CN102355452B - 一种滤除网络攻击流量的方法与装置 - Google Patents
一种滤除网络攻击流量的方法与装置 Download PDFInfo
- Publication number
- CN102355452B CN102355452B CN201110227452.XA CN201110227452A CN102355452B CN 102355452 B CN102355452 B CN 102355452B CN 201110227452 A CN201110227452 A CN 201110227452A CN 102355452 B CN102355452 B CN 102355452B
- Authority
- CN
- China
- Prior art keywords
- sample
- threshold values
- final threshold
- filtering
- initial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种滤除网络攻击流量的方法。该方法包括:获取网络流量的样本作为初始样本;将该初始样本平均值与初始样本标准差的三倍进行求和,求和运算得到的结果作为中间阀值;将大于所述中间阀值的样本滤除,得到剩余样本;根据剩余样本的平均值和标准差得到最终阀值,所述最终阀值为剩余样本平均值与剩余样本标准差的三倍之和;根据所述最终阀值对网络攻击流量进行滤除。与现有技术相比,本发明计算最终阀值的方法更为科学、准确,过滤攻击流量的效果更好。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种滤除网络攻击流量的方法与装置。
背景技术
随着互联网技术的发展,网络安全问题受到人们广泛关注。病毒、黑客等网络攻击层出不穷,人们想尽办法对付这些安全威胁。与这些常规的网络威胁不同的是日益发展起来的流量攻击,流量攻击采用超过***处理能力的大数据流方式让***崩溃或者压垮网络设备,常见的如DDos(分布式拒绝服务攻击),该种攻击由DOS(拒绝服务攻击)攻击发展而来,由于它通常以看似合法的身份在网络上传播数据,导致位于网络源端或目的端的检测器几乎无法识别这些异常的数据流,进而无法进行滤除操作。正是基于流量攻击这种攻击源相对集中、攻击手段灵活隐蔽、攻击对象范围广泛的特点,它日益成为网络安全的头号大敌。如何判别正常数据流量和攻击流量,并将攻击流量予以滤除,长期困扰着网络安全设备运营商。
尽管到现在为止还没有一种绝对行之有效的方法杜绝流量攻击的威胁,但人们已做过一些有益尝试。现有技术的普遍做法是先获取一个流量阀值,然后根据攻击流量与该流量阀值的大小关系启动攻击流量滤除设备,以实现攻击流量的滤除。对于阀值的计算,主要存在以下三种方法:(1)选取网络流量采样值的最大值作为阈值,该方法确定的阈值波动大、阈值高、易突变,起不到阈值的作用,且流量采样时不能有效排除对异常流量的采样;(2)选取流量采样值的平均值作为阈值,尽管该方法确定的阈值随流量波动变化相对缓慢,但该阈值只反映某段时间内的情况,无宏观特性,在流量采样时也不能排除对异常流量的统计;(3)将前后时刻的流量采样值通过加权计算阈值,该方法确定的阈值能减缓阈值随流量变化的波动幅度,具有一定的宏观性,但依然不能排除对异常流量的统计,且加权的权值除根据长期积累的经验确定外,几乎无法确定。由此可见,现有技术的方法对流量采样时,均无法规避掉异常流量的影响,因而计算出来的流量阀值通常难以反映出正常流量与异常流量的真实界限,进而降低了滤除异常流量的效果。
发明内容
有鉴于此,本发明的发明目的在于提供一种滤除网络攻击流量的方法与装置,该方法与装置通过分析网络攻击流量的分布规律,利用正态分布原理计算网络流量的阀值,并以该计算得到的阀值实现对网络攻击流量的滤除。
本发明提供的一种滤除网络攻击流量的方法包括:
获取网络流量的样本,该样本为第一初始样本;
将第一初始样本平均值与第一初始样本标准差的三倍进行求和,求和运算得到的结果作为第一中间阀值;
将第一初始样本中大于所述第一中间阀值的样本滤除,得到第一剩余样本;根据所述第一剩余样本的平均值和标准差得到第一最终阀值,所述第一最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和;
根据所述第一最终阀值对网络攻击流量进行滤除。
优选地,所述获取网络流量的样本包括:直接采集网络流量的样本以获取第一初始样本。
优选地,所述获取网络流量的样本包括:
采集网络流量的样本,该样本为第二初始样本;
将第二初始样本平均值与第二初始样本标准差的三倍进行求和,求和运算得到的结果作为第二中间阀值;
将第二初始样本中大于所述第二中间阀值的样本滤除,得到第二剩余样本;根据所述第二剩余样本的平均值和标准差得到第二最终阀值,所述第二最终阀值为第二剩余样本平均值与第二剩余样本标准差的三倍之和;
按照上述步骤获取多个第二最终阀值,将获得的第二最终阀值组成第一初始样本。
优选地,所述第二初始样本的样本数至少为30个。
优选地,所述方法还包括:在一个时间周期的一个时段内获取网络流量的样本,在下一个周期的相应时段内根据所述第一最终阀值对网络攻击流量进行过滤,所述时间周期至少包括两个时段。
优选地,所述第一初始样本的个数至少为30个。
本发明还提供了一种滤除网络攻击流量的装置,该装置包括:样本获取单元、第一中间阀值计算单元、第一最终阀值计算单元和攻击流量滤除单元,其中:
所述样本获取单元,用于获取网络流量的样本,该样本为第一初始样本;
所述第一中间阀值计算单元,用于将第一初始样本平均值与第一初始样本标准差的三倍进行求和,求和运算得到的结果作为第一中间阀值;
所述第一最终阀值计算单元,用于将第一初始样本中大于所述第一中间阀值的样本滤除,得到第一剩余样本;根据所述第一剩余样本的平均值和标准差得到第一最终阀值,所述第一最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和;
所述攻击流量滤除单元,用于根据所述第一最终阀值对网络攻击流量进行滤除。
优选地,所述样本获取单元直接采集网络流量以获取第一初始样本。
优选地,所述样本获取单元包括:第二初始样本采集子单元、第二中间阀值计算子单元、第二最终阀值计算子单元,其中:
所述第二初始样本采集子单元,用于采集网络流量的样本,该样本为第二初始样本;
所述第二中间阀值计算子单元,用于将第二初始样本平均值与第二初始样本标准差的三倍进行求和,求和运算得到的结果作为第二中间阀值;
所述第二最终阀值计算子单元,用于将第二初始样本中大于所述第二中间阀值的样本滤除,得到第二剩余样本;根据所述第二剩余样本的平均值和标准差得到第二最终阀值,所述第二最终阀值为第二剩余样本平均值与第二剩余样本标准差的三倍之和;
所述第一初始样本构建子单元,用于调用上述三个子单元以获取多个第二最终阀值,将获得的第二最终阀值组成第一初始样本。
优选地,所述第一初始样本的样本数至少为30个。
本发明的技术方案在获取网络流量的样本后,先求出一个中间阀值,根据该中间阀值将获取到的网络流量样本进行筛选,然后再在该筛选后的样本基础上求取最终阀值,以根据该最终阀值对网络攻击流量进行滤除。与现有技术相比,本发明一方面将获取的样本进行筛选处理,而不是直接将获取的样本用于计算最终阀值,因而可以很大程度上避免将那些代表攻击流量的样本引入进去,使得在处理后的样本基础上计算得到的最终阀值更加接近正常流量;另一方面通过样本的平均值和标准差计算得到最终阀值,而不是简单地以样本的最大值或平均值为最终阀值,这种方式采用了随机变量的正态分布规律,因而更加科学、准确,由此得到的最终阀值也更能起到滤除攻击流量的作用。
附图说明
图1为现有技术滤除攻击流量的方法的流程图;
图2为本发明的方法的一个实施例的流程图;
图3为本发明的方法的又一个实施例的流程图;
图4为本发明的装置的实施例的组成框图。
具体实施方式
本发明的主要思想是:在获取到网络流量的样本后,先对获得的样本空间进行数据筛查以便滤掉那些明显代表攻击流量的样本值,然后在处理后的样本基础上利用正态分布规律计算最终阀值,再根据该最终阀值对网络攻击流量进行过滤,从而实现本发明的发明目的。
为使本领域技术人员进一步了解本发明的特征及技术内容,下面结合附图和实施例,对本发明的技术方案进行详细描述。
前面已经提到,网络安全问题日益成为人们重点关注的问题。所谓的网络安全指的是网络的信息安全,包括网络***的硬件、软件及其***中数据的安全。引发网络安全威胁的原因较多,比如病毒、黑客、软件漏洞等都能对网络造成严重影响。网络病毒是编制或者在计算机程序中***的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,这些代码均由人为编写,消除网络病毒的方式是对异常程序代码进行监控,监控到后进行删除。黑客与之类似。本申请文件讨论的流量攻击与上述这些传统的网络安全因素不同,它通过大数据、大流量来压垮网络设备和服务器,即向攻击目标在短时间内发送大量攻击数据包,导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机,或者即使到达主机,也超出主机的数据处理能力,从而引起主机瘫痪。许多攻击使用源IP地址欺骗的方式,以合法数据的身份发起进攻,设置在网络源终端或目的终端的监控设备几乎无法识别,进而不能对之进行有效滤除。
然而,攻击数据包与正常的数据包本身尽管很难区别出来,但攻击数据流与正常数据流在流速上是存在差异的,通常而言,正常的数据流较为平稳和缓、波动幅度小,而异常数据流的流量大、来势猛,正是基于这些不同特点,现有的方式通常通过设定一个流量阀值,如果某时刻的网络流量大于该流量阀值的数据就被认为是攻击流量数据,进而启动流量滤除设备对之予以滤除;如果小于该流量阀值则被视为正常数据流,不采取滤除措施,其流程图请参见附图1。计算网络流量的阀值在现有技术中主要有计算平均值、选取最大值等方式,但是这些方式的基础是采样的流量样本,该流量样本中实际上既包含有正常数据包,也包括异常数据包,非正常数据包流量一定程度上“抑制”了计算出来的阀值发挥阀门作用,因此有必要对样本数据进行筛查处理,以便尽可能地取出那些攻击流量样本。同时,现有技术计算阀值的方式过于简单,缺乏科学依据,实践证明,通过上述方式计算的攻击流量阀值也不能真实地反映网络状况。
发明人在长期实践中发现:在较长的时段范围内,网络流量通常具有变化性、不可预测性和突发性等特点,也就是网络流量可以被视为随机变量,这些随机变量在一段时期内的变化特征符合正态分布规律,这为发明人解决现有技术的问题提供了重要启示。正态分布是概率论中最重要的一种分布,也是自然界最常见的一种分布,该分布由两个参数-均值μ和方差σ决定。正态分布的重要特性是正态分布的横轴与正态曲线之间的面积恒等于1,横轴区间(μ-σ,μ+σ)内的面积为68.268949%,说明随机变量中有超过68%的样本值均位于该区间,横轴区间(μ-2σ,μ+2σ)内的面积为95.449974%,横轴区间(μ-3σ,μ+3σ)内的面积为99.730020%,说明随机变量中有超过99%的样本值均位于该区间。在这种规律基础之上,本发明的实施例给出了一种滤除网络攻击流量的方法,参见附图2,该方法包括:
步骤S101:获取网络流量的样本,该样本为第一初始样本;
获取网络数据流量的样本一般而言,至少30个以上,根据实际情况,也可以增加,样本数量越多越能真实反映网络数据流量的真实情况;获取网络数据流量样本的方式可以直接采集网络流量得到第一初始样本,采集数据流量样本的速度取决于采样频率,频率大,采集到规定数量的样本量的完成时间短,频率小,采集到规定数量的样本量的完成时间长,采样频率可根据对攻击流量的过滤要求进行设置;为了滤除采集到的样本是受网络其他因素影响导致的明显非正常样本,可以对该样本进行预处理,比如对一段时间内采集到的多个样本进行平均运算,将平均运算的结果作为该段时间的一个数据流量样本;采集到的样本各个样本值可以数组形式进行存储,当数组的元素达到规定数量的样本数时停止采样,进入下面的步骤,未达到时,继续进行采样环节,直至获取到规定要求的样本数量。
步骤S102:将第一初始样本均值与第一初始样本标准差σ2的三倍进行求和,求和运算得到的结果作为第一中间阀值f(x);
众所周知,尽管存在攻击流量的问题,但是网络中的数据流量不可能一直是攻击流量,就较长的时间范围而言,网络中大部分时间数据流量是正常的,仅有极少时间内存在攻击流量,人们的愿望是根据那大部分时间内的正常流量计算网络流量阀值,这样最能真实地反映正常情况的网络流量情况,进而当有攻击流量存在时,根据该阀值便能容易地识别出来,但是,实际的网络运行过程中,清楚地分清何时流过的是正常流量、何时流过的是不正常流量(攻击流量)几乎不可能,通常情况,上述两者是兼而有之、这时,为了更加准确地获得后面最终阀值,有必要对这些包含有正常流量和不正常流量的样本空间进行适当处理,以让样本空间尽可能保留下正常流量时采集到的样本,因此,第一中间阀值计算的目的在于通过该中间阀值将样本数据中可能存在的攻击流量的样本给去除,以使得剩下的样本空间可以很大程度上代表正常流量的情况;为实现该目的,本步骤利用正态分布的规律,首先按照下述的公式(1)、(2)计算步骤S101采集到的样本的均值和标准差标准差,然后根据公式(3)得到第一中间阈值f(x)。
步骤S103:将第一初始样本中大于所述第一中间阀值的样本滤除,得到第一剩余样本;根据所述第一剩余样本的平均值和标准差得到第一最终阀值F(X),所述第一最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和;
按照上述步骤计算得到第一中间阀值f(x)后,将步骤S101采集到的样本值与f(x)进行比较,如果大于该f(x)值,则将该样本值给滤除,如果小于该f(x)值,则予以保留,并将剩余的样本值称为第一剩余样本;得到第一样本后再按照如步骤S102中的三个公式计算得到最终阀值F(X);这里之所以采用第一中间阀值进行样本滤除操作,原因在于攻击流量在较长的时间范围而言,它是小概率事件,它的样本值应当在正态分布规律的(μ+3σ)之外。
步骤S104:根据所述第一最终阀值F(X)对网络攻击流量进行过滤;
按照上述步骤获得F(X)后,即可将该阀值用于对网络攻击流量进行过滤:如果网络流量值小于该F(X),则认为该流量是正常流量,予以通行;如果网络流量值大于该F(X),则认为该流量是攻击流量,启动攻击流量滤除设备予以滤除。
本实施例的技术方案在获取得到的网络流量样本后,先求出一个中间阀值,根据该中间阀值将采集到的网络流量样本进行筛选,然后再在该筛选后的样本基础上求取最终阀值,以根据该最终阀值对网络攻击流量进行过滤。与现有技术相比,本发明一方面将获取到的样本进行筛选处理,而不是直接将获取的样本用于计算最终阀值,因而可以很大程度上避免将那些代表攻击流量的样本引入进去,使得在处理后的样本基础上计算得到的最终阀值更加接近正常流量;另一方面通过样本的平均值和标准差计算得到最终阀值,而不是简单地以样本的最大值或平均值为最终阀值,这种方式采用了随机变量的正态分布规律,因而更加科学、准确,由此得到的最终阀值也更能起到滤除攻击流量的作用。
上述实施例求取的最终阀值基于不同的样本空间得到的效果是不同的,如果该样本是通过直接采集网络流量获得的,那么上述这种在第一层次的样本基础上进行的网络流量分析仅是微观分析,得到的最终阀值只能反映某一时段内网络流量的情况,仅仅具有微观特性,如果攻击流量在更长的时间段内存在,按照上述实施例获得的最终阀值可能与真实情况发生较大的偏差,因而有必要对上述结果进行进一步的修正,以反映网络流量的宏观变化。修正的方式是间接(而非直接地)获取第一初始样本,将采用这种方式获得的样本空间作为计算上述阀值的基础。这种增加了对第一初始样本修正步骤的方法可构成本发明的又一个实施例。本实施例对上述实施例的步骤S101进行进一步细化,其他步骤相同,步骤编号进行相应调整。参见附图3,本实施例给出的获取第一初始样本的步骤包括:
步骤S2011:采集网络流量的样本,该样本为第二初始样本;
步骤S2012:将第二初始样本平均值与第二初始样本标准差的三倍进行求和,求和运算得到的结果作为第二中间阀值;
步骤S2013:将第二初始样本中大于所述第二中间阀值的样本滤除,得到第二剩余样本;根据所述第二剩余样本的平均值和标准差得到第二最终阀值,所述第二最终阀值为第二剩余样本平均值与第二剩余样本标准差的三倍之和;
步骤2014:按照上述步骤获取多个第二最终阀值,将获得的第二最终阀值组成第一初始样本;
此处的获得的第一初始样本是在直接采集网络流量得到的第二初始样本基础上计算得到,它与采用直接采集网络流量方式获取的第一初始样本相比,其性质已经发生较大变化,后者是原始的网络流量样本,是“第一手”数据,但是如上述所述该数据需要经过预处理、筛查过程等方式才能较为真实地反映网络流量;前者在第二初始样本基础上计算得到的第二最终阀值已能真实反映网络流量的局部情况,在流量攻击特点为短暂性、突发性时,利用该第二最终阀值也可实现较为准确地过滤网络流量,然而,对于流量攻击带有长期性、持续性特征时,“局部”特性就代表不了“全局”,本实施例将第二最终阀值作为第一初始样本的样本值,是由“局部”到“全局”的扩张,由“微观”到“宏观”的延伸,更好地应对具有上述特性的攻击流量的滤除问题;在通过计算方式获得第一初始样本时,第二初始样本的样本值为多个,一般选取至少30个,为了平衡结果的准确性与采集效率,该样本值也不宜过多。
本实施例在上一个实施例基础上对第一初始样本的获得方式进行了进一步优化,不仅从微观上考虑网络流量,还从宏观上考虑网络流量的变化,以应对更加复杂的情况。
上述两个实施例在获得最终阀值后,即可将最终阀值用于网络流量的过滤,实际上,在不同的时间周期中,在一个时间周期的某个时间段内进行数据采样获得的最终阀值,将它用于另一个时间周期的对应时段的效果将更好,而不是获得前一时段的最终阀值后,马上将其用于后一时段的攻击流量的过滤。因为根据大多数实践情况,存在这样一个规律,在一个时间周期的某时刻出现的网络流量与下一个时间周期对应时刻的网络流量的规律相似或相同,这为采取上述方式提供了依据。举例而言:假如在今天的9点到11点出现网络攻击的高峰期,网络的攻击流量满足一定的函数曲线,那么在明天的9点到11点出现类似或相同的网络攻击流量函数曲线的可能性极大,而不是在今天接下来的11点到13点出项相似或相同的攻击流量函数曲线,因此,将在今天9点到11点采集网络流量数据计算出来的最终阀值,用于在明天的9点到11点时间段内网络攻击流量的过滤,其效果将比用于今天11点到13点时间段内过滤攻击流量更好。上述过程即是:
在一个时间周的一个时段内获取多个第一最终阀值用于构建第二初始样本以得到第二最终阀值,在下一个周期的相应时段内根据所述第二最终阀值对网络攻击流量进行过滤,所述时间周期至少包括两个时段。
这里的时间周期至少包括两个时段的原因在于若果仅有一个时段上述比较将失去意义。现实应用采用,可以根据实际需要,将一个时间周期划分为更多的时间段,时间段越细,阀值计算的精确度越高,越有利于过滤攻击流量。
上述的实施例均是本发明提供的方法实施例,相应地,本发明还给出了实现上述方法的装置实施例。参见附图4,本实施例的装置300包括样本获取单元301、第一中间阀值计算单元302、第一最终阀值计算单元303和攻击流量滤除单元304,其中:
样本获取单元301,用于获取网络流量的样本,该样本为第一初始样本;
第一中间阀值计算单元302,用于将第一初始样本平均值与第一初始样本标准差的三倍进行求和,求和运算得到的结果作为第一中间阀值;
第一最终阀值计算单元303,用于将第一初始样本中大于所述第一中间阀值的样本滤除,得到第一剩余样本;根据所述第一剩余样本的平均值和标准差得到第一最终阀值,所述第一最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和;
攻击流量滤出单元303,用于根据所述第一最终阀值对网络攻击流量进行除滤。
本装置实施例的工作过程是:样本获取单元301获取到网络流量的样本后,将样本数据传输给第一中间阀值计算单元302,由该单元将第一初始样本平均值与第一初始样本标准差的三倍进行求和,求和运算得到的结果作为第一中间阀值传输给第一最终阀值计算单元303,该单元将第一初始样本中大于所述第一中间阀值的样本滤除,得到第一剩余样本;根据所述第一剩余样本的平均值和标准差得到第一最终阀值,所述最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和;攻击流量滤除单元303获取到第一最终阀值后根据所述第一最终阀值对网络攻击流量进行过滤。
本实施例的装置的样本获取单元301可以通过直接采集网络流量的方式获取第一初始样本,也可以间接地获取第一初始样本。当间接获取第一初始样本时,本装置的样本获取单元301包括:第二初始样本采集子单元3011、第二中间阀值计算子单元3012、第二最终阀值计算子单元3013和第一初始样本构建子单元3014,其中:
第二初始样本采集子单元3011,用于采集网络流量的样本,该样本为第二初始样本;
第二中间阀值计算子单元3012,用于将第二初始样本平均值与第二初始样本标准差的三倍进行求和,求和运算得到的结果作为第二中间阀值;
第二最终阀值计算子单元3013,用于将第二初始样本中大于所述第二中间阀值的样本滤除,得到第二剩余样本;根据所述第二剩余样本的平均值和标准差得到第二最终阀值,所述第二最终阀值为第二剩余样本平均值与第二剩余样本标准差的三倍之和;
第一初始样本构建子单元3014,用于调用上述三个子单元以获取多个第二最终阀值,将获得的第二最终阀值组成第一初始样本。第二初始样本采集子单元采集的样本数量根据需要可以选取不同的数值,一般而言,选取的样本数至少为30个。通过对第一初始样本的获得方式进行优化,不仅从微观上考虑网络流量,还从宏观上考虑网络流量的变化,以应对更加复杂的情况。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在发明的保护范围之内。
Claims (6)
1.一种滤除网络攻击流量的方法,其特征在于,该方法包括:
获取网络流量的样本,该样本为第一初始样本;
将第一初始样本平均值与第一初始样本标准差的三倍进行求和,求和运算得到的结果作为第一中间阀值;
将第一初始样本中大于所述第一中间阀值的样本滤除,得到第一剩余样本;根据所述第一剩余样本的平均值和标准差得到第一最终阀值,所述第一最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和;
根据所述第一最终阀值对网络攻击流量进行滤除,如果网络攻击流量大于所述第一最终阈值,则进行滤除,如果网络攻击流量小于所述第一最终阈值,则通行;
所述获取网络流量的样本包括:
采集网络流量的样本,该样本为第二初始样本;
将第二初始样本平均值与第二初始样本标准差的三倍进行求和,求和运算得到的结果作为第二中间阀值;
将第二初始样本中大于所述第二中间阀值的样本滤除,得到第二剩余样本;根据所述第二剩余样本的平均值和标准差得到第二最终阀值,所述第二最终阀值为第二剩余样本平均值与第二剩余样本标准差的三倍之和;
按照上述步骤获取多个第二最终阀值,将获得的第二最终阀值组成第一初始样本。
2.根据权利要求1所述的方法,其特征在于,所述第二初始样本的样本数至少为30个。
3.根据权利要求1或2的方法,其特征在于,所述方法包括:在一个时间周期的一个时段内获取网络流量的样本,在下一个周期的相应时段内根据所述第一最终阀值对网络攻击流量进行滤除,所述时间周期至少包括两个时段。
4.根据权利要求1所述的方法,其特征在于,所述第一初始样本的样本数至少为30个。
5.一种滤除网络攻击流量的装置,其特征在于,该装置包括:样本获取单元、第一中间阀值计算单元、第一最终阀值计算单元和攻击流量滤除单元,其中:
所述样本获取单元,用于获取网络流量的样本,该样本为第一初始样本;
所述第一中间阀值计算单元,用于将第一初始样本平均值与第一初始样本标准差的三倍进行求和,求和运算得到的结果作为第一中间阀值;
所述第一最终阀值计算单元,用于将第一初始样本中大于所述第一中间阀值的样本滤除,得到第一剩余样本;根据所述第一剩余样本的平均值和标准差得到第一最终阀值,所述第一最终阀值为第一剩余样本平均值与第一剩余样本标准差的三倍之和;
所述攻击流量滤除单元,用于根据所述第一最终阀值对网络攻击流量进行滤除,如果网络攻击流量大于所述第一最终阈值,则进行滤除,如果网络攻击流量小于所述第一最终阈值,则通行;
所述样本获取单元包括:第二初始样本采集子单元、第二中间阀值计算子单元、第二最终阀值计算子单元和第一初始样本构建子单元,其中:
所述第二初始样本采集子单元,用于采集网络流量的样本,该样本为第二初始样本;
所述第二中间阀值计算子单元,用于将第二初始样本平均值与第二初始样本标准差的三倍进行求和,求和运算得到的结果作为第二中间阀值;
所述第二最终阀值计算子单元,用于将第二初始样本中大于所述第二中间阀值的样本滤除,得到第二剩余样本;根据所述第二剩余样本的平均值和标准差得到第二最终阀值,所述第二最终阀值为第二剩余样本平均值与第二剩余样本标准差的三倍之和;
所述第一初始样本构建子单元,用于调用上述三个子单元以获取多个第二最终阀值,将获得的第二最终阀值组成第一初始样本。
6.根据权利要求5所述的装置,其特征在于,所述第一初始样本的样本数至少为30个。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110227452.XA CN102355452B (zh) | 2011-08-09 | 2011-08-09 | 一种滤除网络攻击流量的方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110227452.XA CN102355452B (zh) | 2011-08-09 | 2011-08-09 | 一种滤除网络攻击流量的方法与装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102355452A CN102355452A (zh) | 2012-02-15 |
CN102355452B true CN102355452B (zh) | 2014-11-26 |
Family
ID=45578947
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110227452.XA Active CN102355452B (zh) | 2011-08-09 | 2011-08-09 | 一种滤除网络攻击流量的方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102355452B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103795590B (zh) * | 2013-12-30 | 2017-07-04 | 北京天融信软件有限公司 | 一种网络流量检测阈值的计算方法 |
CN108334774A (zh) * | 2018-01-24 | 2018-07-27 | ***股份有限公司 | 一种检测攻击的方法、第一服务器及第二服务器 |
CN109005175B (zh) * | 2018-08-07 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 网络防护方法、装置、服务器及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002064494A (ja) * | 2000-08-18 | 2002-02-28 | Nippon Telegr & Teleph Corp <Ntt> | 通信品質管理方法および装置 |
CN1617512A (zh) * | 2004-11-25 | 2005-05-18 | 中国科学院计算技术研究所 | 一种自适应网络流量预测和异常报警方法 |
CN101651568A (zh) * | 2009-07-01 | 2010-02-17 | 青岛农业大学 | 一种网络流量预测和异常检测方法 |
CN101729301A (zh) * | 2008-11-03 | 2010-06-09 | ***通信集团湖北有限公司 | 网络异常流量监测方法和监测*** |
-
2011
- 2011-08-09 CN CN201110227452.XA patent/CN102355452B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002064494A (ja) * | 2000-08-18 | 2002-02-28 | Nippon Telegr & Teleph Corp <Ntt> | 通信品質管理方法および装置 |
CN1617512A (zh) * | 2004-11-25 | 2005-05-18 | 中国科学院计算技术研究所 | 一种自适应网络流量预测和异常报警方法 |
CN101729301A (zh) * | 2008-11-03 | 2010-06-09 | ***通信集团湖北有限公司 | 网络异常流量监测方法和监测*** |
CN101651568A (zh) * | 2009-07-01 | 2010-02-17 | 青岛农业大学 | 一种网络流量预测和异常检测方法 |
Non-Patent Citations (4)
Title |
---|
基于层叠模型的网络流量异常检测方法;李宗林等;《计算机应用研究》;20080930;第25卷(第9期);第2839-2844页 * |
基于统计分析建立流量动态临界线的蠕虫检测机制研究;王勇超等;《计算机应用研究》;20100331;第27卷(第3期);第1032-1034页 * |
李宗林等.基于层叠模型的网络流量异常检测方法.《计算机应用研究》.2008,第25卷(第9期), * |
王勇超等.基于统计分析建立流量动态临界线的蠕虫检测机制研究.《计算机应用研究》.2010,第27卷(第3期), * |
Also Published As
Publication number | Publication date |
---|---|
CN102355452A (zh) | 2012-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Binbusayyis et al. | Identifying and benchmarking key features for cyber intrusion detection: an ensemble approach | |
EP2619958B1 (en) | Ip prioritization and scoring method and system for ddos detection and mitigation | |
CN105847283A (zh) | 一种基于信息熵方差分析的异常流量检测方法 | |
CN105791213B (zh) | 一种策略优化装置及方法 | |
CN108390870B (zh) | 一种防御网络攻击的方法、装置、存储介质及设备 | |
US20110185418A1 (en) | Digital filter correlation engine | |
CN102355452B (zh) | 一种滤除网络攻击流量的方法与装置 | |
CN110224970B (zh) | 一种工业控制***的安全监视方法和装置 | |
CN108712365B (zh) | 一种基于流量日志的DDoS攻击事件检测方法及*** | |
CN107682341A (zh) | Cc攻击的防护方法及装置 | |
Chawla et al. | Discrimination of DDoS attacks and flash events using Pearson’s product moment correlation method | |
Naik et al. | Augmented windows fuzzy firewall for preventing denial of service attack | |
CN106934285A (zh) | 一种实现样本分析的方法、装置及动态引擎设备 | |
CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与*** | |
CN110650157B (zh) | 基于集成学习的Fast-flux域名检测方法 | |
CN115296855B (zh) | 一种用户行为基线生成方法及相关装置 | |
Ramanauskaitė et al. | Modelling influence of Botnet features on effectiveness of DDoS attacks | |
CN106817268B (zh) | 一种ddos攻击的检测方法及*** | |
CN114629723A (zh) | 一种攻击检测方法、装置及相关设备 | |
CN110162969B (zh) | 一种流量的分析方法和装置 | |
CN112671743A (zh) | 基于流量自相似性的DDoS入侵检测方法及相关装置 | |
Mathew et al. | Software based low rate dos attack detection mechanism | |
Katkar et al. | Novel DoS/DDoS attack detection and signature generation | |
Nair et al. | Two Phase Detection Process to Mitigate LRDDoS Attack in Cloud Computing Environment | |
KR101701310B1 (ko) | DDoS 공격 탐지 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |