[发明专利]一种滤除网络攻击流量的方法与装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种滤除网络攻击流量的方法与装置。

背景技术

随着互联网技术的发展，网络安全问题受到人们广泛关注。病毒、黑客等网络攻击层出不穷，人们想尽办法对付这些安全威胁。与这些常规的网络威胁不同的是日益发展起来的流量攻击，流量攻击采用超过系统处理能力的大数据流方式让系统崩溃或者压垮网络设备，常见的如DDos(分布式拒绝服务攻击)，该种攻击由DOS(拒绝服务攻击)攻击发展而来，由于它通常以看似合法的身份在网络上传播数据，导致位于网络源端或目的端的检测器几乎无法识别这些异常的数据流，进而无法进行滤除操作。正是基于流量攻击这种攻击源相对集中、攻击手段灵活隐蔽、攻击对象范围广泛的特点，它日益成为网络安全的头号大敌。如何判别正常数据流量和攻击流量，并将攻击流量予以滤除，长期困扰着网络安全设备运营商。

尽管到现在为止还没有一种绝对行之有效的方法杜绝流量攻击的威胁，但人们已做过一些有益尝试。现有技术的普遍做法是先获取一个流量阀值，然后根据攻击流量与该流量阀值的大小关系启动攻击流量滤除设备，以实现攻击流量的滤除。对于阀值的计算，主要存在以下三种方法：(1)选取网络流量采样值的最大值作为阈值，该方法确定的阈值波动大、阈值高、易突变，起不到阈值的作用，且流量采样时不能有效排除对异常流量的采样；(2)选取流量采样值的平均值作为阈值，尽管该方法确定的阈值随流量波动变化相对缓慢，但该阈值只反映某段时间内的情况，无宏观特性，在流量采样时也不能排除对异常流量的统计；(3)将前后时刻的流量采样值通过加权计算阈值，该方法确定的阈值能减缓阈值随流量变化的波动幅度，具有一定的宏观性，但依然不能排除对异常流量的统计，且加权的权值除根据长期积累的经验确定外，几乎无法确定。由此可见，现有技术的方法对流量采样时，均无法规避掉异常流量的影响，因而计算出来的流量阀值通常难以反映出正常流量与异常流量的真实界限，进而降低了滤除异常流量的效果。

发明内容

有鉴于此，本发明的发明目的在于提供一种滤除网络攻击流量的方法与装置，该方法与装置通过分析网络攻击流量的分布规律，利用正态分布原理计算网络流量的阀值，并以该计算得到的阀值实现对网络攻击流量的滤除。

本发明提供的一种滤除网络攻击流量的方法包括：

获取网络流量的样本，该样本为第一初始样本；

将第一初始样本平均值与第一初始样本标准差的三倍进行求和，求和运算得到的结果作为第一中间阀值；

将第一初始样本中大于所述第一中间阀值的样本滤除，得到第一剩余样本；根据所述第一剩余样本的平均值和标准差得到第一最终阀值，所述第一最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和；

根据所述第一最终阀值对网络攻击流量进行滤除。

优选地，所述获取网络流量的样本包括：直接采集网络流量的样本以获取第一初始样本。

优选地，所述获取网络流量的样本包括：

采集网络流量的样本，该样本为第二初始样本；

将第二初始样本平均值与第二初始样本标准差的三倍进行求和，求和运算得到的结果作为第二中间阀值；

将第二初始样本中大于所述第二中间阀值的样本滤除，得到第二剩余样本；根据所述第二剩余样本的平均值和标准差得到第二最终阀值，所述第二最终阀值为第二剩余样本平均值与第二剩余样本标准差的三倍之和；

按照上述步骤获取多个第二最终阀值，将获得的第二最终阀值组成第一初始样本。

优选地，所述第二初始样本的样本数至少为30个。

优选地，所述方法还包括：在一个时间周期的一个时段内获取网络流量的样本，在下一个周期的相应时段内根据所述第一最终阀值对网络攻击流量进行过滤，所述时间周期至少包括两个时段。

优选地，所述第一初始样本的个数至少为30个。

本发明还提供了一种滤除网络攻击流量的装置，该装置包括：样本获取单元、第一中间阀值计算单元、第一最终阀值计算单元和攻击流量滤除单元，其中：

所述样本获取单元，用于获取网络流量的样本，该样本为第一初始样本；

所述第一中间阀值计算单元，用于将第一初始样本平均值与第一初始样本标准差的三倍进行求和，求和运算得到的结果作为第一中间阀值；

所述第一最终阀值计算单元，用于将第一初始样本中大于所述第一中间阀值的样本滤除，得到第一剩余样本；根据所述第一剩余样本的平均值和标准差得到第一最终阀值，所述第一最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和；