CN108924127B - 一种流量基线的生成方法和装置 - Google Patents

一种流量基线的生成方法和装置 Download PDF

Info

Publication number
CN108924127B
CN108924127B CN201810699714.4A CN201810699714A CN108924127B CN 108924127 B CN108924127 B CN 108924127B CN 201810699714 A CN201810699714 A CN 201810699714A CN 108924127 B CN108924127 B CN 108924127B
Authority
CN
China
Prior art keywords
flow
parameter
value
predicted
baseline
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810699714.4A
Other languages
English (en)
Other versions
CN108924127A (zh
Inventor
顾成杰
孙松儿
张力
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN201810699714.4A priority Critical patent/CN108924127B/zh
Publication of CN108924127A publication Critical patent/CN108924127A/zh
Application granted granted Critical
Publication of CN108924127B publication Critical patent/CN108924127B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种流量基线的生成方法和装置,可以获取预设历史时刻多类流量参数的参数值,根据预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在预设历史时刻对应的将来时刻的预测参数值,将多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到将来时刻的预测流量值,根据多个不同时刻的预测流量值,生成流量基线。基于上述处理,利用参数值预测模型可以得到将来时刻多类流量参数的预测参数值,并根据流量值预测模型得到预测流量值,进而生成流量基线,而不是仅根据历史流量值的平均值计算流量阈值,能够提高流量基线的有效性。

Description

一种流量基线的生成方法和装置
技术领域
本申请涉及计算机网络技术领域,特别是涉及一种流量基线的生成方法和装置。
背景技术
随着计算机网络技术的快速发展,计算机网络安全越来越受到人们的高度重视。网络设备(例如服务器)会受到计算机病毒、黑客攻击等网络攻击。网络攻击通常会导致网络设备的流量异常,例如,当发生DDOS(Distributed Denial Of Service,分布式拒绝服务)攻击时,服务器的流量值会大幅度增高,服务器的流量值可以为某一时间段内服务器收发的所有业务报文的字节的数目。因此,为了确保网络设备的正常运行,需要对网络设备的流量值进行监控。
现有技术中,通常采用设定流量基线的方法对网络设备的流量值进行监控,流量基线由各将来时刻的流量阈值组成。当达到某一将来时刻时,如果该将来时刻的真实流量值达到流量基线中该将来时刻的流量阈值,则网络设备可以确认流量异常,并发出异常警告。现有的流量基线的生成方法包括:将各历史时刻的流量值的平均值乘以预设权值,得到与各历史时刻对应的将来时刻的流量阈值,然后,根据多个将来时刻的流量阈值,生成流量基线。例如,可以将第一天9点、第二天9点和第三天9点的流量值的平均值乘以2,将乘积作为第四天9点对应的流量阈值,然后,根据第四天多个时刻的流量阈值,生成第四天的流量基线。具体的,网络设备可以将某一时刻之前距离该时刻最近的预设时长内的流量值,作为该时刻的流量值。例如,网络设备可以将8点55分至9点的流量值,作为9点的流量值。
由以上可见,现有技术中,只根据历史时刻的流量值的平均值,以及预设权值预测将来时刻的流量阈值,导致生成的流量基线的有效性低。
发明内容
本申请实施例的目的在于提供一种流量基线的生成方法、装置、电子设备和机器可读存储介质,可以提高流量基线的有效性。具体技术方案如下:
第一方面,为了达到上述目的,本发明实施例公开了一种流量基线的生成方法,所述方法包括:
获取预设历史时刻多类流量参数的参数值;
根据所述预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值,其中,所述参数值预测模型为根据该类流量参数的历史时刻的参数值对第一预设回归模型进行训练得到的;
将所述多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到所述将来时刻的预测流量值,其中,所述流量值预测模型包括根据所述多类流量参数历史时刻的参数值和对应的流量值对第二预设回归模型进行训练得到的每一类流量参数的权值;
根据多个不同时刻的预测流量值,生成流量基线。
可选的,所述根据多个不同时刻的预测流量值,生成流量基线,包括:
计算多个不同时刻的预测流量值和预设上限权值的乘积,根据计算得到的各乘积,得到上限流量基线,其中,所述上限流量基线用于监控流量的上限;
和/或,
计算多个不同时刻的预测流量值和预设下限权值的乘积,根据计算得到的各乘积,得到下限流量基线,其中,所述预设下限权值小于所述预设上限权值,所述下限流量基线用于监控流量的下限。
可选的,所述方法还包括:
获取真实流量值;
如果第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值,则发出第一警告消息,其中,所述第一警告消息中包含有所述第一时刻的真实流量值。
可选的,在所述得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值之后,所述方法还包括:
根据该类流量参数多个不同时刻的预测参数值,生成该类流量参数的流量参数基线。
可选的,如果所述第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值之后,还包括:
获取各类流量参数在所述第一时刻的真实参数值和预测参数值;
在各类流量参数中,确定在所述第一时刻的真实参数值与预测参数值的差值大于预设参数阈值的目标流量参数;
如果存在目标流量参数类型,则发出第二警告消息,其中,所述第二警告消息用于通知所述流量异常与所述目标流量参数类型存在关联。
可选的,所述多类流量参数包括以下流量参数的任意组合:上行流量值、下行流量值、报文中数据段的字节个数、总报文个数、总连接个数、新建连接个数、加密流量值、因特网控制报文协议ICMP报文个数、用户数据报协议UDP报文个数、域名系统DNS报文个数、超文本传输协议HTTP报文个数、传输控制协议TCP标志位为确认字符ACK的报文个数、TCP标志位为同步SYN和ACK的报文个数、TCP标志位为重置连接RST的报文个数和TCP标志位为SYN的报文个数。
第二方面,为达到上述目的,本发明实施例还公开了一种流量基线的生成装置,所述装置包括:
获取模块,用于获取预设历史时刻多类流量参数的参数值;
第一处理模块,用于根据所述预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值,其中,所述参数值预测模型为根据该类流量参数的历史时刻的参数值对第一预设回归模型进行训练得到的;
第二处理模块,用于将所述多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到所述将来时刻的预测流量值,其中,所述流量值预测模型包括根据所述多类流量参数历史时刻的参数值和对应的流量值对第二预设回归模型进行训练得到的每一类流量参数的权值;
生成模块,用于根据多个不同时刻的预测流量值,生成流量基线。
可选的,所述生成模块,具体用于计算多个不同时刻的预测流量值和预设上限权值的乘积,根据计算得到的各乘积,得到上限流量基线,其中,所述上限流量基线用于监控流量的上限;
和/或,
计算多个不同时刻的预测流量值和预设下限权值的乘积,根据计算得到的各乘积,得到下限流量基线,其中,所述预设下限权值小于所述预设上限权值,所述下限流量基线用于监控流量的下限。
可选的,所述装置还包括:
第三处理模块,用于获取真实流量值;
如果第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值,则发出第一警告消息,其中,所述第一警告消息中包含有所述第一时刻的真实流量值。
可选的,所述第一处理模块,还用于根据该类流量参数多个不同时刻的预测参数值,生成该类流量参数的流量参数基线。
可选的,所述第三处理模块,还用于获取各类流量参数在所述第一时刻的真实参数值和预测参数值;
在各类流量参数中,确定在所述第一时刻的真实参数值与预测参数值的差值大于预设参数阈值的目标流量参数;
如果存在目标流量参数类型,则发出第二警告消息,其中,所述第二警告消息用于通知所述流量异常与所述目标流量参数类型存在关联。
可选的,所述多类流量参数包括以下流量参数的任意组合:上行流量值、下行流量值、报文中数据段的字节个数、总报文个数、总连接个数、新建连接个数、加密流量值、因特网控制报文协议ICMP报文个数、用户数据报协议UDP报文个数、域名系统DNS报文个数、超文本传输协议HTTP报文个数、传输控制协议TCP标志位为确认字符ACK的报文个数、TCP标志位为同步SYN和ACK的报文个数、TCP标志位为重置连接RST的报文个数和TCP标志位为SYN的报文个数。
第三方面,为达到上述目的,本发明实施例还公开了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现第一方面所述的方法步骤。
第四方面,为达到上述目的,本发明实施例还公开了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现第一方面所述的方法步骤。
本申请实施例提供的一种流量基线的生成方法和装置,可以获取预设历史时刻多类流量参数的参数值,根据预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在预设历史时刻对应的将来时刻的预测参数值,将多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到将来时刻的预测流量值,根据多个不同时刻的预测流量值,生成流量基线。基于上述处理,利用参数值预测模型可以得到将来时刻多类流量参数的预测参数值,并根据流量值预测模型得到预测流量值,进而生成流量基线,而不是仅根据历史流量值的平均值计算流量阈值,能够提高流量基线的有效性。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种生成流量基线的方法的总的示意图;
图2为本发明实施例提供的一种流量基线的生成方法的流程图;
图3为本发明实施例提供的一种流量基线的生成方法的示例的流程图;
图4为本发明实施例提供的一种流量基线的生成装置的结构图;
图5为本发明实施例提供的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本发明实施例提供了一种流量基线的生成方法和装置,可以应用于网络设备,该网络设备可以是服务器、防火墙设备、路由器或其他网关设备。如果网络设备不是服务器,则网络设备可以与业务服务器进行数据通信,以获取业务服务器的流量信息。本发明例以该方法应用于管理服务器为例进行说明,其他情况与之类似。
参见图1,图1为本发明实施例提供的一种生成流量基线的方法的总的示意图。其中,管理服务器可以获取包括总连接个数、新建连接个数、加密流量值和总报文个数的多类流量参数历史时刻的参数值。根据每一类流量参数历史时刻的参数值,管理服务器可以得到该类流量参数在历史时刻对应的将来时刻的参数值(预测参数值),然后,管理服务器可以根据多类流量参数的预测参数值,利用第二预设回归模型,(图1中以第二预设回归模型为随机森林模型为例),得到将来时刻的流量值(预测流量值),进行可以根据多个时刻的预测流量值,生成流量基线。
具体的,参见图2,图2为本发明实施例提供的一种流量基线的生成方法的流程图,该方法可以包括以下步骤。
S201:获取预设历史时刻多类流量参数的参数值。
其中,流量参数为能够反应流量值的大小的参数,可以是与服务器收发业务报文相关的各参数,具体可以为,某一时间段内服务器的上行流量值、某一时间段内服务器的下行流量值、某一时间段内服务器的连接个数等。流量参数通常为与时间段对应的参数,因此,对于某一时刻来说,可以将该时刻之前距离该时刻最近的预设时长内某一类流量参数的参数值,作为该时刻该类流量参数的参数值。例如,可以将某一类流量参数8点55分至9点的参数值,作为该类流量参数在9点的参数值。
为了提高生成的流量基线的有效性,本实施例所提供的方法中,获取了多类流量参数的参数值。
预设历史时刻与需要生成流量基线的将来时刻相对应。例如,当需要生成第三天的流量基线时,管理服务器可以首先获取第一天和第二天的整点时刻多类流量参数的参数值,此时,预设历史时刻即为第一天和第二天的整点时刻,管理服务器可以根据第一天和第二天的整点时刻多类流量参数的参数值,生成第三天对应的整点时刻的预测流量值,进而生成第三天的流量基线。为了提高将来时刻的预测流量值的有效性,预设历史时刻通常为多个。管理服务器中可以配置有流量信息采集程序,用于采集流量信息。
流量信息可以包括:业务报文中携带的源IP(Internet Protocol,网络协议)地址、目的IP地址、源端口号、目的端口号和报文的协议类型。流量信息采集程序可以是NetFlow(网络流)流量信息采集程序、Net Stream(网络流)流量信息采集程序或现有技术中其他用于采集流量信息的程序。
在实施中,管理服务器可以调用本地的流量信息采集程序,实时地获取服务器的流量信息,并存储在本地。当需要生成流量基线时,管理服务器可以在本地的流量信息中进行查询,得到预设历史时刻的流量信息,进而根据预设历史时刻的流量信息,得到预设历史时刻多类流量参数的参数值。
可选的,为了提高流量基线的有效性,多类流量参数可以包括以下流量参数的任意组合:上行流量值、下行流量值、报文中数据段的字节个数、总报文个数、总连接个数、新建连接个数、加密流量值、ICMP(Internet Control Me ssage Protocol,因特网控制报文协议)报文个数、UDP(User Datagram Prot ocol,用户数据报协议)报文个数、DNS(DomainName System,域名系统)报文个数、HTTP(Hyper Text Transfer Protocol,超文本传输协议)报文个数、TCP(Transmission Control Protocol,传输控制协议)标志位为ACK(Acknowledgement,确认字符)的报文个数、TCP标志位为SYN(Synchronous,同步)和ACK的报文个数、TCP标志位为RST(Reset The Connection,重置连接)的报文个数和TCP标志位为SYN的报文个数。
其中,上行流量值用于表示某时间段内服务器发送的所有业务报文的字节的数目;
下行流量值用于表示某时间段内服务器接收的所有业务报文的字节的数目;
报文中数据段的字节个数用于表示某时间段内服务器收发的所有业务报文中携带的数据段的字节的数目;
总报文个数用于表示某时间段内服务器收发的所有业务报文的数目;
总连接个数用于表示某时间段内服务器的连接的数目;
新建连接个数用于表示某时间段内服务器的新建的连接的数目;
加密流量值用于表示某时间段内服务器收发的所有加密业务报文的字节的数目;
ICMP报文个数用于表示某时间段内服务器收发的所有ICMP报文的数目;
UDP报文个数用于表示某时间段内服务器收发的所有UDP报文的数目;
DNS报文个数用于表示某时间段内服务器收发的所有DNS报文的数目;
HTTP报文个数用于表示某时间段内服务器收发的所有HTTP报文的数目;
TCP标志位为ACK的报文个数用于表示某时间段内服务器收发的所有TCP标志位为ACK的报文的数目;
TCP标志位为SYN和ACK的报文个数用于表示某时间段内服务器收发的所有TCP标志位同时包括SYN和ACK标志的报文的数目;
TCP标志位为RST的报文个数用于表示某时间段内服务器收发的所有TCP标志位为RST的报文的数目;
TCP标志位为SYN的报文个数用于表示某时间段内服务器收发的所有TCP标志位为SYN的报文的数目。
在实施中,管理服务器可以根据本地的流量信息,得到上述流量参数中任意组合的多类流量参数的参数值,以便进行后续处理。
S202:根据预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在预设历史时刻对应的将来时刻的预测参数值。
其中,每一类流量参数都对应有用于预测该类流量参数的参数值的参数值预测模型,参数值预测模型可以为根据该类流量参数的历史时刻的参数值对第一预设回归模型进行训练得到的,第一预设回归模型可以为随机森林模型、GBDT(Gradient BoostingDecision Tree,梯度提升树)模型或者现有技术中的其他回归模型。多类流量参数所分别采用的第一预设回归模型可以相同也可以不同。若多类流量参数均采用相同的回归预测模型,例如均采用了随机森林模型,但经过训练之后各流量参数所得到的参数值预测模型的回归系数可能是不同的。
针对某一类流量参数,历史时刻的选取可以根据待预测流量参数的将来时刻确定的。例如,针对某一类流量参数,待预测将来时刻为10月30日上午10点,则可以将10月29日上午10点、10月28日上午10点,10月29日上午9点、10月28日上午9点确定为预设的历史时刻,获取到上述四个历史时刻的该类流量参数的参数值,继而对10月30日上午10点的该类流量参数的参数值进行预测。
在实施中,针对每一类流量参数,管理服务器可以根据预设历史时刻该类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该流量参数在预设历史时刻对应的将来时刻的参数值(即预测参数值)。
可选的,针对某一类流量参数,还可以结合该类流量参数的参数值的变化趋势,对该类流量参数的参数值进行预测。具体的,预设历史时刻流量参数的参数值可以包括以下任意至少两种:某一历史时刻前一时刻对应的参数值、该历史时刻前两时刻对应的参数值、该历史时刻前三时刻对应的参数值、该历史时刻的前一天的同一时刻对应的参数值、该历史时刻的前两天的同一时刻对应的参数值、该历史时刻的前一周的同一时刻对应的参数值、该历史时刻的前两周的同一时刻对应的参数值、该历史时刻的前一月的同一时刻对应的参数值、该历史时刻参数值的同比增长率和该历史时刻参数值的环比增长率值。
这里的前一时刻、前两时刻、前三时刻之间的时间间隔可以根据实际需求进行选取。
其中,同比增长率可以是以日为周期进行计算得到的,也可以是以周为周期进行计算得到的,还可以是以月为周期进行计算得到的。管理服务器可以根据上述十种参数值对流量参数的参数值进行预测,具体的,管理服务器可以采用其中的任意多种参数值的组合进行预测。另外,可采用的参数值并不仅限于上述十种,也可以根据业务需求采取其他参数值。
需要说明的是,为了综合考虑流量的时间周期性,预设历史时刻与将来时刻的对应关系(可以称为第一对应关系),与对第一预设回归模型进行训练时采用的输入数据和输出数据的时刻的对应关系(可以称为第二对应关系)需要保持一致。
例如,某一类流量参数的参数值预测模型的训练数据包括:5月15日上午8点该类流量参数的参数值、5月14日上午9点该类流量参数的参数值、4月15日上午9点该类流量参数的参数值、5月15日上午9点相对于5月8日上午9点的该类流量参数同比增长率、5月15日上午9点相对于5月15日上午8点该类流量参数的环比增长率和6月15日上午9点该类流量参数的参数值。即可以采用上述多个时刻采集的参数值对参数值预测模型进行训练。
进一步的,如果管理服务器需要预测7月15日上午9点该类流量参数的参数值,则输入至训练好的参数值预测模型的数据包括:
6月15日上午8点该类流量参数的参数值、6月14日上午9点该类流量参数的参数值、5月15日上午9点该类流量参数的参数值、6月15日上午9点相对于6月8日上午9点的该类流量参数同比增长率和6月15日上午9点相对于6月15日上午8点该类流量参数的环比增长率。可选的,针对每一类流量参数,管理服务器可以分别生成各类流量参数对应的流量参数基线,用于对各类流量参数进行监控。举例来说,若多类流量参数分别为上行流量参数、下行流量参数和总报文个数,管理服务器则可以针对上行流量值生成有相应的上行流量参数基线,针对下行流量值也生成有相应的下行流量参数基线,对于总报文个数也生成有相应的总报文个数的参数基线。即对于每一类流量参数来说,在得到该类流量参数在预设历史时刻对应的将来时刻的预测参数值之后,该方法还可以包括以下处理步骤:
根据该类流量参数多个不同时刻的预测参数值,生成该类流量参数的流量参数基线。
具体的,管理服务器可以根据该类流量参数多个不同时刻的预测参数值进行曲线拟合,生成该类流量参数的流量参数基线,以对该类流量参数进行监控。
S203:将多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到将来时刻的预测流量值。
其中,流量值预测模型可以为根据此前获取的多类流量参数(获取流量的时刻可以称为第一历史时刻)的参数值和对应的流量值对第二预设回归模型行训练得到的,第一历史时刻可以为上述预设历史时刻,也可以包括其他历史时刻,即,在对第一预设回归模型进行训练时,可以采用预设历史时刻的多类流量参数进行训练,也可以采用在此前获取的其他时刻的多类流量参数对第一预设回归模型进行训练。流量值预测模型包括训练得到的每一类流量参数的权值,某一类流量参数的权值用于表示该类流量参数对于流量值的贡献度。
第二预设回归模型可以为随机森林模型、GBDT模型或者现有技术中的其他回归模型。
其中,可以获取多类流量参数历史时刻的时间序列数据以及与采集多类流量参数所对应时刻的真实流量值,对第二预设回归模型进行训练;
其中,多类流量参数的时间序列数据包括:X1=(x11,x21,x31.....xn1)T,X2=(x12,x22,x23.....xn2)T,X3=(x13,x23,x33.....xn3)T......,Xk=(x1k,x2k,x3k.....xnk)T,X为每一类流量参数,k用于区分不同类型的流量参数,n为采集流量参数所对应的离散时刻点的数量,T表示向量的转置。
与上述采集流量参数对应的时刻1采集的真实流量值为Y1,时刻2采集的真实流量值为Y2.....,时刻n采集的真实流量值为Yn
其中,每一类流量参数都对真实流量的产生做出贡献。因而可以利用多类流量参数与真实流量值对第二预设回归模型进行训练,多类流量参数作为第二预设回归模型的因变量,真实流量值作为自变量,确定出第二预设回归模型的模型参数(Z1、Z2、Z3......Zk),模型参数反映了各类流量参数对于真实流量的贡献度,可将模型参数进行归一化,从而得到每一类流量参数的权值。
其中,在对第二预设回归模型训练好之后,可以固定采用该训练好的模型。或者,可以间隔一定的时间用最新的流量数据重新训练第二预设回归模型。本实施例对于第二预设回归模型的训练方式、周期等不加以限定。
在实施中,针对某一将来时刻,管理服务器可以将计算得到的该将来时刻的多类流量参数的预测参数值,并输入至预先训练的流量值预测模型,得到该将来时刻的流量值(即预测流量值)。具体的,管理服务器可以根据每一类流量参数的权值,计算各类流量参数的预测参数值的加权和,将加权和作为预测流量值。管理服务器可以生成多个不同时刻的预测流量值。
S204:根据多个不同时刻的预测流量值,生成流量基线。
在实施中,在获取多个不同时刻的预测流量值后,管理服务器可以根据各预测流量值,生成流量基线。具体的,管理服务器可以根据多个不同时刻的预测流量值进行曲线拟合,生成流量基线。
可选的,管理服务器可以生成上限流量基线,用于监控流量的上限。具体的,步骤S204可以包括以下处理过程:计算多个不同时刻的预测流量值和预设上限权值的乘积;根据计算得到的各乘积,得到上限流量基线。
其中,预设上限权值可以由技术人员根据经验进行设置,上限流量基线用于监控流量的上限。预设上限权值大于1,通过设置预设上限权值,可以保证有一定的流量超出冗余,即当流量超过预测流量值时仍然不视为流量异常,只有超过预测流量值大于一定的预设量时,才产生告警。而这个预设量就是通过设置预设上限权值来实现的。
在实施中,根据步骤S201-步骤S203,管理服务器可以获取多个不同时刻的预测流量值,针对每一时刻的预测流量值,管理服务器可以计算该时刻的预测流量值与预设上限权值的乘积,作为上限流量基线中该时刻的流量阈值,然后,管理服务器可以根据多个不同时刻的流量阈值,生成上限流量基线,用于对流量的上限进行监控。
可选的,管理服务器还可以生成下限流量基线,用于监控流量的下限。具体的,步骤S204还可以包括以下处理过程:计算多个不同时刻的预测流量值和预设下限权值的乘积;根据计算得到的各乘积,得到下限流量基线。
其中,预设下限权值小于预设上限权值,预设下限权值可以由技术人员根据经验进行设置,一般来说小于1,下限流量基线用于监控流量的下限。
在实施中,服务器的流量异常也可以表现为服务器的流量值大幅度降低,因此,管理服务器在生成上限流量基线时,针对每一时刻的预测流量值,管理服务器还可以计算该时刻的预测流量值与预设下限权值的乘积,作为下限流量基线中该时刻的流量阈值,然后,管理服务器可以根据多个时刻的流量阈值,生成下限流量基线,用于对流量的下限进行监控。
可选的,当检测到流量异常时,管理服务器可以输出警告消息。具体的,该方法还可以包括以下步骤:获取真实流量值;如果第一时刻的真实流量值大于上限流量基线中第一时刻的流量阈值,或者,如果第一时刻的真实流量值小于下限流量基线中第一时刻的流量阈值,则发出第一警告消息。
其中,第一警告消息中可以包含有第一时刻的真实流量值。
在实施中,管理服务器可以实时地获取真实流量值,判断第一时刻的真实流量值,是否小于上限流量基线中第一时刻的流量阈值(可以称为上限流量阈值)。当管理服务器判定第一时刻的真实流量值大于或者等于第一时刻的上限流量阈值时,管理服务器可以发出包含有第一时刻的真实流量值和上限流量阈值的第一警告消息。具体的,管理服务器可以向显示装置发出告警信息,以使得显示装置显示告警信息;也可以以短信邮件等形式通知管理员。
当管理服务器判定第一时刻的真实流量值小于第一时刻的上限流量阈值时,管理服务器可以进一步判断第一时刻的真实流量值是否大于下限流量基线中第一时刻的流量阈值(可以称为下限流量阈值)。当管理服务器判定第一时刻的真实流量值小于或者等于第一时刻的下限流量阈值时,管理服务器可以发出包含有第一时刻的真实流量值和下限流量阈值的第一警告消息。
上述实施例中,管理服务器可以首先判断第一时刻的真实流量值与第一时刻的上限流量阈值的大小关系,也可以首先判断第一时刻的真实流量值与第一时刻的下限流量阈值的大小关系,本发明实施例对于上述判断顺序并不进行限定。
可选的,如果第一时刻的真实流量值大于上限流量基线中第一时刻的流量阈值,或者,如果第一时刻的真实流量值小于下限流量基线中第一时刻的流量阈值,则该方法还可以包括以下处理过程:获取各类流量参数在第一时刻的真实参数值和预测参数值;在各类流量参数中,确定在第一时刻真实参数值与预测参数值的差值大于预设参数阈值的目标流量参数;如果存在目标流量参数,则发出第二警告消息。
其中,第二警告消息用于通知流量异常与目标流量参数类型存在关联。第二警告消息中可以包含有第一时刻目标流量参数的真实参数值和预测参数值。预设参数阈值可以由技术人员根据经验进行设置,每一类流量参数都存在对应的预设参数阈值。
在根据流量基线确定出有真实流量值高出流量基线时,即在确定出产生第一告警消息时,可以根据各类流量参数的真实值与对应的流量参数基线之间的关系,预测出究竟是由哪类流量参数的异常引起的第一类告警。
具体的,管理服务器可以实时地获取每一类流量参数的真实参数值。针对每一类流量参数,管理服务器可以根据该类流量参数的流量参数基线,判断第一时刻该类流量参数的真实参数值与预测参数值的差值,是否小于预设参数阈值。当管理服务器判定第一时刻该类流量参数的真实参数值与预测参数值的差值,大于或者等于预设参数阈值时,管理服务器可以将该类流量参数确定为目标流量参数。管理服务器可以发出包含有第一时刻目标流量参数的真实参数值和预测参数值的第二警告消息。
参见图3,图3为本发明实施例提供的一种流量基线的生成方法的示例的流程图,该方法可以包括以下步骤。
S301:获取预设历史时刻多类流量参数的参数值。
S302:针对每一类流量参数,将该类流量参数在预设历史时刻的参数值,输入至预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在预设历史时刻对应的将来时刻的预测参数值。
S303:根据该类流量参数多个不同时刻的预测参数值,生成该类流量参数的流量参数基线。
S304:将多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到将来时刻的预测流量值。
S305:计算多个不同时刻的预测流量值和预设上限权值的乘积,根据计算得到的各乘积,得到上限流量基线,并计算多个不同时刻的预测流量值和预设下限权值的乘积,根据计算得到的各乘积,得到下限流量基线。
其中,预设下限权值小于预设上限权值,上限流量基线用于监控流量的上限,下限流量基线用于监控流量的下限。
S306:获取真实流量值。
S307:如果第一时刻的真实流量值大于上限流量基线中第一时刻的流量阈值,或者,如果第一时刻的真实流量值小于下限流量基线中第一时刻的流量阈值,则发出第一警告消息。
其中,第一警告消息中包含有第一时刻的真实流量值。
S308:获取各类流量参数在第一时刻的真实参数值和预测参数值。
S309:在各类流量参数中,确定在第一时刻的真实参数值与预测参数值的差值大于预设参数阈值的目标流量参数。
S3010:如果存在目标流量参数类型,则发出第二警告消息。
其中,第二警告消息用于通知流量异常与目标流量参数类型存在关联。
由以上可见,基于本发明实施例的流量基线的生成方法,可以获取预设历史时刻多类流量参数的参数值,根据预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在预设历史时刻对应的将来时刻的预测参数值,将多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到将来时刻的预测流量值,根据多个不同时刻的预测流量值,生成流量基线。基于上述处理,利用参数值预测模型可以得到将来时刻多类流量参数的预测参数值,并根据流量值预测模型得到预测流量值,进而生成流量基线,而不是仅根据历史流量值的平均值计算流量阈值,能够提高流量基线的有效性。
与图2的方法实施例相对应,参见图4,图4为本发明实施例提供的一种流量基线的生成装置的结构图,该装置可以包括:
获取模块401,用于获取预设历史时刻多类流量参数的参数值;
第一处理模块402,用于根据所述预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值,其中,所述参数值预测模型为根据该类流量参数的历史时刻的参数值对第一预设回归模型进行训练得到的;
第二处理模块403,用于将所述多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到所述将来时刻的预测流量值,其中,所述流量值预测模型包括根据所述多类流量参数历史时刻的参数值和对应的流量值对第二预设回归模型进行训练得到的每一类流量参数的权值;
生成模块404,用于根据多个不同时刻的预测流量值,生成流量基线。
可选的,所述生成模块404,具体用于计算多个不同时刻的预测流量值和预设上限权值的乘积,根据计算得到的各乘积,得到上限流量基线,其中,所述上限流量基线用于监控流量的上限;
和/或,
计算多个不同时刻的预测流量值和预设下限权值的乘积,根据计算得到的各乘积,得到下限流量基线,其中,所述预设下限权值小于所述预设上限权值,所述下限流量基线用于监控流量的下限。
可选的,所述装置还包括:
第三处理模块,用于获取真实流量值;
如果第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值,则发出第一警告消息,其中,所述第一警告消息中包含有所述第一时刻的真实流量值。
可选的,所述第一处理模块402,还用于根据该类流量参数多个不同时刻的预测参数值,生成该类流量参数的流量参数基线。
可选的,所述第三处理模块,还用于获取各类流量参数在所述第一时刻的真实参数值和预测参数值;
在各类流量参数中,确定在所述第一时刻的真实参数值与预测参数值的差值大于预设参数阈值的目标流量参数;
如果存在目标流量参数类型,则发出第二警告消息,其中,所述第二警告消息用于通知所述流量异常与所述目标流量参数类型存在关联。
可选的,所述多类流量参数包括以下流量参数的任意组合:上行流量值、下行流量值、报文中数据段的字节个数、总报文个数、总连接个数、新建连接个数、加密流量值、因特网控制报文协议ICMP报文个数、用户数据报协议UDP报文个数、域名系统DNS报文个数、超文本传输协议HTTP报文个数、传输控制协议TCP标志位为确认字符ACK的报文个数、TCP标志位为同步SYN和ACK的报文个数、TCP标志位为重置连接RST的报文个数和TCP标志位为SYN的报文个数。
由以上可见,基于本发明实施例的流量基线的生成装置,可以获取预设历史时刻多类流量参数的参数值,根据预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在预设历史时刻对应的将来时刻的预测参数值,将多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到将来时刻的预测流量值,根据多个不同时刻的预测流量值,生成流量基线。基于上述处理,利用参数值预测模型可以得到将来时刻多类流量参数的预测参数值,并根据流量值预测模型得到预测流量值,进而生成流量基线,而不是仅根据历史流量值的平均值计算流量阈值,能够提高流量基线的有效性。
本申请实施例还提供了一种电子设备,如图5所示,包括处理器501、通信接口502、存储器503和通信总线504,其中,处理器501,通信接口502,存储器503通过通信总线504完成相互间的通信,
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,以使电子设备执行如下步骤,该步骤包括:
获取预设历史时刻多类流量参数的参数值;
根据所述预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值,其中,所述参数值预测模型为根据该类流量参数的历史时刻的参数值对第一预设回归模型进行训练得到的;
将所述多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到所述将来时刻的预测流量值,其中,所述流量值预测模型包括根据所述多类流量参数历史时刻的参数值和对应的流量值对第二预设回归模型进行训练得到的每一类流量参数的权值;
根据多个不同时刻的预测流量值,生成流量基线。
可选的,所述根据多个不同时刻的预测流量值,生成流量基线,包括:
计算多个不同时刻的预测流量值和预设上限权值的乘积,根据计算得到的各乘积,得到上限流量基线,其中,所述上限流量基线用于监控流量的上限;
和/或,
计算多个不同时刻的预测流量值和预设下限权值的乘积,根据计算得到的各乘积,得到下限流量基线,其中,所述预设下限权值小于所述预设上限权值,所述下限流量基线用于监控流量的下限。
可选的,上述步骤还包括:
获取真实流量值;
如果第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值,则发出第一警告消息,其中,所述第一警告消息中包含有所述第一时刻的真实流量值。
可选的,在所述得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值之后,上述步骤还包括:
根据该类流量参数多个不同时刻的预测参数值,生成该类流量参数的流量参数基线。
可选的,如果所述第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值之后,上述步骤还包括:
获取各类流量参数在所述第一时刻的真实参数值和预测参数值;
在各类流量参数中,确定在所述第一时刻的真实参数值与预测参数值的差值大于预设参数阈值的目标流量参数;
如果存在目标流量参数类型,则发出第二警告消息,其中,所述第二警告消息用于通知所述流量异常与所述目标流量参数类型存在关联。
可选的,所述多类流量参数包括以下流量参数的任意组合:上行流量值、下行流量值、报文中数据段的字节个数、总报文个数、总连接个数、新建连接个数、加密流量值、因特网控制报文协议ICMP报文个数、用户数据报协议UDP报文个数、域名系统DNS报文个数、超文本传输协议HTTP报文个数、传输控制协议TCP标志位为确认字符ACK的报文个数、TCP标志位为同步SYN和ACK的报文个数、TCP标志位为重置连接RST的报文个数和TCP标志位为SYN的报文个数。
由以上可见,在本发明实施例中,可以获取预设历史时刻多类流量参数的参数值,根据预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在预设历史时刻对应的将来时刻的预测参数值,将多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到将来时刻的预测流量值,根据多个不同时刻的预测流量值,生成流量基线。基于上述处理,利用参数值预测模型可以得到将来时刻多类流量参数的预测参数值,并根据流量值预测模型得到预测流量值,进而生成流量基线,而不是仅根据历史流量值的平均值计算流量阈值,能够提高流量基线的有效性。
机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。

Claims (12)

1.一种流量基线的生成方法,其特征在于,所述方法包括:
获取预设历史时刻多类流量参数的参数值;
根据所述预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值,其中,所述参数值预测模型为根据该类流量参数的历史时刻的参数值对第一预设回归模型进行训练得到的;
将所述多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到所述将来时刻的预测流量值,其中,所述流量值预测模型包括根据所述多类流量参数历史时刻的参数值和对应的流量值对第二预设回归模型进行训练得到的每一类流量参数的权值;
根据多个不同时刻的预测流量值,生成流量基线。
2.根据权利要求1所述的方法,其特征在于,所述根据多个不同时刻的预测流量值,生成流量基线,包括:
计算多个不同时刻的预测流量值和预设上限权值的乘积,根据计算得到的各乘积,得到上限流量基线,其中,所述上限流量基线用于监控流量的上限;
和/或,
计算多个不同时刻的预测流量值和预设下限权值的乘积,根据计算得到的各乘积,得到下限流量基线,其中,所述预设下限权值小于所述预设上限权值,所述下限流量基线用于监控流量的下限。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
获取真实流量值;
如果第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值,则发出第一警告消息,其中,所述第一警告消息中包含有所述第一时刻的真实流量值。
4.根据权利要求1-3任一项所述的方法,其特征在于,在所述得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值之后,所述方法还包括:
根据该类流量参数多个不同时刻的预测参数值,生成该类流量参数的流量参数基线。
5.根据权利要求3所述的方法,其特征在于,如果所述第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值之后,还包括:
获取各类流量参数在所述第一时刻的真实参数值和预测参数值;
在各类流量参数中,确定在所述第一时刻的真实参数值与预测参数值的差值大于预设参数阈值的目标流量参数;
如果存在目标流量参数,则发出第二警告消息,其中,所述第二警告消息用于通知所述流量异常与所述目标流量参数类型存在关联。
6.根据权利要求1所述的方法,其特征在于,所述多类流量参数包括以下流量参数的任意组合:上行流量值、下行流量值、报文中数据段的字节个数、总报文个数、总连接个数、新建连接个数、加密流量值、因特网控制报文协议ICMP报文个数、用户数据报协议UDP报文个数、域名系统DNS报文个数、超文本传输协议HTTP报文个数、传输控制协议TCP标志位为确认字符ACK的报文个数、TCP标志位为同步SYN和ACK的报文个数、TCP标志位为重置连接RST的报文个数和TCP标志位为SYN的报文个数。
7.一种流量基线的生成装置,其特征在于,所述装置包括:
获取模块,用于获取预设历史时刻多类流量参数的参数值;
第一处理模块,用于根据所述预设历史时刻每一类流量参数的参数值和预先训练的该类流量参数对应的参数值预测模型,得到该类流量参数在所述预设历史时刻对应的将来时刻的预测参数值,其中,所述参数值预测模型为根据该类流量参数的历史时刻的参数值对第一预设回归模型进行训练得到的;
第二处理模块,用于将所述多类流量参数对应的预测参数值,输入至预先训练的流量值预测模型,得到所述将来时刻的预测流量值,其中,所述流量值预测模型包括根据所述多类流量参数历史时刻的参数值和对应的流量值对第二预设回归模型进行训练得到的每一类流量参数的权值;
生成模块,用于根据多个不同时刻的预测流量值,生成流量基线。
8.根据权利要求7所述的装置,其特征在于,所述生成模块,具体用于计算多个不同时刻的预测流量值和预设上限权值的乘积,根据计算得到的各乘积,得到上限流量基线,其中,所述上限流量基线用于监控流量的上限;
和/或,
计算多个不同时刻的预测流量值和预设下限权值的乘积,根据计算得到的各乘积,得到下限流量基线,其中,所述预设下限权值小于所述预设上限权值,所述下限流量基线用于监控流量的下限。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第三处理模块,用于获取真实流量值;
如果第一时刻的真实流量值大于所述上限流量基线中所述第一时刻的流量阈值,或者,如果所述第一时刻的真实流量值小于所述下限流量基线中所述第一时刻的流量阈值,则发出第一警告消息,其中,所述第一警告消息中包含有所述第一时刻的真实流量值。
10.根据权利要求7-9任一项所述的装置,其特征在于,所述第一处理模块,还用于根据该类流量参数多个不同时刻的预测参数值,生成该类流量参数的流量参数基线。
11.根据权利要求9所述的装置,其特征在于,所述第三处理模块,还用于获取各类流量参数在所述第一时刻的真实参数值和预测参数值;
在各类流量参数中,确定在所述第一时刻的真实参数值与预测参数值的差值大于预设参数阈值的目标流量参数;
如果存在目标流量参数类型,则发出第二警告消息,其中,所述第二警告消息用于通知所述流量异常与所述目标流量参数类型存在关联。
12.根据权利要求7所述的装置,其特征在于,所述多类流量参数包括以下流量参数的任意组合:上行流量值、下行流量值、报文中数据段的字节个数、总报文个数、总连接个数、新建连接个数、加密流量值、因特网控制报文协议ICMP报文个数、用户数据报协议UDP报文个数、域名系统DNS报文个数、超文本传输协议HTTP报文个数、传输控制协议TCP标志位为确认字符ACK的报文个数、TCP标志位为同步SYN和ACK的报文个数、TCP标志位为重置连接RST的报文个数和TCP标志位为SYN的报文个数。
CN201810699714.4A 2018-06-29 2018-06-29 一种流量基线的生成方法和装置 Active CN108924127B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810699714.4A CN108924127B (zh) 2018-06-29 2018-06-29 一种流量基线的生成方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810699714.4A CN108924127B (zh) 2018-06-29 2018-06-29 一种流量基线的生成方法和装置

Publications (2)

Publication Number Publication Date
CN108924127A CN108924127A (zh) 2018-11-30
CN108924127B true CN108924127B (zh) 2020-12-04

Family

ID=64423421

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810699714.4A Active CN108924127B (zh) 2018-06-29 2018-06-29 一种流量基线的生成方法和装置

Country Status (1)

Country Link
CN (1) CN108924127B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111294227A (zh) * 2018-12-10 2020-06-16 中国移动通信集团四川有限公司 基于神经网络的流量预测的方法、装置、设备和介质
CN117896250A (zh) * 2019-09-17 2024-04-16 华为技术有限公司 网络参数配置方法、装置、计算机设备以及存储介质
CN111262750B (zh) * 2020-01-09 2021-08-27 中国银联股份有限公司 一种用于评估基线模型的方法及系统
CN111277459A (zh) * 2020-01-16 2020-06-12 新华三信息安全技术有限公司 一种设备异常检测方法、装置和机器可读存储介质
CN113595959B (zh) * 2020-04-30 2023-04-18 海信集团有限公司 网络流量数据的处理方法及服务器
CN114584476A (zh) * 2020-11-17 2022-06-03 中国移动通信有限公司研究院 一种流量预测方法、网络训练方法、装置及电子设备
CN114172708A (zh) * 2021-11-30 2022-03-11 北京天一恩华科技股份有限公司 网络流量异常的识别方法
CN115277713B (zh) * 2022-07-27 2024-06-18 京东科技信息技术有限公司 负载均衡方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741847A (zh) * 2009-12-22 2010-06-16 北京锐安科技有限公司 一种ddos攻击检测方法
CN102111307A (zh) * 2009-12-29 2011-06-29 亿阳信通股份有限公司 网络风险监控方法和装置
CN104348811A (zh) * 2013-08-05 2015-02-11 深圳市腾讯计算机系统有限公司 分布式拒绝服务攻击检测方法及装置
CN107070683A (zh) * 2016-12-12 2017-08-18 国网北京市电力公司 数据预测的方法和装置
CN107864155A (zh) * 2017-12-12 2018-03-30 蔡昌菊 一种高准确率的ddos攻击检测方法
CN107959640A (zh) * 2016-10-14 2018-04-24 腾讯科技(深圳)有限公司 网络业务调度方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101519623B1 (ko) * 2010-12-13 2015-05-12 한국전자통신연구원 오탐률을 줄이기 위한 분산 서비스 거부 공격 탐지 장치 및 방법, 분산 서비스 거부 공격 탐지 및 방어 장치

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741847A (zh) * 2009-12-22 2010-06-16 北京锐安科技有限公司 一种ddos攻击检测方法
CN102111307A (zh) * 2009-12-29 2011-06-29 亿阳信通股份有限公司 网络风险监控方法和装置
CN104348811A (zh) * 2013-08-05 2015-02-11 深圳市腾讯计算机系统有限公司 分布式拒绝服务攻击检测方法及装置
CN107959640A (zh) * 2016-10-14 2018-04-24 腾讯科技(深圳)有限公司 网络业务调度方法及装置
CN107070683A (zh) * 2016-12-12 2017-08-18 国网北京市电力公司 数据预测的方法和装置
CN107864155A (zh) * 2017-12-12 2018-03-30 蔡昌菊 一种高准确率的ddos攻击检测方法

Also Published As

Publication number Publication date
CN108924127A (zh) 2018-11-30

Similar Documents

Publication Publication Date Title
CN108924127B (zh) 一种流量基线的生成方法和装置
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
US10673877B2 (en) Method and apparatus for detecting port scans in a network
US11797671B2 (en) Cyberanalysis workflow acceleration
US8874763B2 (en) Methods, devices and computer program products for actionable alerting of malevolent network addresses based on generalized traffic anomaly analysis of IP address aggregates
US20060274659A1 (en) Method and system for generating synthetic digital network traffic
JP4232828B2 (ja) アプリケーション分類方法、ネットワーク異常検知方法、アプリケーション分類プログラム、ネットワーク異常検知プログラム、アプリケーション分類装置、ネットワーク異常検知装置
CN107404465A (zh) 网络数据分析方法及服务器
CN109617868B (zh) 一种ddos攻击的检测方法、装置及检测服务器
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
Osanaiye et al. Change-point cloud DDoS detection using packet inter-arrival time
JP4558668B2 (ja) ログ分析装置、ログ分析プログラム、および記録媒体
JP4500921B2 (ja) ログ分析装置、ログ分析方法およびログ分析プログラム
Queiroz et al. A probabilistic model to predict the survivability of SCADA systems
CN102209006B (zh) 规则测试设备及方法
Waagsnes et al. Intrusion Detection System Test Framework for SCADA Systems.
US20170346834A1 (en) Relating to the monitoring of network security
Gupta et al. On estimating strength of a DDoS attack using polynomial regression model
Xue et al. Bound maxima as a traffic feature under DDOS flood attacks
Lu et al. Network security situation awareness based on network simulation
Bhatia Detecting distributed denial-of-service attacks and flash events
RU2683631C1 (ru) Способ обнаружения компьютерных атак
Basicevic et al. The value of flow size distribution in entropy‐based detection of DoS attacks
Zhai et al. Detecting JitterBug covert timing channel with sparse embedding
CN113127855A (zh) 安全防护系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant