异常访问行为分析方法及装置的制造方法
【技术领域】
[0001] 本发明涉及网络安全领域,特别涉及一种异常访问行为分析方法及装置。
【背景技术】
[0002] -体化标识网络将网络分为接入网与骨干网,引入了接入网标识(Access Identifier,AID)与路由标识(RoutingIdentifier,RID),从根本上解决了互联网协议地 址(InternetProtocolAddress,IP)双重属性的问题。一体化标识网络能很好的与现有的 互联网与网络架构进行融合,尤其与传统的电信网络的融合已经成为一个新的研宄方向。
[0003] 在一体化标识网络中,为了能够实现网络访问时的管理,一体化标识网络可以对 用户标识(UID)的不同属性进行描述并概括成用户属性标签(U_TAG),对服务标识(SID)的 不同属性进行描述并概括成服务属性标签(S_TAG),并基于U_TAG和S_TAG设定策略规则。 用户每次访问资源会分别查询获取请求服务中WD和SID对应的U_TAG和S_TAG,再通过查 询相应的策略规则得到策略结果,从而实现服务管理。
[0004] 在实现本发明的过程中,发明人发现现有技术至少存在以下问题:上述在实现服 务管理时,将服务按照属性进行了划分,仅限于为用户提供了针对性服务,这种服务管理比 较局限。
【发明内容】
[0005] 为了解决现有技术中在实现服务管理时,仅限于为用户提供针对性服务,管理比 较局限的问题,本发明实施例提供了一种异常访问行为分析方法及装置。所述技术方案如 下:
[0006] 第一方面,提供了一种异常访问行为分析方法,所述方法包括:
[0007] 获取用户访问时数据包的特征信息,所述特征信息为接入转发设备从所述数据包 中提取的关键信息、所述接入转发设备发送的用于指示所述用户是否越权访问的第一参数 或所述接入转发设备发送的用于指示所述用户是否异常位置登录的第二参数;
[0008] 根据所述特征信息确定所述用户的访问行为是否为异常访问行为,所述异常访问 行为包括攻击行为、越权访问行为或异常位置登录行为;
[0009] 若所述用户的访问行为是异常访问行为,则根据与所述异常访问行为的类型对应 的调整方式调整所述用户的信誉值,所述用户的信誉值用于限定所述用户的访问等级;
[0010] 其中,所述关键信息包括所述用户的用户标识、源接入网标识、目标接入网标识、 协议类型、源端口和目标端口。
[0011] 可选的,所述获取用户访问时数据包的特征信息,包括:
[0012] 当所述特征信息为所述关键信息时,接收所述接入转发设备发送的流摘要信息以 及流模板,每条流摘要信息是所述接入转发设备在接收到所述数据包后对各个数据包进行 分流,将任一组流所对应的关键信息添加至所述流模板后得到的,每组流中的数据包具有 相同的关键信息;
[0013] 对于每条所述流摘要信息,根据所述流模板从所述流摘要信息中提取出一组所述 关键信息;
[0014] 将所述关键信息存储为一条流摘要记录。
[0015] 可选的,所述根据所述特征信息确定所述用户的访问行为是否为异常访问行为, 包括:
[0016] 当所述特征信息为所述关键信息时,对存储的预定条所述流摘要记录进行熵值量 化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型,所述行 为类型包括正常访问行为和各种攻击行为,所述攻击行为包括端口扫描行为、拒绝服务DOS 攻击行为和分布式拒绝服务DD0S攻击行为。
[0017] 可选的,所述根据与所述异常访问行为的类型对应的调整方式调整所述用户的信 誉值,包括:
[0018] 根据所述异常访问行为的类型,将所述用户的与所述异常访问行为同类型的异常 访问行为数量进行累加,根据与累加后的数值对应的调整参数调整所述用户的信誉值。
[0019] 可选的,在所述根据与所述异常访问行为的类型对应的调整方式调整所述用户的 信誉值之后,还包括:
[0020] 检测调整后的信誉值是否对应新的访问等级;
[0021] 若调整后的信誉值对应新的访问等级,则将所述用户的访问等级调整为与调整后 的信誉值对应的访问等级。
[0022] 可选的,所述方法还包括:
[0023] 将调整后得到的所述访问等级发送至所述接入转发设备,以通知所述接入转发设 备利用调整后的所述访问等级更新所述用户的访问等级;
[0024] 或者,
[0025] 在接收到所述接入转发设备用于请求获取所述用户的访问等级的获取请求时,将 调整后得到的所述访问等级发送至所述接入转发设备。
[0026] 第二方面,提供了一种异常访问行为分析装置,所述装置包括:
[0027] 特征信息获取模块,用于获取用户访问时数据包的特征信息,所述特征信息为接 入转发设备从所述数据包中提取的关键信息、所述接入转发设备发送的用于指示所述用户 是否越权访问的第一参数或所述接入转发设备发送的用于指示所述用户是否异常位置登 录的第二参数;
[0028] 异常行为确定模块,用于根据所述特征信息获取模块获取的所述特征信息确定所 述用户的访问行为是否为异常访问行为,所述异常访问行为包括攻击行为、越权访问行为 或异常位置登录行为;
[0029] 信誉值调整模块,用于在所述异常行为确定模块确定出所述用户的访问行为是异 常访问行为时,根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值, 所述用户的信誉值用于限定所述用户的访问等级;
[0030] 其中,所述关键信息包括所述用户的用户标识、源接入网标识、目标接入网标识、 协议类型、源端口和目标端口。
[0031] 可选的,所述特征信息获取模块,包括:
[0032] 接收单元,用于当所述特征信息为所述关键信息时,接收所述接入转发设备发送 的流摘要信息以及流模板,每条流摘要信息是所述接入转发设备在接收到所述数据包后对 各个数据包进行分流,将任一组流所对应的关键信息添加至所述流模板后得到的,每组流 中的数据包具有相同的关键信息;
[0033] 关键信息提取单元,用于对于每条所述流摘要信息,根据所述流模板从所述流摘 要信息中提取出一组关键信息;
[0034] 存储单元,用于将所述关键信息提取单元提取出的所述关键信息存储为一条流摘 要记录。
[0035] 可选的,所述异常行为确定模块,还用于:
[0036] 当所述特征信息为所述关键信息时,对所述存储单元存储的预定条所述流摘要记 录进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行 为类型,所述行为类型包括正常访问行为和各种攻击行为,所述攻击行为包括端口扫描行 为、拒绝服务DOS攻击行为和分布式拒绝服务DDOS攻击行为。
[0037] 可选的,所述信誉值调整模块,还用于:
[0038] 根据所述异常访问行为的类型,将所述用户的与所述异常访问行为同类型的异常 访问行为数量进行累加,根据与累加后的数值对应的调整参数调整所述用户的信誉值。
[0039] 可选的,所述装置还包括:
[0040] 检测模块,用于检测所述信誉值调整模块调整后的信誉值是否对应新的访问等 级;
[0041] 访问等级调整模块,用于在所述检测模块检测到调整后的信誉值对应新的访问等 级后,将所述用户的访问等级调整为与调整后的信誉值对应的访问等级。
[0042] 可选的,所述装置还包括:
[0043] 第一发送模块,用于将调整后得到的所述访问等级发送至所述接入转发设备,以 通知所述接入转发设备利用调整后的所述访问等级更新所述用户的访问等级;
[0044] 或者,
[0045] 第二发送模块,用于在接收到所述接入转发设备用于请求获取所述用户的访问等 级的获取请求时,将调整后得到的所述访问等级发送至所述接入转发设备。
[0046] 本发明实施例提供的技术方案带来的有益效果是:
[0047] 通过获取用户访问时的数据包的特征信息,确定用户的访问行为是否为异常访问 行为,若用户的访问行为是异常访问行为,则根据与异常访问行为对应的调整方式调整用 户的信誉值;由于可以实时的根据用户的异常访问行为调整用户的信誉值,以便于确定出 用户的访问等级,进而根据用户的访问等级为用户提供与访问等级匹配的服务,因此解决 了现有技术中在实现服务管理时,仅限于为用户提供针对性服务的问题;达到了可以实时 为用户确定最新的访问等级,保证了用户访问的安全性的效果。
【附图说明】
[0048] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他 的附图。
[0049] 图1是本发明部分实施例中提供的异常访问行为分析方法所涉及的融合网络的 示意图;
[0050] 图2是本发明一个实施例中提供的异常访问行为分析方法的方法流程图;
[0051] 图3是本发明另一个实施例