一种网络异常流量的检测方法及系统与流程

本发明涉及移动互联网领域，尤其涉及一种网络异常流量的检测方法及系统。

背景技术：

随着互联网技术的迅速发展，人们对网络的安全性越来越重视，如何保证网络中的信息不被窃取泄密，如何增强网络的安全，成为日益需要解决的问题。

交换机和路由器等网络设备可能存在的异常流量问题一直为人们所诟病，由于其隐秘性，往往很不容易被鉴别出，而无法进行控制。网络设备异常流量可以理解为网络设备篡改或自发的报文流量，此操作很容易造成泄密。现有技术中通常采用签名验证的方法检测异常流量，将验证不通过的报文流量视为异常流量。具体而言，在现有技术中，在怀疑会发出异常流量的网络设备的两边际分别部署边缘功能实体，例如签名边缘功能实体与签名校验边缘功能实体，其中，签名边缘功能实体用于对传输的报文进行签名，签名校验边缘功能实体接收通过网络设备传输的经过签名的报文，并对报文进行签名校验，并将签名校验不通过的报文视为异常流量。此方法能够检测出从签名校验边缘功能实体输出的异常流量，但是无法检测出从签名校验边缘功能实体输出的异常流量的反向流为异常流量的情况。即，现有方法只能检测出单向异常流量，无法对异常流量的完整双向会话流进行抓取分析。

技术实现要素：

为了解决上述技术问题，本发明提供一种网络异常流量的检测方法及系统，用来解决现有技术只能检测单向异常流量，无法对异常流量的完整双向 会话流检测输出的问题。

为了达到上述技术目的，本发明提供一种网络异常流量的检测方法，包括：当签名校验边缘功能实体检测到从网络设备发出的报文为异常流量时，根据所述报文的信息更新异常流量表；签名校验边缘功能实体接收所述报文的响应报文，并根据所述异常流量表对所述响应报文进行检测。

进一步地，异常流量表的表项包括以下任一项或任几项内容：源地址、目的地址、协议号、源端口、目的端口。

进一步地，当异常流量表的表项包括源地址、目的地址、协议号、源端口及目的端口时，所述根据所述异常流量表对所述响应报文进行检测包括：

提取所述响应报文的源地址与目的地址并进行颠倒，提取所述响应报文的源端口与目的端口并进行颠倒，根据所述响应报文的协议号及颠倒后的源地址、目的地址、源端口及目的端口在异常流量表中查询匹配的表项；

若在异常流量表中查询到匹配的表项，则所述响应报文为异常流量。

进一步地，当所述响应报文为异常流量时，该方法还包括：复制输出所述响应报文至安全分析系统进行分析。

进一步地，当签名校验边缘功能实体检测到从网络设备发出的报文为异常流量时，该方法还包括：复制输出所述报文至安全分析系统进行分析。

进一步地，当签名校验边缘功能实体检测到从网络设备发出的报文为异常流量时，根据所述报文的信息更新异常流量表包括：

当异常流量表未记录有对应于该报文的表项时，根据所述报文的信息在异常流量表中生成对应于该报文的表项；

当异常流量表记录有对应于该报文的表项时，保持异常流量表中对应于该报文的表项。

进一步地，该方法还包括：根据老化策略对所述异常流量表中的表项进行老化。

进一步地，所述老化策略包括：

若异常流量表的表项协议为传输控制协议(TCP)，则当该TCP连接断 开或者该表项在预定时间内未被查询时，老化该表项；

若异常流量表的表项协议为非TCP，则当该表项在预定时间内未被查询时，老化该表项。

本发明还提供一种网络异常流量的检测系统，应用于签名校验边缘功能实体，包括：第一检测模块，用于当检测到从网络设备发出的报文为异常流量时，根据所述报文的信息更新异常流量表；第二检测模块，用于接收所述报文的响应报文，并根据所述异常流量表对所述响应报文进行检测。

进一步地，异常流量表的表项包括以下任一项或任几项内容：源地址、目的地址、协议号、源端口、目的端口。

进一步地，当异常流量表的表项包括源地址、目的地址、协议号、源端口及目的端口时，第二检测模块，用于根据异常流量表对所述响应报文进行检测包括：提取所述响应报文的源地址与目的地址并进行颠倒，提取所述响应报文的源端口与目的端口并进行颠倒，根据所述响应报文的协议号及颠倒后的源地址、目的地址、源端口及目的端口在所述异常流量表中查询匹配的表项；若在所述异常流量表中查询到匹配的表项，则所述响应报文为异常流量。

在本发明中，当签名校验边缘功能实体检测到从网络设备发出的报文为异常流量时，根据所述报文的信息更新异常流量表；签名校验边缘功能实体接收所述报文的响应报文，并根据异常流量表对响应报文进行检测。通过本发明，实现了对网络异常流量的完整双向会话流的检测，从而能够对异常流量进行充分地分析，更好地防止网络泄密。

附图说明

图1为本发明实施例提供的网络异常流量的检测方法的流程图；

图2为本发明实施例一的流程图；

图3为本发明实施例一的应用示意图；

图4为本发明实施例一中异常流量表的表项示意图

图5为本发明实施例一中异常流量表的维护流程示意图。

具体实施方式

以下结合附图对本发明的实施例进行详细说明，应当理解，以下所说明的实施例仅用于说明和解释本发明，并不用于限定本发明。

图1为本发明实施例提供的网络异常流量的检测方法的流程图。如图1所示，本实施例提供的网络异常流量的检测方法包括以下步骤：

步骤11：当签名校验边缘功能实体检测到从网络设备发出的报文为异常流量时，根据所述报文的信息更新异常流量表。

其中，异常流量表的表项包括以下任一项或任几项内容：源地址、目的地址、协议号、源端口、目的端口。

其中，从网络设备发出的报文可能是由签名边缘功能实体进行签名的报文，或者是由网络设备自身发出的未经签名的报文。具体而言，当报文通过签名校验边缘功能实体的校验时，该报文的检测结果为正常流量；当报文未通过签名校验边缘功能实体的校验时，该报文的检测结果为异常流量。其中，当报文的检测结果为异常流量时，该方法还包括：复制输出所述报文至安全分析系统进行分析。

其中，步骤11包括：

当异常流量表未记录有对应于该报文的表项时，根据该报文的信息在异常流量表中生成对应于该报文的表项；

当异常流量表记录有对应于该报文的表项时，保持异常流量表中对应于该报文的表项。

步骤12：签名校验边缘功能实体接收所述报文的响应报文，并根据所述异常流量表对所述响应报文进行检测。

其中，当异常流量表的表项包括源地址、目的地址、协议号、源端口及目的端口时，根据异常流量表对该响应报文进行检测包括：

提取该响应报文的源地址与目的地址并进行颠倒，提取该响应报文的源端口与目的端口并进行颠倒，根据响应报文的协议号及颠倒后的源地址、目的地址、源端口及目的端口在异常流量表中查询匹配的表项；

若在异常流量表中查询到匹配的表项，则该响应报文为异常流量；若在所述异常流量表中未查询到匹配的表项，则该响应报文为正常流量。

其中，当所述响应报文为异常流量时，该方法还包括：复制输出所述响应报文至安全分析系统进行分析。

于一实施例中，该方法还包括：根据老化策略对异常流量表中的表项进行老化。

其中，老化策略包括：

若异常流量表的表项协议为传输控制协议(TCP，Transmission Control Protocol)，则当该TCP连接断开或者该表项在预定时间内未被查询时，老化该表项；

若异常流量表的表项协议为非TCP，则当该表项在预定时间内未被查询时，老化该表项。其中，预定时间例如根据实际需要确定。

图2为本发明实施例一的流程图。图3为本发明实施例一的应用示意图。如图3所示，于本实施例中，在怀疑会发出异常流量的中间网络设备的两边，部署了两个边缘功能实体，于此，边缘功能实体1为签名边缘功能实体，边缘功能实体2为签名校验边缘功能实体。具体而言，终端访问网络侧(Internet)，用户侧的边缘功能实体1收到用户报文时，对报文进行签名并转发至中间网络设备，中间网络设备将报文转发至网络侧的边缘功能实体2，网络侧的边缘功能实体2对报文进行校验，并解签名后转发到网络侧。若中间网络设备篡改用户报文或自身外发报文，则报文在发向网络侧时，在网络侧的边缘功能实体2上会无法通过校验，边缘功能实体2会产生告警，生成异常流量表，供反向响应报文查询。于此，如图4所示，异常流量表的表项以五元组为例，即包括以下内容：源地址(Src IP)、目的地址(Dst IP)、协议号(Protocol)、源端口(Src Port)、目的端口(Dst Port)。

一并参照图2及图3，本实施例具体描述如下：

步骤100：终端访问网络，发送上行报文至边缘功能实体1，边缘功能实体1进行签名，并将签名携带于报文中；

步骤101：边缘功能实体2收到中间网络设备发来的上行报文，进行解 签名校验；

步骤102：若校验一致，则正常转发报文至网络侧；若校验不一致，则认为该报文是异常流量，复制输出该异常流量到安全分析系统，并利用该报文的五元组(包括源地址、目的地址、协议号、源端口和目的端口)，查询异常流量表；

步骤103：若未在异常流量表查询到匹配的表项，则在异常流量表生成对应于该报文的新表项，并转发报文至网络侧；若在异常流量表查询到匹配的表项，则直接转发报文至网络侧；

步骤104：网络侧对收到的上行报文进行响应，发送响应报文到边缘功能实体2；

步骤105：边缘功能实体2收到响应报文，提取该响应报文的五元组，并将源地址与目的地址颠倒，源端口与目的端口号颠倒，然后以颠倒后的这四个元素和该响应报文的协议号组成键值，查询异常流量表；

步骤106：若在异常流量表查询到匹配的表项，则表示该响应报文为异常流量的反向流量，可以复制输出，供安全分析系统分析；若未在异常流量表查询到匹配的表项，则表示该响应报文不是异常流量的反向流量，可以正常转发。

图5为本发明实施例一中异常流量表的维护流程示意图。于本实施例中，在图3所示的应用中，当流量比较大时，需要考虑异常流量表的维护，其中，维护包括：生成、查询、删除和老化。以下参照图5进行具体描述如下：

步骤200：边缘功能实体2收到中间网络设备发来的上行报文，进行解签名校验；

步骤201：若校验不一致，则认为该报文是异常流量，以该报文的五元组信息为键值(包括源地址、目的地址、协议号、源端口和目的端口)，查询异常流量表；

步骤202：若未在异常流量表查询到匹配的表项，则生成新的异常流量表项；

步骤203：若认为该异常流量表项记录的报文为正常流量，则可删除该表项，并在边缘功能实体2上对该表项的报文进行过滤，不再解签名校验，以便不再生成该报文的异常流量表项；

步骤204：若该异常流量表项的协议是TCP协议，则老化时，进行以下两个判断：

判断一：若TCP连接断开，则老化该异常流量表项；

判断二：一段时间内，去向和反向的报文若都没有再查询该异常流量表项，则老化该异常流量表项；

其中，无论哪个判断先满足，都立即老化；

步骤205：若该异常流量表项的协议为非TCP协议，则老化时，进行以下判断：一段时间内，去向和反向的报文是否查询该异常流量表项，若都没有，则老化该异常流量表项。

此外，本发明实施例还提供一种网络异常流量的检测系统，应用于签名校验边缘功能实体，包括：第一检测模块，用于当检测到从网络设备发出的报文为异常流量时，根据所述报文的信息更新异常流量表；第二检测模块，用于接收所述报文的响应报文，并根据所述异常流量表对所述响应报文进行检测。于实际应用中，第一检测模块以及第二检测模块的功能例如通过处理器执行存储在存储器中的程序/指令实现，或者，上述模块的功能还可以通过固件/逻辑电路/集成电路实现。本发明对此并不限定。

其中，异常流量表的表项包括以下任一项或任几项内容：源地址、目的地址、协议号、源端口、目的端口。

于一实施例中，当异常流量表的表项包括源地址、目的地址、协议号、源端口及目的端口时，第二检测模块，用于根据异常流量表对响应报文进行检测包括：提取响应报文的源地址与目的地址并进行颠倒，提取响应报文的源端口与目的端口并进行颠倒，根据响应报文的协议号及颠倒后的源地址、目的地址、源端口及目的端口在异常流量表中查询匹配的表项；若在异常流量表中查询到匹配的表项，则响应报文为异常流量。

另外，关于上述系统的具体处理流程同上述方法所述，故于此不再赘述。

综上所述，在本发明实施例中，通过签名校验，可以及时发现网络设备是否有异常流量，若有，则根据此异常流量生成异常流量表，进而抓取反向的异常流量。如此，通过获取到的双向异常流量，能够进行充分地分析，从而更好地防止网络泄密。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。