异常流量检测方法、系统及网络分析设备技术方案

本发明专利技术公开了一种异常流量检测方法，所述方法包括：软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断；所述可疑流量报文初步判断为异常流量时，SDN交换机根据SDN控制器的指示向网络分析设备发送可疑流量镜像数据；所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断；所述可疑流量镜像精确判断为异常流量时，所述SDN控制器关闭产生异常流量的流量设备。本发明专利技术还同时公开了一种异常流量检测方法、系统及网络分析设备。

Method, system and network analysis equipment for detecting abnormal flow

The invention discloses an anomaly detection method, the method comprises the following steps: preliminary judgment of software defined network SDN controller to receive the message of suspicious traffic flow anomaly; preliminary judgment of the suspicious traffic message for abnormal traffic analysis, SDN switch device sends the image data to the network according to the suspicious traffic control instructions SDN the accurate judgment of the network; analysis of suspicious traffic image data on equipment received abnormal flow rate; the suspicious traffic image accurate judgement of abnormal flow, the SDN controller is closed to generate traffic flow of equipment. The invention also discloses an abnormal flow detection method, a system and a network analysis device.

【技术实现步骤摘要】
异常流量检测方法、系统及网络分析设备
本专利技术涉及无线通信领域的异常流量处理技术，具体涉及异常流量检测方法、系统及网络分析设备。
技术介绍
现有网络中异常流量检测流程为：1、每个出口路由器上配置镜像，使用1个万兆端口作为流量输出端口，每个出口路由器通过所述流量输出端口向网络分析设备发送全部流量镜像，并在所述分析设备上完成各流量设备的相应预设阈值条件设定，所述流量设备包括：各层交换机、虚拟机或主机等。2、网络分析设备接收来自每个出口路由器的全部流量镜像，根据所述全部流量镜像对各设备之间的出口流量进行监测、统计和分析。3、网络分析设备对达到所述设备相应预设阈值条件的出口流量生成流量分析视图，并按预设时间间隔触发报警信息。4、报警信息发送至后台控制器，管理员通过后台控制器对所述流量分析视图进行处理，确定产生异常流量的原因，并关闭产生异常流量的设备。现有技术的缺点在于：1、此检测流程中，每个出口路由器都会通过流量输出端口向网络分析设备发送全部流量镜像，使网络分析设备承受的数据量较大，突发流量很容易超过网络分析设备的处理能力，网络系统依赖于网络分析设备，当分析设备瘫痪时，会导致网络系统无法正常运行。2、此检测流程中，后台控制器在收到网络分析设备发送的报警信息后，必须由管理员对异常流量进行人工定位和处理，导致网络系统维护难度大，效率较低。
技术实现思路
为解决现有存在的技术问题，本专利技术实施例期望提供一种异常流量检测方法、系统及网络分析设备，能够避免网络分析设备中因收到的流量镜像过大而导致网络系统瘫痪；且能够大大提高网络系统的排错效率。本专利技术实施例的技术方案是这样实现的：根据本专利技术第一种实施例的一方面，提供一种异常流量检测方法，所述方法包括：软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断；所述可疑流量报文初步判断为异常流量时，SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据；所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断；所述可疑流量镜像数据精确判断为异常流量时，所述SDN控制器关闭产生异常流量的流量设备。上述方案中，在所述SDN控制器对接收到的可疑流量报文进行异常流量的初步判断之前，所述方法还包括：SDN交换机监测所述流量设备的出口流量是否达到预设阈值条件；所述流量设备的出口流量达到预设阈值条件时，SDN交换机向所述SDN控制器发送超过所述流量设备预设阈值条件的可疑流量报文。上述方案中，SDN控制器对接收到的可疑流量报文进行异常流量的初步判断，包括：所述SDN控制器接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时，所述可疑流量报文初步判断为异常流量；或所述SDN控制器收到多个源端SDN交换机发送的可疑流量报文的流量特征相同时，所述可疑流量报文初步判断为异常流量。上述方案中，所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断，包括：所述网络分析设备接收所述SDN控制器发送的可疑流量的待验证信息，根据所述可疑流量的待验证信息对接收到的可疑流量镜像数据进行异常流量的精确判断。根据本专利技术第一种实施例的另一方面，提供一种异常流量检测系统，所述系统包括：SDN控制器、SDN交换机和网络分析设备；其中，所述SDN控制器，用于对接收到所述SDN交换机发送的可疑流量报文进行异常流量的初步判断，并向所述SDN交换机发送判断结果；在所述网络分析设备对可疑流量镜像精确判断为异常流量时，关闭产生异常流量的流量设备；SDN交换机，用于在所述SDN控制器对所述可疑流量报文初步判断为异常流量时，根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据；所述网络分析设备，用于对接收到所述SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断，并向所述SDN控制器发送判断结果。上述方案中，所述SDN交换机，还用于监测所述流量设备的出口流量是否达到预设阈值条件；所述流量设备的出口流量达到预设阈值条件时，SDN交换机向所述SDN控制器发送超过所述流量设备预设阈值条件的可疑流量报文。上述方案中，所述SDN控制器，用于对接收到所述SDN交换机发送的可疑流量报文进行异常流量的初步判断，包括：SDN控制器接收到源端的SDN交换机与一个或多个目的端的SDN交换机同时发送的可疑流量报文时，所述可疑流量报文初步判断为异常流量；或所述SDN控制器收到多个源端的SDN交换机发送的可疑流量报文的流量特征相同时，所述可疑流量报文初步判断为异常流量。上述方案中，所述网络分析设备，具体还用于接收所述SDN控制器发送的可疑流量的待验证信息，根据所述待验证信息对接收到所述SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断。根据本专利技术第二种实施例的一方面，提供一种异常流量检测方法，所述方法包括：网络分析设备接收SDN交换机发送的可疑流量镜像数据，并对接收到的所述可疑流量镜像数据进行异常流量的精确判断，再将所述可疑流量镜像数据的判断结果发送至SDN控制器，所述SDN控制器根据所述判断结果关闭产生异常流量的流量设备。根据本专利技术第二种实施例的再一方面，提供一种网络分析设备，所述设备包括：接收单元，判断单元和发送单元；其中，所述接收单元，用于接收SDN交换机发送的可疑流量镜像数据；所述判断单元，用于对接收单元接收到的所述可疑流量镜像数据进行异常流量的精确判断；所述发送单元，用于将所述判断单元对所述可疑流量镜像数据的判断结果发送至SDN控制器，所述SDN控制器根据所述判断结果关闭产生异常流量的流量设备。本专利技术实施例提供的一种异常流量检测方法、系统及网络分析设备，软件定义网络(SDN，SoftwareDefinedNetwork)控制器对接收到的可疑流量报文进行异常流量的初步判断；所述可疑流量报文初步判断为异常流量时，SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据；所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断；所述可疑流量镜像数据精确判断为异常流量时，所述SDN控制器关闭产生异常流量的流量设备。如此，能实现网络分析设备只接收SDN交换机发送的可疑流量镜像数据，而无需像传统方式那样接收每个出口路由器发送的全流量镜像数据，避免了因收到过大的流量镜像数据导致网络分析设备瘫痪，进而造成网络系统无法正常运行的问题。另外，SDN控制器在网络分析设备对可疑流量镜像数据精确判断为异常流量时，能关闭产生异常流量的流量设备，提高了网络系统的排错效率。附图说明图1为本专利技术实施例异常流量检测方法的实现流程图；图2为本专利技术实施例异常流量检测系统的结构示意图；图3为本专利技术实施例另一异常流量检测方法的实现流程图；图4为本专利技术实施例网络分析设备的结构示意图。具体实施方式下面结合附图对本专利技术的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本专利技术，并不用于限制本专利技术。图1为本专利技术实施例异常流量检测方法的实现流程图；如图1所示，该方法包括：步骤101，SDN控制器对接收到的可疑流量报文进行异常流量的初步判断；这里，SDN控制器具体是接收SDN交换机发送的可疑流量报文，SDN交换机能够完成对每个流量设备流量阈本文档来自技高网...

【技术保护点】
一种异常流量检测方法，其特征在于，所述方法包括：软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断；所述可疑流量报文初步判断为异常流量时，SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据；所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断；所述可疑流量镜像数据精确判断为异常流量时，所述SDN控制器关闭产生异常流量的流量设备。

【技术特征摘要】
1.一种异常流量检测方法，其特征在于，所述方法包括：软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断；所述可疑流量报文初步判断为异常流量时，SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据；所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断；所述可疑流量镜像数据精确判断为异常流量时，所述SDN控制器关闭产生异常流量的流量设备。2.根据权利要求1所述的方法，其特征在于，在所述SDN控制器对接收到的可疑流量报文进行异常流量的初步判断之前，所述方法还包括：SDN交换机监测所述流量设备的出口流量是否达到预设阈值条件；所述流量设备的出口流量达到预设阈值条件时，SDN交换机向所述SDN控制器发送超过所述流量设备预设阈值条件的可疑流量报文。3.根据权利要求1所述的方法，其特征在于，SDN控制器对接收到的可疑流量报文进行异常流量的初步判断，包括：所述SDN控制器接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时，所述可疑流量报文初步判断为异常流量；或所述SDN控制器收到多个源端SDN交换机发送的可疑流量报文的流量特征相同时，所述可疑流量报文初步判断为异常流量。4.根据权利要求1所述的方法，其特征在于，所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断，包括：所述网络分析设备接收所述SDN控制器发送的可疑流量的待验证信息，根据所述可疑流量的待验证信息对接收到的可疑流量镜像数据进行异常流量的精确判断。5.一种异常流量检测系统，其特征在于，所述系统包括：SDN控制器、SDN交换机和网络分析设备；其中，所述SDN控制器，用于对接收到所述SDN交换机发送的可疑流量报文进行异常流量的初步判断，并向所述SDN交换机发送判断结果；在所述网络分析设备对可疑流量镜像精确判断为异常流量时，关闭产生异常流量的流量设备；SDN交换机，用于在所述SDN控制器对所述可疑流量报文初步判断为异...

【专利技术属性】
技术研发人员：龚纯，李晨，夏修妍，刘炯，
申请(专利权)人：中国移动通信集团江西有限公司，
类型：发明
国别省市：江西,36