[发明专利]一种异常流量检测的方法

说明书

本发明公开了一种异常流量检测的方法，包括：检测设备对报文的目标IP进行统计和检测；所述检测设备筛选出异常的目标IP，并向清洗设备发出通告；所述清洗设备对含有所述异常的目标IP的报文进行源IP统计、特征码统计和报文长度概率统计后再进行清洗过滤。本发明解决目前的异常流量检测装置检测性能低下和清洗效果不理想等问题，提高检测和清洗的准确率。

技术领域

本发明涉及网络流量统计分析领域，尤其涉及一种异常流量检测的方法。

背景技术

拒绝服务攻击(DoS,Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起，同时由于攻击方法简单、影响较大、难以追查等特点，又使得分布式拒绝服务攻击(DDoS，Distributed Denial of Service)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机，形成了规模巨大的攻击和网络流量，对被攻击网络造成了极大的危害。

随着DDoS攻击技术的不断提高和发展，互联网服务提供商(ISP，InternetService Provider)、因特网内容提供商(ICP，Internet Content Provider)、互联网数据中心(IDC，Internet Data Center)等运营商面临的安全和运营挑战也不断增多，运营商必须在DDoS威胁影响关键业务和应用之前，对流量进行检测并加以清洗，确保网络正常稳定的运行以及业务的正常开展。同时，对DDoS攻击流量的检测和清洗也可以成为运营商为用户提供的一种增值服务，以获得更好的用户满意度。

关于应对DDOS攻击，有两个核心的要求，第一是能及时发现异常的情况(即可能出现攻击)，第二是在大流量的攻击中把真正的攻击者找出来。

目前的异常流量检测方法一般是采用旁路部署检测设备，串联部署清洗设备的使用方法，其检测设备一般既检测异常的目标IP亦会尝试找出攻击的IP即源IP，然后向清洗设备宣告异常，清洗设备对异常进行特定的清洗策略进行简单的过滤清洗，这种方法的缺陷在于检测设备需要对大量的目标进行统计检测时已经消耗了极大的性能，再加上尝试找出攻击IP，不但会使性能大大减低，其准确率也不理想，而清洗设备清洗策略过于简单，会产生误杀或者清洗不干净问题，对网络中的用户产生了不好的体验。

发明内容

有鉴于此，本发明实施例提供一种异常流量检测的方法，以解决现有技术中的技术问题。

本发明实施例提供了一种异常流量检测的方法，包括：

检测设备对报文的目标IP进行统计和检测；

所述检测设备筛选出异常的目标IP，并向清洗设备发出通告；

所述清洗设备对含有所述异常的目标IP的报文进行源IP统计、特征码统计和报文长度概率统计后再进行清洗过滤。

本发明的有益效果：本发明提供的一种异常流量检测的方法，对流量进行分离统计，检测设备对目标IP进行统计检测，发现异常后由清洗设备对源IP、特征码和报文长度概率进行统计后再进行清洗过滤，这样检测设备能专心于对目标进行统计检测，性能将大大提升，而清洗设备会精确到对每一个源IP进行统计，能把误杀和清洗不干净的情况出现降到最低，可以大大提高清洗的效果。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1是本发明实施例一提供的一种异常流量检测的方法的流程图；

图2是本发明实施例二提供的一种检测设备对目标IP统计的流程图；

图3是本发明实施例三提供的一种异常流量检测的方法的具体流程图。

具体实施方式