(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111552377.4 (22)申请日 2021.12.17 (71)申请人 中国科学院深圳先进技 术研究院 地址 518055 广东省深圳市南 山区深圳大 学城学苑大道1068号 (72)发明人 李永康　王洋　须成忠　 (74)专利代理 机构 深圳市科进知识产权代理事 务所(普通 合伙) 44316 代理人 刘建伟 (51)Int.Cl. H04L 9/40(2022.01) G06F 9/54(2006.01) (54)发明名称 网络异常检测系统及方法 (57)摘要 本发明涉及一种网络异常检测系统， 包括： 属于硬件的网卡， 属于内核层的网卡驱动、 共享 内存、 接收相关的硬件计数器、 发送相关的硬件 计数器、 数据收集模块、 异常处理模块， 属于应用 层的异常检测进程： 所述数据收集模块用于收集 接收方硬件计数器数据； 所述共享内存用于共享 所述硬件计数器数据； 所述异常检测进程用于通 过所述硬件计数器数据， 检测网络中是否出现异 常问题； 所述异常处理模块用于在检测到网络中 存在异常时， 处理异常问题。 本发明还提供一种 网络异常检测方法， 本申请能够降低处理器不断 捕获数据包的开销， 同时对于网络异常的检测更 加准确。 权利要求书2页 说明书5页 附图2页 CN 114301644 A 2022.04.08 CN 114301644 A 1.一种网络异常检测系统， 该系统包括： 属于硬件的网卡， 属于内核层的网卡驱动、 共 享内存、 接收相关的硬件计数器、 发送相关的硬件计数器、 数据收集模块、 异常处理模块， 属 于应用层的异常检测进程， 其特 征在于： 所述数据收集模块用于收集接收方硬件计数器数据； 所述共享内存用于共享所述硬件计数器数据； 所述异常检测进程用于通过 所述硬件计数器数据， 检测网络中是否出现异常问题； 所述异常处 理模块用于在检测到网络中存在异常时， 处 理异常问题。 2.如权利要求1所述的系统， 其特征在于， 所述的所述数据收集模块用于： 定期收集所 有与异常或错误相关的硬件计数器的数据， 以及在收集数据的同时对数据量进行判断， 当 数据量高于正常值时， 向用户态的异常检测进程发出通知； 其中， 所述数据为本次的时间点与上一次收集的时间点之间的时间段内的数据差 。 3.如权利要求2所述的系统， 其特征在于， 所述共享内存为在系统初始化时绑定的， 其 用于在数据收集模块与 异常检测进程之 间共享关于硬件计数器的一个时间段内的数据， 所 述共享内存在该系统开启时始终有效， 并且不会被操作系统上其他的进程占用、 不会被换 出到硬盘上。 4.如权利要求3所述的系统， 其特征在于， 所述的异常检测进程当 收到来自内核的异常 通知时， 首先判断异常的类型， 该类型由系统根据计数器的值定义， 对于00000类型， 向用户 输出异常信息， 由用户自行判断并处理； 对于其他的异常类型， 所述异常检测进程立即创建 一个新的线程也即异常判断线程来处理， 所述线程判断异常类型数据上的每个二进制位是 否为1， 来判断具体有哪几个 计数器出现了异常。 5.如权利要求 4所述的系统， 其特 征在于， 所述的所述异常检测进程具体用于： 当只有端口丢弃的报文计数器出现异常时， 先测试与其他主机连接的延迟与可用性： 当该延迟比较高时， 则认定有拥塞的发生， 提醒其他主机暂时放缓发送数据包的速度； 而如 果延迟没有那么高， 很有可能是有恶意主机伪造数据包在不断尝试破解其他主机的连接， 此时异常处理进程向其他主机利用以太网发送请求， 检查本地虚拟机的在该时段的连接数 量与趋势， 以及本地的计数器异常信息， 及时切断； 当访问错误计数器出现了大于2 的数据时， 说明有数据包携带了错误的远程内存访 问 秘钥， 这是潜在的伪造数据包窃取信息的威胁， 则将该异常类型发送到集群所有主机上， 做 进一步的处理； 如果重复请求个数计数器、 乱序请求个数计数器只有其中一个出现了少于4个的异常 数据时， 则认为是暂时的网络波动， 不需要额外的处 理； 当重复请求个数计数器、 乱序请求个数计数器有多于3个异常， 并且端口丢弃的报文计 数器在这段时间的计数为0， 说明是潜在的伪造数据包窃取信息的威胁， 恶意程序已经拿到 了数据包中其他关键的信息， 而只剩 数据包中的请求号还没有猜测正确， 并且一直在尝试 破解， 则将该异常类型发送到集群所有 主机上， 做进一 步的处理。 6.如权利要求5所述的系统， 其特 征在于， 所述的异常处 理模块具体用于： 当接收到其他主机关于异常类型的通知时， 读取本机系统中与发送端有关的硬件计数 器数据， 根据异常类型对应的硬件计数器， 来与本 机的进行对照。 7.如权利要求6所述的系统， 其特 征在于， 所述的异常处 理模块还具体用于：权　利　要　求　书 1/2 页 2 CN 114301644 A 2在本机中查看发送端远程访 问错误计数器的数据， 如果在此期间有数据量大的异常， 则说明这个恶意访问是从本机发出 的， 则向受害主机发送自己的主机标识和异常类型， 从 而通知受害方； 受害方暂时切断对应主机的通信端口， 并拒绝该网络地址及主机标识的访 问， 并向用户告警； 待异常恶意 程序被处 理后， 再恢复该通信端口。 8.使用如权利要求1所述网络异常检测系统的网络异常检测方法， 其特征在于， 所述方 法包括： 所述数据收集模块周期性 地收集与接收方相关硬件计数器在一个时间段内的数据； 当有计数器的数据不 为0时， 通知所述异常检测模块； 所述异常检测模块收到通知后创建一个线程 来进行处 理， 所述线程判断异常类型； 如果是特殊硬件计数器引起的异常， 则进一步判断异常类型中的每一位， 从而确定是 哪一种异常； 该主机与集群上的其他主机利用以太网通信， 通知其他主机这里发生了异常， 并告知 异常类型； 其他主机上的异常处理模块检查本地与发送方相关的硬件计数器， 并与受害主机的异 常类型相对照； 如果自己的计数器有数据， 说明是本 机引起的异常， 然后通知受害 主机自己的标识； 受害主机通过禁用该网络标识来拒绝恶意主机的访问， 并向用户告警。 9.如权利要求8所述的方法， 其特 征在于， 所述方法还 包括： 如果是普通的计数器引起的异常， 则直接与用户告警。 10.如权利要求9所述的方法， 其特 征在于， 所述方法还 包括： 如果不是本机引起的异常， 则结束处 理。权　利　要　求　书 2/2 页 3 CN 114301644 A 3