CN112751712A - 一种基于网络的流量可视化方法、装置及设备 - Google Patents

一种基于网络的流量可视化方法、装置及设备 Download PDF

Info

Publication number
CN112751712A
CN112751712A CN202011612517.8A CN202011612517A CN112751712A CN 112751712 A CN112751712 A CN 112751712A CN 202011612517 A CN202011612517 A CN 202011612517A CN 112751712 A CN112751712 A CN 112751712A
Authority
CN
China
Prior art keywords
flow
traffic
access type
target
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011612517.8A
Other languages
English (en)
Other versions
CN112751712B (zh
Inventor
叶晓虎
何恐
张龙
陈聪
张小勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202011612517.8A priority Critical patent/CN112751712B/zh
Publication of CN112751712A publication Critical patent/CN112751712A/zh
Application granted granted Critical
Publication of CN112751712B publication Critical patent/CN112751712B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本申请涉及网络安全技术领域,提供一种基于网络的流量可视化方法、装置及设备,用于全面地展示网络流量的流量信息。该方法包括:获取每种流量访问类型的流量参数;所述流量参数包括攻击目的端的攻击流量的攻击流量参数,以及正常访问所述目的端的业务流量的业务流量参数;根据每种流量访问类型相应的攻击流量参数,确定对应流量访问类型的威胁度;所述威胁度用于表示对应流量访问类型对所述目的端的威胁程度;根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数;以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数。

Description

一种基于网络的流量可视化方法、装置及设备
技术领域
本申请涉及网络安全技术领域,具体涉及一种基于网络的流量可视化方法、装置及设备。
背景技术
访问设备的网络流量包括正常访问设备的业务流量和攻击设备的攻击流量。为了网络安全,一般需要访问设备的网络流量进行分析,并对分析结果进行展示,以便于用户及时发现安全问题。
目前,一般是通过统计表来展示网络流量的流量信息,例如统计流量大小,获得关于流量大小的统计表,而统计表往往根据较为单一的流量信息生成的,因此导致展示的流量信息不够全面。
发明内容
本申请实施例提供一种基于网络的流量可视化方法、装置及设备,用于全面地展示网络的流量信息。
第一方面,提供一种基于网络的流量可视化方法,包括:
获取每种流量访问类型的流量参数;所述流量参数包括攻击目的端的攻击流量的攻击流量参数,以及正常访问所述目的端的业务流量的业务流量参数;
根据每种流量访问类型相应的攻击流量参数,确定对应流量访问类型的威胁度;所述威胁度用于表示对应流量访问类型对所述目的端的威胁程度;
根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数;
以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数。
本申请实施例中,每种流量访问类型的流量参数包括攻击目的端的攻击流量的攻击流量参数,以及正常访问目的端的业务流量的业务流量参数,根据攻击流量参数,确定威胁度,提供了一种量化威胁度的方式,以便后续用户根据威胁度获得对应流量访问类型对目的端的威胁程度。且,本申请实施例根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数,使可视化展示参数在一定程度上表现了对应流量访问类型对目的端的威胁程度、攻击流量和业务流量等多方面的流量信息。且,本申请实施例以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数,以便用户查看到不同流量访问类型的多个可视化展示参数,全面了解流量信息,进而可以对流量进行分析,以便及时发现威胁程度较大的攻击流量。
在一种可能的实施例中,所述攻击流量参数包括接收数据包频率、攻击所述目的端的攻击时长、攻击所述目的端的源地址数量、以及接收数据包的重复率;根据每种流量访问类型相应的攻击流量参数,确定对应流量访问类型的威胁度,包括:
根据对应流量访问类型的接收数据包频率、攻击时长、源地址数量和重复率,确定所述对应流量访问类型的威胁度;所述威胁度与接收数据包频率、攻击时长、源地址数量和重复率中每一参数均正相关。
本实施例中,接收数据包频率、攻击目的端的攻击时长、攻击目的端的源地址数量以及接收数据包的重复率均与威胁度正相关,根据这四个对目的端有威胁的攻击流量参数确定威胁度,更能反映对应流量访问类型对目的端的威胁程度,从而使得获得的威胁度更具有参考价值。
在一种可能的实施例中,根据对应流量访问类型的接收数据包频率、攻击时长、源地址数量和重复率,确定对应流量访问类型的威胁度,包括:
分别将对应访问类型相应的接收数据包频率、攻击时长、源地址数量和重复率以向量表示,以获得四个向量表示;
将对应访问类型的四个向量表示相加取模的一半,获得对应访问类型的威胁度。
本实施例中,将对应访问类型相应的接收数据包频率、攻击时长、源地址数量和重复率用向量表示,通过向量可以直观地展示各个参数的大小和方向,且提供了一种计算威胁度的具体方式,便于后续利用威胁度来展示对应流量访问类型对目的端的威胁程度。
在一种可能的实施例中,根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数,包括:
根据对应流量访问类型的威胁度,确定目标图形的第一类参数的取值;所述目标图形为确定用于展示对应流量访问类型的攻击流量和业务流量的图形;
根据对应流量访问类型的攻击流量参数,确定目标图形的第二类参数的取值;
根据对应流量访问类型的业务流量参数,确定目标图形的第三类参数的取值。
本实施例中,每种流量访问类型对应的流量包括攻击流量和业务流量,攻击流量包括多个攻击流量参数,业务流量包括多个业务流量参数,将流量参数分为三类,分别确定目标图形的第一类参数、第二类参数、以及第三类参数,进而可以通过展示目标图形不同方面的类参数,以便用户直观地看到不同方面的流量信息。
在一种可能的实施例中,所述第一类参数为目标图形的颜色;根据对应流量访问类型的威胁度,确定目标图形的第一类参数的取值,包括:
根据对应流量访问类型的威胁度,分别确定各颜色通道的取值,以获得目标图形的颜色的取值。
本实施例中,将威胁度转换为用户更为敏感的颜色信息,通过颜色可以直观展示威胁度,也就是直观展示对应流量访问类型中攻击流量对目的端的威胁程度,以便用户根据颜色直观地查看每种流量访问类型中攻击流量对目的端的威胁程度。
在一种可能的实施例中,根据对应流量访问类型的威胁度,分别确定各颜色通道的取值,包括:
确定对应访问类型的威胁度,以及各颜色通道各自对应的预设阈值之间的乘积,以获得各颜色通道的取值。
本实施例中,将威胁度与各颜色通道各自对应的预设阈值之间的乘积,确定为各颜色通道的取值,各颜色通道的取值不同,对应的目标图形的颜色不同,当有多种流量访问类型时,以便用户根据颜色直接区分出不同流量访问类型。
在一种可能的实施例中,所述攻击流量参数包括接收数据包频率、攻击所述目的端的攻击时长、攻击所述目的端的源地址数量、接收数据包的重复率、以及攻击流量的流量大小,所述对应流量访问类型的第二类参数包括目标图形中的一组成部分分别在第一方向和第二方向上的尺寸;所述第一方向与所述第二方向呈相互垂直;所述业务流量参数包括业务流量的流量大小、以及正常访问所述目的端的访问时长,对应流量访问类型的第三类参数包括目标图形中的另一组成部分分别在第一方向和第二方向上的尺寸;
根据对应流量访问类型的攻击流量参数,确定目标图形的第二类参数的取值,包括:
根据对应流量访问类型的攻击流量的流量大小,确定一组成部分在第一方向上的尺寸;
根据对应流量访问类型相应的攻击时长,确定一组成部分在第二方向上的尺寸;
根据对应流量访问类型的业务流量参数,确定目标图形的第三类参数的取值,包括:
根据对应流量访问类型的业务流量的流量大小,确定另一组成部分在第一方向上的尺寸;
根据对应流量访问类型的访问时长,确定另一组成部分在第二方向上的尺寸。
本实施例中,目标图形包括两个组成部分,其中一组成部分的尺寸是基于攻击流量的攻击流量参数确定的,其中另一组成部分的尺寸是基于业务流量的业务流量参数确定的,以便用户通过查看目标图形的一组成部分的尺寸能直接获取攻击流量部分的流量信息,以及通过查看目标图形的另一组成部分的尺寸能直接获取业务流量部分的流量信息。
在一种可能的实施例中,访问所述目的端的流量访问类型包括多种流量访问类型,其中每种流量访问类型对应一个目标图形;以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数,包括:
从多种流量访问类型对应的多个目标图形中,确定出在第一方向上的尺寸最大的第一目标图形;每个目标图形在第一方向上的尺寸为一组成部分在第一方向的尺寸和另一部分在第一方向上的尺寸之和;
将所述多个目标图形中除所述第一目标图形之外的其它目标图形,以所述第一目标图形为中心进行分布。
本实施例中,以第一方向的尺寸最大的第一目标图形为中心,将多个目标图形中除第一目标图形之外的其它目标图形进行分布,以便用户直接比对各目标图形在第一方向上的尺寸大小,获得各种流量访问类型的流量大小关系。且,本申请实施例通过分布多个目标图形可以展示多种流量访问类型,以便用户同时查看多种流量访问类型的流量信息。
在一种可能的实施例中,所述目标图形中的一组成部分和另一组成部位均为圆柱体,目标图形在第一方向上的尺寸为所述一组成部分和所述另一组成部分各自截面圆的半径之和,将所述多个目标图形中除所述第一目标图形之外的其它目标图形,以所述第一目标图形为中心进行分布,包括:
以所述第一目标图形中截面圆的圆心为坐标原点,将所述其它目标图形,按照在第一方向上的尺寸从大到小的顺序,依次与所述第一目标图形呈外切形式进行分布。
本实施例中,以多个圆柱体的形式来展示每种流量访问类型,将流量抽象成圆柱体,更符合用户的思维习惯,通过圆柱的半径、高度等可以形象地将各种流量信息展示出来,直观地展示了流量信息。且,将所有目标图形呈外切形式进行分布,提升流量可视化展示的美观程度,提升了用户的视觉体验。
在一种可能的实施例中,将所述多个目标图形中除所述第一目标图形之外的其他目标图形,以所述第一目标图形为中心,进行分布,包括:
若与所述第一目标图形呈外切形式分布的位置无法容纳所述其它目标图形中的剩余目标图形,则以所述其它目标图形中已分布的目标图形为中心,依次分布所述剩余目标图形。
本实施例中,若与第一目标图形呈外切形式分布的位置无法容纳其它目标图形中的剩余目标图形,以其它目标图形中已分布的目标图形为中心,依次分布剩余目标图形,尽可能使所有目标图形以相互外切的形式分布在一个视图中,以便用户仅通过一个视图就可以查看多种流量参数,获得多方面的流量信息,进一步提升了用户的体验。
第二方面,提供一种基于网络的流量可视化装置,包括:
获取模块,用于获取每种流量访问类型的流量参数;所述流量参数包括攻击目的端的攻击流量的攻击流量参数,以及正常访问所述目的端的业务流量的业务流量参数;
确定模块,用于根据每种流量访问类型相应的攻击流量参数,确定对应访问类型的威胁度;所述威胁度用于表示对应流量访问类型对所述目的端的威胁程度;以及,根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数;
展示模块,用于以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数。
第三方面,提供一种基于网络的流量可视化设备,包括:
至少一个处理器,以及
与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现如第一方面中任一项所述的方法。
第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如第一方面中任一项所述的方法。
附图说明
图1为本申请实施例提供的一种基于网络的流量可视化方法的应用场景图;
图2为本申请实施例提供的一种基于网络的流量可视化方法的流程图;
图3为本申请实施例提供的攻击时长与第二方向上的尺寸的关系示意图;
图4A为本申请实施例提供的一种流量访问类型的可视化参数的综合效果图;
图4B为本申请实施例提供的一种流量访问类型的可视化参数的截面效果图;
图5A为本申请实施例提供的多种流量访问类型的可视化参数的综合效果图;
图5B为本申请实施例提供的多种流量访问类型的可视化参数的截面效果图;
图6为本申请实施例提供的一种基于网络的流量可视化装置的结构示意图;
图7为本申请实施例提供的一种基于网络的流量可视化设备的结构示意图。
具体实施方式
为了更好的理解本申请实施例提供的技术方案,下面将结合说明书附图以及具体的实施方式进行详细的说明。
为了全面地展示网络的流量信息,本申请实施例提供一种基于网络的流量可视化方法,该方法可以由基于网络的流量可视化设备执行。为了简化描述,下文中将基于网络的流量可视化设备简称为可视化设备。可视化设备可以通过终端或服务器实现,终端例如个人计算机、手机、或嵌入式设备等,嵌入式设备例如摄像头等,服务器例如实体服务或虚拟服务器等。下面对该可视化设备的部署示意图进行说明。
请参照图1,为可视化设备的部署示意图,或可以理解为本申请实施例涉及的基于网络的流量可视化方法的应用场景图,该应用场景包括源端110、目的端120和可视化设备130,其中每个设备均包括对应具有网际互连协议(Internet Protocol,IP)地址。其中,各个设备可以部署在相同的地方,或者部署在不同的地方,例如源端110部署在北京,目的端120部署在上海。
在源端110访问目的端120时,例如目的端120为某个网站所对应的服务器,源端110可以通过网页访问目的端120,源端110会向目的端发送数据包,而发送数据包的过程会产生相应的网络流量,目的端120在接收数据包时,自然能够获取该网络流量的流量参数,进一步可以将网络流量发送给可视化设备130。也可以是可视化设备130从目的端120中主动问询该网络流量的流量参数。可视化设备130获得流量参数之后,对流量参数进行处理,得到可视化展示参数,并以处理后的可视化展示参数,展示该网络流量的流量参数。其中,可视化设备130处理流量参数以及展示流量参数的方法将在下文中进行介绍。
图1中是以目的端120和可视化设备130为两个相互独立的设备为例,但是实际上,目的端120也可以是与可视化设备130耦合,或者目的端120和可视化设备130为同一个设备。
基于图1论述的应用场景,下面对本申请实施例涉及的一种基于网络的流量可视化方法进行介绍。请参照图2,为本申请实施例提供的一种基于网络的流量可视化方法的流程图,该方法包括:
S210,可视化设备130获取每种流量访问类型的流量参数。
源端110和目的端120之间的流量访问类型有多种,例如传输控制协议(Transmission Control Protocol,TCP)对应的流量访问类型、用户数据报协议(UserDatagram Protocol,UDP)对应的流量访问类型等,其中,TCP对应的流量访问类型可以为源端110和目的端120之间提供可靠的通信服务,UDP对应的流量访问类型可以为源端110和目的端120之间提供最大努力的通信服务。
在源端110访问目的端120的过程中,可能存在一种或多种访问类型的流量,每种流量访问类型所对应的流量一般是包括正常访问目的端120的业务流量,以及用于攻击目的端120的攻击流量,当然在目的端120的访问流量较小的情况下,可能只存在其中的一种。业务流量指源端110正常访问目的端120产生的流量,例如正常访问的超文本传输协议(HyperText Transfer Protocol,HTTP)请求、文件传输协议(File Transfer Protocol,FTP)交互等产生的流量。攻击流量是指源端110攻击目的端120产生的流量,例如构造出的表面看似合法的TCP、UDP发送至目的端120,或者利用TCP和HTTP等协议定义来消耗目的端120的计算机资源以达到拒绝正常访问的目的,例如,HTTP半开攻击。
由于每种流量访问类型所对应的流量包括业务流量和攻击流量,相应的,每种流量访问类型的流量参数包括攻击流量的攻击流量参数,以及业务流量的业务流量参数。需要说明的是,业务流量的流量参数和攻击流量的流量参数的取值均与时长相关,因此本申请实施例中业务流量的流量参数和攻击流量的流量参数均是预设时长内所对应的流量参数。
攻击流量参数包括攻击流量的流量大小、接收数据包频率、攻击时长、源地址数量和重复率中的一种或多种。下面对各个参数的含义以及获取方式进行示例介绍:
(1)攻击流量的流量大小表示源端110攻击目的端120所对应的流量大小。可视化设备130可以在源端110攻击目的端120过程中,根据预设时长内目的端120接收到的数据包的数量,以及每个数据包的大小,从而获得攻击流量的流量大小。
(2)接收数据包频率表示目的端120接收的数据包的频率。可视化设备130可以根据在预设时长内目的端120接收的数据包的总数量,将数据包的总数量与预设时长的比值确定为接收数据包频率。
(3)攻击时长表示在预设时长内攻击目的端的多个源端中,第一个源端发起攻击到最后一个源端结束攻击的累计时长,可视化设备130可以根据多个源端中第一个源端发起攻击的时间到最后一个源端结束攻击的时间,从而获得攻击时长。
(4)源地址数量表示访问目的端120的IP地址的总数量,可视化设备130可以根据预设时长内,访问目的端120的IP地址的数量,从而获得源地址数量。
(5)重复率表示目的端120接收的数据包中重复包所占的比例。可视化设备130可以根据预设时长内,目的端120接收到的重复包的数量与目的端120接收到的数据包的总数量之间的比值,从而获得重复率。
业务流量参数包括访问时长和业务流量的流量大小中的一种或多种。下面对各个参数的含义以及获取方式进行示例介绍:
(1)访问时长表示在预设时长内正常访问目的端的多个源端中,第一个源端发起正常访问到最后一个源端结束正常访问的累计时长,可视化设备130可以根据多个源端中第一个源端开始正常访问的时间到最后一个源端结束正常访问的时间,从而获得访问时长。
(2)业务流量的流量大小表示源端110正常访问目的端120所产生的数据量大小,可视化设备130可以在源端110正常访问目的端120过程中,根据预设时长内目的端120接收到的数据包的数量,以及每个数据包的大小,从而获得业务流量的流量大小。
S220,可视化设备130根据每种流量访问类型相应的攻击流量参数,确定对应流量访问类型的威胁度。
考虑到攻击流量会对目的端120产生威胁,不同流量访问类型的攻击流量对目的端120的威胁程度不同,某些攻击流量不会影响目的端的工作,而有些攻击流量则可能导致目的端120无法正常运行,因此为了便于用户直观地确定各种流量访问类型下的攻击流量的威胁程度,在本申请实施例中可视化设备130可以根据每种流量访问类型相应的攻击流量参数,确定对应流量访问类型的威胁度。威胁度用于表示对应流量访问类型的攻击流量对目的端120的威胁程度。
本申请实施例中,威胁度可以基于攻击流量的流量参数计算得到,具体可以利用接收数据包频率、攻击时长、源地址数量和重复率,计算威胁度。其中,威胁度与接收数据包频率、攻击时长、源地址数量、重复率正相关。
可视化设备130计算威胁度的方式有多种,具体示例如下:
一、可视化设备130对对应流量访问类型相应的接收数据包频率、攻击时长、源地址数量和重复率进行加权,获得加权求和结果,并根据加权求和结果获得对应流量访问类型的威胁度。
具体的,针对接收数据包频率、攻击时长、源地址数量和重复率四个参数,可视化设备130可以对每个参数设置相同的权值,例如权值均为25%,或者可以对每个参数设置不同的权值,例如参数的取值越大,相应的权值就越大。例如,权值分别为40%、30%、20%和10%,获得加权求和结果。可视化设备130可以直接将加权求和结果确定为对应流量访问类型的威胁度,也可以将加权求和结果的平均值确定为对应流量访问类型的威胁度,还可以将加权求和结果的倒数确定为对应流量访问类型的威胁度。例如,对应流量访问类型的加权求和结果为40,可以将40,或40/4=10,或1/40确定为对应流量访问类型的威胁度。
二、可视化设备130分别将对应流量访问类型相应的接收数据包频率、攻击时长、源地址数量和重复率采用向量表示,以获得四个向量表示,并根据对应流量访问类型的四个向量表示相加取模的一半,获得对应流量访问类型的威胁度。
例如,可视化设备130将接收数据包频率作为第一个列向量的第一行的元素,其余三行的元素为0;将攻击时长作为第二个列向量的第二行的元素,其余三行的元素为0;将源地址数量作为第三个列向量的第三行的元素,其余三行的元素为0;将重复率作为第四个列向量的第四行的元素,其余三行的元素为0。可视化设备130将对应流量访问类型的四个列向量相加取模的一半,获得对应流量访问类型的威胁度。
进一步,为了使威胁度的取值小于1,方便后续对威胁度的处理,在确定攻击流量的流量参数的向量表示时,可视化设备130可以分别将接收数据包频率、攻击时长、源地址数量的反正切函数作为各自向量表示中的向量值。
例如,第n种流量访问类型相应的接收数据包频率、攻击时长、源地址数量和重复率的向量分别表示为:
Figure BDA0002873288730000121
威胁度的计算公式如下:
Figure BDA0002873288730000122
其中,cn表示第n种流量访问类型相应的威胁度。Fn表示第n种流量访问类型相应的接收数据包频率。Tn表示第n种流量访问类型相应的攻击时长。Nn表示第n种流量访问类型相应的源地址数量。Dn表示第n种流量访问类型相应的重复率。
S230,可视化设备130根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数。
为了确定每种流量访问类型的攻击流量和业务流量相应的可视化展示的形式,可视化设备130可以先确定目标图形,用目标图形展示对应流量访问类型的攻击流量和业务流量。
目标图形可以为二维图形,例如圆形、正方形等,为了展示更多的流量参数信息,目标图形还可以为三维立体图形,例如圆柱体、正方体等。每种流量访问类型对应一个目标图形。
为了便于用户对比各个流量访问类型,不同流量访问类型的目标图形可以是相同的,例如,TCP对应的流量访问类型的目标图形是圆柱体,UDP对应的流量访问类型的目标图形也是圆柱体。不同流量访问类型的目标图形也可以是不同的,例如,TCP对应的流量访问类型的目标图形是圆柱体,UDP对应的流量访问类型的目标图形是正方体。
为了区分不同流量访问类型的威胁度,以方便用户直观看到各种流量访问类型对目的端的威胁程度,可视化设备130在确定每个流量访问类型的威胁度之后,可以根据威胁度确定目标图形的第一类参数的取值,第一类参数指每个目标图形的颜色。
具体的,可视化设备130根据对应流量访问类型的威胁度,分别确定各颜色通道的取值,以获得目标图形的颜色的取值。
可视化设备130对每个颜色通道设置一个预设阈值,每个颜色通道的预设阈值可以相同或者不同,分别确定对应流量访问类型的威胁度与各颜色通道各自对应的预设阈值之间的乘积,以获得各颜色通道的取值,进而根据各颜色通道的取值,获得目标图形的颜色的取值。
例如,使用RGB颜色通道,第n种流量访问类型相应的威胁度为cn,对于第n种流量访问类型的目标图形,其R通道的取值为255×(1-cn),G通道的取值为255×cn,B通道的取值为0,可视化设备130根据三个颜色通道的取值,即可获得目标图形的颜色。
进一步,可视化设备130在确定目标图形的颜色之后,则确定对应流量访问类型的攻击流量和业务流量均为该颜色,为了区分每种流量访问类型中的攻击流量和业务流量,可视化设备130可以为攻击流量和业务流量分别设置不同阈值的透明度。例如攻击流量的透明度为100%,业务流量的透明度为20%。
或者例如,使用HSV通道,第n种流量访问类型相应的威胁度为cn,对于攻击流量,其H通道的取值为3600×cn,S通道的取值为100%×cn,V通道的取值为100%。对于业务流量,其H通道的取值为3600×cn,S通道的取值为100%×cn,V通道的取值为20%。
由于每种流量访问类型对应的流量包括业务流量和攻击流量,而业务流量和攻击流量又分别包括多个流量参数,所以本申请实施例中是把每个目标图形划分为两个组成部分,其中一组成部分表示每种流量访问类型的攻击流量,另一组成部分表示每种流量访问类型的业务流量,分别根据每个组成部分的流量参数,确定该组成部分在第一方向和第二方向上的尺寸。其中,第一方向与第二方向呈两个相互垂直的方向,例如,若第一方向为水平方向,第一方向上的尺寸为长度、宽度、半径等,则第二方向为垂直方向,第二方向上的尺寸为高度等。
下面对本申请实施例中确定一组成部分所对应的第二类参数的方式进行示例:
具体的,第二类参数包括A1:目标图形的一组成部分在第一方向上的尺寸,以及A2:目标图形的一组成部分在第二方向上的尺寸。
下面对计算A1的方式进行示例:
可视化设备130可以直接将对应流量访问类型的攻击流量的流量大小,确定为目标图形的一组成部分在第一方向上的尺寸,还可以将攻击流量的流量大小的根号值,确定为目标图形的一组成部分在第一方向上的尺寸。
例如,假设目标图形的一组成部分为圆柱体,则目标图形的一组成部分在第一方向上的尺寸就是圆柱体的截面圆的半径,其计算公式如下:
Figure BDA0002873288730000141
其中,s1表示攻击流量的流量大小,r1表示圆柱体的截面圆的半径。
假设目标图形的一组成部分为正方体,则目标图形的一组成部分在第一方向上的尺寸就是该正方体的截面的边长,其计算公式如下:
Figure BDA0002873288730000151
其中,s1表示攻击流量的流量大小,r1表示正方体的截面的边长。
下面对计算A2的方式进行示例:
可视化设备130可以直接将对应流量访问类型相应的攻击时长,确定为目标图形的一组成部分在第二方向上的尺寸,还可以将攻击时长的根号值确定为目标图形的一组成部分在第二方向上的尺寸。
例如,目标图形的一组成部分在第二方向上的尺寸的计算公式如下:
Figure BDA0002873288730000152
其中,l1表示目标图形的一组成部分在第二方向上的尺寸;t1表示攻击时长。
请参照图3,为本申请实施例提供的攻击时长与第二方向的尺寸的关系示意图。其中,横坐标t1表示攻击时长,纵坐标l1表示目标图形的一组成部分在第二方向上的尺寸,可以看出,随着攻击时长的增加,第二方向上的尺寸先迅速增长,后缓慢增长。
下面对本申请实施例中确定另一组成部分所对应的第三类参数的方式进行示例:
具体的,第三类参数包括A3:目标图形的另一组成部分在第一方向上的尺寸,以及A4:目标图形的另一组成部分在第二方向上的尺寸。
下面对计算A3的方式进行示例:
可视化设备130可以直接将对应流量访问类型的业务流量的流量大小,确定为目标图形的另一组成部分在第一方向上的尺寸,还可以将业务流量的流量大小的根号值,确定为目标图形的另一组成部分在第一方向上的尺寸。
例如,目标图形的另一组成部分为圆柱体,则另一组成部分在第一方向上的尺寸就是该圆柱体的截面圆的半径,其计算公式如下:
Figure BDA0002873288730000153
其中,s2表示业务流量的流量大小,r2表示圆柱体的截面圆的半径。
下面对计算A4的方式进行示例:
可视化设备130可以直接将对应流量访问类型相应的访问时长,确定为目标图形的另一组成部分在第二方向上的尺寸,还可以将访问时长的根号值,确定为目标图形的另一组成部分在第二方向上的尺寸。
例如,目标图形的另一组成部分在第二方向的尺寸的计算公式如下:
Figure BDA0002873288730000161
其中,l2表示目标图形的另一组成部分在第二方向上的尺寸;t2表示访问时长。
应当说明的是,可视化设备130获取第一类参数、第二图形参和第三类参数的顺序是任意的。
当攻击时长和访问时长相同时,目标图形的一组成部分和另一组成部分在第二方向上的尺寸是相同的。当攻击时长和访问时长不同时,目标图形的一组成部分和另一组成部分在第二方向上的尺寸是不同的。
例如,目标图形的一组成部分和另一组成部分均为圆柱体,一组成部分和另一组成部分在第二方向上的尺寸为圆柱体的高度,两个圆柱体的高度可能是相同或者不同的。
请参照图4A,为本申请实施例提供的一种流量访问类型的可视化参数的综合效果图,展示的就是两个圆柱体高度不同的情况。其中,401表示目标图形的一组成部分,402表示目标图形的另一组成部分,l1表示一组成部分在第二方向上的尺寸,l2表示另一组成部分在第二方向上的尺寸。请参照图4B,为本申请实施例提供的一种流量访问类型的可视化参数的截面效果图,其中,401表示目标图形的一组成部分,402表示目标图形的另一组成部分,r1表示一组成部分在第一方向上的尺寸,r2表示另一组成部分在第一方向上的尺寸。
进一步的,可视化设备130在获得目标图形的两个组成部分在第一方向上的尺寸之后,该目标图形在第一方向上的尺寸即为一组成部分在第一方向上的尺寸和另一部分在第一方向上的尺寸之和。
例如,目标图形的一组成部分和另一组成部分均为圆柱体,第一方向的尺寸为圆柱体的截面圆的半径,则计算目标图形在第一方向上的尺寸的公式如下:
R=r1+r2 (8)
其中,r1表示一组成部分对应的圆柱体的截面圆的半径,r2表示另一组成部分对应的圆柱体的截面圆的半径,R表示目标图形在第一方向上的尺寸。
进一步的,可视化设备130在获得目标图形的两个组成部分在第二方向上的尺寸之后,若两个组成部分在第二方向上的尺寸不同,则该目标图形在第二方向上的尺寸有两个,分别为一组成部分在第二方向上的尺寸和另一组成部分在第二方向上的尺寸。若两个组成部分在第二方向上的尺寸相同,该目标图形在第二方向上的尺寸只有一个,为一组成部分或者另一组成部分在第二方向上的尺寸。
S240,可视化设备130以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数。
可视化设备130在获得每种流量访问类型的可视化展示参数之后,以可视化展示参数来展示对应流量访问类型的流量参数,用户便可根据可视化展示参数直接了解对应流量访问类型的流量参数,进而方便后续根据流量参数对对应流量访问类型进行分析。
由于源端访问目的端的流量访问类型包括多种流量访问类型,其中每种流量访问类型对应一个目标图形,考虑到多个目标图形的分布问题,可视化设备130可以基于多个目标图形在第一方向上的尺寸大小,对多个目标图形进行分布。
可视化设备130可以分别展示不同流量访问类型所对应的目标图形,或可视化设备130可以在一张图上分布各个流量访问类型所对应的目标图形。
可视化设备130可以将多个目标图形进行随意分布,或者按照一定规律进行分布,下面对按一定规律分布的方式进行示例:
1、可视化设备130可以将多种流量访问类型对应的多个目标图形,按第一方向上的尺寸大小,按照一定顺序进行分布,以便用户直观地看出目标图形在第一方向上的尺寸排序。
具体的,可视化设备130可以从多种流量访问类型对应的多个目标图形中,确定出在第一方向上的尺寸最大的第一目标图形,并以第一目标图形的位置为基准,将多个目标图形中除第一目标图形之外的其它目标图形,按照在第一方向上的尺寸从大到小的顺序,依次分布在第一目标图形的右边。
依次分布在第一目标图形的右边包括其他目标图形与第一目标图形之间是无缝隙的或者间隔一定距离进行分布。
例如,目标图形为正方体,其第一方向的尺寸为正方体的截面的边长,从n个正方体中,将边长最大的正方体确定为第一目标图形,从剩余的n-1个正方体中,将边长最大的正方体确定为第二目标图形,将第二目标图形分布在第一目标图形的右边,以此类推,直到分布完n个正方体。
2、可视化设备130可以从多种流量访问类型对应的多个目标图形中,确定出在第一方向上的尺寸最大的第一目标图形,并将多个目标图形中除第一目标图形之外的其它目标图形,以第一目标图形为中心进行分布。在本申请实施例中以第一目标图形为中心进行分布,可以方便用户直接比对各目标图形在第一方向的尺寸大小,获得各种流量访问类型的流量大小关系,还可以流量可视化展示的美观程度。
以第一目标图形为中心进行分布包括其他目标图形与第一目标图形之间是无缝隙的或者间隔一定距离进行分布。
例如,目标图形为正方体,其第一方向的尺寸为正方体的截面的边长,从n个正方体中,将边长最大的正方体确定为第一目标图形,将除第一目标图形之外的剩余的n-1个正方体,以第一目标图形为中心进行分布。
或者例如,将目标图形中的一组成部分和另一组成部位均设置为圆柱体,可视化设备130以外切圆的形式对多个圆柱体进行分布,通过圆柱体的半径和高度等可以形象地将各种流量信息展示出来,直观地展示流量信息。
具体的,目标图形中的一组成部分和另一组成部位均为圆柱体,第一方向上的尺寸为圆柱的截面圆的半径,则目标图形在第一方向的尺寸为一组成部分和另一组成部分各自截面圆的半径之和。可视化设备130以第一目标图形中截面圆的圆心为坐标原点,将其它目标图形,按照在第一方向上的尺寸从大到小的顺序,依次与第一目标图形呈外切形式进行分布。
例如,一共有n个目标图形,可视化设备130对n个目标图形在第一方向上的尺寸,按从大到小的顺序进行排序,获得R1、R2、R3……Rn,以(0,0)为圆心,R1为半径确定第一个目标图形的位置。第二个目标图形设置在第一个目标图形的正下方,以(0,-R1-R2)为圆心,R2为半径确定第二个目标图形的位置。假设第三个目标图形的圆心为(x,y),则存在如下等式:
x2+y2=(R1+R3)2 (9)
x2+(y-(R1+R2))2=(R2+R3)2 (10)
联立公式(9)和(10)可得圆心坐标,当有多个x时,取最大的x值为圆心的横坐标,获得第三个目标图形的圆心坐标为(x3,y3),则以(x3,y3)为圆心,R3为半径设置第三个目标图形的位置,以此类推,获得剩余目标图形的圆心和半径,进而确定n个目标图形的位置。
进一步地,考虑到与第一目标图形的呈外切形式分布的位置有限,若与第一目标图形呈外切形式分布的位置无法容纳其它目标图形中的剩余目标图形,则可视化设备130以其它目标图形中已分布的目标图形为中心,依次分布剩余目标图形,以使所有目标图形都能分布在一个视图中,以便用户仅通过一个视图就可以获得多方面的流量信息。
具体的,可视化设备130可以计算其他目标图形占用的空间,当与第一目标图形的呈外切形式分布的目标图形占用的总空间大于预设阈值,说明与第一目标图形呈外切形式分布的位置无法容纳其它目标图形中的剩余目标图形,则可视化设备130从已分布的目标图形中选择第一方向的尺寸最大的目标图形为中心,依次分布剩余目标图形,以此类推,直到分布完所有的目标图形。
例如,目标图形中的一组成部分和另一组成部位均为圆柱体,假设第n个目标图形的截面圆的方程为:
(x-xn)2+(y-yn)2=rn 2 (11)
其中,(xn,yn)表示第n个目标图形的截面圆的圆心坐标,rn表示第n个目标图形在第一方向的尺寸。
由于第n个目标图形的截面圆的切线过坐标原点,其切线方程为:
y=kx (12)
其中,x表示切线的横坐标,y表示切线的纵坐标,k表示切线的斜率。
根据公式(11)和公式(12),可以得到:
(1+k2)x2-2(1+k)x+xn 2+yn 2-rn 2=0 (13)切线满足:
[-2(1+k)]2-4×(1+k2)(xn 2+yn 2-rn 2)=0 (14)
根据公式(14)获得k值,包括正负两个值,因此存在两条切线,第n个目标图形占用的空间用角度α表示,计算角度α的公式如下:
α=2arctan k (15)
当已分布在第一个目标图形的截面圆的外切圆占用的角度之和大于360度,则可视化设备130从已分布的目标图形中选择第一方向的尺寸最大的目标图形为中心,依次分布剩余目标图形。以此类推,直至分布完所有目标图形。
请参照图5A,为本申请实施例提供的多种流量访问类型的可视化参数的综合效果图,图5A中有多个目标图形,每个目标图形都包括两个组成部分。请参照图5B,为本申请实施例提供的多种流量访问类型的可视化参数的截面效果图,其中,每个目标图形的截面圆的内圆代表每个目标图形的一组成部分,每个目标图形的截面圆的外圆环代表每个目标图形的另一组成部分。
基于同一发明构思,本申请实施例提供一种基于网络的流量可视化装置,该装置相当于设置在前文论述的可视化设备130中,请参照图6,该装置包括获取模块601、确定模块602和展示模块603:
获取模块601,用于获取每种流量访问类型的流量参数;流量参数包括攻击目的端的攻击流量的攻击流量参数,以及正常访问目的端的业务流量的业务流量参数;
确定模块602,用于根据每种流量访问类型相应的攻击流量参数,确定对应访问类型的威胁度;威胁度用于表示对应流量访问类型对目的端的威胁程度以及,根据每种流量访问类型的威胁度、对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数;
展示模块603,用于以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数。
在一种可能的实施例中,攻击流量参数包括接收数据包频率、攻击目的端的攻击时长、攻击目的端的源地址数量、以及接收数据包的重复率;确定模块602具体用于:
根据对应流量访问类型的接收数据包频率、攻击时长、源地址数量和重复率,确定对应流量访问类型的威胁度;威胁度与接收数据包频率、攻击时长、源地址数量和重复率中每一参数均正相关。
在一种可能的实施例中,确定模块602具体用于:
分别将对应访问类型相应的接收数据包频率、攻击时长、源地址数量和重复率以向量表示,以获得四个向量表示;
将对应访问类型的四个向量表示相加取模的一半,获得对应访问类型的威胁度。
在一种可能的实施例中,确定模块602具体用于:
根据对应流量访问类型的威胁度,确定目标图形的第一类参数的取值;目标图形为确定用于展示对应流量访问类型的攻击流量和业务流量的图形;
根据对应流量访问类型的攻击流量参数,确定目标图形的第二类参数的取值;
根据对应流量访问类型的业务流量参数,确定目标图形的第三类参数的取值。
在一种可能的实施例中,第一类参数为目标图形的颜色;确定模块602具体用于:
根据对应流量访问类型的威胁度,分别确定各颜色通道的取值,以获得目标图形的颜色的取值。
在一种可能的实施例中,确定模块602具体用于:
确定对应访问类型的威胁度,以及各颜色通道各自对应的预设阈值之间的乘积,以获得各颜色通道的取值。
在一种可能的实施例中,攻击流量参数包括接收数据包频率、攻击目的端的攻击时长、攻击目的端的源地址数量、接收数据包的重复率、以及攻击流量的流量大小,对应流量访问类型的第二类参数包括目标图形中的一组成部分分别在第一方向和第二方向上的尺寸;第一方向与第二方向呈相互垂直;业务流量参数包括业务流量大小、以及正常访问目的端的访问时长,对应流量访问类型的第三类参数包括目标图形中的另一组成部分分别在第一方向和第二方向上的尺寸;确定模块602具体用于:
根据对应流量访问类型的攻击流量的流量大小,确定一组成部分在第一方向上的尺寸;
根据对应流量访问类型相应的攻击时长,确定一组成部分在第二方向上的尺寸;
在一种可能的实施例中,确定模块602具体用于:
根据对应流量访问类型的业务流量的流量大小,确定另一组成部分在第一方向上的尺寸;
根据对应流量访问类型的访问时长,确定另一组成部分在第二方向上的尺寸。
在一种可能的实施例中,访问目的端的流量访问类型包括多种流量访问类型,其中每种流量访问类型对应一个目标图形;展示模块603具体用于:
从多种流量访问类型对应的多个目标图形中,确定出在第一方向上的尺寸最大的第一目标图形;每个目标图形在第一方向上的尺寸为一组成部分在第一方向的尺寸和另一部分在第一方向上的尺寸之和;
将多个目标图形中除第一目标图形之外的其它目标图形,以第一目标图形为中心进行分布。
在一种可能的实施例中,目标图形中的一组成部分和另一组成部位均为圆柱体,目标图形在第一方向上的尺寸为一组成部分和另一组成部分各自截面圆的半径之和;展示模块603具体用于:
以第一目标图形中截面圆的圆心为坐标原点,将其它目标图形,按照在第一方向上的尺寸从大到小的顺序,依次与第一目标图形呈外切形式进行分布。
在一种可能的实施例中,展示模块603具体用于:
若与第一目标图形呈外切形式分布的位置无法容纳其它目标图形中的剩余目标图形,则以其它目标图形中已分布的目标图形为中心,依次分布剩余目标图形。
应当说明的是,本申请实施例中的基于网络的流量可视化装置可以实现前文论述的基于网络的流量可视化方法,此处不再赘述。
基于同一发明构思,本申请实施例提供一种基于网络的流量可视化设备,相当于前文论述的可视化设备130,包括:
至少一个处理器701,以及
与至少一个处理器701通信连接的存储器702;
其中,存储器702存储有可被至少一个处理器701执行的指令,至少一个处理器701通过执行存储器702存储的指令实现如图2所述的基于网络的流量可视化方法。
处理器701可以是一个中央处理单元(central processing unit,CPU),或者为数字处理单元、或为图像处理器等中的一种或多种组合。存储器702可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1002也可以是非易失性存储器(non-volatile memory),例如只读存储器,快闪存储器(flashmemory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器702可以是上述存储器的组合。
作为一种实施例,图7中的处理器701可以实现前文论述的基于网络的流量可视化方法,处理器701还可以实现前文论述的基于网络的流量可视化设备130的功能,处理器701还可以实现前文图6论述的装置的功能。
基于同一发明构思,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,当计算机指令在计算机上运行时,使得计算机执行如图2所述的基于网络的流量可视化方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种基于网络的流量可视化方法,其特征在于,包括:
获取每种流量访问类型的流量参数;所述流量参数包括攻击目的端的攻击流量的攻击流量参数,以及正常访问所述目的端的业务流量的业务流量参数;
根据每种流量访问类型相应的攻击流量参数,确定对应流量访问类型的威胁度;所述威胁度用于表示对应流量访问类型的攻击流量对所述目的端的威胁程度;
根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数;
以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数。
2.如权利要求1所述的方法,其特征在于,所述攻击流量参数包括接收数据包频率、攻击所述目的端的攻击时长、攻击所述目的端的源地址数量、以及接收数据包的重复率;根据每种流量访问类型相应的攻击流量参数,确定对应流量访问类型的威胁度,包括:
根据对应流量访问类型的接收数据包频率、攻击时长、源地址数量和重复率,确定所述对应流量访问类型的威胁度;所述威胁度与接收数据包频率、攻击时长、源地址数量和重复率中每一参数均正相关。
3.如权利要求1所述的方法,其特征在于,根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数,包括:
根据对应流量访问类型的威胁度,确定目标图形的第一类参数的取值;所述目标图形为确定用于展示对应流量访问类型的攻击流量和业务流量的图形;
根据对应流量访问类型的攻击流量参数,确定目标图形的第二类参数的取值;
根据对应流量访问类型的业务流量参数,确定目标图形的第三类参数的取值。
4.如权利要求3所述的方法,其特征在于,所述第一类参数为目标图形的颜色;根据对应流量访问类型的威胁度,确定目标图形的第一类参数的取值,包括:
根据对应流量访问类型的威胁度,分别确定各颜色通道的取值,以获得目标图形的颜色的取值。
5.如权利要求3所述的方法,其特征在于,所述攻击流量参数包括接收数据包频率、攻击所述目的端的攻击时长、攻击所述目的端的源地址数量、接收数据包的重复率、以及攻击流量的流量大小,所述对应流量访问类型的第二类参数包括目标图形中的一组成部分分别在第一方向和第二方向上的尺寸;所述第一方向与所述第二方向呈相互垂直;所述业务流量参数包括业务流量的流量大小、以及正常访问所述目的端的访问时长,对应流量访问类型的第三类参数包括目标图形中的另一组成部分分别在第一方向和第二方向上的尺寸;
根据对应流量访问类型的攻击流量参数,确定目标图形的第二类参数的取值,包括:
根据对应流量访问类型的攻击流量的流量大小,确定一组成部分在第一方向上的尺寸;
根据对应流量访问类型相应的攻击时长,确定一组成部分在第二方向上的尺寸;
根据对应流量访问类型的业务流量参数,确定目标图形的第三类参数的取值,包括:
根据对应流量访问类型的业务流量的流量大小,确定另一组成部分在第一方向上的尺寸;
根据对应流量访问类型的访问时长,确定另一组成部分在第二方向上的尺寸。
6.如权利要求5所述的方法,其特征在于,访问所述目的端的流量访问类型包括多种流量访问类型,其中每种流量访问类型对应一个目标图形;以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数,包括:
从多种流量访问类型对应的多个目标图形中,确定出在第一方向上的尺寸最大的第一目标图形;每个目标图形在第一方向上的尺寸为一组成部分在第一方向的尺寸和另一部分在第一方向上的尺寸之和;
将所述多个目标图形中除所述第一目标图形之外的其它目标图形,以所述第一目标图形为中心进行分布。
7.如权利要求6所述的方法,其特征在于,所述目标图形中的一组成部分和另一组成部位均为圆柱体,目标图形在第一方向上的尺寸为所述一组成部分和所述另一组成部分各自截面圆的半径之和,将所述多个目标图形中除所述第一目标图形之外的其它目标图形,以所述第一目标图形为中心进行分布,包括:
以所述第一目标图形中截面圆的圆心为坐标原点,将所述其它目标图形,按照在第一方向上的尺寸从大到小的顺序,依次与所述第一目标图形呈外切形式进行分布。
8.如权利要求6所述的方法,其特征在于,将所述多个目标图形中除所述第一目标图形之外的其他目标图形,以所述第一目标图形为中心,进行分布,包括:
若与所述第一目标图形呈外切形式分布的位置无法容纳所述其它目标图形中的剩余目标图形,则以所述其它目标图形中已分布的目标图形为中心,依次分布所述剩余目标图形。
9.一种基于网络的流量可视化装置,其特征在于,包括:
获取模块,用于获取每种流量访问类型的流量参数;所述流量参数包括攻击目的端的攻击流量的攻击流量参数,以及正常访问所述目的端的业务流量的业务流量参数;
确定模块,用于根据每种流量访问类型相应的攻击流量参数,确定对应访问类型的威胁度;所述威胁度用于表示对应流量访问类型对所述目的端的威胁程度;以及,根据每种流量访问类型的威胁度、以及对应流量访问类型的流量参数,确定对应流量访问类型的攻击流量和业务流量相应的可视化展示参数;
展示模块,用于以每种流量访问类型的可视化展示参数,展示对应流量访问类型的流量参数。
10.一种基于网络的流量可视化设备,其特征在于,包括:
至少一个处理器,以及
与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令实现如权利要求1-8中任一所述的方法。
CN202011612517.8A 2020-12-30 2020-12-30 一种基于网络的流量可视化方法、装置及设备 Active CN112751712B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011612517.8A CN112751712B (zh) 2020-12-30 2020-12-30 一种基于网络的流量可视化方法、装置及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011612517.8A CN112751712B (zh) 2020-12-30 2020-12-30 一种基于网络的流量可视化方法、装置及设备

Publications (2)

Publication Number Publication Date
CN112751712A true CN112751712A (zh) 2021-05-04
CN112751712B CN112751712B (zh) 2023-04-07

Family

ID=75649796

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011612517.8A Active CN112751712B (zh) 2020-12-30 2020-12-30 一种基于网络的流量可视化方法、装置及设备

Country Status (1)

Country Link
CN (1) CN112751712B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124744A (zh) * 2021-11-24 2022-03-01 绿盟科技集团股份有限公司 一种流量数据展示方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
CN107196910A (zh) * 2017-04-18 2017-09-22 国网山东省电力公司电力科学研究院 基于大数据分析的威胁预警监测系统、方法及部署架构
US10038709B1 (en) * 2015-09-30 2018-07-31 EMC IP Holding Company LLC Computer network defense system employing multiplayer gaming functionality
CN109660557A (zh) * 2019-01-16 2019-04-19 光通天下网络科技股份有限公司 攻击ip画像生成方法、攻击ip画像生成装置和电子设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
US10038709B1 (en) * 2015-09-30 2018-07-31 EMC IP Holding Company LLC Computer network defense system employing multiplayer gaming functionality
CN107196910A (zh) * 2017-04-18 2017-09-22 国网山东省电力公司电力科学研究院 基于大数据分析的威胁预警监测系统、方法及部署架构
CN109660557A (zh) * 2019-01-16 2019-04-19 光通天下网络科技股份有限公司 攻击ip画像生成方法、攻击ip画像生成装置和电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124744A (zh) * 2021-11-24 2022-03-01 绿盟科技集团股份有限公司 一种流量数据展示方法、装置、电子设备及存储介质
CN114124744B (zh) * 2021-11-24 2023-06-02 绿盟科技集团股份有限公司 一种流量数据展示方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN112751712B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
CN108470374B (zh) 海量点云数据处理方法及装置
EP3334174A1 (en) Method and device for multi-viewpoint video transmission
CN111176820B (zh) 一种基于深度神经网络的边缘计算任务的分配方法及装置
CN107992661B (zh) Cad建模数据流式传输方法、服务器和客户端
JP6266656B2 (ja) 画像をサイズ変更するためのシステム及び方法
CN107864168A (zh) 一种网络数据流分类的方法及系统
CN109948734B (zh) 图像聚类方法、装置及电子设备
CN110233866B (zh) 一种负载均衡方法及负载均衡器
CN112751712B (zh) 一种基于网络的流量可视化方法、装置及设备
CN110210006A (zh) 一种数据筛选方法及数据筛选装置
CN112131331B (zh) 地图数据处理方法、装置、计算机设备和存储介质
KR20180117619A (ko) 컴퓨팅 장치를 이용한 객체 관리 및 시각화
US10748248B2 (en) Image down-scaling with pixel sets selected via blue noise sampling
US9443344B2 (en) Method for rendering data of a three-dimensional surface
JP2021096830A5 (zh)
CN115934179B (zh) 业务功能控制方法及设备
CN116304623A (zh) 一种辐射源识别方法、装置及系统
CN106612197B (zh) 一种网络缩略图生成方法及设备
WO2017062026A1 (en) Generating cohorts using automated weighting and multi-level ranking
US8908986B1 (en) Systems and methods for selecting ink colors
CN108509487B (zh) 基于脉冲发放皮层模型的图像检索方法、设备及存储介质
JP6998819B2 (ja) 分布した各点の有する値の分布情報を生成する装置、プログラム及び方法
CN109936752B (zh) 一种图像分层处理方法及装置
CN112905814A (zh) 图片处理方法、装置、存储介质及电子设备
US20180011850A1 (en) Temporal-based visualized identification of cohorts of data points produced from weighted distances and density-based grouping

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant