專(zhuān)利名稱(chēng):一種實(shí)現(xiàn)異常流量控制的裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種實(shí)現(xiàn)異常流量控制的裝置及方法�,尤其涉及在通信數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備中控制異常流量的一種處理方法��,本發(fā)明在數(shù)據(jù)通訊領(lǐng)域有較強(qiáng)的實(shí)用價(jià)值�。
背景技術(shù):
在數(shù)據(jù)通信轉(zhuǎn)發(fā)設(shè)備如交換機(jī)�、路由器的工作中���,如果在某時(shí)間通過(guò)轉(zhuǎn)發(fā)設(shè)備的流量超出了設(shè)備的處理能力��,就會(huì)引起擁塞�����,這時(shí)吞吐量會(huì)隨著負(fù)載的增加而減少���,通信性能下降。
DOS(拒絕服務(wù))攻擊是影響網(wǎng)絡(luò)安全和性能的一種重要原因�����,它向被攻擊設(shè)備發(fā)送大量的攻擊數(shù)據(jù)報(bào)文來(lái)消耗攻擊對(duì)象的有限資源�����,如果轉(zhuǎn)發(fā)設(shè)備本身是被攻擊目標(biāo)�,就可能失去正常工作能力;如果是中間設(shè)備�,也會(huì)因?yàn)橥ㄟ^(guò)的異常流量占用了大量的帶寬而影響其他正常流的工作。
在網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備中進(jìn)行對(duì)DOS之類(lèi)的異常流量的控制���,對(duì)于保證整個(gè)網(wǎng)絡(luò)的性能有著重要的意義�。
在現(xiàn)有技術(shù)中,有一些進(jìn)行DOS攻擊防范的技術(shù)�����,例如在申請(qǐng)?zhí)枮?1139036.0��,名稱(chēng)為“旁路式拒絕服務(wù)攻擊的偵測(cè)與緩解的方法”的中國(guó)專(zhuān)利介紹了防止某種DOS攻擊的方法�,它只適用于已經(jīng)知道的某種異常情況,并且只能用于被攻擊對(duì)象����,不能用于中間轉(zhuǎn)發(fā)設(shè)備。
現(xiàn)有的一些流量控制技術(shù)��,如申請(qǐng)?zhí)枮?0130367.8�����,名稱(chēng)為“一種基于隨機(jī)早期檢測(cè)的逐節(jié)擁塞控制方法”的中國(guó)專(zhuān)利�����,屬于一種包丟棄方法��,主要是對(duì)通過(guò)轉(zhuǎn)發(fā)設(shè)備的數(shù)據(jù)包的丟棄����,讓發(fā)送端根據(jù)丟包現(xiàn)象自動(dòng)調(diào)整流量速率。這種方法依賴(lài)用戶(hù)端的協(xié)作與配合��,對(duì)于惡意攻擊或?qū)Ψ纸M丟失不敏感的協(xié)議��,該方法并不能獨(dú)立地做到避免擁塞的發(fā)生����。
其它的流量控制技術(shù)還有包過(guò)濾、流量分類(lèi)等方法�����。
包過(guò)濾是在轉(zhuǎn)發(fā)設(shè)備中設(shè)置一些規(guī)則來(lái)實(shí)現(xiàn)對(duì)異常包的過(guò)濾�����,由于其規(guī)則需要預(yù)先設(shè)置�,不能應(yīng)對(duì)實(shí)際的環(huán)境變化,很容易被攻擊避開(kāi)��。
流量分類(lèi)是一種比較理想的方法�,主要是對(duì)通過(guò)轉(zhuǎn)發(fā)設(shè)備的數(shù)據(jù)流進(jìn)行分類(lèi)�,對(duì)不同的流進(jìn)行帶寬控制����。但是由于缺乏統(tǒng)一的分類(lèi)標(biāo)準(zhǔn),而且這種方法過(guò)于復(fù)雜�,導(dǎo)致實(shí)際上很難實(shí)現(xiàn),即使用上了�,也會(huì)因?yàn)樵谵D(zhuǎn)發(fā)引擎做實(shí)時(shí)分析對(duì)轉(zhuǎn)發(fā)性能的影響太大,實(shí)用價(jià)值不高���。
綜上所述�����,現(xiàn)有的方法或者難以達(dá)到對(duì)網(wǎng)絡(luò)中的異常流量實(shí)時(shí)分析控制���,或者不能保持轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)性能,有必要進(jìn)行改進(jìn)����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題在于提供一種實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備進(jìn)行異常流量控制的方法,可以方便的實(shí)時(shí)分析出網(wǎng)絡(luò)流量中的異常情況���,進(jìn)行控制��,并保證設(shè)備的轉(zhuǎn)發(fā)性能����。
對(duì)DOS攻擊等異常流量的統(tǒng)計(jì)分析數(shù)據(jù)表明����,如DOS攻擊之類(lèi)的異常流量大多是定長(zhǎng)的短包。正常的數(shù)據(jù)流中�����,可能會(huì)出現(xiàn)短包�����,如TCP(傳輸控制協(xié)議)的SYN(同步)報(bào)文����,但正常的TCP連接能根據(jù)包丟失進(jìn)行流量控制,而且正常的短報(bào)文一般不會(huì)出現(xiàn)長(zhǎng)時(shí)間的定長(zhǎng)包���。因此對(duì)網(wǎng)絡(luò)中持續(xù)的定長(zhǎng)短包進(jìn)行檢測(cè)控制����,是一種可行的異常流量控制方法,本發(fā)明就是基于這種思想��。
本發(fā)明是這樣實(shí)現(xiàn)的一種實(shí)現(xiàn)異常流量控制的裝置�,其特征在于
該裝置由轉(zhuǎn)發(fā)引擎和流量分析單元兩個(gè)功能模塊組成;所述轉(zhuǎn)發(fā)引擎���,用于數(shù)據(jù)的轉(zhuǎn)發(fā)和實(shí)際的流量檢測(cè)����、控制處理�����,在轉(zhuǎn)發(fā)設(shè)備的某個(gè)接收端口的流量超過(guò)預(yù)設(shè)的閾值時(shí)進(jìn)行短包采樣���,帶上附加的處理原因信息送給流量分析單元�����;所述流量分析單元��,根據(jù)轉(zhuǎn)發(fā)引擎送來(lái)的包進(jìn)行統(tǒng)計(jì)分析���,并利用分析結(jié)果來(lái)設(shè)置轉(zhuǎn)發(fā)引擎�,控制轉(zhuǎn)發(fā)引擎的行為��。
所述功能模塊所進(jìn)行的實(shí)時(shí)分析采用采樣方式�,即對(duì)某設(shè)定的時(shí)間段內(nèi)的短包進(jìn)行分析����。
所述轉(zhuǎn)發(fā)引擎進(jìn)行如下處理轉(zhuǎn)發(fā)引擎檢測(cè)到某個(gè)接收端口的流量超過(guò)警戒閾值;在接下來(lái)的某設(shè)定的時(shí)間段內(nèi)���,在進(jìn)行正常的包處理的同時(shí)����,將所處理的短包����,發(fā)送給流量分析單元;在第一個(gè)包附帶上開(kāi)始分析信息��,最后的包帶上結(jié)束信息�,中間的包附帶分析信息;時(shí)間段結(jié)束��,啟動(dòng)一個(gè)定時(shí)器,如果定時(shí)器還沒(méi)到期收到了來(lái)自流量分析單元的控制信息����,就重新啟動(dòng)定時(shí)器,進(jìn)行流量控制���;定時(shí)器到期后��,檢查接收端口的流量�,如果已經(jīng)正常��,取消流量限制�;否則,重新進(jìn)行采樣處理����。
所述流量控制可以通過(guò)設(shè)置過(guò)濾規(guī)則進(jìn)行丟包來(lái)實(shí)現(xiàn)。
所述流量分析單元進(jìn)行如下處理對(duì)于所收到的采樣包����,取每個(gè)包的長(zhǎng)度和IP地址信息;根據(jù)每個(gè)包的包長(zhǎng)找到其對(duì)應(yīng)的隊(duì)列�,遞增包長(zhǎng)對(duì)應(yīng)的計(jì)數(shù)值,和上一次插入后的計(jì)數(shù)最大值��、次大值、第三大的值進(jìn)行比較并產(chǎn)生新值��;將長(zhǎng)度統(tǒng)計(jì)結(jié)果最多的包根據(jù)每個(gè)包的IP地址信息將其插入隊(duì)列中的適當(dāng)位置�,在插入時(shí)節(jié)點(diǎn)按IP地址排序;如果在隊(duì)列中沒(méi)有該地址��,插入節(jié)點(diǎn)�,計(jì)數(shù)值設(shè)為1�,如果已經(jīng)有該地址,遞增地址計(jì)數(shù)�,將本隊(duì)列和上一次插入后的計(jì)數(shù)最大值、次大值����、第三大的值進(jìn)行比較并產(chǎn)生新值;采樣包統(tǒng)計(jì)完畢���,分析長(zhǎng)度最大����、地址最多的幾種包占所有包的比例�,如果某種包所占比例超過(guò)閾值,則認(rèn)為是異常包�,通知轉(zhuǎn)發(fā)引擎對(duì)該類(lèi)型的包進(jìn)行控制��。
一種實(shí)現(xiàn)異常流量控制的方法��,包括如下步驟步驟一�����、轉(zhuǎn)發(fā)引擎監(jiān)視網(wǎng)絡(luò)流量�����,在流量超過(guò)控制閾值時(shí)開(kāi)始采樣���,把短包送到流量分析單元去分析;步驟二���、流量分析單元分析轉(zhuǎn)發(fā)引擎送來(lái)的數(shù)據(jù)包����,找出異常的流���;步驟三����、流量分析單元設(shè)置轉(zhuǎn)發(fā)引擎,對(duì)異常流進(jìn)行控制�����;步驟四�����、轉(zhuǎn)發(fā)引擎啟動(dòng)檢查定時(shí)器�,在定時(shí)器到期后檢查網(wǎng)絡(luò)流量,如果流量仍超過(guò)控制閾值���,重復(fù)步驟一,否則取消控制�。
所述步驟二中進(jìn)一步包括根據(jù)采樣的起始和結(jié)束標(biāo)志,取出收到的采樣包中的長(zhǎng)度值和IP地址��;根據(jù)包的長(zhǎng)度對(duì)采樣到的包進(jìn)行歸類(lèi)����,統(tǒng)計(jì)出樣本中出現(xiàn)次數(shù)最多的幾個(gè)包長(zhǎng)度;再對(duì)長(zhǎng)度統(tǒng)計(jì)結(jié)果最多的包��,按IP地址進(jìn)行統(tǒng)計(jì)�,找出出現(xiàn)次數(shù)最多的幾個(gè)地址�����;分析具有同樣包長(zhǎng)和IP地址的最多的包占所有樣本包的比例���,如果超出閾值,作為異常流量����。
采用本發(fā)明所述方法,與現(xiàn)有技術(shù)相比��,由于采取了專(zhuān)用的流量分析單元和對(duì)短包進(jìn)行采樣分析的技術(shù)���,使得數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備可以在實(shí)時(shí)環(huán)境下獨(dú)立地進(jìn)行流量分析�,分析過(guò)程對(duì)轉(zhuǎn)發(fā)引擎的負(fù)荷增加很少���,從而保證轉(zhuǎn)發(fā)引擎的轉(zhuǎn)發(fā)性能���,可以對(duì)現(xiàn)有網(wǎng)絡(luò)環(huán)境下的最常見(jiàn)的異常流量進(jìn)行控制。
圖1本發(fā)明所述裝置的功能模塊組成示意圖�;圖2本發(fā)明所述方法中轉(zhuǎn)發(fā)引擎的處理流程圖;圖3本發(fā)明所述方法中流量分析單元所用的數(shù)據(jù)結(jié)構(gòu)��;圖4本發(fā)明所述方法中流量分析單元的處理流程圖。
具體實(shí)施例方式
本發(fā)明所述裝置由兩個(gè)功能模塊組成�����,轉(zhuǎn)發(fā)引擎負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)和實(shí)際的流量檢測(cè)�����、控制處理����,流量分析單元根據(jù)轉(zhuǎn)發(fā)引擎送來(lái)的包進(jìn)行統(tǒng)計(jì)分析,并利用分析結(jié)果來(lái)設(shè)置轉(zhuǎn)發(fā)引擎��,控制轉(zhuǎn)發(fā)引擎的行為��。方法中的實(shí)時(shí)分析采用采樣方式��,即對(duì)某段時(shí)間內(nèi)的短包去分析��,而不是持續(xù)動(dòng)態(tài)的進(jìn)行分析�����,這樣大大降低了處理工作量�����。
本發(fā)明所述在數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備中進(jìn)行異常流量控制的方法如下一�、轉(zhuǎn)發(fā)引擎監(jiān)視網(wǎng)絡(luò)流量,在流量超過(guò)控制閾值時(shí)開(kāi)始采樣����,把短包送到流量分析單元去分析;二�����、流量分析單元分析轉(zhuǎn)發(fā)引擎送來(lái)的數(shù)據(jù)包����,找出異常的流;三��、流量分析單元設(shè)置轉(zhuǎn)發(fā)引擎���,對(duì)異常流進(jìn)行控制�����;四�����、轉(zhuǎn)發(fā)引擎啟動(dòng)檢查定時(shí)器����,在定時(shí)器到期后檢查網(wǎng)絡(luò)流量,如果流量仍超過(guò)控制閾值�����,重復(fù)步驟一�����,否則取消控制�����。
所述步驟二中進(jìn)一步包括a����、根據(jù)采樣的起始和結(jié)束標(biāo)志�,取出收到的采樣包中的長(zhǎng)度值和IP(網(wǎng)際協(xié)議)地址;b、根據(jù)包的長(zhǎng)度對(duì)采樣到的包進(jìn)行歸類(lèi)��,統(tǒng)計(jì)出樣本中出現(xiàn)次數(shù)最多的幾個(gè)包長(zhǎng)度����;c、再對(duì)長(zhǎng)度統(tǒng)計(jì)結(jié)果最多的包����,按IP地址進(jìn)行統(tǒng)計(jì),找出出現(xiàn)次數(shù)最多的幾個(gè)地址�����;d�、分析具有同樣包長(zhǎng)和IP地址的最多的包占所有樣本包的比例,如果超出閾值��,作為異常流量����。
圖1是本方法中所用的處理功能模塊。轉(zhuǎn)發(fā)引擎負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)和實(shí)際的流量檢測(cè)��、控制處理��,它在轉(zhuǎn)發(fā)設(shè)備的某個(gè)接收端口的流量超過(guò)預(yù)設(shè)的閾值時(shí)進(jìn)行短包采樣,帶上附加的處理原因信息送給流量分析單元����,流量分析單元根據(jù)轉(zhuǎn)發(fā)引擎送來(lái)的包進(jìn)行統(tǒng)計(jì)分析,并利用分析結(jié)果來(lái)設(shè)置轉(zhuǎn)發(fā)引擎�����,控制轉(zhuǎn)發(fā)引擎的行為�。
圖2是轉(zhuǎn)發(fā)引擎的處理流程。轉(zhuǎn)發(fā)引擎發(fā)現(xiàn)某個(gè)接收端口的流量超過(guò)警戒閾值����,就開(kāi)始實(shí)施流量控制措施。在接下來(lái)的時(shí)間段T內(nèi)����,在進(jìn)行正常的包處理的同時(shí),它將所處理的短包(IP包的長(zhǎng)度在某個(gè)范圍內(nèi))��,發(fā)送給流量分析單元���。為了讓流量分析單元知道采樣的開(kāi)始和結(jié)束����,在第一個(gè)包附帶上開(kāi)始分析信息���,最后的包帶上結(jié)束信息����,中間的包附帶分析信息��。過(guò)了時(shí)間段T��,它啟動(dòng)一個(gè)定時(shí)器���,如果定時(shí)器還沒(méi)到期收到了來(lái)自流量分析單元的控制信息�,就重新啟動(dòng)定時(shí)器����,并根據(jù)要求采取流量限制措施,最普通的方式就是設(shè)置過(guò)濾規(guī)則進(jìn)行丟包�。定時(shí)器到期后,檢查端口的流量���,如果已經(jīng)正常��,取消流量限制����;否則,重新進(jìn)行采樣處理����。
圖3是在流量分析單元上進(jìn)行分析所采用的數(shù)據(jù)結(jié)構(gòu)。從包中提取出的長(zhǎng)度和地址信息按各自長(zhǎng)度排成鏈表����,鏈表中的節(jié)點(diǎn)表示不同的地址。在加入新的節(jié)點(diǎn)時(shí)對(duì)長(zhǎng)度����、地址進(jìn)行計(jì)數(shù),并統(tǒng)計(jì)每個(gè)長(zhǎng)度中地址最多以及長(zhǎng)度最多的幾種情況����。每個(gè)長(zhǎng)度用表頭節(jié)點(diǎn)中的指針域指向地址最多的幾個(gè)節(jié)點(diǎn),并用一個(gè)域來(lái)統(tǒng)計(jì)該長(zhǎng)度總的包數(shù)量��。
圖4是流量分析單元處理流程�����。對(duì)于所收到的每個(gè)采樣包�,取包的長(zhǎng)度和IP地址信息�����,為處理的簡(jiǎn)單起見(jiàn)���,只取IP源地址�。根據(jù)包長(zhǎng)找到對(duì)應(yīng)的隊(duì)列,遞增包長(zhǎng)對(duì)應(yīng)的計(jì)數(shù)值����,和上一次插入后的計(jì)數(shù)最大值、次大值��、第三大的值進(jìn)行比較并產(chǎn)生新值�����。之后根據(jù)IP地址信息插入隊(duì)列中的適當(dāng)位置�,為方便快速的查找和插入,在插入時(shí)節(jié)點(diǎn)按IP地址排序��。如果在隊(duì)列中沒(méi)有該地址����,插入節(jié)點(diǎn)�����,計(jì)數(shù)值設(shè)為1���;如果已經(jīng)有該地址,遞增地址計(jì)數(shù)�,對(duì)本隊(duì)列和上一次插入后的計(jì)數(shù)最大值、次大值�、第三大的值進(jìn)行比較并產(chǎn)生新值。采樣包統(tǒng)計(jì)完畢��,分析長(zhǎng)度最大�、地址最多的幾種包占所有包的比例,如果某種包所占比例超過(guò)閾值�����,則認(rèn)為是異常包����,通知轉(zhuǎn)發(fā)引擎對(duì)該類(lèi)型的包進(jìn)行控制。
權(quán)利要求
1.一種實(shí)現(xiàn)異常流量控制的裝置�����,其特征在于該裝置由轉(zhuǎn)發(fā)引擎和流量分析單元兩個(gè)功能模塊組成;所述轉(zhuǎn)發(fā)引擎�,用于數(shù)據(jù)的轉(zhuǎn)發(fā)和實(shí)際的流量檢測(cè)、控制處理�,在轉(zhuǎn)發(fā)設(shè)備的某個(gè)接收端口的流量超過(guò)預(yù)設(shè)的閾值時(shí)進(jìn)行短包采樣,帶上附加的處理原因信息送給流量分析單元�;所述流量分析單元,根據(jù)轉(zhuǎn)發(fā)引擎送來(lái)的包進(jìn)行統(tǒng)計(jì)分析����,并利用分析結(jié)果來(lái)設(shè)置轉(zhuǎn)發(fā)引擎�,控制轉(zhuǎn)發(fā)引擎的行為。
2.如權(quán)利要求1所述實(shí)現(xiàn)異常流量控制的裝置���,其特征在于所述功能模塊所進(jìn)行的實(shí)時(shí)分析采用采樣方式���,即對(duì)某段時(shí)間內(nèi)的短包進(jìn)行分析。
3.如權(quán)利要求1或2所述實(shí)現(xiàn)流量控制的裝置��,其特征在于所述轉(zhuǎn)發(fā)引擎進(jìn)行如下處理轉(zhuǎn)發(fā)引擎檢測(cè)到某個(gè)接收端口的流量超過(guò)警戒閾值����;在接下來(lái)的某設(shè)定的時(shí)間段內(nèi),在進(jìn)行正常的包處理的同時(shí)�,將所處理的短包�����,發(fā)送給流量分析單元�����;在第一個(gè)包附帶上開(kāi)始分析信息���,最后的包帶上結(jié)束信息,中間的包附帶分析信息���;時(shí)間段結(jié)束����,啟動(dòng)一個(gè)定時(shí)器��,如果定時(shí)器還沒(méi)到期收到了來(lái)自流量分析單元的控制信息�,就重新啟動(dòng)定時(shí)器,進(jìn)行流量控制����;定時(shí)器到期后,檢查接收端口的流量,如果已經(jīng)正常�����,取消流量限制����;否則,重新進(jìn)行采樣處理���。
4.如權(quán)利要求3所述實(shí)現(xiàn)流量控制的裝置����,其特征在于所述流量控制可以通過(guò)設(shè)置過(guò)濾規(guī)則進(jìn)行丟包來(lái)實(shí)現(xiàn)���。
5.如權(quán)利要求1或2所述實(shí)現(xiàn)流量控制的裝置,其特征在于所述流量分析單元進(jìn)行如下處理對(duì)于所收到的采樣包����,取每個(gè)包的長(zhǎng)度和IP地址信息;根據(jù)每個(gè)包的包長(zhǎng)找到其對(duì)應(yīng)的隊(duì)列���,遞增包長(zhǎng)對(duì)應(yīng)的計(jì)數(shù)值��,和上一次插入后的計(jì)數(shù)最大值��、次大值��、第三大的值進(jìn)行比較并產(chǎn)生新值����;將長(zhǎng)度統(tǒng)計(jì)結(jié)果最多的包根據(jù)每個(gè)包的IP地址信息將其插入隊(duì)列中的適當(dāng)位置,在插入時(shí)節(jié)點(diǎn)按IP地址排序����;如果在隊(duì)列中沒(méi)有該地址,插入節(jié)點(diǎn)�,計(jì)數(shù)值設(shè)為1,如果已經(jīng)有該地址���,遞增地址計(jì)數(shù)��,將本隊(duì)列和上一次插入后的計(jì)數(shù)最大值����、次大值�、第三大的值進(jìn)行比較并產(chǎn)生新值;采樣包統(tǒng)計(jì)完畢����,分析長(zhǎng)度最大��、地址最多的幾種包占所有包的比例��,如果某種包所占比例超過(guò)閾值�,則認(rèn)為是異常包�����,通知轉(zhuǎn)發(fā)引擎對(duì)該類(lèi)型的包進(jìn)行控制����。
6.一種實(shí)現(xiàn)異常流量控制的方法,包括如下步驟步驟一�、轉(zhuǎn)發(fā)引擎監(jiān)視網(wǎng)絡(luò)流量,在流量超過(guò)控制閾值時(shí)開(kāi)始采樣��,把短包送到流量分析單元去分析����;步驟二��、流量分析單元分析轉(zhuǎn)發(fā)引擎送來(lái)的數(shù)據(jù)包�����,找出異常的流;步驟三�、流量分析單元設(shè)置轉(zhuǎn)發(fā)引擎,對(duì)異常流進(jìn)行控制�;步驟四、轉(zhuǎn)發(fā)引擎啟動(dòng)檢查定時(shí)器�����,在定時(shí)器到期后檢查網(wǎng)絡(luò)流量�����,如果流量仍超過(guò)控制閾值���,重復(fù)步驟一���,否則取消控制。
7.如權(quán)利要求6所述實(shí)現(xiàn)異常流量控制的方法�,其特征在于所述步驟二中進(jìn)一步包括根據(jù)采樣的起始和結(jié)束標(biāo)志,取出收到的采樣包中的長(zhǎng)度值和IP地址�;根據(jù)包的長(zhǎng)度對(duì)采樣到的包進(jìn)行歸類(lèi),統(tǒng)計(jì)出樣本中出現(xiàn)次數(shù)最多的幾個(gè)包長(zhǎng)度�����;再對(duì)長(zhǎng)度統(tǒng)計(jì)結(jié)果最多的包,按IP地址進(jìn)行統(tǒng)計(jì)��,找出出現(xiàn)次數(shù)最多的幾個(gè)地址����;分析具有同樣包長(zhǎng)和IP地址的最多的包占所有樣本包的比例,如果超出閾值�,作為異常流量。
全文摘要
本發(fā)明涉及一種實(shí)現(xiàn)異常流量控制的裝置及方法��,尤其涉及在通信數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備中控制異常流量的一種處理方法��。本發(fā)明由兩個(gè)功能模塊組成�,轉(zhuǎn)發(fā)引擎負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)和實(shí)際的流量檢測(cè)、控制處理����,流量分析單元根據(jù)轉(zhuǎn)發(fā)引擎送來(lái)的包進(jìn)行統(tǒng)計(jì)分析,并利用分析結(jié)果來(lái)設(shè)置轉(zhuǎn)發(fā)引擎����,控制轉(zhuǎn)發(fā)引擎的行為�����。所述方法中的實(shí)時(shí)分析采用采樣方式,即對(duì)某段時(shí)間內(nèi)的短包去分析�����,而不是持續(xù)動(dòng)態(tài)的進(jìn)行分析�。本發(fā)明大大降低了處理工作量,并且保證了轉(zhuǎn)發(fā)引擎的轉(zhuǎn)發(fā)性能�����,其可以對(duì)現(xiàn)有網(wǎng)絡(luò)環(huán)境下的最常見(jiàn)的異常流量進(jìn)行控制��,在數(shù)據(jù)通訊領(lǐng)域有較強(qiáng)的實(shí)用價(jià)值����。
文檔編號(hào)H04L12/08GK1529462SQ200310101710
公開(kāi)日2004年9月15日 申請(qǐng)日期2003年10月21日 優(yōu)先權(quán)日2003年10月21日
發(fā)明者童登金, 李浩江, 吳捷 申請(qǐng)人:中興通訊股份有限公司