CN110266556A - 动态检测网络中的业务异常的方法和系统 - Google Patents
动态检测网络中的业务异常的方法和系统 Download PDFInfo
- Publication number
- CN110266556A CN110266556A CN201910417845.3A CN201910417845A CN110266556A CN 110266556 A CN110266556 A CN 110266556A CN 201910417845 A CN201910417845 A CN 201910417845A CN 110266556 A CN110266556 A CN 110266556A
- Authority
- CN
- China
- Prior art keywords
- business
- network
- stream
- monitoring
- business stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 100
- 238000001514 detection method Methods 0.000 title abstract description 57
- 238000012544 monitoring process Methods 0.000 claims abstract description 121
- 238000005070 sampling Methods 0.000 claims abstract description 64
- 230000002159 abnormal effect Effects 0.000 claims description 43
- 230000004044 response Effects 0.000 claims description 26
- 230000003321 amplification Effects 0.000 claims description 22
- 238000003199 nucleic acid amplification method Methods 0.000 claims description 22
- 230000006855 networking Effects 0.000 claims description 8
- 230000009467 reduction Effects 0.000 claims description 4
- 230000002776 aggregation Effects 0.000 abstract description 89
- 238000004220 aggregation Methods 0.000 abstract description 89
- 230000005856 abnormality Effects 0.000 description 34
- 230000008569 process Effects 0.000 description 24
- 238000009826 distribution Methods 0.000 description 23
- 230000006870 function Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 230000003044 adaptive effect Effects 0.000 description 6
- 238000007689 inspection Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 238000003860 storage Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000000116 mitigating effect Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 201000006549 dyspepsia Diseases 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000000855 fermentation Methods 0.000 description 1
- 230000004151 fermentation Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000000465 moulding Methods 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
- H04L43/024—Capturing of monitoring data by sampling by adaptive sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的名称是“动态检测网络中的业务异常的方法和系统”。公开在网络中实现的用于动态分配业务异常监测任务并且检测业务异常的方法。该方法收集作为业务聚集的大的业务流块的业务统计信息。基于业务聚集的业务统计信息,检测到业务异常。然后对于具有业务异常的业务聚集,增加的业务采样速率应用于业务聚集内的较小业务流集。如果较小业务流集不包含业务聚集的一定百分比的业务,采样速率进一步增加到甚至更小的业务流集直到小的业务流集识别为引起业务异常的业务流。
Description
本申请是申请号为201480037276.5、申请日为2014年3月31日、发明名称为“动态检测网络中的业务异常的方法和系统”的发明专利申请的分案申请。
技术领域
本发明的实施例涉及联网领域。更具体地,本发明的实施例涉及动态检测网络中的业务异常的方法和系统。
背景技术
在数据或计算网络中,业务异常检测是主要关注点。业务异常包括网络的业务水平中的不寻常和明显改变,其通常可以跨越多个链路和节点。诊断业务异常对于网络运营商和终端用户两者都是关键的。这因为必须从大量高维有噪数据(因为业务变化本质上是大的)提取并且解释异常模式而是困难的问题。
不管业务异常时有意还是无意的,理解网络中业务异常的本质由于至少两个原因而是重要的:
(a)业务异常可以在网络中形成拥挤并且给网络设备(例如,路由器或交换机)的资源利用施压,从而检测业务异常从操作角度来看是关键的;
(b)业务异常可以对客户或甚至最终用户产生巨大影响(例如,由于网络设备错配置引起的服务关闭),即使它不一定影响网络也如此。
诊断业务异常中的明显问题是它的形成和原因可能变化很大:从拒绝服务(DoS)攻击到路由器错配置、到网络设备策略修改(例如,边界网关协议(BGP)策略改变)的结果等。例如,DoS攻击在从一个或多个主机发送的大量业务消耗网络中的大量资源(例如链路或web服务器)时发生。该人为增加的高负载拒绝(防止)对该资源的合法用户的服务。尽管在该区域中有许多学术提议,现今的互联网仍很少有保护机制来防止这样的攻击。此外,分布式DoS攻击(DDoS)甚至更危险。DDoS攻击也可以以个体web服务器以外的网络基础设施为目标。
为了识别业务异常,网络和系统管理员开始部署自动化响应系统来寻找可能是攻击的异常行为。然而,这些自动化响应系统可难以部署,这部分因为缺乏来自商用路由器/交换机供应商的支持。它们通常也非常沉重,这意指它们需要在网络中捕捉大量业务并且从而对网络管理系统和网络本身都引入大的开销。需要更好的检测业务异常的方法。
发明内容
公开在网络中实现的用于动态分配业务异常监测任务的方法。该方法以将网络的业务流分成多个业务聚集开始,其中每个业务聚集包含一个或多个业务流,并且其中每个业务聚集是用于监测的第一组的条目。对于用于监测的第一组的每个条目,方法从网络的网络设备收集第二组一个或多个网络设备来监测条目,其中该第二组一个或多个网络设备处理条目内包含的业务流。它从第二组一个或多个网络设备选择一个网络设备来就业务异常监测条目,其中从第二组一个或多个网络设备选择一个网络设备至少部分基于网络设备的监测计数,其中网络设备的监测计数是指派网络设备来监测的用于监测的第一组的多个条目的计数。
公开在网络中实现的用于动态检测业务异常的方法。该方法以所选的网络设备以第一采样速率在用于监测的第一组的条目内对业务流采样而开始。它确定是否存在业务异常。响应于业务异常可能以高概率存在这一确定,方法使第一采样速率增加到第二采样速率、将用于监测的第一组的条目分成第一数量的较小组并且选择该第一数量的较小组的第一子集用于监测。然后方法继续以第二采样速率对第一数量的较小组的第一子集采样、确定第一数量的较小组的第一子集内的业务百分比未超出从业务分布计算的业务百分比阈值。响应于第一数量的较小组的第一子集内的业务百分比未超出业务百分比阈值这一确定,方法使第二采样速率增加到第三采样速率、将第一数量的较小组的第一子集分成第二数量的较小组以及选择该第二数量的较小组的第二子集用于监测。然后它以第三采样速率对第二数量的较小组的第二子集采样、确定第二数量的较小组的第二子集内的业务百分比超出业务百分比阈值。响应于第二数量的较小组的第二子集内的业务的百分比超出业务百分比阈值这一确定,它报告用于监测的第二数量的较小组的第二子集是异常业务流。
公开一种由网络服务提供商实现来检测网络中的业务异常的方法,其中网络包含网络设备,其中业务流通过网络的网络设备传输,方法包括以下操作:以一定采样速率对用于监测的第一组的条目内的业务流采样;确定是否存在业务异常;响应于确定存在业务异常,确定所采样业务流内的业务百分比不超出业务百分比阈值;响应于确定所采样业务流内的业务百分比不超出业务百分比阈值,执行以下中的至少一个:增加采样速率;以及减少用于监测的第一组的条目内的业务流数量;以由执行以下中的至少一个产生的采样速率对业务流采样:增加采样速率和减少用于监测的第一组的条目内的业务流数量;确定存在业务异常;响应于确定存在业务异常,确定所采样业务流内的业务百分比超出业务百分比阈值;以及响应于确定所采样业务流内的业务百分比超出业务百分比阈值来报告业务流是异常业务流。
公开一种网络中的网络设备,其中业务流通过网络的多个网络设备传输,网络设备包括:异常处理器,其包括:业务流接口,其配置成接收网络的流;业务流采样器,其配置成以一定采样速率对用于监测的第一组的条目内的接收的业务流采样;异常检测器,其配置成确定存在业务异常;业务放大模块,其配置成确定所采样业务流内的业务百分比是否超出业务百分比阈值,其中响应于确定所采样业务流内的业务百分比不超出业务百分比阈值,其中业务放大模块进一步配置成执行以下中的至少一个:增加采样速率;以及减少用于监测的第一组的条目内的业务流数量;并且其中响应于确定所采样业务流内的业务百分比超出业务百分比阈值,通知异常报告器;异常报告器,配置成响应于确定所采样业务流内的业务百分比超出业务百分比阈值来报告业务流是异常业务流;以及数据库,其配置成存储业务百分比阈值。
公开一种网络中的网络设备,网络设备是遵循对于软件定义的联网(SDN)的标准的网络的控制器,其中业务流通过网络的多个网络设备传输,网络设备包括:异常处理器,其包括:业务流接口,其配置成接收网络的流;业务流采样器,其配置成以一定采样速率对用于监测的第一组的条目内的接收的业务流采样;异常检测器,其配置成确定存在业务异常;业务放大模块,其配置成确定所采样业务流内的业务百分比是否超出业务百分比阈值,其中响应于确定所采样业务流内的业务百分比不超出业务百分比阈值,其中业务放大模块进一步配置成执行以下中的至少一个:增加采样速率;以及减少用于监测的第一组的条目内的业务流数量;并且其中响应于确定所采样业务流内的业务百分比超出业务百分比阈值,通知异常报告器;异常报告器配置成响应于确定所采样业务流内的业务百分比超出业务百分比阈值来报告业务流是异常业务流;以及数据库,其配置成存储业务百分比阈值。
附图说明
本发明通过示例而不是限制的方式在附图(其中类似的引用指示相似的元件)的图中图示。应注意在该说明书中对“一个”实施例的不同引用不一定指相同的实施例,并且这样的引用意指至少一个。此外,在连同实施例描述特定特征、结构或特性时,认为连同其他无论是否明确描述的实施例实现这样的特征、结构或特性,这在本领域内技术人员的知识内。
图1是图示根据本发明的一个实施例使用动态异常检测的网络的框图。
图2是图示根据本发明的一个实施例使用动态异常检测的SDN网络的框图。
图3A-D图示根据本发明的一个实施例在网络设备之间共享对于异常检测的负载的方法。
图4是图示根据本发明的一个实施例在网络设备之间共享对于异常检测的负载的方法的流程图。
图5是图示根据本发明的一个实施例在SDN网络的SDN交换机之间共享对于异常检测的负载的方法的伪代码程序。
图6是图示根据本发明的一个实施例的异常监测的动态放大的流程图。
图7是图示根据本发明的一个实施例对于SDN网络的异常检测的放大方法的伪代码程序。
图8是图示根据本发明的一个实施例包含处理器(其实现分配业务流的方法)的网络设备的框图。
图9是图示根据本发明的一个实施例包含处理器(其对于异常检测实现放大的方法)的网络设备的框图。
具体实施方式
在下列描述中,阐述许多具体细节。然而,理解本发明的实施例可在没有这些具体细节的情况下实践。在其他实例中,未详细示出众所周知的电路、结构和技术以便不使该描述难以理解。然而,本领域内技术人员将意识到本发明可在没有这样的具体细节的情况下实践。本领域内普通技术人员将能够实现适当的功能性而没有过度实验。
在说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用指示描述的实施例可包括特定特征、结构或特性,但每个实施例可不一定包括该特定特征、结构或特性。此外,这样的短语不一定都指相同的实施例。此外,当特定特征、结构或特性连同实施例描述时,认为连同其他无论是否明确描述的实施例实现这样的特征、结构或特性,这在本领域内技术人员的知识内。
在下列描述和权利要求中,可使用术语“耦合”和“连接”连同它们的派生词。要理解这些术语不规定为是彼此的同义词。“耦合”用于指示彼此可或可不直接物理或电接触的两个或以上的元件彼此共同操作或相互作用。“连接”用于指示彼此耦合的两个或以上的元件之间的通信的建立。
如本文使用的,网络设备(例如,路由器或交换机)是联网设备件,其包括使网络上的其他设备(例如,其他网络设备、端系统)通信互连的硬件和软件。一些网络设备是“多个服务网络设备”,其提供对多个联网功能(例如,路由、桥接、VLAN(虚拟LAN)、交换、层2聚集、会话边界控制、服务质量和/或订户管理)的支持,和/或提供对多个应用服务(例如,数据、语音和视频)的支持。订户端系统(例如,服务器、工作站、便携式电脑、笔记本、掌上电脑、移动电话、智能电话、多媒体电话、互联网协议(VOIP)电话、用户设备、终端、便携式媒体播放器、GPS单元、游戏系统、机顶盒)访问通过互联网提供的内容/服务和/或在互联网上覆盖(例如,遂穿通过网络)的虚拟专用网(VPN)上提供的内容/服务。内容和/或服务典型地由属于服务或内容提供商的一个或多个端系统(例如,服务器端系统)或参与对等服务的端系统提供,并且可包括例如公共网页(例如,免费内容、店面、搜索服务)、私人网页(例如,提供电子邮件服务的用户名/密码访问的网页)和/或通过VPN的企业网。典型地,订户端系统耦合于(例如,通过耦合于接入网络(有线或无线)的客户端设备)边缘网络设备,其耦合于(例如,通过一个或多个核心网络设备)其他边缘网络设备,这些其他边缘网络设备耦合于其他端系统(例如,服务器端系统)。网络设备一般通过它的媒体访问(MAC)地址、互联网协议(IP)地址/子网络、网络套接字/端口和/或上层OSI层标识符来识别。
预防和异常检测
互联网模型的不太有利的方面是连接到互联网的网络的接收器可无法控制代表它们消耗的资源:主机可以接收重复包流,而不管是否期望该包流。解决该弱点的一个方法是网络使通信局限于之前建立的模式,例如通过给予合法主机离线验证器,其准许它们与特定目的地通信。该方法未保护公共服务器,其一般不能在通信之前对合法发送者设置离线验证器。
另一个方法是通过分离客户端和服务器地址空间而使主机通信模式局限于仅仅客户端-服务器。提出的“默认关闭”法在精神上与方法相似。网络不允许任意两个主机在默认情况下通信,除非目的地明确请求从发送者接收。两个技术方案都使DoS攻击局限于私人端主机,但需要额外机制来保护开放的公共服务器。
除识别和防止DoS之外,通用业务异常检测对于网络管理是重要的。在现有技术中,基于规则的或统计技术用于将业务模式归类为友好或恶意的。现有异常检测方案对单个时间系列业务(例如从网络链路测量并且独立于网络中的其他链路上的业务)起作用。从而,这些技术在单个业务时间序列内利用时间模式来暴露异常。
这些现有的异常检测方法具有至少几个缺陷:
(a)现有异常检测机制一般在商用异常检测盒中实现,其使多个复杂功能性集成。从而,取得商用异常检测盒和操作它的成本通常是高的。
(b)因为商用异常检测盒通常对于网络运营商是黑盒,它缺乏可编程性。商用异常检测盒通常由第三方商业公司开发。它与其他网络设备分离,并且它典型地就近供应、难以编程和配置。在大部分异常检测算法中,某些阈值用于将攻击业务模式与正常业务区分开。这些阈值通常从网络业务分布得到,其应在不同网络环境下调谐。利用黑盒,难以动态调整阈值。同样,频繁生成异常和恶意DoS攻击的新的变化,并且黑盒可不能及时更新来检测异常和攻击的较新变化。
(c)商用异常检测盒通常位于网络的一个位点中,从而收集大量业务统计信息。独立盒典型地使用基于业务分接的方法来搜集网络状态和业务统计信息。它对网络生成额外开销。
(d)现有异常检测机制难以集成异常检测和减轻。在现有方法中,一旦由异常检测引擎发起警报,网络运营商需要通过手动配置网络(例如重新路由、入口过滤或业务成型)来作出反应。人为干预不灵活、缓慢且昂贵。
网络配置和操作
本发明的实施例公开仅通过使用商业网络设备来检测业务异常的轻量化方法。方法是可扩展的并且可以在大型网络中使用。方法也是通用的并且可以应用于具有集中异常检测管理器的任何网络。在一个实施例中,方法首先收集粗粒业务统计信息。然后,基于该粗粒信息,它自适应地缩小至业务流的子集并且密切监测可能攻击。因为本发明的实施例基于进行中的业务特性来检测业务异常,它们在本文称为“动态随机检测”或“动态检测业务异常”方法。
图1是图示根据本发明的一个实施例使用动态异常检测的网络的框图。网络100包含网络管理器152。网络管理器152可以是网络管理系统(NMS)、元件管理系统(EMS)或网络100的其他集中网络管理器。网络100还包含用于网络业务转发/处理的网络设备A-G。网络设备A-G可以是路由器、交换机或如上文描述的其他联网设备。在一个实施例中,网络管理器152与一个网络设备集成,例如引用154处的网络设备A。也就是说,网络管理器152可不是网络100中的独立实体,并且一些网络设备可执行网络管理器152的功能性。
任务盒1至2图示根据本发明的一个实施例执行操作所采用的顺序。在任务盒1处,网络管理器152使业务流监测功能分配到多个网络设备。网络管理器152感知网络100内的业务流,并且它知道特定业务流的路由。对于业务承载网络,业务流很多,并且监测/检测异常是计算非常密集型的。业务聚集是共享一些共同特性的业务流集,例如相同源地址或目的地址块、端口号块、业务类型(例如,相同服务质量(QoS)要求)或其他业务特性。
在该示例中,业务聚集102是共享经过网络设备B-C-D-E的相同路由的多个业务流。双向业务聚集在网络设备B和E处到达和离开网络100,从而网络设备B和E可称为“入口”网络设备。在一个实施例中,网络管理器152仅识别入口网络设备B和E并且使监测功能分配到入口网络设备B和E。在备选实施例中,网络管理器152进一步使监测功能沿业务聚集102的路径分配到其他网络设备。随着网络管理器在多个网络设备之间分配监测功能,由监测功能引起的工作负载在指定网络设备上减少。
在任务盒2处,所选的用于监测特定业务聚集的网络设备(在示例中是网络设备C)然后监测业务聚集(业务聚集102)并且自适应对业务聚集内的业务流采样来检测异常。所选的网络设备可通过识别与业务聚集102的正常业务分配的偏差来检测业务异常。一旦检测到业务异常,网络设备C则通过使采样速率增加和/或聚焦在异常业务聚集内的业务流的特定子集上而进一步更密切地对业务聚集102采样直到网络设备C识别包含异常的一个或多个业务流。也就是说,异常的检测是自适应过程,其从业务聚集102的粗粒业务统计信息开始,并且自适应地缩小至异常业务聚集内的业务流的子集直到识别具有异常业务聚集的小的异常业务流集。
分配和过滤方法旨在高效地动态检测业务异常同时不在网络和个体网络设备上引入太多工作负载。网络管理器152处的分配基于网络管理器152感知网络100内的业务流,从而它可以使业务监测功能性高效分配到各种网络设备而未使网络100内的一些网络设备负担过重。
网络设备以仅监测指派的业务聚集(从而滤除其他业务聚集)开始。它然后搜索并且检测与指派的业务聚集的正常模式的偏差。一旦检测到偏差,网络设备缩小至仅过滤和挑选指派的业务聚集的子集用于异常检测。过程持续直到网络设备找到业务聚集内的一个或多个业务流集使得该一个或多个业务流集包含业务聚集内超出阈值的一定百分比业务。在一个实施例中,网络设备通知网络管理器152重新分配业务聚集内的未选择业务流以用于异常检测。网络管理器152然后通过考虑留在每个网络设备上的监测能力来使未选择的业务流重新分配到另一个网络设备以用于监测。利用业务聚集在多个网络设备之间的动态分配,每个网络设备的异常检测任务未负担过重,并且方法可以扩展成在具有几百、几千或更多网络设备的大型网络中实现。
一些当前接口可用于在现有网络中实现动态异常检测方法。例如,IETF(互联网工程化任务组)IPFIX(IP流信息输出)工作组定义一组接口来将IP流信息从路由器、交换机输出到网络管理系统以用于性能监测和计费/计价目的。它规定IP流信息被格式化并且从输出者变换成收集者。
IETF IPFIX工作组定义信息模型和IPFIX协议。更具体地,在网络中,计量过程收集观察点处的数据包。该计量过程可以执行简单的过滤和聚集任务,以便减少传输的数据量。使用IPFIX协议,输出者向收集者发送信息。在网络中可以存在多个输出者和多个收集者。每个输出者可以与多个收集者通信并且反之亦然。
动态异常检测方法可使用IPFIX协议来收集IP流信息、过滤IP流并且使其聚集以用于异常检测。根据实现,在使用IPFIX协议时,网络管理器和网络设备可以是收集者和输出者。例如,网络管理器可以是收集IP流信息的收集器,该IP流信息由网络设备输出。网络设备可以使用计量过程收集数据包并且滤除它们来检测异常而实现观察点。
动态异常检测方法也可在较新的联网架构(软件定义联网(SDN))中实现。SDN是旨在使控制面功能与数据面功能解耦使得独立装置可用于不同功能的网络架构。在SDN架构中,网络智能和状态逻辑上集中,并且底层网络基础设施从应用抽取。因此,联网可被简化并且新的应用变得可行。例如,网络虚拟化可以通过在软件应用(其中控制面与数据面分离)中实现它而完成。SDN系统的网络管理员也可具有对网络业务的可编程中央控制而不需要对系统硬件设备的物理访问。利用这些益处,基于SDN架构的系统(在下文可互换地称为SDN系统或SDN网络)在运营商和企业中得到普及。
图2是图示根据本发明的一个实施例使用动态异常检测的SDN网络的框图。SDN网络200包括多个转发元件和多个控制器,其指示转发元件的转发行为。注意SDN网络可包含数量大得多的网络设备并且现有网络设备可用SDN兼容协议实现,从而变成SDN网络的一部分(例如,现有IP路由器可支持OpenFlow协议并且从而变成SDN转发元件或SDN控制器)。从而SDN网络200仅用于说明逻辑SDN网络配置。
转发元件
根据由一个或多个SDN控制器编程的流表中的规则,SDN转发元件(当SDN遵循OpenFlow标准时,称为OpenFlow交换机或简单地按照OpenFlow说法就是交换机)的主要任务是将SDN转发元件内的包从入口端口转发到出口端口。每个流条目包含一组动作,例如将包转发到指定端口、修改包报头中的某些位、将包封装到SDN控制器或丢弃包。对于新的流中的第一个包,转发元件通常将包转发到SDN控制器来触发对新的流编程。它还可以用于将例如互联网控制消息协议(例如互联网控制消息协议(ICMP)包)包等慢通道包转发到SDN控制器以用于处理。注意可以广泛地定义流的概念,例如TCP连接或来自特定MAC地址或IP地址的所有业务。还注意广泛地定义SDN网络内的包并且它可以是以太网帧、IP网络包或采用专用格式的消息。
SDN控制器
SDN控制器(通常称为远程控制器或控制器)添加流条目并且从流表去除流条目。它定义一组SDN转发元件和其他网络设备之间的互连和路由。它还应对网络状态分配,例如从该组SDN转发元件收集信息并且将转发/路由指令分配给它们。还可以对SDN控制器来支持新的寻址、路由和复杂的包处理应用。SDN控制器是SDN网络的“大脑”。转发元件需要链接到至少一个SDN控制器以正确起作用。
参考图2,SDN网络200包含SDN控制器252和一组转发元件(或SDN交换机,术语“转发元件”和“SDN交换机”在下文能互换地使用)A-G。控制器252(术语“控制器”和“SDN控制器”在下文能互换地使用)管理SDN交换机A-G,并且SDN交换机通过通信信道连接到它的管理控制器并且SDN交换机不一定具有到控制器的直接连接性(从而是术语“远程”控制器)。
SDN交换机可以在逻辑上视为包含两个主要部件。一个是控制面并且另一个是转发面。SDN交换机C在引用254处的放大图图示两个面。SDN交换机C包含控制面262和转发面264。控制面262协调SDN交换机C的管理和配置。转发面264的配置通过在主处理器272上运行应用来实现。主处理器272通常运行操作系统以便提供众所周知的开发环境。来自主处理器272的命令使用互连(例如,外围部件互连(PCI)总线)发送到交换机处理器274。异常包(例如,对于路由和管理的包)通常在主处理器272上处理。交换机处理器274与SDN交换机C的各种转发端口278交互来转发并且另外处理传入和传出包。
转发面264负责转发业务(转发操作包括交换、路由、学习等)。它包含交换机处理器274,其设计成提供高吞吐量但同时对更复杂且灵活的开发环境不利。不同类型的高性能存储器和硬件加速器通常在交换机处理器274上发现以用于实现高吞吐量。相比之下,主处理器272可以更复杂且灵活但同时对提供高吞吐量不利,因为它处理比数据包更多的控制包(通常称为慢通道包),从而吞吐量是很少任务关键的。当SDN交换机(例如,SDN交换机C)接收与新的流关联的包时,它不知道在哪里转发包。从而,它将包发送到它的管理SDN控制器,在该示例中是控制器252。控制器252接收包,并且它对新的流条目编程并且发送到SDN交换机C。SDN交换机C然后根据新的流条目来转发包。
SDN网络提供在利用集中控制路径和网络范围知识的网络中设计动态异常检测方法的机会。更具体地,动态异常检测方法可以实现为在SDN控制器上运行的应用。该应用可以与相同控制器中的路由应用交互以在检测到业务异常时执行减轻动作。从而,业务异常和减轻可以在没有人为干预的情况下集成。SDN控制器已经具有从SDN交换机收集流统计信息的命令,并且动态异常检测方法可以使用这些现有接口。
另一方面,SDN网络中控制/转发面的去耦在对动态异常检测方法实现效率和可扩展性方面提出挑战。下列论述更详细探究在SDN网络中部署动态异常检测方法。
任务盒1至2图示根据本发明的一个实施例执行操作所采用的顺序。在任务盒1处,控制器252使业务流监测功能分配到多个网络设备。如上文论述的,控制器252是集中控制器,并且它管理所有SDN交换机来执行各种操作,其包括哪个路径路由业务、每个业务流具有什么优先级、收集什么业务统计信息等。这样的架构提供可以容易施加和实施任何集中逻辑决策的机会。在检测的上下文中,控制器可以具有完整的网络范围的视图用于检测。对于业务承载网络,业务流很多,并且监测/检测异常是计算非常密集型的。从而,控制器252可通过业务聚集来监测业务流。业务聚集是共享一些共同特性的一组业务流,例如相同源地址或目的地址块、端口号块、业务类型(例如,相同服务质量(QoS)要求)或其他业务特性。
在该示例中,业务聚集202是共享经过SDN交换机B-C-D-E的相同路由的多个业务流。双向业务聚集在网络SDN交换机B和E处到达和离开网络200,从而SDN交换机B和E可称为“入口”SDN交换机。在一个实施例中,控制器252仅识别入口SDN交换机B和E并且使监测功能分配到入口SDN交换机B和E。在备选实施例中,控制器252进一步使监测功能沿业务聚集202的路径分配到其他SDN交换机。随着控制器在多个SDN交换机之间分配监测功能,由监测功能引起的工作负载在指定SDN交换机上减少。
在任务盒2处,控制器252轮询来自所选SDN交换机(SDN交换机C)的特定业务聚集的业务统计信息并且自适应对业务聚集内的业务流采样来检测异常。控制器252可通过识别与业务聚集的正常业务分布的偏差来检测业务异常。一旦检测到业务异常,控制器252则通过使采样速率增加和/或聚焦在异常业务聚集内的特定业务流上而进一步更密切地对业务聚集202采样直到控制器252识别包含异常的一个或多个业务流。也就是说,异常的检测是自适应过程,其从业务聚集的粗粒业务统计信息开始,并且自适应地缩小至异常业务聚集内的业务流的子集直到识别具有异常业务聚集的小的异常业务流集。
控制器以对指派的业务聚集在SDN交换机处对业务采样(从而滤除其他业务聚集)而开始。它然后检测与指派的业务聚集的正常模式的偏差。一旦检测到偏差,SDN控制器缩小至仅过滤和挑选指派业务聚集的子集以用于异常检测。过程持续直到控制器找到业务聚集内的一个或多个业务流集使得该一个或多个业务流集包含业务聚集内超出阈值的一定百分比业务。在一个实施例中,控制器252使业务聚集内的未选择的业务流重新分配到其他SDN交换机来检测异常。利用业务聚集在多个SDN交换机之间的动态分配,每个SDN交换机的异常检测任务未负担过重,并且方法可以扩展成在具有几百、几千或更多SDN交换机的大型网络中实现。
在控制面和业务转发面集成的传统架构中,业务转发元件通常与相同物理盒中的智能控制面耦合。因此,一些复杂计算可以在盒内本地实施。然而,在SDN网络中,SDN交换机假设为仅执行基本转发功能,这意指所有智能逻辑需要在例如控制器252等独立控制器中实现。SDN交换机可以定期向控制器252发送业务计数器。然而,在时间和空间域两者处的粒度选择是关键的。如果在大的时期(例如半个小时)内收集统计信息,则异常检测方法可不能选出短期异常。另一方面,如果每几秒进行收集,它可以对网络生成多个业务,并且对控制器生成大量负载。因此,本发明的实施例旨在取得平衡来提供准确检测而未对网络施加太多负载。
分配业务流以用于异常监测
对于网络中的异常监测,现有技术公开这样的方法,其依靠按需修改复杂数据结构的定制流播算法。例如,Ling Huang等人的题为“Communication-Efficient Tracking ofDistributed Cumulative Triggers(分布式累积触发的通信高效跟踪)”的文章公开这样的方法。本发明的实施例采取不同方法,其中分配业务量以用于异常监测使用简单的匹配和计数规则,其中网络管理器或控制器仅定期调整规则。
本发明的实施例内的原理通过自适应地调整通配符规则并且以略微较粗的聚集级产生中间有用结果来检测大的业务聚集。该方法可在检测业务异常中导致短的延迟。但另一方面,该权衡可以是可配置和可调谐的,这取决于运营商的需求。
在SDN网络中,对于每个传入包,SDN交换机同时将包报头与监测规则集合比较、挑选与最高优先级的匹配规则以及使它的关联计数器递增。因为在SDN交换机中使用的TCAM(三态内容可寻址存储器)昂贵且耗电,SDN交换机对可以用于业务监测的规则的数量具有限量N。SDN控制器可以直接在SDN交换机上或在管理整个网络的独立机器上运行。SDN控制器在固定测量间隔M从TCAM规则读取计数器、分析计数器并且生成统计信息来报告给网络运营商。SDN控制器还基于来自之前测量间隔的计数器值动态更改规则。
在传统和SDN网络两者中,异常检测需要识别明显的业务改变。不失一般性地,术语“网络设备”涵盖传统网络内的业务转发元件和SDN交换机两者。术语“网络管理器”涵盖控制并且管理传统网络中的网络设备的元件和SDN网络中的SDN控制器两者。为了减少网络设备和网络管理器两者上的工作负载,本发明的实施例可:(a)通过沿业务路径对多个网络设备执行监测来共享入口网络设备的负载,和/或(b)监测大的业务聚集并且对小的业务聚集采样。
图3A-D图示根据本发明的一个实施例在网络设备之间共享对异常检测的负载的方法。该方法可以在传统网络和SDN网络两者中实现。在SDN网络中,它将在SDN控制器中实现。
在图3A中,业务流分组成各种业务聚集。每个业务聚集包含多个业务流,其共享一些共同特性。在该示例中,聚集内的所有业务流共享网络内的共同路由。从而,每个业务聚集与业务流动所在的一组网络设备关联。
在图3B中,基于有多少业务聚集通过网络设备来转发而给予每个网络设备监测计数。因为网络设备仅可以涵盖通过网络设备转发的业务聚集,该监测计数用于指示网络设备涵盖的大部分业务聚集。在该示例中,网络设备301具有在3的最高计数,因为全部三个聚集通过它来转发(从而网络设备301是入口)而网络设备302具有在1的最低计数,因为仅聚集A通过它转发。
在图3C中,网络设备基于监测计数按升序分类,其中具有最低监测计数的网络设备被首先列出并且具有最高监测计数的网络设备被最后列出。从而网络设备302在分类表中是第一个并且网络设备303是最后一个。
然后在图3D中,方法将具有最低监测计数的网络设备指派给它涵盖的业务聚集中的一个。与指派的网络设备关联的业务聚集然后从聚集集去除。假设每个网络设备仅可以监测一个业务聚集,网络设备也从候选网络设备集去除。下一个具有相同或更高监测计数的业务聚集被指派给涵盖业务聚集的下一个网络设备。过程持续直到所有业务聚集被指派给网络设备。在该示例中,聚集A-C分别被指派给网络设备302、303和304,并且网络设备301和305未监测业务异常。
在操作网络中,一般存在更多业务聚集,并且网络设备通常需要监测多个业务聚集。网络设备具有关于它可以监测多少业务聚集的容量极限。在一个实施例中,网络设备未从候选网络设备集去除直到对网络设备指派多个业务聚集,其中数量达到它的容量极限。
图4是图示根据本发明的一个实施例在网络设备之间共享对于异常检测的负载的方法的流程图。方法400可以在传统和SDN网络两者中实现。在传统网络中,它可以在网络管理器或网络设备中实现。在SDN网络中,它将在SDN控制器中实现。为了论述的简单起见,SDN控制器用作示例,即使方法在传统网络中、网络管理器或网络设备上切实可行也如此。
方法400以在操作402处由SDN控制器将网络的业务流分成多个聚集来形成监测集而开始。每个聚集包含一个或多个业务流,并且对于业务异常要独立监测每个聚集。业务流可以基于多种准则而划分。例如,划分可以基于业务流的源或目的地址块、反映不同应用的端口号或其他业务特性。网络的运营商可基于网络条件和异常检测的网络来改变业务划分。
注意方法400可由网络内的业务流更新触发。例如,在创建或从网络去除业务流时。它还可由网络管理器的请求触发,其中该网络管理指示要划分的业务流列表以及可选地如何划分业务流列表(例如,在作出决定中使用什么业务特性)。
可选地,流移到操作404,其中业务聚集内的多个业务流子组被添加到监测集。运营操作用于不涵盖较大聚集所掩盖的较小组中的业务异常。在一个实施例中,业务聚集内的业务流的子组通过以采样间隔随机对聚集采样来选择。采样间隔越小,添加到监测集的子组越多。从而,利用操作404,监测集包括业务聚集集和该业务聚集集内的业务流子组集。
流程移到操作406,其中SDN控制器收集一组网络设备来涵盖监测集的每个条目。监测集的条目可以是业务聚集或该业务聚集内的业务流子组。对于监测集的每个条目,SDN控制器仅收集并且包括监测集的条目内的业务流所经过的网络设备。
然后流程移到操作408,其中SDN控制器对监测集的每个条目选择网络设备,并且选择至少部分基于网络设备的监测计数。网络设备的监测计数是网络设备被指派以监测的监测集的条目数量的计数。本发明的实施例旨在使监测业务异常的责任分配给多个网络设备,并且分配优选地考虑网络设备已经签订来监测的监测集的多少条目。在一些实施例中,分配还可考虑网络设备的监测容量限制,其对于不同网络设备可是不同的。
方法400的一个实施例在图3A-D中图示,但具有不同工具来对业务聚集分类并且选择网络设备的其他实施例可以遵从公开的原理而实现。
图5是图示根据本发明的一个实施例在SDN网络的SDN交换机之间共享对于异常检测的负载的方法的伪代码程序。该伪代码程序取路由拓扑G、流的集F、聚集划分器D和对每个交换机N的容量限制的输入。
在引用502处,聚集集设置为A(监测集),其通过在F上应用D而生成。然后在引用504处,对于聚集集A内的每个聚集a,聚集a内的业务流子组(指示为a’)通过在采样速率r的随机采样rand()来选择。在引用506处,使用拓扑G,对于监测集A中的每个元素,一组交换机在集Sa中标记为可能够监测元素。
然后聚集根据SDN交换机计数在引用508处分类,其中计数的每个SDN交换机是聚集所经过的。在引用510处,对于每个聚集,从具有最低监测计数Cs的交换机开始,指派交换机。一旦指派交换机,监测指派计数Ns增加一,并且一旦Ns达到监测计数限制N,交换机从指派列表去除。一旦指派A内的所有聚集,完成过程。
对于异常监测的动态放大和扩大
一旦监测功能在多个网络设备之间分配,指派的网络设备则将监测业务异常。如上文论述的,监测集可包括聚集和聚集内的子组这两者。从而,传统或SDN网络中的网络设备监测指派的监测集内的每个条目来检测业务异常。本发明的实施例动态部署放大指派监测集内的条目和使监测扩大到点异常。
图6是图示根据本发明的一个实施例的异常监测的动态放大的流程图。方法600可以在SDN网络中的SDN控制器中实现或在传统网络内的网络管理器的业务监测功能内集成。为了论述的简单起见,SDN控制器用作示例,即使方法在传统网络中的网络管理器(例如EMS/NMS)上切实可行也如此。
方法600以操作602开始,其中SDN控制器以一定采样速率对SDN交换机的指派监测集的条目采样。SDN控制器对业务聚集和业务聚集的子组采样并且收集业务特性,例如在采样期期间的包或字节计数。SDN交换机向SDN控制器提供请求的业务特性。在操作604处,SDN控制器确定在条目内是否存在业务异常。在一个实施例中,确定基于业务特性与历史模式的偏差。例如,贝叶斯变换可以用于检测时间序列数据中的突然跳跃。对于另一个示例,包/字节计数与包/字节的移动平均的超出阈值的标准偏差是存在业务异常的指示。在未检测到业务异常时,过程返回操作602并且SDN控制器继续以相同采样速率对SDN交换机处的相同条目采样。
当在指派的监测集的条目处检测到业务异常时,方法可选地流到操作606。SDN控制器确定条目是否是监测集内的另一个条目的子集。如果条目是另一个条目的子集,并且业务异常偏差不超出偏差阈值,条目在操作608处并入较大条目。也就是说,SDN控制器确定条目并不值得独立监测,因为它并未与较大条目差异很大。合并操作606-608是放大和扩大的相对面,但它们滤除必要的采样并且减少要监测条目的数量,从而一般提高方法的效率。
然后流程前往操作框650,其称为放大操作。一旦粗粒检查(例如,操作602-604)检测到异常,放大操作旨在提供监测集条目内业务流的细粒检查。在操作610处,SDN控制器增加条目的采样速率。增加的采样速率(伴随着减少的采样间隔)提供业务流的时间放大。在一个实施例中,采样速率加倍。
同样在放大操作650内,SDN控制器在操作612处将监测集的条目分成较小组。划分提供业务流的空间放大。在一个实施例中,SDN控制器在操作614处对SDN交换机指派较小组的子集,并且对其他SDN交换机指派条目内的其他较小组。其他较小组的重新指派可通过在与图4-5关联的论述中公开的分配业务流方法而执行。利用重新指派,较小组列表以及可选地要如何划分业务流列表(例如,在作出决定中要使用什么业务特性)对SDN控制器提供来对其他SDN交换机分配较小组列表与用于监测。
注意操作610和操作612-614可未按顺序执行,并且在一些实施例中,操作612-614的划分和选择可在增加采样速率之前执行。
流程然后前往操作616,其中SDN控制器对指派给SDN交换机的较小组的子集采样。注意采样速率是在操作610中规定的新的速率。然后SDN控制器在操作618处确定较小组的子集是否包含超出阈值的指派子集的一定百分比业务。从概念上看,当较小组包含条目的高百分比业务时,业务流可能是具有业务异常的业务流-业务尖峰消耗大量网络资源。在一个实施例中,SDN控制器预定阈值来确定采样业务流小到足以识别业务异常的来源。在另一个实施例中,阈值是可配置参数,并且网络运营商或终端用户可基于网络条件和异常检测的粒度需要来调整阈值。
如果较小组的子集包含高于阈值的一定百分比业务,在操作620处,报告列出的较小组的子集内的业务流有异常。然后SDN控制器可执行补救操作,例如去除异常业务流或排查业务异常的根本原因。
利用方法600,SDN控制器(或传统网络的网络管理器)检测业务异常而未花费明显的处理/带宽资源。它可初始通过采样业务聚集来收集关于大的地址块的粗粒业务统计信息。收集的粗粒业务统计信息然后与历史数据比较来确定是否存在可疑偏差。如果识别可疑偏差,SDN控制器(或传统网络的网络管理器)对一组SDN交换机(或传统网络的其他网络设备)编程来收集更多信息-当前指派来监测大的地址块的SDN交换机持续监测大地址块的子集,但其他SDN交换机将共享负载并且承担大地址块的其他子集以用于监测异常。随着通过时间(通过增加采样速率)和空间(通过聚焦在较小地址范围上)放大来收集关于更多特定地址范围的细粒信息,SDN控制器能够使是否发生真正异常缩小。
对于SDN网络,因为SDN控制器可以维持网络状态并且根据网络和服务器状态动态更改路由,可以更容易实现方法。对于传统网络,方法可以使用现有接口(像由IPFIX协议定义的)实现。
图7是图示根据本发明的一个实施例对于SDN网络的异常检测的放大方法的伪代码程序。伪代码程序可在SDN控制器的应用上执行并且它取路由拓扑G、业务的计数器C、聚集集A和采样间隔M的输入。
在引用702处,SDN控制器检测每个聚集处的业务异常。SDN控制器通过测量针对聚集的所有记录的均值的最新业务(由最后三个值的均值表示的)和聚集的所有记录的标准偏差而确定在业务聚集处存在业务异常。如果检测到业务异常,设置标志,其指示业务异常。
在引用704处,SDN控制器确定a是否是另一个业务聚集的较小组(指示为a’)、较小组是否充分偏离较大a’,如果否的话设置“组合”标志。稍后在引用708处,较小组a在设置合并标志后合并。在引用706处,对于异常的业务聚集,采样间隔切成两半为M/2,并且聚集减少至a/D并且将a/D指派给Sa以分配给其他交换机。应用将运行通过所有业务聚集并且通过引用702内的操作以粗粒检测的每个异常然后经过引用704-708内的操作来放大并且识别业务聚集内的令人不快的少量业务流。
实现动态业务异常检测的网络设备
图8是图示根据本发明的一个实施例包含处理器(其实现分配业务流的方法)的网络设备的框图。流分配处理器800可以是独立处理器或传统网络的SDN网络或网络设备的SDN控制器内的处理器的一部分。即,网络设备850可以是SDN控制器或网络设备。当流分配处理器800是较大处理器的一部分时,它可具有专用NPU或与其他应用共享处理单元。
流分配处理器800可包含业务流接口802、监测集发生器806、监测集分配器820和数据库852。这些各种模块通过互连822而互连。注意各种模块可以实现为单个单元或多个单元,该单元或多个单元使各种模块集成并且执行与流分配处理器800的模块相似的功能,并且这些模块可以在软件、硬件或其组合中实现。另外,在图8中图示的一些模块可在流分配处理器800外部实现但与流分配处理器800通信耦合。
业务流接口802配置成接收网络设备850所在的网络的业务流。接收的业务流在监测集发生器806处处理,其配置成将网络的接收业务流分成多个业务聚集。每个业务聚集包含一个或多个业务流,并且每个业务聚集是监测集的条目。监测集分配器820配置成使监测集内的条目分配到各种网络设备,例如SDN网络中的SDN交换机。分配至少部分基于指派给网络设备以用于监测的多个业务聚集。网络设备一般包含监测极限并且该极限存储在数据库852中。
在一个实施例中,流分配处理器800在业务流接口802处接收业务流列表。业务流列表的到达可通过改变网络的业务流或由于现有异常检测过程的放大操作引起的请求而触发。然后业务流列表包括到监测集发生器806的监测集。监测集发生器806生成用于监测的条目,其包括业务聚集和业务聚集的子集。生成的条目然后由监测集分配器820分配。分配器820通过各种方法来分配监测集内的条目,例如在图3和4中图示的。通过流分配处理器800,业务流分配到网络内的各种网络设备以用于异常检测。
图9是图示根据本发明的一个实施例包含处理器(其实现用于异常检测的放大方法)的网络设备的框图。异常处理器900可以是独立处理器或传统网络的SDN网络或网络设备的SDN控制器内的处理器的一部分。即,网络设备950可以是SDN控制器或网络设备。当异常处理器900是较大处理器的一部分时,它可具有专用NPU或与其他应用共享处理单元。还注意异常处理器900和流分配处理器800可在单个网络设备中实现,并且它们可以甚至集成到一个单处理器内。即,单处理器可执行流分配处理器800和异常处理器900的功能。
异常处理器900可包含业务流接口902、业务流采样器906、异常检测器908、业务流组合器910、业务放大模块912、异常报告器914和数据库952。这些各种模块通过互连822而互连。注意各种模块可以实现为单个单元或多个单元,该单元或多个单元使各种模块集成并且执行与异常处理器900的模块相似的功能,并且这些模块可以在软件、硬件或其组合中实现。另外,在图9中图示的一些模块可在流分配处理器900外部但与流分配处理器900通信耦合地实现。
业务流接口902配置成接收网络设备950所在的网络的业务流。注意业务流一般作为用于监测的条目而接收,例如业务聚集或业务聚集的较小组。用于监测的条目由业务流采样器906采样。业务流采样器906可以一定采样速率对用于监测的条目采样。基于采样,异常检测器908配置成检测条目中的业务异常。在检测到异常后,业务放大模块912开始增加采样速率的自适应过程并且减少具有业务异常的条目的大小。一旦异常条目的子集包含超出某一百分比阈值的条目的一定百分比业务,完成自适应过程。一旦完成自适应过程,异常报告器914报告用业务量子集检测的业务被识别。数据库952包含对于要完成的自适应过程的百分比阈值,并且该百分比阈值可是可配置的。注意业务放大模块920可以采用多种方式实现,并且它们可形成操作,例如在图6中图示的放大操作盒650和在图7中图示的在引用706中的操作。
在一些实施例中,如果条目不包含与超集截然不同的业务异常,业务流组合器910使条目组合到超集包含的条目。
流程图的操作参考图8和9的示范性实施例描述。然而,应理解流程图的操作可以由除参考图4和6论述的那些以外的本发明的实施例执行,并且参考图8和9论述的实施例可以执行与参考图4和6的流程图论述的那些不同的操作。
尽管上文的图中的流程图示出由本发明的某些实施例执行的操作的特定顺序,应理解这样的顺序是示范性的(例如,备选实施例可按不同顺序执行操作、使某些操作组合、使某些操作重叠等)。
本发明的不同实施例可使用软件、固件和/或硬件的不同组合实现。从而,在图中示出的技术可以使用在一个或多个电子设备(例如,端系统、网络设备)上存储和执行的代码和数据实现。这样的电子设备使用例如非暂时性计算机可读存储介质(例如磁盘;光盘;只读存储器;随机存取存储器;只读存储器;闪速存储器设备;相变存储器)和暂时性机器可读传输介质(例如,电、光、声或其他形式的传播信号-例如载波、红外信号、数字信号)等计算机可读介质来存储和传达(在内部和/或通过网络利用其他电子设备)代码和数据。另外,这样的电子设备典型地包括一个或多个处理器集,其耦合于一个或多个其他部件,例如一个或多个存储设备(非暂时性机器可读存储介质)、用户输入/输出设备(例如,键盘、触屏和/或显示器)和网络连接。处理器集和其他部件的耦合典型地通过一个或多个总线和网桥(也称作总线控制器)。从而,指定电子设备的存储设备典型地存储代码和/或数据以供在该电子设备的一个或多个处理器集上执行。
尽管本发明已经从若干实施例方面描述,本领域内技术人员将认识到本发明不限于描述的实施例,可以在附上的权利要求的精神和范围内带有修改和更改地实践。描述从而视为说明性而非限制性的。
Claims (10)
1.一种由网络服务提供商实现来检测网络中的业务异常的方法,其中所述网络包含网络设备,其中业务流通过所述网络的网络设备传输,所述方法包括以下操作:
以一定采样速率对用于监测的第一组的条目内的业务流采样(602);
确定(604)是否存在业务异常;
响应于确定存在业务异常,
确定(606)所采样业务流内的业务百分比不超出业务百分比阈值;
响应于确定所采样业务流内的业务百分比不超出所述业务百分比阈值,
执行以下中的至少一个:
增加(612)所述采样速率;以及
减少(614)所述用于监测的第一组的所述条目内的业务流数量;
以由执行以下中的至少一个产生的采样速率对所述业务流采样(602):增加所述采样速率和减少所述用于监测的第一组的所述条目内的业务流数量;
确定(604)存在业务异常;
响应于确定存在业务异常,
确定(606)所采样业务流内的业务百分比超出所述业务百分比阈值;以及
响应于确定所采样业务流内的业务百分比超出所述业务百分比阈值来报告(620)所述业务流是异常业务流。
2.如权利要求1所述的方法,其进一步包括:
响应于确定不存在业务异常来以所述采样速率对用于监测的第一组的所述条目内的业务流采样。
3.如权利要求1所述的方法,其中业务异常的确定基于确定所采样业务流内的业务量的第一偏差超出第一偏差阈值,其中所述第一偏差偏离时间段内所采样业务流的均值。
4.如权利要求1所述的方法,响应于确定所采样业务流内的业务百分比未超出所述业务百分比阈值,在执行增加所述采样速率和减少所述用于监测的第一组的所述条目内的业务流数量中的至少一个之前,进一步执行:
确定(606)所述用于监测的第一组的所述条目是所述用于监测的第一组的另一个条目的子集;以及
响应于确定所述用于监测的第一组的所述条目内的业务量的第二偏差在第二偏差阈值以下,从所述用于监测的第一组去除(608)所述用于监测的第一组的所述条目,其中所述第二偏差偏离所述用于监测的第一组的所述另一个条目的均值。
5.如权利要求1所述的方法,其中所述网络遵循对于软件定义的联网(SDN)的标准。
6.如权利要求5所述的方法,其中所述操作由遵循对于软件定义的联网(SDN)的标准的所述网络的控制器执行。
7.一种网络中的网络设备,其中业务流通过所述网络的多个网络设备传输,所述网络设备包括:
异常处理器(900),其包括:
业务流接口(902),其配置成接收所述网络的流;
业务流采样器(906),其配置成以一定采样速率对用于监测的第一组的条目内的接收的业务流采样;
异常检测器(908),其配置成确定存在业务异常;
业务放大模块(912),其配置成确定所采样业务流内的业务百分比是否超出业务百分比阈值,其中响应于确定所采样业务流内的业务百分比不超出所述业务百分比阈值,其中
所述业务放大模块进一步配置成执行以下中的至少一个:
增加所述采样速率;以及
减少所述用于监测的第一组的所述条目内的业务流数量;
并且其中响应于确定所采样业务流内的业务百分比超出所述业务百分比阈值,通知异常报告器(914);
所述异常报告器(914),配置成响应于确定所采样业务流内的业务百分比超出所述业务百分比阈值来报告所述业务流是异常业务流;以及
数据库(952),其配置成存储所述业务百分比阈值。
8.如权利要求7所述的网络设备,其中业务异常的确定基于确定所采样业务流内的业务量的第一偏差超出第一偏差阈值,其中所述第一偏差偏离时间段内所采样业务流的均值。
9.如权利要求7所述的网络设备,其进一步包括业务流组合器,所述业务流组合器配置成:响应于确定所采样业务流内的业务百分比不超出所述业务百分比阈值,在执行增加所述采样速率和减少所述用于监测的第一组的所述条目内的业务流数量中的至少一个之前:
确定所述用于监测的第一组的所述条目是所述用于监测的第一组的另一个条目的子集;以及
响应于确定所述用于监测的第一组的所述条目内的业务量的第二偏差在第二偏差阈值以下从所述用于监测的第一组去除所述用于监测的第一组的所述条目,其中,所述第二偏差偏离所述用于监测的第一组的所述另一个条目的均值。
10.一种网络中的网络设备,所述网络设备是遵循对于软件定义的联网(SDN)的标准的所述网络的控制器,其中业务流通过所述网络的多个网络设备传输,所述网络设备包括:
异常处理器(900),其包括:
业务流接口(902),其配置成接收所述网络的流;
业务流采样器(906),其配置成以一定采样速率对用于监测的第一组的条目内的接收的业务流采样;
异常检测器(908),其配置成确定存在业务异常;
业务放大模块(912),其配置成确定所采样业务流内的业务百分比是否超出业务百分比阈值,其中响应于确定所采样业务流内的业务百分比不超出所述业务百分比阈值,其中
所述业务放大模块进一步配置成执行以下中的至少一个:
增加所述采样速率;以及
减少所述用于监测的第一组的所述条目内的业务流数量;
并且其中响应于确定所采样业务流内的业务百分比超出所述业务百分比阈值,通知异常报告器(914);
所述异常报告器(914)配置成响应于确定所采样业务流内的业务百分比超出所述业务百分比阈值来报告所述业务流是异常业务流;以及
数据库(952),其配置成存储所述业务百分比阈值。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/872,855 US9692775B2 (en) | 2013-04-29 | 2013-04-29 | Method and system to dynamically detect traffic anomalies in a network |
| US13/872855 | 2013-04-29 | ||
| CN201480037276.5A CN105493450B (zh) | 2013-04-29 | 2014-03-31 | 动态检测网络中的业务异常的方法和系统 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480037276.5A Division CN105493450B (zh) | 2013-04-29 | 2014-03-31 | 动态检测网络中的业务异常的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110266556A true CN110266556A (zh) | 2019-09-20 |
Family
ID=50543635
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910417845.3A Pending CN110266556A (zh) | 2013-04-29 | 2014-03-31 | 动态检测网络中的业务异常的方法和系统 |
| CN201480037276.5A Active CN105493450B (zh) | 2013-04-29 | 2014-03-31 | 动态检测网络中的业务异常的方法和系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480037276.5A Active CN105493450B (zh) | 2013-04-29 | 2014-03-31 | 动态检测网络中的业务异常的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9692775B2 (zh) |
| EP (1) | EP2992647B1 (zh) |
| CN (2) | CN110266556A (zh) |
| WO (1) | WO2014177952A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111311912A (zh) * | 2020-02-25 | 2020-06-19 | 北京天融信网络安全技术有限公司 | 车联网检测数据确定方法、装置及电子设备 |
| CN113938844A (zh) * | 2021-10-25 | 2022-01-14 | 深圳市中装云科技有限公司 | 网络连接监控方法、系统、计算机设备和存储介质 |
| CN116244081A (zh) * | 2023-03-10 | 2023-06-09 | 苏州亿铸智能科技有限公司 | 一种多核存算一体加速器网络拓扑结构控制系统 |
Families Citing this family (120)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9215275B2 (en) | 2010-09-30 | 2015-12-15 | A10 Networks, Inc. | System and method to balance servers based on server load status |
| US9609052B2 (en) | 2010-12-02 | 2017-03-28 | A10 Networks, Inc. | Distributing application traffic to servers based on dynamic service response time |
| US8897154B2 (en) | 2011-10-24 | 2014-11-25 | A10 Networks, Inc. | Combining stateless and stateful server load balancing |
| US10002141B2 (en) | 2012-09-25 | 2018-06-19 | A10 Networks, Inc. | Distributed database in software driven networks |
| US10021174B2 (en) | 2012-09-25 | 2018-07-10 | A10 Networks, Inc. | Distributing service sessions |
| US9843484B2 (en) * | 2012-09-25 | 2017-12-12 | A10 Networks, Inc. | Graceful scaling in software driven networks |
| JP2015534769A (ja) | 2012-09-25 | 2015-12-03 | エイ10 ネットワークス インコーポレイテッドA10 Networks, Inc. | データネットワークにおける負荷分散 |
| US9900252B2 (en) | 2013-03-08 | 2018-02-20 | A10 Networks, Inc. | Application delivery controller and global server load balancer |
| CN103338150B (zh) * | 2013-07-19 | 2016-06-15 | 中国人民解放军信息工程大学 | 信息通信网络体系结构建立方法、装置、服务器和路由器 |
| EP3022888B1 (en) * | 2013-07-19 | 2020-11-11 | Nokia Solutions and Networks Oy | Network element and method of running applications in a cloud computing system |
| WO2015044719A1 (en) * | 2013-09-27 | 2015-04-02 | Freescale Semiconductor, Inc. | Apparatus for optimising a configuration of a communications network device |
| JP6111974B2 (ja) * | 2013-10-22 | 2017-04-12 | 富士通株式会社 | 転送装置、制御装置、および、転送方法 |
| US9516049B2 (en) | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
| US9654445B2 (en) * | 2013-11-13 | 2017-05-16 | ProtectWise, Inc. | Network traffic filtering and routing for threat analysis |
| US10735453B2 (en) | 2013-11-13 | 2020-08-04 | Verizon Patent And Licensing Inc. | Network traffic filtering and routing for threat analysis |
| CN104660565B (zh) * | 2013-11-22 | 2018-07-20 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| US20160380899A1 (en) * | 2013-11-28 | 2016-12-29 | Kt Corporation | Method and apparatus for dynamic traffic control in sdn environment |
| CN104753805B (zh) * | 2013-12-31 | 2018-07-24 | 腾讯科技(深圳)有限公司 | 分布式流量控制方法、服务器和系统 |
| US20150256431A1 (en) * | 2014-03-07 | 2015-09-10 | Cisco Technology, Inc. | Selective flow inspection based on endpoint behavior and random sampling |
| US9628512B2 (en) * | 2014-03-11 | 2017-04-18 | Vectra Networks, Inc. | Malicious relay detection on networks |
| US9942162B2 (en) | 2014-03-31 | 2018-04-10 | A10 Networks, Inc. | Active application response delay time |
| US9893964B2 (en) | 2014-04-28 | 2018-02-13 | Nicira, Inc. | System for aggregating statistics relating to a logical forwarding element |
| US9893983B2 (en) | 2014-04-28 | 2018-02-13 | Nicira, Inc. | Network virtualization operations using a scalable statistics collection framework |
| US9813312B2 (en) * | 2014-07-21 | 2017-11-07 | Big Switch Networks, Inc. | Systems and methods for performing debugging operations on networks using a controller |
| US9635050B2 (en) * | 2014-07-23 | 2017-04-25 | Cisco Technology, Inc. | Distributed supervised architecture for traffic segregation under attack |
| US10069900B2 (en) * | 2014-08-05 | 2018-09-04 | Oracle International Corporation | Systems and methods for adaptive thresholding using maximum concentration intervals |
| US9276955B1 (en) * | 2014-09-17 | 2016-03-01 | Fortinet, Inc. | Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation |
| US10038601B1 (en) * | 2014-09-26 | 2018-07-31 | Amazon Technologies, Inc. | Monitoring a multi-tier network fabric |
| US9838421B2 (en) * | 2014-10-01 | 2017-12-05 | Ciena Corporation | Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks |
| EP3337102B1 (en) * | 2014-12-01 | 2020-03-25 | Panasonic Intellectual Property Corporation of America | Illegality detection electronic control unit, car onboard network system, and illegality detection method |
| KR101645598B1 (ko) * | 2014-12-18 | 2016-08-08 | 광주과학기술원 | 네트워크에서의 침입 탐지 방법 |
| CN104506531B (zh) * | 2014-12-19 | 2018-05-01 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
| US10193783B2 (en) | 2014-12-31 | 2019-01-29 | Nicira, Inc. | System for aggregating statistics associated with interfaces |
| US10484406B2 (en) * | 2015-01-22 | 2019-11-19 | Cisco Technology, Inc. | Data visualization in self-learning networks |
| JP5862811B1 (ja) * | 2015-02-02 | 2016-02-16 | 日本電信電話株式会社 | 評価装置、評価方法、及びプログラム |
| US20180007075A1 (en) * | 2015-02-12 | 2018-01-04 | Hewlett Packard Enterprise Development Lp | Monitoring dynamic device configuration protocol offers to determine anomaly |
| CN104636874B (zh) * | 2015-02-12 | 2019-04-16 | 北京嘀嘀无限科技发展有限公司 | 检测业务异常的方法及设备 |
| WO2016171691A1 (en) | 2015-04-23 | 2016-10-27 | Hewlett Packard Enterprise Development Lp | Network infrastructure device to implement pre-filter rules |
| US10530684B2 (en) * | 2015-05-19 | 2020-01-07 | International Business Machines Corporation | Management of unreachable OpenFlow rules |
| US10505819B2 (en) * | 2015-06-04 | 2019-12-10 | Cisco Technology, Inc. | Method and apparatus for computing cell density based rareness for use in anomaly detection |
| US9825850B2 (en) | 2015-06-30 | 2017-11-21 | Industrial Technology Research Institute | Network controlling method and network controller |
| US9900206B2 (en) | 2015-07-20 | 2018-02-20 | Schweitzer Engineering Laboratories, Inc. | Communication device with persistent configuration and verification |
| US10341311B2 (en) | 2015-07-20 | 2019-07-02 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing selective encryption in a software defined network |
| US20170026292A1 (en) * | 2015-07-20 | 2017-01-26 | Schweitzer Engineering Laboratories, Inc. | Communication link failure detection in a software defined network |
| US9923779B2 (en) | 2015-07-20 | 2018-03-20 | Schweitzer Engineering Laboratories, Inc. | Configuration of a software defined network |
| US9866483B2 (en) | 2015-07-20 | 2018-01-09 | Schweitzer Engineering Laboratories, Inc. | Routing of traffic in network through automatically generated and physically distinct communication paths |
| US10659314B2 (en) | 2015-07-20 | 2020-05-19 | Schweitzer Engineering Laboratories, Inc. | Communication host profiles |
| US10243778B2 (en) * | 2015-08-11 | 2019-03-26 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for debugging in a software-defined networking (SDN) system |
| US10313212B2 (en) * | 2015-09-22 | 2019-06-04 | Veniam, Inc. | Systems and methods for detecting and classifying anomalies in a network of moving things |
| US20170126550A1 (en) * | 2015-10-29 | 2017-05-04 | Ca, Inc. | Selecting a flow data source |
| EP3371703B1 (en) | 2015-11-02 | 2020-02-12 | Intel IP Corporation | Restoring virtual network function (vnf) performance via vnf reset of lifecycle management |
| CN105429974B (zh) * | 2015-11-10 | 2018-09-11 | 南京邮电大学 | 一种面向sdn的入侵防御系统和方法 |
| WO2017086928A1 (en) | 2015-11-17 | 2017-05-26 | Hewlett Packard Enterprise Development Lp | Handling network threats |
| CN105357046B (zh) * | 2015-11-23 | 2018-10-26 | 北京邮电大学 | 一种用于软件定义网络sdn的网络信息探测的方法 |
| US10425302B2 (en) | 2015-11-23 | 2019-09-24 | International Business Machines Corporation | Scalable end-to-end quality of service monitoring and diagnosis in software defined networks |
| US9813286B2 (en) | 2015-11-26 | 2017-11-07 | Industrial Technology Research Institute | Method for virtual local area network fail-over management, system therefor and apparatus therewith |
| CN105610647A (zh) * | 2015-12-30 | 2016-05-25 | 华为技术有限公司 | 一种探测业务异常的方法和服务器 |
| US10331802B2 (en) | 2016-02-29 | 2019-06-25 | Oracle International Corporation | System for detecting and characterizing seasons |
| US10867421B2 (en) | 2016-02-29 | 2020-12-15 | Oracle International Corporation | Seasonal aware method for forecasting and capacity planning |
| US10885461B2 (en) | 2016-02-29 | 2021-01-05 | Oracle International Corporation | Unsupervised method for classifying seasonal patterns |
| US10699211B2 (en) | 2016-02-29 | 2020-06-30 | Oracle International Corporation | Supervised method for classifying seasonal patterns |
| US10757121B2 (en) | 2016-03-25 | 2020-08-25 | Cisco Technology, Inc. | Distributed anomaly detection management |
| US20170279685A1 (en) * | 2016-03-25 | 2017-09-28 | Cisco Technology, Inc. | Adjusting anomaly detection operations based on network resources |
| US10009364B2 (en) * | 2016-03-25 | 2018-06-26 | Cisco Technology, Inc. | Gathering flow characteristics for anomaly detection systems in presence of asymmetrical routing |
| US10187413B2 (en) | 2016-03-25 | 2019-01-22 | Cisco Technology, Inc. | Network-based approach for training supervised learning classifiers |
| CN105871602B (zh) * | 2016-03-29 | 2019-10-18 | 华为技术有限公司 | 一种统计流量的控制方法、装置和系统 |
| US10863558B2 (en) | 2016-03-30 | 2020-12-08 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing trusted relationships in a software defined network |
| US10198339B2 (en) | 2016-05-16 | 2019-02-05 | Oracle International Corporation | Correlation-based analytic for time-series data |
| WO2017197641A1 (zh) * | 2016-05-20 | 2017-11-23 | 华为技术有限公司 | 用于传输报文的方法、装置和系统 |
| US10182017B2 (en) * | 2016-06-30 | 2019-01-15 | Mellanox Technologies Tlv Ltd. | Estimating multiple distinct-flow counts in parallel |
| US10635563B2 (en) | 2016-08-04 | 2020-04-28 | Oracle International Corporation | Unsupervised method for baselining and anomaly detection in time-series data for enterprise systems |
| US11082439B2 (en) | 2016-08-04 | 2021-08-03 | Oracle International Corporation | Unsupervised method for baselining and anomaly detection in time-series data for enterprise systems |
| US10476784B2 (en) * | 2016-09-13 | 2019-11-12 | Cisco Technology, Inc. | Underlay overlay correlation for visibility and debugging |
| CN108234404B (zh) * | 2016-12-15 | 2020-08-25 | 腾讯科技(深圳)有限公司 | 一种DDoS攻击的防御方法、系统及相关设备 |
| EP3577872B1 (en) * | 2017-01-31 | 2022-09-07 | Telefonaktiebolaget LM Ericsson (PUBL) | Method and attack detection function for detection of a distributed attack in a wireless network |
| CN108429718B (zh) * | 2017-02-13 | 2020-08-11 | 腾讯科技(深圳)有限公司 | 账号识别方法及装置 |
| US10701103B2 (en) * | 2017-02-16 | 2020-06-30 | Dell Products, L.P. | Securing devices using network traffic analysis and software-defined networking (SDN) |
| US10915830B2 (en) | 2017-02-24 | 2021-02-09 | Oracle International Corporation | Multiscale method for predictive alerting |
| US10949436B2 (en) | 2017-02-24 | 2021-03-16 | Oracle International Corporation | Optimization for scalable analytics using time series models |
| US10218642B2 (en) | 2017-03-27 | 2019-02-26 | Mellanox Technologies Tlv Ltd. | Switch arbitration based on distinct-flow counts |
| US10817803B2 (en) | 2017-06-02 | 2020-10-27 | Oracle International Corporation | Data driven methods and systems for what if analysis |
| US20190036780A1 (en) * | 2017-07-31 | 2019-01-31 | Cisco Technology, Inc. | Generating a data model for a virtualized software-defined network |
| US20190036779A1 (en) | 2017-07-31 | 2019-01-31 | Cisco Technology, Inc. | Virtualized software-defined network |
| US11095535B2 (en) | 2017-08-15 | 2021-08-17 | Gigamon Inc. | Adaptive and flexible packet sampling |
| US10621005B2 (en) | 2017-08-31 | 2020-04-14 | Oracle International Corporation | Systems and methods for providing zero down time and scalability in orchestration cloud services |
| US10346277B2 (en) * | 2017-10-12 | 2019-07-09 | Cisco Technology, Inc. | Adaptive sampling to build accurate application throughput models |
| US10890909B2 (en) | 2018-01-09 | 2021-01-12 | International Business Machines Corporation | Automobile driving mode determination |
| US10999149B2 (en) * | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
| WO2019148041A1 (en) * | 2018-01-26 | 2019-08-01 | Opanga Networks, Inc. | Systems and methods for identifying candidate flows in data packet networks |
| US10771313B2 (en) * | 2018-01-29 | 2020-09-08 | Cisco Technology, Inc. | Using random forests to generate rules for causation analysis of network anomalies |
| US10785189B2 (en) | 2018-03-01 | 2020-09-22 | Schweitzer Engineering Laboratories, Inc. | Selective port mirroring and in-band transport of network communications for inspection |
| US10652084B2 (en) * | 2018-05-01 | 2020-05-12 | At&T Intellectual Property I, L.P. | Service recovery in a software defined network |
| US10963346B2 (en) | 2018-06-05 | 2021-03-30 | Oracle International Corporation | Scalable methods and systems for approximating statistical distributions |
| US10997517B2 (en) | 2018-06-05 | 2021-05-04 | Oracle International Corporation | Methods and systems for aggregating distribution approximations |
| US11005777B2 (en) | 2018-07-10 | 2021-05-11 | At&T Intellectual Property I, L.P. | Software defined prober |
| US12001926B2 (en) | 2018-10-23 | 2024-06-04 | Oracle International Corporation | Systems and methods for detecting long term seasons |
| US11138090B2 (en) | 2018-10-23 | 2021-10-05 | Oracle International Corporation | Systems and methods for forecasting time series with variable seasonality |
| US11374978B2 (en) * | 2018-10-29 | 2022-06-28 | LGS Innovations LLC | Methods and systems for establishment of security policy between SDN application and SDN controller |
| US10855548B2 (en) | 2019-02-15 | 2020-12-01 | Oracle International Corporation | Systems and methods for automatically detecting, summarizing, and responding to anomalies |
| CN110149239B (zh) * | 2019-04-01 | 2022-10-14 | 电子科技大学 | 一种基于sFlow的网络流量监控方法 |
| US11533326B2 (en) | 2019-05-01 | 2022-12-20 | Oracle International Corporation | Systems and methods for multivariate anomaly detection in software monitoring |
| US11115294B2 (en) * | 2019-05-07 | 2021-09-07 | Gigamon Inc. | Automatic dynamic determination of data traffic sampling policy in a network visibility appliance |
| US11537940B2 (en) | 2019-05-13 | 2022-12-27 | Oracle International Corporation | Systems and methods for unsupervised anomaly detection using non-parametric tolerance intervals over a sliding window of t-digests |
| US11075908B2 (en) | 2019-05-17 | 2021-07-27 | Schweitzer Engineering Laboratories, Inc. | Authentication in a software defined network |
| US10979309B2 (en) | 2019-08-07 | 2021-04-13 | Schweitzer Engineering Laboratories, Inc. | Automated convergence of physical design and configuration of software defined network |
| US11887015B2 (en) | 2019-09-13 | 2024-01-30 | Oracle International Corporation | Automatically-generated labels for time series data and numerical lists to use in analytic and machine learning systems |
| US11228521B2 (en) | 2019-11-04 | 2022-01-18 | Schweitzer Engineering Laboratories, Inc. | Systems and method for detecting failover capability of a network device |
| US11165685B2 (en) | 2019-12-20 | 2021-11-02 | Schweitzer Engineering Laboratories, Inc. | Multipoint redundant network device path planning for programmable networks |
| CN111177513B (zh) * | 2019-12-31 | 2023-10-31 | 北京百度网讯科技有限公司 | 异常访问地址的确定方法、装置、电子设备及存储介质 |
| JP7443832B2 (ja) * | 2020-03-05 | 2024-03-06 | 株式会社デンソー | セキュリティ管理装置 |
| CN113572654B (zh) * | 2020-04-29 | 2023-11-14 | 华为技术有限公司 | 网络性能监控方法、网络设备及存储介质 |
| CN111817898B (zh) * | 2020-07-21 | 2023-04-28 | 致诚阿福技术发展(北京)有限公司 | 一种识别动态网络结构异常的方法及装置 |
| US11418432B1 (en) | 2021-04-22 | 2022-08-16 | Schweitzer Engineering Laboratories, Inc. | Automated communication flow discovery and configuration in a software defined network |
| CN115515173A (zh) * | 2021-06-04 | 2022-12-23 | 中兴通讯股份有限公司 | 基站性能的分析方法、系统、电子设备和存储介质 |
| US11336564B1 (en) | 2021-09-01 | 2022-05-17 | Schweitzer Engineering Laboratories, Inc. | Detection of active hosts using parallel redundancy protocol in software defined networks |
| US11750502B2 (en) | 2021-09-01 | 2023-09-05 | Schweitzer Engineering Laboratories, Inc. | Detection of in-band software defined network controllers using parallel redundancy protocol |
| US11848860B2 (en) | 2022-02-24 | 2023-12-19 | Schweitzer Engineering Laboratories, Inc. | Multicast fast failover turnaround overlap handling |
