本公开提供了一种网络异常流量分析方法,涉及下一代互联网威胁检测领域,异常流量分析方法包括:根据网络协议将目标骨干网的数据分成至少一类协议数据;其中,协议数据包括至少一个源地址、至少一个目的地址、源地址与目的地址之间交互产生的请求包数、请求流量、响应包数、响应流量;分别对至少一类协议数据进行会话预处理,得到源地址或目的地址对应的访问路径所包含的会话数据;根据会话数据计算每一个源地址或目的地址对应的检测数据集;根据检测数据集确定流量异常的访问路径;本公开以分布式拒绝服务攻击和异常扫描两个场景为切入点,通过两种方式分析目标骨干网中的流量数据,可以有效提高对网络流量的检测速率和检测效果。效果。效果。
【技术实现步骤摘要】
网络异常流量分析方法、装置、设备及介质
[0001]本公开涉及下一代互联网威胁检测领域,更具体地,涉及一种网络异常流量分析方法、装置、设备及介质。
技术介绍
[0002]IPv6,Internet Protocol Version 6的缩写,即下一代互联网,IPv6最为显著的优势是地址为128位,海量地址空间解决了IPv4地址日渐枯竭的问题。NetFlow是一种在路由设备上收集网络流量统计信息的技术,路由设备将抽样流量信息通过网络发给采集器。
[0003]DDoS,Distributed Denial of Servicede的缩写,即分布式拒绝服务攻击,攻击者利用多个源向一个目的发起大量请求,致使目的服务资源耗尽甚至崩溃,无法正常提供服务。
[0004]目前,在国家政策引导的背景下,IPv6网络接入量和相关应用普及率迅速提高,随之而来的IPv6网络安全问题日渐凸显。网络安全技术发展多年,在很多应用方向比较成熟,但主要是针对IPv4协议的网络。IPv6网络拥有海量地址空间,网络空间大小相比于IPv4有着质的改变。因此,IPv6网络下的安全技术研究就显得十分迫切。
[0005]从分析对象的角度看,网络安全检测主要有两类:
[0006]一是对完整的镜像数据流分析,这种技术需要复制流量,拥有流量的全部数据,需要增加额外的物理链路传输镜像流量,成本很高,这对规模宏大的骨干网来讲不太现实。而且,基于镜像流量的安全检测技术往往需要和已知的攻击类型进行匹配判别,对于未知的新型攻击往往束手无策,因此检测具有一定的滞后性。
[0007]二是对包含流量摘要信息的数据流分析,比如IP、端口和流量等。NetFlow数据就属于包含数据包的摘要信息,可以通过网络远程传输,便于运营商低成本监控全网数据。目前的一个主要技术方向是结合机器学习,智能判别是否存在威胁,但是检测效果还有很大提升空间。
[0008]公开内容
[0009](一)要解决的技术问题
[0010]针对现有技术问题,本公开提出一种网络异常流量分析方法、装置、设备及介质,用于至少部分解决上述技术问题。
[0011](二)技术方案
[0012]根据本公开的第一方面,提供一种网络异常流量分析方法,包括:
[0013]根据网络协议将目标骨干网的数据分成至少一类协议数据;其中,协议数据包括至少一个源地址、至少一个目的地址、源地址与目的地址之间交互产生的请求包数、请求流量、响应包数、响应流量;分别对至少一类协议数据进行会话预处理,得到源地址或目的地址对应的访问路径所包含的会话数据;根据会话数据计算每一个源地址或目的地址对应的检测数据集;根据检测数据集确定流量异常的访问路径。
[0014]根据本公开的实施例,其中,网络协议包括传输控制协议、用户数据包防议和互联
网控制信息协议,根据网络协议将目标骨干网的数据分成协议数据包括:从目标骨干网中读取数据;对读取的数据对应的协议进行判断,根据判断结果将读取的数据分为传输控制协议数据、用户数据包协议数据、互联网控制信息协议数据。
[0015]根据本公开的实施例,其中,基于多线程方式将目标骨干网的数据分成协议数据。
[0016]根据本公开的实施例,分别对至少一类协议数据进行会话预处理,得到源地址或目的地址对应的访问路径所包含的会话数据包括:针对于每一个目的地址,确定访问目的地址的源地址;将所有源地址访问目的地址产生的请求包数、请求流量、响应包数、响应流量分别对应累加,得到第一会话数据。
[0017]根据本公开的实施例,其中,分别对至少一类协议数据进行会话预处理,得到源地址或目的地址对应的访问路径所包含的会话数据包括:针对于每一个源地址,确定源地址访问的目的地址;将源地址访问的所有目的地址产生的请求包数、请求流量、响应包数、响应流量分别对应累加,得到第二会话数据。
[0018]根据本公开的实施例,其中,根据会话数据计算每一个源地址或目的地址对应的检测数据集包括:针对于每一个源地址或目的地址,分别为累加后的请求包数、请求流量、响应包数、响应流量分配对应权重;对累加后的请求包数、请求流量、响应包数、响应流量进行加权求和,得到检测数据;将所有源地址对应的检测数据进行集合或将所有目的地址对应的检测数据进行集合,得到检测数据集。
[0019]根据本公开的实施例,其中,根据检测数据集确定流量异常的访问路径包括:判断检测数据集中每一检测数据是否在预设范围内;若否,则该检测数据对应的访问路径流量异常。
[0020]本公开的第二方面提供一种异常流量分析方法的处理装置,包括:
[0021]数据分类模块,用于根据网络协议将目标骨干网的数据分成至少一类协议数据;其中,协议数据包括至少一个源地址、至少一个目的地址、源地址与目的地址之间交互产生的请求包数、请求流量、响应包数、响应流量;会话预处理模块,用于分别对至少一类协议数据进行会话预处理,得到源地址或目的地址对应的访问路径所包含的会话数据;数据集生成模块,用于根据会话数据计算每一个源地址或目的地址对应的检测数据集;确定模块,用于根据检测数据集确定流量异常的访问路径。
[0022]本公开的第三方面提供一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上的方法。
[0023]本公开的第四方面提供一种计算机可读存储介质,存储有计算机可执行指令,指令在被执行时用于实现如上的方法。
[0024](三)有益效果
[0025]本公开至少具有以下有益效果:
[0026](1)以分布式拒绝服务攻击和异常扫描两个场景为切入点,通过两种方式分析目标骨干网中的流量数据,可以有效提高对网络流量的检测速率和检测效果。
[0027](2)通过将骨干网的NetFlow数据按协议分成三类,按协议将流量数据分开可以加强流量检测的针对性,提升检测效率;同时采用多线程开发方式对流量进行分类,可以进一步提升流量分析效率。
附图说明
[0028]通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
[0029]图1示意性示出了根据本公开实施例的网络异常流量分析方法及系统的系统架构100;
[0030]图2示意性示出了本公开实施例提供的异常流量分析方法的流程图;
[0031]图3示意性示出了本公开一实施例的数据处理方法流程图;
[0032]图4示意性示出了本公开实施例异常流量分析方法的处理装置的框图;
[0033]图5示意性示出了本公开实施例的异常流量分析方法的电子设备的框图。
具体实施方式
[0034]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络异常流量分析方法,包括:根据网络协议将目标骨干网的数据分成至少一类协议数据;其中,所述协议数据包括至少一个源地址、至少一个目的地址、所述源地址与目的地址之间交互产生的请求包数、请求流量、响应包数、响应流量;分别对所述至少一类协议数据进行会话预处理,得到所述源地址或所述目的地址对应的访问路径所包含的会话数据;根据所述会话数据计算每一个源地址或目的地址对应的检测数据集;根据所述检测数据集确定流量异常的访问路径。2.根据权利要求1所述的异常流量分析方法,其中,所述网络协议包括传输控制协议、用户数据包协议和互联网控制信息协议,所述根据网络协议将目标骨干网的数据分成协议数据包括:从目标骨干网中读取数据;对读取的数据对应的协议进行判断,根据判断结果将所述读取的数据分为传输控制协议数据、用户数据包协议数据、互联网控制信息协议数据。3.根据权利要求1所述的异常流量分析方法,其中,基于多线程方式将目标骨干网的数据分成协议数据。4.根据权利要求1所述的异常流量分析方法,其中,分别对所述至少一类协议数据进行会话预处理,得到所述源地址或所述目的地址对应的访问路径所包含的会话数据包括:针对于每一个目的地址,确定访问所述目的地址的源地址;将所有源地址访问所述目的地址产生的请求包数、请求流量、响应包数、响应流量分别对应累加,得到第一会话数据。5.根据权利要求1所述的异常流量分析方法,其中,分别对所述至少一类协议数据进行会话预处理,得到所述源地址或所述目的地址对应的访问路径所包含的会话数据包括:针对于每一个源地址,确定所述源地址访问的目的地址;将所述源地址访问的所有目的地址产生的请求包数、请求流量、响应包数、响应流量分别对应累加,得到第...
【专利技术属性】
技术研发人员:黄友俊,李星,吴建平,王飞,
申请(专利权)人:赛尔网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。