一种网络流量检测阈值的计算方法技术

本发明专利技术公开了一种网络流量检测阈值的计算方法，属于网络流量检测领域。本发明专利技术一种网络流量检测阈值的计算方法包括步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值。本发明专利技术提供的一种网络流量检测阈值的计算方法运用于DDOS检测和流量监测设备，为网络管理员进行DDOS检测和网络流量监测的告警阈值设置提供了参考依据，避免了由于没有实际的参考依据而出现的DDOS监测和网络流量监测的不准确性。

【技术实现步骤摘要】
一种网络流量检测阈值的计算方法
本专利技术涉及网络流量检测领域，特别涉及一种网络流量检测阈值的计算方法。
技术介绍
随着网络的不断发展和网络带宽的不断提高，网络利用率也逐年提升，网络管理员通常借助DDOS（DistributedDenialOfService，分布式拒绝服务）检测设备、网络流量监测设备等网络设备对自身网络进行监控，以检测自身网络的安全状况、分析网络内部的应用服务是否正常。DDOS检测和网络流量监测设备常用的检测方法是，通过网络管理员设置网络流量告警阈值，然后实时计算网络流量，当实时网络流量大于管理员设置的告警阈值时，产生告警或阻断网络等。这种方法对于DDOS检测和网络流量监测是有效的，但是需要网络管理员手动设置告警阈值，然而，网络管理员在设置告警阈值时，通常是根据自身经验来估计一个阈值，并没有实际的参考依据，这就影响了DDOS检测和网络流量监测的准确性，也给监测带来不确定性。
技术实现思路
本专利技术的目的在于为DDOS检测和网络流量监测的告警阈值设置提供参考依据。为实现上述目的，本专利技术提供一种网络流量检测阈值的计算方法，其特征在于，包括以下步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值。本专利技术提供的网络流量检测阈值计算方法，运用于DDOS检测和流量监测设备，为网络管理员进行DDOS检测和网络流量监测的告警阈值设置提供了参考依据。附图说明图1是计算网络流量检测阈值的总流程图；图2是计算高压阈值HITH和低压阈值LOTH的流程图；图3是计算主机对阈值HPTH的流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图详细描述本专利技术的具体实施方式。附图1是计算网络流量检测阈值的总流程图。根据本专利技术的网络流量检测阈值的计算方法包括以下步骤：获取网络访问中的目的地址被访问的次数，根据获取得到的目的地址被访问的次数计算网络流量检测的告警阈值。参考图1，该流程开始于步骤S101。在步骤S102，通常要先对系统进行初始化，这里初始化的方式根据实现的算法而定。在步骤S103和S104，由于本专利技术描述的网络流量检测阈值的计算方法基于两种情况：多个源地址基于通信协议访问目的地址的次数和单个源地址基于通信协议访问目的地址的次数，因此关于目的地址被访问的次数和根据访问次数计算告警阈值分成两种情况描述，分别由附图2的流程图和附图3的流程图示出。附图2流程图是根据多个源地址基于通信协议访问目的地址的次数计算高压阈值和低压阈值的流程图，其中计算得到的高压阈值HITH大于所述低压阈值LOTH。该流程开始于S201，承接附图1的S102步骤系统初始化。例如，该计算算法是用数组来实现，其初始化过程为申请大小为256的数组空间ARR，每一个数组空间记录一个目的地址被访问的次数，则单位时间可同时监视到256个目的地址被访问的情况。在步骤S202，提取数据包中的目的地址，遍历数组空间ARR[i]（i=0,1，…255）。在步骤S203，判断每一个数组空间的存活时间是否都小于等于单位时间。例如，单位时间可以为1秒，则判断每一个数组空间的存活时间是否都小于等于1秒，如果每一个数组空间的存活时间小于等于1秒，进入步骤S204，继续判断提取到的数据包的目的地址与数组空间ARR[i]记录的目的地址是否一致，如果数据包的目的地址与数组空间的目的地址一致，进入步骤S205，返回该数组空间ARR[i]；如果每一个数组空间ARR[i]的目的地址与数据包记录的目的地址均不一致，进入步骤S206，舍弃该数据包；如果不是每一个数组空间ARR[i]的存活时间都小于等于1秒，进入步骤S207，将存活时间大于1秒的数组空间ARR[i]留给其他目的地址复用并且清空该数组空间；在步骤S208，继续判断存活时间小于1秒的数组空间ARR[i]的目的地址与数据包的地址是否一致，如果数据包的目的地址与数组空间ARR[i]的目的地址一致，进入步骤S205，返回该数组空间；如果数据包的目的地址与数组空间ARR[i]的目的地址不一致，进入步骤S209，返回存活时间超过1秒可被复用的数组空间ARR[i]，并对其重新计时，在步骤S210，读取从步骤S205或步骤S209返回的数组空间ARR[i]记录的目的地址被访问的次数RATE，进入步骤S211，如果HITH*1/2<RATE，更新HITH=RATE*2；如果LOTH*5/6<RATE，更新LOTH=RATE*6/5。其中，HITH的初始值设为0，LOTH的初始值设为0。上述步骤只是一个数据包的处理过程，因此还要返回步骤S202，开始下一个数据包的处理，这样经过长时间的迭代更新得出高压阈值HITH和低压阈值LOTH。附图3是是根据单个源地址基于通信协议访问目的地址的次数计算主机对阈值HPTH的流程图。该流程开始于S301，承接附图1的S102步骤系统初始化。例如，该计算算法用HASH表实现，其初始化过程为，可以建立4张大小为4096个节点的HASH表，初始化4个随机数R。每张HASH表的每一个节点都记录了一个源地址基于通信协议（此处的通信协议可以为TCP、UDP、ICMP和DHCP）访问某个目的地址的次数。可以理解，HASH表的张数，每张HASH表的节点数以及随机数的个数仅是示例性的，不用于限定本专利技术，本领域的技术人员可以根据需要做出修改。在步骤S302，提取数据包中的源地址和目的地址，计算索引值。例如，若基于的通信协议为TCP、UDP和ICMP，则此处的源地址和目的地址为IP地址；若基于的通信协议为DHCP，则此处的源地址和目的地址为MAC地址。根据IP地址或MAC地址，以及初始化的随机数R，可以计算出4个HASH索引值。进入步骤S303，判断索引值位置处的节点存活时间是否小于等于单位时间，例如，单位时间为1秒，则判断节点的存活时间是否小于等于1秒，如果节点的存活时间不是小于等于1秒，即大于1秒，进入步骤S304，清空该节点的统计信息，重新开始统计，进入步骤S305；如果节点的存活时间小于等于1秒，进入步骤S305，根据步骤S302计算的索引值在索引值位置的节点处读取源地址基于相应协议（TCP、UDP、ICMP或DHCP）访问目的地址的次数，并且更新（即加1）。进入步骤S306，从统计次数中得出最小统计次数MIN。例如，若从四张HASH表索引位置处读取了基于TCP协议的统计次数，则会得到四个统计次数，更新加1后，比较四个数据得出最小值MIN。进入步骤S307，如果HPTH[PROTO]*5/6<MIN，进入步骤S308，更新HPTH[PROTO]=MIN*6/5。例如，若基于的协议为TCP，则此处PROTO就为TCP。上述步骤只是一个数据包的处理过程，因此还要返回步骤S302，开始下一个数据包的处理，这样经过长时间的迭代更新得出主机对阈值HPTH。经过一段时间的计算后，高压阈值HITH、低压阈值LOTH和主机对阈值HPTH将会无限接近真实网络流量情况，计算时间越长，计算得到的阈值越有效，因此可有效的为网络管理员设置告警阈值提供参考依据，避免了由于没有实际的参考依据而影响DDOS监测和网络流量监测的准确性这一情况的出现。本专利技术计算出的三个本文档来自技高网...

