CN114157516A - 一种流量检测方法、装置、电子设备及计算机存储介质 - Google Patents
一种流量检测方法、装置、电子设备及计算机存储介质 Download PDFInfo
- Publication number
- CN114157516A CN114157516A CN202210119922.9A CN202210119922A CN114157516A CN 114157516 A CN114157516 A CN 114157516A CN 202210119922 A CN202210119922 A CN 202210119922A CN 114157516 A CN114157516 A CN 114157516A
- Authority
- CN
- China
- Prior art keywords
- data
- abnormal
- flow
- traffic
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种流量检测方法、装置、电子设备及计算机存储介质,该方法包括获取互联网服务所有路径的流量信息;判断流量信息中是否存在流量异常数据;若存在,确定流量异常数据对应的异常状态,以及从流量信息中确定与流量异常数据相关的目标流量数据;基于异常状态对流量异常数据和目标流量数据进行分析,确定对应异常状态的异常信息。在本方案中,通过对获取到流量信息进行分析,以确定流量异常数据对应的异常状态,以及从流量信息中确定与流量异常数据相关的目标流量数据;进而对流量数据进行异常处理,以确定对应的异常信息。通过上述方式不仅能够提高流量分析处置的能力,且能够避免出现关键信息整合能力缺失的问题。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种流量检测方法、装置、电子设备及计算机存储介质。
背景技术
随着网络应用的快速发展,需要对网络行为进行管理,以了解网络运行状况。
目前,针对流量监测通常使用业内主流开源监控软件对流量进行分析处置实现。但通过上述主流开源监控软件对流量进行分析处置的能力较弱,且容易出现关键信息整合能力缺失的问题。
发明内容
有鉴于此,本发明实施例提供一种流量检测方法、装置、电子设备及计算机存储介质,以解决现有技术中存在的对流量进行分析处置的能力较弱,且容易出现关键信息整合能力缺失的问题。
为实现上述目的,本发明实施例提供如下技术方案:
本发明实施例第一方面示出了一种流量检测方法,所述方法包括:
获取互联网服务所有路径的流量信息;
判断所述流量信息中是否存在流量异常数据;
若存在,确定所述流量异常数据对应的异常状态,以及从所述流量信息中确定与所述流量异常数据相关的目标流量数据;
基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息。
可选的,还包括:
基于所述异常信息生成对应的报警信息。
可选的,所述判断所述流量信息中是否存在流量异常数据,包括:
基于所述流量信息中每一时间点的流量数据与第一预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据与第一预设历史时间段内每一流量数据的差;
针对所述每一时间点的流量数据,判断所述时间点的流量数据与第一预设历史时间段内每一流量数据的差是否满足预设条件;
若确定某一时间点的流量数据满足预设条件,确定所述时间点的流量数据为流量异常数据。
可选的,所述判断所述流量信息中是否存在流量异常数据,包括:
基于所述流量信息中每一时间点的流量数据与第二预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据对应的标准差和均值;
针对所述每一时间点的流量数据,判断所述时间点的流量数据是否满足与所述时间点对应的处理条件,所述处理条件是指根据所述时间点的流量数据对应的标准差和均值进行处理得到的;
若确定某一时间点的流量数据不满足处理条件,确定所述时间点的流量数据为流量异常数据。
可选的,所述基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息,包括:
若确定所述异常状态为服务异常,基于所述目标流量数据中的第一相关数据和第二相关数据,确定存在对外服务异常IP的IP信息;
若确定所述异常状态为攻击入侵状态异常,基于所述目标流量数据中的第一相关数据和第二相关数据,确定存在攻击入侵状态异常IP的IP信息。
本发明实施例第二方面示出了一种流量检测装置,所述装置包括:
流量采集模块,用于获取互联网服务所有路径的流量信息;
流量分析模块,用于判断所述流量信息中是否存在流量异常数据;若存在,确定所述流量异常数据对应的异常状态,以及从所述流量信息中确定与所述流量异常数据相关的目标流量数据;
异常处理模块,用于基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息。
