CN115834437A - 一种网络异常的评估方法、装置、电子设备及存储介质 - Google Patents

一种网络异常的评估方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115834437A
CN115834437A CN202111079157.4A CN202111079157A CN115834437A CN 115834437 A CN115834437 A CN 115834437A CN 202111079157 A CN202111079157 A CN 202111079157A CN 115834437 A CN115834437 A CN 115834437A
Authority
CN
China
Prior art keywords
target device
network
devices
level
evaluated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111079157.4A
Other languages
English (en)
Inventor
张鲁男
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Shandong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Shandong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Shandong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202111079157.4A priority Critical patent/CN115834437A/zh
Publication of CN115834437A publication Critical patent/CN115834437A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络异常的评估方法、装置、电子设备及存储介质,能够改善现有技术中无法对物联网整体运行状态进行准确评估的问题。其中,网络异常的评估方法包括:确定待评估网络中的至少一个目标设备,待评估网络中至少包括第一级设备以及与第一级设备直接连接的第二级设备,至少一个目标设备包括全部的第二级设备;确定各个目标设备处理数据包时所对应的评估值,评估值用于表征目标设备的异常程度以及目标设备出现异常时对其他设备的影响程度,且异常程度、影响程度均与评估值正相关;基于各个目标设备的评估值确定待评估网络的总评估值;若总评估值大于设定阈值,则确定待评估网络出现异常。

Description

一种网络异常的评估方法、装置、电子设备及存储介质
【技术领域】
本申请涉及安全技术领域,尤其涉及一种网络异常的评估方法、装置、电子设备及存储介质。
【背景技术】
现有技术中仅能针对物联网系统中的单个设备的运行状态进行评估,但是物联网系统中各个设备的之间是相关关联的,因此,即使知晓单个设备的运行状态也无法确定出整个物联网系统的运行状态,也就是说,现有技术中无法对物联网系统整体的运行状态进行评估。
【发明内容】
本申请实施例提供了一种网络异常的评估方法、装置、电子设备及存储介质,能够改善现有技术中无法对物联网整体运行状态进行准确评估的问题。
第一方面,本申请实施例提供了一种网络异常的评估方法,所述方法包括:
确定待评估网络中的至少一个目标设备,所述待评估网络中至少包括第一级设备以及与所述第一级设备直接连接的第二级设备,所述第二级设备用于接收来自所述第一级设备发送的数据包,所述至少一个目标设备包括全部的所述第二级设备;
确定各个目标设备处理数据包时所对应的评估值,所述评估值用于表征所述目标设备的异常程度以及所述目标设备出现异常时对其他设备的影响程度,且所述异常程度、所述影响程度均与所述评估值正相关;
基于各个目标设备的所述评估值确定所述待评估网络的总评估值;
若所述总评估值大于设定阈值,则确定所述待评估网络出现异常。
本申请实施例中,通过在待评估网络中确定出至少一个目标设备,该至少一个目标设备可以认为是待评估网络中处于重要节点的设备,然后确定各个目标设备处理数据包时所对应的评估值,由于每个目标设备的评估值均可以表征目标设备自身的异常程度以及目标设备出现异常对其他设备的影响程度,因此,可以将各个目标设备的评估值汇总,得到针对整个待评估网络的总评估值,并且在该总评估值较大时,判断待评估网络存在异常。也就是说,该方法中,通过对待评估网络中较为重要的设备的自身的运行状态以及对其他设备所造成的影响进行综合评估,以达到对整个网络的运行状态进行准确评估的目的。
可选的,确定待评估网络中的至少一个目标设备包括:
获取所述待评估网络的网络拓扑结构;
从所述网络拓扑结构中确定出全部的所述第一级设备;
将所述网络拓扑结构中直接与所述第一级设备连接的第二级设备确定为所述目标设备。
本申请实施例中,通过获取待评估网络的网络拓扑结构,可以从该网络拓扑结构中确定出全部的第一级设备,然后根据网络拓扑结构所定义的第一级设备与第二级设备的连接关系快速的确定出第二级设备,即能够快速的确定出目标设备。
可选的,所述待评估网络中还包括与所述第二级设备直接连接的第三级设备,所述方法还包括:
将所述第三级设备中所直接连接第二级设备的数量超过设定阈值的部分第三级设备确定为所述目标设备。
本申请实施例中,待评估网络中还包括与第二级设备直接连接的第三级设备,此时可以将所连接的第二级设备数量较多第三级设备作为目标设备,即将较为重要的部分第三级设备作为目标设备,以便于更为准确的对待评估网络整体进行评估。
可选的,所述总评估值基于如下公式:
A=∑iWi*Ai
其中,A表示总评估值,Wi表示第i个目标设备异常时对其他设备的影响程度,Ai表示第i个目标设备的异常程度。
本申请实施例中,可以将各个目标设备的评估值进行累加,从而以较为简单的方式得到待评估网络的总评估值。
可选的,所述Wi基于如下公式确定:
Wi=Di*max(N1*N2)
其中,Di表示第i个目标设备直接连接其他设备的数量,N1表示第i个目标设备直接或间接连接的第一级设备的数量,N2表示以第i个目标设备为第一端点,以任一第一级设备为第二端点所形成的链路中设备的数量。
本申请实施例中,可以基于当前目标设备直接连接的其他设备的数量、直接或间接连接的第一级设备的数量,以及当前目标设备与任一第一级设备所形成链路的最大长度这三个方面来对当前目标设备发生异常时对其他设备所造成的影响进行较为准确的评估。
可选的,所述Ai基于如下公式确定:
Figure BDA0003263234760000041
其中,Ai表示第i个目标设备的异常程度,Bj表示第i个目标设备所处理的第j个数据包的大小与历史时间段内同一目标设备所处理的数据包的最大值与最小值的偏离程度,N3表示第i个目标设备所处理的数据包的数量,
Figure BDA0003263234760000042
表示与第i个目标设备直接连接的其他设备中每个设备向第i个目标设备所发送的数据包的平均数量,max11表示第i个目标设备中来自同一源IP的数据包的最大数量,
Figure BDA0003263234760000043
表示第i个目标设备中来自同一源IP的数据包占数据包总量的比例,max12表示第i个目标设备中转发给同一目的IP的数据包的最大数量,
Figure BDA0003263234760000044
表示第i个目标设备中转发给同一目的IP的数据包占数据包总数量的比例,max13表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包的最大数量,
Figure BDA0003263234760000045
表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包占数据包总数量的比例,max23表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包的最大数量,
Figure BDA0003263234760000046
表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包占数据包总数量的比例,ΔTj表示第i个目标设备处理每个数据包的平均时长,∑jΔTj表示第i个目标设备处理的全部数据包的总时长。
本申请实施例中,可以基于当前目标设备所处理的数据包相较于历史时间段内所处理数据包的最大值与最小值的偏离程度、当前目标设备所处理的数据包中来自于同一源IP地址的比例、当前目标设备所处理的数据包中转发给同一目的IP地址的比例、当前目标设备所处理的数据报中来自于同一源IP地址并转发至同一目标IP地址的比例以及当前目标设备所处理数据包的总时长等多个方面对当前目标设备的异常程度进行较为准确的评估。
可选的,所述Bj基于如下公式确定:
Figure BDA0003263234760000051
其中,Pj表示第i个目标设备中第j个数据包的实际大小,max3表示历史时间段内第i个目标设备所处理的数据包的最大值,min3表示历史时间段内第i个目标设备所处理的数据包的最小值。
本申请实施例中,通过上述公式可以较为简便的计算出当前目标设备所处理的任一数据包与历史上所处理的数据包的最大值与最小值的偏离程度。
第二方面,本申请实施例提供了一种网络异常的评估装置,所述装置包括:
目标设备确定单元,用于确定待评估网络中的至少一个目标设备,所述待评估网络中至少包括第一级设备以及与所述第一级设备直接连接的第二级设备,所述第二级设备用于接收来自所述第一级设备发送的数据包,所述至少一个目标设备包括全部的所述第二级设备;
评估值确定单元,用于确定各个目标设备处理数据包时所对应的评估值,所述评估值用于表征所述目标设备的异常程度以及所述目标设备出现异常时对其他设备的影响程度,且所述异常程度、所述影响程度均与所述评估值正相关;
总评估值确定单元,用于基于各个目标设备的所述评估值确定所述待评估网络的总评估值;
网络评估单元,用于当所述总评估值大于设定阈值,则确定所述待评估网络出现异常。
可选的,所述目标设备确定单元具体用于:
获取所述待评估网络的网络拓扑结构;
从所述网络拓扑结构中确定出全部的所述第一级设备;
将所述网络拓扑结构中直接与所述第一级设备连接的第二级设备确定为所述目标设备。
可选的,所述待评估网络中还包括与所述第二级设备直接连接的第三级设备,所述目标设备确定单元还用于:
将所述第三级设备中所直接连接第二级设备的数量超过设定阈值的部分第三级设备确定为所述目标设备。
可选的,所述总评估值基于如下公式:
A=∑iWi*Ai
其中,A表示总评估值,Wi表示第i个目标设备异常时对其他设备的影响程度,Ai表示第i个目标设备的异常程度。
可选的,所述Wi基于如下公式确定:
Wi=Di*max(N1*N2)
其中,Di表示第i个目标设备直接连接其他设备的数量,N1表示第i个目标设备直接或间接连接的第一级设备的数量,N2表示以第i个目标设备为第一端点,以任一第一级设备为第二端点所形成的链路中设备的数量。
可选的,所述Ai基于如下公式确定:
Figure BDA0003263234760000061
其中,Ai表示第i个目标设备的异常程度,Bj表示第i个目标设备所处理的第j个数据包的大小与历史时间段内同一目标设备所处理的数据包的最大值与最小值的偏离程度,N3表示第i个目标设备所处理的数据包的数量,
Figure BDA0003263234760000062
表示与第i个目标设备直接连接的其他设备中每个设备向第i个目标设备所发送的数据包的平均数量,max11表示第i个目标设备中来自同一源IP的数据包的最大数量,
Figure BDA0003263234760000071
表示第i个目标设备中来自同一源IP的数据包占数据包总量的比例,max12表示第i个目标设备中转发给同一目的IP的数据包的最大数量,
Figure BDA0003263234760000072
表示第i个目标设备中转发给同一目的IP的数据包占数据包总数量的比例,max13表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包的最大数量,
Figure BDA0003263234760000073
表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包占数据包总数量的比例,max23表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包的最大数量,
Figure BDA0003263234760000074
表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包占数据包总数量的比例,ΔTj表示第i个目标设备处理每个数据包的平均时长,∑jΔTj表示第i个目标设备处理的全部数据包的总时长。
可选的,所述Bj基于如下公式确定:
Figure BDA0003263234760000075
其中,Pj表示第i个目标设备中第j个数据包的实际大小,max3表示历史时间段内第i个目标设备所处理的数据包的最大值,min3表示历史时间段内第i个目标设备所处理的数据包的最小值。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括处理器和存储器,所述处理器用于执行所述存储器中存储的计算机程序时实现如第一方面任一实施例所述方法的步骤。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面任一实施例所述方法的步骤。
应当理解的是,本发明实施例的第二~四方面与本发明实施例的第一方面的技术方案一致,各方面及对应的可行实施方式所取得的有益效果相似,不再赘述。
【附图说明】
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种物联网系统的架构图;
图2为本申请实施例提供的一种网络异常的评估方法的流程示意图;
图3为本申请实施例提供的一种网络异常的评估装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
【具体实施方式】
为了更好的理解本说明书的技术方案,下面结合附图对本申请实施例进行详细描述。
应当明确,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本说明书保护的范围。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
随着物联网的迅速发展,网络威胁和其他网络相关的问题日益增多,如网络攻击、数据盗窃、病毒、蠕虫、恶意端口扫描活动等网络威胁的作用速度加快、变化速率更快、更加复杂。当前,尽管有外围防御,网络威胁还是会通过计算机网络直接潜入,因此网络异常评估十分重要。
经本申请发明人研究发现,当需要对物联网系统的运行状态进行评估时,通常在该物联网系统之外额外设置一个监测设备,由该监测设备对物联网系统中的各个设备的数据进行单独分析,从而获得物联网系统中各个设备的运行状态。例如,物联网系统的运行状态主要分为运行正常以及运行异常。由于物联网系统中各个设备之间是相互关联的,而上述方式未考虑到不同设备在物联网系统中的重要性不相同,以及不同设备的存在异常时对其他设备所造成的影响,因此,即使知晓单个设备的运行状态也无法对物联网系统整体的运行状态进行准确评估。
鉴于此,本申请实施例提供了一种网络异常的评估方法,该方法中,通过对待评估网络中较为重要的设备的自身的运行状态以及对其他设备所造成的影响进行评估,并且对上述较为重要的设备的评估结果进行汇总,从而可以对物联网系统整体的运行状态进行较为准确的评估。
为了便于理解,首先介绍本申请实施例的一种应用场景。请参见图1,为本申请实施例提供的一种物联网系统的架构图。图1中包括物联网终端A、物联网终端B、物联网终端C、网关A、本地服务器A、本地服务器B、云服务器A、云服务器B以及云服务器C。其中,各个物联网终端(物联网终端A、物联网终端B、物联网终端C)可以认为主要用于采集数据,例如,温度数据、湿度数据、压力数据等,此处对各个物联网终端所能采集的数据的具体类型不做特别限制。网关A主要用于转发数据,例如,将来自物联网终端B的数据转发给本地服务器B以及云服务器A。本地服务器A、本地服务器B、云服务器A、云服务器B以及云服务器C主要用于直接或间接接收来自物联网终端的数据,并对这些数据进行处理。下面以物联网终端A为例,对整个物联网系统中数据传输过程进行说明。
物联网终端A所采集的数据可以分别发送给本地服务器A与本地服务器B。对于本地服务器A而言,本地服务器A在获取到来自物联网终端A所采集的数据后,可以经第一条链路将该数据直接发送给云服务器C,也可以经第二条链路将该数据发送给云服务器A,经云服务器B,最终达到云服务器C。对于本地服务器B而言,本地服务器B在获取到来自物联网终端A所采集的数据后,直接对所接收到的数据进行处理即可,无需将处理后的数据再发送给其他设备。应理解,图1中所示的箭头方向表示的是数据的传输方向。
下面结合附图对本申请实施例提供的技术方案进行介绍。在下面的描述中以图1所示的应用场景为例。请参见图2,本发明实施例提供了一种网络异常的评估方法,该方法可以应用于设置于物联网系统之外的网络异常的评估装置,该装置可以是服务器,也可以是具有计算能力的其他设备,此处不做特别限制,该方法的流程描述如下:
步骤101:确定待评估网络中的至少一个目标设备,待评估网络中至少包括第一级设备以及与第一级设备直接连接的第二级设备,第二级设备用于接收来自第一级设备发送的数据包,至少一个目标设备包括全部的第二级设备。
在物联网系统中,不同设备的重要程度是不相同的。应理解,这里的重要程度是指设备出现异常时对整个物联网系统的影响程度。
请继续参见图1,例如,当物联网终端A出现异常时,仅仅会导致物联网终端A无法进行数据采集,而物联网系统的其他部分仍然可以正常运行;而当云服务器A出现异常时,不仅物联网终端C所采集的数据无法经云服务器A传输至云服务器B以及云服务器C,同时物联网终端A所采集的数据也无法经云服务器A传输至云服务器B和云服务器C。也就是说,当出现异常的设备为云服务器A时,相较于物联网终端A,对整个物联网系统的影响程度更大。
鉴于此,本申请实施例中,在对物联网的运行状态进行整体评估时,可以以较为重要的设备作为评估时的基准,从而有利于提高评估的准确性。在这之前,需要从物联网系统中确定出较为重要的设备。
作为一种可能的实施方式,待评估网络中可以至少包括第一级设备以及与第一级设备直接连接的第二级设备,应理解,第一级设备可以是物联网终端设备,例如,第一级设备可以是物联网终端A、物联网终端B或者物联网终端C。第二级设备可以是用于进行数据转发的设备或者用于进行数据处理的设备。例如,第二级设备可以是网关A、本地服务器A、本地服务器B、云服务器A。由于第二级设备用于直接接收来自第一级设备的数据包,即在整个物联网系统中,第二级设备起到对数据包进行汇集的作用,因此,在第二级设备在整个物联网系统中处于较为重要的位置,那网络异常的评估装置可以将全部的第二级设备作为评估时的基准,即从待评估网络中确定的至少一个目标设备应包括全部的第二级设备。
考虑到待评估网络中可能包括多个第一级设备与多个第二级设备,如果采用遍历的方式来确定目标设备效率显然较低。因此,本申请实施例中,可以根据待评估网络中第一级设备与第二级设备之间的连接关系,来确定目标设备,从而提高确定目标设备的效率。
作为一种可能的实施方式,网络异常的评估装置可以获取待评估网络对应的网络拓扑结构,然后从该网络拓扑结构中确定出全部的第一级设备,应理解,第一级设备均具有自身的标识,可以基于第一级设备所具有的标识在网络拓扑结构中确定全部的第一级设备。在此基础上,根据该网络拓扑结构中所定义的第一级设备与第二级设备的连接关系,可以快速的确定出全部的第二级设备,从而将全部的第二级设备作为目标设备。
在一些实施例中,待评估网络中除了第一级设备、与第一级设备直接连接的第二级设备以外,还可以包括与第二级设备直接连接的第三级设备,即第三级设备与第一级设备为间接连接的关系。例如,请继续参见图1,第三级设备可以为云服务器B和云服务器C。此时,可以根据第三级设备在物联网系统中的重要性确定是否将第三级设备作为目标设备,例如,若某些第三级设备与多个第二级设备直接连接,则表明这些第三级设备需要处理多个第二级设备所发送的数据包,即这些第三级设备在整个物联网系统中较为重要;若某些第三级设备仅与一个或两个第二级设备直接连接,则表明这些第三级设备仅需处理一个或两个第二级设备所发送的数据包,即这些第三级设备在整个物联网系统中不太重要,从而避免将全部的第三级设备均作为目标设备,从而增大在进行网络异常评估时的计算量。
作为一种可能的实施方式,网络异常的评估装置可以基于待评估网络的网络拓扑结构,确定出待评估网络中全部的第三级设备。然后将全部的第三级设备中直接连接的第二级设备的数量超过设定阈值的部分第三级设备作为目标设备。
例如,请继续参见图1,第三级设备包括云服务器B和云服务器C,设定阈值为2,云服务器B所连接的第二级设备的数量为2,云服务器C所连接的第二级设备的数量为3大于设定阈值,因此,云服务器C可以作为目标设备,而云服务器B无需作为目标设备。
步骤102:确定各个目标设备处理数据包时所对应的评估值,评估值用于表征目标设备的异常程度以及目标设备出现异常时对其他设备的影响程度,且异常程度、影响程度均与评估值正相关。
在从待评估网络中确定出目标设备之后,便可以基于该目标设备所处理的数据包来评估目标设备的运行状态,以及评估目标设备的当前状态对物联网系统整体所造成的影响。
作为一种可能的实施方式,网络异常的评估装置可以确定各个目标设备处理数据包时所对应的评估值,该评估值由两部分构成,第一部分可以表征目标设备自身的异常程度,第二部分可以表征目标设备出现异常时对其他设备的影响程度。下面就如何分别获得评估值的两个部分进行具体说明。
第一:计算目标设备的异常程度。
考虑到目标设备自身的异常程度可能与多方面因素相关,例如,目标设备所处理的数据包过大或者过小(数据包大小异常),目标设备所处理的数据包大量来自相同的IP地址或者相同的端口(数据包来源异常),或者目标设备所处理的数据包需要被转发至相同的目的IP地址或者相同的目的端口(数据包去向异常),或者,目标设备处理数据包的耗时较长(数据包处理速度异常)等。因此,本申请实施例中,可以从上述多个方面出发对目标设备的异常程度进行评估,从而提升对目标设备异常程度评估的准确性。
作为一种可能的实施方式,各个目标设备的异常程度Ai可以基于如下公式(1)进行计算:
Figure BDA0003263234760000141
其中,Ai表示第i个目标设备的异常程度,Bj表示第i个目标设备所处理的第j个数据包的大小与历史时间段内同一目标设备所处理的数据包的最大值与最小值的偏离程度,N3表示第i个目标设备所处理的数据包的数量,
Figure BDA0003263234760000142
表示与第i个目标设备直接连接的其他设备中每个设备向第i个目标设备所发送的数据包的平均数量,max11表示第i个目标设备中来自同一源IP的数据包的最大数量,
Figure BDA0003263234760000143
表示第i个目标设备中来自同一源IP的数据包占数据包总量的比例,max12表示第i个目标设备中转发给同一目的IP的数据包的最大数量,
Figure BDA0003263234760000144
表示第i个目标设备中转发给同一目的IP的数据包占数据包总数量的比例,max13表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包的最大数量,
Figure BDA0003263234760000145
表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包占数据包总数量的比例,max23表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包的最大数量,
Figure BDA0003263234760000146
表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包占数据包总数量的比例,ΔTj表示第i个目标设备处理每个数据包的平均时长,∑jΔTj表示第i个目标设备处理全部数据包的总时长。
应理解,上述用于评估目标设备异常程度的多种因素可以根据实际情况进行自由组合,同时也可以根据实际情况增加其他的因素,此处不做特别限制。
第二:计算目标设备出现异常时对其他设备的影响程度。
考虑到目标设备出现异常时对其他设备的影响程度可能与多个因素相关,例如,目标设备直接连接的其他设备的数量,在目标设备出现异常时,对其所直接连接的其他设备均会造成影响。若目标设备直接连接的其他设备的数量越多,那么所造成的影响程度就越大;或者,目标设备所直接或间接连接的第一级设备的数量,在目标设备出现异常时,肯定无法接收或者转发来自第一级设备的数据包。若目标设备直接或间接连接的第一级设备越多,则会导致大量数据包无法被处理,那么所造成的影响程度也越大;又或者,目标设备与任一第一级设备所形成的链路越长,在目标设备出现异常时,被影响的其他设备的数量就越多,同时,上述链路越长,整个链路可以认为越脆弱,即只要该链路上的任一设备出现异常,该链路均会出现异常。因此,本申请实施例中,可以基于上述多个因素来对目标设备异常时对其他设备的影响程度进行评估,从而使得所获得影响程度更为准确。
作为一种可能的实施方式,各个目标设备出现异常时对其他设备的影响程度Wi可以基于如下公式(2)进行计算:
Wi=Di*max(N1*N2) (2)
其中,Di表示第i个目标设备直接连接其他设备的数量,N1表示第i个目标设备直接或间接连接的第一级设备的数量,N2表示以第i个目标设备为第一端点,以任一第一级设备为第二端点所形成的链路中设备的数量。
应理解,上述用于评估目标设备出现异常时的影响程度的多种因素可以根据实际情况进行自由组合,同时也可以根据实际情况增加其他的因素,此处不做特别限制。
在一些实施例中,考虑到针对任一目标设备而言,其所处理的数据包的大小应满足一定的规律,即任一目标设备所处理的数据包的大小应在一个最小值与最大值所形成的区间内,若目标设备所处理的数据包持续为较大的数据包(即超过历史最大值)或者持续为较小的数据包(低于历史最小值),则可以认为该目标设备可能出现异常,本申请实施例中,可以基于目标设备当前所处理的数据包的大小与历史时间段内最小值以及最大值的偏离程度来衡量目标设备的异常程度。
作为一种可能的实施方式,目标设备当前所处理的数据包的大小与历史时间段内最小值以及最大值的偏离程度可以基于如下公式(3)来进行计算:
Figure BDA0003263234760000161
其中,Pj表示第i个目标设备中第j个数据包的实际大小,max3表示历史时间段内第i个目标设备所处理的数据包的最大值,min3表示历史时间段内第i个目标设备所处理的数据包的最小值。
步骤103:基于各个目标设备的评估值确定待评估网络的总评估值。
在获得各个目标设备自身的异常程度以及对其他设备的影响程度之后,可以将各个目标设备的运行状态情况进行汇总,从而得到整个物联网系统的运行状态。
作为一种可能的实施方式,网络异常的评估装置可以将各个目标设备的评估值进行累加,从而以较为简单的方式得到待评估网络的总评估值。
具体的,总评估值可以基于如下公式(4)来计算:
A=∑iWi*Ai (4)
其中,A表示总评估值,Wi表示第i个目标设备异常时对其他设备的影响程度,Ai表示第i个目标设备的异常程度。
步骤104:若总评估值大于设定阈值,则确定待评估网络出现异常。
本申请实施例中,由于单个目标设备自身的异常程度以及出现异常时对其他设备的影响程度与评估值正相关,因此,当物联网系统的总评估值较大时,可以认为至少一个目标设备的异常已经给物联网系统带来了较为严重的影响,此时可以确定整个物联网系统存在异常。
作为一种可能的实施方式,当网络异常的评估装置判断待评估网络的总评估值大于设定阈值时,可以确定待评估网络存在异常。应理解,设定阈值可以根据实际情况来进行设置,此处不做特别限制。
请参见图3,基于同一发明构思,本申请实施例还提供了一种网络异常的评估装置,该装置包括:目标设备确定单元201、评估值确定单元202、总评估值确定单元203以及网络评估单元204。
目标设备确定单元201,用于确定待评估网络中的至少一个目标设备,待评估网络中至少包括第一级设备以及与第一级设备直接连接的第二级设备,第二级设备用于接收来自第一级设备发送的数据包,至少一个目标设备包括全部的第二级设备;
评估值确定单元202,用于确定各个目标设备处理数据包时所对应的评估值,评估值用于表征目标设备的异常程度以及目标设备出现异常时对其他设备的影响程度,且异常程度、影响程度均与评估值正相关;
总评估值确定单元203,用于基于各个目标设备的评估值确定待评估网络的总评估值;
网络评估单元204,用于当总评估值大于设定阈值,则确定待评估网络出现异常。
可选的,目标设备确定单元201具体用于:
获取待评估网络的网络拓扑结构;
从网络拓扑结构中确定出全部的第一级设备;
将网络拓扑结构中直接与第一级设备连接的第二级设备确定为目标设备。
可选的,待评估网络中还包括与第二级设备直接连接的第三级设备,目标设备确定单元201还用于:
将所述第三级设备中所直接连接第二级设备的数量超过设定阈值的部分第三级设备确定为目标设备。
可选的,总评估值基于如下公式:
A=∑iWi*Ai
其中,A表示总评估值,Wi表示第i个目标设备异常时对其他设备的影响程度,Ai表示第i个目标设备的异常程度。
可选的,Wi基于如下公式确定:
Wi=Di*max(N1*N2)
其中,Di表示第i个目标设备直接连接其他设备的数量,N1表示第i个目标设备直接或间接连接的第一级设备的数量,N2表示以第i个目标设备为第一端点,以任一第一级设备为第二端点所形成的链路中设备的数量。
可选的,Ai基于如下公式确定:
Figure BDA0003263234760000181
其中,Ai表示第i个目标设备的异常程度,Bj表示第i个目标设备所处理的第j个数据包的大小与历史时间段内同一目标设备所处理的数据包的最大值与最小值的偏离程度,N3表示第i个目标设备所处理的数据包的数量,
Figure BDA0003263234760000191
表示与第i个目标设备直接连接的其他设备中每个设备向第i个目标设备所发送的数据包的平均数量,max11表示第i个目标设备中来自同一源IP的数据包的最大数量,
Figure BDA0003263234760000192
表示第i个目标设备中来自同一源IP的数据包占数据包总量的比例,max12表示第i个目标设备中转发给同一目的IP的数据包的最大数量,
Figure BDA0003263234760000193
表示第i个目标设备中转发给同一目的IP的数据包占数据包总数量的比例,max13表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包的最大数量,
Figure BDA0003263234760000194
表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包占数据包总数量的比例,max23表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包的最大数量,
Figure BDA0003263234760000195
表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包占数据包总数量的比例,ΔTj表示第i个目标设备处理每个数据包的平均时长,∑jΔTj表示第i个目标设备处理的全部数据包的总时长。
可选的,Bj基于如下公式确定:
Figure BDA0003263234760000196
其中,Pj表示第i个目标设备中第j个数据包的实际大小,max3表示历史时间段内第i个目标设备所处理的数据包的最大值,min3表示历史时间段内第i个目标设备所处理的数据包的最小值。
请参见图4,基于同一发明构思,本申请实施例提供一种电子设备,该电子设备包括至少一个处理器301,处理器301用于执行存储器中存储的计算机程序,实现本申请实施例提供的如图2所示的网络异常的评估方法的步骤。
可选的,处理器301具体可以是中央处理器、特定ASIC,可以是一个或多个用于控制程序执行的集成电路。
可选的,该电子设备还可以包括与至少一个处理器301连接的存储器302,存储器302可以包括ROM、RAM和磁盘存储器。存储器302用于存储处理器301运行时所需的数据,即存储有可被至少一个处理器301执行的指令,至少一个处理器301通过执行存储器302存储的指令,执行如图2所示的方法。其中,存储器302的数量为一个或多个。其中,存储器302在图4中一并示出,但需要知道的是存储器302不是必选的功能模块,因此在图4中以虚线示出。
其中,目标设备确定单元201、评估值确定单元202、总评估值确定单元203以及网络评估单元204所对应的实体设备均可以是前述的处理器301。该电子设备可以用于执行图2所示的实施例所提供的方法。因此关于该电子设备中各功能模块所能够实现的功能,可参考图2所示的实施例中的相应描述,不多赘述。
本申请实施例还提供一种计算机存储介质,其中,计算机存储介质存储有计算机指令,当计算机指令在计算机上运行时,使得计算机执行如图2所述的方法。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。

Claims (10)

1.一种网络异常的评估方法,其特征在于,所述方法包括:
确定待评估网络中的至少一个目标设备,所述待评估网络中至少包括第一级设备以及与所述第一级设备直接连接的第二级设备,所述第二级设备用于接收来自所述第一级设备发送的数据包,所述至少一个目标设备包括全部的所述第二级设备;
确定各个目标设备处理数据包时所对应的评估值,所述评估值用于表征所述目标设备的异常程度以及所述目标设备出现异常时对其他设备的影响程度,且所述异常程度、所述影响程度均与所述评估值正相关;
基于各个目标设备的所述评估值确定所述待评估网络的总评估值;
若所述总评估值大于设定阈值,则确定所述待评估网络出现异常。
2.根据权利要求1所述的方法,其特征在于,确定待评估网络中的至少一个目标设备包括:
获取所述待评估网络的网络拓扑结构;
从所述网络拓扑结构中确定出全部的所述第一级设备;
将所述网络拓扑结构中直接与所述第一级设备连接的第二级设备确定为所述目标设备。
3.根据权利要求2所述的方法,其特征在于,所述待评估网络中还包括与所述第二级设备直接连接的第三级设备,所述方法还包括:
将所述第三级设备中所直接连接第二级设备的数量超过设定阈值的部分第三级设备确定为所述目标设备。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述总评估值基于如下公式:
A=∑iWi*Ai
其中,A表示总评估值,Wi表示第i个目标设备异常时对其他设备的影响程度,Ai表示第i个目标设备的异常程度。
5.根据权利要求4所述的方法,其特征在于,所述Wi基于如下公式确定:
Wi=Di*max(N1*N2)
其中,Di表示第i个目标设备直接连接其他设备的数量,N1表示第i个目标设备直接或间接连接的第一级设备的数量,N2表示以第i个目标设备为第一端点,以任一所述第一级设备为第二端点所形成的链路中设备的数量。
6.根据权利要求4所述的方法,其特征在于,所述Ai基于如下公式确定:
Figure FDA0003263234750000021
其中,Ai表示第i个目标设备的异常程度,Bj表示第i个目标设备所处理的第j个数据包的大小与历史时间段内同一目标设备所处理的数据包的最大值与最小值的偏离程度,N3表示第i个目标设备所处理的数据包的数量,
Figure FDA0003263234750000022
表示与第i个目标设备直接连接的其他设备中每个设备向第i个目标设备所发送的数据包的平均数量,max11表示第i个目标设备中来自同一源IP的数据包的最大数量,
Figure FDA0003263234750000023
表示第i个目标设备中来自同一源IP的数据包占数据包总量的比例,max12表示第i个目标设备中转发给同一目的IP的数据包的最大数量,
Figure FDA0003263234750000024
表示第i个目标设备中转发给同一目的IP的数据包占数据包总数量的比例,max13表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包的最大数量,
Figure FDA0003263234750000025
表示第i个目标设备中来自同一源IP的数据包、且转发给同一目的IP的数据包占数据包总数量的比例,max23表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包的最大数量,
Figure FDA0003263234750000031
表示第i个目标设备中来自同一源端口的数据包、且转发给同一目的端口的数据包占数据包总数量的比例,ΔTj表示第i个目标设备处理每个数据包的平均时长,∑jΔTj表示第i个目标设备处理的全部数据包的总时长。
7.根据权利要求6所述的方法,其特征在于,所述Bj基于如下公式确定:
Figure FDA0003263234750000032
其中,Pj表示第i个目标设备中第j个数据包的实际大小,max3表示历史时间段内第i个目标设备所处理的数据包的最大值,min3表示历史时间段内第i个目标设备所处理的数据包的最小值。
8.一种网络异常的评估装置,其特征在于,所述装置包括:
目标设备确定单元,用于确定待评估网络中的至少一个目标设备,所述待评估网络中至少包括第一级设备以及与所述第一级设备直接连接的第二级设备,所述第二级设备用于接收来自所述第一级设备发送的数据包,所述至少一个目标设备包括全部的所述第二级设备;
评估值确定单元,用于确定各个目标设备处理数据包时所对应的评估值,所述评估值用于表征所述目标设备的异常程度以及所述目标设备出现异常时对其他设备的影响程度,且所述异常程度、所述影响程度均与所述评估值正相关;
总评估值确定单元,用于基于各个目标设备的所述评估值确定所述待评估网络的总评估值;
网络评估单元,用于当所述总评估值大于设定阈值,则确定所述待评估网络出现异常。
9.一种电子设备,其特征在于,所述电子设备包括至少一个处理器以及与所述至少一个处理器连接的存储器,所述至少一个处理器用于执行所述存储器中存储的计算机程序时实现如权利要求1-7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7任一项所述方法的步骤。
CN202111079157.4A 2021-09-15 2021-09-15 一种网络异常的评估方法、装置、电子设备及存储介质 Pending CN115834437A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111079157.4A CN115834437A (zh) 2021-09-15 2021-09-15 一种网络异常的评估方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111079157.4A CN115834437A (zh) 2021-09-15 2021-09-15 一种网络异常的评估方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN115834437A true CN115834437A (zh) 2023-03-21

Family

ID=85514908

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111079157.4A Pending CN115834437A (zh) 2021-09-15 2021-09-15 一种网络异常的评估方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115834437A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003196474A (ja) * 2001-12-25 2003-07-11 Ntt Comware Corp 与信管理システム、与信管理方法およびそのプログラム
CN107896232A (zh) * 2017-12-27 2018-04-10 北京奇艺世纪科技有限公司 一种ip地址评估方法及装置
CN111865720A (zh) * 2020-07-20 2020-10-30 北京百度网讯科技有限公司 用于处理请求的方法、装置、设备以及存储介质
CN111935172A (zh) * 2020-08-25 2020-11-13 珠海市一知安全科技有限公司 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN113328885A (zh) * 2021-05-27 2021-08-31 中国工商银行股份有限公司 网络健康度评估方法、装置、电子设备、介质和程序产品

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003196474A (ja) * 2001-12-25 2003-07-11 Ntt Comware Corp 与信管理システム、与信管理方法およびそのプログラム
CN107896232A (zh) * 2017-12-27 2018-04-10 北京奇艺世纪科技有限公司 一种ip地址评估方法及装置
CN111865720A (zh) * 2020-07-20 2020-10-30 北京百度网讯科技有限公司 用于处理请求的方法、装置、设备以及存储介质
CN111935172A (zh) * 2020-08-25 2020-11-13 珠海市一知安全科技有限公司 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN113328885A (zh) * 2021-05-27 2021-08-31 中国工商银行股份有限公司 网络健康度评估方法、装置、电子设备、介质和程序产品

Similar Documents

Publication Publication Date Title
US7958559B2 (en) Method, device and computer program product for determining a malicious workload pattern
US11070569B2 (en) Detecting outlier pairs of scanned ports
KR101061375B1 (ko) Uri 타입 기반 디도스 공격 탐지 및 대응 장치
EP2241072B1 (en) Method of detecting anomalies in a communication system using numerical packet features
US8443080B2 (en) System and method for determining application dependency paths in a data center
JP6564799B2 (ja) 閾値決定装置、閾値決定方法及びプログラム
US11184377B2 (en) Malicious port scan detection using source profiles
CN109922072B (zh) 一种分布式拒绝服务攻击检测方法及装置
US11184378B2 (en) Scanner probe detection
US11184376B2 (en) Port scan detection using destination profiles
CN106534068B (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
US11316872B2 (en) Malicious port scan detection using port profiles
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
US10681059B2 (en) Relating to the monitoring of network security
JP6317685B2 (ja) 通信監視システム、通信監視方法およびプログラム
CN115834437A (zh) 一种网络异常的评估方法、装置、电子设备及存储介质
Li et al. Detecting saturation attacks in software-defined networks
CN106817268B (zh) 一种ddos攻击的检测方法及系统
JP2005203992A (ja) ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2009267892A (ja) 巨大フロー特定方法とシステムおよびプログラムとフロー制御システム
CN117424762B (zh) 一种ddos攻击检测方法、介质及设备
JP7176630B2 (ja) 検知装置、検知方法および検知プログラム
JP2019200670A (ja) サイバー攻撃を検知する異常検知装置および異常検知方法
JP5537692B1 (ja) 品質劣化原因推定装置、品質劣化原因推定方法、品質劣化原因推定プログラム
CN117596049B (zh) 一种DDoS攻击检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination