[发明专利]一种网络异常检测方法及装置

说明书

技术领域

本申请涉及计算机领域，尤其涉及一种网络异常检测方法及装置。

背景技术

现有技术中，为了实现网络异常检测，用户通常可以基于SNMP协议来采集网络流，并记录采集到网络流的相关信息，当检测到网络流的相关信息达到用户预设的范围时，可以确定所述网络流为异常网络流。

但在实际应用中，基于SNMP协议采集到的网络流可以提供网络流的相关信息比较有限，并不能提供较为全面的信息，从而可能导致后续网络异常检测不全面的问题。

发明内容

本申请提供一种网络异常检测方法，应用于网络设备，包括：

分别采集NetFlow协议和sFlow协议的网络流；

从采集到的NetFlow网络流和sFlow网络流中分别提取若干字段，并对分别提取到的所述若干字段进行融合，生成预设格式的网络流；

针对所述预设格式的网络流进行多维度的异常检测。

可选的，所述多维度的异常检测包括网络异常状态检测；所述针对所述预设格式的网络流进行多维度的异常检测包括：

计算所述预设格式的网络流的网络常态指标值；

确定所述网络常态指标值是否大于预设的阈值；

如果是，确定所述预设格式的网络流为异常网络流。

可选的，所述多维度的异常检测包括异常单流检测，所述方法还包括：

从所述异常网络流中提取异常特征；

将提取到的异常特征与预设的异常特征库中的异常特征样本进行匹配；其中，所述异常特征库中的异常特征样本被标记了对应的异常类型；

当提取到的异常特征与所述异常特征库中的任一异常特征样本匹配，将与该异常特征样本对应的异常类型确定为所述异常网络流的异常类型。

可选的，所述多维度的异常检测包括异常流模式检测，所述方法还包括：

分析所述异常网络流的异常流模式；

将分析出的异常流模式与预设的异常模式库中的异常流模式样本进行匹配；其中，所述异常模式库中的异常流模式样本被标记了对应的异常类型；

当分析出的异常流模式与所述异常模式库中的任一异常流模式样本匹配，将与该异常流模式样本对应的异常类型确定为所述异常网络流的异常类型。

可选的，所述分析所述异常网络流的异常流模式，包括：

基于若干预设指标分别聚合出数据表；其中，每张数据表包含若干指标；

当检测到所述数据表中的特定指标符合预设阈值时，开启所述异常流模式检测；

基于预设规则对所述数据表中的指标进行统计，分析得到所述异常网络流的异常流模式。

可选的，所述若干预设指标包括：

相同的源地址、相同的源MAC地址和相同的目的地址。

可选的，所述特定指标包括以下任一或多个：

所述异常网络流的总聚合次数、所述异常网络流的平均包数和所述异常网络流的平均字节数。

本申请还提供一种网络异常检测装置，应用于网络设备，包括：

采集模块，用于分别采集NetFlow协议和sFlow协议的网络流；

融合模块，用于从采集到的NetFlow网络流和sFlow网络流中分别提取若干字段，并对分别提取到的所述若干字段进行融合，生成预设格式的网络流；

检测模块，用于针对所述预设格式的网络流进行多维度的异常检测。

可选的，所述多维度的异常检测包括网络异常状态检测，所述检测模块进一步用于：

计算所述预设格式的网络流的网络常态指标值；

确定所述网络常态指标值是否大于预设的阈值；

如果是，确定所述预设格式的网络流为异常网络流。

可选的，所述多维度的异常检测包括异常单流检测，还包括：

异常单流检测模块，用于

从所述异常网络流中提取异常特征；

将提取到的异常特征与预设的异常特征库中的异常特征样本进行匹配；其中，所述异常特征库中的异常特征样本被标记了对应的异常类型；

当提取到的异常特征与所述异常特征库中的任一异常特征样本匹配，将与该异常特征样本对应的异常类型确定为所述异常网络流的异常类型。

可选的，所述多维度的异常检测包括异常流模式检测，还包括：

异常流模式检测模块，用于

分析所述异常网络流的异常流模式；

将分析出的异常流模式与预设的异常模式库中的异常流模式样本进行匹配；其中，所述异常模式库中的异常流模式样本被标记了对应的异常类型；