【技术实现步骤摘要】
一种特征信息分析方法及装置
本专利技术涉及通信
,尤其是涉及一种特征信息分析方法及装置。
技术介绍
目前,一般采用数据流描述的互联网中数据的传输,一个数据流(datastream)是指按照规定顺序被读取一次的数据报文序列。属于同一个数据流的多个数据报文的五元组信息都相同,五元组信息包括源互联网协议IP地址、目的IP地址、源端口号、目的端口号和传输层协议号。通过对一个数据流中的数据报文序列所携带的信息进行分析,可以获得该数据流的特征信息。对多条数据流的特征信息进行综合分析,可以了解网络中数据传输的运行状况。例如:分析网络中数据流的持续时间,可以了解网络数据传输速度;分析网络中数据流的报文长度,可以进行网络流量计费;分析网络中数据流的IP地址等信息,可以进行网络安全检测。由此可知,本领域技术人员在进行网络运行状况分析时,以数据流为基本分析单位,但是基于数据流的特征信息只能分析得到部分网络运行状况。
技术实现思路
本专利技术实施例提供特征信息分析方法及装置,以会话为基本分析单位,获得会话特征信息,解决了数据流的特征信息只能分析部分网络运行状况的问题。本专利技术实施例第一方面提供了一种特征信息分析方法,所述方法包括:获取待分析会话中的多个数据报文;从每个所述数据报文中提取预设会话特征的特征值;统计所述特征值获得所述待分析会话的会话特征信息。在本专利技术实施例第一方面的第一种可能的实现方式中,所述从每个所述数据报文中提取预设会话特征的特征值前包括:获取在 ...
【技术保护点】
1.一种网络会话攻击的检测方法,其特征在于,所述方法包括:/n以会话为基本分析单位,获得每个待分析会话的会话特征信息,其中,一个会话是指在一个不中断的特定操作时间内,两个网络设备之间建立的通信交互,在所述特定操作时间内,所述两个网络设备之间交互的所有报文均属于所述会话;/n根据预设时间间隔内获取的所有待分析会话的会话特征信息,检测所述预设时间间隔内的网络会话攻击,其中,所述所有待分析会话包括至少一个待分析会话。/n
【技术特征摘要】
1.一种网络会话攻击的检测方法,其特征在于,所述方法包括:
以会话为基本分析单位,获得每个待分析会话的会话特征信息,其中,一个会话是指在一个不中断的特定操作时间内,两个网络设备之间建立的通信交互,在所述特定操作时间内,所述两个网络设备之间交互的所有报文均属于所述会话;
根据预设时间间隔内获取的所有待分析会话的会话特征信息,检测所述预设时间间隔内的网络会话攻击,其中,所述所有待分析会话包括至少一个待分析会话。
2.根据权利要求1所述的方法,其特征在于,在所述获得每个待分析会话的会话特征信息之前,所述方法还包括:
获取所述每个待分析会话所包括的多个报文。
3.根据权利要求2所述的方法,其特征在于,所述获取所述每个待分析会话所包括的多个报文,包括:
从所有接收到的报文中,分别获取每个报文的五元组信息;
基于所述每个报文的五元组信息,从所述所有接收到的报文中,获取所述每个待分析会话所包括的多个报文。
4.根据权利要求2所述的方法,其特征在于,所述获取所述每个待分析会话所包括的多个报文,包括:
对所有接收的报文,基于会话抽样,得到所有抽样会话的所有被抽样的报文;
从所述所有抽样会话的所有被抽样的报文中,获取获取所述每个待分析会话所包括的多个报文。
5.根据权利要求4所述的方法,其特征在于,所述从所述所有抽样会话的所有被抽样的报文中,获取所述每个待分析会话所包括的多个报文,包括:
从所述所有被抽样的报文中,分别获取每个被抽样的报文的五元组信息;
基于所述每个被抽样的报文的五元组信息,从所述所有被抽样的报文中,获取所述每个待分析会话所包括的多个报文。
6.根据权利要求4或5所述的方法,其特征在于,对所有接收的报文,基于会话抽样,包括:
解析每个所述接收的报文的五元组信息;
利用所述五元组信息计算所述接收的报文的正哈希值和反哈希值,所述正哈希值是以所接收的报文的五元组信息为输入计算所得的哈希值,所述反哈希值是将所接收的报文的五元组信息中,源IP地址和目的IP地址调换位置,并且源端口号和目的端口号调换位置后作为输入计算所得的哈希值;
计算所述正哈希值除以预设的会话抽样模板中的预设采样参数所得的第一余数,计算所述反哈希值除以所述会话抽样模板中的预设采样参数所得的第二余数,所述预设采样参数为所述会话抽样模板中抽样比例的分母;
判断所述第一余数或所述第二余数是否为所述会话抽样模板中的预设采样余数;
当所述第一余数或第二余数是所述会话抽样模板中的预设采样余数时,对所述接收的报文进行抽样。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述会话特征信息包括以下任意一项或多项:
上行报文数和下行报文数;
上行字节数和下行字节数;
协议状态机异常导致会话终结;
传输控制协议TCP标志位的个数;
网络控制报文协议ICMP会话中echo报文数和echoreply报文数;
拒绝服务会话的个数;
会话分片异常信息;
报文长度;或
会话终结。
8.根据权利要求1-7任一项所述的方法,其特征在于,将所述每个待分析会话的会话特征信息采用因特网协议IP数据流信息输出IPFIX协议的标准格式输出。
9.根据权利要求1-8任一项所述的方法,其特征在于,所述根据所述每个待分析会话的会话特征信息,检测预设时间间隔内的网络会话攻击,包括:
统计所述预设时间间隔内所获取的所有待分析会话中不完整会话所占的第一比例;
响应于所述第一比例超过第一预设阈值,识别所述预设时间间隔内存在所述网络会话攻击。
10.根据权利要求1-9任一项所述的方法,其特征在于,所述检测预设时间间隔内的网络会话攻击,包括:
统计所述预设时间间隔内所获取的所有待分析会话中echo报文与echoreply报文的第二比例;
当所述第二比例不在预设数值范围内时,识别所述预设时间间隔内存在所述网络会话攻击。
11.根据权利要求1-10任一项所述的方法,其特征在于,所述检测预设时间间隔内的网络会话攻击,包括:
统计所述预设时间间隔内所获取的所有待分析会话中拒绝服务会话的个数,所述拒绝服务会话为会话特征信息中包含HTTP错误码信息的会话;
当所述拒绝服务会话的个数超过第二预设阈值时,识别所述预设时间间隔内存在所述网络会话攻击。
12.根据权利要求1-11任一项所述的方法,其特征在于,所述检测预设时间间隔内的网络会话攻击,包括:
响应于检测到所述预设时间间隔内出现多个分片异常会话,识别所述预设时间间隔内存在所述网络会话攻击。
13.根据权利要求12所述的方法,其特征在于,当一个待分析会话的会话特征信息中包括分片异常信息时,则该待分析会话为一个分片异常会话。
14.根据权利要求13所述的方法,其特征在于,所述分片异常信息包括以下任意一种或多种...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。