CN109936487A - 一种网络广播包的实时分析与监测方法及系统 - Google Patents
一种网络广播包的实时分析与监测方法及系统 Download PDFInfo
- Publication number
- CN109936487A CN109936487A CN201910318380.6A CN201910318380A CN109936487A CN 109936487 A CN109936487 A CN 109936487A CN 201910318380 A CN201910318380 A CN 201910318380A CN 109936487 A CN109936487 A CN 109936487A
- Authority
- CN
- China
- Prior art keywords
- broadcast packet
- broadcast
- network
- data
- binomial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明本发明提供的一种网络广播包的实时分析与监测方法,该方法包括如下步骤:A、采集网络中广播包的历史数据,根据二项式定理中的最小二乘法的原理进行二项式曲线拟合,从而得到网络中不同时间段广播包应该所具有的正常范围;B、实时获取到的广播包数量与二项式拟合线进行比较,偏离步骤A获得网络中不同时间段广播包应该所具有的正常范围,即可判断广播报数量异常,即将产生广播风暴。本发明克服了广播包数据异常需要事先设置阈值,同时由于阈值的不准确造成误报的缺陷。
Description
技术领域
本发明属于网络技术领域,具体为一种网络广播包的实时分析与监测方法及系统。
背景技术
广播包是主机之间“一对所有”的通讯模式,网络对其中每一台主机发出的信号都进行无条件复制并转发,所有主机都可以接收到所有信息。由于其特有属性,在网络协议中得到广泛使用,例如ARP协议通过广播包技术获取主机的MAC地址。但是当广播数据过多,充斥网络无法处理,并占用大量网络带宽时,导致正常业务不能运行,甚至彻底瘫痪,这就发生了“广播风暴”。“广播风暴”是黑客和网络病毒常用的一种攻击手段,是网络管理中需要重点防范和治理工作。以往当网络发生堵塞甚至瘫痪,再检查广播包的数量来判断是否发生广播风暴,或者在网络监控系统中设置广播包数量的阈值,当超过阈值时就认为发生广播风暴。但是由于网络规模和网络应用各不相同,广播包阈值没有统一标准,往往会造成很多误报,无法准确预测广播风暴是否发生。
发明内容
第一方面,本发明提供一种网络广播包的实时分析与监测方法,采用二项式对网络广播包进行实时分析与监测,判断广播包数量是否超越历史数据的正常范围,预测是否会发生广播风暴,从而为管理员及时采取措施控制广播包提供依据,以提高网络性能,增强网络管理能力。
本发明提供的一种网络广播包的实时分析与监测方法,该方法包括如下步骤:A、采集网络中广播包的历史数据,根据二项式定理中的最小二乘法的原理进行二项式曲线拟合,从而得到网络中不同时间段广播包应该所具有的正常范围;B、实时获取到的广播包数量与二项式拟合线进行比较,偏离步骤A获得网络中不同时间段广播包应该所具有的正常范围,即可判断广播报数量异常,即将产生广播风暴。
在本发明一个优选实施方式中,该方法包括如下步骤:
1)获取网络中广播包,并按每五分钟为一个时间单元进行广播包数据统计,每天288个数据采集点,广播包数量值分别为y1,y2,...,y288;
2)对每个yi,采集90天的数据yi,1,yi,2,...,yi,90,并求均值:
3)令x1,x2,...,x288={1,2,...,288},对:
进行二项式线形回归计算,求出:a0,...,a25,并求得{yi}的近似值:
4)如果回归系数服从正态分布,则拟合成功,并以作为yi正常取值范围;
5)广播包数量在yi的取值范围内则定义为广播包正常,否则定位为广播包异常;
6)对当前广播包数量进行拟合线比对,根据广播包数量的异常与否判断网络的性能状态,当广播包数量超出正常范围,表示广播包增加,容易形成广播风暴,产生性能事件并进行性能告警。
本发明采用二项式提供了一种对网络广播包异常检测方法,它根据采集到的网络中广播包的历史数据,通过二项式定理中的最小二乘法的原理计算得出二项式曲线拟合,得到网络中不同时间段广播包应该所具有的正常范围,然后将实时获取到的广播包数量与二项式拟合线进行比较,偏离超过范围,即可判断广播报数量异常,即将产生广播风暴。本发明克服了广播包数据异常需要事先设置阈值,同时由于阈值的不准确造成误报的缺陷。
第二方面,本发明提供一种网络广播包的实时分析与监测系统,该系统包括:
广播包采集子系统,其包括网络数据采集模块、广播包统计模块和广播包数据存储模块,网络数据采集模块定期采集网络中的流量数据,通过广播包统计模块对网络数据中的广播包进行统计,并将广播包统计数据存储在广播包数据存储模块中;
广播包分析子系统,其包括广播包二项式计算模块以及拟合线偏离度计算模块,所述的二项式计算模块对统计的广播包数据进行二项式计算处理,并通过拟合线偏离度计算模块计算广播包数量的拟合线偏离范围;
广播包预警子系统,其包括偏离度判断模块以及广播包事件预警模块,偏离度判断模块负责判断实时获取的广播包数据的是否处于拟合线偏离范围,如果偏离了正常范围,通过广播包事件预警模块产生预警事件。
