【摘要】 本发明公开了一种在网络设备上提取流量攻击报文特征的方法和单元; 方法包括:选定需要提取报文特征的、作为攻击流量类型的网络报文类型; 以选定类型报文的报头字段为项,在接收到的选定类型的网络报文中,找到 所有满足最小支持度的频繁项目集;对所找到的所有频繁项目集先按照元数 降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频 繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合 为选定类型报文的攻击报文特征。本发明克服了流量特征提取方法的片面性, 并且能够精确过滤,避免误杀,保障合法网络流量的正常通过。 【专利类型】发明申请 【申请人】北京启明星辰信息技术股份有限公司; 北京启明星辰信息安全技术有限公司 【申请人类型】企业 【申请人地址】100193北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810117499.9 【申请日】2008-07-31 【申请年份】2008 【公开公告号】CN101640594A 【公开公告日】2010-02-03 【公开公告年份】2010 【授权公告号】CN101640594B 【授权公告日】2013-01-23 【授权公告年份】2013.0 【发明人】叶润国; 周涛; 孙海波; 郑曙光; 邓炜 【主权项内容】1、一种在网络设备上提取流量攻击报文特征的方法,包括: 选定需要提取报文特征的、作为攻击流量类型的网络报文类型; 以选定类型报文的报头字段为项,在接收到的选定类型的网络报文中, 找到所有满足最小支持度的频繁项目集; 对所找到的所有频繁项目集先按照元数降序排序,再对元数相同的频繁 项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足 报文过滤比例阈值的频繁项目集的最小集合为选定类型报文的攻击报文特 征。 【当前权利人】北京启明星辰信息技术股份有限公司; 北京启明星辰信息安全技术有限公司 【当前专利权人地址】北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦; 北京市海淀区东北旺西路8号21号楼启明星辰大厦102号 【专利权人类型】股份有限公司(上市、自然人投资或控股); 有限责任公司 【统一社会信用代码】; 911101088020115538 【被引证次数】TRUE 【家族被引证次数】TRUE
