[发明专利]一种异常流量攻击检测处置的方法和装置

权利要求书

1.一种异常流量攻击检测处置的方法，步骤包括：

1)过滤来访IP地址的已知的异常流量和正常流量；

2)根据预先设定的时间窗口周期及当前流量所处的时间节点，判断所述IP地址是否在流量TOP N动态过滤表的前N中，如果在，将当前流量数值与对应流量模板的该时间节点的流量模板数值作比较运算；如果不在，将当前流量数值与流量平均模板EQ的该时间节点的流量模板数值作比较运算，以区分异常流量和正常流量；

所述流量TOP N动态过滤表为链表，其信息根据历史访问流量从大到小依次排序建立，包括：

1……N+M行IP信息链表，每行IP信息链表包括IP地址、历史访问流量统计和流量模板，该流量模板包括全部时间节点的流量模板数值；

链表E，其IP地址和历史访问流量统计为空，其流量平均模板EQ包括全部节点的流量模板数值，这些数值是对应时间节点的所有非TOP N历史访问流量统计平均值；

所述比较运算是指：

根据当前流量的时间节点k，取当前流量数值X(k)，并检索到该时间节点的流量模板数值Mn(k)，判断X(k)/M_n(k)与预设阈值β的大小，如果X(k)/M_n(k)>β，则判定该流量为异常流量，如果1<X(k)/M_n(k)<β，则判定为疑似流量；

对于疑似流量，根据当前流量模板，往后取I个流量数值X(k+1)……X(k+I)，并检索对应的流量模板数值Mn(k+1)……Mn(k+I)，如果X(k)/M_n(k)+X(k+1)/M_n(k+1)+……+X(k+I)/M_n(k+I)>β，则判定为异常流量，否则为正常流量；

3)丢弃异常流量，转发正常流量。

2.根据权利要求1所述的方法，其特征在于，步骤1)所述已知的异常流量为IP地址在黑名单中的流量；已知的正常流量为IP地址在白名单中的流量。

3.根据权利要求1所述的方法，其特征在于，所述流量TOP N动态过滤表通过自动排序更新，或通过人工手动添加、删除或调整数值进行更新。

4.根据权利要求1所述的方法，其特征在于，所述预设阈值β＝3，I＝5。

5.根据权利要求1所述的方法，其特征在于，将步骤2)区分出的正常流量通过自学习算法进行流量学习，更新流量TOP N动态过滤表中相应的流量模板数值。

6.根据权利要求5所述的方法，其特征在于，所述自学习算法为：

其中，M_n(k)为当前时间窗口周期内当前时间节点的流量模板数值，M_n-1(k)为前一个时间窗口周期当前时间点的流量模板数值，X_n-1(k)为前一个时间窗口周期接收到的未经过处理的流量数值，b(k)是异常判决结果因子，R_init(k)为初始化流量模板，初始值都为(0、0…0)。

7.一种采用权利要求2至6所述方法的异常流量攻击检测处置的装置，包括：

一流量接收单元；

一静态过滤单元，连接流量接收单元，对流量接收单元接收的来访IP地址进行判断，并过滤已知的异常流量和正常流量；

一动态检测过滤单元，连接静态过滤单元，判断来访IP地址是否在流量TOP N动态过滤表的排序中；还连接一运算判决单元和一自学习单元，所述运算判决单元通过运算判定来访IP地址是否异常，对于不属于异常流量的来访IP地址通过所述自学习单元进行流量自学习；

所述通过运算判定来访IP地址是否异常是指：

根据预先设定的时间窗口周期及当前流量所处的时间节点，判断所述IP地址是否在流量TOP N动态过滤表的前N中，如果在，将当前流量数值与对应流量模板的该时间节点的流量模板数值作比较运算；如果不在，将当前流量数值与流量平均模板EQ的该时间节点的流量模板数值作比较运算，以区分异常流量和正常流量；

所述流量TOP N动态过滤表为链表，其信息根据历史访问流量从大到小依次排序建立，包括：

1……N+M行IP信息链表，每行IP信息链表包括IP地址、历史访问流量统计和流量模板，该流量模板包括全部时间节点的流量模板数值；

链表E，其IP地址和历史访问流量统计为空，其流量平均模板EQ包括全部节点的流量模板数值，这些数值是对应时间节点的所有非TOP N历史访问流量统计平均值；

所述比较运算是指：

根据当前流量的时间节点k，取当前流量数值X(k)，并检索到该时间节点的流量模板数值Mn(k)，判断X(k)/M_n(k)与预设阈值β的大小，如果X(k)/M_n(k)>β，则判定该流量为异常流量，如果1<X(k)/M_n(k)<β，则判定为疑似流量；

对于疑似流量，根据当前流量模板，往后取I个流量数值X(k+1)……X(k+I)，并检索对应的流量模板数值Mn(k)、Mn(k+1)……Mn(k+I)，如果X(k)/M_n(k)+X(k+1)/M_n(k+1)+……+X(k+I)/M_n(k+I)>β，则判定为异常流量，否则为正常流量；

一处理单元，转发正常流量和丢弃异常流量。