欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

用于計(jì)算機(jī)網(wǎng)絡(luò)業(yè)務(wù)中的信任異常檢測(cè)的方法及系統(tǒng)與流程

文檔序號(hào):11160889閱讀:1120來(lái)源:國(guó)知局
用于計(jì)算機(jī)網(wǎng)絡(luò)業(yè)務(wù)中的信任異常檢測(cè)的方法及系統(tǒng)與制造工藝

一般來(lái)說(shuō),本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測(cè)及事件管理。更具體來(lái)說(shuō),本發(fā)明涉及處理通過(guò)網(wǎng)絡(luò)監(jiān)測(cè)獲得的網(wǎng)絡(luò)元數(shù)據(jù),此可高效地導(dǎo)致有用信息以及時(shí)方式報(bào)告給元數(shù)據(jù)的消費(fèi)者。

網(wǎng)絡(luò)監(jiān)測(cè)是企業(yè)及服務(wù)提供者常用的關(guān)鍵信息技術(shù)(IT)功能,其涉及觀(guān)察正在內(nèi)部網(wǎng)絡(luò)上發(fā)生的活動(dòng)以找出與性能相關(guān)的問(wèn)題、行為不當(dāng)?shù)闹鳈C(jī)、可疑用戶(hù)活動(dòng)等。網(wǎng)絡(luò)監(jiān)測(cè)由于由各種網(wǎng)絡(luò)裝置產(chǎn)生及提供的信息而成為可能。所述信息一般稱(chēng)為網(wǎng)絡(luò)元數(shù)據(jù),即,作為經(jīng)由網(wǎng)絡(luò)發(fā)射的主信息業(yè)務(wù)的補(bǔ)充且與其互補(bǔ)的描述網(wǎng)絡(luò)上的活動(dòng)的一類(lèi)信息。

系統(tǒng)日志(系統(tǒng)日志)是常用于網(wǎng)絡(luò)監(jiān)測(cè)的一種類(lèi)型的網(wǎng)絡(luò)元數(shù)據(jù)。系統(tǒng)日志已變成用于記錄程序消息的標(biāo)準(zhǔn)格式且給原本不能通信的裝置提供向管理者通知問(wèn)題或性能的方式。系統(tǒng)日志常用于計(jì)算機(jī)系統(tǒng)管理及安全審核以及一般化信息分析及調(diào)試消息。系統(tǒng)日志受各種各樣的裝置(如打印機(jī)及路由器)及跨越多個(gè)平臺(tái)的接收器支持。出于此原因,系統(tǒng)日志可用于將來(lái)自計(jì)算機(jī)系統(tǒng)中的許多不同類(lèi)型的裝置的日志數(shù)據(jù)集成為中央存儲(chǔ)庫(kù)。

最近,被各種供應(yīng)商稱(chēng)為NetFlow、jFlow、sFlow等的另一類(lèi)型的網(wǎng)絡(luò)元數(shù)據(jù)也已作為標(biāo)準(zhǔn)網(wǎng)絡(luò)業(yè)務(wù)的一部分被引入(下文中一般稱(chēng)為“NetFlow”)。NetFlow是用于收集已成為用于業(yè)務(wù)監(jiān)測(cè)的行業(yè)標(biāo)準(zhǔn)的IP業(yè)務(wù)信息的網(wǎng)絡(luò)協(xié)議。NetFlow可由例如路由器、交換器、防火墻、入侵檢測(cè)系統(tǒng)(IDS)、入侵保護(hù)系統(tǒng)(IPS)、網(wǎng)絡(luò)地址翻譯(NAT)實(shí)體等各種網(wǎng)絡(luò)裝置及許多其它裝置產(chǎn)生。然而,直到最近,NetFlow網(wǎng)絡(luò)元數(shù)據(jù)排他地用于事后網(wǎng)絡(luò)監(jiān)督目的,例如網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、定位網(wǎng)絡(luò)吞吐量瓶頸、服務(wù)級(jí)別協(xié)議(SLA)確認(rèn)等。NetFlow元數(shù)據(jù)的此些有限使用可一般歸因于由網(wǎng)絡(luò)裝置產(chǎn)生的高信息量及所述信息的高遞送速率、信息源的多樣性及將額外信息流集成到現(xiàn)有事件分析器中的總體復(fù)雜性。更特定來(lái)說(shuō),NetFlow元數(shù)據(jù)生產(chǎn)者通常產(chǎn)生消費(fèi)者可在實(shí)時(shí)設(shè)定中分析及使用多的信息。舉例來(lái)說(shuō),網(wǎng)絡(luò)上的單個(gè)中到大交換器可產(chǎn)生400,000個(gè)NetFlow記錄/秒。

當(dāng)今的系統(tǒng)日志收集器、系統(tǒng)日志分析器、安全信息管理(SIM)系統(tǒng)、安全事件管理(SEM)系統(tǒng)、安全信息與事件管理(SIEM)系統(tǒng)等(本文中統(tǒng)稱(chēng)為“SIEM”系統(tǒng))不能接收或不能分析NetFlow、局限于處理NetFlow包中所含的基本信息,或以比通常產(chǎn)生NetFlow包的速率低得多的速率處理此些包。

例如NetFlowv9(RFC 3954)及IPFIX(RFC 5101及相關(guān)IETF RFC)等穩(wěn)健網(wǎng)絡(luò)監(jiān)測(cè)協(xié)議的出現(xiàn)大幅度地?cái)U(kuò)展了在網(wǎng)絡(luò)安全及智能網(wǎng)絡(luò)管理領(lǐng)域中使用網(wǎng)絡(luò)元數(shù)據(jù)的機(jī)會(huì)。同時(shí),由于上文所識(shí)別的約束,當(dāng)今的SIEM系統(tǒng)一般不能超出簡(jiǎn)單報(bào)告所觀(guān)察字節(jié)及包計(jì)數(shù)而利用網(wǎng)絡(luò)監(jiān)測(cè)信息。

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的異常檢測(cè)是識(shí)別不同于預(yù)期、所要或正常模式的項(xiàng)目、事件或行為。當(dāng)在網(wǎng)絡(luò)業(yè)務(wù)的情境中研究時(shí),異常檢測(cè)可廣義地分類(lèi)為兩個(gè)類(lèi)別:

a)中性操作環(huán)境中的網(wǎng)絡(luò)業(yè)務(wù)異常;及

b)在存在惡意行動(dòng)者的情況下的網(wǎng)絡(luò)業(yè)務(wù)異常。

類(lèi)型(a)網(wǎng)絡(luò)業(yè)務(wù)異常在正常操作條件下由于自然超載的或有缺陷的網(wǎng)絡(luò)裝置或者“快閃族(在網(wǎng)絡(luò)業(yè)務(wù)由于合法網(wǎng)絡(luò)用戶(hù)的大量涌入而充分增加時(shí)的良性事件)”而發(fā)生。

類(lèi)型(b)事件可由外部力導(dǎo)致且可在性質(zhì)上為惡意的。存在攻擊者可造成惡意網(wǎng)絡(luò)異常的若干種方式,但拒絕服務(wù)(DoS)攻擊及其變體分布式拒絕服務(wù)(DDoS)攻擊是目前為止最常見(jiàn)且最容易上演的。關(guān)于DoS攻擊,攻擊者的目的是使一或多個(gè)網(wǎng)絡(luò)資源不可被合法用戶(hù)訪(fǎng)問(wèn)且因此破壞組織的活動(dòng)。根據(jù)2012年1,000IT專(zhuān)業(yè)人員調(diào)查,其組織遭受DDoS攻擊的每小時(shí)造成受害者組織介于$10,000與$50,000之間的收益損失。

為了避免商業(yè)及收益的重大損失,應(yīng)檢測(cè)兩種類(lèi)型的網(wǎng)絡(luò)業(yè)務(wù)異常、將其分類(lèi)并以及時(shí)方式告知網(wǎng)絡(luò)操作者。網(wǎng)絡(luò)中斷的問(wèn)題在工業(yè)及軍事網(wǎng)絡(luò)中當(dāng)失去通信可導(dǎo)致災(zāi)難性后果時(shí)變得甚至更嚴(yán)重。

然而,當(dāng)受觀(guān)察的項(xiàng)目的數(shù)目連同每一所觀(guān)察項(xiàng)目的復(fù)雜性增加時(shí),網(wǎng)絡(luò)異常檢測(cè)變得異常困難。檢測(cè)網(wǎng)絡(luò)業(yè)務(wù)中的異常是復(fù)雜異常檢測(cè)問(wèn)題的極端實(shí)例中的一者。

網(wǎng)絡(luò)異常檢測(cè)的傳統(tǒng)方法需要?jiǎng)?chuàng)建歷史基線(xiàn)模式,所述歷史基線(xiàn)模式在評(píng)定與正常行為的偏差時(shí)與當(dāng)前模式相當(dāng)。代替以下考慮,此傳統(tǒng)方法固有地是有問(wèn)題的:

-網(wǎng)絡(luò)業(yè)務(wù)是動(dòng)態(tài)的,且很少只有單個(gè)模式描述其時(shí)間特性。此可導(dǎo)致創(chuàng)建在操作環(huán)境的稍微改變之后幾乎立即過(guò)時(shí)的大量時(shí)間限制歷史基線(xiàn)的復(fù)雜任務(wù)。

-網(wǎng)絡(luò)自身是動(dòng)態(tài)的,因?yàn)樾卵b置總是被安裝,舊裝置總是被移除且操作裝置總是可被取下以進(jìn)行維修。在每一改變后,較早確立的基線(xiàn)失去其有效性且必須被重新確立以按每一新網(wǎng)絡(luò)配置調(diào)整。

-例如軟件虛擬化、軟件定義網(wǎng)絡(luò)(SDN)及網(wǎng)絡(luò)功能虛擬化(NFV)等趨勢(shì)通過(guò)創(chuàng)建能夠跨越物理網(wǎng)絡(luò)遷移的短暫虛擬網(wǎng)絡(luò)而進(jìn)一步增加網(wǎng)絡(luò)的動(dòng)態(tài)性質(zhì)。即使在不存在任何物理網(wǎng)絡(luò)改變的情況下,新網(wǎng)絡(luò)業(yè)務(wù)生產(chǎn)者及消費(fèi)者的實(shí)例化仍立即使所確立業(yè)務(wù)基線(xiàn)無(wú)效。

-網(wǎng)絡(luò)生態(tài)系統(tǒng)的高改變速率使當(dāng)前網(wǎng)絡(luò)特性與歷史數(shù)據(jù)的比較容易出錯(cuò)且極容易導(dǎo)致誤報(bào)。

已知先前已利用兩種方法來(lái)嘗試檢測(cè)DoS及DDoS攻擊;(a)基于簽名的方法及(b)基于基線(xiàn)業(yè)務(wù)的方法。最近賓夕法尼亞大學(xué)研究報(bào)告某些當(dāng)今的DDoS檢測(cè)系統(tǒng)(Snort、PHAD、MADAME及MULTOPS)以低效水平操作。特定來(lái)說(shuō),所述研究明確表達(dá)基于簽名的系統(tǒng)(Snort、MADAME)對(duì)未知DDoS攻擊的低檢測(cè)率、依賴(lài)于基線(xiàn)業(yè)務(wù)信息的系統(tǒng)(PHAD)或依賴(lài)于關(guān)于業(yè)務(wù)量變曲線(xiàn)的任何先前假設(shè)的系統(tǒng)(MULTOPS)的高錯(cuò)誤警報(bào)率及在業(yè)務(wù)改變時(shí)對(duì)完全重新訓(xùn)練依賴(lài)于基線(xiàn)業(yè)務(wù)信息的系統(tǒng)(PHAD)的要求。



背景技術(shù):

本發(fā)明揭示用于檢測(cè)網(wǎng)絡(luò)業(yè)務(wù)異常并將網(wǎng)絡(luò)業(yè)務(wù)異常分類(lèi)的系統(tǒng)及方法。所述系統(tǒng)包含:輸入模塊,其接收含有與網(wǎng)絡(luò)業(yè)務(wù)相關(guān)的信息的數(shù)據(jù)流;一個(gè)或多個(gè)數(shù)據(jù)流分析器及相關(guān)模塊。所述相關(guān)模塊接收由所述分析器進(jìn)行的數(shù)據(jù)流分析的結(jié)果且確定潛在異常是假的還是真的。

參考

杰克遜希金斯K.(Jackson Higgings,K.),DDoS會(huì)使你付出什么(What a DDoS Can Cost),信息周刊黑暗閱讀(Information Week Dark Reading),2012年5月5日

林,D.(Lin,D.),網(wǎng)絡(luò)入侵檢測(cè)及對(duì)拒絕服務(wù)攻擊的緩解(Network Intrusion Detection and Mitigation against Denial of Service Attack),賓夕法尼亞大學(xué),2013年

馬丹妮E.H.(Mamdani,E.H.),使用語(yǔ)言綜合將模糊邏輯應(yīng)用于近似推論(Application of Fuzzy Logic to Approximate Reasoning Using Linguistic Synthesis),IEEE計(jì)算機(jī)學(xué)報(bào),第26卷,第12號(hào),第1182頁(yè)到第1191頁(yè),1977年12月

山野道夫(Sugeno,Michio),模糊測(cè)量的進(jìn)步:理論與應(yīng)用(Advances in Fuzzy Measures:Theory and Applications),第一屆模糊信息處理國(guó)際會(huì)議,夏威夷,1984年7月

扎德L.A.(Zadeh L.A.)、科扎克J.(Kacprzyk,J.),字計(jì)算(Computing with Words),自然史出版社,海德?tīng)柋ぃ?999年

貝斯維爾,M.(Basseville,M.)、尼基弗羅夫,L(Nikiforov,L),檢測(cè)突然改變:理論與應(yīng)用(Detection of Abrupt Changes:Theory and Application),普倫蒂斯·霍爾出版社,1993年

崔(Chui)、查爾斯K.(Charles K.),小波簡(jiǎn)介(An Introduction to Wavelets),學(xué)術(shù)出版社,1992年

科爾特斯C,(Cortes,C,)、瓦普尼克V.(Vapnik,V.),支持向量網(wǎng)絡(luò)(Support-vector networks),機(jī)器學(xué)習(xí),第20卷,第273頁(yè)到第297頁(yè),1995年

馬可夫斯基I.(Markovsky,I.)、凡胡夫S.(Van Huffel S.),總最小二乘方法概述(Overview of total least squares methods),信號(hào)處理,第87卷,第2283頁(yè)到第2302頁(yè),2007年

向農(nóng)克勞德E.(Shannon,Claude E.),數(shù)學(xué)通信理論,伊利諾斯州大學(xué)出版社,1949年

馬丁納撒尼爾F.G.(Martin,Nathaniel F.G.)、英格蘭吉姆斯W.(England,James W.),數(shù)學(xué)熵理論(Mathematical Theory of Entropy),劍橋大學(xué)出版社,2011年



技術(shù)實(shí)現(xiàn)要素:

本發(fā)明通過(guò)消除對(duì)歷史確立的基線(xiàn)或先前假設(shè)的依賴(lài)而解決了與傳統(tǒng)基線(xiàn)異常檢測(cè)方法相關(guān)聯(lián)的許多問(wèn)題。替代地,本發(fā)明的實(shí)施例能夠通過(guò)檢測(cè)瞬間改變及評(píng)估所觀(guān)察業(yè)務(wù)特性的趨勢(shì)而識(shí)別異常。

本發(fā)明的實(shí)施例通過(guò)以下方式引入新穎方法:計(jì)算所觀(guān)察網(wǎng)絡(luò)業(yè)務(wù)特性的趨勢(shì),及在多維論域的情形中,計(jì)算所觀(guān)察網(wǎng)絡(luò)業(yè)務(wù)特性的較高級(jí)趨勢(shì)且將所計(jì)算較高級(jí)趨勢(shì)分類(lèi)為人類(lèi)容易理解的語(yǔ)言類(lèi)別。

本發(fā)明的實(shí)施例通過(guò)以下方式減少網(wǎng)絡(luò)異常檢測(cè)中所經(jīng)歷的誤報(bào)的數(shù)目:一次評(píng)定多個(gè)網(wǎng)絡(luò)業(yè)務(wù)特性,將多個(gè)數(shù)學(xué)異常檢測(cè)方法應(yīng)用于多個(gè)網(wǎng)絡(luò)業(yè)務(wù)特性,及將網(wǎng)絡(luò)節(jié)點(diǎn)健康的基于模糊邏輯的模型應(yīng)用于由多個(gè)數(shù)學(xué)異常檢測(cè)方法產(chǎn)生的結(jié)果。

本發(fā)明的實(shí)施例能夠跟蹤重要網(wǎng)絡(luò)連結(jié)點(diǎn)(例如聯(lián)網(wǎng)裝置的接口)中的異常業(yè)務(wù)模式,評(píng)定網(wǎng)絡(luò)裝置及聯(lián)網(wǎng)設(shè)施作為整體的當(dāng)前健康,且確定網(wǎng)絡(luò)元件健康的趨勢(shì),因此預(yù)測(cè)可能網(wǎng)絡(luò)故障。基于網(wǎng)絡(luò)健康趨勢(shì)分析,操作者能夠優(yōu)化網(wǎng)絡(luò)資源且避免中斷?;蛘撸勺詣?dòng)地做出網(wǎng)絡(luò)優(yōu)化或維護(hù)決策。

本發(fā)明的實(shí)施例進(jìn)一步能夠識(shí)別重要網(wǎng)絡(luò)安全問(wèn)題,例如實(shí)時(shí)檢測(cè)拒絕服務(wù)(DoS)及分布式拒絕服務(wù)(DDoS)攻擊。及時(shí)攻擊檢測(cè)在如由操作者確定或預(yù)定的攻擊檢測(cè)的信任水平充分時(shí),準(zhǔn)許緩解系統(tǒng)對(duì)此類(lèi)攻擊的自動(dòng)或人工警告。

本發(fā)明的實(shí)施例可以流式傳輸方式操作而不尋求于事后分析,且實(shí)時(shí)提供關(guān)于關(guān)鍵網(wǎng)絡(luò)元件狀況的信息。應(yīng)了解,本發(fā)明中所揭示的方法也適用于靜止網(wǎng)絡(luò)數(shù)據(jù)。

本發(fā)明的實(shí)施例還可迅速地部署到服務(wù)中,因?yàn)槠洳粚?duì)操作者強(qiáng)加緩慢且高成本基線(xiàn)業(yè)務(wù)信息獲取預(yù)處理。

附圖說(shuō)明

為更清楚地確定本發(fā)明,現(xiàn)在將參考附圖以實(shí)例方式描述一些實(shí)施例,在附圖中:

圖1圖解說(shuō)明示范性簡(jiǎn)單計(jì)算機(jī)網(wǎng)絡(luò),其中例如但不限于路由器103及交換器102的網(wǎng)絡(luò)裝置提供例如物理主機(jī)計(jì)算機(jī)101或在物理主機(jī)計(jì)算機(jī)101上執(zhí)行的虛擬機(jī)104等端點(diǎn)之間的連接性;

圖2圖解說(shuō)明如圖1上所展示的示范性計(jì)算機(jī)網(wǎng)絡(luò),其中添加了接收并分析呈流式傳輸模式的網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)的業(yè)務(wù)數(shù)據(jù)分析器(NetFlow集成器(“NFI”))110及接收分析的結(jié)果的類(lèi)屬后端系統(tǒng)111;

圖3圖解說(shuō)明可用于表征流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)業(yè)務(wù)的示范性模糊分類(lèi)器;

圖4圖解說(shuō)明將所觀(guān)察業(yè)務(wù)參數(shù)語(yǔ)言值映射到注意力水平論域的示范性模糊推理矩陣;

圖5提供在恒定業(yè)務(wù)量及呈5%增量的可變相對(duì)包速率下的注意力水平計(jì)算的示范性結(jié)果;

圖6圖解說(shuō)明應(yīng)用于取樣觀(guān)察數(shù)據(jù)集的CUSUM算法的結(jié)果;

圖7圖解說(shuō)明應(yīng)用于取樣觀(guān)察數(shù)據(jù)集的小波變換的結(jié)果;

圖8圖解說(shuō)明應(yīng)用于取樣觀(guān)察數(shù)據(jù)集的SVM方法的結(jié)果;

圖9圖解說(shuō)明其中評(píng)估兩個(gè)數(shù)據(jù)觀(guān)察域A及B的改變的本發(fā)明的示范性實(shí)施例;

圖10圖解說(shuō)明本發(fā)明的示范性實(shí)施例,其中使用數(shù)據(jù)收集間隔dtk與dtcur之間的所評(píng)定網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)值評(píng)估網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì);

圖10(a)圖解說(shuō)明本發(fā)明的示范性實(shí)施例,其中使用最佳擬合線(xiàn)表達(dá)網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)以圖解說(shuō)明其中網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)落在下降類(lèi)別中的情形;

圖10(b)圖解說(shuō)明其中網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)經(jīng)擴(kuò)展以量化網(wǎng)絡(luò)裝置作為整體的健康的本發(fā)明的示范性實(shí)施例;

圖10(c)圖解說(shuō)明其中網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)經(jīng)擴(kuò)展以量化網(wǎng)絡(luò)服務(wù)的健康的本發(fā)明的示范性實(shí)施例;

圖11圖解說(shuō)明應(yīng)用于檢測(cè)及報(bào)告DDoS攻擊同時(shí)最小化誤報(bào)的數(shù)目的本發(fā)明的實(shí)施例;

圖12圖解說(shuō)明本發(fā)明的實(shí)施例,其中在從觀(guān)察過(guò)程開(kāi)始檢測(cè)到第一改變點(diǎn)之后,所觀(guān)察不完整TCP/IP會(huì)話(huà)的計(jì)數(shù)可變?yōu)橛糜诤罄m(xù)測(cè)量的初始基線(xiàn)值;

圖13圖解說(shuō)明本發(fā)明的實(shí)施例,其中在檢測(cè)到一個(gè)或多個(gè)改變點(diǎn)之后,可檢查緊接在最右邊所檢測(cè)改變點(diǎn)之后的接下來(lái)的K個(gè)觀(guān)察是否比當(dāng)前基線(xiàn)值超出預(yù)配置閾值;

圖14圖解說(shuō)明本發(fā)明的實(shí)施例,其中當(dāng)檢測(cè)到后續(xù)改變點(diǎn)時(shí),可確立新基線(xiàn)值且將前一當(dāng)前基線(xiàn)值推到已知基線(xiàn)值堆上;

圖15圖解說(shuō)明其中代理可報(bào)告在報(bào)告間隔內(nèi)所觀(guān)察不完整TCP/IP會(huì)話(huà)的數(shù)目的本發(fā)明的實(shí)施例;

圖16圖解說(shuō)明其中采取步驟來(lái)評(píng)定網(wǎng)絡(luò)業(yè)務(wù)異常的性質(zhì)的本發(fā)明的實(shí)施例;

圖17圖解說(shuō)明本發(fā)明的實(shí)施例,其中如果在數(shù)據(jù)收集間隔dtk、dtk-1或dtk+1中檢測(cè)到新IP地址到達(dá)率中的改變點(diǎn)且檢測(cè)到流計(jì)數(shù)中的改變點(diǎn),那么可將數(shù)據(jù)收集間隔dtk指定為網(wǎng)絡(luò)業(yè)務(wù)異常;

圖18圖解說(shuō)明本發(fā)明的實(shí)施例,其中采取步驟來(lái)評(píng)定根據(jù)圖17的實(shí)施例檢測(cè)的網(wǎng)絡(luò)業(yè)務(wù)異常的性質(zhì);

圖19圖解說(shuō)明其中采取步驟來(lái)跟蹤熵偏差的本發(fā)明的實(shí)施例;

圖20圖解說(shuō)明本發(fā)明的實(shí)施例,其中當(dāng)在觀(guān)察間隔上檢測(cè)到一或多個(gè)改變點(diǎn)時(shí),代理采取最近所檢測(cè)改變點(diǎn)且從檢測(cè)到改變點(diǎn)時(shí)數(shù)據(jù)收集間隔處開(kāi)始到當(dāng)前數(shù)據(jù)收集間隔而計(jì)算熵值趨勢(shì);及

圖21圖解說(shuō)明計(jì)算考慮到最近報(bào)告及由流信息源報(bào)告的先前事件的累積異常信任度量的本發(fā)明的實(shí)施例。

具體實(shí)施方式

一般來(lái)說(shuō),本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測(cè)及事件管理。更具體來(lái)說(shuō),本發(fā)明涉及處理由于網(wǎng)絡(luò)監(jiān)測(cè)活動(dòng)而獲得的網(wǎng)絡(luò)元數(shù)據(jù)及所述元數(shù)據(jù)的后續(xù)處理,其可導(dǎo)致有用信息以及時(shí)方式報(bào)告給操作者及/或事件管理系統(tǒng)。

現(xiàn)在將參考如附圖中所圖解說(shuō)明的本發(fā)明的幾個(gè)實(shí)施例而詳細(xì)描述本發(fā)明。在以下描述中,陳述眾多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的實(shí)施例的透徹理解。然而,所屬領(lǐng)域的技術(shù)人員將明了,可在不具有這些具體細(xì)節(jié)中的一些或全部細(xì)節(jié)的情況下實(shí)踐實(shí)施例。在其它實(shí)例中,未詳細(xì)描述眾所周知的過(guò)程步驟及/或結(jié)構(gòu)以便不會(huì)不必要地使本發(fā)明模糊。參考以下圖式及論述可更好地理解實(shí)施例的特征及優(yōu)點(diǎn)。

結(jié)合附圖將更佳地理解關(guān)于以下描述的本發(fā)明的示范性實(shí)施例的各方面、特征及優(yōu)點(diǎn)。所屬領(lǐng)域的技術(shù)人員應(yīng)明了,本文中所提供的本發(fā)明的所描述實(shí)施例僅為說(shuō)明性的而非限制性的,僅以實(shí)例方式呈現(xiàn)。除非另有明確陳述,否則本描述中所揭示的所有特征可由充當(dāng)相同或類(lèi)似目的的替代特征代替。因此,預(yù)期本發(fā)明的修改的眾多其它實(shí)施例,因?yàn)槠鋵儆谌绫疚闹兴缍ǖ谋景l(fā)明及其等效物的范圍內(nèi)。因此,絕對(duì)及/或順序術(shù)語(yǔ)(例如,舉例來(lái)說(shuō),“將”、“將不”、“應(yīng)”、“不應(yīng)”、“必須”、“不必”、“首先”、“最初”、“接下來(lái)”、“隨后”、“之前”、“之后”、“最后”及“最終”)的使用不打算限制本發(fā)明的范圍,因?yàn)楸疚闹兴沂镜膶?shí)施例僅為示范性的。

在以下描述中,僅出于說(shuō)明的目的而在網(wǎng)絡(luò)元數(shù)據(jù)處理的情境中揭示本發(fā)明。然而,將了解,本發(fā)明適合于更廣泛的各種應(yīng)用及使用,且本發(fā)明的某些實(shí)施例適用于除網(wǎng)絡(luò)元數(shù)據(jù)處理之外的情境。舉例來(lái)說(shuō),本文中所揭示的方法可應(yīng)用于通過(guò)調(diào)節(jié)十字路口處的交通燈的持續(xù)時(shí)間而控制城市交通流。在另一實(shí)例中,本文中所揭示的方法可適合于控制電力網(wǎng)。還應(yīng)了解,本文中所揭示的方法在不具有關(guān)于實(shí)際網(wǎng)絡(luò)業(yè)務(wù)自身的限制的情況下適用。

在本發(fā)明的一個(gè)實(shí)施例中,方法及系統(tǒng)可使用NetFlow集成器(“NFI”)(實(shí)現(xiàn)呈版本1到8、NetFlow v9、jFlow、sflowd、sFlow、NetStream、IPFIX的NetFlow業(yè)務(wù)及類(lèi)似(“NetFlow”)業(yè)務(wù)的集成的軟件程序)的一或多個(gè)實(shí)例與能夠存儲(chǔ)及/或處理呈系統(tǒng)日志格式的網(wǎng)絡(luò)元數(shù)據(jù)的任何系統(tǒng)一起實(shí)施。所述集成可通過(guò)將由網(wǎng)絡(luò)上的NetFlow生產(chǎn)者產(chǎn)生的網(wǎng)絡(luò)元數(shù)據(jù)轉(zhuǎn)化成網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)(系統(tǒng)日志)的通用語(yǔ)而實(shí)現(xiàn)。NetFlow信息到對(duì)應(yīng)系統(tǒng)日志信息的映射可根據(jù)由NFI管理者確立的策略、規(guī)則及優(yōu)先權(quán)而執(zhí)行。

應(yīng)了解,使用系統(tǒng)日志來(lái)報(bào)告網(wǎng)絡(luò)元數(shù)據(jù)是示范性的,且可使用其它數(shù)據(jù)表示及遞送方法,例如但不限于CEF或JSON。

網(wǎng)絡(luò)健康評(píng)定

圖1圖解說(shuō)明示范性簡(jiǎn)單計(jì)算機(jī)網(wǎng)絡(luò),其中例如但不限于路由器103及交換器102的網(wǎng)絡(luò)裝置提供例如物理主機(jī)計(jì)算機(jī)101或在物理主機(jī)計(jì)算機(jī)101上執(zhí)行的虛擬機(jī)104等端點(diǎn)之間的連接性。

典型計(jì)算機(jī)網(wǎng)絡(luò)是其中可靠性隨著聯(lián)網(wǎng)裝置的數(shù)目及網(wǎng)絡(luò)業(yè)務(wù)量增加而降低的復(fù)雜系統(tǒng)。且隨著網(wǎng)絡(luò)大小增加,理解網(wǎng)絡(luò)狀態(tài)及評(píng)定個(gè)別網(wǎng)絡(luò)節(jié)點(diǎn)的狀況的任務(wù)兩者均變得更困難及更重要。

圖2圖解說(shuō)明如圖1上所展示的示范性計(jì)算機(jī)網(wǎng)絡(luò),其中添加了接收并分析呈流式傳輸模式的網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)的業(yè)務(wù)數(shù)據(jù)分析器(NetFlow集成器(“NFI”))110及接收分析的結(jié)果的類(lèi)屬后端系統(tǒng)111。在本發(fā)明的一個(gè)實(shí)施例中,使用NetFlow協(xié)議112收集關(guān)于網(wǎng)絡(luò)業(yè)務(wù)的信息。

在本發(fā)明的一個(gè)實(shí)施例中,網(wǎng)絡(luò)節(jié)點(diǎn)健康評(píng)定方法可遵守以下程序:

1.確立業(yè)務(wù)數(shù)據(jù)收集間隔dt。在所述方法的一個(gè)實(shí)施例中,可將數(shù)據(jù)收集間隔長(zhǎng)度選擇為介于10秒與60秒之間。

2.確立業(yè)務(wù)觀(guān)察間隔T。T是dt的倍數(shù):T=N*dt。在所述方法的一個(gè)實(shí)施例中,將業(yè)務(wù)觀(guān)察間隔長(zhǎng)度選擇為介于dt的20倍到40倍之間。在利用基于小波系列算法的改變檢測(cè)方法的示范性實(shí)施例中,由于小波變換要求,所述倍數(shù)是N=2n。因此在所述方法的一個(gè)實(shí)施例中,可選擇N=32。

3.在數(shù)據(jù)信息收集間隔dt內(nèi)收集關(guān)于通過(guò)網(wǎng)絡(luò)接口的業(yè)務(wù)的多元信息。在示范性實(shí)施例中,多個(gè)所收集網(wǎng)絡(luò)業(yè)務(wù)參數(shù)在不具有限制的情況下由業(yè)務(wù)量及包速率測(cè)量組成。

4.可重復(fù)所述觀(guān)察N次:R1、...、RN(其中Ri為在第i間隔期間收集的信息)。

5.在收集時(shí)間間隔N+1結(jié)束時(shí),將至少一個(gè)改變檢測(cè)方法直接(或在小波變換的情形中,聯(lián)合用作模板的時(shí)間系列R1、...、RN)應(yīng)用于時(shí)間系列R2、...、RN+1。

6.識(shí)別由每一所應(yīng)用改變檢測(cè)方法檢測(cè)到的改變點(diǎn),且針對(duì)從最右邊所識(shí)別改變點(diǎn)數(shù)據(jù)收集間隔開(kāi)始到當(dāng)前數(shù)據(jù)收集間隔的每一數(shù)據(jù)收集間隔計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(“NHS”)。

7.估計(jì)網(wǎng)絡(luò)接口NHS值作為針對(duì)當(dāng)前數(shù)據(jù)收集間隔計(jì)算的NHS值。

8.基于在從最右邊所識(shí)別改變點(diǎn)數(shù)據(jù)收集間隔開(kāi)始到當(dāng)前數(shù)據(jù)收集間隔的數(shù)據(jù)收集間隔內(nèi)的NHS值變化模式而估計(jì)網(wǎng)絡(luò)接口NHS趨勢(shì)。

應(yīng)了解,數(shù)據(jù)收集間隔dt的持續(xù)時(shí)間是可配置參數(shù)且可取決于用戶(hù)的所要知曉及/或精確程度而微調(diào)。通過(guò)選擇較短數(shù)據(jù)收集間隔,用戶(hù)可受益于較早收到關(guān)于負(fù)NHS值趨勢(shì)的通知,代價(jià)是可能接收到關(guān)于網(wǎng)絡(luò)業(yè)務(wù)中可能不重要的短尖峰的外來(lái)通知。選擇延長(zhǎng)的數(shù)據(jù)收集間隔過(guò)濾掉短網(wǎng)絡(luò)業(yè)務(wù)尖峰但可能延遲通知的遞送。

應(yīng)了解,本發(fā)明的此實(shí)施例的顯著益處源于實(shí)現(xiàn)評(píng)定網(wǎng)絡(luò)故障風(fēng)險(xiǎn)的對(duì)節(jié)點(diǎn)健康趨勢(shì)的情境監(jiān)測(cè)。還應(yīng)了解,所揭示方法可在N+1個(gè)數(shù)據(jù)收集間隔之后完全操作,所述數(shù)據(jù)收集間隔在實(shí)踐中可跨少至15到20分鐘。因此,此實(shí)施例的方法及系統(tǒng)可經(jīng)采用且在不具有與確立長(zhǎng)且不可靠歷史基線(xiàn)相關(guān)聯(lián)的延遲的情況下幾乎立即變得可操作。

所觀(guān)察數(shù)據(jù)預(yù)處理

應(yīng)了解,所觀(guān)察網(wǎng)絡(luò)數(shù)據(jù)的短暫急劇改變可導(dǎo)致增加的誤報(bào)的出現(xiàn)。為了緩解此潛在問(wèn)題,可將指數(shù)平滑過(guò)程應(yīng)用于所觀(guān)察數(shù)據(jù):

其中

是經(jīng)平滑第i觀(guān)察值

X(t)是實(shí)際第i觀(guān)察值

α是平滑系數(shù)。在示范性實(shí)施方案中,平滑系數(shù)可為α=0.35或操作者基于例如對(duì)潛在網(wǎng)絡(luò)麻煩的較可靠指示的期望對(duì)抗對(duì)較早指示的期望等因素而偏好的其它值。

網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)

在所揭示實(shí)施例中,節(jié)點(diǎn)健康得分(NHS)可為提供關(guān)于特定網(wǎng)絡(luò)節(jié)點(diǎn)(例如網(wǎng)絡(luò)裝置接口)的狀況的指導(dǎo)的單個(gè)度量。圖3圖解說(shuō)明可用于表征流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)業(yè)務(wù)的示范性模糊分類(lèi)器。每一模糊分類(lèi)器的x軸可表示[0,1]間隔上的經(jīng)分類(lèi)參數(shù)的相對(duì)值,其中在參數(shù)達(dá)到其最大值時(shí)達(dá)到值1。每一模糊分類(lèi)器的y軸可測(cè)量給定參數(shù)值屬于特定語(yǔ)言分類(lèi)的程度。

參考圖3,業(yè)務(wù)量模糊分類(lèi)器可表示流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的業(yè)務(wù)量的語(yǔ)言分類(lèi)。標(biāo)記為低120、中121及高122的區(qū)域分別對(duì)應(yīng)于在語(yǔ)言上可表征為低、中及高的業(yè)務(wù)水平。

進(jìn)一步參考圖3,包速率模糊分類(lèi)器可表示包流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的速率的語(yǔ)言分類(lèi)。標(biāo)記為低123、中124及高125的區(qū)域分別對(duì)應(yīng)于在語(yǔ)言上可表征為低、中及高的包速率水平。

進(jìn)一步參考圖3,注意力水平模糊分類(lèi)器可表示網(wǎng)絡(luò)節(jié)點(diǎn)需要的操作者的注意力水平的語(yǔ)言分類(lèi)。標(biāo)記為低126及高125的區(qū)域分別對(duì)應(yīng)于在語(yǔ)言上可表征為正常及麻煩的操作者的注意力的不同程度。

在網(wǎng)絡(luò)節(jié)點(diǎn)健康評(píng)定的第一步驟中,所揭示方法可輸入通過(guò)節(jié)點(diǎn)的所觀(guān)察網(wǎng)絡(luò)業(yè)務(wù)特性的相對(duì)值(“清晰輸入(crisp input)”)且找出所觀(guān)察值中的每一者屬于其論域中的特定語(yǔ)言類(lèi)別的程度。

在網(wǎng)絡(luò)節(jié)點(diǎn)健康評(píng)定的第二步驟中,所揭示方法可輸入所觀(guān)察值中的每一者屬于其論域中的特定語(yǔ)言類(lèi)別的經(jīng)計(jì)算程度,且使用圖4上所呈現(xiàn)的模糊推理矩陣將這些值映射到注意力水平模糊分類(lèi)器上。所述方法可包含(例如)使用馬丹妮及山野模糊推理方法計(jì)算所需注意力水平值A(chǔ)L的步驟。節(jié)點(diǎn)健康系數(shù)可計(jì)算為:

NHS=1-AL

參考圖4,示范性模糊推理矩陣可將所觀(guān)察業(yè)務(wù)參數(shù)語(yǔ)言值映射到注意力水平論域。在圖4中所展示的示范性模糊推理矩陣中,行對(duì)應(yīng)于所觀(guān)察相對(duì)包速率值且列對(duì)應(yīng)于通過(guò)節(jié)點(diǎn)的所觀(guān)察相對(duì)業(yè)務(wù)量,其中每一單元表示對(duì)應(yīng)模糊分類(lèi)規(guī)則的語(yǔ)言值:

如果業(yè)務(wù)量是X且包速率是Y,那么注意力水平是Z

舉例來(lái)說(shuō),當(dāng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的業(yè)務(wù)量在語(yǔ)言上分類(lèi)為低(“L”)且流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的包速率在語(yǔ)言上分類(lèi)為低(“L”),那么此節(jié)點(diǎn)的所需注意力水平可分類(lèi)為高(“H”),從而指示輕負(fù)載的網(wǎng)絡(luò)節(jié)點(diǎn)正經(jīng)歷硬件問(wèn)題的高概率。

圖5提供在恒定業(yè)務(wù)量140及呈5%增量的可變相對(duì)包速率141下的注意力水平計(jì)算的示范性結(jié)果。使用馬丹妮及山野方法按比例縮放到間隔[0,100]的注意力水平計(jì)算的結(jié)果分別呈現(xiàn)于列142及143中。在所揭示方法的示范性實(shí)施方案中,有效注意力水平值被計(jì)算為使用馬丹妮方法計(jì)算的注意力水平值A(chǔ)LM與使用山野方法計(jì)算的注意力水平值A(chǔ)LS的平均值:

應(yīng)了解,圖3上所展示的模糊分類(lèi)器是示范性的,且可包含其它語(yǔ)言分類(lèi)(例如“極”)或具有總體的其它語(yǔ)言分類(lèi)。還應(yīng)了解,圖4上所展示的模糊推理矩陣是示范性,且在不具有限制的情況下可包含額外語(yǔ)言分類(lèi)及觀(guān)察域。

計(jì)算相對(duì)節(jié)點(diǎn)負(fù)載

網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)計(jì)算可涉及以相對(duì)項(xiàng)目表達(dá)業(yè)務(wù)參數(shù)。在所揭示方法的示范性實(shí)施例中,通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的相對(duì)業(yè)務(wù)量可計(jì)算為:

其中

B是在數(shù)據(jù)收集間隔期間通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的雙向IP等級(jí)3業(yè)務(wù)量(以字節(jié)為單位)

是節(jié)點(diǎn)的最大標(biāo)稱(chēng)速度(以位/秒“bps”為單位),且

dt是數(shù)據(jù)收集間隔(以秒為單位)。

在所揭示方法的示范性實(shí)施方案中,網(wǎng)絡(luò)包流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的相對(duì)速率可計(jì)算為:

其中

是在數(shù)據(jù)收集間隔期間的平均網(wǎng)絡(luò)包大小(以字節(jié)為單位):

其中

P是在數(shù)據(jù)收集間隔期間觀(guān)察的沿兩個(gè)方向的包的數(shù)目

針對(duì)基于IP的網(wǎng)絡(luò),層2=41-層2標(biāo)題的大小(17字節(jié)),幀間間隙的大小(12字節(jié))及報(bào)頭的大小(8字節(jié))。層2信息的大小可取為標(biāo)準(zhǔn)層2標(biāo)題(14字節(jié))、具有VLAN標(biāo)簽的層2標(biāo)題(16字節(jié))及具有MPLS標(biāo)記的層2標(biāo)題(20字節(jié))的平均值。

應(yīng)了解,以上計(jì)算是示范性的,且相對(duì)業(yè)務(wù)量及網(wǎng)絡(luò)包流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的相對(duì)速率可使用不同公式計(jì)算。

改變點(diǎn)檢測(cè)算法

改變檢測(cè)是嘗試識(shí)別隨機(jī)過(guò)程或時(shí)間系列的概率分布的改變的統(tǒng)計(jì)分析方法。一般來(lái)說(shuō),改變檢測(cè)問(wèn)題暗示檢測(cè)是否已發(fā)生一或多個(gè)改變及識(shí)別此些改變的時(shí)間。

在示范性實(shí)施例中,累積求和(“CUSUM”)算法、小波變換(“小波”)及支持向量機(jī)(“SVM”)算法可應(yīng)用于流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)業(yè)務(wù)的所觀(guān)察業(yè)務(wù)特性。應(yīng)用多個(gè)改變點(diǎn)檢測(cè)算法的目的是實(shí)現(xiàn)對(duì)改變的信任檢測(cè)。應(yīng)了解,其它改變點(diǎn)檢測(cè)算法可應(yīng)用于所觀(guān)察網(wǎng)絡(luò)業(yè)務(wù)特性且CUSUM、小波及SVM算法的選擇是示范性的。

累積求和(CUSUM)算法

圖6圖解說(shuō)明應(yīng)用于取樣觀(guān)察數(shù)據(jù)集151的CUSUM算法的結(jié)果。點(diǎn)150指示在所評(píng)估原始數(shù)據(jù)集151中通過(guò)CUSUM算法發(fā)現(xiàn)的改變點(diǎn)。進(jìn)一步參考圖6,在示范性再現(xiàn)中,y軸表示改變點(diǎn)信任度量(0到100),此度量的值越接近100,越信任地識(shí)別出改變點(diǎn)。

小波變換算法

圖7圖解說(shuō)明應(yīng)用于取樣觀(guān)察數(shù)據(jù)集151的小波變換的結(jié)果。原始數(shù)據(jù)160的小波變換將所觀(guān)察值151圍繞y=0正規(guī)化且過(guò)濾掉所觀(guān)察值151中的高頻率分量(通常稱(chēng)為噪聲)。改變點(diǎn)是經(jīng)變換數(shù)據(jù)的絕對(duì)值超出特定預(yù)設(shè)定閾值yT處的點(diǎn),|yT|=Δy,162。應(yīng)了解,改變點(diǎn)檢測(cè)概率隨經(jīng)變換數(shù)據(jù)yT的絕對(duì)值變大而增加。

由于在觀(guān)察間隔開(kāi)始時(shí)的認(rèn)為突然改變,在幾個(gè)最左邊數(shù)據(jù)收集間隔Δx 163上識(shí)別的偏差優(yōu)選地被丟棄。依據(jù)算法定義,小波變換應(yīng)用于其的數(shù)據(jù)收集間隔N的數(shù)目應(yīng)等于2n,其中n是整數(shù)(例如,N=32,n=5)。

支持向量機(jī)(SVM)算法

SVM是識(shí)別不同觀(guān)察的類(lèi)似性的分類(lèi)方法。SVM使用第一數(shù)據(jù)集作為模板,且對(duì)照第一數(shù)據(jù)集將第二數(shù)據(jù)集分類(lèi)。圖8圖解說(shuō)明應(yīng)用于取樣觀(guān)察數(shù)據(jù)集151的SVM方法的結(jié)果。

如同圖7上所圖解說(shuō)明的小波變換,SVM分類(lèi)算法包含選擇閾值Δy 172以識(shí)別經(jīng)變換數(shù)據(jù)170的突然改變。應(yīng)了解,經(jīng)選擇用于通過(guò)SVM算法170變換的數(shù)據(jù)的閾值172與經(jīng)選擇用于小波變換算法的閾值163無(wú)關(guān)。

網(wǎng)絡(luò)節(jié)點(diǎn)健康評(píng)定

參考圖9,在所揭示方法的示范性實(shí)施例中,可針對(duì)以最右邊所檢測(cè)改變點(diǎn)開(kāi)始到當(dāng)前數(shù)據(jù)收集間隔的數(shù)據(jù)收集間隔dt 182計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)健康度量。圖9圖解說(shuō)明其中評(píng)估兩個(gè)數(shù)據(jù)觀(guān)察域A及B中的改變的方法的示范性實(shí)施例。本文中所揭示的方法可在不具有限制的情況下擴(kuò)展到任意數(shù)目個(gè)數(shù)據(jù)觀(guān)察域。

進(jìn)一步參考圖9,如果遇到其中在所有觀(guān)察域中檢測(cè)到改變點(diǎn)的情形,那么針對(duì)從在其上檢測(cè)到改變點(diǎn)的最右邊數(shù)據(jù)收集間隔開(kāi)始的數(shù)據(jù)收集域計(jì)算NHS。舉例來(lái)說(shuō),參考圖9,如果在數(shù)據(jù)收集間隔dtk 183處檢測(cè)到域A 180中的改變點(diǎn)且在數(shù)據(jù)收集間隔dtk-j 184(j>0)處檢測(cè)到域B 181中的改變點(diǎn),那么針對(duì)dtk與當(dāng)前數(shù)據(jù)收集間隔之間(包含dtk及當(dāng)前數(shù)據(jù)收集間隔)的所有數(shù)據(jù)收集間隔計(jì)算NHS。

在其中僅在一個(gè)數(shù)據(jù)域中存在改變點(diǎn)的情形中,可針對(duì)以在其上檢測(cè)到所觀(guān)察數(shù)據(jù)中的改變點(diǎn)的最右邊數(shù)據(jù)收集間隔開(kāi)始到當(dāng)前數(shù)據(jù)收集間隔(包含最右邊數(shù)據(jù)收集間隔及當(dāng)前數(shù)據(jù)收集間隔)的所有數(shù)據(jù)收集間隔計(jì)算NHS。在其中未檢測(cè)到改變點(diǎn)的情形中,可僅針對(duì)當(dāng)前數(shù)據(jù)收集間隔計(jì)算NHS。

網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)評(píng)估

參考圖10,在所揭示方法的示范性實(shí)施例中,使用數(shù)據(jù)收集間隔dtk 183與dtcur 198之間的所評(píng)定網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)值評(píng)估網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì),其中數(shù)據(jù)收集間隔dtk 183是在其上觀(guān)察到當(dāng)前觀(guān)察間隔190中的最后改變點(diǎn)的數(shù)據(jù)收集間隔且dtcur 198是當(dāng)前數(shù)據(jù)收集間隔。

進(jìn)一步參考圖10,網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)可與在點(diǎn)191之間繪制的最佳擬合線(xiàn)192的斜率相關(guān)聯(lián),點(diǎn)191表示以數(shù)據(jù)收集時(shí)間間隔183開(kāi)始的每一數(shù)據(jù)收集時(shí)間間隔上的網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)值,其中檢測(cè)到當(dāng)前觀(guān)察間隔190中的最后改變點(diǎn)。在示范性實(shí)施方案中,使用總最小二乘(“TLS”)方法計(jì)算最佳擬合線(xiàn)192。應(yīng)了解,除TLS外的擬合方法可用于所述目的。

進(jìn)一步參考圖10,基于最佳擬合線(xiàn)192的斜率,網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)可分類(lèi)成相異定性類(lèi)別,例如,稱(chēng)作峰值195、改善194、中性193、降級(jí)196及下降197。在其中在當(dāng)前數(shù)據(jù)收集間隔dtcur 198期間檢測(cè)到當(dāng)前觀(guān)察間隔190中的最后改變點(diǎn)的退化情形中,網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)可分類(lèi)為中性。

進(jìn)一步參考圖10,使用最佳擬合線(xiàn)192表達(dá)的示范性所描繪網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)圖解說(shuō)明當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)落到改善194類(lèi)別中時(shí)的情形。改善194趨勢(shì)分類(lèi)歸因于NHS值191由于最近所觀(guān)察改變點(diǎn)而繼續(xù)穩(wěn)定增長(zhǎng)的事實(shí)。

參考圖10a,使用最佳擬合線(xiàn)199表達(dá)的示范性所描繪網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)圖解說(shuō)明當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)落到下降197類(lèi)別中時(shí)的情形。下降197趨勢(shì)分類(lèi)歸因于網(wǎng)絡(luò)節(jié)點(diǎn)得分(NHS)值198由于最近所觀(guān)察改變點(diǎn)而急劇下降的事實(shí)。

網(wǎng)絡(luò)裝置健康評(píng)定

參考圖10b,網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)的概念可進(jìn)一步擴(kuò)展到量化網(wǎng)絡(luò)裝置400作為整體的健康。在網(wǎng)絡(luò)裝置的此計(jì)算NHS的示范性實(shí)施例中,可將NHSD評(píng)定為裝置的網(wǎng)絡(luò)節(jié)點(diǎn)401的最小NHS:

其中

是第i裝置節(jié)點(diǎn)的網(wǎng)絡(luò)健康得分,且

n是部署于裝置上的網(wǎng)絡(luò)節(jié)點(diǎn)的總數(shù)目。

進(jìn)一步參考圖10b,網(wǎng)絡(luò)裝置400NHS的以上示范性量化由以下事實(shí)證明為合理的:部署于裝置400上的網(wǎng)絡(luò)節(jié)點(diǎn)401是裝置400的組成部分,且如此是相互依賴(lài)的,且每一網(wǎng)絡(luò)節(jié)點(diǎn)401的性能受部署于裝置上的其它網(wǎng)絡(luò)節(jié)點(diǎn)的性能影響。

進(jìn)一步參考圖10b,應(yīng)了解,可考慮用以量化網(wǎng)絡(luò)裝置400健康評(píng)定的其它方法,例如基于網(wǎng)絡(luò)節(jié)點(diǎn)標(biāo)稱(chēng)吞吐量而使每一網(wǎng)絡(luò)節(jié)點(diǎn)401的相對(duì)加權(quán)相關(guān)聯(lián)。

網(wǎng)絡(luò)服務(wù)可用性評(píng)定

參考圖10c,在本發(fā)明的論域中,網(wǎng)絡(luò)裝置410是將網(wǎng)絡(luò)業(yè)務(wù)傳遞到網(wǎng)絡(luò)服務(wù)411的一個(gè)或多個(gè)中介機(jī)構(gòu),例如但不限于路由器、交換器及防火墻。網(wǎng)絡(luò)服務(wù)411是在經(jīng)由應(yīng)用層網(wǎng)絡(luò)協(xié)議提供數(shù)據(jù)處理、存儲(chǔ)、表示及其它能力的網(wǎng)絡(luò)應(yīng)用層處運(yùn)行的應(yīng)用。

進(jìn)一步參考圖10c,網(wǎng)絡(luò)服務(wù)411可用性取決于將網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)服務(wù)411的網(wǎng)絡(luò)裝置410的可用性。在網(wǎng)絡(luò)裝置410性能不良的情形中或在網(wǎng)絡(luò)裝置410故障的情形中,網(wǎng)絡(luò)服務(wù)的可用性降級(jí)或網(wǎng)絡(luò)服務(wù)變得不可訪(fǎng)問(wèn)。由于網(wǎng)絡(luò)服務(wù)411對(duì)企業(yè)商業(yè)的重要性,因此檢測(cè)通向網(wǎng)絡(luò)服務(wù)411的網(wǎng)絡(luò)路徑中的故障且基于所述網(wǎng)絡(luò)路徑的健康而量化其可用性是重要的。

進(jìn)一步參考圖10c,考慮具有m個(gè)網(wǎng)絡(luò)路徑412的網(wǎng)絡(luò)服務(wù)411,經(jīng)由所述網(wǎng)絡(luò)路徑網(wǎng)絡(luò)業(yè)務(wù)流動(dòng)到服務(wù)及從服務(wù)流動(dòng)。在本發(fā)明的精神內(nèi),可使用網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)表達(dá)網(wǎng)絡(luò)服務(wù)411的可用性。在示范性實(shí)施例中,網(wǎng)絡(luò)服務(wù)411可用性的NHS值NHSSVC可計(jì)算為將網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)服務(wù)411的每一網(wǎng)絡(luò)裝置410的NHS值的經(jīng)加權(quán)平均值:

其中

是將網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)服務(wù)411的第i網(wǎng)絡(luò)裝置410的網(wǎng)絡(luò)健康得分

m是將網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)服務(wù)411的網(wǎng)絡(luò)裝置410的總數(shù)目

ωi是通過(guò)每一網(wǎng)絡(luò)裝置410流動(dòng)到網(wǎng)絡(luò)服務(wù)411及從網(wǎng)絡(luò)服務(wù)411流動(dòng)的網(wǎng)絡(luò)業(yè)務(wù)的份額。所述份額通過(guò)以下步驟計(jì)算:觀(guān)察通過(guò)第i網(wǎng)絡(luò)裝置410去往及來(lái)自網(wǎng)絡(luò)服務(wù)411的網(wǎng)絡(luò)業(yè)務(wù)流Vi,累加在數(shù)據(jù)收集周期內(nèi)在每一流中的網(wǎng)絡(luò)業(yè)務(wù)量,及將其除以在數(shù)據(jù)收集周期內(nèi)去往及來(lái)自網(wǎng)絡(luò)服務(wù)411的總業(yè)務(wù)量V:

網(wǎng)絡(luò)服務(wù)的NHS值計(jì)算提供用于向網(wǎng)絡(luò)操作者報(bào)告聯(lián)網(wǎng)資源的狀況的穩(wěn)健機(jī)制。

應(yīng)了解,可考慮用以量化網(wǎng)絡(luò)服務(wù)可用性的其它方法,例如在裝置加權(quán)計(jì)算中包含網(wǎng)絡(luò)裝置的標(biāo)稱(chēng)性能。

檢測(cè)異常業(yè)務(wù)

拒絕服務(wù)(“DoS”)攻擊是使網(wǎng)絡(luò)資源不可用于其既定用戶(hù)的嘗試。分布式拒絕服務(wù)(“DDoS”)攻擊是DOS攻擊的變體,其中多個(gè)受危及系統(tǒng)用于將單個(gè)系統(tǒng)定為目標(biāo)且導(dǎo)致DoS攻擊。

在DDoS攻擊期間,涌入目標(biāo)的傳入業(yè)務(wù)通常源于許多不同源,這使得難以區(qū)分合法用戶(hù)業(yè)務(wù)與跨越大量源點(diǎn)傳播的攻擊業(yè)務(wù)。

在示范性實(shí)施例中,本文中所揭示的方法可應(yīng)用于檢測(cè)及報(bào)告DDoS攻擊同時(shí)最小化誤報(bào)的數(shù)目。參考圖11,所揭示方法利用含有關(guān)于網(wǎng)絡(luò)業(yè)務(wù)的信息及考慮到多個(gè)網(wǎng)絡(luò)業(yè)務(wù)特性的網(wǎng)絡(luò)業(yè)務(wù)描述212,所述多個(gè)網(wǎng)絡(luò)業(yè)務(wù)特性中的每一者由多個(gè)專(zhuān)門(mén)模塊(“代理”)210評(píng)估。實(shí)施所揭示方法的系統(tǒng)將描述網(wǎng)絡(luò)業(yè)務(wù)的信息遞送到每一代理210且每一代理210可以專(zhuān)門(mén)方式處理此信息。

進(jìn)一步參考圖11,一旦代理210收集足以做出結(jié)論的信息(或響應(yīng)于計(jì)時(shí)器),代理210便可將其發(fā)現(xiàn)報(bào)告給事件相關(guān)處理器(“ECP”)211,ECP 211發(fā)揮功能以做出關(guān)于事件是否是肯定的或事件是否是否定的最終決策。

應(yīng)了解,在代理210中實(shí)施的將輸入提供到ECP 211最終決策制定程序中的算法集合可變化,且除本文中所揭示的算法外的算法可用于提供此輸入。還應(yīng)了解,下文中所論述的代理210的列表僅出于圖解說(shuō)明的目的且不構(gòu)成對(duì)所揭示方法的任何限制。

盡管如本文中所揭示的方法的示范性實(shí)施例分析貫穿網(wǎng)絡(luò)的網(wǎng)絡(luò)業(yè)務(wù),但應(yīng)了解,其可在不具有限制的情況下應(yīng)用于到特定IP地址的網(wǎng)絡(luò)業(yè)務(wù),因此檢測(cè)以特定網(wǎng)絡(luò)服務(wù)或多個(gè)網(wǎng)絡(luò)服務(wù)為目標(biāo)的DDoS攻擊。

代理A:TCP/IP業(yè)務(wù)分析器

進(jìn)一步參考圖11,代理A可專(zhuān)門(mén)用于檢測(cè)基于TCP/IP的DoS淹沒(méi)攻擊及將觀(guān)察報(bào)告給ECP 211。

TCP/IP淹沒(méi)攻擊是實(shí)踐中可見(jiàn)的最普遍的DDoS攻擊分類(lèi)中的一者。最常見(jiàn)類(lèi)型的TCP/IP淹沒(méi)攻擊是SYN淹沒(méi)攻擊,在SYN淹沒(méi)攻擊期間攻擊者發(fā)送具有受破壞主機(jī)的源IP地址或受騙IP地址的大量TCP/IP SYN包。

當(dāng)在兩個(gè)通信對(duì)等點(diǎn)A與B之間起始TCP/IP會(huì)話(huà)時(shí),發(fā)生標(biāo)準(zhǔn)TCP/IP SYN-SYN/ACK–ACK消息交換。此通信的發(fā)起者A首先發(fā)送TCP/IP SYN包且響應(yīng)者B以TCP/IP SYN/ACK包響應(yīng)。在正常情況下,發(fā)起者A然后以TCP/IP ACK包響應(yīng)且可開(kāi)始將數(shù)據(jù)發(fā)送到響應(yīng)者B。在其中發(fā)起者A是惡意實(shí)體的情形中,其可抑制將TCP/IP ACK包發(fā)送到響應(yīng)者B,因此捆綁住為了創(chuàng)建新TCP/IP會(huì)話(huà)而分配的響應(yīng)者的資源。

應(yīng)了解,存在其它類(lèi)型的TCP/IP淹沒(méi)攻擊(例如反射型SYN/ACK淹沒(méi)及TCP/IP FIN淹沒(méi)),且本文中所揭示的方法在不具有任何限制的情況下還適用于那些類(lèi)型的攻擊。

代理A監(jiān)測(cè)不完整TCP/IP會(huì)話(huà)(即,其中響應(yīng)者B未響應(yīng)于所發(fā)送TCP/IP SYN/ACK包而接收到TCP/IP ACK包的所起始TCP/IP會(huì)話(huà))的數(shù)目。舉例來(lái)說(shuō),代理A可計(jì)算在每一數(shù)據(jù)收集間隔dt上未應(yīng)答的TCP/IP SYN/ACK響應(yīng)的數(shù)目。

在示范性實(shí)施例中,為了檢測(cè)初期TCP/IP SYN淹沒(méi)攻擊,可選擇滑動(dòng)觀(guān)察間隔T=dt×N,N是整數(shù)。此選擇形成分析其中的值改變的多個(gè)所觀(guān)察數(shù)據(jù)。CUSUM算法此后可應(yīng)用于針對(duì)每一數(shù)據(jù)收集間隔dt識(shí)別所述系列的不完整TCP/IP會(huì)話(huà)計(jì)數(shù)中的改變點(diǎn)。

參考圖12,當(dāng)從觀(guān)察過(guò)程的開(kāi)始檢測(cè)到第一改變點(diǎn)220時(shí),所觀(guān)察不完整TCP/IP會(huì)話(huà)的計(jì)數(shù)可變?yōu)橛糜诤罄m(xù)測(cè)量的初始基線(xiàn)值221b0。應(yīng)了解,除選擇對(duì)應(yīng)于第一改變點(diǎn)220的值外的方法可用于確立初始基線(xiàn)值。本文中所描述的方法是示范性的,且可由設(shè)定固定初始基線(xiàn)值、采取在第一改變點(diǎn)220之前的數(shù)據(jù)收集間隔的平均值及/或其它方法代替。

參考圖13,在其中檢測(cè)到一個(gè)或多個(gè)改變點(diǎn)的情形中,可檢查緊接在最右邊所檢測(cè)改變點(diǎn)223之后的接下來(lái)的K個(gè)觀(guān)察222是否比當(dāng)前基線(xiàn)值225超出預(yù)配置閾值δ(224)。代理A可在(舉例來(lái)說(shuō))滿(mǎn)足以下條件中的一者的情況下報(bào)告事件:

1)CK≥CK-1≥...≥C0

2)ave(Ci)≥CO,i=1、...、K

其中

C0是改變點(diǎn)223處不完整TCP/IP會(huì)話(huà)的數(shù)目

Ci是在第i連續(xù)數(shù)據(jù)收集間隔dt(i=1、...、K)期間不完整TCP/IP會(huì)話(huà)的數(shù)目

ave是平均函數(shù)。

參考圖14,當(dāng)檢測(cè)到后續(xù)改變點(diǎn)230時(shí),可確立新基線(xiàn)值231且可將前一當(dāng)前基線(xiàn)值225推到已知基線(xiàn)值堆上。

考圖15,代理A可報(bào)告在報(bào)告間隔240內(nèi)所觀(guān)察不完整TCP/IP會(huì)話(huà)的數(shù)目,報(bào)告間隔240可在所觀(guān)察不完整TCP/IP會(huì)話(huà)的數(shù)目超出當(dāng)前閾值241時(shí)的第一數(shù)據(jù)收集間隔處開(kāi)始直到所觀(guān)察不完整TCP/IP會(huì)話(huà)的數(shù)目下降到低于當(dāng)前作用中基線(xiàn)242時(shí)的所檢測(cè)減少改變點(diǎn)243為止。

進(jìn)一步參考圖15,當(dāng)檢測(cè)到減少改變點(diǎn)時(shí),可提取已知基線(xiàn)值堆的頂部處的基線(xiàn)值且其值然后變成當(dāng)前作用中基線(xiàn)242。在其中已知基線(xiàn)值堆非空的情形中,代理A可繼續(xù)報(bào)告所觀(guān)察不完整TCP/IP會(huì)話(huà)的數(shù)目。如果已知基線(xiàn)值堆是空的,那么代理A可停止報(bào)告。

代理B:類(lèi)屬網(wǎng)絡(luò)業(yè)務(wù)特性分析器

代理B可為網(wǎng)絡(luò)業(yè)務(wù)特性的智能分析器。代理B可監(jiān)測(cè)并分析導(dǎo)致絕大多數(shù)DoS攻擊的IP層協(xié)議的業(yè)務(wù)。在示范性實(shí)施例中,代理B監(jiān)測(cè)并分析利用TCP/IP、UDP及ICMP協(xié)議的網(wǎng)絡(luò)業(yè)務(wù)。應(yīng)了解,代理B可在不具有限制的情況下監(jiān)測(cè)例如GRE、IGMP及其它等其它IP層協(xié)議的業(yè)務(wù)特性。

當(dāng)監(jiān)測(cè)網(wǎng)絡(luò)業(yè)務(wù)特性時(shí),代理B對(duì)經(jīng)合并信息單位(本文中稱(chēng)為“流”)操作。在示范性實(shí)施例中,流是由IP層協(xié)議以及其來(lái)源及目的地點(diǎn)表征的網(wǎng)絡(luò)包的單向序列。應(yīng)了解,例如服務(wù)類(lèi)型(ToS)、自主系統(tǒng)號(hào)(ASN)或類(lèi)似信息等其它網(wǎng)絡(luò)業(yè)務(wù)特性可表征流。

可針對(duì)每一所監(jiān)測(cè)IP層協(xié)議在每一收集時(shí)間間隔dt的持續(xù)時(shí)間內(nèi)評(píng)定以下網(wǎng)絡(luò)業(yè)務(wù)特性:

1)平均字節(jié)數(shù)目/包

2)平均包數(shù)目/流

3)平均字節(jié)數(shù)目/流,及

4)獨(dú)特源IP地址的數(shù)目。

為了檢測(cè)網(wǎng)絡(luò)業(yè)務(wù)特性的改變,可選擇滑動(dòng)觀(guān)察間隔T:

T=dt×M,M=2n,

其中n是整數(shù)。在觀(guān)察時(shí)間間隔T結(jié)束時(shí),可將小波變換應(yīng)用于M個(gè)特性(1)到(4)的所收集序列中的每一者。優(yōu)選地將在其上特性的經(jīng)變換值超出閾值τ的收集時(shí)間間隔dt標(biāo)記為可疑的。

在示范性實(shí)施例中,使用以下函數(shù)來(lái)計(jì)算所收集網(wǎng)絡(luò)業(yè)務(wù)特性(1)到(4)中的每一者的信任值:

其中xi是第i數(shù)據(jù)收集間隔dt,且

yi是第i時(shí)間間隔上的經(jīng)變換特性的值。

可將相關(guān)信任度量計(jì)算為個(gè)別信任值的和:

可將具有超出預(yù)設(shè)定閾值σ的信任度量的數(shù)據(jù)收集間隔指定為網(wǎng)絡(luò)業(yè)務(wù)異常的候選點(diǎn)。

在示范性實(shí)施例中,除收集網(wǎng)絡(luò)業(yè)務(wù)特性(1)到(4)外,還可在每一數(shù)據(jù)收集間隔dt上收集以下累積網(wǎng)絡(luò)業(yè)務(wù)特性:

5)累積字節(jié)數(shù)目

6)累積包數(shù)目,及

7)累積所管擦流數(shù)目。

參考圖16,為了評(píng)定網(wǎng)絡(luò)業(yè)務(wù)異常的性質(zhì),可選擇最近所觀(guān)察候選改變點(diǎn),且可計(jì)算網(wǎng)絡(luò)業(yè)務(wù)特性(4)到(7)中的每一者的趨勢(shì)250到253,然后可將每一所計(jì)算趨勢(shì)線(xiàn)視為單位向量且將總體趨勢(shì)254計(jì)算為網(wǎng)絡(luò)業(yè)務(wù)特性趨勢(shì)250到253的向量和。

進(jìn)一步參考圖16,為了評(píng)估網(wǎng)絡(luò)業(yè)務(wù)特性的總體趨勢(shì)254,將總體趨勢(shì)254分類(lèi)為多個(gè)定性特性,例如但不限于增加255、可持續(xù)256及減少257。如果將總體趨勢(shì)254分類(lèi)為增加255定性類(lèi)別,那么代理B優(yōu)選地報(bào)告網(wǎng)絡(luò)業(yè)務(wù)異常事件以及當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)特性(4)到(7)的值及總體趨勢(shì)斜率值。

應(yīng)了解,總體趨勢(shì)分類(lèi)可不同于示范性實(shí)施例中的分類(lèi),使得可持續(xù)256類(lèi)別為任選的或分類(lèi)框架可含有較多數(shù)目個(gè)定性類(lèi)別。

代理C:新IP地址到達(dá)率分析器

由于DDoS攻擊通常借助于受破壞網(wǎng)絡(luò)主機(jī)或通過(guò)欺騙用于籌劃攻擊的網(wǎng)絡(luò)包中的源IP地址而完成,因此DDoS攻擊的開(kāi)始通常由先前未見(jiàn)過(guò)的訪(fǎng)問(wèn)者的涌入表征。代理C可觀(guān)察每一數(shù)據(jù)收集間隔dt中兩個(gè)觀(guān)察域中的改變:

8)新IP地址到達(dá)率,及

9)所觀(guān)察流的數(shù)目。

為了檢測(cè)此類(lèi)網(wǎng)絡(luò)業(yè)務(wù)特性改變,可選擇滑動(dòng)觀(guān)察間隔T:

T=dt×N

其中N是整數(shù),且CUSUM算法可應(yīng)用于識(shí)別每一數(shù)據(jù)收集間隔dt上的新IP地址的到達(dá)率及所觀(guān)察流計(jì)數(shù)的改變點(diǎn)。

參考圖17,在所揭示方法的示范性實(shí)施例中,如果在數(shù)據(jù)收集間隔dtk 260、dtk-1 262或dtk+1 263中在新IP地址到達(dá)率261中檢測(cè)到改變點(diǎn)且在流計(jì)數(shù)264中檢測(cè)到改變點(diǎn),那么可將數(shù)據(jù)收集間隔dtk 260指定為網(wǎng)絡(luò)業(yè)務(wù)異常。

應(yīng)了解,通過(guò)分析網(wǎng)絡(luò)業(yè)務(wù)特性(8)及(9)(如本文中所描述),代理C能夠提供用于區(qū)分DDoS攻擊與歸因于合法用戶(hù)的涌入的稱(chēng)作“快閃族”的現(xiàn)象的機(jī)制??扉W族的典型實(shí)例是在發(fā)布新產(chǎn)品時(shí)到商業(yè)網(wǎng)站的業(yè)務(wù)增加或在工作日開(kāi)始時(shí)網(wǎng)絡(luò)業(yè)務(wù)中的尖峰。

進(jìn)一步參考圖17,代理C可通過(guò)強(qiáng)加在數(shù)據(jù)收集間隔dtk 260、dtk-1 262或dtk+1 263中的流計(jì)數(shù)264中的改變點(diǎn)伴隨有新IP地址到達(dá)率261中的改變點(diǎn)的要求而區(qū)分快閃族與DDoS攻擊。此相依性的原因是網(wǎng)絡(luò)資源的合法使用導(dǎo)致與網(wǎng)絡(luò)資源的較長(zhǎng)交互,因此相比于DDoS攻擊的情形形成較少流,在DDoS攻擊期間會(huì)形成大量流。

參考圖18,為了評(píng)定網(wǎng)絡(luò)業(yè)務(wù)異常的性質(zhì),選擇最近所觀(guān)察改變點(diǎn),且可計(jì)算網(wǎng)絡(luò)業(yè)務(wù)特性(8)270及(9)271中的每一者的趨勢(shì),然后可將每一所計(jì)算趨勢(shì)線(xiàn)視為單位向量且可將總體趨勢(shì)274計(jì)算為網(wǎng)絡(luò)業(yè)務(wù)特性趨勢(shì)270及271的向量和。

進(jìn)一步參考圖18,為了評(píng)估網(wǎng)絡(luò)業(yè)務(wù)特性的總體趨勢(shì)274,可將總體趨勢(shì)274分類(lèi)成多個(gè)定性特性,例如但不限于增加275、可持續(xù)276及減少277。如果將總體趨勢(shì)274分類(lèi)為增加275定性類(lèi)別,那么代理C優(yōu)選地報(bào)告網(wǎng)絡(luò)業(yè)務(wù)異常事件以及當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)特性(8)及(9)的值及總體趨勢(shì)斜率值。

應(yīng)了解,總體趨勢(shì)分類(lèi)可不同于示范性實(shí)施例中的分類(lèi),使得可持續(xù)276類(lèi)別是任選的,或分類(lèi)框架可含有更多數(shù)目個(gè)定性類(lèi)別。

代理D:業(yè)務(wù)熵分析器

熵是信息內(nèi)容的不可預(yù)測(cè)性的量度。其還可解釋為系統(tǒng)中的混亂的量度。熵H計(jì)算為:

其中是給定源IP地址實(shí)例的計(jì)數(shù),N是觀(guān)察的總數(shù)目(N>0)。

由于DDoS攻擊通常借助于受破壞網(wǎng)絡(luò)主機(jī)或通過(guò)欺騙用于籌劃攻擊的網(wǎng)絡(luò)包中的源IP地址而完成,因此DDoS攻擊的開(kāi)始通常由所觀(guān)察IP地址的數(shù)目的增加及在源IP地址欺騙的情形中每一源IP地址觀(guān)察的小數(shù)目表征。由于以上考慮,熵分析器提供網(wǎng)絡(luò)的信息一致性的穩(wěn)健估計(jì)。

在示范性實(shí)施例中,代理D可計(jì)算每一數(shù)據(jù)收集間隔dt的熵。由于熵是隨機(jī)變量,因此應(yīng)計(jì)算其均值μ及偏差σ2。為了檢測(cè)所觀(guān)察網(wǎng)絡(luò)熵的改變,優(yōu)選地選擇滑動(dòng)觀(guān)察間隔T:

T=dt×N

其中N是整數(shù),且CUSUM算法應(yīng)用于識(shí)別每一數(shù)據(jù)收集間隔dt上所計(jì)算熵值中的改變點(diǎn)。熵均值μ及偏差σ可在第一所檢測(cè)改變點(diǎn)處計(jì)算但優(yōu)選地不早于發(fā)生觀(guān)察間隔T的N個(gè)移位,且第一改變點(diǎn)計(jì)算在2N x dt數(shù)據(jù)收集間隔之后完成。

參考圖19,為了跟蹤熵偏差,將區(qū)μ±ασ指定為正常的,其中μ281表示均值且σ282表示偏差。系數(shù)α定義容限帶280,其中網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容被認(rèn)為是充足的。舉例來(lái)說(shuō),選擇α=2 283會(huì)將正常網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容置于95百分位且將所有其它網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容分類(lèi)為異常。

參考圖20,當(dāng)在觀(guān)察間隔上檢測(cè)到一或多個(gè)改變點(diǎn),代理D采取最近所檢測(cè)改變點(diǎn)且以檢測(cè)到改變點(diǎn)時(shí)的數(shù)據(jù)收集間隔開(kāi)始到當(dāng)前數(shù)據(jù)收集間隔而計(jì)算熵值趨勢(shì)290?;谮厔?shì)線(xiàn)的斜率,所計(jì)算熵值趨勢(shì)可分類(lèi)為穩(wěn)定291、增加292及降低293定性類(lèi)別。如果針對(duì)當(dāng)前數(shù)據(jù)收集間隔計(jì)算的熵值落在容限帶外且趨勢(shì)分類(lèi)為增加292或降低293,那么代理D優(yōu)選地報(bào)告網(wǎng)絡(luò)業(yè)務(wù)異常及相應(yīng)趨勢(shì)分類(lèi)。

代理D優(yōu)選地針對(duì)每一后續(xù)數(shù)據(jù)收集間隔重復(fù)關(guān)于網(wǎng)絡(luò)異常及趨勢(shì)分類(lèi)的信息直到熵值重新進(jìn)入容限帶為止。在熵值重新進(jìn)入容限帶后,代理D即刻優(yōu)選地報(bào)告熵值減少。

網(wǎng)絡(luò)業(yè)務(wù)異常事件相關(guān)處理器

參考圖11,所揭示方法的基本優(yōu)點(diǎn)中的一者是其同時(shí)研究網(wǎng)絡(luò)業(yè)務(wù)描述212的多個(gè)方面的能力。所述研究由稱(chēng)作代理210的多個(gè)專(zhuān)門(mén)專(zhuān)家模塊完成。每一代理分析多個(gè)網(wǎng)絡(luò)業(yè)務(wù)參數(shù)且做出代理的論域中的網(wǎng)絡(luò)業(yè)務(wù)是否異常的結(jié)論。如果代理發(fā)現(xiàn)異常,其向事件相關(guān)處理器(ECP)211報(bào)告其發(fā)現(xiàn)。

在示范性實(shí)施例中,ECP 211通過(guò)為用于分析的流信息源的網(wǎng)絡(luò)裝置的id而收集從代理接收的異常報(bào)告。在接收到異常報(bào)告后,ECP即刻優(yōu)選地計(jì)算考慮到最近報(bào)告及由所述流信息源報(bào)告的先前事件的累積異常信任度量。

參考圖21,可給每一所報(bào)告事件指派權(quán)重w??山o由ECP在時(shí)間tn 300觀(guān)察的最后所報(bào)告事件En指派權(quán)重w(tn)=1 303,其中n是所報(bào)告事件的序列號(hào)。針對(duì)所有先前所報(bào)告事件,權(quán)重優(yōu)選地以指數(shù)方式衰減301:

其中μ是指數(shù)衰減常數(shù)。

累積信任度量計(jì)算為所有所觀(guān)察事件的權(quán)重的和:

出于實(shí)際目的,在示范性實(shí)施例中,在先前所報(bào)告事件的權(quán)重變得小于0.01 302時(shí)累積信任度量計(jì)算終止。當(dāng)特定流信息源的累積信任度量值C超出特定可配置閾值時(shí),ECP 211優(yōu)選地警告網(wǎng)絡(luò)操作者。

應(yīng)了解,可基于所報(bào)告事件類(lèi)型給每一所報(bào)告事件指派權(quán)重ω。在示范性ECP實(shí)施例中,累積信任度量C可計(jì)算為:

其中

ω是與在時(shí)間ti處發(fā)生的特定事件類(lèi)型相關(guān)聯(lián)的權(quán)重。

還應(yīng)了解,本文中所揭示的示范性ECP能夠使跨越多個(gè)網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)業(yè)務(wù)異常相關(guān)且針對(duì)經(jīng)歷異常網(wǎng)絡(luò)業(yè)務(wù)的多個(gè)網(wǎng)絡(luò)裝置發(fā)布警告。在此相關(guān)性的示范性實(shí)施例中,ECP可針對(duì)基于IP塊分配數(shù)據(jù)庫(kù)或通過(guò)一個(gè)或多個(gè)自主系統(tǒng)號(hào)(ASN)分組的特定地理區(qū)中的網(wǎng)絡(luò)裝置發(fā)布警告。

會(huì)聚網(wǎng)絡(luò)業(yè)務(wù)異常檢測(cè)及網(wǎng)絡(luò)裝置健康

應(yīng)了解,例如掩模DDoS攻擊的網(wǎng)絡(luò)業(yè)務(wù)異常貢獻(xiàn)于網(wǎng)絡(luò)裝置的較低網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)。參考圖4,應(yīng)注意,經(jīng)增加網(wǎng)絡(luò)業(yè)務(wù)水平130及包速率131映射到特定網(wǎng)絡(luò)節(jié)點(diǎn)的高(“H”)注意力水平,且因此減小其N(xiāo)HS值,此又減小總體網(wǎng)絡(luò)裝置的NHS值。在示范性實(shí)施例中,具有低NHS值的一個(gè)或多個(gè)網(wǎng)絡(luò)裝置的出現(xiàn)可視為由事件相關(guān)處理器(ECP)處理的事件集合中所包含的另一事件。

還應(yīng)了解,網(wǎng)絡(luò)裝置健康信息在由事件相關(guān)處理器(ECP)處理的事件集合中的輸入可通過(guò)給網(wǎng)絡(luò)裝置健康信息指派權(quán)重而操縱,因此控制網(wǎng)絡(luò)裝置健康信息對(duì)異常網(wǎng)絡(luò)業(yè)務(wù)識(shí)別的影響。

盡管已就幾個(gè)實(shí)施例描述本發(fā)明,但仍存在歸屬于本發(fā)明的范圍內(nèi)的更改、修改、置換及替代等效物。雖然已提供子章節(jié)標(biāo)題來(lái)輔助本發(fā)明的描述,但這些標(biāo)題僅是說(shuō)明性的且并不打算限制本發(fā)明的范圍。

還應(yīng)注意,存在實(shí)施本發(fā)明的方法及設(shè)備的許多替代方式。因此,打算將所附權(quán)利要求書(shū)解釋為包含歸屬于本發(fā)明的真正精神及范圍內(nèi)的所有此些更改、修改、置換及替代等效物。

當(dāng)前第1頁(yè)1 2 3 
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1
丹阳市| 永修县| 寻乌县| 嘉义县| 桑植县| 宁陕县| 新营市| 岢岚县| 太康县| 雷州市| 东丽区| 吴江市| 建昌县| 武穴市| 霍城县| 克东县| 孙吴县| 大庆市| 柘城县| 即墨市| 珠海市| 商水县| 德令哈市| 泸州市| 治县。| 松江区| 清新县| 沂水县| 资中县| 张家川| 焦作市| 呼图壁县| 化州市| 宜春市| 宁德市| 寿阳县| 富顺县| 清水县| 平乡县| 闵行区| 东乌珠穆沁旗|