[发明专利]一种异常流量处理方法及网管设备有效
申请号: | 201710971620.3 | 申请日: | 2017-10-18 |
公开(公告)号: | CN107566192B | 公开(公告)日: | 2019-09-20 |
发明(设计)人: | 张帅;唐雄燕;赫罡;马季春;陈颖霞 | 申请(专利权)人: | 中国联合网络通信集团有限公司;中讯邮电咨询设计院有限公司 |
主分类号: | H04L12/24 | 分类号: | H04L12/24;H04L29/06 |
代理公司: | 北京中博世达专利商标代理有限公司 11274 | 代理人: | 申健 |
地址: | 100033 *** | 国省代码: | 北京;11 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 异常 流量 处理 方法 网管 设备 | ||
1.一种异常流量处理方法,其特征在于,所述方法包括:
网管设备获取转发设备转发的数据包,其中,指定时间内接收到的数据包组成数据流量;
所述网管设备确定异常数据包,其中,所述异常数据包用于表示空间中与所述数据流量中除自身外的所有数据包的欧式距离大于第一阈值的数据包,所述异常数据包组成的数据流量为异常流量;所述空间由七个维度数据中至少四个维度数据构成;
所述网管设备根据所述异常流量,确定所述异常流量的异常流量分类向量,所述异常流量分类向量用于反映所述异常流量的攻击类型;
所述网管设备根据所述异常流量,确定所述异常流量的异常流量分类向量,包括:
所述网管设备从所述异常流量中每个数据包中提取所述七个维度数据;
所述网管设备根据所述七个维度数据,计算所述七个维度数据中每个维度数据的熵值;所述七个维度数据包括源互联网协议IP地址、源端口地址、目的IP地址、目的端口地址、入度、出度和流大小,所述入度用于表示所述目的IP地址对应的接收端设备在所述指定时间中接收数据包的概率,所述出度用于表示所述源互联网协议IP地址对应的发送端设备在所述指定时间中发送数据包的概率,所述流大小用于表示所述网管设备在所述指定时间的各个单位时间中,接收到数据流量的分布变化;
所述网管设备将所述每个维度数据的熵值作为所述异常流量分类向量中的元素,得到所述异常流量分类向量;
所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离;
若所述欧式距离中,最小欧式距离小于第二阈值,则所述网管设备将所述最小欧式距离对应的参考流量分类向量对应的攻击类型确定为所述异常流量的流量攻击类型,并执行与所述流量攻击类型对应的防御措施。
2.根据权利要求1所述的方法,其特征在于,在所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离之前,所述方法还包括:
所述网管设备获取已知攻击类型的异常流量;
所述网管设备计算每种已知攻击类型的异常流量的参考流量分类向量,并存储每种已知攻击类型与参考流量分类向量的对应关系。
3.根据权利要求2所述的方法,其特征在于,在所述网管设备确定所述异常流量分类向量与每个参考流量分类向量的欧式距离之后,所述方法还包括:
若所述最小欧式距离大于或等于所述第二阈值,则所述网管设备将所述异常流量确定为未知类型异常流量;
在确定所述未知类型异常流量的攻击类型以及对应的防御措施后,所述网管设备存储所述未知类型异常流量的攻击类型、异常流量分类向量、以及防御措施两两之间的对应关系。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国联合网络通信集团有限公司;中讯邮电咨询设计院有限公司,未经中国联合网络通信集团有限公司;中讯邮电咨询设计院有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710971620.3/1.html,转载请声明来源钻瓜专利网。