技術領域

本發明涉及網絡安全領域，特別涉及一種異常訪問行為分析方法及裝置。

背景技術

一體化標識網絡將網絡分為接入網與骨干網，引入了接入網標識(Access?Identifier，AID)與路由標識(Routing?Identifier，RID)，從根本上解決了互聯網協議地址(Internet?Protocol?Address，IP)雙重屬性的問題。一體化標識網絡能很好的與現有的互聯網與網絡架構進行融合，尤其與傳統的電信網絡的融合已經成為一個新的研究方向。

在一體化標識網絡中，為了能夠實現網絡訪問時的管理，一體化標識網絡可以對用戶標識(UID)的不同屬性進行描述并概括成用戶屬性標簽(U_TAG)，對服務標識(SID)的不同屬性進行描述并概括成服務屬性標簽(S_TAG)，并基于U_TAG和S_TAG設定策略規則。用戶每次訪問資源會分別查詢獲取請求服務中UID和SID對應的U_TAG和S_TAG，再通過查詢相應的策略規則得到策略結果，從而實現服務管理。

在實現本發明的過程中，發明人發現現有技術至少存在以下問題：上述在實現服務管理時，將服務按照屬性進行了劃分，僅限于為用戶提供了針對性服務，這種服務管理比較局限。

發明內容

為了解決現有技術中在實現服務管理時，僅限于為用戶提供針對性服務，管理比較局限的問題，本發明實施例提供了一種異常訪問行為分析方法及裝置。所述技術方案如下：

第一方面，提供了一種異常訪問行為分析方法，所述方法包括：

獲取用戶訪問時數據包的特征信息，所述特征信息為接入轉發設備從所述數據包中提取的關鍵信息、所述接入轉發設備發送的用于指示所述用戶是否越權訪問的第一參數或所述接入轉發設備發送的用于指示所述用戶是否異常位置登錄的第二參數；

根據所述特征信息確定所述用戶的訪問行為是否為異常訪問行為，所述異常訪問行為包括攻擊行為、越權訪問行為或異常位置登錄行為；

若所述用戶的訪問行為是異常訪問行為，則根據與所述異常訪問行為的類型對應的調整方式調整所述用戶的信譽值，所述用戶的信譽值用于限定所述用戶的訪問等級；

其中，所述關鍵信息包括所述用戶的用戶標識、源接入網標識、目標接入網標識、協議類型、源端口和目標端口。

可選的，所述獲取用戶訪問時數據包的特征信息，包括：

當所述特征信息為所述關鍵信息時，接收所述接入轉發設備發送的流摘要信息以及流模板，每條流摘要信息是所述接入轉發設備在接收到所述數據包后對各個數據包進行分流，將任一組流所對應的關鍵信息添加至所述流模板后得到的，每組流中的數據包具有相同的關鍵信息；

對于每條所述流摘要信息，根據所述流模板從所述流摘要信息中提取出一組所述關鍵信息；

將所述關鍵信息存儲為一條流摘要記錄。

可選的，所述根據所述特征信息確定所述用戶的訪問行為是否為異常訪問行為，包括：

當所述特征信息為所述關鍵信息時，對存儲的預定條所述流摘要記錄進行熵值量化，將量化后得到的熵值向量輸入至分類器，得到與所述訪問行為對應的行為類型，所述行為類型包括正常訪問行為和各種攻擊行為，所述攻擊行為包括端口掃描行為、拒絕服務DOS攻擊行為和分布式拒絕服務DDOS攻擊行為。

可選的，所述根據與所述異常訪問行為的類型對應的調整方式調整所述用戶的信譽值，包括：

根據所述異常訪問行為的類型，將所述用戶的與所述異常訪問行為同類型的異常訪問行為數量進行累加，根據與累加后的數值對應的調整參數調整所述用戶的信譽值。

可選的，在所述根據與所述異常訪問行為的類型對應的調整方式調整所述用戶的信譽值之后，還包括：

檢測調整后的信譽值是否對應新的訪問等級；

若調整后的信譽值對應新的訪問等級，則將所述用戶的訪問等級調整為與調整后的信譽值對應的訪問等級。

可選的，所述方法還包括：

將調整后得到的所述訪問等級發送至所述接入轉發設備，以通知所述接入轉發設備利用調整后的所述訪問等級更新所述用戶的訪問等級；

或者，

在接收到所述接入轉發設備用于請求獲取所述用戶的訪問等級的獲取請求時，將調整后得到的所述訪問等級發送至所述接入轉發設備。

第二方面，提供了一種異常訪問行為分析裝置，所述裝置包括：