国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種網(wǎng)絡(luò)異常流量的檢測(cè)方法及系統(tǒng)與流程

      文檔序號(hào):12161708閱讀:329來(lái)源:國(guó)知局
      一種網(wǎng)絡(luò)異常流量的檢測(cè)方法及系統(tǒng)與流程

      本發(fā)明涉及移動(dòng)互聯(lián)網(wǎng)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)異常流量的檢測(cè)方法及系統(tǒng)。



      背景技術(shù):

      隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,人們對(duì)網(wǎng)絡(luò)的安全性越來(lái)越重視,如何保證網(wǎng)絡(luò)中的信息不被竊取泄密,如何增強(qiáng)網(wǎng)絡(luò)的安全,成為日益需要解決的問題。

      交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備可能存在的異常流量問題一直為人們所詬病,由于其隱秘性,往往很不容易被鑒別出,而無(wú)法進(jìn)行控制。網(wǎng)絡(luò)設(shè)備異常流量可以理解為網(wǎng)絡(luò)設(shè)備篡改或自發(fā)的報(bào)文流量,此操作很容易造成泄密?,F(xiàn)有技術(shù)中通常采用簽名驗(yàn)證的方法檢測(cè)異常流量,將驗(yàn)證不通過(guò)的報(bào)文流量視為異常流量。具體而言,在現(xiàn)有技術(shù)中,在懷疑會(huì)發(fā)出異常流量的網(wǎng)絡(luò)設(shè)備的兩邊際分別部署邊緣功能實(shí)體,例如簽名邊緣功能實(shí)體與簽名校驗(yàn)邊緣功能實(shí)體,其中,簽名邊緣功能實(shí)體用于對(duì)傳輸?shù)膱?bào)文進(jìn)行簽名,簽名校驗(yàn)邊緣功能實(shí)體接收通過(guò)網(wǎng)絡(luò)設(shè)備傳輸?shù)慕?jīng)過(guò)簽名的報(bào)文,并對(duì)報(bào)文進(jìn)行簽名校驗(yàn),并將簽名校驗(yàn)不通過(guò)的報(bào)文視為異常流量。此方法能夠檢測(cè)出從簽名校驗(yàn)邊緣功能實(shí)體輸出的異常流量,但是無(wú)法檢測(cè)出從簽名校驗(yàn)邊緣功能實(shí)體輸出的異常流量的反向流為異常流量的情況。即,現(xiàn)有方法只能檢測(cè)出單向異常流量,無(wú)法對(duì)異常流量的完整雙向會(huì)話流進(jìn)行抓取分析。



      技術(shù)實(shí)現(xiàn)要素:

      為了解決上述技術(shù)問題,本發(fā)明提供一種網(wǎng)絡(luò)異常流量的檢測(cè)方法及系統(tǒng),用來(lái)解決現(xiàn)有技術(shù)只能檢測(cè)單向異常流量,無(wú)法對(duì)異常流量的完整雙向 會(huì)話流檢測(cè)輸出的問題。

      為了達(dá)到上述技術(shù)目的,本發(fā)明提供一種網(wǎng)絡(luò)異常流量的檢測(cè)方法,包括:當(dāng)簽名校驗(yàn)邊緣功能實(shí)體檢測(cè)到從網(wǎng)絡(luò)設(shè)備發(fā)出的報(bào)文為異常流量時(shí),根據(jù)所述報(bào)文的信息更新異常流量表;簽名校驗(yàn)邊緣功能實(shí)體接收所述報(bào)文的響應(yīng)報(bào)文,并根據(jù)所述異常流量表對(duì)所述響應(yīng)報(bào)文進(jìn)行檢測(cè)。

      進(jìn)一步地,異常流量表的表項(xiàng)包括以下任一項(xiàng)或任幾項(xiàng)內(nèi)容:源地址、目的地址、協(xié)議號(hào)、源端口、目的端口。

      進(jìn)一步地,當(dāng)異常流量表的表項(xiàng)包括源地址、目的地址、協(xié)議號(hào)、源端口及目的端口時(shí),所述根據(jù)所述異常流量表對(duì)所述響應(yīng)報(bào)文進(jìn)行檢測(cè)包括:

      提取所述響應(yīng)報(bào)文的源地址與目的地址并進(jìn)行顛倒,提取所述響應(yīng)報(bào)文的源端口與目的端口并進(jìn)行顛倒,根據(jù)所述響應(yīng)報(bào)文的協(xié)議號(hào)及顛倒后的源地址、目的地址、源端口及目的端口在異常流量表中查詢匹配的表項(xiàng);

      若在異常流量表中查詢到匹配的表項(xiàng),則所述響應(yīng)報(bào)文為異常流量。

      進(jìn)一步地,當(dāng)所述響應(yīng)報(bào)文為異常流量時(shí),該方法還包括:復(fù)制輸出所述響應(yīng)報(bào)文至安全分析系統(tǒng)進(jìn)行分析。

      進(jìn)一步地,當(dāng)簽名校驗(yàn)邊緣功能實(shí)體檢測(cè)到從網(wǎng)絡(luò)設(shè)備發(fā)出的報(bào)文為異常流量時(shí),該方法還包括:復(fù)制輸出所述報(bào)文至安全分析系統(tǒng)進(jìn)行分析。

      進(jìn)一步地,當(dāng)簽名校驗(yàn)邊緣功能實(shí)體檢測(cè)到從網(wǎng)絡(luò)設(shè)備發(fā)出的報(bào)文為異常流量時(shí),根據(jù)所述報(bào)文的信息更新異常流量表包括:

      當(dāng)異常流量表未記錄有對(duì)應(yīng)于該報(bào)文的表項(xiàng)時(shí),根據(jù)所述報(bào)文的信息在異常流量表中生成對(duì)應(yīng)于該報(bào)文的表項(xiàng);

      當(dāng)異常流量表記錄有對(duì)應(yīng)于該報(bào)文的表項(xiàng)時(shí),保持異常流量表中對(duì)應(yīng)于該報(bào)文的表項(xiàng)。

      進(jìn)一步地,該方法還包括:根據(jù)老化策略對(duì)所述異常流量表中的表項(xiàng)進(jìn)行老化。

      進(jìn)一步地,所述老化策略包括:

      若異常流量表的表項(xiàng)協(xié)議為傳輸控制協(xié)議(TCP),則當(dāng)該TCP連接斷 開或者該表項(xiàng)在預(yù)定時(shí)間內(nèi)未被查詢時(shí),老化該表項(xiàng);

      若異常流量表的表項(xiàng)協(xié)議為非TCP,則當(dāng)該表項(xiàng)在預(yù)定時(shí)間內(nèi)未被查詢時(shí),老化該表項(xiàng)。

      本發(fā)明還提供一種網(wǎng)絡(luò)異常流量的檢測(cè)系統(tǒng),應(yīng)用于簽名校驗(yàn)邊緣功能實(shí)體,包括:第一檢測(cè)模塊,用于當(dāng)檢測(cè)到從網(wǎng)絡(luò)設(shè)備發(fā)出的報(bào)文為異常流量時(shí),根據(jù)所述報(bào)文的信息更新異常流量表;第二檢測(cè)模塊,用于接收所述報(bào)文的響應(yīng)報(bào)文,并根據(jù)所述異常流量表對(duì)所述響應(yīng)報(bào)文進(jìn)行檢測(cè)。

      進(jìn)一步地,異常流量表的表項(xiàng)包括以下任一項(xiàng)或任幾項(xiàng)內(nèi)容:源地址、目的地址、協(xié)議號(hào)、源端口、目的端口。

      進(jìn)一步地,當(dāng)異常流量表的表項(xiàng)包括源地址、目的地址、協(xié)議號(hào)、源端口及目的端口時(shí),第二檢測(cè)模塊,用于根據(jù)異常流量表對(duì)所述響應(yīng)報(bào)文進(jìn)行檢測(cè)包括:提取所述響應(yīng)報(bào)文的源地址與目的地址并進(jìn)行顛倒,提取所述響應(yīng)報(bào)文的源端口與目的端口并進(jìn)行顛倒,根據(jù)所述響應(yīng)報(bào)文的協(xié)議號(hào)及顛倒后的源地址、目的地址、源端口及目的端口在所述異常流量表中查詢匹配的表項(xiàng);若在所述異常流量表中查詢到匹配的表項(xiàng),則所述響應(yīng)報(bào)文為異常流量。

      在本發(fā)明中,當(dāng)簽名校驗(yàn)邊緣功能實(shí)體檢測(cè)到從網(wǎng)絡(luò)設(shè)備發(fā)出的報(bào)文為異常流量時(shí),根據(jù)所述報(bào)文的信息更新異常流量表;簽名校驗(yàn)邊緣功能實(shí)體接收所述報(bào)文的響應(yīng)報(bào)文,并根據(jù)異常流量表對(duì)響應(yīng)報(bào)文進(jìn)行檢測(cè)。通過(guò)本發(fā)明,實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)異常流量的完整雙向會(huì)話流的檢測(cè),從而能夠?qū)Ξ惓A髁窟M(jìn)行充分地分析,更好地防止網(wǎng)絡(luò)泄密。

      附圖說(shuō)明

      圖1為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)異常流量的檢測(cè)方法的流程圖;

      圖2為本發(fā)明實(shí)施例一的流程圖;

      圖3為本發(fā)明實(shí)施例一的應(yīng)用示意圖;

      圖4為本發(fā)明實(shí)施例一中異常流量表的表項(xiàng)示意圖

      圖5為本發(fā)明實(shí)施例一中異常流量表的維護(hù)流程示意圖。

      具體實(shí)施方式

      以下結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明,應(yīng)當(dāng)理解,以下所說(shuō)明的實(shí)施例僅用于說(shuō)明和解釋本發(fā)明,并不用于限定本發(fā)明。

      圖1為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)異常流量的檢測(cè)方法的流程圖。如圖1所示,本實(shí)施例提供的網(wǎng)絡(luò)異常流量的檢測(cè)方法包括以下步驟:

      步驟11:當(dāng)簽名校驗(yàn)邊緣功能實(shí)體檢測(cè)到從網(wǎng)絡(luò)設(shè)備發(fā)出的報(bào)文為異常流量時(shí),根據(jù)所述報(bào)文的信息更新異常流量表。

      其中,異常流量表的表項(xiàng)包括以下任一項(xiàng)或任幾項(xiàng)內(nèi)容:源地址、目的地址、協(xié)議號(hào)、源端口、目的端口。

      其中,從網(wǎng)絡(luò)設(shè)備發(fā)出的報(bào)文可能是由簽名邊緣功能實(shí)體進(jìn)行簽名的報(bào)文,或者是由網(wǎng)絡(luò)設(shè)備自身發(fā)出的未經(jīng)簽名的報(bào)文。具體而言,當(dāng)報(bào)文通過(guò)簽名校驗(yàn)邊緣功能實(shí)體的校驗(yàn)時(shí),該報(bào)文的檢測(cè)結(jié)果為正常流量;當(dāng)報(bào)文未通過(guò)簽名校驗(yàn)邊緣功能實(shí)體的校驗(yàn)時(shí),該報(bào)文的檢測(cè)結(jié)果為異常流量。其中,當(dāng)報(bào)文的檢測(cè)結(jié)果為異常流量時(shí),該方法還包括:復(fù)制輸出所述報(bào)文至安全分析系統(tǒng)進(jìn)行分析。

      其中,步驟11包括:

      當(dāng)異常流量表未記錄有對(duì)應(yīng)于該報(bào)文的表項(xiàng)時(shí),根據(jù)該報(bào)文的信息在異常流量表中生成對(duì)應(yīng)于該報(bào)文的表項(xiàng);

      當(dāng)異常流量表記錄有對(duì)應(yīng)于該報(bào)文的表項(xiàng)時(shí),保持異常流量表中對(duì)應(yīng)于該報(bào)文的表項(xiàng)。

      步驟12:簽名校驗(yàn)邊緣功能實(shí)體接收所述報(bào)文的響應(yīng)報(bào)文,并根據(jù)所述異常流量表對(duì)所述響應(yīng)報(bào)文進(jìn)行檢測(cè)。

      其中,當(dāng)異常流量表的表項(xiàng)包括源地址、目的地址、協(xié)議號(hào)、源端口及目的端口時(shí),根據(jù)異常流量表對(duì)該響應(yīng)報(bào)文進(jìn)行檢測(cè)包括:

      提取該響應(yīng)報(bào)文的源地址與目的地址并進(jìn)行顛倒,提取該響應(yīng)報(bào)文的源端口與目的端口并進(jìn)行顛倒,根據(jù)響應(yīng)報(bào)文的協(xié)議號(hào)及顛倒后的源地址、目的地址、源端口及目的端口在異常流量表中查詢匹配的表項(xiàng);

      若在異常流量表中查詢到匹配的表項(xiàng),則該響應(yīng)報(bào)文為異常流量;若在所述異常流量表中未查詢到匹配的表項(xiàng),則該響應(yīng)報(bào)文為正常流量。

      其中,當(dāng)所述響應(yīng)報(bào)文為異常流量時(shí),該方法還包括:復(fù)制輸出所述響應(yīng)報(bào)文至安全分析系統(tǒng)進(jìn)行分析。

      于一實(shí)施例中,該方法還包括:根據(jù)老化策略對(duì)異常流量表中的表項(xiàng)進(jìn)行老化。

      其中,老化策略包括:

      若異常流量表的表項(xiàng)協(xié)議為傳輸控制協(xié)議(TCP,Transmission Control Protocol),則當(dāng)該TCP連接斷開或者該表項(xiàng)在預(yù)定時(shí)間內(nèi)未被查詢時(shí),老化該表項(xiàng);

      若異常流量表的表項(xiàng)協(xié)議為非TCP,則當(dāng)該表項(xiàng)在預(yù)定時(shí)間內(nèi)未被查詢時(shí),老化該表項(xiàng)。其中,預(yù)定時(shí)間例如根據(jù)實(shí)際需要確定。

      圖2為本發(fā)明實(shí)施例一的流程圖。圖3為本發(fā)明實(shí)施例一的應(yīng)用示意圖。如圖3所示,于本實(shí)施例中,在懷疑會(huì)發(fā)出異常流量的中間網(wǎng)絡(luò)設(shè)備的兩邊,部署了兩個(gè)邊緣功能實(shí)體,于此,邊緣功能實(shí)體1為簽名邊緣功能實(shí)體,邊緣功能實(shí)體2為簽名校驗(yàn)邊緣功能實(shí)體。具體而言,終端訪問網(wǎng)絡(luò)側(cè)(Internet),用戶側(cè)的邊緣功能實(shí)體1收到用戶報(bào)文時(shí),對(duì)報(bào)文進(jìn)行簽名并轉(zhuǎn)發(fā)至中間網(wǎng)絡(luò)設(shè)備,中間網(wǎng)絡(luò)設(shè)備將報(bào)文轉(zhuǎn)發(fā)至網(wǎng)絡(luò)側(cè)的邊緣功能實(shí)體2,網(wǎng)絡(luò)側(cè)的邊緣功能實(shí)體2對(duì)報(bào)文進(jìn)行校驗(yàn),并解簽名后轉(zhuǎn)發(fā)到網(wǎng)絡(luò)側(cè)。若中間網(wǎng)絡(luò)設(shè)備篡改用戶報(bào)文或自身外發(fā)報(bào)文,則報(bào)文在發(fā)向網(wǎng)絡(luò)側(cè)時(shí),在網(wǎng)絡(luò)側(cè)的邊緣功能實(shí)體2上會(huì)無(wú)法通過(guò)校驗(yàn),邊緣功能實(shí)體2會(huì)產(chǎn)生告警,生成異常流量表,供反向響應(yīng)報(bào)文查詢。于此,如圖4所示,異常流量表的表項(xiàng)以五元組為例,即包括以下內(nèi)容:源地址(Src IP)、目的地址(Dst IP)、協(xié)議號(hào)(Protocol)、源端口(Src Port)、目的端口(Dst Port)。

      一并參照?qǐng)D2及圖3,本實(shí)施例具體描述如下:

      步驟100:終端訪問網(wǎng)絡(luò),發(fā)送上行報(bào)文至邊緣功能實(shí)體1,邊緣功能實(shí)體1進(jìn)行簽名,并將簽名攜帶于報(bào)文中;

      步驟101:邊緣功能實(shí)體2收到中間網(wǎng)絡(luò)設(shè)備發(fā)來(lái)的上行報(bào)文,進(jìn)行解 簽名校驗(yàn);

      步驟102:若校驗(yàn)一致,則正常轉(zhuǎn)發(fā)報(bào)文至網(wǎng)絡(luò)側(cè);若校驗(yàn)不一致,則認(rèn)為該報(bào)文是異常流量,復(fù)制輸出該異常流量到安全分析系統(tǒng),并利用該報(bào)文的五元組(包括源地址、目的地址、協(xié)議號(hào)、源端口和目的端口),查詢異常流量表;

      步驟103:若未在異常流量表查詢到匹配的表項(xiàng),則在異常流量表生成對(duì)應(yīng)于該報(bào)文的新表項(xiàng),并轉(zhuǎn)發(fā)報(bào)文至網(wǎng)絡(luò)側(cè);若在異常流量表查詢到匹配的表項(xiàng),則直接轉(zhuǎn)發(fā)報(bào)文至網(wǎng)絡(luò)側(cè);

      步驟104:網(wǎng)絡(luò)側(cè)對(duì)收到的上行報(bào)文進(jìn)行響應(yīng),發(fā)送響應(yīng)報(bào)文到邊緣功能實(shí)體2;

      步驟105:邊緣功能實(shí)體2收到響應(yīng)報(bào)文,提取該響應(yīng)報(bào)文的五元組,并將源地址與目的地址顛倒,源端口與目的端口號(hào)顛倒,然后以顛倒后的這四個(gè)元素和該響應(yīng)報(bào)文的協(xié)議號(hào)組成鍵值,查詢異常流量表;

      步驟106:若在異常流量表查詢到匹配的表項(xiàng),則表示該響應(yīng)報(bào)文為異常流量的反向流量,可以復(fù)制輸出,供安全分析系統(tǒng)分析;若未在異常流量表查詢到匹配的表項(xiàng),則表示該響應(yīng)報(bào)文不是異常流量的反向流量,可以正常轉(zhuǎn)發(fā)。

      圖5為本發(fā)明實(shí)施例一中異常流量表的維護(hù)流程示意圖。于本實(shí)施例中,在圖3所示的應(yīng)用中,當(dāng)流量比較大時(shí),需要考慮異常流量表的維護(hù),其中,維護(hù)包括:生成、查詢、刪除和老化。以下參照?qǐng)D5進(jìn)行具體描述如下:

      步驟200:邊緣功能實(shí)體2收到中間網(wǎng)絡(luò)設(shè)備發(fā)來(lái)的上行報(bào)文,進(jìn)行解簽名校驗(yàn);

      步驟201:若校驗(yàn)不一致,則認(rèn)為該報(bào)文是異常流量,以該報(bào)文的五元組信息為鍵值(包括源地址、目的地址、協(xié)議號(hào)、源端口和目的端口),查詢異常流量表;

      步驟202:若未在異常流量表查詢到匹配的表項(xiàng),則生成新的異常流量表項(xiàng);

      步驟203:若認(rèn)為該異常流量表項(xiàng)記錄的報(bào)文為正常流量,則可刪除該表項(xiàng),并在邊緣功能實(shí)體2上對(duì)該表項(xiàng)的報(bào)文進(jìn)行過(guò)濾,不再解簽名校驗(yàn),以便不再生成該報(bào)文的異常流量表項(xiàng);

      步驟204:若該異常流量表項(xiàng)的協(xié)議是TCP協(xié)議,則老化時(shí),進(jìn)行以下兩個(gè)判斷:

      判斷一:若TCP連接斷開,則老化該異常流量表項(xiàng);

      判斷二:一段時(shí)間內(nèi),去向和反向的報(bào)文若都沒有再查詢?cè)摦惓A髁勘眄?xiàng),則老化該異常流量表項(xiàng);

      其中,無(wú)論哪個(gè)判斷先滿足,都立即老化;

      步驟205:若該異常流量表項(xiàng)的協(xié)議為非TCP協(xié)議,則老化時(shí),進(jìn)行以下判斷:一段時(shí)間內(nèi),去向和反向的報(bào)文是否查詢?cè)摦惓A髁勘眄?xiàng),若都沒有,則老化該異常流量表項(xiàng)。

      此外,本發(fā)明實(shí)施例還提供一種網(wǎng)絡(luò)異常流量的檢測(cè)系統(tǒng),應(yīng)用于簽名校驗(yàn)邊緣功能實(shí)體,包括:第一檢測(cè)模塊,用于當(dāng)檢測(cè)到從網(wǎng)絡(luò)設(shè)備發(fā)出的報(bào)文為異常流量時(shí),根據(jù)所述報(bào)文的信息更新異常流量表;第二檢測(cè)模塊,用于接收所述報(bào)文的響應(yīng)報(bào)文,并根據(jù)所述異常流量表對(duì)所述響應(yīng)報(bào)文進(jìn)行檢測(cè)。于實(shí)際應(yīng)用中,第一檢測(cè)模塊以及第二檢測(cè)模塊的功能例如通過(guò)處理器執(zhí)行存儲(chǔ)在存儲(chǔ)器中的程序/指令實(shí)現(xiàn),或者,上述模塊的功能還可以通過(guò)固件/邏輯電路/集成電路實(shí)現(xiàn)。本發(fā)明對(duì)此并不限定。

      其中,異常流量表的表項(xiàng)包括以下任一項(xiàng)或任幾項(xiàng)內(nèi)容:源地址、目的地址、協(xié)議號(hào)、源端口、目的端口。

      于一實(shí)施例中,當(dāng)異常流量表的表項(xiàng)包括源地址、目的地址、協(xié)議號(hào)、源端口及目的端口時(shí),第二檢測(cè)模塊,用于根據(jù)異常流量表對(duì)響應(yīng)報(bào)文進(jìn)行檢測(cè)包括:提取響應(yīng)報(bào)文的源地址與目的地址并進(jìn)行顛倒,提取響應(yīng)報(bào)文的源端口與目的端口并進(jìn)行顛倒,根據(jù)響應(yīng)報(bào)文的協(xié)議號(hào)及顛倒后的源地址、目的地址、源端口及目的端口在異常流量表中查詢匹配的表項(xiàng);若在異常流量表中查詢到匹配的表項(xiàng),則響應(yīng)報(bào)文為異常流量。

      另外,關(guān)于上述系統(tǒng)的具體處理流程同上述方法所述,故于此不再贅述。

      綜上所述,在本發(fā)明實(shí)施例中,通過(guò)簽名校驗(yàn),可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備是否有異常流量,若有,則根據(jù)此異常流量生成異常流量表,進(jìn)而抓取反向的異常流量。如此,通過(guò)獲取到的雙向異常流量,能夠進(jìn)行充分地分析,從而更好地防止網(wǎng)絡(luò)泄密。

      以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點(diǎn)。本發(fā)明不受上述實(shí)施例的限制,上述實(shí)施例和說(shuō)明書中描述的只是說(shuō)明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下,本發(fā)明還會(huì)有各種變化和改進(jìn),這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。

      當(dāng)前第1頁(yè)1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1