一种异常流量检测的方法技术

本发明专利技术公开了一种异常流量检测的方法，包括：检测设备对报文的目标IP进行统计和检测；所述检测设备筛选出异常的目标IP，并向清洗设备发出通告；所述清洗设备对含有所述异常的目标IP的报文进行源IP统计、特征码统计和报文长度概率统计后再进行清洗过滤。本发明专利技术解决目前的异常流量检测装置检测性能低下和清洗效果不理想等问题，提高检测和清洗的准确率。

【技术实现步骤摘要】

本专利技术涉及网络流量统计分析领域，尤其涉及。
技术介绍
拒绝服务攻击(DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起，同时由于攻击方法简单、影响较大、难以追查等特点，又使得分布式拒绝服务攻击(DDoS，Distributed Denial of Service)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机，形成了规模巨大的攻击和网络流量，对被攻击网络造成了极大的危害。随着DDoS攻击技术的不断提高和发展，互联网服务提供商(ISP，InternetService Provider)、因特网内容提供商(ICP，Internet Content Provider)、互联网数据中心(IDC，Internet Data Center)等运营商面临的安全和运营挑战也不断增多，运营商必须在DDoS威胁影响关键业务和应用之前，对流量进行检测并加以清洗，确保网络正常稳定的运行以及业务的正常开展。同时，对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务，以获得更好的用户满意度。关于应对DD0S攻击，有两个核心的要求，第一是能及时发现异常的情况(即可能出现攻击)，第二是在大流量的攻击中把真正的攻击者找出来。目前的异常流量检测方法一般是采用旁路部署检测设备，串联部署清洗设备的使用方法，其检测设备一般既检测异常的目标IP亦会尝试找出攻击的IP即源IP，然后向清洗设备宣告异常，清洗设备对异常进行特定的清洗策略进行简单的过滤清洗，这种方法的缺陷在于检测设备需要对大量的目标进行统计检测时已经消耗了极大的性能，再加上尝试找出攻击IP，不但会使性能大大减低，其准确率也不理想，而清洗设备清洗策略过于简单，会产生误杀或者清洗不干净问题，对网络中的用户产生了不好的体验。
技术实现思路
有鉴于此，本专利技术实施例提供，以解决现有技术中的技术问题。本专利技术实施例提供了，包括:检测设备对报文的目标IP进行统计和检测；所述检测设备筛选出异常的目标IP，并向清洗设备发出通告；所述清洗设备对含有所述异常的目标IP的报文进行源IP统计、特征码统计和报文长度概率统计后再进行清洗过滤。本专利技术的有益效果:本专利技术提供的，对流量进行分离统计，检测设备对目标IP进行统计检测，发现异常后由清洗设备对源IP、特征码和报文长度概率进行统计后再进行清洗过滤，这样检测设备能专心于对目标进行统计检测，性能将大大提升，而清洗设备会精确到对每一个源IP进行统计，能把误杀和清洗不干净的情况出现降到最低，可以大大提高清洗的效果。【附图说明】通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本专利技术的其它特征、目的和优点将会变得更明显:图1是本专利技术实施例一提供的的流程图；图2是本专利技术实施例二提供的一种检测设备对目标IP统计的流程图；图3是本专利技术实施例三提供的的具体流程图。【具体实施方式】下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本专利技术，而非对本专利技术的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本专利技术相关的部分而非全部内容。实施例一图1是本专利技术实施例一提供的的流程图。该方法适用于在大流量环境下，对异常流量进行检测和清洗的情况。比如一些运营商可以应用此方法来对流量进行检测并加以清洗，确保网络正常稳定的运行以及业务的正常开展。该方法由异常流量检测的检测装置和清洗装置执行，该装置可设置在终端中，可以采用软件和/或硬件的形式实现。如图1所示，该方法包括:S110、检测设备对报文的目标IP进行统计和检测。异常流量检测方法的执行设备包括检测设备和清洗设备。先由检测设备接收服务器传来的报文，并由检测设备完成统计和检测。进一步的，检测设备在对接收到报文时，从所述报文中取出目标IP。检测设备只统计和检测目标IP。所述检测设备判断所述目标IP是否存在于哈希数组中，若不存在，在所述哈希数组的统计总报文数单元PKG、统计每秒报文数单元PS、统计正常的报文数单元N0R、统计报文平均值单元AVG和检测异常持续时间单元ATT的子数组中，为所述目标IP地址设置对应的数组位，设置初始值为零，并将PKG中对应的数组位的值加1 ;若存在，直接使所述目标IP对应的PKG数组位的值加1。哈希函数存在于检测设备中，是一个大单元，里面有五个子单元，分别是PKG、PS、NOR、AVG和ATT，然后这些子单元又都是一个数组，数组中设置有数组位来表征对应的目标IP。进一步的，检测设备对报文的目标IP进行检测包括:检测设备建立统计线程，每隔一秒对所述哈希数组中所有数组位进行遍历计算，逐一取出目标IP对应的各个数组位上的值，根据其前后一秒PKG的值相减得出与所述目标IP对应的PS的值，并且使所述目标IP的建立时间加1。进一步的，若所述目标IP建立时间小于30秒，把与目标IP相对应的PS的值累加进NOR的值，然后用NOR的值除以所述目标IP的建立时间得出AVG的值。若所述目标IP建立时间不小于30秒:若所述目标IP对应的PS的值小于AVG的值的四倍时把PS的值累加进N0R的值中，然后用所述N0R的值除以其建立时间得出新的AVG的值，若目标IP对应的ATT的值大于零，则所述ATT的值减1，若所述目标IP对应的PS的值不小于AVG的值的四倍，所述ATT的值加1，若所述ATT的值大于10，则所述目标IP发生异常并向清洗设备发出通告。建立统计线程是为了对哈希数组中的与目标IP相对应的各个数组位上的值进行实时的更新。检测设备只统计和检测目标IP，为每个目标IP建立的前30秒建立流量动态基线并以此来对该IP后续流量进行动态调整并检测其是否出现异常。目标IP建立前不超过30秒为正常，一旦超过30秒则对其哈希数组中对应的各个数组位上的值进行检测和分析。当超过30秒时，以PS的值和四倍的AVG的值形成比较的门限值来判断目标IP在一秒内是否正常。通过ATT统计目标IP异常的持续时间，当此目标IP异常持续时间超过10秒判定为异常的目标IP。S120、检测设备筛选出异常的目标IP，并向清洗设备发出通告。检测设备与清洗设备之间唯一的联系即为目标IP，当检测设备筛选出异常的目标IP则向清洗设备发出通告，告知异常的目标IP。进一步的，在检测设备筛选出异常的目标IP，并向清洗设备发出通告之后，还包括:清洗设备接收到异常通告并从中取出异常目标IP，为所述异常目标IP建立统计总报文数单元Τ0Τ、统计每个源IP的报文单元ICT、统计每种报文长度的数量单元LEN和统计报文样本单元DNA，并生成一个随机数R用于抽取报文样本。检测设备和清洗设备的所有单元都是独立的，这里建立的单元都是在清洗设备上的。当清洗设备得知异常目标IP时，再为其建立各个统计单元。对流量进行分离统计，检测设备统计目标IP而清洗设备统计源IP，不仅能使检测的性能大大提升，而且可以大大提高清洗的效果，误杀和清洗不干净的情况得到极大的改口 οS130、所述清洗设备对含有所述异常的目标IP的报文进行源IP统计、特征码统计和报文长度概率统计后再进行清洗过滤。清洗设备在对流量进行源本文档来自技高网...

【技术保护点】
一种异常流量检测的方法，其特征在于，包括：检测设备对报文的目标IP进行统计和检测；所述检测设备筛选出异常的目标IP，并向清洗设备发出通告；所述清洗设备对含有所述异常的目标IP的报文进行源IP统计、特征码统计和报文长度概率统计后再进行清洗过滤。

【技术特征摘要】

【专利技术属性】
技术研发人员：梁润强，麦剑，闵宇，曾宪力，黄劲聪，杨燕青，
申请(专利权)人：广东睿江科技有限公司，
类型：发明
国别省市：广东;44