[发明专利]一种异常流量检测方法及装置

权利要求书

1.一种异常流量检测方法，其特征在于，所述方法包括：

获取待检测流量的流量特征信息；

将所述流量特征信息与常用流量特征信息集合进行匹配；

若未匹配上，则将所述流量特征信息与预设端口协议映射表进行匹配，所述预设端口协议映射表包括预设的端口信息和协议信息之间的映射关系；

基于所述流量特征信息与所述预设端口协议映射表的匹配结果，判断所述待检测流量是否为异常流量；

其中，在所述将所述流量特征信息与常用流量特征信息集合进行匹配之前，所述方法还包括：

判断预设主机运维信息库中是否存在接收所述待检测流量的目标主机的运维配置信息；

若所述预设主机运维信息库中存在所述目标主机的运维配置信息，则判断所述目标主机的运维配置信息中是否存在与所述流量特征信息相匹配的运维配置信息；若不存在，则确定所述待检测流量为异常流量；

若所述预设主机运维信息库中不存在所述目标主机的运维配置信息，则执行所述将所述流量特征信息与常用流量特征信息集合进行匹配的步骤。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于所述目标主机在预设时长内接收到的各正常流量的流量日志，分别提取出所述各正常流量的流量特征信息，建立常用流量特征信息集合；

基于所述常用流量特征信息集合，更新所述目标主机的运维配置信息。

3.根据权利要求1、2任一项所述的方法，其特征在于，所述预设端口协议映射表包括预设的端口协议应用映射表，或者，预设的高危端口表；所述端口协议应用映射表包括目标主机开放的端口信息、协议信息和应用类型信息之间的映射关系；所述高危端口表包括所述目标主机易受攻击的端口信息和协议信息之间的映射关系；

所述将所述流量特征信息与预设端口协议映射表进行匹配，包括：

判断所述端口协议应用映射表中是否存在与所述流量特征信息相匹配的表项，所述流量特征信息包括端口信息、协议信息和应用类型信息；或者，

判断所述高危端口表中是否存在与所述流量特征信息相匹配的表项，所述流量特征信息包括端口信息和协议信息；

所述基于所述流量特征信息与所述预设端口协议映射表的匹配结果，判断所述待检测流量是否为异常流量，包括：

若所述端口协议应用映射表中不存在与所述流量特征信息包括的端口信息、协议信息和应用类型信息相匹配的表项，则确定所述待检测流量为异常流量；或者，

若所述高危端口表中存在与所述流量特征信息包括的端口信息和协议信息相匹配的表项，则确定所述待检测流量为异常流量。

4.根据权利要求1、2任一项所述的方法，其特征在于，所述预设端口协议映射表包括预设的端口协议应用映射表及预设的高危端口表；所述端口协议应用映射表包括目标主机开放的端口信息、协议信息和应用类型信息之间的映射关系，所述高危端口表包括所述目标主机易受攻击的端口信息和协议信息之间的映射关系；

所述将所述流量特征信息与预设端口协议映射表进行匹配，包括：

判断所述端口协议应用映射表中是否存在与所述流量特征信息相匹配的表项，所述流量特征信息包括端口信息、协议信息和应用类型信息；

判断所述高危端口表中是否存在与所述流量特征信息相匹配的表项，所述流量特征信息包括端口信息和协议信息；

所述基于所述流量特征信息与所述预设端口协议映射表的匹配结果，判断所述待检测流量是否为异常流量，包括：

若所述端口协议应用映射表中不存在与所述流量特征信息包括的端口信息和协议信息相匹配的表项，则分配第一权值；

若所述端口协议应用映射表中存在与所述流量特征信息包括的端口信息和协议信息相匹配的表项，则判断所述端口协议应用映射表中与所匹配的端口信息和协议信息对应的应用类型信息是否与所述流量特征信息包括的应用类型信息相匹配；

若不匹配，则分配第二权值；

若所述高危端口表中存在与所述待检测流量的端口信息和协议信息相匹配的表项，则分配第三权值；

将所述第一权值、所述第二权值及所述第三权值进行累加，判断累加结果是否大于预设阈值；

若大于，则确定所述待检测流量为异常流量。