CN111835708B 一种特征信息分析方法及装置 （华为技术有限公司）

201480076897.42014.12.30US2012117646A1,2012.05.10本发明实施例开创性的提供了特征信息分间间隔内获取的待分析会话的会话特征信息检有技术中基于数据流的特征信息无法检测网络2信息以所述待分析会话中所有报文提取的预设会话特征的特征值作根据预设时间间隔内获取的所有待分析会话的会话特征信基于所述每个报文的五元组信息，从所述所有接收到的报文中，从所述所有抽样会话的所有被抽样的报文中，获取所述每个待分析会基于所述每个被抽样的报文的五元组信息，从所述所有被抽样的报计算所述正哈希值除以预设的会话抽样模板中的预设3征信息采用因特网协议IP数据流信息输出IPFIX协议的统计所述预设时间间隔内所获取的所有待分析会话中不完整会话统计所述预设时间间隔内所获取的所有待分析会话中echo报文与echoreply报文的统计所述预设时间间隔内所获取的所有待分析会话中拒服务会话为会话特征信息中包含HTTP错误响应于检测到所述预设时间间隔内出现多个4根据所述每个待分析会话所包括的所有报文，获得每个待分析会话的会话特征信息，以所述待分析会话中所有报文提取的预设会话特征的特征值作基于所述每个报文的五元组信息，从所述所有接收到的报文中，从所述所有抽样会话的所有被抽样的报文中，获取所述每个待分析会基于所述每个被抽样的报文的五元组信息，从所述所有被抽样的报计算所述正哈希值除以预设的会话抽样模板中的预设采样参数522.根据权利要求17-21任一项所述的方法，其特23.根据权利要求17-21任一项所述的方法，话特征信息采用因特网协议IP数据流信息输出IPFIX协理器用于调用所述存储器存储的程序指令，使得所述特征信息分析装置执行权利要求17-6[0011]获取在IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特7[0021]结合本发明实施例第一方面第四种可能的实现方式，在第五种可能的实现方式[0024]结合本发明实施例第一方面第四种可能的实现方式，在第六种可能的实现方式[0027]计算所述正哈希值除以预设的会话抽样模板中的预设采利用本发明实施例提供的第一方面至第一方面第六种可能的实现方式中所述的方法分析[0034]根据所述会话特征信息统计所述预设时间间隔内所获取的所有待分析会话中不[0037]结合本发明实施例第二方面第一种可能的实现方式，在第二种可能的实现方式8[0040]结合本发明实施例第二方面第一种可能的实现方式，在第三种可能的实现方式[0044]所述会话特征信息包括网络控制报文协议ICMP会话中echo报文数和echoreply[0046]根据会话特征信息统计预设时间间隔内所获取的ICMP会话中echo报文与会话为会话特征信息中包含超文本传输协议HTTP错误码信息的[0054]判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信息是否包[0059]结合本发明实施例第二方面第七种可能的实现方式，在第八种可能的实现方式9[0068]结合本发明实施例第三方面第一种可能的实现方式，在第二种可能的实现方式[0069]输出单元，用于将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输和反哈希值，所述正哈希值是以所接收的数据报文的五元组信息为输入计算所得的哈希[0086]本发明实施例第三方面至第三方面第六种可能的实现方式所述的特征信息分析[0087]检测装置，用于根据所述会话特征信息检测所述预设时间间隔内的网络会话攻[0092]结合本发明实施例第四方面第一种可能的实现方式，在第二种可能的实现方式[0094]结合本发明实施例第四方面第一种可能的实现方式，在第三种可能的实现方式控制报文协议ICMP会话中回送echo报文数和回送响应echo[0106]第四识别单元，用于当所述待分析会话的会话特征信息包含会话分片异常信息[0109]结合本发明实施例第三方面第七种可能的实现方式，在第八种可能的实现方式数据流的特征信息无法检测网络中会话攻击的问题，实现了对网络中会话攻击的有效检络设备发往所述第二网络设备的数据报文的传输层协议号为所述第一网络设备与所述第所述第一网络设备的数据报文的五元组信息为(第二网络设备的IP地址，第二网络设备的所述第二网络设备发往所述第一网络设备的数据报文的源端口号为所述第二网络设备的传输层协议号为所述第一网络设备与所述第二网络设备之间传输这些数据报文所使用的网络设备发往所述第一网络设备的数据报文中所携带的传输层协议[0146]计算所述正哈希值除以预设的会话抽样模板中的预设采采样比例的分母m的第二余数，判断第一余数或第二余数是否为所述会话抽样模板中的采算所述正哈希值除以1000所得的第一余数，计算所述反哈希值除以1000所得的第二余数，是根据实际需要从IPFIX协议中扩展的会话特征指标中选出的会话特征指标，也可以是用[0157]在一个实施例中，所述从每个所述数据报文中提取预设会话特征的特征值前包[0158]获取在IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特协议中所配置的会话特征。IPFIX是由互联网工程任务组(TheInternetEngineering要在IPFIX协议中扩展其他描述会话的会话特征指标，所述会话特征指标可以被选作为预[0165]除了表1中所示的几种在IPFIX协议中扩展的会话特征指标以外，原有IPFIX协议[0171]从每个所述数据报文中提取预设会话特征的特征值时，根据预设会话特征的个报文的字节数求和获得上行字节数，对每个下行数据报文的字节数求和获得下行字节数；[0176]在一个实施例中，所述从每个所述数据报文中提取预设会话特征的特征值前包[0179]IPFIX协议中定义了会话特征信息的标准输出格式，方便技术人员提取和查看会表3所示的是IPFIX协议的数据标准输出格式NetflowV9版本的输出模板[0188]所述会话特征信息利用图1所示的本发明实施例所提供的特征信息分析方法分析[0191]所述根据所述会话特征信息检测所述预设时间间隔内的网络会话攻击至少有四[0193]根据所述会话特征信息统计所述预设时间间隔内所获取的所有待分析会话中不[0205]第二种可能的实施方式，所述会话特征信息包括网络控制报文协议ICMP会话中[0207]根据会话特征信息统计预设时间间隔内所获取的ICMP会话中echo报文与[0210]对于网络控制报文协议(InternetControlMessageProtocol会话为会话特征信息中包含HTTP错误码信息的[0216]当待分析会话中包含HTTP错误码信息时，该待分析会话为一个HTTP拒绝服务会隔内出现大量的拒绝服务会话时，识别网络中可能存在CC(ChallengeCollapsar)会话攻[0218]判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信息是否包的待分析会话的最大报文长度和最小报文长度基本相同时，识别可能存在网络会话攻击；[0227]可选的，本发明实施例中的会话特征信息可以是采用IPFIX协议中的标准输出格类型的会话特征信息可以识别不同类型的网话的数据报文；从所述多个抽样会话的数据报文中获取所述待分析会话的多个数据报文；[0235]SDN网络中的攻击检测设备：分析预设时间间隔内获取的所有待分析会话的会话数据流的特征信息无法检测网络中会话攻击的问题，实现了对网络中会话攻击的有效检[0251]则所述第一获取单元401，具体用于从所述多个抽样会话的数据报文中获取所述和反哈希值，所述正哈希值是以所接收的数据报文的五元组信息为输入计算所得的哈希[0266]输出单元，用于将所述待分析会话的特征信息采用所述IPFIX协议的标准格式输[0270]检测装置502，用于根据所述会话特征信息检测所述预设时间间隔内的网络会话[0282]所述会话特征信息包括网络控制报文ICMP会话中回送echo报文数和回送响应[0292]第四识别单元，用于当所述待分析会话的会话特征信息包含会话分片异常信息特征信息分析装置包括存储器601，以及与所述存储器601连接的处理器602，所述存储器601用于存储一组程序指令，所述处理器602用于调用所述存储器601存储的程序指令执行[0304]获取在IP数据流信息输出IPFIX协议中所配置的会话特征指标作为预设会话特[0321]计算所述正哈希值除以预设的会话抽样模板中的预设采[0328]根据所述会话特征信息统计所述预设时间间隔内所获取的所有待分析会话中不[0337]根据会话特征信息统计预设时间间隔内所获取的ICMP会话中echo报文与会话为会话特征信息中包含超文本传输协议HTTP错误码信息的[0345]判断所述预设时间间隔内所采集的每个所述待分析会话的会话特征信