【技术保护点】
一种网络流量检测阈值的计算方法，其特征在于，包括以下步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值。

【技术特征摘要】
1.一种网络流量检测阈值的计算方法，其特征在于，包括以下步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值；所述告警阈值包括：高压阈值HITH和低压阈值LOTH；所述根据所述目的地址被访问的次数计算网络流量检测的告警阈值步骤包括通过以下步骤计算所述高压阈值HITH和所述低压阈值LOTH：(a1)提取数据包中的目的地址，遍历每一个数组空间，所述每一个数组空间记录一个目的地址和该目的地址被访问的次数；(a2)从数据空间中读取所述目的地址被访问的次数RATE；(a3)根据所述目的地址被访问的次数RATE计算所述高压阈值HITH和所述低压阈值LOTH；其中，所述步骤(a3)包括，判断HITH*1/2是否小于RATE，如果小于RATE，则更新HITH＝RATE*2，判断LOTH*5/6是否小于RATE，如果小于RATE，则更新LOTH＝RATE*6/5，其中HITH的初始值为0，LOTH的初始值为0。2.根据权利要求1所述的计算方法，其特征在于，所述目的地址被访问的次数为单位时间内目的地址被访问的次数。3.根据权利要求1所述的计算方法，其特征在于，所述目的地址被访问的次数包括：多个源地址基于通信协议访问目的地址的次数和单个源地址基于通信协议访问目的地址的次数。4.根据权利要求1所述的计算方法，其特征在于，所述高压阈值HITH为所述目的地址被访问的次数的一个阈值，所述低压阈值LOTH为所述目的地址被访问的次数的另一个阈值，所述高压阈值HITH大于所述低压阈值LOTH；所述告警阈值还包括：主机对阈值HPTH，所述主机对阈值HPTH为任意一个源地址基于通信协议访问目的地址的次数的一个阈值。5.根据权利要求3所述的计算方法，其特征在于，所述通信协议为TCP、UDP、ICMP和DHCP中的至少一者。6.根据权利要求3所述的计算方法，其特征在于，所述源地址为访问发起端的IP地址或MAC地址，所述目的地址为被访问端的IP地址或MAC地址。7.根据权利要求1所述的计算方法，其特征在于，所述步骤(a2)包括，判断每一个数组空间的存活...

【专利技术属性】
技术研发人员：刘勇，张凤羽，
申请(专利权)人：北京天融信软件有限公司，北京天融信网络安全技术有限公司，北京天融信科技有限公司，
类型：发明
国别省市：北京;11