CN113157505B - 一种带宽自适应的异常流量检测方法 - Google Patents
一种带宽自适应的异常流量检测方法 Download PDFInfo
- Publication number
- CN113157505B CN113157505B CN202110371751.4A CN202110371751A CN113157505B CN 113157505 B CN113157505 B CN 113157505B CN 202110371751 A CN202110371751 A CN 202110371751A CN 113157505 B CN113157505 B CN 113157505B
- Authority
- CN
- China
- Prior art keywords
- bandwidth
- gamma
- current
- time
- abnormal flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
- G06F11/2205—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3409—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种带宽自适应的异常流量检测方法,其步骤具体如下:(1)、创建循环序列L;(2)、创建IP‑时间的映射表T;(3)、每隔5秒采样一次当前服务器的峰值带宽b0;(4)、将步骤(3)中获取的b0推入到循环队列L中,根据当前的网络总带宽B计算出递增率α,并计算得出当前时候t的滤波带宽值bt;其中:递增率
其中αmax=0.9;滤波带宽值bt=αb0+(1‑α)*bt‑1;(5)、将步骤(4)中获取的滤波带宽值bt与三周期前的值进行比较,得到相应的增长率γ;(6)、根据γ判断当前状态,若γ不小于0.5则返回步骤(2);若γ大于0.5,则发出报警,启动异常流量过滤。达到降低误报的可能性、实现科学管理带宽、降低运维难度和降低人力成本的目的。
Description
技术领域
本发明涉及服务器监测应用领域,具体涉及一种带宽自适应的异常流量检测方法。
背景技术
在现有技术中,为了网络安全和服务器的稳定,是需要对服务器带宽的使用情况进行实时监测。当实时流量异常升高时,需要及时阻止异常流量的源头,避免其挤占带宽,以避免破坏其他用户的正常使用;在传统技术中一般采用使用阈值预警,即当流量超过设定的阈值时,过滤出异常用户,并作出措施。这种方法预警较为迟缓,且不够灵活。
公开于该背景技术部分的信息仅仅旨在加深对本发明 的总体背景技术的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
发明内容
为解决上述技术问题,本发明提出了一种带宽自适应的异常流量检测方法,以达到降低误报的可能性、实现科学管理带宽、降低运维难度和降低人力成本的目的。
为达到上述目的,本发明的技术方案如下:
一种带宽自适应的异常流量检测方法,其步骤具体如下:
(1)、创建循环序列L;
(2)、创建IP-时间的映射表T;
(3)、每隔5秒采样一次当前服务器的峰值带宽b0;
(4)、将步骤(3)中获取的b0推入到循环队列L中,根据当前的网络总带宽B计算出递增率α,并计算得出当前时候t的滤波带宽值bt;其中:
递增率
其中αmax=0.9;滤波带宽值bt=αb0+(1-α)*bt-1;
(5)、将步骤(4)中获取的滤波带宽值bt与三周期前的值进行比较,得到相应的增长率γ;
(6)、根据γ判断当前状态,若γ不小于0.5则返回步骤(2);
若γ大于0.5,则发出报警,启动异常流量过滤,且异常流量过滤具体如下:
(6-1)、采样当前流量数据10秒;
(6-2)、对所有采用的数据包根据源IP进行分组;
(6-3)、对每组数据计算出数据包的大小总和,并根据总和进行排列;
(6-4)、将步骤(6-3)中排名第一的IP取出,并在IP-时间映射表T中查询时间t;
(6-4-1)、若t存在,则t=t*2,将t保存回IP-时间映射表T中,应用黑名单,丢弃其发出和接受的所有数据包,应用黑名单时间为t;
(6-4-2)、若t不存在,则新建t=5min,同时保存在IP-时间映射表T中。
作为优选的,步骤(4)中递增率
其中αmax=0.9;滤波带宽值bt=αb0+(1-α)*bt-1。
作为优选的,步骤(5)中增长率
本发明具有如下优点:
本发明基于带宽使用率调整黑名单机制的敏感度,并结合低通滤波算法,达到降低误报的可能性、实现科学管理带宽、降低运维难度和降低人力成本的目的。
具体实施方式
下面对本发明实施例中的技术方案进行清楚、完整地描述。
下面结合实施例和具体实施方式对本发明作进一步详细的说明。
在实际使用过程中,由于一台服务器的总带宽是固定的,因此若当前使用带宽峰值离总带宽较远,说明带宽还有较多空间未被使用,此时应降低黑名单机制的敏感度,使得它被触发的时间点偏后;若在触发延迟中异常流量消失,则可以及时终止预警进程;若当前使用带宽峰值越接近总带宽时,应对流量的变化起伏敏感,避免一旦有大流量用户涌入,会对其他用户造成造成更大的麻烦。该方法具体如下:
(1)、创建循环序列L;
(2)、创建IP-时间的映射表T;
(3)、每隔5秒采样一次当前服务器的峰值带宽b0;
(4)、将步骤(3)中获取的b0推入到循环队列L中,根据当前的网络总带宽B计算出递增率
(其中αmax为设定的最高递增率,本实施例中αmax=0.9),并计算得出当前时候t的滤波带宽值bt=αb0+(1-α)*bt-1;
(5)、将步骤(4)中获取的滤波带宽值bt与三周期前的值进行比较,得到相应的增长率
(6)、根据γ判断当前状态,若γ不小于0.5则返回步骤(2);
若γ大于0.5,则发出报警,启动异常流量过滤,具体如下:
(6-1)、采样当前流量数据10秒;
(6-2)、对所有采用的数据包根据源IP进行分组;
(6-3)、对每组数据计算出数据包的大小总和,并根据总和进行排列;
(6-4)、将步骤(6-3)中排名第一的IP取出,并在IP-时间映射表T中查询时间t;
(6-4-1)、若t存在,则t=t*2,将t保存回IP-时间映射表T中,应用黑名单,丢弃其发出和接受的所有数据包,应用黑名单时间为t;
(6-4-2)、若t不存在,则新建t=5min,同时保存在IP-时间映射表T中。
本算法将动态的敏感度参数α与低通滤波算法相结合,通过低通滤波消除瞬时的流量突增,减小误报的可能性。
当检测到流量异常时,过滤出异常用户,应用阶梯式的封锁时间,避免惩罚过于严厉。
通过以上的方式,本发明所提供的一种带宽自适应的异常流量检测方法,基于带宽使用率调整黑名单机制的敏感度,并结合低通滤波算法,达到降低误报的可能性、实现科学管理带宽、降低运维难度和降低人力成本的目的。
以上所述的仅是本发明所公开的一种带宽自适应的异常流量检测方法的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明创造构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (2)
1.一种带宽自适应的异常流量检测方法,其特征在于,其步骤具体如下:
(1)、创建循环序列L;
(2)、创建IP-时间的映射表T;
(3)、每隔5秒采样一次当前服务器的峰值带宽b0;
(4)、将步骤(3)中获取的b0推入到循环序列 L中,根据当前的网络总带宽B计算出递增率α,并计算得出当前时候t的滤波带宽值bt;其中:
递增率
其中αmax=0.9;滤波带宽值bt=αb0+(1-α)*bt-1;
(5)、将步骤(4)中获取的滤波带宽值bt与三周期前的值进行比较,得到相应的增长率γ;
(6)、根据γ判断当前状态,若γ不小于0.5则返回步骤(2);
若γ大于0.5,则发出报警,启动异常流量过滤,其中异常流量过滤具体如下:
(6-1)、采样当前流量数据10秒;
(6-2)、对所有采用的数据包根据源IP进行分组;
(6-3)、对每组数据计算出数据包的大小总和,并根据总和进行排列;
(6-4)、将步骤(6-3)中排名第一的IP取出,并在IP-时间映射表T中查询时间t;
(6-4-1)、若t存在,则t=t*2,将t保存回IP-时间映射表T中,应用黑名单,丢弃其发出和接受的所有数据包,应用黑名单时间为t;
(6-4-2)、若t不存在,则新建t=5min,同时保存在IP-时间映射表T中。
2.根据权利要求1所述的一种带宽自适应的异常流量检测方法,其特征在于,步骤(5)中增长率
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110371751.4A CN113157505B (zh) | 2021-04-07 | 2021-04-07 | 一种带宽自适应的异常流量检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110371751.4A CN113157505B (zh) | 2021-04-07 | 2021-04-07 | 一种带宽自适应的异常流量检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113157505A CN113157505A (zh) | 2021-07-23 |
| CN113157505B true CN113157505B (zh) | 2022-10-18 |
Family
ID=76888861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110371751.4A Active CN113157505B (zh) | 2021-04-07 | 2021-04-07 | 一种带宽自适应的异常流量检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113157505B (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780445B (zh) * | 2012-10-22 | 2017-10-27 | 北京临近空间飞行器系统工程研究所 | 一种阈值自适应修正的网络流量监控系统及方法 |
| CN104079447A (zh) * | 2013-12-29 | 2014-10-01 | 国家电网公司 | 基于自适应滤波的带宽预测方法 |
| CN107276808A (zh) * | 2017-06-21 | 2017-10-20 | 北京华创网安科技股份有限公司 | 一种流量异常监测的优化方法 |
-
2021
- 2021-04-07 CN CN202110371751.4A patent/CN113157505B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113157505A (zh) | 2021-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6930978B2 (en) | System and method for traffic management control in a data transmission network | |
| US6901593B2 (en) | Active queue management with flow proportional buffering | |
| EP1471685B1 (en) | Network manager SNMP trap suppression | |
| US8879577B2 (en) | Monitoring system, device, and method | |
| JP2005518764A (ja) | データ転送ネットワークにおけるipスプーフィングの検知・削除システムおよび方法 | |
| US8326974B2 (en) | Typicality filtering of event indicators for information technology resources | |
| US7738377B1 (en) | Method and apparatus for volumetric thresholding and alarming on internet protocol traffic | |
| US20110196964A1 (en) | Managing event traffic in a network system | |
| EP1906589A1 (en) | An overload control method for the access media gateway and an access media gateway | |
| US20140192646A1 (en) | User traffic accountability under congestion in flow-based multi-layer switches | |
| CN113518057B (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
| WO2013188611A2 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
| JP2010531553A (ja) | ネットワーク異常検出のための統計的方法およびシステム | |
| EP2454848A1 (en) | Method and apparatus for telecommunications network performance anomaly events detection and notification | |
| CN106254261B (zh) | 流量检测的方法和装置 | |
| CN111726301B (zh) | 一种实时视频中保证视频质量的拥塞控制方法及系统 | |
| CN109167735B (zh) | 一种基于nginx请求转发的Web防火墙拥塞控制方法 | |
| KR102616173B1 (ko) | 비정상 트래픽 탐지 방법 및 그 장치 | |
| CN114760152B (zh) | 一种云数据中心虚拟化节点网络安全预警方法 | |
| CN113157505B (zh) | 一种带宽自适应的异常流量检测方法 | |
| CN107070888A (zh) | 网关安全管理方法和设备 | |
| CN109347762B (zh) | 跨地域出口流量调配方法、装置、计算机设备及存储介质 | |
| JP7444247B2 (ja) | バーストトラフィック検出装置、バーストトラフィック検出方法およびバーストトラフィック検出プログラム | |
| US7475299B1 (en) | Method and system for real-time bit error ratio determination | |
| CN112838957B (zh) | 一种具备智能调度的流量预测系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |