国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于信息熵度量的深度包檢測設(shè)備異常流量監(jiān)控方法

      文檔序號:9670790閱讀:596來源:國知局
      基于信息熵度量的深度包檢測設(shè)備異常流量監(jiān)控方法
      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明設(shè)及數(shù)據(jù)通信技術(shù)領(lǐng)域,具體設(shè)及基于信息賭度量的深度包檢測設(shè)備異常 流量監(jiān)控方法。
      【背景技術(shù)】
      [0002] 隨著移動(dòng)互聯(lián)網(wǎng)、智能終端、物聯(lián)網(wǎng)的不斷發(fā)展,W及網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步,現(xiàn)代 網(wǎng)絡(luò)在組網(wǎng)方式、網(wǎng)絡(luò)設(shè)備種類、網(wǎng)絡(luò)組成結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用程序等方面都趨于復(fù)雜化和多樣 化。運(yùn)些復(fù)雜且多樣化的網(wǎng)絡(luò)因素,導(dǎo)致了網(wǎng)絡(luò)通信流量激增,網(wǎng)絡(luò)設(shè)備負(fù)載增大。同時(shí),在 網(wǎng)絡(luò)中傳輸?shù)男畔?shù)據(jù)量龐大且復(fù)雜,既包括各類正常傳輸數(shù)據(jù)也包括惡意的攻擊數(shù)據(jù)。 運(yùn)些因素時(shí)刻威脅著網(wǎng)絡(luò)元素的安全性和網(wǎng)絡(luò)服務(wù)的可用性,因此,保障網(wǎng)絡(luò)的安全與網(wǎng) 絡(luò)楊通已成為當(dāng)前網(wǎng)絡(luò)設(shè)備發(fā)展的一個(gè)趨勢。
      [0003] 針對通信網(wǎng)的安全防護(hù),除了入侵檢測設(shè)備、入侵防護(hù)設(shè)備、防火墻等網(wǎng)絡(luò)設(shè)備W 夕h深度包檢測設(shè)備也是被廣泛使用的一種網(wǎng)絡(luò)異常流量監(jiān)控設(shè)備。深度包檢測設(shè)備基于 深度包檢測技術(shù)實(shí)現(xiàn),是一種應(yīng)用層的網(wǎng)絡(luò)流量檢測設(shè)備,當(dāng)數(shù)據(jù)包通過深度包檢測設(shè)備 時(shí),深度包檢測引擎在分析IP包頭的基礎(chǔ)上,增加了對應(yīng)用層載荷的分析,通過讀取數(shù)據(jù)包 的載荷內(nèi)容,進(jìn)行應(yīng)用層信息重組,W此識別出數(shù)據(jù)包所屬的應(yīng)用層協(xié)議。
      [0004] 在網(wǎng)絡(luò)安全監(jiān)控方面,深度包檢測設(shè)備將對應(yīng)用層載荷檢測得到的信息與已經(jīng)建 立的協(xié)議特征庫進(jìn)行比對,檢測其中是否存在安全問題,從而實(shí)現(xiàn)基于應(yīng)用層的安全防護(hù)。 當(dāng)前深度包檢測設(shè)備的協(xié)議特征庫已經(jīng)具備了大量異常流量的應(yīng)用協(xié)議特征積累,包括分 布式拒絕服務(wù)、蠕蟲繁殖、端口掃描等大類,每個(gè)大類下又細(xì)分了多個(gè)小類的具體協(xié)議類 型。同時(shí),深度包檢測設(shè)備在應(yīng)用層檢測的基礎(chǔ)上,還提供基于流量的檢測方法包括流量大 小檢測方法和包速率檢測方法,進(jìn)一步提升了異常流量的檢測精準(zhǔn)性。
      [0005] 與傳統(tǒng)的入侵檢測設(shè)備、入侵防護(hù)設(shè)備、防火墻等安全防護(hù)設(shè)備相比,深度包檢測 設(shè)備在對應(yīng)用層檢測的準(zhǔn)確率和檢測性能上具備有很大的優(yōu)勢,并且具備部署靈活的特 點(diǎn)。但是,深度包檢測設(shè)備基于協(xié)議特征庫和流量大小行為的檢測方式都有其局限性,由于 網(wǎng)絡(luò)中的異常流量更新速度很快,一旦協(xié)議特征庫沒有包含異常流的應(yīng)用層特征,則無法 完成對異常流量的檢測。
      [0006] 因此,需要一種更普適的方法與之配合,從而提升深度包檢測設(shè)備對異常流量的 檢查范圍和檢測能力,滿足現(xiàn)代網(wǎng)絡(luò)的安全防護(hù)應(yīng)用需求。

      【發(fā)明內(nèi)容】

      [0007]本發(fā)明所要解決的技術(shù)問題是由于網(wǎng)絡(luò)中的異常流量更新速度很快,一旦協(xié)議特 征庫沒有包含異常流的應(yīng)用層特征,則無法完成對異常流量的檢測的問題。
      [000引為了解決上述技術(shù)問題,本發(fā)明所采用的技術(shù)方案是提供一種基于信息賭度量的 深度包檢測設(shè)備異常流量監(jiān)控方法,包括W下步驟:
      [0009]深度包檢測設(shè)備維護(hù)一張采樣代理模塊的私網(wǎng)IP地址池列表,從中取出IP地址賦 予采樣代理模塊;
      [0010] 采樣代理模塊W該IP地址初始化采樣代理實(shí)例,采樣代理實(shí)例監(jiān)聽深度包檢測設(shè) 備的鏈路接口,并從該鏈路接口獲取原始流量的報(bào)文樣本,WsFlow協(xié)議格式封裝為采樣報(bào) 文;
      [0011] 解析采樣報(bào)文獲得原始流量報(bào)文的源IP地址、目的IP地址、源端口、目的端口、協(xié) 議類型、流量上下行方向信息;
      [0012] 分別計(jì)算原始流量報(bào)文的源IP地址、目的IP地址、源端口、目的端口在本采樣周期 中的信息賭值,并做標(biāo)準(zhǔn)化處理,得到一個(gè)周期內(nèi)的流特征分布特性的量化度量;
      [OOU]根據(jù)原始流量報(bào)文的源IP地址、目的IP地址、源端口、目的端口的歷史信息賭值曲 線,得到流特征分布的波動(dòng)和變化情況,結(jié)合預(yù)先設(shè)定的判定闊值和信息賭值變化趨勢判 定當(dāng)前流量是否為異常流量;
      [0014] 根據(jù)管控策略對異常流量進(jìn)行管控。
      [0015] 在上述方法中,從深度包檢測設(shè)備的策略管理子系統(tǒng)中同步由管理員預(yù)先配置的 流特征分布特性檢測模型,所述流特征分布特性檢測模型即為預(yù)先設(shè)定的判定闊值和信息 賭值變化趨勢。
      [0016] 在上述方法中,采樣報(bào)文封裝的內(nèi)容包括一個(gè)首部和若干采樣數(shù)據(jù)記錄字段,其 中首部包括:采樣協(xié)議信息、采樣時(shí)間信息、采樣代理信息、包含的采樣數(shù)據(jù)記錄數(shù)等信息; 采樣記錄字段包括:采樣數(shù)據(jù)頭和采樣數(shù)據(jù),其中采樣數(shù)據(jù)頭包括該字段的采樣方法信息、 該字段采樣數(shù)據(jù)長度信息,采樣數(shù)據(jù)則表示該字段采樣數(shù)據(jù)的具體內(nèi)容;采樣記錄字段使 用類型+長度+值的可變長數(shù)據(jù)結(jié)構(gòu)方式封裝。
      [0017] 在上述方法中,根據(jù)深度包檢測設(shè)備初始化時(shí)設(shè)定的采樣模式和采樣率判定原始 流量報(bào)文是否被采樣。
      [0018] 在上述方法中,具有相同五元組:源IP地址、目的IP地址、協(xié)議類型、源端口、目的 端口的報(bào)文歸屬為同一條流;
      [0019] 對同一條流在深度包檢測設(shè)備上緩存的流表節(jié)點(diǎn)中增加一個(gè)方向字段,用W表示 流的上下行方向,其中流的方向通過深度包檢測設(shè)備的監(jiān)控鏈路的出入接口配置來判斷。
      [0020] 在上述方法中,網(wǎng)絡(luò)中異常流量主要包括:分布式拒絕服務(wù)、蠕蟲繁殖、端口掃描、 突發(fā)訪問請求、AlphaFlows。
      [0021] 在上述方法中,對網(wǎng)絡(luò)流量分成一個(gè)一個(gè)固定時(shí)間間隔的周期性采樣時(shí)間窗,計(jì) 算每個(gè)時(shí)間窗內(nèi)流量特性的分布特性。
      [0022] 在上述方法中,采用基于白名單機(jī)制來保護(hù)特殊服務(wù)和防止誤操作,即管理員提 前將需要受保護(hù)或者不管控服務(wù)的IP地址、端口,或者應(yīng)用協(xié)議,加入到一個(gè)由深度包檢測 設(shè)備的策略管理子系統(tǒng)維護(hù)的白名單列表,白名單列表被下發(fā)到深度包檢測設(shè)備,再由深 度包檢測設(shè)備對匹配白名單的網(wǎng)絡(luò)流量采用只上報(bào)不管控的策略。
      [0023] 本發(fā)明還提供了一種基于信息賭度量的深度包檢測設(shè)備,內(nèi)置有一個(gè)流特征檢測 引擎,所述流特征檢測引擎包括采樣代理模塊、采樣報(bào)文收集模塊W及流量分析模塊,所述 深度包檢測設(shè)備還包括:
      [0024] 配置管理子系統(tǒng),用于管理員對采樣代理模塊、采樣報(bào)文收集模塊、流量分析模塊 進(jìn)行屬性配置,包括采樣代理模塊的IP地址池、采樣代理模塊與采樣報(bào)文收集模塊的映射 關(guān)系、采樣代理模塊的采樣模式、采樣代理模塊的采樣率、采樣報(bào)文收集模塊的上報(bào)周期;
      [0025] 接口管理子系統(tǒng),用于在報(bào)文采樣過程中,采樣代理模塊對深度包檢測設(shè)備的網(wǎng) 絡(luò)接口進(jìn)行監(jiān)控;接收深度包檢測設(shè)備接口變更事件;向深度包檢測設(shè)備的鏈路接口查詢 報(bào)文的統(tǒng)計(jì)信息;
      [0026] 通信管理子系統(tǒng),用于實(shí)現(xiàn)采樣代理模塊與采樣報(bào)文收集模塊的通信;
      [0027]策略管理子系統(tǒng),用于流量分析模塊在配置初始化階段和流分布特性檢測算法模 型變更時(shí),實(shí)現(xiàn)對流分布特性檢測算法模型的同步;在基于流分布特性的異常流量檢測結(jié) 束時(shí)將檢測結(jié)果上報(bào);根據(jù)上報(bào)的檢測結(jié)果匹配預(yù)置策略并向深度包檢測設(shè)備下發(fā)需要執(zhí) 行的管控策略。
      [0028]在上述基于信息賭度量的深度包檢測設(shè)備中,若深度包檢測設(shè)備采用集群化的部 署方式,則集群中的每個(gè)設(shè)備節(jié)點(diǎn)在初始化階段都使能一個(gè)采樣代理實(shí)例,采樣報(bào)文上報(bào) 給深度包檢測設(shè)備服務(wù)器集群中的唯一的采樣報(bào)文收集模塊,并通過唯一的流量
      當(dāng)前第1頁1 2 3 4 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1