CN107135127A - 一种网络流量异常检测方法及装置 - Google Patents
一种网络流量异常检测方法及装置 Download PDFInfo
- Publication number
- CN107135127A CN107135127A CN201710494771.4A CN201710494771A CN107135127A CN 107135127 A CN107135127 A CN 107135127A CN 201710494771 A CN201710494771 A CN 201710494771A CN 107135127 A CN107135127 A CN 107135127A
- Authority
- CN
- China
- Prior art keywords
- terminal equipment
- port
- warning message
- network
- network flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供了一种网络流量异常检测方法及装置,应用于局域网中的第一终端设备,方法包括:获取所述局域网中的第二终端设备的端口的当前网络流量值;判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值;当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。应用本发明实施例所提供的方案,可以在第二终端设备的网络流量出现异常时能够及时处理,以避免用户出现信息泄露、财产被盗等损失。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种网络流量异常检测方法及装置。
背景技术
网络流量即为网络中传输的数据量。目前,随着网络发展越来越强大,通过网络流量劫持进行网络攻击时有发生。网络流量劫持就是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成网络流量异常,其中,网络流量变大是网络流量异常的一种主要形态。
现有技术中,当网络流量出现异常时不能及时处理,进而导致用户信息泄露、财产被盗等损失。
例如,DNS(Domain Name System,域名系统)劫持,DNS劫持就是黑客破坏DNS解析的过程,使得用户在输入域名后,输入的域名转化为黑客指定的IP地址,强制用户访问黑客指定的IP地址,从而造成网络流量变大,并且,所有的网络流量都会转向黑客指定的虚假的IP地址,黑客不但可以很容易获取用户的各种密码、个人信息等,还可以植入木马病毒,盗窃用户的个人财产。
发明内容
本发明实施例的目的在于提供一种网络流量异常检测方法及装置,以在网络流量出现异常时能够及时处理,进而避免用户损失。具体技术方案如下:
一种网络流量异常检测方法,应用于局域网中的第一终端设备,所述方法包括:
获取所述局域网中的第二终端设备的端口的当前网络流量值;
判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值;
当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
可选地,所述关闭所述第二终端设备的所述端口之后,所述方法还包括:
将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述第二终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述第二终端设备的IP地址和第一异常类别,所述第一异常类别为:所述第二终端设备的所述端口的当前网络流量值超出预设阈值。
可选地,所述获取所述第二终端设备的端口的当前网络流量值之前,所述方法还包括:判断所述第二终端设备是否处于使用状态;
如果所述第二终端设备处于使用状态,执行所述获取第二终端设备的端口的当前网络流量值的步骤。
可选地,如果所述终第二端设备未处于使用状态,所述方法还包括:
将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理,其中,所述第二报警信息中包括第二异常类别、所述第二终端设备的IP地址、所述第二终端设备的所述端口的标识,所述第二异常类别为:所述第二终端设备未处于使用状态。
可选地,所述将第一报警信息发送给网络管理员的步骤,包括:
以短信的形式,将第一报警信息发送给网络管理员。
可选地,所述将第二报警信息发送给网络管理员的步骤,包括:
以短信的形式,将第二报警信息发送给网络管理员。
本发明实施例还提供了一种网络流量异常检测装置,应用于局域网中的第一终端设备,所述装置包括:
流量获取模块,用于获取所述局域网中的第二终端设备的端口的当前网络流量值;
流量判断模块,用于判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值,当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,触发端口关闭模块;
所述端口关闭模块,用于基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
可选地,所述装置还包括:
第一信息发送模块,用于在所述端口关闭模块关闭所述第二终端设备的所述端口之后,将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述第二终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述第二终端设备的IP地址和第一异常类别,所述第一异常类别为:所述第二终端设备的所述端口的当前网络流量值超出预设阈值。
可选地,所述装置还包括:
状态判断模块,用于在所述流量获取模块获取所述第二终端设备的端口的当前网络流量值之前,判断所述第二终端设备是否处于使用状态,如果是,触发所述流量获取模块。
可选地,所述装置还包括:
第二信息发送模块,用于在所述状态判断模块判断出所述第二终端设备未处于使用状态时,将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理,其中,所述第二报警信息中包括第二异常类别、所述第二终端设备的IP地址、所述第二终端设备的所述端口的标识,所述第二异常类别为:所述第二终端设备未处于使用状态。
可选地,所述第一信息发送模块具体用于:
以短信的形式,将第一报警信息发送给网络管理员。
可选地,所述第二信息发送模块具体用于:
以短信的形式,将第二报警信息发送给网络管理员。
本发明实施例还提供了一种终端设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现本发明实施例所提供的一种网络流量异常检测的方法步骤。
本发明实施例还提供了一种存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例所提供的一种网络流量异常检测的方法步骤。
本发明实施例提供的一种网络流量异常检测方法及装置,可以在第二终端设备的端口的当前网络流量值超出预设阈值时,基于局域网中的交换机,关闭第二终端设备的端口,以禁止第二终端设备通过端口使用网络流量,进而可以在网络流量出现异常时能够及时处理,以避免用户出现信息泄露、财产被盗等损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所提供的一种网络流量异常检测方法的第一种流程图;
图2为本发明实施例所提供的一种网络流量异常检测方法的第二种流程图;
图3为本发明实施例所提供的一种网络流量异常检测装置的第一种结构示意图;
图4为本发明实施例所提供的一种网络流量异常检测装置的第二种结构示意图;
图5为本发明实施例所提供的终端设备的结构示意。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例所提供的一种网络流量异常检测方法应用于局域网中的终端设备,该终端设备具备管理局域网中其他终端设备的权限,例如局域网中的网络管理员所使用的终端设备。
需要说明的是,为便于描述,本发明实施例中将局域网中被管理的终端设备命名为第二终端设备,将管理第二终端设备的终端设备命名为第一终端设备。也就是说,本发明实施例所提及的第一终端设备中的“第一”以及第二终端设备中的“第二”,仅仅用于从命名上将终端设备进行区分区分,并不具有任何限定意义。
实施例一
参见图1,图1为本发明实施例所提供的一种网络流量异常检测方法的第一流程图,该方法应用于局域网中的第一终端设备,如图1所示,该方法包括以下步骤:
S110,获取所述局域网中的第二终端设备的端口的当前网络流量值。
可以理解,一个第二终端设备的端口的数量为一个。当局域网中的第二终端设备的数量为一个时,第一终端设备直接获取该第二终端设备的端口的当前网络流量值即可。当局域网中的第二终端设备的数量为多个时,第一终端设备会获取每个第二终端设备的端口的当前网络流量值。例如,当局域网中的第二终端设备的数量为多个时,第一终端设备获取的各第二终端设备的端口的当前网络流量值可以如表1所示。
表1
S120,判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值,如果是,执行S130。
第一终端设备获取局域网中的第二终端设备的端口的当前网络流量后,会判断获取的当前网络流量值是否超出预设阈值,如果是,执行后续S130。当局域网中的第二终端设备的数量为多个时,第一终端设备会判断每个第二终端设备的端口的当前网络流量值是否超出预设阈值。
具体地,预设阈值即为预先在局域网中的交换机中设置的各端口的使用网络流量。可以理解,当第二终端设备为多个时,在交换机中设置的每个第二终端设备的端口的使用网络流量是一样的。
S130,基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
具体地,当第一终端设备判断出第二终端设备的端口的当前网络流量值超出预设阈值时,第一终端设备会向局域网中的交换机发送一个关闭端口的指令,在该指令中包括有第二终端设备的端口的标识,然后,交换机根据该指令中包括的端口的标识,将该标识对应的端口关闭,以禁止第二终端设备通过该端口使用网络流量。
例如,第二终端设备的端口的标识可以为第二终端设备的端口的端口号。假设第二终端设备的端口的端口号为2,即第二终端设备的端口为2号端口,当第一终端判断出2号端口的当前网络流量值超过预设阈值时,第一终端设备将关闭2号端口的指令发送给局域网中的交换机。交换机接收到该指令后,将2号端口关闭,以禁止第二终端设备通过2号端口使用网络流量。
应用本实施例提供的一种网络流量异常检测方法,可以在第二终端设备的端口的当前网络流量值超出预设阈值时,基于局域网中的交换机,关闭第二终端设备的端口,以禁止第二终端设备通过端口使用网络流量,进而可以在网络流量出现异常时能够及时处理,以避免用户出现信息泄露、财产被盗等损失。
进一步地,作为本实施例的一种可选方案,为了使第二终端设备及时产生新的网络流量,在关闭第二终端设备的端口之后,即执行S130之后,该方法还可以包括:
将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述第二终端设备进行第一类异常处理。
其中,所述第一报警信息中包含所述第二终端设备的IP地址和第一异常类别。
其中,第一异常类别具体为:第二终端设备的端口的当前网络流量值超出预设阈值。
具体地,第一终端设备可以以短信的形式,将第一报警信息发送给网络管理员。
例如,第一终端设备基于局域网中的交换机,关闭第二终端设备的端口后,第一终端设备将第一报警信息编辑成短信,并将短信发送给网络管理员。网络管理员接收到短信后,根据第一报警信息中的第一异常类别,可以知道是第二终端设备的当前网络流量值超出预设阈值。然后,找到第一报警信息中包括的IP地址,并禁止第二终端设备使用该IP地址,以使第二终端设备无法产生网络流量。并且,网络管理员再为该第二终端设备分配新的IP地址,以便第二终端用新的IP地址产生网络流量。这样的话,当第二终端设备的网络流量出现异常时,网络管理员就可以根据收到的短信内容对第二终端设备进行处理,以使第二终端设备能够及时的产生新的网络流量。
进一步地,作为本实施例的另一种可选方案,在获取所述第二终端设备的端口的当前网络流量值之前,即执行S110之前,该方法还可以包括:
判断所述第二终端设备是否处于使用状态,如果是,执行S110,如果否,将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理。
其中,所述第二报警信息中包括第二异常类别、所述第二终端设备的IP地址、所述第二终端设备的所述端口的标识。
需要说明的是,如果第二终端设备处于使用状态,第二终端设备能够产生网络流量,如果第二终端设备未处于使用状态,则第二终端设备不会产生网络流量,即第二终端设备的网络流量为零。在实际应用中,第二终端设备不产生网络流量的情况有两种,第一种是第二终端设备处于关机状态,则第二终端设备不会产生网络流量;第二种是第二终端设备对应的端口被关闭,第二终端设备不会产生网络流量。
如果第二终端未处于使用状态,则可以确定第二终端设备的当前网络流量值不会超过预设阈值,因此,对于未处于使用状态的第二终端设备,第一终端设备可以直接向网络管理员发送针对第二终端设备的第二报警信息。第二报警信息中可以包括第二异常类别、第二终端设备的IP地址、第二终端设备的端口的标识。其中,第二终端设备的端口的标识可以为第二终端设备的端口的端口号,第二异常类别具体为:第二终端设备未处于使用状态。
具体地,第一终端设备可以以短信的形式,将第二报警信息发送给网络管理员。
例如,第一终端设备在判断出第二终端设备未处于使用状态后,第一终端设备将包括第二终端设备的IP地址和第二终端的端口的标识的第二报警信息编辑成短信,并将短信发送给网络管理员。网络管理员接收到短信后,根据第一报警信息中的第二异常类别,可以知道是第二终端设备为处于使用状态。然后,根据第二报警信息中包括的第二终端设备的IP地址,找到第二终端设备,并确定第二终端设备未处于使用状态的原因,是由于关机导致的还是处于端口关闭倒闭导致的。如果由于第二终端设备关机导致的,则不对第二终端设备进行处理,如果是由于第二终端设备的端口关闭导致的,则第二终端设备的端口关闭有可能是由于网络流量异常导致的,因此网络管理员可以禁止该第二终端设备使用第二报警信息中包括的IP地址,并再为该第二终端设备分配新的IP地址,以便第二终端用新的IP地址产生网络流量。
具体地,为提高网络管理员对第二终端设备的处理效率,在第二报警信息中还可以包括使用第二终端设备的使用者的标识,例如使用者姓名或使用者工号。当网络管理员接收到包括第二报警信息的短信时,则可以直接根据使用者标识找到使用者,并通过使用者确定第二终端设备未处于使用状态的原因,而无需网络管理员再跑到第二终端设备处确定第二终端设备未处于使用状态的原因,可以提高网络管理员对第二终端设备处理的效率。
实施例二
S210,判断所述第二终端设备是否处于使用状态,如果否,执行S220,如果是,执行S230。
需要说明的是,如果第二终端设备处于使用状态,第二终端设备能够产生网络流量,如果第二终端设备未处于使用状态,则第二终端设备不会产生网络流量,即第二终端设备的网络流量为零。在实际应用中,第二终端设备不产生网络流量的情况有两种,第一种是第二终端设备处于关机状态,则第二终端设备不会产生网络流量;第二种是第二终端设备对应的端口被关闭,第二终端设备不会产生网络流量。
如果第二终端设备处于使用状态,则执行S230,如果第二终端设备未处于使用状态,则执行S220。
S220,将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理。
需要说明的是,如果第二终端未处于使用状态,则可以确定第二终端设备的当前网络流量值不会超过预设阈值,因此,对于未处于使用状态的第二终端设备,第一终端设备可以直接向网络管理员发送针对第二终端设备的第二报警信息。其中,第二报警信息中可以包括第二异常类别、第二终端设备的IP地址、第二终端设备的端口的标识。其中,第二终端设备的端口的标识可以为第二终端设备的端口的端口号,第二异常类别具体为:第二终端设备未处于使用状态。
具体地,第一终端设备可以以短信的形式,将第二报警信息发送给网络管理员。
例如,第一终端设备在判断出第二终端设备未处于使用状态后,第一终端设备将包括第二终端设备的IP地址和第二终端的端口的标识的第二报警信息编辑成短信,并将短信发送给网络管理员。网络管理员接收到短信后,根据第一报警信息中的第二异常类别,可以知道是第二终端设备为处于使用状态。然后,根据第二报警信息中包括的第二终端设备的IP地址,找到第二终端设备,并确定第二终端设备未处于使用状态的原因,是由于关机导致的还是处于端口关闭倒闭导致的。如果由于第二终端设备关机导致的,则不对第二终端设备进行处理,如果是由于第二终端设备的端口关闭导致的,则第二终端设备的端口关闭有可能是由于网络流量异常导致的,因此网络管理员可以禁止该第二终端设备使用第二报警信息中包括的IP地址,并再为该第二终端设备分配新的IP地址,以便第二终端用新的IP地址产生网络流量。
具体地,为提高网络管理员对第二终端设备的处理效率,在第二报警信息中还可以包括使用第二终端设备的使用者的标识,例如使用者姓名或使用者工号。当网络管理员接收到包括第二报警信息的短信时,则可以直接根据使用者标识找到使用者,并通过使用者确定第二终端设备未处于使用状态的原因,而无需网络管理员再跑到第二终端设备处确定第二终端设备未处于使用状态的原因,可以提高网络管理员对第二终端设备处理的效率。
S230,获取所述局域网中的第二终端设备的端口的当前网络流量值。
S240,判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值,如果是,执行S250。
S250,基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
S260,将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述终端设备的IP地址和所述端口的标识。
其中,所述第一报警信息中包含所述第二终端设备的IP地址和第一异常类别。
其中,第一异常类别具体为:第二终端设备的端口的当前网络流量值超出预设阈值。
具体地,第一终端设备可以以短信的形式,将第一报警信息发送给网络管理员。
例如,第一终端设备基于局域网中的交换机,关闭第二终端设备的端口后,第一终端设备将第一报警信息编辑成短信,并将短信发送给网络管理员。网络管理员接收到短信后,根据第一报警信息中的第一异常类别,可以知道是第二终端设备的当前网络流量值超出预设阈值。然后,找到第一报警信息中包括的IP地址,并禁止第二终端设备使用该IP地址,以使第二终端设备无法产生网络流量。并且,网络管理员再为该第二终端设备分配新的IP地址,以便第二终端用新的IP地址产生网络流量。这样的话,当第二终端设备的网络流量出现异常时,网络管理员就可以根据收到的短信内容对第二终端设备进行处理,以使第二终端设备能够及时的产生新的网络流量。
需要说明的是,本实施例中的S230与实施例一中的S110一样,本实施例中的S240与实施例一中的S120一样,本实施例中的S250与实施例一中的S130一样,这里不再赘述。
应用本实施例提供的方法,可以在第二终端设备的端口的当前网络流量值超出预设阈值时,基于局域网中的交换机,关闭第二终端设备的端口,以禁止第二终端设备通过端口使用网络流量,进而可以在网络流量出现异常时能够及时处理,以避免用户出现信息泄露、财产被盗等损失。并且,在网络流量出现异常可以向网络管理员发送报警信息,以使网络管理员对第二终端设备进行及时处理,可以对网络流量出现异常的第二终端设备进行进一步处理。
相应于上述方法实施例一,本发明实施例还提供了一种网络流量异常检测装置,该装置应用于局域网中的第一终端设备,如图3所示,该装置包括:
流量获取模块310,用于获取所述局域网中的第二终端设备的端口的当前网络流量值。
流量判断模块320,用于判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值,当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,触发端口关闭模块330。
端口关闭模块330,用于基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
具体地,该装置还包括:
第一信息发送模块(图3中未示出),用于在端口关闭模块330关闭所述第二终端设备的所述端口之后,将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述终端设备的IP地址和第一异常类别,所述第一异常类别为:所述第二终端设备的所述端口的当前网络流量值超出预设阈值。
具体地,该装置还包括:
状态判断模块(图3中未示出),用于在所述流量获取模块310获取所述第二终端设备的端口的当前网络流量值之前,判断所述第二终端设备是否处于使用状态,如果是,触发所述流量获取模块310。
更为具体地,该装置还包括第二信息发送模块(图3中未示出),用于在状态判断模块判断出所述第二终端设备未处于使用状态时,将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理,其中,所述第二报警信息中包括第二异常类别、所述第二终端设备的IP地址、所述第二终端设备的所述端口的标识,所述第二异常类别为:所述第二终端设备未处于使用状态。
可选地,所述第一信息发送模块具体用于:
以短信的形式,将第一报警信息发送给网络管理员。
可选地,所述第二信息发送模块具体用于:
以短信的形式,将第二报警信息发送给网络管理员。
应用本实施例所提供的装置,可以在第二终端设备的端口的当前网络流量值超出预设阈值时,基于局域网中的交换机,关闭第二终端设备的端口,以禁止第二终端设备通过端口使用网络流量,进而可以在网络流量出现异常时能够及时处理,以避免用户出现信息泄露、财产被盗等损失。
相应于上述方法实施例二,本发明实施例还提供了一种网络流量异常检测装置,该装置应用于局域网中的第一终端设备,如图4所示,该装置包括:
状态判断模块410,用于判断局域网中的第二终端设备是否处于使用状态,如果否,触发第二信息发送模块420,如果是,触发流量获取模块430。
第二信息发送模块420,用于将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理,其中,所述第二报警信息中包括所第二异常类别、所述第二终端设备的IP地址、所述第二终端设备的所述端口的标识,所述第二异常类别为:所述第二终端设备未处于使用状态。
流量获取模块430,用于获取所述第二终端设备的端口的当前网络流量值。
流量判断模块440,用于判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值,当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,触发端口关闭模块450。
端口关闭模块450,用于基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
第一信息发送模块460,用于在端口关闭模块450关闭所述第二终端设备的所述端口之后,将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述终端设备的IP地址和第一异常类别,所述第一异常类别为:所述第二终端设备的所述端口的当前网络流量值超出预设阈值。
应用本实施例所提供的装置,可以在第二终端设备的端口的当前网络流量值超出预设阈值时,基于局域网中的交换机,关闭第二终端设备的端口,以禁止第二终端设备通过端口使用网络流量,进而可以在网络流量出现异常时能够及时处理,以避免用户出现信息泄露、财产被盗等损失。
本发明实施例还提供了一种终端设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,实现如下步骤:
获取所述局域网中的第二终端设备的端口的当前网络流量值;
判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值;
当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
可选地,所述关闭所述第二终端设备的所述端口之后,所述方法还包括:
将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述第二终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述第二终端设备的IP地址和第一异常类别,所述第一异常类别为:所述第二终端设备的所述端口的当前网络流量值超出预设阈值。
可选地,所述获取所述第二终端设备的端口的当前网络流量值之前,所述方法还包括:判断所述第二终端设备是否处于使用状态;
如果所述第二终端设备处于使用状态,执行所述获取第二终端设备的端口的当前网络流量值的步骤。
可选地,如果所述终第二端设备未处于使用状态,所述方法还包括:
将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理,其中,所述第二报警信息中包括第二异常类别、所述第二终端设备的IP地址、所述第二终端设备的所述端口的标识,所述第二异常类别为:所述第二终端设备未处于使用状态。
可选地,所述将第一报警信息发送给网络管理员的步骤,包括:
以短信的形式,将第一报警信息发送给网络管理员。
可选地,所述将第二报警信息发送给网络管理员的步骤,包括:
以短信的形式,将第二报警信息发送给网络管理员。
上述终端设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
应用本实施例所提供的终端设备,可以在第二终端设备的端口的当前网络流量值超出预设阈值时,基于局域网中的交换机,关闭第二终端设备的端口,以禁止第二终端设备通过端口使用网络流量,进而可以在网络流量出现异常时能够及时处理,以避免用户出现信息泄露、财产被盗等损失。
本发明实施例还提供了一种存储介质,存储介质内存储有计算机程序,计算机程序被处理器执行时实现一种网络流量异常检测方法的步骤,具体的,一种网络流量异常检测方法包括以下步骤:
获取所述局域网中的第二终端设备的端口的当前网络流量值;
判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值;
当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
可选地,所述关闭所述第二终端设备的所述端口之后,所述方法还包括:
将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述第二终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述第二终端设备的IP地址和第一异常类别,所述第一异常类别为:所述第二终端设备的所述端口的当前网络流量值超出预设阈值。
可选地,所述获取所述第二终端设备的端口的当前网络流量值之前,所述方法还包括:判断所述第二终端设备是否处于使用状态;
如果所述第二终端设备处于使用状态,执行所述获取第二终端设备的端口的当前网络流量值的步骤。
可选地,如果所述终第二端设备未处于使用状态,所述方法还包括:
将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理,其中,所述第二报警信息中包括第二异常类别、所述第二终端设备的IP地址、所述第二终端设备的所述端口的标识,所述第二异常类别为:所述第二终端设备未处于使用状态。
可选地,所述将第一报警信息发送给网络管理员的步骤,包括:
以短信的形式,将第一报警信息发送给网络管理员。
可选地,所述将第二报警信息发送给网络管理员的步骤,包括:
以短信的形式,将第二报警信息发送给网络管理员。
应用本实施例所提供的存储介质,可以在第二终端设备的端口的当前网络流量值超出预设阈值时,基于局域网中的交换机,关闭第二终端设备的端口,以禁止第二终端设备通过端口使用网络流量,进而可以在网络流量出现异常时能够及时处理,以避免用户出现信息泄露、财产被盗等损失。
需要强调的是,对于终端设备以及存储介质实施例而言,由于其所涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、终端设备、存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种网络流量异常检测方法,其特征在于,应用于局域网中的第一终端设备,所述方法包括:
获取所述局域网中的第二终端设备的端口的当前网络流量值;
判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值;
当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
2.根据权利要求1所述的方法,其特征在于,所述关闭所述第二终端设备的所述端口之后,所述方法还包括:
将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述第二终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述第二终端设备的IP地址和第一异常类别,所述第一异常类别为:所述第二终端设备的所述端口的当前网络流量值超出预设阈值。
3.根据权利要求2所述的方法,其特征在于,所述获取所述第二终端设备的端口的当前网络流量值之前,所述方法还包括:判断所述第二终端设备是否处于使用状态;
如果所述第二终端设备处于使用状态,执行所述获取第二终端设备的端口的当前网络流量值的步骤。
4.根据权利要求3所述的方法,其特征在于,如果所述第二终端设备未处于使用状态,所述方法还包括:
将第二报警信息发送给网络管理员,以使所述网络管理员根据所述第二报警信息对所述第二终端设备进行第二类异常处理,其中,所述第二报警信息中包括所述第二异常类别、所述第二终端设备的IP地址、所述第二终端设备的所述端口的标识,所述第二异常类别为:所述第二终端设备未处于使用状态。
5.根据权利要求2所述的方法,其特征在于,所述将第一报警信息发送给网络管理员的步骤,包括:
以短信的形式,将第一报警信息发送给网络管理员。
6.根据权利要求4所述的方法,其特征在于,所述将第二报警信息发送给网络管理员的步骤,包括:
以短信的形式,将第二报警信息发送给网络管理员。
7.一种网络流量异常检测装置,其特征在于,应用于局域网中的第一终端设备,所述装置包括:
流量获取模块,用于获取所述局域网中的第二终端设备的端口的当前网络流量值;
流量判断模块,用于判断所述第二终端设备的所述端口的当前网络流量值是否超出预设阈值,当判断出所述第二终端设备的所述端口的当前网络流量值超出预设阈值时,触发端口关闭模块;
所述端口关闭模块,用于基于所述局域网中的交换机,关闭所述第二终端设备的所述端口,以禁止所述第二终端设备通过所述端口使用网络流量。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
信息发送模块,用于在所述端口关闭模块关闭所述第二终端设备的所述端口之后,将第一报警信息发送给网络管理员,以使所述网络管理员根据所述第一报警信息对所述第二终端设备进行第一类异常处理,其中,所述第一报警信息中包含所述第二终端设备的IP地址和第一异常类别,所述第一异常类别为:所述第二终端设备的所述端口的当前网络流量值超出预设阈值。
9.一种终端设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
10.一种存储介质,其特征在于,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710494771.4A CN107135127A (zh) | 2017-06-26 | 2017-06-26 | 一种网络流量异常检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710494771.4A CN107135127A (zh) | 2017-06-26 | 2017-06-26 | 一种网络流量异常检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107135127A true CN107135127A (zh) | 2017-09-05 |
Family
ID=59736282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710494771.4A Pending CN107135127A (zh) | 2017-06-26 | 2017-06-26 | 一种网络流量异常检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107135127A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632870A (zh) * | 2018-04-03 | 2018-10-09 | 四川斐讯信息技术有限公司 | 一种基于无线路由器监控上网数据的方法及系统 |
| CN109714230A (zh) * | 2018-12-29 | 2019-05-03 | 北京世纪互联宽带数据中心有限公司 | 一种流量监控方法、装置和计算设备 |
| CN110855657A (zh) * | 2019-11-07 | 2020-02-28 | 深圳市高德信通信股份有限公司 | 一种计算机网络用的网络安全控制系统 |
| CN110891002A (zh) * | 2019-11-21 | 2020-03-17 | 中盈优创资讯科技有限公司 | 出口服务器流量监控方法及装置 |
| CN111106961A (zh) * | 2019-12-24 | 2020-05-05 | 新浪网技术(中国)有限公司 | 一种交换机流量异常报警方法及装置 |
| CN112187745A (zh) * | 2020-09-15 | 2021-01-05 | 珠海格力电器股份有限公司 | 设备的监控方法和装置、存储介质、电子装置 |
| CN113810347A (zh) * | 2020-06-16 | 2021-12-17 | 中国电信股份有限公司 | Sdp架构下服务模式的切换方法和系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101728869A (zh) * | 2009-11-10 | 2010-06-09 | 重庆大学 | 电站自动化系统数据网络安全监控方法 |
| CN101854649A (zh) * | 2010-05-20 | 2010-10-06 | 中兴通讯股份有限公司 | 移动终端、监控移动终端上网数据流量的方法及装置 |
| CN102625335A (zh) * | 2012-02-24 | 2012-08-01 | 广东步步高电子工业有限公司 | 一种移动手持装置访问网络时的流量监控方法及系统 |
| CN103067192A (zh) * | 2011-10-20 | 2013-04-24 | 北京天行网安信息技术有限责任公司 | 一种网络流量的分析系统及方法 |
| CN103209439A (zh) * | 2013-03-14 | 2013-07-17 | 北京小米科技有限责任公司 | 一种数据流量监控的方法、装置和设备 |
| CN106453434A (zh) * | 2016-12-20 | 2017-02-22 | 北京启明星辰信息安全技术有限公司 | 一种网络流量的监测方法及监测系统 |
| CN106550405A (zh) * | 2016-11-04 | 2017-03-29 | 惠州Tcl移动通信有限公司 | 一种基于移动终端的网络数据接收控制方法及系统 |
| CN106559407A (zh) * | 2015-11-19 | 2017-04-05 | 国网智能电网研究院 | 一种基于sdn的网络流量异常监测系统 |
-
2017
- 2017-06-26 CN CN201710494771.4A patent/CN107135127A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101728869A (zh) * | 2009-11-10 | 2010-06-09 | 重庆大学 | 电站自动化系统数据网络安全监控方法 |
| CN101854649A (zh) * | 2010-05-20 | 2010-10-06 | 中兴通讯股份有限公司 | 移动终端、监控移动终端上网数据流量的方法及装置 |
| CN103067192A (zh) * | 2011-10-20 | 2013-04-24 | 北京天行网安信息技术有限责任公司 | 一种网络流量的分析系统及方法 |
| CN102625335A (zh) * | 2012-02-24 | 2012-08-01 | 广东步步高电子工业有限公司 | 一种移动手持装置访问网络时的流量监控方法及系统 |
| CN103209439A (zh) * | 2013-03-14 | 2013-07-17 | 北京小米科技有限责任公司 | 一种数据流量监控的方法、装置和设备 |
| CN106559407A (zh) * | 2015-11-19 | 2017-04-05 | 国网智能电网研究院 | 一种基于sdn的网络流量异常监测系统 |
| CN106550405A (zh) * | 2016-11-04 | 2017-03-29 | 惠州Tcl移动通信有限公司 | 一种基于移动终端的网络数据接收控制方法及系统 |
| CN106453434A (zh) * | 2016-12-20 | 2017-02-22 | 北京启明星辰信息安全技术有限公司 | 一种网络流量的监测方法及监测系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632870A (zh) * | 2018-04-03 | 2018-10-09 | 四川斐讯信息技术有限公司 | 一种基于无线路由器监控上网数据的方法及系统 |
| CN109714230A (zh) * | 2018-12-29 | 2019-05-03 | 北京世纪互联宽带数据中心有限公司 | 一种流量监控方法、装置和计算设备 |
| CN109714230B (zh) * | 2018-12-29 | 2021-02-02 | 北京世纪互联宽带数据中心有限公司 | 一种流量监控方法、装置和计算设备 |
| CN110855657A (zh) * | 2019-11-07 | 2020-02-28 | 深圳市高德信通信股份有限公司 | 一种计算机网络用的网络安全控制系统 |
| CN110855657B (zh) * | 2019-11-07 | 2021-05-18 | 深圳市高德信通信股份有限公司 | 一种计算机网络用的网络安全控制系统 |
| CN110891002A (zh) * | 2019-11-21 | 2020-03-17 | 中盈优创资讯科技有限公司 | 出口服务器流量监控方法及装置 |
| CN111106961A (zh) * | 2019-12-24 | 2020-05-05 | 新浪网技术(中国)有限公司 | 一种交换机流量异常报警方法及装置 |
| CN111106961B (zh) * | 2019-12-24 | 2022-11-01 | 新浪网技术(中国)有限公司 | 一种交换机流量异常报警方法及装置 |
| CN113810347A (zh) * | 2020-06-16 | 2021-12-17 | 中国电信股份有限公司 | Sdp架构下服务模式的切换方法和系统 |
| CN113810347B (zh) * | 2020-06-16 | 2023-07-18 | 中国电信股份有限公司 | Sdp架构下服务模式的切换方法和系统 |
| CN112187745A (zh) * | 2020-09-15 | 2021-01-05 | 珠海格力电器股份有限公司 | 设备的监控方法和装置、存储介质、电子装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107135127A (zh) | 一种网络流量异常检测方法及装置 | |
| US9130983B2 (en) | Apparatus and method for detecting abnormality sign in control system | |
| CN104320295B (zh) | Can报文异常检测方法及系统 | |
| Yang et al. | Rule-based intrusion detection system for SCADA networks | |
| CN105871811B (zh) | 控制应用程序权限的方法及控制器 | |
| CN101547187B (zh) | 宽带接入设备的网络攻击防护方法 | |
| Wang et al. | A survey on bad data injection attack in smart grid | |
| US9661006B2 (en) | Method for protection of automotive components in intravehicle communication system | |
| CN106656989B (zh) | 一种流量监控方法及终端 | |
| CN110830986A (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
| CN106027520A (zh) | 一种检测处理盗取网站帐号的方法及装置 | |
| CN107547566A (zh) | 一种处理业务报文的方法及装置 | |
| CN112769833A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN107645502A (zh) | 一种报文检测方法及装置 | |
| Beigh et al. | Intrusion detection and prevention system: issues and challenges | |
| CN108322454B (zh) | 一种网络安全检测方法及装置 | |
| CN107864110A (zh) | 僵尸网络主控端检测方法和装置 | |
| CN106161330A (zh) | 一种应用于profinet工业以太网的安全隔离系统 | |
| CN107277070A (zh) | 一种计算机网络入侵防御系统及入侵防御方法 | |
| CN108989275A (zh) | 一种攻击防范方法和装置 | |
| Gulomov et al. | Method for security monitoring and special filtering traffic mode in info communication systems | |
| WO2015127831A1 (zh) | 防范入侵的方法及接入设备 | |
| CN109462617A (zh) | 一种局域网中设备通讯行为检测方法及装置 | |
| CN110535844B (zh) | 一种恶意软件通讯活动检测方法、系统及存储介质 | |
| CN108768996A (zh) | 一种sql注入攻击的检测防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170905 |
|
| WD01 | Invention patent application deemed withdrawn after publication |