可选的,还包括:
异常报警模块,用于基于所述异常信息生成对应的报警信息。
可选的,所述判断所述流量信息中是否存在流量异常数据的流量分析模块,具体用于:基于所述流量信息中每一时间点的流量数据与第一预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据与第一预设历史时间段内每一流量数据的差;针对所述每一时间点的流量数据,判断所述时间点的流量数据与第一预设历史时间段内每一流量数据的差是否满足预设条件;若确定某一时间点的流量数据满足预设条件,确定所述时间点的流量数据为流量异常数据。
本发明实施例第三方面示出了一种电子设备,所述电子设备用于运行程序,其中,所述程序运行时执行如本发明实施例第一方面示出的流量检测方法。
本发明实施例第四方面示出了一种计算机存储介质,所述存储介质包括存储程序,其中,在所述程序运行时控制所述存储介质所在设备执行如本发明实施例第一方面示出的流量检测方法。
基于上述本发明实施例提供的一种流量检测方法、装置、电子设备及计算机存储介质,该方法包括获取互联网服务所有路径的流量信息;判断所述流量信息中是否存在流量异常数据;若存在,确定所述流量异常数据对应的异常状态,以及从所述流量信息中确定与所述流量异常数据相关的目标流量数据;基于所述异常状态对所述流量异常数据和目标流量数据进行分析,确定对应所述异常状态的异常信息。在本发明实施例中,获取互联网服务所有路径的流量信息,并对获取到流量信息进行分析,以确定流量异常数据对应的异常状态,以及从流量信息中确定与流量异常数据相关的目标流量数据;进而对流量数据进行异常处理,以确定对应的异常信息。通过上述方式不仅能够提高流量分析处置的能力,且能够避免出现关键信息整合能力缺失的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例示出的一种流量检测方法的流程示意图;
图2为本发明实施例示出的另一种流量检测方法的流程示意图;
图3为本发明实施例示出的流量检测处理过程的架构示意图;
图4为本发明实施例示出的一种流量检测装置的结构示意图;
图5为本发明实施例示出的另一种流程检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了更好的对本申请中涉及的技术名称进行理解,下述进行相应的解释。
netflow:由思科公司开发的一种网络监测功能及协议。
RESTful:是一种网络应用程序的设计风格和开发方式,基于HTTP,可以使用XML格式定义或JSON格式定义。
简单网络管理协议(Simple Network Management Protocol,SNMP)是为了进行网络管理而使用的协议。
syslog:一种用来在互联网协议(TCP/IP)的网上中传递记录档消息的标准。
Matplotlib:一种Python的绘图库。
zabbix:一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。
在本发明实施例中,使用网络设备的SNMP功能可以满足流量获取的需要,以使用基于RESTful的API可以很好的完成互联网服务所有路径的流量数据采集,数据分析处置模块以及报警模块的交互。使用netflow可以满足网络流量分析的需求。使用syslog可以满足内部全链路上每一跳异常日志信息的分析需求。
参见图1,为本发明实施例示出的一种流量检测方法的流程示意图,该方法包括:
步骤S101:获取互联网服务所有路径的流量信息。
在具体实现步骤S101的过程中,首先,打开全链路上网络设备的SNMP功能;接着基于网络设备的简单网络管理协议SNMP功能,获取互联网服务所在全路径上的流量信息,具体监控边界网络设备上出方向和入方向的流量信息,边界到服务提供主机路径上的流量信息作为端到端异常处理的辅助信息一并采集。
可选的,在获取互联网服务所有路径的流量信息之后,还包括:将以上采集到的流量信息,即出方向和入方向的流量信息均按照预设时间点1个数据点的粒度进行采集,并进行存储。
其中,采集、保存周期可为48小时,超出48小时的数据使用多个点取平均的方法来存储流量趋势。
需要说明的是,预设时间点是预先根据经验进行设置的,比如可设置为1分钟。
步骤S102:判断所述流量信息中是否存在流量异常数据。
在具体实现步骤S102的过程中,在开放且复杂的互联网中的服务,都可能会失效或者遭受攻击。因此识别可通过对流量数据进行分析,确定服务失效或遭受攻击导致的流量异常数据,具体的,通过捕捉流量突增或流量骤减的算法,和感知异常流量的算法对流量信息进行实时处理分析,确定是否存在流量异常数据,若存在,则执行步骤S103,若不存在,则返回执行步骤S101继续采集流量信息。
需要说明的是,捕捉流量突增或流量骤减的算法是针对互联网公司大量提供用户服务、存在大规模用户数据交互的网络流量特点而设置的;感知异常流量的算法针对互联网的服务均暴露在公网环境中,容易遭受到攻击的特点而设置的。
