【技术实现步骤摘要】
网络异常检测系统及方法
[0001]本专利技术涉及一种网络异常检测系统及方法。
技术介绍
[0002]传统的以太网在传输数据包时需要经过内核网络协议栈的处理才能被发送到网卡上,中间需要处理器的参与,并且在用户态、内核、网卡等层面需要经过多次的内存拷贝。远程直接内存访问技术(Remote Direct Memory Access,RDMA)利用专用的网卡,将数据包的处理与传输卸载到网卡上,数据传输的过程不需要处理器的参与,并且网卡可以直接读写应用的内存,实现了数据的“零拷贝”,从而实现了低延迟、高带宽的优势。
[0003]使用RDMA网络时需要部署专用的网络适配器(网卡),目前使用比较普遍的是由迈洛思公司生产的网卡。该公司同时提供了相应的网卡驱动来保证用户可以正常地使用网卡进行通信。同时,为了能够对网卡使用过程中产生的异常和错误进行监控,该驱动程序提供了十几种硬件计数器来统计网卡使用时产生的错误或异常。这一部分硬件计数器的数据存放在网卡驱动的端口文件夹下。其中包括了针对于整个设备的硬件计数器和针对于每个端口的计数器。另...
【技术保护点】
【技术特征摘要】
1.一种网络异常检测系统,该系统包括:属于硬件的网卡,属于内核层的网卡驱动、共享内存、接收相关的硬件计数器、发送相关的硬件计数器、数据收集模块、异常处理模块,属于应用层的异常检测进程,其特征在于:所述数据收集模块用于收集接收方硬件计数器数据;所述共享内存用于共享所述硬件计数器数据;所述异常检测进程用于通过所述硬件计数器数据,检测网络中是否出现异常问题;所述异常处理模块用于在检测到网络中存在异常时,处理异常问题。2.如权利要求1所述的系统,其特征在于,所述的所述数据收集模块用于:定期收集所有与异常或错误相关的硬件计数器的数据,以及在收集数据的同时对数据量进行判断,当数据量高于正常值时,向用户态的异常检测进程发出通知;其中,所述数据为本次的时间点与上一次收集的时间点之间的时间段内的数据差。3.如权利要求2所述的系统,其特征在于,所述共享内存为在系统初始化时绑定的,其用于在数据收集模块与异常检测进程之间共享关于硬件计数器的一个时间段内的数据,所述共享内存在该系统开启时始终有效,并且不会被操作系统上其他的进程占用、不会被换出到硬盘上。4.如权利要求3所述的系统,其特征在于,所述的异常检测进程当收到来自内核的异常通知时,首先判断异常的类型,该类型由系统根据计数器的值定义,对于00000类型,向用户输出异常信息,由用户自行判断并处理;对于其他的异常类型,所述异常检测进程立即创建一个新的线程也即异常判断线程来处理,所述线程判断异常类型数据上的每个二进制位是否为1,来判断具体有哪几个计数器出现了异常。5.如权利要求4所述的系统,其特征在于,所述的所述异常检测进程具体用于:当只有端口丢弃的报文计数器出现异常时,先测试与其他主机连接的延迟与可用性:当该延迟比较高时,则认定有拥塞的发生,提醒其他主机暂时放缓发送数据包的速度;而如果延迟没有那么高,很有可能是有恶意主机伪造数据包在不断尝试破解其他主机的连接,此时异常处理进程向其他主机利用以太网发送请求,检查本地虚拟机的在该时段的连接数量与趋势,以及本地的计数器异常信息,及时切断;当访问错误计数器出现了大于2的数据时,说明有数据包携带了错误的远程内存访问秘钥,这是潜在的伪造数据包窃取信息的威胁,则将该异常类型发送到集群所有主机上,做...
【专利技术属性】
技术研发人员:李永康,王洋,须成忠,
申请(专利权)人:中国科学院深圳先进技术研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。