專利名稱:網絡檢測的方法及設備的制作方法
技術領域:
本發明涉及通信技術領域,具體涉及ー種網絡檢測的方法及設備。
背景技術:
網絡設備部署在網絡上后,需要通過檢測網絡控制報文流量(如路由、撥號、認證)是否超出門限值,以確定網絡設備的繁忙狀態,判斷網絡設備是否受到攻擊。現有技術中,一般是通過人工設置和調整網絡控制報文流量指標的門限值。由于網絡的復雜性,人工設置門限值需要大量的經驗,容易造成門限值設置不合理(設置門限值過寬或過嚴),導致誤報警或沒有報警。例如毎秒上送中央處理器(Central Processing Unit,CPU)的地址解析協議(Address Resolution Protocol,ARP)報文個數是ー個檢測指標,當該指標超出門限值時應產生受到網絡攻擊的報警。該指標在路由器處于不同網絡環境中時門限值是不同的。在路由器作為寬帶遠程接入服務器(Broadband Remote Access Server, BRAS)吋,需要處理海量的家庭網關的ARP請求,此時該指標門限值應設置為較大的數值,如果此時設置的門限值過小,會在沒有受到網絡攻擊時也產生報警;在路由器作為核心路由器吋,由于周邊網元數量有限,其需要處理的ARP報文數量不會很多,此時該指標門限值應設置為較低的數值,如果此時設置的門限值過大,會在真正受到網絡攻擊時卻沒有報警。
發明內容
本發明實施例提供一種網絡檢測的方法及裝置,解決了現有技術中網絡設備受攻擊報警不準確的問題。根據本發明實施例的ー個方面,一種網絡檢測的方法,包括在第一時間段內采集多個樣本,所述樣本為第一指標,所述第一指標用于標識網絡設備處理控制報文的繁忙狀態,所述多個樣本構成ー個樣本空間;對所述樣本空間進行置信區間計算,將置信區間的上限作為門限值;采集第一數值,所述第一數值為所述第一指標在第一時刻的值,所述第一時刻為發生在所述第一時間段后的時刻;當所述第一數值大于所述門限值時,則確定所述網絡設備受到攻擊。根據本發明實施例的又ー個方面,一種網絡檢測的裝置,包括采集模塊,用于在第一時間段內采集多個樣本,所述樣本為第一指標,所述第一指標用于標識網絡設備處理控制報文的繁忙狀態。所述多個樣本構成一個樣本空間。采集第 ー數值,所述第一數值為所述第一指標在第一時刻的值,所述第一時刻為發生在所述第一時間段后的時刻;計算模塊,用于對所述樣本空間進行置信區間計算,將置信區間的上限作為門限值;判斷模塊,用于當所述第一數值大于所述門限值時,確定所述網絡設備受到攻擊。
本發明實施例提供的技術方案對樣本空間以指定概率(例如99% )進行基于正態分布的置信區間計算,將置信區間的上限作為門限值,由于門限值是根據網絡控制報文流量自動計算的,而且門限值設置的準確度在預期概率內,因此,網絡設備可以及時發現是否受到攻擊,從而產生報警。另外,由于門限值是根據網絡控制報文流量自動計算,隨著網絡控制報文流量的不斷變化而自動調整,因此,可以避免人工設置門限值時不易根據網絡設備的實際狀況進行及時合理調整,從而導致網絡設備沒有受到攻擊卻產生誤報警或受到攻擊卻沒有產生報警的問題。
圖1是本發明實施例一提供的一種網絡檢測的方法的流程圖;圖2是本發明實施例一提供的另ー種網絡檢測的方法的流程圖;圖3是本發明實施例ニ提供的一種網絡檢測的裝置的示意圖;圖4是本發明實施例ニ提供的另ー種網絡檢測的裝置的示意圖。
具體實施例方式本發明實施例提供一種網絡檢測的方法及裝置,可以解決現有技術中網絡設備受攻擊報警不準確的問題。本發明實施例還提供相應的裝置。以下分別進行詳細說明。實施例一、請參考圖1,本發明實施例提供一種網絡檢測的方法,包括101、在第一時間段內采集多個樣本,該多個樣本為第一指標,該第一指標用于標識網絡設備處理控制報文的繁忙狀態。所述多個樣本構成一個樣本空間。第一時間段是ー個預設時間段,在此時間段內,按照固定的時間間隔或隨機時間間隔采集樣本,該固定時間間隔和時間段的長度可以設置。在此時間段內采集到的多個樣本構成ー個樣本空間。第一指標可以是百分比類型的數據或流量類型數據或會話類型的數據數據。其中,百分比類型的數據,可以包括如下中的ー個或多個網絡設備CPU利用率(% );網絡設備內存利用率(% );網絡設備承諾訪問速率(Committed Access Rate, CAR)漏桶丟包率(% )。流量類型的數據,可以包括如下中的ー個或多個網絡設備協議報文的流量速率(比特/秒或報文/秒);網絡設備錯誤報文的流量速率(比特/秒或報文/秒);網絡設備丟包報文的速率(比特/秒或報文/秒)。會話類型的數據,可以包括如下中的ー個或多個網絡設備新建連接速率(會話數/秒);網絡設備并發連接數(會話數/秒)。為方便后續描述,該樣本空間記為X = Ix1, x2,x3,......,Xn^1, xj。其中,X1是采集的第一個樣本,^是采集到的第η個樣本,共采樣η個樣本。X為樣本空間。102、對所述樣本空間進行基于正態分布的置信區間計算,將置信區間的上限作為 門限值。計算該樣本空間的平均值P
權利要求
1.一種網絡檢測的方法,其特征在干,包括在第一時間段內采集多個樣本,所述樣本為第一指標,所述第一指標用于標識網絡設備處理控制報文的繁忙狀態,所述多個樣本構成ー個樣本空間;對所述樣本空間進行置信區間計算,將置信區間的上限作為門限值; 采集第一數值,所述第一數值為所述第一指標在第一時刻的值,所述第一時刻為發生在所述第一時間段后的時刻;當所述第一數值大于所述門限值時,則確定所述網絡設備受到攻擊。
2.根據權利要求1所述的方法,其特征在干,所述對所述樣本空間進行置信區間計算具體包括計算所述樣本空間的平均值; 計算所述樣本空間的標準差;根據所述樣本空間的平均值,和所述樣本空間的標準差,和正態分布參數表,計算所述樣本空間的置信區間。
3.根據權利要求1或2所述的方法,其特征在干,所述第一指標為百分比類型的數據或流量類型的數據或會話類型的數據。
4.根據權利要求3所述的方法,其特征在干,所述百分比類型的數據包括以下中的一個或多個網絡設備CPU利用率; 網絡設備內存利用率; 網絡設備承諾訪問速率漏桶丟包率。
5.根據權利要求3所述的方法,其特征在干,所述流量類型的數據包括以下中的ー個或多個網絡設備協議報文的流量速率; 網絡設備錯誤報文的流量速率; 網絡設備丟包報文的速率。
6.根據權利要求3所述的方法,其特征在干,所述會話類型的數據包括以下中的ー個或多個網絡設備新建連接速率; 網絡設備并發連接數。
7.根據權利要求1至3任一所述的方法,其特征在干,當所述第一數值大于所述門限值時,所述方法還包括對超出所述門限值的控制報文流量進行限速。
8.一種網絡檢測的裝置,其特征在干,包括采集模塊,用于在第一時間段內采集多個樣本,所述樣本為第一指標,所述第一指標用于標識網絡設備處理控制報文的繁忙狀態,所述多個樣本構成ー個樣本空間;采集第一數值,所述第一數值為所述第一指標在第一時刻的值,所述第一時刻為發生在所述第一時間段后的時刻;計算模塊,用于對所述樣本空間進行置信區間計算,將置信區間的上限作為門限值; 判斷模塊,用于當所述第一數值大于所述門限值時,確定所述網絡設備受到攻擊。
9.根據權利要求8所述的裝置,其特征在于,還包括執行模塊,用于當所述第一數值大于所述門限值時,對超出所述門限值的控制報文流量進行限速。
全文摘要
本發明實施例公開了一種網絡檢測的方法,包括在一個時間段內采集多個標識網絡設備處理控制報文繁忙狀態的樣本,組成樣本空間;對該樣本空間進行置信區間計算,將置信區間的上限作為門限值;采集下一時刻的數值,將該數值與該門限值比較,根據比較結果判斷網絡設備是否受到攻擊。本發明實施例還提供相應的裝置。本發明實施例技術方案,通過自動計算門限值,解決了現有技術中由于人工設置門限值不準確,導致不能正確判斷網絡設備是否受到攻擊的問題。
文檔編號H04L12/26GK102571493SQ201210004860
公開日2012年7月11日 申請日期2012年1月9日 優先權日2012年1月9日
發明者付天福 申請人:華為技術有限公司