[发明专利]一种网络异常行为检测方法、装置及电子设备

说明书

本申请实施例提供了一种网络异常行为检测方法、装置及电子设备，涉及数据通信技术领域，用以对MPTCP流量进行网络异常行为检测。该方法中，获取多路传输控制协议MPTCP数据包；获取MPTCP数据包的四元组信息和令牌信息；根据四元组信息确定属于同一子流的MPTCP数据包；根据令牌信息和四元组信息确定属于同一MPTCP流的子流；根据预设规则检测各个MPTCP流，确定MPTCP流包含的MPTCP数据包是否存在异常行为。本申请通过首先对获取的MPTCP流量进行有效信息的提取，子流的匹配以及MPTCP流的重组可以实现在传输层重组多路径传输的MPTCP流量，提高异常行为分析的有效性及准确性。

技术领域

本申请涉及数据通信技术领域，特别涉及一种网络异常行为检测方法、装置及电子设备。

背景技术

目前的网络流量分析与攻击发现技术主要针对传统的传输层和应用层协议进行识别与解析，例如传输控制协议(Transmission Control Protocol，TCP)、用户数据报协议(User Datagram Protocol，UDP)和超文本传输协议(Hyper Text Transfer Protocol，HTTP)等，通过提取网络流量中的数据包的字符串特征以及流量统计特征进行网络异常行为检测。

多路传输控制协议(Multipath Transmission Control Protocol，MPTCP)是传统单路径TCP协议的一种扩展，提供具有多路径传输功能的TCP服务。MPTCP允许在一次TCP通信中建立多个子路径。当一条TCP路径按照三次握手的方式建立起来后，可以按照三次握手的方式建立其他的子路径。但由于MPTCP多路径传输的特性导致了基于传统TCP单路径传输的异常行为检测方法的失效，因此目前存在无法对MPTCP流量进行网络异常行为检测的技术问题。

发明内容

本申请实施例提供了一种网络异常行为检测方法、装置及电子设备，用以对MPTCP流量进行网络异常行为检测。

第一方面，本申请实施例提供了一种网络异常行为检测方法，包括：获取多路传输控制协议MPTCP数据包；获取所述MPTCP数据包的四元组信息和令牌信息；根据所述四元组信息确定属于同一子流的MPTCP数据包；根据所述令牌信息和所述四元组信息确定属于同一MPTCP流的子流；根据预设规则检测各个所述MPTCP流，确定所述MPTCP流包含的所述MPTCP数据包是否存在异常行为。

基于上述方案，通过首先对获取的MPTCP流量进行有效信息的提取，子流的匹配以及MPTCP流的重组可以实现在传输层重组多路径传输的MPTCP流量，提高异常行为分析的有效性及准确性。

一种可能的实现方式中，所述获取所述MPTCP数据包的四元组信息和令牌信息，具体包括：获取所述MPTCP数据包的镜像；获取所述镜像的所述四元组信息和所述令牌信息。

基于上述方案，服务器获取MPTCP数据包的镜像可以在不严重影响源端口正常吞吐流量的情况下，实现对网络流量的监控和分析。也就是说采用旁路监听的模式，高效且不会对正常业务产生影响。

一种可能的实现方式中，所述根据所述四元组信息确定属于同一子流的MPTCP数据包，具体包括：确定所述四元组信息相同的所述MPTCP数据包为所述属于同一子流的MPTCP数据包。

基于上述方案，根据四元组信息确定属于同一子流的MPTCP数据包有助于更准确地重组MPTCP流，从而有效地对MPTCP流进行异常行为检测。

一种可能的实现方式中，所述方法还包括：将属于所述同一子流的所述MPTCP数据包与所述MPTCP数据包的所述四元组信息的映射关系存储至链表；将所述链表与所述链表中存储的四元组信息的映射关系存储至哈希表。