[发明专利]一种基于TR069协议结合日志分析的异常流量处方法及系统

权利要求书

1.一种基于TR069协议结合日志分析的异常流量处方法，其特征在于，包括：

步骤一、基于TR069协议对服务器和网络设备进行通讯认证，若通讯认证成功，则进入步骤二；

步骤二、通过ACS监测CPE端口流量，当发生异常流量时，定位异常流量并屏蔽对应的报文流量；

步骤三、对所屏蔽的报文流量进行日志分析，判断是否为异常报文，若是，则进行异常标识，否则正常下发流量。

2.根据权利要求1所述的一种基于TR069协议结合日志分析的异常流量处方法，其特征在于，所述步骤一具体为：

基于TR069协议对支持TR069协议的网络设备进行管理和监控；

TR069协议中的网管服务器ACS对CPE进行通讯认证配置，如果通讯认证成功，进入步骤二。

3.根据权利要求1所述的一种基于TR069协议结合日志分析的异常流量处方法，其特征在于，所述步骤二具体包括：

步骤21：ACS向目标CPE端口发送符合TR069协议RPC格式的请求报文；

步骤22：CPE解析请求报文后将采集的流量数据放入请求报文再次向ACS发送请求报文；

步骤23：ACS解析请求报文获取流量数据；

步骤24：当ACS收到请求报文中流量大于请求报文中流量阈值则表示发生异常流量，进行异常告警；

步骤25：通过执行部署在ACS的流量分析程序对CPE收到的请求报文进行流量拆分获取五元组信息，并通过五元组信息中的源地址定位异常流量并暂时禁止该流量下发。

4.根据权利要求3所述的一种基于TR069协议结合日志分析的异常流量处方法，其特征在于，步骤21所述请求报文包含请求获取目标CPE每次测试的流量数据和设置的流量阈值。

5.根据权利要求3所述的一种基于TR069协议结合日志分析的异常流量处方法，其特征在于，步骤25所述流量分析程序为python程序，根据目的端口使用sniff()函数进行有目的性的报文嗅探抓包，具体的：对调度过来的网络流量进行报文嗅探抓包，针对嗅探到的报文分析出报文五元组然后加上时间戳进行分类；

所述报文五元组包括源地址、目的地址、源端口、目的端口和协议。

6.根据权利要求1所述的一种基于TR069协议结合日志分析的异常流量处方法，其特征在于，所述步骤三具体包括：

步骤31：通过分流器将屏蔽的流量引入到流量分析服务器；

步骤32：通过部署在流量分析服务器的流量分析程序解析异常流量报文分析出报文五元组，包括源地址、目的地址、源端口、目的端口和协议；

步骤33：执行日志分析程序计算得出日志分析结果并存入日志数据库；

步骤34：以五元组的协议和源地址为查询条件，从日志数据库查询日志分析程序的分析结果：

如果查询结果大于0，则判定本次报文为异常报文，状态标识status设置为1；

反之判定为非异常报文，无异常流量，状态标识status设置为0，将本次流量通过流量分析服务器路由表发送给CPE进行流量正常下发。

7.根据权利要求1所述的一种基于TR069协议结合日志分析的异常流量处方法，其特征在于，步骤33所述日志分析程序，通过部署在本地日志服务器程序执行linux系统自带tail命令，结合参数–f，查阅正在改变的日志文件；

所述日志分析程序采集组网内本地和异地各个网络节点管理的服务器上系统自带的Error log文件的日志，获取相关服务的告警日志数据；

将日志数据按网络协议分类作为第一个参数值，IP设置为第二个参数值，服务对象设置为第三个参数值，并提取错误特征关键字并将其作为第四个参数值；

通过特殊符号#间隔参数，并通过@符号分割同一个参数下的多个数值，将各参数值连接成一个字符串存储到日志数据库。

8.实现权利要求1-7任一所述基于TR069协议结合日志分析的异常流量处方法的基于TR069协议结合日志分析的异常流量处系统，其特征在于，包括：

设备验证模块，用于基于TR069协议对服务器和网络设备进行通讯认证，若通讯认证成功，则进入流量采集及屏蔽模块；

流量采集及屏蔽模块，用于通过ACS监测CPE端口流量，当发生异常流量时，定位异常流量并屏蔽对应的报文流量；

日志分析及流量下发模块，用于对所屏蔽的报文流量进行日志分析，判断是否为异常报文，若是，则进行异常标识，否则正常下发流量。