CN102571493A - 网络检测的方法及设备 - Google Patents

Abstract

本发明实施例公开了一种网络检测的方法，包括：在一个时间段内采集多个标识网络设备处理控制报文繁忙状态的样本，组成样本空间；对该样本空间进行置信区间计算，将置信区间的上限作为门限值；采集下一时刻的数值，将该数值与该门限值比较，根据比较结果判断网络设备是否受到攻击。本发明实施例还提供相应的装置。本发明实施例技术方案，通过自动计算门限值，解决了现有技术中由于人工设置门限值不准确，导致不能正确判断网络设备是否受到攻击的问题。

Description

网络检测的方法及设备

技术领域

本发明涉及通信技术领域，具体涉及一种网络检测的方法及设备。

背景技术

网络设备部署在网络上后，需要通过检测网络控制报文流量(如路由、拨号、认证)是否超出门限值，以确定网络设备的繁忙状态，判断网络设备是否受到攻击。

现有技术中，一般是通过人工设置和调整网络控制报文流量指标的门限值。由于网络的复杂性，人工设置门限值需要大量的经验，容易造成门限值设置不合理(设置门限值过宽或过严)，导致误报警或没有报警。例如每秒上送中央处理器(Central Processing Unit，CPU)的地址解析协议(AddressResolution Protocol，ARP)报文个数是一个检测指标，当该指标超出门限值时应产生受到网络攻击的报警。该指标在路由器处于不同网络环境中时门限值是不同的。在路由器作为宽带远程接入服务器(Broadband Remote AccessServer，BRAS)时，需要处理海量的家庭网关的ARP请求，此时该指标门限值应设置为较大的数值，如果此时设置的门限值过小，会在没有受到网络攻击时也产生报警；在路由器作为核心路由器时，由于周边网元数量有限，其需要处理的ARP报文数量不会很多，此时该指标门限值应设置为较低的数值，如果此时设置的门限值过大，会在真正受到网络攻击时却没有报警。

发明内容

本发明实施例提供一种网络检测的方法及装置，解决了现有技术中网络设备受攻击报警不准确的问题。

根据本发明实施例的一个方面，一种网络检测的方法，包括：

在第一时间段内采集多个样本，所述样本为第一指标，所述第一指标用于标识网络设备处理控制报文的繁忙状态，所述多个样本构成一个样本空间；

对所述样本空间进行置信区间计算，将置信区间的上限作为门限值；

采集第一数值，所述第一数值为所述第一指标在第一时刻的值，所述第一时刻为发生在所述第一时间段后的时刻；

当所述第一数值大于所述门限值时，则确定所述网络设备受到攻击。

根据本发明实施例的又一个方面，一种网络检测的装置，包括：

采集模块，用于在第一时间段内采集多个样本，所述样本为第一指标，所述第一指标用于标识网络设备处理控制报文的繁忙状态。所述多个样本构成一个样本空间。采集第一数值，所述第一数值为所述第一指标在第一时刻的值，所述第一时刻为发生在所述第一时间段后的时刻；

计算模块，用于对所述样本空间进行置信区间计算，将置信区间的上限作为门限值；

判断模块，用于当所述第一数值大于所述门限值时，确定所述网络设备受到攻击。

本发明实施例提供的技术方案对样本空间以指定概率(例如99％)进行基于正态分布的置信区间计算，将置信区间的上限作为门限值，由于门限值是根据网络控制报文流量自动计算的，而且门限值设置的准确度在预期概率内，因此，网络设备可以及时发现是否受到攻击，从而产生报警。另外，由于门限值是根据网络控制报文流量自动计算，随着网络控制报文流量的不断变化而自动调整，因此，可以避免人工设置门限值时不易根据网络设备的实际状况进行及时合理调整，从而导致网络设备没有受到攻击却产生误报警或受到攻击却没有产生报警的问题。

附图说明

图1是本发明实施例一提供的一种网络检测的方法的流程图；

图2是本发明实施例一提供的另一种网络检测的方法的流程图；

图3是本发明实施例二提供的一种网络检测的装置的示意图；

图4是本发明实施例二提供的另一种网络检测的装置的示意图。

具体实施方式

本发明实施例提供一种网络检测的方法及装置，可以解决现有技术中网络设备受攻击报警不准确的问题。本发明实施例还提供相应的装置。以下分别进行详细说明。

实施例一、

请参考图1，本发明实施例提供一种网络检测的方法，包括：

101、在第一时间段内采集多个样本，该多个样本为第一指标，该第一指标用于标识网络设备处理控制报文的繁忙状态。所述多个样本构成一个样本空间。

第一时间段是一个预设时间段，在此时间段内，按照固定的时间间隔或随机时间间隔采集样本，该固定时间间隔和时间段的长度可以设置。在此时间段内采集到的多个样本构成一个样本空间。

第一指标可以是百分比类型的数据或流量类型数据或会话类型的数据数据。

其中，

百分比类型的数据，可以包括如下中的一个或多个：

网络设备CPU利用率(％)；

网络设备内存利用率(％)；

网络设备承诺访问速率(Committed Access Rate，CAR)漏桶丢包率(％)。

流量类型的数据，可以包括如下中的一个或多个：

网络设备协议报文的流量速率(比特/秒或报文/秒)；

网络设备错误报文的流量速率(比特/秒或报文/秒)；

网络设备丢包报文的速率(比特/秒或报文/秒)。

会话类型的数据，可以包括如下中的一个或多个：

网络设备新建连接速率(会话数/秒)；

网络设备并发连接数(会话数/秒)。

为方便后续描述，该样本空间记为X＝{x₁，x₂，x₃，......，x_n-1，x_n}。

其中，x₁是采集的第一个样本，x_n是采集到的第n个样本，共采样n个样本。X为样本空间。

102、对所述样本空间进行基于正态分布的置信区间计算，将置信区间的上限作为门限值。

计算该样本空间的平均值μ：

$\mathrm{\μ}=\frac{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{x}_i}{n}$

计算该样本空间的标准差α：

$\mathrm{\α}=\sqrt{\frac{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{(x_i-\mathrm{\μ})}^2}{n-1}}$

计算该样本空间的标准差α也可以用下述公式：

$\mathrm{\α}=\sqrt{E\left(X^2\right)-{\left(E\left(X\right)\right)}^2}$

其中，E(X²)是样本空间的平方的平均值，E(X)是样本空间的平均值。

计算该样本空间的置信区间P：

$P=[\mathrm{\μ}-t_{\mathrm{\α}/2}\frac{\mathrm{\α}}{\sqrt{\mathrm{\μ}}},\mathrm{\μ}+t_{\mathrm{\α}/2}\frac{\mathrm{\α}}{\sqrt{\mathrm{\μ}}}]$

t_α/2参数是一个常数，该常数值可以查阅T分布表，T分布表是正态分布的常数参数表.例如，95％概率置信区间的T分布值t_α/2＝2.093，99％的概率置信区间的T分布值t_α/2＝2.861。

将 $\mathrm{\μ}+t_{\mathrm{\α}/2}\frac{\mathrm{\α}}{\sqrt{\mathrm{\μ}}}$ 作为门限值。

对门限值的计算举例说明如下：

采集样本为网络设备CPU利用率，在一段时间内采集到3个样本值分别为{43％，42％，41％}。则：

平均值 $\mathrm{\μ}=\frac{43\%+42\%+41\%}{3}=42\%,$

标准差 $\mathrm{\α}=\sqrt{\frac{{(43\%-42\%)}^2+{(42\%-42\%)}^2+{(41\%-42\%)}^2}{(3-1)}}=1\%$

对应99％概率置信区间的T分布值t_α/2＝2.861，

对应的置信区间 $P=[42\%-2.861\×1\%\÷\sqrt{42\%},42\%+2.861\×1\%\÷$ $\sqrt{42\%}]=[37.59\%,46.41\%].$

门限值为置信区间的上限，即46.41％。

上述置信区间的计算过程是基于样本空间是服从正态分布模型情况下的推导公式，本领域内的技术人员可以理解，当网络控制报文流量符合正态分布时，下一时刻对应的第一指标的值，在设定的概率下，小于该概率所对应的门限值.根据通信理论研究，通信设备的网络控制报文流量服从正态分布模型。

103、采集第一数值，该第一数值为第一指标在第一时刻的值，该第一时刻发生在第一时间段后。

上述第一时刻，如果是固定时间间隔采样，可以是以相同时间间隔在对应样本空间的时间段后的某个时刻；如果是随机时间间隔采样，可以是以平均时间间隔在对应样本空间的时间段后的某个时刻。

例如，如果是固定时间间隔采样，采集第1个样本的时刻是第1秒，样本采集时间间隔是1秒，共采集10个样本，采集的第10个样本的时刻是第10秒，则第一时刻为第11秒；如果是随机时间间隔采样，采集第1个样本的时刻是第1秒，共采集8个样本，采集最后一个样本的时刻是第15秒，则第一时刻是第15秒后的某个随机时刻，比如第17秒。

104、比较该第一数值是否大于门限值；

105、如果该第一数值大于门限值，则确定所述网络设备受到攻击。

所述网络设备可以是路由器或交换机或防火墙等。

可选地，如图2所示，在步骤105后，还可以执行106，即该网络设备对超出部分的网络控制报文流量进行限速，防止超过正常业务处理能力的流量对该网络设备造成冲击。步骤105和106的顺序不限制，可以同时执行或者先执行106后执行105。

本发明实施例提供了一种的方法，该方法通过采集多个标识网络设备处理控制报文繁忙状态的样本，组成样本空间，对该样本空间以指定概率(例如99％)进行基于正态分布的置信区间计算，将置信区间的上限作为门限值，由于门限值是根据网络控制报文流量自动计算的，而且门限值设置的准确度在预期概率内，因此，网络设备可以及时发现是否受到攻击，从而产生报警。另外，由于门限值是根据网络控制报文流量自动计算，随着网络控制报文流量的不断变化而自动调整，因此，可以避免人工设置门限值时不易根据网络设备的实际状况进行及时合理调整，从而导致网络设备没有受到攻击却产生误报警或受到攻击却没有产生报警的问题。

实施例二、

请参考图2，本发明实施例提供一种网络检测的装置，包括：

采集模块201，用于在第一时间段内采集多个样本，该样本为第一指标，该第一指标用于标识网络设备处理控制报文的繁忙状态。该多个样本构成一个样本空间。采集第一数值，该第一数值为所述第一指标在第一时刻的值，该第一时刻为发生在第一时间段后的时刻；

计算模块202，对采集模块201所采集到的样本空间进行基于正态分布的置信区间计算，将置信区间的上限作为门限值。

判断模块203，将采集模块201所采集的第一数值，和计算模块202所计算的门限值进行对比，如果该第一数值大于该门限值，则确定所述网络设备受到攻击。

所述网络设备可以是路由器或交换机或防火墙等。

可选地，如图4所示，所述网络检测的装置还可以包括执行模块204，该执行模块204对超出部分的网络控制报文流量进行限速，防止超过正常业务处理能力的流量对该网络设备造成冲击。

本发明实施例提供了一种网络检测的装置，该装置通过采集多个标识网络设备处理控制报文繁忙状态的样本，组成样本空间，对该样本空间以指定概率(例如99％)进行基于正态分布的置信区间计算，将置信区间的上限作为门限值，由于门限值是根据网络控制报文流量自动计算的，而且门限值设置的准确度在预期概率内，因此，网络设备可以及时发现是否受到攻击，从而产生报警。另外，由于门限值是根据网络控制报文流量自动计算，随着网络控制报文流量的不断变化而自动调整，因此，可以避免人工设置门限值时不易根据网络设备的实际状况进行及时合理调整，从而导致网络设备没有受到攻击却产生误报警或受到攻击却没有产生报警的问题。

所述采集模块、计算模块、判断模块及执行模块均可通过硬件来实现，比如采集模块可以采用采样器来实现，计算模块可以采用CPU实现。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器、随即读取存储器、磁盘或光盘等。

以上对本发明实施例所提供的网络检测报文的方法及设备进行了详细介绍，但以上实施例的说明只是用于帮助理解本发明的方法及其核心思想，不应理解为对本发明的限制。本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种网络检测的方法，其特征在于，包括：

在第一时间段内采集多个样本，所述样本为第一指标，所述第一指标用于标识网络设备处理控制报文的繁忙状态，所述多个样本构成一个样本空间；

对所述样本空间进行置信区间计算，将置信区间的上限作为门限值；

采集第一数值，所述第一数值为所述第一指标在第一时刻的值，所述第一时刻为发生在所述第一时间段后的时刻；

当所述第一数值大于所述门限值时，则确定所述网络设备受到攻击。

2.根据权利要求1所述的方法，其特征在于，所述对所述样本空间进行置信区间计算具体包括：

计算所述样本空间的平均值；

计算所述样本空间的标准差；

根据所述样本空间的平均值，和所述样本空间的标准差，和正态分布参数表，计算所述样本空间的置信区间。

3.根据权利要求1或2所述的方法，其特征在于，所述第一指标为百分比类型的数据或流量类型的数据或会话类型的数据。

4.根据权利要求3所述的方法，其特征在于，所述百分比类型的数据包括以下中的一个或多个：

网络设备CPU利用率；

网络设备内存利用率；

网络设备承诺访问速率漏桶丢包率。

5.根据权利要求3所述的方法，其特征在于，所述流量类型的数据包括以下中的一个或多个：

网络设备协议报文的流量速率；

网络设备错误报文的流量速率；

网络设备丢包报文的速率。

6.根据权利要求3所述的方法，其特征在于，所述会话类型的数据包括以下中的一个或多个：

网络设备新建连接速率；

网络设备并发连接数。

7.根据权利要求1至3任一所述的方法，其特征在于，当所述第一数值大于所述门限值时，所述方法还包括对超出所述门限值的控制报文流量进行限速。

8.一种网络检测的装置，其特征在于，包括：

采集模块，用于在第一时间段内采集多个样本，所述样本为第一指标，所述第一指标用于标识网络设备处理控制报文的繁忙状态，所述多个样本构成一个样本空间；采集第一数值，所述第一数值为所述第一指标在第一时刻的值，所述第一时刻为发生在所述第一时间段后的时刻；

计算模块，用于对所述样本空间进行置信区间计算，将置信区间的上限作为门限值；

判断模块，用于当所述第一数值大于所述门限值时，确定所述网络设备受到攻击。

9.根据权利要求8所述的装置，其特征在于，还包括：

执行模块，用于当所述第一数值大于所述门限值时，对超出所述门限值的控制报文流量进行限速。

Images