[发明专利]一种单向流检测模式下的流量检测方法和设备

权利要求书

1.一种单向流检测模式下的流量检测方法，应用于包括检测设备、待检 测设备和至少一个对端设备的系统中，所述待检测设备与所述对端设备之间 进行报文交互，所述检测设备检测所述对端设备向所述待检测设备发送的流 量信息，其特征在于，所述方法具体包括以下步骤：

所述检测设备获取所述待检测设备所接收到的各条报文的序列号信息和 确认号信息；

所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和 确认号信息，确定所述待检测设备向所述对端设备发送的流量信息；其中， 所述检测设备根据所述待检测设备所接收到的各条报文的序列号信息和确认 号信息，确定所述待检测设备向所述对端设备发送的流量信息，具体为：所 述检测设备根据所述各条报文的序列号信息和所检测到的所述各条报文的大 小，确定所述各条报文的相邻关系；所述检测设备根据各条相邻报文的确认 号信息，确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流 量信息；

所述检测设备根据确定的所述待检测设备向所述对端设备发送的流量信 息，对所述待检测设备进行流量检测。

2.如权利要求1所述的方法，其特征在于，所述检测设备根据所述各条 报文的序列号信息和所检测到的所述各条报文的大小，确定所述各条报文的 相邻关系，具体为：

所述检测设备按照报文的接收顺序，计算连续接收的两条报文的序列号 信息之差；

当所述检测设备判断两条报文的序列号之差等于所检测到的所述两条报 文中先被接收到的一条报文的大小时，所述检测设备确定所述两条报文为相 邻报文。

3.如权利要求1所述的方法，其特征在于，所述检测设备根据各条相邻 报文的确认号信息，确定所述待检测设备在各条相邻报文之间向所述对端设 备发送的流量信息，具体为：

所述检测设备计算两条相邻报文的确认号之差；

所述检测设备确定所述确认号之差为所述待检测设备在所述两条相邻报 文之间向所述对端设备发送的报文大小；

所述检测设备根据所述待检测设备向所述对端设备发送的各条报文的大 小，确定所述待检测设备在各条相邻报文之间向所述对端设备发送的流量信 息。

4.如权利要求1所述的方法，其特征在于，所述检测设备根据确定的所 述待检测设备向所述对端设备发送的流量信息，对所述待检测设备进行流量 检测，具体为：

当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送 的流量信息超过预设的流量阈值时，所述检测设备确定所述待检测设备被所 述至少一个对端设备攻击；或，

当所述检测设备检测到所述待检测设备和各所述对端设备之间的流量信 息之和超过预设的流量阈值时，所述检测设备确定所述待检测设备与各所述 对端设备之间存在攻击。

5.如权利要求4所述的方法，其特征在于，当所述检测设备检测到所述 待检测设备向至少一个所述对端设备所发送的流量信息超过预设的流量阈值 时，所述检测设备确定所述待检测设备被所述至少一个对端设备攻击，具体 为：

当所述检测设备检测到所述待检测设备向至少一个所述对端设备所发送 的流量信息超过预设的流量阈值时，所述检测设备判断预设的其他攻击判定 元素是否达到预设的判定阈值；

如果所述检测设备判断达到预设的判定阈值的其他攻击判定元素的数量 超过预设的数量阈值，所述检测设备确定所述待检测设备被所述至少一个对 端设备攻击。

6.如权利要求4或5所述的方法，其特征在于，所述检测设备确定所述 待检测设备被所述至少一个对端设备攻击，或所述检测设备确定所述待检测 设备与各所述对端设备之间存在攻击之后，还包括：

所述检测设备对所述待检测设备与发动攻击的所述至少一个对端设备之 间的报文进行拦截；和/或，

所述检测设备发出所述待检测设备被攻击的告警。