CN107196816A - 异常流量检测方法、系统及网络分析设备 - Google Patents
异常流量检测方法、系统及网络分析设备 Download PDFInfo
- Publication number
- CN107196816A CN107196816A CN201610143853.XA CN201610143853A CN107196816A CN 107196816 A CN107196816 A CN 107196816A CN 201610143853 A CN201610143853 A CN 201610143853A CN 107196816 A CN107196816 A CN 107196816A
- Authority
- CN
- China
- Prior art keywords
- flow
- traffic
- suspicious
- abnormal
- sdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 19
- 230000002547 anomalous effect Effects 0.000 title abstract 3
- 230000002159 abnormal effect Effects 0.000 claims abstract description 155
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000003012 network analysis Methods 0.000 claims description 79
- 238000012795 verification Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 12
- 238000004806 packaging method and process Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 10
- 238000012544 monitoring process Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 6
- 206010033799 Paralysis Diseases 0.000 description 4
- 238000005206 flow analysis Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常流量检测方法,所述方法包括:软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断;所述可疑流量报文初步判断为异常流量时,SDN交换机根据SDN控制器的指示向网络分析设备发送可疑流量镜像数据;所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断;所述可疑流量镜像精确判断为异常流量时,所述SDN控制器关闭产生异常流量的流量设备。本发明还同时公开了一种异常流量检测方法、系统及网络分析设备。
Description
技术领域
本发明涉及无线通信领域的异常流量处理技术,具体涉及异常流量检测方法、系统及网络分析设备。
背景技术
现有网络中异常流量检测流程为:
1、每个出口路由器上配置镜像,使用1个万兆端口作为流量输出端口,每个出口路由器通过所述流量输出端口向网络分析设备发送全部流量镜像,并在所述分析设备上完成各流量设备的相应预设阈值条件设定,所述流量设备包括:各层交换机、虚拟机或主机等。
2、网络分析设备接收来自每个出口路由器的全部流量镜像,根据所述全部流量镜像对各设备之间的出口流量进行监测、统计和分析。
3、网络分析设备对达到所述设备相应预设阈值条件的出口流量生成流量分析视图,并按预设时间间隔触发报警信息。
4、报警信息发送至后台控制器,管理员通过后台控制器对所述流量分析视图进行处理,确定产生异常流量的原因,并关闭产生异常流量的设备。
现有技术的缺点在于:
1、此检测流程中,每个出口路由器都会通过流量输出端口向网络分析设备发送全部流量镜像,使网络分析设备承受的数据量较大,突发流量很容易超过网络分析设备的处理能力,网络系统依赖于网络分析设备,当分析设备瘫痪时,会导致网络系统无法正常运行。
2、此检测流程中,后台控制器在收到网络分析设备发送的报警信息后,必须由管理员对异常流量进行人工定位和处理,导致网络系统维护难度大,效率较低。
发明内容
为解决现有存在的技术问题,本发明实施例期望提供一种异常流量检测方法、系统及网络分析设备,能够避免网络分析设备中因收到的流量镜像过大而导致网络系统瘫痪;且能够大大提高网络系统的排错效率。
本发明实施例的技术方案是这样实现的:
根据本发明第一种实施例的一方面,提供一种异常流量检测方法,所述方法包括:
软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断;
所述可疑流量报文初步判断为异常流量时,SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据;
所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断;
所述可疑流量镜像数据精确判断为异常流量时,所述SDN控制器关闭产生异常流量的流量设备。
上述方案中,在所述SDN控制器对接收到的可疑流量报文进行异常流量的初步判断之前,所述方法还包括:
SDN交换机监测所述流量设备的出口流量是否达到预设阈值条件;
所述流量设备的出口流量达到预设阈值条件时,SDN交换机向所述SDN控制器发送超过所述流量设备预设阈值条件的可疑流量报文。
上述方案中,SDN控制器对接收到的可疑流量报文进行异常流量的初步判断,包括:
所述SDN控制器接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;
或所述SDN控制器收到多个源端SDN交换机发送的可疑流量报文的流量特征相同时,所述可疑流量报文初步判断为异常流量。
上述方案中,所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断,包括:
所述网络分析设备接收所述SDN控制器发送的可疑流量的待验证信息,根据所述可疑流量的待验证信息对接收到的可疑流量镜像数据进行异常流量的精确判断。
根据本发明第一种实施例的另一方面,提供一种异常流量检测系统,所述系统包括:SDN控制器、SDN交换机和网络分析设备;其中,
所述SDN控制器,用于对接收到所述SDN交换机发送的可疑流量报文进行异常流量的初步判断,并向所述SDN交换机发送判断结果;在所述网络分析设备对可疑流量镜像精确判断为异常流量时,关闭产生异常流量的流量设备;
SDN交换机,用于在所述SDN控制器对所述可疑流量报文初步判断为异常流量时,根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据;
所述网络分析设备,用于对接收到所述SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断,并向所述SDN控制器发送判断结果。
上述方案中,所述SDN交换机,还用于监测所述流量设备的出口流量是否达到预设阈值条件;所述流量设备的出口流量达到预设阈值条件时,SDN交换机向所述SDN控制器发送超过所述流量设备预设阈值条件的可疑流量报文。
上述方案中,所述SDN控制器,用于对接收到所述SDN交换机发送的可疑流量报文进行异常流量的初步判断,包括:
SDN控制器接收到源端的SDN交换机与一个或多个目的端的SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;
或所述SDN控制器收到多个源端的SDN交换机发送的可疑流量报文的流量特征相同时,所述可疑流量报文初步判断为异常流量。
上述方案中,所述网络分析设备,具体还用于接收所述SDN控制器发送的可疑流量的待验证信息,根据所述待验证信息对接收到所述SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断。
根据本发明第二种实施例的一方面,提供一种异常流量检测方法,所述方法包括:
网络分析设备接收SDN交换机发送的可疑流量镜像数据,并对接收到的所述可疑流量镜像数据进行异常流量的精确判断,再将所述可疑流量镜像数据的判断结果发送至SDN控制器,所述SDN控制器根据所述判断结果关闭产生异常流量的流量设备。
根据本发明第二种实施例的再一方面,提供一种网络分析设备,所述设备包括:接收单元,判断单元和发送单元;其中,
所述接收单元,用于接收SDN交换机发送的可疑流量镜像数据;
所述判断单元,用于对接收单元接收到的所述可疑流量镜像数据进行异常流量的精确判断;
所述发送单元,用于将所述判断单元对所述可疑流量镜像数据的判断结果发送至SDN控制器,所述SDN控制器根据所述判断结果关闭产生异常流量的流量设备。
本发明实施例提供的一种异常流量检测方法、系统及网络分析设备,软件定义网络(SDN,Software Defined Network)控制器对接收到的可疑流量报文进行异常流量的初步判断;所述可疑流量报文初步判断为异常流量时,SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据;所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断;所述可疑流量镜像数据精确判断为异常流量时,所述SDN控制器关闭产生异常流量的流量设备。
如此,能实现网络分析设备只接收SDN交换机发送的可疑流量镜像数据,而无需像传统方式那样接收每个出口路由器发送的全流量镜像数据,避免了因收到过大的流量镜像数据导致网络分析设备瘫痪,进而造成网络系统无法正常运行的问题。另外,SDN控制器在网络分析设备对可疑流量镜像数据精确判断为异常流量时,能关闭产生异常流量的流量设备,提高了网络系统的排错效率。
附图说明
图1为本发明实施例异常流量检测方法的实现流程图;
图2为本发明实施例异常流量检测系统的结构示意图;
图3为本发明实施例另一异常流量检测方法的实现流程图;
图4为本发明实施例网络分析设备的结构示意图。
具体实施方式
下面结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
图1为本发明实施例异常流量检测方法的实现流程图;如图1所示,该方法包括:
步骤101,SDN控制器对接收到的可疑流量报文进行异常流量的初步判断;
这里,SDN控制器具体是接收SDN交换机发送的可疑流量报文,SDN交换机能够完成对每个流量设备流量阈值条件的预设,在本发明实施例中,所述流量设备是指:能与网络通信产生流量的虚拟机、主机或各层交换机。在本发明实施例中,该流量阈值条件的预设是根据流量设备自身的流量需求设定的,流量阈值条件的预设包括但不限于流量设备发送或接收报文的数量峰值和出、入口流量的峰值;利用SDN交换机的流量监测功能,监测每个流量设备的出口流量是否达到相应的流量阈值条件,当流量设备的出口流量发生异常达到了流量阈值条件时,SDN交换机向SDN控制器发送超过所述流量设备流量阈值条件的可疑流量报文,SDN控制器对接收到的可疑流量报文构建关于可疑流量的分析视图,并对可疑流量进行异常流量的初步判断,判断方法包括但不限于以下两种:
1、SDN控制器接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;
例如:在数据中心网络中,源端流量设备的出口流量发生异常,频繁向其相邻的目的端流量设备发送报文,源端流量设备所连接的SDN交换机监测到其出口流量异常增多且超过预设阈值条件,则会向SDN控制器发送超过所述源端流量设备的预设阈值条件的可疑流量报文;同时,目的端流量设备由于不断接收来自源端流量设备发送的报文,而与目的端流量设备连接的SDN交换机监测到其输入流量不断的增多,也有可能超过其预设阈值条件,当其输入流量超过预设阈值条件时,则向SDN控制器发送超过所述目的端流量设备的预设阈值条件的可疑流量报文,SDN控制器接收到源端SDN交换机与目的端SDN交换机同时发送的可疑流量报文时,则初步判断所述可疑流量报文为异常流量。在本发明实施例中,目的端流量设备能接收由源端流量设备发送的报文,也能接收由其他,如正常流量设备发送的报文;当目的端流量设备收到的报文地址与源端流量设备发送的报文地址匹配时,确定目的端流量设备接收的报文是由源端流量设备发送的。
2、SDN控制器收到多个源端SDN交换机发送的可疑流量报文,且发送的可疑流量报文的流量特征相同时,则所述可疑流量报文初步判断为异常流量;
在本发明实施例中,流量特征包括:网络吞吐量、网络发包数量和网络端口号等。例如:多个源端的SDN交换机发送给SDN控制器的可疑流量报文中的流量特征:网络吞吐量一致,则初步判断所述可疑流量报文为异常流量。
在本发明实施例中,SDN交换机发送给SDN控制器的可疑流量报文包括:各流量设备所发送报文的网络之间互连的协议(IP,Internet Protocol)地址及传输控制协议(TCP,Transmission Control Protocol)或用户数据报协议(UDP,User Datagram Protocol)端口号,其中可疑流量报文中的数据信息仅包括源端流量设备的IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出预设阈值条件的具体参数信息等,并不承载报文荷载数据,具体封装及格式如表1所示:
表1
步骤102,可疑流量报文初步判断为异常流量时,SDN交换机根据SDN控制器的指示向网络分析设备发送可疑流量镜像数据;
这里,SDN控制器初步判断所述可疑流量为异常流量时,会向上报该可疑流量的SDN交换机发送该可疑流量的可疑流量镜像表,SDN交换机接收SDN控制器发送的可疑流量镜像表后,根据所述可疑流量镜像表的路径向网络分析设备发送可疑流量镜像数据,同时SDN控制器向网络分析设备发送可疑流量的待验证信息,提醒网络分析设备接收来自SDN交换机发送的可疑流量镜像数据。
步骤103,网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断;
这里,网络分析设备收到SDN控制器发送的可疑流量的待验证信息后,根据所述可疑流量的待验证信息对接收到SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断;
本发明实施例中,SDN控制器向网络分析设备发送的可疑流量的待验证信息包括:会话ID、流量信息和验证结果;其中,会话ID用于标识待验证可疑流量的编号;流量信息是表1中的数据信息,即表1数据中:源端流量设备IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出阈值条件的具体参数信息等;验证结果是对流量信息的验证结果,即判断由SDN交换机发送的可疑流量镜像数据属于正常流量还是异常流量;具体封装及格式如表2所示:
表2
步骤104,可疑流量镜像数据精确判断为异常流量时,所述SDN控制器根据网络分析设备的判断结果关闭产生异常流量的流量设备。
这里,网络分析设备将判断结果发送至SDN控制器,SDN控制器接收所述判断结果,若所述判断结果显示为异常流量,则向SDN交换机发送删除异常流量的流量设备通信流表,从而关闭异常流量的流量设备;进一步地,若所述判断结果显示为正常流量,SDN控制器向SDN交换机发送删除可疑流量镜像表。
在本发明实施例中,网络分析设备向SDN控制器发送的判断结果包括:会话ID、流量信息和验证结果;其中,会话ID用于标识进行精确判断的可疑流量编号;流量信息是指表1中的数据信息,即表1数据中:源端流量设备IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出阈值条件的具体参数信息等;验证结果是对流量信息的验证结果,即判断由SDN交换机发送的可疑流量镜像数据属于正常流量还是异常流量;具体封装及格式如表3所示:
表3
图2为本发明实施例异常流量检测系统的结构示意图。如图2所示,包括:
SDN控制器201、SDN交换机202和网络分析设备203;其中,
SDN控制器201,用于对接收到所述SDN交换机202发送的可疑流量报文进行异常流量的初步判断,并向所述SDN交换机202发送判断结果;在所述网络分析设备203对可疑流量镜像精确判断为异常流量时,关闭产生异常流量的流量设备204;
SDN交换机202,用于在所述SDN控制器201对所述可疑流量报文初步判断为异常流量时,根据所述SDN控制器的指示向网络分析设备203发送可疑流量镜像数据;
网络分析设备203,用于对接收到所述SDN交换机202发送的可疑流量镜像数据进行异常流量的精确判断,并向所述SDN控制器201发送判断结果。
这里,SDN交换机202能够完成对每个流量设备204流量阈值条件的预设,也可以完成对各层交换机流量阈值条件的预设。该流量阈值条件的预设是根据流量设备204自身的流量需求设定的,流量阈值条件的预设包括但不限于流量设备204发送或接收报文的数量峰值和出、入口流量的峰值;利用SDN交换机202的流量监测功能,监测每个流量设备204的出口流量是否达到相应的流量阈值条件,当流量设备204的出口流量发生异常达到了流量阈值条件时,SDN交换机202向SDN控制器201发送超过所述流量设备204流量阈值条件的可疑流量报文,SDN控制器201对接收到的可疑流量报文构建关于可疑流量的分析视图,并对可疑流量进行异常流量的初步判断,判断方法包括但不限于以下两种:
1、SDN控制器201接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;
例如:在数据中心网络中,源端流量设备的出口流量发生异常,频繁向其相邻的目的端流量设备发送报文,源端流量设备连接的SDN交换机监测到其出口流量异常增多且超过预设阈值条件,则会向SDN控制器201发送超过所述源端流量设备的预设阈值条件的可疑流量报文;同时,目的端流量设备连接的SDN交换机也监测到其输入流量异常增多,且超过预设阈值条件,则向SDN控制器201发送超过所述目的端流量设备的阈值的可疑流量报文,SDN控制器201接收到源端SDN交换机与目的端SDN交换机同时发送的可疑流量报文时,则初步判断所述可疑流量报文为异常流量。在本发明实施例中,目的端流量设备能接收由源端流量设备发送的报文,也能接收由其他如:正常流量设备发送的报文;当目的端流量设备收到的报文地址与源端流量设备发送的报文地址匹配时,确定目的端流量设备接收的报文是由源端流量设备发送的。
2、SDN控制器201收到多个源端SDN交换机发送的可疑流量报文,且发送的的流量特征均相同时,所述可疑流量报文初步判断为异常流量;
在本发明实施例中,流量特征包括:网络吞吐量、网络发包数量和网络端口号等。例如:多个源端的SDN交换机发送给SDN控制器201的可疑流量报文中的流量特征:网络吞吐量一致,则初步判断所述可疑流量报文为异常流量。
在本发明实施例中,SDN交换机202发送给SDN控制器201的可疑流量报文包括:各流量设备204所发送报文的IP地址及TCP或UDP端口号,其中报文的数据信息中仅包括源端流量设备的IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出预设阈值条件的具体参数信息等,并不承载报文荷载数据,具体封装及格式如表1所示。
SDN控制器201初步判断所述可疑流量为异常流量时,会向上报该可疑流量的SDN交换机202发送该可疑流量的镜像流表,SDN交换机202接收SDN控制器201发送的可疑流量镜像表后,根据所述可疑流量镜像表的路径向网络分析设备203发送可疑流量镜像数据,同时SDN控制器201向网络分析设备203发送可疑流量的待验证信息,提醒网络分析设备203接收来自SDN交换机202发送的可疑流量镜像数据。
网络分析设备203通过SDN网关与SDN业务网络进行物理连接,具体可以直接与SDN网关连接,然后通过管理网络与SDN控制器201进行连接,并在SDN控制器201中预配该网络分析设备203地址,网络分析设备203收到SDN控制器201发送的可疑流量待验证信息后,根据所述可疑流量的待验证信息对接收到SDN交换机202发送的可疑流量镜像数据进行异常流量的精确判断;
本发明实施例中,SDN控制器201向网络分析设备203发送的可疑流量待验证信息包括:会话ID、流量信息和验证结果;其中,会话ID用于标识待验证可疑流量的编号;流量信息是表1数据中:源端流量设备的IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出阈值条件的具体参数信息等;验证结果是对流量信息的验证结果,即判断由SDN交换机发送的可疑流量镜像数据属于正常流量还是异常流量;具体封装及格式如表2所示。
网络分析设备203将判断结果发送至SDN控制器201,SDN控制器201接收所述判断结果,若所述判断结果显示为异常流量,则向SDN交换机202发送删除异常流量的流量设备204的通信流表,关闭异常流量的流量设备204;相反,若所述判断结果显示为正常流量,SDN控制器201向SDN交换机202发送删除可疑流量的镜像流表。
在本发明实施例中,网络分析设备203向SDN控制器201发送的判断结果包括:会话ID、流量信息和验证结果;其中,会话ID用于标识进行精确判断的可疑流量编号;流量信息是表1中所示的数据信息,即表1数据中:源流量设备IP地址、所有目的流量设备IP地址、TCP或UDP端口号和超出阈值条件的具体参数信息等;验证结果是对流量信息的验证结果,即判断由SDN交换机发送的可疑流量镜像数据属于正常流量还是异常流量;具体封装及格式如表3所示。
本发明实施例中,利用SDN架构中SDN控制器201的全局视图功能、SDN交换机202的流量监控功能和网络分析设备203对网络中超过流量设备204的预设阈值条件的可疑流量作三步确认,使得检测出的可疑流量更为准确,另外,SDN交换机202仅需向网络分析设备203发送可疑流量部分的镜像,而无需发送全部流量的镜像,避免了因接收过多的镜像流量导致网络分析设备203瘫痪,影响网络系统正常运行的情况发生;再者,当网络分析设备203对可疑流量镜像作出精确判断为为异常流量时,由SDN控制器向SDN交换机发送删除产生异常流量的流量设备的通信流表,关闭产生异常流量的流量设备,无需人工操作,提高网络排错效率。
图3为本发明实施例异常流量检测方法的实现流程图;如图3所示,该方法包括:
步骤301,接收SDN交换机发送的可疑流量镜像数据;
这里,SDN交换机能够完成对每个流量设备流量阈值条件的预设,也可以完成对各层交换机流量阈值条件的预设。在本发明实施例中,该流量阈值条件的预设是根据流量设备自身的流量需求设定的,流量阈值条件的预设包括但不限于流量设备发送或接收报文的数量峰值和出、入口流量的峰值;利用SDN交换机的流量监测功能,监测每个流量设备的出口流量是否达到相应的流量阈值条件,当流量设备的出口流量发生异常达到了流量阈值条件时,SDN交换机向SDN控制器发送超过所述流量设备流量阈值条件的可疑流量报文,SDN控制器对接收到的可疑流量报文构建关于可疑流量的分析视图,并对可疑流量进行异常流量的初步判断,判断方法包括但不限于以下两种:
1、SDN控制器接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;
例如:在数据中心网络中,源端流量设备的出口流量发生异常,频繁向其相邻的目的端流量设备发送报文,源端流量设备所连接的SDN交换机监测到其出口流量异常增多且超过预设阈值条件,则会向SDN控制器发送超过所述源端流量设备的预设阈值条件的可疑流量报文;同时,目的端流量设备由于不断接收来自源端流量设备发送的报文,而与目的端流量设备连接的SDN交换机监测到其输入流量不断的增多,也有可能超过其预设阈值条件,当其输入流量超过预设阈值条件时,则向SDN控制器发送超过所述目的端流量设备的预设阈值条件的可疑流量报文,SDN控制器接收到源端SDN交换机与目的端SDN交换机同时发送的可疑流量报文时,则初步判断所述可疑流量报文为异常流量。在本发明实施例中,目的端流量设备能接收由源端流量设备发送的报文,也能接收由其他,如正常流量设备发送的报文;当目的端流量设备收到的报文地址与源端流量设备发送的报文地址匹配时,确定目的端流量设备接收的报文是由源端流量设备发送的。
2、SDN控制器收到多个源端SDN交换机发送的可疑流量报文,且发送的可疑流量报文的流量特征相同时,则所述可疑流量报文初步判断为异常流量;
在本发明实施例中,流量特征包括:网络吞吐量、网络发包数量和网络端口号等。例如:多个源端的SDN交换机发送给SDN控制器的可疑流量报文中的流量特征:网络吞吐量一致,则初步判断所述可疑流量报文为异常流量。
在本发明实施例中,SDN交换机发送给SDN控制器的可疑流量报文包括:各流量设备所发送报文的IP地址及TCP或UDP端口号,其中可疑流量报文中的数据信息仅包括源端流量设备的IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出预设阈值条件的具体参数信息等,并不承载报文荷载数据,具体封装及格式如表1所示;
SDN控制器初步判断所述可疑流量为异常流量时,会向上报该可疑流量的SDN交换机发送该可疑流量的可疑流量镜像表,SDN交换机接收SDN控制器发送的可疑流量镜像表后,根据所述可疑流量镜像表的路径向网络分析设备发送可疑流量镜像数据,同时SDN控制器向网络分析设备发送可疑流量的待验证信息,提醒网络分析设备接收来自SDN交换机发送的可疑流量镜像数据。
步骤302,对接收到的所述可疑流量镜像数据进行异常流量的精确判断;
这里,网络分析设备收到SDN控制器发送的可疑流量的待验证信息后,根据所述可疑流量的待验证信息对接收到SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断;本发明实施例中,SDN控制器向网络分析设备发送的可疑流量的待验证信息包括:会话ID、流量信息和验证结果;其中,会话ID用于标识待验证可疑流量的编号;流量信息是表1中的数据信息,即表1数据中:源端流量设备IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出阈值条件的具体参数信息等;验证结果是对流量信息的验证结果,即判断由SDN交换机发送的可疑流量镜像数据属于正常流量还是异常流量;具体封装及格式如表2所示;
步骤303,将所述可疑流量镜像数据的判断结果发送至SDN控制器,所述SDN控制器根据所述判断结果关闭产生异常流量的流量设备。
这里,网络分析设备将判断结果发送至SDN控制器,SDN控制器接收所述判断结果,若所述判断结果显示为异常流量,则向SDN交换机发送删除异常流量的流量设备的通信流表,从而关闭异常流量的流量设备;进一步地,若所述判断结果显示为正常流量,SDN控制器向SDN交换机发送删除可疑流量镜像表。
在本发明实施例中,网络分析设备向SDN控制器发送的判断结果包括:会话ID、流量信息和验证结果;其中,会话ID用于标识进行精确判断的可疑流量编号;流量信息是指表1中的数据信息,即表1数据中:源端流量设备IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出阈值条件的具体参数信息等;验证结果是对流量信息的验证结果,即判断由SDN交换机发送的可疑流量镜像数据属于正常流量还是异常流量;具体封装及格式如表3所示。
图4为本发明实施例网络分析设备的结构示意图;如图4所示,所述设备包括:接收单元401,判断单元402和发送单元403;其中,
所述接收单元401,用于接收SDN交换机发送的可疑流量镜像数据;
所述判断单元402,用于对所述接收单元401接收到的所述可疑流量镜像数据进行异常流量的精确判断;
所述发送单元403,用于将所述判断单元402对所述可疑流量镜像数据的判断结果发送至SDN控制器,所述SDN控制器根据所述判断结果关闭产生异常流量的流量设备。
这里,SDN交换机能够完成对每个流量设备流量阈值条件的预设,也可以完成对各层交换机流量阈值条件的预设。在本发明实施例中,该流量阈值条件的预设是根据流量设备自身的流量需求设定的,流量阈值条件的预设包括但不限于流量设备发送或接收报文的数量峰值和出、入口流量的峰值;利用SDN交换机的流量监测功能,监测每个流量设备的出口流量是否达到相应的流量阈值条件,当流量设备的出口流量发生异常达到了流量阈值条件时,SDN交换机向SDN控制器发送超过所述流量设备流量阈值条件的可疑流量报文,SDN控制器对接收到的可疑流量报文构建关于可疑流量的分析视图,并对可疑流量进行异常流量的初步判断,判断方法包括但不限于以下两种:
1、SDN控制器接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;
例如:在数据中心网络中,源端流量设备的出口流量发生异常,频繁向其相邻的目的端流量设备发送报文,源端流量设备所连接的SDN交换机监测到其出口流量异常增多且超过预设阈值条件,则会向SDN控制器发送超过所述源端流量设备的预设阈值条件的可疑流量报文;同时,目的端流量设备由于不断接收来自源端流量设备发送的报文,而与目的端流量设备连接的SDN交换机监测到其输入流量不断的增多,也有可能超过其预设阈值条件,当其输入流量超过预设阈值条件时,则向SDN控制器发送超过所述目的端流量设备的预设阈值条件的可疑流量报文,SDN控制器接收到源端SDN交换机与目的端SDN交换机同时发送的可疑流量报文时,则初步判断所述可疑流量报文为异常流量。在本发明实施例中,目的端流量设备能接收由源端流量设备发送的报文,也能接收由其他,如正常流量设备发送的报文;当目的端流量设备收到的报文地址与源端流量设备发送的报文地址匹配时,确定目的端流量设备接收的报文是由源端流量设备发送的。
2、SDN控制器收到多个源端SDN交换机发送的可疑流量报文,且发送的可疑流量报文的流量特征相同时,则所述可疑流量报文初步判断为异常流量;
在本发明实施例中,流量特征包括:网络吞吐量、网络发包数量和网络端口号等。例如:多个源端的SDN交换机发送给SDN控制器的可疑流量报文中的流量特征:网络吞吐量一致,则初步判断所述可疑流量报文为异常流量。
在本发明实施例中,SDN交换机发送给SDN控制器的可疑流量报文包括:各流量设备所发送报文的IP地址及TCP或UDP端口号,其中可疑流量报文中的数据信息仅包括源端流量设备的IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出预设阈值条件的具体参数信息等,并不承载报文荷载数据,具体封装及格式如表1所示;
接收单元401,判断单元402和发送单元403均由位于网络分析设备中,SDN控制器初步判断所述可疑流量为异常流量时,会向上报该可疑流量的SDN交换机发送该可疑流量的可疑流量镜像表,SDN交换机接收SDN控制器发送的可疑流量镜像表后,根据所述可疑流量镜像表的路径向接收单元401发送可疑流量镜像数据,同时SDN控制器向接收单元401发送可疑流量的待验证信息,提醒接收单元401接收来自SDN交换机发送的可疑流量镜像数据。
接收单元401收到SDN控制器发送的可疑流量的待验证信息后,由判断单元402根据所述可疑流量的待验证信息对SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断;本发明实施例中,SDN控制器向接收单元401发送的可疑流量的待验证信息包括:会话ID、流量信息和验证结果;其中,会话ID用于标识待验证可疑流量的编号;流量信息是表1中的数据信息,即表1数据中:源端流量设备IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出阈值条件的具体参数信息等;验证结果是对流量信息的验证结果,即判断由SDN交换机发送的可疑流量镜像数据属于正常流量还是异常流量;具体封装及格式如表2所示;发送单元403将判断单元402对所述可疑流量镜像数据的判断结果发送至SDN控制器,SDN控制器接收所述判断结果,若所述判断结果显示为异常流量,则向SDN交换机发送删除异常流量的流量设备的通信流表,从而关闭异常流量的流量设备;进一步地,若所述判断结果显示为正常流量,SDN控制器向SDN交换机发送删除可疑流量镜像表。
在本发明实施例中,发送单元403向SDN控制器发送的判断结果包括:会话ID、流量信息和验证结果;其中,会话ID用于标识进行精确判断的可疑流量编号;流量信息是指表1中的数据信息,即表1数据中:源端流量设备IP地址、所有目的端流量设备的IP地址、TCP或UDP端口号和超出阈值条件的具体参数信息等;验证结果是对流量信息的验证结果,即判断由SDN交换机发送的可疑流量镜像数据属于正常流量还是异常流量;具体封装及格式如表3所示。
在实际应用中,所述接收单元401,判断单元402和发送单元403均可由位于网络分析设备中的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)等实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、系统的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种异常流量检测方法,其特征在于,所述方法包括:
软件定义网络SDN控制器对接收到的可疑流量报文进行异常流量的初步判断;
所述可疑流量报文初步判断为异常流量时,SDN交换机根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据;
所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断;
所述可疑流量镜像数据精确判断为异常流量时,所述SDN控制器关闭产生异常流量的流量设备。
2.根据权利要求1所述的方法,其特征在于,在所述SDN控制器对接收到的可疑流量报文进行异常流量的初步判断之前,所述方法还包括:
SDN交换机监测所述流量设备的出口流量是否达到预设阈值条件;
所述流量设备的出口流量达到预设阈值条件时,SDN交换机向所述SDN控制器发送超过所述流量设备预设阈值条件的可疑流量报文。
3.根据权利要求1所述的方法,其特征在于,SDN控制器对接收到的可疑流量报文进行异常流量的初步判断,包括:
所述SDN控制器接收到源端SDN交换机与一个或多个目的端SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;
或所述SDN控制器收到多个源端SDN交换机发送的可疑流量报文的流量特征相同时,所述可疑流量报文初步判断为异常流量。
4.根据权利要求1所述的方法,其特征在于,所述网络分析设备对接收到的可疑流量镜像数据进行异常流量的精确判断,包括:
所述网络分析设备接收所述SDN控制器发送的可疑流量的待验证信息,根据所述可疑流量的待验证信息对接收到的可疑流量镜像数据进行异常流量的精确判断。
5.一种异常流量检测系统,其特征在于,所述系统包括:SDN控制器、SDN交换机和网络分析设备;其中,
所述SDN控制器,用于对接收到所述SDN交换机发送的可疑流量报文进行异常流量的初步判断,并向所述SDN交换机发送判断结果;在所述网络分析设备对可疑流量镜像精确判断为异常流量时,关闭产生异常流量的流量设备;
SDN交换机,用于在所述SDN控制器对所述可疑流量报文初步判断为异常流量时,根据所述SDN控制器的指示向网络分析设备发送可疑流量镜像数据;
所述网络分析设备,用于对接收到所述SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断,并向所述SDN控制器发送判断结果。
6.根据权利要求5所述的系统,其特征在于,所述SDN交换机,还用于监测所述流量设备的出口流量是否达到预设阈值条件;所述流量设备的出口流量达到预设阈值条件时,SDN交换机向所述SDN控制器发送超过所述流量设备预设阈值条件的可疑流量报文。
7.根据权利要求5所述的系统,其特征在于,所述SDN控制器,用于对接收到所述SDN交换机发送的可疑流量报文进行异常流量的初步判断,包括:
SDN控制器接收到源端的SDN交换机与一个或多个目的端的SDN交换机同时发送的可疑流量报文时,所述可疑流量报文初步判断为异常流量;
或所述SDN控制器收到多个源端的SDN交换机发送的可疑流量报文的流量特征相同时,所述可疑流量报文初步判断为异常流量。
8.根据权利要求5所述的系统,其特征在于,所述网络分析设备,具体还用于接收所述SDN控制器发送的可疑流量的待验证信息,根据所述待验证信息对接收到所述SDN交换机发送的可疑流量镜像数据进行异常流量的精确判断。
9.一种异常流量检测方法,其特征在于,所述方法包括:
网络分析设备接收SDN交换机发送的可疑流量镜像数据,并对接收到的所述可疑流量镜像数据进行异常流量的精确判断,再将所述可疑流量镜像数据的判断结果发送至SDN控制器,所述SDN控制器根据所述判断结果关闭产生异常流量的流量设备。
10.一种网络分析设备,其特征在于,所述设备包括:接收单元,判断单元和发送单元;其中,
所述接收单元,用于接收SDN交换机发送的可疑流量镜像数据;
所述判断单元,用于对接收单元接收到的所述可疑流量镜像数据进行异常流量的精确判断;
所述发送单元,用于将所述判断单元对所述可疑流量镜像数据的判断结果发送至SDN控制器,所述SDN控制器根据所述判断结果关闭产生异常流量的流量设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610143853.XA CN107196816B (zh) | 2016-03-14 | 2016-03-14 | 异常流量检测方法、系统及网络分析设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610143853.XA CN107196816B (zh) | 2016-03-14 | 2016-03-14 | 异常流量检测方法、系统及网络分析设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107196816A true CN107196816A (zh) | 2017-09-22 |
| CN107196816B CN107196816B (zh) | 2020-11-03 |
Family
ID=59870565
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610143853.XA Active CN107196816B (zh) | 2016-03-14 | 2016-03-14 | 异常流量检测方法、系统及网络分析设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107196816B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111130945A (zh) * | 2019-12-30 | 2020-05-08 | 江苏万佳科技开发股份有限公司 | 一种数据监测云平台及使用方法 |
| CN111953504A (zh) * | 2019-05-15 | 2020-11-17 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
| CN112333163A (zh) * | 2020-10-23 | 2021-02-05 | 中国联合网络通信集团有限公司 | 容器间流量监控方法及流量监控管理系统 |
| CN112787959A (zh) * | 2020-12-03 | 2021-05-11 | 观脉科技(北京)有限公司 | 一种流量调度方法和系统 |
| CN114157516A (zh) * | 2022-02-09 | 2022-03-08 | 北京搜狐新媒体信息技术有限公司 | 一种流量检测方法、装置、电子设备及计算机存储介质 |
| WO2022121454A1 (zh) * | 2020-12-09 | 2022-06-16 | 华为技术有限公司 | 一种流表发送方法及相关装置 |
| CN114978580A (zh) * | 2022-04-08 | 2022-08-30 | 中国电信股份有限公司 | 网络检测方法及装置、存储介质及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188531A (zh) * | 2007-12-27 | 2008-05-28 | 沈阳东软软件股份有限公司 | 一种监测网络流量异常的方法及系统 |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
| CN103929334A (zh) * | 2013-01-11 | 2014-07-16 | 华为技术有限公司 | 网络异常通知方法和装置 |
| CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | 中国移动通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
| CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
-
2016
- 2016-03-14 CN CN201610143853.XA patent/CN107196816B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188531A (zh) * | 2007-12-27 | 2008-05-28 | 沈阳东软软件股份有限公司 | 一种监测网络流量异常的方法及系统 |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
| CN103929334A (zh) * | 2013-01-11 | 2014-07-16 | 华为技术有限公司 | 网络异常通知方法和装置 |
| EP2933954A1 (en) * | 2013-01-11 | 2015-10-21 | Huawei Technologies Co., Ltd. | Network anomaly notification method and apparatus |
| CN103973663A (zh) * | 2013-02-01 | 2014-08-06 | 中国移动通信集团河北有限公司 | 一种ddos攻击动态阈值异常流量检测方法及装置 |
| CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘川,娄征,黄辉.等: "《SDN环境下网络流量监测与控制系统设计》", 《电信科学》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111953504A (zh) * | 2019-05-15 | 2020-11-17 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
| CN111953504B (zh) * | 2019-05-15 | 2023-03-24 | 中国电信股份有限公司 | 异常流量检测方法和装置、计算机可读存储介质 |
| CN111130945A (zh) * | 2019-12-30 | 2020-05-08 | 江苏万佳科技开发股份有限公司 | 一种数据监测云平台及使用方法 |
| CN112333163A (zh) * | 2020-10-23 | 2021-02-05 | 中国联合网络通信集团有限公司 | 容器间流量监控方法及流量监控管理系统 |
| CN112333163B (zh) * | 2020-10-23 | 2022-08-02 | 中国联合网络通信集团有限公司 | 容器间流量监控方法及流量监控管理系统 |
| CN112787959A (zh) * | 2020-12-03 | 2021-05-11 | 观脉科技(北京)有限公司 | 一种流量调度方法和系统 |
| CN112787959B (zh) * | 2020-12-03 | 2023-12-26 | 观脉科技(北京)有限公司 | 一种流量调度方法和系统 |
| WO2022121454A1 (zh) * | 2020-12-09 | 2022-06-16 | 华为技术有限公司 | 一种流表发送方法及相关装置 |
| CN114157516A (zh) * | 2022-02-09 | 2022-03-08 | 北京搜狐新媒体信息技术有限公司 | 一种流量检测方法、装置、电子设备及计算机存储介质 |
| CN114978580A (zh) * | 2022-04-08 | 2022-08-30 | 中国电信股份有限公司 | 网络检测方法及装置、存储介质及电子设备 |
| CN114978580B (zh) * | 2022-04-08 | 2023-09-29 | 中国电信股份有限公司 | 网络检测方法及装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107196816B (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107196816B (zh) | 异常流量检测方法、系统及网络分析设备 | |
| CN107204931B (zh) | 通信装置和用于通信的方法 | |
| US9819590B2 (en) | Method and apparatus for notifying network abnormality | |
| US12003407B2 (en) | Resource usage in a multipath network | |
| WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
| EP3272073A1 (en) | Control channel usage monitoring in a software-defined network | |
| WO2010091610A1 (zh) | 链路检测方法、装置和通信系统 | |
| EP2892194A1 (en) | Media stream transmission method and device | |
| JP2007028526A (ja) | トラフィック検出装置、通信品質監視装置、方法、及び、プログラム | |
| US10178017B2 (en) | Method and control node for handling data packets | |
| WO2016090632A1 (zh) | 一种节点的运行状态检测方法及装置 | |
| CN112822103B (zh) | 一种信息上报方法和信息处理方法及设备 | |
| KR20100051537A (ko) | 원격통신 네트워크들에서 우선순위 상태의 자동적인 검출 및 재-구성 | |
| CN106302001B (zh) | 数据通信网络中业务故障检测方法、相关装置及系统 | |
| CN105099938A (zh) | 网络中拥塞窗口的确定方法和装置 | |
| KR100731230B1 (ko) | 라우터의 폭주 방지 장치 및 방법 | |
| CN106921534A (zh) | 数据流量监管方法及装置 | |
| CN106921588B (zh) | 一种流量控制方法、装置及设备 | |
| WO2015180265A1 (zh) | 多链路保护倒换的方法及装置 | |
| CN112671662B (zh) | 数据流加速方法、电子设备和存储介质 | |
| CN105519058B (zh) | 控制器、服务节点和数据包转发方法 | |
| KR101629089B1 (ko) | 레거시 네트워크 프로토콜 기능과 sdn 기능이 하이브리드하게 동작하는 오픈플로우 동작 방법 | |
| CN110290124A (zh) | 一种交换机入端口阻断方法及装置 | |
| CN104320634A (zh) | 一种输电线路远程智能巡线数据的快速传输方法 | |
| WO2011157108A2 (zh) | 一种网络传输特性分析方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |