CN101640666A - 一种面向目标网络的流量控制装置及方法 - Google Patents

一种面向目标网络的流量控制装置及方法 Download PDF

Info

Publication number
CN101640666A
CN101640666A CN200810117628A CN200810117628A CN101640666A CN 101640666 A CN101640666 A CN 101640666A CN 200810117628 A CN200810117628 A CN 200810117628A CN 200810117628 A CN200810117628 A CN 200810117628A CN 101640666 A CN101640666 A CN 101640666A
Authority
CN
China
Prior art keywords
destination host
flow
network
packet
frequent item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200810117628A
Other languages
English (en)
Other versions
CN101640666B (zh
Inventor
叶润国
周涛
胡振宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venus Information Security Technology Co Ltd
Beijing Venus Information Technology Co Ltd
Original Assignee
Beijing Venus Information Security Technology Co Ltd
Beijing Venus Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venus Information Security Technology Co Ltd, Beijing Venus Information Technology Co Ltd filed Critical Beijing Venus Information Security Technology Co Ltd
Priority to CN2008101176284A priority Critical patent/CN101640666B/zh
Publication of CN101640666A publication Critical patent/CN101640666A/zh
Application granted granted Critical
Publication of CN101640666B publication Critical patent/CN101640666B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向目标网络的流量控制装置及方法;方法包括:在转发网络数据包的同时统计进出各目标主机的网络流量;当检测到异常流量时,对送入具有异常流量的目标主机的网络数据包采样;根据所采样的网络数据包样本统计,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则;根据该异常流量过滤规则对该目标主机的网络数据包进行流量控制。本发明适合在网络安全边界网关上实施的流量控制方法,能够准确发现针对目标主机的异常流量,实现对异常流量的细粒度流量控制,保障目标主机的安全。

Description

一种面向目标网络的流量控制装置及方法
技术领域
本发明涉及一种实现流量控制的装置及方法,具体涉及一种面向目标网络的流量控制装置及方法。
背景技术
常见的网络安全边界网关包括防火墙、VPN(Virtual Private Network,虚拟专用网络)网关和入侵防御系统(Intrusion Protection System,简称为IPS)。网络安全边界网关通常部署在被保护网络的入口处,它对进出被保护网络的网络数据包进行检查,一旦发现网络入侵,则通过报文过滤等方式阻止网络入侵企图的发生,以将网络攻击损失减至最小。
可以将目前常见的针对被保护网络中目标主机的网络攻击分为两类:一类为基于少量恶意构造报文的漏洞攻击;另一类为基于大量合法报文的流量攻击。前者包括各种远程缓冲区溢出攻击、泪滴攻击、SQL注入攻击等,该类攻击可以通过传统入侵检测系统的攻击特征匹配方法检测;后者通常指那些通过向受害者发送大量的合法网络数据包以消耗被攻击对象有限资源的攻击,它能够使被攻击对象失去正常的工作能力,从而无法为合法用户提供服务,这就是我们通常所说的拒绝服务攻击。由于拒绝服务攻击中所发送的报文都具有合法格式,因此很难通过传统入侵检测系统攻击特征匹配方法来进行检测和防御,需要采取新的检测和防御方法。在网络安全边界网关上进行对拒绝服务攻击之类的异常流量的检测和控制,对保证目标网络中目标主机的安全性具有重要的意义。
现有一些可用于网络安全边界网关的流量控制技术。发明专利“CN1282331C”中描述了一种可应用于通信数据转发设备上的流量控制技术,它通过监视各接收端口的流量来发现异常流量,提取网络流量中最频繁出现的网络数据包包长和IP地址来作为异常流量的主要特征,并据此来对相关接收端口的流量进行控制;该流量控制方法主要用来控制定长短包等异常流量,它存在以下问题:1)现实环境中很难仅通过预设接收端口流量阈值来检测异常流量,阈值设置得过高导致漏报,过低则导致误报;2)该方法只能对定长短包类型异常流量进行控制,无法对那些变化多端特别是那些伪造了源IP地址的异常流量进行有效控制;3)缺乏一种衡量流量控制效果的评估机制,无法有效抵御分布式拒绝服务攻击。发明专利“200510069473.8”公布了一种流量攻击网络设备的报文特征检测方法,该方法统计所处理的报文中各报头字段的固定取值出现频率,选取那些出现频率超过攻击阈值的报文字段值作为攻击报文特征,该攻击特征检测方法存在以下问题:1)只依靠单个报文字段值描述攻击报文特征具有片面性;2)用来筛选攻击报文特征的检测阈值难于确定,设得太高则得到的攻击特征太少,设得太低则选取的攻击特征太多;3)无法直接依据基于单个字段值的攻击报文特征来进行攻击流量控制,否则会导致误杀。软件学报2006年第17卷第2期期刊论文发表了一篇标题为“基于特征聚类的路由器异常流量过滤算法”文章,该文章介绍了一种可用于路由器上的异常流量过滤算法,它通过检查输入端口是否超过预定阈值来检测异常流量,通过增量聚类算法从抽样的攻击报文中提取出现频率最高的单个报文字段值作为异常流量报文特征,并据此来实现对异常流量的控制;该异常流量过滤算法与发明专利“200510069473.8”中描述的方法存在类似的问题,不适合应用在网络安全边界网关上。
当前,拒绝服务攻击等异常流量攻击事件都具有较强的目的性,一般都是针对某个具体的目标主机实施攻击。现有在网络中间转发设备实现的流量控制方法一般都以接收端口为检测和控制对象,并不适合直接在网络安全边界网关上使用。此外,网络中间转发设备一般无法获知被保护网络的具体信息,比如被保护目标主机的IP地址、所需要保护的网络服务等,因此,无法对转发的网络流量做细粒度划分、统计分析和细粒度流量控制,如果将网络中间转发设备的流量控制方法直接移植到网络安全边界网关上则无法对被保护网络实施最佳保护。
发明内容
本发明要解决的技术问题是提供一种面向目标网络的实现流量控制的装置及方法,适合在网络安全边界网关上实施的流量控制方法,能够准确发现针对目标主机的异常流量,实现对异常流量的细粒度流量控制,保障目标主机的安全。
为了解决上述问题,本发明提供了一种面向目标网络的流量控制装置,包括:用于转发网络数据包的转发引擎及流量分析单元;
所述转发引擎还用于统计进出各目标主机的网络流量;当检测到异常流量时,采样送入具有异常流量的目标主机的网络数据包并将样本发给流量分析单元,以及根据流量分析单元返回的异常流量过滤规则对发往该目标主机的网络数据包进行流量控制;
所述流量分析单元根据接收的网络数据包样本统计,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则,并发送给转发引擎。
进一步的,所述转发引擎检测统计进出各目标主机的网络流量是指:
转发引擎按传输控制协议TCP、用户数据包协议UDP和网际控制消息协议ICMP三种报文类型对进出目标主机的网络数据包分类进行统计;
所述转发引擎检测到异常流量是指:
转发引擎当检测到进入目标主机的某类型网络数据包流量超过了预定流量阈值,并且进、出该目标主机的该类型网络数据包流量比率值超过了预定比例阈值时,认为检测到了针对该目标主机的基于该类型网络数据包的异常流量攻击;
转发引擎采样送入具有异常流量的目标主机的网络数据包并将样本发给流量分析单元是指:
转发引擎从发往具有异常流量的目标主机的网络数据包中,采样该类型的网络数据包;将采样到的网络数据包发送给流量分析单元,并指明该样本对应的目标主机和网络数据包类型;
流量分析单元发送异常流量过滤规则时,指明本规则对应的目标主机和网络数据包类型。
进一步的,所述的装置还包括:绩效评估单元;
所述转发引擎还用于在接收到异常流量过滤规则时发送启动指示给绩效评估单元,其中携带所发送的异常流量过滤规则所针对的目标主机的名称或标识,及网络数据包类型;还用于在收到绩效评估单元的采样指示后采样相应的网络数据包并将样本发给流量分析单元;还用于在收到绩效评估单元的合并指示后将新收到的异常流量过滤规则和原先相应的异常流量过滤规则合并,并按合并后的异常流量过滤规则对发往相应目标主机的网络数据包进行流量控制;
所述绩效评估单元用于收到启动指示后,判断启动指示中携带的名称或标识及网络数据包类型判断是否已被记录;如果已被记录则发送合并指示给转发引擎,合并指示中携带;如果未被记录则记录启动指示中携带的名称或标识及网络数据包类型,并按照启动指示中携带的名称或标识对进出相应目标主机的、过滤后的网络数据包进行监测,如果仍存在异常流量,则发送采样指示给转发引擎,采样指示中携带所述目标主机的名称或标识,及网络数据包类型。
进一步的,所述的装置还包括:
与目标主机一一对应的定时器;定时器的时长为一预设值;
所述转发引擎还用于当对一目标主机开始进行流量控制时,启动该目标主机对应的定时器;当定时器到时后,检测送入该目标主机的过滤前的网络流量,如果不异常则删除应用于该目标主机的异常流量过滤规则,并发送删除指示给绩效评估单元,其中携带所要删除的异常流量过滤规则对应的目标主机和网络数据包类型;否则继续对目标主机进行流量控制并重启定时器;
所述绩效评估单元根据删除指示删除相应记录。
进一步的,所述流量分析单元以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则具体是指:
流量分析单元以所接收网络数据包样本的类型对应的TCP/IP协议包头字段值为项,提取出满足预设的最小支持度的各TCP/IP协议报文字段值为元数为一的独元频繁项目集作为当前频繁项目集;重复进行以下操作直至无法生成元数更多的频繁项目集:从当前频繁项目集出发,采用拼接和剪枝方法生成元数增一的候选频繁项目集;基于异常流量网络数据包样本统计各候选频繁项目集的支持度,选择所有满足最小支持度的候选频繁项目集为所求的元数增一的当前频繁项目集;对所选的所有频繁项目集先按照元数降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为该类型网络数据包的异常流量过滤规则;
其中,对于TCP类型流量攻击,其TCP/IP协议包头包括IP包头和TCP包头;对于UDP类型流量攻击,其TCP/IP协议包头包括IP包头和UDP包头;对于ICMP类型流量攻击,其TCP/IP协议包头包括IP包头和ICMP包头。所述的标准TCP/IP协议包头在TCP/IP协议标准文档中都有具体的定义。
本发明还提供了一种面向目标网络的实现流量控制的方法,包括:
在转发网络数据包的同时统计进出各目标主机的网络流量;当检测到异常流量时,对送入具有异常流量的目标主机的网络数据包采样;
根据所采样的网络数据包样本统计,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则;根据该异常流量过滤规则对该目标主机的网络数据包进行流量控制。
进一步的,统计进出各目标主机的网络流量是指:
按传输控制协议TCP、用户数据包协议UDP和网际控制消息协议ICMP三种报文类型对进出目标主机的网络数据包分类进行统计;
所检测到异常流量是指:
当检测到进入目标主机的某类型网络数据包流量超过了预定流量阈值,并且进出该目标主机的该类型网络数据包流量比率值超过了预定比例阈值时,认为检测到了针对该目标主机的基于该类型网络数据包的异常流量攻击。
进一步的,所述的方法还包括:
对目标主机实行流量控制后,对进出该目标主机的、过滤后的网络流量进行监测,如果过滤后的网络流量中仍然存在异常流量,则采样实施了流量控制之后的网络数据包,生成新的异常流量过滤规则;将新的异常流量过滤规则与先前的异常流量过滤规则合并,按照合并后的异常流量过滤规则对该目标主机进行流量控制。
进一步的,所述的方法还包括:
当对一目标主机进行流量控制的时间到达预计控制时间后,检测送入该目标主机的过滤前的网络流量,如果不异常则删除应用于该目标主机的异常流量过滤规则;否则继续对目标主机进行流量控制并重新开始计时。
进一步的,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则具体包括:
a、以所接收网络数据包样本的类型对应的TCP/IP协议包头字段值为项,针对各包头字段值分别提取出满足预设的最小支持度的、元数为一的独元频繁项目集,将独元频繁项目集设置为当前频繁项目集;
其中,对于TCP类型流量攻击,其TCP/IP协议包头包括IP包头和TCP包头;对于UDP类型流量攻击,其TCP/IP协议包头包括IP包头和UDP包头;对于ICMP类型流量攻击,其TCP/IP协议包头包括IP包头和ICMP包头。所述的标准TCP/IP协议包头在TCP/IP协议标准文档中都有具体的定义;
b、从当前频繁项目集出发,采用拼接和剪枝方法生成元数增一的候选频繁项目集;
c、基于报文抽样缓冲区中的网络报文统计各候选频繁项目集的支持度,选择所有满足最小支持度的候选频繁项目集为所求的元数增一的当前频繁项目集;
d、判断是否无法生成元数更多的频繁项目集,是则进行步骤e,否则返回步骤b;
e、对所选的所有频繁项目集先按照元数降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为该类型网络数据包的异常流量过滤规则。
本发明提供的技术方案充分利用了网络安全边界网关可以获知被保护网络具体信息的优势,可以方便的对进出被保护网络中目标主机的网络流量进行实时分析,准确发现针对目标主机的异常流量,采用频繁项目集挖掘算法准确提取异常流量特征,从而实现对异常流量的细粒度控制,保障目标主机的安全。本发明所述方法非常适合应用于网络安全边界网关安全产品中。
附图说明
图1为本发明面向目标网络的流量控制装置的功能模块组成示意图;
图2为本发明应用实例中转发引擎的处理流程图;
图3为本发明应用实例中流量分析单元的处理流程图;
图4为本发明应用实例中绩效评估单元的处理流程图;
图5为本发明应用实例中针对TCP类型异常流量频繁项目挖掘方法示意图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
本文中所述的目标主机为流量控制装置进行异常流量检测和流量控制的对象;本发明方法支持同时对多个目标主机进行流量控制。
本发明提供了一种面向目标网络的流量控制装置,如图1所示,包括:转发引擎和流量分析单元;
所述转发引擎用于转发网络数据包,以及统计进出各目标主机的网络流量;当检测到异常流量时,采样送入具有异常流量的目标主机的网络数据包并将样本发给流量分析单元,以及根据流量分析单元返回的异常流量过滤规则对发往该目标主机的网络数据包进行流量控制;
所述流量分析单元根据接收的网络数据包样本统计,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则,并发送给转发引擎。
其中,转发引擎保存目标主机IP地址。
其中,所述转发引擎检测统计进出各目标主机的网络流量可以是指:
转发引擎按传输控制协议TCP、用户数据包协议UDP和网际控制消息协议ICMP三种报文类型对进出目标主机的网络数据包分类进行统计;
所述转发引擎检测到异常流量可以是指:
转发引擎当检测到进入目标主机的某类型网络数据包流量超过了预定流量阈值,并且进、出该目标主机的该类型网络数据包流量比率值超过了预定比例阈值时,认为检测到了针对该目标主机的基于该类型网络数据包的异常流量攻击;
相应的,转发引擎采样送入具有异常流量的目标主机的网络数据包并将样本发给流量分析单元是指:转发引擎从发往具有异常流量的目标主机的网络数据包中,采样该类型的网络数据包;将采样到的网络数据包发送给流量分析单元,并指明该样本对应的目标主机和网络数据包类型;
流量分析单元发送异常流量过滤规则时,指明本规则对应的目标主机和网络数据包类型。
其中,转发引擎发送给流量分析单元的样本可以仅为包头部分。
其中,所述流量控制装置还可以包括绩效评估单元;
所述转发引擎还用于在接收到异常流量过滤规则时发送启动指示给绩效评估单元,其中携带所发送的异常流量过滤规则所针对的目标主机的名称或标识,及网络数据包类型;还用于在收到绩效评估单元的采样指示后采样相应的网络数据包并将样本发给流量分析单元;还用于在收到绩效评估单元的合并指示后将新收到的异常流量过滤规则和原先相应的异常流量过滤规则合并,并按合并后的异常流量过滤规则对发往相应目标主机的网络数据包进行流量控制;
所述绩效评估单元用于收到启动指示后,判断启动指示中携带的名称或标识及网络数据包类型判断是否已被记录;如果已被记录则发送合并指示给转发引擎,合并指示中携带目标主机名称或标识及网络数据包类型;如果未被记录则记录启动指示中携带的名称或标识及网络数据包类型,并按照启动指示中携带的名称或标识对进出相应目标主机的、过滤后的网络数据包进行监测,如果仍存在异常流量,则发送采样指示给转发引擎,采样指示中携带所述目标主机的名称或标识,及网络数据包类型。
其中,所述流量控制装置还可以包括与目标主机一一对应的定时器;定时器的时长为一预设值,根据实际需要决定;
所述转发引擎还用于当对一目标主机开始进行流量控制时,启动该目标主机对应的定时器;以及当定时器到时后,检测送入该目标主机的过滤前的网络流量,如果不异常则删除应用于该目标主机的异常流量过滤规则,并发送删除指示给绩效评估单元,其中携带所要删除的异常流量过滤规则对应的目标主机和网络数据包类型;否则继续对目标主机进行流量控制并重启定时器;
所述绩效评估单元根据删除指示删除相应记录。
其中,所述流量分析单元以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则具体可以是指:
流量分析单元以所接收网络数据包样本的类型对应的TCP/IP协议包头字段值为项,提取出满足预设的最小支持度的各TCP/IP协议报文字段值为元数为一的独元频繁项目集作为当前频繁项目集;重复进行以下操作直至无法生成元数更多的频繁项目集:从当前频繁项目集出发,采用拼接和剪枝方法生成元数增一的候选频繁项目集;基于异常流量网络数据包样本统计各候选频繁项目集的支持度,选择所有满足最小支持度的候选频繁项目集为所求的元数增一的当前频繁项目集;对所选的所有频繁项目集先按照元数降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为该类型网络数据包的异常流量过滤规则。
其中,所述报文过滤比例阈值可以根据经验值预先设定,也可以动态计算;假设一个网络设备中,报文流量平稳时平均为每秒20M字节,在一个时间段突然增加到每秒100M字节,那么可以将所述报文过滤比例阈值定为80%,即准备将突增的报文过滤掉。排序后,元数最多并且支持度最高的频繁项目集排在第一位,所述“依次选取”就是指从第一位开始,按序选取。
其中,对于TCP类型流量攻击,其TCP/IP协议包头包括IP包头和TCP包头;对于UDP类型流量攻击,其TCP/IP协议包头包括IP包头和UDP包头;对于ICMP类型流量攻击,其TCP/IP协议包头包括IP包头和ICMP包头。所述的标准TCP/IP协议包头在TCP/IP协议标准文档中都有具体的定义。
本发明还提供了一种面向目标网络的实现流量控制的方法,包括:
在转发网络数据包的同时统计进出各目标主机的网络流量;当检测到异常流量时,对送入具有异常流量的目标主机的网络数据包采样;
根据所采样的网络数据包样本统计,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则;根据该异常流量过滤规则对所述目标主机的网络数据包进行流量控制。
其中,该方法还包括:预先配置目标主机IP地址。
其中,统计进出各目标主机的网络流量可以是指:
按传输控制协议TCP、用户数据包协议UDP和网际控制消息协议ICMP三种报文类型对进出目标主机的网络数据包分类进行统计;
所检测到异常流量可以是指:
当检测到进入目标主机的某类型网络数据包流量超过了预定流量阈值,并且进出该目标主机的该类型网络数据包流量比率值超过了预定比例阈值时,认为检测到了针对该目标主机的基于该类型网络数据包的异常流量攻击;
相应的,对送入具有异常流量的目标主机的网络数据包采样是指:从发往具有异常流量的目标主机的网络数据包中,采样该类型的网络数据包。
本发明所述的异常流量检测方法充分考虑了针对目标主机的异常流量攻击特征,即当异常流量攻击目标主机时,从统计上看存在两个特点:1)与正常工作状态相比,发往目标主机的网络流量非常大;2)与正常工作状态相比,涌向目标主机的网络流量比由目标主机发出的网络流量大很多。本发明所述异常流量检测方法与传统仅基于输入网络流量阈值的检测方法相比,能够有效抑制误报。
其中,该方法还可以包括:
对目标主机实行流量控制后,对进出该目标主机的、过滤后的网络流量进行监测,如果过滤后的网络流量中仍然存在异常流量,则采样过滤后的网络数据包,生成新的异常流量过滤规则;将新的异常流量过滤规则与先前的异常流量过滤规则合并,按照合并后的异常流量过滤规则对该目标主机进行流量控制。
其中,该方法还可以包括:
当对一目标主机进行流量控制的时间到达预设时间后,检测送入该目标主机的过滤前的网络流量,如果不异常则删除应用于该目标主机的异常流量过滤规则;否则继续对目标主机进行流量控制并重新开始计时。所述预设时间根据实际需要决定;
其中,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则具体可以包括:
a、以所接收网络数据包样本的类型对应的TCP/IP协议包头字段值为项,针对各包头字段值分别提取出满足预设的最小支持度的、元数为一的独元频繁项目集,将独元频繁项目集设置为当前频繁项目集;
b、从当前频繁项目集出发,采用拼接和剪枝方法生成元数增一的候选频繁项目集;
c、基于报文抽样缓冲区中的网络报文统计各候选频繁项目集的支持度,选择所有满足最小支持度的候选频繁项目集为所求的元数增一的当前频繁项目集;
d、重复步骤b至c,直至无法生成元数更多的频繁项目集。
e、对所选的所有频繁项目集先按照元数降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为该类型网络数据包的异常流量过滤规则。
其中,对于TCP类型流量攻击,其TCP/IP协议包头包括IP包头和TCP包头;对于UDP类型流量攻击,其TCP/IP协议包头包括IP包头和UDP包头;对于ICMP类型流量攻击,其TCP/IP协议包头包括IP包头和ICMP包头。所述的标准TCP/IP协议包头在TCP/IP协议标准文档中都有具体的定义。
下面用本发明的一个应用实例进一步加以说明。
本应用实例中,面向目标网络的流量控制装置包括:转发引擎和流量分析单元。
首先,在转发引擎中配置目标主机IP地址,在具体实施时,可以通过配置文件方式来定义需要保护的目标主机的IP地址。
转发引擎的处理流程如图2所示,包括:
201、转发引擎监视进出目标主机的网络数据包,当发现发往目标主机的某类型网络数据包流量超过了预定阈值并且进出该目标主机的该类型网络数据包流量比率值超过了预定阈值时,就开始实施流量控制措施;
202、在接下来的预定时间段内,在进行正常的网络数据包处理的同时,采样所处理的网络数据包,将样本转发给流量分析单元;
203、时间段结束后,指示流量分析单元开始异常流量过滤规则提取;之后,在进行正常的网络数据包处理的同时,等待来自流量分析单元的异常流量过滤规则;
204、当接收到流量分析单元发送来的异常流量过滤规则后,安装异常流量过滤规则,并启动绩效评估单元监控流量控制效果;
205、根据异常流量过滤规则对发往目标主机的网络数据包进行过滤;
206、在对发往目标主机的网络数据包进行流量控制的同时,定期对发往目标主机的在实施流量控制之前的网络流量进行检查,如果发现网络流量正常,表示异常流量攻击已退,进行步骤207;不正常则进行205,即继续依据异常流量过滤规则对发往目标主机的网络数据包进行流量控制;
207、此时删除针对目标主机的异常流量过滤规则;结束流量控制。
在具体实施本发明时,转发引擎可按如下方式判定一个网络数据包是否为发往目标主机的网络数据包,还是由目标主机发出的网络数据包:当转发引擎从外网口接收到一个网络数据包时,取其目的IP地址,如果目的IP地址等于某目标主机IP地址,则判定该网络数据包为发往该目标主机的网络数据包;当转发引擎从内网口接收到一个网络数据包时,取其源IP地址,如果源IP地址正好等于某目标主机的IP地址,则判定该网络数据包为由该目标主机发出的网络数据包。
转发引擎在监视进出目标主机的网络流量时,是按TCP、UDP和ICMP三种报文类型来进行分类统计的。具体方法为:首先设定一个统计时间段,在该时间段内,计数发往目标主机的三类网络数据包数量以及由目标主机发出的三类网络数据包数量;时间段结束,对于每一类网络报文统计结果,检查发往目标主机的该类型网络数据包流量是否超过了预定阈值,同时检查发往目标主机的该类型网络数据包流量与由目标主机发出的该类型网络数据包流量的比率值是否超过了预定阈值,如果两个条件同时满足,则检测到了针对该目标主机的该网络数据包类型的异常流量攻击。
当检测到异常流量时,转发引擎将采样发往目标主机的网络数据包样本并转发给流量分析单元进行分析。转发引擎采样的只是某段时间内的发往目标主机的网络数据包,而不是所有的网络数据包;并且,由于流量分析单元只是对网络数据包的TCP/IP协议包头进行分析,因此这里并不需要转发一个完整的网络数据包,而可以只是一个网络数据包包头。由于TCP/UDP/ICMP类型的网络数据包包头长度不同,因此,采样时截取的包头长度也可以不一样。具体实施时,对于TCP类型网络数据包,可以只截取前60个字节的包头(不包括MAC帧头),对于UDP类型网络数据包,可以只截取前48个字节的包头(不包括MAC帧头),对于ICMP类型网络数据包,可以只截取前32个字节的包头(不包括MAC帧头)。
流量分析单元采用频繁项目集挖掘算法来抽取网络数据包样本的共同特征,该算法类似于数据挖掘算法中的经典Apriori算法,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集为应用于该目标主机的异常流量过滤规则。流量分析单元的处理流程如图3所示,包括:
301、以各TCP/IP协议包头字段值为项,提取出满足预设的最小支持度的各TCP/IP协议报文字段值为元数为一的独元频繁项目集作为当前频繁项目集;
302、从当前频繁项目集出发,采用拼接和剪枝方法生成元数增一的候选频繁项目集;
303、基于异常流量网络数据包样本统计各候选频繁项目集的支持度,选择所有满足最小支持度的候选频繁项目集为所求的元数增一的当前频繁项目集;
304、重复步骤302和步骤303,直至无法生成元数更多的当前频繁项目集,然后进行步骤305;
305、对所选的所有频繁项目集先按照元数降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为该类型网络数据包的异常流量过滤规则。
实施频繁项目集挖掘算法需要对数据进行多次扫描,因此在具体实施流量分析单元模块时,需要缓存由转发引擎发送来的网络数据包。可以采用循环缓存区来存储网络数据包样本,并且可以为TCP/UDP/ICMP三类报文构建单独的循环缓冲区。
步骤301的具体步骤可以为:对于报文抽样缓冲区中每一个网络数据包,取选定包头字段的值,然后查询哈希表,如果该包头字段值在哈希表中,则对应计数器加一、否则创建新的计数器值为一的项并插入到哈希表中;最后,遍历哈希表,找到所有计数值满足预定的最小支持度的项目。所求的所有满足最小支持度的字段值即为本项目的独元频繁项目。实际应用中也可以采用其它方法找到所有满足最小支持度的项目取值。
以TCP类型网络数据包为例,图5说明了步骤302和步骤303的工作过程。在该实施例中,假设通过步骤301从TCP类型流量攻击报文中求得的所有独元频繁项目集如下:对于IP生存期项,求得的两个独元频繁项目集为TTL1和TTL2;对于IP标识项,求得的两个独元频繁项目集为ID1和ID2;对于TCP标识项,求得的两个独元频繁项目集为Flag1和Flag2;按照步骤302,首先基于这些独元频繁项目集生成候选二元项目集,总共可以生成
Figure A20081011762800201
个候选频繁项目集,由于来自同一个项的两个独元频繁项目集组成的二元候选项目集在本发明中没有意义需要裁减掉,因此,最后剩下12个二元候选项目集;步骤303则基于TCP类型报文抽样缓冲区中的报文统计这12个二元候选项目集的支持度,最后,依据最小支持度确定二元频繁项目集为图5中第二行所示的7个二元频繁项目集。由于所求的二元频繁项目集不为空,所以以所求的二元频繁项目集为当前频繁项目集,重复执行步骤302,并且由于来自同一个包头字段的两个项不能同时出现在三元候选项目中,因此可以得到8个候选三元项目集;再根据频繁项目集性质对其进行裁减,将这8个候选三元项目集减少为2个;最后执行步骤3.3,得到的三元频繁项目集为2个:{TTL1,ID1,Flag1},{TTL1,ID2,Flag2}。由于这里得到的三元频繁项目集不为空,因此,设置所求的三元频繁项目集为当前频繁项目集,重复执行步骤302,得到的候选四元项目集为空,整个频繁项目挖掘过程结束,所求的频繁项目集的最大元数为3。
步骤305最后还需要对所找到的所有频繁项目集先按照元数降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为该类型网络数据包的异常流量过滤规则。假设预先设定的报文过滤比例阈值为η,具体步骤为:首先,取排序后的第1个频繁项目集,考察被选频繁项目集的集合过滤的报文抽样缓冲区的报文比例λ,如果λ大于预先设定的报文过滤比例阈值η,则输出按降序排序后的第1个频繁项目集为所求的攻击报文特征并结束;否则,取排序后的前2个频繁项目集,考察被选频繁项目集集合过滤的报文抽样缓冲区的报文比例λ,如果λ大于预先设定的报文过滤比例阈值η,则输出排序后的前2个频繁项目集为所求的攻击报文特征并结束;否则,取排序后的前3个频繁项目集,考察被选频繁项目集集合过滤的报文抽样缓冲区的报文比例λ,如果λ大于预先设定的报文过滤比例阈值η,则输出排序后的前3个频繁项目集为所求的攻击报文特征并结束;以此类推,直至所考察的排序后的前n个频繁项目集过滤的报文抽样缓冲区的报文比例λ大于预先设定的报文过滤比例阈值η,则输出排序后的前n个频繁项目集为所求的攻击报文特征并结束。
绩效评估单元的处理流程如图4所示,包括:
401、绩效评估单元在流量控制阶段监视发往目标主机的在实施了流量控制之后的网络流量;
402、判断过滤后的网络流量中是否仍然存在异常流量,是则进行步骤403;否则结束监视;
403、指示转发引擎采样过滤后的网络数据包供流量分析单元分析;
404、指示流量分析单元对过滤后的网络数据包样本进行异常流量过滤规则提取;
405、指示转发引擎将所提取的新的异常流量过滤规则与先前的异常流量过滤规则合并,以实现对发往目标主机的异常流量实施更为严格的流量控制;结束本次的监视。
接下来可以再从步骤401开始监视按照合并后的异常流量过滤规则进行流量控制后的情况。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。

Claims (10)

1、一种面向目标网络的流量控制装置,包括:用于转发网络数据包的转发引擎;其特征在于:还包括流量分析单元;
所述转发引擎还用于统计进出各目标主机的网络流量;当检测到异常流量时,采样送入具有异常流量的目标主机的网络数据包并将样本发给流量分析单元,以及根据流量分析单元返回的异常流量过滤规则对发往该目标主机的网络数据包进行流量控制;
所述流量分析单元根据接收的网络数据包样本统计,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则,并发送给转发引擎。
2、如权利要求1所述的装置,其特征在于,所述转发引擎检测统计进出各目标主机的网络流量是指:
转发引擎按传输控制协议TCP、用户数据包协议UDP和网际控制消息协议ICMP三种报文类型对进出目标主机的网络数据包分类进行统计;
所述转发引擎检测到异常流量是指:
转发引擎当检测到进入目标主机的某类型网络数据包流量超过了预定流量阈值,并且进、出该目标主机的该类型网络数据包流量比率值超过了预定比例阈值时,认为检测到了针对该目标主机的基于该类型网络数据包的异常流量攻击;
转发引擎采样送入具有异常流量的目标主机的网络数据包并将样本发给流量分析单元是指:
转发引擎从发往具有异常流量的目标主机的网络数据包中,采样该类型的网络数据包;将采样到的网络数据包发送给流量分析单元,并指明该样本对应的目标主机和网络数据包类型;
流量分析单元发送异常流量过滤规则时,指明本规则对应的目标主机和网络数据包类型。
3、如权利要求2所述的装置,其特征在于,还包括:绩效评估单元;
所述转发引擎还用于在接收到异常流量过滤规则时发送启动指示给绩效评估单元,其中携带所发送的异常流量过滤规则所针对的目标主机的名称或标识,及网络数据包类型;还用于在收到绩效评估单元的采样指示后采样相应的网络数据包并将样本发给流量分析单元;还用于在收到绩效评估单元的合并指示后将新收到的异常流量过滤规则和原先相应的异常流量过滤规则合并,并按合并后的异常流量过滤规则对发往相应目标主机的网络数据包进行流量控制;
所述绩效评估单元用于收到启动指示后,判断启动指示中携带的名称或标识及网络数据包类型判断是否已被记录;如果已被记录则发送合并指示给转发引擎,合并指示中携带;如果未被记录则记录启动指示中携带的名称或标识及网络数据包类型,并按照启动指示中携带的名称或标识对进出相应目标主机的、过滤后的网络数据包进行监测,如果仍存在异常流量,则发送采样指示给转发引擎,采样指示中携带所述目标主机的名称或标识,及网络数据包类型。
4、如权利要求3所述的装置,其特征在于,还包括:
与目标主机一一对应的定时器;定时器的时长为一预设值;
所述转发引擎还用于当对一目标主机开始进行流量控制时,启动该目标主机对应的定时器;当定时器到时后,检测送入该目标主机的过滤前的网络流量,如果不异常则删除应用于该目标主机的异常流量过滤规则,并发送删除指示给绩效评估单元,其中携带所要删除的异常流量过滤规则对应的目标主机和网络数据包类型;否则继续对目标主机进行流量控制并重启定时器;
所述绩效评估单元根据删除指示删除相应记录。
5、如权利要求1到4中任一项所述的装置,其特征在于,所述流量分析单元以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则具体是指:
流量分析单元以所接收网络数据包样本的类型对应的TCP/IP协议包头字段值为项,提取出满足预设的最小支持度的各TCP/IP协议报文字段值为元数为一的独元频繁项目集作为当前频繁项目集;重复进行以下操作直至无法生成元数更多的频繁项目集:从当前频繁项目集出发,采用拼接和剪枝方法生成元数增一的候选频繁项目集;基于异常流量网络数据包样本统计各候选频繁项目集的支持度,选择所有满足最小支持度的候选频繁项目集为所求的元数增一的当前频繁项目集;对所选的所有频繁项目集先按照元数降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为该类型网络数据包的异常流量过滤规则;
其中,对于TCP类型流量攻击,其TCP/IP协议包头包括IP包头和TCP包头;对于UDP类型流量攻击,其TCP/IP协议包头包括IP包头和UDP包头;对于ICMP类型流量攻击,其TCP/IP协议包头包括IP包头和ICMP包头。所述的标准TCP/IP协议包头在TCP/IP协议标准文档中都有具体的定义。
6、一种面向目标网络的实现流量控制的方法,包括:
在转发网络数据包的同时统计进出各目标主机的网络流量;当检测到异常流量时,对送入具有异常流量的目标主机的网络数据包采样;
根据所采样的网络数据包样本统计,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则;根据该异常流量过滤规则对该目标主机的网络数据包进行流量控制。
7、如权利要求1所述的装置,其特征在于,统计进出各目标主机的网络流量是指:
按传输控制协议TCP、用户数据包协议UDP和网际控制消息协议ICMP三种报文类型对进出目标主机的网络数据包分类进行统计;
所检测到异常流量是指:
当检测到进入目标主机的某类型网络数据包流量超过了预定流量阈值,并且进出该目标主机的该类型网络数据包流量比率值超过了预定比例阈值时,认为检测到了针对该目标主机的基于该类型网络数据包的异常流量攻击。
8、如权利要求6所述的方法,其特征在于,还包括:
对目标主机实行流量控制后,对进出该目标主机的、过滤后的网络流量进行监测,如果过滤后的网络流量中仍然存在异常流量,则采样实施了流量控制之后的网络数据包,生成新的异常流量过滤规则;将新的异常流量过滤规则与先前的异常流量过滤规则合并,按照合并后的异常流量过滤规则对该目标主机进行流量控制。
9、如权利要求6所述的方法,其特征在于,还包括:
当对一目标主机进行流量控制的时间到达预计控制时间后,检测送入该目标主机的过滤前的网络流量,如果不异常则删除应用于该目标主机的异常流量过滤规则;否则继续对目标主机进行流量控制并重新开始计时。
10、如权利要求6到9中任一项所述的方法,其特征在于,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于该目标主机的异常流量过滤规则具体包括:
a、以所接收网络数据包样本的类型对应的TCP/IP协议包头字段值为项,针对各包头字段值分别提取出满足预设的最小支持度的、元数为一的独元频繁项目集,将独元频繁项目集设置为当前频繁项目集;
其中,对于TCP类型流量攻击,其TCP/IP协议包头包括IP包头和TCP包头;对于UDP类型流量攻击,其TCP/IP协议包头包括IP包头和UDP包头;对于ICMP类型流量攻击,其TCP/IP协议包头包括IP包头和ICMP包头。所述的标准TCP/IP协议包头在TCP/IP协议标准文档中都有具体的定义;
b、从当前频繁项目集出发,采用拼接和剪枝方法生成元数增一的候选频繁项目集;
c、基于报文抽样缓冲区中的网络报文统计各候选频繁项目集的支持度,选择所有满足最小支持度的候选频繁项目集为所求的元数增一的当前频繁项目集;
d、判断是否无法生成元数更多的频繁项目集,是则进行步骤e,否则返回步骤b;
e、对所选的所有频繁项目集先按照元数降序排序,再对元数相同的频繁项目集按照支持度降序排序;从排序后的频繁项目集里,依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为该类型网络数据包的异常流量过滤规则。
CN2008101176284A 2008-08-01 2008-08-01 一种面向目标网络的流量控制装置及方法 Expired - Fee Related CN101640666B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008101176284A CN101640666B (zh) 2008-08-01 2008-08-01 一种面向目标网络的流量控制装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008101176284A CN101640666B (zh) 2008-08-01 2008-08-01 一种面向目标网络的流量控制装置及方法

Publications (2)

Publication Number Publication Date
CN101640666A true CN101640666A (zh) 2010-02-03
CN101640666B CN101640666B (zh) 2012-06-06

Family

ID=41615460

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008101176284A Expired - Fee Related CN101640666B (zh) 2008-08-01 2008-08-01 一种面向目标网络的流量控制装置及方法

Country Status (1)

Country Link
CN (1) CN101640666B (zh)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883054A (zh) * 2010-07-09 2010-11-10 北京星网锐捷网络技术有限公司 组播报文处理方法、装置和设备
CN102075443A (zh) * 2011-02-28 2011-05-25 电子科技大学 基于主动探测的主机ip出流量估算方法
CN102708313A (zh) * 2012-03-08 2012-10-03 珠海市君天电子科技有限公司 针对大文件的病毒检测系统及方法
CN103067300A (zh) * 2013-01-09 2013-04-24 清华大学 网络流量自动化特征挖掘方法
CN103179039A (zh) * 2012-10-25 2013-06-26 四川省电力公司信息通信公司 一种有效过滤正常网络数据包的方法
CN103701709A (zh) * 2013-12-13 2014-04-02 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN103731316A (zh) * 2013-07-30 2014-04-16 天津金栅科技有限公司 一种流量监控装置及方法
CN105490954A (zh) * 2014-09-19 2016-04-13 中兴通讯股份有限公司 一种控制网络数据流量的方法及装置
CN105554016A (zh) * 2015-12-31 2016-05-04 山石网科通信技术有限公司 网络攻击的处理方法和装置
WO2016101870A1 (zh) * 2014-12-26 2016-06-30 中兴通讯股份有限公司 网络攻击分析方法和装置
CN105827603A (zh) * 2016-03-14 2016-08-03 中国人民解放军信息工程大学 未明协议特征库建立方法、未明报文分类方法及相关装置
CN106302450A (zh) * 2016-08-15 2017-01-04 广州华多网络科技有限公司 一种基于ddos攻击中恶意地址的检测方法及装置
CN107547290A (zh) * 2016-06-27 2018-01-05 腾讯科技(深圳)有限公司 流量检测方法和装置
CN110601971A (zh) * 2019-09-17 2019-12-20 南京林业大学 一种数据传输方法、装置、电子设备及存储介质
CN110647908A (zh) * 2019-08-05 2020-01-03 湖北工业大学 一种变电站特征指纹自动提取方法
CN111147478A (zh) * 2019-12-24 2020-05-12 北京网太科技发展有限公司 一种安全防护方法、装置及存储介质
CN112152895A (zh) * 2020-09-02 2020-12-29 珠海格力电器股份有限公司 智能家居设备控制方法、装置、设备及计算机可读介质
CN113037687A (zh) * 2019-12-24 2021-06-25 中移物联网有限公司 一种流量识别方法及电子设备
CN113542268A (zh) * 2021-07-14 2021-10-22 中能融合智慧科技有限公司 基于网络链路获取单个工控协议流量的方法
CN113806733A (zh) * 2021-02-03 2021-12-17 北京沃东天骏信息技术有限公司 异常流量检测方法、装置及可读存储介质和电子设备
CN115550065A (zh) * 2022-11-25 2022-12-30 国网四川省电力公司信息通信公司 基于大规模多数据源的一体化网络安全分析系统及方法
CN116346774A (zh) * 2023-02-16 2023-06-27 北京有元科技有限公司 一种基于dns路由的网络流量数据查询系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1282331C (zh) * 2003-10-21 2006-10-25 中兴通讯股份有限公司 一种实现异常流量控制的装置及方法
CN100369416C (zh) * 2005-05-09 2008-02-13 杭州华三通信技术有限公司 流量攻击网络设备的报文特征的检测方法

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883054A (zh) * 2010-07-09 2010-11-10 北京星网锐捷网络技术有限公司 组播报文处理方法、装置和设备
CN101883054B (zh) * 2010-07-09 2013-07-24 北京星网锐捷网络技术有限公司 组播报文处理方法、装置和设备
CN102075443A (zh) * 2011-02-28 2011-05-25 电子科技大学 基于主动探测的主机ip出流量估算方法
CN102075443B (zh) * 2011-02-28 2012-11-21 电子科技大学 基于主动探测的主机ip出流量估算方法
CN102708313A (zh) * 2012-03-08 2012-10-03 珠海市君天电子科技有限公司 针对大文件的病毒检测系统及方法
CN103179039B (zh) * 2012-10-25 2015-09-16 四川省电力公司信息通信公司 一种有效过滤正常网络数据包的方法
CN103179039A (zh) * 2012-10-25 2013-06-26 四川省电力公司信息通信公司 一种有效过滤正常网络数据包的方法
CN103067300B (zh) * 2013-01-09 2016-04-20 清华大学 网络流量自动化特征挖掘方法
CN103067300A (zh) * 2013-01-09 2013-04-24 清华大学 网络流量自动化特征挖掘方法
CN103731316A (zh) * 2013-07-30 2014-04-16 天津金栅科技有限公司 一种流量监控装置及方法
CN103731316B (zh) * 2013-07-30 2017-08-04 天津金栅科技有限公司 一种流量监控装置及方法
CN103701709B (zh) * 2013-12-13 2015-07-01 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN103701709A (zh) * 2013-12-13 2014-04-02 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN105490954A (zh) * 2014-09-19 2016-04-13 中兴通讯股份有限公司 一种控制网络数据流量的方法及装置
WO2016101870A1 (zh) * 2014-12-26 2016-06-30 中兴通讯股份有限公司 网络攻击分析方法和装置
CN105791248A (zh) * 2014-12-26 2016-07-20 中兴通讯股份有限公司 网络攻击分析方法和装置
CN105554016A (zh) * 2015-12-31 2016-05-04 山石网科通信技术有限公司 网络攻击的处理方法和装置
CN105827603A (zh) * 2016-03-14 2016-08-03 中国人民解放军信息工程大学 未明协议特征库建立方法、未明报文分类方法及相关装置
CN107547290A (zh) * 2016-06-27 2018-01-05 腾讯科技(深圳)有限公司 流量检测方法和装置
CN106302450B (zh) * 2016-08-15 2019-08-30 广州华多网络科技有限公司 一种基于ddos攻击中恶意地址的检测方法及装置
CN106302450A (zh) * 2016-08-15 2017-01-04 广州华多网络科技有限公司 一种基于ddos攻击中恶意地址的检测方法及装置
CN110647908A (zh) * 2019-08-05 2020-01-03 湖北工业大学 一种变电站特征指纹自动提取方法
CN110601971B (zh) * 2019-09-17 2021-10-26 南京林业大学 一种数据传输方法、装置、电子设备及存储介质
CN110601971A (zh) * 2019-09-17 2019-12-20 南京林业大学 一种数据传输方法、装置、电子设备及存储介质
CN111147478A (zh) * 2019-12-24 2020-05-12 北京网太科技发展有限公司 一种安全防护方法、装置及存储介质
CN113037687A (zh) * 2019-12-24 2021-06-25 中移物联网有限公司 一种流量识别方法及电子设备
CN113037687B (zh) * 2019-12-24 2022-09-16 中移物联网有限公司 一种流量识别方法及电子设备
CN112152895A (zh) * 2020-09-02 2020-12-29 珠海格力电器股份有限公司 智能家居设备控制方法、装置、设备及计算机可读介质
CN113806733A (zh) * 2021-02-03 2021-12-17 北京沃东天骏信息技术有限公司 异常流量检测方法、装置及可读存储介质和电子设备
CN113542268A (zh) * 2021-07-14 2021-10-22 中能融合智慧科技有限公司 基于网络链路获取单个工控协议流量的方法
CN115550065A (zh) * 2022-11-25 2022-12-30 国网四川省电力公司信息通信公司 基于大规模多数据源的一体化网络安全分析系统及方法
CN115550065B (zh) * 2022-11-25 2023-03-03 国网四川省电力公司信息通信公司 基于大规模多数据源的一体化网络安全分析系统及方法
CN116346774A (zh) * 2023-02-16 2023-06-27 北京有元科技有限公司 一种基于dns路由的网络流量数据查询系统

Also Published As

Publication number Publication date
CN101640666B (zh) 2012-06-06

Similar Documents

Publication Publication Date Title
CN101640666B (zh) 一种面向目标网络的流量控制装置及方法
CN109005157B (zh) 一种软件定义网络中DDoS攻击检测与防御方法与系统
CN108282497B (zh) 针对SDN控制平面的DDoS攻击检测方法
EP2241072B1 (en) Method of detecting anomalies in a communication system using numerical packet features
CN101741862B (zh) 基于数据包序列特征的irc僵尸网络检测系统和检测方法
CN101729389B (zh) 基于流量预测和可信网络地址学习的流量控制装置和方法
CN102271068B (zh) 一种dos/ddos攻击检测方法
CN100428688C (zh) 网络攻击的防护方法
Cheng et al. Machine learning based low-rate DDoS attack detection for SDN enabled IoT networks
CN101640594A (zh) 一种在网络设备上提取流量攻击报文特征的方法和单元
CN106506486A (zh) 一种基于白名单矩阵的智能工控网络信息安全监控方法
US20070204060A1 (en) Network control apparatus and network control method
Udhayan et al. Statistical segregation method to minimize the false detections during ddos attacks.
CN106603326B (zh) 基于异常反馈的NetFlow采样处理方法
CN111385145B (zh) 一种基于集成学习的加密流量识别方法
CN104488229A (zh) 网络业务处理系统
CN112134894A (zh) 一种DDoS攻击的移动目标防御方法
CN109194608B (zh) 一种基于流的DDoS攻击与闪拥事件检测方法
CN103546465A (zh) 基于数据流周期监测的LDoS攻击检测及防御方法
CN107360190B (zh) 基于序列模式识别的木马通信行为检测方法
KR20110070182A (ko) 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법
Chen et al. A two-tier coordinated defense scheme against DDoS attacks
Ding et al. Machine learning for cybersecurity: Network-based botnet detection using time-limited flows
Zhu et al. A research review on SDN-based DDOS attack detection
Zhang et al. An End-to-end Online DDoS Mitigation Scheme for Network Forwarding Devices

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120606

Termination date: 20170801

CF01 Termination of patent right due to non-payment of annual fee