CN107566192B - 一种异常流量处理方法及网管设备 - Google Patents
一种异常流量处理方法及网管设备 Download PDFInfo
- Publication number
- CN107566192B CN107566192B CN201710971620.3A CN201710971620A CN107566192B CN 107566192 B CN107566192 B CN 107566192B CN 201710971620 A CN201710971620 A CN 201710971620A CN 107566192 B CN107566192 B CN 107566192B
- Authority
- CN
- China
- Prior art keywords
- network management
- management equipment
- abnormal flow
- abnormal
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 236
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000005111 flow chemistry technique Methods 0.000 title claims abstract description 15
- 241001269238 Data Species 0.000 claims description 26
- 239000000203 mixture Substances 0.000 claims description 10
- 238000009826 distribution Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 2
- 238000003860 storage Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 93
- 238000004364 calculation method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 241000700605 Viruses Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种异常流量处理方法及网管设备,涉及通信网络技术领域,以解决因SDN控制器逐个拒收异常数据包导致的SDN控制器的处理负荷增大、性能降低,且安全性降低的问题。所述方法包括:网管设备获取转发设备转发的数据包;所述网管设备确定异常数据包;所述网管设备根据所述异常流量,确定所述异常流量的异常流量分类向量;所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离;若所述欧式距离中,最小欧式距离小于第二阈值,则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型,并执行与所述流量攻击类型对应的防御措施。本申请提供的方案适于处理异常流量。
Description
技术领域
本申请涉及通信网络技术领域,尤其涉及一种异常流量处理方法及网管设备。
背景技术
软件定义网络(Software Defined Network,SDN)是一种新型网络架构,SDN将网络设备的控制平面和数据平面分离,之后SDN通过SDN控制器执行控制平面功能,且通过转发设备执行数据平面功能。其中,SDN控制器采用开放流(OpenFlow)协议更新OpenFlow流表,之后由转发设备根据OpenFlow流表中接收地址转发数据流量。若SDN控制器受到异常流量攻击,则使SDN控制器无法更新OpenFlow流表,这样数据流量无法转发到接收地址,就会导致网络瘫痪。
目前,SDN控制器将所有与OpenFlow流表中包头域不匹配的数据包确定为异常数据包,并拒收所有异常数据包。由于SDN控制器只能处理转发设备接收到的异常数据包,而通常每次异常流量攻击都由大量异常流量组成,每段异常流量中都包含大量异常数据包,逐个拒收异常数据包会大幅增加SDN控制器的处理负荷,从而降低了SDN控制器的性能,同时也降低了SDN控制器的安全性。
发明内容
本申请提供一种异常流量处理方法及网管设备,用于解决因SDN控制器逐个拒收异常数据包导致的SDN控制器的处理负荷增大、性能降低,且安全性降低的问题。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种异常流量处理方法,该方法包括:
网管设备获取转发设备转发的数据包,其中,指定时间内接收到的数据包组成数据流量;
所述网管设备确定异常数据包,其中,所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包,所述异常数据包组成的数据流量为异常流量;
所述网管设备根据所述异常流量,确定所述异常流量的异常流量分类向量,所述异常流量分类向量用于反映所述异常流量的攻击类型;
所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离;
若所述欧式距离中,最小欧式距离小于第二阈值,则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型,并执行与所述流量攻击类型对应的防御措施。
第二方面,本申请提供一种网管设备,
所述网管设备,用于获取转发设备转发的数据包,其中,指定时间内接收到的数据包组成数据流量;
所述网管设备,还用于确定异常数据包,其中,所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包,所述异常数据包组成的数据流量为异常流量;
所述网管设备,还用于根据所述异常流量,确定所述异常流量的异常流量分类向量,所述异常流量分类向量用于反映所述异常流量的攻击类型;
所述网管设备,还用于确定所述异常流量分类向量与每个参考流量分类向量的欧式距离;
所述网管设备,还用于若所述欧式距离中,最小欧式距离小于第二阈值,则将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型,并执行与所述流量攻击类型对应的防御措施。
本申请提供的异常流量处理方法及网管设备,相比较于现有技术中由SDN控制器独自完成数据包的匹配过程与异常数据包的处理过程,本申请利用与SDN控制器连接的网管设备处理异常流量,减轻了SDN控制器的处理负荷,提升了SDN控制器的性能;并且,相比较于现有技术中SDN控制器逐个处理异常流量攻击产生的所有异常数据包,本申请中网管设备能够分析异常流量,并识别出异常流量的攻击类型,之后网管设备能够针对异常流量的攻击类型采取相应的防御措施,从源头上阻断异常数据包的产生,这样就减少了SDN控制器所需处理的异常数据包的数量,减轻了SDN控制器的处理负荷,同时提高了SDN控制器的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种异常流量处理系统的结构示意图;
图2为本发明实施例提供的一种异常流量处理方法的流程图;
图3为本发明实施例提供的另一种异常流量处理方法的流程图;
图4为本发明实施例提供的另一种异常流量处理方法的流程图;
图5为本发明实施例提供的另一种异常流量处理方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本发明实施例提供一种异常流量处理方法,该方法应用于一种网管设备21,如图1所示,该网管设备21至少包括基础功能模块211、安全管理模块212和告警模块213,基础功能模块211用于实现拓扑管理等功能;安全管理模块212用于实现流量数据的采集与处理等功能;告警模块213用于在安全管理模块检测出异常流量之后,发出告警信息并采取防御措施。网管设备21与SDN可以组成异常流量处理系统20,其中,SDN由SDN控制器22,以及至少两个转发设备23组成,SDN具有南向接口、北向接口以及东西向接口,SDN控制器22通过东西向接口与网管设备21连接,实现与网管设备21的信息交互;转发设备23通过南向接口与网管设备21连接,以供网管设备21获取流量数据。其中,如图2所示,该方法由网管设备21完成,该方法流程包括:
步骤101、网管设备获取转发设备转发的数据包。
其中,指定时间内接收到的数据包组成数据流量。
需要说明的是,网管设备21获取转发设备23所转发的数据包,并且记录数据流量中每个数据包的获取时间,之后网管设备21将指定时间内接收到的数据包确定为数据流量。其中,指定时间可以人为设定,如30秒或者1分钟等。在设置指定时间时,可以根据网管设备21接收数据包的频率来确定,若网管设备21接收数据包的频率较高,则可以设置较短的指定时间,以避免组成数据流量的数据包数量过多,使得网管设备21需要分析大量数据包才能确定该数据流量是否为异常流量;若网管设备21接收数据包的频率较低,则可以设置较长的指定时间,以避免因组成数据流量的数据包数量过少,网管设备21无法获取充足的数据包来确定数据流量是否为异常流量,且无法确定异常流量的攻击类型。
步骤102、网管设备确定异常数据包。
其中,异常数据包用于表示空间中与数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包,异常数据包组成的数据流量为异常流量。
其中,空间由七个维度数据中至少四个维度数据构成,七个维度数据包括源互联网协议(Internet Protocol,IP)地址、源端口地址、目的IP地址、目的端口地址、入度、出度和流大小,入度用于表示目的IP地址对应的接收端设备在指定时间中接收数据包的概率,出度用于表示源IP地址对应的发送端设备在指定时间中发送数据包的概率,流大小用于表示网管设备在指定时间的各个单位时间中,接收到数据流量的分布变化。需要说明的是,一个转发设备具有一个IP地址以及多个端口地址。
需要说明的是,在本发明实施例中,还可以采用聚类分析的方法,利用聚类算法确定异常数据包。聚类分析用于将物理或抽象对象分组为由类似对象组成的多个类,聚类算法用于执行上述分类过程,其中,每个相似对象组成的类被称为一个簇。在使用聚类算法进行分类的过程中,数据点被分为三类,分别为核心点、边界点和噪音点。噪音点不被包含在任何簇中,也就意味着,噪音点与其他任何点不具有相似特征,因此,将噪音点确定为异常点。聚类分析与聚类算法均是成熟的分析方法,现有技术中也具有多种聚类算法,在此不做赘述。
在本发明实施例中采用聚类算法时,可以将数据流量中的每个数据包作为一个数据点,通过聚类算法确定数据流量中所有数据包对应的数据点中的异常点,异常点对应的数据包即为异常数据包。
步骤103、网管设备根据异常流量,确定异常流量的异常流量分类向量。
其中,异常流量分类向量用于反映异常流量的攻击类型。
步骤104、网管设备确定异常流量分类向量与每个参考流量分类向量的欧式距离。
需要说明的是,参考流量分类向量用于表示已知攻击类型的异常流量对应的流量分类向量。
已知攻击类型至少包括端口扫描类攻击、拒绝服务(Denial of Service,DoS)攻击、分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、病毒类攻击等。
欧式距离用于表示空间中两个点之间的距离,以下以七维空间中,异常流量分类向量为Pc=(c1,c2,c3,c4,c5,c6,c7),参考流量分类向量为Pe=(e1,e2,e3,e4,e5,e6,e7)为例,介绍欧式距离的计算方法:
其中,D用于表示欧式距离;Pc用于表示异常流量分类向量,c1,c2,c3,c4,c5,c6,c7用于表示异常流量分类向量中的各个元素;Pe用于表示参考流量分类向量,e1,e2,e3,e4,e5,e6,e7用于表示参考流量分类向量中的各个元素。
步骤105、若欧式距离中,最小欧式距离小于第二阈值,则网管设备将最小欧式距离对应的参考流量分类向量对应的攻击类型确定为异常流量的流量攻击类型,并执行与流量攻击类型对应的防御措施。
需要说明的是,欧式距离越小,则异常流量与默认流量分类向量对应的已知攻击类型的异常流量越相似。第二阈值用于区分已知攻击类型与未知攻击类型,即当最小欧式距离小于第二阈值时,能够确定异常流量的攻击类型为已知攻击类型中的一种;当最小欧式距离大于或等于第二阈值时,异常流量分类向量的攻击类型不是已知攻击类型中的任何一个,也就是未知攻击类型。
在本发明实施例中,防御措施用于阻止异常数据包的产生,也就阻止了异常流量攻击SDN控制器。例如,针对DoS攻击,采取的防御措施为拒绝接收从源IP地址发出的所有数据包;针对DDoS攻击,采取的防御措施为拒绝接收从异常流量所属的所有IP地址的数据包;针对端口扫描类攻击,采取的防御措施为关闭源端口;针对病毒类攻击,采取的防御措施为拒绝接收所有数据流量。
在本发明实施例中,网管设备21在确定异常数据包,以及异常流量的攻击类型之后,向SDN控制器22发送异常流量中每个异常数据包的标识以及流量攻击类型,以便于SDN控制器22根据异常数据包的标识确定并处理异常数据包。其中,每组七个维度数据可以作为异常数据包的标识。
除了网管设备21确定异常数据包之后向SDN控制器22发送异常数据包的标识之外,网管设备21还可以周期性向SDN控制器22发送异常流量检测结果。例如,若在一个周期中不存在异常流量,则网管设备21向SDN控制器22发送“无异常流量”这一异常流量检测结果;若检测到异常流量,则网管设备21立即向SDN控制器22发送异常流量中每个异常数据包的四元组信息以及流量攻击类型,并在这一个周期结束时,向SDN控制器22发送在该周期中出现的所有异常流量的攻击类型。
本发明实施例利用与SDN控制器连接的网管设备处理异常流量,减轻了SDN控制器的处理负荷,提升了SDN控制器的性能;并且,相比较于现有技术中SDN控制器逐个处理异常流量攻击产生的所有异常数据包,本发明实施例中网管设备能够分析异常流量,并识别出异常流量的攻击类型,之后网管设备能够针对异常流量的攻击类型采取相应的防御措施,从源头上阻断异常数据包的产生,这样就减少了SDN控制器所需处理的异常数据包的数量,减轻了SDN控制器的处理负荷,同时提高了SDN控制器的安全性。
为了对异常流量进行分类,在本发明实施例的一个实现方式中,需要确定用于分类的参数异常流量分类向量,因此,在如图2所示的实现方式的基础上,还可以实现为如图3所示的实现方式。其中,步骤103网管设备根据异常流量,确定异常流量的异常流量分类向量,可以具体执行为步骤1031至步骤1033:
步骤1031、网管设备从异常流量中每个数据包中提取七个维度数据。
需要说明的是,每个数据包中都具有用于与OpenFlow流表中包头域匹配的十二元组数据,十二元组数据中包括源IP地址、源端口地址、目的IP地址、目的端口地址、入端口、源媒体访问控制(Media Access Control,MAC)地址、目的MAC地址、以太网类型、虚拟局域网(Virtual Local Area Network,VLAN)账号(identity,ID)、VLAN优先级、IP协议、IP服务条款(terms of service,TOS)位。七个维度数据中的四个维度数据,即源IP地址、源端口地址、目的IP地址和目的端口地址,可以直接从数据包中的十二元组数据中获取,入度、出度和流大小则分别通过数据包的发送时间、接收端转发设备接收数据包的接收时间,以及网管设备接收数据包的接收时间来反映。
步骤1032、网管设备根据七个维度数据,计算七个维度数据中每个维度数据的熵值。
根据所有数据流量中每个数据包的发送时间、接收端转发设备接收数据包的接收时间,以及网管设备21接收数据包的接收时间,网管设备21能够统计一段时间中,从每个端口地址或每个IP地址发送和接收到的数据包的数量。
源端口地址、目的端口地址、源IP地址和目的IP地址计算熵值的方法相似,下面以源端口地址的熵值计算方法为例,说明源端口地址、目的端口地址、源IP地址和目的IP地址的熵值计算方法:
①、计算第i个源端口发出数据包的概率P(i)
其中,P(i)用于表示在指定时间中,第i个源端口发出数据包的概率;y用于表示在指定时间中,从第i个源端口发出数据包的个数;A用于表示指定时间中,所有转发设备中所有源端口发出的数据包总数量。
②、计算熵值s
其中,s用于表示熵值;n用于表示转发设备具有的源端口数量。
入度和出度用于评估转发设备之间的数据包交换行为,入度和出度的计算方法相似,下面以入度为例,说明入度和出度的熵值计算方法:
①、计算第x个转发设备与其他转发设备发生数据包交互行为的概率P(x)
其中,P(x)用于表示指定时间中,第x个转发设备与其他转发设备发生数据包交互行为的概率;r用于表示指定时间中,与第x个转发设备发生数据包交互行为的转发设备的数量;m用于表示转发设备的总数量。
②、计算熵值s
其中,s用于表示熵值。
流大小用于描述指定时间中,每个子时间段数据流量的分布变化,子时间段可以由人为设置,如3秒,5秒等均可以作为一个子时间段,但需要说明的是,指定时间包括至少两个子时间段。流大小的熵值计算方法如下:
①、计算网管设备中数据包的通过概率P(t)
其中,P(t)用于表示第t个子时间段中,网管设备接收到数据包的概率;k表示第t个子时间段中,网管设备接收到数据包的数量;K表示指定时间中,网管设备接收到数据包的总数量。
②、计算熵值s
其中,s用于表示熵值,l用于表示该指定时间中子时间段的数量。
步骤1033、网管设备将每个维度数据的熵值作为异常流量分类向量中的元素,得到异常流量分类向量。
需要说明的是,每个维度数据的熵值的取值范围均为[0,1],越接近于0越趋于正常,越接近于1越趋于异常。
异常流量分类向量用P=(s1,s2,s3,s4,s5,s6,s7)来表示,其中,s1,s2,s3,s4,s5,s6,s7分别表示源端口地址、目的端口地址、源IP地址、目的IP地址、入度、出度和流大小的熵值。
本发明实施例可以在确定异常流量之后,通过提取七个维度数据以及计算熵值的方法确定了异常流量的异常流量分类向量,从源端口地址、目的端口地址等七个方面综合衡量异常流量,提高了异常流量分类的准确性。
为了方便对异常流量进行分类,在本发明实施例的一个实现方式中,需要预先设置用于与异常流量进行匹配的已知攻击类型的参考流量分类向量,因此,在如图2或图3所示的实现方式的基础上,以图2为例,还可以实现为如图4所示的实现方式。其中,在执行步骤104网管设备确定异常流量分类向量与每个参考流量分类向量的欧式距离之前,还可以执行步骤106和步骤107:
步骤106、网管设备获取已知攻击类型的异常流量。
需要说明的是,网管设备21可以从数据库中获取已知攻击类型的异常流量,数据库可以设置在网管设备21中,也可以设置在其他具有存储功能且与网管设备21具有连接关系的装置中。在数据库中,每种已知攻击类型都对应至少一组异常流量。
步骤107、网管设备计算每种已知攻击类型的异常流量的参考流量分类向量,并存储每种已知攻击类型与参考流量分类向量的对应关系。
在本发明实施例中,网管设备21先计算已知攻击类型对应的参考流量分类向量,之后就能够直接将异常流量分类向量与参考流量分类向量进行比对,从而确定异常流量的攻击类型,减少了网管设备21识别异常流量所需的时间,提高了异常流量的识别效率。
为了保证对于异常流量分类的准确性,在本发明实施例的一个实现方式中,需要筛选出与已知攻击类型相似程度小的异常流量,因此,在如图4所示的实现方式的基础上,还可以实现为如图5所示的实现方式。其中,在执行步骤104网管设备确定异常流量分类向量与每个参考流量分类向量的欧式距离之后,还可以执行步骤108和步骤109:
步骤108、若最小欧式距离大于或等于第二阈值,则网管设备将异常流量确定为未知类型异常流量。
需要说明的是,在本发明实施例中,若最小欧式距离仍大于或等于距离阈值,说明该异常流量的攻击类型与所有已知攻击类型的相似程度较小,也就意味着,该异常流量不属于已知攻击类型中的任意一种,因此,网管设备21将该异常流量确定为未知类型异常流量。
步骤109、在确定未知类型异常流量的攻击类型以及对应的防御措施后,网管设备存储未知类型异常流量的攻击类型、异常流量分类向量、以及防御措施两两之间的对应关系。
需要说明的是,可以人为确定异常流量的攻击类型,或者网管设备21自行分析确定异常流量的攻击类型,确定未知异常流量的攻击类型时,可采用现有技术中已有的方法,在此不再赘述。
在本发明实施例中,网管设备通过一步步学习,将被人为或采用其他方式判断出的异常流量攻击类型与异常流量分类向量存储至数据库中,增加了数据库中存储的异常流量攻击类型的种类,在后续将异常流量分类的过程中,若存在相同攻击类型的异常流量,可直接按照数据库中给出的异常流量攻击类型进行分类,节省了分类时间,提高了分类效率;并且,若在后续过程中,SDN控制器受到该异常流量的攻击,网管设备能够迅速执行相应的防御措施,减轻该异常流量对SDN控制器的威胁,从而提高SDN控制器的安全性。
本发明实施例提供一种网管设备21,如图1所示,该网管设备21可以用于执行如图2至图5所示的方法流程。
网管设备21,用于获取转发设备23转发的数据包,其中,指定时间内接收到的数据包组成数据流量。
网管设备21,还用于确定异常数据包,其中,异常数据包用于表示空间中与数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包,异常数据包组成的数据流量为异常流量。
其中,空间由七个维度数据中至少四个维度数据构成,七个维度数据包括源互联网协议IP地址、源端口地址、目的IP地址、目的端口地址、入度、出度和流大小,入度用于表示目的IP地址对应的接收端设备在指定时间中接收数据包的概率,出度用于表示源IP地址对应的发送端设备在指定时间中发送数据包的概率,流大小用于表示网管设备21在指定时间的各个单位时间中,接收到数据流量的分布变化。
网管设备21,还用于根据异常流量,确定异常流量的异常流量分类向量,异常流量分类向量用于反映异常流量的攻击类型。
网管设备21,还用于确定异常流量分类向量与每个参考流量分类向量的欧式距离。
网管设备21,还用于若欧式距离中,最小欧式距离小于第二阈值,则将最小欧式距离对应的参考流量分类向量对应的攻击类型确定为异常流量的流量攻击类型,并执行与流量攻击类型对应的防御措施。
在本发明实施例的一个实现方式中,网管设备21,还用于从异常流量中每个数据包中提取七个维度数据。
网管设备21,还用于根据七个维度数据,计算七个维度数据中每个维度数据的熵值。
网管设备21,还用于将每个维度数据的熵值作为异常流量分类向量中的元素,得到异常流量分类向量。
在本发明实施例的一个实现方式中,网管设备21,还用于获取已知攻击类型的异常流量。
网管设备21,还用于计算每种已知攻击类型的异常流量的参考流量分类向量,并存储每种已知攻击类型与参考流量分类向量的对应关系。
在本发明实施例的一个实现方式中,网管设备21,还用于若最小欧式距离大于或等于第二阈值,则将异常流量确定为未知类型异常流量。
网管设备21,还用于在确定未知类型异常流量的攻击类型以及对应的防御措施后,存储未知类型异常流量的攻击类型、异常流量分类向量、以及防御措施两两之间的对应关系。
本发明实施例提供的网管设备,相比较于现有技术中由SDN控制器独自完成数据包的匹配过程与异常数据包的处理过程,本发明实施例利用与SDN控制器连接的网管设备处理异常流量,减轻了SDN控制器的处理负荷,提升了SDN控制器的性能;并且,相比较于现有技术中SDN控制器逐个处理异常流量攻击产生的所有异常数据包,本发明实施例中网管设备能够分析异常流量,并识别出异常流量的攻击类型,之后网管设备能够针对异常流量的攻击类型采取相应的防御措施,从源头上阻断异常数据包的产生,这样就减少了SDN控制器所需处理的异常数据包的数量,减轻了SDN控制器的处理负荷,同时提高了SDN控制器的安全性。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何在本发明揭露的技术范围内的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (6)
1.一种异常流量处理方法,其特征在于,所述方法包括:
网管设备获取转发设备转发的数据包,其中,指定时间内接收到的数据包组成数据流量;
所述网管设备确定异常数据包,其中,所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包,所述异常数据包组成的数据流量为异常流量;所述空间由七个维度数据中至少四个维度数据构成;
所述网管设备根据所述异常流量,确定所述异常流量的异常流量分类向量,所述异常流量分类向量用于反映所述异常流量的攻击类型;
所述网管设备根据所述异常流量,确定所述异常流量的异常流量分类向量,包括:
所述网管设备从所述异常流量中每个数据包中提取所述七个维度数据;
所述网管设备根据所述七个维度数据,计算所述七个维度数据中每个维度数据的熵值;所述七个维度数据包括源互联网协议IP地址、源端口地址、目的IP地址、目的端口地址、入度、出度和流大小,所述入度用于表示所述目的IP地址对应的接收端设备在所述指定时间中接收数据包的概率,所述出度用于表示所述源互联网协议IP地址对应的发送端设备在所述指定时间中发送数据包的概率,所述流大小用于表示所述网管设备在所述指定时间的各个单位时间中,接收到数据流量的分布变化;
所述网管设备将所述每个维度数据的熵值作为所述异常流量分类向量中的元素,得到所述异常流量分类向量;
所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离;
若所述欧式距离中,最小欧式距离小于第二阈值,则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型,并执行与所述流量攻击类型对应的防御措施。
2.根据权利要求1所述的方法,其特征在于,在所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离之前,所述方法还包括:
所述网管设备获取已知攻击类型的异常流量;
所述网管设备计算每种已知攻击类型的异常流量的参考流量分类向量,并存储每种已知攻击类型与参考流量分类向量的对应关系。
3.根据权利要求2所述的方法,其特征在于,在所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离之后,所述方法还包括:
若所述最小欧式距离大于或等于所述第二阈值,则所述网管设备将所述异常流量确定为未知类型异常流量;
在确定所述未知类型异常流量的攻击类型以及对应的防御措施后,所述网管设备存储所述未知类型异常流量的攻击类型、异常流量分类向量、以及防御措施两两之间的对应关系。
4.一种网管设备,其特征在于,
所述网管设备,用于获取转发设备转发的数据包,其中,指定时间内接收到的数据包组成数据流量;
所述网管设备,还用于确定异常数据包,其中,所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包,所述异常数据包组成的数据流量为异常流量;所述空间由七个维度数据中至少四个维度数据构成;所述七个维度数据包括源互联网协议IP地址、源端口地址、目的IP地址、目的端口地址、入度、出度和流大小,所述入度用于表示所述目的IP地址对应的接收端设备在所述指定时间中接收数据包的概率,所述出度用于表示所述源互联网协议IP地址对应的发送端设备在所述指定时间中发送数据包的概率,所述流大小用于表示所述网管设备在所述指定时间的各个单位时间中,接收到数据流量的分布变化;
所述网管设备,还用于根据所述异常流量,确定所述异常流量的异常流量分类向量,所述异常流量分类向量用于反映所述异常流量的攻击类型;
所述网管设备,还用于从所述异常流量中每个数据包中提取所述七个维度数据;
所述网管设备,还用于根据所述七个维度数据,计算所述七个维度数据中每个维度数据的熵值;
所述网管设备,还用于将所述每个维度数据的熵值作为所述异常流量分类向量中的元素,得到所述异常流量分类向量;
所述网管设备,还用于确定所述异常流量分类向量与每个参考流量分类向量的欧式距离;
所述网管设备,还用于若所述欧式距离中,最小欧式距离小于第二阈值,则将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型,并执行与所述流量攻击类型对应的防御措施。
5.根据权利要求4所述的网管设备,其特征在于,
所述网管设备,还用于获取已知攻击类型的异常流量;
所述网管设备,还用于计算每种已知攻击类型的异常流量的参考流量分类向量,并存储每种已知攻击类型与参考流量分类向量的对应关系。
6.根据权利要求5所述的网管设备,其特征在于,
所述网管设备,还用于若所述最小欧式距离大于或等于所述第二阈值,则将所述异常流量确定为未知类型异常流量;
所述网管设备,还用于在确定所述未知类型异常流量的攻击类型以及对应的防御措施后,存储所述未知类型异常流量的攻击类型、异常流量分类向量、以及防御措施两两之间的对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710971620.3A CN107566192B (zh) | 2017-10-18 | 2017-10-18 | 一种异常流量处理方法及网管设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710971620.3A CN107566192B (zh) | 2017-10-18 | 2017-10-18 | 一种异常流量处理方法及网管设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107566192A CN107566192A (zh) | 2018-01-09 |
| CN107566192B true CN107566192B (zh) | 2019-09-20 |
Family
ID=60986456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710971620.3A Active CN107566192B (zh) | 2017-10-18 | 2017-10-18 | 一种异常流量处理方法及网管设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107566192B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667804B (zh) * | 2018-04-08 | 2020-09-29 | 北京大学 | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 |
| CN110210507B (zh) * | 2018-10-29 | 2023-06-02 | 腾讯科技(深圳)有限公司 | 机器点击的检测方法、装置及可读存储介质 |
| CN110011983B (zh) * | 2019-03-19 | 2021-02-19 | 中国民航大学 | 一种基于流表特征的拒绝服务攻击检测方法 |
| CN110348715B (zh) * | 2019-06-28 | 2024-01-23 | 北京淇瑀信息科技有限公司 | 基于流量指标监测的渠道异常检测方法、装置和电子设备 |
| CN110795600A (zh) * | 2019-11-05 | 2020-02-14 | 成都深思科技有限公司 | 一种分布式网络流量的聚合降维统计方法 |
| CN110944016B (zh) * | 2019-12-25 | 2022-06-14 | 中移(杭州)信息技术有限公司 | DDoS攻击检测方法、装置、网络设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753381A (zh) * | 2009-12-25 | 2010-06-23 | 华中科技大学 | 一种检测网络攻击行为的方法 |
| CN103001825A (zh) * | 2012-11-15 | 2013-03-27 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和系统 |
| CN104933080A (zh) * | 2014-03-21 | 2015-09-23 | 中国移动通信集团湖北有限公司 | 一种确定异常数据的方法及装置 |
| CN105376260A (zh) * | 2015-12-18 | 2016-03-02 | 重庆邮电大学 | 一种基于密度峰值聚类的网络异常流量监测系统 |
| CN106972968A (zh) * | 2017-03-29 | 2017-07-21 | 北京理工大学 | 一种基于交叉熵联合马氏距离的网络异常流量检测方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100606372B1 (ko) * | 2004-12-06 | 2006-07-31 | 엘지노텔 주식회사 | 지지에스엔 시스템에서의 접속호관리 장치 및 그 방법 |
| CN103209169B (zh) * | 2013-02-23 | 2016-03-09 | 北京工业大学 | 一种基于fpga的网络流量过滤系统与方法 |
| CN103618744B (zh) * | 2013-12-10 | 2017-01-11 | 华东理工大学 | 一种基于快速knn算法的入侵检测方法 |
-
2017
- 2017-10-18 CN CN201710971620.3A patent/CN107566192B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753381A (zh) * | 2009-12-25 | 2010-06-23 | 华中科技大学 | 一种检测网络攻击行为的方法 |
| CN103001825A (zh) * | 2012-11-15 | 2013-03-27 | 中国科学院计算机网络信息中心 | Dns流量异常的检测方法和系统 |
| CN104933080A (zh) * | 2014-03-21 | 2015-09-23 | 中国移动通信集团湖北有限公司 | 一种确定异常数据的方法及装置 |
| CN105376260A (zh) * | 2015-12-18 | 2016-03-02 | 重庆邮电大学 | 一种基于密度峰值聚类的网络异常流量监测系统 |
| CN106972968A (zh) * | 2017-03-29 | 2017-07-21 | 北京理工大学 | 一种基于交叉熵联合马氏距离的网络异常流量检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107566192A (zh) | 2018-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107566192B (zh) | 一种异常流量处理方法及网管设备 | |
| Cui et al. | SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks | |
| Liu et al. | DDoS attack detection scheme based on entropy and PSO-BP neural network in SDN | |
| Xiao et al. | Detecting DDoS attacks against data center with correlation analysis | |
| CN102315974B (zh) | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 | |
| KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
| Shamsolmoali et al. | Statistical-based filtering system against DDOS attacks in cloud computing | |
| US20120099465A1 (en) | Method and its devices of network tcp traffic online identification using features in the head of the data flow | |
| Cheng et al. | Machine learning based low-rate DDoS attack detection for SDN enabled IoT networks | |
| EP2530874A1 (en) | Method and apparatus for detecting network attacks using a flow based technique | |
| CN103281293A (zh) | 一种基于多维分层相对熵的网络流量异常检测方法 | |
| CN111181971B (zh) | 一种自动检测工业网络攻击的系统 | |
| CN104618377A (zh) | 基于NetFlow的僵尸网络检测系统与检测方法 | |
| CN110213124A (zh) | 基于tcp多会话的被动操作系统识别方法及装置 | |
| Kaur et al. | Hybrid approach for detecting ddos attacks in software defined networks | |
| CN110011983B (zh) | 一种基于流表特征的拒绝服务攻击检测方法 | |
| CN114513340B (zh) | 一种软件定义网络中的两级DDoS攻击检测与防御方法 | |
| CN107302534A (zh) | 一种基于大数据平台的DDoS网络攻击检测方法及装置 | |
| CN106357660A (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
| CN104092588B (zh) | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 | |
| Park et al. | Software architecture for a lightweight payload signature-based traffic classification system | |
| CN113660209B (zh) | 一种基于sketch与联邦学习的DDoS攻击检测系统及应用 | |
| CN106534068A (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
| CN109347889A (zh) | 一种针对软件定义网络的混合型DDoS攻击检测的方法 | |
| CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |