申请/专利权人：湖南匡安网络技术有限公司

申请日：2021-03-22

公开（公告）日：2024-06-25

公开（公告）号：CN112965970B

主分类号：G06F16/215

分类号：G06F16/215;G06F16/22;G06F16/2455;H04L9/40

优先权：

专利状态码：有效-授权

法律状态：2024.06.25#授权;2022.07.19#专利申请权的转移;2021.07.02#实质审查的生效;2021.06.15#公开

摘要：本发明公开了一种基于哈希算法的异常流量并行检测方法，包括：设备源向目标服务器发起请求；中央管理核拦截、清洗数据包，并向各检测内核派发需检测的数据包信息；各检测内核对总规则库进行均分，得到负责匹配的子规则库；检测内核根据哈希算法分散得到每次检测的数据包编号，其中哈希函数的键值由本内核编号、检测内核总数、数据包总数、该核已检测数据包数及冲突次数计算得到。本发明能提高规则库并行情况下的模式匹配效率，通过多核协作增加单位时间内检测的流量包数量，解决规则库过大带来的检测速率底下的问题，在降低漏报率的同时提高检测速率，更快进行异常报警，从而采取相应措施。

主权项：1.一种基于哈希算法的异常流量并行检测方法，其特征在于，包括以下步骤：1主节点设置计数器i＝1以及检测轮数k＝1；2主节点接收客户端从外部网络发往内部网络的数据包并将其存储在缓存区中，并判断该数据包与预先建立好的第i个数据派发表中数据包总数之和是否超过阈值Nmax，如果是则进入步骤4，否则进入步骤3；3主节点对缓存区中的数据包进行数据清洗，以得到数据清洗后的数据包，并将数据清洗后的数据包存储在作为当前数据派发表的第i个数据派发表中；4主节点判断是否所有从节点都处于检测完成状态，若是则将当前数据派发表发给每个从节点，并进入步骤5，否则返回步骤3；5主节点设置轮数k＝k+1，并对作为非当前数据派发表的第1-i个数据派发表进行遍历，逐一读取其中的正常数据包，将其发送到内部网络；6主节点设置计数器i＝1-i；并判断是否继续进行检测，若是则进入步骤7，否则过程结束；7从节点接收作为当前数据派发表的第1-i个数据派发表，根据该数据派发表中数据包编号初始化预先在内存中建立的检测情况表，同时将各个数据包编号对应的检测情况设置为未检测，并得到第k轮检测的数据包总数N，初始化检测情况表中检测情况为已检测的数据包数Ndetec＝0，并判断是否收到其他从节点发送的异常数据包，若是则将该异常数据包的信息录入检测情况表中，并进入步骤8，否则直接进入步骤8；8从节点判断检测情况表中是否还存在检测情况为未检测的数据包，若是则进入步骤9，否则进入步骤12；9从节点根据哈希算法从检测情况表中获取检测情况为未检测的数据包的数据包编号；9-1根据当前从节点编号a、从节点总数M、检测情况表中检测情况为已检测的数据包数Ndetec、冲突次数di和第k轮检测的数据包总数N计算得到键值x；9-2将步骤9-1得到的键值x作为哈希函数hx的输入，得到哈希值j；9-3获取检测情况表中哈希值等于j的数据包编号，并判断该数据包编号在检测情况表中对应的检测情况是否为未检测，若是则获取该未检测的数据包的数据包编号，同时将检测情况表中检测情况为已检测的数据包数Ndetec增加1，然后进入步骤10，否则将冲突次数di增加1，并返回步骤9-1;10从节点通过步骤9中得到的检测情况为未检测的数据包的数据包编号查找当前数据派发表，即第1-i个数据派发表，以得到该数据包编号对应的数据包，根据模式匹配算法将该数据包与本节点划分到的规则库中的异常规则逐一进行模式匹配，并判断模式匹配是否成功，若是则说明该数据包为异常数据包，立即停止检测，并进入步骤11，否则说明该数据包为正常数据包，并返回步骤8；11从节点将步骤10中得到的异常数据包的数据包编号、以及与该异常数据包匹配的异常规则类型一起作为异常数据包信息发送给所有从节点和主节点，并将该数据包在检测情况表中的检测情况修改为异常类型，并将检测情况表中检测情况为已检测的数据包数Ndetec增加1，返回步骤8；12从节点向主节点发送包括其节点编号的数据包信息，以通知主节点该编号对应从节点已完成第k轮数据包检测；13主节点接收从节点发送的数据包信息，并判断其中是否包括从节点的节点编号，若是则进入步骤14，否则说明该数据包信息是异常数据包信息，进入步骤15；14主节点根据数据包信息中的节点编号，将检测状态表中相应节点编号所对应的检测状态设置为检测完毕，以得到更新后的检测状态表，然后返回步骤4；15主节点根据步骤11中从节点发送的异常数据包信息，将第k轮的当前数据派发表中对应的数据包内容和数据包的异常类型一起发送至异常存储区；并在当前数据派发表中将该数据包的数据包编号及数据包内容删除，从而得到更新后的数据派发表DataTable_1-i作为非当前数据派发表，并返回步骤4。

全文数据：

权利要求：

百度查询： 湖南匡安网络技术有限公司 一种基于哈希算法的异常流量并行检测方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD