[发明专利]网络检测的方法及设备

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种网络检测的方法及设备。

背景技术

网络设备部署在网络上后，需要通过检测网络控制报文流量(如路由、拨号、认证)是否超出门限值，以确定网络设备的繁忙状态，判断网络设备是否受到攻击。

现有技术中，一般是通过人工设置和调整网络控制报文流量指标的门限值。由于网络的复杂性，人工设置门限值需要大量的经验，容易造成门限值设置不合理(设置门限值过宽或过严)，导致误报警或没有报警。例如每秒上送中央处理器(Central Processing Unit，CPU)的地址解析协议(Address Resolution Protocol，ARP)报文个数是一个检测指标，当该指标超出门限值时应产生受到网络攻击的报警。该指标在路由器处于不同网络环境中时门限值是不同的。在路由器作为宽带远程接入服务器(Broadband Remote Access Server，BRAS)时，需要处理海量的家庭网关的ARP请求，此时该指标门限值应设置为较大的数值，如果此时设置的门限值过小，会在没有受到网络攻击时也产生报警；在路由器作为核心路由器时，由于周边网元数量有限，其需要处理的ARP报文数量不会很多，此时该指标门限值应设置为较低的数值，如果此时设置的门限值过大，会在真正受到网络攻击时却没有报警。

发明内容

本发明实施例提供一种网络检测的方法及装置，解决了现有技术中网络设备受攻击报警不准确的问题。

根据本发明实施例的一个方面，一种网络检测的方法，包括：

在第一时间段内采集多个样本，所述样本为第一指标，所述第一指标用于标识网络设备处理控制报文的繁忙状态，所述多个样本构成一个样本空间；

对所述样本空间进行置信区间计算，将置信区间的上限作为门限值；

采集第一数值，所述第一数值为所述第一指标在第一时刻的值，所述第一时刻为发生在所述第一时间段后的时刻；

当所述第一数值大于所述门限值时，则确定所述网络设备受到攻击。

根据本发明实施例的又一个方面，一种网络检测的装置，包括：

采集模块，用于在第一时间段内采集多个样本，所述样本为第一指标，所述第一指标用于标识网络设备处理控制报文的繁忙状态。所述多个样本构成一个样本空间。采集第一数值，所述第一数值为所述第一指标在第一时刻的值，所述第一时刻为发生在所述第一时间段后的时刻；

计算模块，用于对所述样本空间进行置信区间计算，将置信区间的上限作为门限值；

判断模块，用于当所述第一数值大于所述门限值时，确定所述网络设备受到攻击。

本发明实施例提供的技术方案对样本空间以指定概率(例如99％)进行基于正态分布的置信区间计算，将置信区间的上限作为门限值，由于门限值是根据网络控制报文流量自动计算的，而且门限值设置的准确度在预期概率内，因此，网络设备可以及时发现是否受到攻击，从而产生报警。另外，由于门限值是根据网络控制报文流量自动计算，随着网络控制报文流量的不断变化而自动调整，因此，可以避免人工设置门限值时不易根据网络设备的实际状况进行及时合理调整，从而导致网络设备没有受到攻击却产生误报警或受到攻击却没有产生报警的问题。

附图说明

图1是本发明实施例一提供的一种网络检测的方法的流程图；

图2是本发明实施例一提供的另一种网络检测的方法的流程图；

图3是本发明实施例二提供的一种网络检测的装置的示意图；

图4是本发明实施例二提供的另一种网络检测的装置的示意图。

具体实施方式

本发明实施例提供一种网络检测的方法及装置，可以解决现有技术中网络设备受攻击报警不准确的问题。本发明实施例还提供相应的装置。以下分别进行详细说明。

实施例一、

请参考图1，本发明实施例提供一种网络检测的方法，包括：

101、在第一时间段内采集多个样本，该多个样本为第一指标，该第一指标用于标识网络设备处理控制报文的繁忙状态。所述多个样本构成一个样本空间。

第一时间段是一个预设时间段，在此时间段内，按照固定的时间间隔或随机时间间隔采集样本，该固定时间间隔和时间段的长度可以设置。在此时间段内采集到的多个样本构成一个样本空间。

第一指标可以是百分比类型的数据或流量类型数据或会话类型的数据数据。

其中，

百分比类型的数据，可以包括如下中的一个或多个：

网络设备CPU利用率(％)；