一种连接检测方法及装置的制造方法

一种连接检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域，特别涉及连接检测方法及装置。
【背景技术】
[0002]在对客户端与服务器之间的网络进行检测时，一种现有的方法是通过客户端与服务器之间通信的流量数据获得流量基线，然后根据流量基线来判断客户端与服务器之间的连接是否为恶意连接，从而可以断开这些恶意连接以保证设备的安全。
[0003]其中，现有的一种流量基线建立方法，主要是对一定时间周期内采集的流量数据进行时间函数拟合得到一个时间与流量数据的函数，即该时间与流量数据的曲线即为流量基线，使得某一时间上对应确定的流量数据。但是在实际应用过程中，现网中流量构成十分复杂，单一的流量基线并不能反映实际复杂的网络情况。

【发明内容】

[0004]本发明实施例提供连接检测方法及装置，使得连接检测的依据更能反映实际复杂的网络情况。
[0005]本发明实施例提供一种连接检测方法，包括:
[0006]获取客户端与服务器之间通信的流量特征数据；
[0007]根据获取的所述流量特征数据，获取至少一个时间点上，所述客户端与服务器之间通信的流量特征的波动区间；
[0008]如果当前时刻所述客户端与服务器之间通信的流量特征，与对应的流量特征的波动区间不一致，则确定所述客户端与服务器在当前时刻的连接为恶意连接。
[0009]本发明实施例提供一种连接检测装置，包括:
[0010]数据获取单元，用于获取客户端与服务器之间通信的流量特征数据；
[0011]区间获取单元，用于根据所述数据获取单元获取的所述流量特征数据，获取至少一个时间点上，所述客户端与服务器之间通信的流量特征的波动区间；
[0012]恶意确定单元，用于如果当前时刻所述客户端与服务器之间通信的流量特征，与对应的流量特征的波动区间不一致，则确定所述客户端与服务器在当前时刻的连接为恶意连接。
[0013]可见，本实施例中，主要通过客户端与服务器之间通信的流量特征数据，得到某一时间点上，客户端与服务器之间通信的流量特征的波动区间，以通过波动区间来确定客户端与服务器之间的连接是否是恶意连接。与现有技术中根据时间与流量数据的流量基线来确定客户端与服务器之间的连接是否是恶意连接相比，本发明实施例中的方法中获取的某一时间点对应的流量特征值，并不是一个固定的值，而是一个波动区间，这样更能反映实际复杂的网络情况。
【附图说明】
[0014]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0015]图1是本发明实施例中提供的连接检测方法的流程图；
[0016]图2是本发明实施例中提供的连接检测装置的结构示意图；
[0017]图3是本发明实施例中提供的连接检测方法应用于的网络控制设备的结构示意图。
【具体实施方式】
[0018]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0019]本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三” “第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排它的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0020]本发明实施例提供一种连接检测方法，主要是由网络中部署的网络控制设备对客户端与服务器之间通信的连接进行检测的方法，流程图如图1所示，包括:
[0021]步骤101，获取客户端与服务器之间通信的流量特征数据，这里流量特征数据是指客户端与服务器之间的流量属性及流量属性值，比如包量、流量大小、平均包大小和平均包间隔等。
[0022]可以理解，客户端与服务器之间建立连接后，可以通过建立的连接进行通信，网络控制设备可以按照一定的周期，在采样时刻采集客户端与服务器之间通信的流量特征数据，具体可以是一个流量属性及流量属性值，也可以是多个流量属性对应的流量属性值进行综合计算(比如各个流量属性值的加权值相加等计算)后得到的值。则网络控制设备在本步骤中获取的流量特征数据可以包括在一段时间内，各个采样时刻采集的流量特征数据。
[0023]步骤102，根据获取的流量特征数据，获取至少一个时间点上，客户端与服务器之间通信的流量特征的波动区间，这里波动区间是指流量特征的值所在的范围。
[0024]具体地，在获取某一时间点上，客户端与服务器之间通信的流量特征的波动区间时，可以按照但不限于如下的方式来获取:
[0025](I)计算上述步骤101中获取的流量特征数据中包括的该时间点上的流量特征数据的期望和方差；然后根据该时间上流量特征的准确性期望，及计算的期望和方差，计算置信区间作为该时间点上客户端和服务器之间通信的流量特征的波动区间。
[0026]例如，网络控制设备获取连续三个星期的星期五上午10:00的流量特征数据，计算这些流量特征数据的期望和方差，并假设该时间点上流量特征的准确性期望为98.8%，则根据正态分布的期望计算，该时间点上流量特征的波动区间为[δ-3ε，δ+3ε]，其中，δ为期望，ε为方差，方差的系数根据准确定期望的来。计算得到的波动区间的含义为:在该时间点上，客户端与服务器之间通信的流量特征的值落在该波动区间的概率为98.8%。
[0027](2)计算流量特征数据中包括的该时间点上的流量特征数据的平均值，将在平均值上下波动预置值的区间作为该时间点上客户端和服务器之间通信的流量特征的波动区间。
[0028]例如，网络控制设备获取连续三个星期的星期五上午10:00的流量特征数据，计算这些流量特征数据的平均值a，则该时间点上流量特征的波动区间为[a-b，a+b]，其中b为预置值。
[0029]步骤103，判断当前时刻客户端与服务器之间通信的流量特征，与对应的流量特征的波动区间是否一致，如果一致，则结束流程，如果不一致，则执行步骤104。在具体判断时，网络控制设备会获取当前时刻客户端与服务器之间通信的流量特征的值，并与对应的波动区间进行比较，如果获取的值不在该波动区间内，则不一致，否则一致。
[0030]步骤104，确定客户端与服务器在当前时刻的连接为恶意连接，可以断开该连接。其中，恶意连接是指通过客户端或者模拟客户端发起，企图阻塞服务器的连接队列，或者通过建立空连接推送无用数据等的连接。
[0031]需要说明的是，为了上述步骤102中的计算方便，网络控制设备在获取上述步骤101后，还需要对获取的流量特征数据进行归一化处理，然后正对归一化处理后的数据执行之后的步骤102到104。
[0032]可见，本实施例中，主要通过客户端与服务器之间通信的流量特征数据，得到某一时间点上，客户端与服务器之间通信的流量特征的波动区间，以通过波动区间来确定客户端与服务器之间的连接是否是恶意连接。与现有技术中根据时间与流量数据的流量基线来确定客户端与服务器之间的连接是否是恶意连接相比，本发明实施例中的方法中获取的某一时间点对应的流量特征值，并不是一个固定的