一種檢測網(wǎng)絡(luò)流量異常的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種檢測網(wǎng)絡(luò)流量異常的方法���。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)的快速發(fā)展與廣泛應(yīng)用,計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)安全受到計(jì)算機(jī)病毒和黑客攻擊等多方面的威脅越來越大����,經(jīng)常會導(dǎo)致網(wǎng)絡(luò)異常,為了確保網(wǎng)絡(luò)正常穩(wěn)定的運(yùn)行以及業(yè)務(wù)的正常開展,運(yùn)營商必須對流量進(jìn)行檢測并加以清洗�����。
[0003]目前對網(wǎng)絡(luò)造成極大危害的是分布式拒絕服務(wù)攻擊(DDoS,Distributed Denialof Service),而多種DDoS攻擊方式中�,又以洪水型(FLOOD)攻擊為主,其特征是報(bào)文數(shù)量或者流量增大幅度突然變得很大,它不僅會影響被攻擊的服務(wù)器�,也可能波及到和被攻擊目標(biāo)在同一網(wǎng)絡(luò)內(nèi)的其它服務(wù)器�,因此及時(shí)檢測出FLOOD型攻擊至關(guān)重要��。
[0004]現(xiàn)有技術(shù)中對FLOOD型的攻擊檢測方法是單純統(tǒng)計(jì)總報(bào)文和總流量,然后建立動態(tài)基線或者直接與一個(gè)固定閾值作比較來獲得檢測結(jié)果。上述方法的缺點(diǎn)在于:一方面��,只考慮總報(bào)文和總流量,會導(dǎo)致即使某個(gè)報(bào)文的流量增多����,但總報(bào)文和總流量可能是呈平穩(wěn)的狀態(tài)��,因此依然檢測不出攻擊�;或者即使總流量增多,但是屬于正常業(yè)務(wù)的增長����,這就可能會產(chǎn)生誤報(bào);另一方面�,單純地使用固定閾值�����,閾值設(shè)得過低會容易誤報(bào)����,設(shè)高了容易漏報(bào),而單純地使用動態(tài)基線��,有某些目標(biāo)本來流量是比較低的情況下�����,流量增長的值就算不會很大��,其流量動態(tài)基線上呈現(xiàn)的狀態(tài)可能是曲線上升����,從而也會導(dǎo)致誤報(bào)����。
【發(fā)明內(nèi)容】
[0005]有鑒于此��,本發(fā)明實(shí)施例提供一種檢測網(wǎng)絡(luò)流量異常的方法,以解決現(xiàn)有技術(shù)中通過簡單統(tǒng)計(jì)總報(bào)文和總流量以及單純使用固定閾值或者動態(tài)基線帶來的誤報(bào)漏報(bào)率高等冋題��,從而提尚檢測的準(zhǔn)確率。
[0006]本發(fā)明實(shí)施例提供了一種檢測網(wǎng)絡(luò)流量異常的方法��,包括:
[0007]接收報(bào)文;
[0008]記錄所述報(bào)文的數(shù)量;
[0009]根據(jù)當(dāng)前報(bào)文數(shù)量與預(yù)設(shè)歷史時(shí)段前的歷史報(bào)文數(shù)量之間的差值,計(jì)算出所述報(bào)文當(dāng)前的單位時(shí)間數(shù)量���;
[0010]根據(jù)所述單位時(shí)間數(shù)量��,結(jié)合動態(tài)基線和固定閾值�,判斷網(wǎng)絡(luò)流量是否發(fā)生異常����。
[0011]本發(fā)明實(shí)施例提供的一種檢測網(wǎng)絡(luò)流量異常的方法��,該方法通過報(bào)文分類統(tǒng)計(jì)結(jié)合動態(tài)基線和固定閾值網(wǎng)絡(luò)流量進(jìn)行檢測����,一方面����,可以對每類報(bào)文的流量進(jìn)行準(zhǔn)確監(jiān)測,另一方面�����,結(jié)合動態(tài)基線和固定閾值�����,可以減少信息的漏報(bào)和誤報(bào)����,提高網(wǎng)絡(luò)流量異常檢測的準(zhǔn)確率。
