网络异常的监控方法、装置、计算机设备及其存储介质与流程

本说明书涉及计算机安全技术领域，尤其涉及一种网络异常的监控方法、装置、计算机设备及其存储介质。

背景技术：

随着信息化的快速发展，至关重要的信息越来越多的通过网络来进行存储、传输和处理，为获取这些关键信息的各种网络犯罪也相应急剧上升。当前，网络安全问题得到越来越多的重视。

在网络安全中，身份认证技术作为第一道，甚至是最重要的一道防线，有着重要地位，可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份认证技术提供了关于某个人或某个事物身份的保证，这意味着当某人(或某事)声称具有一个特别的身份时，认证技术将提供某种方法来证实这一声明是正确的。

“肉鸡”也称傀儡机，是指可以被黑客远程控制的机器，这类机器往往已被黑客植入了木马或留了后门，随时会发作或是被黑客远程控制执行某种动作，如发送大量的攻击报文。在用户的实际网络中，这类现象很常见，如某服务器或某电脑中毒对外狂发报文等。常见的攻击方式有：ddos攻击、synflood攻击、udp/icmpflood攻击、端口扫描攻击等。黑客可利用“肉鸡”耗尽用户网络中防火墙设备的会话资源，致使防火墙设备瘫痪，可以攻击某重要服务器，如门户网站服务器等，致使服务器拒绝对外服务，也可以攻击网关设备，致使网关设备cpu使用率高，无法即时处理正常的业务等。

一般情况下，内网的个人电脑，服务器等设备中病毒后，往往会成为内网的攻击源，向内网发送大量的攻击报文，常见的有tcpsynflood报文、udpflood报文和icmpflood报文等，这些攻击报文拖慢内网用户业务访问速度或断网，甚至会使内网对外的服务器瘫痪，无法提供服务。

传统技术方案，在网络异常检测时，主要是在网络环境受到攻击后，针对各种类型的攻击采取相应的被动防护措施，排查各个网络节点，找到攻击用户并将其阻断掉。这种方案中排查过程繁琐，需要花费大量时间才能找到攻击源，效率较低。

技术实现要素：

为克服相关技术中存在的问题，本说明书提供了一种网络异常的监控方法、装置、计算机设备及其存储介质。

根据本说明书实施例的第一方面，提供一种链路分组配置方法，所述方法包括：

获取网络内各个用户的实时流量数据；

当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常；其中，所述连接数阈值通过对用户流程智能学习获得；

根据所述连接数阈值对应的处理策略对所述用户进行异常处理。

在一个实施例中，所述当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常的步骤之前，还包括：

对网络内各个用户的流量数据进行智能学习，获取各个用户的流量分析模型；

根据所述流量分析模型计算各个用户的连接数阈值。

在一个实施例中，所述对网络内各个用户的流量数据进行智能学习，获取各个用户的流量分析模型的步骤，包括：

在智能学习时间内统计每个用户ip的总会话数和异常会话数；

定期读取每个用户ip的总会话数和异常会话数，建立该用户ip的流量分析模型。

在一个实施例中，所述总会话数是指该用户ip在智能学习时间内所维持的实时会话数，所述异常会话数是指该用户ip建立了会话但未达到全状态的会话数。

在一个实施例中，所述根据所述流量分析模型计算各个用户的连接数阈值的步骤，包括：

根据建立的每个用户ip流量分析模型，分别计算各个用户在智能学习时间内的总会话数阈值和异常会话数阈值。

在一个实施例中，所述当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常的步骤，包括：

判断所述用户的流量数据是否超过所述总会话数阈值或所述异常会话数阈值，若超过，则所述用户的实时流量数据异常。

在一个实施例中，所述在智能学习时间内统计每个用户ip的总会话数和异常会话数的步骤，包括：

当用户新建回话时，在用户ip的总会话数和异常会话数分别加1；

当用户ip建立了会话且达到全状态，异常会话数减1；

当用户断开会连接后，对用户ip的总会话数减1，若该会话建立时达到全状态，异常会话数保持不变，否则异常会话数减1。

在一个实施例中，所述根据所述连接数阈值对应的处理策略对所述用户进行异常处理的步骤，包括：

根据所述连接数阈值生成所述用户对应的处理策略；

当所述用户出现网络异常时，调用所述处理策略对所述用户进行异常处理；其中，所述处理策略包括生成异常日志、丢包、阻断连网中的任意一种或多种。

在一个实施例中，所述用户包括内网上网用户和内网服务器。

根据本说明书实施例的第二方面，提供一种网络异常的监控装置，包括：

获取模块，用于获取网络内各个用户的实时流量数据；

判断模块，用于当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常；其中，所述连接数阈值通过对用户流程智能学习获得；

处理模块，用于根据所述连接数阈值对应的处理策略对所述用户进行异常处理。

在一个实施例中，所述网络异常的监控装置还包括：智能学习模块，用于对网络内各个用户的流量数据进行智能学习，获取各个用户的流量分析模型；根据所述流量分析模型计算各个用户的连接数阈值。

根据本说明书实施例的第三方面，提供一种计算机设备，包括：

一个或多个处理器；

存储器；

一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于：

获取网络内各个用户的实时流量数据；

当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常；其中，所述连接数阈值通过对用户流程智能学习获得；

根据所述连接数阈值对应的处理策略对所述用户进行异常处理。

根据本说明书实施例的第四方面，提供一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述的链路分组配置方法，包括：

获取网络内各个用户的实时流量数据；

当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常；其中，所述连接数阈值通过对用户流程智能学习获得；

根据所述连接数阈值对应的处理策略对所述用户进行异常处理。

本说明书的实施例提供的技术方案可以包括以下有益效果：

本说明书实施例中，智能学习用户流量行为并用于流量分析，在应用中获取网络内各个用户的实时流量数据，自动检测出用户流量异常情况，识别出异常用户，并执行相应异常处理策略。该方案能够快速高效地识别出攻击源，并可执行相应异常处理策略，提高了网络异常的监控效率，保证了网络安全。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本说明书的原理。

图1是网络异常的监控方法应用环境示意图。

图2是本说明书根据一示例性实施例示出的一种网络异常的监控方法的流程图。

图3是新建会话时的智能学习流程。

图4是会话达到全状态时的智能学习流程。

图5是会话老化时的智能学习流程。

图6是智能识别功能模块工作流程图。

图7是用户流量监控流程图。

图8是本说明书根据一示例性实施例示出的一种网络异常的监控装置的框图。

图9是本说明书根据又一示例性实施例示出的一种网络异常的监控装置的框图。

图10为本说明书实施例网络异常的监控装置所在计算机设备的一种硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

接下来对本说明书实施例进行详细说明。

本说明书实施例的网络异常的监控方法可以应用到企业级布局的嵌入式操作系统中，参考图1所示，图1是网络异常的监控方法应用环境示意图，其中，在图中所示内部网络中，包括了服务器和上网用户，包括使用pc、笔记本电脑、pda、平板设备等的普通上网办公用户，该网络异常的监控方法可以应用图中网络设备中，如交换机、防火墙或者路由器上，通过在这些设备中增设一个功能模块，是实现该方法流程；对内网中服务器和上网用户的连网行为进行监控，识别出异常情况，从而可以主动做出防御，当内网服务器、上网用户等设备向内网发送大量的tcpsynflood报文、udpflood报文和icmpflood报文等攻击报文时，可以在攻击刚开始时就完成对攻击源的识别，并做出相应策略处理，提高异常处理效率和效果。

参考图2，图2是本说明书根据一示例性实施例示出的一种网络异常的监控方法的流程图，主要包括如下步骤：

在步骤s10，获取网络内各个用户的实时流量数据。

此步骤中，实时检测用户的流量数据，通过在网络设备上检测各个用户的会话情况。每个内网用户分配有相应的内网ip地址，可以在网络上检测每个ip的会话数，以路由器为例，通过路由器监测功能，可以得到每个ip地址连接的会话数。

在步骤s20，当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常；其中，所述连接数阈值通过对用户流程智能学习获得。

在该步骤中，可以利用预先通过智能学习得到的连接数阈值去判决用户的实时流量数据，当超出连接数阈值即可认为用户出现了网络异常，可能是中毒后发送报文攻击。

对于连接数阈值，可以通过在一定时间内进行智能学习来设置，一般情况下，对于内网的普通上网用户或服务器来说，其会话数具有一定规律性且数量会维持在一定数量，假设出现了突增会话时，可以认为是网络异常情况。

作为实施例，对于普通上网用户，其连接数阈值对应为内网上网用户连接数阈值，对于或服务器，其连接数阈值对应为内网服务器连接数阈值。

在步骤s30，根据所述连接数阈值对应的处理策略对所述用户进行异常处理。

此步骤中，通过判断到用户出现网络异常，采用相应的策略进行处理，作为实施例，在此过程中，可以根据所述连接数阈值生成所述用户对应的处理策略；当所述用户出现网络异常时，调用所述处理策略对所述用户进行异常处理。

针对于处理策略，可以包括生成异常日志、丢包、阻断连网中的任意一种或多种。

为了更加清晰本说明书实施例的网络异常的监控方法，下面结合附图阐述更多的详细实施例。

在一个实施例中，在步骤s20的利用连接数阈值判断用户的实时流量数据之前，还可以包括智能学习的方案，具体如下：

a.对网络内各个用户的流量数据进行智能学习，获取各个用户的流量分析模型。

b.根据所述流量分析模型计算各个用户的连接数阈值。

进一步的，对于上述步骤b的流量分析模型，可以在智能学习时间内统计每个用户ip的总会话数和异常会话数；定期读取每个用户ip的总会话数和异常会话数，建立该用户ip的流量分析模型。

其中，所述总会话数可以是指该用户ip在智能学习时间内所维持的实时会话数，所述异常会话数是指该用户ip建立了会话但未达到全状态的会话数；例如，在udp或icmp协议会话中没有收到反向报文的会话，以及tcp协议会话三次握手完成前的会话数。

在一个实施例中，对于上述步骤a的智能学习的流程，其方案可以包括如下：

(1)当用户新建回话时，在用户ip的总会话数和异常会话数分别加1。

参考图3所示，图3是新建会话时的智能学习流程，通过监测联网行为，当每ip用户新建会话时，在该用户的ip流量中，增加总会话数加1，同时异常会话数也加1，在tcp三次握手成功前，该会话可以被统计为异常会话中。

(2)当用户ip建立了会话且达到全状态，异常会话数减1。

参考图4所示，图4是会话达到全状态时的智能学习流程，通过监测联网行为，当新建会话后，若udp或icmp协议会话收到反向报文或tcp协议会话三次握手成功，则在该用户的ip流量中，异常会话数减1。

(3)当用户断开会连接后，对用户ip的总会话数减1，若该会话建立时达到全状态，异常会话数保持不变，否则异常会话数减1。

参考图5，图5是会话老化时的智能学习流程，通过监测联网行为，当用户从一个访问链接跳转至访问另一个链接时，需要对会话进行老化，当老化一个会话后，该用户ip流量的总会话数减1，判断该会话是否udp或icmp协议会话收到反向报文或tcp协议会话三次握手成功，如果是，则异常会话数不做处理，否则异常会话数减1。

在一个实施例中，对于步骤b的计算各个用户的连接数阈值方法，可以包括如下：

b1.根据建立的每个用户ip流量分析模型，分别计算各个用户在智能学习时间内的总会话数阈值和异常会话数阈值。

b2.在判断用户是否出现网络异常时，可以判断所述用户的流量数据是否超过所述总会话数阈值或所述异常会话数阈值，若超过，则判断所述用户的实时流量数据异常。

综合上述各实施例的方案，针对于内网中的攻击情况，智能学习用户流量行为，并建立流量分析模型，在应用中获取网络内各个用户的实时流量数据，自动识别用户异常流量，识别出异常用户，并执行相应异常处理策略。例如当内网的电脑用户、服务器等设备中病毒后，成为内网的攻击源，向内网发送大量的tcpsynflood报文、udpflood报文和icmpflood报文等攻击报文时，够快速高效地识别出攻击源，可执行相应异常处理策略，在攻击刚开始时就完成攻击源的阻断，网络管理员只需查看日志就可以确认攻击源，提高了网络异常的监控效率，从而省去了大量的排查网络异常的时间，保证了网络安全。

本说明书实施例的网络异常的监控方法，可以通过开发智能识别功能模块来实现，将该智能识别功能模块部署在网络设备上，如交换机、防火墙或者路由器上，其实现该方法流程，参考图6所示，图6是智能识别功能模块工作流程图，具体包括如下：

s601，智能识别功能启用，设定学习时间和用户网络中内网服务器地址和策略生效的处理动作；

s602，开始学习分析用户网络会话情况，统计每用户ip会话总数和异常会话总数，建立分析模型；

s603，学习结束，得到上网用户和内网服务器的用户会话分析模型；

s604，根据用户网络会话分析模型计算出上网用户和内网服务器的异常流量告警阈值，并生成相应策略；

s605，后续流量匹配策略处理。

基于上述智能识别功能模块，后续用户流量进入智能识别模块会判断用户流量是否超出阈值，如果超出阈值将按照策略动作处理。参考图7所示，图7是用户流量监控流程图，具体流程如下：

s701，统计用户流量；

s702，智能识别功能模块是否启用，若是执行s703，否则执行s706；

s703，判断是否存在检测策略，若是，执行s704，否则执行s705；

s704，匹配策略，按策略动作处理；

s705，统计每用户ip会话总数和异常会话总数，建立流量分析模型，并上送流量数据；

s706，不做处理，上送流量。

上述示例方案中，通过智能识别功能模块，可以部署在各种网络设备上，具有智能学习，自动分析建模功能，实时监控网络用户流量情况和上送流量，出现异常时能根据策略立即处理，提高异常处理效率和效果。

以上为本说明书的网络异常的监控方法的相关实施例，下面结合附图阐述网络异常的监控装置的实施例。

如图8所示，图8是本说明书根据一示例性实施例示出的一种网络异常的监控装置的框图，所述装置包括：

获取模块10，用于获取网络内各个用户的实时流量数据；

判断模块20，用于当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常；其中，所述连接数阈值通过对用户流程智能学习获得；

处理模块30，用于根据所述连接数阈值对应的处理策略对所述用户进行异常处理。

参考图9所示，图9是本说明书根据又一示例性实施例示出的一种网络异常的监控装置的框图，所述装置还包括：

智能学习模块40，用于对网络内各个用户的流量数据进行智能学习，获取各个用户的流量分析模型；根据所述流量分析模型计算各个用户的连接数阈值。

上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本说明书实施例还提供一种计算机设备，包括：

一个或多个处理器；

存储器；

一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于：

获取网络内各个用户的实时流量数据；

当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常；其中，所述连接数阈值通过对用户流程智能学习获得；

根据所述连接数阈值对应的处理策略对所述用户进行异常处理。

本说明书网络异常的监控装置的实施例，可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在计算机设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图10所示，图10为本说明书实施例网络异常的监控装置所在计算机设备的一种硬件结构图，除了图10所示的处理器1010、内存1030、网络接口1020、以及非易失性存储器1040之外，实施例中网络异常的监控装置1031所在的计算机设备，通常根据该计算机设备的实际功能，还可以包括其他硬件，如时钟、网卡等，对此不再赘述。

本说明书实施例还提供一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述的链路分组配置方法，包括：

获取网络内各个用户的实时流量数据；

当所述用户的实时流量数据超过连接数阈值时，判定所述用户出现网络异常；其中，所述连接数阈值通过对用户流程智能学习获得；

根据所述连接数阈值对应的处理策略对所述用户进行异常处理。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本说明书的真正范围和精神由下面的权利要求指出。

应当理解的是，本说明书并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。