一种网络异常行为检测方法、装置及电子设备与流程

技术特征：
1.一种网络异常行为检测方法，其特征在于，包括：获取多路传输控制协议mptcp数据包；获取所述mptcp数据包的四元组信息和令牌信息；根据所述四元组信息确定属于同一子流的mptcp数据包；根据所述令牌信息和所述四元组信息确定属于同一mptcp流的子流；根据预设规则检测各个所述mptcp流，确定所述mptcp流包含的所述mptcp数据包是否存在异常行为。2.根据权利要求1所述的方法，其特征在于，所述获取所述mptcp数据包的四元组信息和令牌信息，具体包括：获取所述mptcp数据包的镜像；获取所述镜像的所述四元组信息和所述令牌信息。3.根据权利要求1所述的方法，其特征在于，所述根据所述四元组信息确定属于同一子流的mptcp数据包，具体包括：确定所述四元组信息相同的所述mptcp数据包为所述属于同一子流的mptcp数据包。4.根据权利要求1所述的方法，其特征在于，还包括：获取所述mptcp数据包的子流序列号ssn；将属于所述同一子流的所述mptcp数据包与所述mptcp数据包的所述四元组信息的映射关系按照ssn存储至链表；将所述链表与所述链表中存储的四元组信息的映射关系存储至哈希表。5.根据权利要求1所述的方法，其特征在于，所述根据所述令牌信息和所述四元组信息确定属于同一mptcp流的子流，具体包括：所述四元组信息包括所述mptcp数据包的目的网际互连协议ip地址；确定所述令牌信息和所述目的ip地址相同的子流属于同一mptcp流。6.根据权利要求1所述的方法，其特征在于，还包括：获取所述mptcp数据包的数据序列号dsn；根据所述dsn确定属于同一所述mptcp流的所述mptcp数据包的接收时间的先后顺序。7.一种网络异常行为检测装置，其特征在于，包括：获取单元，用于获取多路传输控制协议mptcp数据包；获取所述mptcp数据包的四元组信息和令牌信息；处理单元，用于根据所述四元组信息确定属于同一子流的mptcp数据包；根据所述令牌信息和所述四元组信息确定属于同一mptcp流的子流；根据预设规则检测各个所述mptcp流，确定所述mptcp流包含的所述mptcp数据包是否存在异常行为。8.根据权利要求7所述的装置，其特征在于，所述获取单元获取所述mptcp数据包的四元组信息和令牌信息时，具体用于：获取所述mptcp数据包的镜像；获取所述镜像的所述四元组信息和所述令牌信息。9.根据权利要求7所述的装置，其特征在于，所述处理单元根据所述四元组信息确定属于同一子流的mptcp数据包时，具体用于：确定所述四元组信息相同的所述mptcp数据包为所述属于同一子流的mptcp数据包。
10.根据权利要求7所述的装置，其特征在于，所述获取单元还用于获取所述mptcp数据包的子流序列号ssn；所述处理单元还用于：将属于所述同一子流的所述mptcp数据包与所述mptcp数据包的所述四元组信息的映射关系按照ssn存储至链表；将所述链表与所述链表中存储的四元组信息的映射关系存储至哈希表。11.根据权利要求7所述的装置，其特征在于，所述处理单元根据所述令牌信息和所述四元组信息确定属于同一mptcp流的子流时，具体用于：所述四元组信息包括所述mptcp数据包的目的网际互连协议ip地址；确定所述令牌信息和所述目的ip地址相同的子流属于同一mptcp流。12.根据权利要求7所述的装置，其特征在于，所述获取单元还用于获取所述mptcp数据包的数据序列号dsn；所述处理单元还用于根据所述dsn确定属于同一所述mptcp流的所述mptcp数据包的接收时间的先后顺序。13.一种电子设备，其特征在于，包括：存储器，用于存储计算机指令；处理器，与所述存储器连接，用于执行所述存储器中的计算机指令，且在执行所述计算机指令时实现如权利要求1至5中任一项所述的方法。14.一种计算机可读存储介质，其特征在于，包括：所述计算机可读存储介质存储有计算机指令，当所述计算机指令在计算机上运行时，使得计算机执行如权利要求1至5中任一项所述的方法。

技术总结
本申请实施例提供了一种网络异常行为检测方法、装置及电子设备，涉及数据通信技术领域，用以对MPTCP流量进行网络异常行为检测。该方法中，获取多路传输控制协议MPTCP数据包；获取MPTCP数据包的四元组信息和令牌信息；根据四元组信息确定属于同一子流的MPTCP数据包；根据令牌信息和四元组信息确定属于同一MPTCP流的子流；根据预设规则检测各个MPTCP流，确定MPTCP流包含的MPTCP数据包是否存在异常行为。本申请通过首先对获取的MPTCP流量进行有效信息的提取，子流的匹配以及MPTCP流的重组可以实现在传输层重组多路径传输的MPTCP流量，提高异常行为分析的有效性及准确性。高异常行为分析的有效性及准确性。高异常行为分析的有效性及准确性。


技术研发人员：刘紫千 常力元 孙福兴 李金伟 余启明 顾庆崴 陈林 刘长波
受保护的技术使用者：天翼安全科技有限公司
技术研发日：2022.02.28
技术公布日：2022/7/29