[发明专利]一种异常流量攻击检测处置的方法和装置

摘要

本发明提供一种异常流量攻击检测处置的方法，步骤包括：1)过滤来访IP地址的已知的异常流量和正常流量；2)根据通过的来访IP地址的当前流量数值与流量TOPN动态过滤表中对应的流量模板数值区分出所述通过的来访IP地址中的异常流量和正常流量；3)丢弃异常流量，转发正常流量。本发明还提供一种异常流量攻击检测处置的装置，包括依次连接的流量接收单元、静态过滤单元、动态检测过滤单元和自学习单元，其中，动态检测过滤单元连接有运算判决单元和自学习单元。本方法和装置能够提高异常行为的处理效率和检测准确率，快速检测和处理异常攻击流量而且不能影响正常的流量访问。

主权项

1.一种异常流量攻击检测处置的方法，步骤包括：1)过滤来访IP地址的已知的异常流量和正常流量；2)根据预先设定的时间窗口周期及当前流量所处的时间节点，判断所述IP地址是否在流量TOP N动态过滤表的前N中，如果在，将当前流量数值与对应流量模板的该时间节点的流量模板数值作比较运算；如果不在，将当前流量数值与流量平均模板EQ的该时间节点的流量模板数值作比较运算，以区分异常流量和正常流量；所述流量TOP N动态过滤表为链表，其信息根据历史访问流量从大到小依次排序建立，包括：1……N+M行IP信息链表，每行IP信息链表包括IP地址、历史访问流量统计和流量模板，该流量模板包括全部时间节点的流量模板数值；链表E，其IP地址和历史访问流量统计为空，其流量平均模板EQ包括全部节点的流量模板数值，这些数值是对应时间节点的所有非TOP N历史访问流量统计平均值；所述比较运算是指：根据当前流量的时间节点k，取当前流量数值X(k)，并检索到该时间节点的流量模板数值Mn(k)，判断X(k)/M_n(k)与预设阈值β的大小，如果X(k)/M_n(k)>β，则判定该流量为异常流量，如果1<X(k)/M_n(k)<β，则判定为疑似流量；对于疑似流量，根据当前流量模板，往后取I个流量数值X(k+1)……X(k+I)，并检索对应的流量模板数值Mn(k+1)……Mn(k+I)，如果X(k)/M_n(k)+X(k+1)/M_n(k+1)+……+X(k+I)/M_n(k+I)>β，则判定为异常流量，否则为正常流量；3)丢弃异常流量，转发正常流量。