步骤S103:确定所述流量异常数据对应的异常状态,以及从所述流量信息中确定与所述流量异常数据相关的目标流量数据。
在具体实现步骤S103的过程中,若所述流量异常数据是由捕捉流量突增或流量骤减的算法分析流量信息确定的,则将所述流量异常数据对应的异常状态设置为服务异常;若所述流量异常数据是由感知异常流量的算法分析流量信息确定的,则将所述流量异常数据对应的异常状态设置为攻击入侵状态异常;通过netflow从所述流量信息中采集与所述流量异常数据异常前后相关的目标流量数据。
需要说明的是,目标流量数据是指流量异常数据异常前后预设时间内的流量数据。
目标流量数据包括第一相关数据和第二相关数据,其中,第一相关数据是指通过netflow从所述流量信息中采集与所述流量异常数据异常前预设时间内的流量数据。第二相关数据是指通过netflow从所述流量信息中采集与所述流量异常数据异常后预设时间内的流量数据。
预设时间是基于多次经验进行设置的,比如可设置为2分钟。
netflow网络流量,用于了解网络运行状况和查看哪些协议吞了带宽等,重点在于网络流量行为的分析汇总,主要针对IP/flow/packet/port条件等。
步骤S104:基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息。
在具体实现步骤S104的过程中,根据分析结果触发相应的处置逻辑,在不同的异常状态下,对所述目标流量数据进行分析,以强企业的对应所述异常状态的异常信息。
需要说明的是,异常信息包括对外服务异常IP的IP信息,和/或,攻击入侵状态异常IP的IP信息。
在本发明实施例中,获取互联网服务所有路径的流量信息,并对获取到流量信息进行分析,以确定流量异常数据对应的异常状态,以及从流量信息中确定与流量异常数据相关的目标流量数据;进而对流量数据进行异常处理,以确定对应的异常信息。通过上述方式不仅能够提高流量分析处置的能力,且能够避免出现关键信息整合能力缺失的问题。
在上述本发明实施例示出的流量检测方法的基础上,还包括:基于所述异常信息生成对应的报警信息。
在具体实现中,若确定所述异常状态为服务异常,获取数据库中存储的第一服务责任人信息,并将定位到的异常服务IP、该IP在netflow异常前后对比信息、该IP从服务器到出口路由器每一跳的异常日志信息、以及Matplotlib绘制的异常流量图进行整合,以生成报警信息并通过邮件的方式发送给第一服务责任人信息中的相关负责人;若确定所述异常状态为攻击入侵状态异常,获取数据库中存储的第二服务责任人信息,并将定位到的攻击源IP、攻击目的IP、该IP在netflow异常前后对比信息、以及通过协议特征分析的攻击手法进行整合,以生成报警信息并通过邮件的方式发送给第二服务责任人信息中的相关负责人。
与本发明上述公开的流量检测方法相比,在确定流量异常后,基于异常信息输出对应的报警信息,从而提醒相关负责人流量存在的异常风险,以便相关负责人启动其他的保护措施。
基于上述本发明实施例示出的流量检测方法,本发明实施例还公开了另一种流量检测方法的流程示意图,如图2所示,该方法包括:
步骤S201:获取互联网服务所有路径的流量信息。
需要说明的是,步骤S201的具体实现过程与上述实施例示出的步骤S101示出的内容相同,可相互参见。
在本发明实施例中,在执行完步骤S201之后,同时执行步骤S202至步骤S204,和步骤S205至步骤S207。
步骤S202:基于所述流量信息中每一时间点的流量数据与第一预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据与第一预设历史时间段内每一流量数据的差。
在具体实现步骤S202的过程中,通过捕捉流量突发或流量骤减的算法将流量信息中每一时间点刚采集到的流量数据作为被减数,与第一预设历史时间段内的每一流量数据进行相减计算,得到所述每一时间点的流量数据与第一预设历史时间段内每一流量数据的差。
需要说明的是,第一预设历史时间段内是技术人员预先基于经验或多次实验进行设置的,比如可设置为当前时间点过去最新的5个时间点对应的流量数据。
步骤S203:针对所述每一时间点的流量数据,判断所述时间点的流量数据与第一预设历史时间段内每一流量数据的差是否满足预设条件,若确定某一时间点的流量数据满足预设条件,则执行步骤S204;若确定所有时间点的流量数据不满足预设条件,确定此时不存在流量异常数据。
在具体实现步骤S203的过程中,判断每一时间点的流量数据与第一预设历史时间段内每一流量数据的差是否大于第一预设条件中设置的阈值,若确定存在N个大于阈值的流量数据与第一预设历史时间段内流量数据的差,则确定某一时间点的流量数据满足预设条件,则执行步骤S204;若确定不存在N个大于阈值的流量数据与第一预设历史时间段内流量数据的差,则确定所有时间点的流量数据不满足预设条件,确定此时不存在流量异常数据。
需要说明的是,预设条件是技术人员预先设置的,包括预设的阈值和N的大小,该预设条件可为每一时间点的流量数据与预设历史时间段内每一的流量数据的差中有3个值大于或小于阈值M的差,也就是说,N等于3。
步骤S204:确定所述时间点的流量数据为流量异常数据。
在具体实现步骤S204的过程中,判定该时间点的网络流量异常,触发服务异常处置,即执行步骤S208。
步骤S205:基于所述流量信息中每一时间点的流量数据与第二预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据对应的标准差和均值。
在具体实现步骤S205的过程中,通过感知异常流量的算法构建离群点检测函数,以使用第二预设历史时间段内的流量数据,与每一时间点的流量数据分别计算得到每一时间点的流量数据的标准差a和均值b。
步骤S206:针对所述每一时间点的流量数据,判断所述时间点的流量数据是否满足与所述时间点对应的处理条件,若确定某一时间点的流量数据满足与所述时间点对应的处理条件,则执行步骤S207;若时间点的流量数据不满足与所述时间点对应的处理条件,则说明该时间点的流量数据正常。
在步骤S206中,所述处理条件是指根据所述时间点的流量数据对应的标准差和均值进行处理得到的。
在具体实现步骤S206的过程中,针对所述每一时间点的流量数据,根据所述时间点的流量数据对应的标准差a和均值b代入公式[a-3b,a+3b]进行处理,并设置该处理条件为判定流量数据处于公式[a-3b,a+3b]外;判断所述时间点的流量数据是否在该时间对应的处理条件外,若所述时间点的流量数据在该时间对应的处理条件外,则认为当前值波动过大,并执行步骤S207,若所述时间点的流量数据在该时间对应的处理条件内,则说明该时间点的流量数据正常。
步骤S207:确定所述时间点的流量数据为流量异常数据。
在具体实现步骤S207的过程中,判定该时间点的网络流量异常,触发服务异常处置,即执行步骤S208。
步骤S208:确定所述流量异常数据对应的异常状态,以及从所述流量信息中确定与所述流量异常数据相关的目标流量数据。
需要说明的是,步骤S208的具体实现过程与上述步骤S103的具体实现过程相同,可相互参见。
步骤S209:若确定所述异常状态为服务异常,基于所述目标流量数据中的第一相关数据和第二相关数据,确定存在对外服务异常IP的IP信息。
在具体实现步骤S209的过程中,若确定所述异常状态为服务异常,将第一相关数据的源IP信息、目的IP信息、源端口信息、目的端口信息和协议信息,与第二相关数据的源IP信息、目的IP信息、源端口信息、目的端口信息和协议信息进行对比,确定第二相关数据中比第一相关数据缺失的IP为服务异常的IP,并记录该IP的IP信息。
步骤S210:若确定所述异常状态为攻击入侵状态异常,基于第一相关数据和所述第二相关数据,确定存在攻击入侵状态异常IP的IP信息。
在具体实现步骤S210的过程中,若确定所述异常状态为攻击入侵状态异常,将第一相关数据的源IP信息、目的IP信息、源端口信息、目的端口信息和协议信息,与第二相关数据的源IP信息、目的IP信息、源端口信息、目的端口信息和协议信息进行对比,确定访问频繁的IP为攻击入侵状态异常的IP,并记录该IP的IP信息。
步骤S211:基于所述异常信息生成对应的报警信息。
在具体实现步骤S211的过程中,若确定所述异常状态为服务异常,获取数据库中存储的第一服务责任人信息,并将定位到的异常服务IP、该IP在netflow异常前后对比信息、该IP从服务器到出口路由器每一跳的异常日志信息、以及Matplotlib绘制的异常流量图进行整合,以生成报警信息并通过邮件的方式发送给第一服务责任人信息中的相关负责人;若确定所述异常状态为攻击入侵状态异常,获取数据库中存储的第二服务责任人信息,并将定位到的攻击源IP、攻击目的IP、该IP在netflow异常前后对比信息、以及通过协议特征分析的攻击手法进行整合,以生成报警信息并通过邮件的方式发送给第二服务责任人信息中的相关负责人。
相应的,本发明实施例还公开了流量检测处理过程的架构示意图,如图3所示。
在本发明实施例中,获取互联网服务所有路径的流量信息,并对获取到流量信息进行分析,以确定流量异常数据对应的异常状态,以及从流量信息中确定与流量异常数据相关的目标流量数据;进而对流量数据进行异常处理,以确定对应的异常信息,基于所述异常信息生成对应的报警信息。通过上述方式不仅能够提高流量分析处置的能力,且能够避免出现关键信息整合能力缺失的问题。
基于上述本发明实施例示出的流量检测方法,相应的,本发明实施例还对应公开了一种流量检测装置,如图4所示,为本发明实施例示出的一种流量检测装置的结构示意图,该装置包括:
流量采集模块401,用于获取互联网服务所有路径的流量信息。
流量分析模块402,用于判断所述流量信息中是否存在流量异常数据;若存在,确定所述流量异常数据对应的异常状态,以及从所述流量信息中确定与所述流量异常数据相关的目标流量数据。
异常处理模块403,用于基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息。
上述本发明实施例公开的流量检测装置中的各个单元具体的原理和执行过程,与上述本发明实施流量检测方法相同,可参见上述本发明实施例公开的流量检测方法中相应的部分,这里不再进行赘述。
在本发明实施例中,获取互联网服务所有路径的流量信息,并对获取到流量信息进行分析,以确定流量异常数据对应的异常状态,以及从流量信息中确定与流量异常数据相关的目标流量数据;进而对流量数据进行异常处理,以确定对应的异常信息,基于所述异常信息生成对应的报警信息。通过上述方式不仅能够提高流量分析处置的能力,且能够避免出现关键信息整合能力缺失的问题。
可选的,基于上述本发明实施例示出的流量检测装置,所述判断所述流量信息中是否存在流量异常数据的流量分析模块402,具体用于:基于所述流量信息中每一时间点的流量数据与第一预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据与第一预设历史时间段内每一的流量数据的差;针对所述每一时间点的流量数据,判断所述时间点的流量数据与第一预设历史时间段内每一的流量数据的差是否满足预设条件;若确定某一时间点的流量数据满足预设条件,确定所述时间点的流量数据为流量异常数据。
所述判断所述流量信息中是否存在流量异常数据的流量分析模块402,具体用于:基于所述流量信息中每一时间点的流量数据与第二预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据对应的标准差和均值;针对所述每一时间点的流量数据,判断所述时间点的流量数据是否满足与所述时间点对应的处理条件,所述处理条件是指根据所述时间点的流量数据对应的标准差和均值进行处理得到的;若确定某一时间点的流量数据不满足处理条件,确定所述时间点的流量数据为流量异常数据。
可选的,所述基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息的异常处理模块403,具体用于:若确定所述异常状态为服务异常,基于所述目标流量数据中的第一相关数据和第二相关数据,确定存在对外服务异常IP的IP信息;若确定所述异常状态为攻击入侵状态异常,基于所述目标流量数据中的第一相关数据和第二相关数据,确定存在攻击入侵状态异常IP的IP信息。
参考图5,图5为本申请实施例提供的另一种流量检测装置的结构示意图。与图4所示的流量检测装置相比,还包括:
异常报警模块404,用于基于所述异常信息生成对应的报警信息。
与本发明上述公开的流量检测装置相比,在确定流量异常后,基于异常信息输出对应的报警信息,从而提醒相关负责人流量存在的异常风险,以便相关负责人启动其他的保护措施。
本发明实施例还公开了一种电子设备,该电子设备用于运行数据库存储过程,其中,所述运行数据库存储过程时执行上述图1和图2公开的一种流量检测方法。
本发明实施例还公开了一种计算机存储介质,所述存储介质包括存储数据库存储过程,其中,在所述数据库存储过程运行时控制所述存储介质所在设备执行上述图1和图2公开的一种流量检测方法。
在本公开的上下文中,计算机存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种流量检测方法,其特征在于,所述方法包括:
获取互联网服务所有路径的流量信息;
判断所述流量信息中是否存在流量异常数据;
若存在,确定所述流量异常数据对应的异常状态,以及从所述流量信息中确定与所述流量异常数据相关的目标流量数据;
基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息。
2.根据权利要求1所述的方法,其特征在于,还包括:
基于所述异常信息生成对应的报警信息。
3.根据权利要求1所述的方法,其特征在于,所述判断所述流量信息中是否存在流量异常数据,包括:
基于所述流量信息中每一时间点的流量数据与第一预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据与第一预设历史时间段内每一流量数据的差;
针对所述每一时间点的流量数据,判断所述时间点的流量数据与第一预设历史时间段内每一流量数据的差是否满足预设条件;
若确定某一时间点的流量数据满足预设条件,确定所述时间点的流量数据为流量异常数据。
4.根据权利要求1所述的方法,其特征在于,所述判断所述流量信息中是否存在流量异常数据,包括:
基于所述流量信息中每一时间点的流量数据与第二预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据对应的标准差和均值;
针对所述每一时间点的流量数据,判断所述时间点的流量数据是否满足与所述时间点对应的处理条件,所述处理条件是指根据所述时间点的流量数据对应的标准差和均值进行处理得到的;
若确定某一时间点的流量数据不满足处理条件,确定所述时间点的流量数据为流量异常数据。
5.根据权利要求1所述的方法,其特征在于,所述基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息,包括:
若确定所述异常状态为服务异常,基于所述目标流量数据中的第一相关数据和第二相关数据,确定存在对外服务异常IP的IP信息;
若确定所述异常状态为攻击入侵状态异常,基于所述目标流量数据中的第一相关数据和第二相关数据,确定存在攻击入侵状态异常IP的IP信息。
6.一种流量检测装置,其特征在于,所述装置包括:
流量采集模块,用于获取互联网服务所有路径的流量信息;
流量分析模块,用于判断所述流量信息中是否存在流量异常数据;若存在,确定所述流量异常数据对应的异常状态,以及从所述流量信息中确定与所述流量异常数据相关的目标流量数据;
异常处理模块,用于基于所述异常状态对所述目标流量数据进行分析,确定对应所述异常状态的异常信息。
7.根据权利要求6所述的装置,其特征在于,还包括:
异常报警模块,用于基于所述异常信息生成对应的报警信息。
8.根据权利要求6所述的装置,其特征在于,所述判断所述流量信息中是否存在流量异常数据的流量分析模块,具体用于:基于所述流量信息中每一时间点的流量数据与第一预设历史时间段内的流量数据进行计算,得到所述每一时间点的流量数据与第一预设历史时间段内每一流量数据的差;针对所述每一时间点的流量数据,判断所述时间点的流量数据与第一预设历史时间段内每一流量数据的差是否满足预设条件;若确定某一时间点的流量数据满足预设条件,确定所述时间点的流量数据为流量异常数据。
9.一种电子设备,其特征在于,所述电子设备用于运行程序,其中,所述程序运行时执行如权利要求1-5中任一所述的流量检测方法。
10.一种计算机存储介质,其特征在于,所述存储介质包括存储程序,其中,在所述程序运行时控制所述存储介质所在设备执行如权利要求1-5中任一所述的流量检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210119922.9A CN114157516A (zh) | 2022-02-09 | 2022-02-09 | 一种流量检测方法、装置、电子设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210119922.9A CN114157516A (zh) | 2022-02-09 | 2022-02-09 | 一种流量检测方法、装置、电子设备及计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114157516A true CN114157516A (zh) | 2022-03-08 |
Family
ID=80450039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210119922.9A Pending CN114157516A (zh) | 2022-02-09 | 2022-02-09 | 一种流量检测方法、装置、电子设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114157516A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132170A (zh) * | 2023-02-13 | 2023-05-16 | 山东云天安全技术有限公司 | 一种工控设备安全防控系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011130238A (ja) * | 2009-12-18 | 2011-06-30 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック監視方法および異常トラヒック監視装置 |
| CN107196816A (zh) * | 2016-03-14 | 2017-09-22 | 中国移动通信集团江西有限公司 | 异常流量检测方法、系统及网络分析设备 |
| CN107733737A (zh) * | 2017-10-10 | 2018-02-23 | 国网天津市电力公司 | 一种监控网络流量异常的方法 |
| CN112291226A (zh) * | 2020-10-23 | 2021-01-29 | 新华三信息安全技术有限公司 | 一种网络流量的异常检测方法及装置 |
-
2022
- 2022-02-09 CN CN202210119922.9A patent/CN114157516A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011130238A (ja) * | 2009-12-18 | 2011-06-30 | Nippon Telegr & Teleph Corp <Ntt> | 異常トラヒック監視方法および異常トラヒック監視装置 |
| CN107196816A (zh) * | 2016-03-14 | 2017-09-22 | 中国移动通信集团江西有限公司 | 异常流量检测方法、系统及网络分析设备 |
| CN107733737A (zh) * | 2017-10-10 | 2018-02-23 | 国网天津市电力公司 | 一种监控网络流量异常的方法 |
| CN112291226A (zh) * | 2020-10-23 | 2021-01-29 | 新华三信息安全技术有限公司 | 一种网络流量的异常检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 周颖杰等: "基于流量行为特征的DoS&DDoS攻击检测与异常流识别", 《计算机应用》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132170A (zh) * | 2023-02-13 | 2023-05-16 | 山东云天安全技术有限公司 | 一种工控设备安全防控系统 |
| CN116132170B (zh) * | 2023-02-13 | 2023-09-29 | 山东云天安全技术有限公司 | 一种工控设备安全防控系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110912943B (zh) | 一种跨网络流量分析的系统 | |
| JP6703613B2 (ja) | データストリームにおける異常検出 | |
| US8001601B2 (en) | Method and apparatus for large-scale automated distributed denial of service attack detection | |
| WO2018218537A1 (zh) | 工业控制系统及其网络安全的监视方法 | |
| CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
| CN111935172A (zh) | 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质 | |
| US10547634B2 (en) | Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system | |
| KR101748122B1 (ko) | 경보의 오류율 계산 방법 | |
| JP2010531553A (ja) | ネットワーク異常検出のための統計的方法およびシステム | |
| JP6711710B2 (ja) | 監視装置、監視方法および監視プログラム | |
| FR2962826A1 (fr) | Supervision de la securite d'un systeme informatique | |
| CN106487612A (zh) | 一种服务器节点监控方法、监控服务器及系统 | |
| CN113518057A (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
| CN111163073A (zh) | 流量数据处理方法和装置 | |
| CN114157516A (zh) | 一种流量检测方法、装置、电子设备及计算机存储介质 | |
| EP3787240B1 (en) | Device for anomaly detection, method and program for anomaly detection | |
| CN111526109B (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| KR20190027122A (ko) | 네트워크 공격 패턴 분석 및 방법 | |
| CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 | |
| WO2016055750A1 (fr) | Procede d'ajustement dynamique d'un niveau de verbosite d'un composant d'un reseau de communications | |
| CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| CN104881354A (zh) | 云盘监控方法及装置 | |
| CN107634944B (zh) | 一种信息异常的判断方法、判断系统及计算机装置 | |
| CN116527378B (zh) | 一种云手机监控管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220308 |
|
| RJ01 | Rejection of invention patent application after publication |