CN104901833B - 一种发现异常设备的方法及装置 - Google Patents
一种发现异常设备的方法及装置 Download PDFInfo
- Publication number
- CN104901833B CN104901833B CN201510256151.8A CN201510256151A CN104901833B CN 104901833 B CN104901833 B CN 104901833B CN 201510256151 A CN201510256151 A CN 201510256151A CN 104901833 B CN104901833 B CN 104901833B
- Authority
- CN
- China
- Prior art keywords
- flow
- equipment
- local device
- abnormal
- input terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Abstract
本发明提供一种发现异常设备的方法及装置,用以达到监控设备并发现异常设备的目的。本发明包括:获得本地设备的当前流量出现异常的流量异常报告;检查所述本地设备的输出端口和输入端的流量是否一致;在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常。本发明直观的给出了本地设备与其它网络设备的相关逻辑关系,既关注流量的环比变化情况、也关注流量的同比变换情况,增加了判断的准确性。
Description
技术领域
本发明涉及通信领域,特别涉及一种发现异常设备的方法及装置。
背景技术
从广义上讲,服务器是指网络中能对其它机器提供某些服务的计算机系统从狭义上讲,服务器是专指某些高性能计算机,能通过网络,对外提供服务。相对于普通PC来说,稳定性、安全性、性能等方面都要求更高;并且服务器作为网络的节点,存储、处理网络上80%的数据、信息,因此也被称为网络的灵魂。网络终端设备如家庭、企业中的微机上网,获取资讯,与外界沟通、娱乐等,也必须经过服务器,因此也可以说是服务器在“组织”和“领导”这些设备。
因此服务器的地位是至关重要的,需要时时监控服务器是否异常,在现有技术中,通过传统监控工具监控本地设备的流量情况,来判断服务器是否异常,如当流量高于预设的阈值,则认为本地设备受到攻击;但是流量的增加有可能是正常业务范围内,因此这种靠单一设阀值触发报警的方法,会出现误报的情况;另外传统监控工具还存在以下几个问题,如传统监控工具没有直观给出服务器与网络设备、网络设备与网络设备的相关逻辑关系;只记录历史值,一般不会通过精确比较做进一步判断。
发明内容
本发明提供一种发现异常设备的方法及装置,用以达到监控设备并发现异常设备的目的。
本发明提供一种发现异常设备的方法,用于监控设备,包括:
获得本地设备的当前流量出现异常的流量异常报告;
检查所述本地设备的输出端口和输入端的流量是否一致;
在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;
在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常。
本发明实施例的有益效果包括:获得本地设备的当前流量出现异常的流量异常报告;检查所述本地设备的输出端口和输入端的流量是否一致;在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;直观的给出了本地设备与其它网络设备的相关逻辑关系,同时根据链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常,这一系列连锁反应既关注流量的环比变化情况、也关注流量的同比变换情况,增加了判断的准确性;在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常,关注流量突然增加的情况、也关注流量突然减少的情况,增加了判断的准确性。
在一个实施例中,在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,如果内网内部没有发现输出端口和输入端的流量不一致的设备,则进一步判断对端为外网设备还是本地设备;
若对端为外网设备,则获取对端的IP地址并查看对端的IP地址是否在预设的白名单里,如果对端的IP地址在预设的白名单里,则确定没有设备发生异常;如果对端的IP地址不在预设的白名单里,则对所述本地设备进行人工登录查看;
若对端为另一个内网设备,则等待预设时间,若等待预设时间后,所述本地设备的流量依旧异常,则对所述本地设备进行人工登录查看;若等待预设时间后,所述本地设备的流量恢复正常,则所述本地设备没有异常。
该实施例中,如果内网内部没有发现输出端口和输入端的流量不一致的设备,则进一步判断对端为外网设备还是本地设备;若对端为外网设备,则获取对端的IP地址并查看对端的IP地址是否在预设的白名单里,如果对端的IP地址在预设的白名单里,则确定没有设备发生异常;如果对端的IP地址不在预设的白名单里,则对所述本地设备进行人工登录查看;若对端为另一个内网设备,则等待预设时间,若等待预设时间后,所述本地设备的流量依旧异常,则对所述本地设备进行人工登录查看;若等待预设时间后,所述本地设备的流量恢复正常,则所述本地设备没有异常;减少了误判,增加了发现异常设备的准确性。
在一个实施例中,所述确定该设备发生异常,包括:
判断该设备是否是数据源设备;
当不是数据源设备时,确定该设备发生异常;
所述获得本地设备的当前流量出现异常的流量异常报告,包括:
获得多个本地设备的当前流量出现异常的流量异常报告;
确定该设备发生异常,包括:
根据多个本地设备的流量异常报告均确定该设备发生异常时,最终确定该设备发生异常。
该实施例中,通过判断该设备是否是数据源设备;当不是数据源设备时,确定该设备发生异常;根据多个本地设备的流量异常报告均确定该设备发生异常时,最终确定该设备发生异常;进一步增加了判断的准确性。
在一个实施例中,所述获得本地设备的当前流量出现异常的流量异常报告,包括:
判断当前流量是否高于预设阈值;
当当前流量高于预设阈值时,判断历史记录中相同时间段内是否出现过当前流量高于预设流量阈值的情况;
在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告。
该实施例中,判断当前流量是否高于预设阈值;当当前流量高于预设阈值时,判断历史记录中相同时间段内是否出现过当前流量高于预设流量阈值的情况;在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告;通过与历史记录中相同时间段内的情况进行对比,既关注流量的环比变化情况、也关注流量的同比变换情况,而不仅仅靠单一设阀值触发报警,减少了错误报警的情况。
在一个实施例中,所述在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告,包括:
在未出现过当前流量高于预设阈值的情况时,判断出现过当前流量高于预设流量阈值的情况的次数是否达到预设次数阈值;
在达到预设次数阈值时,获得本地设备的当前流量出现异常的流量异常报告。
该实施例中,在未出现过当前流量高于预设阈值的情况时,判断出现过当前流量高于预设流量阈值的情况的次数是否达到预设次数阈值;通过精确比较做进一步判断,增加了判断结果的准确性。
本发明提供一种发现异常设备的装置,用于监控设备,包括:
获取模块,用于获得本地设备的当前流量出现异常的流量异常报告;
检查模块,用于检查所述本地设备的输出端口和输入端的流量是否一致;
确定模块,用于在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;
在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常。
本发明实施例的有益效果包括:获得本地设备的当前流量出现异常的流量异常报告;检查所述本地设备的输出端口和输入端的流量是否一致;在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;直观的给出了本地设备与其它网络设备的相关逻辑关系,同时根据链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常,这一系列连锁反应既关注流量的环比变化情况、也关注流量的同比变换情况,增加了判断的准确性;在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常,关注流量突然增加的情况、也关注流量突然减少的情况,增加了判断的准确性。
在一个实施例中,所述装置进一步包括:分析模块,用于在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,如果内网内部没有发现输出端口和输入端的流量不一致的设备,则进一步判断对端为外网设备还是本地设备;
若对端为外网设备,则获取对端的IP地址并查看对端的IP地址是否在预设的白名单里,如果对端的IP地址在预设的白名单里,则确定没有设备发生异常;如果对端的IP地址不在预设的白名单里,则对所述本地设备进行人工登录查看;
若对端为另一个内网设备,则等待预设时间,若等待预设时间后,所述本地设备的流量依旧异常,则对所述本地设备进行人工登录查看;若等待预设时间后,所述本地设备的流量恢复正常,则所述本地设备没有异常。
在一个实施例中,所述确定模块,包括:
第一确定子模块,用于判断该设备是否是数据源设备;
当不是数据源设备时,确定该设备发生异常。
所述获取模块,包括:获取子模块,用于获得多个本地设备的当前流量出现异常的流量异常报告;所述确定模块,包括:第二确定子模块,用于根据多个本地设备的流量异常报告均确定该设备发生异常时,最终确定该设备发生异常。
在一个实施例中,所述获取子模块,包括:获取单元,用于判断当前流量是否高于预设阈值;
当当前流量高于预设阈值时,判断历史记录中相同时间段内是否出现过当前流量高于预设流量阈值的情况;
在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告。
在一个实施例中,所述获取单元,包括:获取子单元,用于在未出现过当前流量高于预设阈值的情况时,判断出现过当前流量高于预设流量阈值的情况的次数是否达到预设次数阈值;
在达到预设次数阈值时,获得本地设备的当前流量出现异常的流量异常报告。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明一示例性实施例示出的一种发现异常设备的方法流程图;
图2为本发明一示例性实施例示出的一种发现异常设备的方法流程图;
图3为本发明一示例性实施例示出的一种发现异常设备的方法流程图;
图4为本发明一示例性实施例示出的一种发现异常设备的方法流程图;
图5为本发明一示例性实施例示出的一种发现异常设备的方法流程图;
图6为本发明一示例性实施例示出的一种发现异常设备的方法流程图;
图7为本发明一示例性实施例示出的一种发现异常设备的装置框图;
图8为本发明一示例性实施例示出的一种发现异常设备的装置框图;
图9为本发明一示例性实施例示出的一种发现异常设备的装置框图;
图10为本发明一示例性实施例示出的一种发现异常设备的装置框图;
图11为本发明一示例性实施例示出的一种发现异常设备的装置框图;
图12为本发明一示例性实施例示出的一种发现异常设备的装置框图;
图13为本发明一示例性实施例示出的一种发现异常设备的装置框图;
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
如图1,本发明提供一种发现异常设备的方法,用于监控设备,包括步骤101-103:
步骤101,获得本地设备的当前流量出现异常的流量异常报告;
步骤102,检查所述本地设备的输出端口和输入端的流量是否一致;
步骤103,在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;
在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常。
本发明实施例的有益效果包括:获得本地设备的当前流量出现异常的流量异常报告;检查所述本地设备的输出端口和输入端的流量是否一致;在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;直观的给出了本地设备与其它网络设备的相关逻辑关系,同时根据链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常,这一系列连锁反应既关注流量的环比变化情况、也关注流量的同比变换情况,增加了判断的准确性;在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常,关注流量突然增加的情况、也关注流量突然减少的情况,增加了判断的准确性。
在一个实施例中,在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,如果内网内部没有发现输出端口和输入端的流量不一致的设备,则进一步判断对端为外网设备还是本地设备;
若对端为外网设备,则获取对端的IP地址并查看对端的IP地址是否在预设的白名单里,如果对端的IP地址在预设的白名单里,则确定没有设备发生异常;如果对端的IP地址不在预设的白名单里,则对所述本地设备进行人工登录查看;
若对端为另一个内网设备,则等待预设时间,若等待预设时间后,所述本地设备的流量依旧异常,则对所述本地设备进行人工登录查看;若等待预设时间后,所述本地设备的流量恢复正常,则所述本地设备没有异常。
该实施例中,如果内网内部没有发现输出端口和输入端的流量不一致的设备,则进一步判断对端为外网设备还是本地设备;若对端为外网设备,则获取对端的IP地址并查看对端的IP地址是否在预设的白名单里,如果对端的IP地址在预设的白名单里,则确定没有设备发生异常;如果对端的IP地址不在预设的白名单里,则对所述本地设备进行人工登录查看;若对端为另一个内网设备,则等待预设时间,若等待预设时间后,所述本地设备的流量依旧异常,则对所述本地设备进行人工登录查看,包括获取对端的IP地址、端口号、应用程序日志和系统日志等进行查看;若等待预设时间后,所述本地设备的流量恢复正常,则所述本地设备没有异常;减少了误判,增加了发现异常设备的准确性。
在一个实施例中,如图2,步骤103所述确定该设备发生异常,包括步骤201-步骤202:
步骤201,判断该设备是否是数据源设备;
步骤202,当不是数据源设备时,确定该设备发生异常。
如图3,步骤101所述获得本地设备的当前流量出现异常的流量异常报告,包括步骤301:
步骤301,获得多个本地设备的当前流量出现异常的流量异常报告;
如图4,步骤103确定该设备发生异常,包括步骤401:
步骤401,根据多个本地设备的流量异常报告均确定该设备发生异常时,最终确定该设备发生异常。
该实施例中,通过判断该设备是否是数据源设备;当不是数据源设备时,确定该设备发生异常;获得多个本地设备的当前流量出现异常的流量异常报告;根据多个本地设备的流量异常报告均确定该设备发生异常时,最终确定该设备发生异常;进一步增加了判断的准确性。
在一个实施例中,如图5,步骤101所述获得本地设备的当前流量出现异常的流量异常报告,包括步骤501-503:
步骤501,判断当前流量是否高于预设阈值;当当前流量高于预设阈值时,执行步骤502;在未出现过当前流量高于预设阈值的情况时,执行步骤503;
步骤502,判断历史记录中相同时间段内是否出现过当前流量高于预设流量阈值的情况;
步骤503,获得本地设备的当前流量出现异常的流量异常报告。
该实施例中,判断当前流量是否高于预设阈值;当当前流量高于预设阈值时,判断历史记录中相同时间段内是否出现过当前流量高于预设流量阈值的情况;在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告;通过与历史记录中相同时间段内的情况进行对比,既关注流量的环比变化情况、也关注流量的同比变换情况,而不仅仅靠单一设阀值触发报警,减少了错误报警的情况。
在一个实施例中,如图6,步骤503,所述在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告,包括步骤601-602:
步骤601,在未出现过当前流量高于预设阈值的情况时,判断出现过当前流量高于预设流量阈值的情况的次数是否达到预设次数阈值;
步骤602在达到预设次数阈值时,获得本地设备的当前流量出现异常的流量异常报告。
该实施例中,在未出现过当前流量高于预设阈值的情况时,判断出现过当前流量高于预设流量阈值的情况的次数是否达到预设次数阈值;通过精确比较做进一步判断,增加了判断结果的准确性。
如图7,本发明提供一种发现异常设备的装置,用于监控设备,包括:
获取模块701,用于获得本地设备的当前流量出现异常的流量异常报告;
检查模块702,用于检查所述本地设备的输出端口和输入端的流量是否一致;
确定模块703,用于在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;
在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常。
本发明实施例的有益效果包括:获得本地设备的当前流量出现异常的流量异常报告;检查所述本地设备的输出端口和输入端的流量是否一致;在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;直观的给出了本地设备与其它网络设备的相关逻辑关系,同时根据链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常,这一系列连锁反应既关注流量的环比变化情况、也关注流量的同比变换情况,增加了判断的准确性;在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常,关注流量突然增加的情况、也关注流量突然减少的情况,增加了判断的准确性。
在一个实施例中,如图8,所述装置进一步包括:分析模块704,用于在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,如果内网内部没有发现输出端口和输入端的流量不一致的设备,则进一步判断对端为外网设备还是本地设备;
若对端为外网设备,则获取对端的IP地址并查看对端的IP地址是否在预设的白名单里,如果对端的IP地址在预设的白名单里,则确定没有设备发生异常;如果对端的IP地址不在预设的白名单里,则对所述本地设备进行人工登录查看;
若对端为另一个内网设备,则等待预设时间,若等待预设时间后,所述本地设备的流量依旧异常,则对所述本地设备进行人工登录查看;若等待预设时间后,所述本地设备的流量恢复正常,则所述本地设备没有异常。
在一个实施例中,如图9,所述确定模块703,包括:
第一确定子模块801,用于判断该设备是否是数据源设备;
当不是数据源设备时,确定该设备发生异常。
如图10,所述获取模块701,包括:获取子模块901,用于获得多个本地设备的当前流量出现异常的流量异常报告;如图11,所述确定模块703,包括:第二确定子模块1001,用于根据多个本地设备的流量异常报告均确定该设备发生异常时,最终确定该设备发生异常。
在一个实施例中,如图12,所述获取子模块901,包括:获取单元1101,用于判断当前流量是否高于预设阈值;
当当前流量高于预设阈值时,判断历史记录中相同时间段内是否出现过当前流量高于预设流量阈值的情况;
在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告。
在一个实施例中,如图13,所述获取单元1101,包括:获取子单元1201,用于在未出现过当前流量高于预设阈值的情况时,判断出现过当前流量高于预设流量阈值的情况的次数是否达到预设次数阈值;
在达到预设次数阈值时,获得本地设备的当前流量出现异常的流量异常报告。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种发现异常设备的方法,其特征在于,用于监控设备,包括:
获得本地设备的当前流量出现异常的流量异常报告;
检查所述本地设备的输出端口和输入端的流量是否一致;
在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;
在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,如果内网内部没有发现输出端口和输入端的流量不一致的设备,则进一步判断流量出现异常的设备为外网设备还是本地设备;
若流量出现异常的设备为外网设备,则获取流量出现异常的设备的IP地址并查看流量出现异常的设备的IP地址是否在预设的白名单里,如果流量出现异常的设备的IP地址在预设的白名单里,则确定没有设备发生异常;如果流量出现异常的设备的IP地址不在预设的白名单里,则对所述本地设备进行人工查看;
若流量出现异常的设备为另一个内网的设备,则等待预设时间,若等待预设时间后,所述本地设备的流量依旧异常,则对所述本地设备进行人工登录查看;若等待预设时间后,所述本地设备的流量恢复正常,则所述本地设备没有异常。
3.如权利要求1所述的方法,其特征在于,
所述确定所述设备发生异常,包括:
当所述设备不是数据源设备且多个本地设备的流量异常报告均确定所述设备发生异常时,最终确定所述设备发生异常。
4.如权利要求1所述的方法,其特征在于,所述获得本地设备的当前流量出现异常的流量异常报告,包括:
判断当前流量是否高于预设阈值;
当当前流量高于预设阈值时,判断历史记录中相同时间段内是否出现过当前流量高于预设流量阈值的情况;
在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告。
5.如权利要求4所述的方法,其特征在于,所述在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告,包括:
在未出现过当前流量高于预设阈值的情况时,判断出现过当前流量高于预设流量阈值的情况的次数是否达到预设次数阈值;
在达到预设次数阈值时,获得本地设备的当前流量出现异常的流量异常报告。
6.一种发现异常设备的装置,其特征在于,用于监控设备,包括:
获取模块,用于获得本地设备的当前流量出现异常的流量异常报告;
检查模块,用于检查所述本地设备的输出端口和输入端的流量是否一致;
确定模块,用于在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,确定该设备发生异常;
在所述本地设备的输出端口和输入端的流量不一致时,确定所述本地设备发生异常。
7.如权利要求6所述的装置,其特征在于,所述装置进一步包括:
分析模块,用于在所述本地设备的输出端口和输入端的流量一致时,检查链路上所述本地设备的前一个设备输出端口和输入端的流量是否一致,直至确定内网内部输出端口和输入端的流量不一致的设备,如果内网内部没有发现输出端口和输入端的流量不一致的设备,则进一步判断流量出现异常的设备为外网设备还是本地设备;
若流量出现异常的设备为外网设备,则获取流量出现异常的设备的IP地址并查看流量出现异常的设备的IP地址是否在预设的白名单里,如果流量出现异常的设备的IP地址在预设的白名单里,则确定没有设备发生异常;如果流量出现异常的设备的IP地址不在预设的白名单里,则对所述本地设备进行人工登录查看;
若流量出现异常的设备为另一个内网的设备,则等待预设时间,若等待预设时间后,所述本地设备的流量依旧异常,则对所述本地设备进行人工登录查看;若等待预设时间后,所述本地设备的流量恢复正常,则所述本地设备没有异常。
8.如权利要求6所述的装置,其特征在于,
所述确定模块,包括:
第二确定子模块,用于当所述设备不是数据源设备且多个本地设备的流量异常报告均确定所述设备发生异常时,最终确定所述设备发生异常。
9.如权利要求6所述的装置,其特征在于,所述获取子模块,包括:获取单元,用于判断当前流量是否高于预设阈值;
当当前流量高于预设阈值时,判断历史记录中相同时间段内是否出现过当前流量高于预设流量阈值的情况;
在未出现过当前流量高于预设阈值的情况时,获得本地设备的当前流量出现异常的流量异常报告。
10.如权利要求9所述的装置,其特征在于,所述获取单元,包括:获取子单元,用于在未出现过当前流量高于预设阈值的情况时,判断出现过当前流量高于预设流量阈值的情况的次数是否达到预设次数阈值;
在达到预设次数阈值时,获得本地设备的当前流量出现异常的流量异常报告。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510256151.8A CN104901833B (zh) | 2015-05-19 | 2015-05-19 | 一种发现异常设备的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510256151.8A CN104901833B (zh) | 2015-05-19 | 2015-05-19 | 一种发现异常设备的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104901833A CN104901833A (zh) | 2015-09-09 |
| CN104901833B true CN104901833B (zh) | 2018-05-08 |
Family
ID=54034237
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510256151.8A Expired - Fee Related CN104901833B (zh) | 2015-05-19 | 2015-05-19 | 一种发现异常设备的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104901833B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11122039B2 (en) * | 2015-12-23 | 2021-09-14 | Comptel Oy | Network management |
| CN106888131B (zh) * | 2017-04-26 | 2019-06-28 | 优刻得科技股份有限公司 | 云计算环境下的用户网络问题诊断方法、装置、以及系统 |
| CN109462617B (zh) * | 2018-12-29 | 2022-04-15 | 北京威努特技术有限公司 | 一种局域网中设备通讯行为检测方法及装置 |
| CN112333706B (zh) * | 2019-07-16 | 2022-08-23 | 中国移动通信集团浙江有限公司 | 物联网设备异常检测方法、装置、计算设备及存储介质 |
| CN111130945B (zh) * | 2019-12-30 | 2021-12-28 | 江苏万佳科技开发股份有限公司 | 一种数据监测云平台及使用方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741526A (zh) * | 2005-09-05 | 2006-03-01 | 北京启明星辰信息技术有限公司 | 网络异常流量的检测方法及系统 |
| CN101355463A (zh) * | 2008-08-27 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、系统和设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090109840A1 (en) * | 2007-10-31 | 2009-04-30 | Hallse Brian L | Fault-resistant digital-content-stream AV packet switch |
| US9380490B2 (en) * | 2010-11-08 | 2016-06-28 | Qualcomm Incorporated | System and method for uplink multiple input multiple output transmission |
-
2015
- 2015-05-19 CN CN201510256151.8A patent/CN104901833B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741526A (zh) * | 2005-09-05 | 2006-03-01 | 北京启明星辰信息技术有限公司 | 网络异常流量的检测方法及系统 |
| CN101355463A (zh) * | 2008-08-27 | 2009-01-28 | 成都市华为赛门铁克科技有限公司 | 网络攻击的判断方法、系统和设备 |
Non-Patent Citations (1)
| Title |
|---|
| 基于网络异常流量的入侵检测系统研究;于新宇;《中国优秀硕士学位论文全文数据库(电子期刊)》;20090115;I139-315 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104901833A (zh) | 2015-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104901833B (zh) | 一种发现异常设备的方法及装置 | |
| CN106462702B (zh) | 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 | |
| US20150120914A1 (en) | Service monitoring system and service monitoring method | |
| CN110912927B (zh) | 工业控制系统中控制报文的检测方法及装置 | |
| EP3657371A1 (en) | Information processing device, information processing method, and information processing program | |
| CN109450869B (zh) | 一种基于用户反馈的业务安全防护方法 | |
| CN111679968A (zh) | 接口调用异常的检测方法、装置、计算机设备及存储介质 | |
| CN110275992A (zh) | 应急处理方法、装置、服务器及计算机可读存储介质 | |
| CN112653693A (zh) | 一种工控协议分析方法、装置、终端设备及可读存储介质 | |
| CN116010220A (zh) | 一种告警诊断方法、装置、设备及存储介质 | |
| CN109561097A (zh) | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 | |
| CN112948224A (zh) | 一种数据处理方法、装置、终端及存储介质 | |
| CN105843675B (zh) | 线程退出方法和装置 | |
| CN106502887A (zh) | 一种稳定性测试方法、测试控制器及系统 | |
| CN115495424A (zh) | 数据处理的方法、电子设备和计算机程序产品 | |
| KR101876629B1 (ko) | 빅데이터 분석 기반 상태 감시 장치 및 방법 | |
| CN115296979B (zh) | 一种故障处理方法、装置、设备及存储介质 | |
| CN111143179A (zh) | 定位性能瓶颈的方法、装置、存储介质及电子设备 | |
| CN111159009A (zh) | 一种日志服务系统的压力测试方法及装置 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN105610800A (zh) | 一种异常数据处理方法及装置 | |
| CN115811421A (zh) | 网络安全事件的监测方法、装置、电子设备以及存储介质 | |
| CN106209839B (zh) | 入侵报文的防护方法及装置 | |
| JP2020035297A (ja) | 機器状態監視装置及びプログラム | |
| CN114844772A (zh) | 一种基于Zabbix监控平台的管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A method and device for finding abnormal equipment Effective date of registration: 20210104 Granted publication date: 20180508 Pledgee: Inner Mongolia Huipu Energy Co.,Ltd. Pledgor: WUXI TVMINING MEDIA SCIENCE & TECHNOLOGY Co.,Ltd. Registration number: Y2020990001517 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180508 Termination date: 20210519 |