[发明专利]一种异常网络数据的排查方法和装置

权利要求书

1.一种异常网络数据的排查方法，其特征在于：包括

定期截取预设数量的数据包，将所述数据包的特征信息与预存储的比对信息进行比对；每一所述数据包均包括特征信息、源IP和目的IP；

若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包；

若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包；所述异常报告包括异常原因，以及所述第一数据包对应的源IP；

在生成异常报告时，再次截取与所述第一数据包的源IP和目的IP均一致的第二数据包，并将所述第二数据包中的特征信息与所述比对信息进行比对；

若发现所述第二数据包对应的比对结果与预设结果不一致，则向所述第二数据包对应的目的IP发送预警信息，再丢弃所述第二数据包，所述预警信息包括所述第二数据包对应的源IP；

若发现所述第二数据包对应的比对结果与预设结果一致，则向所述第二数据包对应的目的IP发送所述第二数据包。

2.根据权利要求1所述的异常网络数据的排查方法，其特征在于：所述特征信息包括净荷字符串；所述比对信息包括异常字符串；

所述将所述数据包的特征信息与预存储的比对信息进行比对，若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包，若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包，包括：

将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；

若所有异常字符串均未存在于所述数据包对应的净荷字符串中，则向所述数据包包含的目的IP发送所述数据包；

若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串存，则生成并显示带有异常字符串的异常报告，再丢弃所述第一数据包。

3.根据权利要求1所述的异常网络数据的排查方法，其特征在于：所述特征信息包括净荷字符串、协议类型和目的端口号；所述比对信息包括异常字符串、协议类型以及每一协议类型对应的基准端口号；

所述将所述数据包的特征信息与预存储的比对信息进行比对，若数据包对应的比对结果与预设结果一致，则向所述数据包包含的目的IP发送所述数据包，若发现第一数据包对应的比对结果与预设结果不一致，则生成并显示异常报告，再丢弃所述第一数据包，包括：

确定数据包中的协议类型对应的基准端口号，将所述基准端口号与所述数据包对应的目的端口号进行比对；

若发现第一数据包对应的目的端口号与基准端口号不一致，则生成并显示异常报告，再丢弃所述第一数据包；

若数据包对应的目的端口号与基准端口号一致，则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；

若发现第一数据包对应的净荷字符串中包含有至少一种异常字符串，则生成并显示带有异常字符串的异常报告，再丢弃所述第一数据包。

4.根据权利要求3所述的异常网络数据的排查方法，其特征在于：所述确定数据包中的协议类型对应的基准端口号，将所述基准端口号与所述数据包对应的目的端口号进行比对，若发现第一数据包对应的目的端口号与基准端口号不一致，则生成并显示异常报告，再丢弃所述第一数据包，若数据包对应的目的端口号与基准端口号一致，则将预存储的异常字符串逐一与数据包中的净荷字符串进行比对；包括：

对于所截取的预设数量的所有数据包，将协议类型和目的端口号均一致的所述数据包归为一个比对组别；

确定每一比对组别的协议类型对应的基准端口号；

若目标比对组别对应的目的端口号与目标比对组别对应的基准端口号不一致，则根据所述目标组别中的每一数据包对应的源IP，为所述目标组别中的每一数据包生成并显示异常报告，再丢弃所述目标数据包；

若比对组别对应的目的端口号与所述比对组别对应的基准端口号一致，则将预存储的异常字符串逐一与对比对组别中的数据包进行比对。