[发明专利]基于流量分析的IP黑洞发现方法

权利要求书

1.一种基于流量分析的IP黑洞发现方法，其特征在于：在网络中部署用于分析IP网络流量的IP黑洞检测系统，所述的IP黑洞检测系统具体是指：为每个被发现的IP主机登记一条包含三个字段的状态跟踪记录，每收到一个IP报文，都对源IP地址和目标IP地址的状态跟踪记录进行更新，通过对不断更新的状态跟踪记录的分析，发现网络中无响应的IP地址或IP子网；

具体方法如下：

1）对收到的每个流量包里面的源IP地址和目标IP地址进行跟踪；

2）为每个IP地址登记一条状态跟踪记录，包含三个字段，分别为：lastact字段和lastpeeract字段,syn_unhandled计数器；

3）每收到一个IP包，检查源IP地址和目标IP地址对应的状态跟踪记录，未找到，则添加记录；找到记录，则修改该记录的三个字段值，修改规则转步骤4）；

4）对传输层是TCP协议的IP包，进行如下判断：

4-1如果包含了TCP数据载荷，说明源IP主机和目标IP主机有正常的上下文通信，此时分别修改源IP地址和目标IP地址的状态跟踪记录：对源IP地址对应的跟踪记录修改为：将lastact字段修改为当前时刻；对目标IP地址对应的跟踪记录修改为：将lastpeeract字段修改为当前时刻，syn_unhandled计数器清0；

4-2如果是SYN请求，说明源IP主机向目标IP主机发出了SYN请求，此时分别修改源IP地址和目标IP地址的状态跟踪记录：对源IP地址对应的跟踪记录修改为：将lastact字段修改为当前时刻；对目标IP地址对应的跟踪记录修改为：将syn_unhandled计数器累加，然后判断syn_unhandled计数器值是否大于2，若是，则取目标IP跟踪记录的lastact字段和lastpeeract字段两者中的较大者，与当前时间比较，若超过30秒则判定目标IP地址处于IP黑洞状态。

2.根据权利要求1所述的基于流量分析的IP黑洞发现方法，其特征在于：所述的IP黑洞检测系统部署在网络关键节点上。

3.根据权利要求1所述的基于流量分析的IP黑洞发现方法，其特征在于：lastact字段:记录IP主机最后一次发出IP流量包的时间；lastpeeract字段:记录IP主机最后一次收到IP流量包的时间；syn_unhandled计数器:记录IP主机接收到SYN请求而没有发回含ACK确认的SYN段作为应答的数量。