一种检测网络流量异常的方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种检测网络流量异常的方法。
【背景技术】
[0002]随着计算机和互联网技术的快速发展与广泛应用,计算机网络的系统安全受到计算机病毒和黑客攻击等多方面的威胁越来越大,经常会导致网络异常,为了确保网络正常稳定的运行以及业务的正常开展,运营商必须对流量进行检测并加以清洗。
[0003]目前对网络造成极大危害的是分布式拒绝服务攻击(DDoS,Distributed Denialof Service),而多种DDoS攻击方式中,又以洪水型(FLOOD)攻击为主,其特征是报文数量或者流量增大幅度突然变得很大,它不仅会影响被攻击的服务器,也可能波及到和被攻击目标在同一网络内的其它服务器,因此及时检测出FLOOD型攻击至关重要。
[0004]现有技术中对FLOOD型的攻击检测方法是单纯统计总报文和总流量,然后建立动态基线或者直接与一个固定阈值作比较来获得检测结果。上述方法的缺点在于:一方面,只考虑总报文和总流量,会导致即使某个报文的流量增多,但总报文和总流量可能是呈平稳的状态,因此依然检测不出攻击;或者即使总流量增多,但是属于正常业务的增长,这就可能会产生误报;另一方面,单纯地使用固定阈值,阈值设得过低会容易误报,设高了容易漏报,而单纯地使用动态基线,有某些目标本来流量是比较低的情况下,流量增长的值就算不会很大,其流量动态基线上呈现的状态可能是曲线上升,从而也会导致误报。
【发明内容】
[0005]有鉴于此,本发明实施例提供一种检测网络流量异常的方法,以解决现有技术中通过简单统计总报文和总流量以及单纯使用固定阈值或者动态基线带来的误报漏报率高等冋题,从而提尚检测的准确率。
[0006]本发明实施例提供了一种检测网络流量异常的方法,包括:
[0007]接收报文;
[0008]记录所述报文的数量;
[0009]根据当前报文数量与预设历史时段前的历史报文数量之间的差值,计算出所述报文当前的单位时间数量;
[0010]根据所述单位时间数量,结合动态基线和固定阈值,判断网络流量是否发生异常。
[0011]本发明实施例提供的一种检测网络流量异常的方法,该方法通过报文分类统计结合动态基线和固定阈值网络流量进行检测,一方面,可以对每类报文的流量进行准确监测,另一方面,结合动态基线和固定阈值,可以减少信息的漏报和误报,提高网络流量异常检测的准确率。
【附图说明】
[0012]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0013]图1是本发明实施例一提供的一种检测网络流量异常的方法的流程图;
[0014]图2是本发明实施例二提供的一种检测网络流量异常的方法的流程图。
【具体实施方式】
[0015]下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。
[0016]实施例一
[0017]图1是本发明实施例一提供的一种检测网络流量异常的方法的流程图,该方法能够实现对网络流量异常的检测,可由服务器或终端来执行。
[0018]如图1所示,该方法包括:
[0019]S110、接收报文;
[0020]报文即网络中交换与传输的数据单元,其中包含了要发送的完整的数据信息,包括其类型,版本,长度等等;系统在运行过程中CPU会不断的接收到各种不同类型的报文,如,syn (synchronous,传输控制协议/网络之间互连的协议建立连接时使用的握手信号)报文,icmp (Internet Control Message Protocol,控制报文协议)报文等。
[0021]S120、记录所述报文的数量;
[0022]具体的,对接收的报文进行类型识别,并根据所述报文的类型记录所述报文的数量。在系统中存储有各类报文的代码,当出现一种报文时,系统会根据其对应的代码对其进行分类处理,并相应地记录该类型报文的数量。通过对报文进行分类统计,可以准确地监测每类报文的流量变化,从而可以准确地判断出哪类报文类型出现流量异常。
[0023]S130、根据当前报文数量与预设历史时段前的历史报文数量之间的差值,计算出所述报文当前的单位时间数量;
[0024]所述预设时段是根据需要预先设置的某一时间长度,是系统自动采集报文信息和统计各类报文数量的最小周期,即每间隔此时间长度,系统会自动统计各类报文的数量。此时间长度的设置可以是任意的,如I秒,2秒,I分钟等等,但是设置的时间长度要与实际检测的需求相适应,设置的太长,容易造成漏报,设置的太短会对系统的过大的负荷,没有实际价值。优选的,所述预设历史时段的时间长度为I秒。所述当前报文数量与预设历史时段前的历史报文数量之间的差值为当前报文数量与I秒前地历史报文数量之间的差值,即为所述报文当前的每秒数量。通过计算所述报文每秒的数量,既不会对系统带来太大的负荷,又可以实时对报文数量进行统计,降低了漏报的概率,从而提高检测的准确率。
[0025]S140、根据当前报文数量与预设历史时段前的历史报文数量之间的差值,计算出所述报文当前的单位时间数量;
[0026]所述基线为流量基线,用于表征流量的增长率,即在以时间为横坐标轴,流量值为纵坐标轴的坐标系内,做出的流量随时间变化的曲线。动态基线即为动态流量基线,即流量的增长率在不断的更新,而且同一时间不同报文对应的流量增长率也不同。根据动态基线判断流量异常,即根据每类报文的增长率来作攻击判断,单独根据动态流量基线会造成网络流量异常检测的误判。例如,一个IP (Internet Protocol,网络之间互连的协议)通常的每秒流量很少只有Ikbps (比特率,表示网络的传输速度),假如该IP下一秒的流量增长到了 100kbps,虽然流量还是很少,但是增长率却达到了 10000%,此条流量基线会呈很明显的上升趋势,但10kbps的流量发生攻击的可能性非常小,所以此时误判的几率就很大。
[0027]所述固定阈值,即设定的某一流量值,超过此值则判断网络流量异常。不同类型的报文其阈值一般不同,例如一个提供http (HTTP-Hypertext transfer protocol,超文本传送协议)服务的IP,正常情况下,其接收到的icmp报文一般要比syn报文少得多,因此icmp报文的阈值要比syn报文的阈值小得多。具体的,每类报文的阈值可以根据需要检测的流量大小设定,也有比较通用的设定,例如把syn报文的流量阈值设为1000等。单纯地使用固定阈值判断流量是否发生异常,阈值设得过低会容易造成误报,设得过高容易造成漏报。
[0028]在本技术方案中,根据所述单位时间数量结合动态基线和固定阈值,判断网络流量是否发生异常,可以减少漏报或误报的几率,同时可以准确地检测每类报文的数量,提高了检测的准确率。
[0029]实施例二
[0030]图2为本发明实施例二提供的一种检测网络流量异常的方法的流程图,本实施例在实施例一的基础之上,将步骤S140进一步细化为:
[0031]根据所述单位时间