摘要 |
本発明は、異常フロー検知方法を提供する。当該方法は、メッセージを受信するステップと、メッセージタイプに基づいて数量統計を行い、IPハッシュ配列に記憶し、前記IPハッシュ配列にフロー特徴を記憶するステップと、前記IPハッシュ配列に記憶されているメッセージの数量情報により、数量ランキングトップN個のメッセージのIP情報を並び替え配列に記憶し、ここで、Nは自然数であるステップと、新しいIP情報を受信し、ランキングトップN個のメッセージのIP情報を更新して並び替え配列に記憶するステップと、 更新された前記並び替え配列において、所定の特徴値に基づいて、対応するデータのメッセージに異常フロー行為が発生したか否かをチェックするステップとを備える。本発明の技術案によれば、現在の異常フロー検知方法における誤報及び欠報を解決することができる。本発明の技術案は、ネットワーク全体におけるフローなどの各指標のランキングトップのターゲットをリアルタイムで算出し、これらのターゲットに対して詳細な行為検査を行うことで、攻撃を正確に且つ適時に見出し、誤報率及び欠報率を大幅に低減することができる。【選択図】図1 |