专利名称:网络检测的方法及设备的制作方法
技术领域:
本发明涉及通信技术领域,具体涉及ー种网络检测的方法及设备。
背景技术:
网络设备部署在网络上后,需要通过检测网络控制报文流量(如路由、拨号、认证)是否超出门限值,以确定网络设备的繁忙状态,判断网络设备是否受到攻击。现有技术中,一般是通过人工设置和调整网络控制报文流量指标的门限值。由于网络的复杂性,人工设置门限值需要大量的经验,容易造成门限值设置不合理(设置门限值过宽或过严),导致误报警或没有报警。例如毎秒上送中央处理器(Central Processing Unit,CPU)的地址解析协议(Address Resolution Protocol,ARP)报文个数是ー个检测指标,当该指标超出门限值时应产生受到网络攻击的报警。该指标在路由器处于不同网络环境中时门限值是不同的。在路由器作为宽带远程接入服务器(Broadband Remote Access Server, BRAS)吋,需要处理海量的家庭网关的ARP请求,此时该指标门限值应设置为较大的数值,如果此时设置的门限值过小,会在没有受到网络攻击时也产生报警;在路由器作为核心路由器吋,由于周边网元数量有限,其需要处理的ARP报文数量不会很多,此时该指标门限值应设置为较低的数值,如果此时设置的门限值过大,会在真正受到网络攻击时却没有报警。
发明内容
本发明实施例提供一种网络检测的方法及装置,解决了现有技术中网络设备受攻击报警不准确的问题。根据本发明实施例的ー个方面,一种网络检测的方法,包括在第一时间段内采集多个样本,所述样本为第一指标,所述第一指标用于标识网络设备处理控制报文的繁忙状态,所述多个样本构成ー个样本空间;对所述样本空间进行置信区间计算,将置信区间的上限作为门限值;采集第一数值,所述第一数值为所述第一指标在第一时刻的值,所述第一时刻为发生在所述第一时间段后的时刻;当所述第一数值大于所述门限值时,则确定所述网络设备受到攻击。根据本发明实施例的又ー个方面,一种网络检测的装置,包括采集模块,用于在第一时间段内采集多个样本,所述样本为第一指标,所述第一指标用于标识网络设备处理控制报文的繁忙状态。所述多个样本构成一个样本空间。采集第 ー数值,所述第一数值为所述第一指标在第一时刻的值,所述第一时刻为发生在所述第一时间段后的时刻;计算模块,用于对所述样本空间进行置信区间计算,将置信区间的上限作为门限值;判断模块,用于当所述第一数值大于所述门限值时,确定所述网络设备受到攻击。
本发明实施例提供的技术方案对样本空间以指定概率(例如99% )进行基于正态分布的置信区间计算,将置信区间的上限作为门限值,由于门限值是根据网络控制报文流量自动计算的,而且门限值设置的准确度在预期概率内,因此,网络设备可以及时发现是否受到攻击,从而产生报警。另外,由于门限值是根据网络控制报文流量自动计算,随着网络控制报文流量的不断变化而自动调整,因此,可以避免人工设置门限值时不易根据网络设备的实际状况进行及时合理调整,从而导致网络设备没有受到攻击却产生误报警或受到攻击却没有产生报警的问题。
图1是本发明实施例一提供的一种网络检测的方法的流程图;图2是本发明实施例一提供的另ー种网络检测的方法的流程图;图3是本发明实施例ニ提供的一种网络检测的装置的示意图;图4是本发明实施例ニ提供的另ー种网络检测的装置的示意图。
具体实施例方式本发明实施例提供一种网络检测的方法及装置,可以解决现有技术中网络设备受攻击报警不准确的问题。本发明实施例还提供相应的装置。以下分别进行详细说明。实施例一、请參考图1,本发明实施例提供一种网络检测的方法,包括101、在第一时间段内采集多个样本,该多个样本为第一指标,该第一指标用于标识网络设备处理控制报文的繁忙状态。所述多个样本构成一个样本空间。第一时间段是ー个预设时间段,在此时间段内,按照固定的时间间隔或随机时间间隔采集样本,该固定时间间隔和时间段的长度可以设置。在此时间段内采集到的多个样本构成ー个样本空间。第一指标可以是百分比类型的数据或流量类型数据或会话类型的数据数据。其中,百分比类型的数据,可以包括如下中的ー个或多个网络设备CPU利用率(% );网络设备内存利用率(% );网络设备承诺访问速率(Committed Access Rate, CAR)漏桶丢包率(% )。流量类型的数据,可以包括如下中的ー个或多个网络设备协议报文的流量速率(比特/秒或报文/秒);网络设备错误报文的流量速率(比特/秒或报文/秒);网络设备丢包报文的速率(比特/秒或报文/秒)。会话类型的数据,可以包括如下中的ー个或多个网络设备新建连接速率(会话数/秒);网络设备并发连接数(会话数/秒)。为方便后续描述,该样本空间记为X = Ix1, x2,x3,......,Xn^1, xj。其中,X1是采集的第一个样本,^是采集到的第η个样本,共采样η个样本。X为样本空间。102、对所述样本空间进行基于正态分布的置信区间计算,将置信区间的上限作为 门限值。计算该样本空间的平均值P
权利要求
1.一种网络检测的方法,其特征在干,包括在第一时间段内采集多个样本,所述样本为第一指标,所述第一指标用于标识网络设备处理控制报文的繁忙状态,所述多个样本构成ー个样本空间;对所述样本空间进行置信区间计算,将置信区间的上限作为门限值; 采集第一数值,所述第一数值为所述第一指标在第一时刻的值,所述第一时刻为发生在所述第一时间段后的时刻;当所述第一数值大于所述门限值时,则确定所述网络设备受到攻击。
2.根据权利要求1所述的方法,其特征在干,所述对所述样本空间进行置信区间计算具体包括计算所述样本空间的平均值; 计算所述样本空间的标准差;根据所述样本空间的平均值,和所述样本空间的标准差,和正态分布參数表,计算所述样本空间的置信区间。
3.根据权利要求1或2所述的方法,其特征在干,所述第一指标为百分比类型的数据或流量类型的数据或会话类型的数据。
4.根据权利要求3所述的方法,其特征在干,所述百分比类型的数据包括以下中的一个或多个网络设备CPU利用率; 网络设备内存利用率; 网络设备承诺访问速率漏桶丢包率。
5.根据权利要求3所述的方法,其特征在干,所述流量类型的数据包括以下中的ー个或多个网络设备协议报文的流量速率; 网络设备错误报文的流量速率; 网络设备丢包报文的速率。
6.根据权利要求3所述的方法,其特征在干,所述会话类型的数据包括以下中的ー个或多个网络设备新建连接速率; 网络设备并发连接数。
7.根据权利要求1至3任一所述的方法,其特征在干,当所述第一数值大于所述门限值时,所述方法还包括对超出所述门限值的控制报文流量进行限速。
8.一种网络检测的装置,其特征在干,包括采集模块,用于在第一时间段内采集多个样本,所述样本为第一指标,所述第一指标用于标识网络设备处理控制报文的繁忙状态,所述多个样本构成ー个样本空间;采集第一数值,所述第一数值为所述第一指标在第一时刻的值,所述第一时刻为发生在所述第一时间段后的时刻;计算模块,用于对所述样本空间进行置信区间计算,将置信区间的上限作为门限值; 判断模块,用于当所述第一数值大于所述门限值时,确定所述网络设备受到攻击。
9.根据权利要求8所述的装置,其特征在于,还包括执行模块,用于当所述第一数值大于所述门限值时,对超出所述门限值的控制报文流量进行限速。
全文摘要
本发明实施例公开了一种网络检测的方法,包括在一个时间段内采集多个标识网络设备处理控制报文繁忙状态的样本,组成样本空间;对该样本空间进行置信区间计算,将置信区间的上限作为门限值;采集下一时刻的数值,将该数值与该门限值比较,根据比较结果判断网络设备是否受到攻击。本发明实施例还提供相应的装置。本发明实施例技术方案,通过自动计算门限值,解决了现有技术中由于人工设置门限值不准确,导致不能正确判断网络设备是否受到攻击的问题。
文档编号H04L12/26GK102571493SQ201210004860
公开日2012年7月11日 申请日期2012年1月9日 优先权日2012年1月9日
发明者付天福 申请人:华为技术有限公司