CN102882895A - 一种识别报文攻击的方法及装置 - Google Patents
一种识别报文攻击的方法及装置 Download PDFInfo
- Publication number
- CN102882895A CN102882895A CN2012104278267A CN201210427826A CN102882895A CN 102882895 A CN102882895 A CN 102882895A CN 2012104278267 A CN2012104278267 A CN 2012104278267A CN 201210427826 A CN201210427826 A CN 201210427826A CN 102882895 A CN102882895 A CN 102882895A
- Authority
- CN
- China
- Prior art keywords
- time point
- measurement period
- flow
- current measurement
- volume forecasting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种识别报文攻击的方法及装置,属于网络安全技术领域。所述方法包括:根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,其中N为大于1的整数;根据所述流量预测数据获取当前统计周期内各时间点的流量阈值;将当前统计周期内各时间点的实际流量与对应的流量阈值进行比较,当实际流量大于流量阈值时,确定所述网络设备在相应的时间点受到报文攻击。本发明能够提高报文攻击识别结果的准确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种识别报文攻击的方法及装置。
背景技术
随着网络通信技术的进步,各种网络攻击引发的网络安全问题日益受到人们的关注。业内目前通常为保护IP设定一个流量阈值,流量超过流量阈值则识别为报文攻击。流量阈值通常是根据经验或者某一时间点的统计数据进行设置,由于该流量阈值是固定的,会导致大量报文的漏报和误报。
图1是现有技术的识别报文攻击的方法示意图,其给出了某个月的正常流量图(周末流量会比平时大),从图中可看出,对于不同的时间点,流量阈值是一个固定值。如果根据该流量阈值进行判断,那么周末的正常报文就会被当作攻击报文误报,而如果将流量阈值设置的太大就达不到防护效果,会出现对攻击报文的漏报。
发明内容
有鉴于此,本发明的目的是提供一种识别报文攻击的方法及装置,以提高报文攻击识别的准确性。
为实现上述目的,本发明提供技术方案如下:
一种识别报文攻击的方法,应用于网络设备上,所述方法包括:
根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,其中N为大于1的整数;
根据所述流量预测数据获取当前统计周期内各时间点的流量阈值;
将当前统计周期内各时间点的实际流量与对应的流量阈值进行比较,当实际流量大于流量阈值时,确定所述网络设备在相应的时间点受到报文攻击。
一种识别报文攻击的装置,应用于网络设备上,所述装置包括:
流量预测模块,用于根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,其中N为大于1的整数;
阈值计算模块,用于根据所述流量预测数据获取当前统计周期内各时间点的流量阈值;
攻击识别模块,用于将当前统计周期内各时间点的实际流量与对应的流量阈值进行比较,当实际流量大于流量阈值时,确定所述网络设备在相应的时间点受到报文攻击。
与现有技术在识别报文攻击时利用固定的流量阈值相比,本发明采用流量趋势预测模型,根据历史流量数据来估计当前时间点的流量预测值,并根据流量预测值获取流量阈值,相当于配置的流量阈值是动态变化的,从而使得判断攻击报文更为灵活也更为准确,并使得误报和漏报的几率大大减少。
附图说明
图1是现有技术的识别报文攻击的方法示意图;
图2是本发明实施例的识别报文攻击的方法流程图;
图3~6是本发明中根据流量图进行报文识别的一个具体实例示意图;
图7是本发明实施例的识别报文攻击的装置结构图。
具体实施方式
针对现有技术中存在的,在进行报文攻击识别时采用固定的流量阈值所带来的识别准确率不高的问题,本发明提出了一种流量趋势预测模型,即根据历史流量数据建立流量图,虽然每一时刻的流量均不相同,但是长时间的流量趋势有其客观规律,通过选取多个月每一周同一天同一时间点的历史数据可以预测出本时间点的流量趋势,然后,根据流量趋势来设置流量阈值,相当于配置的流量阈值是动态变化的,根据该动态变化的流量阈值来识别报文攻击,能够使得报文攻击的识别更加灵活和准确,并使得误报和漏报的几率大大减少。
以下结合附图对本发明进行详细描述。
图2是本发明实施例的识别报文攻击的方法流程图,所述方法应用于网络设备上,所述网络设备可以是服务器、网络转发设备、防火墙等。参照图2,所述方法可以包括如下步骤:
步骤201,根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,其中N为大于1的整数;
所述正常流量数据是指网络设备没有受到攻击时的流量数据,所述统计周期可以是1个月,也可以是1个星期或1个季度等,可以根据实际需要进行选择。
对于如何获取当前统计周期的流量预测数据,本发明提供如下三种实现方式。
方式1
对于每个时间点,获取N个统计周期在该时间点的最大流量值,将所述最大流量值作为当前统计周期在该时间点的流量预测值。
方式2
对于每个时间点,对N个统计周期在该时间点的流量值进行平均运算,将平均运算结果作为当前统计周期在该时间点的流量预测值。
方式3
对于每个时间点,对N个统计周期在该时间点的流量值进行加权平均运算,将加权平均运算结果作为当前统计周期在该时间点的流量预测值。在方式3中,进行加权平均运算时,可以根据需要灵活设置加权的权值,例如,越往后的统计周期,其越能反映流量趋势,其对应的权值因此也越大。
需要说明的是,也可以采用现有技术中的其他方法来获取流量预测数据,本发明对此不做限制。
另外,上述的时间点可以以分钟为单位,例如1月1号的1点1分,1月1号的1点2分等。当然,也可以以每5分钟、每10分钟、每半小时等等作为一个时间点,本发明对此也不做限制。
步骤202,根据所述流量预测数据获取当前统计周期内各时间点的流量阈值;
具体地,可以分别将当前统计周期内各时间点的流量预测值乘以一预设的阈值系数,得到该时间点的流量阈值,其中,所述阈值系数的取值范围可以为[1,1.2]。
步骤203,将当前统计周期内各时间点的实际流量与对应的流量阈值进行比较,当实际流量大于流量阈值时,确定所述网络设备在相应的时间点受到报文攻击。
本步骤中,是将某个时间点的实际流量与该时间点的流量阈值进行比较,当实际流量大于流量阈值时,则所述网络设备在该时间点受到报文攻击,可以在网络设备上开启防护;否则,认为是正常流。
在上述方法中,所述流量数据可以是网络设备的所有流量数据,也可以是针对某个保护IP的流量数据,本发明对此不做限制。
在具体实现时,可以直接根据流量图来进行报文攻击的识别。以下给出根据流量图进行报文识别的一个具体实例。
假设当前是3月份,则可以先收集前2个月的正常流量数据,以一个月为周期绘制成流量图,于是得到如图3所示的1月份的流量图,以及如图4所示的2月份的流量图。
然后,把1月份和2月份的流量图重叠起来,所绘成的曲线就是3月份的流量趋势图(如图5所示)。这里,重叠的含义是指,对于某个时间点,其流量预测值取1月份和2月份中该时间点的最大值(即上述的实现方式1)。
最后,通过对图5所示的流量区域图与图6所示的3月份的实际流量图进行比对,就能判定网络设备是否受到报文攻击,以及受到报文攻击的时间点。具体地,若本月某一时间点的流量与趋势图严重不符,就识别为报文攻击,相当于配置的阈值是动态变化的,根据图5和图6对比可知,3月份遭受了2次攻击。
与上述方法相对应,本发明实施例还提供一种识别报文攻击的装置。
图7是本发明实施例的识别报文攻击的装置结构图,所述装置应用于网络设备上,所述网络设备可以是服务器、网络转发设备、防火墙等。参照图7,所述装置可以包括:
流量预测模块10,用于根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,其中N为大于1的整数;
阈值计算模块20,用于根据所述流量预测数据获取当前统计周期内各时间点的流量阈值;
攻击识别模块30,用于将当前统计周期内各时间点的实际流量与对应的流量阈值进行比较,当实际流量大于流量阈值时,确定所述网络设备在相应的时间点受到报文攻击。
流量预测模块10如何获取当前统计周期的流量预测数据,本发明提供如下三种实现方式。
方式1
对于每个时间点,获取N个统计周期在该时间点的最大流量值,将所述最大流量值作为当前统计周期在该时间点的流量预测值。
方式2
对于每个时间点,对N个统计周期在该时间点的流量值进行平均运算,将平均运算结果作为当前统计周期在该时间点的流量预测值。
方式3
对于每个时间点,对N个统计周期在该时间点的流量值进行加权平均运算,将加权平均运算结果作为当前统计周期在该时间点的流量预测值。在方式3中,进行加权平均运算时,可以根据需要灵活设置加权的权值,例如,越往后的统计周期,其越能反映流量趋势,其对应的权值因此也越大。
需要说明的是,也可以采用现有技术中的其他方法来获取流量预测数据,本发明对此不做限制。
所阈值计算模块20可以分别将当前统计周期内各时间点的流量预测值乘以一预设的阈值系数,得到该时间点的流量阈值,所述阈值系数的取值范围可以为[1,1.2]。
综上所述,本发明采用流量趋势预测模型,根据历史流量数据来估计当前时间点的流量预测值,并根据流量预测值获取流量阈值,相当于配置的流量阈值是动态变化的,从而使得判断攻击报文更为灵活也更为准确,并使得误报和漏报的几率大大减少。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种识别报文攻击的方法,应用于网络设备上,其特征在于,所述方法包括:
根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,其中N为大于1的整数;
根据所述流量预测数据获取当前统计周期内各时间点的流量阈值;
将当前统计周期内各时间点的实际流量与对应的流量阈值进行比较,当实际流量大于流量阈值时,确定所述网络设备在相应的时间点受到报文攻击。
2.如权利要求1所述的方法,其特征在于,所述根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,包括:
对于每个时间点,获取N个统计周期在该时间点的最大流量值,将所述最大流量值作为当前统计周期在该时间点的流量预测值。
3.如权利要求1所述的方法,其特征在于,所述根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,包括:
对于每个时间点,对N个统计周期在该时间点的流量值进行平均运算或者加权平均运算,将平均运算结果或者加权平均运算结果作为当前统计周期在该时间点的流量预测值。
4.如权利要求1所述的方法,其特征在于,所述根据所述流量预测数据获取当前统计周期内各时间点的流量阈值,包括:
分别将当前统计周期内各时间点的流量预测值乘以一预设的阈值系数,得到该时间点的流量阈值。
5.如权利要求4所述的方法,其特征在于:
所述阈值系数的取值范围为[1,1.2]。
6.一种识别报文攻击的装置,应用于网络设备上,其特征在于,所述装置包括:
流量预测模块,用于根据网络设备的前N个统计周期的正常流量数据,获取当前统计周期的流量预测数据,其中N为大于1的整数;
阈值计算模块,用于根据所述流量预测数据获取当前统计周期内各时间点的流量阈值;
攻击识别模块,用于将当前统计周期内各时间点的实际流量与对应的流量阈值进行比较,当实际流量大于流量阈值时,确定所述网络设备在相应的时间点受到报文攻击。
7.如权利要求6所述的装置,其特征在于,所述流量预测模块具体用于:
对于每个时间点,获取N个统计周期在该时间点的最大流量值,将所述最大流量值作为当前统计周期在该时间点的流量预测值。
8.如权利要求6所述的装置,其特征在于,所述流量预测模块具体用于:
对于每个时间点,对N个统计周期在该时间点的流量值进行平均运算或者加权平均运算,将平均运算结果或者加权平均运算结果作为当前统计周期在该时间点的流量预测值。
9.如权利要求6所述的装置,其特征在于,所阈值计算模块具体用于:
分别将当前统计周期内各时间点的流量预测值乘以一预设的阈值系数,得到该时间点的流量阈值。
10.如权利要求9所述的装置,其特征在于:
所述阈值系数的取值范围为[1,1.2]。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104278267A CN102882895A (zh) | 2012-10-31 | 2012-10-31 | 一种识别报文攻击的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104278267A CN102882895A (zh) | 2012-10-31 | 2012-10-31 | 一种识别报文攻击的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102882895A true CN102882895A (zh) | 2013-01-16 |
Family
ID=47484038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104278267A Pending CN102882895A (zh) | 2012-10-31 | 2012-10-31 | 一种识别报文攻击的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102882895A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530219A (zh) * | 2014-09-28 | 2016-04-27 | 腾讯科技(深圳)有限公司 | 一种连接检测方法及装置 |
| CN105721348A (zh) * | 2016-02-23 | 2016-06-29 | 周奇 | 智能终端的流量控制方法及装置 |
| CN107370766A (zh) * | 2017-09-07 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种网络流量异常检测方法及系统 |
| CN107579981A (zh) * | 2017-09-08 | 2018-01-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量监控方法及系统 |
| CN107888610A (zh) * | 2017-11-29 | 2018-04-06 | 锐捷网络股份有限公司 | 一种攻击防御的方法、网络设备及计算机存储介质 |
| CN108123849A (zh) * | 2017-12-20 | 2018-06-05 | 国网冀北电力有限公司信息通信分公司 | 检测网络流量的阈值的确定方法、装置、设备及存储介质 |
| CN108234516A (zh) * | 2018-01-26 | 2018-06-29 | 北京安博通科技股份有限公司 | 一种网络泛洪攻击的检测方法及装置 |
| CN108390870A (zh) * | 2018-02-09 | 2018-08-10 | 北京天融信网络安全技术有限公司 | 一种防御网络攻击的方法、装置、存储介质及设备 |
| CN108574668A (zh) * | 2017-03-10 | 2018-09-25 | 北京大学 | 一种基于机器学习的DDoS攻击流量峰值预测方法 |
| CN109962903A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| CN112019547A (zh) * | 2020-08-28 | 2020-12-01 | 中移(杭州)信息技术有限公司 | 网络流量评估方法、攻击检测方法、服务器及存储介质 |
| CN113794696A (zh) * | 2021-08-27 | 2021-12-14 | 北京航空航天大学杭州创新研究院 | 一种基于因果模型的网络安全信息处理方法和系统 |
| CN114024699A (zh) * | 2020-07-17 | 2022-02-08 | 杨耀忠 | 一种复杂网络环境下异常流量检测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| CN101155085A (zh) * | 2006-09-29 | 2008-04-02 | 中兴通讯股份有限公司 | 实时流量预测方法及装置和实时流量监测预警方法及装置 |
| CN101826996A (zh) * | 2010-03-19 | 2010-09-08 | 中国科学院计算机网络信息中心 | 域名系统流量检测方法与域名服务器 |
| CN102104611A (zh) * | 2011-03-31 | 2011-06-22 | 中国人民解放军信息工程大学 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
-
2012
- 2012-10-31 CN CN2012104278267A patent/CN102882895A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725705A (zh) * | 2005-05-09 | 2006-01-25 | 杭州华为三康技术有限公司 | 流量攻击网络设备的报文特征的检测方法 |
| CN1878082A (zh) * | 2005-06-09 | 2006-12-13 | 杭州华为三康技术有限公司 | 网络攻击的防护方法 |
| CN101155085A (zh) * | 2006-09-29 | 2008-04-02 | 中兴通讯股份有限公司 | 实时流量预测方法及装置和实时流量监测预警方法及装置 |
| CN101826996A (zh) * | 2010-03-19 | 2010-09-08 | 中国科学院计算机网络信息中心 | 域名系统流量检测方法与域名服务器 |
| CN102104611A (zh) * | 2011-03-31 | 2011-06-22 | 中国人民解放军信息工程大学 | 一种基于混杂模式的DDoS攻击检测方法及装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530219A (zh) * | 2014-09-28 | 2016-04-27 | 腾讯科技(深圳)有限公司 | 一种连接检测方法及装置 |
| CN105721348A (zh) * | 2016-02-23 | 2016-06-29 | 周奇 | 智能终端的流量控制方法及装置 |
| CN108574668B (zh) * | 2017-03-10 | 2020-10-20 | 北京大学 | 一种基于机器学习的DDoS攻击流量峰值预测方法 |
| CN108574668A (zh) * | 2017-03-10 | 2018-09-25 | 北京大学 | 一种基于机器学习的DDoS攻击流量峰值预测方法 |
| CN107370766A (zh) * | 2017-09-07 | 2017-11-21 | 杭州安恒信息技术有限公司 | 一种网络流量异常检测方法及系统 |
| CN107370766B (zh) * | 2017-09-07 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 一种网络流量异常检测方法及系统 |
| CN107579981A (zh) * | 2017-09-08 | 2018-01-12 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量监控方法及系统 |
| CN107888610A (zh) * | 2017-11-29 | 2018-04-06 | 锐捷网络股份有限公司 | 一种攻击防御的方法、网络设备及计算机存储介质 |
| CN108123849B (zh) * | 2017-12-20 | 2020-08-28 | 国网冀北电力有限公司信息通信分公司 | 检测网络流量的阈值的确定方法、装置、设备及存储介质 |
| CN108123849A (zh) * | 2017-12-20 | 2018-06-05 | 国网冀北电力有限公司信息通信分公司 | 检测网络流量的阈值的确定方法、装置、设备及存储介质 |
| CN109962903A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| CN109962903B (zh) * | 2017-12-26 | 2022-01-28 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| CN108234516A (zh) * | 2018-01-26 | 2018-06-29 | 北京安博通科技股份有限公司 | 一种网络泛洪攻击的检测方法及装置 |
| CN108390870A (zh) * | 2018-02-09 | 2018-08-10 | 北京天融信网络安全技术有限公司 | 一种防御网络攻击的方法、装置、存储介质及设备 |
| CN114024699A (zh) * | 2020-07-17 | 2022-02-08 | 杨耀忠 | 一种复杂网络环境下异常流量检测方法 |
| CN112019547A (zh) * | 2020-08-28 | 2020-12-01 | 中移(杭州)信息技术有限公司 | 网络流量评估方法、攻击检测方法、服务器及存储介质 |
| CN113794696A (zh) * | 2021-08-27 | 2021-12-14 | 北京航空航天大学杭州创新研究院 | 一种基于因果模型的网络安全信息处理方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102882895A (zh) | 一种识别报文攻击的方法及装置 | |
| CN102882745B (zh) | 一种用于监控业务服务器的方法和装置 | |
| CN104112345B (zh) | 远程无线抄表系统的数据监测方法 | |
| US20150331063A1 (en) | Dynamic Modeling and Resilience for Power Distribution | |
| CN103839189B (zh) | 基于可靠性效益评估的配电自动化方案优化方法和系统 | |
| CN101808351B (zh) | 业务影响分析方法和系统 | |
| CN106837707B (zh) | 一种基于故障模型触发的自动故障诊断系统 | |
| CN108700862B (zh) | 能量消耗报警系统、平台和方法 | |
| WO2013169903A1 (en) | Methods and systems for managing distributed energy resources | |
| CN104753700A (zh) | 告警风暴处理方法以及告警风暴处理系统 | |
| CN103546319B (zh) | 网络设备的流量告警方法和系统 | |
| CN104779608A (zh) | 基于离线策略的电力系统安全稳定在线附加紧急控制方法 | |
| CN103246939A (zh) | 基于安全稳定裕度的电网运行安全风险事件在线辨识方法 | |
| CN108680798B (zh) | 雷电监测预警方法及系统 | |
| CN106330299A (zh) | 一种光端口状态判断方法及装置、光通信系统 | |
| CN103066572A (zh) | 基于保信系统的继电保护在线监测方法与装置 | |
| CN104348413A (zh) | 基于数据分析的自适应光伏防窃电方法 | |
| CN115528686B (zh) | 基于边缘计算的分布式配电故障处理系统及方法 | |
| Li et al. | Meta-heuristic approach for validation and calibration of cascading failure analysis | |
| CN103218530A (zh) | 一种直流输电系统停运检修方式的可靠性评估方法和系统 | |
| Nanab et al. | A quantitative method for assessing the resilience of infrastructure systems | |
| CN116307886A (zh) | 一种企业生产状态的实时监测方法及装置 | |
| CN112332410B (zh) | 一种区域用电一致性核算系统 | |
| CN112578232A (zh) | 风力发电机组的雷电预警方法和雷电预警设备 | |
| CN106556775B (zh) | 基于Logistic回归的超高压交直流输电线路雷击跳闸自动识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130116 |