一種異常流量檢測的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)流量統(tǒng)計分析領(lǐng)域，尤其涉及一種異常流量檢測的方法。
【背景技術(shù)】
[0002]拒絕服務(wù)攻擊(DoS, Denial of Service)是指利用各種服務(wù)請求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。而隨著僵尸網(wǎng)絡(luò)的興起，同時由于攻擊方法簡單、影響較大、難以追查等特點，又使得分布式拒絕服務(wù)攻擊(DDoS，Distributed Denial of Service)得到快速壯大和日益泛濫。成千上萬主機組成的僵尸網(wǎng)絡(luò)為DDoS攻擊提供了所需的帶寬和主機，形成了規(guī)模巨大的攻擊和網(wǎng)絡(luò)流量，對被攻擊網(wǎng)絡(luò)造成了極大的危害。
[0003]隨著DDoS攻擊技術(shù)的不斷提高和發(fā)展，互聯(lián)網(wǎng)服務(wù)提供商(ISP，InternetService Provider)、因特網(wǎng)內(nèi)容提供商(ICP，Internet Content Provider)、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC，Internet Data Center)等運營商面臨的安全和運營挑戰(zhàn)也不斷增多，運營商必須在DDoS威脅影響關(guān)鍵業(yè)務(wù)和應(yīng)用之前，對流量進行檢測并加以清洗，確保網(wǎng)絡(luò)正常穩(wěn)定的運行以及業(yè)務(wù)的正常開展。同時，對DDoS攻擊流量的檢測和清洗也可以成為運營商為用戶提供的一種增值服務(wù)，以獲得更好的用戶滿意度。
[0004]關(guān)于應(yīng)對DD0S攻擊，有兩個核心的要求，第一是能及時發(fā)現(xiàn)異常的情況(即可能出現(xiàn)攻擊)，第二是在大流量的攻擊中把真正的攻擊者找出來。
[0005]目前的異常流量檢測方法一般是采用旁路部署檢測設(shè)備，串聯(lián)部署清洗設(shè)備的使用方法，其檢測設(shè)備一般既檢測異常的目標(biāo)IP亦會嘗試找出攻擊的IP即源IP，然后向清洗設(shè)備宣告異常，清洗設(shè)備對異常進行特定的清洗策略進行簡單的過濾清洗，這種方法的缺陷在于檢測設(shè)備需要對大量的目標(biāo)進行統(tǒng)計檢測時已經(jīng)消耗了極大的性能，再加上嘗試找出攻擊IP，不但會使性能大大減低，其準(zhǔn)確率也不理想，而清洗設(shè)備清洗策略過于簡單，會產(chǎn)生誤殺或者清洗不干凈問題，對網(wǎng)絡(luò)中的用戶產(chǎn)生了不好的體驗。

【發(fā)明內(nèi)容】

[0006]有鑒于此，本發(fā)明實施例提供一種異常流量檢測的方法，以解決現(xiàn)有技術(shù)中的技術(shù)問題。
[0007]本發(fā)明實施例提供了一種異常流量檢測的方法，包括:
[0008]檢測設(shè)備對報文的目標(biāo)IP進行統(tǒng)計和檢測；
[0009]所述檢測設(shè)備篩選出異常的目標(biāo)IP，并向清洗設(shè)備發(fā)出通告；
[0010]所述清洗設(shè)備對含有所述異常的目標(biāo)IP的報文進行源IP統(tǒng)計、特征碼統(tǒng)計和報文長度概率統(tǒng)計后再進行清洗過濾。
[0011]本發(fā)明的有益效果:本發(fā)明提供的一種異常流量檢測的方法，對流量進行分離統(tǒng)計，檢測設(shè)備對目標(biāo)IP進行統(tǒng)計檢測，發(fā)現(xiàn)異常后由清洗設(shè)備對源IP、特征碼和報文長度概率進行統(tǒng)計后再進行清洗過濾，這樣檢測設(shè)備能專心于對目標(biāo)進行統(tǒng)計檢測，性能將大大提升，而清洗設(shè)備會精確到對每一個源IP進行統(tǒng)計，能把誤殺和清洗不干凈的情況出現(xiàn)降到最低，可以大大提高清洗的效果。
【附圖說明】
[0012]通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述，本發(fā)明的其它特征、目的和優(yōu)點將會變得更明顯:
[0013]圖1是本發(fā)明實施例一提供的一種異常流量檢測的方法的流程圖；
[0014]圖2是本發(fā)明實施例二提供的一種檢測設(shè)備對目標(biāo)IP統(tǒng)計的流程圖；
[0015]圖3是本發(fā)明實施例三提供的一種異常流量檢測的方法的具體流程圖。
【具體實施方式】
[0016]下面結(jié)合附圖和實施例對本發(fā)明作進一步的詳細說明?？梢岳斫獾氖?，此處所描述的具體實施例僅僅用于解釋本發(fā)明，而非對本發(fā)明的限定。另外還需要說明的是，為了便于描述，附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部內(nèi)容。
[0017]實施例一
[0018]圖1是本發(fā)明實施例一提供的一種異常流量檢測的方法的流程圖。該方法適用于在大流量環(huán)境下，對異常流量進行檢測和清洗的情況。比如一些運營商可以應(yīng)用此方法來對流量進行檢測并加以清洗，確保網(wǎng)絡(luò)正常穩(wěn)定的運行以及業(yè)務(wù)的正常開展。該方法由異常流量檢測的檢測裝置和清洗裝置執(zhí)行，該裝置可設(shè)置在終端中，可以采用軟件和/或硬件的形式實現(xiàn)。
[0019]如圖1所示，該方法包括:
[0020]S110、檢測設(shè)備對報文的目標(biāo)IP進行統(tǒng)計和檢測。
[0021]異常流量檢測方法的執(zhí)行設(shè)備包括檢測設(shè)備和清洗設(shè)備。先由檢測設(shè)備接收服務(wù)器傳來的報文，并由檢測設(shè)備完成統(tǒng)計和檢測。
[0022]進一步的，檢測設(shè)備在對接收到報文時，從所述報文中取出目標(biāo)IP。檢測設(shè)備只統(tǒng)計和檢測目標(biāo)IP。
[0023]所述檢測設(shè)備判斷所述目標(biāo)IP是否存在于哈希數(shù)組中，若不存在，在所述哈希數(shù)組的統(tǒng)計總報文數(shù)單元PKG、統(tǒng)計每秒報文數(shù)單元PS、統(tǒng)計正常的報文數(shù)單元N0R、統(tǒng)計報文平均值單元AVG和檢測異常持續(xù)時間單元ATT的子數(shù)組中，為所述目標(biāo)IP地址設(shè)置對應(yīng)的數(shù)組位，設(shè)置初始值為零，并將PKG中對應(yīng)的數(shù)組位的值加1 ;若存在，直接使所述目標(biāo)IP對應(yīng)的PKG數(shù)組位的值加1。
[0024]哈希函數(shù)存在于檢測設(shè)備中，是一個大單元，里面有五個子單元，分別是PKG、PS、NOR、AVG和ATT，然后這些子單元又都是一個數(shù)組，數(shù)組中設(shè)置有數(shù)組位來表征對應(yīng)的目標(biāo)IP。
[0025]進一步的，檢測設(shè)備對報文的目標(biāo)IP進行檢測包括:檢測設(shè)備建立統(tǒng)計線程，每隔一秒對所述哈希數(shù)組中所有數(shù)組位進行遍歷計算，逐一取出目標(biāo)IP對應(yīng)的各個數(shù)組位上的值，根據(jù)其前后一秒PKG的值相減得出與所述目標(biāo)IP對應(yīng)的PS的值，并且使所述目標(biāo)IP的建立時間加1。
[0026]進一步的，若所述目標(biāo)IP建立時間小于30秒，把與目標(biāo)IP相對應(yīng)的PS的值累加進NOR的值，然后用NOR的值除以所述目標(biāo)IP的建立時間得出AVG的值。
[0027]若所述目標(biāo)IP建立時間不小于30秒:若所述目標(biāo)IP對應(yīng)的PS的值小于AVG的值的四倍時把PS的值累加進N0R的值中，然后用所述N0R的值除以其建立時間得出新的AVG的值，若目標(biāo)IP對應(yīng)的ATT的值大于零，則所述ATT的值減1，若所述目標(biāo)IP對應(yīng)的PS的值不小于AVG的值的四倍，所述ATT的值加1，若所述ATT的值大于10，則所述目標(biāo)IP發(fā)生異常并向清洗設(shè)備發(fā)出通告。
[0028]建立統(tǒng)計線程是為了對哈希數(shù)組中的與目標(biāo)IP相對應(yīng)的各個數(shù)組位上的值進行實時的更新。檢測設(shè)備只統(tǒng)計和檢測目標(biāo)IP，為每個目標(biāo)IP建立的前30秒建立流量動態(tài)基線并以此來對該IP后續(xù)流量進行動態(tài)調(diào)整并檢測其是否出現(xiàn)異常。
[0029]目標(biāo)IP建立前不超過30秒為正常，一旦超過30秒則對其哈希數(shù)組中對應(yīng)的各個數(shù)組位上的值進行檢測和分析。
[0030]當(dāng)超過30秒時，以PS的值和四倍的AVG的值形成比較的門限值來判斷目標(biāo)IP在一秒內(nèi)是否正常。通過ATT統(tǒng)計目標(biāo)IP異常的持續(xù)時間，當(dāng)此目標(biāo)IP異常持續(xù)時間超過10秒判定為異常的目標(biāo)IP。
[0031]S120、檢測設(shè)備篩選出異常的目標(biāo)IP，并向清洗設(shè)備發(fā)出通告。
[0032]檢測設(shè)備與清洗設(shè)備之間唯一的聯(lián)系即為目標(biāo)IP，當(dāng)檢測設(shè)備篩選出異常的目標(biāo)IP則向清洗設(shè)備發(fā)出通告，告知異常的目標(biāo)IP。
[0033]進一步的，在檢測設(shè)備篩選出異常的目標(biāo)IP，并向清洗設(shè)備發(fā)出通告之后，還包括:
[0034]清洗設(shè)備接收到異常通告并從中取出異常目標(biāo)IP，為所述異常目標(biāo)IP建立統(tǒng)計總報文數(shù)單元Τ0Τ、統(tǒng)計每個源IP的報文單元ICT、統(tǒng)計每種報文長度的數(shù)量單元LEN和統(tǒng)計報文樣本單元DNA，并生成一個隨機數(shù)R用于抽取報文樣本。
[0035]檢測設(shè)備和清洗設(shè)備的所有單元都是獨立的，這里建立的單元都是在清洗設(shè)備上的。當(dāng)清洗設(shè)備得知異常目標(biāo)IP時，再為其建立各個統(tǒng)計單元。
[0036]對流量進行分離統(tǒng)計，檢測設(shè)備統(tǒng)計目標(biāo)IP而清洗設(shè)備統(tǒng)計源IP，不僅能使檢測的性能大大提升，而且可以大大提高清洗的效果，誤殺和清洗不干凈的情況得到極大的改口 ο
[0037]S130、所述清洗設(shè)備對含有所述異常的目標(biāo)IP的報文進行源IP統(tǒng)計、特征碼統(tǒng)計和報文長度概率統(tǒng)計后再進行清洗過濾。
[0038]清洗設(shè)備在對流量進行源IP統(tǒng)計的同時，會加上統(tǒng)計報文長度出現(xiàn)概率和提取報文特征碼等手段進行清洗。這樣更能準(zhǔn)確而全面的清洗所有的異常報文，保證網(wǎng)絡(luò)流量的安全。
[0039]進一步的，清洗設(shè)備對含有所述異常的目標(biāo)IP的報文進行源IP統(tǒng)計、特征碼統(tǒng)計和報文長度概率統(tǒng)計包括:
[0040]清洗設(shè)備收到一個異常目標(biāo)IP的報文時，從中取出源IP，獲得所述報文長度L，所述Τ0Τ的值加1，所述源IP的ICT的值加1，所述報文LEN的值加1，取出所述報文R位置上的值V，讓報文R位置上值為V的DNA的值加1。
[0041]進一步的，清洗設(shè)備對含有所述異常的目標(biāo)IP的報文進行源IP統(tǒng)計、特征碼統(tǒng)計和報文長度概率統(tǒng)計后再進行清洗過濾包括:
[0042]若所述收到的異常目標(biāo)IP的報文的ICT的值除以Τ0Τ大于20 %，或者LEN的值除以Τ0Τ大于20%，或者DNA的值除以Τ0Τ大于20%則丟棄報文，否則回注報文到目標(biāo)服務(wù)器。
[0043]以接收的異常目標(biāo)IP的總的報文數(shù)的百分之二十為基準(zhǔn)，從源IP、報文長度概率和特征碼統(tǒng)計三個方面對報文進行限制，使清洗更加全面，保證流量的安全。
[0044]本發(fā)明實施例一提供的一種異常流量檢測的方法，通過對流量進行分離統(tǒng)計，檢測設(shè)備對目標(biāo)IP進行統(tǒng)計檢測，發(fā)現(xiàn)異常后由清洗設(shè)備對源IP，特征碼和報文長度概率進行統(tǒng)計后再進行清洗過濾，不僅能使檢測的性能大大提升，而且可以大大提高清洗的效果，誤殺和清洗不干凈的情況得到極大的改善。
[0045]實施例二
[0046]圖2是本發(fā)明實施例二提供的一種檢測設(shè)備對目標(biāo)IP統(tǒng)計的流程圖。本實施例以實施例一為基礎(chǔ)對檢測設(shè)備對報文的目標(biāo)IP進行統(tǒng)計的過程進行具體的示例性描述。如圖2所示，包括:
[0047]S210、建立數(shù)組 D