CN106789448A - 一种网络风暴快速检测方法及装置 - Google Patents

一种网络风暴快速检测方法及装置 Download PDF

Info

Publication number
CN106789448A
CN106789448A CN201710096711.7A CN201710096711A CN106789448A CN 106789448 A CN106789448 A CN 106789448A CN 201710096711 A CN201710096711 A CN 201710096711A CN 106789448 A CN106789448 A CN 106789448A
Authority
CN
China
Prior art keywords
message
crc
network storm
flow
markers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710096711.7A
Other languages
English (en)
Inventor
沈沉
王西邓
宋彦锋
李英明
任红旭
汤洋
凌特利
张荣良
马卫平
徐云松
顾峰
胡凯利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Xuji Group Co Ltd
XJ Electric Co Ltd
Xuchang XJ Software Technology Co Ltd
Original Assignee
State Grid Corp of China SGCC
Xuji Group Co Ltd
XJ Electric Co Ltd
Xuchang XJ Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Xuji Group Co Ltd, XJ Electric Co Ltd, Xuchang XJ Software Technology Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201710096711.7A priority Critical patent/CN106789448A/zh
Publication of CN106789448A publication Critical patent/CN106789448A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种网络风暴快速检测方法及装置,将采集的报文与前一帧具有相同CRC的报文之间的时间间隔与设定的时间门槛T进行比较,当时间间隔小于时间门槛T时,对CRC对应的报文流量进行累加,比较流量累加后的流量与设定流量门槛Fmax的大小,进而判断出网络风暴。该方法原理简单,利用比对以太网报文CRC的方法,实现网络风暴的快速检测,且检测准确,不受报文类型和流量的限制,不影响正常业务报文的接收处理,为网络风暴处理提供启动条件,从而降低或避免网络风暴给设备带来的冲击。

Description

一种网络风暴快速检测方法及装置
技术领域
本发明属于以太网通讯技术领域,具体涉及一种网络风暴快速检测方法及装置。
背景技术
以太网通讯技术广泛应用于现代社会生产生活中的各个环节,设备在接入以太网带通讯时,会暴露在各种原因引起的网络风暴中。其中重复的报文被大量转发引起的网络风暴,是一种最常见的网络风暴,例如各种交换机、路由器的错误接线导致环路,或者是某个设备异常,都会导致这种故障。如果有关键的设备在故障网络中,网络风暴的涌入,可能会导致死机、响应能力变差等功能异常,甚至给生产生活带来安全隐患。
目前,由于需要对报文数据的内容进行解析,网络风暴的识别和检测需要较大的计算资源和内存资源,而现有的网络风暴检测方法,大都以内容分析为基础,需要进行协议解析,检测效率不高,速度慢,且准确性较差。
发明内容
本发明的目的是提供一种网络风暴快速检测方法及装置,用于解决现有技术中检测网络风暴不准确、速度慢的问题。
为解决上述技术问题,本发明提出一种网络风暴快速检测方法,包括以下方案:
方案一,包括以下步骤:
1)采集一帧报文,若所述报文与前一帧具有相同CRC的报文之间的时间间隔小于设定的时间门槛T,则对CRC对应的报文流量进行累加;
2)若累加后的流量超过设定的流量门槛Fmax时,判定所述报文是网络风暴报文。
方案二,在方案一的基础上,若所述报文之间的时间间隔大于等于设定的时间门槛T,或累加后的流量小于等于设定的流量门槛Fmax时,判定所述报文不是网络风暴报文。
方案三,在方案一的基础上,通过Cache存储CRC信息。
方案四,在方案三的基础上,所述Cache采用组相联结构,根据接收数据的规模和处理能力设置Cache的组数和路数。
方案五,在方案四的基础上,所述路数的每一路为一个条目,每个条目包括组号、CRC、时标和流量计数值。
方案六,在方案三的基础上,所述CRC信息中还包括用于定位组号的Cache索引位。
方案七,在方案五的基础上,通过将报文的时标与相同CRC对应条目的时标做差确定所述时间间隔。
方案八,在方案七的基础上,用当前报文的时标更新所述相同CRC对应条目的时标。
方案九,在方案五的基础上,若当前报文没有与其具有相同CRC的条目,找到Cache中相应的组中的一路最旧条目,并用当前报文的以太网CRC、时标更新所述最旧条目中的CRC、时标,同时清除所述最旧条目中的流量计数值。
为解决上述技术问题,本发明提出一种网络风暴快速检测装置,包括以下单元:
检测单元:用于采集一帧报文,若所述报文与前一帧具有相同CRC的报文之间的时间间隔小于设定的时间门槛T,则对CRC对应的报文流量进行累加;
判定单元:用于若累加后的流量超过设定的流量门槛Fmax时,判定所述报文是网络风暴报文。
本发明的有益效果是:将采集的报文与前一帧具有相同CRC的报文之间的时间间隔与设定的时间门槛T进行比较,当时间间隔小于时间门槛T时,对CRC对应的报文流量进行累加,比较流量累加后的流量与设定流量门槛Fmax的大小,进而判断出网络风暴。该方法原理简单,利用比对以太网报文CRC的方法,实现网络风暴的快速检测,且检测准确,不受报文类型和流量的限制,不影响正常业务报文的接收处理,为网络风暴处理提供启动条件,从而降低或避免网络风暴给设备带来的冲击。
附图说明
图1是128组4路Cache结构示意图;
图2是网络风暴报文判定流程图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步的说明。
本发明的一种网络风暴快速检测方法的实施例:
根据网络风暴的主要特征:CRC校验码特征:网络风暴报文的以太网链路层CRC校验码是相同的;时间和流量特征:在特定的时间内,产生了超过设备能够处理能力的流量,可视之为网络风暴。
根据以上基本特征,设定一个K组、M路的组相联缓存的Cache,Cache的组数K和路数M可以根据系统性能以及应用环境需求进行设定,Cache包含有报文的CRC信息,具体的,Cache中每一路条目中缓存的数据为以太网报文的32位CRC、该报文的时标(时标就是以太网报文被收到的时间,根据应用环境对时间粒度的需求,选择使用软件时标和硬件时标),以及对应的流量计数值F。对于流量计数值F,单位可以是对应CRC报文的帧数,或者是字节数,可以根据具体应用需求具体标定。
设定时间门槛T和流量门槛Fmax,作为网络风暴判断逻辑的主要参数,当收到新的报文后,需要根据这两个参数,以及Cache中缓存的数据,来判断当前报文是否网络风暴报文。由于实际应用中连续两帧不同以太网报文的CRC校验码存在相同的问题,所以Fmax必须覆盖2帧以上的报文流量。
采集一帧以太网报文,记录该报文的时标和以太网CRC,通过以太网CRC中n位的值2n,定位到设定的组相连缓存的Cache中相应的组(例如Cache是128组,则CRC中n为7,如图1所示),对所述相应的组中每一路缓存的以太网CRC比较,查找匹配条目。
当上述以太网报文的时标与匹配条目的时标之间的报文时间间隔小于设定的时间门槛T,Cache中相应的组中匹配条目的流量累加,累加后的流量超过设定的流量门槛Fmax时,判定所述报文是网络风暴报文,丢弃。其他情况的报文都作为正常报文处理,例如,当上述累加后的流量小于等于设定的流量门槛Fmax时,流量计数值F累积,并判定所述报文不是网络风暴报文。当上述报文时间间隔大于等于设定的时间门槛T时,对应Cache条目的流量计数值F清零,并判定所述报文不是网络风暴报文。
对于上述的匹配条目,使用当前报文的时标替换匹配条目中保存的时标;如果没有找到匹配条目,找到Cache相应组中的一路最旧条目,使用当前报文的CRC、时标更新该条目数据,同时对应的流量计数清0,并判定报文不是网络风暴报文。关于组中的一路最旧条目是指:使用当前以太网报文的时标,分别减去Cache相应组中每一路缓存的时标,得到每一路距离当前报文时标的时间间隔,时间间隔最大的一路即为该组最旧条目。
以报文在智能变电站保护装置中的传输为例,用C语言实现本发明的检测方法。保护装置的过程层以太网接口需要接入IEEE61850标准中的SV、GOOSE报文,站控层以太网接口需要接入GOOSE、MMS等报文,我们在每个以太网接口的接收端部署一个Cache,该Cache采用的相关参数配置如下:
1.采用128组4路结构。
2.流量以报文帧数为单位。
3.报文时标当以太网接口驱动程序收到报文时,获取当前的系统上电后的毫秒数作为时标。
4.报文时间将T设置为1ms。
5.流量门槛Fmax设置为10帧。
以最小以太网帧每帧64字节,帧间隔为1ms来计算,每秒1000帧报文的流量大约为0.5Mbps,所以采用本发明的方法,对于大于该流量的重复报文,都能够进行有效的过滤,能够最大限度的降低这种网络风暴对设备的影响。
使用C语言实现的例程:
本实施例是在Cache相应组的M路条目中顺序查找和当前报文CRC相同的条目,遍历的同时记录时标最旧的条目索引。考虑到时标长期计时存在溢出的问题,所以最旧的判别以Cache组中对应条目的时标到当前报文时标间隔最大为依据。
如果找到CRC相等的条目,当前报文时标减去条目中的时标得到帧时间间隔,当帧时间间隔小于时间门槛T时,且流量计数小于等于Fmax,则流量计数累加,判定报文为非网络风暴流量;当流量计数大于Fmax,则流量计数不再累加,该报文被认为是重复的网络风暴报文。如果帧时间间隔大于等于时间门槛T,则把流量计数复位为0,判定报文为非网络风暴流量,判别流程如图2所示。
对于被识别出来的重复的网络风暴报文的处理,可以根据不同的应用方案进行不同的处理,选择直接丢弃或是网卡上暂时屏蔽对应MAC地址报文的接收。
本发明的网络风暴检测方法,占用的计算资源较少、内存资源较小,不受报文类型和流量的限制,不影响正常业务报文的接收处理,网络风暴判别时间固定,具有简单高效的特点,易于通过FPGA、C语言等是各种编程方法实现。
本发明的一种网络风暴快速检测装置的实施例,包括以下单元:
检测单元:用于采集一帧报文,若所述报文与前一帧具有相同CRC的报文之间的时间间隔小于设定的时间门槛T,则对CRC对应的报文流量进行累加;
判定单元:用于若累加后的流量超过设定的流量门槛Fmax时,判定所述报文是网络风暴报文。
上述实施例中所指的网络风暴快速检测装置,实际上是基于本发明方法流程的一种计算机解决方案,即一种软件构架,上述装置即为与方法流程相对应的处理进程。由于对上述方法的介绍已经足够清楚完整,而本实施例声称的装置实际上是一种软件构架,故不再详细进行描述。

Claims (10)

1.一种网络风暴快速检测方法,其特征在于,包括以下步骤:
1)采集一帧报文,若所述报文与前一帧具有相同CRC的报文之间的时间间隔小于设定的时间门槛T,则对CRC对应报文的流量进行累加;
2)若累加后的流量超过设定的流量门槛Fmax时,判定所述报文是网络风暴报文。
2.根据权利要求1所述的网络风暴快速检测方法,其特征在于,若所述报文之间的时间间隔大于等于设定的时间门槛T,或累加后的流量小于等于设定的流量门槛Fmax时,判定所述报文不是网络风暴报文。
3.根据权利要求1所述的网络风暴快速检测方法,其特征在于,通过Cache存储CRC信息。
4.根据权利要求3所述的网络风暴快速检测方法,其特征在于,所述Cache采用组相联结构,根据接收数据的规模和处理能力设置Cache的组数和路数。
5.根据权利要求4所述的网络风暴快速检测方法,其特征在于,所述路数的每一路为一个条目,每个条目包括组号、CRC、时标和流量计数值。
6.根据权利要求3所述的网络风暴快速检测方法,其特征在于,所述CRC信息中还包括用于定位组号的Cache索引位。
7.根据权利要求5所述的网络风暴快速检测方法,其特征在于,通过将报文的时标与相同CRC对应条目的时标做差确定所述时间间隔。
8.根据权利要求7所述的网络风暴快速检测方法,其特征在于,用当前报文的时标更新所述相同CRC对应条目的时标。
9.根据权利要求5所述的网络风暴快速检测方法,其特征在于,若当前报文没有与其具有相同CRC的条目,找到Cache中相应的组中的一路最旧条目,并用当前报文的以太网CRC、时标更新所述最旧条目中的CRC、时标,同时清除所述最旧条目中的流量计数值。
10.一种网络风暴快速检测装置,其特征在于,包括以下单元:
检测单元:用于采集一帧报文,若所述报文与前一帧具有相同CRC的报文之间的时间间隔小于设定的时间门槛T,则对CRC对应的报文流量进行累加;
判定单元:用于若累加后的流量超过设定的流量门槛Fmax时,判定所述报文是网络风暴报文。
CN201710096711.7A 2017-02-22 2017-02-22 一种网络风暴快速检测方法及装置 Pending CN106789448A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710096711.7A CN106789448A (zh) 2017-02-22 2017-02-22 一种网络风暴快速检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710096711.7A CN106789448A (zh) 2017-02-22 2017-02-22 一种网络风暴快速检测方法及装置

Publications (1)

Publication Number Publication Date
CN106789448A true CN106789448A (zh) 2017-05-31

Family

ID=58958476

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710096711.7A Pending CN106789448A (zh) 2017-02-22 2017-02-22 一种网络风暴快速检测方法及装置

Country Status (1)

Country Link
CN (1) CN106789448A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566294A (zh) * 2017-07-06 2018-01-09 中国南方电网有限责任公司 一种适用于iec62439标准的网络风暴抑制方法
CN107835067A (zh) * 2017-11-29 2018-03-23 长园深瑞继保自动化有限公司 基于可编程器件的goose报文接收风暴抑制方法
CN111988184A (zh) * 2020-08-31 2020-11-24 湘潭大学 一种基于态势感知的广播风暴检测与处理方法
CN112673602A (zh) * 2018-09-14 2021-04-16 华为技术有限公司 一种避免广播风暴的方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895446A (zh) * 2010-08-11 2010-11-24 广东省电力调度中心 广播风暴的检测方法与装置
CN103326963A (zh) * 2013-06-03 2013-09-25 麦康世 数字化变电站过程层数据交换装置
CN104065587A (zh) * 2014-06-30 2014-09-24 中国西电电气股份有限公司 基于fpga的智能变电站网络风暴处理模块及解决方法
CN104426687A (zh) * 2013-08-23 2015-03-18 南京南瑞继保电气有限公司 一种适用于数字化变电站二次设备的网络风暴过滤方法
CN104468392A (zh) * 2014-06-25 2015-03-25 许继电气股份有限公司 一种智能变电站过程层ied的网络风暴抑制方法
CN104539408A (zh) * 2014-12-30 2015-04-22 国电南瑞科技股份有限公司 具有报文多级滤清及业务分类控制的冗余工业以太网系统
CN104917705A (zh) * 2015-06-18 2015-09-16 国家电网公司 一种智能变电站过程层交换机的网络报文管理方法
CN105207817A (zh) * 2015-09-21 2015-12-30 中国南方电网有限责任公司 一种过程层设备抵御网络风暴的方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101895446A (zh) * 2010-08-11 2010-11-24 广东省电力调度中心 广播风暴的检测方法与装置
CN103326963A (zh) * 2013-06-03 2013-09-25 麦康世 数字化变电站过程层数据交换装置
CN104426687A (zh) * 2013-08-23 2015-03-18 南京南瑞继保电气有限公司 一种适用于数字化变电站二次设备的网络风暴过滤方法
CN104468392A (zh) * 2014-06-25 2015-03-25 许继电气股份有限公司 一种智能变电站过程层ied的网络风暴抑制方法
CN104065587A (zh) * 2014-06-30 2014-09-24 中国西电电气股份有限公司 基于fpga的智能变电站网络风暴处理模块及解决方法
CN104539408A (zh) * 2014-12-30 2015-04-22 国电南瑞科技股份有限公司 具有报文多级滤清及业务分类控制的冗余工业以太网系统
CN104917705A (zh) * 2015-06-18 2015-09-16 国家电网公司 一种智能变电站过程层交换机的网络报文管理方法
CN105207817A (zh) * 2015-09-21 2015-12-30 中国南方电网有限责任公司 一种过程层设备抵御网络风暴的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
黄曙等: "智能变电站网络风暴的监测和过滤算法研究", 《电力系统保护与控制》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566294A (zh) * 2017-07-06 2018-01-09 中国南方电网有限责任公司 一种适用于iec62439标准的网络风暴抑制方法
CN107835067A (zh) * 2017-11-29 2018-03-23 长园深瑞继保自动化有限公司 基于可编程器件的goose报文接收风暴抑制方法
CN112673602A (zh) * 2018-09-14 2021-04-16 华为技术有限公司 一种避免广播风暴的方法和装置
CN111988184A (zh) * 2020-08-31 2020-11-24 湘潭大学 一种基于态势感知的广播风暴检测与处理方法
CN111988184B (zh) * 2020-08-31 2023-02-10 湘潭大学 一种基于态势感知的广播风暴检测与处理方法

Similar Documents

Publication Publication Date Title
CN106789448A (zh) 一种网络风暴快速检测方法及装置
CN108183917B (zh) 基于软件定义网络的DDoS攻击跨层协同检测方法
CN101267313B (zh) 泛洪攻击检测方法及检测装置
CN103581186B (zh) 一种网络安全态势感知方法及系统
CN107231384A (zh) 一种面向5g网络切片的DDoS攻击检测防御方法及系统
CN108259194B (zh) 网络故障预警方法及装置
CN106561016A (zh) 一种基于熵的SDN控制器DDoS攻击检测装置和方法
CN104202336A (zh) 一种基于信息熵的DDoS攻击检测方法
CN103580905B (zh) 一种流量预测方法、系统及流量监测方法、系统
CN105429977A (zh) 基于信息熵度量的深度包检测设备异常流量监控方法
CN101841442A (zh) 一种在名址分离网络中对网络异常进行检测的方法
CN101051952A (zh) 高速多链路逻辑信道环境下的自适应抽样流测量方法
CN112235288A (zh) 一种基于gan的ndn网络入侵检测方法
CN107766204A (zh) 一种检查集群健康状态的方法和系统
CN105763387A (zh) 网络流量监控方法和装置
CN1658576A (zh) 一种大型网站数据流的检测与防御方法
CN113645182A (zh) 一种基于二次特征筛选的拒绝服务攻击随机森林检测方法
CN108600372A (zh) 一种基于多输电设备巡检装置与控制终端的信息交互系统
CN101335752B (zh) 一种基于频繁片段规则的网络入侵检测方法
CN109150920A (zh) 一种基于软件定义网络的攻击检测溯源方法
CN104065587B (zh) 基于fpga的智能变电站网络风暴处理模块及解决方法
CN107271133A (zh) 一种基于无线传感器网络的风沙监测系统
CN1933510A (zh) 一种通过分析电路通话时长检测电路单通的方法
CN106408936A (zh) 一种基于手机数据的高速公路异常事件实时检测方法
CN103269337B (zh) 数据处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170531