一种在名址分离网络中对网络异常进行检测的方法

专利名称：：一种在名址分离网络中对网络异常进行检测的方法
技术领域：
：本发明属于名址分离网络中的网络安全技术，特别是一种利用名址分离网络中的映射系统存在查询过程这一特性，对名址分离网络的异常情况进行检测、处理的方法。
背景技术：
：现有互联网路由体系是在假设所有网络节点处于一个互相信任的环境条件下建立的，网络只提供尽力而为的数据转发服务，因而网络本身的可控、可管能力差，加之其可任意接入性和给予主机填写源宿地址的权利，使得攻击者极易利用源地址伪装来逃避对其的追溯查；互联网中IPdnternetProtocol,网际协议)地址具有语义的双重性，即IP地址同时表示主机的身份信息和位置信息，因此无法有效地支持移动性，网络多归属，业务量工程等。而要实现上述功能，又会导致互联网中DFZ(DefaultFreeZone，无缺省路由域)的路由表项呈非线性增长。名址分离网络是针对传统互联网的IP地址语义双重性、网络可控可管能力差等缺陷提出的一类下一代互联网方案；其基本原理是将主机的身份标识和在核心网中用于路由的标识分离。以附图2所示LISP(Locator/IDSeparationProtocol，定位符/标识符分离协议)名址分离网络的结构示意图为例，说明相关概念EID(EndpointIdentify,主机的身份标识)，即“名”，EID和其所在站点的其他主机具有相同的EID-prefiX(主机身份标识符前缀)；EID和核心网中的路由无关，且在核心网络中是不可见的；同时EID还承担在站点内路由的功能。EID-prefix,同一站点内主机具有相同的EID前缀。RLOC(RoutingLocator,路由定位符)，即“址”，亦即TR(TunnelRouter,隧道路由器)在核心网络中的地址。一个EID-prefix可以映射到一个或多个RL0C。RLOC具有在核心网中可路由的特性，是由其接入的网络提供商分配的拓扑可聚合(topological-aggregatable)l^iiiltltoTR(TunnelRouter,隧道路由器)，从其完成的功能上看，可以包括ITR(IngressTunnelRouter，隧道入口路由器)和ETR(EgressTunnelRouter，隧道出口路由器)；ITR(IngressTunnelRouter，隧道入口路由器)，主机使用EID在站点内路由，报文在到达ITR后，ITR对原始报文进行封装，添加一个使用RLOC作为路由标识的头部；而为了进行封装，ITR需要发出对EID-prefix到RLOC映射关系的查询请求，并对其映射关系进行本地缓存。ETR(EgressTunnelRouter，隧道出口路由)，接收来自核心网络的报文，进行解封装，然后递交给主机；同时，从映射系统的功能看，ETR还要维护自己所在站点的EID-prefix和RLOC间映射关系数据库，并对查询请求进行回复；即与ITR形成一个逆操作。映射系统(mappingsystem)完成EID-prefix到RLOC映射关系查询的系统。采用ETR管理映射关系数据库，由ETR对查询请求进行回复，在映射系统的其他节点仅记录映射关系的可达性信息，同时ITR也需将映射关系进行本地缓存。数据平面(DataPlane)，数据报文的传送网络，由多个网络运营商的网络构成。以上为LISP网络的基本组成(结构)，无论哪种名址分离网络，基本上都包括以上几部分。虽然名址分离网络将表示主机身份信息的“名”和表示位置信息的“址”进行了分离，可以有效地支持移动性、减少路由表项，使攻击者无法伪装自己的源地址而逃避追查等。但是对于采用分布式的攻击方式、通过控制多台主机，发送大量虚假数据或请求占用被攻击目标资源的分布式拒绝服务攻击(DDoS，DistributedDenialofservices)，名址分离网络对此仍无法避免，因而对于此类安全问题仍需进行实时检测、处理。根据检测对象，传统的异常检测方法可以分为深度包检测和网络流量异常检测。所谓深度包检测，就是对网络中数据报文包进行限速，将网络中的报文包逐个按预先制定的规则检测其特定字段是否设置合理；此类检测方式存在在高速网络中进行限速会导致大量的丢包发生，且处理开销过大等缺陷。后者则是通过对网络的实际数据报文流量进行分析，根据其行为特征判断网络是否存在异常。此外，由于分布式拒绝服务攻击的特性，使得单个异常检测设备无法获知全网的整体情况，因此对此类攻击无法进行实时检测、处理；而构建分布式异常检测系统就需要增设大量的检测设备。以该类检测中普遍采用的统计检测系统为例(附图3为该检测系统在名址分离网络中的运行示意图)，其检测方式是将若干数据采集器采集的流量信息传送给数据处理器，然后进行统一分析判断其流量的异常与否。此类方式由于需要增设大量网络基础架构以外的检测设备，这些检测设备之间又需信息交互，同时其检测效果又受制于设备的设置量及设置区域合理与否的影响；因而又存在检测设备、通信开销大，检测系统维护成本高，跨域协作难，可靠性也较差等缺陷；因而通常仅在子网中配置，很难用于对整个网络系统进行实时检测、处理。
发明内容本发明的目的是针对
背景技术：
存在的缺陷，研究设计一种在名址分离网络中对网络异常进行检测的方法，有效降低检测设备投资、通信开销费用及检测系统的维护成本，提高其可靠性，方便跨域协作，以及对网络运行中出现的故障能进行及时、有效地处理，有利于在大范围内广泛推广应用等目的。本发明的解决方案是利用名址分离网络中的映射系统存在查询过程的特性，通过检测查询报文的流量代替传统利用网络数据报文流量对网络的异常进行检测，即ITR收集本地流量信息，并灵活调整其发送查询请求的时机；而ETR根据收到的映射关系查询请求报文的流量特征来判断实际数据报文的流量，从而实现对网络实际数据报文流量出现的异常情况进行有效检测，并且通过主动回复EID前缀对应的RLOC为无效地址，迫使具有异常行为的ITR在下一个缓存期内丢弃到本ETR的攻击报文，以抑制ITR的数据报文流量；从而实现本发明的。因而本发明的检测方法包括系统初始化处理ETR的初始化处理为通过配置文件将EID前缀到RLOC的映射关系写入数据库，并设定查询流量异常的门限值；ITR的初始化处理则是将EID前缀到RLOC的映射关系本地缓存表初始化为空，设定本地缓存时限和本地流量判决门限值；其检测流程为A.ITR本地流量监测和发送查询请求A1.对输入数据报文的处理当ITR收到来自主机的数据报文，并记录当前要递交到EID前缀的原始数据报文流量，然后查询EID前缀和RLOC的映射关系本地缓存表，如果对应的记录存在，转步骤A3;如果数据报文中要递送的目的EID前缀记录不存在，转步骤A2；A2.发送查询请求在EID前缀和RLOC映射关系本地缓存表中添加该EID前缀的记录，并将记录中的RLOC作为无效地址(等同于该EID前缀不可达)，然后启动计时器后转A6,同时生成查询请求报文并发送到ETR中的步骤B2,并转步骤A5等待查询回复；A3.是否发送增量查询请求根据本地主机到该EID前缀的流量判断是否存在异常，如果异常，发送增量查询请求报文到步骤B2、并转步骤A4；如无异常，则直接转步骤A4；A4.数据报文的发送对本地缓存表中存在的记录，判断记录中的RLOC地址是否有效，如果有效、则按RLOC记录对数据报文进行封装后(经核心网络的数据平面)发送到步骤B1；如果无效，则丢弃该数据报文；A5.对查询回复的处理当收到步骤氏或&返回的查询回复后，根据查询回复中的EID前缀信息更新EID前缀和RLOC映射关系本地缓存表中对应的记录；A6.本地映射缓存超时处理记录超时，撤销步骤A2原添加的EID前缀在映射关系本地缓存表中的记录；B.ETR对数据报文的处理及利用查询量进行检测和查询回复B1.对数据报文的处理当收到步骤A4发送的数据报文，对该数据报文进行解封装，并转发到接收机；B2.对查询请求的处理收到一查询请求后，根据请求所指的EID前缀，判断当前全网所有针对该EID前缀的查询量是否异常，如果异常、转步骤B3,否则转步骤B4；B3.判断当前发出查询请求的ITR是否异常根据各个ITR到该EID前缀的查询流量的统计值，分别判断各个ITR的行为是否异常，如果当前发出查询请求的ITR异常，转步骤B5，否则转步骤B4;B4.对查询量正常的ITR的回复根据查询请求所指的EID前缀，从EID前缀和RLOC映射关系数据库提取与之对应的RLOC信息，并反馈到步骤A5；B5.对查询量异常的ITR的回复当查询量异常时，则回复其查询的EID前缀对应的RLOC为无效地址，并将其反馈到步骤Α5。所述设定查询流量异常的门限值，其门限值根据网络模拟运行状况设定，即网络负荷处于正常运行的上限时，在设定的时间段内、当50-90%以上的时间段网络中所有ITR到同一ETR的总查询量都不大于其中的最大值N时，则设定查询流量异常的门限值为^Ν+1；或者根据拟建网络中所设置的ETR对查询报文处理能力上限的60-90%作为门限。在步骤A3中所述根据本地主机到该EID前缀的流量判断是否存在异常，其异常的标准为从当前缓存期开始到统计时为止，以网络正常运行时本地主机到该EID前缀的数据报文数为基数，当流量等于其整数倍时，则为流量异常而发送增量查询请求。所述计时器超时，其时限为3-30分钟。而在步骤中，所述分别判断各个ITR的行为是否异常，其异常的标准为在当前缓存期内收到该ITR的查询报文个数超过1个时即为异常。本发明由于充分利用名址分离网络中，为了完成“名”、“址”的映射，必须配置ITR、ETR和映射系统，且需要发送查询报文的特性，利用查询报文的流量代替传统利用网络数据报文流量对网络异常进行检测，因此有效降低了检测设备的投资，且不会产生额外的通信开销；通过查询请求和查询回复的交互关系使得检测系统不但支持跨域协作，且可靠性较高、易于维护；而ETR根据收到的映射关系查询请求报文的流量特征来判断实际数据报文的流量，当查询量异常时通过主动回复EID前缀对应的RLOC为无效地址，迫使具有异常行为的ITR在下一个缓存期内丢弃所有到本ETR的数据报文，以抑制ITR的数据报文流量。因而，本发明具有可有效降低检测设备投资、通信开销费用及检测系统的维护成本，提高其可靠性，方便跨域协作，以及对网络运行中出现的故障能进行及时处理，有利于在大范围内广泛推广应用等特点。图1为本发明方法流程示意图(方框图)；图2为实施例2网络结构示意图；图3为名址分离网络中传统分布式异常检测方法示意图。具体实施例方式实施例1本实施例以由50个站点的名址分离网络为例。而本实施例利用麻省理工学院林肯实验室(MITLincolnLaboratory)公开的入侵检测数据集(1998DARPAIntrusionDetectionEvaluation.http//www.11.mit.edu/mission/communications/ist/corpora/ideval/data/1998data.html)中的传统网络结构来构建本实施方式的名址分离网络，并生成主机间的数据流量。即将原IP地址作为EID，根据EID前缀个数，整个网络设置50个站点，每个站点都分别配备含ITR和ETR的TR(隧道路由器)。首先对隧道出、入口路由器分别进行初始化处理各个站点的ETR读取配置文件，将其负责的EID前缀到RLOC的映射关系写入数据库，以0-5分钟为一时间段，根据模拟运行网络负荷处于正常运行的上限时、其中80%的时间段内所有ITR到同一ETR的总查询量都彡5个，因此将查询请求报文流量异常的门限值设为C=6个/5分钟；各个站点的ITR首先将EID前缀到RLOC的映射关系本地缓存表初始化为空，设定本地缓存时限为T=5分钟；本地流量判决门限值，根据模拟运行，从当前缓存期开始到统计时为止，网络负荷处于正常运行的上限时、本地主机到该EID前缀的数据报文数Q=65个/5分钟，本实施例即以此为基数、当流量等于其整数倍时，则为流量异常而发送增量查询请求；整个网络从t=0时刻开始运行，在运行中只有站点17在t=8-25分钟时受到来自站点1、12、14、32的流量攻击；站点1、12、14、32分别在t=8、9、9、11分钟时本地流量第一次等于本地流量判决门限的整数倍，第一次发送增量查询请求报文，且攻击均持续到t=25分钟；以下为其余站点向站点17发送数据报文和查询请求的流程t=0-7分钟(网络流量处于正常状态的情况，此阶段网络均按照正常状态的流程运行)1、此时各个站点的ITR第一次收到本地发往站点17的数据报文时经步骤A1查询EID前缀和RLOC的映射关系本地缓存表，对应关系不存在，经步骤A2在EID前缀和RLOC映射关系本地缓存表中添加该EID前缀的记录，并将记录中的RLOC作为无效地址(等同于该EID前缀不可达)，然后启动计时器，同时发送查询请求报文；2、站点17的ETR收到查询请求报文后经步骤B2得到统计期内收到的查询请求小于等于C=6，全网状态正常，然后经B4,根据查询请求所指的EID前缀，从EID前缀和RLOC映射关系数据库提取与之对应的RLOC信息，并反馈给相应的ITR，确认ITR可以继续向该ETR发送数据；3、各站点的ITR在收到ETR的反馈信息后，经步骤A5根据查询回复中的EID前缀信息更新EID前缀和RLOC映射关系本地缓存表中对应的记录；4、各站点的ITR在收到查询回复后，对于随后到达的数据报文经步骤A1查询该EID前缀的记录存在，经步骤A3判断本缓存期内&由于不是Q的整数倍，因此不发送增量查询请求，而经步骤A4直接发送数据报文；5、站点17的ETR在收到数据报文后，经步骤B1对该数据报文进行解封装，并转发到接收机；6、各个站点在本地缓存超时后，经步骤A6、撤销步骤A2在映射关系本地缓存表中原添加的EID前缀的记录；t=8-25分钟网络流量处于异常状态，此阶段行为正常站点的ITR运行，以及站点17的ETR的运行同t=0-7分钟、不再赘述，以下仅就处于异常状态的站点1、12、14、32的ITR及站点17的流程给予说明1、站点1、12、14、32的ITR第一次数据报文流量达到本地判决门限值时收到数据报文(分别为t=8、9、9、ll分钟)经步骤A1查询该EID前缀的记录存在，经步骤A3判断本缓存期内&为Q的整数倍，发送增量查询请求，然后再经A4直接发送数据报文(在此之前网络流量正常时曾发送过一次查询请求，当时站点17的ETR回复为正确的RLOC地址，因而此时还会发送数据报文)；2、站点17的ETR在收到来自站点1、12、14、32的查询请求报文时，经B2判断全网存在流量异常(此时，在t=9时，收到站点14的查询请求报文，在统计区间t=5-9分钟的内的查询请求报文一共是9个，站点1有3个，站点12、14分别有2个，站点8、11分别有1个；在t=23分钟时，在统计区间t=19-23分钟的内的查询请求报文一共是12个，其中站点32有4个，站点1、12、14分别有2个，站点41,25分别有1个)，又经步骤B3判断在当前缓存期内ITR发送的查询请求报文个数大于1，因此经B5回复其查询的EID前缀对应的RLOC为无效地址；3、站点17的ETR在收到来自除站点1、12、14、32外的其余站点的查询请求报文时经步骤B2判断全网存在流量异常，然后经步骤判断当前缓存期内除站点1、12、14、32外的其余ITR发送的查询请求报文个数仅为1个，因此经步骤B4回复正确的RLOC地址给相应(其余站)的ITR(即在下一缓存期内不对这些ITR的流量进行限制)；4、站点1、12、14、32的ITR在收到查询回复后，对于随后到达的数据报文经、查询该EID前缀的记录存在，然后转步骤A3并经步骤A4后直接将数据报文丢弃(因ETR回复这四个站点为无效的RLOC地址)。实施例2本实施例仍以麻省理工学院林肯实验室(MITLincolnLaboratory)公开的入侵检测数据集(1998DARPAIntrusionDetectionEvaluation.http://www.11.mit.edu/mission/communications/ist/corpora/ideval/data/1998data.html)H勾Ii一yIv6yIv^点的名址分离网络，附图2为本实施例网络结构和各站点的EID前缀、RLOC的配置示意图，每个站点都分别配备含ITR和ETR的TR(隧道路由器)。首先对隧道出、入口路由器分别进行初始化处理各个站点的ETR读取配置文件，将其负责的EID前缀到RLOC的映射关系写入数据库，以0-5分钟为一时间段，根据模拟运行、其中80%的时间段内所有ITR到同一ETR的总查询量都<3个，因此将查询请求报文流量异常的门限值设为C=4个/5分钟；各个站点的ITR首先将EID前缀到RLOC的映射关系本地缓存表初始化为空，设定本地缓存时限为T=5分钟；本地流量判决门限值根据模拟运行，从当前缓存期开始到统计时为止，网络正常运行时本地主机到该EID前缀的数据报文数Q=36个/5分钟为基数，当流量等于其整数倍时，则为流量异常而发送增量查询请求；整个网络从t=0时刻开始运行，在运行中只有站点4在t=12-30分钟受到来自站点1和5的流量攻击；站点1、2、3、5、6第一次向站点4发送数据的时间分别为t=1、2、5、11、15分钟，而站点1、5分别在t=12、13分钟时本地流量第一次等于本地流量判决门限的整数倍，第一次发送增量查询请求报文，且攻击均持续到t=30分钟。以下为站点1、2、3、5、6向站点4发送数据报文和查询请求的流程A.ITR本地流量监测和发送查询请求；A1.对输入数据报文的处理ITR收到来自主机的数据报文，首先查询EID前缀和RLOC的映射关系本地缓存表，在第一次收到某个EID前缀的数据报文时，数据报文中要递送的目的EID前缀记录不存在，转步骤A2,否则，转步骤A3；A2.发送查询请求经A1查询在EID前缀和RLOC映射关系本地缓存表无该EID前缀的记录，因此添加该EID前缀的记录，并将记录中的RLOC作为无效地址(等同于该EID前缀不可达)，然后启动计时器后转A6,同时生成查询请求报文并发送到ETR中的步骤B2,并转步骤A5等待查询回复；A3.是否发送增量查询请求累积本缓存期间到该EID前缀的数据报文个数&，站点1、5分别在t=12,13分钟时第一次出现&是Q的整数倍(其他本地流量异常点的处理方法相同)，则需发送增量查询请求报文到步骤B2、并转步骤A4；否则直接转步骤A4；A4.数据报文的发送对本地缓存表中存在的记录，在t=12-30分钟站点1、5因为站点ETR经B5回复的RLOC地址无效，因此丢弃该数据报文(实现了对数据报文的流量控制)；而该时段的站点2、3、6以及其他时段的所有ITR，因为ETR经氏回复的为有效的RL0C，因此按RLOC记录对数据报文进行封装后(经核心网络的数据平面)发送到步骤B1；A5.对查询回复的处理当收到步骤氏或&返回的查询回复后，根据查询回复中的EID前缀信息更新EID前缀和RLOC映射关系本地缓存表中对应的记录；A6.本地映射缓存超时处理记录超时，撤销步骤A2原添加的EID前缀在映射关系本地缓存表中的记录；B.ETR对数据报文的处理及利用查询量进行异常检测和查询回复B1.对数据报文的处理当收到步骤A4发送的数据报文，对该数据报文进行解封装，并转发到接收机(而不必像传统方法一样对数据流量进行监测)；B2.对查询请求的处理在t=12-30分钟，收到一查询请求后，根据请求所指的EID前缀，将当前查询请求的量与之前T=5分钟内全网到该EID前缀的查询量进行累积，超过预先设定的判决门限C=4，即全网异常、转步骤氏，而其他时间全网流量均正常故转步骤B4；B3.判断当前发出查询请求的ITR是否异常在t=12-30分钟时，对于站点1、5，在统计期间内发送的查询请求报文超过1个，为异常、转步骤B5,而其他ITR为正常、则转步骤B4;B4.对查询量正常的ITR的回复(t=12-30分钟，经过B2判断全网状态为异常，但经B3判断该ITR行为正常，进入本步骤；在其他时间点经过B2判断全网状态为正常，亦进入本步骤)根据查询请求所指的EID前缀，从EID前缀和RLOC映射关系数据库提取与之对应的RLOC信息，并反馈到步骤A5(在下一缓存期内，将允许该ITR继续向本ETR发送数据报文)；B5.对查询量异常的ITR的回复在t=12-30分钟，经过步骤B2判断全网异常，且经过B3判断该ITR行为也异常时，回复其查询的EID前缀对应的RLOC为无效地址，并将其反馈到步骤A5,以对ITR下一缓存期内进行流量限制。权利要求一种在名址分离网络中对网络异常进行检测的方法，包括系统初始化处理ETR的初始化处理为通过配置文件将EID前缀到RLOC的映射关系写入数据库，并设定查询流量异常的门限值；ITR的初始化处理则是将EID前缀到RLOC的映射关系本地缓存表初始化为空，设定本地缓存时限和本地流量判决门限值；其检测流程为A.ITR本地流量监测和发送查询请求A1.对输入数据报文的处理当ITR收到来自主机的数据报文，并记录当前要递交到EID前缀的原始数据报文流量，然后查询EID前缀和RLOC的映射关系本地缓存表，如果对应的记录存在，转步骤A3；如果数据报文中要递送的目的EID前缀记录不存在，转步骤A2；A2.发送查询请求在EID前缀和RLOC映射关系本地缓存表中添加该EID前缀的记录，并将记录中的RLOC作为无效地址，然后启动计时器后转A6，同时生成查询请求报文并发送到ETR中的步骤B2，并转步骤A5等待查询回复；A3.是否发送增量查询请求根据本地主机到该EID前缀的流量判断是否存在异常，如果异常，发送增量查询请求报文到步骤B2、并转步骤A4；如无异常，则直接转步骤A4；A4.数据报文的发送对本地缓存表中存在的记录，判断记录中的RLOC地址是否有效，如果有效、则按RLOC记录对数据报文进行封装后发送到步骤B1；如果无效，则丢弃该数据报文；A5.对查询回复的处理当收到步骤B4或B5返回的查询回复后，根据查询回复中的EID前缀信息更新EID前缀和RLOC映射关系本地缓存表中对应的记录；A6.本地映射缓存超时处理记录超时，撤销步骤A2原添加的EID前缀在映射关系本地缓存表中的记录；B.ETR对数据报文的处理及利用查询量进行检测和查询回复B1.对数据报文的处理当收到步骤A4发送的数据报文，对该数据报文进行解封装，并转发到接收机；B2.对查询请求的处理收到一查询请求后，根据请求所指的EID前缀，判断当前全网所有针对该EID前缀的查询量是否异常，如果异常、转步骤B3，否则转步骤B4；B3.判断当前发出查询请求的ITR是否异常根据各个ITR到该EID前缀的查询流量的统计值，分别判断各个ITR的行为是否异常，如果当前发出查询请求的ITR异常，转步骤B5，否则转步骤B4；B4.对查询量正常的ITR的回复根据查询请求所指的EID前缀，从EID前缀和RLOC映射关系数据库提取与之对应的RLOC信息，并反馈到步骤A5；B5.对查询量异常的ITR的回复当查询量异常时，则回复其查询的EID前缀对应的RLOC为无效地址，并将其反馈到步骤A5。2.按权利要求1所述在名址分离网络中对网络异常进行检测的方法；其特征在于所述设定查询流量异常的门限值，其门限值根据网络模拟运行状况设定，即网络负荷处于正常运行的上限时，在设定的时间段内、当50-90%以上的时间段网络中所有ITR到同一ETR的总查询量都不大于其中的最大值N时，则设定查询流量异常的门限值为>贴1；或者根据拟建网络中所设置的ETR对查询报文处理能力上限的60-90%作为门限。3.按权利要求1所述在名址分离网络中对网络异常进行检测的方法；其特征在于在步骤A3中所述根据本地主机到该EID前缀的流量判断是否存在异常，其异常的标准为从当前缓存期开始到统计时为止，以网络正常运行时本地主机到该EID前缀的数据报文数为基数，当流量等于其整数倍时，则为流量异常而发送增量查询请求。4.按权利要求1所述在名址分离网络中对网络异常进行检测的方法；其特征在于所述计时器超时，其时限为3-30分钟。5.按权利要求1所述在名址分离网络中对网络异常进行检测的方法；其特征在于在步骤中，所述分别判断各个ITR的行为是否异常，其异常的标准为在当前缓存期内收到该ITR的查询报文个数超过1个时即为异常。全文摘要该发明属于名址分离网络安全技术中对网络异常进行检测的方法，其检测流程为初始化处理，及在ITR中对输入数据报文的处理，发送查询请求及是否发送增量查询请求，发送数据报文，对查询回复的处理，本地映射缓存超时处理；在ETR中对数据报文及对查询请求的处理，判断当前发出查询请求的ITR是否异常，对查询量正常及查询量异常的ITR的回复处理。该发明针对名址分离网络需要发送查询报文的特性，利用查询报文流量代替网络数据报文流量对网络异常进行检测。而具有可有效降低检测设备投资、通信开销费用及检测系统的维护成本，其可靠性高，方便跨域协作，对网络运行中出现的故障能进行及时处理，以及有利于在大范围内广泛推广应用等特点。文档编号H04L12/26GK101841442SQ20101908701公开日2010年9月22日申请日期2010年2月8日优先权日2010年2月8日发明者任婧,徐世中,王晟,许都申请人:电子科技大学