CN1282331C - 一种实现异常流量控制的装置及方法 - Google Patents
一种实现异常流量控制的装置及方法 Download PDFInfo
- Publication number
- CN1282331C CN1282331C CN 200310101710 CN200310101710A CN1282331C CN 1282331 C CN1282331 C CN 1282331C CN 200310101710 CN200310101710 CN 200310101710 CN 200310101710 A CN200310101710 A CN 200310101710A CN 1282331 C CN1282331 C CN 1282331C
- Authority
- CN
- China
- Prior art keywords
- bag
- flow
- forwarding engine
- control
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种实现异常流量控制的装置及方法,尤其涉及在通信数据转发设备中控制异常流量的一种处理方法。本发明由两个功能模块组成,转发引擎负责数据的转发和实际的流量检测、控制处理,流量分析单元根据转发引擎送来的包进行统计分析,并利用分析结果来设置转发引擎,控制转发引擎的行为。所述方法中的实时分析采用采样方式,即对某段时间内的短包去分析,而不是持续动态的进行分析。本发明大大降低了处理工作量,并且保证了转发引擎的转发性能,其可以对现有网络环境下的最常见的异常流量进行控制,在数据通讯领域有较强的实用价值。
Description
技术领域
本发明涉及一种实现异常流量控制的装置及方法,尤其涉及在通信数据转发设备中控制异常流量的一种处理方法,本发明在数据通讯领域有较强的实用价值。
背景技术
在数据通信转发设备如交换机、路由器的工作中,如果在某时间通过转发设备的流量超出了设备的处理能力,就会引起拥塞,这时吞吐量会随着负载的增加而减少,通信性能下降。
DOS(拒绝服务)攻击是影响网络安全和性能的一种重要原因,它向被攻击设备发送大量的攻击数据报文来消耗攻击对象的有限资源,如果转发设备本身是被攻击目标,就可能失去正常工作能力;如果是中间设备,也会因为通过的异常流量占用了大量的带宽而影响其他正常流的工作。
在网络转发设备中进行对DOS之类的异常流量的控制,对于保证整个网络的性能有着重要的意义。
在现有技术中,有一些进行DOS攻击防范的技术,例如在申请号为01139036.0,名称为“旁路式拒绝服务攻击的侦测与缓解的方法”的中国专利介绍了防止某种DOS攻击的方法,它只适用于已经知道的某种异常情况,并且只能用于被攻击对象,不能用于中间转发设备。
现有的一些流量控制技术,如申请号为00130367.8,名称为“一种基于随机早期检测的逐节拥塞控制方法”的中国专利,属于一种包丢弃方法,主要是对通过转发设备的数据包的丢弃,让发送端根据丢包现象自动调整流量速率。这种方法依赖用户端的协作与配合,对于恶意攻击或对分组丢失不敏感的协议,该方法并不能独立地做到避免拥塞的发生。
其它的流量控制技术还有包过滤、流量分类等方法。
包过滤是在转发设备中设置一些规则来实现对异常包的过滤,由于其规则需要预先设置,不能应对实际的环境变化,很容易被攻击避开。
流量分类是一种比较理想的方法,主要是对通过转发设备的数据流进行分类,对不同的流进行带宽控制。但是由于缺乏统一的分类标准,而且这种方法过于复杂,导致实际上很难实现,即使用上了,也会因为在转发引擎做实时分析对转发性能的影响太大,实用价值不高。
综上所述,现有的方法或者难以达到对网络中的异常流量实时分析控制,或者不能保持转发设备的转发性能,有必要进行改进。
发明内容
本发明所要解决的技术问题在于提供一种实现数据转发设备进行异常流量控制的方法,可以方便的实时分析出网络流量中的异常情况,进行控制,并保证设备的转发性能。
对DOS攻击等异常流量的统计分析数据表明,如DOS攻击之类的异常流量大多是定长的短包。正常的数据流中,可能会出现短包,如TCP(传输控制协议)的SYN(同步)报文,但正常的TCP连接能根据包丢失进行流量控制,而且正常的短报文一般不会出现长时间的定长包。因此对网络中持续的定长短包进行检测控制,是一种可行的异常流量控制方法,本发明就是基于这种思想。
本发明是这样实现的:
一种实现异常流量控制的装置,其特征在于:
该装置由转发引擎和流量分析单元两个功能模块组成;
所述转发引擎,用于数据的转发和实际的流量检测、控制处理,当所述装置的某个接收端口的流量超过预设的阈值时进行短包采样;带上附加的处理原因信息发送给流量分析单元;
所述流量分析单元,根据转发引擎发送来的包进行统计分析,并利用分析结果来设置转发引擎,控制转发引擎的行为。
所述流量分析单元所进行的实时分析采用采样方式,即对所述转发引擎发送来的某设定的时间段内的短包进行分析。
所述转发引擎进行如下处理:
转发引擎检测到某个接收端口的流量超过警戒阈值;
在接下来的某设定的时间段内,在进行正常的包处理的同时,将所处理的短包。发送给流量分析单元;
在第一个包附带上开始分析信息,最后的包带上结束信息,中间的包附带分析信息;
时间段结束,启动一个定时器,如果定时器还没到期收到了来自流量分析单元的控制信息,就重新启动定时器,进行流量控制;
定时器到期后,检查接收端口的流量,如果已经正常;取消流量限制;否则,重新进行采样处理。
所述流量控制可以通过设置过滤规则进行丢包来实现。
所述流量分析单元进行如下处理:
对于所收到的采样包,取每个包的长度和IP地址信息;
根据每个包的包长找到其对应的队列。递增包长对应的计数值,和上一次插入后的计数最大值、次大值、第三大的值进行比较并产生新值;
将长度统计结果最多的包根据每个包的IP地址信息将其插入队列中的适当位置,在插入时节点按IP地址排序;
如果在队列中没有该地址,插入节点,计数值设为1,如果已经有该地址,递增地址计数,将本队列和上一次插入后的计数最大值、次大值、第三大的值进行比较并产生新值;
采样包统计完毕,分析长度最大、地址最多的几种包占所有包的比例,如果某种包所占比例超过阈值,则认为是异常包,通知转发引擎对该类型的包进行控制。
一种实现异常流量控制的方法,包括如下步骤:
步骤一、转发引擎监视网络流量,在流量超过控制阈值时开始采样,把短包送到流量分析单元去分析;
步骤二、流量分析单元分析转发引擎送来的数据包,找出异常的流;
步骤三、流量分析单元设置转发引擎,对异常流进行控制;
步骤四、转发引擎启动检查定时器,在定时器到期后检查网络流量,如果流量仍超过控制阈值,重复步骤一,否则取消控制。
所述步骤二中进一步包括:
根据采样的起始和结束标志,取出收到的采样包中的长度值和IP地址;
根据包的长度对采样到的包进行归类,统计出样本中出现次数最多的几个包长度;
再对长度统计结果最多的包,按IP地址进行统计,找出出现次数最多的几个地址;
分析具有同样包长和IP地址的最多的包占所有样本包的比例,如果超出阈值,作为异常流量。
采用本发明所述方法,与现有技术相比,由于采取了专用的流量分析单元和对短包进行采样分析的技术,使得数据转发设备可以在实时环境下独立地进行流量分析,分析过程对转发引擎的负荷增加很少,从而保证转发引擎的转发性能,可以对现有网络环境下的最常见的异常流量进行控制。
附图说明
图1本发明所述装置的功能模块组成示意图;
图2本发明所述方法中转发引擎的处理流程图;
图3本发明所述方法中流量分析单元所用的数据结构;
图4本发明所述方法中流量分析单元的处理流程图。
具体实施方式
本发明所述装置由两个功能模块组成,转发引擎负责数据的转发和实际的流量检测、控制处理,流量分析单元根据转发引擎送来的包进行统计分析,并利用分析结果来设置转发引擎,控制转发引擎的行为。方法中的实时分析采用采样方式,即对某段时间内的短包去分析,而不是持续动态的进行分析,这样大大降低了处理工作量。
本发明所述在数据转发设备中进行异常流量控制的方法如下:
一、转发引擎监视网络流量,在流量超过控制阈值时开始采样,把短包送到流量分析单元去分析;
二、流量分析单元分析转发引擎送来的数据包,找出异常的流;
三、流量分析单元设置转发引擎,对异常流进行控制;
四、转发引擎启动检查定时器,在定时器到期后检查网络流量,如果流量仍超过控制阈值,重复步骤一,否则取消控制。
所述步骤二中进一步包括:
a、根据采样的起始和结束标志,取出收到的采样包中的长度值和IP(网际协议)地址;
b、根据包的长度对采样到的包进行归类,统计出样本中出现次数最多的几个包长度;
c、再对长度统计结果最多的包,按IP地址进行统计,找出出现次数最多的几个地址;
d、分析具有同样包长和IP地址的最多的包占所有样本包的比例,如果超出阈值,作为异常流量。
图1是本方法中所用的处理功能模块。转发引擎负责数据的转发和实际的流量检测、控制处理,它在所述装置的某个接收端口的流量超过预设的阈值时进行短包采样,带上附加的处理原因信息发送给流量分析单元,流量分析单元根据转发引擎发送来的包进行统计分析,并利用分析结果来设置转发引擎,控制转发引擎的行为。
图2是转发引擎的处理流程。转发引擎发现某个接收端口的流量超过警戒阈值,就开始实施流量控制措施。在接下来的时间段T内,在进行正常的包处理的同时,它将所处理的短包(IP包的长度在某个范围内),发送给流量分析单元。为了让流量分析单元知道采样的开始和结束,在第一个包附带上开始分析信息,最后的包带上结束信息,中间的包附带分析信息。过了时间段T,它启动一个定时器,如果定时器还没到期收到了来自流量分析单元的控制信息,就重新启动定时器,并根据要求采取流量限制措施,最普通的方式就是设置过滤规则进行丢包。定时器到期后;检查端口的流量,如果已经正常,取消流量限制;否则,重新进行采样处理。
图3是在流量分析单元上进行分析所采用的数据结构。从包中提取出的长度和地址信息按各自长度排成链表,链表中的节点表示不同的地址。在加入新的节点时对长度、地址进行计数,并统计每个长度中地址最多以及长度最多的几种情况。每个长度用表头节点中的指针域指向地址最多的几个节点,并用一个域来统计该长度总的包数量。
图4是流量分析单元处理流程。对于所收到的每个采样包,取包的长度和IP地址信息,为处理的简单起见,只取IP源地址。根据包长找到对应的队列,递增包长对应的计数值,和上一次插入后的计数最大值、次大值、第三大的值进行比较并产生新值。之后根据IP地址信息插入队列中的适当位置,为方便快速的查找和插入,在插入时节点按IP地址排序。如果在队列中没有该地址,插入节点,计数值设为1;如果已经有该地址,递增地址计数,对本队列和上一次插入后的计数最大值、次大值、第三大的值进行比较并产生新值。采样包统计完毕,分析长度最大、地址最多的几种包占所有包的比例,如果某种包所占比例超过阈值,则认为是异常包,通知转发引擎对该类型的包进行控制。
Claims (7)
1、一种实现异常流量控制的装置,其特征在于:
该装置由转发引擎和流量分析单元两个功能模块组成;
所述转发引擎,用于数据的转发和实际的流量检测、控制处理,当所述装置的某个接收端口的流量超过预设的阈值时进行短包采样,带上附加的处理原因信息发送给流量分析单元;
所述流量分析单元,根据转发引擎发送来的包进行统计分析,并利用分析结果来设置转发引擎,控制转发引擎的行为。
2、如权利要求1所述实现异常流量控制的装置,其特征在于:
所述流量分析单元所进行的实时分析采用采样方式,即对所述转发引擎发送来的某段时间内的短包进行分析。
3、如权利要求1或2所述实现流量控制的装置,其特征在于所述转发引擎进行如下处理:
转发引擎检测到某个接收端口的流量超过警戒阈值;
在接下来的某设定的时间段内,在进行正常的包处理的同时,将所处理的短包,发送给流量分析单元;
在第一个包附带上开始分析信息,最后的包带上结束信息,中间的包附带分析信息;
时间段结束,启动一个定时器,如果定时器还没到期收到了来自流量分析单元的控制信息,就重新启动定时器,进行流量控制;
定时器到期后,检查接收端口的流量,如果已经正常,取消流量限制;否则,重新进行采样处理。
4、如权利要求3所述实现流量控制的装置,其特征在于:所述流量控制可以通过设置过滤规则进行丢包来实现。
5、如权利要求1或2所述实现流量控制的装置,其特征在于所述流量分析单元进行如下处理:
对于所收到的采样包,取每个包的长度和IP地址信息;
根据每个包的包长找到其对应的队列,递增包长对应的计数值,和上一次插入后的计数最大值、次大值、第三大的值进行比较并产生新值;
将长度统计结果最多的包根据每个包的IP地址信息将其插入队列中的适当位置,在插入时节点按IP地址排序;
如果在队列中没有该地址,插入节点,计数值设为1,如果已经有该地址,递增地址计数,将本队列和上一次插入后的计数最大值、次大值、第三大的值进行比较并产生新值;
采样包统计完毕,分析长度最大、地址最多的几种包占所有包的比例,如果某种包所占比例超过阈值,则认为是异常包,通知转发引擎对该类型的包进行控制。
6、一种实现异常流量控制的方法,其特征在于,包括如下步骤:
步骤一、转发引擎监视网络流量,在流量超过控制阈值时开始采样,把短包发送到流量分析单元去分析;
步骤二、流量分析单元分析转发引擎发送来的数据包,找出异常的流;
步骤三、流量分析单元设置转发引擎,对异常流进行控制;
步骤四、转发引擎启动检查定时器,在定时器到期后检查网络流量,如果流量仍超过控制阈值,重复步骤一,否则取消控制。
7、如权利要求6所述实现异常流量控制的方法,其特征在于所述步骤二中进一步包括:
根据采样的起始和结束标志,取出收到的采样包中的长度值和IP地址;
根据包的长度对采样到的包进行归类,统计出样本中出现次数最多的几个包长度;
再对长度统计结果最多的包,按IP地址进行统计,找出出现次数最多的几个地址;
分析具有同样包长和IP地址的最多的包占所有样本包的比例,如果超出阈值,作为异常流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200310101710 CN1282331C (zh) | 2003-10-21 | 2003-10-21 | 一种实现异常流量控制的装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200310101710 CN1282331C (zh) | 2003-10-21 | 2003-10-21 | 一种实现异常流量控制的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1529462A CN1529462A (zh) | 2004-09-15 |
| CN1282331C true CN1282331C (zh) | 2006-10-25 |
Family
ID=34304199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200310101710 Expired - Fee Related CN1282331C (zh) | 2003-10-21 | 2003-10-21 | 一种实现异常流量控制的装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1282331C (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006279636A (ja) * | 2005-03-30 | 2006-10-12 | Hitachi Ltd | クライアント間通信ログの整合性保証管理システム |
| CN1330131C (zh) * | 2005-06-10 | 2007-08-01 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
| CN100384149C (zh) * | 2005-11-11 | 2008-04-23 | 上海交通大学 | 突发性异常网络流量的检测与监控方法 |
| CN100417142C (zh) * | 2005-12-22 | 2008-09-03 | 华为技术有限公司 | 将接口流量在多个网络处理器引擎中均担的方法 |
| CA2532699A1 (en) * | 2005-12-28 | 2007-06-28 | Ibm Canada Limited - Ibm Canada Limitee | Distributed network protection |
| CN101060531B (zh) * | 2007-05-17 | 2010-10-13 | 华为技术有限公司 | 网络设备攻击防范的方法和装置 |
| CN101640666B (zh) * | 2008-08-01 | 2012-06-06 | 北京启明星辰信息技术股份有限公司 | 一种面向目标网络的流量控制装置及方法 |
| CN102752213A (zh) * | 2012-07-12 | 2012-10-24 | 苏州阔地网络科技有限公司 | 一种网络会议漂移的实现方法及系统 |
| CN102811133B (zh) * | 2012-07-31 | 2015-04-01 | 苏州阔地网络科技有限公司 | 一种网络会议漂移控制的方法及系统 |
| CN102833153B (zh) * | 2012-07-31 | 2015-04-01 | 苏州阔地网络科技有限公司 | 一种网络会议漂移的控制方法及系统 |
| CN102801619B (zh) * | 2012-08-09 | 2015-04-01 | 苏州阔地网络科技有限公司 | 一种网络会议漂移处理方法及系统 |
| CN102820978B (zh) * | 2012-08-13 | 2015-04-01 | 苏州阔地网络科技有限公司 | 一种实现会议漂移的方法及系统 |
| CN102868777A (zh) * | 2012-09-12 | 2013-01-09 | 苏州阔地网络科技有限公司 | 一种会议漂移的控制方法及系统 |
| CN102868776B (zh) * | 2012-09-12 | 2015-05-27 | 苏州阔地网络科技有限公司 | 一种会议漂移的实现方法及系统 |
| CN105791248A (zh) * | 2014-12-26 | 2016-07-20 | 中兴通讯股份有限公司 | 网络攻击分析方法和装置 |
| CN106452941A (zh) * | 2016-08-24 | 2017-02-22 | 重庆大学 | 网络异常的检测方法及装置 |
| WO2018035765A1 (zh) * | 2016-08-24 | 2018-03-01 | 深圳天珑无线科技有限公司 | 网络异常的检测方法及装置 |
| CN112769857B (zh) * | 2021-01-22 | 2022-09-27 | 华迪计算机集团有限公司 | 一种用于电子政务外网的异常流量管控系统 |
-
2003
- 2003-10-21 CN CN 200310101710 patent/CN1282331C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1529462A (zh) | 2004-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1282331C (zh) | 一种实现异常流量控制的装置及方法 | |
| US7623466B2 (en) | Symmetric connection detection | |
| CN101800707B (zh) | 建立流转发表项的方法及数据通信设备 | |
| US9444749B2 (en) | Apparatus and method for selectively delaying network data flows | |
| CN101060531A (zh) | 网络设备攻击防范的方法和装置 | |
| CN101599963B (zh) | 网络疑似威胁信息筛选器及筛选处理方法 | |
| CN1697404A (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN101068229A (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
| CN101056222A (zh) | 一种深度报文检测方法、网络设备及系统 | |
| CN1863165A (zh) | 分组域网络中减少数据ip分片数量的方法 | |
| EP2073457A1 (en) | A method and apparatus for preventing igmp message attack | |
| CN101640594A (zh) | 一种在网络设备上提取流量攻击报文特征的方法和单元 | |
| CN108011865B (zh) | 基于流水印和随机采样的sdn流迹追踪方法、装置及系统 | |
| WO2009059504A1 (fr) | Procédé et système de défense contre des attaques tcp | |
| CN1889510A (zh) | 一种通过报文处理提高网络安全性的方法 | |
| CN101079746A (zh) | 宽带接入设备安全实现方法和装置 | |
| CN1897541A (zh) | 一种网络实现采样的方法 | |
| CN1878141A (zh) | 网络控制装置及其控制方法 | |
| CN103248605B (zh) | 一种基于ipv6的tcp流汇聚方法及系统 | |
| CN1889475A (zh) | 一种实时监控p2p应用所消耗带宽的方法 | |
| CN100502356C (zh) | 一种基于多级聚集的异常流量控制方法与系统 | |
| CN1741473A (zh) | 一种网络数据包有效性判定方法及系统 | |
| CN1767496A (zh) | 智能选择性的基于流的数据路径结构 | |
| CN1221099C (zh) | 通用分组无线业务中隧道数据包业务优先级控制方法 | |
| CN112260899A (zh) | 基于mmu的网络监测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20061025 Termination date: 20171021 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |