[发明专利]一种基于哈希算法的异常流量并行检测方法及系统

权利要求书

1.一种基于哈希算法的异常流量并行检测方法，其特征在于，包括以下步骤：

(1)主节点设置计数器i＝1以及检测轮数k＝1；

(2)主节点接收客户端从外部网络发往内部网络的数据包并将其存储在缓存区中，并判断该数据包与预先建立好的第i个数据派发表中数据包总数之和是否超过阈值N_max，如果是则进入步骤(4)，否则进入步骤(3)；

(3)主节点对缓存区中的数据包进行数据清洗，以得到数据清洗后的数据包，并将数据清洗后的数据包存储在作为当前数据派发表的第i个数据派发表中；

(4)主节点判断是否所有从节点都处于检测完成状态，若是则将当前数据派发表发给每个从节点，并进入步骤(5)，否则返回步骤(3)；

(5)主节点设置轮数k＝k+1，并对作为非当前数据派发表的第1-i个数据派发表进行遍历，逐一读取其中的正常数据包，将其发送到内部网络；

(6)主节点设置计数器i＝1-i；并判断是否继续进行检测，若是则进入步骤(7)，否则过程结束；

(7)从节点接收作为当前数据派发表的第1-i个数据派发表，根据该数据派发表中数据包编号初始化预先在内存中建立的检测情况表，同时将各个数据包编号对应的检测情况设置为未检测，并得到第k轮检测的数据包总数N，初始化检测情况表中检测情况为已检测的数据包数N_detec＝0，并判断是否收到其他从节点发送的异常数据包，若是则将该异常数据包的信息录入检测情况表中，并进入步骤(8)，否则直接进入步骤(8)；

(8)从节点判断检测情况表中是否还存在检测情况为未检测的数据包，若是则进入步骤(9)，否则进入步骤(12)；

(9)从节点根据哈希算法从检测情况表中获取检测情况为未检测的数据包的数据包编号；

(10)从节点通过步骤(9)中得到的检测情况为未检测的数据包的数据包编号查找当前数据派发表(即第1-i个数据派发表)，以得到该数据包编号对应的数据包，根据模式匹配算法将该数据包与本节点划分到的规则库中的异常规则逐一进行模式匹配，并判断模式匹配是否成功，若是则说明该数据包为异常数据包，立即停止检测，并进入步骤(11)，否则说明该数据包为正常数据包，并返回步骤(8)；

(11)从节点将步骤(10)中得到的异常数据包的数据包编号、以及与该异常数据包匹配的异常规则类型一起作为异常数据包信息发送给所有从节点和主节点，并将该数据包在检测情况表中的检测情况修改为异常类型，并将检测情况表中检测情况为已检测的数据包数N_detec增加1，返回步骤(8)；

(12)从节点向主节点发送包括其节点编号的数据包信息，以通知主节点该编号对应从节点已完成第k轮数据包检测；

(13)主节点接收从节点发送的数据包信息，并判断其中是否包括从节点的节点编号，若是则进入步骤(14)，否则说明该数据包信息是异常数据包信息，进入步骤(15)；

(14)主节点根据数据包信息中的节点编号，将检测状态表中相应节点编号所对应的检测状态设置为检测完毕，以得到更新后的检测状态表，然后返回步骤(4)；

(15)主节点根据步骤(11)中从节点发送的异常数据包信息，将第k轮的当前数据派发表中对应的数据包内容和数据包的异常类型一起发送至异常存储区；并在当前数据派发表中将该数据包的数据包编号及数据包内容删除，从而得到更新后的数据派发表DataTable_(1-i)作为非当前数据派发表，并返回步骤(4)。

2.根据权利要求1所述的异常流量并行检测方法，其特征在于，

缓存区是预先建立在服务器的内存中，其大小是MB级别；

预先在服务器的内存中建立有两个数据派发表，分别表示为DataTable_0和DataTable_1，并由数据包编号和数据包内容组成，最多可以存放N_max条数据。

3.根据权利要求1所述的异常流量并行检测方法，其特征在于，数据清洗包括删除长度不规范的数据包，删除格式不规范的数据包，删除无用的符号，并删除重复的数据。