[发明专利]一种带宽自适应的异常流量检测方法

说明书

本发明公开了一种带宽自适应的异常流量检测方法，其步骤具体如下：(1)、创建循环序列L；(2)、创建IP‑时间的映射表T；(3)、每隔5秒采样一次当前服务器的峰值带宽b₀；(4)、将步骤(3)中获取的b₀推入到循环队列L中，根据当前的网络总带宽B计算出递增率α，并计算得出当前时候t的滤波带宽值b_t；其中：递增率其中α_max＝0.9；滤波带宽值b_t＝αb₀+(1‑α)*b_t‑1；(5)、将步骤(4)中获取的滤波带宽值b_t与三周期前的值进行比较，得到相应的增长率γ；(6)、根据γ判断当前状态，若γ不小于0.5则返回步骤(2)；若γ大于0.5，则发出报警，启动异常流量过滤。达到降低误报的可能性、实现科学管理带宽、降低运维难度和降低人力成本的目的。

技术领域

本发明涉及服务器监测应用领域，具体涉及一种带宽自适应的异常流量检测方法。

背景技术

在现有技术中，为了网络安全和服务器的稳定，是需要对服务器带宽的使用情况进行实时监测。当实时流量异常升高时，需要及时阻止异常流量的源头，避免其挤占带宽，以避免破坏其他用户的正常使用；在传统技术中一般采用使用阈值预警，即当流量超过设定的阈值时，过滤出异常用户，并作出措施。这种方法预警较为迟缓，且不够灵活。

公开于该背景技术部分的信息仅仅旨在加深对本发明 的总体背景技术的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。

发明内容

为解决上述技术问题，本发明提出了一种带宽自适应的异常流量检测方法，以达到降低误报的可能性、实现科学管理带宽、降低运维难度和降低人力成本的目的。

为达到上述目的，本发明的技术方案如下：

一种带宽自适应的异常流量检测方法，其步骤具体如下：

(1)、创建循环序列L；

(2)、创建IP-时间的映射表T；

(3)、每隔5秒采样一次当前服务器的峰值带宽b₀；

(4)、将步骤(3)中获取的b₀推入到循环队列L中，根据当前的网络总带宽B计算出递增率α，并计算得出当前时候t的滤波带宽值b_t；其中：

递增率其中α_max＝0.9；滤波带宽值b_t＝αb₀+(1-α)*b_t-1；

(5)、将步骤(4)中获取的滤波带宽值b_t与三周期前的值进行比较，得到相应的增长率γ；

(6)、根据γ判断当前状态，若γ不小于0.5则返回步骤(2)；

若γ大于0.5，则发出报警，启动异常流量过滤，且异常流量过滤具体如下：

(6-1)、采样当前流量数据10秒；

(6-2)、对所有采用的数据包根据源IP进行分组；

(6-3)、对每组数据计算出数据包的大小总和，并根据总和进行排列；

(6-4)、将步骤(6-3)中排名第一的IP取出，并在IP-时间映射表T中查询时间t；

(6-4-1)、若t存在，则t＝t*2，将t保存回IP-时间映射表T中，应用黑名单，丢弃其发出和接受的所有数据包，应用黑名单时间为t；

(6-4-2)、若t不存在，则新建t＝5min，同时保存在IP-时间映射表T中。