一种基于流量白名单的异常流量检测方法与流程

技术特征：

1.一种基于流量白名单的异常流量检测方法，其特征在于，具体包括以下步骤：

S1：模拟测试期间：

S1-1：新建任务模板，定义合规通信规则集合，包括：网络组织机构集合入网主机集合特例设备集合通信协议集合通信协议层次对应关系集台传输层端口集合流速阈值集合通过定义网络八元组依此来定义流量白名单：

{源IP，源端口，目的IP，目的端口，网络层协议，传输层协议，应用层协议，会话流速阈值}；

S1-2：监听模拟测试期间网络流量，包括：网络组织机构、通信协议、传输层端口规范、入网主机会话规范、通信协议对应关系、入网主机规范、Ping会话规范、特例设备规范等，建立流量白名单；

S2：基于模拟测试期间建立的流量白名单，在网络实际运行过程中，捕获网络数据包，从数据包中分析提取网络八元组信息，对实时捕获的每一条网络流量进行比较判断，发现实际网络流量中隐存的异常流量；

S2-1：捕获一条网络会话，提取网络会话元素，包括：源主机SrcIP、源端口SrcPort、目的主机DstIP、目的端口DstPort、应用层协议AppPtl、传输层协议TrpPtl、网络层协议NtkPtl、流速阈值Threshold；

S2-2：将会话元素与已经建立的流量白名单进行匹配(采用并的关系，全部匹配){源IP，源端口，目的IP，目的端口，网络层协议，传输层协议，应用层协议，单向会话流速阈值}，若匹配结果为YES，执行步骤S2-3，若匹配结果为NO，执行步骤S2-4；

S2-3：对流量白名单集合进行更新完善；

S2-4：将会话元素与已经建立的流量白名单继续进行匹配

{源IP，源端口，目的IP，目的端口，网络层协议，传输层协议，应用层协议}，但会话阈值超限，若匹配结果为YES，执行步骤S2-5，若匹配结果为NO，执行步骤S2-6；

S2-5：建立会话灰名单；

S2-6：将会话元素与已经建立的流量白名单再继续进行匹配；

{源IP，源端口，目的IP，目的端口，网络层协议，传输层协议，应用层协议)，若匹配结果为YES，执行步骤S2-8，若匹配结果为NO，执行步骤S2-7；

S2-7：建立会话黑名单；

S2-8：针对Ping会话，匹配{特例设备}针对发出Ping的设备，设定周期阈值，若匹配结果YES，执行步骤S2-9，若匹配结果为NO，执行步骤S2-10；

S2-9：正常，不报警；

S2-10：统计分析Ping特征，进行异常判别，若为恶意，执行步骤S2-7，若为异常，执行步骤S2-5。