CN115174254B - 流量异常告警方法、装置、电子设备及存储介质 - Google Patents
流量异常告警方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115174254B CN115174254B CN202210866369.5A CN202210866369A CN115174254B CN 115174254 B CN115174254 B CN 115174254B CN 202210866369 A CN202210866369 A CN 202210866369A CN 115174254 B CN115174254 B CN 115174254B
- Authority
- CN
- China
- Prior art keywords
- time point
- alarm threshold
- flow
- curve
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000005856 abnormality Effects 0.000 title claims abstract description 29
- 230000002159 abnormal effect Effects 0.000 claims abstract description 35
- 238000007667 floating Methods 0.000 claims description 19
- 230000005484 gravity Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 8
- 230000000630 rising effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 8
- 238000013507 mapping Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本发明提供一种流量异常告警方法、装置、电子设备及存储介质,涉及网络安全技术领域。所述方法包括:首先,获取历史周期内每个时间点的网络流量的多种元数据指标,每种元数据指标表征网络流量的一种流量特征;然后,根据每个时间点的网络流量的多种元数据指标,生成告警阈值曲线;最后,基于告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警,从而避免出现网络流量异常漏报的情况,并提高告警结果的准确性。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种流量异常告警方法、装置、电子设备及存储介质。
背景技术
为了在网络流量出现异常时及时进行告警,目前常采用的方式是将实时获取的网络流量的大小与预先设定最大、最小阈值进行比较,若网络流量的大小大于最大阈值或小于最小阈值,则产生告警以通知运维人员进行处理。
上述方式中最大、最小阈值通常被设定为正常情况下网络流量所出现过的最大值和最小值,在网络流量出现新的极值时,可以及时产生告警信息,但对于某时间点流量突增,但未超过最大阈值,或流量突降,但未低于最小阈值的情况,则不能产生告警信息,出现漏报。
发明内容
为了克服现有技术的不足,本发明实施例提供了一种流量异常告警方法、装置、电子设备及存储介质,以避免出现网络流量异常漏报的情况。
本发明实施例的技术方案可以这样实现:
第一方面,本发明提供一种流量异常告警方法,所述方法包括:
获取历史周期内每个时间点的网络流量的多种元数据指标,每种所述元数据指标表征所述网络流量的一种流量特征;
根据所述每个时间点的网络流量的多种元数据指标,生成告警阈值曲线;
基于所述告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警。
可选地,所述多种元数据指标包括总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小;
所述根据所述每个时间点的网络流量的多种元数据指标,生成告警阈值曲线的步骤包括:
根据所述每个时间点的总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小,生成所述每个时间点的特征基准值,所述特征基准值表征网络流量未出现异常时的变化特征;
根据所述每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线。
可选地,所述根据所述每个时间点的总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小,生成所述每个时间点的特征基准值的步骤包括:
根据所述每个时间点的所述TCP协议流量大小和所述UDP协议流量大小,得到所述每个时间点的协议成分比例;
分别计算所述历史周期内所述总流量大小的第一均值、所述IP数量的第二均值、所述端口数量的第三均值以及所述协议成分比例的第四均值;
根据所述每个时间点的所述总流量大小与所述第一均值的比值,所述IP数量与所述第二均值的比值,所述端口数量与所述第三均值的比值以及所述协议成分比例与所述第四均值的比值,得到所述每个时间点的特征基准值。
可选地,所述根据所述每个时间点的所述TCP协议流量大小和所述UDP协议流量大小,得到所述每个时间点的协议成分比例的步骤包括:
针对任意一个目标时间点,计算所述目标时间点的所述TCP协议流量大小与所述UDP协议流量大小的和值;
将所述TCP协议流量大小与所述和值的比值,作为所述目标时间点的协议成分比例;
遍历所述每个时间点,得到所述每个时间点的协议成分比例。
可选地,所述预设浮动系数包括第一轻度告警系数和第二轻度告警系数,所述告警阈值曲线包括第一轻度告警阈值曲线和第二轻度告警阈值曲线;
所述根据所述每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线的步骤包括:
将所述每个时间点的特征基准值与第一轻度告警系数的乘积作为所述每个时间点对应的第一轻度告警阈值,所述第一轻度告警阈值小于所述特征基准值;
根据所述每个时间点对应的第一轻度告警阈值,生成第一轻度告警阈值曲线;
将所述每个时间点的特征基准值与第二轻度告警系数的乘积作为所述每个时间点对应的第二轻度告警阈值,所述第二轻度告警阈值大于所述特征基准值;
根据所述每个时间点对应的第二轻度告警阈值,生成第二轻度告警阈值曲线。
可选地,所述预设浮动系数还包括第一重度告警系数和第二重度告警系数,所述告警阈值曲线还包括第一重度告警阈值曲线和第二重度告警阈值曲线,所述方法还包括:
将所述每个时间点的特征基准值与第一重度告警系数的乘积作为所述每个时间点对应的第一重度告警阈值,所述第一重度告警阈值小于所述第一轻度告警阈值;
根据所述每个时间点对应的第一重度告警阈值,生成第一重度告警阈值曲线;
将所述每个时间点的特征基准值与第二重度告警系数的乘积作为所述每个时间点对应的第二重度告警阈值,所述第二重度告警阈值大于所述第二轻度告警阈值;
根据所述每个时间点对应的第二重度告警阈值,生成第二重度告警阈值曲线。
可选地,所述告警阈值曲线包括第一轻度告警阈值曲线、第二轻度告警阈值曲线、第一重度告警阈值曲线和第二重度告警阈值曲线;
所述基于所述告警阈值曲线,判断当前周期内的实时网络流量是否出现异常的步骤包括:
获取所述当前周期内网络流量的实时变化特征曲线,所述实时变化特征曲线是根据所述当前周期内的当前时间点及位于所述当前时间点之前的每个时间点的网络流量的多种元数据指标生成的;
若所述实时变化特征曲线与所述第一轻度告警阈值曲线存在交点,则判定在所述当前时间点,网络流量出现轻度下降异常;
若所述实时变化特征曲线在所述当前时间点与所述第二轻度告警阈值曲线存在交点,则判定在所述当前时间点,网络流量出现轻度上升异常;
若所述实时变化特征曲线在所述当前时间点与所述第一重度告警阈值曲线存在交点,则判定在所述当前时间点,网络流量出现重度下降异常;
若所述实时变化特征曲线在所述当前时间点与所述第二重度告警阈值曲线存在交点,则判定在所述当前时间点,网络流量出现重度上升异常。
第二方面,本发明实施例提供一种流量异常告警装置,所述装置包括:
获取模块,用于获取历史周期内每个时间点的网络流量的多种元数据指标,每种所述元数据指标表征所述网络流量的一种流量特征;
处理模块,用于根据所述每个时间点的网络流量的多种元数据指标,生成告警阈值曲线;
告警模块,用于基于所述告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警。
第三方面,本发明提供一种电子设备,其包括存储器和处理器,所述存储器存储有计算机程序,所述处理器在执行所述计算机程序时实现如第一方面所述的流量异常告警方法。
第四方面,本发明提供一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的流量异常告警方法。
相较于现有技术,本发明实施例提供的一种流量异常告警方法、装置、电子设备及存储介质,首先,获取历史周期内每个时间点的网络流量的多种元数据指标,每种元数据指标表征网络流量的一种流量特征;然后,根据每个时间点的网络流量的多种元数据指标,生成告警阈值曲线;最后,基于告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警。由于本发明实施例利用基于历史周期内每个时间点的网络流量的多种元数据指标来生成告警阈值曲线,对当前周期内的实时网络流量进行流量异常告警,从而避免出现网络流量异常漏报的情况,并提高告警结果的准确性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种流量异常告警方法的流程示意图一;
图2为本发明实施例提供的一种流量异常告警方法的流程示意图二;
图3为本发明实施例提供的一种告警阈值曲线示意图;
图4为本发明实施例提供的一种流量异常告警方法的流程示意图三;
图5为本发明实施例提供的一种流量异常判定过程示例图一;
图6为本发明实施例提供的一种流量异常判定过程示例图二;
图7为本发明实施例提供的一种流量异常判定过程示例图三;
图8为本发明实施例提供的一种流量异常判定过程示例图四;
图9为本发明实施例提供的一种流量异常告警装置的功能示意框图;
图10为本发明实施例提供的一种电子设备的结构示意框图。
图标:100-流量异常告警装置;101-获取模块;102-处理模块;103-告警模块;200-电子设备;210-存储器;220-处理器;
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
为了在网络流量出现异常时及时进行告警,目前常采用的方式主要有两种:“设定最小、最大阈值进行告警”和“在不同的时间点使用不同的告警阈值”。
第一种方式是根据网络流量正常出现过的最大、最小值,来设定告警阈值,通过判断获取到的实时网络流量的大小是否在设定的最大、最小阈值之间,如果实际流量大小超过最大阈值,或低于最小阈值,则产生告警。
这种方式的逻辑流程简单,容易实现,在网络流量出现新的极值时,可以及时产生告警信息,但对于某时间点流量突增,但未超过最大阈值,或流量突降,但未低于最小阈值的情况,则不能产生告警信息,出现漏报。
第二种方式是根据以往网络流量的大小的变化情况,按照不同的时间段,如工作日和休息日,在不同的时间段使用不同告警阈值进行告警。例如,在网络比较繁忙的时候,设定符合网络繁忙时的告警阈值,在网络比较空闲的时候,设定符合网络空闲时的告警阈值,从而在不同的时间段使用不同的告警阈值,以对流量异常进行告警。
这种方式的操作复杂,且将占用更多的系统资源,维护成本较高,且仍有可能出现漏报的情况。
为了克服现有技术存在的流量异常漏报的情况,本发明实施例提供了一种流量异常告警方法,下面将进行详细介绍。
由于同一网络环境中的网络流量在一定时间维度下会出现与之前的某段时间相近的变化特征,例如,今天的流量变化特征与昨天的流量变化特征、这周的流量变化特征与上周的流量变化特征、今年的流量变化特征与去年的流量变化特征等,即同一网络环境中的网络流量的变化特征具有周期性。
因此,可以利用以往的网络流量的变化特征来判断当前的实时网络流量是否发生异常,以及时进行告警。
如图1所示,本发明实施例提供的流量异常告警方法可以包括步骤S101~S103。
S101,获取历史周期内每个时间点的网络流量的多种元数据指标。
其中,网络流量的元数据是对网络流量进行描述的数据,元数据指标是对网络流量的元数据进行统计分析得到的,用于表征网络流量的流量特征,可以理解地,每种元数据指标表征网络流量的一种流量特征。
在本发明实施例中,历史周期可以是从过往的周期中选择出的没有出现过流量异常告警的周期,历史周期的维度可以是日、周或月等,历史周期内的时间点可以是按秒划分的。
S102,根据每个时间点的网络流量的多种元数据指标,生成告警阈值曲线。
其中,多种元数据指标包括总流量大小、IP数量、端口数量、传输控制协议(Transmission Control Protocol,以下简称TCP协议)流量大小以及用户数据报协议(User Datagram Protocol,以下简称UDP协议)流量大小。
总流量大小是指网络流量的大小,单位为Mbps;IP数量是指网络流量中涉及的IP的总数,单位为个;端口数量是指网络流量中涉及的端口的总数,单位为个;TCP协议流量大小是指网络流量中TCP协议成分的大小,单位为Mbps;UDP协议流量大小是指网络流量中UDP协议成分的大小,单位为Mbps。
在本发明实施例中,针对历史周期内的每个时间点,均由其网络流量的总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小计算得到可以反映历史周期内网络流量的变化特征的值,再对每个时间点对应的值设置浮动范围,得到告警阈值曲线上各点的值。
S103,基于告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警。
其中,当前周期的时间范围与历史周期的时间范围是相同的,例如,历史周期为上周三的0:00~24:00,当前周期为本周三的0:00~24:00。
实时网络流量包括当前时间点及当前周期内位于当前时间点之前的各时间点的网络流量。
在本发明实施例中,对于当前时间点及当前周期内位于当前时间点之前的各时间点,均由对应时间点的网络流量的总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小计算得到可以反映了当前周期内实时网络流量的变化特征的值。
将由每个时间点对应的值生成的曲线与告警阈值曲线同时进行成图显示,若在当前时间点,由每个时间点对应的值生成的曲线与告警阈值曲线相交,则可以判定在当前时间点,网络流量出现了异常,需进行告警。
下面对步骤S102进行详细介绍。
如图2所示,步骤S102包括子步骤S102-1~S102-2。
S102-1根据每个时间点的总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小,生成每个时间点的特征基准值。
其中,特征基准值表征网络流量未出现异常时的变化特征。
步骤S102-1可以包括子步骤S102-1-1~S102-2-3。
S102-1-1,根据每个时间点的TCP协议流量大小和UDP协议流量大小,得到每个时间点的协议成分比例。
由于在同一网络环境中,网络流量的变化特征的周期性还体现在TCP与UDP协议成分的比例方面,例如,企业中员工通常上午使用IP电话和实时视频会议进行工作沟通,这时网络流量中UDP协议成分的占比较高,而到了下午员工在内网或外网通过http或HTTPS寻找资料、传输工作文件等,会使得网络流量中TCP协议成分的占比提高。
因此,在本发明实施例中,针对每个时间点,均利用TCP协议流量大小和UDP协议流量大小来计算该时间点的协议成分比例。
可选地,步骤S102-1-1的实现过程可以如下:
首先,针对任意一个目标时间点,计算目标时间点的TCP协议流量大小与UDP协议流量大小的和值。
然后,将TCP协议流量大小与和值的比值,作为目标时间点的协议成分比例。
其中,目标时间点是历史周期内的任意一个时间点,目标时间点的协议成分比例、TCP协议流量大小以及UDP协议流量大小满足下述公式:
式中,Pt为目标时间点t的协议成分比例,为目标时间点t的TCP协议流量大小,/>为目标时间点t的UDP协议流量大小。
遍历每个时间点,对每个时间点均执行上述步骤,计算得到每个时间点的协议成分比例。
S102-1-2,分别计算历史周期内总流量大小的第一均值、IP数量的第二均值、端口数量的第三均值以及协议成分比例的第四均值。
其中,历史周期内总流量大小的第一均值的计算公式为 历史周期内IP数量的第二均值的计算公式为/> 历史周期内端口数量的第三均值的计算公式为/> 历史周期内协议成分比例的第四均值的计算公式为/>
上述各式中,Ftotal_ave为第一均值,为时间t的总流量大小,NIP_ave为第二均值,/>为时间点t的IP数量,/>为第三均值,/>为时间点t的端口数量,Pave为第四均值,Pt为时间点t的协议成分比例,m为历史周期内时间点的个数。
S102-1-3,根据每个时间点的总流量大小与第一均值的比值,IP数量与第二均值的比值,端口数量与第三均值的比值以及协议成分比例与第四均值的比值,得到每个时间点的特征基准值。
其中,针对每个时间点,其特征基准值、总流量大小与第一均值的比值、IP数量与第二均值的比值、端口数量与第三均值的比值以及协议成分比例与第四均值的比值满足下述公式:
a+a+c+d=100%
a>0,b>0,c>0,d>0
式中,λt为时间点t的特征基准值,为时间点t的总流量大小与第一均值是比值,/>为时间点t的IP数量与第二均值的比值,/>为时间点t的端口数量与第三均值的比值,/>为时间点t的协议成分比例与第四均值的比值,a、b、c和d为预设权重。
a、b、c和d的值可以分别为40%、20%、10%以及30%。
S102-2,根据每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线。
其中,预设浮动系数包括第一轻度告警系数,第一轻度告警系数的值小于100%。由每个时间点的特征基准值和第一轻度告警系数生成的第一轻度告警阈值曲线,用于判断当前周期内的实时网络流量是否出现轻度下降异常。
预设浮动系数还包括第二轻度告警系数,第二轻度告警系数的值大于100%。由每个时间点的特征基准值和第二轻度告警系数生成的第二轻度告警阈值曲线,用于判断当前周期内的实时网络流量是否出现轻度上升异常。
预设浮动系数还包括第一重度告警系数,第一重度告警系数的值小于第一轻度告警系数。由每个时间点的特征基准值和第一重度告警系数生成的第一重度告警阈值曲线,用于判断当前周期内的实时网络流量是否出现重度下降异常。
预设浮动系数还包括第二重度告警系数,第二重度告警系数的值大于第二轻度告警系数。由每个时间点的特征基准值和第二重度告警系数生成的第二重度告警阈值曲线,用于判断当前周期内的实时网络流量是否出现重度上升异常。
步骤S102-2可以包括子步骤S102-2-1~S102-2-8。
S102-2-1,将每个时间点的特征基准值与第一轻度告警系数的乘积作为每个时间点对应的第一轻度告警阈值。
由于第一轻度告警系数的值小于100%,可以理解地,第一轻度告警阈值小于特征基准值。
在一种可能的实现方式中,第一轻度告警系数的值可以为85%。
S102-2-2,根据每个时间点对应的第一轻度告警阈值,生成第一轻度告警阈值曲线。
如图3所示,将每个时间点对应的第一轻度告警阈值进行成图显示,得到第一轻度告警阈值曲线。
S102-2-3,将每个时间点的特征基准值与第二轻度告警系数的乘积作为每个时间点对应的第二轻度告警阈值。
由于第二轻度告警系数的值大于100%,可以理解地,第二轻度告警阈值大于特征基准值。
在一种可能的实现方式中,第二轻度告警系数的值可以为115%。
S102-2-4,根据每个时间点对应的第二轻度告警阈值,生成第二轻度告警阈值曲线。
如图3所示,将每个时间点对应的第二轻度告警阈值进行成图显示,得到第二轻度告警阈值曲线。
S102-2-5,将每个时间点的特征基准值与第一重度告警系数的乘积作为每个时间点对应的第一重度告警阈值。
由于第一重度告警系数的值小于第一轻度告警系数,可以理解地,第一重度告警阈值小于第一轻度告警阈值。
在一种可能的实现方式中,第一重度告警系数的值可以为65%。
S102-2-6,根据每个时间点对应的第一重度告警阈值,生成第一重度告警阈值曲线。
如图3所示,将每个时间点对应的第一重度告警阈值进行成图显示,得到第一重度告警阈值曲线。
S102-2-7,将每个时间点的特征基准值与第二重度告警系数的乘积作为每个时间点对应的第二重度告警阈值。
由于第二重度告警系数的值大于第二轻度告警系数,可以理解地,第二重度告警阈值大于第二轻度告警阈值。
在一种可能的实现方式中,第二重度告警系数的值可以为135%。
S102-2-8,根据每个时间点对应的第二重度告警阈值,生成第二重度告警阈值曲线。
如图3所示,将每个时间点对应的第二重度告警阈值进行成图显示,得到第二重度告警阈值曲线。
可选地,第一轻度告警阈值曲线的生成过程(步骤S102-2-1~S102-2-2)、第二轻度告警阈值曲线的生成过程(步骤S102-2-3~S102-2-4)、第一重度告警阈值曲线的生成过程(步骤S102-2-5~S102-2-6)以及第二重度告警阈值曲线的生成过程(步骤S102-2-7~S102-2-8),可以并行执行。
下面对步骤S103进行详细介绍。
如图4所示,步骤S103包括子步骤S103-1~S103-5。
S103-1,获取当前周期内网络流量的实时变化特征曲线。
其中,实时变化特征曲线是根据当前周期内的当前时间点及位于当前时间点之前的每个时间点的网络流量的多种元数据指标生成的。
由于历史周期与当前周期的时间范围相同,假设当前时间点为k(k≤m),则对于当前周期内时间点1、时间点2、…、时间点k中的任意一个时间点,均由其网络流量的总流量大小、IP数量、端口数量以及协议成分比例(利用TCP协议流量大小和UDP协议流量大小计算得到),采用下述公式计算得到该时间点网络流量的变化特征值。
a+b+c+d=100%
a>0,b>0,c>0,d>0
式中,t=1,2,…,k,ηt为当前周期内时间点t的变化特征值,为当前周期内时间t的总流量大小,Ftotal_ave为历史周期内总流量大小的第一均值,/>为当前周期内时间点t的IP数量,NIP_ave为,Pt为时间点t的协议成分比例IP数量第二均值,/>为当前周期内时间点t的端口数量,/>为历史周期内端口数量的第三均值,pt为当前周期内时间点t的协议成分比例,Pave为历史周期内协议成分比例第四均值,a、b、c和d为预设权重。
需要注意地是,此处公式中a、b、c和d的取值与前述步骤S102-1-3处公式内a、b、c和d的取值相同。
将当前周期内时间点1、时间点2、…、时间点k的变化特征值进行成图显示,得到实时变化特征曲线。
S103-2,若实时变化特征曲线在当前时间点与第一轻度告警阈值曲线存在交点,则判定在当前时间点,网络流量出现轻度下降异常。
如图5所示,当前时间点为12时1分32秒,实时变化特征曲线与第一轻度告警阈值曲线存在相交,则意味着在12时1分32秒,网络流量出现轻度下降异常。
S103-3,若实时变化特征曲线在当前时间点与第二轻度告警阈值曲线存在交点,则判定在当前时间点,网络流量出现轻度上升异常。
如图6所示,当前时间点为12时1分34秒,实时变化特征曲线与第二轻度告警阈值曲线存在相交,则意味着在12时1分33秒,网络流量出现轻度上升异常。
S103-4,若实时变化特征曲线在当前时间点与第一重度告警阈值曲线存在交点,则判定在当前时间点,网络流量出现重度下降异常。
如图7所示,当前时间点为12时1分35秒,实时变化特征曲线与第一重度告警阈值曲线存在相交,则意味着在12时1分35秒,网络流量出现重度下降异常。
S103-5,若实时变化特征曲线在当前时间点与第二重度告警阈值曲线存在交点,则判定在当前时间点,网络流量出现重度上升异常。
如图8所示,当前时间点为12时1分36秒,实时变化特征曲线与第二重度告警阈值曲线存在相交,则意味着在12时1分37秒,网络流量出现重度上升异常。
相较于现有技术,本发明实施例提供的上述方法,其有益效果包括:
(1)基于历史周期每个时间点网络流量的多种元数据指标,生成每个时间点的特征基准值,再利用预设浮动系数对每个时间点的特征基准值进行处理,生成每个时间点的告警阈值,以对当前周期内每个时间点均设置对应的告警条件,减少流量异常的漏报。
(2)历史周期与当前周期具有相同的时间范围,将历史周期内每个时间点的告警阈值进行成图显示,得到告警阈值曲线,并在同一成图界面上实时绘制当前周期内网络流量的实时变化特征曲线,以更加直观地判断当前周期内的实时网络流量是否出现异常。
(3)多种元数据指标包括总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小,增大网络流量信息的利用率,以提高告警结果的准确性,减少误报。
(4)周期的维度可以根据需要设定,以实现不同应用场景下的流量异常告警。
进一步地,为了执行上述方法实施例及各个可能的实施方式中的相应步骤,下面分别给出一种流量异常告警装置的实现方式。请参照图9,流量异常告警装置100可以包括获取模块101、处理模块102以及告警模块103。
获取模块101用于获取历史周期内每个时间点的网络流量的多种元数据指标,每种元数据指标表征网络流量的一种流量特征。
处理模块102用于根据每个时间点的网络流量的多种元数据指标,生成告警阈值曲线。
告警模块103用于基于告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警。
在一种可能的实现方式中,处理模块102具体用于根据每个时间点的总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小,生成每个时间点的特征基准值,特征基准值表征网络流量的未出现异常时的变化特征;根据每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线。
在一种可能的实现方式中,处理模块102在用于根据每个时间点的总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小,生成每个时间点的特征基准值时,具体用于根据每个时间点的TCP协议流量大小和UDP协议流量大小,得到每个时间点的协议成分比例;分别计算历史周期内总流量大小的第一均值、IP数量的第二均值、端口数量的第三均值以及协议成分比例的第四均值;根据每个时间点的总流量大小与第一均值的比值,IP数量与第二均值的比值,端口数量与第三均值的比值以及协议成分比例与第四均值的比值,得到每个时间点的特征基准值。
在一种可能的实现方式中,处理模块102在用于根据每个时间点的TCP协议流量大小和UDP协议流量大小,得到每个时间点的协议成分比例时,具体用于针对任意一个目标时间点,计算目标时间点的TCP协议流量大小与UDP协议流量大小的和值;将TCP协议流量大小与和值的比值,作为目标时间点的协议成分比例。
在一种可能的实现方式中,处理模块102在用于根据每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线时,具体用于将每个时间点的特征基准值与第一轻度告警系数的乘积作为每个时间点对应的第一轻度告警阈值,第一轻度告警阈值小于特征基准值;根据每个时间点对应的第一轻度告警阈值,生成第一轻度告警阈值曲线;将每个时间点的特征基准值与第二轻度告警系数的乘积作为每个时间点对应的第二轻度告警阈值,第二轻度告警阈值大于特征基准值;根据每个时间点对应的第二轻度告警阈值,生成第二轻度告警阈值曲线。
在一种可能的实现方式中,处理模块102在用于根据每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线时,还具体用于将每个时间点的特征基准值与第一重度告警系数的乘积作为每个时间点对应的第一重度告警阈值,第一重度告警阈值小于第一轻度告警阈值;根据每个时间点对应的第一重度告警阈值,生成第一重度告警阈值曲线;将每个时间点的特征基准值与第二重度告警系数的乘积作为每个时间点对应的第二重度告警阈值,第二重度告警阈值大于第二轻度告警阈值;根据每个时间点对应的第二重度告警阈值,生成第二重度告警阈值曲线。
在一种可能的实现方式中,告警模块103具体用于获取当前周期内网络流量的实时变化特征曲线,实时变化特征曲线是根据当前周期内的当前时间点及位于当前时间点之前的每个时间点的网络流量的多种元数据指标生成的;若实时变化特征曲线与第一轻度告警阈值曲线存在交点,则判定在当前时间点,网络流量出现轻度下降异常;若实时变化特征曲线在当前时间点与第二轻度告警阈值曲线存在交点,则判定在当前时间点,网络流量出现轻度上升异常;若实时变化特征曲线在当前时间点与第一重度告警阈值曲线存在交点,则判定在当前时间点,网络流量出现重度下降异常;若实时变化特征曲线在当前时间点与第二重度告警阈值曲线存在交点,则判定在当前时间点,网络流量出现重度上升异常。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的流量异常告警装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
进一步地,本发明实施例还提供了一种电子设备200,其可以是图1中的客户端。请参照图10,图10为本发明实施例提供的电子设备200的一种结构示意框图,电子设备200可以包括存储器210和处理器220。
其中,处理器220可以是一个通用的中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制上述方法实施例提供的流量异常告警方法的程序执行的集成电路。
存储器210可以是ROM或可存储静态信息和指令的其它类型的静态存储设备,RAM或者可存储信息和指令的其它类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically Erasable Programmabler-Only MEMory,EEPROM)、只读光盘(CompactdiscRead-Only MEMory,CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器210可以是独立存在,通过通信总线与处理器220相连接。存储器210也可以和处理器220集成在一起。其中,存储器210用于存储执行本申请方案的机器可执行指令。处理器220用于执行存储器210中存储的机器可执行指令,以实现上述的方法实施例。
本发明实施例还提供一种包含计算机程序的计算机可读存储介质,计算机程序在被执行时可以用于执行上述的方法实施例提供的流量异常告警方法中的相关操作。
综上,本发明实施例提供的一种流量异常告警方法、装置、电子设备及存储介质,首先,获取历史周期内每个时间点的网络流量的多种元数据指标,每种元数据指标表征网络流量的一种流量特征;然后,根据每个时间点的网络流量的多种元数据指标,生成告警阈值曲线;最后,基于告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警。由于本发明实施例利用基于历史周期内每个时间点的网络流量的多种元数据指标来生成告警阈值曲线,对当前周期内的实时网络流量进行流量异常告警,从而避免出现网络流量异常漏报的情况,并提高告警结果的准确性。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种流量异常告警方法,其特征在于,所述方法包括:
获取历史周期内每个时间点的网络流量的多种元数据指标,每种所述元数据指标表征所述网络流量的一种流量特征,所述多种元数据指标包括总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小;
根据所述每个时间点的所述TCP协议流量大小和所述UDP协议流量大小,得到所述每个时间点的协议成分比例;
分别计算所述历史周期内所述总流量大小的第一均值、所述IP数量的第二均值、所述端口数量的第三均值以及所述协议成分比例的第四均值;
根据所述每个时间点的所述总流量大小与所述第一均值的比值,所述IP数量与所述第二均值的比值,所述端口数量与所述第三均值的比值以及所述协议成分比例与所述第四均值的比值,得到所述每个时间点的特征基准值,所述特征基准值表征网络流量未出现异常时的变化特征;
根据所述每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线;
基于所述告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警。
2.如权利要求1所述的方法,其特征在于,所述根据所述每个时间点的所述TCP协议流量大小和所述UDP协议流量大小,得到所述每个时间点的
协议成分比例的步骤包括:
针对任意一个目标时间点,计算所述目标时间点的所述TCP协议流量大小与所述UDP协议流量大小的和值;
将所述TCP协议流量大小与所述和值的比值,作为所述目标时间点的协议成分比例;
遍历所述每个时间点,得到所述每个时间点的协议成分比例。
3.如权利要求1所述的方法,其特征在于,所述预设浮动系数包括第一轻度告警系数和第二轻度告警系数,所述告警阈值曲线包括第一轻度告警阈值曲线和第二轻度告警阈值曲线;
所述根据所述每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线的步骤包括:
将所述每个时间点的特征基准值与第一轻度告警系数的乘积作为所述每个时间点对应的第一轻度告警阈值,所述第一轻度告警阈值小于所述特征基准值;
根据所述每个时间点对应的第一轻度告警阈值,生成第一轻度告警阈值曲线;
将所述每个时间点的特征基准值与第二轻度告警系数的乘积作为所述每个时间点对应的第二轻度告警阈值,所述第二轻度告警阈值大于所述特征基准值;
根据所述每个时间点对应的第二轻度告警阈值,生成第二轻度告警阈
值曲线。
4.如权利要求3所述的方法,其特征在于,所述预设浮动系数还包括第一重度告警系数和第二重度告警系数,所述告警阈值曲线还包括第一重度告警阈值曲线和第二重度告警阈值曲线,所述方法还包括:
将所述每个时间点的特征基准值与第一重度告警系数的乘积作为所述每个时间点对应的第一重度告警阈值,所述第一重度告警阈值小于所述第一轻度告警阈值;
根据所述每个时间点对应的第一重度告警阈值,生成第一重度告警阈值曲线;
将所述每个时间点的特征基准值与第二重度告警系数的乘积作为所述每个时间点对应的第二重度告警阈值,所述第二重度告警阈值大于所述第二轻度告警阈值;
根据所述每个时间点对应的第二重度告警阈值,生成第二重度告警阈值曲线。
5.如权利要求1所述的方法,其特征在于,所述告警阈值曲线包括第一轻度告警阈值曲线、第二轻度告警阈值曲线、第一重度告警阈值曲线和第二重度告警阈值曲线;
所述基于所述告警阈值曲线,判断当前周期内的实时网络流量是否出现异常的步骤包括:
获取所述当前周期内网络流量的实时变化特征曲线,所述实时变化特
征曲线是根据所述当前周期内的当前时间点及位于所述当前时间点之前的每个时间点的网络流量的多种元数据指标生成的;
若所述实时变化特征曲线与所述第一轻度告警阈值曲线存在交点,则判定在所述当前时间点,网络流量出现轻度下降异常;
若所述实时变化特征曲线在所述当前时间点与所述第二轻度告警阈值曲线存在交点,则判定在所述当前时间点,网络流量出现轻度上升异常;
若所述实时变化特征曲线在所述当前时间点与所述第一重度告警阈值曲线存在交点,则判定在所述当前时间点,网络流量出现重度下降异常;
若所述实时变化特征曲线在所述当前时间点与所述第二重度告警阈值曲线存在交点,则判定在所述当前时间点,网络流量出现重度上升异常。
6.一种流量异常告警装置,其特征在于,所述装置包括:
获取模块,用于获取历史周期内每个时间点的网络流量的多种元数据指标,每种所述元数据指标表征所述网络流量的一种流量特征,所述多种元数据指标包括总流量大小、IP数量、端口数量、TCP协议流量大小以及UDP协议流量大小;
处理模块,用于根据所述每个时间点的所述TCP协议流量大小和所述UDP协议流量大小,得到所述每个时间点的协议成分比例;分别计算所述历史周期内所述总流量大小的第一均值、所述IP数量的第二均值、所述端口数量的第三均值以及所述协议成分比例的第四均值;根据所述每个时间点的所述总流量大小与所述第一均值的比值,所述IP数量与所述第二均值
的比值,所述端口数量与所述第三均值的比值以及所述协议成分比例与所述第四均值的比值,得到所述每个时间点的特征基准值,所述特征基准值表征网络流量未出现异常时的变化特征;根据所述每个时间点的特征基准值和预设浮动系数,生成告警阈值曲线;
告警模块,用于基于所述告警阈值曲线,判断当前周期内的实时网络流量是否出现异常,并在异常出现的时间点进行告警。
7.一种电子设备,其特征在于,其包括存储器和处理器,所述存储器存储有计算机程序,所述处理器在执行所述计算机程序时实现如权利要求1~5任一项所述的流量异常告警方法。
8.一种计算机可读存储介质,其存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~5任一项所述的流量异常告警方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210866369.5A CN115174254B (zh) | 2022-07-22 | 2022-07-22 | 流量异常告警方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210866369.5A CN115174254B (zh) | 2022-07-22 | 2022-07-22 | 流量异常告警方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115174254A CN115174254A (zh) | 2022-10-11 |
CN115174254B true CN115174254B (zh) | 2023-10-31 |
Family
ID=83497618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210866369.5A Active CN115174254B (zh) | 2022-07-22 | 2022-07-22 | 流量异常告警方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115174254B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101808017A (zh) * | 2010-03-26 | 2010-08-18 | 中国科学院计算技术研究所 | 网络异常性指数定量计算方法和系统 |
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
CN109039821A (zh) * | 2018-08-21 | 2018-12-18 | 平安科技(深圳)有限公司 | 网络流量监控方法、装置、计算机设备及存储介质 |
CN110677386A (zh) * | 2019-08-29 | 2020-01-10 | 北京孚耐尔科技有限公司 | 一种基于大数据的异常流量监测和预测方法及装置 |
CN110830450A (zh) * | 2019-10-18 | 2020-02-21 | 平安科技(深圳)有限公司 | 基于统计的异常流量监测方法、装置、设备及存储介质 |
CN111464359A (zh) * | 2020-04-03 | 2020-07-28 | 杭州迪普科技股份有限公司 | 异常流量告警决策系统及方法 |
CN113612656A (zh) * | 2021-07-26 | 2021-11-05 | 招商银行股份有限公司 | 网络流量检测方法、装置、终端设备及存储介质 |
CN114285612A (zh) * | 2021-12-14 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种异常数据检测的方法、系统、装置、设备及介质 |
CN114301761A (zh) * | 2021-12-31 | 2022-04-08 | 科来网络技术股份有限公司 | 一种告警方法、系统、告警装置及存储介质 |
CN114389881A (zh) * | 2022-01-13 | 2022-04-22 | 北京金山云网络技术有限公司 | 网络异常流量检测方法、装置、电子设备及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9401924B2 (en) * | 2012-12-20 | 2016-07-26 | At&T Intellectual Property I, L.P. | Monitoring operational activities in networks and detecting potential network intrusions and misuses |
US20160149776A1 (en) * | 2014-11-24 | 2016-05-26 | Cisco Technology, Inc. | Anomaly detection in protocol processes |
CN106506556B (zh) * | 2016-12-29 | 2019-11-19 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量异常检测方法及装置 |
-
2022
- 2022-07-22 CN CN202210866369.5A patent/CN115174254B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101808017A (zh) * | 2010-03-26 | 2010-08-18 | 中国科学院计算技术研究所 | 网络异常性指数定量计算方法和系统 |
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | 中国移动通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和系统 |
CN109039821A (zh) * | 2018-08-21 | 2018-12-18 | 平安科技(深圳)有限公司 | 网络流量监控方法、装置、计算机设备及存储介质 |
CN110677386A (zh) * | 2019-08-29 | 2020-01-10 | 北京孚耐尔科技有限公司 | 一种基于大数据的异常流量监测和预测方法及装置 |
CN110830450A (zh) * | 2019-10-18 | 2020-02-21 | 平安科技(深圳)有限公司 | 基于统计的异常流量监测方法、装置、设备及存储介质 |
CN111464359A (zh) * | 2020-04-03 | 2020-07-28 | 杭州迪普科技股份有限公司 | 异常流量告警决策系统及方法 |
CN113612656A (zh) * | 2021-07-26 | 2021-11-05 | 招商银行股份有限公司 | 网络流量检测方法、装置、终端设备及存储介质 |
CN114285612A (zh) * | 2021-12-14 | 2022-04-05 | 北京天融信网络安全技术有限公司 | 一种异常数据检测的方法、系统、装置、设备及介质 |
CN114301761A (zh) * | 2021-12-31 | 2022-04-08 | 科来网络技术股份有限公司 | 一种告警方法、系统、告警装置及存储介质 |
CN114389881A (zh) * | 2022-01-13 | 2022-04-22 | 北京金山云网络技术有限公司 | 网络异常流量检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115174254A (zh) | 2022-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105095747B (zh) | 一种Java应用健康度评估方法及系统 | |
US7567927B2 (en) | Market motion detector | |
US20070005296A1 (en) | Graphical display and correlation of severity scores of system metrics | |
US7908204B2 (en) | Market speedometer | |
CN109387179A (zh) | 一种工程施工沉降监测方法及设备 | |
CN111897700B (zh) | 应用指标监控方法及装置、电子设备和可读存储介质 | |
US11032627B2 (en) | Maintenance device, presentation system, and program | |
EP3098570A1 (en) | Non-linear qualitative visualization | |
CN115174254B (zh) | 流量异常告警方法、装置、电子设备及存储介质 | |
CN113342625A (zh) | 一种数据监控方法及系统 | |
US20160299966A1 (en) | System and Method for Creation and Detection of Process Fingerprints for Monitoring in a Process Plant | |
CN111986030B (zh) | 数据处理方法、装置、存储介质以及计算机设备 | |
CN115906135B (zh) | 目标数据泄露路径的溯源方法、装置、电子设备和存储介质 | |
CN111754077A (zh) | 一种告警收敛分析方法及系统 | |
CN113204467B (zh) | 线上业务系统的监控方法、装置、设备及存储介质 | |
CN115049369A (zh) | 一种项目管理方法、装置、电子设备及存储介质 | |
CN114662952A (zh) | 一种行为数据的评价方法、装置、设备及存储介质 | |
CN110457367B (zh) | 发现数据异动的方法和系统 | |
JP6379278B2 (ja) | 船舶において計測されたデータを管理するためのデータ処理装置、プログラム、および記録媒体 | |
CN113760669A (zh) | 问题数据的告警方法及装置、电子设备、存储介质 | |
EP1993044A1 (en) | Method for detecting data events by a data processing system | |
CN113761082A (zh) | 一种数据可视化方法、装置和系统 | |
CN112783727A (zh) | 作品量监控方法、装置、电子设备以及计算机可读介质 | |
JP6955330B2 (ja) | プロジェクト管理項目評価システム及びプロジェクト管理項目評価方法 | |
US10228822B2 (en) | Optimal visualization of systems with large quantity of technical servicer instances |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |