CN113890840A - 流量异常检测方法、装置、电子设备和存储介质 - Google Patents

流量异常检测方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN113890840A
CN113890840A CN202111155013.2A CN202111155013A CN113890840A CN 113890840 A CN113890840 A CN 113890840A CN 202111155013 A CN202111155013 A CN 202111155013A CN 113890840 A CN113890840 A CN 113890840A
Authority
CN
China
Prior art keywords
data stream
size
detected
bucket
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111155013.2A
Other languages
English (en)
Inventor
李德方
陈晓帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202111155013.2A priority Critical patent/CN113890840A/zh
Publication of CN113890840A publication Critical patent/CN113890840A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • G06F16/2255Hash tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种流量异常检测方法、装置、电子设备和计算机存储介质,该方法包括:根据至少一个数据流中每个数据流的标识信息,确定至少一个数据流的属性信息在散列的数据结构中存储的目标位置;确定至少一个数据流的属性信息,并在目标位置存储至少一个数据流的属性信息;根据至少一个数据流的属性信息,确定待检测数据流的大小的估计值,待检测数据流为所述至少一个数据流中的数据流;根据待检测数据流的大小的估计值,对待检测数据流进行异常检测。

Description

流量异常检测方法、装置、电子设备和存储介质
技术领域
本发明涉及流量异常检测处理技术,尤其涉及一种流量异常检测方法、装置、电子设备和计算机存储介质。
背景技术
随着互联网的不断发展,网络规模也日渐增长,其中,网络流量能够直观的反映网络的运行状态,其具有动态性、高速性和海量性的特点。当流量异常上升或下降说明网络中可能存在故障或异常行为。因此,通过对网络流量的异常检测可以及时了解网络的运行状况,以及解决网络中的异常现象,对维护网络安全十分重要。
如何对网络流量实施快速、准确的异常检测是网络技术的重要任务。传统的解决方案有如下两种方法:
1)全量存储的方式,为每一条流分配一个计数器记录流的大小,最后找出计数器值超过一定阀值的流。
2)采样的方式,设置一定的采样率来收集网络流量,为采样到的每条流分配一个计数器记录流的大小,找出计数器值超过一定阀值的流。比如最后找出6个异常数据流则可以根据采样率推测实际应该有10个异常数据流。
现有的网络流量异常检测方法,其存在以下问题:
1)全量存储的方式,这种方式能够精确的找出网络流量中所有的异常数据流,但是由于其为每一条流都分配一个计数器记录流的大小,则内存消耗极大,所需的内存资源会随着数据流的增加而线性增长。在海量的网络流量下,有限的内存资源无法满足需求。
2)采样的方式,这种方式虽然可以通过设置采样率来降低内存的消耗,但是其只能对部分网络流量进行异常检测,不能精确找出所有异常数据流,由于其得到的异常数据流的个数是根据采样率推测得到的,则检测的精度是不可控的,即无法控制采样流量对于全部流量的代表性。
综上所述,现有的网络流量异常检测方法在有限的内存资源条件下,无法对海量的网络流量实现实时的异常检测,因为这两种方式在内存开销和检测精度上是不可控的。
发明内容
本发明实施例提供了流量异常检测方法、装置、电子设备和计算机存储介质。
本发明实施例提供了一种流量异常检测方法,所述方法包括:
根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置;
确定所述至少一个数据流的属性信息,并在所述目标位置存储所述至少一个数据流的属性信息;
根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,所述待检测数据流为所述至少一个数据流中的数据流;
根据所述待检测数据流的大小的估计值,对所述待检测数据流进行异常检测。
上述方案中,所述根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置,包括:
采用多个哈希函数对所述至少一个数据流中每个数据流的标识信息进行哈希映射,确定在散列的数据结构中存储所述每个数据流的属性信息的多个桶的位置,将所述多个桶的位置作为所述目标位置;
所述根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,包括:
根据所述至少一个数据流的属性信息,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值;
根据所述待检测数据流的大小的多个初步估计值,确定所述待检测数据流的大小的估计值。
上述方案中,所述根据所述至少一个数据流的属性信息,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值,包括:
根据所述至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值;
根据所述多个桶中的候选异常数据流的大小的估计值,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值。
上述方案中,所述根据所述至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值,包括:
根据所述至少一个数据流的属性信息,得到所述多个桶中每个桶的数据流的大小的值的总和;
针对所述多个桶中的每个桶,确定所述每个桶对应的候选异常数据流;所述每个桶对应的候选异常数据流的大小大于所述每个桶的数据流的大小的值的总和的一半;
确定所述每个桶对应的候选异常数据流的大小的估计值。
上述方案中,述根据所述多个桶中的候选异常数据流的大小的估计值,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值,包括:
针对所述多个桶中的每个桶,确定所述每个桶中候选异常数据流的大小的偏高估计值和所述每个桶中正常数据流的大小的估计值;所述偏高估计值大于所述候选异常数据流的大小的估计值,所述正常数据流表示所述至少一个数据流中除所述候选异常数据流外的其它数据流;
根据所述每个桶中候选异常数据流的大小的偏高估计值和所述每个桶中正常数据流的大小的估计值,确定所述每个桶中所述待检测数据流的大小的初步估计值。
上述方案中,所述确定所述每个桶中候选异常数据流的大小的偏高估计值,包括:
针对所述多个桶中的每个桶,所述每个桶中候选异常数据流的大小的偏高估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的和的一半。
