[发明专利]异常访问行为分析方法及装置

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种异常访问行为分析方法及装置。

背景技术

一体化标识网络将网络分为接入网与骨干网，引入了接入网标识(Access Identifier，AID)与路由标识(Routing Identifier，RID)，从根本上解决了互联网协议地址(Internet Protocol Address，IP)双重属性的问题。一体化标识网络能很好的与现有的互联网与网络架构进行融合，尤其与传统的电信网络的融合已经成为一个新的研究方向。

在一体化标识网络中，为了能够实现网络访问时的管理，一体化标识网络可以对用户标识(UID)的不同属性进行描述并概括成用户属性标签(U_TAG)，对服务标识(SID)的不同属性进行描述并概括成服务属性标签(S_TAG)，并基于U_TAG和S_TAG设定策略规则。用户每次访问资源会分别查询获取请求服务中UID和SID对应的U_TAG和S_TAG，再通过查询相应的策略规则得到策略结果，从而实现服务管理。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：上述在实现服务管理时，将服务按照属性进行了划分，仅限于为用户提供了针对性服务，这种服务管理比较局限。

发明内容

为了解决现有技术中在实现服务管理时，仅限于为用户提供针对性服务，管理比较局限的问题，本发明实施例提供了一种异常访问行为分析方法及装置。所述技术方案如下：

第一方面，提供了一种异常访问行为分析方法，所述方法包括：

获取用户访问时数据包的特征信息，所述特征信息为接入转发设备从所述数据包中提取的关键信息、所述接入转发设备发送的用于指示所述用户是否越权访问的第一参数或所述接入转发设备发送的用于指示所述用户是否异常位置登录的第二参数；

根据所述特征信息确定所述用户的访问行为是否为异常访问行为，所述异常访问行为包括攻击行为、越权访问行为或异常位置登录行为；

若所述用户的访问行为是异常访问行为，则根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值，所述用户的信誉值用于限定所述用户的访问等级；

其中，所述关键信息包括所述用户的用户标识、源接入网标识、目标接入网标识、协议类型、源端口和目标端口。

可选的，所述获取用户访问时数据包的特征信息，包括：

当所述特征信息为所述关键信息时，接收所述接入转发设备发送的流摘要信息以及流模板，每条流摘要信息是所述接入转发设备在接收到所述数据包后对各个数据包进行分流，将任一组流所对应的关键信息添加至所述流模板后得到的，每组流中的数据包具有相同的关键信息；

对于每条所述流摘要信息，根据所述流模板从所述流摘要信息中提取出一组所述关键信息；

将所述关键信息存储为一条流摘要记录。

可选的，所述根据所述特征信息确定所述用户的访问行为是否为异常访问行为，包括：

当所述特征信息为所述关键信息时，对存储的预定条所述流摘要记录进行熵值量化，将量化后得到的熵值向量输入至分类器，得到与所述访问行为对应的行为类型，所述行为类型包括正常访问行为和各种攻击行为，所述攻击行为包括端口扫描行为、拒绝服务DOS攻击行为和分布式拒绝服务DDOS攻击行为。

可选的，所述根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值，包括：

根据所述异常访问行为的类型，将所述用户的与所述异常访问行为同类型的异常访问行为数量进行累加，根据与累加后的数值对应的调整参数调整所述用户的信誉值。

可选的，在所述根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值之后，还包括：

检测调整后的信誉值是否对应新的访问等级；

若调整后的信誉值对应新的访问等级，则将所述用户的访问等级调整为与调整后的信誉值对应的访问等级。

可选的，所述方法还包括：

将调整后得到的所述访问等级发送至所述接入转发设备，以通知所述接入转发设备利用调整后的所述访问等级更新所述用户的访问等级；

或者，

在接收到所述接入转发设备用于请求获取所述用户的访问等级的获取请求时，将调整后得到的所述访问等级发送至所述接入转发设备。

第二方面，提供了一种异常访问行为分析装置，所述装置包括：