一种交换机组的网络攻击远程实时监测方法及系统技术方案

本发明专利技术提供了一种交换机组的网络攻击远程实时监测方法及系统，记录得到交换机组的MAC地址表接收各个包含MAC地址的数据帧的时间为数据接收时间，分别提取各个数据帧中包含的MAC地址并将提取的MAC地址组成的互异性集合作为地址集合，分别计算得到地址集合中的各个MAC地址各自的接收时间间隔，进而计算出接收时间间隔的阈值，若新地址在MAC地址表中没有对应的出接口，判断新地址的接收时间间隔是否超过阈值，若是则将新地址作为网络攻击并进行拒绝，由此实现了根据地址集合中的各个MAC地址各自的接收时间间隔识别出网络攻击的有益效果。益效果。益效果。

【技术实现步骤摘要】
一种交换机组的网络攻击远程实时监测方法及系统


[0001]本专利技术属于网络安全
，具体涉及一种交换机组的网络攻击远程实时监测方法及系统。

技术介绍

[0002]交换机组是网络工程的常用手段，交换机组的MAC地址表是判断网络攻击的重要依据，MAC地址表作为交换机组网络设备记录MAC地址和端口的映射关系的重要组成部分，对于学习新的MAC地址并将新的MAC地址分配到相应的端口，MAC地址表对于异常地址的识别是重要手段。公开号为CN111917793B的专利文献中提供一种攻击链情报分析方法及系统，使用不同的机器学习模型分别对情报数据流、树状结构进行分析并进行并行溯源，从而进行网络攻击的识别，但是，该方法没有有效利用网络攻击的时间间隔的数据特征，也不能根据MAC地址表的老化时间进行判断。

技术实现思路

[0003]本专利技术的目的在于提出一种交换机组的网络攻击远程实时监测方法及系统，以解决现有技术中所存在的一个或多个技术问题，至少提供一种有益的选择或创造条件。
[0004]交换机组是网络工程的常用手段，交换机组的MAC地址表是判断网络攻击的重要依据，MAC地址表作为交换机组网络设备记录MAC地址和端口的映射关系的重要组成部分，对于学习新的MAC地址并将新的MAC地址分配到相应的端口，MAC地址表对于异常地址的识别是重要手段。
[0005]本专利技术提供了一种交换机组的网络攻击远程实时监测方法及系统，记录得到交换机组的MAC地址表接收各个包含MAC地址的数据帧的时间为数据接收时间，分别提取各个数据帧中包含的MAC地址并将提取的MAC地址组成的互异性集合作为地址集合，分别计算得到地址集合中的各个MAC地址各自的接收时间间隔，进而计算出接收时间间隔的阈值，若新地址在MAC地址表中没有对应的出接口，判断新地址的接收时间间隔是否超过阈值，若是则将新地址作为网络攻击并进行拒绝。
[0006]为了实现上述目的，根据本专利技术的一方面，提供一种交换机组的网络攻击远程实时监测方法，所述方法包括以下步骤：S100，以多个交换机组成交换机组，获取交换机组的MAC地址表；S200，以交换机组接收多个包含MAC地址的数据帧，并记录得到交换机组的MAC地址表接收各个包含MAC地址的数据帧的时间为数据接收时间；S300，对交换机组接收的多个包含MAC地址的数据帧，分别提取各个数据帧中包含的MAC地址，并将提取的MAC地址组成的互异性集合作为地址集合；S400，根据地址集合与数据接收时间以及MAC地址表，分别计算得到地址集合中的各个MAC地址各自的接收时间间隔；S500，根据地址集合中的各个MAC地址各自的接收时间间隔，计算出接收时间间隔
的阈值；S600，将交换机组新接收的数据帧包含的MAC地址记为新地址，判断新地址的接收时间间隔是否超过阈值，若是则将新地址作为网络攻击；S700，对被作为网络攻击的新地址，计算该新地址与MAC地址表中各MAC地址的距离，选出MAC地址表中与该新地址距离最小的MAC地址，以与该新地址距离最小的MAC地址对应的出接口作为转移出接口，将包含该新地址的数据帧发送向转移出接口。
[0007]进一步地，在S100中，以多个交换机组成交换机组，获取交换机组的MAC地址表的方法为：使用多个不同的交换机组成交换机组并以此组成局域网，局域网连接外网，获取得到交换机组的MAC地址表。
[0008]进一步地，在S200中，以交换机组接收多个包含MAC地址的数据帧，并记录得到交换机组的MAC地址表接收各个包含MAC地址的数据帧的时间为数据接收时间的方法为：以交换机组接收多个包含MAC地址的数据帧，每个数据帧包含一个MAC地址，将交换机组的MAC地址表分别接收到的各个包含MAC地址的数据帧的时间进行记录并保存为数据接收时间。
[0009]进一步地，在S300中，对交换机组接收的多个包含MAC地址的数据帧，分别提取各个数据帧中包含的MAC地址，并将提取的MAC地址组成的互异性集合作为地址集合的方法为：多个包含MAC地址的数据帧中有部分的数据帧其中包含的MAC地址是相同的，获取多个包含MAC地址的数据帧中包含的所有MAC地址；按照交换机组的MAC地址表分别接收到的各个包含MAC地址的数据帧的时间，分别记录所有MAC地址中每个MAC地址被MAC地址表接收到的时间，其中，每个MAC地址有一个至多个被MAC地址表接收到的时间；对每个MAC地址被MAC地址表接收到的时间，为每个MAC地址创建一个集合记作时间集合并于时间集合中存放其一个至多个被MAC地址表接收到的时间，时间集合中的元素按时间的先后顺序排列；所有MAC地址组成的互异性集合作为地址集合，记地址集合为集合Aset，集合Aset中元素的数量为an，集合Aset中元素的序号为ai，ai∈[1,an]，集合Aset中序号为ai的元素记为Aset(ai)；集合Aset即为地址集合。
[0010]进一步地，在S400中，根据地址集合与数据接收时间以及MAC地址表，分别计算得到地址集合中的各个MAC地址各自的接收时间间隔的方法为：根据数据接收时间，记Aset(ai)对应的时间集合为Bset(ai)，Bset(ai)中元素的数量为n(ai)，Bset(ai)中元素的序号为i(ai)，i(ai)∈[1, n(ai)]，Bset(ai)中序号为i(ai)的元素为Bset(i(ai))；地址集合中每个元素都有其对应的时间集合，将地址集合中各个元素对应的时间集合组成的集合作为地址时间集合记作Bset，地址时间集合中的每个元素是一个时间集合，地址时间集合中的元素与地址集合中的元素相互一一对应，地址时间集合中元素的数量与地址集合中元素的数量相同，地址时间集合中元素的序号与地址集合中元素的序号相同，Bset中元素的数量同为an，Bset中元素的序号为同ai，Bset(ai)即为Bset中序号为ai的
元素；记MAC地址表的老化时间为Tg；分别计算得到地址集合中的各个MAC地址各自的接收时间间隔的方法即为:在地址集合每个元素对应的时间集合中，首先，计算时间集合中各元素的分布距离，记时间集合Bset(ai)中各元素的分布距离为d(ai)，在Bset(ai)中计算各元素的分布距离的公式为:其中，exp为以自然数e为底的指数函数，d(ai)即为时间集合Bset(ai)中各元素的分布距离；进而，计算时间集合中各元素的分布频率，记时间集合Bset(ai)中各元素的分布频率为p(ai)，在Bset(ai)中计算各元素的分布频率的公式为:根据分布距离和分布频率，计算地址集合中的各个MAC地址各自的接收时间间隔，Aset(ai)对应的时间集合即为Bset(ai)，Aset(ai)的接收时间间隔记为G(ai)，G(ai)的计算公式为:G(ai)= sqrt(p(ai)* d(ai))/Tg，其中，sqrt为开平方根的函数，符号| |为绝对值符号，G(ai)的计算公式即为计算地址集合中的各个MAC地址各自的接收时间间隔的方法；由此，分别计算地址集合中的各个MAC地址各自的接收时间间隔，地址集合中的每个MA本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种交换机组的网络攻击远程实时监测方法，其特征在于，所述方法包括以下步骤：S100，以多个交换机组成交换机组，获取交换机组的MAC地址表；S200，以交换机组接收多个包含MAC地址的数据帧，并记录得到交换机组的MAC地址表接收各个包含MAC地址的数据帧的时间为数据接收时间；S300，对交换机组接收的多个包含MAC地址的数据帧，分别提取各个数据帧中包含的MAC地址，并将提取的MAC地址组成的互异性集合作为地址集合；S400，根据地址集合与数据接收时间以及MAC地址表，分别计算得到地址集合中的各个MAC地址各自的接收时间间隔；S500，根据地址集合中的各个MAC地址各自的接收时间间隔，计算出接收时间间隔的阈值；S600，将交换机组新接收的数据帧包含的MAC地址记为新地址，判断新地址的接收时间间隔是否超过阈值，若是则将新地址作为网络攻击；其中，在S300中，对交换机组接收的多个包含MAC地址的数据帧，分别提取各个数据帧中包含的MAC地址，并将提取的MAC地址组成的互异性集合作为地址集合的方法为：多个包含MAC地址的数据帧中有部分的数据帧其中包含的MAC地址是相同的，获取多个包含MAC地址的数据帧中包含的所有MAC地址；按照交换机组的MAC地址表分别接收到的各个包含MAC地址的数据帧的时间，分别记录所有MAC地址中每个MAC地址被MAC地址表接收到的时间，其中，每个MAC地址有一个至多个被MAC地址表接收到的时间；对每个MAC地址被MAC地址表接收到的时间，为每个MAC地址创建一个集合记作时间集合并于时间集合中存放其一个至多个被MAC地址表接收到的时间，时间集合中的元素按时间的先后顺序排列；所有MAC地址组成的互异性集合作为地址集合，记地址集合为集合Aset，集合Aset中元素的数量为an，集合Aset中元素的序号为ai，ai∈[1,an]，集合Aset中序号为ai的元素记为Aset(ai)；集合Aset即为地址集合；其中，在S400中，根据地址集合与数据接收时间以及MAC地址表，分别计算得到地址集合中的各个MAC地址各自的接收时间间隔的方法为：根据数据接收时间，记Aset(ai)对应的时间集合为Bset(ai)，Bset(ai)中元素的数量为n(ai)，Bset(ai)中元素的序号为i(ai)，i(ai)∈[1, n(ai)]，Bset(ai)中序号为i(ai)的元素为Bset(i(ai))；地址集合中每个元素都有其对应的时间集合，将地址集合中各个元素对应的时间集合组成的集合作为地址时间集合记作Bset，地址时间集合中的每个元素是一个时间集合，地址时间集合中的元素与地址集合中的元素相互一一对应，地址时间集合中元素的数量与地址集合中元素的数量相同，地址时间集合中元素的序号与地址集合中元素的序号相同，Bset中元素的数量同为an，Bset中元素的序号为同ai，Bset(ai)即为Bset中序号为ai的元素；记MAC地址表的老化时间为Tg；分别计算得到地址集合中的各个MAC地址各自的接收时间间隔的方法即为:在地址集
合每个元素对应的时间集合中，首先，计算时间集合中各元素的分布距离，记时间集合Bset(ai)中各元素的分布距离为d(ai)，在Bset(ai)中计算各元素的分布距离的公式为:其中，exp为以自然数e为底的指数函数，d(ai)即为时间集合Bset(ai)中各元素的分布距离；进而，计算时间集合中各元素的分布频率，记时间集合Bset(ai)中各元素的分布频率为p(ai)，在Bset(ai)中计算各元素的分布频率的公式为:根据分布距离和分布频率，计算地址集合中的各个MAC地址各自的接收时间间隔，Aset(ai)对应的时间集合即为Bset(ai)，Aset(ai)的接收时间间隔记为G(ai)，G(ai)的计算公式为:G(ai)= sqrt(p(ai)* d(ai))/Tg，其中，sqrt为开平方根的函数，符号| |为绝对值符号，G(ai)的计算公式即为计算地址集合中的各个MAC地址各自的接收时间间隔的方法；由此，分别计算地址集合中的各个MAC地址各自的接收时间间隔，地址集合中的每个MAC地址皆有各自对应的接收时间间隔，地址集合中的各个MAC地址各自的接收时间间隔组成的集合为接收时间间隔集合，记接收时间间隔集合为集合C...

【专利技术属性】
技术研发人员：兰满桔，吴俊刚，赵伟锋，张宇文，
申请(专利权)人：广州尚航信息科技股份有限公司，
类型：发明
国别省市：