[发明专利]基于流量分析的IP黑洞发现方法

说明书

本发明公开了一种基于流量分析的IP黑洞发现方法，涉及网络IP流量分析技术领域，在网络中部署具有分析IP网络流量的IP黑洞检测系统，所述的IP黑洞检测系统具体是指：为每个被发现的IP主机登记一条包含三个字段的状态跟踪记录，每收到一个IP报文，都对源IP地址和目标IP地址的状态跟踪记录进行更新，通过对不断更新的状态跟踪记录的分析，发现网络中无响应的IP地址或IP子网。本方法能够实时检测网络中任意一台主机是否处于IP黑洞状态，大大地减少了IP黑洞发现时延，从而为及时发现网络故障提供了一种参考方法。

技术领域

本发明涉及网络IP流量分析技术领域，更确切地说涉及一种基于流量分析的IP黑洞发现方法。

背景技术

目前，在网络中常常会出现一些无响应的IP地址或IP子网，这些IP地址往往表现为只接受报文而对请求报文不给予响应。这不仅造成了网络的不确定性，也严重地影响了网络的服务质量，因此，及时找出这些没响应的IP地址或IP子网（即IP黑洞）是十分必要的。针对这些无响应的IP地址或IP子网，现有技术中通常使用ping方法来检查其响应情况。虽然这一方法使用起来简单方便，但是ping方法也存在一定的缺陷：

1、由于ping方法使用的是ICMP报文，若网络中存在禁止ICMP报文的路由器，则可能导致ping方法的失败；

2、目标主机可能出于安全考虑，不对ICMP报文进行响应，此时也会导致ping方法无法成功；

3、当网络中无响应的IP地址出现较多时，用ping方法对这些IP的响应情况进行一一检查，工作量很大，不利于网络的管理。

从上述分析可知，针对及时发现无响应的IP地址和IP子网问题，ping方法并不是一种理想的方案。

公开号为CN101179515，公开日为2008年5月14日的中国专利文献公开了一种抑制黑洞路由的方法，包括：网络设备使能黑洞路由，创建黑洞路由信息，该黑洞路由信息包括目的IP地址；当该网络设备接收到一个报文，该报文的源IP地址与所述黑洞路由信息中的目的IP地址一致时，将该黑洞路由信息删除。该方法中，网络设备在接收到报文后，查询黑洞路由表，如果该黑洞路由表存在与该报文的源IP地址相对应的黑洞路由，即可确定发送该报文的用户终端的IP地址已经生效，于是及时将于该黑洞路由信息删除，从而使得发送给该用户终端的报文能够顺利触发ARP探测，而无需等待该黑洞路由的老化时间超时后才触发。

又如公开号为102938769A，公开日为2013-02-20的中国专利文献公开了一种Domain-flux僵尸网络域名检测方法，是针对僵尸网络利用domain-flux技术进行定位及隐藏的问题，提出基于域名活动特征的僵尸网络域名检测方法。其方法步骤如下：接收并解析DNS响应报文，按固定时间间隔记录域名的IP解析内容；按照二级域名及解析ip对域名进行分组，得到多个域名集合，每集合包含一到多个域名；针对每个集合，计算集合内各域名从最初出现到最后出现的时间间隔，作为域名解析有效持续时间；计算集合内，各持续时间所占总域名的最大比重；根据预先定义阈值，输出使用domain-flux技术的域名列表。

上述技术方案，仍然没有解决采用ping方法所存在的上述三种问题。

发明内容

本发明旨在针对上述现有技术所存在的缺陷和不足，提供一种基于流量分析的IP黑洞发现方法，本方法能够实时检测网络中任意一台主机是否处于IP黑洞状态，大大地减少了IP黑洞发现时延，从而为及时发现网络故障提供了一种参考方法。

本发明是通过采用下述技术方案实现的：