[发明专利]智能流量基线学习方法、设备和计算机可读存储介质在审
申请号: | 202011212619.0 | 申请日: | 2020-11-03 |
公开(公告)号: | CN112333045A | 公开(公告)日: | 2021-02-05 |
发明(设计)人: | 郭娴;杨佳宁;陈柯宇;杨立宝;樊佳讯;李莹 | 申请(专利权)人: | 国家工业信息安全发展研究中心 |
主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L29/06 |
代理公司: | 北京中济纬天专利代理有限公司 11429 | 代理人: | 张莹 |
地址: | 100040 *** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 智能 流量 基线 学习方法 设备 计算机 可读 存储 介质 | ||
本发明提出了一种智能流量基线学习方法、设备和计算机可读存储介质,方法包括以下步骤:从现有流量中识别出链路;检测每一条所述链路的链路流量IL;确定每一条所述链路的流量基线IM;对于任意一条所述链路,若该链路的链路流量IL超过判断值Q,且持续时间超过设定时间,则判定该链路违反流量基线;若任意一条所述链路被判定为违反流量基线,则检测到攻击,启动告警;其中,Q=IM~1.05*IM。本发明提供的智能流量基线学习方法、设备和计算机可读存储介质,可实现对通讯流量实时监控,精准、快速地识别DoS类攻击。
技术领域
本发明涉及数据传输技术领域,具体而言,涉及一种智能流量基线学习方法、设备和计算机可读存储介质。
背景技术
本发明对于背景技术的描述属于与本发明相关的相关技术,仅仅是用于说明和便于理解本发明的发明内容,不应理解为申请人明确认为或推定申请人认为是本发明在首次提出申请的申请日的现有技术。
在工控环境中,业务流都是采用周期轮询机制,一条链路的流量大小基本固定在某个正常的范围内,如果流量突然大幅度增加,则可能发生了DoS类攻击,更为具体地,发生了计算机网络宽带攻击或连通性攻击。现有技术无法对上述攻击进行精准、快速地识别。
为了实现精准、快速地识别上述攻击,本发明提出了一种智能流量基线学习方法、设备和计算机可读存储介质,可实现对通讯流量实时监控,精准、快速地识别DoS类攻击。
发明内容
本发明提供了一种智能流量基线学习方法、设备和计算机可读存储介质,可实现对通讯流量实时监控,精准、快速地识别DoS类攻击。
本发明第一方面的实施例提供了一种智能流量基线学习方法,包括以下步骤:从现有流量中识别出链路;检测每一条链路的链路流量IL;确定每一条链路的流量基线IM;对于任意一条链路,若该链路的链路流量IL超过判断值Q,且持续时间超过设定时间,则判定该链路违反流量基线;若任意一条链路被判定为违反流量基线,则检测到攻击,启动告警;其中,Q=IM~1.05*IM。
优选地,链路流量IL为一个通讯会话中的服务端和客户端之间的通讯流量,通讯流量包括服务端到客户端的流量、客户端到服务端的流量、服务端到客户端的流量与客户端到服务端的流量之和。
优选地,流量基线IM为正常通讯情况下链路的链路流量的阈值,任意一条链路的流量基线为服务端到客户端的流量的阈值、客户端到服务端的流量的阈值、或服务端到客户端的流量与客户端到服务端的流量之和的阈值。
优选地,检测每一条链路的链路流量IL中,链路流量IL为一个通讯会话中服务端到客户端的流量与客户端到服务端的流量之和;
确定每一条链路的流量基线IM中,流量基线IM为正常通讯情况下该链路的服务端到客户端的流量与客户端到服务端的流量之和的阈值;对于任意一条链路,若该链路的链路流量IL超过判断值Q,且持续时间超过设定时间,则判定该链路违反流量基线;其中,Q=1.02*IM~1.05*IM。
优选地,在正常通讯情况下,链路的链路流量IL为正常链路流量,正常链路流量的属性包括,服务端和客户端的ip地址、服务端和客户端的MAC地址、服务端和客户端之间的通讯协议、链路的流量基线。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家工业信息安全发展研究中心,未经国家工业信息安全发展研究中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011212619.0/2.html,转载请声明来源钻瓜专利网。