CN113765849B - 一种异常网络流量检测方法和装置 - Google Patents
一种异常网络流量检测方法和装置 Download PDFInfo
- Publication number
- CN113765849B CN113765849B CN202010493545.6A CN202010493545A CN113765849B CN 113765849 B CN113765849 B CN 113765849B CN 202010493545 A CN202010493545 A CN 202010493545A CN 113765849 B CN113765849 B CN 113765849B
- Authority
- CN
- China
- Prior art keywords
- flow
- data packet
- header information
- protocol
- packet header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常网络流量检测方法和装置,该方法包括:获取多个流量数据包,并提取多个流量数据包的数据包头信息;根据数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;将数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果;根据第一匹配结果,生成第一异常网络流量检测结果。本发明通过分析数据包头信息、各个传输协议对应的流量大小和数据包计数这些流量参数,提高了异常网络流量检测的准确性,有效地避免了虚假报警的产生;同时能够自动地基于数据包头信息对多个流量数据包进行异常网络流量检测,极大地提高了检测效率,可以应对高速大流量的应用场景。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种异常网络流量检测方法和装置。
背景技术
随着物联网的飞速发展,越来越多的物联网设备成了黑客攻击的对象,由于物联网设备量大且安全防护薄弱,一旦发生大量物联网设备受控并发起流量攻击,带来的后果是非常严重的。现有的一种网络攻击趋势是利用网络流量来发起攻击,而不是直接入侵主机。比如分布式拒绝服务(Distributed denial of service attack,DDOS)攻击,这类攻击将对攻击对象造成更多伤害,并且很难追溯到入侵者,同时攻击所带来的带宽消耗会严重影响到网络性能。
目前,常用的检测异常网络流量的方式是基于网络的入侵检测系统,例如snort系统,snort系统是对数据包标头或数据载荷中基于签名进行入侵检测,它需要维护一个包含有每次攻击信息的庞大数据库,将每个数据包与数据库中的签名进行比较,然而,构建类似snort系统所需的这种庞大数据库需要很多系统开销,因此,这些系统不适用于高速网络;同时,如果出现新的或变种攻击,则入侵检测系统不能检测到这种攻击;另外,某些类型的分组信息可能不能通过使用一系列数据包信息来检测到攻击。现有技术中还衍生了一些其他类型的检测方法,这些方法通过监控并识别每个主机收到的流量或者新产生的源IP地址数量进行检测,这些方法虽然具有较低的开销,但检测准确率较低,很可能导致错误警报。
综上所述,现有技术中这些检测方法存在以下缺点:其一,需要构建庞大的攻击特征检测库(即上述的数据库),将对流量检测带来很大的性能开销,因此无法针对高速的大流量网络进行基于流量的攻击检测;其二,无法针对不同的基于流量的变种攻击进行检测;其三,检测准确率较低,检测结果不准确,可能产生错误以及虚假警报。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题一种异常网络流量检测方法和装置。
根据本发明的一个方面,提供了一种异常网络流量检测方法,包括以下步骤:
获取多个流量数据包,并提取多个流量数据包的数据包头信息;
根据所述数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;
将所述数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果;
根据第一匹配结果,生成第一异常网络流量检测结果。
根据本发明的另一方面,提供了一种异常网络流量检测装置,包括:
信息提取模块,用于获取多个流量数据包,并提取多个流量数据包的数据包头信息;
统计模块,用于根据所述数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;
第一匹配模块,用于将所述数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果;
第一检测模块,用于根据第一匹配结果,生成第一异常网络流量检测结果。
根据本发明的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述一种异常网络流量检测方法对应的操作。
根据本发明的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述一种异常网络流量检测方法对应的操作。
根据本发明的一种异常网络流量检测方法和装置,通过获取多个流量数据包,并提取多个流量数据包的数据包头信息;根据数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;将数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果;根据第一匹配结果,生成第一异常网络流量检测结果。本发明通过分析数据包头信息、各个传输协议对应的流量大小和数据包计数这些流量参数,提高了异常网络流量检测的准确性,有效地避免了虚假报警的产生;同时能够自动地基于数据包头信息对多个流量数据包进行异常网络流量检测,极大地提高了检测效率,可以应对高速大流量的应用场景。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种异常网络流量检测方法实施例的流程图;
图2示出了本发明实施例提供的一种异常网络流量检测方法的预设条件与异常网络流量的匹配示意图;
图3示出了本发明实施例提供的一种异常网络流量检测方法的流量模式特征检测过程示意图;
图4示出了本发明实施例提供的一种异常网络流量检测装置的结构示意图;
图5示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1示出了本发明一种异常网络流量检测方法实施例的流程图,如图1所示,该方法包括以下步骤:
S101:获取多个流量数据包,并提取多个流量数据包的数据包头信息。
在本实施例中,异常网络流量定义为恶意流量,可以包括互联网蠕虫,DDoS攻击、网络和端口扫描生成的网络流量等。
可从监控系统或者路由器等中获取采集到的多个流量数据包。在本步骤中,在大量智能家庭网关设备的场景下,可采集智能网关设备的流量数据包进行异常网络流量检测。在获取了多个流量数据包之后,提取每个流量数据包的数据包头信息,在一种可选的方式中,数据包头信息可以包括:源IP地址、目的IP地址、源端口、目的端口和传输协议。
S102:根据数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数。
具体地,数据包头信息中包括有传输协议,传输协议具体可包括ICMP协议、TCP协议、UDP协议等协议,针对每个传输协议所属的流量数据包,可根据流量数据包的总字节数确定流量大小,同时对流量数据包进行数据包计数,从而统计得到多个流量数据包中各个传输协议对应的流量大小和数据包计数。
S103:将数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果。
在一种可选的方式中,预设条件包括以下条件项目中的一个或多个:
数据包头信息中的传输协议为ICMP协议且目的IP地址为广播地址;
数据包头信息中的传输协议为ICMP协议且数据包头信息对应的未分片的流量数据包的流量大小大于预设单包流量大小;
数据包头信息中的传输协议为ICMP协议、流量数据包中ICMP协议对应的流量大小大于第一预设流量阈值且数据包计数大于第一预设计数阈值;
数据包头信息中的传输协议为TCP协议、源IP地址与目的IP地址相同且源端口与目的端口相同;
数据包头信息中的传输协议为TCP协议、流量数据包中TCP协议对应的流量大小大于第二预设流量阈值且数据包计数大于第二预设计数阈值;
数据包头信息中的传输协议为UDP协议、目的端口为反射端口且源端口为反射端口;
数据包头信息中的传输协议为UDP协议、目的端口为反射端口且目的IP地址为广播地址;
数据包头信息中的传输协议为UDP协议、流量数据包中UDP协议对应的流量大小大于第三预设流量阈值且数据包计数大于第三预设计数阈值。
需要说明的是,对于第一预设流量阈值、第二预设流量阈值、第三预设流量阈值、第一预设计数阈值、第二预设计数阈值以及第三预设计数阈值,本领域技术人员可根据不同网络和链路条件进行具体确定,例如在确定各个阈值时可考虑总的流量大小、总的包数、获取的流量数据包中出现不同IP地址的数量等,用于衡量流量大小和包数是否异常。
S104:根据第一匹配结果,生成第一异常网络流量检测结果。
具体地说,图2为预设条件与异常网络流量的匹配示意图,如图2所示,对于采用ICMP传输协议的流量数据包,若数据包头信息中的目的IP地址为广播地址,即网络流量主要是将伪造的源IP包发送到广播目的地,那么该流量数据包对应的流量被确定为smurf攻击;若数据包头信息对应的未分片的流量数据包的流量大小大于预设单包流量大小(L),则判定该流量数据包对应的流量为死亡之ping(Ping-of-Death)攻击;若流量数据包中ICMP协议对应的流量大小大于第一预设流量阈值且数据包计数大于第一预设计数阈值,如图2所示,数据包头信息中的传输协议为ICMP协议、流量数据包中ICMP协议对应的流量大小大于第一预设流量阈值则定义该流量大小为大流量(L),数据包计数大于第一预设计数阈值则定义该数据包计数为大数据包(L),则判定该流量数据包对应的流量为ICMP泛洪攻击。
对于采用TCP传输协议的流量数据包,若数据包头信息中的源IP地址与目的IP地址相同且源端口与目的端口相同,则判定该流量数据包对应的流量为land攻击;若流量数据包中TCP协议对应的流量大小大于第二预设流量阈值且数据包计数大于第二预设计数阈值,即流量大小判定为L且数据包计数判定为L,则判定该流量数据包对应的流量为TCP泛洪攻击。
对于采用UDP传输协议的流量数据包,若数据包头信息中的目的端口为反射端口且源端口为反射端口,则判定该流量数据包对应的流量为乒乓球(ping-pong)攻击;若数据包头信息中的目的端口为反射端口且目的IP地址为广播地址,则判定该流量数据包对应的流量为Fraggle攻击;若流量数据包中UDP协议对应的流量大小大于第三预设流量阈值且数据包计数大于第三预设计数阈值,即数据包计数被判定为L且流量大小被判定为L,则判定该流量数据包对应的流量为UDP泛洪攻击。例如,对于采用UDP传输协议的流量数据包,Fraggle攻击和ping-pong攻击均使用UDP反射服务,例如echo服务(端口7),chargen服务(端口19),daytime服务(端口13)和qotd服务(端口17)。因此验证源端口和目的端口的端口号,如果目的端口号映射为源端口号,那么此流为ping-pong攻击。此外,如果目的端口是反射端口且目的IP地址是广播地址,该流量数据包对应的流量属于Fraggle攻击。
需要特别说明的是,攻击过程中会产生一些特殊的流量模式,可通过流量模式特征来表征这些流量模式,表1是不同攻击类型的流量模式特征:
表1不同攻击类型的流量模式特征
如表1所示,在扫描期间,首先,攻击者进行多次连接尝试会生成多条数据流并且每条数据流中的数据包长度很小(大约40个字节),攻击者通过发送小的流量数据包并观察来自这些流量数据包的响应数据包,如果攻击者试图检查主机中的开放端口,那么此主机会因为扫描导致产生新的目的IP地址的网络流量;其次,网络扫描在搜索主机的服务可用性时会产生许多目的IP地址,由于流量数据包总数和网络总带宽根据连接主机或端口的数量有所不同,因此这些流量数据包的数据包头信息不能用于扫描检测;最后,TCP SYN泛洪攻击通过发送了海量流量数据包到受害者的特定端口引发了大量的数据流行为。由于这类攻击都是发送小的SYN(Synchronize)流量数据包,因此在每条数据流中的总数据包数和总数据包长度都很小。但是总的带宽和数据包计数根据流量数据包传输量的大小而变化;Smurf攻击和Fraggle攻击通过利用第三方生成流量导向到受害者;这种类型的攻击会产生与用于攻击的第三方主机数量一样多的流量数据包,因此总的带宽和数据包计数会增加;综上,这些攻击利用第三方来放大网络流量并以广播地址为目的IP地址。其中,Smurf攻击使用ICMP协议而Fraggle攻击使用UDP协议,欺骗性的流量数据包重传的数量决定了流量数据包的数据包计数、数据包总长度以及每个数据包的大小,而这些参数信息都无法检测。在ping-pang攻击期间,流量数据包仅出现在具有相同端口的两个主机中,这可能会导致出现大量流量数据包。同时每条数据流的总数据包长度,总带宽和数据包计数都很大;另外,除了上面描述的攻击外,一般ICMP、UDP、TCP泛洪攻击具有动态变化的流量模式特征,具体取决于用于攻击的流量数据包和主机的数量。
因此,作为对本实施例技术方案的一大改进,在提取多个流量数据包的数据包头信息之后,还可通过流量模式特征进行异常网络流量检测,具体地可以通过以下步骤1-步骤4进行实现:
步骤1:根据数据包头信息,对多个流量数据包进行聚合处理,得到流量数据包组。
在一种可选的方式中,步骤1进一步包括:按照数据包头信息中的源IP地址和目的IP地址,对多个流量数据包进行聚合处理,得到具有相同源IP地址的流量数据包组和具有相同目的IP地址的流量数据包组。
具体地说,在检测表1中描述的特殊的流量模式时,由于某些攻击类型的参数信息无法检测,因此可以通过聚合多个流量数据包来产生流量数据包组,并通过具有相同源IP地址的流量数据包组和具有相同目的IP地址的流量数据包组来检测流量模式特征。通过聚合所有哈希地址相同的流量数据包,形成流量数据包组,通过两个哈希表记录具有相同源IP地址的流量数据包组和具有相同目的IP地址的流量数据包组的流量模式特征。
其中,流量数据包组的流量模式特征包括以下特征中的一个或多个:流量总数特征、源IP地址总数特征、目的IP地址总数特征、源端口总数特征、目的端口总数特征、传输协议特征、流量大小总和特征、流量大小均值特征、流量大小偏差特征、数据包计数总和特征、数据包计数均值特征、数据包计数偏差特征以及标志位总数特征。在一种可选的方式中,具有相同目的IP地址的流量数据包组的流量模式特征包括以下特征中的一个或多个:流量总数特征n(flow)、源IP地址总数特征N(S-IP)、目的IP地址总数特征N(D_IP)、源端口总数特征n(S_port)、目的端口总数特征N(D_port)、传输协议特征p(proto)、流量大小总和特征[sum(flow size)]、流量大小均值特征[avg(flow size)]、流量大小偏差特征[dev(flowsize)]、数据包计数总和特征[sum(n_packet)]、数据包计数均值特征[avg(n_packet)]、数据包计数偏差特征[dev(n_packet)]以及标志位总数特征,其中,标志位总数特征可以包括:具有相同目的IP的SYN包的总数[n(SYN)]、具有相同目的IP的ACK包的总数[N(ACK)]以及其他标志位对应的数据包的总数。需要说明的是,具有相同源IP地址的流量模式特征与具有相同目的IP地址的流量模式特征表述相似,在此不再赘述。
步骤2:对流量数据包组进行特征提取,确定流量数据包组的流量模式特征。
步骤3:将流量模式特征与预设异常网络流量模式特征进行匹配,得到第二匹配结果。
图3为流量模式特征检测过程示意图,如图3所示,通过将攻击的流量模式特征和预设异常网络流量模式特征进行匹配,从而识别异常网络流量。
步骤4:根据第二匹配结果,生成第二异常网络流量检测结果。
具体地说,如图3所示,检测具有相同目的IP地址的流量数据包组的流量模式特征时,检测是否出现大流量即n(flow)是否大于对应的阈值,n(flow)大于对应的阈值,即定义n(flow)=L,流量大小均值特征[avg(flow size)]是否小于对应的阈值,若[avg(flowsize)]小于对应的阈值,即定义[avg(flow size)]=S;数据包计数均值特征[avg(n_packet)]是否小于对应的阈值,若[avg(n_packet)]小于对应的阈值,则定义[avg(n_packet)]=S。若n(flow)=L、[avg(flow size)]=S、[avg(n_packet)]=S且目的端口总数特征大于对应的阈值即N(D_port)=L,源IP地址总数特征小于对应的阈值即N(S_IP)=S,那么得到的第二异常网络流量检测结果可为主机扫描。
类似地,若同时满足n(flow)=L、[avg(flow size)]=S以及[avg(n_packet)]=S且N(D_port)=S,同时ACK包的总数与SYN包的总数的比值小于对应的阈值,(即[N(ACK)]/[n(SYN)]=S),则意味着发生了TCP SYN泛洪攻击,那么得到的第二异常网络流量检测结果为TCP SYN泛洪攻击。另外,若检测到流量大小总和特征[sum(flow size)]=L,数据包计数总和特征[sum(n_packet)]=L,则得到的第二异常网络流量检测结果可为泛洪攻击。与针对具有相同目的IP地址的流量模式特征的匹配方式相似,对于通过对具有相同源IP地址的流量模式特征进行匹配而生成第二异常网络流量检测结果的过程,此处不再赘述。
采用本实施例提供的这种方法,通过分析数据包头信息、各个传输协议对应的流量大小和数据包计数这些流量参数,提高了异常网络流量检测的准确性,有效地避免了虚假报警的产生;同时能够自动地基于数据包头信息对多个流量数据包进行异常网络流量检测,极大地提高了检测效率,可以应对高速大流量的应用场景,同时针对多个流量数据包,通过基于源IP地址或基于目的IP地址来聚合流量数据包,可以加速系统处理的性能,提高异常网络流量检测结果生成的效率。
图4示出了本发明一种异常网络流量检测装置实施例的结构示意图。如图4所示,该装置包括:信息提取模块401、统计模块402、第一匹配模块403和第一检测模块404。
信息提取模块401,用于获取多个流量数据包,并提取多个流量数据包的数据包头信息。
具体地说,数据包头信息包括:源IP地址、目的IP地址、源端口、目的端口和传输协议
统计模块402,用于根据数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数。
第一匹配模块403,用于将数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果。
在一种可选的方式中,预设条件包括以下条件项目中的一个或多个:
数据包头信息中的传输协议为ICMP协议且目的IP地址为广播地址;
数据包头信息中的传输协议为ICMP协议且数据包头信息对应的未分片的流量数据包的流量大小大于预设单包流量大小;
数据包头信息中的传输协议为ICMP协议、流量数据包中ICMP协议对应的流量大小大于第一预设流量阈值且数据包计数大于第一预设计数阈值;
数据包头信息中的传输协议为TCP协议、源IP地址与目的IP地址相同且源端口与目的端口相同;
数据包头信息中的传输协议为TCP协议、流量数据包中TCP协议对应的流量大小大于第二预设流量阈值且数据包计数大于第二预设计数阈值;
数据包头信息中的传输协议为UDP协议、目的端口为反射端口且源端口为反射端口;
数据包头信息中的传输协议为UDP协议、目的端口为反射端口且目的IP地址为广播地址;
数据包头信息中的传输协议为UDP协议、流量数据包中UDP协议对应的流量大小大于第三预设流量阈值且数据包计数大于第三预设计数阈值。
第一检测模块404,用于根据第一匹配结果,生成第一异常网络流量检测结果。
在一种可选的方式中,该装置还可以包括:聚合模块405、特征提取模块406、第二匹配模块407以及第二检测模块408。
聚合模块405,用于根据数据包头信息,对多个流量数据包进行聚合处理,得到流量数据包组。
在一种可选的方式中,聚合模块405进一步用于:按照数据包头信息中的源IP地址和目的IP地址,对多个流量数据包进行聚合处理,得到具有相同源IP地址的流量数据包组和具有相同目的IP地址的流量数据包组。
特征提取模块406,用于对流量数据包组进行特征提取,确定流量数据包组的流量模式特征。
具体地说,流量数据包组的流量模式特征包括以下特征中的一个或多个:
流量总数特征、源IP地址总数特征、目的IP地址总数特征、源端口总数特征、目的端口总数特征、传输协议特征、流量大小总和特征、流量大小均值特征、流量大小偏差特征、数据包计数总和特征、数据包计数均值特征、数据包计数偏差特征以及标志位总数特征。
第二匹配模块407,用于将流量模式特征与预设异常网络流量模式特征进行匹配,得到第二匹配结果。
第二检测模块408,用于根据第二匹配结果,生成第二异常网络流量检测结果。
采用本实施例提供的这种装置,通过获取多个流量数据包,并提取多个流量数据包的数据包头信息;根据数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;将数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果;根据第一匹配结果,生成第一异常网络流量检测结果。本发明通过分析数据包头信息、各个传输协议对应的流量大小和数据包计数这些流量参数,提高了异常网络流量检测的准确性,有效地避免了虚假报警的产生;同时能够自动地基于数据包头信息对多个流量数据包进行异常网络流量检测,极大地提高了检测效率,可以应对高速大流量的应用场景。
本发明实施例提供了一种非易失性计算机存储介质,计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的异常网络流量检测方法。
可执行指令具体可以用于使得处理器执行以下操作:
获取多个流量数据包,并提取多个流量数据包的数据包头信息;
根据数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;
将数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果;
根据第一匹配结果,生成第一异常网络流量检测结果。
图5示出了本发明计算设备实施例的结构示意图,本发明具体实施例并不对计算设备的具体实现做限定。
如图5所示,该计算设备可以包括:
处理器(processor)、通信接口(Communications Interface)、存储器(memory)、以及通信总线。
其中:处理器、通信接口、以及存储器通过通信总线完成相互间的通信。通信接口,用于与其它设备比如客户端或其它服务器等的网元通信。处理器,用于执行程序,具体可以执行上述异常网络流量检测方法实施例中的相关步骤。
具体地,程序可以包括程序代码,该程序代码包括计算机操作指令。
处理器可能是中央处理器CPU,或者是特定集成电路ASIC(Application SpecificIntegrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。服务器包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器,用于存放程序。存储器可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序具体可以用于使得处理器执行以下操作:
获取多个流量数据包,并提取多个流量数据包的数据包头信息;
根据数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;
将数据包头信息、各个传输协议对应的流量大小和/或数据包计数与预设条件进行匹配,得到第一匹配结果;
根据第一匹配结果,生成第一异常网络流量检测结果。
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明实施例也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤,除有特殊说明外,不应理解为对执行顺序的限定。
Claims (9)
1.一种异常网络流量检测方法,其特征在于,包括以下步骤:
获取多个流量数据包,并提取多个流量数据包的数据包头信息;
根据所述数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;
将所述数据包头信息、各个传输协议对应的流量大小和数据包计数与预设条件进行匹配,得到第一匹配结果;
根据第一匹配结果,生成第一异常网络流量检测结果;
其中,所述预设条件包括以下条件项目:所述数据包头信息中的传输协议为ICMP协议且目的IP地址为广播地址;所述数据包头信息中的传输协议为ICMP协议且所述数据包头信息对应的未分片的流量数据包的流量大小大于预设单包流量大小;所述数据包头信息中的传输协议为ICMP协议、所述流量数据包中ICMP协议对应的流量大小大于第一预设流量阈值且数据包计数大于第一预设计数阈值;所述数据包头信息中的传输协议为TCP协议、源IP地址与目的IP地址相同且源端口与目的端口相同;所述数据包头信息中的传输协议为TCP协议、所述流量数据包中TCP协议对应的流量大小大于第二预设流量阈值且数据包计数大于第二预设计数阈值;所述数据包头信息中的传输协议为UDP协议、目的端口为反射端口且源端口为反射端口;所述数据包头信息中的传输协议为UDP协议、目的端口为反射端口且目的IP地址为广播地址;所述数据包头信息中的传输协议为UDP协议、所述流量数据包中UDP协议对应的流量大小大于第三预设流量阈值且数据包计数大于第三预设计数阈值。
2.根据权利要求1所述的方法,其特征在于,所述数据包头信息包括:源IP地址、目的IP地址、源端口、目的端口和传输协议。
3.根据权利要求1-2任一项中所述的方法,其特征在于,在所述提取多个流量数据包的数据包头信息之后,所述方法还包括:
根据所述数据包头信息,对多个流量数据包进行聚合处理,得到流量数据包组;
对所述流量数据包组进行特征提取,确定所述流量数据包组的流量模式特征;
将所述流量模式特征与预设异常网络流量模式特征进行匹配,得到第二匹配结果;
根据第二匹配结果,生成第二异常网络流量检测结果。
4.根据权利要求3所述的方法,其特征在于,所述根据所述数据包头信息,对多个流量数据包进行聚合处理,得到流量数据包组进一步包括:
按照所述数据包头信息中的源IP地址和目的IP地址,对多个流量数据包进行聚合处理,得到具有相同源IP地址的流量数据包组和具有相同目的IP地址的流量数据包组。
5.根据权利要求3所述的方法,其特征在于,所述流量数据包组的流量模式特征包括以下特征中的一个或多个:
流量总数特征、源IP地址总数特征、目的IP地址总数特征、源端口总数特征、目的端口总数特征、传输协议特征、流量大小总和特征、流量大小均值特征、流量大小偏差特征、数据包计数总和特征、数据包计数均值特征、数据包计数偏差特征以及标志位总数特征。
6.一种异常网络流量检测装置,其特征在于,包括:
信息提取模块,用于获取多个流量数据包,并提取多个流量数据包的数据包头信息;
统计模块,用于根据所述数据包头信息,统计多个流量数据包中各个传输协议对应的流量大小和数据包计数;
第一匹配模块,用于将所述数据包头信息、各个传输协议对应的流量大小和数据包计数与预设条件进行匹配,得到第一匹配结果;
第一检测模块,用于根据第一匹配结果,生成第一异常网络流量检测结果;
其中,所述预设条件包括以下条件项目:所述数据包头信息中的传输协议为ICMP协议且目的IP地址为广播地址;所述数据包头信息中的传输协议为ICMP协议且所述数据包头信息对应的未分片的流量数据包的流量大小大于预设单包流量大小;所述数据包头信息中的传输协议为ICMP协议、所述流量数据包中ICMP协议对应的流量大小大于第一预设流量阈值且数据包计数大于第一预设计数阈值;所述数据包头信息中的传输协议为TCP协议、源IP地址与目的IP地址相同且源端口与目的端口相同;所述数据包头信息中的传输协议为TCP协议、所述流量数据包中TCP协议对应的流量大小大于第二预设流量阈值且数据包计数大于第二预设计数阈值;所述数据包头信息中的传输协议为UDP协议、目的端口为反射端口且源端口为反射端口;所述数据包头信息中的传输协议为UDP协议、目的端口为反射端口且目的IP地址为广播地址;所述数据包头信息中的传输协议为UDP协议、所述流量数据包中UDP协议对应的流量大小大于第三预设流量阈值且数据包计数大于第三预设计数阈值。
7.根据权利要求6所述的装置,其特征在于,所述数据包头信息包括:源IP地址、目的IP地址、源端口、目的端口和传输协议。
8.一种计算设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-5中任一项所述的一种异常网络流量检测方法对应的操作。
9.一种计算机存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-5中任一项所述的一种异常网络流量检测方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010493545.6A CN113765849B (zh) | 2020-06-03 | 2020-06-03 | 一种异常网络流量检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010493545.6A CN113765849B (zh) | 2020-06-03 | 2020-06-03 | 一种异常网络流量检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113765849A CN113765849A (zh) | 2021-12-07 |
| CN113765849B true CN113765849B (zh) | 2023-08-18 |
Family
ID=78783179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010493545.6A Active CN113765849B (zh) | 2020-06-03 | 2020-06-03 | 一种异常网络流量检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113765849B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114866322B (zh) * | 2022-05-06 | 2023-06-13 | 清华大学 | 一种网络异常流量检测方法和装置 |
| CN115277491B (zh) * | 2022-06-15 | 2023-06-06 | 中国联合网络通信集团有限公司 | 异常数据的确定方法、装置及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579823A (zh) * | 2014-12-12 | 2015-04-29 | 国家电网公司 | 一种基于大数据流的网络流量异常检测系统及方法 |
| CN105939339A (zh) * | 2016-03-22 | 2016-09-14 | 杭州迪普科技有限公司 | 攻击协议报文流的防护方法及装置 |
| CN106790050A (zh) * | 2016-12-19 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种异常流量检测方法及检测系统 |
| CN108322433A (zh) * | 2017-12-18 | 2018-07-24 | 中国软件与技术服务股份有限公司 | 一种基于流检测的网络安全检测方法 |
| CN110300085A (zh) * | 2018-03-22 | 2019-10-01 | 北京京东尚科信息技术有限公司 | 网络攻击的取证方法、装置、系统、统计集群和计算集群 |
-
2020
- 2020-06-03 CN CN202010493545.6A patent/CN113765849B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579823A (zh) * | 2014-12-12 | 2015-04-29 | 国家电网公司 | 一种基于大数据流的网络流量异常检测系统及方法 |
| CN105939339A (zh) * | 2016-03-22 | 2016-09-14 | 杭州迪普科技有限公司 | 攻击协议报文流的防护方法及装置 |
| CN106790050A (zh) * | 2016-12-19 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种异常流量检测方法及检测系统 |
| CN108322433A (zh) * | 2017-12-18 | 2018-07-24 | 中国软件与技术服务股份有限公司 | 一种基于流检测的网络安全检测方法 |
| CN110300085A (zh) * | 2018-03-22 | 2019-10-01 | 北京京东尚科信息技术有限公司 | 网络攻击的取证方法、装置、系统、统计集群和计算集群 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113765849A (zh) | 2021-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284594B2 (en) | Detecting and preventing flooding attacks in a network environment | |
| US8634717B2 (en) | DDoS attack detection and defense apparatus and method using packet data | |
| KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
| US20040054925A1 (en) | System and method for detecting and countering a network attack | |
| WO2005010723A2 (en) | System and method for threat detection and response | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| US20210168163A1 (en) | Bind Shell Attack Detection | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| US20230283631A1 (en) | Detecting patterns in network traffic responses for mitigating ddos attacks | |
| CN108616488B (zh) | 一种攻击的防御方法及防御设备 | |
| US20060272019A1 (en) | Intelligent database selection for intrusion detection & prevention systems | |
| JP2004140524A (ja) | DoS攻撃検知方法、DoS攻撃検知装置及びプログラム | |
| Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
| US11770405B2 (en) | Automated selection of DDoS countermeasures using statistical analysis | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN114710343A (zh) | 一种入侵检测的方法和检测设备 | |
| Li et al. | P4-NSAF: defending IPv6 networks against ICMPv6 DoS and DDoS attacks with P4 | |
| US20050147037A1 (en) | Scan detection | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| US11997133B2 (en) | Algorithmically detecting malicious packets in DDoS attacks | |
| Selvaraj | Distributed Denial of Service Attack Detection, Prevention and Mitigation Service on Cloud Environment | |
| Balamurugan et al. | Analysis of entropy based DDoS attack detection to detect UDP based DDoS attacks in IPv6 networks | |
| Lee et al. | Improved Pattern Matching Method for Intrusion Detection Systems under DDoS Attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |