[发明专利]识别网络攻击的方法及系统

说明书

技术领域

本发明涉及通信领域，更为具体而言，涉及识别网络攻击的方法及系统。

背景技术

随着互联网公司业务规模的发展壮大，越来越多的用户使用和接入公司的应用和服务。然而，未知的网络攻击导致的大流量冲击，会影响服务的正常使用，也会推高流量为影响公司的宽带成本计费。及时发现网络攻击不仅为采取应对措施争取了时间，也为后续同运营商进行成本议价提供了数据支持。

然而由于互联网公司的业务流量巨大，常规的网络安全产品和方法难以应对，需要投入更高的成本代价(如硬件资源)来支撑发现网络攻击的业务需求。对此，有的公司转而自研网络安全设备和方案，但却缺乏稳定性、专业性，甚至难以运维。

发明内容

为有效地解决上述技术问题，本发明提供了一种识别网络攻击的方法及系统。

一方面，本发明的实施方式提供了一种识别网络攻击的方法，所述方法包括：

定位机房出口的流量异常的持续时间；

提取所述机房出口在所述定位的流量异常的持续时间内的原始流量数据；

判断所述提取的原始流量数据是否为攻击数据，若是，则识别出存在网络攻击。

另一方面，本发明的实施方式提供了一种识别网络攻击的系统，所述系统包括：

定位模块，用于定位机房出口的流量异常的持续时间；

提取模块，用于提取所述机房出口在所述定位模块所定位出的流量异常的持续时间内的原始流量数据；

判断模块，用于执行以下操作：判断所述提取模块所提取的原始流量数据是否为攻击数据，若是，则识别出存在网络攻击。

实施本发明提供的识别网络攻击的方法及系统可以维持低成本的同时确保识别网络攻击的稳定性与专业性。

附图说明

图1是根据本发明实施方式的识别网络攻击的方法的流程图；

图2示出了图1所示的步骤S100的一种实施方式；

图3示出了图2所示的步骤S120的一种实施方式；

图4示出了本发明实施方式中判断机房出口当前时刻的流量值是否异常的方法的框图；

图5是根据本发明实施方式的识别网络攻击的系统的结构示意图；

图6示出了图5所示的定位模块100的一种实施方式；

图7示出了图5所示的判断及修改单元120的一种实施方式。

具体实施方式

为使本发明的实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述。

图1是根据本发明实施方式的识别网络攻击的方法的流程图。参见图1，所述方法包括：

S100：定位机房出口的流量异常的持续时间。

其中，如图2所示，在本发明的实施方式中，可以通过以下步骤实现步骤S100：

S110：判断当前时刻与所述机房出口的参照时间段(在时间维度上与当前时刻最近的异常时间段)的结束时刻的时间间隔是否大于预定时间间隔(例如10分钟，当然不限于此，根据实际需要可以设定预定时间间隔为5分钟到15分钟的范围内的任意时间),若判定为否，则执行步骤S120，若判定为是，则执行步骤S140；

S120：判断所述机房出口的当前时刻的流量值是否异常,若判定为是，则执行步骤S130；

其中，如图3所示，在本发明的实施方式中，可以通过以下方式实现步骤S120：

S121：获取所述机房出口的当前时刻的流量值；

其中，在本发明的实施方式中，可以通过以下的方式实现：通过网络管理数据系统(提供交换机信息采集对象的存储和查询任务)查询所述机房出口所对应的交换机端口集合；查询所述交换机端口集合中各交换机端口在所述当前时刻的流量值；对所述查询到的流量值进行聚合以获取所述机房出口的当前时刻的流量值。

S122：通过异常判定规则对所述获取的流量值进行判定，其中所述异常判定规则包括：经验阈值规则、曲线拟合规则、流量预测规则；

以下，分别对本发明实施方式中通过经验阈值规则、曲线拟合规则、流量预测规则判定流量值是否异常的方式进行具体说明：

通过所述经验阈值规则对所述获取的流量值进行判定可以通过以下方式实现：

选取历史流量值(例如可以选取前7天在所述当前时刻的流量值以及前一分钟的流量值)；

计算所述获取的流量值相对于所述历史流量值的变化幅度,即((获取的流量值-历史流量值)/历史流量值)*100％；