(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111530909.4 (22)申请日 2021.12.15 (71)申请人 中电信数智科技有限公司 地址 100036 北京市海淀区复兴 路33号13 层东塔13层13 08室 (72)发明人 钱文倩　 (74)专利代理 机构 南京钟山专利代理有限公司 32252 代理人 张力 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/133(2022.01) H04L 41/0213(2022.01) H04L 41/0631(2022.01) H04L 43/028(2022.01)H04L 43/0876(2022.01) H04L 43/106(2022.01) H04L 43/16(2022.01) (54)发明名称 一种基于TR069协议结合日志分析的异常流 量处方法及系统 (57)摘要 本发明公开了一种基于TR069协议结合日志 分析的异常流量处方法及系统， 方法步骤一、 基 于TR069协议对服务器和网络设备进行通讯认 证， 若通讯认证成功， 则进入步骤二； 步骤二、 通 过ACS监测CPE端 口流量， 当发生异常流量时， 定 位异常流量并屏蔽对应的报文流量； 步骤三、 对 所屏蔽的报文流量进行日志分析， 判断是否为异 常报文， 若是， 则进行异常标识， 否则正 常下发流 量。 本发明解决了现有组网当中异常流量发生时 分析及过滤缺乏时效性、 灵活性、 准确率不高的 复杂问题。 权利要求书2页 说明书6页 附图1页 CN 114338103 A 2022.04.12 CN 114338103 A 1.一种基于TR0 69协议结合日志分析的异常流 量处方法， 其特 征在于， 包括： 步骤一、 基于TR069协议对服务器和网络设备进行通讯认证， 若通讯认证成功， 则进入 步骤二； 步骤二、 通过ACS监测CPE端口流量， 当发生异常流量时， 定位异常流量并屏蔽对应的报 文流量； 步骤三、 对所屏蔽的报文流量进行日志分析， 判断是否为异常报文， 若是， 则进行异常 标识， 否则正常下发流 量。 2.根据权利要求1所述的一种基于TR069协议结合日志分析的异常流量处方法， 其特征 在于， 所述 步骤一具体为： 基于TR069协议对支持TR0 69协议的网络设备进行 管理和监控； TR069协议 中的网管服务器ACS对CPE进行通讯认证配置， 如果通讯认证成功， 进入步骤 二。 3.根据权利要求1所述的一种基于TR069协议结合日志分析的异常流量处方法， 其特征 在于， 所述 步骤二具体包括： 步骤21： ACS向目标CPE端口发送符合TR0 69协议RPC格式的请求报文； 步骤22： CPE解析请求报文后将采集的流量数据放入请求报文再次向ACS发送请求报 文； 步骤23： ACS解析请求报文获取流 量数据； 步骤24： 当ACS收到请求报文中流量大于请求报文中流量阈值则表示发生异常流量， 进 行异常告警； 步骤25： 通过执行部署在ACS的流量分析程序对CPE收到的请求报文进行流量拆分获取 五元组信息， 并通过五元组信息中的源地址 定位异常流 量并暂时禁止该流 量下发。 4.根据权利要求3所述的一种基于TR069协议结合日志分析的异常流量处方法， 其特征 在于， 步骤21所述请求报文包 含请求获取目标CPE每次测试的流 量数据和设置的流 量阈值。 5.根据权利要求3所述的一种基于TR069协议结合日志分析的异常流量处方法， 其特征 在于， 步骤25所述流量分析程序为python程序， 根据目的端口使用sniff()函数进行有目 的性的报文嗅探抓包， 具体的： 对调度过来的网络流量进行报文嗅探抓包， 针对嗅探到的报 文分析出报文五元组然后加上时间戳进行分类； 所述报文五元组包括源地址、 目的地址、 源端口、 目的端口和协议。 6.根据权利要求1所述的一种基于TR069协议结合日志分析的异常流量处方法， 其特征 在于， 所述 步骤三具体包括： 步骤31： 通过分流器将屏蔽的流 量引入到流 量分析服 务器； 步骤32： 通过部署在流量分析服务器的流量分析程序解析异常流量报文分析出报文五 元组， 包括源地址、 目的地址、 源端口、 目的端口和协议； 步骤33： 执行日志分析程序计算得 出日志分析 结果并存 入日志数据库； 步骤34： 以五元组的协议和源地址为查询条件， 从日志数据库查询日志分析程序的分 析结果： 如果查询结果大于 0， 则判定 本次报文为异常报文， 状态标识status 设置为1； 反之判定为非异常报文， 无异常流量， 状态标识status设置为0， 将本次流量通过流量权　利　要　求　书 1/2 页 2 CN 114338103 A 2分析服务器路由表发送给CPE进行流 量正常下发。 7.根据权利要求1所述的一种基于TR069协议结合日志分析的异常流量处方法， 其特征 在于， 步骤33所述日志分析程序， 通过部署在本地日志服务器程序执行linux系统自带tail 命令， 结合 参数–f， 查阅正在改变的日志文件； 所述日志分析程序采集组网内本地和异地各个网络节点管理的服务器上系统自带的 Error log文件的日志， 获取相关服 务的告警日志数据； 将日志数据按网络协议分类作为第一个参数值， IP设置为第二个参数值， 服务对象设 置为第三个参数值， 并提取错 误特征关键字并将其作为第四个参数值； 通过特殊符号#间隔参数， 并通过@符号分割同一个参数下的多个数值， 将各参数值连 接成一个字符串存 储到日志数据库。 8.实现权利要求1 ‑7任一所述基于TR069协议结合日志分析的异常流量处方法的基于 TR069协议结合日志分析的异常流 量处系统， 其特 征在于， 包括： 设备验证模块， 用于基于TR069协议对服务器和网络设备进行通讯认证， 若通讯认证成 功， 则进入流 量采集及屏蔽模块； 流量采集及屏蔽模块， 用于通过ACS监测CPE端口流量， 当发生异常流量时， 定位异常流 量并屏蔽对应的报文流 量； 日志分析及流量下发模块， 用于对所屏蔽的报文流量进行日志分析， 判断是否为异常 报文， 若是， 则进行异常标识， 否则正常下发流 量。权　利　要　求　书 2/2 页 3 CN 114338103 A 3