技術領域

本發明屬于網絡安全檢測與防御技術領域，特別是涉及一種網絡成分協調控制方法。

技術背景

網絡遭受的網絡攻擊，可以發生在網絡的各個協議層次，形式也是多種多樣的。對于已知的網絡攻擊，可以通過其特征來發現和防御它；但對于未知的網絡攻擊和所謂的零日攻擊，則網絡缺乏必要的檢測手段和應對措施。但如果我們把網絡正常運行情況下的各種可統計的量作為網絡的構成成分，把各種成分的比例分布作為網絡正常的參考標準，則我們可以以此參考標準檢驗每個時刻網絡的異常狀況，并且在發現網絡異常時，對網絡各成分進行控制，使得網絡各成分保持協調比例，以抑制潛在的網絡攻擊。這種系統的突出優點是，采取主動防御的方式，防范已知和未知的各種網絡攻擊。而且這種系統是基于數據包的網絡層頭部和傳輸層頭部的信息，不需要對應用層的數據進行解析，所以即便是對數據內容加密型的網絡攻擊也適用。

發明內容

本發明的目的在于克服現有技術的不足，提供一種網絡成分協調控制系統。

為了實現本發明目的，采用的技術方案如下：

一種網絡成分協調控制方法，它從數據包頭部信息獲取各種統計量和各種統計分布；把這些統計分布相對于正常網絡構成成分的偏離作為網絡異常程度；把對網絡異常分量的速率限制作為對網絡構成成分的協調控制。

它的從數據包頭部獲取信息的方法，是從數據包的網絡層和傳輸層頭部獲取各字段的取值，然后對這些取值進行分段處理，其方法具體如下：

設數據包頭部總共有M個字段，每個字段的取值為a_i，i＝1，...，M；如果a_i只有不太多個可能的取值，則不做分段處理，即令其索引值idx_i＝a_i；如果a_i有數千至數億個可能取值，則根據情況選擇進行如下分段處理：

a)除以一個整數2ⁿ并取整，即把a_i右移n位：idx_i＝a_i>>n

b)取log₂對數并取整，即求a_i的最高不為0比特：idx_i＝Mbit(a_i+a_i>>1)

c)求相對于整數m的余數：idx_i＝a_imod?m

d)令S_i為idx_i實際取值的集合，i＝1，...，M。

它的從數據包頭部獲取信息的方法，還可以把多個字段的值a_j，a_k，...，a_L組合在一起使用，并采用散列函數hash()把它映射成一個索引值：idx_M+k＝hash(a_j，a_k，...，a_L)，并令S_M+k為idx_M+k實際取值的集合，k＝1，...，K；令N＝M+K。

它的從數據包頭部信息獲取各種統計量的方法，就是當一個數據包達到時，由其頭部各字段變換得到的索引值idx₁，idx₂，...，idx_N，對計數器C_i[idx_i]進行累加統計，即令C_i[idx_i]＝C_i[idx_i]+obj，i＝1，2，...，N，其中obj由C_i[idx_i]的統計對象來確定，它可以是包數和、載荷長度和、到達時間間隔和，則對應的obj分別等于1、(total_length-head_length*4)、(current_time-last_arrival_time)。

它的從數據包頭部信息獲取各種統計分布的方法，就是在每個單位時間結束時，由該單位時間內的累加結果{C_i[idx_i]，idx_i∈S_i}進一步計算得到統計分布D_i[k]，i＝1，2，...，N，即：