一種基于數據包特征提取的網絡數據流異常檢測方法，包括以下具體步驟：S1、實時采集數據包，并將得到的數據包分割歸類，得到樣本數據庫；S2、構建防火墻上層策略；S3、監測網絡線路上的網絡流量的網絡數據包特征屬性，并獲取網絡數據流的基本信息；S4、將得到的網絡數據和基本信息分別與樣本數據庫和防火墻上層策略進行處理；S5、若得到的數據段均包含在樣本數據庫中或防火墻上層策略中的索引信息和基本信息相匹配，則根據網絡數據包特征屬性，對所屬類型的網絡數據包進行發送；所屬網絡數據流無異常；反之則對網絡數據包進行清除處理；所屬網絡數據流存在異常。本發明大大提高了對網絡數據流的監測效率以及監測的精準度。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于數據包特征提取的網絡數據流異常檢測方法。

背景技術

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷；每年因網絡安全造成的損失數以萬計，因此在當今網絡環境日益惡化的環境下，傳統的網絡安全“老三樣”，防火墻、入侵檢測以及防病毒，已經日益無法滿足用戶的便捷管理要求，現有的網絡安全技術中，通常通過對數據包進行解析，提取其中的特征碼進行比對來判斷數據包是否為網絡攻擊的數據包，以判斷網絡數據流是否存在異常；為此，本申請中提出一種基于數據包特征提取的網絡數據流異常檢測方法。

發明內容

(一)發明目的

為解決背景技術中存在的技術問題，本發明提出一種基于數據包特征提取的網絡數據流異常檢測方法，根據分析結果判斷所監測的網絡數據流是否存在異常，大大提高對網絡數據流的監測效率以及監測的精準度。

(二)技術方案

為解決上述問題，本發明提供了一種基于數據包特征提取的網絡數據流異常檢測方法，包括以下具體步驟：

S1、實時采集數據包，并將得到的數據包分割成多個固定長度的數據段，將具有相同內容的數據段歸為一類，以對所述數據段進行歸類，得到樣本數據庫；

S2、構建防火墻上層策略；

S3、監測網絡線路上的網絡流量的網絡數據包特征屬性，并獲取網絡數據流的基本信息；

S4、將S3中得到的網絡數據包按照S1中的分割方式，得到多個數據段；判斷得到的數據段是否全部包含在樣本數據庫中；

將S3中得到的基本信息與防火墻上層策略中的索引信息進行匹配，根據與防火墻上層策略的匹配結果，對網絡數據流進行處理；

S5、若S4中得到的數據段均包含在樣本數據庫中或防火墻上層策略中的索引信息和S3中得到的基本信息相匹配，則根據網絡數據包特征屬性，對所屬類型的網絡數據包進行發送；所屬網絡數據流無異常；

若S4中得到的數據段至少有一個數據段部包含在樣本數據庫中或防火墻上層策略中的索引信息和S3中得到的基本信息不匹配，則對網絡數據包進行清除處理；所屬網絡數據流存在異常。

優選的，S3中得到的基本信息與防火墻上層策略中的索引信息進行匹配包括：對網絡數據流依據開放系統互聯網絡協議棧模型中的2-4層進行數據解碼，獲取基本信息；判斷上述基本信息與防火墻上層策略的索引信息是否滿足預設的匹配條件。

優選的，基本信息包括源互聯網協議IP、源端口、目的IP、目的端口信息和/或網絡協議。

優選的，防火墻上層策略為入侵檢測策略、URL過濾策略、內容安全策略或防病毒策略中的一種或多種。