[发明专利]基于网络与基于主机相结合的联网式异常流量防御方法

说明书

技术领域

本发明是一种用于针对异常流量对网络性能造成的危害(例如核心网络的通信链路被异常流量占用、异常流量造成链路中网络设备负载过高、大客户业务受异常流量影响服务质量急剧下降等)的防御方法，属于网络中的安全的技术领域。

背景技术

随着IPv6等下一代网络的核心技术日趋成熟、电信业务需求和技术的发展以及网络体系结构的演变，IPv6所具有的诸多优势和功能使其成为构筑下一代网络的重要基础，如何提高基于IPv6的下一代网络的安全性必然是我国以及全球网络重要的战略发展方向。

随着信息网络技术的发展，尤其是互联网技术正处于高速发展的阶段，IP地址空间的危机已经成为IPv4向IPv6升级的主要动力，IPv4配置的复杂性也急需有一种能够满足“自动配置”的IPv6的协议应用，特别是对于IPv4中存在的安全隐患问题，急需要一种加入了安全性选项的IPv6机制来强力支持IP的安全性。总之，由IPv4向IPv6转换是必然的趋势。

在国外，对于IPv6网络安全方面的研究主要以对IPSec的研究为主。在大规模的实验IPv6网络的同时，对IPSec协议进行补充和更新，使得IPv6安全机制更加完善。例如：如何把IPSec应用于具体的环境中，如何运用有效的加密算法来配置IPSec。对于网络安全中入侵检测系统防护方面还没有涉及。

国外对于在IPv4情况下提出了许多入侵检测算法，如针对与SYN FLOOD的累积算法CUSUM(Cumulative Sum Algorithm)，协方差矩阵分析的异常流量算法，改进的门限算法。并且有的已经运用在当前的网络环境中，在IPv4网络环境下，确实有一定的效果。但是由于新一代网络环境的发展，必定会有新的变化，使其功效受到限制。所以研究适合于新一代IPv6网络环境下的入侵检测系统及其关键技术研究，是下一阶段国内外都在关注的问题。

在国内，一些基金项目对IPv6进行了实验，提出了相对于IPv4的优点和存在的不足。由于IPv6的加密和认证是算法是与协议脱离的，可以选择不同的算法对其数据包进行加密和认证，不同的算法加密的速度和破解的时间有差异，所以目前国内许多文章都比较关注于如何为IPv6选择一个既高速又难破解的加密和认证体系，对于如何在网络对入侵进行检测还没有相关的研究，只是提出了在IPv6下基于安全认证的新一代防火墙方案。

综上所述，目前国内外只是注重于如何把IPv6具体化，实际化，重点在于如何使这个新的网络协议运用于实际的网络中，特别对其引入的加密和认证机制非常关注。而对于在运用了IPv6后依然存在的安全问题只是简单的提出，并没有给出一个具体的方案，特别是用IPv6没有根本地解决入侵检测的问题，随着IPv6网络的实际应用，此方面的问题必然会暴露出来。

发明内容

技术问题：本发明的目的是提出一种基于网络与基于主机相结合的联网式异常流量防御方法，大大降低了异常流量防御的难度，改变了以往异常防御系统中路由设备负担大量工作的局面。

技术方案：目前国内外只是注重于如何把IPv6(Internet Protocol version6)具体化，实际化，重点在于如何使这个新的网络协议运用于实际的网络中，特别对其引入的加密和认证机制非常关注。而对于在运用了IPv6后依然存在的安全问题只是简单的提出，并没有给出一个具体的方案，特别是用IPv6没有根本地解决网络中的安全的问题，随着IPv6网络的实际应用，此方面的问题必然会暴露出来。

本发明的基于网络与基于主机相结合的联网式异常流量防御方法为：

1).设置性能参数列表：记录正常状态下一些网络参数的阈值，作为异常感应模块探测异常发生与否的依据之一；

2).流量统计模块统计路由设备所采集的流量信息，并与步骤1)中参数列表中所设置的阈值进行比较；

3).如果发现有主机对应的流量统计超过步骤1)中所设置的阈值范围，则判定该主机产生异常流量，并触发异常报警机制；

4).异常报警模块向步骤3)中所发现的主机发送异常警告，命令该主机立即处理自身所产生的流量；

5).主机状态记录及更新：异常报警模块被触发后，需要进行相应的主机状态更新；

6)网络接入判决：路由转发设备根据所接收到流量所属主机的状态判断是否正常转发该流量，网络接入判决模块查询主机状态记录表得到主机状态，如果该主机处于被警告、异常处理、未反应等非正常状态，则停止对其提供流量转发服务；否则正常对其流量进行路由转发；