CN114006803A - 一种基于AS及prefix的netflow流量的突发告警方法 - Google Patents
一种基于AS及prefix的netflow流量的突发告警方法 Download PDFInfo
- Publication number
- CN114006803A CN114006803A CN202111152013.7A CN202111152013A CN114006803A CN 114006803 A CN114006803 A CN 114006803A CN 202111152013 A CN202111152013 A CN 202111152013A CN 114006803 A CN114006803 A CN 114006803A
- Authority
- CN
- China
- Prior art keywords
- prefix
- traffic
- netflow
- flow
- baseline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000001514 detection method Methods 0.000 claims abstract description 25
- 238000012216 screening Methods 0.000 claims abstract description 7
- 230000002159 abnormal effect Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 10
- 230000001960 triggered effect Effects 0.000 claims description 7
- 238000001914 filtration Methods 0.000 claims description 3
- 238000012423 maintenance Methods 0.000 abstract description 7
- 238000004458 analytical method Methods 0.000 description 5
- 238000005070 sampling Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于AS及prefix的netflow流量的突发告警方法,包括:确定netflow流量统计方案,按AS或prefix筛选统计;依据netflow流量统计方案,确定告警检测规则。本发明提供了一种AS及prefix的netflow流量的突发告警方法,使用基于AS,prefix的netflow流量的突发告警装置,可以对NetFlow流量进行实时监控,并将实时上报告警信息。降低人工成本及维护工作。
Description
技术领域
本发明涉及netflow流量监控领域,尤其是一种基于AS及prefix的netflow流量的突发告警方法。
背景技术
Netflow是一种网络数据检测功能,检测执行设备通过接收与检测路由器等检测对象设备的Netflow流量,分析、统计检测对象设备的数据流量,监测网络状态。但是随着网络技术的发展与网络设备性能的提升,检测对象设备的Netflow流量也随之增加,在某些应用环境中,一台检测执行设备所接收的Netflow流量,可能会超过其可处理范围,因此需要将Netflow流量进行监控。
以往AS的Netflow流量及prefix的Netflow流量信息,只有当人工去核对才能发现其是否有超流量基线,增加了人工成本及后期维护工作,人工监控的效率低成功率也不高。
AS为自治域号、prefix为IP地址前缀。
NetFlow协议:Netflow是Cisco公司开发出的一套协议,用于专门解决原始流量方式所产生的问题。当在网络设备或其接口上开启Netflow功能后,网络设备会对需要分析的流量进行采样分析,并把采样分析的结果发送至分析段进行流量分析,当然这些采样分析的结果要比原始数据小的多的多。其中网络设备采样分析的结果数据会包括源地址、目的地址、源端口、目的端口、数据流的大小、数据流经过的接口、数据流的到达时间、数据流的送出时间等参数。
发明内容
为减少人工成本及后期维护工作,本发明提供一种基于AS及prefix的netflow流量的突发告警方法,可以实现减少人工维护工作量,能够实时监控流量情况,对于异常情况能及时做出调整。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种基于AS及prefix的netflow流量的突发告警方法,该方法包括:
S01、确定netflow流量统计方案,按AS或prefix筛选统计;
S02、依据netflow流量统计方案,确定告警检测规则。
进一步地,所述S02按prefix筛选统计,且与系统参数配置的prefix值匹配,存在异常流量检测的端口组,则用设备和端口过滤流量。
进一步地,所述S02按prefix筛选统计,且与系统参数配置的prefix值匹配,不存在异常流量检测的端口组,则对所有流量进行检测,检测规则为:
忽略小于系统配置最小流量的流量,从异常端口流量基线表读取prefix基准信息,与流量数据进行比较,当前流量比基准小则忽略;当前流量比基准大则保留,并且检测是否触发告警。
进一步地,所述S02按AS筛选统计,且与系统参数配置的AS值匹配,存在异常流量检测的端口组,则用设备和端口过滤流量。
进一步地,所述S02按AS筛选统计,且与系统参数配置的AS值匹配,不存在异常流量检测的端口组,则对所有流量进行检测,检测规则为:
忽略小于系统配置最小流量的流量,从异常端口流量基线表读取AS基准信息,与流量数据进行比较,当前流量比基准小则忽略;当前流量比基准大,则保留,并且检测是否触发告警。
进一步地,所述S02与系统参数配置的AS或prefix不匹配,读取系统参数prefix异常阈值基线类型,基线类型为custom,则读取系统参数中配置的自定义流量基线值作为基线。
进一步地,所述S02与系统参数配置的AS或prefix不匹配,读取系统参数prefix异常阈值基线类型,基线类型为auto,则按设备端口为粒度取所有流量值的平均值作为动态基线;对比当前流量与基线。
进一步地,对比当前流量小于基线,则忽略。
进一步地,对比当前流量大于基线,则保留,并且检测是否触发告警。
进一步地,当前流量超出基线值的比例高于告警阈值,则触发告警。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述基于AS及prefix的netflow流量的突发告警方法。
在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行基于AS及prefix的netflow流量的突发告警方法的计算机程序。
有益效果:
本发明提供了一种AS及prefix的netflow流量的突发告警方法,使用基于AS,prefix的netflow流量的突发告警装置,可以对NetFlow流量进行实时监控,并将实时上报告警信息。降低人工成本及维护工作。
附图说明
图1是本发明一实施例的基于AS及prefix的netflow流量的突发告警方法流程示意图;
图2是本发明一实施例的基于AS及prefix的netflow流量的突发告警方法中触发告警流程图;
图3是本发明一实施例的计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种基于AS及prefix的netflow流量的突发告警方法,可以实现减少人工维护工作量,能够实时监控流量情况,对于异常情况能及时做出调整。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
图1是本发明一实施例的基于AS及prefix的netflow流量的突发告警方法流程示意图。如图1、图2所示:
确定netflow流量统计方案,按AS或prefix筛选统计;依据netflow流量统计方案,确定告警检测规则。
如果方案是按目的prefix(IP地址前缀)统计,并且系统参数配了端口异常流量检测的端口组,则用设备和端口过滤流量,如果没配端口组则对所有流量进行检测,检测规则:
忽略小于系统配置最小流量的流量,从异常端口流量基线表读取prefix(IP地址前缀)基准信息,与方案中流量数据进行比较,如果当前流量比基准小则忽略,如果当前流量比基准大,则保留,并且检测是否触发告警。
如果方案是按目的AS(自治域号)统计,并且系统参数配了端口异常流量检测的端口组,则用设备和端口过滤流量,如果没配端口组则对所有流量进行检测,检测规则:
忽略小于系统配置最小流量的流量,从异常端口流量基线表读取AS(自治域号)基准信息,与方案中流量数据进行比较,如果当前流量比基准小则忽略,如果当前流量比基准大,则保留,并且检测是否触发告警。
如果上述的AS(自治域号)或prefix(IP地址前缀)与系统参数配置的AS(自治域号)或prefix(IP地址前缀)信息没有相匹配的值,读取系统参数prefix(IP地址前缀)异常阈值基线类型,如果类型等于custom(定制),则读取系统参数中配置的自定义流量基线值作为基线。
如果类型等于auto(自动),则按设备端口为粒度取所有流量值的平均(某台设备某个端口某段时间内的所有流量总和/某个时间段内的流量条目)值作为动态基线,如果是第一次计算,则不检测。对当前流量与基线比较,如果比基线小,则忽略,对当前流量与基线比较,如果比基线大,则保留,并且检测是否触发告警。
如果当前流量超出基线值的比例(当前流量-基线值/基线值)高于告警阈值(基线值+基线值*系统配置超过基线百分比告警值),则触发告警。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
为了对上述基于AS及prefix的netflow流量的突发告警方法进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
当前设备为ZYUC-TEST-01,端口为(GigabitEthernet1/1/2),对于按perfix统计的流量做告警检测;
端口异常流量检测的端口组配置为设备ZYUC-TEST-01端口(GigabitEthernet1/1/2);
系统配置最小流量5KB;
假设系统配置检测prefix为1.1.1.0/24,当前流速为18.70KB,基准为1KB,系统配置超过基线百分比告警值为1,则(18.70-1)/1>(1+1)*1,会触发告警。
基于前述发明构思,如图3所示,本发明还提出一种计算机设备100,包括存储器110、处理器120及存储在存储器110上并可在处理器120上运行的计算机程序130,处理器120执行计算机程序130时实现前述基于AS及prefix的netflow流量的突发告警方法。
基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述基于AS及prefix的netflow流量的突发告警方法的计算机程序。
本发明提出的基于AS及prefix的netflow流量的突发告警方法,使用基于AS,prefix的netflow流量的突发告警装置,可以对NetFlow流量进行实时监控,并将实时上报告警信息。降低人工成本及维护工作。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (12)
1.一种基于AS及prefix的netflow流量的突发告警方法,其特征在于,该方法包括:
S01、确定netflow流量统计方案,按AS或prefix筛选统计;
S02、依据netflow流量统计方案,确定告警检测规则。
2.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,所述S02按prefix筛选统计,且与系统参数配置的prefix值匹配,存在异常流量检测的端口组,则用设备和端口过滤流量。
3.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,所述S02按prefix筛选统计,且与系统参数配置的prefix值匹配,不存在异常流量检测的端口组,则对所有流量进行检测,检测规则为:
忽略小于系统配置最小流量的流量,从异常端口流量基线表读取prefix基准信息,与流量数据进行比较,当前流量比基准小则忽略;当前流量比基准大则保留,并且检测是否触发告警。
4.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,所述S02按AS筛选统计,且与系统参数配置的AS值匹配,存在异常流量检测的端口组,则用设备和端口过滤流量。
5.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,所述S02按AS筛选统计,且与系统参数配置的AS值匹配,不存在异常流量检测的端口组,则对所有流量进行检测,检测规则为:
忽略小于系统配置最小流量的流量,从异常端口流量基线表读取AS基准信息,与流量数据进行比较,当前流量比基准小则忽略;当前流量比基准大,则保留,并且检测是否触发告警。
6.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,所述S02与系统参数配置的AS或prefix不匹配,读取系统参数prefix异常阈值基线类型,基线类型为custom,则读取系统参数中配置的自定义流量基线值作为基线。
7.根据权利要求1所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,所述S02与系统参数配置的AS或prefix不匹配,读取系统参数prefix异常阈值基线类型,基线类型为auto,则按设备端口为粒度取所有流量值的平均值作为动态基线;对比当前流量与基线。
8.根据权利要求7所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,对比当前流量小于基线,则忽略。
9.根据权利要求7所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,对比当前流量大于基线,则保留,并且检测是否触发告警。
10.根据权利要求9所述的基于AS及prefix的netflow流量的突发告警方法,其特征在于,当前流量超出基线值的比例高于告警阈值,则触发告警。
11.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-4任一项所述方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-4任一项所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111152013.7A CN114006803B (zh) | 2021-09-29 | 2021-09-29 | 一种基于AS及prefix的netflow流量的突发告警方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111152013.7A CN114006803B (zh) | 2021-09-29 | 2021-09-29 | 一种基于AS及prefix的netflow流量的突发告警方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114006803A true CN114006803A (zh) | 2022-02-01 |
| CN114006803B CN114006803B (zh) | 2024-01-05 |
Family
ID=79922090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111152013.7A Active CN114006803B (zh) | 2021-09-29 | 2021-09-29 | 一种基于AS及prefix的netflow流量的突发告警方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114006803B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160099964A1 (en) * | 2014-10-01 | 2016-04-07 | Ciena Corporation | Systems and methods to detect and defend against distributed denial of service attacks |
| CN106899443A (zh) * | 2015-12-18 | 2017-06-27 | 北京神州泰岳软件股份有限公司 | 一种Netflow流量数据的采集方法和设备 |
| CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| US20190104151A1 (en) * | 2016-03-23 | 2019-04-04 | Agency For Science, Technology And Research | Cloud-based forensic ip traceback |
| CN111556057A (zh) * | 2020-04-29 | 2020-08-18 | 绿盟科技集团股份有限公司 | 一种流量异常检测方法、装置、电子设备及存储介质 |
-
2021
- 2021-09-29 CN CN202111152013.7A patent/CN114006803B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160099964A1 (en) * | 2014-10-01 | 2016-04-07 | Ciena Corporation | Systems and methods to detect and defend against distributed denial of service attacks |
| CN106899443A (zh) * | 2015-12-18 | 2017-06-27 | 北京神州泰岳软件股份有限公司 | 一种Netflow流量数据的采集方法和设备 |
| US20190104151A1 (en) * | 2016-03-23 | 2019-04-04 | Agency For Science, Technology And Research | Cloud-based forensic ip traceback |
| CN107566320A (zh) * | 2016-06-30 | 2018-01-09 | 中国电信股份有限公司 | 一种网络劫持检测方法、装置与网络系统 |
| CN111556057A (zh) * | 2020-04-29 | 2020-08-18 | 绿盟科技集团股份有限公司 | 一种流量异常检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| DUYGU SINANC TERZI; RAMAZAN TERZI; SEREF SAGIROGLU: "Big data analytics for network anomaly detection from netflow data", 2017 INTERNATIONAL CONFERENCE ON COMPUTER SCIENCE AND ENGINEERING (UBMK) * |
| 李磊,陈常嘉: "一个通过指定路由器描述自治域的模型", 铁道学报, no. 03, pages 108 * |
| 马皓;张扬;崔建;张蓓;: "Multi-homing环境中网络性能的测量与评价方法", 厦门大学学报(自然科学版), no. 2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114006803B (zh) | 2024-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9130982B2 (en) | System and method for real-time reporting of anomalous internet protocol attacks | |
| JP4983671B2 (ja) | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム | |
| US10637885B2 (en) | DoS detection configuration | |
| US8578493B1 (en) | Botnet beacon detection | |
| US7738377B1 (en) | Method and apparatus for volumetric thresholding and alarming on internet protocol traffic | |
| EP1999890B1 (en) | Automated network congestion and trouble locator and corrector | |
| US20070283436A1 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
| JP7160189B2 (ja) | パケットキャプチャ装置および方法 | |
| EP2629457A1 (en) | Method and System For Network Monitoring Using Signature Packets | |
| EP2933954A1 (en) | Network anomaly notification method and apparatus | |
| CA2430571A1 (en) | Flow-based detection of network intrusions | |
| JP6168977B2 (ja) | 異常なインターネットプロトコル攻撃のリアルタイム報告を行うシステム及び方法 | |
| CN113518057B (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
| US20070168505A1 (en) | Performance monitoring in a network | |
| CN110266726B (zh) | 一种识别ddos攻击数据流的方法及装置 | |
| CN106452941A (zh) | 网络异常的检测方法及装置 | |
| CN116016351A (zh) | 基于eBPF的UDP流量和丢包观测方法、系统及介质 | |
| JP2005210601A (ja) | 不正侵入検知装置 | |
| CN114244732A (zh) | 一种NetFlow端口流量准确率核查方法及装置 | |
| WO2017206499A1 (zh) | 网络攻击检测方法以及攻击检测装置 | |
| CN114006803A (zh) | 一种基于AS及prefix的netflow流量的突发告警方法 | |
| CN112671743A (zh) | 基于流量自相似性的DDoS入侵检测方法及相关装置 | |
| JP2009044501A (ja) | トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体 | |
| JP2016146580A (ja) | 通信監視システム、通信監視方法およびプログラム | |
| JP6325993B2 (ja) | サービス監視装置、および、サービス監視方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |