一种异常网络数据的排查方法和装置制造方法及图纸

本申请涉及一种异常网络数据的排查方法和装置，涉及数据处理技术领域；其包括：定期截取预设数量的数据包，将数据包的特征信息与预存储的比对信息进行比对；若数据包对应的比对结果与预设结果一致，则向数据包包含的目的IP发送所述数据包；反正则生成并显示异常报告，再丢弃第一数据包，并再次截取与第一数据包的源IP和目的IP均一致的第二数据包，并将第二数据包中的特征信息与比对信息进行比对；若发现第二数据包对应的比对结果与预设结果不一致，则向第二数据包对应的目的IP发送预警信息，再丢弃第二数据包，预警信息包括第二数据包对应的源IP；反之则向第二数据包对应的目的IP发送第二数据包；本申请具有对异常数据包进行排查处理的效果。处理的效果。处理的效果。

【技术实现步骤摘要】
一种异常网络数据的排查方法和装置


[0001]本申请涉及数据处理
，尤其是涉及一种异常网络数据的排查方法和装置。

技术介绍

[0002]随着计算机网络技术的飞速发展，网络的传输和通信安全问题已逐渐成为制约网络进一步发展应用的瓶颈；因此，为了减少出现因网络数据异常而影响网络安全的情况，网络维护人员一般会对传输中的网络数据包进行捕获、分析，以排查出异常数据。
[0003]具体排查方式为：网络维护人员通过抓包工具等方式，定期获取网络中的数据包，然后分析网络数据包中的内容，进而根据网络数据包中的内容来判定网络数据包是否存在病毒，或被恶意攻击等异常情况，实现对异常网络数据包的排查。
[0004]针对上述中的相关技术，专利技术人认为当前对网络数据包的排查仅限于对网络数据包内容的分析以及网络数据包是否异常的判定，但是并未采取对异常的网络数据包的处理或防御措施，因此，异常的网络数据包仍会对网络造成安全威胁。

