[发明专利]一种网络流量处理方法和装置

说明书

本发明公开了一种网络流量处理方法和装置，方法包括：采集网络设备的采样流数据，对所述采样流数据进行解析，获取网络参数；统计所述网络参数中相同目的地址的流量值；确定流量值超过第一阈值的目的地址为异常目的地址；本申请能够通过目的地址的流量值自动确定异常目的地址，而异常目的地址所对应的网络行为出现异常的概率较大，从而便于用户确定异常网络行为。

技术领域

本发明涉及网络流量分析技术领域，更具体的说是涉及一种网络流量处理方法和装置。

背景技术

随着各种网络应用的迅速增加，使得网络流量逐渐激增，因此，如何通过网络流量来检测网络的异常行为成为本领域关注的重点。

目前，通常采用Netflow或sflow实现对网络设备的流量采集，netflow是基于软件的技术，是采用内置在硬件中的专用芯片。当在网络设备或者接口上开启Netflow功能或内置有sflow专用芯片后，网络设备会对需要进行分析的流量进行采样分析，生成Netflow流数据或slow流数据，并将其发送至分析端进行流量分析，网络设备采样分析的流数据要比原始数据小很多。其中，网络设备采样分析的流数据包含源地址、目的地址、源端口、目的端口、数据流的大小、数据流经过的接口、数据流的到达时间、数据流的送出时间等参数。

而分析端在接收到网络设备采样分析的流数据后，可以按照不同的条件对其进行排序，使得用户可以基于排序结果判断网络是否有异常，显然，这种由用户凭经验判断的方式无法真正实现网络异常行为的确定。

发明内容

有鉴于此，本发明提供一种网络流量处理方法和装置，以解决上述技术问题。

为实现上述目的，本发明提供如下技术方案：

一种网络流量处理方法，包括：

采集网络设备的采样流数据，对所述采样流数据进行解析，获取网络参数；

统计所述网络参数中相同目的地址的流量值；

确定流量值超过第一阈值的目的地址为异常目的地址。

优选的，还包括：

判断所述异常目的地址的流量变化值是否超出第二阈值；

若否，针对所述异常目的地址生成第一级报警信息。

优选的，还包括：

若是，确定与第一异常目的地址属于同一流数据的源地址；

确定满足第一预设条件的源地址为异常源地址；

其中，所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。

优选的，所述确定满足第一预设条件的源地址为异常源地址，包括：

统计相同源地址的流量值，确定流量值超过第三阈值的源地址为异常源地址；

和/或，确定类型属于预设类型的源地址为异常源地址。

优选的，还包括：

若是，确定与第一异常目的地址属于同一流数据的源端口；

确定满足第二预设条件的源端口为异常源端口；

其中，所述第一异常目的地址为流量变化值超过第二阈值的异常目的地址。

优选的，所述确定满足第二预设条件的源端口为异常源端口，包括：

统计相同源端口的流量值，确定流量值超过第四阈值的源端口为异常源端口；

和/或，确定与预先设定的敏感源端口相同的源端口为异常源端口。

优选的，还包括：