CN110149247A - 一种网络状态的检测方法及装置 - Google Patents
一种网络状态的检测方法及装置 Download PDFInfo
- Publication number
- CN110149247A CN110149247A CN201910490938.9A CN201910490938A CN110149247A CN 110149247 A CN110149247 A CN 110149247A CN 201910490938 A CN201910490938 A CN 201910490938A CN 110149247 A CN110149247 A CN 110149247A
- Authority
- CN
- China
- Prior art keywords
- netflow data
- netflow
- data
- state
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 51
- 238000000034 method Methods 0.000 claims abstract description 49
- 238000002955 isolation Methods 0.000 claims abstract description 8
- 230000002159 abnormal effect Effects 0.000 claims description 71
- 238000000605 extraction Methods 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 14
- 230000000737 periodic effect Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 12
- 230000005856 abnormality Effects 0.000 abstract 4
- 238000012163 sequencing technique Methods 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 22
- 238000010586 diagram Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000002372 labelling Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 238000007499 fusion processing Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000005309 stochastic process Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络状态的检测方法及装置。该方法在获取多个netflow数据后,根据多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,将至少一个待识别的状态链与存储的异常状态链进行匹配;若存在与存储的异常状态链匹配的待识别的状态链,则确定待识别的状态链为异常状态链,并对异常状态链对应的netflow数据进行隔离处理。该方法提高了网络状态的检测效率。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络状态的检测方法及装置。
背景技术
随着网络规模的迅速扩大、网络技术的复杂化,以及网络设备的多样化,使得网络数据形态呈几何倍数增长变化。
目前,对网络数据的检测可以通过与数据特征库或者规则库中数据特征匹配的方式进行检测,即需要对网络数据进行解析得到数据特征后,与数据特征库中的数据特征进行匹配,若匹配成功,则确定网络数据为异常网络数据,此时网络处于异常状态,如攻击状态,之后对异常网络数据进行阻断或丢弃等操作。
然而,发明人发现由于该检测方式需要解析数据包,降低了检测效率。
发明内容
本申请实施例提供一种网络状态的检测方法及装置,解决了现有技术存在的上述问题,提高了检测效率。
第一方面,提供了一种网络状态的检测方法,该方法可以包括:
对当前的网络数据流量进行采集,然后对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,所述netflow数据为网络四元组信息确定的数据信息,所述四元组信息包括源地址、目的地址、目的端口和网络数据类型,所述属性特征包括所述netflow数据的周期性、大小和持续时间,所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合;
将所述至少一个待识别的状态链与存储的异常状态链进行匹配;
若存在与存储的异常状态链匹配的待识别的状态链,则确定所述待识别的状态链为异常状态链,并对所述异常状态链对应的netflow数据进行隔离处理。
在一个可选的实现中,确定所述待识别的状态链为异常状态链之后,所述方法还包括:
解析所述异常状态链,得到所述异常状态链中netflow数据的四元组信息,以及所述异常状态链与所述存储的异常状态链的关联信息,并展示所述四元组信息和所述关联信息。
在一个可选的实现中,所述得到至少一个待识别的状态链,包括:
在具有相同四元组的多个netflow数据中,根据预设状态标记规则,对多个netflow数据中每个netflow数据的属性特征进行状态标记,得到所述netflow数据的状态组合;
按照所述流起始时间的先后顺序,将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。
在一个可选的实现中,得到所述netflow数据的状态组合,包括:
根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对所述待标记的netflow数据的持续时间进行第二类标记,得到所述待标记的netflow数据的状态组合,所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。
在一个可选的实现中,获取多个netflow数据之后,所述方法还包括:
根据所述多个netflow数据中每个netflow数据中总字节数字段的字节数,确定所述netflow数据的大小;
根据所述多个netflow数据中每个netflow数据中流存在时间字段的流存在时间,确定所述netflow数据的持续时间;
根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,其中,若所述相邻三个netflow数据为初始的相邻三个netflow数据,则除所述最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。
在一个可选的实现中,根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的起始时间,确定所述相邻三个netflow数据中最大起始时间对应的netflow数据的周期性,包括:
获取所述多个netflow数据中相邻三个netflow数据间流起始时间的第一差值和第二差值;
获取所述第一差值与所述第二差值相除的值,所述第一差值不小于所述第二差值;
将所述第一差值与所述第二差值相除的值分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,所述第一周期阈值大于所述第二周期阈值大于所述第三周期阈值大于所述第四周期阈值。
在一个可选的实现中,对当前的网络数据流量进行采集,然后对所述网路数据流量进行netflow类型提取,获取多个netflow数据,包括:
从存储的网络数据中读取当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
或者,从所述实时的网络数据流量中采集当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据。
在一个可选的实现中,所述多个netflow数据中每个netflow数据为有效的netflow数据;
获取多个netflow数据之后,所述方法还包括:
检测所述每个netflow数据中的预设属性字段是否为空,所述预设属性字段包括流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段;
将所述预设属性字段不为空的netflow数据确定为有效的netflow数据。
第二方面,提供了一种网络状态的检测装置,该装置可以包括:获取单元、标记单元、匹配单元、确定单元和隔离单元;
所述获取单元,用于对当前的网络数据流量进行采集,然后对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
所述标记单元,用于根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,所述netflow数据为网络四元组信息确定的数据信息,所述四元组信息包括源地址、目的地址、目的端口和网络数据类型,所述属性特征包括所述netflow数据的周期性、大小和持续时间,所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合;
所述匹配单元,用于将所述至少一个待识别的状态链与存储的异常状态链进行匹配;
所述确定单元,用于若存在与存储的异常状态链匹配的待识别的状态链,则确定所述待识别的状态链为异常状态链;
所述隔离单元,用于并对所述异常状态链对应的netflow数据进行隔离处理。
在一个可选的实现中,所述装置还包括解析单元和展示单元;
所述解析单元,用于解析所述异常状态链,得到所述异常状态链中netflow数据的四元组信息,以及所述异常状态链与所述存储的异常状态链的关联信息;
所述展示单元,用于展示所述四元组信息和所述关联信息。
在一个可选的实现中,所述标记单元,具体用于在具有相同四元组的多个netflow数据中,根据预设状态标记规则,对所述多个netflow数据中每个netflow数据的属性特征进行状态标记,得到所述netflow数据的状态组合;
按照所述流起始时间的先后顺序,将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。
在一个可选的实现中,所述标记单元,还具体用于根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对所述待标记的netflow数据的持续时间进行第二类标记,得到所述待标记的netflow数据的状态组合,所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。
在一个可选的实现中,所述确定单元,还用于根据所述多个netflow数据中每个netflow数据中总字节数字段的字节数,确定所述netflow数据的大小;
根据所述多个netflow数据中每个netflow数据中流存在时间字段的流存在时间,确定所述netflow数据的持续时间;
根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,其中,若所述相邻三个netflow数据为初始的相邻三个netflow数据,则除所述最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。
在一个可选的实现中,所述确定单元,具体用于获取所述多个netflow数据中相邻三个netflow数据间流起始时间的第一差值和第二差值;
获取所述第一差值与所述第二差值相除的值,所述第一差值不小于所述第二差值;
将所述第一差值与所述第二差值相除的值分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,所述第一周期阈值大于所述第二周期阈值大于所述第三周期阈值大于所述第四周期阈值。
在一个可选的实现中,所述获取单元,具体用于从存储的网络数据中读取当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
或者,从所述实时的网络数据流量中采集当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据。
在一个可选的实现中,所述多个netflow数据中每个netflow数据为有效的netflow数据;所述装置还包括检测单元;
所述检测单元,用于检测所述每个netflow数据中的预设属性字段是否为空,所述预设属性字段包括流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段;
所述确定单元,还用于将所述预设属性字段不为空的netflow数据确定为有效的netflow数据。
第三方面,提供了一种电子设备,该电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面中任一所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤。
本发明实施例的检测方法在对当前的网络数据流量进行采集,并对网络数据流量进行netflow类型提取后,获取多个netflow数据;根据多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,netflow数据为网络四元组信息确定的数据信息,四元组信息包括源地址、目的地址、目的端口和网络数据类型,属性特征包括netflow数据的周期性、大小和持续时间,待识别的状态链是具有相同四元组的多个netflow数据的状态集合;将至少一个待识别的状态链与存储的异常状态链进行匹配;若存在与存储的异常状态链匹配的待识别的状态链,则确定待识别的状态链为异常状态链,并对异常状态链对应的netflow数据进行隔离处理。该方法在不解析每个netflow数据中各数据包的情况下,对具有相同四元组的多个netflow数据进行状态标记,以预测netflow数据网络行为,提高了检测效率,同时也提高了网络防御的相关效率。
附图说明
图1为本发明实施例提供的一种网络状态的检测方法适用的网络状态检测系统的结构示意图;
图2为本发明实施例提供的一种网络状态的检测方法的流程示意图;
图3为本发明实施例提供的一种网络状态检测装置的结构示意图;
图4为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,并不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明实施例提供的网络状态的检测方法可以应用在服务器的网络状态检测系统中,如图1所示。
该网络状态检测系统可以包括网络数据捕获系统、状态链构建系统、状态链匹配系统和匹配处理系统。
网络数据捕获系统,用于获取当前的网络数据流量,并对网络数据流量采用数据类型转换处理,如采用netflow类型提取,获取多个netflow数据。其中,一个netflow数据可包括至少一个数据包。其中,netflow数据包含的外部属性特征的格式如表1所示。
表1
| 属性字段 | 数据 |
| 流开始时间StartTime | 时间戳A |
| 流存在时间Dur | 20ms |
| 属性协议Proto | TCP |
| 源地址SrcAddr | IP1 |
| 源端口Sport | Port1 |
| 方向Dir | --- |
| 目的地址DstAddr | IP2 |
| 目的端口Dport | Port2 |
| 状态State | --- |
| 源tos sTos | --- |
| 目的tos dTos | --- |
| 总数据包数TotPkts | 11000 |
| 总字节数TotBytes | 80 |
| 源字节数SrcBytes | 40 |
| 标识Label | --- |
可选地,网络数据捕获系统可以通过实时网络数据流量或者本地存储的文件格式为pcap的网络数据文件中获取当前的网络数据流量。
所述netflow数据为网络四元组信息确定的数据信息。
状态链构建系统,用于根据多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对多个netflow数据中具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链。
其中,属性特征为网络链接数据的外部特征,即不需要对netflow数据中的数据包进行解析,其可以包括netflow数据的周期性、大小和持续时间等特征信息。状态链是具有相同四元组的多个netflow数据的状态集合,即具有相同四元组的netflow数据的行为特征。状态链可以是根据马尔科夫性质的离散时间随机过程构建的状态链,其实现了网络行为的可预测性。
状态链匹配系统,用于将得到的至少一个待识别的状态链与本地存储的异常状态链进行匹配。
匹配处理系统,用于根据匹配结果,预测当前网络中的netflow数据是否存在网络攻击行为。若存在匹配成功的待识别的状态链,即待识别的状态链对应的netflow数据存在网络攻击行为,则对该netflow数据进行中断、调整或者阻断隔离等处理。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图2为本发明实施例提供的一种网络状态的检测方法的流程示意图。如图2所示,该方法可以包括:
步骤210、对当前的网络数据流量进行采集,并对网络数据流量进行netflow类型提取,获取多个netflow数据。
网络状态检测系统读取各种配置信息,并进行各种存储数据结构的初始化,然后可以从本地存储的网络数据流量,如pcap类型数据文件或者netflow类型数据文件中读取当前的网络数据流量,也可以从实时的网络数据流量中采集当前的网络数据流量,并对网络数据流量进行netflow类型提取,获取多个netflow数据。
当前的网络数据流量可以包括至少一个netflow数据,netflow数据由至少一个数据包组成,其为基于四元组确定的数据信息。四元组包括源地址、源端口、目的地址和目的端口。
例如,一个netflow数据可以是访问源发送的一个服务请求或一个服务响应,由于访问源发送的服务请求和服务响应中的四元组信息不同,即传输方向不同,故访问源发送的服务请求和服务响应是两个不同的netflow数据。
进一步的,为了提高检测的准确率,网络状态检测系统还可以一次对每个netflow数据的预设属性字段进行检测,预设属性字段可以包括流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段;
若预设属性字段不为空,即存在数据,则确定该netflow数据为有效netflow数据,并保留该netflow数据;
若预设属性字段为空,即不存在数据,则确定该netflow数据为无效netflow数据,并舍弃无效netflow数据。
步骤220、根据多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链。
网络状态检测系统可以先四元组作为索引,对至少一个netflow数据进行分类,得到至少一个具有相同四元组的多个netflow数据。并在具有相同四元组的多个netflow数据中,根据预设状态标记规则,对多个netflow数据中每个netflow数据的属性特征进行状态标记,得到netflow数据的状态组合;之后按照netflow数据中流起始时间字段中的流起始时间的先后顺序,将多个netflow数据的状态组合构成具有相同四元组的一个待识别的状态链。
其中,属性特征可以包括netflow数据的大小、周期性和持续时间,待识别的状态链是具有相同四元组的多个netflow数据的状态集合,该状态集合可以体现出具有相同四元组的多个netflow数据的网络行为,由此可以预测下一时刻具有该相同四元组其他netflow数据的网络行为。
可选地,(1)网络状态检测系统可以根据多个netflow数据中每个netflow数据中总字节数字段的字节数,确定netflow数据的大小;
为了提高检测的准确性,网络状态检测系统可以将总字节数进行细分,可设置八个字节数阈值来分出九种的字节数区域。
网络状态检测系统设置第一字节数阈值S1和第二字节数阈值S2,且第一字节数阈值S1小于第二字节数阈值S2。
将小于第一字节数阈值S1的总字节数的netflow数据确定为小字节数的netflow数据,划分在小字节数区域size small;将大于第一字节数阈值S1,且小于第二字节数阈值S2的总字节数的netflow数据确定为中字节数的netflow数据,划分在中字节数区域sizemedium;将大于第二字节数阈值S1,且小于第二字节数阈值S2的总字节数的netflow数据确定为大字节数的netflow数据,划分在大数据量区域size large。
在小字节数区域、中字节数区域和大字节数区域中分别设置两个字节数阈值,如在小字节数区域中设置第三字节数阈值S3和第四字节数阈值S4,且第三字节数阈值S3小于第四字节数阈值S4。由此将小字节数区域划分出短字节区域dur.short、中字节区域dur.Med.和长字节区域dur.long,依此类推,在中字节数区域和大字节数区域也分别划分出短字节区域dur.short、中字节区域dur.Med.和长字节区域dur.long。
进一步的,根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对待标记的netflow数据的持续时间进行第二类标记,得到待标记的netflow数据的状态组合,待标记的netflow数据为多个netflow数据中的任一netflow数据。其中,第一类标记与第二类标记是不同的标记类型。
具体的,根据预设状态标记规则,可以对待标记的netflow数据的总字节数和周期性的关联关系进行字母或数字标记。
(2)网络状态检测系统可以根据多个netflow数据中每个netflow数据中流存在时间字段的流存在时间,确定netflow数据的持续时间;
为了区分不同netflow数据,可以用不同的字符来对相邻netflow数据间不同的持续时间进行状态标记。如持续时间为第一时间段时,可以用第一字符表示;持续时间为第二时间段时,可以用第二字符表示;持续时间为超过第二时间段时,可以用第三字符表示。
(3)网络状态检测系统可以根据多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间,确定相邻三个netflow数据中最大起始时间对应的netflow数据的周期性,其中,若相邻三个netflow数据为初始的相邻三个netflow数据,则除最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。
其中,周期性可以包括强周期性、弱周期性、弱非周期性、强非周期性和无周期性。
可选地,网络状态检测系统可以通过以下方式确定netflow数据的周期性:
网络状态检测系统在具有相同四元组的多个netflow数据中,按照netflow数据的流起始时间的先后顺序,获取多个netflow数据中相邻三个netflow数据间流开始时间的第一差值T1和第二差值T2;之后获取第一差值T1与第二差值T2相除的值TD,并将第一差值T1与第二差值T2相除的值TD分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较,确定相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性。
其中,第一差值T1大于第二差值T2,第一周期阈值大于第二周期阈值大于第三周期阈值大于第四周期阈值。
若TD小于第一周期阈值,则网络状态检测系统确定最大流起始时间对应的netflow数据的周期性为强周期性;
若TD不小于第一周期阈值,且小于第二周期阈值,则网络状态检测系统确定最大流起始时间对应的netflow数据的周期性为弱周期性;
若TD不小于第二周期阈值,且小于第三周期阈值,则网络状态检测系统确定最大流起始时间对应的netflow数据的周期性为弱非周期性;
若TD不小于第三周期阈值,且小于第四周期阈值,则网络状态检测系统确定最大流起始时间对应的netflow数据的周期性为强非周期性;
若TD不小于第四周期阈值,则网络状态检测系统确定最大流起始时间对应的netflow数据的周期性为无周期性。
在一个例子中,相邻三个netflow数据为netflow数据A、netflow数据B和netflow数据C,且netflow数据A的流起始时间小于netflow数据B的流起始时间小于netflow数据C的流起始时间,故netflow数据A与netflow数据B间流起始时间的差值为T1,netflow数据B与netflow数据C间流起始时间的差值为T2。
将T1、T2与预设阈值tto进行比较,大于tto的分别对T1、T2赋予对应的state字段:将T1或T2与预设阈值tto相除得到整数商,然后将整数商个字符,如’0’字符,填写入state字段,若整数商个字符数不大于该state字段的最大承载字符数,则确定T1和T2对应的state字段的值为真值true。
在T1和T2对应的state字段为真值的情况下,检测T1与T2的大小关系。
若T1不小于T2,则获取T1与T2相除的值TD,并赋予TD对应的state值为true;其中,TD为T1与T2相除的商和余数。
若T2不小于T1,则获取T2与T1相除的值TD,并赋予TD对应的state值为true。其中,TD为T2与T1相除的商和余数。
最终通过比较预设四个不同阈值tt1、tt2、tt3和tt4与TD值的大小,确定netflow数据C的周期性。
由此,根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对待标记的netflow数据的持续时间进行第二类标记,得到待标记的netflow数据的状态组合,待标记的netflow数据为多个netflow数据中的任一netflow数据。
之后,按照流起始时间的先后顺序,将多个netflow数据的状态组合构成具有相同四元组的一个待识别的状态链。
进一步的,预设状态标记规则是基于netflow数据的大小、周期性和持续时间的关联关系设置的状态标记规则。其中,对netflow数据的大小与不同周期性的关联关系的状态标记规则可以如表2所示,规定用不同的字母或数字标记netflow数据的大小与不同周期性的关联关系。对netflow数据持续时间的状态标记可以如表3所示,规定用除字母和数字外的字符标记netflow数据的持续时间。
表2
表3
| 持续时间 | 字符 |
| 0s-5s的时间段 | . |
| 5s-60s的时间段 | , |
| 60s–5min的时间段 | + |
| 5min–1hour的时间段 | * |
| 超过1hour | & |
例如,存在具有相同四元组的3个netflow数据和该3个netflow数据的周期性、大小和持续时间,根据表2和表3的标记规则,得到第一个netflow数据的状态组合为“y*”,第二个netflow数据的状态组合为“y+”,第三个netflow数据的状态组合为“h*”,故该3个netflow数据构成的状态链为:y*y+h*。
又例如,使用4元组92.168.0.253-166.78.144.80-80-tcp标识的netflow数据具有以下状态链:Y*Y*I*H*H*H*Y*y&y*H*H*H*Y*Y。读取上述状态链可知:该状态链包含14个以92.168.0.253-166.78.144.80-80-tcp为四元组的netflow数据,每个netflow数据间的持续时间基本保持在5min–1hour的时间段内,除了第八个netflow数据间与第九个netflow数据间的持续时间为超过1hour。
基于14个netflow数据的各自状态,上述状态链描述出了相同四元组下的netflow数据的网络行为,与现有技术相比,去除了繁琐的数据解包处理,大大简化了数据特征匹配的性能消耗。
步骤230、将至少一个待识别的状态链与存储的异常状态链进行匹配,确定具有相同四元组的多个netflow数据的网络行为。
若存在与存储的异常状态链匹配的待识别的状态链,则确定待识别的状态链为异常状态链,即待识别的状态链中的多个网路链接存在异常的网络行为,之后对异常状态链对应的netflow数据进行隔离处理。
若不存在与存储的异常状态链匹配的待识别的状态链,则确定至少一个待识别的状态链为正常状态链,即每个待识别的状态链中的多个网路链接属于正常的网络行为。
进一步的,相较于现有基于netflow的网络数据分析方式主要如下几种方式:
1、通过对特定网络行为,如病毒传播,的特点研究,检测出单独或几个IP地址、端口发起大量异常网络链接,甚至达到网络链接上限,从而判定网络攻击行为。
然而,上述判定过程存在缺点:
1)检测方法不够通用,针对不同的网络攻击行为需要单独分析其相关网络特征,比如对应的IP地址/端口等信息。
2)从某种意义上来说上述判定过程相当于传统特征检测的一个变种,仍然是需要通过netflow数据详细信息来检测攻击行为,仍然不具备某种智能性。
2、通过利用复杂机器学习分析模型算法,对netflow数据进行大量建模寻找特征,从而分离出可疑的网络攻击行为或确定的网络攻击行为。
然而,上述判定过程存在缺点:
1)建立在复杂的人工智能相关算法基础之上,也存在针对特定算法对应的特定攻击行为的数据特征进行训练,寻找异常数据特征,该方式仍然不够通用,且相对繁琐,对性能也会有相应损耗。
3、使用netflow数据与其余数据融合组成更多维度数据,然后利用各种算法或者人为设定阈值或者特征方式进行网络异常匹配。
然而,上述判定过程存在缺点:
1)引入多种网络数据外部特征格式,存在融合过程开销,性能消耗相对较大。
2)与前述两种方式存在同样不够通用问题,与传统检测方式融合性较低相较于上述几种基于netflow研究检测方式,本行为模型检测具有以下几种优势:
1)本申请使用的行为模型算法适用于任何网络攻击行为,通用性较高;
2)不对netflow内部数据进行过分详细拆解分析,最大限度上减少数据内部各字段解析,具有较高的效率;
3)不引入其他种网络数据分析,不使用过度复杂的智能算法,与传统检测方式具有更高的融合性;
4)如果添加同种类似模型代码,可以使系统具备某种自主学习属性。
本发明实施例的检测方法在对当前的网络数据流量进行采集,并对网络数据流量进行netflow类型提取后,获取多个netflow数据;根据多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,netflow数据为网络四元组信息确定的数据信息,四元组信息包括源地址、目的地址、目的端口和网络数据类型,属性特征包括netflow数据的周期性、大小和持续时间,待识别的状态链是具有相同四元组的多个netflow数据的状态集合;将至少一个待识别的状态链与存储的异常状态链进行匹配;若存在与存储的异常状态链匹配的待识别的状态链,则确定待识别的状态链为异常状态链,并对异常状态链对应的netflow数据进行隔离处理。该方法在不解析每个netflow数据中各数据包的情况下,对具有相同四元组的多个netflow数据进行状态标记,以预测netflow数据网络行为,提高了检测效率,同时也提高了网络防御的相关效率。
与上述方法对应的,本发明实施例还提供一种网络状态的检测装置,如图3所示,该检测装置包括:获取单元310、标记单元320、匹配单元330、确定单元340和隔离单元350;
获取单元310,用于对当前的网络数据流量进行采集,然后对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
标记单元320,用于根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,所述netflow数据为网络四元组信息确定的数据信息,所述四元组信息包括源地址、目的地址、目的端口和网络数据类型,所述属性特征包括所述netflow数据的周期性、大小和持续时间,所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合;
匹配单元330,用于将所述至少一个待识别的状态链与存储的异常状态链进行匹配;
确定单元340,用于若存在与所述存储的异常状态链匹配的待识别的状态链,则确定所述待识别的状态链为异常状态链;
隔离单元350,用于对所述异常状态链对应的网络链接数据进行隔离处理。
在一个可选的实现中,所述装置还包括解析单元360和展示单元370;
解析单元360,用于解析所述异常状态链,得到所述异常状态链中netflow数据的四元组信息,以及所述异常状态链与所述存储的异常状态链的关联信息;
展示单元370,用于展示所述四元组信息和所述关联信息。
在一个可选的实现中,标记单元320,具体用于在具有相同四元组的多个netflow数据中,根据预设状态标记规则,对所述多个netflow数据中每个netflow数据的属性特征进行状态标记,得到所述netflow数据的状态组合;
按照所述流起始时间的先后顺序,将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。
在一个可选的实现中,标记单元320,还具体用于根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对所述待标记的netflow数据的持续时间进行第二类标记,得到所述待标记的netflow数据的状态组合,所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。
在一个可选的实现中,确定单元340,还用于根据所述多个netflow数据中每个netflow数据中总字节数字段的字节数,确定所述netflow数据的大小;
根据所述多个netflow数据中每个netflow数据中流存在时间字段的流存在时间,确定所述netflow数据的持续时间;
根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,其中,若所述相邻三个netflow数据为初始的相邻三个netflow数据,则除所述最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。
在一个可选的实现中,确定单元,具体用于获取所述多个netflow数据中相邻三个netflow数据间流起始时间的第一差值和第二差值;
获取所述第一差值与所述第二差值相除的值,所述第一差值不小于所述第二差值;
将所述第一差值与所述第二差值相除的值分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,所述第一周期阈值大于所述第二周期阈值大于所述第三周期阈值大于所述第四周期阈值。
在一个可选的实现中,获取单元310,具体用于从存储的网络数据中读取当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
或者,从所述实时的网络数据流量中采集当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据。
在一个可选的实现中,所述多个netflow数据中每个netflow数据为有效的netflow数据;
所述装置还包括检测单元380;
检测单元380,用于检测所述每个netflow数据中的预设属性字段是否为空,所述预设属性字段包括流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段;
确定单元340,还用于将所述预设属性字段不为空的netflow数据确定为有效的netflow数据。
本发明上述实施例提供的检测装置的各功能单元的功能,可以通过上述各方法步骤来实现,因此,本发明实施例提供的检测装置中的各个单元的具体工作过程和有益效果,在此不复赘述。
本发明实施例还提供了一种电子设备,如图4所示,包括处理器410、通信接口420、存储器430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。
存储器430,用于存放计算机程序;
处理器410,用于执行存储器430上所存放的程序时,实现如下步骤:
对当前的网络数据流量进行采集,然后对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,所述netflow数据为网络四元组信息确定的数据信息,所述四元组信息包括源地址、目的地址、目的端口和网络数据类型,所述属性特征包括所述netflow数据的周期性、大小和持续时间,所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合;
将所述至少一个待识别的状态链与存储的异常状态链进行匹配;
若存在与存储的异常状态链匹配的待识别的状态链,则确定所述待识别的状态链为异常状态链,并对所述异常状态链对应的netflow数据进行隔离处理。
在一个可选的实现中,确定所述待识别的状态链为异常状态链之后,所述方法还包括:
解析所述异常状态链,得到所述异常状态链中netflow数据的四元组信息,以及所述异常状态链与所述存储的异常状态链的关联信息,并展示所述四元组信息和所述关联信息。
在一个可选的实现中,所述得到至少一个待识别的状态链,包括:
在具有相同四元组的多个netflow数据中,根据预设状态标记规则,对所述多个netflow数据中每个netflow数据的属性特征进行状态标记,得到所述netflow数据的状态组合;
按照所述流起始时间的先后顺序,将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。
在一个可选的实现中,得到所述netflow数据的状态组合,包括:
根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对所述待标记的netflow数据的持续时间进行第二类标记,得到所述待标记的netflow数据的状态组合,所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。
在一个可选的实现中,获取多个netflow数据之后,所述方法还包括:
根据所述多个netflow数据中每个netflow数据中总字节数字段的字节数,确定所述netflow数据的大小;
根据所述多个netflow数据中每个netflow数据中流存在时间字段的流存在时间,确定所述netflow数据的持续时间;
根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,其中,若所述相邻三个netflow数据为初始的相邻三个netflow数据,则除所述最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。
在一个可选的实现中,根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的起始时间,确定所述相邻三个netflow数据中最大起始时间对应的netflow数据的周期性,包括:
获取所述多个netflow数据中相邻三个netflow数据间流起始时间的第一差值和第二差值;
获取所述第一差值与所述第二差值相除的值,所述第一差值不小于所述第二差值;
将所述第一差值与所述第二差值相除的值分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,所述第一周期阈值大于所述第二周期阈值大于所述第三周期阈值大于所述第四周期阈值。
在一个可选的实现中,对当前的网络数据流量进行采集,然后对所述网路数据流量进行netflow类型提取,获取多个netflow数据,包括:
从存储的网络数据中读取当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
或者,从所述实时的网络数据流量中采集当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据。
在一个可选的实现中,所述多个netflow数据中每个netflow数据为有效的netflow数据;
获取多个netflow数据之后,所述方法还包括:
检测所述每个netflow数据中的预设属性字段是否为空,所述预设属性字段为流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段中的至少一个字段;
将所述预设属性字段不为空的netflow数据确定为有效的netflow数据。
上述提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由于上述实施例中电子设备的各器件解决问题的实施方式以及有益效果可以参见图2所示的实施例中的各步骤来实现,因此,本发明实施例提供的电子设备的具体工作过程和有益效果,在此不复赘述。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的检测方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的检测方法。
本领域内的技术人员应明白,本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样,倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内,则本申请实施例中也意图包含这些改动和变型在内。
Claims (18)
1.一种网络状态的检测方法,其特征在于,所述方法包括:
对当前的网络数据流量进行采集,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,所述netflow数据为网络四元组信息确定的数据信息,所述四元组信息包括源地址、目的地址、目的端口和网络数据类型,所述属性特征包括所述netflow数据的周期性、大小和持续时间,所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合;
将所述至少一个待识别的状态链与存储的异常状态链进行匹配;
若存在与存储的异常状态链匹配的待识别的状态链,则确定所述待识别的状态链为异常状态链,并对所述异常状态链对应的netflow数据进行隔离处理。
2.如权利要求1所述的方法,其特征在于,确定所述待识别的状态链为异常状态链之后,所述方法还包括:
解析所述异常状态链,得到所述异常状态链中netflow数据的四元组信息,以及所述异常状态链与所述存储的异常状态链的关联信息,并展示所述四元组信息和所述关联信息。
3.如权利要求1所述的方法,其特征在于,所述得到至少一个待识别的状态链,包括:
在具有相同四元组的多个netflow数据中,根据预设状态标记规则,对所述多个netflow数据中每个netflow数据的属性特征进行状态标记,得到所述netflow数据的状态组合;
按照所述流起始时间的先后顺序,将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。
4.如权利要求3所述的方法,其特征在于,得到所述netflow数据的状态组合,包括:
根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对所述待标记的netflow数据的持续时间进行第二类标记,得到所述待标记的netflow数据的状态组合,所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。
5.如权利要求1所述的方法,其特征在于,获取多个netflow数据之后,所述方法还包括:
根据所述多个netflow数据中每个netflow数据中总字节数字段的字节数,确定所述netflow数据的大小;
根据所述多个netflow数据中每个netflow数据中流存在时间字段的流存在时间,确定所述netflow数据的持续时间;
根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,其中,若所述相邻三个netflow数据为初始的相邻三个netflow数据,则除所述最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。
6.如权利要求5所述的方法,其特征在于,根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的起始时间,确定所述相邻三个netflow数据中最大起始时间对应的netflow数据的周期性,包括:
获取所述多个netflow数据中相邻三个netflow数据间流起始时间的第一差值和第二差值;
获取所述第一差值与所述第二差值相除的值,所述第一差值不小于所述第二差值;
将所述第一差值与所述第二差值相除的值分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,所述第一周期阈值大于所述第二周期阈值大于所述第三周期阈值大于所述第四周期阈值。
7.如权利要求1所述的方法,其特征在于,对当前的网络数据流量进行采集,然后对所述网路数据流量进行netflow类型提取,获取多个netflow数据,包括:
从存储的网络数据中读取当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
或者,从所述实时的网络数据流量中采集当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据。
8.如权利要求1所述的方法,其特征在于,所述多个netflow数据中每个netflow数据为有效的netflow数据;
获取多个netflow数据之后,所述方法还包括:
检测所述每个netflow数据中的预设属性字段是否为空,所述预设属性字段包括流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段;
将所述预设属性字段不为空的netflow数据确定为有效的netflow数据。
9.一种网络状态检测装置,其特征在于,所述装置包括:获取单元、标记单元、匹配单元、确定单元和隔离单元;
所述获取单元,用于对当前的网络数据流量进行采集,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
所述标记单元,用于根据所述多个netflow数据中流起始时间的先后顺序和预设状态标记规则,对具有相同四元组的多个netflow数据的属性特征进行状态标记,得到至少一个待识别的状态链,所述netflow数据为网络四元组信息确定的数据信息,所述四元组信息包括源地址、目的地址、目的端口和网络数据类型,所述属性特征包括所述netflow数据的周期性、大小和持续时间,所述待识别的状态链是所述具有相同四元组的多个netflow数据的状态集合;
所述匹配单元,用于将所述至少一个待识别的状态链与存储的异常状态链进行匹配;
所述确定单元,用于若存在与存储的异常状态链匹配的待识别的状态链,则确定所述待识别的状态链为异常状态链;
所述隔离单元,用于并对所述异常状态链对应的netflow数据进行隔离处理。
10.如权利要求9所述的装置,其特征在于,所述装置还包括解析单元和展示单元;
所述解析单元,用于解析所述异常状态链,得到所述异常状态链中netflow数据的四元组信息,以及所述异常状态链与所述存储的异常状态链的关联信息;
所述展示单元,用于展示所述四元组信息和所述关联信息。
11.如权利要求9所述的装置,其特征在于,所述标记单元,具体用于在具有相同四元组的多个netflow数据中,根据预设状态标记规则,对所述多个netflow数据中每个netflow数据的属性特征进行状态标记,得到所述netflow数据的状态组合;
按照所述流起始时间的先后顺序,将所述多个netflow数据的状态组合构成所述具有相同四元组的至少一个待识别的状态链。
12.如权利要求11所述的装置,其特征在于,
所述标记单元,还具体用于根据预设状态标记规则,对待标记的netflow数据的大小和周期性的关联关系进行第一类标记,且对所述待标记的netflow数据的持续时间进行第二类标记,得到所述待标记的netflow数据的状态组合,所述待标记的netflow数据为所述多个netflow数据中的任一netflow数据。
13.如权利要求9所述的装置,其特征在于,所述确定单元,还用于根据所述多个netflow数据中每个netflow数据中总字节数字段的字节数,确定所述netflow数据的大小;
根据所述多个netflow数据中每个netflow数据中流存在时间字段的流存在时间,确定所述netflow数据的持续时间;
根据所述多个netflow数据中相邻三个netflow数据中流起始时间字段的流起始时间,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,其中,若所述相邻三个netflow数据为初始的相邻三个netflow数据,则除所述最大流起始时间对应的netflow数据外的两个netflow数据的周期性为预设周期性。
14.如权利要求13所述的装置,其特征在于,
所述确定单元,具体用于获取所述多个netflow数据中相邻三个netflow数据间流起始时间的第一差值和第二差值;
获取所述第一差值与所述第二差值相除的值,所述第一差值不小于所述第二差值;
将所述第一差值与所述第二差值相除的值分别与第一周期阈值、第二周期阈值、第三周期阈值和第四周期阈值进行比较,确定所述相邻三个netflow数据中最大流起始时间对应的netflow数据的周期性,所述第一周期阈值大于所述第二周期阈值大于所述第三周期阈值大于所述第四周期阈值。
15.如权利要求9所述的装置,其特征在于,所述获取单元,具体用于从存储的网络数据中读取当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据;
或者,从所述实时的网络数据流量中采集当前的网络数据流量,并对所述网络数据流量进行netflow类型提取,获取多个netflow数据。
16.如权利要求9所述的装置,其特征在于,所述多个netflow数据中每个netflow数据为有效的netflow数据;所述装置还包括检测单元;
所述检测单元,用于检测所述每个netflow数据中的预设属性字段是否为空,所述预设属性字段包括流起始时间字段、源地址字段、源端口字段、目的地址字段、目的端口字段和协议属性字段;
所述确定单元,还用于将所述预设属性字段不为空的netflow数据确定为有效的netflow数据。
17.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-8任一所述的方法步骤。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-8任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910490938.9A CN110149247B (zh) | 2019-06-06 | 2019-06-06 | 一种网络状态的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910490938.9A CN110149247B (zh) | 2019-06-06 | 2019-06-06 | 一种网络状态的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110149247A true CN110149247A (zh) | 2019-08-20 |
| CN110149247B CN110149247B (zh) | 2021-04-16 |
Family
ID=67590600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910490938.9A Active CN110149247B (zh) | 2019-06-06 | 2019-06-06 | 一种网络状态的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110149247B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818049A (zh) * | 2020-07-08 | 2020-10-23 | 宝牧科技(天津)有限公司 | 一种基于马尔可夫模型的僵尸网络流量检测方法及系统 |
| CN113676457A (zh) * | 2021-07-26 | 2021-11-19 | 北京东方通网信科技有限公司 | 一种基于状态机的流式多层安全检测方法及系统 |
| CN114363212A (zh) * | 2021-12-27 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种设备检测方法、装置、设备和存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050030186A (ko) * | 2005-02-28 | 2005-03-29 | 강구홍 | NetFlow 정보를 이용한 네트워크 트래픽 어노멀리 검출 방법 |
| CN101119324A (zh) * | 2007-09-21 | 2008-02-06 | 杭州华三通信技术有限公司 | 网络地址转换属性自适应方法及装置 |
| CN102904822A (zh) * | 2012-10-22 | 2013-01-30 | 西安交通大学 | VoIP网络流量的层次化识别方法 |
| CN104268289A (zh) * | 2014-10-21 | 2015-01-07 | 中国建设银行股份有限公司 | 链接url的失效检测方法和装置 |
| CN104601485A (zh) * | 2015-02-12 | 2015-05-06 | 清华大学 | 网络流量的分配方法及实现网络流量分配的路由方法 |
| CN106034056A (zh) * | 2015-03-18 | 2016-10-19 | 北京启明星辰信息安全技术有限公司 | 一种业务安全分析的方法和系统 |
| CN106101015A (zh) * | 2016-07-19 | 2016-11-09 | 广东药科大学 | 一种移动互联网流量类别标记方法和系统 |
| CN106559407A (zh) * | 2015-11-19 | 2017-04-05 | 国网智能电网研究院 | 一种基于sdn的网络流量异常监测系统 |
| CN107682311A (zh) * | 2017-08-24 | 2018-02-09 | 东南大学 | 一种硬件实现的多链接tcp数据重组系统 |
| CN108566335A (zh) * | 2018-03-02 | 2018-09-21 | 广州西麦科技股份有限公司 | 一种基于NetFlow的网络拓扑生成方法 |
| CN109474571A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种协同联动发现Rootkit的方法及系统 |
-
2019
- 2019-06-06 CN CN201910490938.9A patent/CN110149247B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050030186A (ko) * | 2005-02-28 | 2005-03-29 | 강구홍 | NetFlow 정보를 이용한 네트워크 트래픽 어노멀리 검출 방법 |
| CN101119324A (zh) * | 2007-09-21 | 2008-02-06 | 杭州华三通信技术有限公司 | 网络地址转换属性自适应方法及装置 |
| CN102904822A (zh) * | 2012-10-22 | 2013-01-30 | 西安交通大学 | VoIP网络流量的层次化识别方法 |
| CN104268289A (zh) * | 2014-10-21 | 2015-01-07 | 中国建设银行股份有限公司 | 链接url的失效检测方法和装置 |
| CN104601485A (zh) * | 2015-02-12 | 2015-05-06 | 清华大学 | 网络流量的分配方法及实现网络流量分配的路由方法 |
| CN106034056A (zh) * | 2015-03-18 | 2016-10-19 | 北京启明星辰信息安全技术有限公司 | 一种业务安全分析的方法和系统 |
| CN106559407A (zh) * | 2015-11-19 | 2017-04-05 | 国网智能电网研究院 | 一种基于sdn的网络流量异常监测系统 |
| CN106101015A (zh) * | 2016-07-19 | 2016-11-09 | 广东药科大学 | 一种移动互联网流量类别标记方法和系统 |
| CN107682311A (zh) * | 2017-08-24 | 2018-02-09 | 东南大学 | 一种硬件实现的多链接tcp数据重组系统 |
| CN109474571A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种协同联动发现Rootkit的方法及系统 |
| CN108566335A (zh) * | 2018-03-02 | 2018-09-21 | 广州西麦科技股份有限公司 | 一种基于NetFlow的网络拓扑生成方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818049A (zh) * | 2020-07-08 | 2020-10-23 | 宝牧科技(天津)有限公司 | 一种基于马尔可夫模型的僵尸网络流量检测方法及系统 |
| CN113676457A (zh) * | 2021-07-26 | 2021-11-19 | 北京东方通网信科技有限公司 | 一种基于状态机的流式多层安全检测方法及系统 |
| CN114363212A (zh) * | 2021-12-27 | 2022-04-15 | 绿盟科技集团股份有限公司 | 一种设备检测方法、装置、设备和存储介质 |
| CN114363212B (zh) * | 2021-12-27 | 2023-12-26 | 绿盟科技集团股份有限公司 | 一种设备检测方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110149247B (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110149247B (zh) | 一种网络状态的检测方法及装置 | |
| CN113645232B (zh) | 一种面向工业互联网的智能化流量监测方法、系统及存储介质 | |
| CN111901327B (zh) | 云网络漏洞挖掘方法、装置、电子设备及介质 | |
| CN104270392B (zh) | 一种基于三分类器协同训练学习的网络协议识别方法及系统 | |
| CN109936582B (zh) | 构建基于pu学习的恶意流量检测模型的方法及装置 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| CN115955355A (zh) | 一种攻击事件知识图谱的输出方法及装置 | |
| CN117220911B (zh) | 一种基于协议深度分析的工控安全审计系统 | |
| CN112953948A (zh) | 一种实时网络横向蠕虫攻击流量检测方法及装置 | |
| CN110225025B (zh) | 异常网络数据行为模型的获取方法、装置、电子设备及存储介质 | |
| US11916763B2 (en) | Traffic monitoring device, and traffic monitoring method | |
| CN109446398A (zh) | 智能检测网络爬虫行为的方法、装置以及电子设备 | |
| CN112995104B (zh) | 一种通信设备及网络安全预测方法 | |
| CN111369010B (zh) | 一种信息资产类别识别方法、装置、介质和设备 | |
| CN110808915B (zh) | 数据流所属应用识别方法、装置及数据处理设备 | |
| CN108737399B (zh) | 一种基于角标随机读取的Snort报警数据聚合方法 | |
| KR100912806B1 (ko) | 인터넷 트래픽으로부터 특정 인터넷 응용 프로그램시그너춰를 추출하는 장치 및 방법. | |
| CN115277152B (zh) | 网络流量安全检测方法及装置 | |
| CN113098832B (zh) | 一种基于机器学习的远程缓冲区溢出攻击检测方法 | |
| CN117395080B (zh) | 加密系统扫描器的检测方法、装置、电子设备和存储介质 | |
| KR102483797B1 (ko) | 설명가능한 인공지능을 이용한 네트워크 패킷 공격의 원인 분석 방법, 이를 수행하는 장치 및 컴퓨터 프로그램 | |
| CN110837619B (zh) | 一种网站审核的方法、装置、设备和存储介质 | |
| WO2023112174A1 (ja) | データ処理装置、データ処理方法、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
| CP01 | Change in the name or title of a patent holder |