專利名稱:確定惡意工作負(fù)荷模式的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于確定惡意工作負(fù)荷模式的方法和裝置���。本發(fā)明還涉及能夠執(zhí)行檢測(cè)惡意工作負(fù)荷模式的方法的計(jì)算機(jī)程序產(chǎn)品����。惡意工作負(fù)荷模式是沒(méi)有顯示出系統(tǒng)的正?;蝾A(yù)定操作的典型特征的工作負(fù)荷模式。
背景技術(shù):
可靠性和高可用性對(duì)信息技術(shù)中的服務(wù)非常重要�����。通常�,為多個(gè)應(yīng)用或客戶提供服務(wù)并通過(guò)網(wǎng)絡(luò)系統(tǒng)來(lái)訪問(wèn)所述服務(wù)。由此在多個(gè)用戶之間共享提供資源(服務(wù)器���,存儲(chǔ)裝置���,數(shù)據(jù)庫(kù)等)或提供對(duì)所述資源的訪問(wèn)(路由器,交換機(jī)���,網(wǎng)關(guān)�����,傳輸線等)的資源和設(shè)備��。在某些情形下���,資源需求可能超出一個(gè)或多個(gè)設(shè)備的能力。此類過(guò)載情形可能暫時(shí)地或甚至在一段持續(xù)時(shí)間內(nèi)導(dǎo)致服務(wù)故障��。因此�,檢測(cè)這樣的過(guò)載情形或者更佳地,檢測(cè)過(guò)載情形的出現(xiàn)以便能夠預(yù)先作出反應(yīng)是一項(xiàng)重要任務(wù)��。
可以通過(guò)分析設(shè)備的工作負(fù)荷來(lái)識(shí)別過(guò)載情形�。如果實(shí)際工作負(fù)荷偏離了設(shè)備在正常情況下運(yùn)行的典型工作負(fù)荷,則認(rèn)為它是表現(xiàn)出過(guò)載或即將出現(xiàn)的過(guò)載情形的惡意或有問(wèn)題的工作負(fù)荷��。
根據(jù)WO 2004/070509A2��,網(wǎng)絡(luò)中的工作負(fù)荷可以例如定義為每時(shí)間間隔內(nèi)對(duì)設(shè)備的特定類型的訪問(wèn)數(shù)���,例如����,TCP/IP(傳輸控制協(xié)議/網(wǎng)際協(xié)議)上端口的使用率。如果實(shí)際工作負(fù)荷超過(guò)表示平均工作負(fù)荷的特定閾值��,則檢測(cè)所述工作負(fù)荷為惡意的�。但是,將復(fù)雜的工作負(fù)荷情形簡(jiǎn)化為設(shè)備的使用率對(duì)檢測(cè)某些有問(wèn)題的情形可能是適合的���,但通常對(duì)于檢測(cè)其他情形過(guò)于簡(jiǎn)單化�。
因此���,檢測(cè)惡意工作負(fù)荷的其他方法尤其集中在請(qǐng)求的內(nèi)容上�,例如���,如US 2004/181684中所描述的���,其中在控制和數(shù)據(jù)業(yè)務(wù)中搜索惡意代碼模式。這樣的方法在網(wǎng)絡(luò)安全的上下文中是有用的���,因?yàn)樗鼈兡軌驒z測(cè)侵入系統(tǒng)的所謂的蠕蟲或病毒�。蠕蟲和病毒設(shè)計(jì)為復(fù)制自身并可以(如果沒(méi)有被消除)因此導(dǎo)致過(guò)載情形���,有時(shí)稱為拒絕服務(wù)攻擊(DoS)�����。但是��,基于業(yè)務(wù)內(nèi)容的工作負(fù)荷分析僅在危險(xiǎn)業(yè)務(wù)的代碼模式已知時(shí)才是成功的����,并且還是消耗時(shí)間的���。此外����,檢測(cè)到的僅有的惡意工作負(fù)荷情形是由非法侵入系統(tǒng)引起的那些情形��,而檢測(cè)不到其他惡意工作負(fù)荷情形�,即使它們同樣導(dǎo)致服務(wù)故障。
因此����,提供一種更有效地檢測(cè)惡意工作負(fù)荷并且更加與其起源無(wú)關(guān)的方法是一個(gè)難題。此外��,提供一種更有效地檢測(cè)惡意工作負(fù)荷并且更加與其起源無(wú)關(guān)的裝置和計(jì)算機(jī)程序產(chǎn)品是一個(gè)難題。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個(gè)方面����,提供了一種用于確定惡意工作負(fù)荷模式的方法,所述方法在第一組步驟中包括以下步驟在預(yù)定工作負(fù)荷情形期間收集工作負(fù)荷模式的訓(xùn)練集��,接著將所述訓(xùn)練集的一個(gè)子集確定為原型集�,所述原型集被認(rèn)為代表所述預(yù)定工作負(fù)荷情形,以及根據(jù)所述訓(xùn)練集和所述原型集來(lái)計(jì)算閾值�。在第二組步驟中,所述方法包括以下步驟根據(jù)給定工作負(fù)荷模式和所述原型集來(lái)計(jì)算評(píng)估值�,以及如果根據(jù)所述閾值,所述評(píng)估值滿足給定條件�,則確定所述給定工作負(fù)荷模式為惡意的。所述預(yù)定工作負(fù)荷情形也稱為正常工作負(fù)荷情形�。
在所述第一組步驟中,收集工作負(fù)荷模式而不是收集與工作負(fù)荷相關(guān)的單個(gè)參數(shù)允許更適合地表示工作負(fù)荷情形����。作為所述訓(xùn)練集的子集的所述原型集可以小于甚至顯著小于所述訓(xùn)練集本身,盡管如此���,仍然代表所述預(yù)定工作負(fù)荷情形���。其優(yōu)點(diǎn)在于即使收集了包含大量工作負(fù)荷模式以便覆蓋各種工作負(fù)荷情形的訓(xùn)練集��,所述原型集也可以足夠小以允許更有效地并以有限的計(jì)算代價(jià)執(zhí)行所述方法的第二組步驟�。此外��,所述閾值的計(jì)算導(dǎo)致進(jìn)一步的數(shù)據(jù)減少���,但仍然保留了工作負(fù)荷情形的特征����。
在所述第二組步驟中�,與所述閾值相比���,所述評(píng)估值允許更容易地評(píng)估所述給定工作負(fù)荷模式�。
在所述方法的一個(gè)優(yōu)選實(shí)施例中�,通過(guò)對(duì)多個(gè)給定工作負(fù)荷模式執(zhí)行一次所述第一組步驟,以及對(duì)所述多個(gè)給定工作負(fù)荷模式中的每個(gè)工作負(fù)荷模式執(zhí)行所述最后一組步驟�,可以確定所述多個(gè)給定工作負(fù)荷模式為惡意的。以這種方式�����,僅對(duì)多個(gè)給定工作負(fù)荷模式執(zhí)行一次所述第一組步驟的更加計(jì)算密集的步驟���。
在所述方法的其他優(yōu)選實(shí)施例中�����,所述確定所述原型集的步驟包括以下步驟提供取決于兩個(gè)工作負(fù)荷模式的比較的距離函數(shù)�����,所述距離函數(shù)產(chǎn)生所述兩個(gè)工作負(fù)荷模式之間的模式-模式距離�����,以及提供原型集大小���,所述原型集大小是在所述原型集中的工作負(fù)荷模式數(shù)并且所述原型集大小小于或等于訓(xùn)練集大小�����,所述訓(xùn)練集大小是在所述訓(xùn)練集中的工作負(fù)荷模式數(shù)��。在所述訓(xùn)練集的所有可能子集中����,確定所述原型集為顯示出集合距離最大值的子集�。所述子集包括數(shù)量等于所述原型集大小的工作負(fù)荷模式���。對(duì)于所述子集內(nèi)兩個(gè)工作負(fù)荷模式的所有可能組合,子集的集合距離是兩個(gè)工作負(fù)荷模式之間的所有模式-模式距離中最小的距離�����。使用所述距離函數(shù)來(lái)確定每個(gè)模式-模式距離����。
使用所述距離函數(shù)來(lái)確定所述原型集的優(yōu)點(diǎn)在于可以在所述訓(xùn)練集中更容易地找到來(lái)自極端偏離的工作負(fù)荷情形的工作負(fù)荷模式。所述極值仍存在于所述原型集中��,這確保了偏離工作負(fù)荷模式的范圍在所述原型集中與在所述訓(xùn)練集中一樣寬����。
在所述方法的其他優(yōu)選實(shí)施例中�,所述從所述訓(xùn)練集和所述原型集計(jì)算所述閾值的步驟包括以下步驟為所述訓(xùn)練集的每個(gè)工作負(fù)荷模式確定模式-集合距離,所述模式-集合距離取決于所述工作負(fù)荷模式以及所述原型集����,因?yàn)槿鐝乃鼍嚯x函數(shù)導(dǎo)出的,它是所述工作負(fù)荷模式與所述原型集的每個(gè)工作負(fù)荷模式之間的最小模式-模式距離�����,接著根據(jù)最大模式-集合距離來(lái)確定所述閾。以這種方式���,所述閾值的計(jì)算還考慮了出現(xiàn)在所述訓(xùn)練集中的來(lái)自更極端工作負(fù)荷情形的工作負(fù)荷模式���。
在所述方法的其他優(yōu)選實(shí)施例中,根據(jù)到所述最大模式-集合距離的預(yù)定偏移量來(lái)確定所述閾值��。所述偏移量允許例如通過(guò)考慮經(jīng)驗(yàn)數(shù)據(jù)或知識(shí)來(lái)人工微調(diào)所述閾值�。所述偏移量可以為正也可以為負(fù),導(dǎo)致用于判定給定工作負(fù)荷模式是否為惡意的更強(qiáng)或更弱的準(zhǔn)則�。
在所述方法的其他優(yōu)選實(shí)施例中,所述為所述給定工作負(fù)荷模式計(jì)算所述評(píng)估值的步驟包括以下步驟計(jì)算所述給定工作負(fù)荷模式與所述原型集的每個(gè)工作負(fù)荷模式之間的距離��,每個(gè)模式-模式距離使用所述距離函數(shù)來(lái)確定��,接著確定所述評(píng)估值為在以上步驟中計(jì)算的最小模式-模式距離���。以這種方式����,所述評(píng)估值的計(jì)算還考慮了出現(xiàn)在所述原型集中的來(lái)自更極端工作負(fù)荷情形的工作負(fù)荷模式����。
在所述方法的其他優(yōu)選實(shí)施例中���,如果所述評(píng)估值大于所述閾值,則確定所述給定工作負(fù)荷模式為惡意的���。以這種方式�,給出了用于判定給定工作負(fù)荷模式是否為惡意的較簡(jiǎn)單的準(zhǔn)則�����。
在所述方法的另一組其他優(yōu)選實(shí)施例中�,所述確定所述訓(xùn)練集的子集、計(jì)算閾值�,以及計(jì)算評(píng)估值的步驟基于反距離函數(shù)。取決于所述工作負(fù)荷模式的矩陣�����,所述反距離函數(shù)可能更適于描述工作負(fù)荷模式之間的差異性�����?;谒龇淳嚯x函數(shù)的優(yōu)選實(shí)施例產(chǎn)生的優(yōu)點(diǎn)與以上結(jié)合所述距離函數(shù)所描述的優(yōu)點(diǎn)相同�。
在所述方法的其他優(yōu)選實(shí)施例中�����,所述工作負(fù)荷模式取決于系統(tǒng)中多個(gè)元素的使用率特征��。所述工作負(fù)荷模式的定義允許將所述方法應(yīng)用到包含多個(gè)元素的各種系統(tǒng)中�����。
在所述方法的其他優(yōu)選實(shí)施例中��,所述元素是數(shù)據(jù)通信端口而所述系統(tǒng)是網(wǎng)絡(luò)的一部分�。在所述方法的另一個(gè)優(yōu)選實(shí)施例中����,所述元素是網(wǎng)絡(luò)中的地址。在所述方法的另一個(gè)優(yōu)選實(shí)施例中����,每個(gè)元素的使用率代表在預(yù)定時(shí)間間隔內(nèi)通過(guò)所述網(wǎng)絡(luò)對(duì)所述元素的訪問(wèn)數(shù)。以這些方式�,所述方法可應(yīng)用于網(wǎng)絡(luò)系統(tǒng)內(nèi)的設(shè)備。
在所述方法的其他優(yōu)選實(shí)施例中��,所述距離函數(shù)取決于兩個(gè)工作負(fù)荷模式的比較,因?yàn)樗c所述元素的相對(duì)順序的改變有關(guān)���,所述元素的相對(duì)順序由所述元素的使用使用率特性來(lái)確定�。以這種方式����,確保了更可靠地檢測(cè)惡意模式,尤其是對(duì)于典型的網(wǎng)絡(luò)入侵���,如地址或端口掃描�����。
根據(jù)本發(fā)明的第二方面���,描述了用于確定惡意工作負(fù)荷模式的設(shè)備,所述設(shè)備適于執(zhí)行以上描述的方法�����。
根據(jù)本發(fā)明的第三方面���,提供了包括計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品,所述計(jì)算機(jī)可讀介質(zhì)包含可由處理器執(zhí)行以便執(zhí)行以上描述的方法的程序指令����。
本發(fā)明的第二和第三方面的優(yōu)點(diǎn)與本發(fā)明的第一方面的優(yōu)點(diǎn)對(duì)應(yīng)�。
當(dāng)結(jié)合附圖閱讀時(shí)�,通過(guò)參考以下根據(jù)本發(fā)明的優(yōu)選但僅是示例性的實(shí)施例的詳細(xì)描述,可以更完整地理解本發(fā)明及其實(shí)施例����,所述附圖示出了圖1是示出了工作負(fù)荷模式的定義的示意圖;圖2是用于確定惡意工作負(fù)荷模式的方法的流程圖��;以及圖3是用于比較兩個(gè)工作負(fù)荷模式的距離函數(shù)的實(shí)例��。
具體實(shí)施例方式
圖1示出了包含n個(gè)元素2的系統(tǒng)1�。可以在所述系統(tǒng)1內(nèi)相互獨(dú)立地訪問(wèn)并從而使用所述元素2����。假設(shè)由是1與n之間的序數(shù)的下標(biāo)i來(lái)標(biāo)記元素2。監(jiān)視所述元素2的使用率��。監(jiān)視所述元素2的使用率的一種方法是例如在預(yù)定時(shí)間間隔dt內(nèi)對(duì)訪問(wèn)數(shù)計(jì)數(shù)�����,并將它存儲(chǔ)在訪問(wèn)數(shù)量數(shù)組acc[]中,其中acc[i]指由下標(biāo)i標(biāo)記的對(duì)元素2的訪問(wèn)數(shù)��。然后���,在所述時(shí)間間隔dt內(nèi)計(jì)數(shù)的訪問(wèn)數(shù)acc[i]形成工作負(fù)荷模式w���。因此,可以將所述工作負(fù)荷模式w看作包括n個(gè)值的數(shù)組w[]w=w[i]�,其中i是下標(biāo)且1<i<n。以作為圖1的右手側(cè)圖形表示的直方圖的形式示出了所述工作負(fù)荷模式w的一個(gè)實(shí)例����。
所述系統(tǒng)1可以例如是網(wǎng)絡(luò)系統(tǒng)。所述元素2則可以是設(shè)備的數(shù)據(jù)通信端口����,例如該網(wǎng)絡(luò)內(nèi)的路由器或網(wǎng)關(guān)或服務(wù)器。所述元素2也可以是所述網(wǎng)絡(luò)內(nèi)使用的地址或子地址或地址范圍�。在這些情況下,如以上所描述的�����,所述元素2的使用率可以定義為在所述預(yù)定時(shí)間間隔dt內(nèi)對(duì)每個(gè)元素2的訪問(wèn)數(shù)�����。
所述系統(tǒng)1也可以是計(jì)算機(jī)系統(tǒng)(如服務(wù)器)���。所述元素2則可以與處理使用的存儲(chǔ)器或處理器有關(guān)���,更具體地,例如與處理使用的存儲(chǔ)器量或處理使用的處理器時(shí)間量有關(guān)�����。此外�����,監(jiān)視各個(gè)元素2的使用率�。作為實(shí)例,可以由處理使用的存儲(chǔ)器量來(lái)定義所述元素2���,因?yàn)榈谝辉貙?duì)應(yīng)于0與1MB之間的存儲(chǔ)器量��,第二元素對(duì)應(yīng)于1MB與2MB之間的存儲(chǔ)器量���,等等��。如果所觀察的處理使用的存儲(chǔ)器量在分配給元素2的范圍之內(nèi)���,則認(rèn)為所述元素2已使用。得到的工作負(fù)荷模式w則顯示所述處理使用特定量存儲(chǔ)器的頻繁程度����。這以相當(dāng)復(fù)雜的方式描述了處理承受的工作負(fù)荷。
在圖2中�����,以流程圖更詳細(xì)地示出了用于確定惡意工作負(fù)荷模式的方法的一個(gè)實(shí)施例�����。
在步驟S1�,當(dāng)系統(tǒng)1處于預(yù)定工作負(fù)荷情形(也稱為正常運(yùn)行)下時(shí),從系統(tǒng)1獲得(即收集)若干工作負(fù)荷模式w_TS����。此處,術(shù)語(yǔ)“正常運(yùn)行”指工作負(fù)荷在預(yù)定工作負(fù)荷閾值之下的運(yùn)行狀態(tài)����。此類值通常將被設(shè)置得足夠高以允許最大水平利用所述系統(tǒng)1的工作負(fù)荷���,其中它可以在沒(méi)有或僅有可忽略的系統(tǒng)故障或拒絕服務(wù)下運(yùn)行?���?山邮艿木芙^服務(wù)或故障的可能值可以例如為5%����。收集的工作負(fù)荷模式w_TS的集合稱為訓(xùn)練集TS。如結(jié)合圖1所描述的���,每個(gè)單獨(dú)的工作負(fù)荷模式w_TS源于預(yù)定時(shí)間間隔dt內(nèi)對(duì)元素2的使用率的測(cè)量��。所述單獨(dú)工作負(fù)荷模式w_TS可以起源于后續(xù)測(cè)量����。所述訓(xùn)練集TS中的工作負(fù)荷模式w_TS的數(shù)量(以下表示為TS_n)原則上沒(méi)有限制��。由于元素2的使用率的波動(dòng)是常見(jiàn)的����,尤其是在若干用戶共享資源的系統(tǒng)中,所以可以預(yù)期工作負(fù)荷模式w_TS在統(tǒng)計(jì)和/或系統(tǒng)方式上彼此不同(例如�,取決于一天中的時(shí)間)��,即使將所有工作負(fù)荷模式w_TS視為起源于正常運(yùn)行條件下的系統(tǒng)���。因此優(yōu)選地,所述訓(xùn)練集TS中的工作負(fù)荷模式w_TS的數(shù)量TS_n足夠大����,以致對(duì)于要代表所述正常工作負(fù)荷情形的訓(xùn)練集TS,所述工作負(fù)荷模式w_TS中的變化足夠?qū)挕?br>
在步驟S2�,從所述訓(xùn)練集TS選擇(即確定)包括給定數(shù)量AS_n個(gè)工作負(fù)荷模式w_TS的子集(稱為原型集AS)。選擇所述原型集AS的方式是使它適于表示所述正常工作負(fù)荷情形����,同時(shí)優(yōu)選地成員數(shù)量AS_n小于所述訓(xùn)練集TS中的工作負(fù)荷模式w_TS的成員數(shù)量TS_n。這可以例如在適于將工作負(fù)荷模式w相互比較的度量的基礎(chǔ)上完成�����。
在本發(fā)明的一個(gè)實(shí)施例中����,適于比較工作負(fù)荷模式w的度量是距離函數(shù)d。所述距離函數(shù)d將兩個(gè)工作負(fù)荷模式w作為輸入�����,例如d=d(w1,w2)�,其中w1和w2是第一和第二工作負(fù)荷模式。所述距離函數(shù)d產(chǎn)生的值可以是具有任何維數(shù)的向量��,但優(yōu)先地為單個(gè)數(shù)以及優(yōu)選地為單個(gè)正數(shù)�����,稱為模式-模式距離��。所述距離函數(shù)d稱為距離函數(shù)����,因?yàn)樗_定就某些特性而言��,兩個(gè)工作負(fù)荷模式w的相互距離有多遠(yuǎn)�����。就某些特性而言更相似的兩個(gè)工作負(fù)荷模式w將具有更小的相互模式-模式距離���,就某些特性而言相當(dāng)不同的兩個(gè)工作負(fù)荷模式w將具有更大的相互模式-模式距離�。工作負(fù)荷模式與自身的模式-模式距離���,即d(w����,w),將因此產(chǎn)生距離函數(shù)d的值域中最小的可能值(例如��,0)����,其與工作負(fù)荷模式w無(wú)關(guān)。此外�,所述距離函數(shù)d是可交換的,即d(w1��,w2)等于d(w2�,w1)。
備選地�����,可以使用反距離函數(shù)來(lái)比較工作負(fù)荷模式w����,其中所述反距離函數(shù)的性質(zhì)與所述距離函數(shù)d相同,除了在應(yīng)用于就某些特性而言更相似的兩個(gè)工作負(fù)荷模式w時(shí)產(chǎn)生更大的反模式-模式距離,以及在應(yīng)用于就某些特性而言更加不同的兩個(gè)工作負(fù)荷模式w時(shí)產(chǎn)生更小的反模式-模式距離以外����。
圖3中給出了所述方法的一個(gè)優(yōu)選實(shí)施例中的距離函數(shù)d的一個(gè)實(shí)例。如結(jié)合圖1所描述的�,假設(shè)監(jiān)視數(shù)量為n的元素2。收集的工作負(fù)荷模式w為包括n個(gè)值的工作負(fù)荷模式數(shù)組w=w[i]�,1<i<=n。
定義輔助比較函數(shù)comp�����,所述函數(shù)將兩個(gè)工作負(fù)荷模式w1和w2以及下標(biāo)i(0<i<=n)作為輸入�����,并產(chǎn)生兩個(gè)可能值“0”和“1”中的一個(gè)值����。使用所述輔助比較函數(shù)comp����,將下標(biāo)為i的元素2的使用率與下標(biāo)為(i+1)的相繼元素2的使用率相比較。下標(biāo)為i=n的元素2的后繼元素定義為下標(biāo)為i=1的元素(循環(huán)排列)�����。在圖3中給出的公式中,mod[i�,n]表示在循環(huán)排列的前提下用于確定元素的后繼元素的模函數(shù)。AND和OR是布爾運(yùn)算符��。如果由下標(biāo)i標(biāo)記的元素2的使用率(如由第一和第二工作負(fù)荷模式w1和w2給出的����,表示為第一和第二工作負(fù)荷模式數(shù)組w1[i]和w2[i])在兩個(gè)工作負(fù)荷模式w1和w2中都高于或等于,或在兩個(gè)工作負(fù)荷模式w1和w2中都低于或等于后繼元素的使用率�����,則所述輔助比較函數(shù)comp產(chǎn)生結(jié)果“0”��,否則產(chǎn)生結(jié)果“1”�。換言之,所述輔助比較函數(shù)comp對(duì)使用率的局部(在工作負(fù)荷模式w內(nèi)為局部)大小是敏感的�。如果元素2的順序按它們的使用率的大小來(lái)定義,則所述輔助比較函數(shù)comp也可被看成對(duì)元素2的相對(duì)順序(相對(duì)是由于兩個(gè)模式相互比較)是敏感的��。所述距離函數(shù)d然后定義為所有n個(gè)元素2的輔助比較函數(shù)comp的所有結(jié)果的算術(shù)平均���。所述算術(shù)平均是所述輔助比較函數(shù)的所有結(jié)果的和(在公式中由SUM運(yùn)算符給出)除以元素?cái)?shù)量n�����。因此��,所述距離函數(shù)也對(duì)多個(gè)元素的使用率的局部大小敏感�,并因而對(duì)元素2的相對(duì)順序敏感。
使用所述距離函數(shù)d以及模式-模式距離���,工作負(fù)荷模式集合的集合距離被定義為所述集合內(nèi)兩個(gè)工作負(fù)荷模式w之間的所有模式-模式距離的最小值��。
對(duì)于所述原型集AS中給定數(shù)量為AS_n的工作負(fù)荷模式w���,檢查具有AS_n個(gè)工作負(fù)荷模式w的訓(xùn)練集TS的所有子集,因?yàn)樗鼈兊募暇嚯x已確定�����。選擇具有最大集合距離的子集作為所述原型集AS����。
現(xiàn)在返回參考圖2����,在步驟S3中,使用訓(xùn)練集TS和原型集AS二者來(lái)計(jì)算閾值t。所述閾值t用于以下確定給定工作負(fù)荷模式w是否為惡意的評(píng)估處理的步驟S4至S6中���。以這樣的方式定義閾值t當(dāng)在以下步驟S4至S6中評(píng)估時(shí)��,所述訓(xùn)練集TS的每個(gè)工作負(fù)荷模式w_TS都將被確定為不是惡意的���。
在以上描述的優(yōu)選實(shí)施例中,其中使用所述距離函數(shù)d比較工作負(fù)荷模式w�����,所述閾值t可如下確定對(duì)于所述訓(xùn)練集TS的每個(gè)工作負(fù)荷模式w_TS����,確定取決于所述工作負(fù)荷模式w_TS和所述原型集AS的模式-集合距離,因?yàn)樗撬龉ぷ髫?fù)荷模式w_TS與所述原型集AS中的每個(gè)工作負(fù)荷模式之間的所有模式-模式距離的最小值��。然后可以例如根據(jù)所述模式-集合距離的最大值來(lái)計(jì)算所述閾值t���,因?yàn)樗撬瞿J?集合距離的最大值��。在另一個(gè)實(shí)施例中�,可以例如根據(jù)所述模式-集合距離的最大值和預(yù)定偏移量o來(lái)計(jì)算所述閾值t����,因?yàn)樗撬瞿J?集合距離的最大值加上所述偏移量o��。通過(guò)所述偏移量o��,可以對(duì)經(jīng)驗(yàn)數(shù)據(jù)和經(jīng)驗(yàn)加以考慮����。這可以幫助避免由于訓(xùn)練集TS沒(méi)有大到足以代表正常運(yùn)行或由于統(tǒng)計(jì)波動(dòng)而錯(cuò)誤地判定工作負(fù)荷模式為惡意的�。所述偏移量o可以為正也可以為負(fù),導(dǎo)致用于判定給定工作負(fù)荷模式是否為惡意的更強(qiáng)或更弱的準(zhǔn)則���。
前三個(gè)步驟S1至S3可看作校準(zhǔn)步驟�����,因?yàn)樗鼈冊(cè)诮o定上下文中對(duì)所述系統(tǒng)1只執(zhí)行一次�。只要系統(tǒng)1或它的一個(gè)組件改變或當(dāng)所述系統(tǒng)1的使用率改變���,優(yōu)選地重復(fù)這些步驟����。當(dāng)然還可以有規(guī)律地重復(fù)所述步驟S1至S3來(lái)自動(dòng)地適應(yīng)系統(tǒng)1中的改變����。
相反地,對(duì)將要評(píng)估的每個(gè)給定工作負(fù)荷模式w執(zhí)行步驟S4至S6���。在步驟S4中獲得要評(píng)估的工作負(fù)荷模式w���。獲得所述工作負(fù)荷模式w以及在該處理中使用的參數(shù)(元素2,預(yù)定時(shí)間dt等)的程序與在獲取要比較的訓(xùn)練集TS的工作負(fù)荷模式w_TS的處理中相同���。步驟S4產(chǎn)生給定工作負(fù)荷模式w�����。
在步驟S5中����,根據(jù)所述給定工作負(fù)荷模式w和所述原型集AS來(lái)計(jì)算評(píng)估值e����。根據(jù)如上描述的所述距離函數(shù)d,所述評(píng)估值e可定義為所述給定工作負(fù)荷模式w與所述原型集AS的每個(gè)成員之間的所有模式-模式距離的最大值�。
在步驟S6中將所述評(píng)估值e與所述閾值t相比較。如果所述評(píng)估值e大于所述閾值t�,則在步驟S7中宣稱所述給定工作負(fù)荷模式w為惡意的��,否則在步驟S8中宣稱它為非惡意的���。
所述步驟S4至S8可對(duì)任何數(shù)量的給定工作負(fù)荷模式w重復(fù),只要所述系統(tǒng)1不改變以及原型集AS和閾值t可看作代表所述正常工作負(fù)荷情形�����。
在所述方法的其他實(shí)施例中���,步驟S6至S8可包含數(shù)據(jù)處理來(lái)考慮所述系統(tǒng)1的近期行為����,尤其是如果步驟S4至S8在規(guī)則的基礎(chǔ)上重復(fù)���。例如在步驟S6�����,如果所述評(píng)估e大于所述閾值t�����,則可將比較值計(jì)算為“1”�,否則計(jì)算為“0”。計(jì)算給定工作負(fù)荷模式w的近期評(píng)估的比較值的平均值����。將所述平均值和預(yù)定的其他閾值(例如“0.5”)相比較�。如果對(duì)于給定工作負(fù)荷模式w,所述比較值為1并且近期比較值的平均值大于所述預(yù)定的其他值���,則判定所述給定工作負(fù)荷模式w為惡意的���。可以使用任何平滑函數(shù)來(lái)完成求平均值��。求平均值可以例如為浮動(dòng)窗口求平均值�,其中所述窗口包含特定數(shù)量的近期比較值。也可以通過(guò)將比較值相加并對(duì)所述和施加指數(shù)衰減(按時(shí)間)來(lái)完成求平均值�����?���?紤]所述系統(tǒng)1的近期行為而不是單獨(dú)評(píng)估每個(gè)給定工作負(fù)荷模式w的優(yōu)點(diǎn)在于,不會(huì)將偏離所述原型集的工作負(fù)荷模式w看作是惡意的(如果此類偏離作為單個(gè)事件發(fā)生的話)���,但是如果此類偏離更頻繁地發(fā)生���,則認(rèn)為所述工作負(fù)荷模式w是惡意的�����。這類似于這樣的發(fā)現(xiàn)單個(gè)偏離工作負(fù)荷模式可經(jīng)常在統(tǒng)計(jì)范圍之內(nèi)發(fā)生��,但更頻繁出現(xiàn)偏離工作負(fù)荷模式很可能源于有問(wèn)題的情況�。
在使用反距離函數(shù)而不是直接距離函數(shù)d比較兩個(gè)工作負(fù)荷模式w的方法的實(shí)施例中����,使結(jié)合所述距離函數(shù)d的在所述步驟S3,S5以及S6中使用的所有比較關(guān)系變得相反�����。
可以部分地或作為整體以軟件或硬件或它們的組合來(lái)實(shí)現(xiàn)用于判定惡意工作負(fù)荷模式的方法����。所述方法可以以硬件實(shí)現(xiàn),可以由用于判定惡意工作負(fù)荷模式的裝置來(lái)執(zhí)行�。所述方法可以以軟件實(shí)現(xiàn),由計(jì)算機(jī)程序產(chǎn)品來(lái)執(zhí)行?����?梢栽谟?jì)算機(jī)可讀介質(zhì)上提供所述計(jì)算機(jī)程序產(chǎn)品��,所述計(jì)算機(jī)可讀介質(zhì)包含可由計(jì)算機(jī)執(zhí)行以執(zhí)行所述方法的步驟的軟件指令�。所述計(jì)算機(jī)可讀介質(zhì)可以例如為CD-ROM�����、DVD�、閃速存儲(chǔ)器卡、硬盤��,或任何其他合適的計(jì)算機(jī)可讀介質(zhì)�����,例如�����,網(wǎng)絡(luò)內(nèi)的存儲(chǔ)介質(zhì)���。
應(yīng)當(dāng)理解�����,并未以任何方式限制以上給出的實(shí)例���。通過(guò)適當(dāng)?shù)剡x擇元素2和描述它們的使用率的數(shù)量以定義工作負(fù)荷模式w��,所述判定惡意工作負(fù)荷模式w的方法可應(yīng)用于不同領(lǐng)域中的許多不同應(yīng)用���。所述方法可有利地應(yīng)用于所有情況,其中在有問(wèn)題或過(guò)載情形或出現(xiàn)問(wèn)題或過(guò)載情形期間觀察的惡意工作負(fù)荷模式w不同于在系統(tǒng)正常運(yùn)行期間觀察的工作負(fù)荷模式w���。
權(quán)利要求
1.一種用于判定惡意工作負(fù)荷模式的方法�,所述方法包括以下步驟-在預(yù)定工作負(fù)荷情形期間收集(S1)工作負(fù)荷模式(w_TS)的訓(xùn)練集(TS)��;-將所述訓(xùn)練集(TS)的子集確定(S2)為原型集(AS)����,所述原型集(AS)被看作代表所述預(yù)定工作負(fù)荷情形;-根據(jù)所述訓(xùn)練集(TS)和所述原型集(AS)來(lái)計(jì)算(S3)閾值(t)����;-根據(jù)給定工作負(fù)荷模式(w)和所述原型集(AS)來(lái)計(jì)算(S5)評(píng)估值(e)���;-如果根據(jù)所述閾值(t),所述評(píng)估值(e)滿足給定條件(S6)���,則判定所述給定工作負(fù)荷模式(w)是惡意的(S7����,S8)�。
2.根據(jù)權(quán)利要求1的方法,其中判定多個(gè)給定工作負(fù)荷模式(w)是否是惡意的�����,并且其中對(duì)所述多個(gè)給定工作負(fù)荷模式(w)執(zhí)行一次最初三個(gè)步驟(S1�����,S2��,S3)����,并對(duì)所述多個(gè)給定工作負(fù)荷模式(w)的每個(gè)給定工作負(fù)荷模式(w)執(zhí)行最后兩個(gè)步驟(S5�,S6)。
3.根據(jù)權(quán)利要求1或2中的一個(gè)權(quán)利要求的方法,其中所述確定所述原型集(AS)的步驟(S2)包括以下步驟-提供取決于兩個(gè)工作負(fù)荷模式的比較的距離函數(shù)(d)�����,所述距離函數(shù)(d)產(chǎn)生所述兩個(gè)工作負(fù)荷模式之間的模式-模式距離�;-提供原型集大小(AS_n),所述原型集大小(AS_n)是在所述原型集(AS)中的工作負(fù)荷模式數(shù)并且所述原型集大小(AS_n)小于或等于訓(xùn)練集大小(TS_n)���,所述訓(xùn)練集大小(TS_n)是在所述訓(xùn)練集(TS)中的工作負(fù)荷模式數(shù)���;-在所述訓(xùn)練集(TS)的所有可能子集中,所述子集包括數(shù)量與所述原型集大小(AS_n)相等的工作負(fù)荷模式��,將所述原型集(AS)確定為顯示集合距離的最大值的子集�,其中對(duì)于所述子集內(nèi)的兩個(gè)工作負(fù)荷模式的所有可能組合,子集的所述集合距離是兩個(gè)工作負(fù)荷模式之間的所有模式-模式距離的最小值�����,使用所述距離函數(shù)(d)來(lái)確定每個(gè)模式-模式距離��。
4.根據(jù)權(quán)利要求3的方法��,其中所述從所述訓(xùn)練集(TS)和所述原型集(AS)來(lái)計(jì)算所述閾值(t)的步驟(S3)包括以下步驟-確定所述訓(xùn)練集(TS)的每個(gè)工作負(fù)荷模式(w_TS)的模式-集合距離�,所述模式-集合距離取決于所述工作負(fù)荷模式(w_TS)以及所述原型集(AS)�,因?yàn)槿鐝乃鼍嚯x函數(shù)(d)導(dǎo)出的����,它是所述工作負(fù)荷模式(w_TS)與所述原型集(AS)的每個(gè)工作負(fù)荷模式之間的所有模式-模式距離的最小值;-根據(jù)所述模式-集合距離的最大值來(lái)確定所述閾值(t)����。
5.根據(jù)權(quán)利要求4的方法,其中根據(jù)對(duì)所述模式-集合距離的最大值的預(yù)定偏移量(o)來(lái)確定所述閾值(t)�。
6.根據(jù)權(quán)利要求3的方法,其中所述計(jì)算所述給定工作負(fù)荷模式(w)的所述評(píng)估值(e)的步驟(S5)包括以下步驟-計(jì)算所述給定工作負(fù)荷模式(w)與所述原型集(AS)的每個(gè)所述工作負(fù)荷模式之間的距離��,使用所述距離函數(shù)(d)來(lái)確定每個(gè)模式-模式距離�����;-將所述評(píng)估值(e)確定為在之前步驟中計(jì)算的所述模式-模式距離的最小值�。
7.根據(jù)權(quán)利要求3至6中的一個(gè)權(quán)利要求的方法��,其中如果所述評(píng)估值(e)大于所述閾值(t)���,則確定所述給定工作負(fù)荷模式是惡意的���。
8.根據(jù)權(quán)利要求1或2中的一個(gè)權(quán)利要求的方法���,其中所述確定所述原型集(AS)的步驟(S2)包括以下步驟-提供取決于兩個(gè)工作負(fù)荷模式的比較的反距離函數(shù),所述反距離函數(shù)產(chǎn)生所述兩個(gè)工作負(fù)荷模式之間的反模式-模式距離��;-提供原型集大小(AS_n)�����,所述原型集大小(AS_n)是在所述原型集(AS)中的工作負(fù)荷模式數(shù)并且所述原型集大小(AS_n)小于或等于訓(xùn)練集大小(TS_n)����,所述訓(xùn)練集大小(TS_n)是在所述訓(xùn)練集(TS)中的工作負(fù)荷模式數(shù);-在所述訓(xùn)練集(TS)的所有可能子集中�����,所述子集包括數(shù)量與所述原型集大小(AS_n)相等的工作負(fù)荷模式�����,將所述原型集(AS)確定為顯示反集合距離的最小值的子集�,其中對(duì)于所述子集內(nèi)的兩個(gè)工作負(fù)荷模式的所有可能組合,子集的所述反集合距離是兩個(gè)工作負(fù)荷模式之間的所有反模式-模式距離的最大值��,使用所述反距離函數(shù)來(lái)確定每個(gè)反模式-模式距離����。
9.根據(jù)權(quán)利要求8的方法�����,其中所述從所述訓(xùn)練集(TS)和所述原型集(AS)計(jì)算所述閾值(t)的步驟(S2)包括以下步驟-確定所述訓(xùn)練集(TS)的每個(gè)工作負(fù)荷模式(w_TS)的反模式-集合距離���,所述反模式-集合距離取決于所述工作負(fù)荷模式(w_TS)以及所述原型集(AS),因?yàn)槿鐝乃龇淳嚯x函數(shù)導(dǎo)出的�����,它是所述工作負(fù)荷模式(w_TS)與所述原型集(AS)的每個(gè)所述工作負(fù)荷模式之間的所有反模式-模式距離的最大值�����;-根據(jù)所述反模式-集合距離的最小值來(lái)確定所述閾值(t)���。
10.根據(jù)權(quán)利要求9的方法,其中根據(jù)對(duì)所述反模式-集合距離的最小值的預(yù)定偏移量(o)來(lái)確定所述閾值(t)�。
11.根據(jù)權(quán)利要求8的方法,其中所述計(jì)算所述給定工作負(fù)荷模式(w)的所述評(píng)估值(e)的步驟(S5)包括以下步驟-計(jì)算所述給定工作負(fù)荷模式(w)與所述原型集(AS)的每個(gè)所述工作負(fù)荷模式之間的所述反距離����,使用所述距離函數(shù)(d)來(lái)確定每個(gè)反模式-模式距離���;-將所述評(píng)估值確定為在先前步驟中計(jì)算的所述反模式-模式距離的最大值。
12.根據(jù)權(quán)利要求8至11中的一個(gè)權(quán)利要求的方法�����,其中如果所述評(píng)估值(e)小于所述閾值(t)���,則確定所述給定工作負(fù)荷模式是惡意的�。
13.根據(jù)權(quán)利要求1至12中的一個(gè)權(quán)利要求的方法�,其中所述工作負(fù)荷模式(w_TS,w)取決于系統(tǒng)(1)中的多個(gè)元素(2)的使用率特性�����。
14.根據(jù)權(quán)利要求13的方法�,其中所述元素(2)是數(shù)據(jù)通信端口而所述系統(tǒng)(1)是網(wǎng)絡(luò)的一部分。
15.根據(jù)權(quán)利要求13的方法����,其中所述元素(2)是網(wǎng)絡(luò)中的地址。
16.根據(jù)權(quán)利要求13至15中的一個(gè)權(quán)利要求的方法��,其中所述距離函數(shù)取決于兩個(gè)工作負(fù)荷模式的比較���,因?yàn)樗c所述元素(2)的相對(duì)順序的改變有關(guān)���,所述元素(2)的相對(duì)順序由所述元素(2)的所述使用率特性來(lái)確定����。
17.根據(jù)權(quán)利要求14至16中的一個(gè)權(quán)利要求的方法�����,其中每個(gè)元素(2)的使用率代表在預(yù)定時(shí)間間隔(dt)內(nèi)通過(guò)所述網(wǎng)絡(luò)對(duì)所述元素(2)的訪問(wèn)(acc)的數(shù)量�����。
18.一種用于判定系統(tǒng)(1)中的惡意工作負(fù)荷模式的裝置���,所述裝置適于執(zhí)行根據(jù)權(quán)利要求1至17中的一個(gè)權(quán)利要求的方法�����。
19.一種包括計(jì)算機(jī)可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品���,所述計(jì)算機(jī)可讀介質(zhì)包含可由處理器執(zhí)行以執(zhí)行根據(jù)權(quán)利要求1至17中的一個(gè)權(quán)利要求的方法的程序指令����。
全文摘要
為了確定惡意工作負(fù)荷模式����,執(zhí)行以下步驟��。在預(yù)定工作負(fù)荷情形期間收集工作負(fù)荷模式(w_TS)的訓(xùn)練集(TS)����。將所述訓(xùn)練集(TS)的子集確定為原型集(AS),所述原型集(AS)被認(rèn)為代表所述預(yù)定工作負(fù)荷情形����。根據(jù)所述訓(xùn)練集(TS)和所述原型集(AS)來(lái)計(jì)算閾值(t)并且根據(jù)給定工作負(fù)荷模式(w)和所述原型集(AS)來(lái)計(jì)算評(píng)估值(e)。如果根據(jù)所述閾值(t)�����,所述評(píng)估值(e)滿足給定條件��,則確定所述給定工作負(fù)荷模式(w)是惡意的���。
文檔編號(hào)H04L29/06GK1988541SQ20061015380
公開(kāi)日2007年6月27日 申請(qǐng)日期2006年9月12日 優(yōu)先權(quán)日2005年12月19日
發(fā)明者A·金德, P·T·赫爾利 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司