买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：北京绿百顺科技有限公司

摘要：本发明公开了一种网络封装检测系统及方法，涉及网络检测技术领域，包括攻击检测单元和告警和展示单元，还包括：流量包捕获单元，所述流量包捕获单元用于在网络中部署代理服务器，将流量导向所述代理服务器上进行捕获，从而得到网络流量包，并将得到的所述网络流量包传输至流量存储单元。本发明通过流量包捕获、存储、分类和特征提取等多个步骤，系统能够全面地对网络流量进行分析和处理，从而提高攻击检测的准确性和效率，通过采用统计特征、格式特征和网络拓扑特征提取模块，能够及时识别出未知协议、异常数据流量以及网络拓扑中的异常行为，帮助及早发现潜在的安全威胁。

主权项：1.一种网络封装检测系统，包括攻击检测单元5和告警和展示单元6，其特征在于：流量包捕获单元1，所述流量包捕获单元1用于在网络中部署代理服务器，将流量导向所述代理服务器上进行捕获，从而得到网络流量包，并将得到的所述网络流量包传输至流量存储单元2；流量存储单元2，所述流量存储单元2对流量包捕获单元1传输的所述网络流量包进行接收，并将所述网络流量包存储至数据库中，利用所述数据库的查询和索引功能提供数据访问接口，且将所述数据访问接口传输至流量分类单元3；流量分类单元3，所述流量分类单元3对流量存储单元2传输的所述数据访问接口进行接收，并通过所述数据访问接口对所述数据库进行访问，从而得到所述数据库中的网络流量包，且通过聚类算法对所述网络流量包中的未知协议内容进行分类，并将分类后的网络流量包传输至特征提取单元4；所述特征提取单元4包括统计特征提取模块401、格式特征提取模块402和网络拓扑提取模块403；所述统计特征提取模块401用于统计在一段时间内收到或发送的数据包数量，并且统计数据包的平均大小、最大大小和最小大小，且统计数据包到达的间隔时间，并统计每个连接或会话的持续时间，并统计不同协议、源地址、目的地址特征在流量中的分布；所述格式特征提取模块402用于利用特征提取算法，从二进制流中提取格式特征，并根据提取的所述格式特征，构建未知协议的特征表示，并使用机器学习算法，训练识别模型来识别未知协议，当通信环境中出现新的未知协议时，将其输入到训练好的识别模型中进行识别，如果识别模型无法识别该协议，则认为出现了新的未知协议，并且如果已知的未知协议发生异常行为，识别模型检测这种异常；所述网络拓扑提取模块403用于统计广播、单播和组播数据包的比例和数量，并统计不同服务端口的使用情况，包括连接数量、连接频率，且根据历史数据，设置业务流量行为的阈值，一旦检测到某一行为超过阈值，则认为产生异常，并针对各种已知攻击列出该攻击的特征，且利用实时流量监测系统对流量进行分析，并实时检测是否存在符合攻击特征的流量，一旦在流量中检测到了符合特定攻击行为的流，即认为产生了异常；特征提取单元4，所述特征提取单元4对流量分类单元3传输的分类后的网络流量包进行接收，并从所述流量特征中提取统计特征、格式特征和网络拓扑特征，并将提取的所述统计特征、格式特征和网络拓扑特征传输至攻击检测单元5。

全文数据：

权利要求：

百度查询： 北京绿百顺科技有限公司 一种网络封装检测系统及方法