[發(fā)明專利]一種基于哈希算法的異常流量并行檢測方法及系統(tǒng)在審
| 申請?zhí)枺?/td> | 202110305980.6 | 申請日: | 2021-03-22 |
| 公開(公告)號: | CN112965970A | 公開(公告)日: | 2021-06-15 |
| 發(fā)明(設(shè)計)人: | 李肯立;吳璐;楊志邦;余思洋;唐卓;肖國慶;段明星;劉楚波;黎東 | 申請(專利權(quán))人: | 湖南大學;湖南匡安網(wǎng)絡(luò)技術(shù)有限公司 |
| 主分類號: | G06F16/215 | 分類號: | G06F16/215;G06F16/22;G06F16/2455;H04L29/06 |
| 代理公司: | 武漢臻誠專利代理事務(wù)所(普通合伙) 42233 | 代理人: | 宋業(yè)斌 |
| 地址: | 410082 湖*** | 國省代碼: | 湖南;43 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 算法 異常 流量 并行 檢測 方法 系統(tǒng) | ||
1.一種基于哈希算法的異常流量并行檢測方法,其特征在于,包括以下步驟:
(1)主節(jié)點設(shè)置計數(shù)器i=1以及檢測輪數(shù)k=1;
(2)主節(jié)點接收客戶端從外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包并將其存儲在緩存區(qū)中,并判斷該數(shù)據(jù)包與預(yù)先建立好的第i個數(shù)據(jù)派發(fā)表中數(shù)據(jù)包總數(shù)之和是否超過閾值Nmax,如果是則進入步驟(4),否則進入步驟(3);
(3)主節(jié)點對緩存區(qū)中的數(shù)據(jù)包進行數(shù)據(jù)清洗,以得到數(shù)據(jù)清洗后的數(shù)據(jù)包,并將數(shù)據(jù)清洗后的數(shù)據(jù)包存儲在作為當前數(shù)據(jù)派發(fā)表的第i個數(shù)據(jù)派發(fā)表中;
(4)主節(jié)點判斷是否所有從節(jié)點都處于檢測完成狀態(tài),若是則將當前數(shù)據(jù)派發(fā)表發(fā)給每個從節(jié)點,并進入步驟(5),否則返回步驟(3);
(5)主節(jié)點設(shè)置輪數(shù)k=k+1,并對作為非當前數(shù)據(jù)派發(fā)表的第1-i個數(shù)據(jù)派發(fā)表進行遍歷,逐一讀取其中的正常數(shù)據(jù)包,將其發(fā)送到內(nèi)部網(wǎng)絡(luò);
(6)主節(jié)點設(shè)置計數(shù)器i=1-i;并判斷是否繼續(xù)進行檢測,若是則進入步驟(7),否則過程結(jié)束;
(7)從節(jié)點接收作為當前數(shù)據(jù)派發(fā)表的第1-i個數(shù)據(jù)派發(fā)表,根據(jù)該數(shù)據(jù)派發(fā)表中數(shù)據(jù)包編號初始化預(yù)先在內(nèi)存中建立的檢測情況表,同時將各個數(shù)據(jù)包編號對應(yīng)的檢測情況設(shè)置為未檢測,并得到第k輪檢測的數(shù)據(jù)包總數(shù)N,初始化檢測情況表中檢測情況為已檢測的數(shù)據(jù)包數(shù)Ndetec=0,并判斷是否收到其他從節(jié)點發(fā)送的異常數(shù)據(jù)包,若是則將該異常數(shù)據(jù)包的信息錄入檢測情況表中,并進入步驟(8),否則直接進入步驟(8);
(8)從節(jié)點判斷檢測情況表中是否還存在檢測情況為未檢測的數(shù)據(jù)包,若是則進入步驟(9),否則進入步驟(12);
(9)從節(jié)點根據(jù)哈希算法從檢測情況表中獲取檢測情況為未檢測的數(shù)據(jù)包的數(shù)據(jù)包編號;
(10)從節(jié)點通過步驟(9)中得到的檢測情況為未檢測的數(shù)據(jù)包的數(shù)據(jù)包編號查找當前數(shù)據(jù)派發(fā)表(即第1-i個數(shù)據(jù)派發(fā)表),以得到該數(shù)據(jù)包編號對應(yīng)的數(shù)據(jù)包,根據(jù)模式匹配算法將該數(shù)據(jù)包與本節(jié)點劃分到的規(guī)則庫中的異常規(guī)則逐一進行模式匹配,并判斷模式匹配是否成功,若是則說明該數(shù)據(jù)包為異常數(shù)據(jù)包,立即停止檢測,并進入步驟(11),否則說明該數(shù)據(jù)包為正常數(shù)據(jù)包,并返回步驟(8);
(11)從節(jié)點將步驟(10)中得到的異常數(shù)據(jù)包的數(shù)據(jù)包編號、以及與該異常數(shù)據(jù)包匹配的異常規(guī)則類型一起作為異常數(shù)據(jù)包信息發(fā)送給所有從節(jié)點和主節(jié)點,并將該數(shù)據(jù)包在檢測情況表中的檢測情況修改為異常類型,并將檢測情況表中檢測情況為已檢測的數(shù)據(jù)包數(shù)Ndetec增加1,返回步驟(8);
(12)從節(jié)點向主節(jié)點發(fā)送包括其節(jié)點編號的數(shù)據(jù)包信息,以通知主節(jié)點該編號對應(yīng)從節(jié)點已完成第k輪數(shù)據(jù)包檢測;
(13)主節(jié)點接收從節(jié)點發(fā)送的數(shù)據(jù)包信息,并判斷其中是否包括從節(jié)點的節(jié)點編號,若是則進入步驟(14),否則說明該數(shù)據(jù)包信息是異常數(shù)據(jù)包信息,進入步驟(15);
(14)主節(jié)點根據(jù)數(shù)據(jù)包信息中的節(jié)點編號,將檢測狀態(tài)表中相應(yīng)節(jié)點編號所對應(yīng)的檢測狀態(tài)設(shè)置為檢測完畢,以得到更新后的檢測狀態(tài)表,然后返回步驟(4);
(15)主節(jié)點根據(jù)步驟(11)中從節(jié)點發(fā)送的異常數(shù)據(jù)包信息,將第k輪的當前數(shù)據(jù)派發(fā)表中對應(yīng)的數(shù)據(jù)包內(nèi)容和數(shù)據(jù)包的異常類型一起發(fā)送至異常存儲區(qū);并在當前數(shù)據(jù)派發(fā)表中將該數(shù)據(jù)包的數(shù)據(jù)包編號及數(shù)據(jù)包內(nèi)容刪除,從而得到更新后的數(shù)據(jù)派發(fā)表DataTable_(1-i)作為非當前數(shù)據(jù)派發(fā)表,并返回步驟(4)。
2.根據(jù)權(quán)利要求1所述的異常流量并行檢測方法,其特征在于,
緩存區(qū)是預(yù)先建立在服務(wù)器的內(nèi)存中,其大小是MB級別;
預(yù)先在服務(wù)器的內(nèi)存中建立有兩個數(shù)據(jù)派發(fā)表,分別表示為DataTable_0和DataTable_1,并由數(shù)據(jù)包編號和數(shù)據(jù)包內(nèi)容組成,最多可以存放Nmax條數(shù)據(jù)。
3.根據(jù)權(quán)利要求1所述的異常流量并行檢測方法,其特征在于,數(shù)據(jù)清洗包括刪除長度不規(guī)范的數(shù)據(jù)包,刪除格式不規(guī)范的數(shù)據(jù)包,刪除無用的符號,并刪除重復的數(shù)據(jù)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于湖南大學;湖南匡安網(wǎng)絡(luò)技術(shù)有限公司,未經(jīng)湖南大學;湖南匡安網(wǎng)絡(luò)技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110305980.6/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
