| 发明名称 | 异常通信量的检测方法和数据包中继装置 | ||
| 摘要 | 本发明在于提供一种可高效检测怀疑有DoS攻击的异常通信量之流的异常通信量检测方法、用于该方法中的数据包中继装置。因此,提供如下技术,例如具有执行数据包中继的数据包中继处理部、执行数据包采样的数据包采样部、取得每个流的统计的流统计计数部、和生成NetFlow export datagram的流统计生成部,流统计计数部统一计数每单位时间接收到的数据包数或字节数未超过阈值的数据包,对每个流计数超过阈值的数据包,从而可以少的资源(主要是存储器)来有效检测怀疑有DoS攻击的异常通信量的流。 | ||
| 申请公布号 | CN1953392B | 申请公布日期 | 2011.08.10 |
| 申请号 | CN200610055049.2 | 申请日期 | 2006.02.28 |
| 申请人 | 阿拉克斯拉网络株式会社 | 发明人 | 土屋一晓;佐藤博 |
| 分类号 | H04L12/24(2006.01)I;H04L12/56(2006.01)I | 主分类号 | H04L12/24(2006.01)I |
| 代理机构 | 永新专利商标代理有限公司 72002 | 代理人 | 黄剑锋 |
| 主权项 | 一种数据包中继装置,接收数据包,检索路径,并发送给检索到的路径,其特征在于具有:数据包中继处理部,根据路径表,中继数据包;数据包采样部,对所述数据包中继处理部接收到的数据包采样;流统计计数部,根据所述数据包采样部采样的数据包中包含的起点IP地址、终点IP地址、协议序号、起点端口序号、终点端口序号中的任意一个以上,来确定所述采样了的数据包的流,并对每个所述确定的流,将每单位时间的数据包数或字节数在流统计表中进行累计;和流统计生成部,将所述流统计计数部累计的统计信息整形为规定的格式,所述流统计计数部,从所述流统计表提取每单位时间的数据包数或字节数不足阈值的流,累计所述提取的流的每单位时间的数据包数或字节数来计数数据包总数或总字节数,从而将所述提取的流一起累计为其它流。 | ||
| 地址 | 日本神奈川县 | ||