異常流量檢測方法、系統及網絡分析設備與流程

2023-05-28 11:14:21 1

本發明涉及無線通信領域的異常流量處理技術，具體涉及異常流量檢測方法、系統及網絡分析設備。

背景技術：

現有網絡中異常流量檢測流程為：

1、每個出口路由器上配置鏡像，使用1個萬兆埠作為流量輸出埠，每個出口路由器通過所述流量輸出埠向網絡分析設備發送全部流量鏡像，並在所述分析設備上完成各流量設備的相應預設閾值條件設定，所述流量設備包括：各層交換機、虛擬機或主機等。

2、網絡分析設備接收來自每個出口路由器的全部流量鏡像，根據所述全部流量鏡像對各設備之間的出口流量進行監測、統計和分析。

3、網絡分析設備對達到所述設備相應預設閾值條件的出口流量生成流量分析視圖，並按預設時間間隔觸發報警信息。

4、報警信息發送至後臺控制器，管理員通過後臺控制器對所述流量分析視圖進行處理，確定產生異常流量的原因，並關閉產生異常流量的設備。

現有技術的缺點在於：

1、此檢測流程中，每個出口路由器都會通過流量輸出埠向網絡分析設備發送全部流量鏡像，使網絡分析設備承受的數據量較大，突發流量很容易超過網絡分析設備的處理能力，網絡系統依賴於網絡分析設備，當分析設備癱瘓時，會導致網絡系統無法正常運行。

2、此檢測流程中，後臺控制器在收到網絡分析設備發送的報警信息後，必須由管理員對異常流量進行人工定位和處理，導致網絡系統維護難度大，效率 較低。

技術實現要素：

為解決現有存在的技術問題，本發明實施例期望提供一種異常流量檢測方法、系統及網絡分析設備，能夠避免網絡分析設備中因收到的流量鏡像過大而導致網絡系統癱瘓；且能夠大大提高網絡系統的排錯效率。

本發明實施例的技術方案是這樣實現的：

根據本發明第一種實施例的一方面，提供一種異常流量檢測方法，所述方法包括：

軟體定義網絡sdn控制器對接收到的可疑流量報文進行異常流量的初步判斷；

所述可疑流量報文初步判斷為異常流量時，sdn交換機根據所述sdn控制器的指示向網絡分析設備發送可疑流量鏡像數據；

所述網絡分析設備對接收到的可疑流量鏡像數據進行異常流量的精確判斷；

所述可疑流量鏡像數據精確判斷為異常流量時，所述sdn控制器關閉產生異常流量的流量設備。

上述方案中，在所述sdn控制器對接收到的可疑流量報文進行異常流量的初步判斷之前，所述方法還包括：

sdn交換機監測所述流量設備的出口流量是否達到預設閾值條件；

所述流量設備的出口流量達到預設閾值條件時，sdn交換機向所述sdn控制器發送超過所述流量設備預設閾值條件的可疑流量報文。

上述方案中，sdn控制器對接收到的可疑流量報文進行異常流量的初步判斷，包括：

所述sdn控制器接收到源端sdn交換機與一個或多個目的端sdn交換機同時發送的可疑流量報文時，所述可疑流量報文初步判斷為異常流量；

或所述sdn控制器收到多個源端sdn交換機發送的可疑流量報文的流量 特徵相同時，所述可疑流量報文初步判斷為異常流量。

上述方案中，所述網絡分析設備對接收到的可疑流量鏡像數據進行異常流量的精確判斷，包括：

所述網絡分析設備接收所述sdn控制器發送的可疑流量的待驗證信息，根據所述可疑流量的待驗證信息對接收到的可疑流量鏡像數據進行異常流量的精確判斷。

根據本發明第一種實施例的另一方面，提供一種異常流量檢測系統，所述系統包括：sdn控制器、sdn交換機和網絡分析設備；其中，

所述sdn控制器，用於對接收到所述sdn交換機發送的可疑流量報文進行異常流量的初步判斷，並向所述sdn交換機發送判斷結果；在所述網絡分析設備對可疑流量鏡像精確判斷為異常流量時，關閉產生異常流量的流量設備；

