專利名稱:網(wǎng)絡(luò)檢測的方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,具體涉及ー種網(wǎng)絡(luò)檢測的方法及設(shè)備�����。
背景技術(shù):
網(wǎng)絡(luò)設(shè)備部署在網(wǎng)絡(luò)上后�,需要通過檢測網(wǎng)絡(luò)控制報文流量(如路由、撥號��、認證)是否超出門限值�,以確定網(wǎng)絡(luò)設(shè)備的繁忙狀態(tài),判斷網(wǎng)絡(luò)設(shè)備是否受到攻擊?,F(xiàn)有技術(shù)中����,一般是通過人工設(shè)置和調(diào)整網(wǎng)絡(luò)控制報文流量指標的門限值。由于網(wǎng)絡(luò)的復(fù)雜性�,人工設(shè)置門限值需要大量的經(jīng)驗�����,容易造成門限值設(shè)置不合理(設(shè)置門限值過寬或過嚴)��,導(dǎo)致誤報警或沒有報警��。例如毎秒上送中央處理器(Central Processing Unit,CPU)的地址解析協(xié)議(Address Resolution Protocol,ARP)報文個數(shù)是ー個檢測指標����,當該指標超出門限值時應(yīng)產(chǎn)生受到網(wǎng)絡(luò)攻擊的報警�����。該指標在路由器處于不同網(wǎng)絡(luò)環(huán)境中時門限值是不同的。在路由器作為寬帶遠程接入服務(wù)器(Broadband Remote Access Server, BRAS)吋,需要處理海量的家庭網(wǎng)關(guān)的ARP請求�,此時該指標門限值應(yīng)設(shè)置為較大的數(shù)值,如果此時設(shè)置的門限值過小�,會在沒有受到網(wǎng)絡(luò)攻擊時也產(chǎn)生報警���;在路由器作為核心路由器吋����,由于周邊網(wǎng)元數(shù)量有限,其需要處理的ARP報文數(shù)量不會很多�����,此時該指標門限值應(yīng)設(shè)置為較低的數(shù)值���,如果此時設(shè)置的門限值過大,會在真正受到網(wǎng)絡(luò)攻擊時卻沒有報警���。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種網(wǎng)絡(luò)檢測的方法及裝置�����,解決了現(xiàn)有技術(shù)中網(wǎng)絡(luò)設(shè)備受攻擊報警不準確的問題�。根據(jù)本發(fā)明實施例的ー個方面,一種網(wǎng)絡(luò)檢測的方法,包括在第一時間段內(nèi)采集多個樣本,所述樣本為第一指標��,所述第一指標用于標識網(wǎng)絡(luò)設(shè)備處理控制報文的繁忙狀態(tài),所述多個樣本構(gòu)成ー個樣本空間;對所述樣本空間進行置信區(qū)間計算���,將置信區(qū)間的上限作為門限值��;采集第一數(shù)值�,所述第一數(shù)值為所述第一指標在第一時刻的值����,所述第一時刻為發(fā)生在所述第一時間段后的時刻�;當所述第一數(shù)值大于所述門限值時,則確定所述網(wǎng)絡(luò)設(shè)備受到攻擊。根據(jù)本發(fā)明實施例的又ー個方面,一種網(wǎng)絡(luò)檢測的裝置�����,包括采集模塊,用于在第一時間段內(nèi)采集多個樣本�,所述樣本為第一指標��,所述第一指標用于標識網(wǎng)絡(luò)設(shè)備處理控制報文的繁忙狀態(tài)�����。所述多個樣本構(gòu)成一個樣本空間�����。采集第 ー數(shù)值���,所述第一數(shù)值為所述第一指標在第一時刻的值��,所述第一時刻為發(fā)生在所述第一時間段后的時刻�����;計算模塊,用于對所述樣本空間進行置信區(qū)間計算�����,將置信區(qū)間的上限作為門限值����;判斷模塊,用于當所述第一數(shù)值大于所述門限值時�,確定所述網(wǎng)絡(luò)設(shè)備受到攻擊���。
本發(fā)明實施例提供的技術(shù)方案對樣本空間以指定概率(例如99% )進行基于正態(tài)分布的置信區(qū)間計算,將置信區(qū)間的上限作為門限值,由于門限值是根據(jù)網(wǎng)絡(luò)控制報文流量自動計算的�����,而且門限值設(shè)置的準確度在預(yù)期概率內(nèi)�����,因此,網(wǎng)絡(luò)設(shè)備可以及時發(fā)現(xiàn)是否受到攻擊�����,從而產(chǎn)生報警���。另外�����,由于門限值是根據(jù)網(wǎng)絡(luò)控制報文流量自動計算��,隨著網(wǎng)絡(luò)控制報文流量的不斷變化而自動調(diào)整�,因此��,可以避免人工設(shè)置門限值時不易根據(jù)網(wǎng)絡(luò)設(shè)備的實際狀況進行及時合理調(diào)整����,從而導(dǎo)致網(wǎng)絡(luò)設(shè)備沒有受到攻擊卻產(chǎn)生誤報警或受到攻擊卻沒有產(chǎn)生報警的問題。
圖1是本發(fā)明實施例一提供的一種網(wǎng)絡(luò)檢測的方法的流程圖���;圖2是本發(fā)明實施例一提供的另ー種網(wǎng)絡(luò)檢測的方法的流程圖�����;圖3是本發(fā)明實施例ニ提供的一種網(wǎng)絡(luò)檢測的裝置的示意圖�����;圖4是本發(fā)明實施例ニ提供的另ー種網(wǎng)絡(luò)檢測的裝置的示意圖��。
具體實施例方式本發(fā)明實施例提供一種網(wǎng)絡(luò)檢測的方法及裝置���,可以解決現(xiàn)有技術(shù)中網(wǎng)絡(luò)設(shè)備受攻擊報警不準確的問題�。本發(fā)明實施例還提供相應(yīng)的裝置���。以下分別進行詳細說明���。實施例一、請參考圖1�,本發(fā)明實施例提供一種網(wǎng)絡(luò)檢測的方法,包括101���、在第一時間段內(nèi)采集多個樣本�����,該多個樣本為第一指標�,該第一指標用于標識網(wǎng)絡(luò)設(shè)備處理控制報文的繁忙狀態(tài)。所述多個樣本構(gòu)成一個樣本空間���。第一時間段是ー個預(yù)設(shè)時間段,在此時間段內(nèi)����,按照固定的時間間隔或隨機時間間隔采集樣本,該固定時間間隔和時間段的長度可以設(shè)置�����。在此時間段內(nèi)采集到的多個樣本構(gòu)成ー個樣本空間���。第一指標可以是百分比類型的數(shù)據(jù)或流量類型數(shù)據(jù)或會話類型的數(shù)據(jù)數(shù)據(jù)��。其中�,百分比類型的數(shù)據(jù)���,可以包括如下中的ー個或多個網(wǎng)絡(luò)設(shè)備CPU利用率(% )���;網(wǎng)絡(luò)設(shè)備內(nèi)存利用率(% );網(wǎng)絡(luò)設(shè)備承諾訪問速率(Committed Access Rate, CAR)漏桶丟包率(% )�����。流量類型的數(shù)據(jù),可以包括如下中的ー個或多個網(wǎng)絡(luò)設(shè)備協(xié)議報文的流量速率(比特/秒或報文/秒)���;網(wǎng)絡(luò)設(shè)備錯誤報文的流量速率(比特/秒或報文/秒)�;網(wǎng)絡(luò)設(shè)備丟包報文的速率(比特/秒或報文/秒)�����。會話類型的數(shù)據(jù)�,可以包括如下中的ー個或多個網(wǎng)絡(luò)設(shè)備新建連接速率(會話數(shù)/秒);網(wǎng)絡(luò)設(shè)備并發(fā)連接數(shù)(會話數(shù)/秒)�����。為方便后續(xù)描述���,該樣本空間記為X = Ix1, x2�����,x3�����,......�����,Xn^1, xj���。其中,X1是采集的第一個樣本��,^是采集到的第η個樣本��,共采樣η個樣本����。X為樣本空間。102���、對所述樣本空間進行基于正態(tài)分布的置信區(qū)間計算���,將置信區(qū)間的上限作為 門限值。計算該樣本空間的平均值P
權(quán)利要求
1.一種網(wǎng)絡(luò)檢測的方法��,其特征在干�����,包括在第一時間段內(nèi)采集多個樣本,所述樣本為第一指標���,所述第一指標用于標識網(wǎng)絡(luò)設(shè)備處理控制報文的繁忙狀態(tài)��,所述多個樣本構(gòu)成ー個樣本空間�;對所述樣本空間進行置信區(qū)間計算���,將置信區(qū)間的上限作為門限值�����; 采集第一數(shù)值��,所述第一數(shù)值為所述第一指標在第一時刻的值�,所述第一時刻為發(fā)生在所述第一時間段后的時刻��;當所述第一數(shù)值大于所述門限值時����,則確定所述網(wǎng)絡(luò)設(shè)備受到攻擊。
2.根據(jù)權(quán)利要求1所述的方法,其特征在干��,所述對所述樣本空間進行置信區(qū)間計算具體包括計算所述樣本空間的平均值�; 計算所述樣本空間的標準差;根據(jù)所述樣本空間的平均值����,和所述樣本空間的標準差,和正態(tài)分布參數(shù)表�����,計算所述樣本空間的置信區(qū)間����。
3.根據(jù)權(quán)利要求1或2所述的方法��,其特征在干��,所述第一指標為百分比類型的數(shù)據(jù)或流量類型的數(shù)據(jù)或會話類型的數(shù)據(jù)���。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在干,所述百分比類型的數(shù)據(jù)包括以下中的一個或多個網(wǎng)絡(luò)設(shè)備CPU利用率���; 網(wǎng)絡(luò)設(shè)備內(nèi)存利用率����; 網(wǎng)絡(luò)設(shè)備承諾訪問速率漏桶丟包率。
5.根據(jù)權(quán)利要求3所述的方法�,其特征在干,所述流量類型的數(shù)據(jù)包括以下中的ー個或多個網(wǎng)絡(luò)設(shè)備協(xié)議報文的流量速率��; 網(wǎng)絡(luò)設(shè)備錯誤報文的流量速率�; 網(wǎng)絡(luò)設(shè)備丟包報文的速率。
6.根據(jù)權(quán)利要求3所述的方法�,其特征在干,所述會話類型的數(shù)據(jù)包括以下中的ー個或多個網(wǎng)絡(luò)設(shè)備新建連接速率���; 網(wǎng)絡(luò)設(shè)備并發(fā)連接數(shù)�。
7.根據(jù)權(quán)利要求1至3任一所述的方法�,其特征在干,當所述第一數(shù)值大于所述門限值時��,所述方法還包括對超出所述門限值的控制報文流量進行限速�����。
8.一種網(wǎng)絡(luò)檢測的裝置,其特征在干����,包括采集模塊,用于在第一時間段內(nèi)采集多個樣本��,所述樣本為第一指標����,所述第一指標用于標識網(wǎng)絡(luò)設(shè)備處理控制報文的繁忙狀態(tài),所述多個樣本構(gòu)成ー個樣本空間�����;采集第一數(shù)值��,所述第一數(shù)值為所述第一指標在第一時刻的值�����,所述第一時刻為發(fā)生在所述第一時間段后的時刻�;計算模塊��,用于對所述樣本空間進行置信區(qū)間計算���,將置信區(qū)間的上限作為門限值���; 判斷模塊��,用于當所述第一數(shù)值大于所述門限值時���,確定所述網(wǎng)絡(luò)設(shè)備受到攻擊。
9.根據(jù)權(quán)利要求8所述的裝置���,其特征在于���,還包括執(zhí)行模塊,用于當所述第一數(shù)值大于所述門限值時����,對超出所述門限值的控制報文流量進行限速。
全文摘要
本發(fā)明實施例公開了一種網(wǎng)絡(luò)檢測的方法�,包括在一個時間段內(nèi)采集多個標識網(wǎng)絡(luò)設(shè)備處理控制報文繁忙狀態(tài)的樣本,組成樣本空間����;對該樣本空間進行置信區(qū)間計算,將置信區(qū)間的上限作為門限值����;采集下一時刻的數(shù)值�����,將該數(shù)值與該門限值比較�����,根據(jù)比較結(jié)果判斷網(wǎng)絡(luò)設(shè)備是否受到攻擊�。本發(fā)明實施例還提供相應(yīng)的裝置���。本發(fā)明實施例技術(shù)方案�����,通過自動計算門限值��,解決了現(xiàn)有技術(shù)中由于人工設(shè)置門限值不準確,導(dǎo)致不能正確判斷網(wǎng)絡(luò)設(shè)備是否受到攻擊的問題����。
文檔編號H04L12/26GK102571493SQ201210004860
公開日2012年7月11日 申請日期2012年1月9日 優(yōu)先權(quán)日2012年1月9日
發(fā)明者付天福 申請人:華為技術(shù)有限公司