专利名称:网络攻击的判断方法、系统和设备的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种网络攻击的判断方法、系统和 设备。
背景技术:
随着网络的发展,网络上的攻击也越来越多样化和复杂化。其中危害最
大的攻击就是DoS (Denial of Service,拒绝月良务)攻击以及DDoS (Distributed Denial of Service,分布式拒绝服务)攻击。这种攻击通过发送大规模的攻击 报文来消耗目标的资源和带宽,使网络瘫痪并造成大量的损失.
为了防御DDos攻击,目前已经有越来越多的网络设备开始支持对异常流 量和攻击流量的检测和防御。目前的DDos攻击检测措施,通常根据不同的攻 击特征设置不同的静态基准值,并通过判断流量特性是否超过基准值范围来 判断目标是否被攻击。
发明人在实现本发明的过程中,发现现有技术中的实现方式存在以下问
题
在进行大范围防护的时候,防护目标几十万,每个目标的流量特性各不 相同,无法定制为每个目标都定制基准值。而定义统一的基准值是不可能的, 会造成攻击误报和漏报。由于在不同时段的基准值不同,设定一个基准值会 导致攻击发现延时过长。
发明内容
本发明的实施例提供一种网络攻击的判断方法、系统和设备,用于对网 络中的攻击进行有效判断。
为达到上述目的,本发明的实施例4是供一种网络攻击的判断方法,包括 接收探测设备发送的流量特征信息;
将所述探测设备发送的流量特征信息,与本地根据历史数据动态调整的 流量基线进行比较,判断是否有攻击发生。
本发明实施例还提供一种网络攻击判断的系统,包括处理设备以及至少
一探测设备;
所述处理设备,用于接收所述探测设备发送的流量特征信息,并将探测
设备发送的流量特征信息与本地根据历史数据动态调整的流量基线进行比
较,判断被保护区域内是否有攻击发生。
本发明实施例提供的一种处理设备,包括 接收单元,用于接收各探测设备发送的流量特征信息。 流量基线存储单元,用于存储根据历史数据动态调整的流量基线并提供
给判断单元用于判断被保护区域内是否有网络攻击发生。
处理单元,用于根据所述接收单元接收的各探测设备发送的流量特征信
息,以及所述流量基线存储单元提供的流量基线,判断被保护区域内是否有
网络攻击发生。
与现有技术相比,本发明的实施例具有以下优点
通过动态调整的流量基线对是否发生攻击进行判断,可以及时有效的判 断出 一个大范围内的主机群是否受到攻击,并及时进行报警来启动相应的防 御措施,解决了采用统一的静态基准值进行网络攻击告警防护时易发生攻击 误报和漏报的缺陷。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下 面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲, 在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 图1是本发明的实施例中网络攻击的判断方法应用的组网示意图; 图2是本发明的实施例中网络攻击的判断方法的流程图; 图3是本发明的实施例中探测设备的处理方法流程图4是本发明的实施例中处理设备的处理方法流程图5是本发明的实施例中网络攻击判断的系统的结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。 本发明的实施例中提供一种网络攻击的判断方法,其应用的组网示意图如图1 所示,其中包括一处理设备以及至少一探测设备。具体的,本发明实施例中 的网络攻击的判断方法如图2所示,包括以下步骤
步骤s201、处理设备接收探测设备发送的流量特征信息。 具体的,被保护区域与Internet中的流量由多台探测设备(如图1中为探 测设备1至探测设备n)进行监控,各探测设备将流量信息汇总并上报给处理 设备。
步骤s202、处理设备将探测设备发送的流量特征信息,与根据历史数据 动态调整的流量基线进行比较,判断是否有攻击发生。其中流量基线包括警 戒基线、可疑基线以及正常基线。
该步骤中,流量基线动态调整的方法举例如下
1) 处理设备以7天为周期,每天以1小时为一个单位区间记录探测设备 发送的流量特征信息,并且以每个单位区间的流量特征信息作为下一个单位 区间的历史数据。
2) 当实时流量未超过正常基线时,保存该流量特征信息以刷新历史数据。
3) 每天晚上将每个单位区间的有效流量进行加权平均得到当天单位区间 的流量趋势。
4) 采用滑动窗口方式将30天前的区间数据老化,结合最近30天的区间 流量值加权更新每个单位区间的流量基线。
所述根据历史数据动态调整的流量基线进行比较,判断是否有攻击发生
包括步骤如果所述流量基线超过警戒上线则判定为产生攻击并进行告警; 如果所述流量基线未超过正常基线则采用滑动窗口方式更新历史流量统计数 据以及流量基线;如果所述流量基线超过可疑上线但未超过警戒基线,则根 据实时流量特征和历史流量变化趋势调整加权值和流量基线值,等待下次流 量上报后进行再次判决。
具体的,本发明实施例的网络攻击判断方法中,探测设备的处理流程如 图3所示,包括以下步骤
步骤s301、探测设备对被保护网络与Internet之间的上下行总流量进行统计。
步骤s302、探测设备根据流量类型特征进行3 7层流量分类,并对流过 各分层的流量进行统计。
具体的,该分层的流量统计是为了对各分层流量分别进行特征匹配。
步骤s303、探测设备结合现有可能的DDos攻击方式,对各分层流量进 行特征匹配,并对匹配结果进行统计以获取流量特征信息。
步骤s304、探测设备对上述流量特征信息进行采样,并对采样统计特征 进行统计。例如对于HTTP流量统计GET才艮文个lt和GET才艮文长度。
步骤s305、探测设备每隔特定时间向处理设备上报一次特征统计结果(即 流量特征信息),如每隔32秒上报一次。
具体的,本发明实施例的网络攻击判断方法中,处理设备的处理流程如 图4所示,包括以下步骤
步骤s401、处理设备读取根据历史数据动态调整的流量基线。其中历史 统计数据具体为在特定的周期内以特定的时间为单位,各个探测设备上报的 流量特征信息的数据汇总,
该步骤中,流量基线动态调整的方法举例如下
1) 以7天为周期,每天以1小时为一个单位区间记录探测设备发送的流 量特征信息,并且以每个单位区间的流量特征信息作为下一个单位区间的历 史数据。
2) 当实时流量在正常范围内时,保存该流量特征信息以刷新历史数据。
3) 每天晚上将每个单位区间的有效流量进行加权平均得到当天单位区间 的流量趋势。
4) 采用滑动窗口方式将30天前的区间数据老化,结合最近30天的区间 流量值加权更新每个单位区间的流量基线。
步骤s402、处理设备读取各探测设备上报的流量特征信息。 步骤s403、处理设备将各探测设备上报的流量特征信息与本地根据历史 数据动态调整的流量基线进行加权比较,该流量基线可以进一步包括警戒基 线、可疑基线以及正常基线。如果所述加权后的流量特征信息超过警戒基线, 则进行步骤s404;如果所述加权后的流量特征信息未超过正常基线,则进行 步骤s405;如果所述加权后的流量特征信息超过可疑基线但未超过警戒基线, 则进行步骤s406。
具体的,该加权比较是指根据应用场景、被保护网络所在的位置等, 对各探测设备上报的流量特征信息进行加权后综合,再与本地根据历史数据 动态调整的流量基线进行比较。
步骤s404、处理设备判定为有攻击发生并进行告警。
具体的,告警发生时的处理方法可以为当区域攻击告警发生时,按照 区域攻击告警所对应的攻击类型,查找所防护区域中该种攻击类型流量占比 明显增多的设备进行流量清洗,将攻击流量过滤。过滤方法可以釆用黑洞路 由或将该设备流量引流到第三方DDos清洗设备上进行指定流量清洗。
步骤s405、处理设备更新历史流量统计数据以及流量基线。
具体的,例如采用滑动窗口方式将30天前的区间数据老化,结合最近30 天的区间流量值加权更新每个单位区间的流量基线。
步骤s406、处理设备根据实时流量特征和历史流量变化趋势调整加权值 和流量基线值,并返回步骤s402等待下次流量上报后进行再次判决。
本发明的实施例提供的上述方法中,通过动态调整的流量基线对是否发 生攻击进行判断,可以及时有效的判断出 一个大范围内的主机群是否受到攻 击,并及时进行报警来启动相应的防御措施,解决了采用统一的静态基准值 进行网络攻击告警防护时易发生攻击误报和漏报的缺陷。
本发明的实施例还提供一种网络攻击判断的系统,其结构如图5所示, 包括处理设备10以及至少一探测设备20。其中处理设备10接收各探测设备 20发送的流量特征信息,并将探测设备20发送的流量特征信息与本地根据历 史数据动态调整的流量基线进行比较,判断被保护区域内是否有攻击发生。
具体的,处理设备10进一步包括
接收单元11 ,用于接收各探测设备20发送的流量特征信息。 流量基线存储单元12,用于存储根据历史数据动态调整的流量基线并提
供给处理单元13用于判断被保护区域内是否有网络攻击发生。
处理单元13,用于根据接收单元11接收的各探测设备20发送的流量特
征信息,以及流量基线存储单元12提供的流量基线,判断是否有网络攻击发生。
该处理单元13包括
第一处理子单元131,用于当流量特征信息超过本地才艮据历史数据动态调 整的警戒基线时,判定为有攻击发生并进行告警。
第二处理子单元132,用于当流量特征信息未超过本地根据历史数据动态 调整的安全基线时,根据流量特征信息更新流量基线存储单元12中的历史数 据以及流量基线;
第三处理子单元133,用于当流量特征信息超过本地根据历史数据动态调 整的可疑基线、但未超过警戒基线时,根据流量特征信息和历史流量变化趋 势调整流量基线存储单元12中的流量基线。
具体的,探测设备20进一步包括
流量特征匹配单元21 ,用于对被保护网络与Internet之间的分层流量进行 特征匹配;
流量特征信息获取单元22,用于对流量特征匹配单元21的流量特征匹配 结果进行统计,获取流量特征信息;
流量特征信息发送单元23,用于每隔特定时间向所述处理设备10发送流 量特征信息获取单元22获取的流量特征信息。
本发明的实施例提供的上述系统和设备中,通过动态调整的流量基线对
是否发生攻击进行判断,可以及时有效的判断出 一个大范围内的主机群是否 受到攻击,并及时进行"l艮警来启动相应的防御措施,解决了采用统一的静态 基准值进行网络攻击告警防护时易发生攻击误报和漏报的缺陷。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可以通过^/f牛实现,也可以可借助软件加必要的通用^_件平台的方式来实 现基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该
软件产品可以存储在一个非易失性存储介质(可以是CD-ROM, U盘,移动 硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种网络攻击的判断方法,其特征在于,包括以下步骤接收探测设备发送的流量特征信息;将所述探测设备发送的流量特征信息,与根据历史数据动态调整的流量基线进行比较,判断是否有攻击发生。
2、 如权利要求1所述网络攻击的判断方法,其特征在于,所述接收探测 设备发送的流量特征信息前还包括所述探测设备对被保护网络与Internet之间的分层流量进行特征匹配; 所述探测设备对所述流量特征匹配结果进行统计,获取流量特征信息; 所述探测设备每隔特定时间发送所述流量特征信息。
3、 如权利要求2所述网络攻击的判断方法,其特征在于,所述流量基线 包括警戒基线、可疑基线以及安全基线。
4、 如权利要求1或3所述网络攻击的判断方法,其特征在于,所述与本 地根据历史数据动态调整的流量基线进行比较,判断是否有攻击发生包括所述探测设备发送的流量特征信息,超过本地根据历史数据动态调整的 警戒基线时,判定为有攻击发生并进行告警。
5、 如权利要求1或3所述网络攻击的判断方法,其特征在于,所述与本 地根据历史数据动态调整的流量基线进行比较,判断是否有攻击发生包括所述探测设备发送的流量特征信息,未超过本地根据历史数据动态调整 的安全基线时,根据所述流量特征信息更新历史数据以及流量基线。
6、 如权利要求1或3所述网络攻击的判断方法,其特征在于,所述与本 地根据历史数据动态调整的流量基线进行比较,判断是否有攻击发生包括所述探测设备发送的流量特征信息,超过本地根据历史数据动态调整的 可疑基线、但未超过警戒基线时,根据流量特征信息和历史流量变化趋势调 整所述流量基线。
7、 一种网络攻击的判断系统,其特征在于,包括处理设备以及至少一探 测设备;所述处理设备,用于接收所述探测设备发送的流量特征信息,并将探测 设备发送的流量特征信息与本地根据历史数据动态调整的流量基线进行比 较,判断被保护区域内是否有攻击发生。
8、 如权利要求7所述网络攻击的判断系统,其特征在于,所述处理设备 包括接收单元,用于接收各探测设备发送的流量特征信息。 流量基线存储单元,用于存储根据历史数据动态调整的流量基线并提供给判断单元用于判断被保护区域内是否有网络攻击发生。判断单元,用于根据所述接收单元接收的各探测设备发送的流量特征信息,以及所述流量基线存储单元提供的流量基线,判断被保护区域内是否有网络攻击发生。
9、 如权利要求7所述网络攻击的判断系统,其特征在于,所述探测设备 包括流量特征匹配单元,用于对被保护网络与Internet之间的分层流量进行特 征匹配;流量特征信息获取单元,用于对所述流量特征匹配单元的流量特征匹配 结果进行统计,获耳又流量特征信息;流量特征信息发送单元,用于每隔特定时间发送所述流量特征信息获取 单元获取的流量特征信息。
10、 一种处理设备,其特征在于,包括接收单元,用于接收各探测设备发送的流量特征信息。 流量基线存储单元,用于存储根据历史数据动态调整的流量基线并提供给处理单元用于判断^皮保护区域内是否有网络攻击发生。处理单元,用于根据所述接收单元接收的各探测设备发送的流量特征信息,以及所述流量基线存储单元提供的流量基线,判断被保护区域内是否有网络攻击发生。
11、 如权利要求IO所述处理设备,其特征在于,所述处理单元包括第 一处理子单元,用于当流量特征信息超过本地# 据历史数据动态调整 的警戒基线时,判定为有攻击发生并进行告警;第二处理子单元,用于当流量特征信息未超过本地根据历史数据动态调整的安全基线时,根据所述流量特征信息更新所述流量基线存储单元中的历史数据以及流量基线;第三处理子单元,用于当流量特征信息超过本地^f艮据历史数据动态调整 的可疑基线、但未超过警戒基线时,根据流量特征信息和历史流量变化趋势 调整所述流量基线存储单元中的流量基线。
全文摘要
本发明的实施例公开了一种网络攻击的判断方法,包括接收探测设备发送的流量特征信息;将所述探测设备发送的流量特征信息,与本地根据历史数据动态调整的流量基线进行比较,判断是否有攻击发生。本发明的实施例还公开了一种网络攻击的判断系统和设备。通过本发明的实施例,通过动态调整的流量基线对是否发生攻击进行判断,可以及时有效的判断出一个大范围内的主机群是否受到攻击,并及时进行报警来启动相应的防御措施,解决了采用统一的静态基准值进行网络攻击告警防护时易发生攻击误报和漏报的缺陷。
文档编号H04L12/56GK101355463SQ20081014694
公开日2009年1月28日 申请日期2008年8月27日 优先权日2008年8月27日
发明者锋 于 申请人:成都市华为赛门铁克科技有限公司