[发明专利]一种特征信息分析方法及装置

权利要求书

1.一种网络会话攻击的检测方法，其特征在于，所述方法包括：

以会话为基本分析单位，获得每个待分析会话的会话特征信息，其中，一个会话是指在一个不中断的特定操作时间内，两个网络设备之间建立的通信交互，在所述特定操作时间内，所述两个网络设备之间交互的所有报文均属于所述会话；

根据预设时间间隔内获取的所有待分析会话的会话特征信息，检测所述预设时间间隔内的网络会话攻击，其中，所述所有待分析会话包括至少一个待分析会话。

2.根据权利要求1所述的方法，其特征在于，在所述获得每个待分析会话的会话特征信息之前，所述方法还包括：

获取所述每个待分析会话所包括的多个报文。

3.根据权利要求2所述的方法，其特征在于，所述获取所述每个待分析会话所包括的多个报文，包括：

从所有接收到的报文中，分别获取每个报文的五元组信息；

基于所述每个报文的五元组信息，从所述所有接收到的报文中，获取所述每个待分析会话所包括的多个报文。

4.根据权利要求2所述的方法，其特征在于，所述获取所述每个待分析会话所包括的多个报文，包括：

对所有接收的报文，基于会话抽样，得到所有抽样会话的所有被抽样的报文；

从所述所有抽样会话的所有被抽样的报文中，获取获取所述每个待分析会话所包括的多个报文。

5.根据权利要求4所述的方法，其特征在于，所述从所述所有抽样会话的所有被抽样的报文中，获取所述每个待分析会话所包括的多个报文，包括：

从所述所有被抽样的报文中，分别获取每个被抽样的报文的五元组信息；

基于所述每个被抽样的报文的五元组信息，从所述所有被抽样的报文中，获取所述每个待分析会话所包括的多个报文。

6.根据权利要求4或5所述的方法，其特征在于，对所有接收的报文，基于会话抽样，包括：

解析每个所述接收的报文的五元组信息；

利用所述五元组信息计算所述接收的报文的正哈希值和反哈希值，所述正哈希值是以所接收的报文的五元组信息为输入计算所得的哈希值，所述反哈希值是将所接收的报文的五元组信息中，源IP地址和目的IP地址调换位置，并且源端口号和目的端口号调换位置后作为输入计算所得的哈希值；

计算所述正哈希值除以预设的会话抽样模板中的预设采样参数所得的第一余数，计算所述反哈希值除以所述会话抽样模板中的预设采样参数所得的第二余数，所述预设采样参数为所述会话抽样模板中抽样比例的分母；

判断所述第一余数或所述第二余数是否为所述会话抽样模板中的预设采样余数；

当所述第一余数或第二余数是所述会话抽样模板中的预设采样余数时，对所述接收的报文进行抽样。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述会话特征信息包括以下任意一项或多项：

上行报文数和下行报文数；

上行字节数和下行字节数；

协议状态机异常导致会话终结；

传输控制协议TCP标志位的个数；

网络控制报文协议ICMP会话中echo报文数和echo reply报文数；

拒绝服务会话的个数；

会话分片异常信息；

报文长度；或

会话终结。

8.根据权利要求1-7任一项所述的方法，其特征在于，将所述每个待分析会话的会话特征信息采用因特网协议IP数据流信息输出IPFIX协议的标准格式输出。

9.根据权利要求1-8任一项所述的方法，其特征在于，所述根据所述每个待分析会话的会话特征信息，检测预设时间间隔内的网络会话攻击，包括：

统计所述预设时间间隔内所获取的所有待分析会话中不完整会话所占的第一比例；

响应于所述第一比例超过第一预设阈值，识别所述预设时间间隔内存在所述网络会话攻击。