CN105530138A - 一种数据监控方法及装置 - Google Patents
一种数据监控方法及装置 Download PDFInfo
- Publication number
- CN105530138A CN105530138A CN201410509945.6A CN201410509945A CN105530138A CN 105530138 A CN105530138 A CN 105530138A CN 201410509945 A CN201410509945 A CN 201410509945A CN 105530138 A CN105530138 A CN 105530138A
- Authority
- CN
- China
- Prior art keywords
- data
- type
- decision tree
- flow
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000012544 monitoring process Methods 0.000 title claims abstract description 33
- 238000012806 monitoring device Methods 0.000 title claims abstract description 12
- 238000003066 decision tree Methods 0.000 claims abstract description 128
- 230000002159 abnormal effect Effects 0.000 claims description 80
- 230000005856 abnormality Effects 0.000 claims description 10
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 238000011451 sequencing strategy Methods 0.000 claims description 2
- 238000001514 detection method Methods 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 16
- 238000004891 communication Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 238000004091 panning Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种数据监控方法、装置及服务器,其中方法包括:确定所要检测的数据异常类型,依据预设的与该数据异常类型对应的决策树,对获取到的服务器向用户IP地址发送的数据流量进行解析,获取与数据异常类型对应的流量因子,按照预设的与数据异常类型对应的决策树,对流量因子进行异常判断,确定当前数据流量是否为数据异常类型的异常攻击。其中,预先建立的决策树规定了数据异常类型所对应的流量因子组合、组合中各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。本申请的方法,综合考虑了与所要检测的数据异常类型相关联的多个流量因子,使得最终检测结果更加准确,并且最终能够确定异常攻击的具体类型。
Description
技术领域
本申请涉及数据处理技术领域,更具体地说,涉及一种数据监控方法及装置。
背景技术
DDOS(DistributionDenialOfService)又称为分布式拒绝服务,攻击者通过发送恶意流量或者请求来消耗服务器带宽或者CPU资源,使得服务器不能够提供正常的服务。
现有针对分布式拒绝服务的防护手段是,通过对通信数据流量中的某一个表征流量属性的流量因子进行阈值判断,在判断其超过预设阈值时即认为发生了异常流量。然而,表征流量属性的流量因子有很多种,单纯的以某一个流量因子作为判断条件过于单一,影响异常判断结果的准确性。进一步的,分布式拒绝服务攻击又可以细分为多种类型的攻击方式,例如SYNFLOOD攻击、GETFLOOD攻击等。现有的单一流量因子判断方式无法准确判断攻击的具体类型。
发明内容
有鉴于此,本申请提供了一种数据监控方法、装置及服务器,用于解决现有的单一流量因子判断方法判断结果不准确、无法判断攻击类型的问题。
为了实现上述目的,现提出的方案如下:
一种数据监控方法,包括:
确定所要检测的数据异常类型;
获取服务器向当前用户IP地址发送的数据流量;
按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合;
按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
一种数据监控装置,包括:
类型确定单元,用于确定所要检测的数据异常类型;
数据流量获取单元,用于获取服务器向当前用户IP地址发送的数据流量;
解析单元,用于按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合;
异常判断单元,用于按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
一种服务器,包括上述所述的数据监控装置。
从上述的技术方案可以看出,本申请实施例提供的数据监控方法,首先确定所要检测的数据异常类型,然后依据预设的与该数据异常类型对应的决策树,对获取到的服务器向用户IP地址发送的数据流量进行解析,获取与所述数据异常类型对应的流量因子,最后按照预设的与数据异常类型对应的决策树,对所述流量因子进行异常判断,确定当前数据流量是否为所述数据异常类型的异常攻击。其中,预先建立的决策树规定了数据异常类型所对应的流量因子组合、组合中各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。本申请的方法,综合考虑了与所要检测的数据异常类型相关联的多个流量因子,使得最终检测结果更加准确,并且最终能够确定异常攻击的具体类型。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例公开的一种数据监控方法流程图;
图2为本申请实施例公开的一种决策树结构示意图;
图3为本申请实施例公开的一种决策树的建立方法流程图;
图4为本申请实施例公开的另一种决策树的建立方法流程图;
图5为本申请实施例公开的另一种决策树结构示意图;
图6为本申请实施例公开的一种组合后总决策树结构示意图;
图7为本申请实施例公开的又一种决策树结构示意图;
图8为本申请实施例公开的一种数据监控装置结构示意图;
图9为本申请实施例公开的另一种数据监控装置结构示意图;
图10为本申请实施例公开的又一种数据监控装置结构示意图;
图11为本申请实施例公开的类型确定单元的结构示意图;
图12为本申请实施例公开的服务器的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种数据监控方法,以解决现有的单一流量因子判断方法判断结果不准确、无法判断攻击类型的问题。
参见图1,图1为本申请实施例公开的一种数据监控方法流程图。
如图1所示,该监控方法包括:
步骤S100、确定所要检测的数据异常类型;
具体地,数据异常的类型有多种形式,在检测之前我们可以事先确定本次检测的目的,即所要检测的数据异常类型。举例如:本次我们要检测SYNFLOOD攻击和/或GETFLOOD攻击。
步骤S110、获取服务器向当前用户IP地址发送的数据流量;
具体地,数据流量是我们进行后续检测的数据基础。通过获取服务器向当前某一用户IP地址发送的数据流量,可以据此来判断当前IP是否发起异常攻击。
步骤S120、按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析;
具体地,我们可以预先建立与多种数据异常类型所对应的决策树。该决策树规定了与该数据异常类型所对应的流量因子的组合。通过对数据流量进行解析,获取与所述数据异常类型对应的流量因子。
需要解释的是,流量因子用于表征数据流量的属性,一个数据流量包括很多个流量因子,也即体现了数据流量的多种属性信息。对于某一个数据异常类型的判断过程,并非会用到所有的流量因子,因此我们对这些用不到的流量因子不进行解析获取,而仅仅获取与待检测数据异常类型相关联的流量因子。
步骤S130、确定所述数据流量是否为所述数据异常类型的异常攻击。
具体地,按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击。所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
通过先根遍历决策树,可以对解析获取的各个流量因子进行阈值判断,最终确定当前数据流量是否异常,以及异常的类型是否为所述数据异常类型。
本申请实施例提供的数据监控方法,首先确定所要检测的数据异常类型,然后依据预设的与该数据异常类型对应的决策树,对获取到的服务器向用户IP地址发送的数据流量进行解析,获取与所述数据异常类型对应的流量因子,最后按照预设的与数据异常类型对应的决策树,对所述流量因子进行异常判断,确定当前数据流量是否为所述数据异常类型的异常攻击。其中,预先建立的决策树规定了数据异常类型所对应的流量因子组合、组合中各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。本申请的方法,综合考虑了与所要检测的数据异常类型相关联的多个流量因子,使得最终检测结果更加准确,并且最终能够确定异常攻击的具体类型。
下面通过一个具体的实例来对上文进行解释。
参照图2,图2为本申请实施例公开的一种决策树结构示意图。
图2中,我们以对SYNFLOOD异常攻击为例,确定与其对应的流量因子包括及其阈值T3。从而完成了图2所示的决策树。
在获取服务器向当前用户IP地址发送的数据流量之后,通过对数据流量进行解析,获取包速率P包、网络流量速率T流量和SYN速率Psyn。
按照图2所示的决策树对上述获取的三个流量因子进行对应阈值判断,从而确定数据流量是否为SYNFLOOD异常攻击。
接着,我们来介绍决策树的建立过程。
决策树的建立过程可以细分为两种情况,第一种情况是在数据异常类型与决策树之间为一对一关系时,决策树的建立过程;第二种情况是在数据异常类型与决策树之间是多对一的关系时,决策树的建立过程。我们分别对这两种情况进行介绍。
参见图3,图3为本申请实施例公开的一种决策树的建立方法流程图。
如图3所示,在数据异常类型与决策树之间为一对一关系时,方法包括:
步骤S300、依据预设分组策略,将预设的与所述数据异常类型对应的流量因子进行分组;
具体地,技术人员预先设定了与每个数据异常类型对应的流量因子,并且按照流量因子之间关联性,设定了分组策略。例如,将与某一数据异常类型对应的流量因子A、B、C、D、E按照关联性分为两组,一组是A、B、C,另一组是D和E。
步骤S310、依据预设的排序策略,对每组内的若干个流量因子进行先后顺序排序;
在上述分组基础上,我们还预先设定了每组的排序策略,按照该排序策略完成对每组内流量因子的先后排序过程。仍使用上述例子来说明,对于第一组内的A、B、C按照关联程度排序为B、A、C,对第二组内的D和E按照关联程度排序为E、D。
需要说明的是,这里排序的过程是为了后续决定每个流量因子阈值判断的先后顺序。
步骤S320、确定各组内流量因子的异常判断阈值;
步骤S330、建立决策树。
具体地,将各个组确定为决策树中根节点的不同分支,其中,按照流量因子的先后顺序,分别将各分支中流量因子的阈值判断过程作为各分支中从上至下的若干个节点,每个节点在阈值判断异常时才执行下一节点的阈值判断过程,否则进入该节点的另一子节点,执行结束操作,直至各分支最后一个节点判断是否超过阈值时,确定数据流量满足所述数据异常类型。
我们可以参照图2的决策树进行理解,在建立图2所示的决策树时,首先将包速率P包和SYN速率Psyn划分为一组,将网络流量速率T流量单独划分为一组。对于第一组中,先后顺序为P包、Psyn。从根节点往下走,分别为上述两组中流量因子的阈值判断过程。每组中,按照流量因子的先后顺序进行阈值判断,并且在前一流量因子判断超过阈值时执行下一流量因子的阈值判断过程,否则进入结束环节。最终完成整个决策树的建立过程。
通过建立的决策树可知,某一类型的攻击并不一定是在一种流量因子的阈值判断条件下即可确定的,有可能存在多种流量因子阈值判断的组合方式。
上述过程介绍了在数据异常类型与决策树之间为一对一关系时决策树的建立过程。下面我们对数据异常类型与决策树之间是多对一的关系时决策树的建立过程进行介绍。
参见图4,图4为本申请实施例公开的另一种决策树的建立方法流程图。
如图4所示,该方法包括:
步骤S400、建立子决策树;
具体地,按照数据异常类型与决策树之间是一对一的关系,针对多个数据异常类型中的每一个数据异常类型建立决策树,得到若干个子决策树。也即,针对每一个数据异常类型,均按照图3所示的方法建立决策树,将建立的决策树作为子决策树。
步骤S410、将所有的子决策树组合为一个总决策树。
下面通过一个具体实例来介绍子决策树的组合过程。参见图5,图5为本申请实施例公开的另一种决策树结构示意图。
图5与图2的区别之处在于,在P包超过阈值T1时,图5进行了HTTPGet请求速率Qget是否超过阈值T4的判断,其它流量因子的判断过程完全相同。在判断超过阈值T4时,确定数据异常类型为GETFLOOD攻击。
我们将图2和图5这两个子决策树进行组合,组合后的总决策树参见图6,图6为本申请实施例公开的一种组合后总决策树结构示意图。
如图6所示,对于根节点下属的完全相同的分支,组合后以一个分支来表示,对于有节点变化的分支,先找到变化节点及变化节点的父节点,将以变化节点为根节点的子树作为一个分支,从而确定了两个并列分支,将这两个并列分支作为变化节点的父节点的分支,从而建立了总决策树。
当然,上述仅仅是以两个子决策树的组合过程进行说明,两个以上的子决策树的组合过程可以参照两个子决策树的组合过程,原理相同。
在利用上述建立的决策树进行异常检测时,如果待检测的数据异常类型为多个时,我们可以直接使用图4方法所建立的总决策树来进行异常判断。当然,还可以使用与每个数据异常类型对应的决策树分别进行各个数据异常类型的判断过程。对此,本申请不进行限定。
需要说明的是,我们在建立决策树时,还可以考虑一些非流量因子的影响,例如数据流量所在的业务的当前活动状态。举例如,用户在双十一活动期间,使用淘宝网进行网购的过程中,服务器向用户IP发送了数据流量,而经过上述异常检测可能发现数据流量异常,但是我们认为该数据流量所在的业务当前正处于活动状态(双十一促销),上述检测出来的异常实质是正常反应,不应该理解为异常攻击。为此,以图2所示的决策树为例,我们可以在其上增加活动状态的判断过程。修改后的图2如图7所示,图7为本申请实施例公开的又一种决策树结构示意图。
进一步需要说明的是,在确定所要检测的数据异常类型步骤中,存在三种确定方式,分别为:
第一,将用户指定的若干个数据异常类型确定为所要检测的数据异常类型;
第二,将所有预先存储的数据异常类型均确定为所要检测的数据异常类型;
第三,判断预设历史时间内确定的各个数据异常类型的比例,将其中比例最大的数据异常类型确定为所要检测的数据异常类型。
第一种方式需要人为指定所要检测的数据异常类型。第二种方式即,对预先存储的所有的数据异常类型均进行检测,从而能够识别数据流量是否发生异常,且异常发生时具体的数据异常类型。第三种方式即,对历史某一段时间所检测出来的数据异常类型进行统计,看看哪一种类型的数据异常发生的比较频繁,即着重对该类型的异常攻击进行检测。
当然,上述三种方式仅仅是示例性的进行说明,除此之外其它的确定过程也在本申请的保护范围之内。
下面对本申请实施例提供的数据监控装置进行描述,下文描述的数据监控装置与上文描述的数据监控方法可相互对应参照。
参见图8,图8为本申请实施例公开的一种数据监控装置结构示意图。
如图8所示,该装置包括:
类型确定单元81,用于确定所要检测的数据异常类型;
数据流量获取单元82,用于获取服务器向当前用户IP地址发送的数据流量;
解析单元83,用于按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合;
异常判断单元84,用于按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
可选的,在所述数据异常类型与所述决策树之间为一对一的关系时,所述数据监控装置还包括第一决策树建立单元,参见图9,图9为本申请实施例公开的另一种数据监控装置结构示意图。
结合图8和图9可知,数据监控装置还包括第一决策树建立单元85,其又可以分为:
分组单元851,用于依据预设分组策略,将预设的与所述数据异常类型对应的流量因子进行分组;
排序单元852,用于依据预设的排序策略,对每组内的若干个流量因子进行先后顺序排序;
阈值确定单元853,用于确定各组内流量因子的异常判断阈值;
转换单元854,用于将各个组确定为决策树中根节点的不同分支,其中,按照流量因子的先后顺序,分别将各分支中流量因子的阈值判断过程作为各分支中从上至下的若干个节点,每个节点在阈值判断异常时才执行下一节点的阈值判断过程,否则进入该节点的另一子节点,执行结束操作,直至各分支最后一个节点判断超过阈值时,确定数据流量满足所述数据异常类型。
可选的,在所述数据异常类型与所述决策树之间为多对一的关系时,还包括第二决策树建立单元。参见图10,图10为本申请实施例公开的又一种数据监控装置结构示意图。
结合图9和图10可知,数据监控装置还包括第二决策树建立单元86,其包括:
子树建立单元861,用于按照数据异常类型与决策树之间是一对一的关系,针对多个数据异常类型中的每一个数据异常类型建立决策树,得到若干个子决策树;
组合单元862,用于将所有的子决策树组合为一个总决策树。
可选的,图11示例了本申请实施例公开的类型确定单元的一种可选结构,如图11所示,类型确定单元81包括:
第一类型确定子单元811,用于将用户指定的若干个数据异常类型确定为所要检测的数据异常类型;
第二类型确定子单元812,用于将所有预先存储的数据异常类型均确定为所要检测的数据异常类型;
第三类型确定子单元813,用于判断预设历史时间内确定的各个数据异常类型的比例,将其中比例最大的数据异常类型确定为所要检测的数据异常类型。
其中,在所述类型确定单元81确定的所述数据异常类型为SYNFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和SYN包速率;在所述类型确定单元81确定的所述数据异常类型为GETFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和HTTPGet请求速率。
本申请实施例提供的数据监控装置,首先确定所要检测的数据异常类型,然后依据预设的与该数据异常类型对应的决策树,对获取到的服务器向用户IP地址发送的数据流量进行解析,获取与所述数据异常类型对应的流量因子,最后按照预设的与数据异常类型对应的决策树,对所述流量因子进行异常判断,确定当前数据流量是否为所述数据异常类型的异常攻击。其中,预先建立的决策树规定了数据异常类型所对应的流量因子组合、组合中各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。本申请的监控装置,综合考虑了与所要检测的数据异常类型相关联的多个流量因子,使得最终检测结果更加准确,并且最终能够确定异常攻击的具体类型。
本申请实施例还提供一种服务器,该服务器能够进行数据业务的监控,如平板电脑,笔记本电脑等;该服务器可以包括上述所述的数据监控装置,对于数据监控过程的描述可参照上文对应部分描述,此处不再赘述。
下面对本申请实施例提供的服务器的硬件结构进行描述,下文描述中涉及数据监控的部分可参照上文对应部分描述。图12为本申请实施例提供的服务器的硬件结构示意图,参照图12,该服务器可以包括:
处理器1,通信接口2,存储器3,通信总线4,和显示屏5;
其中处理器1、通信接口2、存储器3和显示屏5通过通信总线4完成相互间的通信;
可选的,通信接口2可以为通信模块的接口,如GSM模块的接口;
处理器1,用于执行程序;
存储器3,用于存放程序;
程序可以包括程序代码,所述程序代码包括处理器的操作指令。
处理器1可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecificIntegratedCircuit),或者是被配置成实施本申请实施例的一个或多个集成电路。
存储器3可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
其中,程序可具体用于:
确定所要检测的数据异常类型;
获取服务器向当前用户IP地址发送的数据流量;
按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合;
按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种数据监控方法,其特征在于,包括:
确定所要检测的数据异常类型;
获取服务器向当前用户IP地址发送的数据流量;
按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合;
按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
2.根据权利要求1所述的数据监控方法,其特征在于,在所述数据异常类型与所述决策树之间为一对一的关系时,所述决策树的建立过程包括:
依据预设分组策略,将预设的与所述数据异常类型对应的流量因子进行分组;
依据预设的排序策略,对每组内的若干个流量因子进行先后顺序排序;
确定各组内流量因子的异常判断阈值;
将各个组确定为决策树中根节点的不同分支,其中,按照流量因子的先后顺序,分别将各分支中流量因子的阈值判断过程作为各分支中从上至下的若干个节点,每个节点在阈值判断异常时才执行下一节点的阈值判断过程,否则进入该节点的另一子节点,执行结束操作,直至各分支最后一个节点判断超过阈值时,确定数据流量满足所述数据异常类型。
3.根据权利要求2所述的数据监控方法,其特征在于,在所述数据异常类型与所述决策树之间为多对一的关系时,所述决策树的建立过程包括:
按照数据异常类型与决策树之间是一对一的关系,针对多个数据异常类型中的每一个数据异常类型建立决策树,得到若干个子决策树;
将所有的子决策树组合为一个总决策树。
4.根据权利要求1所述的数据监控方法,其特征在于,所述确定所要检测的数据异常类型,包括:
将用户指定的若干个数据异常类型确定为所要检测的数据异常类型;
或者,
将所有预先存储的数据异常类型均确定为所要检测的数据异常类型;
或者,
判断预设历史时间内确定的各个数据异常类型的比例,将其中比例最大的数据异常类型确定为所要检测的数据异常类型。
5.根据权利要求1所述的数据监控方法,其特征在于,所述决策树还规定了所述数据流量所在的业务的当前活动状态对所述数据异常类型确定的影响。
6.根据权利要求1所述的数据监控方法,其特征在于,在所述数据异常类型为SYNFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和SYN包速率;
在所述数据异常类型为GETFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和HTTPGet请求速率。
7.一种数据监控装置,其特征在于,包括:
类型确定单元,用于确定所要检测的数据异常类型;
数据流量获取单元,用于获取服务器向当前用户IP地址发送的数据流量;
解析单元,用于按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合;
异常判断单元,用于按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
8.根据权利要求7所述的数据监控装置,其特征在于,在所述数据异常类型与所述决策树之间为一对一的关系时,还包括第一决策树建立单元,其包括:
分组单元,用于依据预设分组策略,将预设的与所述数据异常类型对应的流量因子进行分组;
排序单元,用于依据预设的排序策略,对每组内的若干个流量因子进行先后顺序排序;
阈值确定单元,用于确定各组内流量因子的异常判断阈值;
转换单元,用于将各个组确定为决策树中根节点的不同分支,其中,按照流量因子的先后顺序,分别将各分支中流量因子的阈值判断过程作为各分支中从上至下的若干个节点,每个节点在阈值判断异常时才执行下一节点的阈值判断过程,否则进入该节点的另一子节点,执行结束操作,直至各分支最后一个节点判断超过阈值时,确定数据流量满足所述数据异常类型。
9.根据权利要求8所述的数据监控装置,其特征在于,在所述数据异常类型与所述决策树之间为多对一的关系时,还包括第二决策树建立单元,其包括:
子树建立单元,用于按照数据异常类型与决策树之间是一对一的关系,针对多个数据异常类型中的每一个数据异常类型建立决策树,得到若干个子决策树;
组合单元,用于将所有的子决策树组合为一个总决策树。
10.根据权利要求7所述的数据监控装置,其特征在于,所述类型确定单元包括:
第一类型确定子单元,用于将用户指定的若干个数据异常类型确定为所要检测的数据异常类型;
第二类型确定子单元,用于将所有预先存储的数据异常类型均确定为所要检测的数据异常类型;
第三类型确定子单元,用于判断预设历史时间内确定的各个数据异常类型的比例,将其中比例最大的数据异常类型确定为所要检测的数据异常类型。
11.根据权利要求7所述的数据监控装置,其特征在于,在所述类型确定单元确定的所述数据异常类型为SYNFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和SYN包速率;
在所述类型确定单元确定的所述数据异常类型为GETFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和HTTPGet请求速率。
12.一种服务器,其特征在于,包括权利要求7-11任意一项所述的数据监控装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410509945.6A CN105530138B (zh) | 2014-09-28 | 2014-09-28 | 一种数据监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410509945.6A CN105530138B (zh) | 2014-09-28 | 2014-09-28 | 一种数据监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105530138A true CN105530138A (zh) | 2016-04-27 |
| CN105530138B CN105530138B (zh) | 2021-06-11 |
Family
ID=55772142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410509945.6A Active CN105530138B (zh) | 2014-09-28 | 2014-09-28 | 一种数据监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105530138B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107016507A (zh) * | 2017-04-07 | 2017-08-04 | 国网技术学院 | 基于数据挖掘技术的电网故障追踪方法 |
| CN107733907A (zh) * | 2017-10-25 | 2018-02-23 | 国家电网公司 | 动态防护方法与装置 |
| CN107797869A (zh) * | 2017-11-07 | 2018-03-13 | 携程旅游网络技术(上海)有限公司 | 数据流风险控制方法、装置、电子设备、存储介质 |
| CN109784370A (zh) * | 2018-12-14 | 2019-05-21 | 中国平安财产保险股份有限公司 | 基于决策树的数据地图生成方法、装置和计算机设备 |
| CN110162422A (zh) * | 2019-04-30 | 2019-08-23 | 阿里巴巴集团控股有限公司 | 一种基于决策树的问题定位方法和装置 |
| CN110417672A (zh) * | 2019-08-01 | 2019-11-05 | 北京三快在线科技有限公司 | 限流方法及装置 |
| CN110532266A (zh) * | 2019-08-28 | 2019-12-03 | 京东数字科技控股有限公司 | 一种数据处理的方法和装置 |
| CN111367874A (zh) * | 2020-02-28 | 2020-07-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种日志处理方法、装置、介质和设备 |
| CN111683020A (zh) * | 2020-06-05 | 2020-09-18 | 中国人民解放军63920部队 | 多种链路层协议混合流量的控制方法及装置 |
| CN112099983A (zh) * | 2020-09-22 | 2020-12-18 | 北京知道创宇信息技术股份有限公司 | 服务异常处理方法、装置、电子设备和计算机可读存储介质 |
| CN113179221A (zh) * | 2021-06-30 | 2021-07-27 | 北京浩瀚深度信息技术股份有限公司 | 一种互联网流量的控制方法及系统 |
| CN117081858A (zh) * | 2023-10-16 | 2023-11-17 | 山东省计算中心(国家超级计算济南中心) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997007A (zh) * | 2006-09-30 | 2007-07-11 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
| US20070214504A1 (en) * | 2004-03-30 | 2007-09-13 | Paolo Milani Comparetti | Method And System For Network Intrusion Detection, Related Network And Computer Program Product |
| CN101399672A (zh) * | 2008-10-17 | 2009-04-01 | 章毅 | 一种多神经网络融合的入侵检测方法 |
| CN102201065A (zh) * | 2011-05-16 | 2011-09-28 | 天津大学 | 基于轨迹分析的监控视频异常事件检测方法 |
| US20120096551A1 (en) * | 2010-10-13 | 2012-04-19 | National Taiwan University Of Science And Technology | Intrusion detecting system and method for establishing classifying rules thereof |
| CN103107902A (zh) * | 2011-11-14 | 2013-05-15 | 无锡南理工科技发展有限公司 | 基于决策树的攻击检测系统 |
| US20130291108A1 (en) * | 2012-04-26 | 2013-10-31 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining |
-
2014
- 2014-09-28 CN CN201410509945.6A patent/CN105530138B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070214504A1 (en) * | 2004-03-30 | 2007-09-13 | Paolo Milani Comparetti | Method And System For Network Intrusion Detection, Related Network And Computer Program Product |
| CN1997007A (zh) * | 2006-09-30 | 2007-07-11 | 华为技术有限公司 | 一种实现业务感知的系统、方法及设备 |
| CN101399672A (zh) * | 2008-10-17 | 2009-04-01 | 章毅 | 一种多神经网络融合的入侵检测方法 |
| US20120096551A1 (en) * | 2010-10-13 | 2012-04-19 | National Taiwan University Of Science And Technology | Intrusion detecting system and method for establishing classifying rules thereof |
| CN102201065A (zh) * | 2011-05-16 | 2011-09-28 | 天津大学 | 基于轨迹分析的监控视频异常事件检测方法 |
| CN103107902A (zh) * | 2011-11-14 | 2013-05-15 | 无锡南理工科技发展有限公司 | 基于决策树的攻击检测系统 |
| US20130291108A1 (en) * | 2012-04-26 | 2013-10-31 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107016507A (zh) * | 2017-04-07 | 2017-08-04 | 国网技术学院 | 基于数据挖掘技术的电网故障追踪方法 |
| CN107733907A (zh) * | 2017-10-25 | 2018-02-23 | 国家电网公司 | 动态防护方法与装置 |
| CN107797869A (zh) * | 2017-11-07 | 2018-03-13 | 携程旅游网络技术(上海)有限公司 | 数据流风险控制方法、装置、电子设备、存储介质 |
| CN109784370A (zh) * | 2018-12-14 | 2019-05-21 | 中国平安财产保险股份有限公司 | 基于决策树的数据地图生成方法、装置和计算机设备 |
| CN109784370B (zh) * | 2018-12-14 | 2024-05-10 | 中国平安财产保险股份有限公司 | 基于决策树的数据地图生成方法、装置和计算机设备 |
| CN110162422A (zh) * | 2019-04-30 | 2019-08-23 | 阿里巴巴集团控股有限公司 | 一种基于决策树的问题定位方法和装置 |
| CN110417672B (zh) * | 2019-08-01 | 2021-08-13 | 北京三快在线科技有限公司 | 限流方法及装置 |
| CN110417672A (zh) * | 2019-08-01 | 2019-11-05 | 北京三快在线科技有限公司 | 限流方法及装置 |
| CN110532266A (zh) * | 2019-08-28 | 2019-12-03 | 京东数字科技控股有限公司 | 一种数据处理的方法和装置 |
| CN111367874A (zh) * | 2020-02-28 | 2020-07-03 | 北京神州绿盟信息安全科技股份有限公司 | 一种日志处理方法、装置、介质和设备 |
| CN111367874B (zh) * | 2020-02-28 | 2023-11-14 | 绿盟科技集团股份有限公司 | 一种日志处理方法、装置、介质和设备 |
| CN111683020A (zh) * | 2020-06-05 | 2020-09-18 | 中国人民解放军63920部队 | 多种链路层协议混合流量的控制方法及装置 |
| CN111683020B (zh) * | 2020-06-05 | 2023-11-03 | 中国人民解放军63920部队 | 多种链路层协议混合流量的控制方法及装置 |
| CN112099983A (zh) * | 2020-09-22 | 2020-12-18 | 北京知道创宇信息技术股份有限公司 | 服务异常处理方法、装置、电子设备和计算机可读存储介质 |
| CN113179221A (zh) * | 2021-06-30 | 2021-07-27 | 北京浩瀚深度信息技术股份有限公司 | 一种互联网流量的控制方法及系统 |
| CN117081858A (zh) * | 2023-10-16 | 2023-11-17 | 山东省计算中心(国家超级计算济南中心) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 |
| CN117081858B (zh) * | 2023-10-16 | 2024-01-19 | 山东省计算中心(国家超级计算济南中心) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105530138B (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105530138B (zh) | 一种数据监控方法及装置 | |
| KR20200033092A (ko) | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 | |
| US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| US20150009840A1 (en) | Packet time stamp processing methods, systems, and apparatus | |
| JP2017539039A5 (zh) | ||
| US7903657B2 (en) | Method for classifying applications and detecting network abnormality by statistical information of packets and apparatus therefor | |
| CN109889547A (zh) | 一种异常网络设备的检测方法及装置 | |
| CN110808994B (zh) | 暴力破解操作的检测方法、装置及服务器 | |
| EP3591910B1 (en) | Monitoring device, monitoring method and monitoring program | |
| CN108650218A (zh) | 网络流量监测方法、装置、计算机设备及存储介质 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| CN112887274A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| US20190319923A1 (en) | Network data control method, system and security protection device | |
| CN108718298A (zh) | 一种恶意外连流量检测方法及装置 | |
| CN111092900A (zh) | 服务器异常连接和扫描行为的监控方法和装置 | |
| US20150101043A1 (en) | Application Identification And Dynamic Signature Generation For Managing Network Communications | |
| CN111224980A (zh) | 拒绝服务攻击的检测方法、装置、电子设备和介质 | |
| CN114465710A (zh) | 一种基于流量的漏洞检测方法、装置、设备及存储介质 | |
| JP6317685B2 (ja) | 通信監視システム、通信監視方法およびプログラム | |
| JP2017147558A (ja) | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 | |
| CN107360196B (zh) | 攻击检测方法、装置及终端设备 | |
| US9992073B2 (en) | Network status measuring system and a method for measuring status of a network | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN106817268B (zh) | 一种ddos攻击的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |