【技术实现步骤摘要】
一种网络异常行为检测方法、装置及电子设备
[0001]本申请涉及数据通信
,特别涉及一种网络异常行为检测方法、装置及电子设备。
技术介绍
[0002]目前的网络流量分析与攻击发现技术主要针对传统的传输层和应用层协议进行识别与解析,例如传输控制协议(Transmission Control Protocol,TCP)、用户数据报协议(User Datagram Protocol,UDP)和超文本传输协议(Hyper Text Transfer Protocol,HTTP)等,通过提取网络流量中的数据包的字符串特征以及流量统计特征进行网络异常行为检测。
[0003]多路传输控制协议(Multipath Transmission Control Protocol,MPTCP)是传统单路径TCP协议的一种扩展,提供具有多路径传输功能的TCP服务。MPTCP允许在一次TCP通信中建立多个子路径。当一条TCP路径按照三次握手的方式建立起来后,可以按照三次握手的方式建立其他的子路径。但由于MPTCP多路径传输的特性导致了基于...
【技术保护点】
【技术特征摘要】
1.一种网络异常行为检测方法,其特征在于,包括:获取多路传输控制协议MPTCP数据包;获取所述MPTCP数据包的四元组信息和令牌信息;根据所述四元组信息确定属于同一子流的MPTCP数据包;根据所述令牌信息和所述四元组信息确定属于同一MPTCP流的子流;根据预设规则检测各个所述MPTCP流,确定所述MPTCP流包含的所述MPTCP数据包是否存在异常行为。2.根据权利要求1所述的方法,其特征在于,所述获取所述MPTCP数据包的四元组信息和令牌信息,具体包括:获取所述MPTCP数据包的镜像;获取所述镜像的所述四元组信息和所述令牌信息。3.根据权利要求1所述的方法,其特征在于,所述根据所述四元组信息确定属于同一子流的MPTCP数据包,具体包括:确定所述四元组信息相同的所述MPTCP数据包为所述属于同一子流的MPTCP数据包。4.根据权利要求1所述的方法,其特征在于,还包括:获取所述MPTCP数据包的子流序列号SSN;将属于所述同一子流的所述MPTCP数据包与所述MPTCP数据包的所述四元组信息的映射关系按照SSN存储至链表;将所述链表与所述链表中存储的四元组信息的映射关系存储至哈希表。5.根据权利要求1所述的方法,其特征在于,所述根据所述令牌信息和所述四元组信息确定属于同一MPTCP流的子流,具体包括:所述四元组信息包括所述MPTCP数据包的目的网际互连协议IP地址;确定所述令牌信息和所述目的IP地址相同的子流属于同一MPTCP流。6.根据权利要求1所述的方法,其特征在于,还包括:获取所述MPTCP数据包的数据序列号DSN;根据所述DSN确定属于同一所述MPTCP流的所述MPTCP数据包的接收时间的先后顺序。7.一种网络异常行为检测装置,其特征在于,包括:获取单元,用于获取多路传输控制协议MPTCP数据包;获取所述MPTCP数据包的四元组信息和令牌信息;处理单元,用于根据所述四元组信息确定属于同一子流的MPTCP数据包;根据所述令牌信息和所述四元组信息确定属于...
【专利技术属性】
技术研发人员:刘紫千,常力元,孙福兴,李金伟,余启明,顾庆崴,陈林,刘长波,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。