[发明专利]服务器异常连接和扫描行为的监控方法和装置

说明书

本发明实施例提供一种服务器异常连接和扫描行为的监控方法和装置，该方法包括：抓取中心交换机的网络会话数据；将所述网络会话数据存以数据记录的形式存入分布式数据库，其中，一条数据记录对应一次请求或确认；从所述分布式数据库中的数据记录中提取各IP的行为数据，所述行为数据包括各连接行为次数、IP扫描次数和端口扫描次数；基于所述行为数据判定各IP的异常行为，所述异常行为包括异常半连接、异常主动连接、异常被动连接、异常IP扫描和异常端口扫描；展示所述各IP的异常行为。本发明实施例提供的方法和装置，能够处理大量网络会话数据，实时更新网络异常行为，提高了网络异常行为监控的效率。

技术领域

本发明涉及网络监控技术领域，尤其涉及一种服务器异常连接和扫描行为的监控方法和装置。

背景技术

网络故障时时刻刻发生，交接机的端口吞吐量忽高忽低，运维人员可以经常会碰到此类问题：用户经常抱怨内网业务系统访问慢或拷贝文件慢，或者，猜测内网可能存在端口数据攻击，但不能及时弄清是哪些机器发起的。

恶意的端口流量攻击导致服务器的资源被大量的占用，因而正常的进程没有得到有效的处理、带宽被大量占用，为了找到异常攻击源，通过工具层层筛选，这样费时费力。端口异常连接行为监控不仅仅在出现故障时供运维人员参考，重要的一点就是能够按时间段能统计出异常的设备情况，找出解决方案或是加强主机端口的管理。

因此，如何处理大量的网络流量数据，实现大量网络会话数据实时更新分析结果，提高网络异常行为的监控效率，仍然是本领域技术人员亟待解决的问题。

发明内容

本发明实施例提供一种服务器异常连接和扫描行为的监控方法和装置，用以解决现有技术中无法处理大量的网络流量，不能实时更新大量网络会话数据的分析结果，网络异常行为监控效率低下的问题。

第一方面，本发明实施例提供一种服务器异常连接和扫描行为的监控方法，包括：

抓取中心交换机的网络会话数据；

将所述网络会话数据存以数据记录的形式存入分布式数据库，其中，一条数据记录对应一次请求或确认；

从所述分布式数据库中的数据记录中提取各IP的行为数据，所述行为数据包括各连接行为次数、IP扫描次数和端口扫描次数；

基于所述行为数据判定各IP的异常行为，所述异常行为包括异常半连接、异常主动连接、异常被动连接、异常IP扫描和异常端口扫描；

展示所述各IP的异常行为。

优选地，该方法中，所述各连接行为次数包括尝试连接行为次数、完整连接行为次数、半连接行为次数、主动连接次数和被动连接次数；

对应地，所述尝试连接行为次数的提取，具体包括：

判断获知当前数据记录的类型为SYN，则判断当前数据记录对应一次尝试连接行为；

提取IP作为源IP在单位时间内所有尝试连接行为的次数；

所述完整连接行为次数的提取，具体包括：

判断获知当前数据记录的类型为SYN，下一数据记录的类型为SYN,ACK且下下一数据记录的类型为ACK，则判断当前数据记录对应一次完整连接行为；

提取所述IP作为源IP在所述单位时间内所有完整连接行为的次数；

所述半连接行为次数的提取，具体包括：

对所述IP作为源IP的单位时间内所有尝试连接行为的次数与所述IP作为源IP的所述单位时间内所有完整连接行为的次数求差，得到所述IP作为源IP在所述单位时间内所有半连接行为的次数；

所述主动连接次数的提取，具体包括：