【附圖說明】
[0012]通過閱讀參照以下附圖所作的對非限制性實(shí)施例所作的詳細(xì)描述��,本發(fā)明的其它特征�����、目的和優(yōu)點(diǎn)將會變得更明顯:
[0013]圖1是本發(fā)明實(shí)施例一提供的一種檢測網(wǎng)絡(luò)流量異常的方法的流程圖;
[0014]圖2是本發(fā)明實(shí)施例二提供的一種檢測網(wǎng)絡(luò)流量異常的方法的流程圖��。
【具體實(shí)施方式】
[0015]下面結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步的詳細(xì)說明�。可以理解的是,此處所描述的具體實(shí)施例僅僅用于解釋本發(fā)明����,而非對本發(fā)明的限定。另外還需要說明的是����,為了便于描述,附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部內(nèi)容。
[0016]實(shí)施例一
[0017]圖1是本發(fā)明實(shí)施例一提供的一種檢測網(wǎng)絡(luò)流量異常的方法的流程圖,該方法能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)流量異常的檢測,可由服務(wù)器或終端來執(zhí)行。
[0018]如圖1所示��,該方法包括:
[0019]S110�����、接收報(bào)文�����;
[0020]報(bào)文即網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元�����,其中包含了要發(fā)送的完整的數(shù)據(jù)信息,包括其類型���,版本��,長度等等;系統(tǒng)在運(yùn)行過程中CPU會不斷的接收到各種不同類型的報(bào)文,如�,syn (synchronous���,傳輸控制協(xié)議/網(wǎng)絡(luò)之間互連的協(xié)議建立連接時(shí)使用的握手信號)報(bào)文�,icmp (Internet Control Message Protocol,控制報(bào)文協(xié)議)報(bào)文等。
[0021]S120�����、記錄所述報(bào)文的數(shù)量�����;
[0022]具體的,對接收的報(bào)文進(jìn)行類型識別�,并根據(jù)所述報(bào)文的類型記錄所述報(bào)文的數(shù)量���。在系統(tǒng)中存儲有各類報(bào)文的代碼�����,當(dāng)出現(xiàn)一種報(bào)文時(shí),系統(tǒng)會根據(jù)其對應(yīng)的代碼對其進(jìn)行分類處理����,并相應(yīng)地記錄該類型報(bào)文的數(shù)量����。通過對報(bào)文進(jìn)行分類統(tǒng)計(jì)����,可以準(zhǔn)確地監(jiān)測每類報(bào)文的流量變化,從而可以準(zhǔn)確地判斷出哪類報(bào)文類型出現(xiàn)流量異常���。
[0023]S130����、根據(jù)當(dāng)前報(bào)文數(shù)量與預(yù)設(shè)歷史時(shí)段前的歷史報(bào)文數(shù)量之間的差值,計(jì)算出所述報(bào)文當(dāng)前的單位時(shí)間數(shù)量�;
[0024]所述預(yù)設(shè)時(shí)段是根據(jù)需要預(yù)先設(shè)置的某一時(shí)間長度�,是系統(tǒng)自動采集報(bào)文信息和統(tǒng)計(jì)各類報(bào)文數(shù)量的最小周期�,即每間隔此時(shí)間長度����,系統(tǒng)會自動統(tǒng)計(jì)各類報(bào)文的數(shù)量。此時(shí)間長度的設(shè)置可以是任意的��,如I秒,2秒��,I分鐘等等��,但是設(shè)置的時(shí)間長度要與實(shí)際檢測的需求相適應(yīng)��,設(shè)置的太長���,容易造成漏報(bào)���,設(shè)置的太短會對系統(tǒng)的過大的負(fù)荷�,沒有實(shí)際價(jià)值����。優(yōu)選的,所述預(yù)設(shè)歷史時(shí)段的時(shí)間長度為I秒�。所述當(dāng)前報(bào)文數(shù)量與預(yù)設(shè)歷史時(shí)段前的歷史報(bào)文數(shù)量之間的差值為當(dāng)前報(bào)文數(shù)量與I秒前地歷史報(bào)文數(shù)量之間的差值��,即為所述報(bào)文當(dāng)前的每秒數(shù)量��。通過計(jì)算所述報(bào)文每秒的數(shù)量�����,既不會對系統(tǒng)帶來太大的負(fù)荷�����,又可以實(shí)時(shí)對報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)���,降低了漏報(bào)的概率�����,從而提高檢測的準(zhǔn)確率。
[0025]S140����、根據(jù)當(dāng)前報(bào)文數(shù)量與預(yù)設(shè)歷史時(shí)段前的歷史報(bào)文數(shù)量之間的差值�����,計(jì)算出所述報(bào)文當(dāng)前的單位時(shí)間數(shù)量;
[0026]所述基線為流量基線,用于表征流量的增長率���,即在以時(shí)間為橫坐標(biāo)軸��,流量值為縱坐標(biāo)軸的坐標(biāo)系內(nèi)���,做出的流量隨時(shí)間變化的曲線����。動態(tài)基線即為動態(tài)流量基線,即流量的增長率在不斷的更新,而且同一時(shí)間不同報(bào)文對應(yīng)的流量增長率也不同���。根據(jù)動態(tài)基線判斷流量異常,即根據(jù)每類報(bào)文的增長率來作攻擊判斷�,單獨(dú)根據(jù)動態(tài)流量基線會造成網(wǎng)絡(luò)流量異常檢測的誤判���。例如����,一個(gè)IP (Internet Protocol,網(wǎng)絡(luò)之間互連的協(xié)議)通常的每秒流量很少只有Ikbps (比特率����,表示網(wǎng)絡(luò)的傳輸速度),假如該IP下一秒的流量增長到了 100kbps��,雖然流量還是很少,但是增長率卻達(dá)到了 10000%,此條流量基線會呈很明顯的上升趨勢����,但10kbps的流量發(fā)生攻擊的可能性非常小���,所以此時(shí)誤判的幾率就很大��。
[0027]所述固定閾值���,即設(shè)定的某一流量值,超過此值則判斷網(wǎng)絡(luò)流量異常����。不同類型的報(bào)文其閾值一般不同����,例如一個(gè)提供http (HTTP-Hypertext transfer protocol,超文本傳送協(xié)議)服務(wù)的IP,正常情況下�����,其接收到的icmp報(bào)文一般要比syn報(bào)文少得多�����,因此icmp報(bào)文的閾值要比syn報(bào)文的閾值小得多。具體的����,每類報(bào)文的閾值可以根據(jù)需要檢測的流量大小設(shè)定��,也有比較通用的設(shè)定���,例如把syn報(bào)文的流量閾值設(shè)為1000等����。單純地使用固定閾值判斷流量是否發(fā)生異常���,閾值設(shè)得過低會容易造成誤報(bào),設(shè)得過高容易造成漏報(bào)。
[0028]在本技術(shù)方案中�,根據(jù)所述單位時(shí)間數(shù)量結(jié)合動態(tài)基線和固定閾值���,判斷網(wǎng)絡(luò)流量是否發(fā)生異常�,可以減少漏報(bào)或誤報(bào)的幾率�,同時(shí)可以準(zhǔn)確地檢測每類報(bào)文的數(shù)量���,提高了檢測的準(zhǔn)確率�����。
[0029]實(shí)施例二
[0030]圖2為本發(fā)明實(shí)施例二提供的一種檢測網(wǎng)絡(luò)流量異常的方法的流程圖�����,本實(shí)施例在實(shí)施例一的基礎(chǔ)之上�,將步驟S140進(jìn)一步細(xì)化為:
[0031]根據(jù)所述單位時(shí)間