| US11838174B2 (en) | 2022-02-24 | 2023-12-05 | Schweitzer Engineering Laboratories, Inc. | Multicast fast failover handling |
| CN115225540B (zh) * | 2022-05-02 | 2023-07-18 | 东北大学 | 一种面向软件定义网络的数据平面故障检测与恢复方法 |
| US11848840B1 (en) * | 2023-01-24 | 2023-12-19 | Aviz Networks, Inc. | Systems and methods for accurate monitoring and reporting of flows impacted due to link failures in data centers |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878141A (zh) * | 2005-05-20 | 2006-12-13 | 阿拉克斯拉网络株式会社 | 网络控制装置及其控制方法 |
| CN1946077A (zh) * | 2005-07-08 | 2007-04-11 | 阿尔卡特公司 | 基于及早通知检测异常业务的系统和方法 |
| US20070153689A1 (en) * | 2006-01-03 | 2007-07-05 | Alcatel | Method and apparatus for monitoring malicious traffic in communication networks |
| US20120216282A1 (en) * | 2011-02-17 | 2012-08-23 | Sable Networks, Inc. | METHODS AND SYSTEMS FOR DETECTING AND MITIGATING A HIGH-RATE DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7639613B1 (en) * | 2005-06-24 | 2009-12-29 | Packeteer, Inc. | Adaptive, flow-based network traffic measurement and monitoring system |
| CN100502356C (zh) * | 2005-11-16 | 2009-06-17 | 中兴通讯股份有限公司 | 一种基于多级聚集的异常流量控制方法与系统 |
| US8248928B1 (en) * | 2007-10-09 | 2012-08-21 | Foundry Networks, Llc | Monitoring server load balancing |
| US7764625B2 (en) * | 2008-06-10 | 2010-07-27 | At&T Intellectual Property I, L.P. | Algorithms and estimators for summarization of unaggregated data streams |
| JP5451889B2 (ja) * | 2009-10-09 | 2014-03-26 | エヌイーシー ヨーロッパ リミテッド | ネットワーク内のトラフィックをモニタリングする方法およびネットワーク |
| US8503307B2 (en) * | 2010-05-10 | 2013-08-06 | Hewlett-Packard Development Company, L.P. | Distributing decision making in a centralized flow routing system |
| EP2688256A4 (en) * | 2011-03-18 | 2014-08-27 | Nec Corp | NETWORK SYSTEM AND SWITCHING METHOD |
| US8593958B2 (en) | 2011-09-14 | 2013-11-26 | Telefonaktiebologet L M Ericsson (Publ) | Network-wide flow monitoring in split architecture networks |
| US8767754B1 (en) * | 2012-04-23 | 2014-07-01 | Wichorus, Inc. | Method and apparatus for providing distributed load balancing of subscriber sessions in a multi-slot gateway |
| US20140280338A1 (en) * | 2013-03-14 | 2014-09-18 | Cisco Technology, Inc. | Distributed network analytics |
-
2013
- 2013-04-29 US US13/872,855 patent/US9692775B2/en active Active
-
2014
- 2014-03-31 CN CN201910417845.3A patent/CN110266556A/zh active Pending
- 2014-03-31 WO PCT/IB2014/060333 patent/WO2014177952A2/en active Application Filing
- 2014-03-31 EP EP14719107.6A patent/EP2992647B1/en active Active
- 2014-03-31 CN CN201480037276.5A patent/CN105493450B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1878141A (zh) * | 2005-05-20 | 2006-12-13 | 阿拉克斯拉网络株式会社 | 网络控制装置及其控制方法 |
| CN1946077A (zh) * | 2005-07-08 | 2007-04-11 | 阿尔卡特公司 | 基于及早通知检测异常业务的系统和方法 |
| US20070153689A1 (en) * | 2006-01-03 | 2007-07-05 | Alcatel | Method and apparatus for monitoring malicious traffic in communication networks |
| US20120216282A1 (en) * | 2011-02-17 | 2012-08-23 | Sable Networks, Inc. | METHODS AND SYSTEMS FOR DETECTING AND MITIGATING A HIGH-RATE DISTRIBUTED DENIAL OF SERVICE (DDoS) ATTACK |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111311912A (zh) * | 2020-02-25 | 2020-06-19 | 北京天融信网络安全技术有限公司 | 车联网检测数据确定方法、装置及电子设备 |
| CN111311912B (zh) * | 2020-02-25 | 2021-08-24 | 北京天融信网络安全技术有限公司 | 车联网检测数据确定方法、装置及电子设备 |
| CN113938844A (zh) * | 2021-10-25 | 2022-01-14 | 深圳市中装云科技有限公司 | 网络连接监控方法、系统、计算机设备和存储介质 |
| CN116244081A (zh) * | 2023-03-10 | 2023-06-09 | 苏州亿铸智能科技有限公司 | 一种多核存算一体加速器网络拓扑结构控制系统 |
| CN116244081B (zh) * | 2023-03-10 | 2023-09-19 | 苏州亿铸智能科技有限公司 | 一种多核存算一体加速器网络拓扑结构控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2992647B1 (en) | 2018-02-14 |
| US20140325649A1 (en) | 2014-10-30 |
| EP2992647A2 (en) | 2016-03-09 |
| CN105493450B (zh) | 2019-04-23 |
| US9692775B2 (en) | 2017-06-27 |
| CN105493450A (zh) | 2016-04-13 |
| WO2014177952A3 (en) | 2015-06-25 |
| WO2014177952A2 (en) | 2014-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105493450B (zh) | 动态检测网络中的业务异常的方法和系统 | |
| EP3223486B1 (en) | Distributed anomaly detection management | |
| JP6013486B2 (ja) | スプリットアーキテクチャネットワークにおけるネットワークワイドなフローモニタリング | |
| EP3304822B1 (en) | Method and apparatus for grouping features into classes with selected class boundaries for use in anomaly detection | |
| US10009364B2 (en) | Gathering flow characteristics for anomaly detection systems in presence of asymmetrical routing | |
| US10187413B2 (en) | Network-based approach for training supervised learning classifiers | |
| JP4774357B2 (ja) | 統計情報収集システム及び統計情報収集装置 | |
| US10581901B2 (en) | Increased granularity and anomaly correlation using multi-layer distributed analytics in the network | |
| EP3151470B1 (en) | Analytics for a distributed network | |
| US20160359695A1 (en) | Network behavior data collection and analytics for anomaly detection | |
| KR101409563B1 (ko) | 애플리케이션 프로토콜 식별 방법 및 장치 | |
| CN110830469A (zh) | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 | |
| EP1511220B1 (en) | Non-intrusive method for routing policy discovery | |
| CN108028778A (zh) | 生成信息传输性能警告的方法、系统和装置 | |
| EP3304823A1 (en) | Method and apparatus for computing cell density based rareness for use in anomaly detection | |
| CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| CN114531273A (zh) | 一种防御工业网络系统分布式拒绝服务攻击的方法 | |
| JP6970344B2 (ja) | 感染拡大攻撃検知装置、攻撃元特定方法及びプログラム | |
| TWI704782B (zh) | 骨幹網路異常流量偵測方法和系統 | |
| JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
| Feamster | Implications of the software defined networking revolution for technology policy | |
| Saucez | Low-level design specification of the machine learning engine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190920 |
|
| RJ01 | Rejection of invention patent application after publication |