CN113645624A - 一种异常网络数据的排查方法和装置 - Google Patents
一种异常网络数据的排查方法和装置 Download PDFInfo
- Publication number
- CN113645624A CN113645624A CN202110984553.5A CN202110984553A CN113645624A CN 113645624 A CN113645624 A CN 113645624A CN 202110984553 A CN202110984553 A CN 202110984553A CN 113645624 A CN113645624 A CN 113645624A
- Authority
- CN
- China
- Prior art keywords
- data packet
- abnormal
- data
- comparison
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 230
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012545 processing Methods 0.000 claims abstract description 28
- 238000013024 troubleshooting Methods 0.000 claims abstract description 26
- 238000007689 inspection Methods 0.000 claims description 55
- 238000011835 investigation Methods 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种异常网络数据的排查方法和装置,涉及数据处理技术领域;其包括:定期截取预设数量的数据包,将数据包的特征信息与预存储的比对信息进行比对;若数据包对应的比对结果与预设结果一致,则向数据包包含的目的IP发送所述数据包;反正则生成并显示异常报告,再丢弃第一数据包,并再次截取与第一数据包的源IP和目的IP均一致的第二数据包,并将第二数据包中的特征信息与比对信息进行比对;若发现第二数据包对应的比对结果与预设结果不一致,则向第二数据包对应的目的IP发送预警信息,再丢弃第二数据包,预警信息包括第二数据包对应的源IP;反之则向第二数据包对应的目的IP发送第二数据包;本申请具有对异常数据包进行排查处理的效果。
Description
技术领域
本申请涉及数据处理技术领域,尤其是涉及一种异常网络数据的排查方法和装置。
背景技术
随着计算机网络技术的飞速发展,网络的传输和通信安全问题已逐渐成为制约网络进一步发展应用的瓶颈;因此,为了减少出现因网络数据异常而影响网络安全的情况,网络维护人员一般会对传输中的网络数据包进行捕获、分析,以排查出异常数据。
具体排查方式为:网络维护人员通过抓包工具等方式,定期获取网络中的数据包,然后分析网络数据包中的内容,进而根据网络数据包中的内容来判定网络数据包是否存在病毒,或被恶意攻击等异常情况,实现对异常网络数据包的排查。
针对上述中的相关技术,发明人认为当前对网络数据包的排查仅限于对网络数据包内容的分析以及网络数据包是否异常的判定,但是并未采取对异常的网络数据包的处理或防御措施,因此,异常的网络数据包仍会对网络造成安全威胁。
发明内容
为了改善相关技术中心存在的未对异常网络数据包进行处理,进而导致异常网络数据包影响网络安全的技术问题,本申请提供一种异常网络数据的排查方法和装置。
第一方面,本申请提供的一种异常网络数据的排查方法,采用如下的技术方案:
一种异常网络数据的排查方法,包括:
定期截取预设数量的数据包,将所述数据包的特征信息与预存储的比对信息进行比对;每一所述数据包均包括特征信息、源IP和目的IP;
若数据包对应的比对结果与预设结果一致,则向所述数据包包含的目的IP发送所述数据包;
若发现第一数据包对应的比对结果与预设结果不一致,则生成并显示异常报告,再丢弃所述第一数据包;所述异常报告包括异常原因,以及所述第一数据包对应的源IP;
在生成异常报告时,再次截取与所述第一数据包的源IP和目的IP均一致的第二数据包,并将所述第二数据包中的特征信息与所述比对信息进行比对;
若发现所述第二数据包对应的比对结果与预设结果不一致,则向所述第二数据包对应的目的IP发送预警信息,再丢弃所述第二数据包,所述预警信息包括所述第二数据包对应的源IP;
若发现所述第二数据包对应的比对结果与预设结果一致,则向所述第二数据包对应的目的IP发送所述第二数据包。
通过采用上述技术方案,定期随机截取预设数量的数据包,再检测上述数据包是否异常,若上述数据包存在异常,则生成对应的异常报告,然后丢弃上述数据包,以实现对异常的数据包的处理;接着,再次定向截取与第一数据包对应的源IP和目的IP均一致的第二数据包,再检测上述第二数据包是否异常,若上述第二数据包异常,则说明上述源IP存在异常,可能为黑客使用的IP,此时,将向上述第二数据包的目的IP对应的机器发送预警信息,以告知上述目的IP对应的机器,上述源IP存在异常,可直接拦截上述源IP发出的数据包。
可选的,所述特征信息包括净荷字符串;所述比对信息包括异常字符串;
所述将所述数据包的特征信息与预存储的比对信息进行比对,若数据包对应的比对结果与预设结果一致,则向所述数据包包含的目的IP发送所述数据包,若发现第一数据包对应的比对结果与预设结果不一致,则生成并显示异常报告,再丢弃所述第一数据包,包括:
将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;
若所有异常字符串均未存在于所述数据包对应的净荷字符串中,则向所述数据包包含的目的IP发送所述数据包;
若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串存,则生成并显示带有异常字符串的异常报告,再丢弃所述第一数据包。
通过采用上述技术方案,可通过匹配算法将数据包中的净荷字符串与异常字符串进行匹配,从而检测数据包净荷字符串是否存在异常,减小出现木马、异常攻击、恶意代码等隐藏在数据包净荷字符串中,进而危害网络运行安全的情况。
可选的,所述特征信息包括净荷字符串、协议类型和目的端口号;所述比对信息包括异常字符串、协议类型以及每一协议类型对应的基准端口号;
所述将所述数据包的特征信息与预存储的比对信息进行比对,若数据包对应的比对结果与预设结果一致,则向所述数据包包含的目的IP发送所述数据包,若发现第一数据包对应的比对结果与预设结果不一致,则生成并显示异常报告,再丢弃所述第一数据包,包括:
确定数据包中的协议类型对应的基准端口号,将所述基准端口号与所述数据包对应的目的端口号进行比对;
若发现第一数据包对应的目的端口号与基准端口号不一致,则生成并显示异常报告,再丢弃所述第一数据包;
若数据包对应的目的端口号与基准端口号一致,则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;
若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串,则生成并显示带有异常字符串的异常报告,再丢弃所述第一数据包。
通过采用上述技术方案,检测数据包的目的端口号与数据包中的协议类型的对应关系是否正确,减小出现目的端口号与协议类型不相对应的恶意数据包的情况,同时,当数据包对应的基准端口号与数据包对应的目的端口号不一致时,则丢弃数据包,无需再匹配数据包中的其他特征信息,提高对异常数据包的排查效率。
可选的,所述确定数据包中的协议类型对应的基准端口号,将所述基准端口号与所述数据包对应的目的端口号进行比对,若发现第一数据包对应的目的端口号与基准端口号不一致,则生成并显示异常报告,再丢弃所述第一数据包,若数据包对应的目的端口号与基准端口号一致,则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;包括:
对于所截取的预设数量的所有数据包,将协议类型和目的端口号均一致的所述数据包归为一个比对组别;
确定每一比对组别的协议类型对应的基准端口号;
若目标比对组别对应的目的端口号与目标比对组别对应的基准端口号不一致,则根据所述目标组别中的每一数据包对应的源IP,为所述目标组别中的每一数据包生成并显示异常报告,再丢弃所述目标数据包;
若比对组别对应的目的端口号与所述比对组别对应的基准端口号一致,则将预存储的异常字符串逐一与对比对组别中的数据包进行比对。
通过采用上述技术方案,当所截取的数据包中含有多个协议类型和目的端口号均相同的数据包时,由于上述同种协议类型的数据包对应的基准端口号一致,因此,为了减少确定上述每一数据包的基准端口号的操作次数,可以将同一协议类型和统一目的端口号的数据包归为同一组别,此时,对于同一组别的数据包,只需进行一次确定基准端口号的操作,减少了确定次数,提高了对数据包的排查效率。
可选的,所述方法还包括:
定期统计每一所述异常字符串对应的异常报告的生成数量;
根据异常字符串对应的生成数量的由大到小的顺序,对异常字符串进行排序;
所述将预存储的异常字符串逐一与数据包中的净荷字符串进行比对,包括:
根据异常字符串对应的生成数量由大到小的顺序,将所述异常字符串依次与数据包中的净荷字符串进行比对。
通过采用上述技术方案,定期统计每一异常字符串对应的异常报告的生成数量,生成数量能够表示异常字符串与净荷字符串比对一致的次数,根据异常字符串对应的生成数量,由大到小进行排序,再根据异常字符串的排列顺序,依次将异常字符串与净荷字符串进行比对,间接提高对数据包的排查效率。
可选的,所述若发现所述第二数据包对应的比对结果与预设结果不一致,则向所述第二数据包对应的目的IP发送预警信息,再丢弃所述第二数据包,包括:
若发现所述第二数据包对应的比对结果与预设结果不一致,则将所述第二数据包对应的源IP存储于预设的异常IP库中,并向所述第二数据包对应的目的IP发送预警信息;
所述对于所截取的预设数量的所有数据包,将协议类型和目的端口号均一致的所述数据包归为一个比对组别之前,包括:
对于所截取的预设数量的所有数据包,当数据包对应的源IP存在于所述异常IP库中时,丢弃所述数据包。
通过采用上述技术方案,当第二数据包存在异常时,可以将上述第二数据包对应的源IP存储于预设的异常IP库中,对于后期截取的数据包,在对上述后期截取的数据包进行比对之前,先确定上述数据包对应的源IP是否存在于异常IP库中,若存在于异常IP库中,则直接丢弃上述数据包,在后期比对数据包时,上述数据包已经被丢弃,则无需比对,提高排查效率。
可选的,所述方法还包括:
定期计算所述预设时长内,被丢弃的数据包的数量占被截取的数据包总数的比重;
若被丢弃的数据包的数量占被截取的数据包总数的比重大于预设的基准比重,则增大预设数量值。
通过采用上述技术方案,定期统计预设时长内所截取的所有数据包中被丢弃的数据包占被截取数据包总数的比重,若上述比重大于预设的基准比重,则说明当前截取的数据包中存在异常的数据包的数量较多,因此,可增大后期对数据包的截取数量,加强排查力度。
第二方面,本申请提供的一种异常网络数据的排查装置,包括:
数据包截取模块,用于定期截取预设数量的数据包,每一所述数据包均包括特征信息、源IP和目的IP;
数据包比对模块,用于将所述数据包的特征信息与预存储的比对信息进行比对;
比对结果处理模块,用于在数据包对应的比对结果与预设结果一致时,向所述数据包包含的目的IP发送所述数据包;还用于在发现第一数据包对应的比对结果与预设结果不一致时,生成并显示异常报告,再丢弃所述第一数据包;
所述数据包截取模块,还用于在生成异常报告时,再次截取与所述第一数据包的源IP和目的IP均一致的第二数据包;
所述数据包比对模块,还用于将所述第二数据包中的特征信息与所述比对信息进行比对;
所述比对结果处理模块,还用于在发现所述第二数据包对应的比对结果与预设结果不一致时,向所述第二数据包对应的目的IP发送预警信息,再丢弃所述第二数据包;还用于在发现所述第二数据包对应的比对结果与预设结果一致时,向所述第二数据包对应的目的IP发送所述第二数据包。
第三方面,本申请提供的一种数据包排查设备,所述数据包排查设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集由所述处理器加载并执行以实现如第一方面所述的异常网络数据的排查方法的处理
第四方面,本申请提供的一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的异常网络数据的排查方法的处理。
综上所述,本申请包括以下至少一种有益技术效果:
定期随机截取预设数量的数据包,再检测上述数据包是否异常,若上述数据包存在异常,则生成对应的异常报告,然后丢弃上述数据包,以实现对异常的数据包的处理;接着,再次定向截取与第一数据包对应的源IP和目的IP均一致的第二数据包,再检测上述第二数据包是否异常,若上述第二数据包异常,则说明上述源IP存在异常,可能为黑客使用的IP,此时,将向上述第二数据包的目的IP对应的机器发送预警信息。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是实施例中用于体现一种异常网络数据的排查方法的流程框图。
图2是实施例中用于体现一种异常网络数据的排查装置的结构框图。
附图标记说明:201、数据包截取模块;202、数据包比对模块;203、比对结果处理模块。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本申请实施例公开一种异常网络数据的排查方法。上述方法可以用于对网络中传输的数据包进行拦截,并对拦截的数据包内容进行检测,再根据检测结果来判定被拦截的数据包是否存在异常,最后根据数据包是否异常来对数据包进行处理,若数据包异常,则丢弃数据包,若数据包非异常,则将数据包传输至数据包对应的目的终端,从而减小异常数据包对网络安全造成的危害;上述方法的执行主体为数据包排查设备,数据包排查设备包括处理器和存储器。
异常网络数据的排查方法的具体处理流程如图1所示,下面将结合具体实施方式,对图1中的具体处理流程进行详细的说明,内容如下:
步骤101,定期截取预设数量的数据包,将数据包的特征信息与预存储的比对信息进行比对;每一数据包均包括特征信息、源IP和目的IP。
在实施中,通过数据包排查设备定期截取网络中传输的数据包,定期截取可以为每隔十分钟进行截取,截取的预设数量可以为人为提前设定的数量值,如10个;被截取的数据包一般均包含源IP、目的IP和特征信息,源IP用于表示生成并发出上述数据包的机器的IP地址,目的IP用于表示接收上述数据包的机器的IP地址;特征信息用于表征上述数据包的具体内容,特征信息也是用于判定数据包是否异常的依据。
数据包排查设备对所截取的预设数量的数据包进行逐一检测,以用于排查数据包是否存在异常;数据包排查设备中预设有数据库,数据库中存储有比对信息,比对信息用于与特征信息进行比对,从而来判定数据包是否存在异常。
步骤102,若数据包对应的比对结果与预设结果一致,则向数据包包含的目的IP发送所述数据包。
在实施中,数据包排查设备对每一数据包的检测步骤均相同,如:将每一数据包的特征信息与预存储的比对信息进行比对,然后生成比对结果,比对结果如“异常”或“正常”,预设结果如“正常”,若比对结果与预设的结果一致,数据包排查设备将上述数据包发送至目的IP对应的机器。
步骤103,若发现第一数据包对应的比对结果与预设结果不一致,则生成并显示异常报告,再丢弃第一数据包;异常报告包括异常原因,以及第一数据包对应的源IP。
在实施中,第一数据包表示比对结果与预设结果不一致的某一数据包,若第一数据包的特征信息与预存储的比对信息进行比对之后说生成的比对结果与预设结果不一致,则说明上述第一数据包存在异常,那么此时,数据包排查设备将生成并显示异常报告,再丢弃数据包;数据包排查设备在自带的显示屏上显示异常报告,数据包排查设备可预设异常信息库,异常信息库用于存储异常报告,异常报告包括异常原因和目标数据包对应的源IP,异常原因用于记录第一数据包出现异常的具体原因。
步骤104,在生成异常报告时,再次截取与所述第一数据包的源IP和目的IP均一致的第二数据包,并将所述第二数据包中的特征信息与所述比对信息进行比对。
在实施中,数据包排查设备在生成第一数据包对应的异常报告时,数据包排查设备将确定上述第一数据包对应的源IP和目的IP,然后,数据包排查设备再次截取与上述源IP和目的IP完全一致的第二数据包,并检测上述数据包是否异常,减小出现源IP对应的机器向目的IP频繁发出恶意攻击的情况。
步骤105,若发现第二数据包对应的比对结果与预设结果不一致,则向第二数据包对应的目的IP发送预警信息,再丢弃第二数据包,预警信息包括所述第二数据包对应的源IP;
在实施中,数据包排查设备将第二数据包的特征信息与比对信息进行比对,若比对结果与预设结果不一致,则说明第二数据包存在异常,那么可以认定为上述第二数据包对应的源IP多次向同一目的IP发送异常数据包,那么可以认定为上述第二数据包对应的源IP对上述目的IP存在恶意攻击的情况,上述源IP可以被认定为黑客所用IP;那么,数据包排查设备向第二数据包对应的目的IP的机器发送预警信息,再丢弃上述第二数据包;其中,预警信息包括上述第二数据包对应的源IP,还可以包括警示内容,警示内容用于告知目的IP对应的机器,上述源IP发出的数据包存在异常,可直接丢弃;如“源IP发出的数据包存在异常,可直接丢弃”。
步骤106,若发现第二数据包对应的比对结果与预设结果一致,则向第二数据包对应的目的IP发送所述第二数据包。
在实施中,若数据包排查设备将第二数据包的特征信息与比对信息进行比对之后的比对结果与预设结果一致,那么数据包排查设备向第二数据包对应的目的IP的机器发送上述第二数据包。
可选的,特征信息包括净荷字符串,净荷字符串用于表示数据包实际需要传输的内容,净荷字符串一般为16进制数据,如“00 20 01 06 00 00 00 06…”网络异常状况包括木马、恶意代码、蠕虫、DDOS攻击、SQL注入等攻击;比对信息包括若干异常字符串,每一异常字符串均用于表示一个网络异常状况,如DOS攻击对应的异常字符串为“01 06 00 00 00”;当比对信息中任一异常字符串存在于数据包对应的净荷字符串中时,则可以说明上述净荷字符串对应的数据包为异常数据包;步骤101中的“将数据包的特征信息与预存储的比对信息进行比对”,以及步骤102、步骤103具体包括如下处理:
将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;
若所有异常字符串均未存在于数据包对应的净荷字符串中,则向数据包包含的目的IP发送数据包;
若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串存,则生成并显示带有异常字符串的异常报告,再丢弃第一数据包。
在实施中,数据包排查设备将预存储的每一异常字符串逐个与数据包中的净荷字符串进行比对,若所有异常字符串均为存在于数据包对应的净荷字符串中,数据包排查设备则生成比对结果,且比对结果为“正常”,然后数据包排查设备将上述比对结果与预设结果比对,由于预存储于数据包排查设备中的预设结果为“正常”,比对结果与预设结果一致,此时数据包排查设备向数据包包含的目的IP对应的设备发送上述数据包。
若任一异常字符串存在于数据包中的净荷字符串中,如DOS攻击对应的异常字符串 “01 06 00 00 00”存在于净荷字符串“00 20 01 06 00 00 00 06…”中,则说明上述数据包第一数据包,此时,数据包排查设备生成比对结果,且比对结果为 “异常”,而预存储于数据包排查设备中的预设结果可以为“正常”,比对结果与预设结果不一致,数据包排查设备将生成并显示带有异常字符串的异常报告,并将第一数据包中的源IP添加至异常报告中,最后丢弃目标数据包;其中异常报告中所包含的异常原因可以表示为,如“净荷字符串异常,存在DOS攻击对应的字符串”。
可选的,为了提高对数据包异常排查的全面性,特征信息还包括协议类型和目的端口号;数据包的协议类型为用于在网络上传输数据包的一套标准协议,如HTTP协议、Telnet服务协议、DNS协议……端口号用于区别上述协议类型,比对信息包括协议类型以及每一协议类型对应的基准端口号,基准端口号即为访问目的IP对应的机器上的特定程序或者软件的接口;小于256的端口号一般为常用端口号,常用的端口号如:HTTP协议对应的端口号为80,Telnet服务协议对应的端口号为23,DNS协议对应的端口号为53;数据包中的目的端口号用于在数据包发送至目的IP对应的机器后,供目的IP对应的机器确定将上述特定数据包发送至特定程序或者软件的接口;数据包排查设备在检测数据包是否异常时,可先检测数据包中的协议类型与目的端口号的对应关系是否正确,若错误,则无需继续比对数据包中的净荷字符串,即可直接判定上述数据包存在异常,从而节省了异常排查时间,提高排查效率;对应的,步骤101中的“将数据包的特征信息与预存储的比对信息进行比对”,以及步骤102、步骤103具体包括如下处理:
确定数据包中的协议类型对应的基准端口号,将基准端口号与数据包对应的目的端口号进行比对;
若发现第一数据包对应的目的端口号与基准端口号不一致,则生成并显示异常报告,再丢弃第一数据包;
若数据包对应的目的端口号与基准端口号一致,则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;
若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串存,则生成并显示带有异常字符串的异常报告,再丢弃第一数据包。
在实施中,由于数据包中的净荷字符串长短不一,当净荷字符串长度较长时,数据包排查设备将异常字符串与净荷字符串进行比对的操作所耗费的时间较长,因此,数据包排查设备可以先检测数据包中的协议类型与目的端口号之间的对应关系是否正确,具体地,数据包排查设备根据数据包对应的协议类型,从对比信息中确定上述协议类型对应的基准端口号,然后,数据包排查设备将基准端口号与数据包对应的目的端口号进行比对,若上述基准端口号与目的端口号不一致,数据包排查设备生成比对结果,且比对结果为“异常”,而由于预设结果为“正常”,因此比对结果与预设结果不一致,那么数据包排查设备则生成异常报告,并将目标数据包中的源IP地址添加至异常报告中,再显示异常报告;其中,异常报告对应的异常原因可以表示为如“协议类型与目的端口号不对应”。
若数据包对应的基准端口号与数据包对应的目的端口号一致,数据包排查设备则将对比信息中的每一异常字符串与数据包中的净荷字符串进行比对,再根据比对结果与预设结果是否一致,来判定是否生成异常报告。
可选的,为了提高对异常字符串的比对效率,数据包排查设备可以根据每一异常字符串对应的异常报告的生成数量,来对异常字符串进行排序,按照生成数量由大到小的顺序,将对应的异常字符串逐一与净荷字符串进行比对,异常网络数据的排查方法还包括如下处理:
定期统计每一异常字符串对应的异常报告的生成数量;
根据异常字符串对应的生成数量的由大到小的顺序,对异常字符串进行排序;
步骤“将预存储的异常字符串逐一与数据包中的净荷字符串进行比对” ,包括:
根据异常字符串对应的生成数量由大到小的顺序,将异常字符串依次与数据包中的净荷字符串进行比对。
在实施中,数据包排查设备可以每隔7天从异常信息库中,统计每一异常字符串对应的异常报告的生成数量,生成数量能够反映每一异常字符与净荷字符串相一致的出现频次,数据包排查设备可以按照生成数量由大到小的顺序,对异常字符串进行排序,当需要将异常字符串和净荷字符串进行比对时,数据包排查设备可以按照上述排序顺序,依次将异常字符串与净荷字符串进行比对,从而达到提高比对效率的效果。
可选的,由于被截取到的预设数量的数据包中,易存在协议类型和目的端口号均相同的数据包,此时,可以将数据包归为一个组别,每一组别对应一种协议类型和目的端口号,此时只需将每一组别的协议类型对应的基准端口号与每一组别对应的目的端口号进行比对即可,减少了比对次数,从而提高了排查效率;具体处理如下:
步骤“确定数据包中的协议类型对应的基准端口号,将基准端口号与数据包对应的目的端口号进行比对;若发现第一数据包对应的目的端口号与基准端口号不一致,则生成并显示异常报告,再丢弃第一数据包;若数据包对应的目的端口号与基准端口号一致,则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对”包括:
对于所截取的预设数量的所有数据包,将协议类型和目的端口号均一致的所述数据包归为一个比对组别;
确定每一比对组别的协议类型对应的基准端口号;
若目标比对组别对应的目的端口号与目标比对组别对应的基准端口号不一致,则根据目标组别中的每一数据包对应的源IP,为目标组别中的每一数据包生成并显示异常报告,再丢弃目标数据包;
若比对组别对应的目的端口号与比对组别对应的基准端口号一致,则将预存储的异常字符串逐一与对比对组别中的数据包进行比对。
在实施中,数据包排查设备对截取的所有数据包,确定每一数据包的协议类型,并将协议类型和目的端口号均相同的数据包归为一个组别,然后数据包排查设备根据目标组别对应的协议类型,从对比信息中确定上述协议类型对应的基准端口号,然后,数据包排查设备将基准端口号与目标组别对应的目标端口号进行比对。
若上述基准端口号与目标组别对应的目标端口号不一致,则数据包排查设备生成比对结果,且比对结果为“异常”,而预设结果为“正常”,此时比对结果与预设结果不一致,数据包排查设备根据目标组别中的每一数据包生成异常报告,将每一数据包对应的源IP添加至对应的异常报告中,再丢弃目标组别中的所有数据包。
若上述基准端口号与目标组别对应的目标端口号一致,则数据包排查设备生成比对结果,且比对结果为“正常”,而预设结果为“正常”,此时比对结果与预设结果一致,数据包排查设备再将比对信息中的异常字符串与净荷字符串进行比对。
可选的,若数据包排查设备对第二数据包的特征信息与比对信息进行比对之后的比对结果与预设结果不一致,即第二数据包存在异常,那么当数据包排查设备后期再次截取到上述源IP发出的数据包时,可直接丢弃上述数据包,而无需耗费时间来将上述数据包的特征信息与比对信息进行比对;具体处理如下:
步骤“若比对结果与预设结果不一致,则丢弃数据包,并数据包对应的目的IP发送预警信息”包括:
若比对结果与预设结果不一致,则将数据包对应的源IP存储于预设的异常IP库中,并向数据包对应的目的IP发送预警信息;
步骤“对于所截取的预设数量的所有数据包,将协议类型和目的端口号均一致的数据包归为一个组别” 之前,包括:
若目标数据包对应的源IP存在于异常IP库中,则丢弃目标数据包。
在实施中,若数据包排查设备截取与第一数据包对应的源IP与目的IP均一致的第二数据包,并对第二数据包进行排查,若排查出异常,那么,数据包排查设备将上述上述第二数据包对应的源IP存储于异常IP库中,再向上述第二数据包对应的目的IP的机器发送预警信息;其中,异常IP库为数据包排查设备预设的、用于存储异常IP的数据库。
可选的,异常网络数据的排查分析方法还包括:
定期计算预设时长内,被丢弃的数据包的数量占被截取的数据包总数的比重;
若被丢弃的数据包的数量占被截取的数据包总数的比重大于预设的基准比重,则增大预设数量值。
在实施中,数据包排查设备可每隔1小时,计算1小时内的被丢弃的数据包数量占被截取的数据包总数的比重,若被丢弃的数据包的数量占被截取的数据包总数的比重大于预设的基准比重,基准比重可以为百分之五十,则说明被截取的数据包存在异常的情况较多,那么数据包排查设备可以增大预设数量的取值,即增大数据包的截取数量,提高排查率。
综上所述,数据包排查设备定期截取预设数量的数据包,然后对截取的数据包的特征信息与对比信息进行比对,若比对结果与预设结果不一致,则说明数据包存在异常,则该数据包即为第一数据包,数据包排查设备则生成异常报告,再丢弃上述第一数据包,然后,数据包排查设备可对截取与第一数据包的源IP和目的IP均一致的第二数据包,再将第二数据包的特征信息与比对信息进行比对,若比对结果与预设结果不一致,数据包排查设备则将第二数据包中的目的IP对应的机器发送预警信息。
基于相同的技术构思,本申请实施例提供一种异常网络数据的排查装置,包括:
数据包截取模块201,用于定期截取预设数量的数据包,每一数据包均包括特征信息、源IP和目的IP;
数据包比对模块202,用于将数据包的特征信息与预存储的比对信息进行比对;
比对结果处理模块203,用于在数据包对应的比对结果与预设结果一致时,向数据包包含的目的IP发送数据包;还用于在发现第一数据包对应的比对结果与预设结果不一致时,生成并显示异常报告,再丢弃第一数据包;
数据包截取模块201,还用于在生成异常报告时,再次截取与第一数据包的源IP和目的IP均一致的第二数据包;
数据包比对模块202,还用于将第二数据包中的特征信息与比对信息进行比对;
比对结果处理模块203,还用于在发现第二数据包对应的比对结果与预设结果不一致时,向第二数据包对应的目的IP发送预警信息,再丢弃第二数据包;还用于在发现第二数据包对应的比对结果与预设结果一致时,向第二数据包对应的目的IP发送第二数据包。
可选的,数据包比对模块202还用于将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;
比对结果处理模块203还用于:在所有异常字符串均未存在于所述数据包对应的净荷字符串中时,向所述数据包包含的目的IP发送所述数据包;还用于在发现第一数据包对应的净荷字符串中包含有至少一种异常字符串存时,生成并显示带有异常字符串的异常报告,再丢弃所述第一数据包。
可选的,数据包比对模块202还用于确定数据包中的协议类型对应的基准端口号,将基准端口号与所述数据包对应的目的端口号进行比对;
比对结果处理模块203还用于:在发现第一数据包对应的目的端口号与基准端口号不一致时,生成并显示异常报告,再丢弃第一数据包;还用于在数据包对应的目的端口号与基准端口号一致时,将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;还用于在发现第一数据包对应的净荷字符串中包含有至少一种异常字符串时,生成并显示带有异常字符串的异常报告,再丢弃第一数据包。
可选的,数据包比对模块202还用于:对于所截取的预设数量的所有数据包,将协议类型和目的端口号均一致的所述数据包归为一个比对组别;还用于确定每一比对组别的协议类型对应的基准端口号;
比对结果处理模块203还用于:在目标比对组别对应的目的端口号与目标比对组别对应的基准端口号不一致时,根据目标组别中的每一数据包对应的源IP,为目标组别中的每一数据包生成并显示异常报告,再丢弃目标数据包;还用于在比对组别对应的目的端口号与比对组别对应的基准端口号一致,将预存储的异常字符串逐一与对比对组别中的数据包进行比对。
可选的,一种异常网络数据的排查装置还包括:
统计模块,定期统计每一异常字符串对应的异常报告的生成数量;
排序模块,根据异常字符串对应的生成数量的由大到小的顺序,对异常字符串进行排序;
数据包比对模块202还用于:根据异常字符串对应的生成数量由大到小的顺序,将异常字符串依次与数据包中的净荷字符串进行比对。
可选的,比对结果处理模块203还用于:在发现所述第二数据包对应的比对结果与预设结果不一致时,将第二数据包对应的源IP存储于预设的异常IP库中,并向第二数据包对应的目的IP发送预警信息;还用于对于所截取的预设数量的所有数据包,当数据包对应的源IP存在于所述异常IP库中时,丢弃数据包。
可选的,一种异常网络数据的排查装置还包括:
预设数量更新模块,用于定期计算预设时长内,被丢弃的数据包的数量占被截取的数据包总数的比重;还用于在被丢弃的数据包的数量占被截取的数据包总数的比重大于预设的基准比重时,增大预设数量值。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种异常网络数据的排查方法,其特征在于:包括
定期截取预设数量的数据包,将所述数据包的特征信息与预存储的比对信息进行比对;每一所述数据包均包括特征信息、源IP和目的IP;
若数据包对应的比对结果与预设结果一致,则向所述数据包包含的目的IP发送所述数据包;
若发现第一数据包对应的比对结果与预设结果不一致,则生成并显示异常报告,再丢弃所述第一数据包;所述异常报告包括异常原因,以及所述第一数据包对应的源IP;
在生成异常报告时,再次截取与所述第一数据包的源IP和目的IP均一致的第二数据包,并将所述第二数据包中的特征信息与所述比对信息进行比对;
若发现所述第二数据包对应的比对结果与预设结果不一致,则向所述第二数据包对应的目的IP发送预警信息,再丢弃所述第二数据包,所述预警信息包括所述第二数据包对应的源IP;
若发现所述第二数据包对应的比对结果与预设结果一致,则向所述第二数据包对应的目的IP发送所述第二数据包。
2.根据权利要求1所述的异常网络数据的排查方法,其特征在于:所述特征信息包括净荷字符串;所述比对信息包括异常字符串;
所述将所述数据包的特征信息与预存储的比对信息进行比对,若数据包对应的比对结果与预设结果一致,则向所述数据包包含的目的IP发送所述数据包,若发现第一数据包对应的比对结果与预设结果不一致,则生成并显示异常报告,再丢弃所述第一数据包,包括:
将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;
若所有异常字符串均未存在于所述数据包对应的净荷字符串中,则向所述数据包包含的目的IP发送所述数据包;
若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串存,则生成并显示带有异常字符串的异常报告,再丢弃所述第一数据包。
3.根据权利要求1所述的异常网络数据的排查方法,其特征在于:所述特征信息包括净荷字符串、协议类型和目的端口号;所述比对信息包括异常字符串、协议类型以及每一协议类型对应的基准端口号;
所述将所述数据包的特征信息与预存储的比对信息进行比对,若数据包对应的比对结果与预设结果一致,则向所述数据包包含的目的IP发送所述数据包,若发现第一数据包对应的比对结果与预设结果不一致,则生成并显示异常报告,再丢弃所述第一数据包,包括:
确定数据包中的协议类型对应的基准端口号,将所述基准端口号与所述数据包对应的目的端口号进行比对;
若发现第一数据包对应的目的端口号与基准端口号不一致,则生成并显示异常报告,再丢弃所述第一数据包;
若数据包对应的目的端口号与基准端口号一致,则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;
若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串,则生成并显示带有异常字符串的异常报告,再丢弃所述第一数据包。
4.根据权利要求3所述的异常网络数据的排查方法,其特征在于:所述确定数据包中的协议类型对应的基准端口号,将所述基准端口号与所述数据包对应的目的端口号进行比对,若发现第一数据包对应的目的端口号与基准端口号不一致,则生成并显示异常报告,再丢弃所述第一数据包,若数据包对应的目的端口号与基准端口号一致,则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对;包括:
对于所截取的预设数量的所有数据包,将协议类型和目的端口号均一致的所述数据包归为一个比对组别;
确定每一比对组别的协议类型对应的基准端口号;
若目标比对组别对应的目的端口号与目标比对组别对应的基准端口号不一致,则根据所述目标组别中的每一数据包对应的源IP,为所述目标组别中的每一数据包生成并显示异常报告,再丢弃所述目标数据包;
若比对组别对应的目的端口号与所述比对组别对应的基准端口号一致,则将预存储的异常字符串逐一与对比对组别中的数据包进行比对。
5.根据权利要求2或3所述的异常网络数据的排查方法,其特征在于:所述方法还包括:
定期统计每一所述异常字符串对应的异常报告的生成数量;
根据异常字符串对应的生成数量的由大到小的顺序,对异常字符串进行排序;
所述将预存储的异常字符串逐一与数据包中的净荷字符串进行比对,包括:
根据异常字符串对应的生成数量由大到小的顺序,将所述异常字符串依次与数据包中的净荷字符串进行比对。
6.根据权利要求4所述的异常网络数据的排查方法,其特征在于:所述若发现所述第二数据包对应的比对结果与预设结果不一致,则向所述第二数据包对应的目的IP发送预警信息,再丢弃所述第二数据包,包括:
若发现所述第二数据包对应的比对结果与预设结果不一致,则将所述第二数据包对应的源IP存储于预设的异常IP库中,并向所述第二数据包对应的目的IP发送预警信息;
所述对于所截取的预设数量的所有数据包,将协议类型和目的端口号均一致的所述数据包归为一个比对组别之前,包括:
对于所截取的预设数量的所有数据包,当数据包对应的源IP存在于所述异常IP库中时,丢弃所述数据包。
7.根据权利要求1所述的异常网络数据的排查方法,其特征在于:所述方法还包括:
定期计算所述预设时长内,被丢弃的数据包的数量占被截取的数据包总数的比重;
若被丢弃的数据包的数量占被截取的数据包总数的比重大于预设的基准比重,则增大预设数量值。
8.一种异常网络数据的排查装置,其特征在于:包括:
数据包截取模块(201),用于定期截取预设数量的数据包,每一所述数据包均包括特征信息、源IP和目的IP;
数据包比对模块(202),用于将所述数据包的特征信息与预存储的比对信息进行比对;
比对结果处理模块(203),用于在数据包对应的比对结果与预设结果一致时,向所述数据包包含的目的IP发送所述数据包;还用于在发现第一数据包对应的比对结果与预设结果不一致时,生成并显示异常报告,再丢弃所述第一数据包;
所述数据包截取模块(201),还用于在生成异常报告时,再次截取与所述第一数据包的源IP和目的IP均一致的第二数据包;
所述数据包比对模块(202),还用于将所述第二数据包中的特征信息与所述比对信息进行比对;
所述比对结果处理模块(203),还用于在发现所述第二数据包对应的比对结果与预设结果不一致时,向所述第二数据包对应的目的IP发送预警信息,再丢弃所述第二数据包;还用于在发现所述第二数据包对应的比对结果与预设结果一致时,向所述第二数据包对应的目的IP发送所述第二数据包。
9.一种数据包排查设备,其特征在于:所述数据包排查设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集由所述处理器加载并执行以实现如权利要求1至7任一所述的异常网络数据的排查方法的处理。
10.一种计算机可读存储介质,其特征在于:所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至7任一所述的异常网络数据的排查方法的处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110984553.5A CN113645624A (zh) | 2021-08-25 | 2021-08-25 | 一种异常网络数据的排查方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110984553.5A CN113645624A (zh) | 2021-08-25 | 2021-08-25 | 一种异常网络数据的排查方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113645624A true CN113645624A (zh) | 2021-11-12 |
Family
ID=78423906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110984553.5A Pending CN113645624A (zh) | 2021-08-25 | 2021-08-25 | 一种异常网络数据的排查方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113645624A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006060306A (ja) * | 2004-08-17 | 2006-03-02 | Nec Corp | パケットフィルタリング方法およびパケットフィルタ装置 |
| CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| JP2007221395A (ja) * | 2006-02-15 | 2007-08-30 | Matsushita Electric Ind Co Ltd | ネットワーク端末装置 |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN107864155A (zh) * | 2017-12-12 | 2018-03-30 | 蔡昌菊 | 一种高准确率的ddos攻击检测方法 |
| CN108508874A (zh) * | 2018-05-08 | 2018-09-07 | 网宿科技股份有限公司 | 一种监控设备故障的方法和装置 |
-
2021
- 2021-08-25 CN CN202110984553.5A patent/CN113645624A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006060306A (ja) * | 2004-08-17 | 2006-03-02 | Nec Corp | パケットフィルタリング方法およびパケットフィルタ装置 |
| CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| JP2007221395A (ja) * | 2006-02-15 | 2007-08-30 | Matsushita Electric Ind Co Ltd | ネットワーク端末装置 |
| CN101741847A (zh) * | 2009-12-22 | 2010-06-16 | 北京锐安科技有限公司 | 一种ddos攻击检测方法 |
| CN107864155A (zh) * | 2017-12-12 | 2018-03-30 | 蔡昌菊 | 一种高准确率的ddos攻击检测方法 |
| CN108508874A (zh) * | 2018-05-08 | 2018-09-07 | 网宿科技股份有限公司 | 一种监控设备故障的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| EP2953298B1 (en) | Log analysis device, information processing method and program | |
| US11882135B2 (en) | Machine-learning based approach for dynamically generating incident-specific playbooks for a security orchestration, automation and response (SOAR) platform | |
| US8006302B2 (en) | Method and system for detecting unauthorized use of a communication network | |
| US20160241574A1 (en) | Systems and methods for determining trustworthiness of the signaling and data exchange between network systems | |
| CN106330944B (zh) | 恶意系统漏洞扫描器的识别方法和装置 | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
| CN107209834B (zh) | 恶意通信模式提取装置及其系统和方法、记录介质 | |
| CN110224970B (zh) | 一种工业控制系统的安全监视方法和装置 | |
| CN112953971A (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
| CN112153062B (zh) | 基于多维度的可疑终端设备检测方法及系统 | |
| EP2112800A1 (en) | Method and system for enhanced recognition of attacks to computer systems | |
| CN113645624A (zh) | 一种异常网络数据的排查方法和装置 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
| CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
| Ljunglin | Behavioural analysis and signature-based detection of Slowloris | |
| KR100518844B1 (ko) | 네트워크 패킷 검사 방법 | |
| CN114338106B (zh) | 网络传输协议入侵检测方法、系统、电子设备和存储介质 | |
| CN116938606B (zh) | 一种网络流量检测方法以及装置 | |
| KR20230123834A (ko) | 해시 기반 악성파일 판단 방법 및 이를 이용한 시스템 | |
| US7836499B1 (en) | Dynamic depth inspection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211112 |
|
| RJ01 | Rejection of invention patent application after publication |