CN106603335B - 私有软件流量监控方法和设备 - Google Patents
私有软件流量监控方法和设备 Download PDFInfo
- Publication number
- CN106603335B CN106603335B CN201611161361.XA CN201611161361A CN106603335B CN 106603335 B CN106603335 B CN 106603335B CN 201611161361 A CN201611161361 A CN 201611161361A CN 106603335 B CN106603335 B CN 106603335B
- Authority
- CN
- China
- Prior art keywords
- message
- messages
- flow control
- specified threshold
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 22
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000008520 organization Effects 0.000 claims description 6
- 238000009825 accumulation Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 4
- 125000004122 cyclic group Chemical group 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000011217 control strategy Methods 0.000 abstract description 3
- 230000004044 response Effects 0.000 description 28
- 230000003068 static effect Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
Landscapes
- Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种私有软件流量监控的方法和设备,其中,所述方法包括:接收报文;获取所述报文的流控辅助信息,所述流控辅助信息中至少包含报文类型,并根据所述流控辅助信息,更新软件流控表中的对应的接收报文数目;将所述接收报文数目与指定阈值进行比较,当所述报文的接收数目大于所述指定阈值时,丢弃报文,产生告警;当所述报文的接收数目不大于所述指定阈值时,按照正常路径转发所述报文。在本发明的各个实施例中,提供了包含报文类型的三级软件流控策略,通过将报文进行分类,并根据不同类型的数据报文,设置不同的指定阈值,从而能够对数据报文实施有效的流控,进而使得业务无法独占资源,避免或降低模拟报文攻击导致系统崩溃的危险。
Description
技术领域
本发明涉及计算机技术的技术领域,更具体地,涉及私有软件流量监控方法和设备。
背景技术
现今,Web浏览、私人E-mail收发、P2P下载、网络电视、即时通讯及网络游戏等与工作不太相关和无关的应用日益泛滥。客户有限的出口网络带宽资源,迅速被P2P下载、网络电视等非关键应用和无关应用占用和吞噬,造成宝贵的带宽资源被滥用和浪费。另一方面,一旦黑客模拟用户的正常报文对系统进行攻击,将会独占资源,从而导致用户的所有业务中断。
目前,现有的软件流控粒度一般来说比较粗,通常只是基于用户MAC地址或者端口进行流量控制。例如,基于用户MAC地址的流控算法通常根据用户的源MAC地址识别流量,如果相应的流量超出指定的阈值,报文将被丢弃。而基于端口的流控算法更加简单,对进端口的流量,不进行用户流量的识别,如果超出指定的端口阈值,报文将被丢弃。
鉴于此,有必要提供一种高效的私有软件监控方法和设备,从而避免业务对网络资源的独占。
发明内容
本发明实施方式的目的旨在提供一种高效的私有软件监控方法和设备,避免业务对网络资源的独占。
根据本发明的另一个方面,提供一种私有软件流量监控的方法,包括:接收报文;获取所述报文的流控辅助信息,所述流控辅助信息中至少包含报文类型,并根据所述流控辅助信息,更新软件流控表中的对应的接收报文数目;将所述接收报文数目与指定阈值进行比较,当所述报文的接收数目大于所述指定阈值时,丢弃报文,产生告警;当所述报文的接收数目不大于所述指定阈值时,按照正常路径转发所述报文。
根据本发明的另一个方面,提供一种私有软件流量监控的设备,包括:接收模块,适于接收报文;获取模块,适于根据所接收的报文,获取其流控辅助信息,所述流控辅助信息中至少包含报文类型;流控模块,适于根据所述流控辅助信息,更新软件流控表中的对应的接收报文数目,并进行流量监控;传送模块,适于根据所述流量监控的结果,按照正常路径传送所接收到的报文;
进一步地,对不同类型的数据报文,设置不同的指定阈值。
进一步地,所述软件流控表采用三级架构,其中,第一级表为端口表,第二级表为报文类型表,第三级表为MAC地址表;并且,所述端口表指向所述报文类型表,所述报文类型表进一步指向所述MAC地址表;所述MAC表采用哈希的组织形式,根据报文的源MAC地址动态生成。
在本发明的各个实施例中,提供了包含报文类型的三级软件流控策略,通过将报文进行分类,并根据不同类型的数据报文,设置不同的指定阈值,从而能够对数据报文实施有效的流控,进而使得业务无法独占资源,避免或降低模拟报文攻击导致系统崩溃的危险。
从下文结合附图所做出的详细描述中,本发明的这些和其他优点和特征,连同其操作的组织和方式将变得明显,其中在整个下文描述的若干附图中,类似的元件将具有类似的编号。
附图说明
图1是本发明某些实施方式中一种私有软件流量监控的方法的流程示意图;
图2是如图1所示步骤S2软件流控表的架构示意图;
图3是如图1所示步骤S2某些实施方式的流程示意图;
图4-图5是如图1所示步骤S3某些实施方式的流程示意图;
图6是本发明某些实施方式中一种私有软件流量监控的设备的结构示意图。
具体实施方式
下文将参考附图更完整地描述本公开内容,其中在附图中显示了本公开内容的实施方式。但是这些实施方式可以用许多不同形式来实现并且不应该被解释为限于本文所述的实施方式。相反地,提供这些实例以使得本公开内容将是透彻和完整的,并且将全面地向本领域的熟练技术人员表达本公开内容的范围。
附图中的流程图和框图,图示了按照本发明各种实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含一个或多个用于实现预定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
发明人在实践中发现,现有技术由于粒度过粗,无法避免某些用户的某些业务独占网络资源,一旦黑客模拟用户的正常报文攻击系统,将会导致此用户的所有业务中断。
参考图1,在本发明的一种实施方式中,提供了一种私有软件流量监控的方法,包括:
步骤S1,接收报文。其中,步骤S1进一步可包括报文完整性效验,其中,所述报文完整性效验可包括,采用循环冗余校验码(即CRC)对报文的完整性进行效验。其中,CRC效验可包括:采用生成多项式对收到的报文的编码多项式做模2除检测和确定错误位置,当获得的CRC校验码与和发送方约定的一样,则通过CRC效验,否则CRC效验失败。
当CRC效验失败时,执行步骤S5,丢弃报文,产生告警。
当CRC效验通过时,执行步骤S2,获取报文的流控辅助信息,所述流控辅助信息中至少包含报文类型,并根据所述流控辅助信息,更新软件流控表中的对应的接收报文数目。
根据本发明的某些方面,所述流控辅助信息可包含:端口、报文类型、源MAC地址信息,其中,所述软件流控表的对应条目,用于描述与设定端口、设定报文类型的用户报文的接收数目。
在一种实施方式中,所述更新软件流控表的对应条目包括:在所述软件流控表中,创建于所述报文对应的接收数目。具体来说,当所接收到的报文为所述端口下此类型的第一条用户报文,则新增与所述端口、所述类型对应的一项条目,且其对应的报文接收数目为1。
在另一种实施方式中,所述更新软件流控表的对应条目包括:变更软件流控表中,与所述报文对应的接收数目。具体来说,当所接收到的报文为所述端口下此类型的第n条用户报文,则在软件流控表中,将与该端口对应的此类型用户报文数目变更为n+1。又或者,当所述累计时间符合设定条件时,将与此类型对应的报文数目清零。
接着,执行步骤S3,将所述接收报文数目与指定阈值进行比较。当此时所述对应条目中,该报文的接收数目大于指定的阈值时,执行步骤S5,丢弃报文,产生告警;当所述对应条目的值不大于指定的阈值时,执行步骤S4,按照正常路径转发所述报文。
根据本发明的某些实施方式,参考图2,所述软件流控表可采用如图所示的三级表。其中,第一级表为端口表,第二级表为报文类型表,第三级表为MAC地址表。
其中,端口表可为静态表。例如,该端口表中的每一条端口项可包括端口标记、端口类型和报文数目三个条目,其中,所述端口标记分别对应各个端口,例如LAN1到LAN8,以及WAN1到WAN2。所述端口类型可包括LAN和WAN;所述报文数目用于指示此端口接收的报文数目。
其中,报文类型表可为静态表。例如,该报文类型表中的每一条报文类型项可包括报文类型、报文数目和指针三个条目。其中,所述报文类型可包括,HTTP请求和响应报文、ICMP请求和响应报文、FTP报文、TFTP报文、APP请求和响应报文、TCP请求和响应报文、UDP请求和响应报文以及其他非控制报文等。所述报文数目适于指示该端口下接收的、此类型报文的报文数目;所述指针适于指示指向MAC表的HASH Key(哈希值)数组。其中,HASH Key的桶容量长度为256,HASH Key可采用如下公式生成:HASH Key=(Source MAC1^Source MAC2^Source MAC3^Source MAC4^Source MAC5^Source MAC6)%256。
其中,MAC表可为动态表。具体来说,MAC表中的每一项可包括MAC地址、报文数目和指针三个条目。其中,MAC地址适于指示报文中的源MAC地址,报文数目适于指示此端口下接收的、从特定用户过来的、此报文类型的报文数目,指针用于指向下一个MAC表项。
具体来说,在上述软件流控表中,第一级静态的端口表指向第二级静态的报文类型表,接着,第二级静态的报文类型表指向第三级动态的MAC表。MAC表采用HASH的组织形式,根据报文的源MAC地址动态生成。根据本发明的某些实施方式,参考图3,步骤S2进一步包括:步骤S201,当接收到有效报文之后,分别获取报文的端口、报文类型以及源MAC地址信息;步骤S202,根据所接收的上述信息,在端口表中查找与所述端口对应的端口表项,更新所述端口表项的对应条目;步骤S203,根据该端口表项获取其所指向的报文类型表项,并更新该报文类型表项的对应条目;步骤S204,根据报文类型表项获取其指向的MAC表项,更新所述MAC表项的对应条目。
进一步地,步骤S5还可包括:将丢弃的报文记入日志,并记录告警的原因,例如因为CRC效验未通过而产生告警,或者因为端口接收的报文数目超出端口阈值而产生告警,或者因为该类型的报文接收数目超出指定阈值而产生告警、或者因为该端口下此报文类型且特定用户的报文接收数目超过指定阈值而产生告警等。
参考图4,在本发明的另一种实施方式中,步骤S3可包括:
步骤S301,比较该端口下的报文的总的报文数目统计值,如果超出第一指定阈值,执行步骤S5,丢弃报文,产生告警;
步骤S302,比较该端口下所述报文类型总的报文数目统计值,如果超出第二指定阈值,执行步骤S5,丢弃报文,产生告警;
步骤S303,比较该端口下所述报文类型且特定用户的报文数目统计值,如果超出第三指定阈值,执行步骤S5,丢弃报文,产生告警。
当执行完步骤S301至步骤S303,其接收数目都没有超出对应的阈值的报文,则执行步骤S4,按正常流程转发处理。其中,上述步骤S301、步骤S302和步骤S303之间的先后顺序可应统计要求或计算便利性进行调整,并不应对本发明的发明思想造成限制。
在某些具体实施例中,当基于每个用户对HTTP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为1000PPS(Packets per second,包数/秒),基于所有用户的此类型报文的所述指定阈值可设置为3000PPS。
在某些具体实施例中,当基于每个用户对ICMP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为200PPS,基于所有用户的此类型报文的所述指定阈值可设置为600PPS。
在某些具体实施例中,当基于每个用户对FTP报文进行流量控制时,对于某一用户的所述指定阈值可设置为200PPS,基于所有用户的此类型报文的所述指定阈值可设置为3000PPS。
在某些具体实施例中,当基于每个用户对TFTP报文进行流量控制时,对于某一用户的所述指定阈值可设置为2000PPS,基于所有用户的此类型报文的所述指定阈值可设置为3000PPS。
在某些具体实施例中,当基于每个用户对ICMP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为200PPS,基于所有用户的此类型报文的所述指定阈值可设置为6000PPS。
在某些具体实施例中,当基于每个用户对其他TCP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为500PPS,基于所有用户的此类型报文的所述指定阈值可设置为1500PPS。
在某些具体实施例中,当基于每个用户对UDP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为500PPS,基于所有用户的此类型报文的所述指定阈值可设置为1500PPS。
在某些具体实施例中,当基于其它非控制报文进行流量控制时,对于某一用户的所述指定阈值可设置为100PPS,基于所有用户的此类型报文的所述指定阈值可设置为300PPS。其中,所述控制报文可包括协议控制报文和管理报文。例如,SNMP请求和响应报文,即用于NMS管理本网络设备的简单网络管理协议报文;又例如,Telnet请求和响应报文,即用于用户远程登陆和管理本网络设备的internet远程登陆服务的标准协议报文;又例如,HTTP请求和响应报文,即用于用户WEB登陆和管理本网络设备的访问本设备的HTTP请求和响应报文。
通过将报文进行分类,使得私有软件流量监控能够对数据报文进行有效的流控,而控制报文,例如协议控制报文和管理报文,则不受影响。并且,根据不同类型的数据报文,设置不同的指定阈值,使得业务无法独占资源,从而避免或降低模拟报文攻击导致系统崩溃的危险。
在本发明的又一种实施方式中,步骤S3可包括:在指定时间周期内,将与该报文接收数目与指定阈值进行比较。
具体来说,参考图5,根据本方案的某方面,步骤S3可进一步包括,设置指定的时间周期和扫描间隔。当设置了时间周期t1和扫描间隔t2之后,步骤S3进一步可包括:步骤S311,每间隔扫描间隔t2之后,统计报文的接收数目;步骤S312,将所述统计结果与指定阈值进行比较,当所述统计结果超出指定阈值时,则执行步骤S5,丢弃报文,产生告警;反之,则执行步骤S4,按照正常路径转发所述报文。步骤S313,判断当前时间的累计是否达到所述指定时间周期t1,当没有达到所述指定时间周期t1时,返回步骤S311,反之,执行步骤S314。步骤S314,当统计时间达到所述指定时间周期时,所有统计值清零,返回步骤S311。
其中,步骤S311可包括,统计所述端口下所接收的报文总数,或者统计所述端口下所述报文类型的所接收报文总数,或者统计所述端口下所述报文类型且特定用户的所接收报文总数。
其中,步骤S0可进一步包括:初始化流控表和定时器。例如,可对定位器进行初始化,使得扫描间隔为1秒,扫描周期为10秒。
参考图6,根据本发明的某些方面,提供了一种私有软件流量监控的设备100,包括:
接收模块110,适于接收报文;
获取模块120,适于根据所接收的报文,获取其流控辅助信息,所述流控辅助信息中至少包含报文类型;
流控模块130,适于根据所述流控辅助信息,更新软件流控表中的对应的接收报文数目,并进行流量监控;
传送模块140,适于根据所述流量监控的结果,按照正常路径传送所接收到的报文;
告警模块150,适于根据所述流量监控的结果,丢弃所述报文并产生告警。
在某些实施方式中,接收模块110进一步包括检测模块101,适于根据所述获取的报文进行完整性校验。其中,检测模块101适于对所接收的报文进行循环冗余校验校验,当校验失败,将所述报文传输至告警模块150,并等待对下一个报文进行处理;当校验通过,将所述报文传输至传送模块140,并通过获取模块120获取所接收报文的流控辅助信息。
在某些实施方式中,流控模块130更新软件流控表中的对应的接收报文数目进一步包括:生成软件流控表的对应条目。具体来说,当所接收到的报文为所述端口下此类型的第一条用户报文,则新增与所述端口、所述类型对应的一项条目,且数目为1。在另一些实施方式中,流控模块130更新软件流控表中的对应的接收报文数目进一步包括:生成软件流控表的对应条目。具体来说,当所接收到的报文为所述端口下此类型的第一条用户报文,则新增与所述端口、所述类型对应的一项条目,且数目为1。
在某些实施方式中,流控模块130进行流量监控,进一步包括:将所述接收报文数目与指定阈值进行比较。当监控到该报文的接收数目大于指定的阈值时,流控模块130将该报文传输至告警模块150,对该报文进行丢弃,并产生告警;当监控到该报文的接收数目不大于指定的阈值时,流控模块130将该报文传输至传送模块140,按照正常路径转发所述报文。
在某些具体实施例中,流控模块130根据不同类型的数据报文采用不同的指定阈值。具体来说,当基于每个用户对HTTP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为1000PPS,基于所有用户的此类型报文的所述指定阈值可设置为3000PPS;在某些具体实施例中,当基于每个用户对ICMP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为200PPS,基于所有用户的此类型报文的所述指定阈值可设置为600PPS;在某些具体实施例中,当基于每个用户对FTP报文进行流量控制时,对于某一用户的所述指定阈值可设置为200PPS,基于所有用户的此类型报文的所述指定阈值可设置为3000PPS;在某些具体实施例中,当基于每个用户对TFTP报文进行流量控制时,对于某一用户的所述指定阈值可设置为2000PPS,基于所有用户的此类型报文的所述指定阈值可设置为3000PPS;某些具体实施例中,当基于每个用户对ICMP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为200PPS,基于所有用户的此类型报文的所述指定阈值可设置为6000PPS;在某些具体实施例中,当基于每个用户对其他TCP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为500PPS,基于所有用户的此类型报文的所述指定阈值可设置为1500PPS;在某些具体实施例中,当基于每个用户对UDP请求和响应报文进行流量控制时,对于某一用户的所述指定阈值可设置为500PPS,基于所有用户的此类型报文的所述指定阈值可设置为1500PPS;在某些具体实施例中,当基于其它非控制报文进行流量控制时,对于某一用户的所述指定阈值可设置为100PPS,基于所有用户的此类型报文的所述指定阈值可设置为300PPS。其中,所述控制报文可包括协议控制报文和管理报文。例如,SNMP请求和响应报文,即用于NMS管理本网络设备的简单网络管理协议报文;又例如,Telnet请求和响应报文,即用于用户远程登陆和管理本网络设备的internet远程登陆服务的标准协议报文;又例如,HTTP请求和响应报文,即用于用户WEB登陆和管理本网络设备的访问本设备的HTTP请求和响应报文。
在另一种实施方式中,所述设备100还可包括:定时器160。通过设定定时器160的间隔时间T1以及扫描周期T2,使得定时器160在T1时间内扫描软件流控表,判断是否超出阈值,如果超出,流控模块130将该报文传输至告警模块150,丢弃报文,产生告警,否则流控模块130将该报文传输至传输模块140,按正常路径对该报文进行转发处理。当扫描周期T2到期,所有统计值清零,开始下一轮的扫描。在某些实施方式中,扫描周期T2为间隔时间T1的整数倍。
在某些实施方式中,所述软件流控表可采用包含报文类型的三级表。例如,可采用,第一级表为静态端口表,第二级表为静态报文类型表,第三级表为动态MAC地址表。其中,静态的端口表指向静态的报文类型表,接着,静态的报文类型表指向动态的MAC表。MAC表采用HASH的组织形式,根据报文的源MAC地址动态生成。在报文类型表中,其每一条报文类型项可包括报文类型、报文数目和指针三个条目。其中,所述报文类型可包括,HTTP请求和响应报文、ICMP请求和响应报文、FTP报文、TFTP报文、APP请求和响应报文、TCP请求和响应报文、UDP请求和响应报文以及其他非控制报文等。所述报文数目适于指示该端口下接收的、此类型报文的报文数目;所述指针适于指示指向MAC表的HASH Key数组。其中,HASH Key的桶容量长度为256,HASH Key可采用如下公式生成:HASH Key=(Source MAC1^SourceMAC2^Source MAC3^Source MAC4^Source MAC5^Source MAC6)%256。
进一步地,告警模块150还可包括:日志模块,适于记录丢弃的报文以及告警的原因,例如因为CRC效验未通过而产生告警,或者因为端口接收的报文数目超出端口阈值而产生告警,或者因为该类型的报文接收数目超出指定阈值而产生告警、或者因为该端口下此报文类型且特定用户的报文接收数目超过指定阈值而产生告警等。
相较于现有技术,本发明的各个实施例采用包含报文类型的三级软件流控策略,通过将报文进行分类,并根据不同类型的数据报文,设置不同的指定阈值,从而能够对数据报文实施有效的流控,进而使得业务无法独占资源,避免或降低模拟报文攻击导致系统崩溃的危险。
已经出于示出和描述的目的给出了本发明的说明书,但是其并不意在是穷举的或者限制于所公开形式的发明。本领域技术人员在阅读了本公开内容后,还可以想到很多修改和变体。上文描述的各种实施方式可以单独使用或者在各种组合中使用,除非上下文明确指出。本领域技术人员应当理解,本发明实施方式中的方法和装置可以以软件、硬件、固件或其组合实现。在不脱离本发明精神的前提下,做出的所有修改和替换都将落入所附权利要求定义的本发明保护范围内。
Claims (7)
1.一种私有软件流量监控方法,其特征在于,包括:
接收报文;
获取所述报文的流控辅助信息,所述流控辅助信息中至少包含报文类型、端口、源MAC地址信息,并根据所述流控辅助信息,更新软件流控表中的对应的接收报文数目,所述软件流控表采用三级架构,其中,第一级表为端口表,第二级表为报文类型表,第三级表为MAC地址表;并且,所述端口表指向所述报文类型表,所述报文类型表进一步指向所述MAC地址表,所述MAC表采用哈希的组织形式,根据报文的源MAC地址动态生成;
将所述接收报文数目与指定阈值进行比较,当所述报文的接收数目大于所述指定阈值时,丢弃报文,产生告警;当所述报文的接收数目不大于所述指定阈值时,按照正常路径转发所述报文。
2.如权利要求1所述的方法,其特征在于,所述接收报文进一步包括采用循环冗余校验码对报文的完整性进行效验,当效验通过时,获取所述报文的流控辅助信息。
3.如权利要求1所述的方法,其特征在于,所述将接收报文数目与指定阈值进行比较包括:
比较所述端口下报文的总的报文数目统计值,当超出第一指定阈值时,丢弃报文,产生告警;
比较该端口下所述报文类型总的报文数目统计值,当超出第二指定阈值时,丢弃报文,产生告警;
比较该端口下所述报文类型且特定用户的报文数目统计值,当超出第三指定阈值,丢弃报文,产生告警。
4.如权利要求1所述的方法,其特征在于,所述将接收报文数目与指定阈值进行比较包括:
每间隔指定扫描间隔之后,统计报文的接收数目;
将所述统计结果与指定阈值进行比较,当所述统计结果超出指定阈值时,则丢弃报文,产生告警;反之,则按照正常路径转发所述报文;
判断当前时间的累计是否达到指定时间周期,当没有达到所述指定时间周期时,继续统计报文的接收数目,反之,当统计时间达到所述指定时间周期时,所有统计值清零。
5.如权利要求1-4中任一所述的方法,其特征在于,对不同类型的数据报文,设置不同的指定阈值。
6.一种私有软件流量监控的设备,包括:
接收模块,适于接收报文;
获取模块,适于根据所接收的报文,获取其流控辅助信息,所述流控辅助信息中至少包含报文类型、端口、源MAC地址信息;
流控模块,适于根据所述流控辅助信息,更新软件流控表中的对应的接收报文数目,并进行流量监控,所述软件流控表采用三级架构,其中,第一级表为端口表,第二级表为报文类型表,第三级表为MAC地址表;并且,所述端口表指向所述报文类型表,所述报文类型表进一步指向所述MAC地址表;所述MAC表采用哈希的组织形式,根据报文的源MAC地址动态生成;
传送模块,适于根据所述流量监控的结果,按照正常路径传送所接收到的报文;
告警模块,适于根据所述流量监控的结果,丢弃所述报文并产生告警。
7.如权利要求6所述的设备,其特征在于,所述流控模块进一步包括:
将所述接收报文数目与指定阈值进行比较,并根据不同类型的数据报文采用不同的指定阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611161361.XA CN106603335B (zh) | 2016-12-15 | 2016-12-15 | 私有软件流量监控方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611161361.XA CN106603335B (zh) | 2016-12-15 | 2016-12-15 | 私有软件流量监控方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106603335A CN106603335A (zh) | 2017-04-26 |
| CN106603335B true CN106603335B (zh) | 2020-07-07 |
Family
ID=58801673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611161361.XA Active CN106603335B (zh) | 2016-12-15 | 2016-12-15 | 私有软件流量监控方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603335B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109672701B (zh) * | 2017-10-16 | 2020-12-11 | 中国科学院信息工程研究所 | 一种差异化tcp链接管理方法及设备 |
| CN110347550A (zh) * | 2019-06-10 | 2019-10-18 | 烽火通信科技股份有限公司 | Android系统终端设备的安全监测处理方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626324A (zh) * | 2009-08-19 | 2010-01-13 | 杭州华三通信技术有限公司 | 转发路径检测方法和设备 |
| CN102420776A (zh) * | 2012-01-12 | 2012-04-18 | 盛科网络(苏州)有限公司 | 动态调整入口资源分配阈值的方法及系统 |
| CN102904823A (zh) * | 2012-10-23 | 2013-01-30 | 大连梯耐德网络技术有限公司 | 一种基于存储器的多用户多业务的精确流量控制方法 |
| WO2015165212A1 (zh) * | 2014-04-30 | 2015-11-05 | 深圳市中兴微电子技术有限公司 | 一种报文处理方法、装置及计算机存储介质 |
-
2016
- 2016-12-15 CN CN201611161361.XA patent/CN106603335B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626324A (zh) * | 2009-08-19 | 2010-01-13 | 杭州华三通信技术有限公司 | 转发路径检测方法和设备 |
| CN102420776A (zh) * | 2012-01-12 | 2012-04-18 | 盛科网络(苏州)有限公司 | 动态调整入口资源分配阈值的方法及系统 |
| CN102904823A (zh) * | 2012-10-23 | 2013-01-30 | 大连梯耐德网络技术有限公司 | 一种基于存储器的多用户多业务的精确流量控制方法 |
| WO2015165212A1 (zh) * | 2014-04-30 | 2015-11-05 | 深圳市中兴微电子技术有限公司 | 一种报文处理方法、装置及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106603335A (zh) | 2017-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10673877B2 (en) | Method and apparatus for detecting port scans in a network | |
| US10686814B2 (en) | Network anomaly detection | |
| US10476897B2 (en) | Method and apparatus for improving network security | |
| US20200244676A1 (en) | Detecting outlier pairs of scanned ports | |
| CN106506242B (zh) | 一种网络异常行为和流量监测的精确定位方法与系统 | |
| KR20140088340A (ko) | 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법 | |
| US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
| You et al. | Packet in message based DDoS attack detection in SDN network using OpenFlow | |
| JP6454224B2 (ja) | 通信装置 | |
| KR20150037940A (ko) | 네트워크 트래픽 처리 시스템 | |
| US10834125B2 (en) | Method for defending against attack, defense device, and computer readable storage medium | |
| US20170208083A1 (en) | Network management device at network edge | |
| US20210400072A1 (en) | Port scan detection using destination profiles | |
| CN106357660B (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
| CN104363240A (zh) | 基于信息流行为合法性检测的未知威胁的综合检测方法 | |
| US20210234871A1 (en) | Infection-spreading attack detection system and method, and program | |
| US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
| CN106603335B (zh) | 私有软件流量监控方法和设备 | |
| Toprak et al. | Detection of DHCP starvation attacks in software defined networks: A case study | |
| EP3918762B1 (en) | Port scan detection | |
| Nashat et al. | Detecting syn flooding agents under any type of ip spoofing | |
| Li et al. | Detecting saturation attacks in software-defined networks | |
| WO2016014178A1 (en) | Identifying malware-infected network devices through traffic monitoring | |
| JP5028202B2 (ja) | 制御ネットワークシステム | |
| CN116506225A (zh) | 协作式DDoS攻击检测方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200728 Address after: Room 517-521, No. 800, Huanhu West 2nd Road, Pudong New Area, Shanghai, 201306 Patentee after: SHANGHAI ZHUOCHEN INFO-TECH Co.,Ltd. Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666 Patentee before: Phicomm (Shanghai) Co.,Ltd. |