一种网络状态的检测方法及装置制造方法及图纸

本申请公开了一种网络状态的检测方法及装置。该方法在获取多个netflow数据后，根据多个netflow数据中流起始时间的先后顺序和预设状态标记规则，对具有相同四元组的多个netflow数据的属性特征进行状态标记，得到至少一个待识别的状态链，将至少一个待识别的状态链与存储的异常状态链进行匹配；若存在与存储的异常状态链匹配的待识别的状态链，则确定待识别的状态链为异常状态链，并对异常状态链对应的netflow数据进行隔离处理。该方法提高了网络状态的检测效率。

A Method and Device for Network State Detection

【技术实现步骤摘要】
一种网络状态的检测方法及装置
本申请涉及网络安全
，尤其涉及一种网络状态的检测方法及装置。
技术介绍
随着网络规模的迅速扩大、网络技术的复杂化，以及网络设备的多样化，使得网络数据形态呈几何倍数增长变化。目前，对网络数据的检测可以通过与数据特征库或者规则库中数据特征匹配的方式进行检测，即需要对网络数据进行解析得到数据特征后，与数据特征库中的数据特征进行匹配，若匹配成功，则确定网络数据为异常网络数据，此时网络处于异常状态，如攻击状态，之后对异常网络数据进行阻断或丢弃等操作。然而，专利技术人发现由于该检测方式需要解析数据包，降低了检测效率。
技术实现思路
本申请实施例提供一种网络状态的检测方法及装置，解决了现有技术存在的上述问题，提高了检测效率。第一方面，提供了一种网络状态的检测方法，该方法可以包括：对当前的网络数据流量进行采集，然后对所述网络数据流量进行netflow类型提取，获取多个netflow数据；根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则，对具有相同四元组的多个netflow数据的属性特征进行状态标记，得到至少一个待识别的状态链，所述netflow数据为网络四元组信息确定的数据信息，所述四元组信息包括源地址、目的地址、目的端口和网络数据类型，所述属性特征包括所述netflow数据的周期性、大小和持续时间，所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合；将所述至少一个待识别的状态链与存储的异常状态链进行匹配；若存在与存储的异常状态链匹配的待识别的状态链，则确定所述待识别的状态链为异常状态链，并对所述异常状态链对应的netflow数据进行隔离处理。在一个可选的实现中，确定所述待识别的状态链为异常状态链之后，所述方法还包括：解析所述异常状态链，得到所述异常状态链中netflow数据的四元组信息，以及所述异常状态链与所述存储的异常状态链的关联信息，并展示所述四元组信息和所述关联信息。在一个可选的实现中，所述得到至少一个待识别的状态链，包括：在具有相同四元组的多个netflow数据中，根据预设状态标记规则，对多个netflow数据中每个netflow数据的属性特征进行状态标记，得到所述netflow数据的状态组合；按照所述流起始时间的先后顺序，将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。在一个可选的实现中，得到所述netflow数据的状态组合，包括：根据预设状态标记规则，对待标记的netflow数据的大小和周期性的关联关系进行第一类标记，且对所述待标记的netflow数据的持续时间进行第二类标记，得到所述待标记的netflow数据的状态组合，所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。在一个可选的实现中，获取多个netflow数据之后，所述方法还包括：根据所述多个netflow数据中每个netflow数据中总字节数字段的字节数，确定所述netflow数据的大小；根据所述多个netflow数据中每个netflow数据中流存在时间字段的流存在时间，确定所述netflow数据的持续时间；根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间，确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性，其中，若所述相邻三个netflow数据为初始的相邻三个netflow数据，则除所述最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。在一个可选的实现中，根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的起始时间，确定所述相邻三个netflow数据中最大起始时间对应的netflow数据的周期性，包括：获取所述多个netflow数据中相邻三个netflow数据间流起始时间的第一差值和第二差值；获取所述第一差值与所述第二差值相除的值，所述第一差值不小于所述第二差值；将所述第一差值与所述第二差值相除的值分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较，确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性，所述第一周期阈值大于所述第二周期阈值大于所述第三周期阈值大于所述第四周期阈值。在一个可选的实现中，对当前的网络数据流量进行采集，然后对所述网路数据流量进行netflow类型提取，获取多个netflow数据，包括：从存储的网络数据中读取当前的网络数据流量，并对所述网络数据流量进行netflow类型提取，获取多个netflow数据；或者，从所述实时的网络数据流量中采集当前的网络数据流量，并对所述网络数据流量进行netflow类型提取，获取多个netflow数据。在一个可选的实现中，所述多个netflow数据中每个netflow数据为有效的netflow数据；获取多个netflow数据之后，所述方法还包括：检测所述每个netflow数据中的预设属性字段是否为空，所述预设属性字段包括流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段；将所述预设属性字段不为空的netflow数据确定为有效的netflow数据。第二方面，提供了一种网络状态的检测装置，该装置可以包括：获取单元、标记单元、匹配单元、确定单元和隔离单元；所述获取单元，用于对当前的网络数据流量进行采集，然后对所述网络数据流量进行netflow类型提取，获取多个netflow数据；所述标记单元，用于根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则，对具有相同四元组的多个netflow数据的属性特征进行状态标记，得到至少一个待识别的状态链，所述netflow数据为网络四元组信息确定的数据信息，所述四元组信息包括源地址、目的地址、目的端口和网络数据类型，所述属性特征包括所述netflow数据的周期性、大小和持续时间，所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合；所述匹配单元，用于将所述至少一个待识别的状态链与存储的异常状态链进行匹配；所述确定单元，用于若存在与存储的异常状态链匹配的待识别的状态链，则确定所述待识别的状态链为异常状态链；所述隔离单元，用于并对所述异常状态链对应的netflow数据进行隔离处理。在一个可选的实现中，所述装置还包括解析单元和展示单元；所述解析单元，用于解析所述异常状态链，得到所述异常状态链中netflow数据的四元组信息，以及所述异常状态链与所述存储的异常状态链的关联信息；所述展示单元，用于展示所述四元组信息和所述关联信息。在一个可选的实现中，所述标记单元，具体用于在具有相同四元组的多个netflow数据中，根据预设状态标记规则，对所述多个netflow数据中每个netflow数据的属性特征进行状态标记，得到所述netflow数据的状态组合；按照所述流起始时间的先后顺序，将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。在一个可选的实现中，所述标记单元，还具体用于根据预设状态标记规则，对待标记的netflow数据的大小和周期性的关本文档来自技高网...

【技术保护点】
1.一种网络状态的检测方法，其特征在于，所述方法包括：对当前的网络数据流量进行采集，并对所述网络数据流量进行netflow类型提取，获取多个netflow数据；根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则，对具有相同四元组的多个netflow数据的属性特征进行状态标记，得到至少一个待识别的状态链，所述netflow数据为网络四元组信息确定的数据信息，所述四元组信息包括源地址、目的地址、目的端口和网络数据类型，所述属性特征包括所述netflow数据的周期性、大小和持续时间，所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合；将所述至少一个待识别的状态链与存储的异常状态链进行匹配；若存在与存储的异常状态链匹配的待识别的状态链，则确定所述待识别的状态链为异常状态链，并对所述异常状态链对应的netflow数据进行隔离处理。

【技术特征摘要】
1.一种网络状态的检测方法，其特征在于，所述方法包括：对当前的网络数据流量进行采集，并对所述网络数据流量进行netflow类型提取，获取多个netflow数据；根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则，对具有相同四元组的多个netflow数据的属性特征进行状态标记，得到至少一个待识别的状态链，所述netflow数据为网络四元组信息确定的数据信息，所述四元组信息包括源地址、目的地址、目的端口和网络数据类型，所述属性特征包括所述netflow数据的周期性、大小和持续时间，所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合；将所述至少一个待识别的状态链与存储的异常状态链进行匹配；若存在与存储的异常状态链匹配的待识别的状态链，则确定所述待识别的状态链为异常状态链，并对所述异常状态链对应的netflow数据进行隔离处理。2.如权利要求1所述的方法，其特征在于，确定所述待识别的状态链为异常状态链之后，所述方法还包括：解析所述异常状态链，得到所述异常状态链中netflow数据的四元组信息，以及所述异常状态链与所述存储的异常状态链的关联信息，并展示所述四元组信息和所述关联信息。3.如权利要求1所述的方法，其特征在于，所述得到至少一个待识别的状态链，包括：在具有相同四元组的多个netflow数据中，根据预设状态标记规则，对所述多个netflow数据中每个netflow数据的属性特征进行状态标记，得到所述netflow数据的状态组合；按照所述流起始时间的先后顺序，将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。4.如权利要求3所述的方法，其特征在于，得到所述netflow数据的状态组合，包括：根据预设状态标记规则，对待标记的netflow数据的大小和周期性的关联关系进行第一类标记，且对所述待标记的netflow数据的持续时间进行第二类标记，得到所述待标记的netflow数据的状态组合，所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。5.如权利要求1所述的方法，其特征在于，获取多个netflow数据之后，所述方法还包括：根据所述多个netflow数据中每个netflow数据中总字节数字段的字节数，确定所述netflow数据的大小；根据所述多个netflow数据中每个netflow数据中流存在时间字段的流存在时间，确定所述netflow数据的持续时间；根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间，确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性，其中，若所述相邻三个netflow数据为初始的相邻三个netflow数据，则除所述最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。6.如权利要求5所述的方法，其特征在于，根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的起始时间，确定所述相邻三个netflow数据中最大起始时间对应的netflow数据的周期性，包括：获取所述多个netflow数据中相邻三个netflow数据间流起始时间的第一差值和第二差值；获取所述第一差值与所述第二差值相除的值，所述第一差值不小于所述第二差值；将所述第一差值与所述第二差值相除的值分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较，确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性，所述第一周期阈值大于所述第二周期阈值大于所述第三周期阈值大于所述第四周期阈值。7.如权利要求1所述的方法，其特征在于，对当前的网络数据流量进行采集，然后对所述网路数据流量进行netflow类型提取，获取多个netflow数据，包括：从存储的网络数据中读取当前的网络数据流量，并对所述网络数据流量进行netflow类型提取，获取多个netflow数据；或者，从所述实时的网络数据流量中采集当前的网络数据流量，并对所述网络数据流量进行netflow类型提取，获取多个netflow数据。8.如权利要求1所述的方法，其特征在于，所述多个netflow数据中每个netflow数据为有效的netflow数据；获取多个netflow数据之后，所述方法还包括：检测所述每个netflow数据中的预设属性字段是否为空，所述预设属性字段包括流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段；将所述预设属性字段不为空的netflow数据确定为有效的netflow数据。9.一种网络状态检测装置，其特征在于，所述装置包括：获取单元、标记单元、匹配单元、确定单元和隔离单元；所述获取单元，用于对当前的网络数据...

【专利技术属性】
技术研发人员：姜龙，赵阳，魏向杰，肖丰佳，罗果，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11