技术实现思路

[0005]为了改善相关技术中心存在的未对异常网络数据包进行处理，进而导致异常网络数据包影响网络安全的技术问题，本申请提供一种异常网络数据的排查方法和装置。
[0006]第一方面，本申请提供的一种异常网络数据的排查方法，采用如下的技术方案：一种异常网络数据的排查方法，包括：定期截取预设数量的数据包，将所述数据包的特征信息与预存储的比对信息进行比对；每一所述数据包均包括特征信息、源IP和目的IP；若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包；若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包；所述异常报告包括异常原因，以及所述第一数据包对应的源IP；在生成异常报告时，再次截取与所述第一数据包的源IP和目的IP均一致的第二数据包，并将所述第二数据包中的特征信息与所述比对信息进行比对；若发现所述第二数据包对应的比对结果与预设结果不一致，则向所述第二数据包对应的目的IP发送预警信息，再丢弃所述第二数据包，所述预警信息包括所述第二数据包对应的源IP；若发现所述第二数据包对应的比对结果与预设结果一致，则向所述第二数据包对应的目的IP发送所述第二数据包。
[0007]通过采用上述技术方案，定期随机截取预设数量的数据包，再检测上述数据包是否异常，若上述数据包存在异常，则生成对应的异常报告，然后丢弃上述数据包，以实现对异常的数据包的处理；接着，再次定向截取与第一数据包对应的源IP和目的IP均一致的第
二数据包，再检测上述第二数据包是否异常，若上述第二数据包异常，则说明上述源IP存在异常，可能为黑客使用的IP，此时，将向上述第二数据包的目的IP对应的机器发送预警信息，以告知上述目的IP对应的机器，上述源IP存在异常，可直接拦截上述源IP发出的数据包。
[0008]可选的，所述特征信息包括净荷字符串；所述比对信息包括异常字符串；所述将所述数据包的特征信息与预存储的比对信息进行比对，若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包，若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包，包括：将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；若所有异常字符串均未存在于所述数据包对应的净荷字符串中，则向所述数据包包含的目的IP发送所述数据包；若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串存，则生成并显示带有异常字符串的异常报告，再丢弃所述第一数据包。
[0009]通过采用上述技术方案，可通过匹配算法将数据包中的净荷字符串与异常字符串进行匹配，从而检测数据包净荷字符串是否存在异常，减小出现木马、异常攻击、恶意代码等隐藏在数据包净荷字符串中，进而危害网络运行安全的情况。
[0010]可选的，所述特征信息包括净荷字符串、协议类型和目的端口号；所述比对信息包括异常字符串、协议类型以及每一协议类型对应的基准端口号；所述将所述数据包的特征信息与预存储的比对信息进行比对，若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包，若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包，包括：确定数据包中的协议类型对应的基准端口号，将所述基准端口号与所述数据包对应的目的端口号进行比对；若发现第一数据包对应的目的端口号与基准端口号不一致，则生成并显示异常报告，再丢弃所述第一数据包；若数据包对应的目的端口号与基准端口号一致，则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串，则生成并显示带有异常字符串的异常报告，再丢弃所述第一数据包。
[0011]通过采用上述技术方案，检测数据包的目的端口号与数据包中的协议类型的对应关系是否正确，减小出现目的端口号与协议类型不相对应的恶意数据包的情况，同时，当数据包对应的基准端口号与数据包对应的目的端口号不一致时，则丢弃数据包，无需再匹配数据包中的其他特征信息，提高对异常数据包的排查效率。
[0012]可选的，所述确定数据包中的协议类型对应的基准端口号，将所述基准端口号与所述数据包对应的目的端口号进行比对，若发现第一数据包对应的目的端口号与基准端口号不一致，则生成并显示异常报告，再丢弃所述第一数据包，若数据包对应的目的端口号与基准端口号一致，则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；包括：
对于所截取的预设数量的所有数据包，将协议类型和目的端口号均一致的所述数据包归为一个比对组别；确定每一比对组别的协议类型对应的基准端口号；若目标比对组别对应的目的端口号与目标比对组别对应的基准端口号不一致，则根据所述目标组别中的每一数据包对应的源IP，为所述目标组别中的每一数据包生成并显示异常报告，再丢弃所述目标数据包；若比对组别对应的目的端口号与所述比对组别对应的基准端口号一致，则将预存储的异常字符串逐一与对比对组别中的数据包进行比对。
[0013]通过采用上述技术方案，当所截取的数据包中含有多个协议类型和目的端口号均相同的数据包时，由于上述同种协议类型的数据包对应的基准端口号一致，因此，为了减少确定上述每一数据包的基准端口号的操作次数，可以将同一协议类型和统一目的端口号的数据包归为同一组别，此时，对于同一组别的数据包，只需进行一次确定基准端口号的操作，减少了确定次数，提高了对数据包的排查效率。
[0014]可选的，所述方法还包括：定期统计每一所述异常字符串对应的异常报告的生成数量；根据异常字符串对应的生成数量的由大到小的顺序，对异常字符串进行排序；所述将预存储的异常字符串逐一与数据包中的净荷字符串进行比对，包括：根据异常字符串对应的生成数量由大到小的顺序，将所述异常字符串依次与数据包中的净荷字符串进行比对。
[0015]通过采用上述技术方案，定期统计每一异常字符串对应的异常报告的生成数量，生成数量能够表示异常字符串与净荷字符串比对一致的次数，根据本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常网络数据的排查方法，其特征在于：包括定期截取预设数量的数据包，将所述数据包的特征信息与预存储的比对信息进行比对；每一所述数据包均包括特征信息、源IP和目的IP；若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包；若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包；所述异常报告包括异常原因，以及所述第一数据包对应的源IP；在生成异常报告时，再次截取与所述第一数据包的源IP和目的IP均一致的第二数据包，并将所述第二数据包中的特征信息与所述比对信息进行比对；若发现所述第二数据包对应的比对结果与预设结果不一致，则向所述第二数据包对应的目的IP发送预警信息，再丢弃所述第二数据包，所述预警信息包括所述第二数据包对应的源IP；若发现所述第二数据包对应的比对结果与预设结果一致，则向所述第二数据包对应的目的IP发送所述第二数据包。2.根据权利要求1所述的异常网络数据的排查方法，其特征在于：所述特征信息包括净荷字符串；所述比对信息包括异常字符串；所述将所述数据包的特征信息与预存储的比对信息进行比对，若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包，若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包，包括：将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；若所有异常字符串均未存在于所述数据包对应的净荷字符串中，则向所述数据包包含的目的IP发送所述数据包；若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串存，则生成并显示带有异常字符串的异常报告，再丢弃所述第一数据包。3.根据权利要求1所述的异常网络数据的排查方法，其特征在于：所述特征信息包括净荷字符串、协议类型和目的端口号；所述比对信息包括异常字符串、协议类型以及每一协议类型对应的基准端口号；所述将所述数据包的特征信息与预存储的比对信息进行比对，若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包，若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包，包括：确定数据包中的协议类型对应的基准端口号，将所述基准端口号与所述数据包对应的目的端口号进行比对；若发现第一数据包对应的目的端口号与基准端口号不一致，则生成并显示异常报告，再丢弃所述第一数据包；若数据包对应的目的端口号与基准端口号一致，则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串，则生成并显示带有异常字符串的异常报告，再丢弃所述第一数据包。4.根据权利要求3所述的异常网络数据的排查方法，其特征在于：所述确定数据包中的
协议类型对应的基准端口号，将所述基准端口号与所述数据包对应的目的端口号进行比对，若发现第一数据包对应的目的端口号与基准端口号不一致，则生成并显示异常报告，再丢弃所述第一数据包，若数据包对应的目的端口号与基准端口号一致，则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；包括：对于所截取的预设数量的所有数据包，将协议类型和目的端口号均一致的所述数据包归为一个比对组别；确定每一比对组别的协议类型对应的基准端口号；若目标比对组别对应的目的端口号与目标比对组别对应的基准端口号不一...

【专利技术属性】
技术研发人员：黄峰，
申请(专利权)人：广东省高峰科技有限公司，
类型：发明
国别省市：