[发明专利]一种不降低TCP会话数据价值密度的聚合方法

说明书

本发明涉及网络设备安全管理技术领域，特别是涉及一种不降低TCP会话数据价值密度的聚合方法，包括TCP会话中的重组和去重，TCP会话的分类和根据分类结果进行对应的数据聚合。通过本方法，能区分有效会话和其他会话，分别建立数据的聚合方案，能最大化保留数据价值，能有效解决数据量大和数据分析效率低的问题。

技术领域

本发明涉及网络流量安全分析（窃密分析）技术领域，特别是涉及一种不降低TCP会话数据价值密度的聚合方法。

背景技术

网络窃密分析主要关注有实质通讯行为的网络主机之间进行数据传输的检测。而网络数据中，存在很多扫描行为、探测行为、P2P传输导致TCP会话量巨大，影响整体网络窃密分析。需要将可用于分析的会话信息和其他杂乱信息进行区别处理，但如若将数据直接忽略，则部分窃密行为之前的扫描动作和探测行为就无从下手。

发明内容

为解决上述技术问题，本发明提出了一种不降低TCP会话数据价值密度的聚合方法，能区分有效会话和其他会话，分别建立数据的聚合方案，能最大化保留数据价值，能有效解决数据量大和数据分析效率低的问题。

本发明是通过采用下述技术方案实现的：

一种不降低TCP会话数据价值密度的聚合方法，其特征在于：包括以下步骤：

a. 采集网络流量，将TCP会话中的数据帧进行重组和去重；

b. 遍历重组和去重后的TCP会话，分别进行三次握手是否成功、是否为有效通讯负载和是否为有效服务的判断；

c. 将判断为三次握手成功记为条件A，判断为有效通讯负载记为条件B，判断为有效服务记为条件C，按照以下顺序进行组合判断，实现对TCP会话进行分类：

ⅰ. 若同时满足条件A、条件B和条件C或者同时满足条件B和条件C，则将其分类为识别会话；

ⅱ. 若同时满足条件A和条件B或者仅满足条件B，则将其分类为未知会话；

ⅲ. 若仅满足条件A，则将其分类为可疑测探会话；

ⅳ. 若为其他情况，则将其分类为可疑扫描会话；

d. 将识别会话、未知会话、可疑测探会话、可疑扫描会话分别按照以下方法进行数据聚合：

若为识别会话或未知会话，则保留完整四元组，不进行合并，所述四元组包括客户端IP、客户端端口、服务器IP和服务器端口；

若为可疑测探会话，根据三次握手的数据包，根据三次握手方向进行合并，将数据包中的客户端IP、服务器IP和服务器端口为key进行数据聚合，并且记录聚合次数；

若为可疑扫描会话，将客户端IP和服务器IP为key进行聚合，并记录聚合次数。

所述步骤b中判断是否为有效通讯负载具体指：TCP会话中，在负载层，双向流量合计后需满足以下2个条件：

b₁. 总计包含有不小于60字节的数据传输；

b₂. 大于2个的数据帧个数。

所述步骤b中判断是否为有效服务具体指：通过DPI、DFI、网络行为或者常用提供服务的端口，识别应用层协议，确定访问服务类型以及相应的服务端和客户端。

所述步骤d中，若为识别会话或未知会话，数据聚合后，则会话完毕存储一次，若为可疑测探会话或可疑扫描会话，进行数据聚合后，进行缓存等待。

所述步骤b中判断三次握手是否成功具体指：包含完整的SYN-SYNACK-ACK步骤，所述SYN-SYNACK-ACK为TCP三次握手过程。

与现有技术相比，本发明的有益效果表现在：