[發明專利]智能流量基線學習方法、設備和計算機可讀存儲介質在審
| 申請號: | 202011212619.0 | 申請日: | 2020-11-03 |
| 公開(公告)號: | CN112333045A | 公開(公告)日: | 2021-02-05 |
| 發明(設計)人: | 郭嫻;楊佳寧;陳柯宇;楊立寶;樊佳訊;李瑩 | 申請(專利權)人: | 國家工業信息安全發展研究中心 |
| 主分類號: | H04L12/26 | 分類號: | H04L12/26;H04L29/06 |
| 代理公司: | 北京中濟緯天專利代理有限公司 11429 | 代理人: | 張瑩 |
| 地址: | 100040 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 智能 流量 基線 學習方法 設備 計算機 可讀 存儲 介質 | ||
本發明提出了一種智能流量基線學習方法、設備和計算機可讀存儲介質,方法包括以下步驟:從現有流量中識別出鏈路;檢測每一條所述鏈路的鏈路流量IL;確定每一條所述鏈路的流量基線IM;對于任意一條所述鏈路,若該鏈路的鏈路流量IL超過判斷值Q,且持續時間超過設定時間,則判定該鏈路違反流量基線;若任意一條所述鏈路被判定為違反流量基線,則檢測到攻擊,啟動告警;其中,Q=IM~1.05*IM。本發明提供的智能流量基線學習方法、設備和計算機可讀存儲介質,可實現對通訊流量實時監控,精準、快速地識別DoS類攻擊。
技術領域
本發明涉及數據傳輸技術領域,具體而言,涉及一種智能流量基線學習方法、設備和計算機可讀存儲介質。
背景技術
本發明對于背景技術的描述屬于與本發明相關的相關技術,僅僅是用于說明和便于理解本發明的發明內容,不應理解為申請人明確認為或推定申請人認為是本發明在首次提出申請的申請日的現有技術。
在工控環境中,業務流都是采用周期輪詢機制,一條鏈路的流量大小基本固定在某個正常的范圍內,如果流量突然大幅度增加,則可能發生了DoS類攻擊,更為具體地,發生了計算機網絡寬帶攻擊或連通性攻擊。現有技術無法對上述攻擊進行精準、快速地識別。
為了實現精準、快速地識別上述攻擊,本發明提出了一種智能流量基線學習方法、設備和計算機可讀存儲介質,可實現對通訊流量實時監控,精準、快速地識別DoS類攻擊。
發明內容
本發明提供了一種智能流量基線學習方法、設備和計算機可讀存儲介質,可實現對通訊流量實時監控,精準、快速地識別DoS類攻擊。
本發明第一方面的實施例提供了一種智能流量基線學習方法,包括以下步驟:從現有流量中識別出鏈路;檢測每一條鏈路的鏈路流量IL;確定每一條鏈路的流量基線IM;對于任意一條鏈路,若該鏈路的鏈路流量IL超過判斷值Q,且持續時間超過設定時間,則判定該鏈路違反流量基線;若任意一條鏈路被判定為違反流量基線,則檢測到攻擊,啟動告警;其中,Q=IM~1.05*IM。
優選地,鏈路流量IL為一個通訊會話中的服務端和客戶端之間的通訊流量,通訊流量包括服務端到客戶端的流量、客戶端到服務端的流量、服務端到客戶端的流量與客戶端到服務端的流量之和。
優選地,流量基線IM為正常通訊情況下鏈路的鏈路流量的閾值,任意一條鏈路的流量基線為服務端到客戶端的流量的閾值、客戶端到服務端的流量的閾值、或服務端到客戶端的流量與客戶端到服務端的流量之和的閾值。
優選地,檢測每一條鏈路的鏈路流量IL中,鏈路流量IL為一個通訊會話中服務端到客戶端的流量與客戶端到服務端的流量之和;
確定每一條鏈路的流量基線IM中,流量基線IM為正常通訊情況下該鏈路的服務端到客戶端的流量與客戶端到服務端的流量之和的閾值;對于任意一條鏈路,若該鏈路的鏈路流量IL超過判斷值Q,且持續時間超過設定時間,則判定該鏈路違反流量基線;其中,Q=1.02*IM~1.05*IM。
優選地,在正常通訊情況下,鏈路的鏈路流量IL為正常鏈路流量,正常鏈路流量的屬性包括,服務端和客戶端的ip地址、服務端和客戶端的MAC地址、服務端和客戶端之間的通訊協議、鏈路的流量基線。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于國家工業信息安全發展研究中心,未經國家工業信息安全發展研究中心許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011212619.0/2.html,轉載請聲明來源鉆瓜專利網。