sdn交換機，用於在所述sdn控制器對所述可疑流量報文初步判斷為異常流量時，根據所述sdn控制器的指示向網絡分析設備發送可疑流量鏡像數據；

所述網絡分析設備，用於對接收到所述sdn交換機發送的可疑流量鏡像數據進行異常流量的精確判斷，並向所述sdn控制器發送判斷結果。

上述方案中，所述sdn交換機，還用於監測所述流量設備的出口流量是否達到預設閾值條件；所述流量設備的出口流量達到預設閾值條件時，sdn交換機向所述sdn控制器發送超過所述流量設備預設閾值條件的可疑流量報文。

上述方案中，所述sdn控制器，用於對接收到所述sdn交換機發送的可疑流量報文進行異常流量的初步判斷，包括：

sdn控制器接收到源端的sdn交換機與一個或多個目的端的sdn交換機同時發送的可疑流量報文時，所述可疑流量報文初步判斷為異常流量；

或所述sdn控制器收到多個源端的sdn交換機發送的可疑流量報文的流量特徵相同時，所述可疑流量報文初步判斷為異常流量。

上述方案中，所述網絡分析設備，具體還用於接收所述sdn控制器發送的可疑流量的待驗證信息，根據所述待驗證信息對接收到所述sdn交換機發送的 可疑流量鏡像數據進行異常流量的精確判斷。

根據本發明第二種實施例的一方面，提供一種異常流量檢測方法，所述方法包括：

網絡分析設備接收sdn交換機發送的可疑流量鏡像數據，並對接收到的所述可疑流量鏡像數據進行異常流量的精確判斷，再將所述可疑流量鏡像數據的判斷結果發送至sdn控制器，所述sdn控制器根據所述判斷結果關閉產生異常流量的流量設備。

根據本發明第二種實施例的再一方面，提供一種網絡分析設備，所述設備包括：接收單元，判斷單元和發送單元；其中，

所述接收單元，用於接收sdn交換機發送的可疑流量鏡像數據；

所述判斷單元，用於對接收單元接收到的所述可疑流量鏡像數據進行異常流量的精確判斷；

所述發送單元，用於將所述判斷單元對所述可疑流量鏡像數據的判斷結果發送至sdn控制器，所述sdn控制器根據所述判斷結果關閉產生異常流量的流量設備。

本發明實施例提供的一種異常流量檢測方法、系統及網絡分析設備，軟體定義網絡(sdn，softwaredefinednetwork)控制器對接收到的可疑流量報文進行異常流量的初步判斷；所述可疑流量報文初步判斷為異常流量時，sdn交換機根據所述sdn控制器的指示向網絡分析設備發送可疑流量鏡像數據；所述網絡分析設備對接收到的可疑流量鏡像數據進行異常流量的精確判斷；所述可疑流量鏡像數據精確判斷為異常流量時，所述sdn控制器關閉產生異常流量的流量設備。

如此，能實現網絡分析設備只接收sdn交換機發送的可疑流量鏡像數據，而無需像傳統方式那樣接收每個出口路由器發送的全流量鏡像數據，避免了因收到過大的流量鏡像數據導致網絡分析設備癱瘓，進而造成網絡系統無法正常運行的問題。另外，sdn控制器在網絡分析設備對可疑流量鏡像數據精確判斷為異常流量時，能關閉產生異常流量的流量設備，提高了網絡系統的排錯效率。

附圖說明

圖1為本發明實施例異常流量檢測方法的實現流程圖；

圖2為本發明實施例異常流量檢測系統的結構示意圖；

圖3為本發明實施例另一異常流量檢測方法的實現流程圖；

圖4為本發明實施例網絡分析設備的結構示意圖。

具體實施方式

下面結合附圖對本發明的具體實施方式進行詳細說明。應當理解的是，此處所描述的具體實施方式僅用於說明和解釋本發明，並不用於限制本發明。

圖1為本發明實施例異常流量檢測方法的實現流程圖；如圖1所示，該方法包括：

步驟101，sdn控制器對接收到的可疑流量報文進行異常流量的初步判斷；

這裡，sdn控制器具體是接收sdn交換機發送的可疑流量報文，sdn交換機能夠完成對每個流量設備流量閾值條件的預設，在本發明實施例中，所述流量設備是指：能與網絡通信產生流量的虛擬機、主機或各層交換機。在本發明實施例中，該流量閾值條件的預設是根據流量設備自身的流量需求設定的，流量閾值條件的預設包括但不限於流量設備發送或接收報文的數量峰值和出、入口流量的峰值；利用sdn交換機的流量監測功能，監測每個流量設備的出口流量是否達到相應的流量閾值條件，當流量設備的出口流量發生異常達到了流量閾值條件時，sdn交換機向sdn控制器發送超過所述流量設備流量閾值條件的可疑流量報文，sdn控制器對接收到的可疑流量報文構建關於可疑流量的分析視圖，並對可疑流量進行異常流量的初步判斷，判斷方法包括但不限於以下兩種：

1、sdn控制器接收到源端sdn交換機與一個或多個目的端sdn交換機同時發送的可疑流量報文時，所述可疑流量報文初步判斷為異常流量；

例如：在數據中心網絡中，源端流量設備的出口流量發生異常，頻繁向其相鄰的目的端流量設備發送報文，源端流量設備所連接的sdn交換機監測到其 出口流量異常增多且超過預設閾值條件，則會向sdn控制器發送超過所述源端流量設備的預設閾值條件的可疑流量報文；同時，目的端流量設備由於不斷接收來自源端流量設備發送的報文，而與目的端流量設備連接的sdn交換機監測到其輸入流量不斷的增多，也有可能超過其預設閾值條件，當其輸入流量超過預設閾值條件時，則向sdn控制器發送超過所述目的端流量設備的預設閾值條件的可疑流量報文，sdn控制器接收到源端sdn交換機與目的端sdn交換機同時發送的可疑流量報文時，則初步判斷所述可疑流量報文為異常流量。在本發明實施例中，目的端流量設備能接收由源端流量設備發送的報文，也能接收由其他，如正常流量設備發送的報文；當目的端流量設備收到的報文地址與源端流量設備發送的報文地址匹配時，確定目的端流量設備接收的報文是由源端流量設備發送的。

2、sdn控制器收到多個源端sdn交換機發送的可疑流量報文，且發送的可疑流量報文的流量特徵相同時，則所述可疑流量報文初步判斷為異常流量；

在本發明實施例中，流量特徵包括：網絡吞吐量、網絡發包數量和網絡埠號等。例如：多個源端的sdn交換機發送給sdn控制器的可疑流量報文中的流量特徵：網絡吞吐量一致，則初步判斷所述可疑流量報文為異常流量。

在本發明實施例中，sdn交換機發送給sdn控制器的可疑流量報文包括：各流量設備所發送報文的網絡之間互連的協議(ip，internetprotocol)地址及傳輸控制協議(tcp，transmissioncontrolprotocol)或用戶數據報協議(udp，userdatagramprotocol)埠號，其中可疑流量報文中的數據信息僅包括源端流量設備的ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出預設閾值條件的具體參數信息等，並不承載報文荷載數據，具體封裝及格式如表1所示：

表1

步驟102，可疑流量報文初步判斷為異常流量時，sdn交換機根據sdn控制器的指示向網絡分析設備發送可疑流量鏡像數據；

這裡，sdn控制器初步判斷所述可疑流量為異常流量時，會向上報該可疑流量的sdn交換機發送該可疑流量的可疑流量鏡像表，sdn交換機接收sdn控制器發送的可疑流量鏡像表後，根據所述可疑流量鏡像表的路徑向網絡分析設備發送可疑流量鏡像數據，同時sdn控制器向網絡分析設備發送可疑流量的待驗證信息，提醒網絡分析設備接收來自sdn交換機發送的可疑流量鏡像數據。

步驟103，網絡分析設備對接收到的可疑流量鏡像數據進行異常流量的精確判斷；

這裡，網絡分析設備收到sdn控制器發送的可疑流量的待驗證信息後，根據所述可疑流量的待驗證信息對接收到sdn交換機發送的可疑流量鏡像數據進行異常流量的精確判斷；

本發明實施例中，sdn控制器向網絡分析設備發送的可疑流量的待驗證信息包括：會話id、流量信息和驗證結果；其中，會話id用於標識待驗證可疑流量的編號；流量信息是表1中的數據信息，即表1數據中：源端流量設備ip 地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出閾值條件的具體參數信息等；驗證結果是對流量信息的驗證結果，即判斷由sdn交換機發送的可疑流量鏡像數據屬於正常流量還是異常流量；具體封裝及格式如表2所示：

表2

步驟104，可疑流量鏡像數據精確判斷為異常流量時，所述sdn控制器根據網絡分析設備的判斷結果關閉產生異常流量的流量設備。

這裡，網絡分析設備將判斷結果發送至sdn控制器，sdn控制器接收所述判斷結果，若所述判斷結果顯示為異常流量，則向sdn交換機發送刪除異常流量的流量設備通信流表，從而關閉異常流量的流量設備；進一步地，若所述判斷結果顯示為正常流量，sdn控制器向sdn交換機發送刪除可疑流量鏡像表。

在本發明實施例中，網絡分析設備向sdn控制器發送的判斷結果包括：會話id、流量信息和驗證結果；其中，會話id用於標識進行精確判斷的可疑流量編號；流量信息是指表1中的數據信息，即表1數據中：源端流量設備ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出閾值條件的具體參數信息等；驗證結果是對流量信息的驗證結果，即判斷由sdn交換機發送的可疑流量鏡像數據屬於正常流量還是異常流量；具體封裝及格式如表3所示：

表3

圖2為本發明實施例異常流量檢測系統的結構示意圖。如圖2所示，包括：

sdn控制器201、sdn交換機202和網絡分析設備203；其中，

sdn控制器201，用於對接收到所述sdn交換機202發送的可疑流量報文進行異常流量的初步判斷，並向所述sdn交換機202發送判斷結果；在所述網絡分析設備203對可疑流量鏡像精確判斷為異常流量時，關閉產生異常流量的流量設備204；

sdn交換機202，用於在所述sdn控制器201對所述可疑流量報文初步判斷為異常流量時，根據所述sdn控制器的指示向網絡分析設備203發送可疑流量鏡像數據；

網絡分析設備203，用於對接收到所述sdn交換機202發送的可疑流量鏡像數據進行異常流量的精確判斷，並向所述sdn控制器201發送判斷結果。

這裡，sdn交換機202能夠完成對每個流量設備204流量閾值條件的預設，也可以完成對各層交換機流量閾值條件的預設。該流量閾值條件的預設是根據流量設備204自身的流量需求設定的，流量閾值條件的預設包括但不限於流量設備204發送或接收報文的數量峰值和出、入口流量的峰值；利用sdn交換機202的流量監測功能，監測每個流量設備204的出口流量是否達到相應的流量閾值條件，當流量設備204的出口流量發生異常達到了流量閾值條件時，sdn交換機202向sdn控制器201發送超過所述流量設備204流量閾值條件的可疑流量報文，sdn控制器201對接收到的可疑流量報文構建關於可疑流量的分析視圖，並對可疑流量進行異常流量的初步判斷，判斷方法包括但不限於以下兩種：

1、sdn控制器201接收到源端sdn交換機與一個或多個目的端sdn交換機同時發送的可疑流量報文時，所述可疑流量報文初步判斷為異常流量；

例如：在數據中心網絡中，源端流量設備的出口流量發生異常，頻繁向其相鄰的目的端流量設備發送報文，源端流量設備連接的sdn交換機監測到其出口流量異常增多且超過預設閾值條件，則會向sdn控制器201發送超過所述源端流量設備的預設閾值條件的可疑流量報文；同時，目的端流量設備連接的sdn交換機也監測到其輸入流量異常增多，且超過預設閾值條件，則向sdn 控制器201發送超過所述目的端流量設備的閾值的可疑流量報文，sdn控制器201接收到源端sdn交換機與目的端sdn交換機同時發送的可疑流量報文時，則初步判斷所述可疑流量報文為異常流量。在本發明實施例中，目的端流量設備能接收由源端流量設備發送的報文，也能接收由其他如：正常流量設備發送的報文；當目的端流量設備收到的報文地址與源端流量設備發送的報文地址匹配時，確定目的端流量設備接收的報文是由源端流量設備發送的。

2、sdn控制器201收到多個源端sdn交換機發送的可疑流量報文，且發送的的流量特徵均相同時，所述可疑流量報文初步判斷為異常流量；

在本發明實施例中，流量特徵包括：網絡吞吐量、網絡發包數量和網絡埠號等。例如：多個源端的sdn交換機發送給sdn控制器201的可疑流量報文中的流量特徵：網絡吞吐量一致，則初步判斷所述可疑流量報文為異常流量。

在本發明實施例中，sdn交換機202發送給sdn控制器201的可疑流量報文包括：各流量設備204所發送報文的ip地址及tcp或udp埠號，其中報文的數據信息中僅包括源端流量設備的ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出預設閾值條件的具體參數信息等，並不承載報文荷載數據，具體封裝及格式如表1所示。

sdn控制器201初步判斷所述可疑流量為異常流量時，會向上報該可疑流量的sdn交換機202發送該可疑流量的鏡像流表，sdn交換機202接收sdn控制器201發送的可疑流量鏡像表後，根據所述可疑流量鏡像表的路徑向網絡分析設備203發送可疑流量鏡像數據，同時sdn控制器201向網絡分析設備203發送可疑流量的待驗證信息，提醒網絡分析設備203接收來自sdn交換機202發送的可疑流量鏡像數據。

網絡分析設備203通過sdn網關與sdn業務網絡進行物理連接，具體可以直接與sdn網關連接，然後通過管理網絡與sdn控制器201進行連接，並在sdn控制器201中預配該網絡分析設備203地址，網絡分析設備203收到sdn控制器201發送的可疑流量待驗證信息後，根據所述可疑流量的待驗證信息對接收到sdn交換機202發送的可疑流量鏡像數據進行異常流量的精確判 斷；

本發明實施例中，sdn控制器201向網絡分析設備203發送的可疑流量待驗證信息包括：會話id、流量信息和驗證結果；其中，會話id用於標識待驗證可疑流量的編號；流量信息是表1數據中：源端流量設備的ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出閾值條件的具體參數信息等；驗證結果是對流量信息的驗證結果，即判斷由sdn交換機發送的可疑流量鏡像數據屬於正常流量還是異常流量；具體封裝及格式如表2所示。

網絡分析設備203將判斷結果發送至sdn控制器201，sdn控制器201接收所述判斷結果，若所述判斷結果顯示為異常流量，則向sdn交換機202發送刪除異常流量的流量設備204的通信流表，關閉異常流量的流量設備204；相反，若所述判斷結果顯示為正常流量，sdn控制器201向sdn交換機202發送刪除可疑流量的鏡像流表。

在本發明實施例中，網絡分析設備203向sdn控制器201發送的判斷結果包括：會話id、流量信息和驗證結果；其中，會話id用於標識進行精確判斷的可疑流量編號；流量信息是表1中所示的數據信息，即表1數據中：源流量設備ip地址、所有目的流量設備ip地址、tcp或udp埠號和超出閾值條件的具體參數信息等；驗證結果是對流量信息的驗證結果，即判斷由sdn交換機發送的可疑流量鏡像數據屬於正常流量還是異常流量；具體封裝及格式如表3所示。

本發明實施例中，利用sdn架構中sdn控制器201的全局視圖功能、sdn交換機202的流量監控功能和網絡分析設備203對網絡中超過流量設備204的預設閾值條件的可疑流量作三步確認，使得檢測出的可疑流量更為準確，另外，sdn交換機202僅需向網絡分析設備203發送可疑流量部分的鏡像，而無需發送全部流量的鏡像，避免了因接收過多的鏡像流量導致網絡分析設備203癱瘓，影響網絡系統正常運行的情況發生；再者，當網絡分析設備203對可疑流量鏡像作出精確判斷為為異常流量時，由sdn控制器向sdn交換機發送刪除產生異常流量的流量設備的通信流表，關閉產生異常流量的流量設備，無需人工操 作，提高網絡排錯效率。

圖3為本發明實施例異常流量檢測方法的實現流程圖；如圖3所示，該方法包括：

步驟301，接收sdn交換機發送的可疑流量鏡像數據；

這裡，sdn交換機能夠完成對每個流量設備流量閾值條件的預設，也可以完成對各層交換機流量閾值條件的預設。在本發明實施例中，該流量閾值條件的預設是根據流量設備自身的流量需求設定的，流量閾值條件的預設包括但不限於流量設備發送或接收報文的數量峰值和出、入口流量的峰值；利用sdn交換機的流量監測功能，監測每個流量設備的出口流量是否達到相應的流量閾值條件，當流量設備的出口流量發生異常達到了流量閾值條件時，sdn交換機向sdn控制器發送超過所述流量設備流量閾值條件的可疑流量報文，sdn控制器對接收到的可疑流量報文構建關於可疑流量的分析視圖，並對可疑流量進行異常流量的初步判斷，判斷方法包括但不限於以下兩種：

1、sdn控制器接收到源端sdn交換機與一個或多個目的端sdn交換機同時發送的可疑流量報文時，所述可疑流量報文初步判斷為異常流量；

例如：在數據中心網絡中，源端流量設備的出口流量發生異常，頻繁向其相鄰的目的端流量設備發送報文，源端流量設備所連接的sdn交換機監測到其出口流量異常增多且超過預設閾值條件，則會向sdn控制器發送超過所述源端流量設備的預設閾值條件的可疑流量報文；同時，目的端流量設備由於不斷接收來自源端流量設備發送的報文，而與目的端流量設備連接的sdn交換機監測到其輸入流量不斷的增多，也有可能超過其預設閾值條件，當其輸入流量超過預設閾值條件時，則向sdn控制器發送超過所述目的端流量設備的預設閾值條件的可疑流量報文，sdn控制器接收到源端sdn交換機與目的端sdn交換機同時發送的可疑流量報文時，則初步判斷所述可疑流量報文為異常流量。在本發明實施例中，目的端流量設備能接收由源端流量設備發送的報文，也能接收由其他，如正常流量設備發送的報文；當目的端流量設備收到的報文地址與源端流量設備發送的報文地址匹配時，確定目的端流量設備接收的報文是由源端 流量設備發送的。

2、sdn控制器收到多個源端sdn交換機發送的可疑流量報文，且發送的可疑流量報文的流量特徵相同時，則所述可疑流量報文初步判斷為異常流量；

在本發明實施例中，流量特徵包括：網絡吞吐量、網絡發包數量和網絡埠號等。例如：多個源端的sdn交換機發送給sdn控制器的可疑流量報文中的流量特徵：網絡吞吐量一致，則初步判斷所述可疑流量報文為異常流量。

在本發明實施例中，sdn交換機發送給sdn控制器的可疑流量報文包括：各流量設備所發送報文的ip地址及tcp或udp埠號，其中可疑流量報文中的數據信息僅包括源端流量設備的ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出預設閾值條件的具體參數信息等，並不承載報文荷載數據，具體封裝及格式如表1所示；

sdn控制器初步判斷所述可疑流量為異常流量時，會向上報該可疑流量的sdn交換機發送該可疑流量的可疑流量鏡像表，sdn交換機接收sdn控制器發送的可疑流量鏡像表後，根據所述可疑流量鏡像表的路徑向網絡分析設備發送可疑流量鏡像數據，同時sdn控制器向網絡分析設備發送可疑流量的待驗證信息，提醒網絡分析設備接收來自sdn交換機發送的可疑流量鏡像數據。

步驟302，對接收到的所述可疑流量鏡像數據進行異常流量的精確判斷；

這裡，網絡分析設備收到sdn控制器發送的可疑流量的待驗證信息後，根據所述可疑流量的待驗證信息對接收到sdn交換機發送的可疑流量鏡像數據進行異常流量的精確判斷；本發明實施例中，sdn控制器向網絡分析設備發送的可疑流量的待驗證信息包括：會話id、流量信息和驗證結果；其中，會話id用於標識待驗證可疑流量的編號；流量信息是表1中的數據信息，即表1數據中：源端流量設備ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出閾值條件的具體參數信息等；驗證結果是對流量信息的驗證結果，即判斷由sdn交換機發送的可疑流量鏡像數據屬於正常流量還是異常流量；具體封裝及格式如表2所示；

步驟303，將所述可疑流量鏡像數據的判斷結果發送至sdn控制器，所述 sdn控制器根據所述判斷結果關閉產生異常流量的流量設備。

這裡，網絡分析設備將判斷結果發送至sdn控制器，sdn控制器接收所述判斷結果，若所述判斷結果顯示為異常流量，則向sdn交換機發送刪除異常流量的流量設備的通信流表，從而關閉異常流量的流量設備；進一步地，若所述判斷結果顯示為正常流量，sdn控制器向sdn交換機發送刪除可疑流量鏡像表。

在本發明實施例中，網絡分析設備向sdn控制器發送的判斷結果包括：會話id、流量信息和驗證結果；其中，會話id用於標識進行精確判斷的可疑流量編號；流量信息是指表1中的數據信息，即表1數據中：源端流量設備ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出閾值條件的具體參數信息等；驗證結果是對流量信息的驗證結果，即判斷由sdn交換機發送的可疑流量鏡像數據屬於正常流量還是異常流量；具體封裝及格式如表3所示。

圖4為本發明實施例網絡分析設備的結構示意圖；如圖4所示，所述設備包括：接收單元401，判斷單元402和發送單元403；其中，

所述接收單元401，用於接收sdn交換機發送的可疑流量鏡像數據；

所述判斷單元402，用於對所述接收單元401接收到的所述可疑流量鏡像數據進行異常流量的精確判斷；

所述發送單元403，用於將所述判斷單元402對所述可疑流量鏡像數據的判斷結果發送至sdn控制器，所述sdn控制器根據所述判斷結果關閉產生異常流量的流量設備。

這裡，sdn交換機能夠完成對每個流量設備流量閾值條件的預設，也可以完成對各層交換機流量閾值條件的預設。在本發明實施例中，該流量閾值條件的預設是根據流量設備自身的流量需求設定的，流量閾值條件的預設包括但不限於流量設備發送或接收報文的數量峰值和出、入口流量的峰值；利用sdn交換機的流量監測功能，監測每個流量設備的出口流量是否達到相應的流量閾值條件，當流量設備的出口流量發生異常達到了流量閾值條件時，sdn交換機向sdn控制器發送超過所述流量設備流量閾值條件的可疑流量報文，sdn控制器 對接收到的可疑流量報文構建關於可疑流量的分析視圖，並對可疑流量進行異常流量的初步判斷，判斷方法包括但不限於以下兩種：

1、sdn控制器接收到源端sdn交換機與一個或多個目的端sdn交換機同時發送的可疑流量報文時，所述可疑流量報文初步判斷為異常流量；

例如：在數據中心網絡中，源端流量設備的出口流量發生異常，頻繁向其相鄰的目的端流量設備發送報文，源端流量設備所連接的sdn交換機監測到其出口流量異常增多且超過預設閾值條件，則會向sdn控制器發送超過所述源端流量設備的預設閾值條件的可疑流量報文；同時，目的端流量設備由於不斷接收來自源端流量設備發送的報文，而與目的端流量設備連接的sdn交換機監測到其輸入流量不斷的增多，也有可能超過其預設閾值條件，當其輸入流量超過預設閾值條件時，則向sdn控制器發送超過所述目的端流量設備的預設閾值條件的可疑流量報文，sdn控制器接收到源端sdn交換機與目的端sdn交換機同時發送的可疑流量報文時，則初步判斷所述可疑流量報文為異常流量。在本發明實施例中，目的端流量設備能接收由源端流量設備發送的報文，也能接收由其他，如正常流量設備發送的報文；當目的端流量設備收到的報文地址與源端流量設備發送的報文地址匹配時，確定目的端流量設備接收的報文是由源端流量設備發送的。

2、sdn控制器收到多個源端sdn交換機發送的可疑流量報文，且發送的可疑流量報文的流量特徵相同時，則所述可疑流量報文初步判斷為異常流量；

在本發明實施例中，流量特徵包括：網絡吞吐量、網絡發包數量和網絡埠號等。例如：多個源端的sdn交換機發送給sdn控制器的可疑流量報文中的流量特徵：網絡吞吐量一致，則初步判斷所述可疑流量報文為異常流量。

在本發明實施例中，sdn交換機發送給sdn控制器的可疑流量報文包括：各流量設備所發送報文的ip地址及tcp或udp埠號，其中可疑流量報文中的數據信息僅包括源端流量設備的ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出預設閾值條件的具體參數信息等，並不承載報文荷載數據，具體封裝及格式如表1所示；

接收單元401，判斷單元402和發送單元403均由位於網絡分析設備中，sdn控制器初步判斷所述可疑流量為異常流量時，會向上報該可疑流量的sdn交換機發送該可疑流量的可疑流量鏡像表，sdn交換機接收sdn控制器發送的可疑流量鏡像表後，根據所述可疑流量鏡像表的路徑向接收單元401發送可疑流量鏡像數據，同時sdn控制器向接收單元401發送可疑流量的待驗證信息，提醒接收單元401接收來自sdn交換機發送的可疑流量鏡像數據。

接收單元401收到sdn控制器發送的可疑流量的待驗證信息後，由判斷單元402根據所述可疑流量的待驗證信息對sdn交換機發送的可疑流量鏡像數據進行異常流量的精確判斷；本發明實施例中，sdn控制器向接收單元401發送的可疑流量的待驗證信息包括：會話id、流量信息和驗證結果；其中，會話id用於標識待驗證可疑流量的編號；流量信息是表1中的數據信息，即表1數據中：源端流量設備ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出閾值條件的具體參數信息等；驗證結果是對流量信息的驗證結果，即判斷由sdn交換機發送的可疑流量鏡像數據屬於正常流量還是異常流量；具體封裝及格式如表2所示；發送單元403將判斷單元402對所述可疑流量鏡像數據的判斷結果發送至sdn控制器，sdn控制器接收所述判斷結果，若所述判斷結果顯示為異常流量，則向sdn交換機發送刪除異常流量的流量設備的通信流表，從而關閉異常流量的流量設備；進一步地，若所述判斷結果顯示為正常流量，sdn控制器向sdn交換機發送刪除可疑流量鏡像表。

在本發明實施例中，發送單元403向sdn控制器發送的判斷結果包括：會話id、流量信息和驗證結果；其中，會話id用於標識進行精確判斷的可疑流量編號；流量信息是指表1中的數據信息，即表1數據中：源端流量設備ip地址、所有目的端流量設備的ip地址、tcp或udp埠號和超出閾值條件的具體參數信息等；驗證結果是對流量信息的驗證結果，即判斷由sdn交換機發送的可疑流量鏡像數據屬於正常流量還是異常流量；具體封裝及格式如表3所示。

在實際應用中，所述接收單元401，判斷單元402和發送單元403均可由位於網絡分析設備中的中央處理器(cpu)、微處理器(mpu)、數位訊號處理 器(dsp)、或現場可編程門陣列(fpga)等實現。

本領域內的技術人員應明白，本發明的實施例可提供為方法、系統、或電腦程式產品。因此，本發明可採用硬體實施例、軟體實施例、或結合軟體和硬體方面的實施例的形式。而且，本發明可採用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限於磁碟存儲器和光學存儲器等)上實施的電腦程式產品的形式。

本發明是參照根據本發明實施例的方法、系統的流程圖和/或方框圖來描述的。應理解可由電腦程式指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些電腦程式指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些電腦程式指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的製造品，該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些電腦程式指令也可裝載到計算機或其他可編程數據處理設備上，使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理，從而在計算機或其他可編程設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

以上所述，僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍。