CN1953392A - 异常通信量的检测方法和数据包中继装置 - Google Patents
异常通信量的检测方法和数据包中继装置 Download PDFInfo
- Publication number
- CN1953392A CN1953392A CNA2006100550492A CN200610055049A CN1953392A CN 1953392 A CN1953392 A CN 1953392A CN A2006100550492 A CNA2006100550492 A CN A2006100550492A CN 200610055049 A CN200610055049 A CN 200610055049A CN 1953392 A CN1953392 A CN 1953392A
- Authority
- CN
- China
- Prior art keywords
- stream
- packet
- receives
- threshold value
- byte number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
Abstract
本发明在于提供一种可高效检测怀疑有DoS攻击的异常通信量之流的异常通信量检测方法、用于该方法中的数据包中继装置。因此,提供如下技术,例如具有执行数据包中继的数据包中继处理部、执行数据包采样的数据包采样部、取得每个流的统计的流统计计数部、和生成NetFlow export datagram的流统计生成部,流统计计数部统一计数每单位时间接收到的数据包数或字节数未超过阈值的数据包,对每个流计数超过阈值的数据包,从而可以少的资源(主要是存储器)来有效检测怀疑有DoS攻击的异常通信量的流。
Description
本申请主张2005年10月20日提交的日本专利申请JP2005-305443的优先权,本申请引入并参照其内容。
技术领域
本发明涉及一种有可能存在网络中的Dos(Denial of Service)攻击之异常通信量的检测方法和其中使用的数据包中继装置。
背景技术
DoS攻击也被称为拒绝服务攻击,作为其代表例,攻击者通过经由网络对目标进行非常多的访问,使目标的资源(存储器或CPU功率等)消耗,使原来的服务不能执行。作为目标被攻击的是网络或连接于网络上执行各种服务的装置(服务器、数据包中继装置(路由器/转换器)等)。
作为检测DoS攻击的技术,有以NetFlow名称所称的流监视功能。NetFlow由非专利文献1等规定。NetFlow在数据包中继装置接收数据包时,以1/n的比例(每n个数据包中1个数据包的比例)采样数据包,计数7个信息((1)起点IP地址、(2)终点IP地址、(3)IP上位协议序号、(4)TCP(或UDP)起点端口序号、(5)TCP(或UDP)终点端口序号、(6)IP TOS(IPv6中为FlowLabel)、(7)输入界面的SNMP index序号)具有相同值的一系列数据包(称为‘流’)每个的数据包数或字节数,作为统计。数据包中继装置当下面条件之一成立时,将流的统计与关联信息整形为NetFlow export datagram(记载于非专利文献1中)的格式,发送到称为收集器(collector)的外部服务器。
所谓条件是(1)流的不通信时间超过预定时间的情况,(2)流的TCP连接结束时(接收TCP FIN=ON或RST=ON的数据包时)、(3)流的通信时间超过预定时间的情况。收集器7通过解析该统计与关联信息,检测数据包数或字节数明显变多的流(怀疑有DoS攻击的流)。
非专利文献1:IETF RFC3954(B.Claise,”Cisco Systems NetFlowServices Export Version9”,[online]、2004年10月、IETF‘平成17年8月22日检索’、因特网<URL:http://www.ietf.org/rfc/rfc3954.txt?number=3954>)
数据包中继装置在上述条件之一成立时,向收集器发送流的统计与关联信息。但是,数据包中继装置为了在其间取得每个流的统计,必需准备非常多的资源(主要是存储器)。但是,流过网络的大部分流的统计值(数据包数或字节数)小,是DoS攻击解析中基本不必使用的信息。因此,收集器即便单独显示统计值大的对象(例如前10),通常其它也作为‘other’来统一处理,或不显示。
另外,数据包中继装置在满足上述条件时,向收集器发送流的统计与关联信息。但是,该方法中,在流结束之后,收集器仅能检测数据包数或字节数明显变多的流(异常通信量、即怀疑有DoS攻击的流)。
发明内容
因此,研究一种异常通信量的检测方法和其中使用的数据包中继装置,可以少的资源来有效检测攻击者通过经由网络对目标进行非常多的访问、使目标的资源消耗、使原来的服务不能执行的DoS攻击的流。
例如,提供如下技术,即一种有效检测异常通信量的流的方法,对于数据包中继装置在接收数据包时以1/n比例采样的数据包,
(a)针对每单位时间接收到的流的数据包数或字节数超过预定阈值的数据包,由各流单位来计数数据包数或字节数,作为统计,在不通信时间超过预定时间的情况下、在TCP连接结束时、或通信时间超过预定时间的情况下,将该流的统计与关联信息整形为NetFlow export datagram的格式,发送给收集器,
(b)针对每单位时间接收到的流的数据包数或字节数未超过阈值的数据包,统一作为Other流(其它流)来计数数据包数或字节数,作为统计,并作为Other流的统计,整形为NetFlow export datagram的格式,定期发送给收集器。
根据上述异常通信量检测方法,由于每单位时间接收到的流的数据包数或字节数未超过阈值的数据包由数据包中继装置作为Other流来统一计数,所以不必为了取得流过网络的大部分流(统计值小)的统计而准备非常多的资源。另一方面,针对每单位时间接收到的流的数据包数或字节数超过阈值的数据包,由于以各流单位来计数并发送给收集器,所以可以少的资源来有效检测异常通信量。
另外,还考虑如下方法,即不以每单位时间接收到的流的数据包数或字节数是否超过阈值来分是由单独流计数还是由Other流计数,而是以流的数据包数或字节数的峰值率是否超过阈值来分由单独流计数还是由Other流计数。根据该异常通信量的检测方法,可检测瞬间产生的DoS攻击。
附图说明
图1是网络构成例的框图。
图2是说明IPv4的IPDATAGRAM格式例的图。
图3是路径表的构成例的图。
图4是流统计表的构成例的图。
图5是数据包中继装置的每个流的数据包数和字节数的计数操作例之流程图。
图6是将数据包中继装置的流的统计与关联信息发送给收集器的操作例之流程图。
具体实施方式
下面,用实施例,参照附图来说明本发明的最佳实施方式。另外,实施例并不是限定发明的。例如,因特网协议的版本以IPv4来说明,上位协议以TCP来说明,但不限于此。
图1是网络的框图。图1中,网络100由网络2、网络3、网络4、在网络2-4之间中继数据包的数据包中继装置100构成。这里,网络2中存在攻击者的终端5。另外,网络3中存在作为攻击者的目标之服务器6,网络4中存在收集器7(统计信息解析服务器)。
数据包中继装置100由数据包中继处理部11、数据包采样部12、流统计计数部13、流统计生成部14和多个界面22-24构成。数据包中继处理部11、数据包采样部12、流统计计数部13、流统计生成部14均由CPU、ASIC、RAM、ROM等电子器件构成。
数据包中继处理部11是用于执行路径控制处理、制作路径表111、并根据路径表111在网络2-网络4之间中继数据包的单元。数据包采样部12以1/n的比例采样数据包中继处理部11从网络2-网络4接收到的数据包,拷贝并转给流统计计数部13。这里,n为正整数,对应于网络规模,取包含1的非常大的数值。
流统计计数部13对从数据包采样部12传来的数据包,将7个信息((1)起点IP地址、(2)终点IP地址、(3)IP上位协议序号、(4)TCP(或UDP)起点端口序号、(5)TCP(或UDP)终点端口序号、(6)IP TOS、(7)输入界面的SNMPindex序号)具有相同值的一系列数据包(流)每个的数据包数或字节数,计数(累计)在流统计表131中。流统计计数部13当满足下面记载的条件之一时,将流的统计与关联信息(作为NetFlow export datagram发送的信息,仅由数据包中继装置10内的路径表111、流统计表131保持)传递给流统计生成部14。这里,流统计计数部13将流的统计与关联信息传递给流统计生成部14的条件是如下情况。即,(1)流的不通信时间超过预定时间的情况下、(2)流的TCP连接结束时、(3)流的通信时间超过预定时间的情况下。
流统计生成部14将从流统计计数部13传来的流的统计与关联信息整形为NetFlow export datagram的格式,指示数据包中继处理部11发送给收集器7。数据包中继处理部11将NetFlow export datagram发送给网络4的收集器7。
图2是说明IPv4的IPDATAGRAM格式的图。图2中,IPDATAGRAM格式200由IPv4头210与上位数据250构成。另外,IPv4头210由版本211、头长度212、IP TOS213、数据包长度214、分片ID(fragment ID)215、标志216、分片偏移217、生存时间(TTL:Time To Live)218、上位协议序号219、头校验和220、起点IP地址221、终点IP地址222构成。并且,上位数据250由作为TCP头的一部分之TCP起点端口序号251、TCP终点端口序号252、作为TCP数据和用户数据的TCP+用户数据253构成。在此情况下,在版本211中,由于是IPv4,则输入‘4’,在头长度212中输入‘5’,在上位协议序号219中由于是TCP,则输入‘6’。
流统计系数部13给流加上定义,(1)起点IP地址是起点IP地址221。同样,(2)终点IP地址是终点IP地址222。(3)IP上位协议序号是IP上位协议序号219。(4)TCP起点端口序号是TCP起点端口序号251。(5)TCP终点端口序号是TCP终点端口序号252。并且,(6)IP TOS是IP TOS213。另外,(7)输入界面的SNMP index序号是物理界面序号。
图3是路径表的构成图。路径表111是保持由路径控制处理获得的IP地址与关于输出网络的信息(输出界面的SNMP index序号、下一跳跃IP地址等)的关系的表。路径表111由CAM(Content Addressable Memory:联想存储器)或RAM等电子器件构成,所述CAM具有如下检索功能,即若向存储器提供密钥,则在各存储数据之间取得密钥与比较逻辑,对联想条件下的数据、地址设立标志。
图3中,路径表111由多个路径信息120构成。路径信息120的入口是终点IP地址121、终点IP地址的前缀屏蔽比特数122、下一跳跃IP地址123、终点IP地址的AS序号124、下一跳跃IP地址的AS序号125、输出界面的SNMP index序号126。
图4是流统计表的构成图。流统计表131是用于保持识别流的7个信息、与数据包数或字节数的计数值、和该流的关联信息的表,由CAM或RAM等电子器件构成。
图4中,流统计表131由作为多个流的统计数据之多个入口150构成。入口150是起点IP地址151、终点IP地址152、下一跳跃IP地址153、输入界面的SNMP index序号154、输出界面的SNMP index序号155、流的L3数据包的总数156、流的L3数据包的总字节数157、流开始数据包接收时的SysUptime158、流结束数据包接收时的SysUptime159、TCP起点端口序号160、TCP终点端口序号161、PAD162、TCP标志的累积163、IP上位协议序号164、IP TOS165、起点侧邻接对之一的AS序号166、终点侧邻接对之一的AS序号167、起点IP地址的前缀屏蔽比特数168、终点IP地址的前缀屏蔽比特数169。
流统计系数部13确定流的(1)起点IP地址是起点IP地址151。同样,(2)终点IP地址是终点IP地址152。(3)IP上位协议序号是IP上位协议序号164。(4)TCP起点端口序号是TCP起点端口序号160。(5)TCP终点端口序号是TCP终点端口序号161。并且,(6)IP TOS是IP TOS165。(7)输入界面的SNMP index序号是输入界面的SNMP index序号154。
另外,流统计表131的最终入口(称为‘入口Z’)用于计数(再统计)判断为不必作为单个流计数的流之数据包数或字节数。即,流单个的信息没意义。因此,对7个信息设定‘0(零)’。
图5是数据包中继装置的每个流之数据包数和字节数计数操作的流程图。首选,说明接收新的流(称为流A)之数据包时的数据包中继装置10的动作。中继处理部12接收处理流A的数据包,根据路径表111,中继处理数据包(S101)。数据包采样部12按1/n的比例采样数据包中继处理部11中继处理的数据包(S102),在采样命中的情况下,拷贝到流统计计数部13。另外,在未采样命中的情况下,什么都不执行,结束处理。
流统计计数部13对于从数据包采样部12传送来的数据包,从流统计表131中搜索7种信息(1)起点IP地址、(2)终点IP地址、(3)IP上位协议序号、(4)TCP(UDP)起点端口序号、(5)TCP(UDP)终点端口序号、(6)IP TOS(IPv6中为FlowLabel)、(7)输入界面的SNMP index序号)具有相同值的入口(S103)。这里,由于是新的流,没有一致的入口,所以流统计计数部13在将该数据包部分与入口Z的数据包数和字节数相加的同时,重新制作流A用的入口(称为入口A),并登录关联信息。另外,将入口A的数据包数和字节数设定为‘0’(S104)。这是为了不重复计数。
下面,说明在流A之后再接收流A的数据包时的数据包中继装置10的动作。中继处理部12接收处理流A的后续数据包,并根据路径表111,中继处理数据包(S101)。数据包采样部12按1/n的比例采样数据包中继处理部11中继处理的数据包(S102),在采样命中的情况下,拷贝到流统计计数部13。另外,在未采样命中的情况下,不执行后续的处理。流统计计数部13对于从数据包采样部12传送来的数据包,从流统计表131中搜索7个信息全部具有相同值的入口(S103)。这里,由于是已知的数据包,所以流统计计数部13检测入口A,将该数据包部分与入口A的数据包数和字节数相加(S105)。由此,可检测新流,计数(统计)每个流的数据包数和字节数。
图6是将数据包中继装置的流的统计与关联信息发送给收集器的操作之流程图。用图6来说明将流的统计与关联信息传送给收集器7时的数据包中继装置10的动作。
流统计计数部13定期检索流统计表131,搜索与4个条件之一一致的入口,并执行对应于各条件的处理。首先,判定是否对应于每单位时间接收到的流的数据包总数比预定的数据包数阈值小、或接收到的总字节数比预定的字节数阈值小的入口(S110)。若该判定为真,则将计数的总数据包数与总字节数在入口Z相加(再统计),同时,删除入口(S121)。判定是否最终入口(S122),若为真,则将信息整形为NetFlow export datagram格式,将其发送给收集器7(S130)。若步骤122为假,则返回步骤110,对下一入口进行处理。
若步骤110为假,则判定流的不通信时间是否超过预定的时间(S111),若为真,则将流的统计与关联信息传递给流统计生成部(S120),转到步骤S122。若步骤111为假,则判定流的TCP连接是否结束(S112)。步骤112具体判定TCP FIN=ON或RST=ON,若为真,则转移到步骤120,若为假,则转移到步骤113。在步骤113中,判定流的通信时间是否超过预定的时间。步骤113若为真,则转移到步骤120,若为假,则转移到步骤122。
判定式1或式2是否成立后实施步骤110的判定。
数据包总数/(流接收最终时刻-流接收开始时刻)<阈值...(1)
总字节数/(流接收最终时刻-流接收开始时刻)<阈值...(2)
判定式3是否成立后,实施步骤111的判定。
当前时刻-流接收最终时刻≥预定的时间...(3)
判定式4是否成立后,实施步骤113的判定。
当前时刻-流接收开始时刻≥预定的时间...(4)
收集器7解析NetFlow export datagram,检测数据包数或字节数明显变多的流(怀疑有Dos攻击的流)。
根据本实施例,对每单位时间接收到的流的数据包数或字节数未超过阈值的由数据包中继装置10统一在入口Z进行计数,而对每单位时间接收到的流的数据包数或字节数超过阈值的数据包以每个流进行计数,之后发送给收集器7,所以可以少的资源来有效检测数据包数或字节数明显变多的流。
另外,在上述实施例中,将7个信息全部具有相同值的一系列数据包定义为流,将每个流的数据包数或字节数以统计来进行计数,但不限于7个信息。也可将起点IP地址和终点IP地址具有相同值的一系列数据包定义为流,并以统计计数该每个流的数据包数或字节数。另外,不限于IPv4,也可以是IPv6。当为IPv6时,上述实施例的IP TOS只要替换为FlowLabel即可。并且,作为上位协议说明TCP,但也可以是ICMP或UDP,不限于此。当上位协议是UDP时,只要将上述实施例的TCP起点/终点端口序号替换为UDP起点/终点端口序号即可。这对其它上位协议也一样。另外,当没有对应的概念时,也可对全部流设为一定值。
在上述实施例中,流统计计数部13检测每单位时间接收到的流的数据包数或字节数比预定的阈值(下限值)小的入口,并将计数后的数据包数和字节数在入口Z相加,删除入口。但是,也可设置其它阈值(上限值),在每单位时间接收到的流的数据包数或字节数超过阈值(上限值)的情况下,将该入口的统计与关联信息传递给流统计生成部14,发送给收集器7。另外,此时,也可通过送出表示每单位时间接收到的流的数据包数或字节数超过阈值(上限值)的SNMP Trap数据包(SNMP:Simple Network Management Protocol),可立即让网络管理者知道产生异常。
另外,阈值(上限值)也可以是多个,例如设定等级1的阈值(低)与等级2的阈值(高),当超过等级1的阈值(低)时,将该流整形为NetFlow exportdatagram,发送给收集器7,当超过等级2的阈值(高)时,进一步送出SNMPTrap数据包。另外,每单位时间接收到的流的数据包数或字节数不足上位n(n为正整数)的入口在将计数的字节数在入口Z相加的同时,删除入口。
如上所述,收集器7可尽早检测数据包数或字节数明显变多的流。另外,流统计计数部13在将入口的统计与关联信息传递给流统计生成部14之后,删除入口。
另外,在上述实施例中,流统计计数部13检测流的通信时间超过预定时间的入口,并将入口的统计与关联信息传递给流统计生成部14,发送给收集器7。但是,也可进一步检测流的数据包数或字节数超过预定阈值的入口,将入口的统计与关联信息传递给流统计生成部14,发送给收集器7。由此,收集器7可尽早检测数据包数或字节数明显变多的流。流统计计数部13在将入口的统计与关联信息传递给流统计生成部14之后,删除入口。
并且,在上述实施例中,流统计计数部13将新的流之入口的数据包数和字节数设定为‘0’,将该数据包部分与入口Z的数据包数和字节数相加。但是,也可将该数据包部分与新的流之入口的数据包数和字节数相加。如上所述,收集器7可更正确地把握数据包数或字节数明显变多的流之数据包数和字节数。
在上述实施例中,流统计计数部13将7个信息全部具有相同值的一系列数据包定义为‘流’,以统计计数每个流的数据包数或字节数。但是,若向流的定义(7个信息)追加输出界面的SNMP index序号,则可更细地正确把握即使终点IP地址相同、但输出对象界面不同(策略路由或多路径等)时的通信量状况。同样,若从流的定义(7个信息)中删除终点IP地址,则得到汇集终点IP地址形式的统计,故可在使对流统计表131准备的入口数减少的同时,尽早检测明显多地发送数据包数或字节数的终端(怀疑有DoS攻击的终端)。
另外,作为其它变形例,也可以是流统计计数部13在步骤105中将该数据包部分在入口A的数据包数和字节数相加之前,计算与该数据包部分相关的数据包数或字节数的接收速率(式5或式6),并在比预定的阈值大的情况下,在相加该数据包部分之后,将该入口的统计与关联信息传递给流统计生成部14,发送给收集器。由此,收集器可尽早检测数据包数或字节数瞬间明显变多的流(怀疑有DoS攻击的流)。另外,流统计计数部13在将入口的统计与关联信息传递给流统计生成部14之后,删除入口。
1/(当前时刻-流接收最终时刻)≥阈值...(5)
数据包的字节数/(当前时刻-流接收最终时刻)≥阈值...(6)
另外,上述各实施例中使用的各阈值和各预定时间彼此独立,可由数据包中继装置的管理者变更为任意值。
Claims (11)
1、一种数据包中继装置,接收数据包,检索路径(rout),并发送给检索到的路径,其特征在于:具有
数据包中继处理部,根据路径表,中继数据包;
数据包采样部,对所述数据包中继处理部接收到的数据包采样;
流统计计数部,用从所述数据包采样部接收到的数据包,在流统计表中进行累计;和
流统计生成部,将从所述流统计计数部接收到的信息整形为规定的格式,
所述流统计计数部将每单位时间接收到的数据包总数或总字节数不足阈值的流汇总作为一个流进行累计。
2、根据权利要求1所述的数据包中继装置,其特征在于:
所述流统计计数部监视每单位时间接收到的流之数据包数或字节数,当监视到的所述数据包数或所述字节数超过阈值时,从所述数据包中继处理部送出所述被整形过的信息。
3、根据权利要求1所述的数据包中继装置,其特征在于:
所述流统计计数部监视接收到的流之数据包数或字节数,当监视到的所述数据包数或所述字节数超过阈值时,从所述数据包中继处理部送出所述被整形过的信息。
4、一种数据包中继装置,接收数据包,检索路径(rout),并发送给检索到的路径,其特征在于:具有
数据包中继处理部,根据路径表,中继数据包;
数据包采样部,对所述数据包中继处理部接收到的数据包采样;
流统计计数部,用从所述数据包采样部接收到的数据包,在流统计表中进行累计;和
流统计生成部,将从所述流统计计数部接收到的信息整形为规定的格式,
所述流统计计数部监视每单位时间接收到的流之数据包数或字节数。
5、根据权利要求4所述的数据包中继装置,其特征在于:
所述流统计计数部当监视到的每单位时间的所述数据包数或所述字节数超过阈值时,从所述数据包中继处理部送出所述被整形过的信息。
6、根据权利要求4所述的数据包中继装置,其特征在于:
所述流统计计数部当监视到的每单位时间的所述数据包数或所述字节数超过阈值时,输出用于通知异常产生的数据包。
7、根据权利要求4所述的数据包中继装置,其特征在于:
所述流统计计数部将每单位时间接收到的数据包总数或总字节数不足阈值的流汇总作为一个流进行累计。
8、根据权利要求4所述的数据包中继装置,其特征在于:
所述流统计计数部监视接收到的流之数据包数或字节数的总数,当监视到的所述数据包数或所述字节数超过阈值时,从所述数据包中继处理部送出所述被整形过的信息。
9、一种检测异常通信量的异常通信量检测方法,包括如下步骤:
采样接收到的数据包的步骤;
对每个流累计采样的数据包之数量或所述采样的数据包之字节数的步骤;
按预定条件将对每个流累计的数据包总数或总字节数发送给收集器的步骤;
在发送给收集器的步骤之前,将计数的数据包总数或总字节数不足阈值的流作为其它流(other flow)进行累计的步骤;和
将所述阈值以上的流与所述其它流的所述数据包总数或所述总字节数发送给所述收集器的步骤。
10、根据权利要求9所述的异常通信量的检测方法,其特征在于:
进一步包括如下步骤,即当对每个流累计采样的数据包之数量或所述采样的数据包之字节数时,对每个流运算接收速率,
所述预定条件是该运算的接收速率为阈值以上。
11、根据权利要求9所述的异常通信量的检测方法,其特征在于:
将由所述累计的步骤累计的流中、所述数据包总数或所述字节总数是将上位的流做为所述其它流进行累计。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005305443A JP4512196B2 (ja) | 2005-10-20 | 2005-10-20 | 異常トラヒックの検出方法およびパケット中継装置 |
| JP305443/2005 | 2005-10-20 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1953392A true CN1953392A (zh) | 2007-04-25 |
| CN1953392B CN1953392B (zh) | 2011-08-10 |
Family
ID=38053356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100550492A Expired - Fee Related CN1953392B (zh) | 2005-10-20 | 2006-02-28 | 异常通信量的检测方法和数据包中继装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7729271B2 (zh) |
| JP (1) | JP4512196B2 (zh) |
| CN (1) | CN1953392B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159673B (zh) * | 2007-11-01 | 2010-06-23 | 杭州华三通信技术有限公司 | 一种随机抽样方法和装置 |
| CN101803312A (zh) * | 2007-10-02 | 2010-08-11 | 日本电信电话株式会社 | 异常业务检测装置、异常业务检测方法及异常业务检测程序 |
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| WO2011131076A1 (zh) * | 2010-04-22 | 2011-10-27 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
| CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
| CN104170332A (zh) * | 2012-03-09 | 2014-11-26 | 日本电气株式会社 | 控制装置、通信系统、交换机控制方法以及程序 |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7434254B1 (en) * | 2002-10-25 | 2008-10-07 | Cisco Technology, Inc. | Method and apparatus for automatic filter generation and maintenance |
| US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
| US8255996B2 (en) | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US7697418B2 (en) * | 2006-06-12 | 2010-04-13 | Alcatel Lucent | Method for estimating the fan-in and/or fan-out of a node |
| US8059532B2 (en) * | 2007-06-21 | 2011-11-15 | Packeteer, Inc. | Data and control plane architecture including server-side triggered flow policy mechanism |
| US8644151B2 (en) * | 2007-05-22 | 2014-02-04 | Cisco Technology, Inc. | Processing packet flows |
| US8284696B2 (en) * | 2007-12-17 | 2012-10-09 | Cisco Technology, Inc. | Tracking customer edge traffic |
| JP4898648B2 (ja) * | 2007-12-19 | 2012-03-21 | 日本電信電話株式会社 | 高パケットレートフローのオンライン検出方法およびそのためのシステムならびにそのためのプログラム |
| DE102008007672B4 (de) * | 2008-01-25 | 2016-09-22 | Pilz Gmbh & Co. Kg | Verfahren und Vorrichtung zum Übertragen von Daten in einem Netzwerk |
| JP4988632B2 (ja) * | 2008-03-19 | 2012-08-01 | アラクサラネットワークス株式会社 | パケット中継装置およびトラフィックモニタシステム |
| JP5014282B2 (ja) * | 2008-08-06 | 2012-08-29 | アラクサラネットワークス株式会社 | 通信データ統計装置、通信データ統計方法およびプログラム |
| JP4717106B2 (ja) * | 2008-09-11 | 2011-07-06 | 株式会社日立製作所 | フロー情報処理装置及びネットワークシステム |
| US7855967B1 (en) * | 2008-09-26 | 2010-12-21 | Tellabs San Jose, Inc. | Method and apparatus for providing line rate netflow statistics gathering |
| KR101094628B1 (ko) * | 2008-12-23 | 2011-12-15 | 주식회사 케이티 | 타임스탬프를 이용한 실시간 서비스 모니터링 네트워크 장치 및 그 방법 |
| US8005012B1 (en) * | 2009-01-30 | 2011-08-23 | Juniper Networks, Inc. | Traffic analysis of data flows |
| KR101231801B1 (ko) * | 2009-07-14 | 2013-02-08 | 한국전자통신연구원 | 네트워크 상의 응용 계층 보호 방법 및 장치 |
| US8543807B2 (en) | 2009-07-14 | 2013-09-24 | Electronics And Telecommunications Research Institute | Method and apparatus for protecting application layer in computer network system |
| KR101268621B1 (ko) * | 2009-12-21 | 2013-05-29 | 한국전자통신연구원 | 동적 플로우 샘플링 장치 및 방법 |
| US9923995B1 (en) | 2010-02-27 | 2018-03-20 | Sitting Man, Llc | Methods, systems, and computer program products for sharing information for detecting an idle TCP connection |
| US9923996B1 (en) * | 2010-02-27 | 2018-03-20 | Sitting Man, Llc | Methods, systems, and computer program products for sharing information for detecting an idle TCP connection |
| US8219606B2 (en) * | 2010-02-27 | 2012-07-10 | Robert Paul Morris | Methods, systems, and computer program products for sharing information for detecting an idle TCP connection |
| US8923158B2 (en) * | 2010-05-27 | 2014-12-30 | Solarwinds Worldwide, Llc | Smart traffic optimization |
| WO2012134932A2 (en) * | 2011-03-25 | 2012-10-04 | Adc Telecommunications, Inc. | Event-monitoring in a system for automatically obtaining and managing physical layer information using a reliable packet-based communication protocol |
| US8949496B2 (en) | 2011-03-25 | 2015-02-03 | Adc Telecommunications, Inc. | Double-buffer insertion count stored in a device attached to a physical layer medium |
| US9081537B2 (en) | 2011-03-25 | 2015-07-14 | Adc Telecommunications, Inc. | Identifier encoding scheme for use with multi-path connectors |
| JP2012205159A (ja) * | 2011-03-26 | 2012-10-22 | Fujitsu Ltd | フロー別流量監視制御方法、通信装置、およびプログラム |
| KR20130030086A (ko) * | 2011-09-16 | 2013-03-26 | 한국전자통신연구원 | 비정상 세션 연결 종료 행위를 통한 분산 서비스 거부 공격 방어 방법 및 장치 |
| US20140075557A1 (en) | 2012-09-11 | 2014-03-13 | Netflow Logic Corporation | Streaming Method and System for Processing Network Metadata |
| US9843488B2 (en) | 2011-11-07 | 2017-12-12 | Netflow Logic Corporation | Method and system for confident anomaly detection in computer network traffic |
| US8982711B2 (en) | 2012-04-20 | 2015-03-17 | Allied Telesis Holdings Kabushiki Kaisha | Self-healing communications network |
| US8995271B2 (en) * | 2012-04-30 | 2015-03-31 | Hewlett-Packard Development Company, L.P. | Communications flow analysis |
| JP6179354B2 (ja) * | 2013-10-31 | 2017-08-16 | 富士通株式会社 | 解析プログラム、解析方法、および解析装置 |
| CN104660565B (zh) * | 2013-11-22 | 2018-07-20 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| CN105191212B (zh) * | 2014-03-25 | 2019-03-26 | 华为技术有限公司 | 一种数据流统计方法、系统和装置 |
| US9614853B2 (en) | 2015-01-20 | 2017-04-04 | Enzoo, Inc. | Session security splitting and application profiler |
| CN104836702B (zh) * | 2015-05-06 | 2018-06-19 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
| US10097464B1 (en) * | 2015-12-29 | 2018-10-09 | Amazon Technologies, Inc. | Sampling based on large flow detection for network visibility monitoring |
| US9979624B1 (en) | 2015-12-29 | 2018-05-22 | Amazon Technologies, Inc. | Large flow detection for network visibility monitoring |
| US10033613B1 (en) | 2015-12-29 | 2018-07-24 | Amazon Technologies, Inc. | Historically large flows in network visibility monitoring |
| US10003515B1 (en) | 2015-12-29 | 2018-06-19 | Amazon Technologies, Inc. | Network visibility monitoring |
| US10582002B2 (en) * | 2016-12-09 | 2020-03-03 | Arris Enterprises Llc | Cache proxy for a network management information base |
| WO2018117924A1 (en) * | 2016-12-23 | 2018-06-28 | Telefonaktiebolaget Lm Ericsson (Publ) | A node and a method performed by the node operable in a mesh communication network for routing a received packet towards a destination |
| US10469528B2 (en) * | 2017-02-27 | 2019-11-05 | Arbor Networks, Inc. | Algorithmically detecting malicious packets in DDoS attacks |
| JP6743778B2 (ja) * | 2017-07-19 | 2020-08-19 | 株式会社オートネットワーク技術研究所 | 受信装置、監視機及びコンピュータプログラム |
| JP2019125914A (ja) * | 2018-01-16 | 2019-07-25 | アラクサラネットワークス株式会社 | 通信装置及びプログラム |
| CN112889246B (zh) * | 2019-02-08 | 2023-09-22 | 松下电器(美国)知识产权公司 | 异常判定方法、异常判定装置以及程序 |
| CN111245855B (zh) * | 2020-01-17 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种抑制病毒在局域网中传播的方法及装置 |
| US11330011B2 (en) | 2020-02-25 | 2022-05-10 | Arbor Networks, Inc. | Avoidance of over-mitigation during automated DDOS filtering |
| CN114679409A (zh) * | 2020-12-09 | 2022-06-28 | 华为技术有限公司 | 一种流表发送方法及相关装置 |
| CN113872976B (zh) * | 2021-09-29 | 2023-06-02 | 绿盟科技集团股份有限公司 | 一种基于http2攻击的防护方法、装置及电子设备 |
| WO2023112175A1 (ja) * | 2021-12-14 | 2023-06-22 | 日本電信電話株式会社 | トラフィック監視装置、トラフィック監視方法、及びプログラム |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1198145A (ja) * | 1997-09-18 | 1999-04-09 | Hitachi Ltd | Atm通信装置及びその制御方法 |
| US7702806B2 (en) * | 2000-09-07 | 2010-04-20 | Riverbed Technology, Inc. | Statistics collection for network traffic |
| US7836498B2 (en) * | 2000-09-07 | 2010-11-16 | Riverbed Technology, Inc. | Device to protect victim sites during denial of service attacks |
| US7278159B2 (en) * | 2000-09-07 | 2007-10-02 | Mazu Networks, Inc. | Coordinated thwarting of denial of service attacks |
| US20020032793A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
| JP2002118557A (ja) * | 2000-10-05 | 2002-04-19 | Nippon Telegr & Teleph Corp <Ntt> | リンクの使用帯域管理方法および装置ならびに帯域増設時期推定方法および装置 |
| JP2002118556A (ja) * | 2000-10-05 | 2002-04-19 | Nippon Telegr & Teleph Corp <Ntt> | トラヒック計測方法および装置 |
| ATE522278T1 (de) * | 2001-05-23 | 2011-09-15 | Cohen Ben Z | Feindosierungspumpe |
| JP4196732B2 (ja) * | 2003-05-26 | 2008-12-17 | 日本電気株式会社 | データ転送装置及びプログラム |
| US7996544B2 (en) * | 2003-07-08 | 2011-08-09 | International Business Machines Corporation | Technique of detecting denial of service attacks |
| JP4341413B2 (ja) | 2003-07-11 | 2009-10-07 | 株式会社日立製作所 | 統計収集装置を備えたパケット転送装置および統計収集方法 |
| JP2005277804A (ja) * | 2004-03-25 | 2005-10-06 | Hitachi Ltd | 情報中継装置 |
| JP4392294B2 (ja) * | 2004-06-15 | 2009-12-24 | 株式会社日立製作所 | 通信統計収集装置 |
| US7719966B2 (en) * | 2005-04-13 | 2010-05-18 | Zeugma Systems Inc. | Network element architecture for deep packet inspection |
| US8181240B2 (en) * | 2005-06-14 | 2012-05-15 | Cisco Technology, Inc. | Method and apparatus for preventing DOS attacks on trunk interfaces |
| US8121043B2 (en) * | 2005-08-19 | 2012-02-21 | Cisco Technology, Inc. | Approach for managing the consumption of resources using adaptive random sampling |
-
2005
- 2005-10-20 JP JP2005305443A patent/JP4512196B2/ja not_active Expired - Fee Related
-
2006
- 2006-02-28 CN CN2006100550492A patent/CN1953392B/zh not_active Expired - Fee Related
- 2006-03-02 US US11/365,500 patent/US7729271B2/en not_active Expired - Fee Related
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101803312A (zh) * | 2007-10-02 | 2010-08-11 | 日本电信电话株式会社 | 异常业务检测装置、异常业务检测方法及异常业务检测程序 |
| US8422386B2 (en) | 2007-10-02 | 2013-04-16 | Nippon Telegraph And Telephone Corporation | Abnormal traffic detection apparatus, abnormal traffic detection method and abnormal traffic detection program |
| CN101803312B (zh) * | 2007-10-02 | 2013-08-14 | 日本电信电话株式会社 | 异常业务检测装置、异常业务检测方法及异常业务检测程序 |
| CN101159673B (zh) * | 2007-11-01 | 2010-06-23 | 杭州华三通信技术有限公司 | 一种随机抽样方法和装置 |
| CN102137059B (zh) * | 2010-01-21 | 2014-12-10 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| CN102137059A (zh) * | 2010-01-21 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
| WO2011131076A1 (zh) * | 2010-04-22 | 2011-10-27 | 华为技术有限公司 | 建立流转发表项的方法及数据通信设备 |
| US8761178B2 (en) | 2010-04-22 | 2014-06-24 | Huawei Technologies Co., Ltd. | Method for creating stream forwarding entry, and data communication device |
| CN104115463B (zh) * | 2011-11-07 | 2017-04-05 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
| CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
| CN104170332A (zh) * | 2012-03-09 | 2014-11-26 | 日本电气株式会社 | 控制装置、通信系统、交换机控制方法以及程序 |
| US9559959B2 (en) | 2012-03-09 | 2017-01-31 | Nec Corporation | Control apparatus, communication system, switch controlling method and program |
| CN103701795A (zh) * | 2013-12-20 | 2014-04-02 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070115850A1 (en) | 2007-05-24 |
| JP2007116405A (ja) | 2007-05-10 |
| US7729271B2 (en) | 2010-06-01 |
| JP4512196B2 (ja) | 2010-07-28 |
| CN1953392B (zh) | 2011-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1953392B (zh) | 异常通信量的检测方法和数据包中继装置 | |
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| Estan et al. | New directions in traffic measurement and accounting | |
| US9485155B2 (en) | Traffic analysis of data flows | |
| US8054744B1 (en) | Methods and apparatus for flow classification and flow measurement | |
| KR100997182B1 (ko) | 플로우 정보 제한장치 및 방법 | |
| US8510830B2 (en) | Method and apparatus for efficient netflow data analysis | |
| JP2006352831A (ja) | ネットワーク制御装置およびその制御方法 | |
| US9634851B2 (en) | System, method, and computer readable medium for measuring network latency from flow records | |
| US20070201359A1 (en) | Traffic information aggregating apparatus | |
| JP5017440B2 (ja) | ネットワーク制御装置およびその制御方法 | |
| JP2007184799A (ja) | パケット通信装置 | |
| JP2008523769A (ja) | アドホックネットワークのための軽いパケット廃棄検出 | |
| Afaq et al. | Large flows detection, marking, and mitigation based on sFlow standard in SDN | |
| Wang et al. | A bandwidth-efficient int system for tracking the rules matched by the packets of a flow | |
| US20090055529A1 (en) | Method of collecting descriptions of streams pertaining to streams relating to at least one client network attached to an interconnection network | |
| JP2022515990A (ja) | 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 | |
| Paruchuri et al. | FAST: fast autonomous system traceback | |
| JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
| JP5965365B2 (ja) | 通信制御システム | |
| CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 | |
| JP2002084278A (ja) | 経路別トラヒック解析方法 | |
| JP4489714B2 (ja) | パケット集約方法、装置、およびプログラム | |
| JP5659393B2 (ja) | ネットワーク装置、及び、パケット処理方法 | |
| CN110933002A (zh) | 一种mpls带内检测oam的交换芯片实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110810 Termination date: 20170228 |