[发明专利]一种还原网络会话的方法及装置

说明书

本发明公开了一种还原网络会话的方法及装置，所述方法包括：针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断第一网络流量统计表中第一流量统计信息是否大于第二网络流量统计表中第二流量统计信息，如果是，确定第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方；进而还原网络会话。由于在本发明实施例中，根据第一流量统计信息和第二流量统计信息的大小关系，可以确定网络会话发起方和网络会话响应方，进而还原网络会话。因此，本发明实施例中提供的方案能够实现还原网络会话。

技术领域

本发明涉及网络流量数据包传输技术领域，尤其涉及一种还原网络会话的方法及装置。

背景技术

单向网络流量(Network flow，Netflow)可以收集进入及离开网络的数据包的数量及资讯，最早由思科公司研发，应用在路由器及交换器等产品上。通过分析Netflow收集到的资讯，网络管理人员可以知道数据包的来源及目的地，网络服务的种类，以及造成网络拥塞的原因。安全分析研究人员将Netflow流量用作安全类溯源和机器学习研究。

网络会话是网络会话发起方和网络会话响应方之间不中断的请求响应序列，通过网络五元组属性确定网络会话。网络五元组属性包括源IP、目的IP、源端口、目的端口和传输层协议。NetFlow是一种单向的网络流量，NetFlow只包含了每个数据包的发送方的IP地址和接收方的IP地址，如果想要对NetFlow进行深入的网络会话分析，则需要基于NetFlow还原网络会话，但是通过原始的NetFlow中每个数据包的发送方的IP地址和接收方的IP地址，无法确定出网络会话的发送方和接收方，也就无法还原网络会话。

目前，业界尚无相关的技术方案能够实现基于NetFlow还原网络会话。

发明内容

本发明实施例提供了一种还原网络会话的方法及装置，用以解决现有技术中无法实现基于NetFlow还原网络会话的问题。

本发明实施例提供了一种还原网络会话的方法，应用于电子设备，该方法包括：

针对设定时间长度内单向网络流量Netflow中的数据包传输，根据所述Netflow中的数据包携带的发送方和接收方的标识信息进行分组，确定所述Netflow中的每组发送方和接收方；

确定每组发送方和接收方对应的第一网络流量统计表，其中所述第一网络流量统计表中包含对应的该组发送方和接收方的标识信息，以及该组发送方和接收方在所述Netflow中传输的与数据包相关的流量统计信息；

针对每个第一网络流量统计表，查找该第一网络流量统计表映射的第二网络流量统计表，判断所述第一网络流量统计表中包含的与数据包相关的第一流量统计信息是否大于第二网络流量统计表中包含的与数据包相关的第二流量统计信息，如果是，确定所述第一网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，否则，确定第二网络流量统计表中的发送方为网络会话发起方，接收方为网络会话响应方，其中所述第二网络流量统计表中的发送方和接收方，与所述第一网络流量统计表中的接收方和发送方对应相同；

根据确定的每对网络会话发起方和网络会话响应方，还原网络会话。

进一步地，所述与数据包相关的流量统计信息包括以下至少一种：

该组发送方发送的总的数据包数量，发送的同步syn数据包数量，不重复的源端口数量和不重复的目的端口数量。