[发明专利]一种特征信息分析方法及装置

说明书

本发明实施例开创性的提供了特征信息分析方法及装置，获取待分析会话中的多个数据报文；从每个所述数据报文中提取预设会话特征的特征值；统计所述特征值获得所述待分析会话的会话特征信息，本发明实施例中，以会话为基本分析单位，实现了对会话进行整体分析，得到可以全面反映会话的会话特征信息。本发明实施例还提供了网络攻击检测方法及系统，根据预设时间间隔内获取的待分析会话的会话特征信息检测该预设时间间隔内的网络会话攻击，解决了现有技术中基于数据流的特征信息无法检测网络中会话攻击的问题，实现了对网络中会话攻击的有效检测，提高了网络攻击检测的完备性。

技术领域

本发明涉及通信技术领域，尤其是涉及一种特征信息分析方法及装置。

背景技术

目前，一般采用数据流描述的互联网中数据的传输，一个数据流(data stream)是指按照规定顺序被读取一次的数据报文序列。属于同一个数据流的多个数据报文的五元组信息都相同，五元组信息包括源互联网协议IP地址、目的IP地址、源端口号、目的端口号和传输层协议号。

通过对一个数据流中的数据报文序列所携带的信息进行分析，可以获得该数据流的特征信息。对多条数据流的特征信息进行综合分析，可以了解网络中数据传输的运行状况。例如：分析网络中数据流的持续时间，可以了解网络数据传输速度；分析网络中数据流的报文长度，可以进行网络流量计费；分析网络中数据流的IP地址等信息，可以进行网络安全检测。

由此可知，本领域技术人员在进行网络运行状况分析时，以数据流为基本分析单位，但是基于数据流的特征信息只能分析得到部分网络运行状况。

发明内容

本发明实施例提供特征信息分析方法及装置，以会话为基本分析单位，获得会话特征信息，解决了数据流的特征信息只能分析部分网络运行状况的问题。

本发明实施例第一方面提供了一种特征信息分析方法，所述方法包括：

获取待分析会话中的多个数据报文；

从每个所述数据报文中提取预设会话特征的特征值；

统计所述特征值获得所述待分析会话的会话特征信息。

在本发明实施例第一方面的第一种可能的实现方式中，所述从每个所述数据报文中提取预设会话特征的特征值前包括：

获取在IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特征。

结合本发明实施例第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括：

将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输出。

结合本发明实施例第一方面至第一方面的第二种可能的实现方式，在第三种可能的实现方式中，所述获取待分析会话中的多个数据报文包括：

从所有接收到的数据报文中，分别获取每个数据报文的五元组信息；

基于所述每个数据报文的五元组信息，从所有接收到的数据报文中获取所述待分析会话的多个数据报文。

结合本发明实施例第一方面至第一方面的第二种可能的实现方式，在第四种可能的实现方式中，所述获取待分析会话中的多个数据报文前还包括：

对所有所接收的数据报文基于会话抽样，以得到多个抽样会话的数据报文；

所述获取待分析会话中的多个数据报文包括：

从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文。

结合本发明实施例第一方面第四种可能的实现方式，在第五种可能的实现方式中，所述从所述多个抽样会话的数据报文中获取所述待分析会话的数据报文包括：