The invention discloses an anomaly detection method, the method comprises the following steps: preliminary judgment of software defined network SDN controller to receive the message of suspicious traffic flow anomaly; preliminary judgment of the suspicious traffic message for abnormal traffic analysis, SDN switch device sends the image data to the network according to the suspicious traffic control instructions SDN the accurate judgment of the network; analysis of suspicious traffic image data on equipment received abnormal flow rate; the suspicious traffic image accurate judgement of abnormal flow, the SDN controller is closed to generate traffic flow of equipment. The invention also discloses an abnormal flow detection method, a system and a network analysis device.
【技术实现步骤摘要】
异常流量检测方法、系统及网络分析设备
本专利技术涉及无线通信领域的异常流量处理技术,具体涉及异常流量检测方法、系统及网络分析设备。
技术介绍
现有网络中异常流量检测流程为:1、每个出口路由器上配置镜像,使用1个万兆端口作为流量输出端口,每个出口路由器通过所述流量输出端口向网络分析设备发送全部流量镜像,并在所述分析设备上完成各流量设备的相应预设阈值条件设定,所述流量设备包括:各层交换机、虚拟机或主机等。2、网络分析设备接收来自每个出口路由器的全部流量镜像,根据所述全部流量镜像对各设备之间的出口流量进行监测、统计和分析。3、网络分析设备对达到所述设备相应预设阈值条件的出口流量生成流量分析视图,并按预设时间间隔触发报警信息。4、报警信息发送至后台控制器,管理员通过后台控制器对所述流量分析视图进行处理,确定产生异常流量的原因,并关闭产生异常流量的设备。现有技术的缺点在于:1、此检测流程中,每个出口路由器都会通过流量输出端口向网络分析设备发送全部流量镜像,使网络分析设备承受的数据量较大,突发流量很容易超过网络分析设备的处理能力,网络系统依赖于网络分析设备,当分析设备瘫痪时,会导致网络系统无法正常运行。2、此检测流程中,后台控制器在收到网络分析设备发送的报警信息后,必须由管理员对异常流量进行人工定位和处理,导致网络系统维护难度大,效率较低。
技术实现思路
为解决现有存在的技术问题,本专利技术实施例期望提供一种异常流量检测方法、系统及网络分析设备,能够避免网络分析设备中因收到的流量镜像过大而导致网络系统瘫痪;且能够大大提高网络系统的排错效率。本专利技术实施例的技术方案是这样 ...
【技术保护点】
一种异常流量检测方法,其特征在于,所述方法包括:软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断;所述可疑流量报文初步判断为异常流量时,SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据;所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断;所述可疑流量镜像数据精确判断为异常流量时,所述SDN控制器关闭产生异常流量的流量设备。
【技术特征摘要】
1.一种异常流量检测方法,其特征在于,所述方法包括:软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断;所述可疑流量报文初步判断为异常流量时,SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据;所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断;所述可疑流量镜像数据精确判断为异常流量时,所述SDN控制器关闭产生异常流量的流量设备。2.根据权利要求1所述的方法,其特征在于,在所述SDN控制器对接收到的可疑流量报文进行异常流量的初步判断之前,所述方法还包括:SDN交换机监测所述流量设备的出口流量是否达到预设阈值条件;所述流量设备的出口流量达到预设阈值条件时,SDN交换机向所述SDN控制器发送超过所述流量设备预设阈值条件的可疑流量报文。3.根据权利要求1所述的方法,其特征在于,SDN控制器对接收到的可疑流量报文进行异常流量的初步判断,包括:所述SDN控制器接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;或所述SDN控制器收到多个源端SDN交换机发送的可疑流量报文的流量特征相同时,所述可疑流量报文初步判断为异常流量。4.根据权利要求1所述的方法,其特征在于,所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断,包括:所述网络分析设备接收所述SDN控制器发送的可疑流量的待验证信息,根据所述可疑流量的待验证信息对接收到的可疑流量镜像数据进行异常流量的精确判断。5.一种异常流量检测系统,其特征在于,所述系统包括:SDN控制器、SDN交换机和网络分析设备;其中,所述SDN控制器,用于对接收到所述SDN交换机发送的可疑流量报文进行异常流量的初步判断,并向所述SDN交换机发送判断结果;在所述网络分析设备对可疑流量镜像精确判断为异常流量时,关闭产生异常流量的流量设备;SDN交换机,用于在所述SDN控制器对所述可疑流量报文初步判断为异...
【专利技术属性】
技术研发人员:龚纯,李晨,夏修妍,刘炯,
申请(专利权)人:中国移动通信集团江西有限公司,
类型:发明
国别省市:江西,36
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。