一种还原网络会话的方法及装置制造方法及图纸

本发明专利技术公开了一种还原网络会话的方法及装置，所述方法包括：针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断第一网络流量统计表中第一流量统计信息是否大于第二网络流量统计表中第二流量统计信息，如果是，确定第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；进而还原网络会话。由于在本发明专利技术实施例中，根据第一流量统计信息和第二流量统计信息的大小关系，可以确定网络会话发起方和网络会话响应方，进而还原网络会话。因此，本发明专利技术实施例中提供的方案能够实现还原网络会话。

【技术实现步骤摘要】
一种还原网络会话的方法及装置
本专利技术涉及网络流量数据包传输
，尤其涉及一种还原网络会话的方法及装置。
技术介绍
单向网络流量(Networkflow，Netflow)可以收集进入及离开网络的数据包的数量及资讯，最早由思科公司研发，应用在路由器及交换器等产品上。通过分析Netflow收集到的资讯，网络管理人员可以知道数据包的来源及目的地，网络服务的种类，以及造成网络拥塞的原因。安全分析研究人员将Netflow流量用作安全类溯源和机器学习研究。网络会话是网络会话发起方和网络会话响应方之间不中断的请求响应序列，通过网络五元组属性确定网络会话。网络五元组属性包括源IP、目的IP、源端口、目的端口和传输层协议。NetFlow是一种单向的网络流量，NetFlow只包含了每个数据包的发送方的IP地址和接收方的IP地址，如果想要对NetFlow进行深入的网络会话分析，则需要基于NetFlow还原网络会话，但是通过原始的NetFlow中每个数据包的发送方的IP地址和接收方的IP地址，无法确定出网络会话的发送方和接收方，也就无法还原网络会话。目前，业界尚无相关的技术方案能够实现基于NetFlow还原网络会话。
技术实现思路
本专利技术实施例提供了一种还原网络会话的方法及装置，用以解决现有技术中无法实现基于NetFlow还原网络会话的问题。本专利技术实施例提供了一种还原网络会话的方法，应用于电子设备，该方法包括：针对设定时间长度内单向网络流量Netflow中的数据包传输，根据所述Netflow中的数据包携带的发送方和接收方的标识信息进行分组，确定所述Netflow中的每组发送方和接收方；确定每组发送方和接收方对应的第一网络流量统计表，其中所述第一网络流量统计表中包含对应的该组发送方和接收方的标识信息，以及该组发送方和接收方在所述Netflow中传输的与数据包相关的流量统计信息；针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断所述第一网络流量统计表中包含的与数据包相关的第一流量统计信息是否大于第二网络流量统计表中包含的与数据包相关的第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，其中所述第二网络流量统计表中的发送方和接收方，与所述第一网络流量统计表中的接收方和发送方对应相同；根据确定的每对网络会话发起方和网络会话响应方，还原网络会话。进一步地，所述与数据包相关的流量统计信息包括以下至少一种：该组发送方发送的总的数据包数量，发送的同步syn数据包数量，不重复的源端口数量和不重复的目的端口数量。进一步地，如果与数据包相关的流量统计信息包括该组发送方发送的总的数据包数量，发送的syn数据包数量，不重复的源端口数量和不重复的目的端口数量中的至少两种，所述判断所述第一网络流量统计表中包含的与数据包相关的第一流量统计信息是否大于第二网络流量统计表中包含的与数据包相关的第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方包括：判断所述第一网络流量统计表中包含的与数据包相关的每种第一流量统计信息是否分别大于第二网络流量统计表中包含的与数据包相关的每种第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；如果第一网络流量统计表中包含的与数据包相关的每种第一流量统计信息小于第二网络流量统计表中包含的与数据包相关的每种第二流量统计信息，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方。进一步地，所述针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表包括：针对每个第一网络流量统计表，根据该第一网络流量统计表中的发送方和接收方的标识信息，查找接收方和发送方的标识信息分别与该第一网络流量统计表中的发送方和接收方的标识信息对应相同的网络流量统计表，所述网络流量统计表为查找到的第一网络流量统计表映射的第二网络流量统计表。另一方面，本专利技术实施例提供了一种还原网络会话的装置，所述装置包括：第一确定模块，用于针对设定时间长度内单向网络流量Netflow中的数据包传输，根据所述Netflow中的数据包携带的发送方和接收方的标识信息进行分组，确定所述Netflow中的每组发送方和接收方；第二确定模块，用于确定每组发送方和接收方对应的第一网络流量统计表，其中所述第一网络流量统计表中包含对应的该组发送方和接收方的标识信息，以及该组发送方和接收方在所述Netflow中传输的与数据包相关的流量统计信息；第三确定模块，用于针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断所述第一网络流量统计表中包含的与数据包相关的第一流量统计信息是否大于第二网络流量统计表中包含的与数据包相关的第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，其中所述第二网络流量统计表中的发送方和接收方，与所述第一网络流量统计表中的接收方和发送方对应相同；还原模块，用于根据确定的每对网络会话发起方和网络会话响应方，还原网络会话。进一步地，所述第二确定模块，具体用于确定每组发送方和接收方对应的第一网络流量统计表，其中所述第一网络流量统计表中包含对应的该组发送方和接收方的标识信息，以及该组发送方和接收方在所述Netflow中传输的与数据包相关的流量统计信息；所述与数据包相关的流量统计信息包括以下至少一种：该组发送方发送的总的数据包数量，发送的同步syn数据包数量，不重复的源端口数量和不重复的目的端口数量。进一步地，所述第三确定模块，具体用于如果与数据包相关的流量统计信息包括该组发送方发送的总的数据包数量，发送的syn数据包数量，不重复的源端口数量和不重复的目的端口数量中的至少两种，判断所述第一网络流量统计表中包含的与数据包相关的每种第一流量统计信息是否分别大于第二网络流量统计表中包含的与数据包相关的每种第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；如果第一网络流量统计表中包含的与数据包相关的每种第一流量统计信息小于第二网络流量统计表中包含的与数据包相关的每种第二流量统计信息，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方。进一步地，所述第三确定模块，具体用于针对每个第一网络流量统计表，根据该第一网络流量统计表中的发送方和接收方的标识信息，查找接收方和发送方的标识信息分别与该第一网络流量统计表中的发送方和接收方的标识信息对应相同的网络流量统计表，所述网络流量统计表为查找到的第一网络流量统计表映射的第二网络流量统计表。本专利技术实施例提供了一种还原网络会话的方法及装置，应用于电子设备，所述方法包括：针对设定时间长度内单向网络流量Netflow中的数据包传输，根据所述Netfl本文档来自技高网...

【技术保护点】
一种还原网络会话的方法，其特征在于，应用于电子设备，所述方法包括：针对设定时间长度内单向网络流量Netflow中的数据包传输，根据所述Netflow中的数据包携带的发送方和接收方的标识信息进行分组，确定所述Netflow中的每组发送方和接收方；确定每组发送方和接收方对应的第一网络流量统计表，其中所述第一网络流量统计表中包含对应的该组发送方和接收方的标识信息，以及该组发送方和接收方在所述Netflow中传输的与数据包相关的流量统计信息；针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断所述第一网络流量统计表中包含的与数据包相关的第一流量统计信息是否大于第二网络流量统计表中包含的与数据包相关的第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，其中所述第二网络流量统计表中的发送方和接收方，与所述第一网络流量统计表中的接收方和发送方对应相同；根据确定的每对网络会话发起方和网络会话响应方，还原网络会话。

【技术特征摘要】
1.一种还原网络会话的方法，其特征在于，应用于电子设备，所述方法包括：针对设定时间长度内单向网络流量Netflow中的数据包传输，根据所述Netflow中的数据包携带的发送方和接收方的标识信息进行分组，确定所述Netflow中的每组发送方和接收方；确定每组发送方和接收方对应的第一网络流量统计表，其中所述第一网络流量统计表中包含对应的该组发送方和接收方的标识信息，以及该组发送方和接收方在所述Netflow中传输的与数据包相关的流量统计信息；针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断所述第一网络流量统计表中包含的与数据包相关的第一流量统计信息是否大于第二网络流量统计表中包含的与数据包相关的第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，其中所述第二网络流量统计表中的发送方和接收方，与所述第一网络流量统计表中的接收方和发送方对应相同；根据确定的每对网络会话发起方和网络会话响应方，还原网络会话。2.如权利要求1所述的方法，其特征在于，所述与数据包相关的流量统计信息包括以下至少一种：该组发送方发送的总的数据包数量，发送的同步syn数据包数量，不重复的源端口数量和不重复的目的端口数量。3.如权利要求1所述的方法，其特征在于，如果与数据包相关的流量统计信息包括该组发送方发送的总的数据包数量，发送的syn数据包数量，不重复的源端口数量和不重复的目的端口数量中的至少两种，所述判断所述第一网络流量统计表中包含的与数据包相关的第一流量统计信息是否大于第二网络流量统计表中包含的与数据包相关的第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方包括：判断所述第一网络流量统计表中包含的与数据包相关的每种第一流量统计信息是否分别大于第二网络流量统计表中包含的与数据包相关的每种第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；如果第一网络流量统计表中包含的与数据包相关的每种第一流量统计信息小于第二网络流量统计表中包含的与数据包相关的每种第二流量统计信息，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方。4.如权利要求1所述的方法，其特征在于，所述针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表包括：针对每个第一网络流量统计表，根据该第一网络流量统计表中的发送方和接收方的标识信息，查找接收方和发送方的标识信息分别与该第一网络流量统计表中的发送方和接收方的标识信息对应相同的网络流量统计表，所述网络流量统计表为查找到的第一网络流...

【专利技术属性】
技术研发人员：袁帅，肖岩军，皮靖，潘登，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11