[发明专利]一种异常流量检测的方法有效
| 申请号: | 201510631003.X | 申请日: | 2015-09-28 |
| 公开(公告)号: | CN105282152B | 公开(公告)日: | 2018-08-28 |
| 发明(设计)人: | 梁润强;麦剑;闵宇;曾宪力;黄劲聪;杨燕青 | 申请(专利权)人: | 广东睿江云计算股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京品源专利代理有限公司 11332 | 代理人: | 孟金喆;胡彬 |
| 地址: | 528000 广东省佛山市禅*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种异常流量检测的方法,包括:检测设备对报文的目标IP进行统计和检测;所述检测设备筛选出异常的目标IP,并向清洗设备发出通告;所述清洗设备对含有所述异常的目标IP的报文进行源IP统计、特征码统计和报文长度概率统计后再进行清洗过滤。本发明解决目前的异常流量检测装置检测性能低下和清洗效果不理想等问题,提高检测和清洗的准确率。 | ||
| 搜索关键词: | 一种 异常 流量 检测 方法 | ||
【主权项】:
1.一种异常流量检测的方法,其特征在于,包括:检测设备对报文的目标IP进行统计和检测;所述检测设备筛选出异常的目标IP,并向清洗设备发出通告;所述清洗设备对含有所述异常的目标IP的报文进行源IP统计、特征码统计和报文长度概率统计后再进行清洗过滤;其中,所述检测设备对报文的目标IP进行统计包括:所述检测设备收到报文时,从所述报文中取出目标IP;所述检测设备判断所述目标IP是否存在于哈希数组中,若不存在,在所述哈希数组的统计总报文数单元PKG、统计每秒报文数单元PS、统计正常的报文数单元NOR、统计报文平均值单元AVG和检测异常持续时间单元ATT的子数组中,为所述目标IP地址设置对应的数组位,设置初始值为零,并将PKG中对应的数组位的值加1;若存在,直接使所述目标IP对应的PKG数组位的值加1;所述检测设备对报文的目标IP进行检测包括:所述检测设备建立统计线程,每隔一秒对所述哈希数组中所有数组位进行遍历计算,逐一取出目标IP对应的各个数组位上的值,根据其前后一秒PKG的值相减得出与所述目标IP对应的PS的值,并且使所述目标IP的建立时间加1;在所述使所述目标IP的建立时间加1之后,还包括:若所述目标IP建立时间小于30秒,把与目标IP相对应的PS的值累加进NOR的值,然后用NOR的值除以所述目标IP的建立时间得出AVG的值;若所述目标IP建立时间不小于30秒:若所述目标IP对应的PS的值小于AVG的值的四倍时把PS的值累加进NOR的值中,然后用所述NOR的值除以其建立时间得出新的AVG的值,若目标IP对应的ATT的值大于零,则所述ATT的值减1,若所述目标IP对应的PS的值不小于AVG的值的四倍,所述ATT的值加1,若所述ATT的值大于10,则所述目标IP发生异常并向清洗设备发出通告。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于广东睿江云计算股份有限公司,未经广东睿江云计算股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510631003.X/,转载请声明来源钻瓜专利网。
