《一種異常流量檢測方法》是廣東睿江科技有限公司於2015年9月16日申請的專利,該專利的公布號為CN105306436A,授權公布日為2016年2月3日,發明人是梁潤強、史偉、麥劍、黃衍博、閔宇、易建仁。
《一種異常流量檢測方法》涉及計算機系統技術領域,該方法包括:接收報文;根據報文類型進行數量統計,存儲至IP哈希數組,並在所述IP哈希數組中存儲流量特徵;根據所述IP哈希數組中存儲的報文數量信息,將數量排名前N位的報文的IP信息存儲至排序數組中,N為自然數;接收新IP信息,更新排名前N位的報文的IP信息並存儲到排序數組;在更新後的所述排序數組中,根據設定特徵值校驗對應類型的報文是否發生異常流量行為。採用該技術方案,克服了當前異常流量檢測方法無法解決的漏報誤報等問題,該技術方案能實時計算出整個網路中流量等各項指標排名前列的目標,再對這些目標進行詳細的行為檢測,能夠精準和及時地發現攻擊,把誤報率和漏報率大大降低。
2017年12月11日,《一種異常流量檢測方法》獲得第十九屆中國專利優秀獎。
(概述圖為《一種異常流量檢測方法》摘要附圖)
基本介紹
- 中文名:一種異常流量檢測方法
- 申請人:廣東睿江科技有限公司
- 申請日:2015年9月16日
- 申請號:201510591310X
- 公布號:CN105306436A
- 公布日:2016年2月3日
- 發明人:梁潤強、史偉、麥劍、黃衍博、閔宇、易建仁
- 地址:廣東省佛山市禪城區嶺南大道北121號東江國際A區寫字樓7-8層
- Int.Cl.:H04L29/06(2006.01)I
- 代理機構:北京品源專利代理有限公司
- 代理人:孟金喆、胡彬
- 類別:發明專利
專利背景,發明內容,專利目的,技術方案,改善效果,附圖說明,權利要求,實施方式,榮譽表彰,
專利背景
殭屍網路具有攻擊方法簡單、影響較大以及難以追查等特點,使得分散式拒絕服務攻擊(Distributed Denialof Service,DDoS,)得到快速壯大和日益泛濫。成千上萬主機組成的殭屍網路為DDoS攻擊提供了所需的頻寬和主機,形成了規模巨大的攻擊和網路流量,對被攻擊網路造成了極大的危害。隨著DDoS攻擊技術的不斷提高和發展,網際網路服務提供商(Internet Service Provider,ISP)、網際網路內容提供商(Internet Content Provider,ICP)以及網際網路數據中心(Internet Data Center,IDC)等運營商面臨的安全和運營挑戰也不斷增多,運營商必須在DDoS威脅影響關鍵業務和套用之前,對流量進行檢測並加以清洗,確保網路正常穩定的運行以及業務的正常開展。
由於DDOS攻擊的危害是巨大的,不僅會很快就使被攻擊的伺服器無法正常提供服務,甚至還會造成整個網路出現擁堵,嚴重時更會令到網路陷入癱瘓,影響同處於該網路中的其他伺服器,所以及時找出網路中的攻擊顯得尤其重要。
2015年前的攻擊檢測方法一般使用固定閾值或者建立流量動態基線的方法,這兩種方法都有很明顯的缺點。固定閾值會因為閾值的設定過大或者過小造成誤判和漏判;而如果使用流量動態基線,本來流量很小的目標因為基數小很容易會出現突發的情況而造成誤判,流量大的目標又會因為變化幅度不大而可能會漏判。對於誤報正常業務的突發流量,是這兩種方法的共同缺陷。而流量動態基線在為每個新目標建立的初始階段,是無法檢測出攻擊的,並且如果用攻擊的流量來建立基線,甚至可能會出現往後都無法再檢測發生在此目標上的攻擊。
發明內容
專利目的
《一種異常流量檢測方法》實施例提供一種異常流量檢測方法,以解決2015年9月之前技術中的技術問題。
技術方案
《一種異常流量檢測方法》包括:接收報文;根據報文類型進行數量統計,存儲至IP哈希數組,並在所述IP哈希數組中存儲流量特徵;根據所述IP哈希數組中存儲的報文數量信息,將數量排名前N位的報文的IP信息存儲至排序數組中,N為自然數;接收新IP信息,更新排名前N位的報文的IP信息並存儲到排序數組;在更新後的所述排序數組中,根據設定特徵值校驗對應類型的報文是否發生異常流量行為。
改善效果
《一種異常流量檢測方法》通過使用改良的最小二根堆算法實時計算出整個網路中流量等各項指標排名前列的目標,再對排名前列的目標加以行為分析準確地判定出這些目標是否發生了異常流量行為,該方法適用於任何一個網路中,同時能夠把程式剛剛啟動時發生的攻擊也能檢測出來,也能區分正常突發的業務流量。該發明實施例提供的異常流量檢測方法正是解決固定閾值和流量動態基線等2015年9月之前的方法無法解決的漏報誤報等問題,能夠準確和及時地發現攻擊,把誤報率和漏報率大大降低。
附圖說明
圖1是《一種異常流量檢測方法》實施例一提供的流程圖;
圖2是該發明實施例一提供的一種異常流量檢測方法具體過程流程圖;
圖3是該發明實施例二提供的一種異常流量檢測方法流程圖;
圖4是該發明實施例三提供的一種異常流量檢測方法流程圖;
圖5是該發明實施例三提供的一種異常流量檢測方法具體過程流程圖;
圖6是該發明實施例四提供的一種異常流量檢測方法流程圖。
權利要求
1.《一種異常流量檢測方法》其特徵在於,包括:接收報文;根據報文類型進行數量統計,存儲至IP哈希數組,並在所述IP哈希數組中存儲流量特徵;根據所述IP哈希數組中存儲的報文數量信息,將數量排名前N位的報文的IP信息存儲至排序數組中,N為自然數;接收新IP信息,更新排名前N位的報文的IP信息並存儲到排序數組;在更新後的所述排序數組中,根據設定特徵值校驗對應類型的報文是否發生異常流量行為。
2.根據權利要求1所述的方法,其特徵在於,根據報文類型進行數量統計,存儲至IP哈希數組包括:識別報文類型;如果所述報文類型為同步報文,則在所述IP哈希數組的第一流量特徵中記錄同步報文數量;如果所述報文類型為控制信息報文,則在所述IP哈希數組的第二流量特徵中記錄控制信息報文數量;如果所述報文類型為用戶數據報文,則在所述IP哈希數組的第三流量特徵中記錄用戶數據報文數量;從所述用戶數據報文中提取流量特徵,存儲至所述IP哈希數組的第四流量特徵中。
3.根據權利要求1所述的方法,其特徵在於,還包括:初始化排序數組,所述排序數組的成員包括第一排序子數組、第二排序子數組以及第三排序子數組,每個子數組成員的長度為N+1,分別用於 保存前N位報文的IP信息;相應的,根據所述IP哈希數組中存儲的報文數量信息,將數量排名前N位的報文的IP信息存儲至排序數組中包括:根據所述IP哈希數組中存儲的報文數量信息,按照報文類型,以最小二根堆的形式將數量排名前N位的報文的IP信息存儲至各排序子數組中。
4.根據權利要求3所述的方法,其特徵在於,根據所述IP哈希數組中存儲的報文數量信息,按照報文類型,以最小二根堆的形式將數量排名前N位的報文的IP信息存儲至各排序子數組中包括:根據所述IP哈希數組中存儲的報文數量信息,按照報文類型,採用第一排序函式,通過向上遍歷排序子數組保持所述排序子數組的最小二根堆特性;根據所述IP哈希數組中存儲的報文數量信息,按照報文類型,採用第二排序函式,通過向下遍歷排序子數組保持所述排序子數組的最小二根堆特性。
5.根據權利要求1所述的方法,其特徵在於,接收新IP信息,更新排名前N位的報文的IP信息並存儲到排序數組包括:創建兩個執行緒;第一執行緒負責在流入流出報文中抽取IP位址和報文類型,存入IP哈希數組;第二執行緒負責遍歷所述IP哈希數組,獲取所述IP哈希數組中每一個IP信息,判斷所述IP信息是否存在於相應的排序數組中。若不存在,則將所述IP信息對應的流量特徵與所述排序數組中首個IP信息對應的流量特徵進行比較,如果比首個IP信息對應的流量特徵大,則替換首個IP信息並調用第二排序函式;若存在,則將所述IP信息的新的流量特徵與所述排序數組中此IP信息的 舊的流量特徵做比較,並根據比較結果相應地調用第一排序函式或者第二排序函式,使排序數組保持最小二根堆特性,然後將所述新的流量特徵和舊的流量特徵進行比較,判斷是否發生異常流量行為。
6.根據權利要求1所述的方法,其特徵在於,在所述更新後的排序數組中,根據設定特徵值校驗對應類型的報文是否發生異常流量行為包括:所述設定特徵值可以根據所在的網路環境中總流量的大小自行設定。
實施方式
- 實施例一
圖1為《一種異常流量檢測方法》實施例一中的流程圖,該實施例提供了一種異常流量檢測方法,該方法可以由任意執行流量檢測的裝置來執行,該裝置可以通過軟體和/或硬體實現。如圖1所示,該方法包括:
S110、接收報文;
S120、根據報文類型進行數量統計,存儲至IP哈希數組,並在所述IP哈希數組中存儲流量特徵;
示例性的,建立一個全局的IP哈希數組(HASH)用來統計IP流量等信息,所述IP哈希數組可以包含不同的變數來對IP流量等信息進行統計。優選的,所述IP哈希數組可以對IP流量包含的報文信息進行統計,例如:所述IP哈希數組可以包含變數SYN、ICMP以及UDP,分別用於統計同步報文(syn報文)數量、控制信息報文(icmp報文)數量以及用戶數據報文(udp報文)數量。由於同步報文和控制信息報文流量特徵比較單一,判斷攻擊比較簡單,所以可以直接通過對這兩種報文出現的頻率做出判斷,但用戶數據報文流量特徵多樣,其出現頻率再大都可能是正常的,所以用戶數據報文需要根據其連線埠的出現頻率、校驗碼的相同程度再加以判斷,所述IP哈希數組還可以包含變數DNA,用於抽取用戶數據報文流量特徵,其成員可以包括多個,優選的,DNA成員可以包括CUR、SAME、REPLY以及TCP。
參見圖2,基於上述方案,該操作包括:
S121、識別報文類型;
S122、如果所述報文類型為同步報文,則在所述IP哈希數組的第一流量特徵中記錄同步報文數量;
S123、如果所述報文類型為控制信息報文,則在所述IP哈希數組的第二流量特徵中記錄控制信息報文數量;
S124、如果所述報文類型為用戶數據報文,則在所述IP哈希數組的第三流量特徵中記錄用戶數據報文數量;
S125、從所述用戶數據報文中提取流量特徵,存儲至所述IP哈希數組的第四流量特徵中。
S130、根據所述IP哈希數組中存儲的報文數量信息,將數量排名前N位的報文的IP信息存儲至排序數組中,N為自然數;
示例性的,建立一個全局的排序數組(TOP數組)用來保存排名前N位的IP信息,初始化排序數組,所述排序數組的成員包括第一排序子數組(SYN)、第二排序子數組(ICMP)以及第三排序子數組(UDP),每個子數組成員的長度為N+1(第一個即下標為0的元素不使用),分別用於保存前N位報文的IP信息。進一步的,根據所述IP哈希數組中存儲的報文數量信息,按照報文類型,以最小二根堆的形式將數量排名前N位的報文的IP信息存儲至各排序子數組中。例如,排名前N位的同步報文的IP信息存儲至第一排序子數組;排名前N位的控制信息報文的IP信息存儲至第二排序子數組;排名前N位的用戶數據報文的IP信息存儲至第三排序子數組。
S140、接收新IP信息,更新排名前N位的報文的IP信息並存儲到排序數組;
所述排序數組為動態數組,需要根據新IP信息的具體情況根據最小二根堆特性重新排序。
S150、在更新後的所述排序數組中,根據設定特徵值校驗對應類型的報文是否發生異常流量行為。
進一步的,所述設定特徵值可以根據所在的網路環境中總流量的大小自行設定,例如設定為10000。當所在網路環境流量較大時可以設定較大的特徵值,例如設定為100000,當所在網路環境流量較小時可以設定較小的特徵值,例如設定為1000,所述特徵值的設定比較靈活,可視具體情況而定,所述特徵值的設定不單一。
該發明實施例一提供的異常流量檢測方法,通過建立全局的IP哈希數組以及全局的排序數組,將IP信息的各項指標分別進行存儲、排序以及流量檢查分析,可以實時計算出整個網路中流量等各項指標排名前列的目標,再對這些排名前列的目標進行詳細的行為檢測,能夠準確和及時地發現流量異常的情況,把誤報率和漏報率大大降低。
- 實施例二
圖3為該發明實施例二中的一種異常流量檢測方法流程圖,該實施例的技術方案以上述實施例一為基礎,在實施例一的基礎上作進一步的最佳化。
進一步的,根據所述IP哈希數組中存儲的報文數量信息,按照報文類型,以最小二根堆的形式將數量排名前N位的報文的IP信息存儲至各排序子數組中包括:
S310、根據所述IP哈希數組中存儲的報文數量信息,按照報文類型,採用第一排序函式,通過向上遍歷排序子數組保持所述排序子數組的最小二根堆特性;
S320、根據所述IP哈希數組中存儲的報文數量信息,按照報文類型,採用第二排序函式,通過向下遍歷排序子數組保持所述排序子數組的最小二根堆特性。
示例性的,所述排序數組中每個成員為一個最小二根堆,即所述排序數組中每個成員以完全二叉樹的形式存在,以第一排序子數組為例:
假設TOP→SYN[i]為非葉子節點,則其左孩子為TOP→SYN[i*2],其右孩子為TOP→SYN[i*2+1],此時所述最小二根堆的第一個非葉子節點從1開始;
假設TOP→SYN[i]為非葉子節點,則其左孩子為TOP→SYN[i*2+1],其右孩子為TOP→SYN[i*2+2],此時所述最小二根堆的第一個非葉子節點從0開始;
假設TOP→SYN[i]為非葉子節點,則其左孩子為TOP→SYN[i*2-1],其右孩子為TOP→SYN[i*2],此時所述最小二根堆的第一個非葉子節點從2開始。
這裡可以有很多種情況,只需保證從i-N+i的值都是所述最小二根堆的節點下標值,另外要求左孩子的節點下標值一定要比其父節點下標值大,右孩子的節點下標值比左孩子的節點下標值大。
設定所述第一排序函式和第二排序函式的目的是保持排序數組的最小二根堆特性。優選的,設定第一排序函式為top_up(j),第二排序函式為top_down(j),這兩個函式的作用是假設當前排序數組已經具備最小二根堆特性,更新了位置j的值,假設新值比原來的值小,那么可能這個節點的新值會比其父節點的值小所以需要進行不斷上移操作直到排序數組重新滿足最小二根堆特性,這些操作由top_up(j)來完成,第一排序函式的作用即通過向上遍歷排序子數組保持所述排序子數組的最小二根堆特性。相同原理的,top_down(j)的行為與top_up(j)相反,第二排序函式的作用即通過向下遍歷排序子數組保持所述排序子數組的最小二根堆特性。
該發明實施例二提供的方法,使用最小二根堆對排序數組進行排序,保持排序數組的最小二根堆特性,子節點上只有左孩子和右孩子兩種情況,使整個排序數組的排序關係簡單明了。同時,當有新的IP信息進入時,使用第一排序函式或者第二排序函式,通過向上遍歷或者向下遍歷的方法對排序數組進行重新排序,邏輯清晰。
- 實施例三
圖4為該發明實施例三中的一種異常流量檢測方法流程圖,該實施例的技術方案以上述實施例為基礎,在上述實施例的基礎上作進一步的最佳化。
進一步的,接收新IP信息,更新排名前N位的報文的IP信息並存儲到排序數組包括:
S410、創建兩個執行緒;
S420、第一執行緒負責在流入流出報文中抽取IP位址和報文類型(TYPE),存入IP哈希數組;
示例性的,如果報文類型為同步報文,則HASH[IP]→SYN+1,即在IP哈希數組中將同步報文數量加1;
否則,如果報文類型為控制信息報文,則HASH[IP]→ICMP+1,即在IP哈希數組中將控制信息報文數量加1;
否則,如果報文類型為用戶數據報文,則HASH[IP]→UDP+1,即在IP哈希數組中將用戶數據報文數量加1。
進一步的,如果IP存在於第三排序子數組中,則取出報文中的原連線埠(SPORT),目標連線埠(DPORT)和校驗值(CHECK):
示例性的,如果源連線埠的值為某些特定值,例如,2015年前已經在網路中出現過的攻擊的一些連線埠:123,1900,53,則HASH[IP]→DNA→REPLY+1,即在IP哈希數組中將DNA中的成員REPLY數量加1;
如果目標連線埠的值為某些特定值,例如,2015年前已經在網路中出現過的攻擊的一些連線埠:22,80,443,則HASH[IP]→DNA→TCP+1,即在IP哈希數組中將DNA中的成員TCP數量加1;
如果CHECK=HASH[IP]→DNA→CUR,則HASH[IP]→DNA→SAME+1,否則,HASH[IP]→DNA→CUR=CHECK。即當校驗值與IP哈希數組中DNA中的成員CUR取值相同時,在IP哈希數組中將DNA中的成員SAME數量加1,否則將IP哈希數組中DNA中的成員CUR賦值給校驗值。
只要存在報文的流入流出,第一執行緒就開始工作,負責在流入流出報文中抽取IP位址和報文類型,存入IP哈希數組。
S430、第二執行緒負責遍歷所述IP哈希數組,獲取所述IP哈希數組中每一個IP信息,判斷所述IP信息是否存在於相應的排序數組中。
若不存在,則將所述IP信息對應的流量特徵與所述排序數組中首個IP信息對應的流量特徵進行比較,如果比首個IP信息對應的流量特徵大,則替換首個IP信息並調用第二排序函式;
若存在,則將所述IP信息的新的流量特徵與所述排序數組中此IP信息的舊的流量特徵做比較,並根據比較結果相應地調用第一排序函式或者第二排序函式,使排序數組保持最小二根堆特性,然後將所述新的流量特徵和舊的流量特徵進行比較,判斷是否發生異常流量行為。
參見圖5,優選的,基於上述方案,該操作包括:
S431、獲取所述IP信息的流量特徵SYN,判斷所述IP信息是否存在於TOP→SYN中;
若不存在,則將所述IP信息的流量特徵SYN與TOP→SYN數組中首個IP信息對應的流量特徵SYN進行比較,如果比首個IP信息對應的流量特徵SYN大,則替換首個IP信息,標記所述IP信息具備TOP_SYN屬性(即存在於TOP→SYN數組中)並且把被替換的IP信息的TOP_SYN屬性取消,然後調用top_down(j),使新的排序數組重新滿足最小二根堆特性。
若存在,則將所述IP信息的新的流量特徵SYN與TOP→SYN數組中此IP信息的舊的流量特徵SYN做比較,如果新的流量特徵SYN比舊的流量特徵SYN小,則更新TOP→SYN[j]為所述新的流量特徵SYN後調用top_up(j),否則更新TOP→SYN[j]為所述新的流量特徵SYN後調用top_down(j)。
將所述新的流量特徵SYN和舊的流量特徵SYN進行比較,如果SYN前後兩次差值大於某一設定特徵值,例如:10000,則判斷發生SYNFLOOD,存在異常流量行為。
S432、獲取所述IP信息的流量特徵ICMP,判斷所述IP信息是否存在於TOP→ICMP中
若不存在,則將所述IP信息的流量特徵ICMP與TOP→ICMP數組中首個IP信息對應的流量特徵ICMP進行比較,如果比首個IP信息對應的流量特徵ICMP大,則替換首個IP信息,標記所述IP信息具備TOP_ICMP屬性(即存在於TOP→ICMP數組中)並且把被替換的IP信息的TOP_ICMP屬性取消,然後調用top_down(j),使新的排序數組重新滿足最小二根堆特性。
若存在,則將所述IP信息的新的流量特徵ICMP與TOP→ICMP數組中此IP信息的舊的流量特徵ICMP做比較,如果新的流量特徵ICMP比舊的流量特徵ICMP小,則更新TOP→ICMP[j]為所述新的流量特徵ICMP後調用top_up(j),否則更新TOP→ICMP[j]為所述新的流量特徵ICMP後調用top_down(j)。
將所述新的流量特徵ICMP和舊的流量特徵ICMP進行比較,如果ICMP前後兩次差值大於某一設定特徵值,例如:10000,則判斷發生ICMPFLOOD,存在異常流量行為。
S433、獲取所述IP信息的流量特徵UDP,判斷所述IP信息是否存在於TOP→UDP中;
若不存在,則將所述IP信息的流量特徵UDP與TOP→UDP數組中首個IP信息對應的流量特徵UDP進行比較,如果比首個IP信息對應的流量特徵UDP大,則替換首個IP信息,標記所述IP信息具備TOP_UDP屬性(即存在於TOP→UDP數組中)並且把被替換的IP信息的TOP_UDP屬性取消,然後調用top_down(j),使新的排序數組重新滿足最小二根堆特性。
若存在,則將所述IP信息的新的流量特徵UDP與TOP→UDP數組中此IP信息的舊的流量特徵UDP做比較,如果新的流量特徵UDP比舊的流量特徵UDP小,則更新TOP→UDP[j]為所述新的流量特徵UDP後調用top_up(j),否則更新TOP→UDP[j]為所述新的流量特徵UDP後調用top_down(j)。
將所述新的流量特徵UDP和舊的流量特徵UDP進行比較,由於用戶數據報文類型攻擊多樣,需要對其進行細化分析,如果:
HASH[IP]→DNA→REPLY中REPLY前後兩次差值大於某一設定特徵值,例如:10000,則判斷發生UDPFLOOD,存在異常流量行為;
HASH[IP]→DNA→TCP中TCP前後兩次差值大於某一設定特徵值,例如:10000,則判斷發生UDPFLOOD,存在異常流量行為;
HASH[IP]→DNA→SAME中SAME前後兩次差值大於某一設定特徵值,例如:10000,則判斷發生UDPFLOOD,存在異常流量行為。
即分別對IP哈希數組中DNA中的成員REPLY、TCP以及SAME前後兩次差值與設定的特徵值進行比較,判斷是否發生了流量異常行為。
示例性的,可以定時設定啟動第二執行緒,例如,可以設定第二執行緒每一秒鐘啟動一次。
該發明實施例三提供的方法,通過使用實時排名結合行為分析來檢測攻擊,判斷是否發生異常流量行為,由於被攻擊的目標的某一項指標必然在這項指標排名前列當中,實時排名能夠找出可能存在攻擊的目標,再加以行為分析準確地判定出這些目標是否發生了攻擊,該方法適用於任何一個網路中,能夠把程式剛剛啟動時發生的攻擊也能檢測出來,也能區分正常突發的業務量,不會發生誤判的情況。
- 實施例四
圖6為該發明實施例四中的一種異常流量檢測方法流程圖,該實施例的技術方案以上述實施例為基礎,在上述實施例的基礎上作進一步的總結。
該方法包括如下步驟:
S601、建立全局IP哈希數組和排序數組;
所述IP哈希數組用來統計IP流量等信息,所述IP哈希數組可以包含變數SYN、ICMP、UDP以及DNA,分別用於統計同步報文數量、控制信息報文數量、用戶數據報文數量以及抽取用戶數據報文流量特徵;所述排序數組用來保存排名前N位的IP信息。
S602、創建執行緒1;
S603、所述執行緒1負責接收報文並從其中獲取IP位址和報文類型;
S604、判斷報文類型是否為同步報文,若是,則執行S605,否則執行S606;
S605、HASH[IP]→SYN+1;
S606、判斷報文類型是否為控制信息報文,若是,則執行S607,否則執行S608;
S607、HASH[IP]→ICMP+1;
S608、判斷報文類型是否為用戶數據報文,若是,則執行S609,否則返回執行S603;
S609、HASH[IP]→UDP+1;
S610、判斷IP是否存在於TOP→UDP數組中,若是,則執行S611,否則返回執行S603;
S611、取出報文SPORT,DPORT,CHECK,取出IP成員DNA;
示例性的,由於用戶數據報文流量特徵多樣,需要根據其連線埠的出現頻率、校驗碼的相同程度再加以判斷,優選的,選取SPORT、DPORT以及CHECK對用戶數據報文進行細化分析。DNA,用於抽取用戶數據報文流量特徵,其成員可以包括多個,優選的,DNA成員包括CUR、SAME、REPLY以及TCP。
S612、判斷SPORT的值是否為某些特定值,例如,2015年前已經在網路中出現過的攻擊的一些連線埠:123,1900,53,若是,則執行S613,否則執行S614;
S613、DNA→REPLY+1;
S614、判斷DPORT的值是否為某些特定值,例如,2015年前已經在網路中出現過的攻擊的一些連線埠:22,80,443,若是,則執行S615,否則執行S616;
S615、DNA→TCP+1;
S616、判斷CHECK是否等於DNA→CUR,若是,則執行S617,否則執行S618;
S617、DNA→SAME+1;
S618、DNA→CUR=CHECK;
S619、創建執行緒2;
S620、所述執行緒2負責遍歷IP哈希數組獲得當前IP對象A;
S621、依次取出對象A的成員SYN,ICMP,UDP表示為P;
S622、判斷P是否存在於TOP→P數組中;若是,則執行S623,否則執行S634;
S623、得到P在TOP→P數組的位置j;
S624、判斷A是否大於TOP[j];若是,則執行S625,否則執行S626;
S625、TOP→P[j]=P,調用top_down(j);
S626、TOP→P[j]=P,調用top_up(j);
S627、判斷P是否為UDP,若是,則執行S628,否則執行S630;
S628、判斷DNA成員REPLY,TCP,SAME是否任意一個大於設定特徵值,例如:10000,若是,則執行S629;
S629、發生UDPFLOOD攻擊;
S630、判斷P是否大於設定特徵值,例如:10000,若是,則執行S631;
S631、判斷P是否為SYN類型,若是,則執行S632,否則執行S633;
S632、發生SYNFLOOD攻擊;
S633、發生ICMPFLOOD攻擊;
S634、判斷P是否大於TOP→P[1],若是,則依次執行S635、S636以及S637;
S635、把TOP→P[1]原來的IP信息成員P的TOP屬性取消;
S636、TOP→P[1]=P並且為P添加上TOP屬性;
S637、調用top_down(1)。
該發明實施例四提供的方法,綜合上述實施例的技術方案,全面細緻地計算出整個網路中流量等各項指標排名前列的目標,再對排名前列的目標加以行為分析準確地判定出這些目標是否發生了異常流量行為,能夠準確和及時地發現流量異常的情況,把誤報率和漏報率大大降低。
榮譽表彰
2017年12月11日,《一種異常流量檢測方法》獲得第十九屆中國專利優秀獎。
