一种特征信息分析方法及装置制造方法及图纸

本发明专利技术实施例开创性的提供了特征信息分析方法及装置，获取待分析会话中的多个数据报文；从每个所述数据报文中提取预设会话特征的特征值；统计所述特征值获得所述待分析会话的会话特征信息，本发明专利技术实施例中，以会话为基本分析单位，实现了对会话进行整体分析，得到可以全面反映会话的会话特征信息。本发明专利技术实施例还提供了网络攻击检测方法及系统，根据预设时间间隔内获取的待分析会话的会话特征信息检测该预设时间间隔内的网络会话攻击，解决了现有技术中基于数据流的特征信息无法检测网络中会话攻击的问题，实现了对网络中会话攻击的有效检测，提高了网络攻击检测的完备性。

【技术实现步骤摘要】
一种特征信息分析方法及装置
本专利技术涉及通信
，尤其是涉及一种特征信息分析方法及装置。
技术介绍
目前，一般采用数据流描述的互联网中数据的传输，一个数据流(datastream)是指按照规定顺序被读取一次的数据报文序列。属于同一个数据流的多个数据报文的五元组信息都相同，五元组信息包括源互联网协议IP地址、目的IP地址、源端口号、目的端口号和传输层协议号。通过对一个数据流中的数据报文序列所携带的信息进行分析，可以获得该数据流的特征信息。对多条数据流的特征信息进行综合分析，可以了解网络中数据传输的运行状况。例如：分析网络中数据流的持续时间，可以了解网络数据传输速度；分析网络中数据流的报文长度，可以进行网络流量计费；分析网络中数据流的IP地址等信息，可以进行网络安全检测。由此可知，本领域技术人员在进行网络运行状况分析时，以数据流为基本分析单位，但是基于数据流的特征信息只能分析得到部分网络运行状况。
技术实现思路
本专利技术实施例提供特征信息分析方法及装置，以会话为基本分析单位，获得会话特征信息，解决了数据流的特征信息只能分析部分网络运行状况的问题。本专利技术实施例第一方面提供了一种特征信息分析方法，所述方法包括：获取待分析会话中的多个数据报文；从每个所述数据报文中提取预设会话特征的特征值；统计所述特征值获得所述待分析会话的会话特征信息。在本专利技术实施例第一方面的第一种可能的实现方式中，所述从每个所述数据报文中提取预设会话特征的特征值前包括：获取在IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特征。结合本专利技术实施例第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括：将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输出。结合本专利技术实施例第一方面至第一方面的第二种可能的实现方式，在第三种可能的实现方式中，所述获取待分析会话中的多个数据报文包括：从所有接收到的数据报文中，分别获取每个数据报文的五元组信息；基于所述每个数据报文的五元组信息，从所有接收到的数据报文中获取所述待分析会话的多个数据报文。结合本专利技术实施例第一方面至第一方面的第二种可能的实现方式，在第四种可能的实现方式中，所述获取待分析会话中的多个数据报文前还包括：对所有所接收的数据报文基于会话抽样，以得到多个抽样会话的数据报文；所述获取待分析会话中的多个数据报文包括：从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文。结合本专利技术实施例第一方面第四种可能的实现方式，在第五种可能的实现方式中，所述从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文包括：从所述多个会话的数据报文中，分别获取每个数据报文的五元组信息；基于所述每个数据报文的五元组信息，从所述多个会话的数据报文中获取所述待分析会话的数据报文。结合本专利技术实施例第一方面第四种可能的实现方式，在第六种可能的实现方式中，所述对所有所接收的数据报文基于会话抽样包括：解析每个所述接收的数据报文的五元组信息；利用所述五元组信息计算所述接收的数据报文的正哈希值和反哈希值，所述正哈希值是以所接收的数据报文的五元组信息为输入计算所得的哈希值，所述反哈希值是将所接收的数据报文的五元组信息中，源IP地址和目的IP地址调换位置，并且源端口号和目的端口号调换位置后作为输入计算所得的哈希值；计算所述正哈希值除以预设的会话抽样模板中的预设采样参数所得的第一余数，计算所述反哈希值除以所述会话抽样模板中的预设采样参数所得的第二余数，所述预设采样参数为所述会话抽样模板中抽样比例的分母；判断所述第一余数或所述第二余数是否为所述会话抽样模板中的预设采样余数；当所述第一余数或第二余数是所述会话抽样模板中的预设采样余数时，对所述接收的数据报文进行抽样。本专利技术实施例第二方面提供了网络攻击检测方法，所述方法包括：分析预设时间间隔内获取的所有待分析会话的会话特征信息，所述会话特征信息利用本专利技术实施例提供的第一方面至第一方面第六种可能的实现方式中所述的方法分析获得；根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击。在本专利技术实施例第二方面第一种可能的实现方式中，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：根据所述会话特征信息统计所述预设时间间隔内所获取的所有待分析会话中不完整会话所占的第一比例；判断所述第一比例是否超过第一预设阈值；当不完整会话所占的第一比例超过第一预设阈值时，识别所述预设时间间隔内的网络会话攻击。结合本专利技术实施例第二方面第一种可能的实现方式，在第二种可能的实现方式中，所述会话特征信息包括上行数据报文数和下行数据报文数；所述不完整会话为所述上行数据报文数大于1，并且所述下行数据报文数为0的待分析会话。结合本专利技术实施例第二方面第一种可能的实现方式，在第三种可能的实现方式中，所述会话特征信息包括传输控制协议TCP标志位；所述不完整会话为所述TCP标志位不完整的待分析会话。在本专利技术实施例第二方面第四种可能的实现方式中，所述会话特征信息包括网络控制报文协议ICMP会话中echo报文数和echoreply报文数；所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：根据会话特征信息统计预设时间间隔内所获取的ICMP会话中echo报文与echoreply报文的第二比例；判断所述第二比例是否在预设数值范围内；当所述第二比例不在预设数值范围内时，识别所述预设时间间隔内的ICMP会话攻击。在本专利技术实施例第二方面第五种可能的实现方式中，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：根据会话特征信息统计所述预设时间间隔内拒绝服务会话的个数，所述拒绝服务会话为会话特征信息中包含超文本传输协议HTTP错误码信息的所述待分析会话；判断所述拒绝服务会话的个数是否超过第二预设阈值；当所述拒绝服务会话的个数超过第二预设阈值时，识别所述预设事件间隔内的CC会话攻击。在本专利技术实施例第六种可能的实现方式中，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信息是否包含会话分片异常信息，所述会话分片异常信息包括分片不完整，分片重叠以及分片标志位出错中任意一种或多种；当所述待分析会话的会话特征信息包含会话分片异常信息时，识别该待分析会话为所述预设时间间隔内的分片攻击会话。结合本专利技术实施例第二方面至第二方面的第六种可能的实现方式，在第七种可能的实现方式中，所述方法还包括：当检测到所述预设时间间隔内的网络会话攻击时，根据所述待分析会话的会话特征信息生成攻击事件；根据所述攻击事件生成攻击抑制策略。本文档来自技高网...

【技术保护点】
1.一种网络会话攻击的检测方法，其特征在于，所述方法包括：/n以会话为基本分析单位，获得每个待分析会话的会话特征信息，其中，一个会话是指在一个不中断的特定操作时间内，两个网络设备之间建立的通信交互，在所述特定操作时间内，所述两个网络设备之间交互的所有报文均属于所述会话；/n根据预设时间间隔内获取的所有待分析会话的会话特征信息，检测所述预设时间间隔内的网络会话攻击，其中，所述所有待分析会话包括至少一个待分析会话。/n

【技术特征摘要】
1.一种网络会话攻击的检测方法，其特征在于，所述方法包括：
以会话为基本分析单位，获得每个待分析会话的会话特征信息，其中，一个会话是指在一个不中断的特定操作时间内，两个网络设备之间建立的通信交互，在所述特定操作时间内，所述两个网络设备之间交互的所有报文均属于所述会话；
根据预设时间间隔内获取的所有待分析会话的会话特征信息，检测所述预设时间间隔内的网络会话攻击，其中，所述所有待分析会话包括至少一个待分析会话。


2.根据权利要求1所述的方法，其特征在于，在所述获得每个待分析会话的会话特征信息之前，所述方法还包括：
获取所述每个待分析会话所包括的多个报文。


3.根据权利要求2所述的方法，其特征在于，所述获取所述每个待分析会话所包括的多个报文，包括：
从所有接收到的报文中，分别获取每个报文的五元组信息；
基于所述每个报文的五元组信息，从所述所有接收到的报文中，获取所述每个待分析会话所包括的多个报文。


4.根据权利要求2所述的方法，其特征在于，所述获取所述每个待分析会话所包括的多个报文，包括：
对所有接收的报文，基于会话抽样，得到所有抽样会话的所有被抽样的报文；
从所述所有抽样会话的所有被抽样的报文中，获取获取所述每个待分析会话所包括的多个报文。


5.根据权利要求4所述的方法，其特征在于，所述从所述所有抽样会话的所有被抽样的报文中，获取所述每个待分析会话所包括的多个报文，包括：
从所述所有被抽样的报文中，分别获取每个被抽样的报文的五元组信息；
基于所述每个被抽样的报文的五元组信息，从所述所有被抽样的报文中，获取所述每个待分析会话所包括的多个报文。


6.根据权利要求4或5所述的方法，其特征在于，对所有接收的报文，基于会话抽样，包括：
解析每个所述接收的报文的五元组信息；
利用所述五元组信息计算所述接收的报文的正哈希值和反哈希值，所述正哈希值是以所接收的报文的五元组信息为输入计算所得的哈希值，所述反哈希值是将所接收的报文的五元组信息中，源IP地址和目的IP地址调换位置，并且源端口号和目的端口号调换位置后作为输入计算所得的哈希值；
计算所述正哈希值除以预设的会话抽样模板中的预设采样参数所得的第一余数，计算所述反哈希值除以所述会话抽样模板中的预设采样参数所得的第二余数，所述预设采样参数为所述会话抽样模板中抽样比例的分母；
判断所述第一余数或所述第二余数是否为所述会话抽样模板中的预设采样余数；
当所述第一余数或第二余数是所述会话抽样模板中的预设采样余数时，对所述接收的报文进行抽样。


7.根据权利要求1-6任一项所述的方法，其特征在于，所述会话特征信息包括以下任意一项或多项：
上行报文数和下行报文数；
上行字节数和下行字节数；
协议状态机异常导致会话终结；
传输控制协议TCP标志位的个数；
网络控制报文协议ICMP会话中echo报文数和echoreply报文数；
拒绝服务会话的个数；
会话分片异常信息；
报文长度；或
会话终结。


8.根据权利要求1-7任一项所述的方法，其特征在于，将所述每个待分析会话的会话特征信息采用因特网协议IP数据流信息输出IPFIX协议的标准格式输出。


9.根据权利要求1-8任一项所述的方法，其特征在于，所述根据所述每个待分析会话的会话特征信息，检测预设时间间隔内的网络会话攻击，包括：
统计所述预设时间间隔内所获取的所有待分析会话中不完整会话所占的第一比例；
响应于所述第一比例超过第一预设阈值，识别所述预设时间间隔内存在所述网络会话攻击。


10.根据权利要求1-9任一项所述的方法，其特征在于，所述检测预设时间间隔内的网络会话攻击，包括：
统计所述预设时间间隔内所获取的所有待分析会话中echo报文与echoreply报文的第二比例；
当所述第二比例不在预设数值范围内时，识别所述预设时间间隔内存在所述网络会话攻击。


11.根据权利要求1-10任一项所述的方法，其特征在于，所述检测预设时间间隔内的网络会话攻击，包括：
统计所述预设时间间隔内所获取的所有待分析会话中拒绝服务会话的个数，所述拒绝服务会话为会话特征信息中包含HTTP错误码信息的会话；
当所述拒绝服务会话的个数超过第二预设阈值时，识别所述预设时间间隔内存在所述网络会话攻击。


12.根据权利要求1-11任一项所述的方法，其特征在于，所述检测预设时间间隔内的网络会话攻击，包括：
响应于检测到所述预设时间间隔内出现多个分片异常会话，识别所述预设时间间隔内存在所述网络会话攻击。


13.根据权利要求12所述的方法，其特征在于，当一个待分析会话的会话特征信息中包括分片异常信息时，则该待分析会话为一个分片异常会话。


14.根据权利要求13所述的方法，其特征在于，所述分片异常信息包括以下任意一种或多种...

【专利技术属性】
技术研发人员：付天福，周冲，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44