一种基于数据面的攻击检测方法及设备技术

本发明专利技术公开了一种基于数据面的攻击检测方法及设备，攻击检测方法包括：获取发往目标设备的数据流；对数据流进行解析得到多个特征值，将多个特征值形成待检测特征流，其中，特征值指向源端设备；估算待检测特征流的目标基数值，以确定数据流对应的源端设备的数目；判断目标基数值是否大于预设的告警阈值；若目标基数值大于告警阈值，则确定目标设备受到攻击。在本发明专利技术中，网络设备本身就可以完成攻击包的检测，而且不需要将数据流上传至控制面处理，在数据面就可以完成检测，可以满足高速转发的要求。在数据量比较大的情况下，无需部署大量的防攻击设备，就可以快速完成检测。

【技术实现步骤摘要】
一种基于数据面的攻击检测方法及设备
本专利技术属于攻击检测领域，更具体地，涉及一种基于数据面的攻击检测方法及设备。
技术介绍
当今互联网存在的安全问题越来越突出，网络安全威胁无处不在。所谓的网络安全威胁，即是通过特定技术或工具，对在网络、服务器和桌面上的数据未经授权进行访问，甚至破坏或者修改这些数据，是当今网络安全中面临的基本威胁。网络安全威胁的一个重要部分是来自网络自身(主要是网络设备，包括路由器、交换机等)的安全。网络设备主要面对的是基于TCP/IP协议的攻击。网络设备的功能可以分为以下几个层面：网络数据传送、网络控制信令和网络设备管理。相应地，网络设备的安全威胁即是针对于这几个层面展开的。网络数据传送层面的功能是负责处理进入设备的数据流，它有可能受到基于流量的攻击，例如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间，造成正常的数据流量无法得到处理，使设备的可用性降低。攻击者开发了分布式的攻击方式——DDoS(DistributedDenialofService)攻击，攻击者利用工具集合许多的网络带宽本文档来自技高网...

【技术保护点】
1.一种基于数据面的攻击检测方法，其特征在于，所述攻击检测方法包括：/n获取发往目标设备的数据流；/n对所述数据流进行解析得到多个特征值，将多个所述特征值形成待检测特征流，其中，所述特征值指向源端设备；/n估算所述待检测特征流的目标基数值，以确定所述数据流对应的源端设备的数目；/n判断所述目标基数值是否大于预设的告警阈值；/n若所述目标基数值大于所述告警阈值，则确定所述目标设备受到攻击。/n

【技术特征摘要】
1.一种基于数据面的攻击检测方法，其特征在于，所述攻击检测方法包括：
获取发往目标设备的数据流；
对所述数据流进行解析得到多个特征值，将多个所述特征值形成待检测特征流，其中，所述特征值指向源端设备；
估算所述待检测特征流的目标基数值，以确定所述数据流对应的源端设备的数目；
判断所述目标基数值是否大于预设的告警阈值；
若所述目标基数值大于所述告警阈值，则确定所述目标设备受到攻击。


2.根据权利要求1所述的攻击检测方法，其特征在于，所述估算所述待检测特征流的目标基数值包括：
确定可接受的估算误差值，根据误差估算公式和所述估算误差值进行计算，以确定分桶数量m；
对所述待检测特征流进行分桶，得到m个子特征流；
分别确定各个所述子特征流对应的子基数值；
对m个所述子基数值进行调和平均，得到所述目标基数值。


3.根据权利要求2所述的攻击检测方法，其特征在于，所述分别确定各个所述子特征流对应的子基数值包括：
建立包含m个寻址位的寻址表，其中，每一个所述寻址位用于存储一个所述子特征流的判决数q；
针对每一所述子特征流进行哈希运算，得到预设位数的要素数据；
将所述要素数据的低N位作为寻址地址，将所述要素数据除低N位以外的位作为基数估算的判决位；
对所述判决位进行解析得到连续0的位数，将所述连续0的位数标记为所述子特征流的判决数q；
根据所述寻址地址确定相应的所述寻址位，将所述判决数q写入相应的所述寻址位，其中，所述子特征流对应的子基数值等于2q。


4.根据权利要求3所述的攻击检测方法，其特征在于，所述检测方法还包括：
若所述目标基数值不大于所述告警阈值，判断计时器是否超时；
若所述计时器超时，则将所述计时器清零；
在将所述寻址表的各个所述寻址位上的值清零后，获取新的待检测特征流，估算所述新的待检测特征流的目标基数值，以确定所述目标设备是否受到攻击...

【专利技术属性】
技术研发人员：沈胜庆，黄婷熙，程友清，
申请(专利权)人：烽火通信科技股份有限公司，
类型：发明
国别省市：湖北;42