对网络攻击进行检测的方法和装置的制作方法

专利名称：对网络攻击进行检测的方法和装置的制作方法
技术领域：
本发明涉及计算机应用技术领域，尤其涉及一种对网络攻击进行检测的 方法禾口装置。
背景技术：
随着网络技术的发展，越来越多的企业业务通过互耳关网来实现，与此同 时，网络安全也成为一个无法回避的问题摆在人们的面前。传统上，企业往 往将防火墙作为网络安全的第一道防线，但由于网络攻击技术手段的日益复 杂，单纯地依靠防火墙，已经无法防范复杂多变的网络攻击行为。入侵检测 系统作为防火墙的补充，已成为检测网络攻击行为更加有效的技术手段。
入侵检测系统通过对网络或系统中的若干关键点收集信息，并对收集到 的信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻
击的迹象。入侵检测系统一般包括3个功能信息收集、信息分析和结果处 理。信息收集的内容包括系统、数据、网络和用户活动的状态和行为。信息 分析主要指通过模式匹配、统计分析等方法从收集的信息中发现各种可疑或 者攻击行为。结果处理指发现各种攻击行为之后的后续处理过程，通常指报 警或者网络隔离等。
现有技术中的一种基于主机统计指标的入侵检测系统的实现原理示意图 如图1所示，该入侵检测系统的具体处理过程主要包括将入侵;险测设备通过 侧挂的方式部署在网络上，并在入侵检测设备中设置需要进行检测的主机的 监控列表。然后，入侵检测设备根据从网络中获取的报文的IP地址的不同， 分别对监控列表中的各个主机按照主机统计指标进行统计，统计各个主机的系统日志、文件或者目录的异常变化、程序的可疑行为等，如果某主机的统 计值超过预先设定或者根据训练预测出的阈值，就对该主机进行报警。
在实现本发明过程中，发明人发现上述基于主机统计指标的入侵检测系
统中至少存在如下问题由于统计数据量大，这种入侵检测系统只能监控预 先设定的部分主机。缺少检测网络异常的网络统计指标，对不引起主机异常 的某些攻击行为不能有效的检测。例如，在针对目标网络的地址扫描攻击 中，攻击者会给目标网络内的每台主机发送一次SYN (Synchronization,同 步)报文，以获取目标网络的主机活动情况，但这不会引起任何一个主机的 异常。
现有技术中的 一种基于网络统计指标来检测网络异常的入侵检测系统的 实现原理示意图如图2所示，该入侵检测系统的具体处理过程主要包括将入 侵检测设备部署在网络设备上，该入侵检测设备从网络设备获取报文，然 后，根据获取的报文对其监视的整个子网按照网络统计指标进行统计，如果 统计值超过预先设定或者通过训练预测出的阈值，就对该子网进行报警。
在实现本发明过程中，发明人发现上述基于网络统计指标来检测网络异 常的入侵^r测系统中至少存在如下问题
与主机统计指标相比，网络统计指标粒度比较粗，对于不引起网络异常 的某些攻击行为不能检测。例如针对某主机的端口扫描，攻击者会在较短的 时间内访问目标主机的大量端口 ，但如果网络内主机较多，这种异常会被淹 没在正常的网络流量中。同理，针对某个主机的低速率攻击也会因为异常流 量被淹没而无法#:测到。
本发明的实施例提供了 一种对网络攻击进行检测的方法和装置，以克服 现有技术中的基于主机统计指标的检测方法不能检测出不引起主机异常的攻

发明内容
7击行为、基于网络统计指标的检测方法不能检测出不引起网络异常的攻击行 为的问题。
一种对网络攻击进行检测的方法，包括 从网络设备中获取报文，对所述报文进行解析；
根据解析结果，对所述报文对应的主机监控列表中的主机按照预先设定 的主才几统计指标进行主机异常才全测，并且对所述主机监控列表中所有主机组 成的子网按照预先设定的网络统计指标进行网络异常冲全测。
一种检测装置，包括
报文解析模块，用于从网络设备中获取报文，对所述报文进行解析； 检测处理模块，用于根据所述解析结果，对所述报文对应的主机监控列 表中的主机按照预先设定的主机统计指标进行主机异常4全测，并且对所述主 机监控列表中所有主机组成的子网按照预先设定的网络统计指标进行网络异 常检测。
由上述本发明的实施例提供的技术方案可以看出，本发明实施例通过将 基于主机统计指标的检测方法和基于网络统计指标的检测方法有机结合，并 根据异常的具体情况对实时保存的报文数据进行分析，可以保证在系统资源 有限的情况下，对各种攻击行为进行有效的检测。


为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所 需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发 明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的 前提下，还可以根据这些附图获得其他的附图。
图1为现有技术中的一种基于主机统计指标的入侵检测系统的实现原理示 意图；图2为现有技术中的 一种基于网络统计指标来检测网络异常的入侵检测系
统的实现原理示意图3为本发明实施例一提供的一种对网络攻击进行检测的方法的实现原理 示意图4为本发明实施例一提供的 一种对网络攻击进行检测的方法的处理流程
图5为本发明实施例二提供的检测端口扫描攻击的方法的处理流程图； 图6为本发明实施例三提供的^r测地址扫描攻击的方法的处理流程图； 图7为本发明实施例四提供的检测SYN Flood (流)形式的DoS攻击的方 法的处理流程图8为本发明实施例五提供的检测SYN Flood (流)形式的DDoS攻击的
方法的处理流程图9为本发明实施例提供的一种检测装置的结构示意图。
具体实施例方式
在本发明实施例中，配置主机监控列表，设定针对主机监控列表中的各 个主才几的主机统计指标和相应的阈值，以及设定针对主机监控列表中所有主 机对应的子网的网络统计指标和相应的阈值。
然后，从网络设备中获取报文，对所述报文进行解析，根据解析结果对 所述才艮文对应的主机监控列表中的主机按照预先i殳定的主才几统计指标和相应 的阈值，进行主机异常检测，并且对所述主机监控列表中所有主机组成的子 网按照预先设定的网络统计指标和相应的阈值，进行网络异常检测。
进一步地，将检测设备以侧挂或者直连的方式部署在网络中的交换机或 者出口路由器处，所述检测设备通过镜像或者过滤的方式，获取通过其所部 署的交换机或者路由器的报文。进一步地，获取所述报文的源IP或者目的IP地址，当所述报文的源IP或者 目的IP地址属于所述主机监控列表中的某个主机时，获取并保存所述报文的 头部数据；根据所述报文的头部数据对所述某个主机的相应主机统计指标进 行更新，并且对所述主机监控列表中所有主机组成的子网的相应网络统计指
标进行更新；根据更新后的所述主机统计指标，以及预先设定的各个主才几的
主机统计指标的阈值，判断所述主机监控列表中各个主机是否出现异常，根 据更新后的所述网络统计指标，以及预先设定的子网的网络统计指标的阈 值，判断所述主机监控列表中所有主机对应的子网是否出现异常。
进一步地，当判断所述主机监控列表中所有主机对应的子网出现了异 常，并且确定是不在所述主机监控列表中的其它主机出现了异常导致了所述 子网异常，则根据预先设定的策略决定是否将所述其它主机添加到所述主机 监控列表中。
为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例 做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。
实施例一
该实施例提供的 一种对网络攻击进行检测的方法的实现原理示意图如图3 所示，具体处理流程如图4所示，包括如下处理步骤
步骤41、在入侵检测设备中配置主机监控列表，设定针对主机监控列表 中的各个主机的主机统计指标，以及针对整个主机监控列表中所有主机对应 的子网的网络统计指标。
将入侵检测设备以侧挂或者直连的方式部署在网络内部的交换机或者出 口路由器处。根据指定的监控策略，如重点监控的主机、系统资源的占有率 等，在入侵检测设备中预先配置需要监控的主机监控列表。
10然后，根据主机监控列表中各个主机的部署位置及功能，设定针对主机 监控列表中的各个主机的主机统计指标的阈值。该主机统计指标主要包括
单位时间内主机的连接数，单位时间内主机收到的SYN报文的数目，单位时 间内主机收到的ICMP (Internet Control Message Protocol,互联网消息协 议)报文的数目，单位时间内访问主机的端口数目，单位时间内访问主机端 口的次数等。上述主机统计指标由于是针对特定的单个主机进行统计，可以 对偶然的、低流量的攻击行为进行有效的纟企测，但如果主机监控列表中主机 的数目比较多，将耗费较多的系统资源。
在该实施例中，还需要设定针对整个主机监控列表中所有主机组成的子 网的网络统计指标的阈值。该网络统计指标主要包括单位时间内进入网络 的报文数，单位时间内进入网络的字节数，单位时间内进入网络的SYN报文 数等。网络统计指标是针对整个子网进行统计的，因此只需要耗费很少的系 统资源，但由于检测粒度比较粗，只能够检测某些特定的攻击行为。
步骤42、入侵检测设备获取报文，对报文进行解析，提取并保存报文的 头部数据。
上述入侵检测设备通过镜像或者过滤的方式，获取通过其所部署的交换 机或者路由器的报文。
对上述获取的报文进行解析，判断该报文的源IP或者目的IP地址是否属 于上述主机监控列表中的某个主机，如果是，提取并保存该报文的头部数 据，用于后续的攻击检测分析；否则，对该报文不作处理，流程结束。
步骤43、根据保存的报文的头部数据，对主机监控列表中的各个主机按 照主机统计指标进行主机异常检测，对整个监控列表按照网络统计指标进行 网络异常检测。
在进行网络攻击检测的检测周期到来后，根据保存的报文的头部数据，对主机监控列表中的各个主枳』按照主才几统计指标进行主机异常4全测，对整个 监控列表按照网络统计指标进行网络异常检测。
对上述保存的报文的头部数据进行分析，根据分析结果对针对该报文对 应的主机的主机统计指标进行更新，同时对针对整个子网的网络统计指标进 行更新。
比如，通过对某个报文的头部数据进行分析，确定该报文为SYN报文， 并且该报文的目的IP地址为主机监控列表中某个主机。则对该某个主机的主 机统计指标中的单位时间内主机收到的SYN报文的数目增加一次，同时，对 针对整个子网的网络统计指标中的单位时间内进入网络的SYN报文数目增加 一次。
根据上述更新后的各个主机的主机统计指标，以及预先设定的各个主机 的主机统计指标的阈值，判断各个主机是否出现异常，是否遭到攻击。
根据上述更新后的针对整个子网的网络统计指标，以及预先设定的网络 统计指标的阈值，判断整个主机监控列表中所有主机组成的子网是否出现异 常，是否遭到攻击，如果判断出整个主机监控列表中所有主机组成的子网出 现了异常，并且确定了是不在上述主机监控列表中其它主机出现了异常，则 将该其它主机添加到上述主机监控列表中。
比如，主机监控列表中有主机A，B，C，它们构成的子网为S1，此时外部主 机D发送给主机E的报文，将直接丢弃，不做任何处理。主机D发送给主机A、 B或者C的报文，需要进行处理。如果这些报文引起了子网S1的异常，就对这 些报文进行分析，分析的结果发现异常产生的原因是主机D。此时，可以根据 预先设定的策略决定是否将主机D加入到监控列表中，上述预先设定的策略可 以为如果主机D属于A、 B、 C所在的本地子网，则将主机D加入到主机监控 列表；如果主机D是一个远程的外部主机，与本地的网络无关联，则不将主机
12D加入到主机监控列表。 实施例二
该实施例提供的检测端口扫描攻击的方法的处理流程如图5所示，包括如 下处理步骤
步骤51 、单位时间内主机监控列表中的某个主机上收到的SYN报文的数 目超过了预先设定的阈值。
步骤52、获取发送上述SYN报文的源主机，判断上述某个主机上被上述 源主机访问的端口的数目是否超过了预先设定的阈值，如果是，比如，上述 某个主机上有80, 79等多个端口被上述源主机访问，则执行步骤53,否则；
流程结束。
步骤53、确定上述源主机正在对上述某个主机进行端口扫描攻击。然 后，判断上述源主机是否在主机监控列表中，如果不在，则根据预先设定的 策略决定是否将源主机加到主机监控列表中。比如，如果上述源主机是希望 监控的主机或者系统资源可用，则将其加入到主机监控列表中。
实施例三
该实施例提供的检测地址扫描攻击的方法的处理流程如图6所示，包括如 下处理步骤
步骤61 、单位时间内整个主机监控列表中的所有主机组成的子网收到的 SYN报文的数目超过了预先设定的阈值。
步骤62、获取发送上述SYN报文的源主机，判断上述主机监控列表中被 上述源主机连接的主机的数目是否超过了预先设定的阈值，如果是，则执行步骤63,否则；流程结束。
步骤63、确定上述源主机正在对上述整个主机监控列表中的所有主才几组 成的子网进行地址扫描攻击。然后，判断上述源主机是否在主机监控列表 中，如果不在，则根据预先设定的策略决定是否将源主机加到主机监控列表 中。比如，如果上述源主机是希望监控的主机或者系统资源可用，则将其加 入到主机监控列表中。
实施例四
该实施例提供的检测SYN Flood (流)形式的DoS攻击的方法的处理流程 如图7所示，包括如下处理步骤
步骤71 、单位时间内主机监控列表中的某个主机端口上收到的SYN报文 的数目超过了预先设定的阈值。
步骤72、获取发送上述SYN报文的源主机，判断上述源主机访问上述某 个主机端口的总次数是否超过了预先设定的阈值，如果是，则执行步骤73, 否则；流程结束。
步骤73、判断上述源主机访问上述某个主机端口的失败次数是否超过了 预先设定的阈值，如果是，则执行步骤74,否则；流程结束。
步骤74、确定上述源主机正在对上述某个主机的某个端口进行DoS攻 击。然后，判断上述源主机是否在主机监控列表中，如果不在，则根据预先 设定的策略决定是否将源主机加到主机监控列表中。比如，如果上述源主机 是希望监控的主机或者系统资源可用，则将其加入到主机监控列表中。
实施例五
Syn形式的DDoS攻击是指多个源主机同时向受害主机发送SYN报文。该实施例提供的检测SYN Flood形式的DDoS攻击的方法的处理流程如图8所
示，包括如下处理步骤
步骤81、单位时间内主机监控列表中的某个主机收到的SYN报文的数目 超过了预先设定的阈值。
步骤82、获取发送上述SYN报文的多个源主机，判断上述多个源主机的 数目是否超过了预先设定的阈值，如果是，则执行步骤83,否则；流程结束。
步骤83、判断上述多个源主机中的每个源主机连接上述某个主机的失败 次数是否超过了预先设定的阈值，如果是，则执行步骤84,否则；流程结束。
步骤84、确定上述多个源主机正在对上述某个主机进行DDoS攻击。然 后，判断上述多个源主机是否在主机监控列表中，如果不在，则根据预先设 定的策略决定是否将多个源主机加到主机监控列表中。比如，如果上述多个 源主机是目标网络内的主4几，则需要加入到主机监控列表，如果上述多个源 主机是外部的主机，则由管理员或者配置文件决定是否需要加入到主机监控 列表中。
本发明实施例还提供了一种检测装置，其具体实现结构如图9所示，具体 可以包括
报文解析模块91,用于从网络设备中获取报文，对所述报文进行解析； 检测处理模块92，用于根据所述解析结果，对所述报文对应的主机监控 列表中的主机按照预先设定的主机统计指标进行主机异常^r测，并且对所述 主机监控列表中所有主机组成的子网按照预先设定的网络统计指标进行网络 异常4全测。所述装置还可以包括
配置处理模块93，用于配置主机监控列表，设定主机监控列表中的各个 主才几的主机统计指标和相应的阈值，以及i殳定主才几监控列表中所有主才几组成 的子网的网络统计指标和相应的阈值。
所述检测处理模块具体包括
报文头部数据获取模块921 ，用于获取所述报文的源IP或者目的IP地址， 当所述报文的源IP或者目的IP地址属于所述主机监控列表中的某个主机时， 获取并保存所述报文的头部数据；
更新处理模块922,用于根据所述报文的头部数据对所述某个主机的相应 主机统计指标进行更新，并且对所述主才几监控列表中所有主机组成的子网的 相应网络统计指标进4亍更新；
异常检测模块923，用于根据更新后的所述主机统计指标，以及预先设定 的各个主机的主机统计指标的阈值，判断所述主机监控列表中各个主机是否 出现异常；以及，根据更新后的所述网络统计指标和预先设定的子网的网络 统计指标的阈值，判断所述主机监控列表中所有主机组成的子网是否出现异 常。
主机监控列表处理模块924，用于当判断所述主机监控列表中所有主机组 成的子网出现了异常，并且确定是不在所述主机监控列表中的其它主机异常 导致了所述子网异常，则根据预先设定的策略决定是否将所述其它主机添加 到所述主机监控列表中。
程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于 一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施 例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或P逭才几存A者i己忆体(Random Access Memory, RAM)等。
综上所述，本发明实施例通过将基于主机统计指标的检测方法和基于网 络统计指标的检测方法有机结合，并根据异常的具体情况对实时保存的报文 数据进行分析，可以保证在系统资源有限的情况下，对各种攻击行为进行有 效的检测。比如，能够检测出主机监控列表中的主机异常，能够检测出整个 主机监控列表中所有主机组成的子网异常、能够检测出对主机监控列表中的 主机的端口扫描攻击和SYN Flood形式的DoS/DDoS攻击、能够检测出对整个 主机监控列表中所有主机组成的子网的地址扫描攻击。
本发明实施例通过动态更新主机监控列表，可以在系统资源有限的情况 下，提高入侵检测系统的针对性，更加有效地检测网络攻击。
以上所述，仅为本发明较佳的具体实施方式
，但本发明的保护范围并不 局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可 轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明 的保护范围应该以权利要求的保护范围为准。
权利要求
1、一种对网络攻击进行检测的方法，其特征在于，包括从网络设备中获取报文，对所述报文进行解析；根据解析结果，对所述报文对应的主机监控列表中的主机按照预先设定的主机统计指标进行主机异常检测，并且对所述主机监控列表中所有主机组成的子网按照预先设定的网络统计指标进行网络异常检测。
2、 根据权利要求1所述的对网络攻击进行检测的方法，其特征在于，所 述方法还包括配置主机监控列表，设定主机监控列表中的各个主机的主机统计指标和 相应的阈值，以及设定所述主机监控列表中所有主机组成的子网的网络统计 指标和相应的阈值。
3、 根据权利要求1所述的对网络攻击进行检测的方法，其特征在于，所 述的从网络设备中获取报文，具体包括将检测设备以侧挂或者直连的方式部署在交换机或者出口路由器处，使 所述检测设备通过镜像或者过滤的方式，获取通过所述交换机或者出口路由 器的报文。
4、 根据权利要求1至3任一项所述的对网络攻击进行检测的方法，其特征 在于，所述的根据解析结果，对所述报文对应的主机监控列表中的主机按照 预先设定的主机统计指标进行主机异常检测，并且对所述主机监控列表中所 有主机组成的子网按照预先设定的网络统计指标进行网络异常检测，具体包 括获取所述报文的源IP或者目的IP地址，当所述报文的源IP或者目的IP地址属于所述主机监控列表中的某个主机时，获取并保存所述报文的头部数据；根据所述报文的头部数据对所述某个主机的相应主机统计指标进行更 新，并且对所述主机监控列表中所有主机组成的子网的相应网络统计指标进行更新；才艮据更新后的所述主机统计指标，以及预先设定的各个主机的主才几统计 指标的阈值，判断所述主机监控列表中各个主机是否出现异常；根据更新后 的所述网络统计指标，以及预先设定的子网的网络统计指标的阈值，判断所 述子网是否出现异常。
5、 根据权利要求4所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括当判断所述子网出现了异常，并且确定是不在所述主机监控列表中的其 它主机异常导致了所述子网异常，则根据预先设定的策略决定是否将所述其 它主机添加到所述主机监控列表中。
6、 根据权利要求4所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括当确定单位时间内所述主机监控列表中的某个主机上收到的同步报文的 数目超过了预先设定的阈值时，获取发送所述同步报文的源主机，如果所述 某个主机上被所述源主机访问的端口的数目超过了预先设定的阈值，则确定 所述源主机正在对所述某个主机进行端口扫描攻击；当所述源主机不在所述主机监控列表中时，根据预先设定的策略决定是 否将所述源主机添加到所述主机监控列表中。
7、 根据权利要求4所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括当确定单位时间内所述子网收到的同步报文的数目超过了预先设定的阈 值时，获取发送所述同步报文的源主机，如果判断出所述主机监控列表中被所述源主机连接的主机的数目超过了预先设定的阈值，则确定所述源主机正 在对所述子网进行地址扫描攻击；当所述源主机不在所述主机监控列表中时，根据预先设定的策略决定是 否将所述源主机添加到所述主机监控列表中。
8、 根据权利要求4所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括当确定单位时间内所述主机监控列表中的某个主机端口上收到的同步报 文的数目超过了预先设定的阈值时，获取发送所述同步报文的源主机，当判 断出所述源主机访问所述某个主机端口的总次数和失败次数都超过了预先设 定的阈值，则确定所述源主机正在对所述某个主机端口进行DoS攻击；当所述源主机不在所述主机监控列表中时，根据预先设定的策略决定是 否将所述源主机添加到所述主机监控列表中。
9、 根据权利要求4所述的对网络攻击进行检测的方法，其特征在于，所 述的方法还包括当确定单位时间内所述主机监控列表中的某个主机收到的同步报文的数 目超过了预先设定的阈值时，获取发送所述同步报文的多个源主机，当判断 出所述多个源主机的数目超过了预先设定的阈值，并且所述多个源主机中的 每个源主机连接所述某个主机失败的次数都超过了预先设定的阈值，则确定 所述多个源主机正在对所述某个主机进行DDoS攻击；当所述多个源主机不在所述主机监控列表中时，根据预先设定的策略决 定是否将所述多个源主机添加到所述主机监控列表中。
10、 一种检测装置，其特征在于，包括报文解析模块，用于从网络设备中获取报文，对所述报文进行解析； 检测处理模块，用于根据所述解析结果，对所述报文对应的主机监控列 表中的主机按照预先设定的主机统计指标进行主机异常检测，并且对所述主机监控列表中所有主机组成的子网按照预先设定的网络统计指标进行网络异 常检测。
11、 根据权利要求10所述的检测装置，其特征在于，所述装置还包括配置处理模块，用于配置主机监控列表，设定主机监控列表中的各个主 机的主机统计指标和相应的阈值，以及设定主机监控列表中所有主机组成的 子网的网络统计指标和相应的阈值。
12、 根据权利要求10或11所述的检测装置，其特征在于，所述检测处理 模块具体包括报文头部数据获取模块，用于获取所述报文的源IP或者目的IP地址，当 所述报文的源IP或者目的IP地址属于所述主机监控列表中的某个主机时，获 取并保存所述报文的头部数据；更新处理模块，用于根据所述报文的头部数据对所述某个主机的相应主 机统计指标进行更新，并且对所述子网的相应网络统计指标进行更新；异常检测模块，用于根据更新后的所述主机统计指标，以及预先设定的 各个主机的主机统计指标的阈值，判断所述主机监控列表中各个主机是否出 现异常；以及，根据更新后的所述网络统计指标和预先设定的子网的网络统 计指标的阈值，判断所述子网是否出现异常。
13、 根据权利要求12所述的检测装置，其特征在于，所述检测处理模块 还包括主机监控列表处理模块，用于当判断所述子网出现了异常，并且确定是 不在所述主机监控列表中的其它主机异常导致了所述子网异常，则根据预先 设定的策略决定是否将所述其它主机添加到所述主机监控列表中。
全文摘要
本发明提供了一种对网络攻击进行检测的方法和装置。该方法主要包括从网络设备中获取报文，对所述报文进行解析；根据解析结果，对所述报文对应的主机监控列表中的主机按照预先设定的主机统计指标进行主机异常检测，并且对所述主机监控列表中所有主机组成的子网按照预先设定的网络统计指标进行网络异常检测。本发明通过将基于主机统计指标的检测方法和基于网络统计指标的检测方法有机结合，并根据异常的具体情况对实时保存的报文数据进行分析，可以保证在系统资源有限的情况下，对各种攻击行为进行有效的检测。
文档编号H04L12/56GK101567812SQ20091007987
公开日2009年10月28日 申请日期2009年3月13日 优先权日2009年3月13日
发明者波 张, 张作富, 勇 王, 赵玉超 申请人:华为技术有限公司