(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111480217.3 (22)申请日 2021.12.07 (65)同一申请的已公布的文献号 申请公布号 CN 114124566 A (43)申请公布日 2022.03.01 (73)专利权人 广州尚航信息科技股份有限公司 地址 510700 广东省广州市黄埔区瑞和路 39号G5座6 01-620、 701-720 (72)发明人 兰满桔　吴俊刚　赵伟锋　张宇文　 (74)专利代理 机构 广州专理知识产权代理事务 所(普通合伙) 44493 代理人 邓易偲 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/16(2022.01)(56)对比文件 US 2010034081 A1,2010.02.1 1 CA 2671642 A1,2010.02.07 WO 2008151548 A1,20 08.12.18 审查员 薛乐梅 (54)发明名称 一种交换机组的网络攻击远程实时监测方 法及系统 (57)摘要 本发明提供了一种交换机组的网络攻击远 程实时监测方法及系统， 记录得到交换机组的 MAC地址表接收各个包含MAC地址的数据帧的时 间为数据接收时间， 分别提取各个数据帧中包含 的MAC地址并将提取的MAC地址组成的互异性集 合作为地址集合， 分别计算得到地址集合中的各 个MAC地址各自的接收时间间隔， 进而计算出接 收时间间隔的阈值， 若新地址在MAC地址表中没 有对应的出接口， 判断新地址的接收时间间隔是 否超过阈值， 若是则将新地址作为网络攻击并进 行拒绝， 由此实现了根据地址集合中的各个MAC 地址各自的接收时间间隔识别出网络攻击的有 益效果。 权利要求书3页 说明书10页 附图2页 CN 114124566 B 2022.04.19 CN 114124566 B 1.一种交换机组的网络攻击远程实时监测方法， 其特 征在于， 所述方法包括以下步骤： S100， 以多个交换机组成交换机组， 获取交换机组的MAC地址表； S200， 以交换机组接收多个包含MAC  地址的数据帧， 并记录得到交换机组的MAC  地址 表； MAC 地址表接收各个包 含MAC 地址的数据帧的时间作为数据接收时间； S300， 对交换机组接收的多个包含MAC地址的数据帧， 分别提取各个数据帧中包含的 MAC地址， 并将提取的MAC地址组成的互异性 集合作为地址集合； S400， 根据地址集合与数据接收时间以及MAC地址表， 分别计算得到地址集合 中的各个 MAC地址各自的接收时间 间隔； S500， 根据地址集合中的各个MAC地址各自的接收时间间隔， 计算出接收时间间隔 的阈 值； S600， 将交换机组新接收的数据帧包含的MAC地址记为新地址， 判断新地址的接收时间 间隔是否超过阈值， 若是则将新 地址作为网络攻击； 其中， 在S200中， 以交换机组接收多个包含MAC  地址的数据帧， 并记录得到交换机组的 MAC 地址表； MAC  地址表接收各个包含MAC  地址的数据帧的时间作为数据接收时间的方法 为： 以交换机组接收多个包含MAC地址的数据帧， 每个数据帧包含一个MAC地址， 将交换机组 的MAC地址表分别接收到的各个包含MAC地址的数据帧的时间进行记录并保存为数据接收 时间； 其中， 在S300中， 对交换机组接收的多个包含MAC地址的数据帧， 分别提取各个数据帧 中包含的MAC地址， 并将提取的MAC地址组成的互异性 集合作为地址集合的方法为： 多个包含MAC地址的数据帧中有部分的数据帧其中包含的MAC地址是相同的， 获取多个 包含MAC地址的数据帧中包 含的所有MAC地址； 按照交换机组的MAC地址表分别接收到的各个包含MAC地址的数据帧的时间， 分别记录 所有MAC地址中每个MAC地址被MAC地址表接收到的时间， 其中， 每个MAC地址有一个至多个 被MAC地址表接收到的时间； 对每个MAC地址被MAC地址表接收到的时间， 为每个MAC地址创建一个集合记作时间集 合并于时间集合中存放其一个至多个被MAC地址表接 收到的时间， 时间集合中的元素按时 间的先后顺序排列； 所有MAC地址组成的互异性集合作为地址集合， 记地址集合为集合Aset， 集合Aset中元 素的数量为an， 集合Aset中元素的序号为ai， ai∈[1,an]， 集合Aset中序号为ai的元素记为 Aset(ai)； 集合Aset即为 地址集合； 其中， 在S400中， 根据地址集合与数据接收时间以及MAC地址表， 分别计算得到地址集 合中的各个MAC地址各自的接收时间 间隔的方法为： 根据数据接收时间， 记Aset(ai)对应的时间集合为Bset(ai)， Bset(ai)中元素的数量 为n(ai)， Bset(ai)中元素的序号为i(ai)， i(ai)∈[1,  n(ai)]， Bset(ai)中序号为i(ai)的 元素为Bset(i(ai) )； 地址集合中每个元素都有其对应的时间集合， 将地址集合中各个元素对应的时间集合 组成的集合作为地址时间集合记作Bset， 地址时间集合中的每个元素是一个时间集合， 地 址时间集合中的元素与地址集合中的元素相互一一对应， 地址时间集合中元素的数量与地权　利　要　求　书 1/3 页 2 CN 114124566 B 2址集合中元素的数量相同， 地址时间集合中元素的序号与地址集合中元素的序号相同， Bset中元素的数量同为an， Bset中元素的序号同为ai， B set(ai)即为B set中序号为ai的元 素； 记MAC地址表的老化时间为Tg； 分别计算得到地址集合中的各个MAC地址各自的接收时间间隔的方法即为:在地址集 合每个元素对应的时间集合中， 首先， 计算时间集合中各元素的分布距离， 记时间集合Bset (ai)中各 元素的分布 距离为d(ai)， 在 Bset(ai)中计算各 元素的分布 距离的公式为: 其中， exp为以自然数e为底的指数函数， d(ai)即为时间集合Bset(ai)中各元素的分布 距离； 进而， 计算时间集合中各元素的分布频率， 记时间集合Bset(ai)中各元素的分布频率 为p(ai)， 在 Bset(ai)中计算各 元素的分布频率的公式为: 根据分布距离和分布频率， 计算地址集合中的各个MAC地址各自的接收时间间隔， Aset (ai)对应的时间集合即为B set(ai)， Aset(ai)的接收时间间隔记为G(ai)， G(ai)的计算公 式为: G(ai)= sqrt(p(ai)* d(ai))/Tg， 其中， sqrt为开平方根的函数， 符号|  |为绝对值符号， G(ai)的计算公式即为计算地址 集合中的各个MAC地址各自的接收时间 间隔的方法； 由此， 分别计算地址集合中的各个MAC地址各自的接收时间间隔， 地址集合中的每个 MAC地址皆有 各自对应的接收时间间隔， 地址集合中的各个MAC地址各自的接收时间间隔组 成的集合为接收时间 间隔集合， 记接收时间 间隔集合为集合Cset； 其中， MAC地址表的构成包括： 目的MAC地址、 设备所属的VLAN、 出接口、 MAC表项类型、 老 化时间。 2.根据权利要求1所述的一种交换机组 的网络攻击远程实时监测方法， 其特征在于， 在 S100中， 以多个交换机组成交换机组， 获取交换机组的MAC地址表的方法为： 使用多个不同 的交换机组成交换机组并以此 组成局域网， 局域网连接外网， 获取得到交换机组的MAC地址 表。 3.根据权利要求1所述的一种交换机组 的网络攻击远程实时监测方法， 其特征在于， 在 S500中， 根据地址集合中的各个MAC地址各自的接收时间间隔， 计算出接收时间间隔的阈值 的方法为： 将地址集合中的各个MAC地址各自的接收时间间隔组成的集合作为接收时间间 隔集合， 记接收时间间隔集合为集合Cset， 计算集合Cset 中各元素的算术平均数作为接收 时间间隔的阈值。 4.根据权利要求1所述的一种交换机组 的网络攻击远程实时监测方法， 其特征在于， 在权　利　要　求　书 2/3 页 3 CN 114124566 B 3