WO2016106592A1

WO2016106592A1 - 一种特征信息分析方法及装置

Info

Publication number: WO2016106592A1
Application number: PCT/CN2014/095640
Authority: WO
Inventors: 付天福; 周冲
Original assignee: 华为技术有限公司
Priority date: 2014-12-30
Filing date: 2014-12-30
Publication date: 2016-07-07
Also published as: CN106416171B; CN111835708A; CN106416171A

Abstract

一种特征信息分析方法及装置，包括以下特征：获取待分析会话中的多个数据报文（101）；从每个所述数据报文中提取预设会话特征的特征值（102）；统计所述特征值获得所述待分析会话的会话特征信息（103），实施例中，以会话为基本分析单位，实现了对会话进行整体分析，得到可以全面反映会话的会话特征信息；实施例还提供了网络攻击检测方法及系统，根据预设时间间隔内获取的待分析会话的会话特征信息检测该预设时间间隔内的网络会话攻击，解决了现有技术中基于数据流的特征信息无法检测网络中会话攻击的问题，实现了对网络中会话攻击的有效检测，提高了网络攻击检测的完备性。

Description

一种特征信息分析方法及装置

技术领域

本发明涉及通信技术领域，尤其是涉及一种特征信息分析方法及装置。

背景技术

目前，一般采用数据流描述的互联网中数据的传输，一个数据流(data stream)是指按照规定顺序被读取一次的数据报文序列。属于同一个数据流的多个数据报文的五元组信息都相同，五元组信息包括源互联网协议IP地址、目的IP地址、源端口号、目的端口号和传输层协议号。

通过对一个数据流中的数据报文序列所携带的信息进行分析，可以获得该数据流的特征信息。对多条数据流的特征信息进行综合分析，可以了解网络中数据传输的运行状况。例如：分析网络中数据流的持续时间，可以了解网络数据传输速度；分析网络中数据流的报文长度，可以进行网络流量计费；分析网络中数据流的IP地址等信息，可以进行网络安全检测。

由此可知，本领域技术人员在进行网络运行状况分析时，以数据流为基本分析单位，但是基于数据流的特征信息只能分析得到部分网络运行状况。

发明内容

本发明实施例提供特征信息分析方法及装置，以会话为基本分析单位，获得会话特征信息，解决了数据流的特征信息只能分析部分网络运行状况的问题。

本发明实施例第一方面提供了一种特征信息分析方法，所述方法包括：

获取待分析会话中的多个数据报文；

从每个所述数据报文中提取预设会话特征的特征值；

统计所述特征值获得所述待分析会话的会话特征信息。

在本发明实施例第一方面的第一种可能的实现方式中，所述从每个所述数据报文中提取预设会话特征的特征值前包括：

获取在IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特征。

结合本发明实施例第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括：

将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输出。

结合本发明实施例第一方面至第一方面的第二种可能的实现方式，在第三种可能的实现方式中，所述获取待分析会话中的多个数据报文包括：

从所有接收到的数据报文中，分别获取每个数据报文的五元组信息；

基于所述每个数据报文的五元组信息，从所有接收到的数据报文中获取所述待分析会话的多个数据报文。

结合本发明实施例第一方面至第一方面的第二种可能的实现方式，在第四种可能的实现方式中，所述获取待分析会话中的多个数据报文前还包括：

对所有所接收的数据报文基于会话抽样，以得到多个抽样会话的数据报文；

所述获取待分析会话中的多个数据报文包括：

从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文。

结合本发明实施例第一方面第四种可能的实现方式，在第五种可能的实现方式中，所述从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文包括：

从所述多个会话的数据报文中，分别获取每个数据报文的五元组信息；

基于所述每个数据报文的五元组信息，从所述多个会话的数据报文中获取所述待分析会话的数据报文。

结合本发明实施例第一方面第四种可能的实现方式，在第六种可能的实现方式中，所述对所有所接收的数据报文基于会话抽样包括：

解析每个所述接收的数据报文的五元组信息；

利用所述五元组信息计算所述接收的数据报文的正哈希值和反哈希值，所述正哈希值是以所接收的数据报文的五元组信息为输入计算所得的哈希值，所述反哈希值是将所接收的数据报文的五元组信息中，源IP地址和目的IP地址调换位置，并且源端口号和目的端口号调换位置后作为输入计算所得的哈希值；

计算所述正哈希值除以预设的会话抽样模板中的预设采样参数所得的第一余数，计算所述反哈希值除以所述会话抽样模板中的预设采样参数所得的第二余数，所述预设采样参数为所述会话抽样模板中抽样比例的分母；

判断所述第一余数或所述第二余数是否为所述会话抽样模板中的预设采样余数；

当所述第一余数或第二余数是所述会话抽样模板中的预设采样余数时，对所述接收的数据报文进行抽样。

本发明实施例第二方面提供了网络攻击检测方法，所述方法包括：

分析预设时间间隔内获取的所有待分析会话的会话特征信息，所述会话特征信息利用本发明实施例提供的第一方面至第一方面第六种可能的实现方式中所述的方法分析获得；

根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击。

在本发明实施例第二方面第一种可能的实现方式中，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

根据所述会话特征信息统计所述预设时间间隔内所获取的所有待分析会话中不完整会话所占的第一比例；

判断所述第一比例是否超过第一预设阈值；

当不完整会话所占的第一比例超过第一预设阈值时，识别所述预设时间间隔内的网络会话攻击。

结合本发明实施例第二方面第一种可能的实现方式，在第二种可能的实现方式中，

所述会话特征信息包括上行数据报文数和下行数据报文数；

所述不完整会话为所述上行数据报文数大于1，并且所述下行数据报文数为0的待分析会话。

结合本发明实施例第二方面第一种可能的实现方式，在第三种可能的实现方式中，

所述会话特征信息包括传输控制协议TCP标志位；

所述不完整会话为所述TCP标志位不完整的待分析会话。

在本发明实施例第二方面第四种可能的实现方式中，

所述会话特征信息包括网络控制报文协议ICMP会话中echo报文数和echo reply报文数；

所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

根据会话特征信息统计预设时间间隔内所获取的ICMP会话中echo报文与echo reply报文的第二比例；

判断所述第二比例是否在预设数值范围内；

当所述第二比例不在预设数值范围内时，识别所述预设时间间隔内的ICMP会话攻击。

在本发明实施例第二方面第五种可能的实现方式中，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

根据会话特征信息统计所述预设时间间隔内拒绝服务会话的个数，所述拒绝服务会话为会话特征信息中包含超文本传输协议HTTP错误码信息的所述待分析会话；

判断所述拒绝服务会话的个数是否超过第二预设阈值；

当所述拒绝服务会话的个数超过第二预设阈值时，识别所述预设事件间隔内的CC会话攻击。

在本发明实施例第六种可能的实现方式中，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信息是否包含会话分片异常信息，所述会话分片异常信息包括分片不完整，分片重叠以及分片标志位出错中任意一种或多种；

当所述待分析会话的会话特征信息包含会话分片异常信息时，识别该待分析会话为所述预设时间间隔内的分片攻击会话。

结合本发明实施例第二方面至第二方面的第六种可能的实现方式，在第七种可能的实现方式中，所述方法还包括：

当检测到所述预设时间间隔内的网络会话攻击时，根据所述待分析会话的会话特征信息生成攻击事件；

根据所述攻击事件生成攻击抑制策略。

结合本发明实施例第二方面第七种可能的实现方式，在第八种可能的实现方式中，所述方法还包括：

根据所述攻击事件识别攻击源设备，攻击业务以及被攻击设备。

结合本发明实施例第二方面至第二方面第八种可能的实现方式，在第九种可能的实现方式中，所述会话特征信息采用IPFIX协议的标准输出格式。

本发明实施例第三方面提供了特征信息分析装置，所述装置包括：

第一获取单元，用于获取待分析会话中的多个数据报文；

提取单元，用于从每个所述数据报文中提取预设会话特征的特征值；

统计单元，用于统计所述特征值获得所述待分析会话的会话特征信息。

在本发明实施例第三方面第一种可能的实现方式中，所述装置还包括：

第二获取单元，用于获取在IPFIX协议中所配置的会话特征作为预设特征。

结合本发明实施例第三方面第一种可能的实现方式，在第二种可能的实现方式中，所述装置还包括：

输出单元，用于将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输出。

结合本发明实施例第三方面至第三方面第二种可能的实现方式，在第三种可能的实现方式中，所述第一获取单元包括：

第一获取子单元，用于从所有接收到的数据报文中，分别获取每个数据报文的五元组信息；

第二获取子单元，用于基于所述每个数据报文的五元组信息，从所有接收到的数据报文中获取所述待分析会话的数据报文。

结合本发明实施例第三方面至第三方面第二种可能的实现方式，在第四种可能的实现方式中，所述装置还包括：

抽样单元，用于对所有所接收的数据报文基于会话抽样，以得到多个抽样会话的数据报文；

所述第一获取单元，具体用于从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文。

结合本发明实施例第四种可能的实现方式，在第五种可能的实现方式中，所述第一获取单元包括：

第三获取子单元，用于从所述多个抽样会话的数据报文中，分别获取每个数据报文的五元组信息；

第四获取子单元，用于基于所述每个数据报文的五元组信息，从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文。

结合本发明实施例第四种可能的实现方式，在第六种可能的实现方式中，所述抽样单元包括：

解析子单元，用于解析每个所述接收的数据报文的五元组信息；

第一计算子单元，用于利用所述五元组信息计算所述接收的数据报文的正哈希值和反哈希值，所述正哈希值是以所接收的数据报文的五元组信息为输入计算所得的哈希值，所述反哈希值是将所接收的数据报文的五元组信息中，源IP地址和目的IP地址调换位置，并且源端口号和目的端口号调换位置后作为输入计算所得的哈希值；

第二计算子单元，用于计算所述正哈希值除以预设的会话抽样模板中的预设采样参数所得的第一余数，计算所述反哈希值除以所述会话抽样模板中的预设采样参数所得的第二余数，所述预设采样参数为所述会话抽样模板中抽样比例的分母；

判断子单元，用于判断所述第一余数或所述第二余数是否为所述会话抽样模板中的预设采样余数；

抽样子单元，用于当所述第一余数或第二余数是所述会话抽样模板中的预设采样余数时，对所述接收的数据报文进行抽样。

本发明实施例第四方面提供了网络攻击检测系统，所述系统包括：

本发明实施例第三方面至第三方面第六种可能的实现方式所述的特征信息分析装置，用于分析预设时间间隔内获取的所有待分析会话的会话特征信息；

检测装置，用于根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击。

在本发明实施例第四方面第一种可能的实现方式中，所述检测装置包括：

第一统计单元，用于根据所述会话特征信息统计所述预设时间间隔内所获取的所有待分析会话中不完整会话所占的第一比例；

第一判断单元，用于判断所述第一比例是否超过第一预设阈值；

第一识别单元，用于当不完整会话所占的第一比例超过第一预设阈值时，识别所述预设时间间隔内的网络会话攻击。

结合本发明实施例第四方面第一种可能的实现方式，在第二种可能的实现方式中，所述会话特征信息包括上行报文字节数和下行报文字节数；

结合本发明实施例第四方面第一种可能的实现方式，在第三种可能的实现方式中，所述会话特征信息包括传输控制协议TCP标志位；所述不完整会话为所述TCP标志位不完整的待分析会话。

在本发明实施例第四方面第四种可能的实现方式中，所述会话特征信息包括网络控制报文协议ICMP会话中回送echo报文数和回送响应echoreply报文数；

所述检测装置包括：

第二统计单元，用于根据会话特征信息统计预设时间间隔内所获取的ICMP会话中echo报文与echo reply报文的第二比例；

第二判断单元，用于判断所述第二比例是否在预设数值范围内；

第二识别单元，用于当所述第二比例不在预设数值范围内时，识别所述预设时间间隔内的ICMP会话攻击。

在本发明实施例第五种可能的实现方式中，所述检测装置包括：

第三统计单元，用于根据会话特征信息统计所述预设时间间隔内拒绝服务会话的个数，所述拒绝服务会话为会话特征信息中包含超文本传输协议HTTP错误码信息的所述待分析会话；

第三判断单元，用于判断所述拒绝服务会话的个数是否超过第二预设阈值；

第三识别单元，用于当所述拒绝服务会话的个数超过第二预设阈值时，识别所述预设事件间隔内的CC会话攻击。

在本发明实施例第六种可能的实现方式中，所述检测装置包括：

第四判断单元，用于判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信息是否包含会话分片异常信息，所述会话分片异常信息包括分片不完整，分片重叠以及分片标志位出错中任意一项或多种；

第四识别单元，用于当所述待分析会话的会话特征信息包含会话分片异常信息时，识别该待分析会话为所述预设时间间隔内的分片攻击会话。

结合本发明实施例第三方面至第三方面第六种可能的实现方式，在第七种可能的实现方式中，所述系统还包括：

防御装置，用于当检测到所述预设时间间隔内的网络会话攻击时，根据所述待分析会话的会话特征信息生成攻击事件；根据所述攻击事件生成攻击抑制策略。

结合本发明实施例第三方面第七种可能的实现方式，在第八种可能的实现方式中，所述系统还包括：

攻击识别装置，用于根据所述攻击事件识别攻击源设备，攻击业务以及被攻击设备。

结合本发明实施例第三方面至第三方面第八种可能的实现方式，在第九种可能的实现方式中，所述会话特征信息采用IPFIX协议的标准输出格式。

由上述技术方案可以看出，本发明有如下有益效果：

本发明实施例开创性的提供了特征信息分析方法及装置，获取待分析会话中的多个数据报文；从每个所述数据报文中提取预设会话特征的特征值；统计所述特征值获得所述待分析会话的会话特征信息，本发明实施例中，以会话为基本分析单位，实现了对会话进行整体分析，得到可以全面反映会话的会话特征信息；

本发明实施例还提供了网络攻击检测方法及系统，根据预设时间间隔内获取的待分析会话的会话特征信息检测该预设时间间隔内的网络会话攻击，解决了现有技术中基于数据流的特征信息无法检测网络中会话攻击的问题，实现了对网络中会话攻击的有效检测，提高了网络攻击检测的完备性。

附图说明

图1为本发明实施例提供的特征信息分析方法流程图；

图2为本发明实施例提供的IPFIX协议报文格式示意图；

图3为本发明实施例提供的网络攻击检测方法流程图；

图4为本发明实施例提供的特征信息分析装置结构示意图；

图5为本发明实施例提供的网络攻击检测系统结构示意图；

图6为本发明实施例提供的特征信息分析装置的硬件结构示意图；

图7为本发明实施例提供的网络攻击检测系统硬件结构示意图。

具体实施方式

现有技术中，对某个网络的运行状况分析时，主要是以数据流为基本单位，获取该网络中传输的多条数据流，对所获取的多条数据流的特征信息进行综合分析，获得该网络的运行状况。基于数据流进行分析，无法分析网络的接通概率，无法检测网络的会话攻击，无法分析网络的异常会话等。

为了解决上述技术问题，本发明实施例开创性的提供了会话特性信息的分析方法及装置，以会话为基本分析单位，为实现对网络的运行状况的全面分析，尤其是对网络中会话攻击的全面分析提供重要的数据信息。

为使本发明实施例的目的、技术方案和优点更加清楚，下面结合附图对本发明实施例进行详细说明。

图1为本发明实施例提供的特征信息分析方法流程图，所述方法包括：

S101：获取待分析会话中的多个数据报文。

在网络应用中，一个会话(session)指的是在一个不中断的特定操作时间内，两个网络设备之间的通信交互。第一网络设备和第二网络设备之间可以建立会话，从而在所述第一网络设备和所述第二设备之间传输多个数据报文。同一个会话的多个数据报文的五元组信息具有以下特征：同一个会话的多个数据报文的源IP地址为第一网络设备的IP地址或第二网络设备的IP地址，同一个会话的多个数据报文的目的IP地址为第一网络设备的IP地址或第二网络设备IP地址，同一个会话的多个数据报文的源端口号为第一网络设备的端口号或第二网络设备的端口号，同一个会话的多个数据报文的目的端口号为第一网络设备的端口号或第二网络设备的端口号，同一个会话的多个数据报文的所采用的传输层协议号相同。

也就是说，从所述第一网络设备发往所述第二网络设备的数据报文的五元组信息为(第一网络设备的IP地址，第一网络设备的端口号，第二网络设备的IP地址，第二网络设备的端口号，传输层协议号)，即，从所述第一网络设备发往所述第二网络设备的数据报文的源IP地址为所述第一网络设备的IP地址，从所述第一网络设备发往所述第二网络设备的数据报文的源端口号为所述第一网络设备的端口号，从所述第一网络设备发往所述第二网络设备的数据报文的目的IP地址为所述第二网络设备的IP地址，从所述第一网络设备发往所述第二网络设备的数据报文的目的端口号为所述第二网络设备的端口号，从所述第一网络设备发往所述第二网络设备的数据报文的传输层协议号为所述第一网络设备与所述第二网络设备之间传输这些数据报文所使用的传输层协议的编号。从所述第二网络设备发往所述第一网络设备的数据报文的五元组信息为(第二网络设备的IP地址，第二网络设备的端口号，第一网络设备的IP地址，第一网络设备的端口号，传输层协议号)，即，从所述第二网络设备发往所述第一网络设备的数据报文的源IP地址为所述第二网络设备的IP地址，从所述第二网络设备发往所述第一网络设备的数据报文的源端口号为所述第二网络设备的端口号，从所述第二网络设备发往所述第一网络设备的数据报文的目的IP地址为所述第一网络设备的IP地址，从所述第二网络设备发往所述第一网络设备的数据报文的目的端口号为所述第一网络设备的端口号，从所述第二网络设备发往所述第一网络设备的数据报文的传输层协议号为所述第一网络设备与所述第二网络设备之间传输这些数据报文所使用的传输层协议的编号。从所述第一网络设备发往所述第二网络设备的数据报文与从所述第二网络设备发往所述第一网络设备的数据报文中所携带的传输层协议号相同。

本发明实施例中，所述获取待分析会话中的多个数据报文，至少有如下两种可能的实施方式：

在第一种可能的实施方式中，从所有接收到的数据报文中，分别获取每个数据报文的五元组信息；基于所述每个数据报文的五元组信息，从所有接收到的数据报文中获取所述待分析会话的多个数据报文。

对所有接收到的数据报文，解析每个数据报文的五元组信息，基于五元组信息对所有接收到的数据报文分组，将从第一网络设备发往第二网络设备的多个数据报文及从所述第二网络设备发往所述第一网络设备的多个数据报文划分到一个组，每个组中的多个数据报文属于同一个会话，最终得到多个会话，每个会话是指两个网络设备之间的通信。在实际应用中，可以选取至少一个所得到的会话作为待分析会话进行分析，获得待分析会话的会话特征信息。

在获取待分析会话的多个数据报文时，对于一个待分析会话来说，该会话的通信双方为第一网络设备和第二网络设备，当一个数据报文以第一网络设备的IP地址作为源IP地址，以第二网络设备的IP地址作为目的IP地址，以第一网络设备的端口号作为源端口号，以第二网络设备的端口号作为目的端口号时，该数据报文则属于所述待分析会话。基于所接收到的数据报文的五元组信息，即可获得所述待分析会话的数据报文。

在第二种可能的实施方式中，

所述获取待分析会话中的多个数据报文包括：

一般情况下，所接收的数据报文非常多，通常采取对所有所接收的数据报文采样进行分析，由于本发明实施例提供的是会话特征信息分析方法，因此，对所有接收的数据报文基于会话采样，以保证所有接收的数据报文中，所有属于抽样会话的数据报文都能够被抽样，这样才能实现基于会话的特征信息分析。

与第一种可能的实施方式类似的是，所述从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文包括：

第一种可能的实施方式中，是从所有接收的数据报文中获取所述待分析会话的数据报文，第二种可能的实施方式中，是从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文。

对所有被抽样的数据报文，解析每个被抽样的数据报文的五元组信息，基于五元组信息对所有被抽样的数据报文分组，将从第一网络设备发往第二网络设备的多个数据报文及从所述第二网络设备发往所述第一网络设备的多个数据报文划分到一个组，每个组中的多个数据报文属于同一个会话，每个会话是指两个网络设备之间的通信。在实际应用中，可以选取至少一个所得到的抽样会话作为待分析会话进行分析，获得待分析会话的会话特征信息。

在一个实施例中，为了保证所有属于抽样回话的数据报文都能够被抽样，所述对所有所接收的数据报文基于会话抽样包括：

解析每个所述接收的数据报文的五元组信息；

解析每个所接收的数据报文，获得所接收的数据报文的五元组信息，将源IP地址、目的IP地址、源端口号、目的端口号以及传输层协议号按照预设的顺序排列为一个字符串组成哈希函数的一个输入值，计算得到正哈希值；将源IP地址与目的IP地址的位置互换，并将源端口号和目的端口号的位置互换，传输层协议号的位置不变，排列得到另一个字符串组成哈希函数的另一个输入至，计算得到反哈希值。获取预设的会话抽样模板中的采样比例m/n，计算正哈希值除以所述采样比例的分母m的第一余数，并且计算反哈希值除以所述采样比例的分母m的第二余数，判断第一余数或第二余数是否为所述会话抽样模板中的采样余数，当第一余数或第二余数为采样余数时，对该数据报文进行抽样。其中，预设的会话抽样模板中包括采样比例m/n以及m个采样余数。采样比例决定从大量所接收的数据报文中所采集的数据报文的所占的比例，采样余数决定基于会话进行采样。

举例说明：若会话抽样模板中的抽样比例为3/1000，则抽样比例的分母为1000，计算所述正哈希值除以1000所得的第一余数，计算所述反哈希值除以1000所得的第二余数，则所述第一余数和所述第二余数的取值范围为0至999。抽样比为3/1000时，从0至999选取三个数字作为会话抽样模板中的采样余数。假设选取3个数字5、386、857作为采样余数，则当第一余数为采样余数或第二预设为采样余数时，对该数据报文进行抽样。当然，也可以选取多于3个数字作为采样余数。

可以理解的是，将从第一网络设备发往第二网络设备的多个数据报文及从所述第二网络设备发往所述第一网络设备的多个数据报文划分到一个组，每个组中的多个数据报文属于同一个会话，每个会话是指两个网络设备之间的通信。对于同一个会话中不同的数据报文来说，基于五元组信息计算哈希值，能够得到同一组哈希值，也就能够计算得到同一组余数。即可以实现抽取一个会话中所有的数据报文。

举例说明：若根据一个会话中的数据报文的五元组信息计算得到的正哈希值为A，反哈希值为B，除以采样比例的分母所得的第一余数为C，第二余数为D。则该会话中其他的数据报文的五元组信息计算得到的哈希值也都为A和B，只不过有的数据报文的正哈希值为A，反哈希值为B，有的数据报文的正哈希值为B，反哈希值为A，并且除以采样比例的分母所得的余数也都为C和D。当C或D为预设的会话抽样模板中的抽样余数时，对该数据报文进行抽样，从而该会话中其他的数据报文也会被抽样；当C和D都不是预设的会话抽样模板中的抽样余数时，该数据报文不会被抽样，从而该会话中其他的数据报文也不会被抽样。

由于数据报文的五元组信息在不同地区分布非常不均匀，可以从五元组信息中分别选取在不同地区分布均匀的几位组成哈希函数的输入字符串，尽可能的实现均匀会话采样。例如：从五元组信息中选取IP地址的中M位相连的字符串，端口号中N位相连的字符串，以及传输层协议号中P位相连的字符串组合，获得M+N+P位字符串作为哈希函数的输入字符串，其中，M，N和P为大于0的整数。在实际应用中，可以选取CRC16哈希函数计算哈希值。

S102：从每个所述数据报文中提取预设会话特征的特征值。

对所述待分析会话的多个数据报文进行分析，提取预设会话特征的特征值。从一个会话中每个数据报文中提取预设会话特征的特征值，对所有数据报文中提取的预设会话特征的特征值进行分析，能得到该会话的预设会话特征的会话特征信息。在分析一个会话的预设会话特征的会话特征分析时，需要以该会话中所有的数据报文中提取的预设会话特征的特征值作为分析基础，以会话中全部数据报文中携带的预设会话特征的特征值作为整体。只分析一个会话中的一部分数据报文中携带的预设会话特征的特征值，不能得到该会话的预设会话特征的会话特征信息。

举例说明，预设会话特征可以包括以下中的一个或多个：会话的上行数据包数、会话的下行数据包数、每个传输控制协议TCP会话标志位个数、会话终结原因、最大数据报文长度、最小数据报文长度、会话上行报文传输速度、下行报文传输速度、因特网控制报文协议ICMP会话中回送报文和回送响应报文数等。这里需要说明的是，除了上述举例说明的预设会话特征外，还有很多以会话为基本分析单位的预设会话特征，所述预设会话特征可以是根据实际需要从IPFIX协议中扩展的会话特征指标中选出的会话特征指标，也可以是用户根据实际需要自行设定的特征，这里不再赘述。

在一个实施例中，所述从每个所述数据报文中提取预设会话特征的特征值前包括：

所述预设会话特征是IP数据流信息输出(IP Flow Information Export， IPFIX)协议中所配置的会话特征。IPFIX是由互联网工程任务组(The Internet Engineering Task Force，IETF)公布的用于网络中的流信息测量的标准协议。IPFIX协议提供了一种数据流特征信息的输出标准，原有的IPFIX协议指标用于描述数据流。在本发明实施例中，为了采用IPFIX协议输出会话特性信息，对原有IPFIX协议中的指标进行扩展，增加多个用于描述会话的会话特征指标。在IPFIX协议中配置所要统计的会话特征作为预设会话特征。在对IPFIX协议扩展会话特征指标时，主要扩展用于分析以下会话状态的会话特征指标：会话服务器时延，会话异常，会话不完整，超文本传输协议HTTP会话错误等。

如表1所示，对在IPFIX协议中扩展的多个用于描述会话的会话特征指标进行举例说明：

表1、IPFIX协议中扩展的会话特征指标

表1只对几种IPFIX协议中扩展的会话特征指标进行举例说明，还可以根据实际需要在IPFIX协议中扩展其他描述会话的会话特征指标，所述会话特征指标可以被选作为预设会话特征，这里不再一一赘述。

除了表1中所示的几种在IPFIX协议中扩展的会话特征指标以外，原有IPFIX协议中也有可以用于描述会话的会话特征指标。如表2所示。

表2、IPFIX协议中原有的会话特征指标

表1只对几种IPFIX协议中原有的会话特征指标进行举例说明，还可以根据实际需要分析在IPFIX协议中原有的其他描述会话的会话特征指标，这里不再一一赘述。

按照预设会话特征，对所述待分析会话中的每个数据报文分别解析，从每个数据报文所携带的信息中提取所述预设会话特征的特征值。举例说明：当预设会话特征为会话上行字节数和下行字节数时，则提取所述待分析会话中每个数据报文的字节数；当预设会话特征为TCP会话标志位个数时，则提取所述待分析会话中数据报文中所携带的的TCP标志位。从待分析会话的每个数据报文中提取其他预设会话特征的特征值与上述实例类似，根据实际情况具体执行，这里不再一一赘述。

从每个所述数据报文中提取预设会话特征的特征值时，根据预设会话特征的个数，从待分析会话的每个数据报文中提取特征值时，可以只提取一个预设会话特征的特征值，也可以同时提取多个预设会话特征的特征值，这里不进行具体限定。

S103：统计所述特征值获得所述待分析会话的会话特征信息。

从所述待分析会话的每个数据包中提取预设会话特征的特征值后，统计所述特征值，即可得到所述待分析会话的该预设会话特征的会话特征信息。

举例说明：当预设会话特征为会话上行字节数和下行字节数时，对每个上行数据报文的字节数求和获得上行字节数，对每个下行数据报文的字节数求和获得下行字节数；当预设会话特征为TCP会话标志位个数，则对从数据报文中提取的每种TCP会话标识位分别计数，获得每种TCP会话标识位的个数。除此以外，预设会话特征还可以为会话上行数据报文数和下行数据报文数，根据源IP地址和目的IP地址分别统计所述待分析会话的上行数据报文数和下行数据报文数；预设会话特征也可以为TCP标志位个数，根据数据报文所携带的标志位分别统计每种TCP标志位个数。

这里需要说明的是，除了上述实例以外，还可以统计其他预设会话特征的特征值，获得其他预设会话特征的会话特征信息，这里不再一一赘述。

在一个实施例中，所述从每个所述数据报文中提取预设会话特征的特征值前包括：获取在IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特征。

即所述预设会话特征是在IPFIX协议中所配置的会话特征时，所述方法还包括：

IPFIX协议中定义了会话特征信息的标准输出格式，方便技术人员提取和查看会话特征信息。本发明实施例中以Cisco Netflow Version 9版本举例说明，还可以采用其他版本的标准输出格式，这里不再一一赘述。图2为本发明实施例IPFIX协议报文格式示意图；表3所示的是IPFIX协议的数据标准输出格式Netflow V 9版本的输出模板之一。

表3、IPFIX协议的数据标准输出格式Netflow V9版本的输出模板

输出会话特征信息时，还可以采用IPFIX协议中其他版本的标准输出格式，也可以采用Cisco Netflow Version 9版本中其他输出模板，根据实际情况选取，这里不再赘述。

由上述内容可知，本发明实施例有如下有益效果：

本发明实施例开创性的提供了特征信息分析方法，获取待分析会话中的多个数据报文；从每个所述数据报文中提取预设会话特征的特征值；统计所述特征值获得所述待分析会话的会话特征信息，本发明实施例中，以会话为基本分析单位，实现了对会话进行整体分析，得到可以全面反映会话的会话特征信息

图3为本发明实施例提供的网络攻击检测方法流程图，所述方法包括：

S301：分析预设时间间隔内获取的所有待分析会话的会话特征信息。

所述会话特征信息利用图1所示的本发明实施例所提供的特征信息分析方法分析获得，参考对图1所示的特征信息分析方法的具体描述，这里不再赘述。

S302：根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击。

S301获取的是预设时间间隔内分析得到的所有待分析会话的会话特征信息，通过对所有待分析会话的会话特征信息进行综合分析，可以检测预设时间间隔内是否存在网络会话攻击。可以理解的是，分析不同的会话特征信息可以检测到不同种类的网络会话攻击。

所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击至少有四种可能的实施方式，下面对这四种可能的实施方式一一说明。

第一种可能的实施方式，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

判断所述第一比例是否超过第一预设阈值；

根据所述会话特征信息统计不完整会话的个数，当预设时间间隔内出现大量的不完整会话时，说明在此预设时间间隔内出现网络会话攻击。其中，第一预设阈值可以根据实际情况自行设定，比如，第一预设阈值可以设置为60％，当第一预设时间间隔内，不完整会话超过60％时，说明出现了网络会话攻击。此时，可以根据会话特征信息分析网络会话攻击的攻击类型，攻击源设备，攻击目标设备等。

在第一种可能的实施方式中，根据所获取的待分析会话的会话特征信息的种类不同，不完整会话的定义不同，所识别出的会话攻击类型也不同。

场景一，所述会话特征信息包括上行数据报文数和下行数据报文数；

当预设时间间隔内，存在大量的只有上行数据报文，没有下行数据报文的不完整会话，此预设时间间隔内，很可能受到DNS会话攻击。

场景二，所述会话特征信息包括传输控制协议TCP标志位；

所述不完整会话为所述TCP标志位不完整的待分析会话。

当预设时间间隔内，存在大量TCP标志位不完整的待分析会话时，此预设时间间隔内，很可能受到TCP Flood会话攻击。

除了上述两个实施场景外，还有其他的会话特征信息也可以描述不完整会话，根据会话特征信息分析所受到的会话攻击的种类，这里不再赘述。

第二种可能的实施方式，所述会话特征信息包括网络控制报文协议ICMP会话中echo报文数和echo reply报文数；

判断所述第二比例是否在预设数值范围内；

当所述第二比例不在预设数值范围内时，识别所述预设时间间隔内的ICMP协议会话攻击。

对于网络控制报文协议(Internet Control Message Protocol,ICMP)会话来说，会话中的echo报文和echo reply报文理论上应该是相同的，有一个echo报文，就应该有一个echo reply报文。在实际应用中，echo报文和echoreply报文在ICMP会话中，比例应该近似为1，即预设的数值范围可以设置为0.8～1.2。当然，所述预设的数值范围还可以设置其他范围，保证ICMP会话中echo报文和echo reply报文的个数相差不大即可。

当echo报文和echo reply报文的第二比例超过预设的数值范围时，表示echo报文的个数远远超过echo reply报文的个数，或者echo reply报文的个数远远超过echo报文的个数。在该预设时间间隔内，识别网络中存在 ICMP网络攻击。

第三种可能的实施方式，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

根据会话特征信息统计所述预设时间间隔内拒绝服务会话的个数，所述拒绝服务会话为会话特征信息中包含HTTP错误码信息的所述待分析会话；

判断所述拒绝服务会话的个数是否超过第二预设阈值；

当待分析会话中包含HTTP错误码信息时，该待分析会话为一个HTTP拒绝服务会话。根据会话特征Application Error Code，统计HTTP拒绝服务会话的个数，当预设时间间隔内出现大量的拒绝服务会话时，识别网络中可能存在CC(Challenge Collapsar)会话攻击。

第四种可能的实施方式，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信息是否包含以下情况中的任意一种或多种：会话分片异常信息，所述会话分片异常信息包括分片不完整，分片重叠以及分片标志位出错；

当待分析会话的会话特征信息中包含分片异常信息时，该待分析会话即为一个分片异常会话。当预设时间间隔内出现大量的分片异常会话时，识别网络中可能存在分片攻击。

分片异常信息包括：

Fragment Incomplete，分片不完整，即会话中缺少某一个分片；

Fragment Offset Error，分片重叠，即上一个分片和下一个分片中有重叠的数据信息；

Fragment Flag Error，标志位出错，即不同分片中的标志位同时置1。

除此以外，分片异常信息还包括：首分片太短，即首分片小于1400字节；分片超长，即携带有分片标识的分片超过1500字节。还可以有其他分片异常信息，这里不再一一赘述。

根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击，除了上述四种可能的实施方式以外，还可以统计会话终结的原因，若在预设时间间隔内，出现大量的会话终结，识别可能存在网络会话攻击；也可以统计最大报文长度和最小报文长度，当出现大量的待分析会话的最大报文长度和最小报文长度基本相同时，识别可能存在网络会话攻击；或者统计待分析会话的上行数据传输速率和下行数据传输速率，辅助识别网络会话攻击。

可选的，本发明实施例中的会话特征信息可以是采用IPFIX协议中的标准输出格式输出信息。这里需要说明的是，会话特征信息的类型还有很多，这里不再一一列举，不同类型的会话特征信息可以识别不同类型的网络会话攻击。

在一个实施例中，所述方法还包括：

根据所述攻击事件生成攻击抑制策略。

当识别到网络会话攻击时，可以根据会话特征信息生成攻击事件。对攻击事件进行分析，可以生成攻击抑制策略，还可以识别攻击源设备、攻击业务以及被攻击设备等信息。

下面对图3所示的本发明实施例提供的网络攻击检测方法的应用场景举例说明。

应用场景一，软件定义网络(Software Defined Network，SDN)中攻击检测：

SDN网络中的交换机：对所有所接收的数据报文基于会话抽样，以得到多个抽样会话的数据报文；从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文；从每个所述数据报文中提取预设会话特征的特征值；统计所述特征值获得所述待分析会话的会话特征信息，将所述会话特征信息利用IPFIX协议中的标准格式输出至SDN网络中的攻击检测设备。

SDN网络中的攻击检测设备：分析预设时间间隔内获取的所有待分析会话的会话特征信息，根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击，当识别出网络会话攻击时，生成攻击事件，发送至SDN网络控制器。

SDN网络控制器：根据所接收到得攻击事件生成攻击抑制策略，下发给SND网络中的交换机，抑制SDN网络中的会话攻击。

应用场景二：

接收大量的IPFIX协议的标准格式输出的会话特征信息；

利用分布式设备采用CUSUM算法对大量的会话特征信息进行统计；

分析统计结果检测会话攻击。

在对会话特征信息进行统计时，可以实现对网络并发会话、会话服务器延时，会话接通率以及异常会话进行统计。在检测会话攻击时，还可以识别攻击原设备，攻击代理设备，攻击业务类型，被攻击设备等信息。这里需要说明的是，在对大量的会话特征信息进行统计时，还可以采用其他的统计算法，这里不再赘述。

由上述内容可知，本发明实施例还有如下有益效果：

图4为本发明实施例提供的特征信息分析装置结构示意图，所述装置包括：

第一获取单元401，用于获取待分析会话中的多个数据报文。

在一个实施例中，所述第一获取单元401包括：

在另一个实施例中，所述装置还包括：

则所述第一获取单元401，具体用于从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文。

所述第一获取单元401包括：

所述抽样单元包括：

抽样子单元，用于当所述第一余数或所述第二余数是所述会话抽样模板中的预设采样余数时，对所述接收的数据报文进行抽样。

提取单元402，用于从每个所述数据报文中提取预设会话特征的特征值。

统计单元403，用于统计所述特征值获得所述待分析会话的会话特征信息。

在一个具体实施例中，所述装置还包括：

图4所示的特征信息分析装置是与图1所示的特征信息分析方法所对应的装置，参考图1所述的特征分析方法中的描述，这里不再赘述。

图5为本发明实施例提供的网络攻击检测系统结构示意图，所述系统包括：

图4所示的特征分析装置501，用于分析预设时间间隔内获取的所有待分析会话的会话特征信息。

检测装置502，用于根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击。

所述检测装置502第一种可能的结构，包括：

在第一种可能的结构中，场景一：

所述会话特征信息包括上行报文字节数和下行报文字节数；

在第一种可能的结构中，场景二：

所述会话特征信息包括传输控制协议TCP标志位；

所述不完整会话为所述TCP标志位不完整的待分析会话。

所述检测装置502第二种可能的结构，包括：

所述会话特征信息包括网络控制报文ICMP会话中回送echo报文数和回送响应echo reply报文数；

所述检测装置502第三种可能的结构，包括：

所述检测装置502第四种可能的结构，包括：

在一个实施例中，所述系统还包括：

所述系统还包括：

在实际应用中，所述会话特征信息采用IPFIX协议的标准输出格式。

图5所示的网络攻击检测系统是与图2所示的网络攻击检测方法所对应的系统，参考图2所述的网络攻击检测方法中的描述，这里不再赘述。

参阅图6，图6为本发明实施例提供的特征信息分析装置的硬件结构示意图，所述特征信息分析装置包括存储器601，以及与所述存储器601连接的处理器602，所述存储器601用于存储一组程序指令，所述处理器602用于调用所述存储器601存储的程序指令执行如下操作：

获取待分析会话中的多个数据报文；

从每个所述数据报文中提取预设会话特征的特征值；

统计所述特征值获得所述待分析会话的会话特征信息；

可选的，所述从每个所述数据报文中提取预设会话特征的特征值前包括：

获取在IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特征；

可选的，还包括：

将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输出；

可选的，

所述获取待分析会话中的多个数据报文包括：

基于所述每个数据报文的五元组信息，从所有接收到的数据报文中获取所述待分析会话的多个数据报文；

可选的，所述获取待分析会话中的多个数据报文前还包括：

所述获取待分析会话中的多个数据报文包括：

从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文；

可选的，所述从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文包括：

基于所述每个数据报文的五元组信息，从所述多个会话的数据报文中获取所述待分析会话的数据报文；

可选的，所述对所有所接收的数据报文基于会话抽样包括：

解析每个所述接收的数据报文的五元组信息；

参阅图7，图7为本发明实施例提供的网络攻击检测系统硬件结构示意图，所述网络攻击检测系统位于网络中，所述网络还包括多个路由器，所述多个路由器中相邻路由器之间通过具有一定带宽的链路相连，所述多个路由器通过所述链路形成网络拓扑，所述网络攻击检测系统包括存储器701，以及与所述存储器701连接的处理器702，所述存储器701用于存储一组程序指令，所述处理器702用于调用所述存储器701存储的程序指令执行如下操作：

分析预设时间间隔内获取的所有待分析会话的会话特征信息，

根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击；

可选的，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

判断所述第一比例是否超过第一预设阈值；

当不完整会话所占的第一比例超过第一预设阈值时，识别所述预设时间间隔内的网络会话攻击；

其中，所述会话特征信息包括上行数据报文数和下行数据报文数；

所述不完整会话为所述上行数据报文数大于1，并且所述下行数据报文数为0的待分析会话；

其中，所述会话特征信息包括传输控制协议TCP标志位；

所述不完整会话为所述TCP标志位不完整的待分析会话；

可选的，所述会话特征信息包括网络控制报文协议ICMP会话中echo 报文数和echo reply报文数；

判断所述第二比例是否在预设数值范围内；

当所述第二比例不在预设数值范围内时，识别所述预设时间间隔内的ICMP会话攻击；

判断所述拒绝服务会话的个数是否超过第二预设阈值；

当所述拒绝服务会话的个数超过第二预设阈值时，识别所述预设事件间隔内的CC会话攻击；

当所述待分析会话的会话特征信息包含会话分片异常信息时，识别该待分析会话为所述预设时间间隔内的分片攻击会话；

可选的，所述方法还包括：

根据所述攻击事件生成攻击抑制策略；

可选的，所述方法还包括：

其中，所述会话特征信息采用IPFIX协议的标准输出格式。

这里需要说明的是，本发明实施例中，所述处理器可以为中央处理器(Central Processing Unit，CPU)，所述存储器可以为随机存取存储器(Random Access Memory，RAM)类型的内部存储器，所述处理器和存储器可以集成为一个或多个独立的电路或硬件，如：专用集成电路(Application Specific Integrated Circuit，ASIC)。

本发明实施例中提到的第一宿主设备和第一接口的“第一”只是用来做名字标识，并不代表顺序上的第一。该规则同样适用于“第二”和“第三”。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质可以是下述介质中的至少一种：只读存储器(Read-Only Memory，ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备及系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本发明的优选实施方式，并非用于限定本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

一种特征信息分析方法，其特征在于，所述方法包括：

获取待分析会话中的多个数据报文；

从每个所述数据报文中提取预设会话特征的特征值；

统计所述特征值获得所述待分析会话的会话特征信息。
根据权利要求1所述的方法，其特征在于，所述从每个所述数据报文中提取预设会话特征的特征值前包括：

获取在因特网协议IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特征。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输出。
根据权利要求1-3任意一项所述的方法，其特征在于，所述获取待分析会话中的多个数据报文包括：

从所有接收到的数据报文中，分别获取每个数据报文的五元组信息；

基于所述每个数据报文的五元组信息，从所有接收到的数据报文中获取所述待分析会话的多个数据报文。
根据权利要求1-3任意一项所述的方法，其特征在于，所述获取待分析会话中的多个数据报文前还包括：

对所有所接收的数据报文基于会话抽样，以得到多个抽样会话的数据报文；

所述获取待分析会话中的多个数据报文包括：

从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文。
根据权利要求5所述的方法，其特征在于，所述从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文包括：

从所述多个会话的数据报文中，分别获取每个数据报文的五元组信息；

基于所述每个数据报文的五元组信息，从所述多个会话的数据报文中获取所述待分析会话的数据报文。
根据权利要求5所述的方法，其特征在于，所述对所有所接收的数据报文基于会话抽样包括：

解析每个所述接收的数据报文的五元组信息；

利用所述五元组信息计算所述接收的数据报文的正哈希值和反哈希值，所述正哈希值是以所接收的数据报文的五元组信息为输入计算所得的哈希值，所述反哈希值是将所接收的数据报文的五元组信息中，源IP地址和目的IP地址调换位置，并且源端口号和目的端口号调换位置后作为输入计算所得的哈希值；

计算所述正哈希值除以预设的会话抽样模板中的预设采样参数所得的第一余数，计算所述反哈希值除以所述会话抽样模板中的预设采样参数所得的第二余数，所述预设采样参数为所述会话抽样模板中抽样比例的分母；

判断所述第一余数或所述第二余数是否为所述会话抽样模板中的预设采样余数；

当所述第一余数或第二余数是所述会话抽样模板中的预设采样余数时，对所述接收的数据报文进行抽样。
一种网络攻击检测方法，其特征在于，所述方法包括：

分析预设时间间隔内获取的所有待分析会话的会话特征信息，所述会话特征信息利用权力要求1-7任意一项所述的方法分析获得；

根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击。
根据权利要求8所述的方法，其特征在于，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

根据所述会话特征信息统计所述预设时间间隔内所获取的所有待分析会话中不完整会话所占的第一比例；

判断所述第一比例是否超过第一预设阈值；

当不完整会话所占的第一比例超过第一预设阈值时，识别所述预设时间间隔内的网络会话攻击。
根据权利要求9所述的方法，其特征在于，

所述会话特征信息包括上行数据报文数和下行数据报文数；

所述不完整会话为所述上行数据报文数大于1，并且所述下行数据报文数为0的待分析会话。
根据权利要求9所述的方法，其特征在于，

所述会话特征信息包括传输控制协议TCP标志位；

所述不完整会话为所述TCP标志位不完整的待分析会话。
根据权利要求8所述的方法，其特征在于，

所述会话特征信息包括网络控制报文协议ICMP会话中echo报文数和echo reply报文数；

所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

根据会话特征信息统计预设时间间隔内所获取的ICMP会话中echo报文与echo reply报文的第二比例；

判断所述第二比例是否在预设数值范围内；

当所述第二比例不在预设数值范围内时，识别所述预设时间间隔内的ICMP会话攻击。
根据权利要求8所述的方法，其特征在于，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

根据会话特征信息统计所述预设时间间隔内拒绝服务会话的个数，所述拒绝服务会话为会话特征信息中包含超文本传输协议HTTP错误码信息的所述待分析会话；

判断所述拒绝服务会话的个数是否超过第二预设阈值；

当所述拒绝服务会话的个数超过第二预设阈值时，识别所述预设事件间隔内的CC会话攻击。
根据权利要求8所述的方法，其特征在于，所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击包括：

判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信息是否包含会话分片异常信息，所述会话分片异常信息包括分片不完整，分片重叠以及分片标志位出错中任意一种或多种；

当所述待分析会话的会话特征信息包含会话分片异常信息时，识别该待分析会话为所述预设时间间隔内的分片攻击会话。
根据权利要求8-14任意一项所述的方法，其特征在于，所述方法还包括：

当检测到所述预设时间间隔内的网络会话攻击时，根据所述待分析会话的会话特征信息生成攻击事件；

根据所述攻击事件生成攻击抑制策略。
根据权利要求15所述的方法，其特征在于，所述方法还包括：

根据所述攻击事件识别攻击源设备，攻击业务以及被攻击设备。
根据权利要求8-16任意一项所述的方法，其特征在于，

所述会话特征信息采用IPFIX协议的标准输出格式。
一种特征信息分析装置，其特征在于，所述装置包括：

第一获取单元，用于获取待分析会话中的多个数据报文；

提取单元，用于从每个所述数据报文中提取预设会话特征的特征值；

统计单元，用于统计所述特征值获得所述待分析会话的会话特征信息。
根据权利要求18所述的装置，其特征在于，所述装置还包括：

第二获取单元，用于获取在IPFIX协议中所配置的会话特征作为预设特征。
根据权利要求19所述的装置，其特征在于，所述装置还包括：

输出单元，用于将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输出。
根据权利要求19-20任意一项所述的装置，其特征在于，所述第一获取单元包括：

第一获取子单元，用于从所有接收到的数据报文中，分别获取每个数据报文的五元组信息；

第二获取子单元，用于基于所述每个数据报文的五元组信息，从所有接收到的数据报文中获取所述待分析会话的数据报文。
根据权利要求19-20任意一项所述的装置，其特征在于，所述装置还包括：

抽样单元，用于对所有所接收的数据报文基于会话抽样，以得到多个抽样会话的数据报文；

所述第一获取单元，具体用于从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文。
根据权利要求22所述的装置，其特征在于，所述第一获取单元包括：

第三获取子单元，用于从所述多个抽样会话的数据报文中，分别获取每个数据报文的五元组信息；

第四获取子单元，用于基于所述每个数据报文的五元组信息，从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文。
根据权利要求22所述的装置，其特征在于，所述抽样单元包括：

解析子单元，用于解析每个所述接收的数据报文的五元组信息；

第一计算子单元，用于利用所述五元组信息计算所述接收的数据报文的正哈希值和反哈希值，所述正哈希值是以所接收的数据报文的五元组信息为输入计算所得的哈希值，所述反哈希值是将所接收的数据报文的五元组信息中，源IP地址和目的IP地址调换位置，并且源端口号和目的端口号调换位置后作为输入计算所得的哈希值；

第二计算子单元，用于计算所述正哈希值除以预设的会话抽样模板中的预设采样参数所得的第一余数，计算所述反哈希值除以所述会话抽样模板中的预设采样参数所得的第二余数，所述预设采样参数为所述会话抽样模板中抽样比例的分母；

判断子单元，用于判断所述第一余数或所述第二余数是否为所述会话抽样模板中的预设采样余数；

抽样子单元，用于当所述第一余数或第二余数是所述会话抽样模板中的预设采样余数时，对所述接收的数据报文进行抽样。
一种网络攻击检测系统，其特征在于，所述系统包括：

权利要求18-24任意一项所述的特征信息分析装置，用于分析预设时间间隔内获取的所有待分析会话的会话特征信息；

检测装置，用于根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击。
根据权利要求25所述的系统，其特征在于，所述检测装置包括：

第一统计单元，用于根据所述会话特征信息统计所述预设时间间隔内所获取的所有待分析会话中不完整会话所占的第一比例；

第一判断单元，用于判断所述第一比例是否超过第一预设阈值；

第一识别单元，用于当不完整会话所占的第一比例超过第一预设阈值时，识别所述预设时间间隔内的网络会话攻击。
根据权利要求26所述的系统，其特征在于，

所述会话特征信息包括上行报文字节数和下行报文字节数；

所述不完整会话为所述上行数据报文数大于1，并且所述下行数据报文数为0的待分析会话。
根据权利要求26所述的系统，其特征在于，

所述会话特征信息包括传输控制协议TCP标志位；

所述不完整会话为所述TCP标志位不完整的待分析会话。
根据权利要求25所述的系统，其特征在于，

所述会话特征信息包括网络控制报文协议ICMP会话中回送echo报文数和回送响应echo reply报文数；

所述检测装置包括：

第二统计单元，用于根据会话特征信息统计预设时间间隔内所获取的ICMP会话中echo报文与echo reply报文的第二比例；

第二判断单元，用于判断所述第二比例是否在预设数值范围内；

第二识别单元，用于当所述第二比例不在预设数值范围内时，识别所述预设时间间隔内的ICMP会话攻击。
根据权利要求25所述的系统，其特征在于，所述检测装置包括：

第三统计单元，用于根据会话特征信息统计所述预设时间间隔内拒绝服务会话的个数，所述拒绝服务会话为会话特征信息中包含超文本传输协议HTTP错误码信息的所述待分析会话；

第三判断单元，用于判断所述拒绝服务会话的个数是否超过第二预设阈值；

第三识别单元，用于当所述拒绝服务会话的个数超过第二预设阈值时，识别所述预设事件间隔内的CC会话攻击。
根据权利要求25所述的系统，其特征在于，所述检测装置包括：

第四判断单元，用于判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信息是否包含会话分片异常信息，所述会话分片异常信息包括分片不完整，分片重叠以及分片标志位出错中任意一项或多种；

第四识别单元，用于当所述待分析会话的会话特征信息包含会话分片异常信息时，识别该待分析会话为所述预设时间间隔内的分片攻击会话。
根据权利要求25-31任意一项所述的系统，其特征在于，所述系统还包括：

防御装置，用于当检测到所述预设时间间隔内的网络会话攻击时，根据所述待分析会话的会话特征信息生成攻击事件；根据所述攻击事件生成攻击抑制策略。
根据权利要求32所述的系统，其特征在于，所述系统还包括：

攻击识别装置，用于根据所述攻击事件识别攻击源设备，攻击业务以及被攻击设备。
根据权利要求25-33任意一项所述的方法，其特征在于，

所述会话特征信息采用IPFIX协议的标准输出格式。
一种特征信息分析装置，其特征在于，所述装置包括：

存储器，以及与所述存储器连接的处理器，所述存储器用于存储一组程序指令，所述处理器用于调用所述存储器存储的程序指令执行如下操作：

获取待分析会话中的多个数据报文；

从每个所述数据报文中提取预设会话特征的特征值；

统计所述特征值获得所述待分析会话的会话特征信息。
一种网络攻击检测系统，其特征在于，所述系统包括：

存储器，以及与所述存储器连接的处理器，所述存储器用于存储一组程序指令，所述处理器用于调用所述存储器存储的程序指令执行如下操作：

分析预设时间间隔内获取的所有待分析会话的会话特征信息，所述会话特征信息利用权力要求1-7任意一项所述的方法分析获得，

根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击。