[发明专利]网络安全检测方法及装置

权利要求书

1.一种网络安全检测方法，其特征在于，包括步骤：

采集网络中各设备的流量数据，将各所述流量数据进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流；

存储所述设备数据流；

将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较；

若设备数据流属于第一指标数据，则比较所述设备数据流是否符合预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字、阈值范围；

若设备数据流属于第二指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常；

若设备数据流属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。

2.根据权利要求1所述的网络安全检测方法，其特征在于，所述存储所述设备数据流步骤，包括步骤：

根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项。

3.根据权利要求2所述的网络安全检测方法，其特征在于，所述根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项步骤之后，还包括步骤：

根据所述预设聚合条件、预设时间粒度、叠加后的流量数据进行关联分析，生成报表，实时更新并显示所述报表。

4.根据权利要求2所述的网络安全检测方法，其特征在于，所述根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项步骤之后，还包括步骤：

根据所述预设聚合条件、预设时间粒度、叠加后的流量数据分时段、分线程查询设备数据流。

5.根据权利要求1所述的网络安全检测方法，其特征在于，所述存储所述设备数据流步骤，包括步骤：将所述设备数据流按照vFlow格式进行存储，vFlow格式包括头部数据和数据部数据，

其中，头部数据包括版本、流记录个数、系统启动至今时间、系统时间、流序列号、引擎类型、引擎序号、采样率，所述数据部数据包括源IP地址、目的IP地址、下一跳路由器的IP地址、输入接口索引、输出接口索引、流中报文、在流的报文中第三层字节的总数、流开始的时间、流中最后一个报文被接收时的时间、源端口、目的端口、未使用的字节、TCP标志位、IP协议、发送TCP校验和错误次数、发送TCP重传次数、发送TCP零窗口次数、发送RST包数、发送FIN包书、发送SYN包数、连接成功次数、连接失败次数；

根据头部数据和数据部数据查询该设备数据流对应的历史设备数据流。

6.一种网络安全检测装置，其特征在于，包括：

采集模块，用于采集网络中各设备的流量数据；

归一化模块，用于将各所述流量数据进行归一化处理，获得具有空间信息、时间信息和技术指标信息的设备数据流；

存储模块，用于存储所述设备数据流；

异常判断模块，用于将设备数据流的空间信息与预设的正常数据流集合进行匹配，若不匹配，则网络异常，若匹配，则将设备数据流与指标数据进行比较；

若设备数据流属于第一指标数据，则比较所述设备数据流是否符合预设特征基线，若不符合，则网络异常，其中，特征基线包括阈值、关键字、阈值范围；

若设备数据流属于第二指标数据，则查询该设备数据流对应的历史设备数据流，根据历史设备数据流确定设备数据流的周期性基线，若该设备数据流不符合周期波动，则网络异常；

若设备数据流属于第三指标数据，则查询该设备数据流对应的正常历史设备数据流，根据历史设备数据流确定预设时间内设备数据流的平均值，计算该设备数据流与平均值的波动范围，若所述波动范围不符合预设波动范围，则网络异常。

7.根据权利要求6所述的网络安全检测装置，其特征在于，所述存储模块还用于：

根据空间信息、时间信息、预设聚合条件和预设时间粒度将设备数据流进行流量叠加，存储叠加后的流量数据和聚合项。