上述方案中,所述确定所述每个桶中正常数据流的大小的估计值,包括:
针对所述多个桶中的每个桶,所述每个桶中正常数据流的大小的估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的差的一半。
上述方案中,所述根据所述待检测数据流的大小的多个初步估计值,确定所述待检测数据流的大小的估计值,包括:
根据所述待检测数据流的大小的多个初步估计值,得到所述待检测数据流的大小的最小初步估计值和多个初步估计值的标准差;
将所述待检测数据流的大小的最小初步估计值减去多个初步估计值的标准差,得到所述待检测数据流的大小的估计值。
上述方案中,所述根据待检测数据流的大小的估计值,对所述待检测数据流进行异常检测,包括:
将所述待检测数据流的大小的估计值与设定的阈值进行比较,当所述待检测数据流的大小的估计值大于设定的阈值时,确定所述待检测数据流存在异常。
本发明实施例还提供了一种流量异常检测装置,所述装置包括:第一确定模块、存储模块、第二确定模块和检测模块,其中,
第一确定模块,用于根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置;
存储模块,用于确定所述至少一个数据流的属性信息,并在所述目标位置存储所述至少一个数据流的属性信息;
第二确定模块,用于根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,所述待检测数据流为所述至少一个数据流中的数据流;
检测模块,用于根据所述待检测数据流的大小的估计值,对所述待检测数据流进行异常检测。
在一种实现方式中,所述第一确定模块,用于根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置,包括:
采用多个哈希函数对所述至少一个数据流中每个数据流的标识信息进行哈希映射,确定在散列的数据结构中存储所述每个数据流的属性信息的多个桶的位置,将所述多个桶的位置作为所述目标位置;
在一种实现方式中,所述第二确定模块,用于根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,包括:
根据所述至少一个数据流的属性信息,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值;
根据所述待检测数据流的大小的多个初步估计值,确定所述待检测数据流的大小的估计值。
在一种实现方式中,所述第二确定模块,用于根据所述至少一个数据流的属性信息,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值,包括:
根据所述至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值;
根据所述多个桶中的候选异常数据流的大小的估计值,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值。
在一种实现方式中,所述第二确定模块,用于根据所述至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值,包括:
根据所述至少一个数据流的属性信息,得到所述多个桶中每个桶的数据流的大小的值的总和;
针对所述多个桶中的每个桶,确定所述每个桶对应的候选异常数据流;所述每个桶对应的候选异常数据流的大小大于所述每个桶的数据流的大小的值的总和的一半;
确定所述每个桶对应的候选异常数据流的大小的估计值。
在一种实现方式中,所述第二确定模块,用于根据所述多个桶中的候选异常数据流的大小的估计值,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值,包括:
针对所述多个桶中的每个桶,确定所述每个桶中候选异常数据流的大小的偏高估计值和所述每个桶中正常数据流的大小的估计值;所述偏高估计值大于所述候选异常数据流的大小的估计值,所述正常数据流表示所述至少一个数据流中除所述候选异常数据流外的其它数据流;
根据所述每个桶中候选异常数据流的大小的偏高估计值和所述每个桶中正常数据流的大小的估计值,确定所述每个桶中所述待检测数据流的大小的初步估计值。
在一种实现方式中,所述第二确定模块,用于确定所述每个桶中候选异常数据流的大小的偏高估计值,包括:
针对所述多个桶中的每个桶,所述每个桶中候选异常数据流的大小的偏高估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的和的一半。
在一种实现方式中,所述第二确定模块,用于确定所述每个桶中正常数据流的大小的估计值,包括:
针对所述多个桶中的每个桶,所述每个桶中正常数据流的大小的估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的差的一半。
在一种实现方式中,所述第二确定模块,用于根据所述待检测数据流的大小的多个初步估计值,确定所述待检测数据流的大小的估计值,包括:
根据所述待检测数据流的大小的多个初步估计值,得到所述待检测数据流的大小的最小初步估计值和多个初步估计值的标准差;
将所述待检测数据流的大小的最小初步估计值减去多个初步估计值的标准差,得到所述待检测数据流的大小的估计值。
在一种实现方式中,所述检测模块,用于根据待检测数据流的大小的估计值,对所述待检测数据流进行异常检测,包括:
将所述待检测数据流的大小的估计值与设定的阈值进行比较,当所述待检测数据流的大小的估计值大于设定的阈值时,确定所述待检测数据流存在异常。
本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意一种流量异常检测方法。
本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任意一种流量异常检测方法。
基于本发明实施例提供的流量异常检测方法、装置、电子设备和计算机存储介质中,根据至少一个数据流中每个数据流的标识信息,确定至少一个数据流的属性信息在散列的数据结构中存储的目标位置;确定至少一个数据流的属性信息,并在目标位置存储至少一个数据流的属性信息;根据至少一个数据流的属性信息,确定待检测数据流的大小的估计值,待检测数据流为所述至少一个数据流中的数据流;根据待检测数据流的大小的估计值,对待检测数据流进行异常检测。由于采用了散列的数据结构对数据流的属性信息进行存储,且对待检测数据流的大小的值进行估计,即不需要准确地确定待检测数据流的大小的值,可以在内存资源有限的条件下,对网络流量实现非采样的异常流量的检测。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本发明的实施例,并与说明书一起用于说明本发明的技术方案。
图1为本发明实施例提供的一种流量异常检测方法的应用场景图;
图2为本发明实施例提供的一种流量异常检测方法的流程示意图;
图3为相关技术中sketch结构的示意图;
图4为相关技术中多个哈希函数映射sketch结构的示意图;
图5为本发明实施例提供的另一种流量异常检测方法的流程示意图;
图6为本发明实施例提供的确定多个桶中候选异常数据流的大小的估计值的一个具体实现的流程示意图;
图7为本发明实施例提供的确定待检测数据流的大小的估计值的一个具体实现的流程示意图;
图8为本发明实施例提供的一种流量异常检测装置的示意图;
图9为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
在相关技术中,在网络管理场景,可以对网络流量进行异常检测;示例性地,网络管理场景可以是针对大规模网络流量的数据流异常检测的场景。具体地说,互联网技术和应用的飞速发展,使得网络流量急剧增加,而确保网络流量的正常是网络安全有序运行的基础。通过对网络流量的异常检测可以管理网络中的异常数据流。
相关技术中,通常使用全量存储的方式和采样的方式进行流量异常检测。全量存储的方式虽然可以精确地对网络中的每条数据流都进行异常检测,但是由于其为每一条数据流都分配一个计数器用于记录数据流的大小,因此会导致较大的开销,且流量越大所需要的资源消耗也就越大。采样的方式虽然可以通过设置采样率来降低内存的消耗,但是其只能对部分网络流量进行异常检测,根据采样数据流异常检测结果推测全部网络流量中的异常流量,因此其检测的精度不可控。同时,若要提高检测的精度需要提高采样率,当采样率提高,相对应地,流量异常检测带来的资源消耗也将增加。
上述这些缺陷导致现有的流量异常检测技术均不适用于大规模的网络流量异常检测。
针对上述技术问题,提出本发明实施例的技术方案。以下结合附图及实施例,对本发明实施例进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本发明,并不用于限定本发明。另外,以下所提供的实施例是用于实施本发明的部分实施例,而非提供实施本发明的全部实施例,在不冲突的情况下,本发明实施例记载的技术方案可以任意组合的方式实施。
需要说明的是,在本发明实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
例如,本发明实施例提供的流量异常检测方法包含了一系列的步骤,但是本发明实施例提供的流量异常检测方法不限于所记载的步骤,同样地,本发明实施例提供的流量异常检测装置包括了一系列模块,但是本发明实施例提供的流量异常检测装置不限于包括所明确记载的模块,还可以包括为获取相关信息、或基于信息进行处理时所需要设置的模块。
本发明实施例可以基于终端和/或服务器实现,这里,终端可以是瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统,等等。服务器可以是小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
服务器等电子设备可以包括执行计算机指令的程序模块。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
图1示出了本发明实施例提供的一种流量异常检测方法的应用场景图。参见图1,将数据流的属性信息存储在散列的数据结构中,当需要检测是否存储异常数据流时,对散列的数据结构中的数据流的大小进行估计,并根据数据流的大小的估计值进行异常检测,可以确定异常数据流。
基于图1所示的应用场景,提出本发明实施例的技术方案。
图2本发明实施例提供的一种流量异常检测方法的流程示意图,如图2所示,该流程可以包括:
步骤201:根据至少一个数据流中每个数据流的标识信息,确定至少一个数据流的属性信息在散列的数据结构中存储的目标位置。
本发明实施例中,可以从网络中预先获取至少一个数据流的属性信息,数据流是指一组有序、有起点和终点的字节的数据系列,用于表示数据传输中信息的数字编码信号系列,至少一个数据流是指网络中的所有待检测数据流,数据流的属性信息包括数据流的标识信息(flow ID)和数据流的大小(flow size)。数据流的标识信息可以用多个维度的数据流的特征值来表示,示例性地,数据流的传输需要一个五元组来标识,五元组包括源网际互联协议(Internet Protocol,IP)地址、源端口、目的IP地址,目的端口和传输层协议;数据流的大小可以用数据包的数目或者数据流的字节数来表示,需要说明的是,数据包指的是通信传输中的基本单位,一般通信传输是将一个数据流分成若干个数据包进行传输,每个数据包中都包括一条源IP地址、目的IP地址和包长度的日志信息,数据包的数目可以用来表示该条数据流的大小。
示例性地,一条数据流的属性信息可以表示为(x,value(x)),x为数据流的标识信息,value(x)为数据流的大小的值。
本发明实施例中,散列的数据结构表示的是包括关键字的具有固定大小的数组,根据关键字将数据存储在数据结构中。示例性地,散列的数据结构可以是sketch结构,对此本发明实施例不做限定。
sketch结构可以通过设置散列函数,将具有相同散列值的键值数据存入相同的桶(buckets)内,以减少空间内存开销;在示例中,可以将数据流以键-值的形式进行存储,键为数据包中的字段,如源IP地址或源IP地址和目的IP地址的组合;值为存储的特征,如数据包的数量。sketch结构由r行组成,每行有w个桶,其数据结构如图3所示。每个桶中设有三个对应的计数器可以用于存储数据流的属性信息,分别是Vi,j、Ki,j、Ci,j。Vi,j是用于记录每个桶中所有数据流的大小的总值;Ki,j是用于记录每个桶中的候选异常数据流的标识信息;Ci,j是记录每个桶中的候选异常数据流的大小的值。
示例性地,sketch结构中的一个桶(Buckets,B(i,j))表示为(Vi,j,Ki,j,Ci,j),i为sketch结构中的第i行,j为sketch结构中的第j个桶。
本发明实施例中,根据至少一个数据流中每个数据流的标识信息,采用多个哈希函数对每个数据流的标识信息进行映射,哈希函数的个数与sketch结构的行数相同,每个哈希函数分别对应sketch结构中的每一行,从而确定每个数据流的属性信息在sketch结构中存储的目标位置。
示例性地,一条数据流的属性信息为(x,value(x)),sketch结构由r行组成,每行有w个桶。根据该条数据流的标识信息x,采用r个不同的哈希函数映射到r个桶,即j=hi(x),i=1,2,...r;j=1,2,...w,从而确定该条数据流的属性信息在sketch结构中存储的目标位置。
步骤202:确定至少一个数据流的属性信息,并在目标位置存储所述至少一个数据流的属性信息。
本发明实施例中,根据至少一个数据流的属性信息在sketch结构中存储的目标位置,确定对应的多个桶的位置,在多个桶中的每个桶的计数器中存储数据流的属性信息。
步骤203:根据至少一个数据流的属性信息,确定待检测数据流的大小的估计值,待检测数据流为至少一个数据流中的数据流。
本发明实施例中,根据至少一个数据流的属性信息,得到待检测数据流的属性信息,从而可以确定待检测数据流的属性信息在sketch结构中存储的多个桶的目标位置;根据待检测数据流对应的多个桶的位置,分别确定每个桶中待检测数据流大小的初步估计值,得到待检测数据流的大小的多个初步估计值;根据待检测数据流的大小的多个初步估计值,确定待检测数据流的大小的估计值。
需要说明的是,待检测数据流的大小的多个初步估计值是指多个桶中对应的待检测数据流的大小的初步估计值,待检测数据流的属性信息存储在sketch结构的多个桶中,且多个桶的每个桶中还存储着其它数据流的属性信息。
本发明实施例中,通过哈希映射,多条哈希值相同的数据流的属性信息会被存储到同一个桶内,因此,若采用一个桶的计数器的值来表示该桶内一条数据流的大小的估计值会偏大,为了减小估计的误差,采用多个哈希函数对一条数据流进行哈希映射,从而一条数据流的属性信息存储在sketch结构的多个桶中,在每个桶中都对该条数据流的大小的值进行估计,则一条数据流的大小具有多个估计值。通过对数据流的大小的多个估计值再次估计,得到数据流大小的最终估计值,可以有效提高数据流大小的估计值的准确率,提高流量异常检测的精确度。
示例性地,对一条数据流k,采用4个不同的哈希函数进行哈希映射,会确定数据流k的属性信息存储在sketch结构中4个不同的桶的位置,如图4所示,在查询数据流k的大小时,选取4桶中的最小值作为数据流k的大小的估计值,图中的v表示每个桶中数据流k的大小的估计值;H1、H2、H3、H4表示4个不同的哈希函数;k1、k2、k3、k4表示在4个桶中数据流k的大小的估计值。
步骤204:根据待检测数据流的大小的估计值,对待检测数据流进行异常检测。
在一些实施例中,可以根据已有经验或当前网络流量设定阈值,当待检测数据流的大小的估计值超过设定的阈值时,则判断该待检测数据流为异常数据流。
示例性地,一条数据流的大小的估计值为S(x),系统设定的阈值为δ,当S(x)>δ时,该条数据流为异常数据流。
本发明实施例中,通过将待检测数据流的大小的估计值与设定的阈值进行比较,判断待检测数据流是否为异常数据流,可以有效地对数据流进行异常检测,且该方案易于实现,适用于大规模的数据流异常检测。
在实际应用中,步骤201至步骤204以基于电子设备的处理器实现,上述处理器可以为特定用途集成电路(Application Specific Integrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal ProcessingDevice,DSPD)、可编程逻辑装置(Programmable Logic Device,PLD)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。
可以看出,本发明实施例中,由于sketch结构是基于散列的数据结构,通过设置哈希函数,将具有相同哈希值的数据流的属性信息存储在同一个桶内,所以,在确定sketch结构的行数以及每行中桶的个数后,则sketch结构中桶的个数也就是固定的,这说明本发明实施例的技术方案消耗的内存是固定的,因此,针对大规模的网络流量异常检测不会导致系统出现内存不存的问题。同时,本发明实施例的技术方案可以精确地对网络中的每条流都进行异常检测,保证了检测的精度。
基于前述实施例,本申请实施例提供了另一种流量异常检测方法,图5位本申请实施例提供的另一种流量异常检测方法的流程示意图。如图5所示,该流程可以包括步骤501至步骤505:
步骤501:根据至少一个数据流中每个数据流的标识信息,确定至少一个数据流的属性信息在sketch结构中存储的目标位置。
步骤502:确定至少一个数据流的属性信息,并在目标位置存储所述至少一个数据流的属性信息。
步骤503:根据至少一个数据流的属性信息,在待检测数据流对应的多个桶中,分别确定待检测数据流的大小的多个初步估计值。
本发明实施例中,根据至少一个数据流的属性信息,确定在散列的数据结构中多个桶中的每个桶的候选异常数据流,并在对应的桶中更新候选异常数据流的属性信息,根据至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值。
本发明实施例中,候选异常数据流是指一个桶中的多数元素。需要说明的是,多数元素是指对于一个元素集合{a1,a2,...,an},若一个元素大小的值大于总值的一半,则称该元素为多数元素,即可以通过公式(1)得出
value(am)≥(value(a1)+value(a2)+...+value(an))/2, (1)
其中,am表示集合中的多数元素,value(am)表示元素am大小的值。
本发明实施例中,待检测数据流的大小的初步估计值是指待检测数据流在对应的多个桶中每个桶的估计值。待检测数据流的大小的多个初步估计值是指待检测数据流在多个桶中对应的多个估计值。
本发明实施例中,根据待检测数据流的标识信息可以得到待检测数据流的属性信息存储的多个桶的目标位置,从而确定待检测数据流对应的多个桶中候选异常数据流的属性信息,通过估计多个桶中候选异常数据流的大小的值,进而确定待检测数据流的大小的多个初步估计值。
示例性地,一条数据流(x,value(x)),Si,j表示该条数据流在桶(Buckets,B(i,j))中的初步估计值。
步骤504:根据待检测数据流的大小的多个初步估计值,确定待检测数据流的大小的估计值。
在一实施方式中,根据待检测数据流的大小的多个初步估计值,得到待检测数据流的大小的最小初步估计值和多个初步估计值的标准差;
将待检测数据流的大小的最小初步估计值多个初步估计值的标准差,得到待检测数据流的大小的估计值。
本发明实施例中,待检测数据流的大小的估计值是指基于待检测数据流的大小的多个初步估计值确定的最终估计值。
本发明实施例中,根据待检测数据流的大小的多个初步估计值,选取值最小的为待检测数据流的大小的最小初步估计值,并确定多个初步估计值的标准差,将待检测数据流的大小的最小初步估计值减去多个初步估计值的标准差,从而可以得到所述待检测数据流的大小的估计值。
示例性地,一条数据流(x,value(x)),估计该条数据流在每个桶(Buckets,B(i,j))中的初步估计值Si,j,选取值最小的为该条数据流的最小初步估计值(min{Si,j}),Sdev为多个初步估计值的标准差,则待检测数据流的大小的估计值S(x)=min{Si,j}-Sdev
步骤505:根据待检测数据流的大小的估计值,对待检测数据流进行异常检测。
本发明实施例中,确定待检测数据流的大小的多个初步估计值,可以是通过步骤A1至步骤A2获得:
步骤A1、根据至少一个数据流的属性信息,确定多个桶中的候选异常数据流的大小的估计值。
在一实施方式中,根据至少一个数据流的属性信息,得到多个桶中每个桶的数据流的大小的值的总和;
针对多个桶中的每个桶,确定每个桶对应的候选异常数据流;每个桶对应的候选异常数据流的大小大于每个桶的数据流的大小的值的总和的一半;
确定每个桶对应的候选异常数据流的大小的估计值。
本发明实施例中,根据至少一个数据流的属性信息,可以得到至少一个数据流的大小的值,从而可以得到多个桶中每个桶的数据流的大小的值的总和。
本发明实施例中,多个桶中每个桶的计数器Vi,j用于存储对应桶中数据流的大小的值的总和,需要说明的是,每个桶中存储多条数据流的属性信息。
本发明实施例中,找出多个桶中的多数元素作为对应桶的候选异常数据流,得到候选异常数据流的属性信息,即候选异常数据流的标识信息和数据流的大小的估计值,并将候选异常数据流的属性信息存储在对应的桶的计数器中。
示例性地,sketch结构中的一个桶(Buckets,B(i,j)),将桶中数据流的大小的值的总和存储在计数器Vi,j中,找出桶中的候选异常数据流,即找出数据流的大小的值超过Vi,j/2的数据流作为候选异常数据流,并将候选异常数据流的标识信息存储在计数器Ki,j中,将候选异常数据流的大小的估计值存储在计数器Ci,j中。
步骤A2、根据多个桶中的候选异常数据流的大小的估计值,在待检测数据流对应的多个桶中,分别确定待检测数据流的大小的多个初步估计值。
在一实施方式中,针对多个桶中的每个桶,确定每个桶中候选异常数据流的大小的偏高估计值和每个桶中正常数据流的大小的估计值;偏高估计值大于候选异常数据流的大小的估计值,正常数据流表示至少一个数据流中除候选异常数据流外的其它数据流;
根据每个桶中候选异常数据流的大小的偏高估计值和每个桶中正常数据流的大小的估计值,确定每个桶中所述待检测数据流的大小的初步估计值。
本发明实施例中,候选异常数据流的大小的偏高估计值大于候选异常数据流的大小的估计值,正常数据流表示桶中除候选异常数据流外的其它数据流。
示例性地,sketch结构中的一个桶(Buckets,B(i,j)),桶中设有三个计数器用于存储多条数据流的属性信息,将桶中多条数据流的大小的值的总和存储在计数器Vi,j中。确定桶中的候选异常数据流,将候选异常数据流的标识信息存储在计数器Ki,j中,将候选异常数据流的大小的值存储在计数器Ci,j中,则桶中的正常数据流为数据流的标识信息与Ki,j不同的数据流,桶中的正常数据流的大小值的总和为Vi,j-Ci,j
本发明实施例中,针对多个桶中的每个桶,每个桶中确定了一条候选异常数据流,并将候选异常数据流的属性信息存储在桶的计数器中。根据候选异常数据流的属性信息,确定每个桶中候选异常数据流的大小的偏高估计值和每个桶中正常数据流的大小的估计值。
本发明实施例中,根据待检测数据流的标识信息可以得到待检测数据流的属性信息存储的多个桶的目标位置,进一步地,可以得到待检测数据流对应的多个桶中候选异常数据流的大小的偏高估计值和正常数据流的大小的估计值,从而确定待检测数据流的大小的多个初步估计值。
在一实施方式中,每个桶中候选异常数据流的大小的偏高估计值等于每个桶的数据流的大小的值的总和与候选异常数据流的大小的估计值的和的一半。
本发明实施例中,对于每个桶中选出的候选异常数据流有两种情况,一种情况是,选出的候选异常数据流从最开始就选出了一个多数元素,则其它正常数据流的大小的值都用来抵消候选异常数据流的大小的值,此时候选异常数据流的偏高估计值等于每个桶的数据流的大小的值的总和与候选异常数据流的大小的估计值的和的一半;另一种情况是,选出的候选异常数据流从最开始就选出了一个非多数元素,这表明有一些正常数据流的大小的值互相抵消了,则候选异常数据流的大小的值会偏高,则候选异常数据流的大小的偏高估计值小于每个桶的数据流的大小的值的总和与候选异常数据流的大小的估计值的和的一半。因此,将每个桶的数据流的大小的值的总和与候选异常数据流的大小的估计值的和的一半作为候选异常数据流的大小的偏高估计值,即(Vi,j+Ci,j)/2。
在一实施方式中,每个桶中正常数据流的大小的估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的差的一半。
本发明实施例中,每个桶中的正常数据流为除候选异常数据流外的其它数据流,则正常数据流的大小的估计值等于桶中所有数据流的大小的总值减去候选异常数据流的大小的值,即Vi,j-(Vi,j+Ci,j)/2=(Vi,j-Ci,j)/2,因此,可以确定每个桶中正常数据流的大小的估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的差的一半。
在一个具体的示例中,确定多个桶中候选异常数据流的大小的估计值可以通过以下过程计算得出。
图6为本发明实施例确定多个桶中候选异常数据流的大小的估计值的一个具体实现的流程示意图,如图6所示,该流程可以包括:
步骤61:获取sketch结构的行数r和数据流的属性信息(x,value(x))。
这里,数据流表示网络中n条数据流中的一个数据流,x为数据流的标识信息,value(x)为数据流的大小的值,根据数据流的标识信息x,通过r个函数哈希映射可以得到数据流的属性信息在sketch结构中存储的桶的位置(Buckets,B(i,j)),i和j表示桶在sketch结构中的行数和列数。
步骤62:判断i是否大于r,如果是,则结束流程,如果否,执行步骤63。
这里,判断数据流的属性信息存储的桶的位置是否在sketch结构中。
步骤63:在Vi,j中记录数据流的大小的值。
这里,计数器Vi,j表示桶(Buckets,B(i,j))中所有数据流的大小的总值,将桶中计数器Vi,j的值增加value(x)。
步骤64:判断Ki,j是否与x相同,如果是,则执行步骤65,如果否,则执行步骤66。
这里,计数器Ki,j表示桶(Buckets,B(i,j))中当前候选异常数据流的标识信息,Ki,j的初始值为0。
步骤65:在Ci,j中记录数据流大小的值。
这里,计数器Ci,j表示桶(Buckets,B(i,j))中当前候选异常数据流的大小的值,Ci,j的初始值为0。
本发明实施例中,当数据流的标识信息与桶中当前候选异常数据流的标识信息相同时,则桶中的计数器Ki,j继续被记录为当前候选异常数据流,当前候选异常数据流的大小的值增加value(x)。
步骤66:令Ci,j减去value(x),得到更新后的Ci,j
本发明实施例中,当数据流的标识信息与桶中当前候选异常数据流的标识信息不相同时,则该数据流的大小的值抵消了当前候选异常数据流的大小的值,即当前候选异常数据流的大小的值减去value(x)。
步骤67:判断Ci,j的值是否小于0,如果是则执行步骤68,如果否,则执行步骤69。
本发明实施例中,当数据流的标识信息与桶中当前候选异常数据流的标识信息不相同时,需要判断数据流的大小的值是否大于当前候选异常数据流的大小的值,如果大于,则更新桶(Buckets,B(i,j))中的当前候选异常数据流,如果小于,则桶(Buckets,B(i,j))中继续记录当前候选异常数据流。
步骤68:令Ci,j取相反数,得到更新后的Ci,j,Ki,j更新为数据流的标识信息,执行步骤69。
本发明实施例中,如果数据流的大小的值大于当前候选异常数据流的大小的值,则桶中的计数器Ki,j被更新为数据流的标识信息x,桶中的计数器Ci,j被更新为数据流的大小与当前候选异常数据流的大小的差的绝对值。
步骤69:令i的值自增1。
这里,完成一次桶(Buckets,B(i,j))中候选异常数据流的记录或更新过程后,更新桶的位置,跳转至步骤62,继续执行估计桶中候选异常数据流的大小的估计值的步骤。
可以看出,本发明实施例中,在每个桶中找出多数元素作为候选异常数据流,并在Ki,j中更新候选异常数据流的标识信息,在Ci,j中更新候选异常数据流的大小的值,整个过程只需要遍历一遍桶中所有的数据流,时间复杂度为O(n);采用了两个固定大小的计数器,空间复杂度为O(1),说明本技术方案的时间复杂度和空间复杂度低,技术方案的运行效率高且内存消耗小。
在一个具体的示例中,确定待检测数据流的大小的估计值可以通过以下过程计算得出。
图7为本发明实施例确定待检测数据流的大小的估计值的一个具体实现的流程示意图,如图7所示,该流程可以包括:
步骤71:获取sketch结构的行数r和待检测数据流的属性信息(x,value(x))。
本发明实施例中,基于待检测数据流的标识信息x,采样多个哈希函数确定待检测数据流的属性信息存储的多个桶的目标位置。
步骤72:判断i是否大于r,如果是,则执行步骤77,如果否,则执行步骤73。
步骤73:判断Ki,j是否与x相同,如果是,则执行步骤74,如果否,则执行步骤76。
这里,判断待检测数据流的标识信息是否与桶中的候选异常数据流的标识信息相同。
步骤74:待检测数据流为候选异常数据流,计算待检测数据流的大小的初步估计值。
这里,当待检测数据流的标识信息与桶中的候选异常数据流的标识信息相同时,说明待检测数据流为该桶中的候选异常数据流,桶中候选异常数据流的大小的偏高估计值等于桶中所有数据流的大小的值的总和与候选异常数据流的大小的估计值的和的一半,即可以通过公式(2)得出,
Si,j=(Vi,j+Ci,j)/2 (2)
其中,Vi,j表示桶中所有数据流的大小的总值,Ci,j表示桶中的候选异常数据流的大小的值,从而可以得到待检测数据流的初步估计值。
步骤75:待检测数据流为正常数据流,计算待检测数据流的大小的初步估计值。
这里,当待检测数据流的标识信息与桶中的候选异常数据流的标识信息不相同时,说明待检测数据流为该桶中的正常数据流,桶中正常数据流的大小的估计值等于桶中所有数据流的大小的值的总和与桶中候选异常数据流的大小的估计值的差值的一半,即可以通过公式(3)得出,
Si,j=(Vi,j-Ci,j)/2 (3)
从而可以得到待检测数据流的初步估计值。
步骤76:令i的值自增1。
这里,完成待检测数据流在多个桶中的一个桶的初步估计值的估计,更新桶的位置,跳转至步骤62,继续执行估计待检测数据流的大小的估计值的步骤。
步骤77:计算待检测数据流的估计值。
本发明实施例中,遍历了待检测数据流对应的多个桶,得到了待检测数据流的多个初步估计值,将待检测数据流的大小的最小初步估计值减去多个初步估计值的标准差,即可以通过公式(4)、(5)得出,
Sdev=Dev{Si,j} (4)
S(x)=min{Si,j}-Sdev (5)
从而可以得到所述待检测数据流的大小的估计值。
基于前述实施例相同的技术构思,参见图7,本发明实施例提供的流量异常检测装置,可以包括:
第一确定模块801,用于根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置;
存储模块802,用于确定所述至少一个数据流的属性信息,并在所述目标位置存储所述至少一个数据流的属性信息;
第二确定模块803,用于根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,所述待检测数据流为所述至少一个数据流中的数据流;
检测模块804,用于根据所述待检测数据流的大小的估计值,对所述待检测数据流进行异常检测。
在一种实现方式中,所述第一确定模块801,用于根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置,包括:
采用多个哈希函数对所述至少一个数据流中每个数据流的标识信息进行哈希映射,确定在散列的数据结构中存储所述每个数据流的属性信息的多个桶的位置,将所述多个桶的位置作为所述目标位置;
所述根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,包括:
根据所述至少一个数据流的属性信息,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值;
根据所述待检测数据流的大小的多个初步估计值,确定所述待检测数据流的大小的估计值。
在一种实现方式中,所述第二确定模块803,用于根据所述至少一个数据流的属性信息,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值,包括:
根据所述至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值;
根据所述多个桶中的候选异常数据流的大小的估计值,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值。
在一种实现方式中,所述第二确定模块803,用于根据所述至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值,包括:
根据所述至少一个数据流的属性信息,得到所述多个桶中每个桶的数据流的大小的值的总和;
针对所述多个桶中的每个桶,确定所述每个桶对应的候选异常数据流;所述每个桶对应的候选异常数据流的大小大于所述每个桶的数据流的大小的值的总和的一半;
确定所述每个桶对应的候选异常数据流的大小的估计值。
在一种实现方式中,所述第二确定模块803,用于根据所述多个桶中的候选异常数据流的大小的估计值,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值,包括:
针对所述多个桶中的每个桶,确定所述每个桶中候选异常数据流的大小的偏高估计值和所述每个桶中正常数据流的大小的估计值;所述偏高估计值大于所述候选异常数据流的大小的估计值,所述正常数据流表示所述至少一个数据流中除所述候选异常数据流外的其它数据流;
根据所述每个桶中候选异常数据流的大小的偏高估计值和所述每个桶中正常数据流的大小的估计值,确定所述每个桶中所述待检测数据流的大小的初步估计值。
在一种实现方式中,所述第二确定模块803,用于确定所述每个桶中候选异常数据流的大小的偏高估计值,包括:
针对所述多个桶中的每个桶,所述每个桶中候选异常数据流的大小的偏高估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的和的一半。
在一种实现方式中,所述第二确定模块803,用于确定所述每个桶中正常数据流的大小的估计值,包括:
针对所述多个桶中的每个桶,所述每个桶中正常数据流的大小的估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的差的一半。
在一种实现方式中,所述第二确定模块803,用于根据所述待检测数据流的大小的多个初步估计值,确定所述待检测数据流的大小的估计值,包括:
根据所述待检测数据流的大小的多个初步估计值,得到所述待检测数据流的大小的最小初步估计值和多个初步估计值的标准差;
将所述待检测数据流的大小的最小初步估计值减去多个初步估计值的标准差,得到所述待检测数据流的大小的估计值。
在一种实现方式中,所述检测模块804,用于根据待检测数据流的大小的估计值,对所述待检测数据流进行异常检测,包括:
将所述待检测数据流的大小的估计值与设定的阈值进行比较,当所述待检测数据流的大小的估计值大于设定的阈值时,确定所述待检测数据流存在异常。
在实际应用中,第一确定模块801、存储模块802、第二确定模块803、检测模块804均可以采用电子设备的处理器实现,上述处理器可以是ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种,本发明实施例对此不作限制。
需要说明的是,以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本发明实施例中,如果以软件功能模块的形式实现上述的方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是终端、服务器等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本发明实施例再提供一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,该计算机可执行指令用于实现本发明实施例提供的任意一种流量异常检测方法。
相应的,本发明实施例再提供一种计算机存储介质,所述计算机存储介质上存储有计算机可执行指令,该计算机可执行指令用于实现上述实施例提供的任意一种流量异常检测方法。
在一些实施例中,本发明实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述。
基于前述实施例相同的技术构思,参见图9,本发明实施例提供的电子设备900,可以包括:存储器910和处理器920;其中,
存储器910,用于存储计算机程序和数据;
处理器920,用于执行存储器中存储的计算机程序,以实现前述实施例中的任意一种流量异常检测方法。
在实际应用中,上述存储器910可以是易失性存储器(volatile memory),示例性地RAM;或者非易失性存储器(non-volatile memory),示例性地ROM,快闪存储器(flashmemory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合。上述存储器910可以向处理器920提供指令和数据。
上文对各个实施例的描述倾向于强调各个实施例间的不同处,其相同或相似处可以互相参考,为了简洁,本文不再赘述。
本申请所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,示例性地,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网格单元上;可以根据实际的可以选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种流量异常检测方法,其特征在于,所述方法包括:
根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置;
确定所述至少一个数据流的属性信息,并在所述目标位置存储所述至少一个数据流的属性信息;
根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,所述待检测数据流为所述至少一个数据流中的数据流;
根据所述待检测数据流的大小的估计值,对所述待检测数据流进行异常检测。
2.根据权利要求1所述的方法,其特征在于,所述根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置,包括:
采用多个哈希函数对所述至少一个数据流中每个数据流的标识信息进行哈希映射,确定在散列的数据结构存储所述每个数据流的属性信息的多个桶的位置,将所述多个桶的位置作为所述目标位置;
所述根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,包括:
根据所述至少一个数据流的属性信息,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值;
根据所述待检测数据流的大小的多个初步估计值,确定所述待检测数据流的大小的估计值。
3.根据权利要求2所述的方法,其特征在于,所述根据所述至少一个数据流的属性信息,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值,包括:
根据所述至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值;
根据所述多个桶中的候选异常数据流的大小的估计值,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值。
4.根据权利要求3所述的方法,其特征在于,所述根据所述至少一个数据流的属性信息,确定所述多个桶中的候选异常数据流的大小的估计值,包括:
根据所述至少一个数据流的属性信息,得到所述多个桶中每个桶的数据流的大小的值的总和;
针对所述多个桶中的每个桶,确定所述每个桶对应的候选异常数据流;所述每个桶对应的候选异常数据流的大小大于所述每个桶的数据流的大小的值的总和的一半;
确定所述每个桶对应的候选异常数据流的大小的估计值。
5.根据权利要求3所述的方法,其特征在于,所述根据所述多个桶中的候选异常数据流的大小的估计值,在所述待检测数据流对应的多个桶中,分别确定所述待检测数据流的大小的多个初步估计值,包括:
针对所述多个桶中的每个桶,确定所述每个桶中候选异常数据流的大小的偏高估计值和所述每个桶中正常数据流的大小的估计值;所述偏高估计值大于所述候选异常数据流的大小的估计值,所述正常数据流表示所述至少一个数据流中除所述候选异常数据流外的其它数据流;
根据所述每个桶中候选异常数据流的大小的偏高估计值和所述每个桶中正常数据流的大小的估计值,确定所述每个桶中所述待检测数据流的大小的初步估计值。
6.根据权利要求5所述的方法,其特征在于,所述确定所述每个桶中候选异常数据流的大小的偏高估计值,包括:
针对所述多个桶中的每个桶,所述每个桶中候选异常数据流的大小的偏高估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的和的一半。
7.根据权利要求5所述的方法,其特征在于,所述确定所述每个桶中正常数据流的大小的估计值,包括:
针对所述多个桶中的每个桶,所述每个桶中正常数据流的大小的估计值等于每个桶的数据流的大小的值的总和与每个桶中的候选异常数据流的大小的估计值的差的一半。
8.根据权利要求2所述的方法,其特征在于,所述根据所述待检测数据流的大小的多个初步估计值,确定所述待检测数据流的大小的估计值,包括:
根据所述待检测数据流的大小的多个初步估计值,得到所述待检测数据流的大小的最小初步估计值和多个初步估计值的标准差;
将所述待检测数据流的大小的最小初步估计值减去多个初步估计值的标准差,得到所述待检测数据流的大小的估计值。
9.根据权利要求1所述的方法,其特征在于,所述根据待检测数据流的大小的估计值,对所述待检测数据流进行异常检测,包括:
将所述待检测数据流的大小的估计值与设定的阈值进行比较,当所述待检测数据流的大小的估计值大于设定的阈值时,确定所述待检测数据流存在异常。
10.一种流量异常检测装置,其特征在于,所述装置至少包括:
第一确定模块,用于根据至少一个数据流中每个数据流的标识信息,确定所述至少一个数据流的属性信息在散列的数据结构中存储的目标位置;
存储模块,用于确定所述至少一个数据流的属性信息,并在所述目标位置存储所述至少一个数据流的属性信息;
第二确定模块,用于根据所述至少一个数据流的属性信息,确定待检测数据流的大小的估计值,所述待检测数据流为所述至少一个数据流中的数据流;
检测模块,用于根据所述待检测数据流的大小的估计值,对所述待检测数据流进行异常检测。
11.一种电子设备,其特征在于,所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1-9中任一项所述的流量异常检测方法。
12.一种计算机存储介质,所述存储介质存储有计算机程序;其特征在于,所述计算机程序被执行后能够实现权利要求1-9中任一项所述的流量异常检测方法。
CN202111155013.2A 2021-09-29 2021-09-29 流量异常检测方法、装置、电子设备和存储介质 Pending CN113890840A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111155013.2A CN113890840A (zh) 2021-09-29 2021-09-29 流量异常检测方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111155013.2A CN113890840A (zh) 2021-09-29 2021-09-29 流量异常检测方法、装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN113890840A true CN113890840A (zh) 2022-01-04

Family

ID=79008471

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111155013.2A Pending CN113890840A (zh) 2021-09-29 2021-09-29 流量异常检测方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN113890840A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130326056A1 (en) * 2012-05-30 2013-12-05 Chung Yuan Christian University Network flow abnormality detection system and a method of the same
CN107566206A (zh) * 2017-08-04 2018-01-09 华为技术有限公司 一种流量测量方法、设备及系统
CN109861881A (zh) * 2019-01-24 2019-06-07 大连理工大学 一种基于三层Sketch架构的大象流检测方法
CN110049061A (zh) * 2019-04-29 2019-07-23 南京邮电大学 高速网络上轻量级DDoS攻击检测装置及检测方法
CN110830322A (zh) * 2019-09-16 2020-02-21 北京大学 一种基于近似零误差的概率测量数据结构Sketch的网络流量测量方法和系统
US10924418B1 (en) * 2018-02-07 2021-02-16 Reservoir Labs, Inc. Systems and methods for fast detection of elephant flows in network traffic
CN113452657A (zh) * 2020-03-26 2021-09-28 华为技术有限公司 大流量数据流的检测方法以及检测装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130326056A1 (en) * 2012-05-30 2013-12-05 Chung Yuan Christian University Network flow abnormality detection system and a method of the same
CN107566206A (zh) * 2017-08-04 2018-01-09 华为技术有限公司 一种流量测量方法、设备及系统
US10924418B1 (en) * 2018-02-07 2021-02-16 Reservoir Labs, Inc. Systems and methods for fast detection of elephant flows in network traffic
CN109861881A (zh) * 2019-01-24 2019-06-07 大连理工大学 一种基于三层Sketch架构的大象流检测方法
CN110049061A (zh) * 2019-04-29 2019-07-23 南京邮电大学 高速网络上轻量级DDoS攻击检测装置及检测方法
CN110830322A (zh) * 2019-09-16 2020-02-21 北京大学 一种基于近似零误差的概率测量数据结构Sketch的网络流量测量方法和系统
CN113452657A (zh) * 2020-03-26 2021-09-28 华为技术有限公司 大流量数据流的检测方法以及检测装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LU TANG; QUN HUANG; PATRICK P. C. LEE: "MV-Sketch: A Fast and Compact Invertible Sketch for Heavy Flow Detection in Network Data Streams", 《IEEE INFOCOM 2019 - IEEE CONFERENCE ON COMPUTER COMMUNICATIONS》 *

Similar Documents

Publication Publication Date Title
Lee et al. A hadoop-based packet trace processing tool
US8949676B2 (en) Real-time event storm detection in a cloud environment
JP6183450B2 (ja) システム分析装置、及び、システム分析方法
JP6564799B2 (ja) 閾値決定装置、閾値決定方法及びプログラム
US8977908B2 (en) Method and apparatus for detecting a suspect memory leak
EP3282643B1 (en) Method and apparatus of estimating conversation in a distributed netflow environment
JP6183449B2 (ja) システム分析装置、及び、システム分析方法
US10313209B2 (en) System and method to sample a large data set of network traffic records
JP2017097819A (ja) アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
US20170222886A1 (en) Metering storage usage
CN115754603A (zh) 数据修正方法、装置、设备、存储介质和计算机程序产品
US10467538B2 (en) Link de-noising in a network
CN109800052B (zh) 应用于分布式容器云平台的异常检测与定位方法及装置
US10169364B2 (en) Gauging accuracy of sampling-based distinct element estimation
US20140324409A1 (en) Stochastic based determination
US9378082B1 (en) Diagnosis of storage system component issues via data analytics
KR101074064B1 (ko) 네트워크 트래픽 모니터링 방법 및 장치
CN113890840A (zh) 流量异常检测方法、装置、电子设备和存储介质
US8929236B2 (en) Network flow analysis
CN110022343B (zh) 自适应事件聚合
CN107330031A (zh) 一种数据存储的方法、装置及电子设备
JP6508202B2 (ja) 情報処理装置、情報処理方法、及び、プログラム
US20150261640A1 (en) Analyzing data with computer vision
WO2024139810A1 (zh) 网络故障分析方法及系统
JP7529161B2 (ja) トラヒック監視装置及びトラヒック監視方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20220104