CN108063764B - 一种网络流量处理方法和装置 - Google Patents
一种网络流量处理方法和装置 Download PDFInfo
- Publication number
- CN108063764B CN108063764B CN201711325376.XA CN201711325376A CN108063764B CN 108063764 B CN108063764 B CN 108063764B CN 201711325376 A CN201711325376 A CN 201711325376A CN 108063764 B CN108063764 B CN 108063764B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- flow
- destination address
- source
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络流量处理方法和装置,方法包括:采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;统计所述网络参数中相同目的地址的流量值;确定流量值超过第一阈值的目的地址为异常目的地址;本申请能够通过目的地址的流量值自动确定异常目的地址,而异常目的地址所对应的网络行为出现异常的概率较大,从而便于用户确定异常网络行为。
Description
技术领域
本发明涉及网络流量分析技术领域,更具体的说是涉及一种网络流量处理方法和装置。
背景技术
随着各种网络应用的迅速增加,使得网络流量逐渐激增,因此,如何通过网络流量来检测网络的异常行为成为本领域关注的重点。
目前,通常采用Netflow或sflow实现对网络设备的流量采集,netflow是基于软件的技术,是采用内置在硬件中的专用芯片。当在网络设备或者接口上开启Netflow功能或内置有sflow专用芯片后,网络设备会对需要进行分析的流量进行采样分析,生成Netflow流数据或slow流数据,并将其发送至分析端进行流量分析,网络设备采样分析的流数据要比原始数据小很多。其中,网络设备采样分析的流数据包含源地址、目的地址、源端口、目的端口、数据流的大小、数据流经过的接口、数据流的到达时间、数据流的送出时间等参数。
而分析端在接收到网络设备采样分析的流数据后,可以按照不同的条件对其进行排序,使得用户可以基于排序结果判断网络是否有异常,显然,这种由用户凭经验判断的方式无法真正实现网络异常行为的确定。
发明内容
有鉴于此,本发明提供一种网络流量处理方法和装置,以解决上述技术问题。
为实现上述目的,本发明提供如下技术方案:
一种网络流量处理方法,包括:
采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
统计所述网络参数中相同目的地址的流量值;
确定流量值超过第一阈值的目的地址为异常目的地址。
优选的,还包括:
判断所述异常目的地址的流量变化值是否超出第二阈值;
若否,针对所述异常目的地址生成第一级报警信息。
优选的,还包括:
若是,确定与第一异常目的地址属于同一流数据的源地址;
确定满足第一预设条件的源地址为异常源地址;
其中,所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。
优选的,所述确定满足第一预设条件的源地址为异常源地址,包括:
统计相同源地址的流量值,确定流量值超过第三阈值的源地址为异常源地址;
和/或,确定类型属于预设类型的源地址为异常源地址。
优选的,还包括:
若是,确定与第一异常目的地址属于同一流数据的源端口;
确定满足第二预设条件的源端口为异常源端口;
其中,所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。
优选的,所述确定满足第二预设条件的源端口为异常源端口,包括:
统计相同源端口的流量值,确定流量值超过第四阈值的源端口为异常源端口;
和/或,确定与预先设定的敏感源端口相同的源端口为异常源端口。
优选的,还包括:
若是,确定与第一异常目的地址属于同一流数据的目的端口;
确定满足第三预设条件的源端口为异常目的端口;
其中,所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。
优选的,所述确定满足第三预设条件的源端口为异常目的端口,包括:
统计相同目的端口的流量值,确定流量值超过第五阈值的源端口为异常源端口;
和/或,确定与预先设定的敏感目的端口相同的目的端口为异常目的端口。
优选的,还包括:
生成第二级报警信息,所述第二级报警信息高于所述第一级报警信息。
一种网络流量处理装置,包括:
获取参数单元,用于采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
第一统计单元,用于统计所述网络参数中相同目的地址的流量值;
第一确定单元,用于确定流量值超过第一阈值的目的地址为异常目的地址。
优选的,还包括:
第一判断单元,用于判断所述异常目的地址的流量变化值是否超出第二阈值;
第一报警单元,用于当所述异常目的地址的流量变化值未超出第二阈值时,针对所述异常目的地址生成第一级报警信息。
优选的,还包括:
第二确定单元,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的源地址;
第三确定单元,用于确定满足第一预设条件的源地址为异常源地址;
其中,所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。
优选的,所述第三确定单元,包括:
第一确定模块,用于统计相同源地址的流量值,确定流量值超过第三阈值的源地址为异常源地址;
和/或,第二确定模块,用于确定类型属于预设类型的源地址为异常源地址。
优选的,还包括:
第四确定单元,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的源端口;
第五确定单元,用于确定满足第二预设条件的源端口为异常源端口;
其中,所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。
优选的,所述第五确定单元,包括:
第三确定模块,用于统计相同源端口的流量值,确定流量值超过第四阈值的源端口为异常源端口;
和/或,第四确定模块,用于确定与预先设定的敏感源端口相同的源端口为异常源端口。
优选的,还包括:
第六确定单元,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的目的端口;
第七确定单元,用于确定满足第三预设条件的源端口为异常目的端口;
其中,所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。
优选的,所述第七确定单元,包括:
第五确定模块,用于统计相同目的端口的流量值,确定流量值超过第五阈值的源端口为异常源端口;
和/或,第六确定模块,用于确定与预先设定的敏感目的端口相同的目的端口为异常目的端口。
优选的,还包括:
第二报警单元,用于生成第二级报警信息,所述第二级报警信息高于所述第一级报警信息。
经由上述的技术方案可知,与现有技术相比,本发明实施例提供了一种网络流量处理方法,包括:获取网络设备的采样流数据,对该采样流数据进行解析,获取网络参数,统计网络参数中相同目的地址的流量值,确定流量值超过第一阈值的目的地址为异常目的地址,由此可见,本申请能够通过目的地址的流量值自动确定异常目的地址,而异常目的地址所对应的网络行为出现异常的概率较大,从而便于用户确定异常网络行为。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明一个实施例提供的一种网络流量处理方法的流程示意图;
图2为本发明另一实施例提供的一种网络流量处理方法的流程示意图;
图3为本发明又一实施例提供的一种网络流量处理方法的流程示意图;
图4为本发明又一实施例提供的一种网络流量处理方法的流程示意图;
图5为本发明又一实施例提供的一种网络流量处理方法的流程示意图;
图6为本发明一个实施例提供的一种网络流量处理装置的结构示意图;
图7为本发明另一实施例提供的一种网络流量处理装置的结构示意图;
图8为本发明又一实施例提供的一种网络流量处理装置的结构示意图;
图9为本发明又一实施例提供的一种网络流量处理装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一个实施例公开了一种网络流量处理方法,如图1所示,包括以下步骤:
步骤101:采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
本发明提供的网络流量处理方法可以应用于网络流量分析服务器中,如Nfsen网络流量分析服务器,该网络流量分析服务器与网络设备通信,能够采集到网络设备的采样流数据。
该采样流数据为网络设备的netflow流或sflow流,具体的,当网络设备或者接口上开启了netflow功能后,网络设备对网络报文进行采样分析从而生成netfow流,当网络设备内置有slow专用芯片后,对网络报文进行采样分析从而生成sfow流。
其中,采样流数据为至少包括源地址、目的地址、源端口、目的端口、网络协议的数据,可以看成一个五元组数据。通过对采样流数据进行解析,能够获取到网络参数,即获取到源地址、目的地址、源端口、目的端口、网络协议等参数。
步骤102:统计所述网络参数中相同目的地址的流量值;
每一个采样流数据包括一个目的地址,那么,可以从所有采样流数据获取的网络参数中统计相同目的地址的流量值。
该相同目的地址的流量值指代为本次从网络设备采集的采样流数据中同一目的地址的流量。
步骤103:确定流量值超过第一阈值的目的地址为异常目的地址。
该第一阈值可以为***默认值也可以为用户设定值。当统计到网络参数中相同目的地址的流量值后,判断是否存在流量值超过第一阈值的目的地址,并将流量值超过第一阈值的目的地址确定为异常目的地址。
可选的,当统计到网络参数中相同目的地址的流量值后,可以基于流量值对目的地址进行由大到小的排序,筛选出前N1个目的地址,然后在筛选出的N1个目的地址中确定流量值超过第一阈值的目的地址为异常目的地址。该N1的具体数值本发明不做限定,如筛选出前5个目的地址。
当然,当统计到网络参数中相同目的地址的流量值,基于流量值对目的地址进行由大到小的排序后,可以依次确定流量值超过第一阈值的目的地址,直到首次确定出某个目的地址的流量值未超过第一阈值则不再判断。或者,直接从统计的目的地址的流量值中确定出流量值超过第一阈值的目的地址为异常目的地址。
当确定出异常目的地址后,在本发明另一实施例中,可以在***中对该异常目的地址进行记录以及标记,以便用户查看。
由此可见,本实施例中,通过获取网络设备的采样流数据,对该采样流数据进行解析,获取网络参数,统计网络参数中相同目的地址的流量值,确定流量值超过第一阈值的目的地址为异常目的地址,由此可见,本申请能够通过目的地址的流量值自动确定异常目的地址,而异常目的地址所对应的网络行为出现异常的概率较大,从而便于用户确定异常网络行为。
本发明另一实施例公开了一种网络流量处理方法,如图2所示,该方法包括以下步骤:
步骤201:采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
步骤202:统计所述网络参数中相同目的地址的流量值;
步骤203:确定流量值超过第一阈值的目的地址为异常目的地址;
步骤204:判断所述异常目的地址的流量变化值是否超过第二阈值,若否,进入步骤205,若是,进入步骤206;
流量变化值指代为同一目的地址在本次采集的流量值相对于上次采集的流量值的变化。
第二阈值可以为***默认值也可以用户设定值。
步骤205:针对所述异常目的地址生成第一级报警信息;
可以对流量值未超过第二阈值的异常目的地址进行第一级报警。
该第一级报警信息可以为警告报警信息。
步骤206:确定与第一异常目的地址属于同一流数据的源地址;
第一异常目的地址为异常目的地址的流量变化值超过第二阈值的地址,当异常目的地址的流量变化值超过第二阈值时,说明该异常目的地址对应的网络行为出现异常的概率更大,那么可以具体判断该异常目的地址对应的源地址是否异常。
其中,从一个流数据中能够解析出目的地址和源地址,即,确定出与第一异常目的地址对应的源地址。
步骤207:确定满足第一预设条件的源地址为异常源地址。
当获取到与第一异常目的地址属于同一流数据的源地址后,判断该源地址是否满足第一预设条件,从而确定出满足第一预设条件的异常源地址。
其中,确定满足第一预设条件的源地址为异常源地址,包括:统计相同源地址的流量值,确定流量值超过第三阈值的源地址为异常源地址。
可选的,当统计到相同源地址的流量值后,可以基于流量值对源地址进行由大到小的排序,筛选出前N2个源地址,然后在筛选出的N2个源地址中确定流量值超过第三阈值的源地址为异常源地址。该N2的具体数值本发明不做限定。
当然,当统计到相同源地址的流量值,基于流量值对源地址进行由大到小的排序后,可以依次确定流量值超过第三阈值的源地址,直到首次确定出某个源地址的流量值未超过第三阈值则不再判断。或者,直接从统计的源地址的流量值中确定出流量值超过第三阈值的源地址为异常源地址。
在本发明另一种实现方式下,当统计到相同源地址的流量值,基于流量值对源地址进行由大到小的排序后,可以直接确定前N2个源地址为异常源地址。
和/或,确定满足第一预设条件的源地址为异常源地址包括:确定类型属于预设类型的源地址为异常源地址。
一般情况下,源地址的类型可以分为单播、组播、广播等形式,在本实施例中,可以将组播类型设置为预设类型,那么,将类型为组播形式的源地址确定为异常源地址。
当确定出异常目的地址后,在本发明另一实施例中,还可以包括:生成第二级报警信息,该第二级报警信息高于第一级报警信息。具体的,可以针对所述异常源地址生成第二级报警信息。该第二级报警信息可以为严重告警信息。
在本发明中,还可以在***中对该异常源地址进行记录以及标记,以便用户查看。
由此可见,本实施例能够通过目的地址的流量值自动确定异常目的地址,并且在流量变化值是否超过第二阈值的异常目的地址中确定出异常源地址,从而便于用户确定异常网络行为。
本发明又一实施例公开了一种网络流量处理方法,如图3所示,该方法包括以下步骤:
步骤301:采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
步骤302:统计所述网络参数中相同目的地址的流量值;
步骤303:确定流量值超过第一阈值的目的地址为异常目的地址;
步骤304:判断所述异常目的地址的流量变化值是否超过第二阈值,若否,进入步骤305,若是,进入步骤306;
步骤305:针对所述异常目的地址生成第一级报警信息;
步骤306:确定与第一异常目的地址属于同一流数据的源端口;
第一异常目的地址为流量变化值超过第二阈值的异常目的地址,当异常目的地址的流量变化值超过第二阈值时,说明该异常目的地址对应的网络行为出现异常的概率更大,那么可以具体判断该异常目的地址对应的源端口是否异常。
其中,从一个流数据中能够解析出目的地址和源端口,即,确定出与第一异常目的地址对应的源端口。
步骤307:确定满足第二预设条件的源端口为异常源端口。
当获取到与第一异常目的地址属于同一流数据的源端口后,判断该源单奎是否满足第二预设条件,从而确定出满足第二预设条件的异常源端口。
其中,确定满足第二预设条件的源端口为异常源端口,包括:统计相同源端口的流量值,确定流量值超过第四阈值的源端口为异常源端口。
可选的,当统计到相同源端口的流量值后,可以基于流量值对源端口进行由大到小的排序,筛选出前N3个源端口,然后在筛选出的N3个源端口中确定流量值超过第四阈值的源端口为异常源端口。该N3的具体数值本发明不做限定。
当然,当统计到相同源端口的流量值,基于流量值对源端口进行由大到小的排序后,可以依次确定流量值超过第四阈值的源端口,直到首次确定出某个源端口的流量值未超过第四阈值则不再判断。或者,直接从统计的源端口的流量值中确定出流量值超过第四阈值的源端口为异常源端口。
在本发明另一种实现方式下,当统计到相同源端口的流量值,基于流量值对源端口进行由大到小的排序后,可以直接确定前N3个源端口为异常源端口。
和/或,确定满足第二预设条件的源端口为异常源端口,包括:确定与预先设定的敏感源端口相同的源端口为异常源端口。
在本发明中,可以预先设定敏感源端口的端口号,只要源端口的端口号与敏感源端口的端口号相同,则确定该源端口为异常源端口。
当确定出异常源端口后,在本发明另一实施例中,还可以包括:生成第二级报警信息,该第二级报警信息高于第一级报警信息。具体的,可以针对所述异常源端口生成第二级报警信息。该第二级报警信息可以为严重告警信息。
在本发明中,还可以在***中对该异常源端口进行记录以及标记,以便用户查看。
由此可见,本实施例能够通过目的地址的流量值自动确定异常目的地址,并且在流量变化值是否超过第二阈值的异常目的地址中确定出异常源端口,从而便于用户确定异常网络行为。
本发明又一实施例公开了一种网络流量的处理方法,如图4所示,该方法包括以下步骤:
步骤401:采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
步骤402:统计所述网络参数中相同目的地址的流量值;
步骤403:确定流量值超过第一阈值的目的地址为异常目的地址;
步骤404:判断所述异常目的地址的流量变化值是否超过第二阈值,若否,进入步骤405,若是,进入步骤406;
步骤405:针对所述异常目的地址生成第一级报警信息;
步骤406:确定与第一异常目的地址属于同一流数据的目的端口;
第一异常目的地址为流量变化值超过第二阈值的异常目的地址,当异常目的地址的流量变化值超过第二阈值时,说明该异常目的地址对应的网络行为出现异常的概率更大,那么可以具体判断该异常目的地址对应的目的端口是否异常。
其中,从一个流数据中能够解析出目的地址和目的端口,即,确定出与第一异常目的地址对应的目的端口。
步骤407:确定满足第三预设条件的源端口为异常目的端口。
当获取到与第一异常目的地址属于同一流数据的目的端口后,判断该目的端口是否满足第三预设条件,从而确定出满足第三预设条件的异常目的端口。
其中,确定满足第三预设条件的源地址为异常目的端口,包括:统计相同目的端口的流量值,确定流量值超过第五阈值的源端口为异常源端口。
可选的,当统计到相同目的端口的流量值后,可以基于流量值对目的端口进行由大到小的排序,筛选出前N4个源地址,然后在筛选出的N4个源地址中确定流量值超过第五阈值的源地址为异常源地址。该N4的具体数值本发明不做限定。
当然,当统计到相同目的端口的流量值,基于流量值对目的端口进行由大到小的排序后,可以依次确定流量值超过第五阈值的目的端口,直到首次确定出某个目的端口的流量值未超过第五阈值则不再判断。或者,直接从统计的源地址的流量值中确定出流量值超过第五阈值的目的端口为异常目的端口。
在本发明另一种实现方式下,当统计到相同目的端口的流量值,基于流量值对目的端口进行由大到小的排序后,可以直接确定前N4个目的端口为异常目的端口。
和/或,所述确定满足第三预设条件的源端口为异常目的端口,包括:
确定与预先设定的敏感目的端口相同的目的端口为异常目的端口。
在本发明中,可以预先设定敏感目的端口的端口号,只要目的端口的端口号与敏感目的端口的端口号相同,则确定该目的端口为异常目的端口。
当确定出异常目的端口后,在本发明另一实施例中,还可以包括:生成第二级报警信息,该第二级报警信息高于第一级报警信息。具体的,可以针对所述异常目的端口生成第二级报警信息。该第二级报警信息可以为严重告警信息。
在本发明中,还可以在***中对该异常目的端口进行记录以及标记,以便用户查看。
由此可见,本实施例能够通过目的地址的流量值自动确定异常目的地址,并且在流量变化值是否超过第二阈值的异常目的地址中确定出异常目的端口,从而便于用户确定异常网络行为。
在本发明又一实施例中,可以同时存在对异常目的地址、异常源地址、异常源端口以及异常目的端口的确定,具体的,如图5所示,该方法包括以下步骤:
步骤501:采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
步骤502:统计所述网络参数中相同目的地址的流量值;
步骤503:确定流量值超过第一阈值的目的地址为异常目的地址;
步骤504:判断所述异常目的地址的流量变化值是否超过第二阈值,若否,进入步骤505,若是,进入步骤506;
步骤505:针对所述异常目的地址生成第一级报警信息;
步骤506:确定与第一异常目的地址属于同一流数据的源地址;
步骤507:确定满足第一预设条件的源地址为异常源地址;
步骤508:确定与所述第一异常目的地址属于同一流数据的源端口;
步骤509:确定满足第二预设条件的源端口为异常源端口;
步骤510:确定与所述第一异常目的地址属于同一流数据的目的端口;
步骤511:确定满足第三预设条件的源端口为异常目的端口。
需说明的是,上述步骤(506-507),(508-509),(510-511)并没有先手执行顺序的限定。
步骤512:针对所述异常源地址、所述异常源端口和所述异常目的端口生成第二级报警信息。
由此可见,本实施例能够通过目的地址的流量值自动确定异常目的地址,并且在流量变化值是否超过第二阈值的异常目的地址中确定出异常源地址、异常源端口和异常目的端口,从而便于用户确定异常网络行为。
需说明的是,本发明网络流量分析服务器可以实现与资源管理平台的关联,具体的,即通过目的地址和/或源地址与资源管理平台所存储的信息进行关联,以目的地址和/或源地址为桥梁建立网络参数与资源管理平台的业务线、联系人、联系方式等信息的关联关系。
那么,本发明公开的网络流量处理方法中,还可以包括:按照与目的地址和/或源地址关联的业务线对网络参数进行分类。具体的,可以对满足一定条件的网络参数按照业务线进行分类,如流量值由大到小的顺序排名为前N的网络参数按照业务线进行分类。或者,对异常目的地址、异常源地址、异常源端口以及异常目的端口按照业务线进行分类,那么用户可以查看同类业务线下哪些网络参数为异常网络参数。
当然,还可以按照报警级别对网络参数进行分类,使得用户能够查看同一报警级别下的哪些网络参数为异常网络参数。
与上述一种网络流量处理方法对应的,本发明还公开了一种网络流量处理装置,以下通过几个实施例进行说明。
本发明一个实施例公开了一种网络流量处理装置,该网络流量处理装置可以应用于网络流量分析服务器中,如Nfsen网络流量分析服务器,该网络流量分析服务器与网络设备通信。如图6所示,该装置包括:获取参数单元601、第一统计单元602以及第一确定单元603。其中:
获取参数单元601,用于采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
该采样流数据为网络设备的netflow流或sflow流,具体的,当网络设备或者接口上开启了netflow功能后,网络设备对网络报文进行采样分析从而生成netfow流,当网络设备内置有slow专用芯片后,对网络报文进行采样分析从而生成sfow流。
其中,采样流数据为至少包括源地址、目的地址、源端口、目的端口、网络协议的数据,可以看成一个五元组数据。通过对采样流数据进行解析,能够获取到网络参数,即获取到源地址、目的地址、源端口、目的端口、网络协议等参数。
第一统计单元602,用于统计所述网络参数中相同目的地址的流量值;
每一个采样流数据包括一个目的地址,那么,可以从所有采样流数据获取的网络参数中统计相同目的地址的流量值。
该相同目的地址的流量值指代为本次从网络设备采集的采样流数据中同一目的地址的流量。
第一确定单元603,用于确定流量值超过第一阈值的目的地址为异常目的地址。
该第一阈值可以为***默认值也可以为用户设定值。当统计到网络参数中相同目的地址的流量值后,判断是否存在流量值超过第一阈值的目的地址,并将流量值超过第一阈值的目的地址确定为异常目的地址。
可选的,当第一统计单元统计到网络参数中相同目的地址的流量值后,第一确定单元可以基于流量值对目的地址进行由大到小的排序,筛选出前N1个目的地址,然后在筛选出的N1个目的地址中确定流量值超过第一阈值的目的地址为异常目的地址。该N1的具体数值本发明不做限定,如筛选出前5个目的地址。
当然,当第一统计单元统计到网络参数中相同目的地址的流量值后,第一确定单元可以基于流量值对目的地址进行由大到小的排序,并依次确定流量值超过第一阈值的目的地址,直到首次确定出某个目的地址的流量值未超过第一阈值则不再判断。或者,第一确定单元直接从统计的目的地址的流量值中确定出流量值超过第一阈值的目的地址为异常目的地址。
当确定出异常目的地址后,在本发明另一实施例中,还可以包括记录标记单元,用于在***中对该异常目的地址进行记录以及标记,以便用户查看。
由此可见,本实施例中,通过获取网络设备的采样流数据,对该采样流数据进行解析,获取网络参数,统计网络参数中相同目的地址的流量值,确定流量值超过第一阈值的目的地址为异常目的地址,由此可见,本申请能够通过目的地址的流量值自动确定异常目的地址,而异常目的地址所对应的网络行为出现异常的概率较大,从而便于用户确定异常网络行为。
本发明另一实施例公开了一种网络流量处理装置,如图7所示,该装置可以包括:获取参数单元701、第一统计单元702、第一确定单元703、第一判断单元704、第一报警单元705、第二确定单元706和第三确定单元707;其中:
获取参数单元701,用于采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
第一统计单元702,用于统计所述网络参数中相同目的地址的流量值;
第一确定单元703,用于确定流量值超过第一阈值的目的地址为异常目的地址;
第一判断单元704,用于判断所述异常目的地址的流量变化值是否超出第二阈值;
流量变化值指代为同一目的地址在本次采集的流量值相对于上次采集的流量值的变化。
第二阈值可以为***默认值也可以用户设定值。
第一报警单元705,用于当所述异常目的地址的流量变化值未超出第二阈值时,针对所述异常目的地址生成第一级报警信息。也就是说,可以对流量值未超过第二阈值的异常目的地址进行第一级报警。该第一级报警信息可以为警告报警信息。
第二确定单元706,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的源地址;
第一异常目的地址为异常目的地址的流量变化值超过第二阈值的地址,当异常目的地址的流量变化值超过第二阈值时,说明该异常目的地址对应的网络行为出现异常的概率更大,那么可以具体判断该异常目的地址对应的源地址是否异常。
其中,从一个流数据中能够解析出目的地址和源地址,即,确定出与第一异常目的地址对应的源地址。
第三确定单元707,用于确定满足第一预设条件的源地址为异常源地址;
当获取到与第一异常目的地址属于同一流数据的源地址后,判断该源地址是否满足第一预设条件,从而确定出满足第一预设条件的异常源地址。
其中,第三确定单元,包括:
第一确定模块,用于统计相同源地址的流量值,确定流量值超过第三阈值的源地址为异常源地址;
和/或,第二确定模块,用于确定类型属于预设类型的源地址为异常源地址。
可选的,第一确定模块,可以用于统计到相同源地址的流量值,基于流量值对源地址进行由大到小的排序,筛选出前N2个源地址,然后在筛选出的N2个源地址中确定流量值超过第三阈值的源地址为异常源地址。该N2的具体数值本发明不做限定。
当然,第一确定模块,可以用于统计到相同源地址的流量值,基于流量值对源地址进行由大到小的排序,依次确定流量值超过第三阈值的源地址,直到首次确定出某个源地址的流量值未超过第三阈值则不再判断。或者,第一确定模块可以用于直接从统计的源地址的流量值中确定出流量值超过第三阈值的源地址为异常源地址。
在本发明另一种实现方式下,第一确定模块可以用于当统计到相同源地址的流量值,基于流量值对源地址进行由大到小的排序后,可以直接确定前N2个源地址为异常源地址。
一般情况下,源地址的类型可以分为单播、组播、广播等形式,在本实施例中,可以将组播类型设置为预设类型,那么,将类型为组播形式的源地址确定为异常源地址。
当确定出异常目的地址后,在本发明另一实施例中,还可以包括:第二报警单元,用于生成第二级报警信息,该第二级报警信息高于第一级报警信息。具体的,该第二报警单元可以用于针对所述异常源地址生成第二级报警信息。第二级报警信息可以为严重告警信息。
在本发明的其他实施例中,还可以包括记录标记单元,用于在***中对该异常源地址进行记录以及标记,以便用户查看。
由此可见,本实施例能够通过目的地址的流量值自动确定异常目的地址,并且在流量变化值是否超过第二阈值的异常目的地址中确定出异常源地址,从而便于用户确定异常网络行为。
本发明又一实施例公开了一种网络流量处理装置,如图8所示,该装置包括:获取参数单元801、第一统计单元802、第一确定单元803、第一判断单元804、第一报警单元805、第四确定单元806和第五确定单元807;其中:
获取参数单元801,用于采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
第一统计单元802,用于统计所述网络参数中相同目的地址的流量值;
第一确定单元803,用于确定流量值超过第一阈值的目的地址为异常目的地址;
第一判断单元804,用于判断所述异常目的地址的流量变化值是否超出第二阈值;
流量变化值指代为同一目的地址在本次采集的流量值相对于上次采集的流量值的变化。
第二阈值可以为***默认值也可以用户设定值。
第一报警单元805,用于当所述异常目的地址的流量变化值未超出第二阈值时,针对所述异常目的地址生成第一级报警信息。也就是说,可以对流量值未超过第二阈值的异常目的地址进行第一级报警。该第一级报警信息可以为警告报警信息。
第四确定单元806,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的源端口;
第一异常目的地址为流量变化值超过第二阈值的异常目的地址,当异常目的地址的流量变化值超过第二阈值时,说明该异常目的地址对应的网络行为出现异常的概率更大,那么可以具体判断该异常目的地址对应的源端口是否异常。
其中,从一个流数据中能够解析出目的地址和源端口,即,确定出与第一异常目的地址对应的源端口。
第五确定单元807,用于确定满足第二预设条件的源端口为异常源端口;
当获取到与第一异常目的地址属于同一流数据的源端口后,判断该源单奎是否满足第二预设条件,从而确定出满足第二预设条件的异常源端口。
其中,第五确定单元,包括:
第三确定模块,用于统计相同源端口的流量值,确定流量值超过第四阈值的源端口为异常源端口;
和/或,第四确定模块,用于确定与预先设定的敏感源端口相同的源端口为异常源端口。
可选的,第三确定模块可以用于统计到相同源端口的流量值,基于流量值对源端口进行由大到小的排序,筛选出前N3个源端口,然后在筛选出的N3个源端口中确定流量值超过第四阈值的源端口为异常源端口。该N3的具体数值本发明不做限定。
当然,第三确定模块可以用于统计到相同源端口的流量值,基于流量值对源端口进行由大到小的排序,依次确定流量值超过第四阈值的源端口,直到首次确定出某个源端口的流量值未超过第四阈值则不再判断。或者,第三确定模块可以用于直接从统计的源端口的流量值中确定出流量值超过第四阈值的源端口为异常源端口。
在本发明另一种实现方式下,第三确定模块可以用于统计到相同源端口的流量值,基于流量值对源端口进行由大到小的排序,可以直接确定前N3个源端口为异常源端口。
在本发明中,可以预先设定敏感源端口的端口号,只要源端口的端口号与敏感源端口的端口号相同,则确定该源端口为异常源端口。
当确定出异常源端口后,在本发明另一实施例中,还可以包括:第二报警单元,用于生成第二级报警信息,该第二级报警信息高于第一级报警信息。具体的,第二报警单元可以用于针对异常源端口生成第二级报警信息。该第二级报警信息可以为严重告警信息。
在本发明其他实施例中,还可以包括记录标记单元,用于在***中对该异常源端口进行记录以及标记,以便用户查看。
由此可见,本实施例能够通过目的地址的流量值自动确定异常目的地址,并且在流量变化值是否超过第二阈值的异常目的地址中确定出异常源端口,从而便于用户确定异常网络行为。
本发明又一实施例公开了一种网络流量处理装置,如图9所示,该装置可以包括:获取参数单元901、第一统计单元902、第一确定单元903、第一判断单元904、第一报警单元905、第六确定单元906以及第七确定单元907;其中:
获取参数单元901,用于采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;
第一统计单元902,用于统计所述网络参数中相同目的地址的流量值;
第一确定单元903,用于确定流量值超过第一阈值的目的地址为异常目的地址;
第一判断单元904,用于判断所述异常目的地址的流量变化值是否超出第二阈值;
流量变化值指代为同一目的地址在本次采集的流量值相对于上次采集的流量值的变化。
第二阈值可以为***默认值也可以用户设定值。
第一报警单元905,用于当所述异常目的地址的流量变化值未超出第二阈值时,针对所述异常目的地址生成第一级报警信息。也就是说,可以对流量值未超过第二阈值的异常目的地址进行第一级报警。
该第一级报警信息可以为警告报警信息。
第六确定单元906,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的目的端口;
第一异常目的地址为流量变化值超过第二阈值的异常目的地址,当异常目的地址的流量变化值超过第二阈值时,说明该异常目的地址对应的网络行为出现异常的概率更大,那么可以具体判断该异常目的地址对应的目的端口是否异常。
其中,从一个流数据中能够解析出目的地址和目的端口,即,确定出与第一异常目的地址对应的目的端口。
第七确定单元907,用于确定满足第三预设条件的源端口为异常目的端口。
当获取到与第一异常目的地址属于同一流数据的目的端口后,判断该目的端口是否满足第三预设条件,从而确定出满足第三预设条件的异常目的端口。
其中,第七确定单元,包括:
第五确定模块,用于统计相同目的端口的流量值,确定流量值超过第五阈值的源端口为异常源端口;
和/或,第六确定模块,用于确定与预先设定的敏感目的端口相同的目的端口为异常目的端口。
可选的,第五确定模块可以用于统计到相同目的端口的流量值,基于流量值对目的端口进行由大到小的排序,筛选出前N4个源地址,然后在筛选出的N4个源地址中确定流量值超过第五阈值的源地址为异常源地址。该N4的具体数值本发明不做限定。
当然,第五确定模块可以用于统计到相同目的端口的流量值,基于流量值对目的端口进行由大到小的排序,依次确定流量值超过第五阈值的目的端口,直到首次确定出某个目的端口的流量值未超过第五阈值则不再判断。或者,第五确定模块可以用于直接从统计的源地址的流量值中确定出流量值超过第五阈值的目的端口为异常目的端口。
在本发明另一种实现方式下,第五确定模块可以用于当统计到相同目的端口的流量值,基于流量值对目的端口进行由大到小的排序后,可以直接确定前N4个目的端口为异常目的端口。
在本发明中,可以预先设定敏感目的端口的端口号,只要目的端口的端口号与敏感目的端口的端口号相同,则确定该目的端口为异常目的端口。
当确定出异常目的端口后,在本发明另一实施例中,还可以包括:第二报警单元,用于生成第二级报警信息,该第二级报警信息高于第一级报警信息。具体的,第二报警单元可以用于针对所述异常目的端口生成第二级报警信息。该第二级报警信息可以为严重告警信息。
在本发明其他实施例中,还可以包括记录标记单元,用于在***中对该异常目的端口进行记录以及标记,以便用户查看。
由此可见,本实施例能够通过目的地址的流量值自动确定异常目的地址,并且在流量变化值是否超过第二阈值的异常目的地址中确定出异常目的端口,从而便于用户确定异常网络行为。
在本发明又一实施例中,可以同时存在对异常目的地址、异常源地址、异常源端口以及异常目的端口的确定,那么具体实现方式可参照上述几个实施例,即将上述几个实施例中的实现方案合并,在此不再详细赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种网络流量处理方法,其特征在于,包括:
采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;所述采样流数据为netflow流或sflow流,当所述网络设备或接口开启netflow功能后,所述网络设备对网络报文进行采样分析生成netflow流,或者,当所述网络设备内置有sflow专用芯片时,所述网络设备对网络报文进行采样分析生成sflow流;
统计所述网络参数中相同目的地址的流量值;所述相同目的地址的流量值指代为本次从所述网络设备采集的所有采样流数据中同一目的地址的流量;
确定流量值超过第一阈值的目的地址为异常目的地址;
判断所述异常目的地址的流量变化值是否超出第二阈值;
若否,针对所述异常目的地址生成第一级报警信息;
若是,确定与第一异常目的地址属于同一流数据的源地址,确定满足第一预设条件的源地址为异常源地址;和/或,确定与第一异常目的地址属于同一流数据的源端口,确定满足第二预设条件的源端口为异常源端口;
和/或,确定与第一异常目的地址属于同一流数据的目的端口,确定满足第三预设条件的源端口为异常目的端口;
其中,所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。
2.根据权利要求1所述的方法,其特征在于,所述确定满足第一预设条件的源地址为异常源地址,包括:
统计相同源地址的流量值,确定流量值超过第三阈值的源地址为异常源地址;
和/或,确定类型属于预设类型的源地址为异常源地址。
3.根据权利要求1所述的方法,其特征在于,所述确定满足第二预设条件的源端口为异常源端口,包括:
统计相同源端口的流量值,确定流量值超过第四阈值的源端口为异常源端口;
和/或,确定与预先设定的敏感源端口相同的源端口为异常源端口。
4.根据权利要求1所述的方法,其特征在于,所述确定满足第三预设条件的源端口为异常目的端口,包括:
统计相同目的端口的流量值,确定流量值超过第五阈值的源端口为异常源端口;
和/或,确定与预先设定的敏感目的端口相同的目的端口为异常目的端口。
5.根据权利要求2-4任一项所述的方法,其特征在于,还包括:
生成第二级报警信息,所述第二级报警信息高于所述第一级报警信息。
6.一种网络流量处理装置,其特征在于,包括:
获取参数单元,用于采集网络设备的采样流数据,对所述采样流数据进行解析,获取网络参数;所述采样流数据为netflow流或sflow流,当所述网络设备或接口开启netflow功能后,所述网络设备对网络报文进行采样分析生成netflow流,或者,当所述网络设备内置有sflow专用芯片时,所述网络设备对网络报文进行采样分析生成sflow流;
第一统计单元,用于统计所述网络参数中相同目的地址的流量值;所述相同目的地址的流量值指代为本次从所述网络设备采集的所有采样流数据中同一目的地址的流量;
第一确定单元,用于确定流量值超过第一阈值的目的地址为异常目的地址;
第一判断单元,用于判断所述异常目的地址的流量变化值是否超出第二阈值;
第一报警单元,用于当所述异常目的地址的流量变化值未超出第二阈值时,针对所述异常目的地址生成第一级报警信息;
第二确定单元,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的源地址;第三确定单元,用于确定满足第一预设条件的源地址为异常源地址;
和/或,还包括:第四确定单元,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的源端口;第五确定单元,用于确定满足第二预设条件的源端口为异常源端口;
和/或,还包括:第六确定单元,用于当所述异常目的地址的流量变化值超出第二阈值时,确定与第一异常目的地址属于同一流数据的目的端口;第七确定单元,用于确定满足第三预设条件的源端口为异常目的端口;
其中,所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。
7.根据权利要求6所述的装置,其特征在于,所述第三确定单元,包括:
第一确定模块,用于统计相同源地址的流量值,确定流量值超过第三阈值的源地址为异常源地址;
和/或,第二确定模块,用于确定类型属于预设类型的源地址为异常源地址。
8.根据权利要求6所述的装置,其特征在于,所述第五确定单元,包括:
第三确定模块,用于统计相同源端口的流量值,确定流量值超过第四阈值的源端口为异常源端口;
和/或,第四确定模块,用于确定与预先设定的敏感源端口相同的源端口为异常源端口。
9.根据权利要求6所述的装置,其特征在于,所述第七确定单元,包括:
第五确定模块,用于统计相同目的端口的流量值,确定流量值超过第五阈值的源端口为异常源端口;
和/或,第六确定模块,用于确定与预先设定的敏感目的端口相同的目的端口为异常目的端口。
10.根据权利要求6-9任一项所述的装置,其特征在于,还包括:
第二报警单元,用于生成第二级报警信息,所述第二级报警信息高于所述第一级报警信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711325376.XA CN108063764B (zh) | 2017-12-13 | 2017-12-13 | 一种网络流量处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711325376.XA CN108063764B (zh) | 2017-12-13 | 2017-12-13 | 一种网络流量处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108063764A CN108063764A (zh) | 2018-05-22 |
CN108063764B true CN108063764B (zh) | 2021-03-23 |
Family
ID=62138346
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711325376.XA Active CN108063764B (zh) | 2017-12-13 | 2017-12-13 | 一种网络流量处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108063764B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111901284B (zh) * | 2019-05-06 | 2023-07-21 | 阿里巴巴集团控股有限公司 | 流量控制方法及*** |
CN114157506A (zh) * | 2021-12-09 | 2022-03-08 | 中科计算技术西部研究院 | 基于流量和活跃度分析的网络异常扫描方法、***及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302318A (zh) * | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算***DDoS攻击检测方法及*** |
CN106899608A (zh) * | 2017-03-21 | 2017-06-27 | 杭州迪普科技股份有限公司 | 一种确定ddos攻击的攻击目的ip的方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101895521B (zh) * | 2009-05-22 | 2013-09-04 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其*** |
CN104253797A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 蠕虫病毒的识别方法及装置 |
US10230821B2 (en) * | 2014-12-30 | 2019-03-12 | Research Electronics International, Llc | System and method for detecting VOIP traffic |
CN106559349B (zh) * | 2015-09-24 | 2019-03-19 | 阿里巴巴集团控股有限公司 | 业务传输速率的控制方法及装置、*** |
-
2017
- 2017-12-13 CN CN201711325376.XA patent/CN108063764B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106302318A (zh) * | 2015-05-15 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种网站攻击防御方法及装置 |
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算***DDoS攻击检测方法及*** |
CN106899608A (zh) * | 2017-03-21 | 2017-06-27 | 杭州迪普科技股份有限公司 | 一种确定ddos攻击的攻击目的ip的方法及装置 |
Non-Patent Citations (1)
Title |
---|
《网络攻击陆良信息熵特征研究》;戴军;《博士•专家论坛》;20071217;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN108063764A (zh) | 2018-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110677324B (zh) | 基于sFlow采样与控制器主动更新列表的大象流两级检测方法 | |
CN108632224B (zh) | 一种apt攻击检测方法和装置 | |
US20090238088A1 (en) | Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system | |
CN110191004B (zh) | 一种端口检测方法及*** | |
CN110808994B (zh) | 暴力破解操作的检测方法、装置及服务器 | |
KR20080066653A (ko) | 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법 | |
CN107967488B (zh) | 一种服务器的分类方法及分类*** | |
CN107222511B (zh) | 恶意软件的检测方法及装置、计算机装置及可读存储介质 | |
JP2009171431A (ja) | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム | |
CN110191024B (zh) | 网络流量监控方法和装置 | |
CN108063764B (zh) | 一种网络流量处理方法和装置 | |
JP2006148686A (ja) | 通信監視システム | |
WO2013185489A1 (zh) | 分析信令流量的方法及装置 | |
CN110266726A (zh) | 一种识别ddos攻击数据流的方法及装置 | |
CN108322354B (zh) | 一种偷跑流量账户识别方法及装置 | |
CN109756358B (zh) | 采样频率推荐方法、装置、设备与存储介质 | |
CN111355670A (zh) | 一种流量识别方法、装置、电子设备及存储介质 | |
CN111080362A (zh) | 广告监测***及方法 | |
CN109447177B (zh) | 账号聚类方法、装置和服务器 | |
CN114564469A (zh) | 采集数据的处理方法及*** | |
TWI510109B (zh) | 遞迴式異常網路流量偵測方法 | |
JP4814270B2 (ja) | トラヒック変動量推定方法およびその装置とプログラム | |
JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
JP4209897B2 (ja) | 大量フロー生成ホスト特定方法およびシステム | |
CN114745161B (zh) | 一种异常流量的检测方法、装置、终端设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |