的方向，并將其轉換為由監控網絡內部到外部的方向；Si. 2若在所述網絡流表中存在與轉換后的網絡包對應的網絡流，則執行步驟S2，否貝U，繼續執行步驟Si. 3;51.3為所述網絡包創建一個新的網絡流，并將其插入到所述網絡流表中。
5.如權利要求4所述的網絡流特征向量提取方法，其特征在于，在步驟Si.1中，若所述網絡包為監控網絡內部主機交換的網絡包，則判斷所述網絡包對應的網絡流的第一個網絡包的方向為從監控網絡外部到內部的方向。
6.如權利要求1所述的網絡流特征向量提取方法，其特征在于，在步驟S2中，所述初始特征包括網絡流的基本信息、網絡流的基本統計特征、以及網絡流的橫向統計特征。
7.如權利要求6所述的網絡流特征向量提取方法，其特征在于，步驟S2進一步包括52.1若所述網絡包為其對應的網絡流的第一個網絡包，則根據所述網絡包更新其對應的網絡流的基本信息；S2. 2根據所述網絡包更新其對應的網絡流的基本統計特征；52.3根據所述網絡包更新其對應的網絡流的橫向統計特征。
8.如權利要求1所述的網絡流特征向量提取方法，其特征在于，在步驟S3中，所述高級特征包括網絡流連接特征以及網絡流高級統計特征。
9.如權利要求8所述的網絡流特征向量提取方法，其特征在于，步驟S3進一步包括`53.1從網絡流初始特征中提取網絡流連接特征；`S3. 2從網絡流初始特征中提取網絡流高級統計特征。
全文摘要
本發明公開了一種網絡流特征向量提取方法，該方法包括步驟S1.查找捕獲到的新進網絡包在網絡流表中對應的網絡流；S2.根據所述網絡包更新其所對應的網絡流的初始特征；S3.判斷網絡流是否終結，若是，則從網絡流的初始特征中提取網絡流高級特征，否則，返回步驟S1。本發明的方法能夠從網絡流中提取豐富且可靠的知識，完備地刻畫主機之間相互通信的細節，并且在整個處理過程中無需存儲網絡包，也無需對其進行深度處理，可以為高速網絡中高性能防火墻、入侵檢測系統和入侵防范系統等網絡安全系統的設計和實現提供技術支持。
文檔編號H04L12/56GK102468987SQ20101053916
公開日2012年5月23日 申請日期2010年11月8日 優先權日2010年11月8日
發明者王大偉, 薛一波 申請人:清華大學