技術(shù)領(lǐng)域

本申請涉及計算機領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)異常檢測方法及裝置。

背景技術(shù)

現(xiàn)有技術(shù)中，為了實現(xiàn)網(wǎng)絡(luò)異常檢測，用戶通常可以基于SNMP協(xié)議來采集網(wǎng)絡(luò)流，并記錄采集到網(wǎng)絡(luò)流的相關(guān)信息，當檢測到網(wǎng)絡(luò)流的相關(guān)信息達到用戶預(yù)設(shè)的范圍時，可以確定所述網(wǎng)絡(luò)流為異常網(wǎng)絡(luò)流。

但在實際應(yīng)用中，基于SNMP協(xié)議采集到的網(wǎng)絡(luò)流可以提供網(wǎng)絡(luò)流的相關(guān)信息比較有限，并不能提供較為全面的信息，從而可能導致后續(xù)網(wǎng)絡(luò)異常檢測不全面的問題。

發(fā)明內(nèi)容

本申請?zhí)峁┮环N網(wǎng)絡(luò)異常檢測方法，應(yīng)用于網(wǎng)絡(luò)設(shè)備，包括：

分別采集NetFlow協(xié)議和sFlow協(xié)議的網(wǎng)絡(luò)流；

從采集到的NetFlow網(wǎng)絡(luò)流和sFlow網(wǎng)絡(luò)流中分別提取若干字段，并對分別提取到的所述若干字段進行融合，生成預(yù)設(shè)格式的網(wǎng)絡(luò)流；

針對所述預(yù)設(shè)格式的網(wǎng)絡(luò)流進行多維度的異常檢測。

可選的，所述多維度的異常檢測包括網(wǎng)絡(luò)異常狀態(tài)檢測；所述針對所述預(yù)設(shè)格式的網(wǎng)絡(luò)流進行多維度的異常檢測包括：

計算所述預(yù)設(shè)格式的網(wǎng)絡(luò)流的網(wǎng)絡(luò)常態(tài)指標值；

確定所述網(wǎng)絡(luò)常態(tài)指標值是否大于預(yù)設(shè)的閾值；

如果是，確定所述預(yù)設(shè)格式的網(wǎng)絡(luò)流為異常網(wǎng)絡(luò)流。

可選的，所述多維度的異常檢測包括異常單流檢測，所述方法還包括：

從所述異常網(wǎng)絡(luò)流中提取異常特征；

將提取到的異常特征與預(yù)設(shè)的異常特征庫中的異常特征樣本進行匹配；其中，所述異常特征庫中的異常特征樣本被標記了對應(yīng)的異常類型；

當提取到的異常特征與所述異常特征庫中的任一異常特征樣本匹配，將與該異常特征樣本對應(yīng)的異常類型確定為所述異常網(wǎng)絡(luò)流的異常類型。

可選的，所述多維度的異常檢測包括異常流模式檢測，所述方法還包括：

分析所述異常網(wǎng)絡(luò)流的異常流模式；

將分析出的異常流模式與預(yù)設(shè)的異常模式庫中的異常流模式樣本進行匹配；其中，所述異常模式庫中的異常流模式樣本被標記了對應(yīng)的異常類型；

當分析出的異常流模式與所述異常模式庫中的任一異常流模式樣本匹配，將與該異常流模式樣本對應(yīng)的異常類型確定為所述異常網(wǎng)絡(luò)流的異常類型。

可選的，所述分析所述異常網(wǎng)絡(luò)流的異常流模式，包括：

基于若干預(yù)設(shè)指標分別聚合出數(shù)據(jù)表；其中，每張數(shù)據(jù)表包含若干指標；

當檢測到所述數(shù)據(jù)表中的特定指標符合預(yù)設(shè)閾值時，開啟所述異常流模式檢測；

基于預(yù)設(shè)規(guī)則對所述數(shù)據(jù)表中的指標進行統(tǒng)計，分析得到所述異常網(wǎng)絡(luò)流的異常流模式。

可選的，所述若干預(yù)設(shè)指標包括：

相同的源地址、相同的源MAC地址和相同的目的地址。

可選的，所述特定指標包括以下任一或多個：

所述異常網(wǎng)絡(luò)流的總聚合次數(shù)、所述異常網(wǎng)絡(luò)流的平均包數(shù)和所述異常網(wǎng)絡(luò)流的平均字節(jié)數(shù)。

本申請還提供一種網(wǎng)絡(luò)異常檢測裝置，應(yīng)用于網(wǎng)絡(luò)設(shè)備，包括：

采集模塊，用于分別采集NetFlow協(xié)議和sFlow協(xié)議的網(wǎng)絡(luò)流；

融合模塊，用于從采集到的NetFlow網(wǎng)絡(luò)流和sFlow網(wǎng)絡(luò)流中分別提取若干字段，并對分別提取到的所述若干字段進行融合，生成預(yù)設(shè)格式的網(wǎng)絡(luò)流；

檢測模塊，用于針對所述預(yù)設(shè)格式的網(wǎng)絡(luò)流進行多維度的異常檢測。

可選的，所述多維度的異常檢測包括網(wǎng)絡(luò)異常狀態(tài)檢測，所述檢測模塊進一步用于：

計算所述預(yù)設(shè)格式的網(wǎng)絡(luò)流的網(wǎng)絡(luò)常態(tài)指標值；

確定所述網(wǎng)絡(luò)常態(tài)指標值是否大于預(yù)設(shè)的閾值；

如果是，確定所述預(yù)設(shè)格式的網(wǎng)絡(luò)流為異常網(wǎng)絡(luò)流。

可選的，所述多維度的異常檢測包括異常單流檢測，還包括：

異常單流檢測模塊，用于

從所述異常網(wǎng)絡(luò)流中提取異常特征；

將提取到的異常特征與預(yù)設(shè)的異常特征庫中的異常特征樣本進行匹配；其中，所述異常特征庫中的異常特征樣本被標記了對應(yīng)的異常類型；

當提取到的異常特征與所述異常特征庫中的任一異常特征樣本匹配，將與該異常特征樣本對應(yīng)的異常類型確定為所述異常網(wǎng)絡(luò)流的異常類型。

可選的，所述多維度的異常檢測包括異常流模式檢測，還包括：

異常流模式檢測模塊，用于

分析所述異常網(wǎng)絡(luò)流的異常流模式；

將分析出的異常流模式與預(yù)設(shè)的異常模式庫中的異常流模式樣本進行匹配；其中，所述異常模式庫中的異常流模式樣本被標記了對應(yīng)的異常類型；