【技术实现步骤摘要】
本专利技术涉及网络安全,具体而言,涉及一种基于流量解析的网络异常处理方法及装置。
技术介绍
1、随着互联网的普及,网络安全威胁日益复杂,传统的安全防护手段难以满足对新型威胁的防范需求。流量行为分析成为一种重要的安全手段,然而,现有的方法往往受限于特定规则或静态模型,无法适应动态和复杂的网络环境。
2、针对上述相关技术中对流量行为进行分析的方法受限于特定规则或静态模型,难以适应动态和复杂的网络环境的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本专利技术实施例提供了一种基于流量解析的网络异常处理方法及装置,以至少解决相关技术中对流量行为进行分析的方法受限于特定规则或静态模型,难以适应动态和复杂的网络环境的技术问题。
2、根据本专利技术实施例的一个方面,提供了一种基于流量解析的网络异常处理方法,包括:获取局域网络的镜像流量,并提取所述镜像流量的特征信息,其中,所述局域网络指连接到交换机的所有设备组成的局域网,所述镜像流量是对所述局域网络中原始网络流量进行拷贝得到的流量;基于所述特征信息对所述镜像流量中数据流的有效性进行校验,获得校验结果;确定所述校验结果为失败的所述数据流为异常数据流;在预定时长内接收到来自同一终端设备的所述异常数据流的数量大于预定阈值时,将所述终端设备标识为异常终端设备;按照风险处理规则对所述异常终端设备进行异常处理。
3、可选地,获取局域网络的镜像流量,包括:获取所述局域网络的所述原始网络流量;确定所述原始网络流量所在的第
4、可选地,在提取所述镜像流量的特征信息之后,该基于流量解析的网络异常处理方法还包括:将所提取到的所述特征信息存储至特征统计表中,其中,所述特征统计表用于存储所述特征信息中的各项特征值;将所述特征统计表传输至分布式流处理平台,其中,所述分布式流处理平台用于存储和传输数据。
5、可选地,在对所述镜像流量中数据流的有效性进行校验之前,该基于流量解析的网络异常处理方法还包括:从所述分布式流处理平台中拉取所述特征统计表;从所述特征统计表中获取预定时间段内的所述特征信息;确定所述特征信息中用于校验所述数据流有效性的数据信息。
6、可选地,所述数据信息包括所述数据流的报文、目的端口和互联网地址ip,对所述镜像流量中数据流的有效性进行校验,包括:将所述报文中的特征码与预定特征码进行匹配,并利用特征码计数器统计匹配成功的次数,以对所述报文的有效性进行校验;利用端口扫描工具和/或端口扫描程序对所述目的端口进行扫描,以对所述目的端口的有效性进行校验;利用ip扫描工具和/或ip扫描程序对所述ip进行扫描,以对所述ip的有效性进行校验。
7、可选地,获得校验结果,包括:在所述特征码计数器统计的所述次数与预定次数不一致时,确定所述校验结果为失败;在所述目的端口的第一扫描结果表示所述目的端口未开通时,确定所述校验结果为失败;在所述ip的第二扫描结果表示所述ip为未知ip时,确定所述校验结果为失败,其中,所述未知ip表示ip地址未被公开和/或未被授权的ip。
8、可选地,该基于流量解析的网络异常处理方法还包括:确定所述异常数据流的源ip;在所述源ip对应的异常数据流的数量不小于单位时间内数据流总数的预定比例时,确定所述异常数据流中存在的攻击行为为拒绝服务攻击;在处理所述源ip对应所述异常数据流的过程中,若存在的未知端口数量大于预定数值,则确定所述异常数据流中存在的所述攻击行为为端口扫描攻击;在所述校验结果为失败时,确定所述异常数据流中存在的所述攻击行为为畸形消息攻击。
9、根据本专利技术实施例的另一方面,还提供了一种基于流量解析的网络异常处理装置,包括:第一获取单元,用于获取局域网络的镜像流量,并提取所述镜像流量的特征信息,其中,所述局域网络指连接到交换机的所有设备组成的局域网,所述镜像流量是对所述局域网络中原始网络流量进行拷贝得到的流量;第二获取单元,用于基于所述特征信息对所述镜像流量中数据流的有效性进行校验,获得校验结果;第一确定单元,用于确定所述校验结果为失败的所述数据流为异常数据流;标识单元,用于在预定时长内接收到来自同一终端设备的所述异常数据流的数量大于预定阈值时,将所述终端设备标识为异常终端设备;处理单元,用于按照风险处理规则对所述异常终端设备进行异常处理。
10、可选地,所述第一获取单元,包括:第一获取模块,用于获取所述局域网络的所述原始网络流量;第一确定模块,用于确定所述原始网络流量所在的第一端口,其中,所述第一端口为所述交换机上的端口;镜像模块,用于利用所述交换机的镜像端口将所述原始网络流量镜像到所述交换机的第二端口,其中,所述第二端口用于获取所述原始网络流量的所述镜像流量;第二获取模块,用于从所述第二端口处获取所述局域网络的所述镜像流量。
11、可选地,该基于流量解析的网络异常处理装置还包括:存储单元,用于在提取所述镜像流量的特征信息之后,将所提取到的所述特征信息存储至特征统计表中,其中,所述特征统计表用于存储所述特征信息中的各项特征值;传输单元,用于将所述特征统计表传输至分布式流处理平台,其中,所述分布式流处理平台用于存储和传输数据。
12、可选地,该基于流量解析的网络异常处理装置还包括:拉去单元,用于在对所述镜像流量中数据流的有效性进行校验之前,从所述分布式流处理平台中拉取所述特征统计表;第三获取单元,用于从所述特征统计表中获取预定时间段内的所述特征信息;第二确定单元,用于确定所述特征信息中用于校验所述数据流有效性的数据信息。
13、可选地,所述数据信息包括所述数据流的报文、目的端口和互联网地址ip,所述第二获取单元,包括:第一校验模块,用于将所述报文中的特征码与预定特征码进行匹配,并利用特征码计数器统计匹配成功的次数,以对所述报文的有效性进行校验;第二校验模块,用于利用端口扫描工具和/或端口扫描程序对所述目的端口进行扫描,以对所述目的端口的有效性进行校验;第三校验模块,用于利用ip扫描工具和/或ip扫描程序对所述ip进行扫描,以对所述ip的有效性进行校验。
14、可选地,所述第二获取单元,包括:第二确定模块,用于在所述特征码计数器统计的所述次数与预定次数不一致时,确定所述校验结果为失败;第三确定模块,用于在所述目的端口的第一扫描结果表示所述目的端口未开通时,确定所述校验结果为失败;第四确定模块,用于在所述ip的第二扫描结果表示所述ip为未知ip时,确定所述校验结果为失败,其中,所述未知ip表示ip地址未被公开和/或未被授权的ip。
15、可选地,该基于流量解析的网络异常处理装置还包括:第三确定单元,用于确定所述异常数据流的源ip;第四确定单元,用于在所述源ip对应的异常数据流的数量不小于单本文档来自技高网...
【技术保护点】
1.一种基于流量解析的网络异常处理方法,其特征在于,包括:
2.根据权利要求1所述的基于流量解析的网络异常处理方法,其特征在于,获取局域网络的镜像流量,包括:
3.根据权利要求1所述的基于流量解析的网络异常处理方法,其特征在于,在提取所述镜像流量的特征信息之后,还包括:
4.根据权利要求3所述的基于流量解析的网络异常处理方法,其特征在于,在对所述镜像流量中数据流的有效性进行校验之前,还包括:
5.根据权利要求4所述的基于流量解析的网络异常处理方法,其特征在于,所述数据信息包括所述数据流的报文、目的端口和互联网地址IP,对所述镜像流量中数据流的有效性进行校验,包括:
6.根据权利要求5所述的基于流量解析的网络异常处理方法,其特征在于,获得校验结果,包括:
7.根据权利要求1所述的基于流量解析的网络异常处理方法,其特征在于,还包括:
8.一种基于流量解析的网络异常处理装置,其特征在于,包括:
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,所述程序执行权
10.一种计算机程序产品,包括计算机指令,其特征在于,所述计算机指令被处理器执行时执行权利要求1至7中任意一项所述的基于流量解析的网络异常处理方法。
...【技术特征摘要】
1.一种基于流量解析的网络异常处理方法,其特征在于,包括:
2.根据权利要求1所述的基于流量解析的网络异常处理方法,其特征在于,获取局域网络的镜像流量,包括:
3.根据权利要求1所述的基于流量解析的网络异常处理方法,其特征在于,在提取所述镜像流量的特征信息之后,还包括:
4.根据权利要求3所述的基于流量解析的网络异常处理方法,其特征在于,在对所述镜像流量中数据流的有效性进行校验之前,还包括:
5.根据权利要求4所述的基于流量解析的网络异常处理方法,其特征在于,所述数据信息包括所述数据流的报文、目的端口和互联网地址ip,对所述镜像流量中数据流的有效性进行校...
【专利技术属性】
技术研发人员:沈伍强,崔磊,钱正浩,戴涛,王业超,陈兆鹏,梁志宏,张小陆,龙震岳,梁哲恒,张金波,沈桂泉,杜金燃,赖博宇,徐传懋,蒙家晓,
申请(专利权)人:广东电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。