本申請實施例提供了一種網絡異常行為檢測方法、裝置及電子設備，涉及數據通信技術領域，用以對MPTCP流量進行網絡異常行為檢測。該方法中，獲取多路傳輸控制協議MPTCP數據包；獲取MPTCP數據包的四元組信息和令牌信息；根據四元組信息確定屬于同一子流的MPTCP數據包；根據令牌信息和四元組信息確定屬于同一MPTCP流的子流；根據預設規則檢測各個MPTCP流，確定MPTCP流包含的MPTCP數據包是否存在異常行為。本申請通過首先對獲取的MPTCP流量進行有效信息的提取，子流的匹配以及MPTCP流的重組可以實現在傳輸層重組多路徑傳輸的MPTCP流量，提高異常行為分析的有效性及準確性。

技術領域

本申請涉及數據通信技術領域，特別涉及一種網絡異常行為檢測方法、裝置及電子設備。

背景技術

目前的網絡流量分析與攻擊發現技術主要針對傳統的傳輸層和應用層協議進行識別與解析，例如傳輸控制協議(Transmission Control Protocol，TCP)、用戶數據報協議(User Datagram Protocol，UDP)和超文本傳輸協議(Hyper Text Transfer Protocol，HTTP)等，通過提取網絡流量中的數據包的字符串特征以及流量統計特征進行網絡異常行為檢測。

多路傳輸控制協議(Multipath Transmission Control Protocol，MPTCP)是傳統單路徑TCP協議的一種擴展，提供具有多路徑傳輸功能的TCP服務。MPTCP允許在一次TCP通信中建立多個子路徑。當一條TCP路徑按照三次握手的方式建立起來后，可以按照三次握手的方式建立其他的子路徑。但由于MPTCP多路徑傳輸的特性導致了基于傳統TCP單路徑傳輸的異常行為檢測方法的失效，因此目前存在無法對MPTCP流量進行網絡異常行為檢測的技術問題。

發明內容

本申請實施例提供了一種網絡異常行為檢測方法、裝置及電子設備，用以對MPTCP流量進行網絡異常行為檢測。

第一方面，本申請實施例提供了一種網絡異常行為檢測方法，包括：獲取多路傳輸控制協議MPTCP數據包；獲取所述MPTCP數據包的四元組信息和令牌信息；根據所述四元組信息確定屬于同一子流的MPTCP數據包；根據所述令牌信息和所述四元組信息確定屬于同一MPTCP流的子流；根據預設規則檢測各個所述MPTCP流，確定所述MPTCP流包含的所述MPTCP數據包是否存在異常行為。

基于上述方案，通過首先對獲取的MPTCP流量進行有效信息的提取，子流的匹配以及MPTCP流的重組可以實現在傳輸層重組多路徑傳輸的MPTCP流量，提高異常行為分析的有效性及準確性。

一種可能的實現方式中，所述獲取所述MPTCP數據包的四元組信息和令牌信息，具體包括：獲取所述MPTCP數據包的鏡像；獲取所述鏡像的所述四元組信息和所述令牌信息。

基于上述方案，服務器獲取MPTCP數據包的鏡像可以在不嚴重影響源端口正常吞吐流量的情況下，實現對網絡流量的監控和分析。也就是說采用旁路監聽的模式，高效且不會對正常業務產生影響。

一種可能的實現方式中，所述根據所述四元組信息確定屬于同一子流的MPTCP數據包，具體包括：確定所述四元組信息相同的所述MPTCP數據包為所述屬于同一子流的MPTCP數據包。

基于上述方案，根據四元組信息確定屬于同一子流的MPTCP數據包有助于更準確地重組MPTCP流，從而有效地對MPTCP流進行異常行為檢測。

一種可能的實現方式中，所述方法還包括：將屬于所述同一子流的所述MPTCP數據包與所述MPTCP數據包的所述四元組信息的映射關系存儲至鏈表；將所述鏈表與所述鏈表中存儲的四元組信息的映射關系存儲至哈希表。