第三方面,本发明提供一种网络广播包的实时分析与监测设备,该设备包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述所述的分析与监测方法。
第四方面,本发明提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行执行上述所述的分析与监测方法。
本发明的基于二项式的广播包检测方法,通过网络抓包方式获取网络数据,从中得到广播包数量,对采集到的每个时段的广播包进行统计,并进行二线式拟合线计算,得到每个时间段广播包数量的正常范围,对当前广播包数量进行拟合线比对,得出广播包数量是否正常的结论,该指标反映网络的传输状态,可得到网络性能异常告警。
与现有技术相比,本发明具有以下有益效果:
1.本发明克服了广播包数据异常需要事先设置阈值,同时由于阈值的不准确造成误报的缺陷。
2.广播风暴对网络的性能状态有很大的影响,广播包数量越多,越对网络性能造成影响,本发明通过二项式拟合计算,能快速实时分析广播包的异常状态,及时发现广播风暴,避免网络性能下降提供直观、简单的判断依据。
附图说明
图1为本发明的框架结构图;
图2为本发明的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图2所示,本发明提供一种网络广播包的实时分析与监测方法,该方法包括如下步骤:
1)通过网络镜像技术从网络中获取网络流量数据;
2)从网络流量数据中提取广播包,并按每五分钟为一个时间单元进行广播包数据统计,每天288个数据采集点,广播包数量值分别为y1,y2,...,y288;
3)对每个yi,采集90天的数据yi,1,yi,2,...,yi,90,并求均值:
4)令x1,x2,...,x288={1,2,...,288},对:进行二项式线形回归计算,求出:a0,...,a25,并求得{yi}的近似值:
5)如果回归系数R2服从正态分布,则拟合成功,并以作为yi正常取值范围;
6)广播包数量在yi的取值范围内则定义为广播包正常,否则定位为广播包异常;
7)对当前广播包数量进行拟合线比对,根据广播包数量的异常与否判断网络的性能状态;
8)当广播包数量超出正常范围,表示广播包增加,容易形成广播风暴,产生性能事件并进行性能告警。
在本发明其中一个实施例中,所述二项式正常取值范围:则广播包数量在该范围内,表示广播包正常,如果超过此范围,尤其是超过上限1.3倍,表示网络广播包数量恶化,产生性能事件并进行性能告警。
不同的网络规模二项式正常取值范围不同,大型网络取值范围为3倍,中型网络取值范围为2倍,小型网络取值范围为1.3倍。
基于以上监测方法,本发明还提供一种网络广播包的实时分析与监测系统,如图1所示,本发明的网络广播包的实时分析与监测系统1包括广播包采集子系统、广播包分析子系统、广播包预警子系统,
在广播包采集子系统2中进行广播包数据采集与分析,其包括网络数据采集模块3、广播包统计模块4和广播包数据存储模块5,广播包检测子系统中的网络数据采集模块3定期采集网络中的流量数据,通过广播包统计模块4对网络数据中的广播包进行统计,并将将广播包统计数据存储在广播包数据存储模块5中。
广播包分析子系统6负责对广播数据进行分析计算,其包括广播包二项式计算模块7以及拟合线偏离度计算模,8,通过广播包二项式计算模块7对广播包数据进行二项式计算处理,并通过拟合线偏离度计算模块8计算广播包数量的偏离范围。
广播包预警子系统9对网络中的广播包数量是否异常进行监控与告警,包括偏离度判断模块10以及广播包事件预警模块11,偏离度判断模块10负责判断广播包数据的是否处于合线偏离度范围,如果偏离了正常范围,通过广播包事件预警模块11产生预警事件,通知网络管理人员进行进一步分析与处理。
在本发明其中一个实施例中,提供一种网络广播包的实时分析与监测设备,该设备包括至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述所述的分析与监测方法。
在本发明另一个实施例中,提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行执行上述所述的分析与监测方法。
本说明书中所描述的以上内容仅仅是对本发明所作的举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离本发明说明书的内容或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (5)
1.一种网络广播包的实时分析与监测方法,其特征在于:该方法包括如下步骤:A、采集网络中广播包的历史数据,根据二项式定理中的最小二乘法的原理进行二项式曲线拟合,从而得到网络中不同时间段广播包应该所具有的正常范围;B、实时获取到的广播包数量与二项式拟合线进行比较,偏离步骤A获得网络中不同时间段广播包应该所具有的正常范围,即可判断广播报数量异常,即将产生广播风暴。
2.根据权利要求1所述的网络广播包的实时分析与监测方法,其特征在于:该方法包括如下步骤:
1)获取网络中广播包,并按每五分钟为一个时间单元进行广播包数据统计,每天288个数据采集点,广播包数量值分别为y1,y2,...,y288;
2)对每个yi,采集90天的数据yi,1,yi,2,...,yi,90,并求均值:
3)令x1,x2,...,x288={1,2,...,288},对:
进行二项式线形回归计算,求出:a0,...,a25,并求得{yi}的近似值:
4)如果回归系数服从正态分布,则拟合成功,并以作为yi正常取值范围;
5)广播包数量在yi的取值范围内则定义为广播包正常,否则定位为广播包异常;
6)对当前广播包数量进行拟合线比对,根据广播包数量的异常与否判断网络的性能状态,当广播包数量超出正常范围,表示广播包增加,容易形成广播风暴,产生性能事件并进行性能告警。
3.一种网络广播包的实时分析与监测系统,其特征在于:该系统包括:
广播包采集子系统,其包括网络数据采集模块、广播包统计模块和广播包数据存储模块,网络数据采集模块定期采集网络中的流量数据,通过广播包统计模块对网络数据中的广播包进行统计,并将广播包统计数据存储在广播包数据存储模块中;
广播包分析子系统,其包括广播包二项式计算模块以及拟合线偏离度计算模块,所述的二项式计算模块对统计的广播包数据进行二项式计算处理,并通过拟合线偏离度计算模块计算广播包数量的拟合线偏离范围;
广播包预警子系统,其包括偏离度判断模块以及广播包事件预警模块,偏离度判断模块负责判断实时获取的广播包数据的是否处于拟合线偏离范围,如果偏离了正常范围,通过广播包事件预警模块产生预警事件。
4.一种网络广播包的实时分析与监测设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1或2所述的方法。
5.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如如权利要求1或2所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910318380.6A CN109936487A (zh) | 2019-04-19 | 2019-04-19 | 一种网络广播包的实时分析与监测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910318380.6A CN109936487A (zh) | 2019-04-19 | 2019-04-19 | 一种网络广播包的实时分析与监测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109936487A true CN109936487A (zh) | 2019-06-25 |
Family
ID=66990434
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910318380.6A Pending CN109936487A (zh) | 2019-04-19 | 2019-04-19 | 一种网络广播包的实时分析与监测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109936487A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110798259A (zh) * | 2019-11-04 | 2020-02-14 | 山东超越数控电子股份有限公司 | 一种基于光模块的广播风暴抑制方法及装置 |
CN111464492A (zh) * | 2020-02-24 | 2020-07-28 | 北京龙鼎源科技股份有限公司 | 抑制网络风暴的控制方法和装置,存储介质及处理器 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101494567A (zh) * | 2008-08-29 | 2009-07-29 | 北京理工大学 | 一种基于负载预测的分布式拒绝服务攻击检测方法 |
CN101826996A (zh) * | 2010-03-19 | 2010-09-08 | 中国科学院计算机网络信息中心 | 域名系统流量检测方法与域名服务器 |
CN101895446A (zh) * | 2010-08-11 | 2010-11-24 | 广东省电力调度中心 | 广播风暴的检测方法与装置 |
CN102014031A (zh) * | 2010-12-31 | 2011-04-13 | 湖南神州祥网科技有限公司 | 一种网络流量异常检测方法及系统 |
CN105516206A (zh) * | 2016-01-28 | 2016-04-20 | 西南大学 | 基于偏最小二乘的网络入侵检测方法及系统 |
CN106027288A (zh) * | 2016-05-10 | 2016-10-12 | 华北电力大学 | 一种配电线路信息监测业务通信流量预测方法 |
CN106685749A (zh) * | 2015-11-09 | 2017-05-17 | 北京国双科技有限公司 | 网络流量的检验方法和装置 |
CN107196823A (zh) * | 2017-06-08 | 2017-09-22 | 全球能源互联网研究院 | 一种基于iec61850芯片的网络风暴抑制装置及其方法 |
CN109542740A (zh) * | 2017-09-22 | 2019-03-29 | 阿里巴巴集团控股有限公司 | 异常检测方法及装置 |
-
2019
- 2019-04-19 CN CN201910318380.6A patent/CN109936487A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101494567A (zh) * | 2008-08-29 | 2009-07-29 | 北京理工大学 | 一种基于负载预测的分布式拒绝服务攻击检测方法 |
CN101826996A (zh) * | 2010-03-19 | 2010-09-08 | 中国科学院计算机网络信息中心 | 域名系统流量检测方法与域名服务器 |
CN101895446A (zh) * | 2010-08-11 | 2010-11-24 | 广东省电力调度中心 | 广播风暴的检测方法与装置 |
CN102014031A (zh) * | 2010-12-31 | 2011-04-13 | 湖南神州祥网科技有限公司 | 一种网络流量异常检测方法及系统 |
CN106685749A (zh) * | 2015-11-09 | 2017-05-17 | 北京国双科技有限公司 | 网络流量的检验方法和装置 |
CN105516206A (zh) * | 2016-01-28 | 2016-04-20 | 西南大学 | 基于偏最小二乘的网络入侵检测方法及系统 |
CN106027288A (zh) * | 2016-05-10 | 2016-10-12 | 华北电力大学 | 一种配电线路信息监测业务通信流量预测方法 |
CN107196823A (zh) * | 2017-06-08 | 2017-09-22 | 全球能源互联网研究院 | 一种基于iec61850芯片的网络风暴抑制装置及其方法 |
CN109542740A (zh) * | 2017-09-22 | 2019-03-29 | 阿里巴巴集团控股有限公司 | 异常检测方法及装置 |
Non-Patent Citations (3)
Title |
---|
吕军晖: "一种基于时间序列的自适应网络异常检测算法", 《北京航空航天大学学报》 * |
张尚剑: "用滑动窗多项式拟合法实时", 《光电工程》 * |
韩玲: "实时网络流量监测系统的研究与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110798259A (zh) * | 2019-11-04 | 2020-02-14 | 山东超越数控电子股份有限公司 | 一种基于光模块的广播风暴抑制方法及装置 |
CN111464492A (zh) * | 2020-02-24 | 2020-07-28 | 北京龙鼎源科技股份有限公司 | 抑制网络风暴的控制方法和装置,存储介质及处理器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105429977B (zh) | 基于信息熵度量的深度包检测设备异常流量监控方法 | |
CN108123849B (zh) | 检测网络流量的阈值的确定方法、装置、设备及存储介质 | |
CN100356729C (zh) | 监控网络业务性能的方法及系统 | |
US9015312B2 (en) | Network management system and method for identifying and accessing quality of service issues within a communications network | |
WO2020215721A1 (zh) | 一种激光雷达的寿命预测方法 | |
CN106656627A (zh) | 一种基于业务的性能监控和故障定位的方法 | |
CN106899448B (zh) | 适用于网络状态及性能测量的一体化动态赋权评估方法 | |
CN107888441A (zh) | 一种网络流量基线自学习自适应方法 | |
CN103580905B (zh) | 一种流量预测方法、系统及流量监测方法、系统 | |
CN103532776A (zh) | 业务流量检测方法及系统 | |
CN103532940A (zh) | 网络安全检测方法及装置 | |
CN106330624B (zh) | 一种电力信息网络流量异常检测方法 | |
CN114689994A (zh) | 一种输送电线路故障在线定位监测系统和方法 | |
CN113542017A (zh) | 基于网络拓扑和多指标的一种网络故障定位方法 | |
CN109936487A (zh) | 一种网络广播包的实时分析与监测方法及系统 | |
CN107404471A (zh) | 一种基于admm算法网络流量异常检测方法 | |
CN109360415A (zh) | 一种道路交通流异常数据识别方法 | |
CN113271224A (zh) | 节点的定位方法、装置、存储介质及电子装置 | |
CN105634796A (zh) | 一种网络设备故障预测及诊断方法 | |
CN116628774A (zh) | 一种基于云计算的数据存储完整性监管系统 | |
CN108809706B (zh) | 一种变电站的网络风险监测系统 | |
CN109408386A (zh) | 一种软件老化流式监测系统及其监测方法 | |
CN108803545A (zh) | 多参数联合分析报警方法及系统 | |
CN101345656B (zh) | 全局故障率测量方法 | |
CN115150248B (zh) | 网络流量异常检测方法、装置、电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190625 |
|
RJ01 | Rejection of invention patent application after publication |