JP7048555B2 - トラフィックを検出するための方法及び装置 - Google Patents

トラフィックを検出するための方法及び装置 Download PDF

Info

Publication number
JP7048555B2
JP7048555B2 JP2019202639A JP2019202639A JP7048555B2 JP 7048555 B2 JP7048555 B2 JP 7048555B2 JP 2019202639 A JP2019202639 A JP 2019202639A JP 2019202639 A JP2019202639 A JP 2019202639A JP 7048555 B2 JP7048555 B2 JP 7048555B2
Authority
JP
Japan
Prior art keywords
traffic information
traffic
abnormal
target
threshold value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019202639A
Other languages
English (en)
Other versions
JP2020150531A (ja
Inventor
ヤージン チェン
ビン ファン
チンジュ ゾウ
シャオイェン ワン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Publication of JP2020150531A publication Critical patent/JP2020150531A/ja
Application granted granted Critical
Publication of JP7048555B2 publication Critical patent/JP7048555B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明の実施例は、コンピュータ技術分野に関し、具体的にトラフィックを検出するための方法及び装置に関する。
社会の発展とネットワークアプリケーション分野の継続的な普及に伴い、ネットワークの開発は人々に大きな利便性をもたらしたとともに、セキュリティリスクも増大した。したがって、ネットワークの異常を正確かつ適時に検出し、攻撃を特定してクリーニングし、サービス使用の信頼性を確保することが特に重要である。
異常なトラフィックの特定は攻撃を検出する前提であり、トラフィックが異常であることが検出された場合にのみ、それが実際の攻撃であるかどうかをさらに分析する必要がある。
いくつかの関連技術では、通常に、トラフィック特徴値を抽出して事前構築された特徴データベースと照合することで現在のトラフィックが異常であるかどうかを検出する。
本発明の実施例は、トラフィックを検出するための方法及び装置を提出する。
第1態様では、本発明の実施例は、トラフィックを検出するための方法であって、対象IPの少なくとも2つの次元のトラフィック情報を取得するステップと、少なくとも2つの次元のトラフィック情報のうち、対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するステップと、少なくとも2つの次元のトラフィック情報のうち、対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在する場合、対象IPのトラフィックが異常であると判定するステップと、を含むトラフィックを検出するための方法を提出する。
いくつかの実施例では、少なくとも2つの次元のトラフィック情報は、単位時間あたりに転送されるビット数、単位時間あたりに転送されるデータパケット数、単位時間あたりのリクエスト数、及び単位時間あたりの接続数のうちの少なくとも2種を含む。
いくつかの実施例では、少なくとも2つの次元のトラフィック情報のうち、対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断する前に、該方法は、対象IPのトラフィック情報を周期的に収集するステップと、事前設定された範囲を超えた異常トラフィック情報を、収集されたトラフィック情報から削除するステップと、異常トラフィック情報が削除された後のトラフィック情報に基づいて対象IPの異常トラフィック閾値を確定するステップと、を更に含む。
いくつかの実施例では、対象IPのトラフィック情報を周期的に収集するステップは、事前設定された頻度で対象IPに対してトラフィックを収集するステップと、毎回に収集されたサンプルデータについて、該サンプルデータの所在の区間範囲を確定し、その区間範囲内の事前設定された値を当回に収集されたトラフィック情報として確定するステップと、を含む。
いくつかの実施例では、事前設定された範囲を超えた異常トラフィック情報を収集されたトラフィック情報から削除するステップは、収集されたトラフィック情報から第1の範囲を超えた異常トラフィック情報を削除して、一次絞込後のトラフィック情報を得るステップと、一次絞込後のトラフィック情報に基づいて、第1の範囲よりも小さい第2の範囲を確定するステップと、一次絞込後のトラフィック情報から、第2の範囲を超えた異常トラフィック情報を削除するステップと、を含む。
いくつかの実施例では、異常トラフィック情報が削除された後のトラフィック情報に基づいて対象IPの異常トラフィック閾値を確定するステップは、現在の周期内に取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するステップと、集合内で事前設定された割合のトラフィック情報の所在の区間範囲を確定し、区間範囲の上限を基準閾値とするステップと、基準閾値を所定倍率で増幅して、対象IPの異常トラフィック閾値を取得するステップと、を含む。
いくつかの実施例では、異常トラフィック情報が削除された後のトラフィック情報に基づいて対象IPの異常トラフィック閾値を確定するステップは、現在の周期と複数の履歴周期が含まれる複数の周期内で取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するステップと、各周期で取得されたトラフィック情報の集合について、該集合内における事前設定された割合のトラフィック情報の所在の区間範囲を確定し、確定された区間範囲の上限を該周期に対応する基準閾値とするステップと、複数の周期に対応する基準閾値及び対応する重みに基づいて最終閾値を確定するステップと、最終閾値を所定倍率で増幅して、対象IPの異常トラフィック閾値を取得するステップと、を含む。
いくつかの実施例では、複数の周期の重みは、各周期の重みが同じであること、現在の周期から近い周期の重みが、現在の周期から遠い周期の重みよりも大きいこと、及び各周期の重みがトラフィック情報の安定度に基づいて確定されること、のいずれかに応じて確定される。
第2態様では、本発明の実施例は、トラフィックを検出するための装置であって、対象IPの少なくとも2つの次元のトラフィック情報を取得するように構成される情報取得ユニットと、少なくとも2つの次元のトラフィック情報のうち、対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するように構成される判断ユニットと、少なくとも2つの次元のトラフィック情報のうち、対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在する場合、対象IPのトラフィックが異常であると判定するように構成される異常判定ユニットと、を含むトラフィックを検出するための装置を提供する。
いくつかの実施例では、少なくとも2つの次元のトラフィック情報は、単位時間あたりに転送されるビット数、単位時間あたりに転送されるデータパケット数、単位時間あたりのリクエスト数、及び単位時間あたりの接続数のうちの少なくとも2種を含む。
いくつかの実施例では、該装置は、対象IPのトラフィック情報を周期的に収集するように構成される情報収集ユニットと、事前設定された範囲を超えた異常トラフィック情報を、収集されたトラフィック情報から削除するように構成される削除ユニットと、異常トラフィック情報が削除された後のトラフィック情報に基づいて対象IPの異常トラフィック閾値を確定するように構成される閾値確定ユニットと、をさらに含む。
いくつかの実施例では、情報収集ユニットは、事前設定された頻度で対象IPに対してトラフィックを収集するように構成される情報収集モジュールと、毎回に収集されたサンプルデータについて、該サンプルデータの所在の区間範囲を確定し、その区間範囲内の事前設定された値を当回に収集されたトラフィック情報として確定するように構成される情報確定モジュールとを含む。
いくつかの実施例では、削除ユニットは、収集されたトラフィック情報から第1の範囲を超えた異常トラフィック情報を削除して、一次絞込後のトラフィック情報を得るように構成される第1削除モジュールと、一次絞込後のトラフィック情報に基づいて、第1の範囲よりも小さい第2の範囲を確定するように構成される範囲確定モジュールと、一次絞込後のトラフィック情報から、第2の範囲を超えた異常トラフィック情報を削除するように構成される第2削除モジュールと、を含む。
いくつかの実施例では、閾値確定ユニットは、現在の周期内で取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するように構成される集合取得モジュールと、集合内における事前設定された割合のトラフィック情報の所在の区間範囲を確定し、区間範囲の上限を基準閾値とするように構成される範囲確定モジュールと、基準閾値を所定倍率で増幅して、対象IPの異常トラフィック閾値を取得するように構成される閾値確定モジュールと、を含む。
いくつかの実施例では、閾値確定ユニットは、現在の周期と複数の履歴周期が含まれる複数の周期内で取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するように構成される集合取得モジュールと、各周期で取得されたトラフィック情報の集合について、該集合内における事前設定された割合のトラフィック情報の所在の区間範囲を確定し、確定された区間範囲の上限を該周期に対応する基準閾値とするように構成される範囲確定モジュールと、複数の周期に対応する基準閾値及び対応する重みに基づいて最終閾値を確定するように構成される修正モジュールと、最終閾値を所定倍率で増幅して、対象IPの異常トラフィック閾値を取得するように構成される閾値確定モジュールと、を含む。
いくつかの実施例では、複数の周期の重みは、各周期の重みが同じであること、現在の周期から近い周期の重みが、現在の周期から遠い周期の重みよりも大きいこと、及び各周期の重みがトラフィック情報の安定度に基づいて確定されること、のいずれかに応じて確定される。
第3態様では、本発明の実施例は、1つ又は複数のプロセッサと、1つ又は複数のプログラムが格納されている記憶デバイスと、を備える電子機器であって、1つ又は複数のプログラムが1つ又は複数のプロセッサによって実行されると、1つ又は複数のプロセッサに第1態様のいずれかの実施形態に記載の方法を実現させる電子機器を提供する。
第4態様では、本発明の実施例は、コンピュータプログラムが格納されているコンピュータ可読媒体であって、該コンピュータプログラムがプロセッサにより実行されると、第1態様のいずれかの実施形態に記載の方法を実現するコンピュータ可読媒体を提供する。
本発明の実施例により提供されたトラフィックを検出するための方法及び装置は、対象IPの少なくとも2つの次元のトラフィック情報を取得し、前記少なくとも2つの次元のトラフィック情報のうち、対応する次元の閾値を超えたトラフィック情報が存在するかどうかを判断し、対応する次元の閾値を超えたトラフィック情報が存在する場合にトラフィックが異常であると判定することにより、異常トラフィックの検出率が向上された。
本発明の他の特徴、目的及び利点は、以下の図面を参照してなされる非限定的な実施例に係る詳細な説明を読むことにより、より明らかになるであろう。
本発明の一実施例を適用可能な例示的なシステムアーキテクチャを示す図である。 本発明に係るトラフィックを検出するための方法の一実施例を示すフローチャートである。 本発明に係るトラフィックを検出するための方法のもう一つの実施例を示すフローチャートである。 本発明に係るトラフィックを検出するための装置の一実施例を示す構造概略図である。 本発明に係るトラフィックを検出するための装置のもう一つの実施例を示す構造概略図である。 本発明の実施例を達成するための電子機器に適用される構造概略図である。
以下、図面及び実施例を参照しながら本発明をより詳細に説明する。ここで説明する具体的な実施例は、関連する発明を説明するためのものに過ぎず、当該発明を限定するものではないことを理解されたい。また、説明の便宜上、図面には発明に関連する部分のみが示されていることに留意されたい。
なお、本発明の実施例及び実施例における特徴は、矛盾を生じない限り、相互に組み合わせることができる。以下、図面及び実施例を参照しながら本発明を詳細に説明する。
図1は、本発明に係るトラフィックを検出するための方法又はトラフィックを検出するための装置の実施例が適用可能な例示的なシステムアーキテクチャ100を示している。
図1に示すように、システムアーキテクチャ100は、電子機器101、102、103、ネットワーク104、及びサーバ105を含んでもよい。ネットワーク104は、電子機器101、102、103とサーバ105の間で通信リンクの媒体を提供するために使用される。ネットワーク104は、有線、無線通信リンク又は光ファイバケーブルなどの様々なタイプの接続を含んでもよい。
電子機器101、102、103は、サーバ(例えば、クラウドに配置され、特定のサービスを提供できるサーバ)、又は端末装置(例えば、ネットワークに接続されるスマートフォン、ラップトップコンピュータ、デスクトップコンピュータなど)であってもよい。その中で、各電子機器は1つのIP(インターネットプロトコル)を表すことができる。
サーバ105は、電子機器101、102、103のネットワークトラフィックに対して異常を検出するバックエンドサーバなど、様々なサービスを提供するサーバであってもよい。バックエンドサーバは、受信したトラフィック情報などのデータに対して解析などの処理を行って、電子機器101、102、103に異常なトラフィックがあるかどうかを判定することができる。
なお、本発明の実施例に係るトラフィックを検出するための方法は、通常にサーバ105によって実行され、これに応じて、トラフィックを検出するための装置は、通常にサーバ105に設けられている。
図1における電子機器、ネットワーク及びサーバの数は例示的なものに過ぎないことを理解されたい。必要に応じて、電子機器、ネットワーク及びサーバの数を任意に加減してもよい。
次に、本発明に係るトラフィックを検出するための方法の一実施例のフロー200を示す図2を参照する。このトラフィックを検出するための方法は、ステップ201、ステップ202及びステップ203を含む。
ステップ201:対象IPの少なくとも2つの次元のトラフィック情報を取得する。
この実施例において、トラフィックを検出する方法が実行される実行主体(例えば、図1のサーバ105)は、対象IP(例えば、図1の電子機器101、102、103)の少なくとも2つの次元のトラフィック情報を取得し得る。ここで、対象IPは、上記の実行主体によって管理されるIPの1つであり得る。トラフィック情報は、例えば、ビット/秒(bits per second)、パケット/秒(packets per second)など、対象IPのネットワーク状態を特徴づけることができる情報であり得る。
本実施例のいくつかの任意選択実施態様では、上記少なくとも2つの次元のトラフィック情報は、単位時間あたりに転送されるビット数(例えば、ビット/秒)、単位時間あたりに転送されるデータパケットの数(例えば、パケット数/秒)、単位時間あたりのリクエスト数(例えば、リクエスト数/秒)、単位時間あたりの接続数(例えば、接続数/秒)のうちの少なくとも2種を含んでもよい。
なお、上記実施形態では、一つの次元のトラフィック情報を単位時間当たりに転送されるビット数として説明したが、本実施例はこれに限定されない。当業者は、単位時間あたりに転送されるバイト数を該次元のトラフィック情報としても使用できることを理解されたい。
ここで、検出周期内で少なくとも2つの次元のトラフィック情報を同時に取得できる。例えば、対象IPによって転送されたビット数、転送されたデータパケット数、リクエスト数、及び接続数が同時に収集され、これら4つの次元における対象IPのトラフィック情報が取得される。
ステップ202:少なくとも2つの次元のトラフィック情報のうち、対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断する。
この実施例では、トラフィックを検出する方法が実行される実行主体(例えば、図1のサーバ105)は、前記少なくとも2つの次元のトラフィック情報をそれぞれ対応する次元の異常トラフィック閾値と比較して、前記少なくとも2つの次元のトラフィック情報に、対応する次元の異常トラフィック閾値を超えるトラフィック情報が存在するかどうかを確定することができる。ここで、特定の次元に対応する異常トラフィック閾値は、該次元のトラフィック情報が該次元の正常範囲内にあるかどうかを確定するために使用され、例えば100Mbit/sなどの事前設定された値であり得る。
ステップ203:少なくとも2つの次元のトラフィック情報の中に対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在する場合、対象IPのトラフィックが異常であると判定する。
この実施例において、ステップ202では、少なくとも2つの次元のトラフィック情報のうちに、対応する次元の異常トラフィック閾値を超えるトラフィック情報があると判定された場合、トラフィックを検出する方法が実行される実行主体(例えば、図1のサーバ105)は、対象IPのトラフィックが異常である(すなわち、対象IPが攻撃されているか、又は攻撃される可能性がある)と判定できる。
例として、まず、ビット数とパケット数の2つの次元における対象IPのトラフィック情報が200メガビット/秒と700パケット/秒であると取得され、次に、これらの2つの次元のトラフィック情報をそれぞれの次元に対応する異常トラフィック閾値と比較する(例えば、ビット数の次元に対応する異常トラフィック閾値が300メガビット/秒であり、パケット数の次元に対応する異常トラフィック閾値が500パケット/秒である)。パケット数の次元におけるトラフィック情報(すなわち、700パケット/秒)が、パケット数の次元に対応する異常トラフィック閾値(すなわち、500パケット/秒)を超えたので、対象IPのトラフィックが異常であると判断できる。
上記の例から分かるように、ビット数の次元からのみ対象IPに対してトラフィックを検出する場合、対象IPのトラフィックが正常であると見なされることがある。本発明は、少なくとも2つの次元から対象IPのトラフィックを検出し、1つの次元のトラフィック情報が異常トラフィック閾値を超えれば、対象IPのトラフィックが異常であると見なされ、それによって異常トラフィックの検出率が大幅に向上された。
本発明の上記実施例により提供されたトラフィックを検出するための方法は、対象IPの少なくとも2つの次元のトラフィック情報を取得し、前記少なくとも2つの次元のトラフィック情報の中に、対応する次元の閾値を超えたトラフィック情報が存在するかどうかを判断し、対応する次元の閾値を超えたトラフィック情報が存在する場合にトラフィックが異常であると判定することにより、異常トラフィックの検出率が向上された。
次に、本発明に係るトラフィックを検出するための方法の他の一実施例のフロー300を示す図3を参照する。このトラフィックを検出するための方法は、ステップ301~306を含む。
ステップ301:対象IPのトラフィック情報を周期的に収集する。
本実施例において、トラフィックを検出する方法が実行される実行主体(例えば、図1のサーバ105)は、対象IPのトラフィック情報を周期的に取得し得る。ここで、対象IPは、上記の実行主体によって管理されるIPの1つであり得る。トラフィック情報は、例えば、ビット/秒(bits per second)、パケット/秒(packets per second)など、対象IPのネットワーク状態を特徴づけることができる情報であり得る。
例として、前記実行主体は、固定頻度で対象IPに対してトラフィックを収集し、収集されたサンプルデータを対象IPのトラフィック情報とすることができる。
本実施例のいくつかの任意選択実施態様では、ステップ301は具体的に、事前設定された頻度(例えば、1秒に1回)で対象IPに対してトラフィックを収集するステップと、毎回に収集されたサンプルデータについて、該サンプルデータの所在の区間範囲を確定し、その区間範囲内の事前設定された値を今回収集されたトラフィック情報として確定するステップと、を含むことができる。例えば、収集されたサンプルデータが158パケット/秒である場合、該サンプルデータを区間[100、200](この区間は、検出結果に影響を与えずに経験的に設定できる)に近似でき、切り上げて200パケット/秒を今回収集されたトラフィック情報とする。収集されたサンプルデータを概算して整数にすることにより、判定結果に影響を与えない前提でストレージのオーバーヘッドを効果的に節約できる。
上記の例では、切り上げにより各回に取得されたトラフィック情報を確定することについて説明したが、本発明はそれに限定されない。当業者は、他の方法(例えば切り捨て、区間範囲の中間値(例えば150)をとることなど)で各回に取得されたトラフィック情報を確定することもできることを理解することができる。
なお、対象IPのトラフィック情報には少なくとも2つの次元のトラフィック情報が含まれる場合、少なくとも2つの次元のトラフィック情報を同時に収集することも、少なくとも2つの次元のトラフィック情報を順番に収集することもでき、本発明はそれに限定されない。
ステップ302:事前設定された範囲を超えた異常トラフィック情報を収集されたトラフィック情報から削除する。
本実施例では、トラフィックを検出するための方法が実行される実行主体(例えば、図1のサーバ105)は、ステップ301で収集されたトラフィック情報から、事前設定された範囲を超えた異常トラフィック情報を削除できる。ステップ301で収集されたトラフィック情報には、異常なトラフィック情報(すなわち、事前設定された範囲を超えるトラフィック情報)が含まれる可能性があるため、それを削除する必要がある。ここで、事前設定された範囲は、経験値に応じて予め設定された値であってもよいし、実行中に収集されたデータに応じて確定された値であってもよい。
本実施例のいくつかの任意選択実施態様では、事前設定された範囲は、第1の範囲と第2の範囲を含むことができる。第1の範囲は経験に応じて設定された固定の閾値であってもよく、第2の範囲は方法の実行中に確定された値であってもよく、第1の範囲は第2の範囲よりも大きい。
該実施態様に対応して、ステップ302は具体的にステップ1、ステップ2及びステップ3を含むことができる。
ステップ1:ステップ301で収集されたトラフィック情報から第1の範囲を超えた(例えば、固定閾値よりも大きい)異常トラフィック情報を削除して、一次絞込後のトラフィック情報を得る。一次絞込により、明らかな異常トラフィック情報を排除できる。
ステップ2:一次絞込後のトラフィック情報に基づいて、第2の範囲を確定する。例として、一次絞込されたトラフィック情報をサンプルポイントとし、標準偏差σ及び平均値μが確定されると、第2の範囲が(μ-3σ、μ+3σ)として確定され得る。3σ原理によれば、(μ-3σ、μ+3σ)に分布する数値の確率が0.9974であるので、この範囲外にあるサンプルポイントは異常ポイントであると考えることができる。
ステップ3:一次絞込後のトラフィック情報から、第2の範囲を超えた異常トラフィック情報を削除する。例えば、(μ-3σ、μ+3σ)内にないトラフィック情報は削除される。
上記の例では、3σ原理を使用して第2の範囲を確定することを説明したが、本発明はそれに限定されない。当業者は、第2の範囲は他の適切な方法で確定できることを理解するであろう。
ステップ303:異常トラフィック情報が削除された後のトラフィック情報に基づいて対象IPの異常トラフィック閾値を確定する。
本実施例では、トラフィックを検出するための方法が実行される実行主体(例えば、図1のサーバ105)は、ステップ302で取得されたトラフィック情報を使用して、対象IPの異常トラフィック閾値を確定することができる。ここで、対象IPの異常トラフィック閾値は、少なくとも2つの次元の異常トラフィック閾値を含み得る。特定の次元に対応する異常トラフィック閾値は、該次元のトラフィック情報が該次元の正常範囲内にあるかどうかを判断するために使用できる。
本実施例のいくつかの任意選択実施態様では、ステップ303は、具体的にステップ1、ステップ2及びステップ3を含むことができる。
ステップ1:現在の周期内に取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得する。
ステップ2:前記集合内において事前設定された割合のトラフィック情報の所在の区間範囲を確定し、区間範囲の上限を基準閾値とする。事前設定された割合は、経験に応じて事前設定された値、例えば、90%、95%などであってもよい。
ステップ3:基準閾値を所定倍率で増幅して、対象IPの異常トラフィック閾値を取得する。ここで、所定倍率は、経験に応じて事前設定された値、例えば、2、3などであってもよい。
例として、まず、当日に収集された、第1の範囲と第2の範囲を超えた異常ビット数を除去した100個のビット数サンプルを取得し、その後、これらのビット数のサンプルを数値に従って小きい順に並べ替え、サンプル分布のヒストグラムをプロットし、95%のビット数サンプル(即ち、95個のビット数サンプル)に対応する横座標(すなわち、95%のビット数サンプルの所在の区間範囲の上限)を見つけて、該横座標の値を基準閾値とし、最後に、基準閾値を2倍に増幅して、対象IPに対する後続のトラフィック検出のための異常トラフィック閾値とする。
さらに、単一の周期が業務のピーク期間や長期の攻撃などの要因の影響を受ける可能性があることを考慮すると、単一の周期における推定値はある程度の不確実性があるため、複数の周期に亘るデータにより修正することで、より正確な異常トラフィック閾値が推定され得る。
本実施例のいくつかの任意選択実施態様では、ステップ303は、具体的にステップ1、ステップ2、ステップ3及びステップ4を含むことができる。
ステップ1:複数の周期内に取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得する、ここで、前記複数の周期は、現在の周期と複数の履歴周期を含む。
ステップ2:各周期について、該周期に対応する集合内において事前設定された割合のトラフィック情報の所在の区間範囲を確定し、確定された区間範囲の上限を該周期に対応する基準閾値とする。
ステップ3:複数の周期に対応する基準閾値及び対応する重みに基づいて最終閾値を確定する。
ステップ4:最終閾値を所定倍率で増幅して、対象IPの異常トラフィック閾値を取得する。
以下に例を挙げて説明する。
まず、当日を含む複数の日(例えば30日)に収集された、第1の範囲と第2の範囲を超えた異常ビット数が削除された後の3000個のビット数サンプル(ここで、1日あたり100個のビット数サンプルと仮定)を取得できる。
その後、毎日のビット数サンプルを処理して、毎日の対応する基準閾値を取得する。具体的には、毎日のビット数サンプルを数値に従って小きい順に並べ替え、サンプル分布のヒストグラムをプロットし、95%のビット数サンプル(即ち、95個のビット数サンプル)に対応する横座標(すなわち、95%のビット数サンプルの所在の区間範囲の上限)を見つけて、該横座標の値を毎日の対応する基準閾値とする。
次に、複数の日に対応する基準閾値の加重平均値を求め、最終的な閾値を得る。ここで、毎日の重みは、例えば1/n(nは日数)のように事前に設定できる。
最後に、最終的な閾値を2倍に増幅して、対象IPに対する後続のトラフィック検出のための異常トラフィック閾値とする。
本実施例のいくつかの任意選択実施態様では、前記複数の周期の重みは、次の方式1~3のいずれかに応じて確定されてもよい。
方式1:各周期の重みは同じで、例えば、いずれも1/n(nは各周期の日数)である。
方式2:現在の周期に近い周期の重みは大きく、例えば、第iの周期の比率が1/i(iは自然数)である。
方式3:トラフィック情報が安定している周期の重みは大きく、例えば、第iの周期のトラフィック情報が安定している(第iの周期のトラフィック情報の平方偏差σが0である)場合、第iの周期の重みはn(nが第iの周期の日数)であり、第iの周期のトラフィック情報が安定していない(第iの周期のトラフィック情報の平方偏差σが0より大きい)場合、第iの周期の重みはn/σである。
なお、上記の複数の周期は、例えば5日間、10日間、2ヶ月など、必要に応じて予め設定された値であってもよい。
また、履歴データがカバーする周期数が事前設定された周期数よりも少ない場合、事前設定された数の周期で収集したトラフィック情報の集合を取得することは、対象IPの履歴データのうちのトラフィック情報の集合を取得することと見なすことができる。例えば、事前設定された周期の数が10日間で、対象IPによって生成された履歴データにここ最近2日間に収集されたトラフィック情報のみが含まれる場合、10日間に収集されたトラフィック情報の集合を取得することは、対象IPの履歴データ(即ち、ここ最近2日間に収集された履歴データ)内のトラフィック情報の集合を取得することと見なすことができ、履歴データがカバーする周期数が所定の周期数以上になるまで待つ必要はない。
ステップ304:対象IPの少なくとも2つの次元のトラフィック情報を取得する。
この実施例において、トラフィックを検出するための方法が実行される実行主体(例えば、図1のサーバ105)は、対象IPの少なくとも2つの次元のトラフィック情報を取得し得る。
ステップ305:少なくとも2つの次元のトラフィック情報のうち、対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断する。
この実施例では、トラフィックを検出するための方法が実行される実行主体(例えば、図1のサーバ105)は、ステップ304で取得された前記少なくとも2つの次元のトラフィック情報をそれぞれ対応する次元の異常トラフィック閾値(ステップ303で確定された異常トラフィック閾値)と比較して、前記少なくとも2つの次元のトラフィック情報のうち、対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判定することができる。
ステップ306:少なくとも2つの次元のトラフィック情報のうち、対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在する場合、対象IPのトラフィックが異常であると判定する。
本実施例において、ステップ305では、少なくとも2つの次元のトラフィック情報のうち、対応する次元の異常トラフィック閾値を超えたトラフィック情報があると判定された場合、トラフィックを検出するための方法が実行される実行主体(例えば、図1のサーバ105)は、対象IPのトラフィックが異常である(すなわち、対象IPが攻撃されているか、又は攻撃される可能性がある)と判定できる。
図3から分かるように、本実施例におけるトラフィックを検出するための方法300は、図2に対応する実施例と比較して、異常トラフィック閾値を確定するステップが強調された。したがって、本実施例で説明される解決策は、対象IPの異常トラフィック閾値を動的に調整することができ、それによって異常トラフィックをより正確に検出できる。さらに、異なるIPの履歴トラフィック情報を用いて異なるIPの異常トラフィック閾値を確定し、異なるIPのトラフィック異常を場合によって処理することで、異常トラフィックの偽陰性率と偽陽性率は低減された。
更に図4を参照すると、図2に示された方法の実施態様として、本発明は、トラフィックを検出するための装置の一実施例を提供し、該装置の実施例は、図2に示された方法の実施例に対応しており、該装置は、具体的にサーバに適用することができる。
図4に示すように、本実施例のトラフィックを検出するための装置400は、情報取得ユニット401と、判断ユニット402と、異常判定ユニット403とを備えてもよい。ここで、情報取得ユニットは、対象IPの少なくとも2つの次元のトラフィック情報を取得するように構成されてもよい。判断ユニット402は、少なくとも2つの次元のトラフィック情報のうち、対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するように構成されてもよい。異常判定ユニット403は、少なくとも2つの次元のトラフィック情報のうち対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在する場合、対象IPのトラフィックが異常であると判定するように構成されてもよい。
本実施例において、トラフィックを検出するための装置400の取得ユニット401は、対象IP(例えば、図1の電子機器101、102、103)の少なくとも2つの次元のトラフィック情報を取得し得る。ここで、対象IPは、上記の実行主体によって管理されるIPの1つであり得る。トラフィック情報は、例えば、ビット/秒(bits per second)、パケット/秒(packets per second)など、対象IPのネットワーク状態を特徴づけることができる情報であり得る。
本実施例のいくつかの任意選択実施態様では、上記少なくとも2つの次元のトラフィック情報は、単位時間あたりに転送されるビット数(例えば、ビット/秒)、単位時間あたりに転送されるデータパケットの数(例えば、パケット数/秒)、単位時間あたりのリクエスト数(例えば、リクエスト数/秒)、単位時間あたりの接続数(例えば、接続数/秒)のうちの少なくとも2種を含んでもよい。
本実施例では、上記判断ユニット402は、前記少なくとも2つの次元のトラフィック情報をそれぞれ対応する次元の異常トラフィック閾値と比較して、前記少なくとも2つの次元のトラフィック情報のうち、対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判定することができる。ここで、特定の次元に対応する異常トラフィック閾値は、該次元のトラフィック情報が該次元の正常範囲内にあるかどうかを判定するために使用され、例えば100Mbit/sなどの事前設定された値であり得る。
本実施例において、前記少なくとも2つの次元のトラフィック情報のうちに、対応する次元の異常トラフィック閾値を超えたトラフィック情報があると判定された場合、前記異常判定ユニット403は、対象IPのトラフィックが異常である(すなわち、対象IPが攻撃されているか、又は攻撃される可能性がある)と判定できる。
本発明の前記実施例により提供されたトラフィックを検出するための装置は、対象IPの少なくとも2つの次元のトラフィック情報を取得し、前記少なくとも2つの次元のトラフィック情報のうち、対応する次元の閾値を超えたトラフィック情報が存在するかどうかを判断し、対応する次元の閾値を超えたトラフィック情報が存在する場合にトラフィックが異常であると判定することにより、異常トラフィックの検出率が向上された。
更に図5を参照すると、図3に示された方法の実施態様として、本発明は、トラフィックを検出するための装置の一実施例を提供し、該装置の実施例は、図3に示された方法の実施例に対応しており、該装置は、具体的にサーバに適用することができる。
図5に示すように、本実施例のトラフィックを検出するための装置500には、情報収集ユニット501、削除ユニット502、閾値判定ユニット503、情報取得ユニット504、判断ユニット505及び異常判定ユニット506が含まれていてもよい。ここで、情報収集ユニット501は、対象IPのトラフィック情報を周期的に収集するように構成されてもよい。削除ユニット502は、事前設定された範囲を超えた異常トラフィック情報を収集されたトラフィック情報から削除するように構成されてもよい。閾値確定ユニット503は、異常トラフィック情報が削除された後のトラフィック情報に基づいて対象IPの異常トラフィック閾値を確定するように構成されてもよい。情報取得ユニット504は、対象IPの少なくとも2つの次元のトラフィック情報を取得するように構成されてもよい。判断ユニット505は、少なくとも2つの次元のトラフィック情報のうち、対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するように構成されてもよい。異常判定ユニット506は、少なくとも2つの次元のトラフィック情報のうち対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在する場合、対象IPのトラフィックが異常であると判定するように構成されてもよい。
本実施例において、トラフィックを検出するための装置500の情報収集ユニット501は、対象IPのトラフィック情報を周期的に収集するように構成されてもよい。ここで、対象IPは、上記の実行主体によって管理されるIPの1つであり得る。トラフィック情報は、例えば、ビット/秒(bits per second)、パケット/秒(packets per second)など、対象IPのネットワーク状態を特徴づけることができる情報であり得る。
本実施例のいくつかの任意選択実施態様では、前記情報収集ユニットは情報収集モジュール及び情報確定モジュールを含んでもよい。ここで、情報収集モジュールは、事前設定された頻度で対象IPに対してトラフィックを収集するように構成されてもよい。情報確定モジュールは、毎回に収集されたサンプルデータについて、該サンプルデータの所在の区間範囲を確定し、その区間範囲内の事前設定された値を当回に収集されたトラフィック情報として確定するように構成されてもよい。
本実施例において、前記削除ユニット502は、前記情報収集ユニット501によって収集されたトラフィック情報から、事前設定された範囲を超えた異常トラフィック情報を削除する。前記情報収集ユニット501によって収集されたトラフィック情報のうち、異常なトラフィック情報(即ち、事前設定された範囲を超えたトラフィック情報)が含まれる可能性があるため、それを削除する必要がある。ここで、事前設定された範囲は、経験値に応じて予め設定された値であってもよいし、実行中に収集されたデータに応じて確定された値であってもよい。
本実施例のいくつかの任意選択実施態様では、事前設定された範囲は、第1の範囲と第2の範囲を含むことができる。第1の範囲は経験に応じて設定された固定の閾値であってもよく、第2の範囲は方法の実行中に確定された値であってもよく、第1の範囲は第2の範囲よりも大きい。
該実施態様に対応して、前記削除ユニット502は、第1の削除モジュール、範囲確定モジュール、及び第2の削除モジュールを含むことができる。ここで、第1の削除モジュールは、収集されたトラフィック情報から第1の範囲を超えた異常トラフィック情報を削除して、一次絞込後のトラフィック情報を得るように構成されてもよい。範囲確定モジュールは、一次絞込後のトラフィック情報に基づいて、第1の範囲よりも小さい第2の範囲を確定するように構成されてもよい。第2の削除モジュールは、一次絞込後のトラフィック情報から、第2の範囲を超えた異常トラフィック情報を削除するように構成されてもよい。
本実施例において、前記閾値確定ユニット503は、前記削除ユニット502によって得られたトラフィック情報を利用して対象IPの異常トラフィック閾値を確定することができる。ここで、対象IPの異常トラフィック閾値は、少なくとも2つの次元の異常トラフィック閾値を含み得る。特定の次元に対応する異常トラフィック閾値は、該次元のトラフィック情報が該次元の正常範囲内にあるかどうかを判断するために使用できる。
本実施例のいくつかの任意選択実施態様では、前記閾値確定ユニット503は、集合取得モジュール、範囲確定モジュール及び閾値確定モジュールを含んでもよい。ここで、集合取得モジュールは、現在の周期内に取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するように構成されてもよい。範囲確定モジュールは、集合内で事前設定された割合のトラフィック情報の所在の区間範囲を確定し、区間範囲の上限を基準閾値とするように構成されてもよい。閾値確定モジュールは、基準閾値を所定倍率で増幅して、対象IPの異常トラフィック閾値を取得するように構成されてもよい。
本実施例のいくつかの任意選択実施態様では、前記閾値確定ユニット503は、集合取得モジュール、範囲確定モジュール、修正モジュール及び閾値確定モジュールを含んでもよい。ここで、集合取得モジュールは、現在の周期と複数の履歴周期が含まれる複数の周期内で取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するように構成されてもよい。範囲確定モジュールは、各周期で取得されたトラフィック情報の集合について、該集合内で事前設定された割合のトラフィック情報の所在の区間範囲を確定し、確定された区間範囲の上限を該周期に対応する基準閾値とするように構成されてもよい。修正モジュールは、複数の周期に対応する基準閾値及び対応する重みに基づいて最終閾値を確定するように構成されてもよい。閾値確定モジュールは、最終閾値を所定倍率で増幅して、対象IPの異常トラフィック閾値を取得するように構成されてもよい。
本実施例のいくつかの任意選択実施態様では、複数の周期の重みは、各周期の重みが同じであること、現在の周期から近い周期の重みが、現在の周期から遠い周期の重みよりも大きいこと、及び各周期の重みがトラフィック情報の安定度に基づいて確定されること、のいずれかによって確定され得る。
本実施例において、前記取得ユニット504は、対象IPの少なくとも2つの次元のトラフィック情報を取得するように構成されてもよい。
本実施例では、前記判断ユニット505は、前記取得ユニット504によって取得された少なくとも2つの次元のトラフィック情報をそれぞれ対応する次元の異常トラフィック閾値と比較して、前記少なくとも2つの次元のトラフィック情報のうち、対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判定することができる。
本実施例において、前記少なくとも2つの次元のトラフィック情報のうちに、対応する次元の異常トラフィック閾値を超えたトラフィック情報があると判定された場合、前記異常判定ユニット506は、対象IPのトラフィックが異常である(すなわち、対象IPが攻撃されているか、又は攻撃される可能性がある)と判定できる。
図5から分かるように、本実施例におけるトラフィックを検出するための装置400は、図4に対応する実施例と比較して、異常トラフィック閾値を確定するユニットが強調された。したがって、本実施例で説明される解決策は、対象IPの異常トラフィック閾値を動的に調整することができ、それによって異常トラフィックをより正確に検出できる。さらに、異なるIPの履歴トラフィック情報を用いて異なるIPの異常トラフィック閾値を確定し、異なるIPのトラフィック異常を場合によって処理することで、異常トラフィックの偽陰性率と偽陽性率は低減された。
以下、本発明の実施例を実現するために適用される電子機器(例えば、図1に示す電子機器101、102、103)600を示す構造概略図である図6を参照する。図6に示す電子機器は、あくまでも一例に過ぎず、本発明の実施例の機能及び使用範囲には如何なる制限をも与えない。
図6に示すように、電子機器600は、読み出し専用メモリ(ROM)602に格納されているプログラム又は記憶デバイス608からランダムアクセスメモリ(RAM)603にロードされたプログラムによって様々な適当な動作及び処理を実行可能な処理デバイス(例えば、中央処理装置、グラフィックスプロセッサなど)601を含むことができる。RAM603には、コンピュータシステム600の動作に必要な各種のプログラム及びデータがさらに格納されている。処理デバイス601、ROM602及びRAM603は、バス604を介して互いに接続されている。入力/出力(I/O)インターフェース605もバス604に接続されている。
例えば、キーボード、マウスなどを含む入力デバイス606、液晶ディスプレイ(LCD)、スピーカなどを含む出力デバイス607、例えば、磁気テープ、ハードディスクなどを含む記憶デバイス608、及び通信デバイス609がI/Oインターフェース605に接続されてもよい。通信デバイス609により、コンピュータシステム600は、データを交換するために他のデバイスと無線又は有線で通信することができる。図6は、様々なデバイスを有するコンピュータシステム600を示しているが、図示されたデバイスのすべてを実装又は具備することが要求されないことを理解されたい。代替的に又はより多い又はより少ないデバイスが実装されてもよい。図6に示す各ブロックは、1つのデバイスを表すことも、必要に応じて複数のデバイスを表すこともできる。
特に、本発明の実施例によれば、上記のフローチャートを参照しながら記載されたプロセスは、コンピュータのソフトウェアプログラムとして実現されてもよい。例えば、本発明の実施例は、コンピュータ可読媒体に具現化されるコンピュータプログラムを含むコンピュータプログラム製品を備え、該コンピュータプログラムは、フローチャートで示される方法を実行するためのプログラムコードを含む。このような実施例では、該コンピュータプログラムは、通信デバイス609を介してネットワークからダウンロードされてインストールされることが可能であり、又は記憶デバイス608又はROM602からインストールされ得る。該コンピュータプログラムが処理デバイス601によって実行されると、本発明の実施例の方法で限定された上記の機能を実行する。注意すべきなのは、本発明に記載されたコンピュータ可読媒体は、コンピュータ可読信号媒体又はコンピュータ可読記憶媒体、又はこれらの任意の組み合わせであってもよい。コンピュータ可読記憶媒体は、例えば、電気、磁気、光、電磁気、赤外線、又は半導体システム、装置もしくはデバイス、又はこれらの任意の組み合わせであってもよいが、これらに限定されない。コンピュータ可読記憶媒体のより具体的な例としては、1本又は複数の導線による電気的接続、ポータブルコンピュータディスク、ハードディスク、ランダムアクセスメモリ(RAM)、読取り専用メモリ(ROM)、消去可能プログラマブル読取り専用メモリ(EPROMもしくはフラッシュメモリ)、光ファイバ、ポータブルコンパクトディスク読取り専用メモリ(CD-ROM)、光メモリ、磁気メモリ、又はこれらの任意の適切な組み合わせを含むことができるが、これらに限定されない。本発明の実施例において、コンピュータ可読記憶媒体は、命令実行システム、装置もしくはデバイスによって使用可能な、又はそれらに組み込まれて使用可能なプログラムを包含又は格納する任意の有形の媒体であってもよい。本発明の実施例において、コンピュータ可読信号媒体は、ベースバンド内の、又は搬送波の一部として伝搬されるデータ信号を含むことができ、その中にコンピュータ可読プログラムコードが担持されている。かかる伝搬されたデータ信号は、様々な形態をとることができ、電磁信号、光信号、又はこれらの任意の適切な組み合わせを含むが、これらに限定されない。コンピュータ可読信号媒体は、更にコンピュータ可読記憶媒体以外の任意のコンピュータ可読媒体であってもよい。当該コンピュータ可読媒体は、命令実行システム、装置もしくはデバイスによって使用されるか、又はそれらに組み込まれて使用されるプログラムを、送信、伝搬又は伝送することができる。コンピュータ可読媒体に含まれるプログラムコードは任意の適切な媒体で伝送することができ、当該任意の適切な媒体とは、電線、光ケーブル、RF(無線周波数)など、又はこれらの任意の適切な組み合わせを含むが、これらに限定されない。
該コンピュータ可読媒体は、前記デバイスに含まれるものであってもよく、該デバイスに実装されずに別体として存在するものであってもよい。前記コンピュータ可読媒体に1つ又は複数のプログラムが担持され、前記1つ又は複数のプログラムが該デバイスによって実行されるとき、対象IPの少なくとも2つの次元のトラフィック情報を取得するステップと、少なくとも2つの次元のトラフィック情報のうち、対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するステップと、少なくとも2つの次元のトラフィック情報のうち対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在する場合、対象IPのトラフィックが異常であると判定するステップと、を該デバイスに実行させる。
本発明の実施例の動作を実行するためのコンピュータプログラムコードは、1種以上のプログラミング言語、又はそれらの組み合わせで作成されることができ、前記プログラミング言語は、Java、Smalltalk、C++などのオブジェクト指向プログラミング言語と、「C」言語又は同様のプログラミング言語などの従来の手続き型プログラミング言語とを含む。プログラムコードは、完全にユーザのコンピュータで実行されることも、部分的にユーザのコンピュータで実行されることも、単独のソフトウェアパッケージとして実行されることも、部分的にユーザのコンピュータで実行されながら部分的にリモートコンピュータで実行されることも、又は完全にリモートコンピュータもしくはサーバで実行されることも可能である。リモートコンピュータの場合、リモートコンピュータは、ローカルエリアネットワーク(LAN)又はワイドエリアネットワーク(WAN)を含む任意の種類のネットワークを介してユーザのコンピュータに接続することができ、又は(例えば、インターネットサービスプロバイダによるインターネットサービスを介して)外部のコンピュータに接続することができる。
図面のうちのフローチャート及びブロック図は、本発明の様々な実施例に係るシステム、方法及びコンピュータプログラム製品によって実現できるアーキテクチャ、機能及び動作の表示例である。これについては、フローチャート又はブロック図における各ブロックは、モジュール、プログラムセグメント、又はコードの一部を表すことができる。当該モジュール、プログラムセグメント、又はコードの一部には、所定のロジック機能を実現するための1つ又は複数の実行可能命令が含まれている。さらに注意すべきなのは、一部の代替となる実施態様においては、ブロックに示されている機能は図面に示されているものとは異なる順序で実行することも可能である。例えば、連続して示された2つのブロックは、実際には係る機能に応じて、ほぼ並行して実行されてもよく、時には逆の順序で実行されてもよい。さらに注意すべきなのは、ブロック図及び/又はフローチャートにおけるすべてのブロック、ならびにブロック図及び/又はフローチャートにおけるブロックの組み合わせは、所定の機能又は操作を実行する専用のハードウェアベースのシステムで実現することもできれば、専用のハードウェアとコンピュータ命令との組み合わせで実現することもできる。
本発明の実施例に記載された手段は、ソフトウェアで実現されてもよく、ハードウェアで実現されてもよい。記載されたユニットは、プロセッサに設定されてもよく、例えば、「情報取得ユニットと、判断ユニットと、異常確定ユニットとを備えるプロセッサ」というように記載されてもよい。ここで、これらのユニットの名称は、ある場合において当該ユニットその自体を限定するものではなく、例えば、情報取得ユニットは、「対象IPの少なくとも2つの次元のトラフィック情報を取得するユニット」として記載されてもよい。
以上の記載は、本発明の好ましい実施例、及び使用された技術的原理に関する説明に過ぎない。当業者であれば、本発明に係る発明の範囲が、上記の技術的特徴の特定の組み合わせからなる解決策に限定されるものではなく、上記の本発明の趣旨を逸脱しない範囲で、上記の技術的特徴又はそれらの同等の特徴の任意の組み合わせからなる他の解決策も含むべきであることを理解すべきである。例えば、上記の特徴と、本発明に開示された類似の機能を持っている技術的特徴(これらに限定されていない)とを互いに置き換えてなる技術案が挙げられる。

Claims (11)

  1. トラフィックを検出するための方法であって、
    対象IPの少なくとも2つの次元のトラフィック情報を取得するステップと、
    取得された前記対象IPの前記少なくとも2つの次元のトラフィック情報から、事前設定された範囲を超えた異常トラフィック情報を削除するステップと、
    異常トラフィック情報が削除された後の前記トラフィック情報に基づいて前記対象IPの対応する次元の異常トラフィック閾値を確定するステップと、
    異常トラフィック情報が削除された後の前記トラフィック情報のうち、前記異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するステップと、
    異常トラフィック情報が削除された後の前記トラフィック情報のうち、前記異常トラフィック閾値を超えたトラフィック情報が存在する場合、前記対象IPのトラフィックが異常であると判定するステップと、
    を含み、
    前記異常トラフィック情報が削除された後の前記トラフィック情報に基づいて前記対象IPの対応する次元の異常トラフィック閾値を確定するステップは、
    現在の周期内に取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するステップと、
    前記集合内における事前設定された割合のトラフィック情報の所在の区間範囲を確定し、前記区間範囲の上限を基準閾値とするステップと、
    前記基準閾値を所定倍率で増幅して、前記対象IPの前記異常トラフィック閾値を取得するステップであって、前記所定倍率は1を超える整数であるステップと、を含むトラフィックを検出するための方法。
  2. 前記少なくとも2つの次元のトラフィック情報は、
    単位時間あたりに転送されるビット数、単位時間あたりに転送されるデータパケット数、単位時間あたりのリクエスト数、及び単位時間あたりの接続数のうちの少なくとも2種を含む請求項1に記載の方法。
  3. 前記少なくとも2つの次元のトラフィック情報のうち、前記対象IPの対応する次元の異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断する前に、前記方法は、
    前記対象IPのトラフィック情報を周期的に収集するステップを更に含む請求項1に記載の方法。
  4. 前記対象IPのトラフィック情報を周期的に収集するステップは、
    事前設定された頻度で前記対象IPに対してトラフィックを収集するステップと、
    毎回に収集されたサンプルデータについて、該サンプルデータの所在の区間範囲を確定し、その区間範囲内の事前設定された値を当回に収集されたトラフィック情報として確定するステップと、
    を含む請求項3に記載の方法。
  5. 前記の、取得された前記対象IPの前記少なくとも2つの次元のトラフィック情報から、事前設定された範囲を超えた異常トラフィック情報を削除するステップは、
    前記少なくとも2つの次元のトラフィック情報から第1の範囲を超えた異常トラフィック情報を削除して、一次絞込後のトラフィック情報を得るステップと、
    一次絞込後のトラフィック情報に基づいて、前記第1の範囲よりも小さい第2の範囲を確定するステップと、
    一次絞込後のトラフィック情報から、前記第2の範囲を超えた異常トラフィック情報を削除するステップと、
    を含む請求項1に記載の方法。
  6. 前記異常トラフィック情報が削除された後の前記トラフィック情報に基づいて前記対象IPの対応する次元の異常トラフィック閾値を確定するステップは、
    現在の周期と複数の履歴周期が含まれる複数の周期内で取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するステップと、
    各周期で取得されたトラフィック情報の集合について、該集合内で事前設定された割合のトラフィック情報の所在の区間範囲を確定し、確定された区間範囲の上限を該周期に対応する基準閾値とするステップと、
    前記複数の周期に対応する基準閾値及び対応する重みに基づいて最終閾値を確定するステップと、
    前記最終閾値を所定倍率で増幅して、前記対象IPの前記異常トラフィック閾値を取得するステップと、
    を含む請求項1に記載の方法。
  7. 前記複数の周期の重みは、
    各周期の重みが同じであること、
    現在の周期から近い周期の重みが、現在の周期から遠い周期の重みよりも大きいこと、及び
    各周期の重みがトラフィック情報の安定度に基づいて確定されること、
    のいずれかに応じて確定される請求項に記載の方法。
  8. ネットワークトラフィックを検出するための装置であって、
    対象IPの少なくとも2つの次元のトラフィック情報を取得するように構成される情報取得ユニットと、
    取得された前記対象IPの前記少なくとも2つの次元のトラフィック情報から、事前設定された範囲を超えた異常トラフィック情報を削除するように構成される異常トラフィック情報削除ユニットと、
    異常トラフィック情報が削除された後の前記トラフィック情報に基づいて前記対象IPの対応する次元の異常トラフィック閾値を確定するように構成される異常トラフィック閾値確定ユニットと、
    異常トラフィック情報が削除された後の前記トラフィック情報のうち、前記異常トラフィック閾値を超えたトラフィック情報が存在するかどうかを判断するように構成される判断ユニットと、
    異常トラフィック情報が削除された後の前記トラフィック情報のうち、前記異常トラフィック閾値を超えたトラフィック情報が存在する場合、前記対象IPのトラフィックが異常であると判定するように構成される異常判定ユニットと、
    を含み、
    前記異常トラフィック閾値確定ユニットはさらに、
    現在の周期内に取得された、異常トラフィック情報が削除された後のトラフィック情報の集合を取得するステップと、
    前記集合内における事前設定された割合のトラフィック情報の所在の区間範囲を確定し、前記区間範囲の上限を基準閾値とするステップと、
    前記基準閾値を所定倍率で増幅して、前記対象IPの前記異常トラフィック閾値を取得するステップであって、前記所定倍率は1を超える整数であるステップと、
    を行うように構成されるネットワークトラフィックを検出するための装置。
  9. 1つ又は複数のプロセッサと、1つ又は複数のプログラムが格納されている記憶デバイスと、を備える電子機器であって、
    前記1つ又は複数のプログラムが前記1つ又は複数のプロセッサによって実行されると、前記1つ又は複数のプロセッサに請求項1~のいずれか一項に記載の方法を実現させる、電子機器。
  10. コンピュータプログラムが格納されているコンピュータ可読媒体であって、
    該プログラムがプロセッサによって実行されると、請求項1~のいずれか一項に記載の方法を実現することを特徴とするコンピュータ可読媒体。
  11. コンピュータプログラムであって、
    前記コンピュータプログラムがプロセッサにより実行されると、請求項1~のいずれか一項に記載の方法を実現する、コンピュータプログラム。
JP2019202639A 2019-03-15 2019-11-07 トラフィックを検出するための方法及び装置 Active JP7048555B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201910198336.6 2019-03-15
CN201910198336.6A CN109802973A (zh) 2019-03-15 2019-03-15 用于检测流量的方法和装置

Publications (2)

Publication Number Publication Date
JP2020150531A JP2020150531A (ja) 2020-09-17
JP7048555B2 true JP7048555B2 (ja) 2022-04-05

Family

ID=66562937

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019202639A Active JP7048555B2 (ja) 2019-03-15 2019-11-07 トラフィックを検出するための方法及び装置

Country Status (5)

Country Link
US (1) US11444861B2 (ja)
JP (1) JP7048555B2 (ja)
KR (1) KR102260417B1 (ja)
CN (1) CN109802973A (ja)
SG (1) SG10201910430TA (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110399366A (zh) * 2019-07-29 2019-11-01 秒针信息技术有限公司 数据过滤方法、装置、服务器及计算机可读存储介质
CN111277598B (zh) * 2020-01-21 2022-11-04 北京天琴合创技术有限公司 一种基于流量的应用攻击识别方法及系统
CN111625859A (zh) * 2020-05-20 2020-09-04 北京百度网讯科技有限公司 一种资源的访问控制方法、装置、电子设备和存储介质
CN112015995A (zh) * 2020-09-29 2020-12-01 北京百度网讯科技有限公司 数据分析的方法、装置、设备以及存储介质
CN112288359A (zh) * 2020-10-28 2021-01-29 北京每日优鲜电子商务有限公司 异常物品信息定位方法、装置、电子设备和计算机介质
CN112511372B (zh) * 2020-11-06 2022-03-01 新华三技术有限公司 一种异常检测方法、装置及设备
JP7466809B1 (ja) 2023-06-21 2024-04-12 三菱電機株式会社 ストリーム監視方式、中継装置、ネットワークシステム、ストリーム監視プログラム、および監視端末

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005044277A (ja) 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2007082242A (ja) 2006-09-28 2007-03-29 Fujitsu Ltd 通信遮断装置、通信遮断プログラムおよび通信遮断方法
JP2008131198A (ja) 2006-11-17 2008-06-05 Fujitsu Ltd 検出方法、検出装置、基準値算出装置及びコンピュータプログラム
KR101187023B1 (ko) 2012-05-11 2012-09-28 주식회사 이글루시큐리티 네트워크 비정상 트래픽 분석시스템

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7028333B2 (en) * 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for partners in virtual networks
KR20150033820A (ko) 2013-09-24 2015-04-02 주식회사 아이디어웨어 제어패킷 트래픽 증가 검출방법과 기록매체
CN103905451B (zh) * 2014-04-03 2017-04-12 国网河南省电力公司电力科学研究院 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
KR101621019B1 (ko) * 2015-01-28 2016-05-13 한국인터넷진흥원 시계열 통계 기반 공격의심 이상징후를 탐지하기 위한 방법
CN107483455B (zh) * 2017-08-25 2020-07-14 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和系统
CN107508816A (zh) * 2017-08-31 2017-12-22 杭州迪普科技股份有限公司 一种攻击流量防护方法及装置
CN108234524B (zh) * 2018-04-02 2020-08-21 广州广电研究院有限公司 网络数据异常检测的方法、装置、设备及存储介质
CN109413071B (zh) * 2018-10-31 2021-08-06 新华三信息安全技术有限公司 一种异常流量检测方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005044277A (ja) 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2007082242A (ja) 2006-09-28 2007-03-29 Fujitsu Ltd 通信遮断装置、通信遮断プログラムおよび通信遮断方法
JP2008131198A (ja) 2006-11-17 2008-06-05 Fujitsu Ltd 検出方法、検出装置、基準値算出装置及びコンピュータプログラム
KR101187023B1 (ko) 2012-05-11 2012-09-28 주식회사 이글루시큐리티 네트워크 비정상 트래픽 분석시스템

Also Published As

Publication number Publication date
JP2020150531A (ja) 2020-09-17
US11444861B2 (en) 2022-09-13
SG10201910430TA (en) 2020-10-29
CN109802973A (zh) 2019-05-24
KR20200110132A (ko) 2020-09-23
US20200296022A1 (en) 2020-09-17
KR102260417B1 (ko) 2021-06-02

Similar Documents

Publication Publication Date Title
JP7048555B2 (ja) トラフィックを検出するための方法及び装置
CN108768943B (zh) 一种检测异常账号的方法、装置及服务器
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
CN110198248B (zh) 检测ip地址的方法和装置
CN105917632A (zh) 用于电信中的可扩缩分布式网络业务分析的方法
CN109474603B (zh) 数据抓包处理方法及终端设备
CN111400357A (zh) 一种识别异常登录的方法和装置
CN114448830A (zh) 一种设备检测系统及方法
WO2010015145A1 (zh) 过滤以及监控程序行为的方法和系统
CN114785567A (zh) 一种流量识别方法、装置、设备及介质
KR102119636B1 (ko) 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법
JP6325993B2 (ja) サービス監視装置、および、サービス監視方法
CN113553370B (zh) 异常检测方法、装置、电子设备及可读存储介质
CN115314322A (zh) 基于流量的漏洞检测确认方法、装置、设备以及存储介质
CN110188529B (zh) 一种异常滑动轨迹的检测方法、装置及电子设备
CN108055276A (zh) 面向大数据应用平台的入侵检测实时分析系统
CN112541183B (zh) 数据处理方法及装置、边缘计算设备、存储介质
CN115378746B (zh) 网络入侵检测规则生成方法、装置、设备以及存储介质
US11985152B1 (en) Application behavior detection using network traffic
CN113572768B (zh) 一种僵尸网络家族传播源数量变化异常的分析方法
CN112367324B (zh) Cdn的攻击检测方法、装置、存储介质及电子设备
CN111756708B (zh) 一种定向威胁攻击的检测方法和装置
CN116074088A (zh) DDoS扫段攻击检测方法、装置、电子设备及介质
CN118114249A (zh) 基于自学习的waf可信用户识别方法、装置及可读介质
CN115664726A (zh) 一种恶意beacon通信的检测方法和装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200107

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210112

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210406

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20210928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220126

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20220126

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20220207

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20220208

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220308

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220324

R150 Certificate of patent or registration of utility model

Ref document number: 7048555

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150