一般來(lái)說(shuō)，本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測(cè)及事件管理。更具體來(lái)說(shuō)，本發(fā)明涉及處理通過(guò)網(wǎng)絡(luò)監(jiān)測(cè)獲得的網(wǎng)絡(luò)元數(shù)據(jù)，此可高效地導(dǎo)致有用信息以及時(shí)方式報(bào)告給元數(shù)據(jù)的消費(fèi)者。

網(wǎng)絡(luò)監(jiān)測(cè)是企業(yè)及服務(wù)提供者常用的關(guān)鍵信息技術(shù)(IT)功能，其涉及觀察正在內(nèi)部網(wǎng)絡(luò)上發(fā)生的活動(dòng)以找出與性能相關(guān)的問(wèn)題、行為不當(dāng)?shù)闹鳈C(jī)、可疑用戶活動(dòng)等。網(wǎng)絡(luò)監(jiān)測(cè)由于由各種網(wǎng)絡(luò)裝置產(chǎn)生及提供的信息而成為可能。所述信息一般稱為網(wǎng)絡(luò)元數(shù)據(jù)，即，作為經(jīng)由網(wǎng)絡(luò)發(fā)射的主信息業(yè)務(wù)的補(bǔ)充且與其互補(bǔ)的描述網(wǎng)絡(luò)上的活動(dòng)的一類信息。

系統(tǒng)日志(系統(tǒng)日志)是常用于網(wǎng)絡(luò)監(jiān)測(cè)的一種類型的網(wǎng)絡(luò)元數(shù)據(jù)。系統(tǒng)日志已變成用于記錄程序消息的標(biāo)準(zhǔn)格式且給原本不能通信的裝置提供向管理者通知問(wèn)題或性能的方式。系統(tǒng)日志常用于計(jì)算機(jī)系統(tǒng)管理及安全審核以及一般化信息分析及調(diào)試消息。系統(tǒng)日志受各種各樣的裝置(如打印機(jī)及路由器)及跨越多個(gè)平臺(tái)的接收器支持。出于此原因，系統(tǒng)日志可用于將來(lái)自計(jì)算機(jī)系統(tǒng)中的許多不同類型的裝置的日志數(shù)據(jù)集成為中央存儲(chǔ)庫(kù)。

最近，被各種供應(yīng)商稱為NetFlow、jFlow、sFlow等的另一類型的網(wǎng)絡(luò)元數(shù)據(jù)也已作為標(biāo)準(zhǔn)網(wǎng)絡(luò)業(yè)務(wù)的一部分被引入(下文中一般稱為“NetFlow”)。NetFlow是用于收集已成為用于業(yè)務(wù)監(jiān)測(cè)的行業(yè)標(biāo)準(zhǔn)的IP業(yè)務(wù)信息的網(wǎng)絡(luò)協(xié)議。NetFlow可由例如路由器、交換器、防火墻、入侵檢測(cè)系統(tǒng)(IDS)、入侵保護(hù)系統(tǒng)(IPS)、網(wǎng)絡(luò)地址翻譯(NAT)實(shí)體等各種網(wǎng)絡(luò)裝置及許多其它裝置產(chǎn)生。然而，直到最近，NetFlow網(wǎng)絡(luò)元數(shù)據(jù)排他地用于事后網(wǎng)絡(luò)監(jiān)督目的，例如網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、定位網(wǎng)絡(luò)吞吐量瓶頸、服務(wù)級(jí)別協(xié)議(SLA)確認(rèn)等。NetFlow元數(shù)據(jù)的此些有限使用可一般歸因于由網(wǎng)絡(luò)裝置產(chǎn)生的高信息量及所述信息的高遞送速率、信息源的多樣性及將額外信息流集成到現(xiàn)有事件分析器中的總體復(fù)雜性。更特定來(lái)說(shuō)，NetFlow元數(shù)據(jù)生產(chǎn)者通常產(chǎn)生消費(fèi)者可在實(shí)時(shí)設(shè)定中分析及使用多的信息。舉例來(lái)說(shuō)，網(wǎng)絡(luò)上的單個(gè)中到大交換器可產(chǎn)生400,000個(gè)NetFlow記錄/秒。

當(dāng)今的系統(tǒng)日志收集器、系統(tǒng)日志分析器、安全信息管理(SIM)系統(tǒng)、安全事件管理(SEM)系統(tǒng)、安全信息與事件管理(SIEM)系統(tǒng)等(本文中統(tǒng)稱為“SIEM”系統(tǒng))不能接收或不能分析NetFlow、局限于處理NetFlow包中所含的基本信息，或以比通常產(chǎn)生NetFlow包的速率低得多的速率處理此些包。

例如NetFlowv9(RFC 3954)及IPFIX(RFC 5101及相關(guān)IETF RFC)等穩(wěn)健網(wǎng)絡(luò)監(jiān)測(cè)協(xié)議的出現(xiàn)大幅度地?cái)U(kuò)展了在網(wǎng)絡(luò)安全及智能網(wǎng)絡(luò)管理領(lǐng)域中使用網(wǎng)絡(luò)元數(shù)據(jù)的機(jī)會(huì)。同時(shí)，由于上文所識(shí)別的約束，當(dāng)今的SIEM系統(tǒng)一般不能超出簡(jiǎn)單報(bào)告所觀察字節(jié)及包計(jì)數(shù)而利用網(wǎng)絡(luò)監(jiān)測(cè)信息。

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的異常檢測(cè)是識(shí)別不同于預(yù)期、所要或正常模式的項(xiàng)目、事件或行為。當(dāng)在網(wǎng)絡(luò)業(yè)務(wù)的情境中研究時(shí)，異常檢測(cè)可廣義地分類為兩個(gè)類別：

a)中性操作環(huán)境中的網(wǎng)絡(luò)業(yè)務(wù)異常；及

b)在存在惡意行動(dòng)者的情況下的網(wǎng)絡(luò)業(yè)務(wù)異常。

類型(a)網(wǎng)絡(luò)業(yè)務(wù)異常在正常操作條件下由于自然超載的或有缺陷的網(wǎng)絡(luò)裝置或者“快閃族(在網(wǎng)絡(luò)業(yè)務(wù)由于合法網(wǎng)絡(luò)用戶的大量涌入而充分增加時(shí)的良性事件)”而發(fā)生。

類型(b)事件可由外部力導(dǎo)致且可在性質(zhì)上為惡意的。存在攻擊者可造成惡意網(wǎng)絡(luò)異常的若干種方式，但拒絕服務(wù)(DoS)攻擊及其變體分布式拒絕服務(wù)(DDoS)攻擊是目前為止最常見且最容易上演的。關(guān)于DoS攻擊，攻擊者的目的是使一或多個(gè)網(wǎng)絡(luò)資源不可被合法用戶訪問(wèn)且因此破壞組織的活動(dòng)。根據(jù)2012年1,000IT專業(yè)人員調(diào)查，其組織遭受DDoS攻擊的每小時(shí)造成受害者組織介于$10,000與$50,000之間的收益損失。

為了避免商業(yè)及收益的重大損失，應(yīng)檢測(cè)兩種類型的網(wǎng)絡(luò)業(yè)務(wù)異常、將其分類并以及時(shí)方式告知網(wǎng)絡(luò)操作者。網(wǎng)絡(luò)中斷的問(wèn)題在工業(yè)及軍事網(wǎng)絡(luò)中當(dāng)失去通信可導(dǎo)致災(zāi)難性后果時(shí)變得甚至更嚴(yán)重。

然而，當(dāng)受觀察的項(xiàng)目的數(shù)目連同每一所觀察項(xiàng)目的復(fù)雜性增加時(shí)，網(wǎng)絡(luò)異常檢測(cè)變得異常困難。檢測(cè)網(wǎng)絡(luò)業(yè)務(wù)中的異常是復(fù)雜異常檢測(cè)問(wèn)題的極端實(shí)例中的一者。

網(wǎng)絡(luò)異常檢測(cè)的傳統(tǒng)方法需要?jiǎng)?chuàng)建歷史基線模式，所述歷史基線模式在評(píng)定與正常行為的偏差時(shí)與當(dāng)前模式相當(dāng)。代替以下考慮，此傳統(tǒng)方法固有地是有問(wèn)題的：

-網(wǎng)絡(luò)業(yè)務(wù)是動(dòng)態(tài)的，且很少只有單個(gè)模式描述其時(shí)間特性。此可導(dǎo)致創(chuàng)建在操作環(huán)境的稍微改變之后幾乎立即過(guò)時(shí)的大量時(shí)間限制歷史基線的復(fù)雜任務(wù)。

-網(wǎng)絡(luò)自身是動(dòng)態(tài)的，因?yàn)樾卵b置總是被安裝，舊裝置總是被移除且操作裝置總是可被取下以進(jìn)行維修。在每一改變后，較早確立的基線失去其有效性且必須被重新確立以按每一新網(wǎng)絡(luò)配置調(diào)整。

-例如軟件虛擬化、軟件定義網(wǎng)絡(luò)(SDN)及網(wǎng)絡(luò)功能虛擬化(NFV)等趨勢(shì)通過(guò)創(chuàng)建能夠跨越物理網(wǎng)絡(luò)遷移的短暫虛擬網(wǎng)絡(luò)而進(jìn)一步增加網(wǎng)絡(luò)的動(dòng)態(tài)性質(zhì)。即使在不存在任何物理網(wǎng)絡(luò)改變的情況下，新網(wǎng)絡(luò)業(yè)務(wù)生產(chǎn)者及消費(fèi)者的實(shí)例化仍立即使所確立業(yè)務(wù)基線無(wú)效。

-網(wǎng)絡(luò)生態(tài)系統(tǒng)的高改變速率使當(dāng)前網(wǎng)絡(luò)特性與歷史數(shù)據(jù)的比較容易出錯(cuò)且極容易導(dǎo)致誤報(bào)。

已知先前已利用兩種方法來(lái)嘗試檢測(cè)DoS及DDoS攻擊；(a)基于簽名的方法及(b)基于基線業(yè)務(wù)的方法。最近賓夕法尼亞大學(xué)研究報(bào)告某些當(dāng)今的DDoS檢測(cè)系統(tǒng)(Snort、PHAD、MADAME及MULTOPS)以低效水平操作。特定來(lái)說(shuō)，所述研究明確表達(dá)基于簽名的系統(tǒng)(Snort、MADAME)對(duì)未知DDoS攻擊的低檢測(cè)率、依賴于基線業(yè)務(wù)信息的系統(tǒng)(PHAD)或依賴于關(guān)于業(yè)務(wù)量變曲線的任何先前假設(shè)的系統(tǒng)(MULTOPS)的高錯(cuò)誤警報(bào)率及在業(yè)務(wù)改變時(shí)對(duì)完全重新訓(xùn)練依賴于基線業(yè)務(wù)信息的系統(tǒng)(PHAD)的要求。

背景技術(shù)：

本發(fā)明揭示用于檢測(cè)網(wǎng)絡(luò)業(yè)務(wù)異常并將網(wǎng)絡(luò)業(yè)務(wù)異常分類的系統(tǒng)及方法。所述系統(tǒng)包含：輸入模塊，其接收含有與網(wǎng)絡(luò)業(yè)務(wù)相關(guān)的信息的數(shù)據(jù)流；一個(gè)或多個(gè)數(shù)據(jù)流分析器及相關(guān)模塊。所述相關(guān)模塊接收由所述分析器進(jìn)行的數(shù)據(jù)流分析的結(jié)果且確定潛在異常是假的還是真的。

參考

杰克遜希金斯K.(Jackson Higgings,K.)，DDoS會(huì)使你付出什么(What a DDoS Can Cost)，信息周刊黑暗閱讀(Information Week Dark Reading)，2012年5月5日

林，D.(Lin,D.)，網(wǎng)絡(luò)入侵檢測(cè)及對(duì)拒絕服務(wù)攻擊的緩解(Network Intrusion Detection and Mitigation against Denial of Service Attack)，賓夕法尼亞大學(xué)，2013年

馬丹妮E.H.(Mamdani,E.H.)，使用語(yǔ)言綜合將模糊邏輯應(yīng)用于近似推論(Application of Fuzzy Logic to Approximate Reasoning Using Linguistic Synthesis)，IEEE計(jì)算機(jī)學(xué)報(bào)，第26卷，第12號(hào)，第1182頁(yè)到第1191頁(yè)，1977年12月

山野道夫(Sugeno,Michio)，模糊測(cè)量的進(jìn)步：理論與應(yīng)用(Advances in Fuzzy Measures:Theory and Applications)，第一屆模糊信息處理國(guó)際會(huì)議，夏威夷，1984年7月

扎德L.A.(Zadeh L.A.)、科扎克J.(Kacprzyk,J.)，字計(jì)算(Computing with Words)，自然史出版社，海德爾堡，1999年

貝斯維爾,M.(Basseville,M.)、尼基弗羅夫,L(Nikiforov,L)，檢測(cè)突然改變：理論與應(yīng)用(Detection of Abrupt Changes:Theory and Application)，普倫蒂斯·霍爾出版社，1993年

崔(Chui)、查爾斯K.(Charles K.)，小波簡(jiǎn)介(An Introduction to Wavelets)，學(xué)術(shù)出版社，1992年

科爾特斯C,(Cortes,C,)、瓦普尼克V.(Vapnik,V.)，支持向量網(wǎng)絡(luò)(Support-vector networks)，機(jī)器學(xué)習(xí)，第20卷，第273頁(yè)到第297頁(yè)，1995年

馬可夫斯基I.(Markovsky,I.)、凡胡夫S.(Van Huffel S.)，總最小二乘方法概述(Overview of total least squares methods)，信號(hào)處理，第87卷，第2283頁(yè)到第2302頁(yè)，2007年

向農(nóng)克勞德E.(Shannon,Claude E.)，數(shù)學(xué)通信理論，伊利諾斯州大學(xué)出版社，1949年

馬丁納撒尼爾F.G.(Martin,Nathaniel F.G.)、英格蘭吉姆斯W.(England,James W.)，數(shù)學(xué)熵理論(Mathematical Theory of Entropy)，劍橋大學(xué)出版社，2011年

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明通過(guò)消除對(duì)歷史確立的基線或先前假設(shè)的依賴而解決了與傳統(tǒng)基線異常檢測(cè)方法相關(guān)聯(lián)的許多問(wèn)題。替代地，本發(fā)明的實(shí)施例能夠通過(guò)檢測(cè)瞬間改變及評(píng)估所觀察業(yè)務(wù)特性的趨勢(shì)而識(shí)別異常。

本發(fā)明的實(shí)施例通過(guò)以下方式引入新穎方法：計(jì)算所觀察網(wǎng)絡(luò)業(yè)務(wù)特性的趨勢(shì)，及在多維論域的情形中，計(jì)算所觀察網(wǎng)絡(luò)業(yè)務(wù)特性的較高級(jí)趨勢(shì)且將所計(jì)算較高級(jí)趨勢(shì)分類為人類容易理解的語(yǔ)言類別。

本發(fā)明的實(shí)施例通過(guò)以下方式減少網(wǎng)絡(luò)異常檢測(cè)中所經(jīng)歷的誤報(bào)的數(shù)目：一次評(píng)定多個(gè)網(wǎng)絡(luò)業(yè)務(wù)特性，將多個(gè)數(shù)學(xué)異常檢測(cè)方法應(yīng)用于多個(gè)網(wǎng)絡(luò)業(yè)務(wù)特性，及將網(wǎng)絡(luò)節(jié)點(diǎn)健康的基于模糊邏輯的模型應(yīng)用于由多個(gè)數(shù)學(xué)異常檢測(cè)方法產(chǎn)生的結(jié)果。

本發(fā)明的實(shí)施例能夠跟蹤重要網(wǎng)絡(luò)連結(jié)點(diǎn)(例如聯(lián)網(wǎng)裝置的接口)中的異常業(yè)務(wù)模式，評(píng)定網(wǎng)絡(luò)裝置及聯(lián)網(wǎng)設(shè)施作為整體的當(dāng)前健康，且確定網(wǎng)絡(luò)元件健康的趨勢(shì)，因此預(yù)測(cè)可能網(wǎng)絡(luò)故障。基于網(wǎng)絡(luò)健康趨勢(shì)分析，操作者能夠優(yōu)化網(wǎng)絡(luò)資源且避免中斷?；蛘?，可自動(dòng)地做出網(wǎng)絡(luò)優(yōu)化或維護(hù)決策。

本發(fā)明的實(shí)施例進(jìn)一步能夠識(shí)別重要網(wǎng)絡(luò)安全問(wèn)題，例如實(shí)時(shí)檢測(cè)拒絕服務(wù)(DoS)及分布式拒絕服務(wù)(DDoS)攻擊。及時(shí)攻擊檢測(cè)在如由操作者確定或預(yù)定的攻擊檢測(cè)的信任水平充分時(shí)，準(zhǔn)許緩解系統(tǒng)對(duì)此類攻擊的自動(dòng)或人工警告。

本發(fā)明的實(shí)施例可以流式傳輸方式操作而不尋求于事后分析，且實(shí)時(shí)提供關(guān)于關(guān)鍵網(wǎng)絡(luò)元件狀況的信息。應(yīng)了解，本發(fā)明中所揭示的方法也適用于靜止網(wǎng)絡(luò)數(shù)據(jù)。

本發(fā)明的實(shí)施例還可迅速地部署到服務(wù)中，因?yàn)槠洳粚?duì)操作者強(qiáng)加緩慢且高成本基線業(yè)務(wù)信息獲取預(yù)處理。

附圖說(shuō)明

為更清楚地確定本發(fā)明，現(xiàn)在將參考附圖以實(shí)例方式描述一些實(shí)施例，在附圖中：

圖1圖解說(shuō)明示范性簡(jiǎn)單計(jì)算機(jī)網(wǎng)絡(luò)，其中例如但不限于路由器103及交換器102的網(wǎng)絡(luò)裝置提供例如物理主機(jī)計(jì)算機(jī)101或在物理主機(jī)計(jì)算機(jī)101上執(zhí)行的虛擬機(jī)104等端點(diǎn)之間的連接性；

圖2圖解說(shuō)明如圖1上所展示的示范性計(jì)算機(jī)網(wǎng)絡(luò)，其中添加了接收并分析呈流式傳輸模式的網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)的業(yè)務(wù)數(shù)據(jù)分析器(NetFlow集成器(“NFI”))110及接收分析的結(jié)果的類屬后端系統(tǒng)111；

圖3圖解說(shuō)明可用于表征流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)業(yè)務(wù)的示范性模糊分類器；

圖4圖解說(shuō)明將所觀察業(yè)務(wù)參數(shù)語(yǔ)言值映射到注意力水平論域的示范性模糊推理矩陣；

圖5提供在恒定業(yè)務(wù)量及呈5％增量的可變相對(duì)包速率下的注意力水平計(jì)算的示范性結(jié)果；

圖6圖解說(shuō)明應(yīng)用于取樣觀察數(shù)據(jù)集的CUSUM算法的結(jié)果；

圖7圖解說(shuō)明應(yīng)用于取樣觀察數(shù)據(jù)集的小波變換的結(jié)果；

圖8圖解說(shuō)明應(yīng)用于取樣觀察數(shù)據(jù)集的SVM方法的結(jié)果；

圖9圖解說(shuō)明其中評(píng)估兩個(gè)數(shù)據(jù)觀察域A及B的改變的本發(fā)明的示范性實(shí)施例；

圖10圖解說(shuō)明本發(fā)明的示范性實(shí)施例，其中使用數(shù)據(jù)收集間隔dtk與dtcur之間的所評(píng)定網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)值評(píng)估網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)；

圖10(a)圖解說(shuō)明本發(fā)明的示范性實(shí)施例，其中使用最佳擬合線表達(dá)網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)以圖解說(shuō)明其中網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)落在下降類別中的情形；

圖10(b)圖解說(shuō)明其中網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)經(jīng)擴(kuò)展以量化網(wǎng)絡(luò)裝置作為整體的健康的本發(fā)明的示范性實(shí)施例；

圖10(c)圖解說(shuō)明其中網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)經(jīng)擴(kuò)展以量化網(wǎng)絡(luò)服務(wù)的健康的本發(fā)明的示范性實(shí)施例；

圖11圖解說(shuō)明應(yīng)用于檢測(cè)及報(bào)告DDoS攻擊同時(shí)最小化誤報(bào)的數(shù)目的本發(fā)明的實(shí)施例；

圖12圖解說(shuō)明本發(fā)明的實(shí)施例，其中在從觀察過(guò)程開始檢測(cè)到第一改變點(diǎn)之后，所觀察不完整TCP/IP會(huì)話的計(jì)數(shù)可變?yōu)橛糜诤罄m(xù)測(cè)量的初始基線值；

圖13圖解說(shuō)明本發(fā)明的實(shí)施例，其中在檢測(cè)到一個(gè)或多個(gè)改變點(diǎn)之后，可檢查緊接在最右邊所檢測(cè)改變點(diǎn)之后的接下來(lái)的K個(gè)觀察是否比當(dāng)前基線值超出預(yù)配置閾值；

圖14圖解說(shuō)明本發(fā)明的實(shí)施例，其中當(dāng)檢測(cè)到后續(xù)改變點(diǎn)時(shí)，可確立新基線值且將前一當(dāng)前基線值推到已知基線值堆上；

圖15圖解說(shuō)明其中代理可報(bào)告在報(bào)告間隔內(nèi)所觀察不完整TCP/IP會(huì)話的數(shù)目的本發(fā)明的實(shí)施例；

圖16圖解說(shuō)明其中采取步驟來(lái)評(píng)定網(wǎng)絡(luò)業(yè)務(wù)異常的性質(zhì)的本發(fā)明的實(shí)施例；

圖17圖解說(shuō)明本發(fā)明的實(shí)施例，其中如果在數(shù)據(jù)收集間隔dtk、dtk-1或dtk+1中檢測(cè)到新IP地址到達(dá)率中的改變點(diǎn)且檢測(cè)到流計(jì)數(shù)中的改變點(diǎn)，那么可將數(shù)據(jù)收集間隔dtk指定為網(wǎng)絡(luò)業(yè)務(wù)異常；

圖18圖解說(shuō)明本發(fā)明的實(shí)施例，其中采取步驟來(lái)評(píng)定根據(jù)圖17的實(shí)施例檢測(cè)的網(wǎng)絡(luò)業(yè)務(wù)異常的性質(zhì)；

圖19圖解說(shuō)明其中采取步驟來(lái)跟蹤熵偏差的本發(fā)明的實(shí)施例；

圖20圖解說(shuō)明本發(fā)明的實(shí)施例，其中當(dāng)在觀察間隔上檢測(cè)到一或多個(gè)改變點(diǎn)時(shí)，代理采取最近所檢測(cè)改變點(diǎn)且從檢測(cè)到改變點(diǎn)時(shí)數(shù)據(jù)收集間隔處開始到當(dāng)前數(shù)據(jù)收集間隔而計(jì)算熵值趨勢(shì)；及

圖21圖解說(shuō)明計(jì)算考慮到最近報(bào)告及由流信息源報(bào)告的先前事件的累積異常信任度量的本發(fā)明的實(shí)施例。

具體實(shí)施方式

一般來(lái)說(shuō)，本發(fā)明涉及網(wǎng)絡(luò)監(jiān)測(cè)及事件管理。更具體來(lái)說(shuō)，本發(fā)明涉及處理由于網(wǎng)絡(luò)監(jiān)測(cè)活動(dòng)而獲得的網(wǎng)絡(luò)元數(shù)據(jù)及所述元數(shù)據(jù)的后續(xù)處理，其可導(dǎo)致有用信息以及時(shí)方式報(bào)告給操作者及/或事件管理系統(tǒng)。

現(xiàn)在將參考如附圖中所圖解說(shuō)明的本發(fā)明的幾個(gè)實(shí)施例而詳細(xì)描述本發(fā)明。在以下描述中，陳述眾多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的實(shí)施例的透徹理解。然而，所屬領(lǐng)域的技術(shù)人員將明了，可在不具有這些具體細(xì)節(jié)中的一些或全部細(xì)節(jié)的情況下實(shí)踐實(shí)施例。在其它實(shí)例中，未詳細(xì)描述眾所周知的過(guò)程步驟及/或結(jié)構(gòu)以便不會(huì)不必要地使本發(fā)明模糊。參考以下圖式及論述可更好地理解實(shí)施例的特征及優(yōu)點(diǎn)。

結(jié)合附圖將更佳地理解關(guān)于以下描述的本發(fā)明的示范性實(shí)施例的各方面、特征及優(yōu)點(diǎn)。所屬領(lǐng)域的技術(shù)人員應(yīng)明了，本文中所提供的本發(fā)明的所描述實(shí)施例僅為說(shuō)明性的而非限制性的，僅以實(shí)例方式呈現(xiàn)。除非另有明確陳述，否則本描述中所揭示的所有特征可由充當(dāng)相同或類似目的的替代特征代替。因此，預(yù)期本發(fā)明的修改的眾多其它實(shí)施例，因?yàn)槠鋵儆谌绫疚闹兴缍ǖ谋景l(fā)明及其等效物的范圍內(nèi)。因此，絕對(duì)及/或順序術(shù)語(yǔ)(例如，舉例來(lái)說(shuō)，“將”、“將不”、“應(yīng)”、“不應(yīng)”、“必須”、“不必”、“首先”、“最初”、“接下來(lái)”、“隨后”、“之前”、“之后”、“最后”及“最終”)的使用不打算限制本發(fā)明的范圍，因?yàn)楸疚闹兴沂镜膶?shí)施例僅為示范性的。

在以下描述中，僅出于說(shuō)明的目的而在網(wǎng)絡(luò)元數(shù)據(jù)處理的情境中揭示本發(fā)明。然而，將了解，本發(fā)明適合于更廣泛的各種應(yīng)用及使用，且本發(fā)明的某些實(shí)施例適用于除網(wǎng)絡(luò)元數(shù)據(jù)處理之外的情境。舉例來(lái)說(shuō)，本文中所揭示的方法可應(yīng)用于通過(guò)調(diào)節(jié)十字路口處的交通燈的持續(xù)時(shí)間而控制城市交通流。在另一實(shí)例中，本文中所揭示的方法可適合于控制電力網(wǎng)。還應(yīng)了解，本文中所揭示的方法在不具有關(guān)于實(shí)際網(wǎng)絡(luò)業(yè)務(wù)自身的限制的情況下適用。

在本發(fā)明的一個(gè)實(shí)施例中，方法及系統(tǒng)可使用NetFlow集成器(“NFI”)(實(shí)現(xiàn)呈版本1到8、NetFlow v9、jFlow、sflowd、sFlow、NetStream、IPFIX的NetFlow業(yè)務(wù)及類似(“NetFlow”)業(yè)務(wù)的集成的軟件程序)的一或多個(gè)實(shí)例與能夠存儲(chǔ)及/或處理呈系統(tǒng)日志格式的網(wǎng)絡(luò)元數(shù)據(jù)的任何系統(tǒng)一起實(shí)施。所述集成可通過(guò)將由網(wǎng)絡(luò)上的NetFlow生產(chǎn)者產(chǎn)生的網(wǎng)絡(luò)元數(shù)據(jù)轉(zhuǎn)化成網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)(系統(tǒng)日志)的通用語(yǔ)而實(shí)現(xiàn)。NetFlow信息到對(duì)應(yīng)系統(tǒng)日志信息的映射可根據(jù)由NFI管理者確立的策略、規(guī)則及優(yōu)先權(quán)而執(zhí)行。

應(yīng)了解，使用系統(tǒng)日志來(lái)報(bào)告網(wǎng)絡(luò)元數(shù)據(jù)是示范性的，且可使用其它數(shù)據(jù)表示及遞送方法，例如但不限于CEF或JSON。

網(wǎng)絡(luò)健康評(píng)定

圖1圖解說(shuō)明示范性簡(jiǎn)單計(jì)算機(jī)網(wǎng)絡(luò)，其中例如但不限于路由器103及交換器102的網(wǎng)絡(luò)裝置提供例如物理主機(jī)計(jì)算機(jī)101或在物理主機(jī)計(jì)算機(jī)101上執(zhí)行的虛擬機(jī)104等端點(diǎn)之間的連接性。

典型計(jì)算機(jī)網(wǎng)絡(luò)是其中可靠性隨著聯(lián)網(wǎng)裝置的數(shù)目及網(wǎng)絡(luò)業(yè)務(wù)量增加而降低的復(fù)雜系統(tǒng)。且隨著網(wǎng)絡(luò)大小增加，理解網(wǎng)絡(luò)狀態(tài)及評(píng)定個(gè)別網(wǎng)絡(luò)節(jié)點(diǎn)的狀況的任務(wù)兩者均變得更困難及更重要。

圖2圖解說(shuō)明如圖1上所展示的示范性計(jì)算機(jī)網(wǎng)絡(luò)，其中添加了接收并分析呈流式傳輸模式的網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)的業(yè)務(wù)數(shù)據(jù)分析器(NetFlow集成器(“NFI”))110及接收分析的結(jié)果的類屬后端系統(tǒng)111。在本發(fā)明的一個(gè)實(shí)施例中，使用NetFlow協(xié)議112收集關(guān)于網(wǎng)絡(luò)業(yè)務(wù)的信息。

在本發(fā)明的一個(gè)實(shí)施例中，網(wǎng)絡(luò)節(jié)點(diǎn)健康評(píng)定方法可遵守以下程序：

1.確立業(yè)務(wù)數(shù)據(jù)收集間隔dt。在所述方法的一個(gè)實(shí)施例中，可將數(shù)據(jù)收集間隔長(zhǎng)度選擇為介于10秒與60秒之間。

2.確立業(yè)務(wù)觀察間隔T。T是dt的倍數(shù)：T＝N*dt。在所述方法的一個(gè)實(shí)施例中，將業(yè)務(wù)觀察間隔長(zhǎng)度選擇為介于dt的20倍到40倍之間。在利用基于小波系列算法的改變檢測(cè)方法的示范性實(shí)施例中，由于小波變換要求，所述倍數(shù)是N＝2n。因此在所述方法的一個(gè)實(shí)施例中，可選擇N＝32。

3.在數(shù)據(jù)信息收集間隔dt內(nèi)收集關(guān)于通過(guò)網(wǎng)絡(luò)接口的業(yè)務(wù)的多元信息。在示范性實(shí)施例中，多個(gè)所收集網(wǎng)絡(luò)業(yè)務(wù)參數(shù)在不具有限制的情況下由業(yè)務(wù)量及包速率測(cè)量組成。

4.可重復(fù)所述觀察N次：R1、...、RN(其中Ri為在第i間隔期間收集的信息)。

5.在收集時(shí)間間隔N+1結(jié)束時(shí)，將至少一個(gè)改變檢測(cè)方法直接(或在小波變換的情形中，聯(lián)合用作模板的時(shí)間系列R1、...、RN)應(yīng)用于時(shí)間系列R2、...、RN+1。

6.識(shí)別由每一所應(yīng)用改變檢測(cè)方法檢測(cè)到的改變點(diǎn)，且針對(duì)從最右邊所識(shí)別改變點(diǎn)數(shù)據(jù)收集間隔開始到當(dāng)前數(shù)據(jù)收集間隔的每一數(shù)據(jù)收集間隔計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(“NHS”)。

7.估計(jì)網(wǎng)絡(luò)接口NHS值作為針對(duì)當(dāng)前數(shù)據(jù)收集間隔計(jì)算的NHS值。

8.基于在從最右邊所識(shí)別改變點(diǎn)數(shù)據(jù)收集間隔開始到當(dāng)前數(shù)據(jù)收集間隔的數(shù)據(jù)收集間隔內(nèi)的NHS值變化模式而估計(jì)網(wǎng)絡(luò)接口NHS趨勢(shì)。

應(yīng)了解，數(shù)據(jù)收集間隔dt的持續(xù)時(shí)間是可配置參數(shù)且可取決于用戶的所要知曉及/或精確程度而微調(diào)。通過(guò)選擇較短數(shù)據(jù)收集間隔，用戶可受益于較早收到關(guān)于負(fù)NHS值趨勢(shì)的通知，代價(jià)是可能接收到關(guān)于網(wǎng)絡(luò)業(yè)務(wù)中可能不重要的短尖峰的外來(lái)通知。選擇延長(zhǎng)的數(shù)據(jù)收集間隔過(guò)濾掉短網(wǎng)絡(luò)業(yè)務(wù)尖峰但可能延遲通知的遞送。

應(yīng)了解，本發(fā)明的此實(shí)施例的顯著益處源于實(shí)現(xiàn)評(píng)定網(wǎng)絡(luò)故障風(fēng)險(xiǎn)的對(duì)節(jié)點(diǎn)健康趨勢(shì)的情境監(jiān)測(cè)。還應(yīng)了解，所揭示方法可在N+1個(gè)數(shù)據(jù)收集間隔之后完全操作，所述數(shù)據(jù)收集間隔在實(shí)踐中可跨少至15到20分鐘。因此，此實(shí)施例的方法及系統(tǒng)可經(jīng)采用且在不具有與確立長(zhǎng)且不可靠歷史基線相關(guān)聯(lián)的延遲的情況下幾乎立即變得可操作。

所觀察數(shù)據(jù)預(yù)處理

應(yīng)了解，所觀察網(wǎng)絡(luò)數(shù)據(jù)的短暫急劇改變可導(dǎo)致增加的誤報(bào)的出現(xiàn)。為了緩解此潛在問(wèn)題，可將指數(shù)平滑過(guò)程應(yīng)用于所觀察數(shù)據(jù)：

其中

是經(jīng)平滑第i觀察值

X(t)是實(shí)際第i觀察值

α是平滑系數(shù)。在示范性實(shí)施方案中，平滑系數(shù)可為α＝0.35或操作者基于例如對(duì)潛在網(wǎng)絡(luò)麻煩的較可靠指示的期望對(duì)抗對(duì)較早指示的期望等因素而偏好的其它值。

網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)

在所揭示實(shí)施例中，節(jié)點(diǎn)健康得分(NHS)可為提供關(guān)于特定網(wǎng)絡(luò)節(jié)點(diǎn)(例如網(wǎng)絡(luò)裝置接口)的狀況的指導(dǎo)的單個(gè)度量。圖3圖解說(shuō)明可用于表征流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)業(yè)務(wù)的示范性模糊分類器。每一模糊分類器的x軸可表示[0,1]間隔上的經(jīng)分類參數(shù)的相對(duì)值，其中在參數(shù)達(dá)到其最大值時(shí)達(dá)到值1。每一模糊分類器的y軸可測(cè)量給定參數(shù)值屬于特定語(yǔ)言分類的程度。

參考圖3，業(yè)務(wù)量模糊分類器可表示流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的業(yè)務(wù)量的語(yǔ)言分類。標(biāo)記為低120、中121及高122的區(qū)域分別對(duì)應(yīng)于在語(yǔ)言上可表征為低、中及高的業(yè)務(wù)水平。

進(jìn)一步參考圖3，包速率模糊分類器可表示包流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的速率的語(yǔ)言分類。標(biāo)記為低123、中124及高125的區(qū)域分別對(duì)應(yīng)于在語(yǔ)言上可表征為低、中及高的包速率水平。

進(jìn)一步參考圖3，注意力水平模糊分類器可表示網(wǎng)絡(luò)節(jié)點(diǎn)需要的操作者的注意力水平的語(yǔ)言分類。標(biāo)記為低126及高125的區(qū)域分別對(duì)應(yīng)于在語(yǔ)言上可表征為正常及麻煩的操作者的注意力的不同程度。

在網(wǎng)絡(luò)節(jié)點(diǎn)健康評(píng)定的第一步驟中，所揭示方法可輸入通過(guò)節(jié)點(diǎn)的所觀察網(wǎng)絡(luò)業(yè)務(wù)特性的相對(duì)值(“清晰輸入(crisp input)”)且找出所觀察值中的每一者屬于其論域中的特定語(yǔ)言類別的程度。

在網(wǎng)絡(luò)節(jié)點(diǎn)健康評(píng)定的第二步驟中，所揭示方法可輸入所觀察值中的每一者屬于其論域中的特定語(yǔ)言類別的經(jīng)計(jì)算程度，且使用圖4上所呈現(xiàn)的模糊推理矩陣將這些值映射到注意力水平模糊分類器上。所述方法可包含(例如)使用馬丹妮及山野模糊推理方法計(jì)算所需注意力水平值A(chǔ)L的步驟。節(jié)點(diǎn)健康系數(shù)可計(jì)算為：

NHS＝1-AL

參考圖4，示范性模糊推理矩陣可將所觀察業(yè)務(wù)參數(shù)語(yǔ)言值映射到注意力水平論域。在圖4中所展示的示范性模糊推理矩陣中，行對(duì)應(yīng)于所觀察相對(duì)包速率值且列對(duì)應(yīng)于通過(guò)節(jié)點(diǎn)的所觀察相對(duì)業(yè)務(wù)量，其中每一單元表示對(duì)應(yīng)模糊分類規(guī)則的語(yǔ)言值：

如果業(yè)務(wù)量是X且包速率是Y，那么注意力水平是Z

舉例來(lái)說(shuō)，當(dāng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的業(yè)務(wù)量在語(yǔ)言上分類為低(“L”)且流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的包速率在語(yǔ)言上分類為低(“L”)，那么此節(jié)點(diǎn)的所需注意力水平可分類為高(“H”)，從而指示輕負(fù)載的網(wǎng)絡(luò)節(jié)點(diǎn)正經(jīng)歷硬件問(wèn)題的高概率。

圖5提供在恒定業(yè)務(wù)量140及呈5％增量的可變相對(duì)包速率141下的注意力水平計(jì)算的示范性結(jié)果。使用馬丹妮及山野方法按比例縮放到間隔[0,100]的注意力水平計(jì)算的結(jié)果分別呈現(xiàn)于列142及143中。在所揭示方法的示范性實(shí)施方案中，有效注意力水平值被計(jì)算為使用馬丹妮方法計(jì)算的注意力水平值A(chǔ)L_M與使用山野方法計(jì)算的注意力水平值A(chǔ)L_S的平均值：

應(yīng)了解，圖3上所展示的模糊分類器是示范性的，且可包含其它語(yǔ)言分類(例如“極”)或具有總體的其它語(yǔ)言分類。還應(yīng)了解，圖4上所展示的模糊推理矩陣是示范性，且在不具有限制的情況下可包含額外語(yǔ)言分類及觀察域。

計(jì)算相對(duì)節(jié)點(diǎn)負(fù)載

網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)計(jì)算可涉及以相對(duì)項(xiàng)目表達(dá)業(yè)務(wù)參數(shù)。在所揭示方法的示范性實(shí)施例中，通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的相對(duì)業(yè)務(wù)量可計(jì)算為：

其中

B是在數(shù)據(jù)收集間隔期間通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的雙向IP等級(jí)3業(yè)務(wù)量(以字節(jié)為單位)

是節(jié)點(diǎn)的最大標(biāo)稱速度(以位/秒“bps”為單位)，且

dt是數(shù)據(jù)收集間隔(以秒為單位)。

在所揭示方法的示范性實(shí)施方案中，網(wǎng)絡(luò)包流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的相對(duì)速率可計(jì)算為：

其中

是在數(shù)據(jù)收集間隔期間的平均網(wǎng)絡(luò)包大小(以字節(jié)為單位)：

其中

P是在數(shù)據(jù)收集間隔期間觀察的沿兩個(gè)方向的包的數(shù)目

針對(duì)基于IP的網(wǎng)絡(luò)，層2＝41-層2標(biāo)題的大小(17字節(jié))，幀間間隙的大小(12字節(jié))及報(bào)頭的大小(8字節(jié))。層2信息的大小可取為標(biāo)準(zhǔn)層2標(biāo)題(14字節(jié))、具有VLAN標(biāo)簽的層2標(biāo)題(16字節(jié))及具有MPLS標(biāo)記的層2標(biāo)題(20字節(jié))的平均值。

應(yīng)了解，以上計(jì)算是示范性的，且相對(duì)業(yè)務(wù)量及網(wǎng)絡(luò)包流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的相對(duì)速率可使用不同公式計(jì)算。

改變點(diǎn)檢測(cè)算法

改變檢測(cè)是嘗試識(shí)別隨機(jī)過(guò)程或時(shí)間系列的概率分布的改變的統(tǒng)計(jì)分析方法。一般來(lái)說(shuō)，改變檢測(cè)問(wèn)題暗示檢測(cè)是否已發(fā)生一或多個(gè)改變及識(shí)別此些改變的時(shí)間。

在示范性實(shí)施例中，累積求和(“CUSUM”)算法、小波變換(“小波”)及支持向量機(jī)(“SVM”)算法可應(yīng)用于流動(dòng)通過(guò)網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)業(yè)務(wù)的所觀察業(yè)務(wù)特性。應(yīng)用多個(gè)改變點(diǎn)檢測(cè)算法的目的是實(shí)現(xiàn)對(duì)改變的信任檢測(cè)。應(yīng)了解，其它改變點(diǎn)檢測(cè)算法可應(yīng)用于所觀察網(wǎng)絡(luò)業(yè)務(wù)特性且CUSUM、小波及SVM算法的選擇是示范性的。

累積求和(CUSUM)算法

圖6圖解說(shuō)明應(yīng)用于取樣觀察數(shù)據(jù)集151的CUSUM算法的結(jié)果。點(diǎn)150指示在所評(píng)估原始數(shù)據(jù)集151中通過(guò)CUSUM算法發(fā)現(xiàn)的改變點(diǎn)。進(jìn)一步參考圖6，在示范性再現(xiàn)中，y軸表示改變點(diǎn)信任度量(0到100)，此度量的值越接近100，越信任地識(shí)別出改變點(diǎn)。

小波變換算法

圖7圖解說(shuō)明應(yīng)用于取樣觀察數(shù)據(jù)集151的小波變換的結(jié)果。原始數(shù)據(jù)160的小波變換將所觀察值151圍繞y＝0正規(guī)化且過(guò)濾掉所觀察值151中的高頻率分量(通常稱為噪聲)。改變點(diǎn)是經(jīng)變換數(shù)據(jù)的絕對(duì)值超出特定預(yù)設(shè)定閾值yT處的點(diǎn)，|yT|＝Δy，162。應(yīng)了解，改變點(diǎn)檢測(cè)概率隨經(jīng)變換數(shù)據(jù)yT的絕對(duì)值變大而增加。

由于在觀察間隔開始時(shí)的認(rèn)為突然改變，在幾個(gè)最左邊數(shù)據(jù)收集間隔Δx 163上識(shí)別的偏差優(yōu)選地被丟棄。依據(jù)算法定義，小波變換應(yīng)用于其的數(shù)據(jù)收集間隔N的數(shù)目應(yīng)等于2n，其中n是整數(shù)(例如，N＝32，n＝5)。

支持向量機(jī)(SVM)算法

SVM是識(shí)別不同觀察的類似性的分類方法。SVM使用第一數(shù)據(jù)集作為模板，且對(duì)照第一數(shù)據(jù)集將第二數(shù)據(jù)集分類。圖8圖解說(shuō)明應(yīng)用于取樣觀察數(shù)據(jù)集151的SVM方法的結(jié)果。

如同圖7上所圖解說(shuō)明的小波變換，SVM分類算法包含選擇閾值Δy 172以識(shí)別經(jīng)變換數(shù)據(jù)170的突然改變。應(yīng)了解，經(jīng)選擇用于通過(guò)SVM算法170變換的數(shù)據(jù)的閾值172與經(jīng)選擇用于小波變換算法的閾值163無(wú)關(guān)。

網(wǎng)絡(luò)節(jié)點(diǎn)健康評(píng)定

參考圖9，在所揭示方法的示范性實(shí)施例中，可針對(duì)以最右邊所檢測(cè)改變點(diǎn)開始到當(dāng)前數(shù)據(jù)收集間隔的數(shù)據(jù)收集間隔dt 182計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)健康度量。圖9圖解說(shuō)明其中評(píng)估兩個(gè)數(shù)據(jù)觀察域A及B中的改變的方法的示范性實(shí)施例。本文中所揭示的方法可在不具有限制的情況下擴(kuò)展到任意數(shù)目個(gè)數(shù)據(jù)觀察域。

進(jìn)一步參考圖9，如果遇到其中在所有觀察域中檢測(cè)到改變點(diǎn)的情形，那么針對(duì)從在其上檢測(cè)到改變點(diǎn)的最右邊數(shù)據(jù)收集間隔開始的數(shù)據(jù)收集域計(jì)算NHS。舉例來(lái)說(shuō)，參考圖9，如果在數(shù)據(jù)收集間隔dtk 183處檢測(cè)到域A 180中的改變點(diǎn)且在數(shù)據(jù)收集間隔dtk-j 184(j>0)處檢測(cè)到域B 181中的改變點(diǎn)，那么針對(duì)dtk與當(dāng)前數(shù)據(jù)收集間隔之間(包含dtk及當(dāng)前數(shù)據(jù)收集間隔)的所有數(shù)據(jù)收集間隔計(jì)算NHS。

在其中僅在一個(gè)數(shù)據(jù)域中存在改變點(diǎn)的情形中，可針對(duì)以在其上檢測(cè)到所觀察數(shù)據(jù)中的改變點(diǎn)的最右邊數(shù)據(jù)收集間隔開始到當(dāng)前數(shù)據(jù)收集間隔(包含最右邊數(shù)據(jù)收集間隔及當(dāng)前數(shù)據(jù)收集間隔)的所有數(shù)據(jù)收集間隔計(jì)算NHS。在其中未檢測(cè)到改變點(diǎn)的情形中，可僅針對(duì)當(dāng)前數(shù)據(jù)收集間隔計(jì)算NHS。

網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)評(píng)估

參考圖10，在所揭示方法的示范性實(shí)施例中，使用數(shù)據(jù)收集間隔dtk 183與dtcur 198之間的所評(píng)定網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)值評(píng)估網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)，其中數(shù)據(jù)收集間隔dtk 183是在其上觀察到當(dāng)前觀察間隔190中的最后改變點(diǎn)的數(shù)據(jù)收集間隔且dtcur 198是當(dāng)前數(shù)據(jù)收集間隔。

進(jìn)一步參考圖10，網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)可與在點(diǎn)191之間繪制的最佳擬合線192的斜率相關(guān)聯(lián)，點(diǎn)191表示以數(shù)據(jù)收集時(shí)間間隔183開始的每一數(shù)據(jù)收集時(shí)間間隔上的網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)值，其中檢測(cè)到當(dāng)前觀察間隔190中的最后改變點(diǎn)。在示范性實(shí)施方案中，使用總最小二乘(“TLS”)方法計(jì)算最佳擬合線192。應(yīng)了解，除TLS外的擬合方法可用于所述目的。

進(jìn)一步參考圖10，基于最佳擬合線192的斜率，網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)可分類成相異定性類別，例如，稱作峰值195、改善194、中性193、降級(jí)196及下降197。在其中在當(dāng)前數(shù)據(jù)收集間隔dtcur 198期間檢測(cè)到當(dāng)前觀察間隔190中的最后改變點(diǎn)的退化情形中，網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)可分類為中性。

進(jìn)一步參考圖10，使用最佳擬合線192表達(dá)的示范性所描繪網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)圖解說(shuō)明當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)落到改善194類別中時(shí)的情形。改善194趨勢(shì)分類歸因于NHS值191由于最近所觀察改變點(diǎn)而繼續(xù)穩(wěn)定增長(zhǎng)的事實(shí)。

參考圖10a，使用最佳擬合線199表達(dá)的示范性所描繪網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)圖解說(shuō)明當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)健康趨勢(shì)落到下降197類別中時(shí)的情形。下降197趨勢(shì)分類歸因于網(wǎng)絡(luò)節(jié)點(diǎn)得分(NHS)值198由于最近所觀察改變點(diǎn)而急劇下降的事實(shí)。

網(wǎng)絡(luò)裝置健康評(píng)定

參考圖10b，網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)的概念可進(jìn)一步擴(kuò)展到量化網(wǎng)絡(luò)裝置400作為整體的健康。在網(wǎng)絡(luò)裝置的此計(jì)算NHS的示范性實(shí)施例中，可將NHSD評(píng)定為裝置的網(wǎng)絡(luò)節(jié)點(diǎn)401的最小NHS：

其中

是第i裝置節(jié)點(diǎn)的網(wǎng)絡(luò)健康得分，且

n是部署于裝置上的網(wǎng)絡(luò)節(jié)點(diǎn)的總數(shù)目。

進(jìn)一步參考圖10b，網(wǎng)絡(luò)裝置400NHS的以上示范性量化由以下事實(shí)證明為合理的：部署于裝置400上的網(wǎng)絡(luò)節(jié)點(diǎn)401是裝置400的組成部分，且如此是相互依賴的，且每一網(wǎng)絡(luò)節(jié)點(diǎn)401的性能受部署于裝置上的其它網(wǎng)絡(luò)節(jié)點(diǎn)的性能影響。

進(jìn)一步參考圖10b，應(yīng)了解，可考慮用以量化網(wǎng)絡(luò)裝置400健康評(píng)定的其它方法，例如基于網(wǎng)絡(luò)節(jié)點(diǎn)標(biāo)稱吞吐量而使每一網(wǎng)絡(luò)節(jié)點(diǎn)401的相對(duì)加權(quán)相關(guān)聯(lián)。

網(wǎng)絡(luò)服務(wù)可用性評(píng)定

參考圖10c，在本發(fā)明的論域中，網(wǎng)絡(luò)裝置410是將網(wǎng)絡(luò)業(yè)務(wù)傳遞到網(wǎng)絡(luò)服務(wù)411的一個(gè)或多個(gè)中介機(jī)構(gòu)，例如但不限于路由器、交換器及防火墻。網(wǎng)絡(luò)服務(wù)411是在經(jīng)由應(yīng)用層網(wǎng)絡(luò)協(xié)議提供數(shù)據(jù)處理、存儲(chǔ)、表示及其它能力的網(wǎng)絡(luò)應(yīng)用層處運(yùn)行的應(yīng)用。

進(jìn)一步參考圖10c，網(wǎng)絡(luò)服務(wù)411可用性取決于將網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)服務(wù)411的網(wǎng)絡(luò)裝置410的可用性。在網(wǎng)絡(luò)裝置410性能不良的情形中或在網(wǎng)絡(luò)裝置410故障的情形中，網(wǎng)絡(luò)服務(wù)的可用性降級(jí)或網(wǎng)絡(luò)服務(wù)變得不可訪問(wèn)。由于網(wǎng)絡(luò)服務(wù)411對(duì)企業(yè)商業(yè)的重要性，因此檢測(cè)通向網(wǎng)絡(luò)服務(wù)411的網(wǎng)絡(luò)路徑中的故障且基于所述網(wǎng)絡(luò)路徑的健康而量化其可用性是重要的。

進(jìn)一步參考圖10c，考慮具有m個(gè)網(wǎng)絡(luò)路徑412的網(wǎng)絡(luò)服務(wù)411，經(jīng)由所述網(wǎng)絡(luò)路徑網(wǎng)絡(luò)業(yè)務(wù)流動(dòng)到服務(wù)及從服務(wù)流動(dòng)。在本發(fā)明的精神內(nèi)，可使用網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)表達(dá)網(wǎng)絡(luò)服務(wù)411的可用性。在示范性實(shí)施例中，網(wǎng)絡(luò)服務(wù)411可用性的NHS值NHS_SVC可計(jì)算為將網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到所述網(wǎng)絡(luò)服務(wù)411的每一網(wǎng)絡(luò)裝置410的NHS值的經(jīng)加權(quán)平均值：

其中

是將網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)服務(wù)411的第i網(wǎng)絡(luò)裝置410的網(wǎng)絡(luò)健康得分

m是將網(wǎng)絡(luò)業(yè)務(wù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)服務(wù)411的網(wǎng)絡(luò)裝置410的總數(shù)目

ωi是通過(guò)每一網(wǎng)絡(luò)裝置410流動(dòng)到網(wǎng)絡(luò)服務(wù)411及從網(wǎng)絡(luò)服務(wù)411流動(dòng)的網(wǎng)絡(luò)業(yè)務(wù)的份額。所述份額通過(guò)以下步驟計(jì)算：觀察通過(guò)第i網(wǎng)絡(luò)裝置410去往及來(lái)自網(wǎng)絡(luò)服務(wù)411的網(wǎng)絡(luò)業(yè)務(wù)流Vi，累加在數(shù)據(jù)收集周期內(nèi)在每一流中的網(wǎng)絡(luò)業(yè)務(wù)量，及將其除以在數(shù)據(jù)收集周期內(nèi)去往及來(lái)自網(wǎng)絡(luò)服務(wù)411的總業(yè)務(wù)量V：

網(wǎng)絡(luò)服務(wù)的NHS值計(jì)算提供用于向網(wǎng)絡(luò)操作者報(bào)告聯(lián)網(wǎng)資源的狀況的穩(wěn)健機(jī)制。

應(yīng)了解，可考慮用以量化網(wǎng)絡(luò)服務(wù)可用性的其它方法，例如在裝置加權(quán)計(jì)算中包含網(wǎng)絡(luò)裝置的標(biāo)稱性能。

檢測(cè)異常業(yè)務(wù)

拒絕服務(wù)(“DoS”)攻擊是使網(wǎng)絡(luò)資源不可用于其既定用戶的嘗試。分布式拒絕服務(wù)(“DDoS”)攻擊是DOS攻擊的變體，其中多個(gè)受危及系統(tǒng)用于將單個(gè)系統(tǒng)定為目標(biāo)且導(dǎo)致DoS攻擊。

在DDoS攻擊期間，涌入目標(biāo)的傳入業(yè)務(wù)通常源于許多不同源，這使得難以區(qū)分合法用戶業(yè)務(wù)與跨越大量源點(diǎn)傳播的攻擊業(yè)務(wù)。

在示范性實(shí)施例中，本文中所揭示的方法可應(yīng)用于檢測(cè)及報(bào)告DDoS攻擊同時(shí)最小化誤報(bào)的數(shù)目。參考圖11，所揭示方法利用含有關(guān)于網(wǎng)絡(luò)業(yè)務(wù)的信息及考慮到多個(gè)網(wǎng)絡(luò)業(yè)務(wù)特性的網(wǎng)絡(luò)業(yè)務(wù)描述212，所述多個(gè)網(wǎng)絡(luò)業(yè)務(wù)特性中的每一者由多個(gè)專門模塊(“代理”)210評(píng)估。實(shí)施所揭示方法的系統(tǒng)將描述網(wǎng)絡(luò)業(yè)務(wù)的信息遞送到每一代理210且每一代理210可以專門方式處理此信息。

進(jìn)一步參考圖11，一旦代理210收集足以做出結(jié)論的信息(或響應(yīng)于計(jì)時(shí)器)，代理210便可將其發(fā)現(xiàn)報(bào)告給事件相關(guān)處理器(“ECP”)211，ECP 211發(fā)揮功能以做出關(guān)于事件是否是肯定的或事件是否是否定的最終決策。

應(yīng)了解，在代理210中實(shí)施的將輸入提供到ECP 211最終決策制定程序中的算法集合可變化，且除本文中所揭示的算法外的算法可用于提供此輸入。還應(yīng)了解，下文中所論述的代理210的列表僅出于圖解說(shuō)明的目的且不構(gòu)成對(duì)所揭示方法的任何限制。

盡管如本文中所揭示的方法的示范性實(shí)施例分析貫穿網(wǎng)絡(luò)的網(wǎng)絡(luò)業(yè)務(wù)，但應(yīng)了解，其可在不具有限制的情況下應(yīng)用于到特定IP地址的網(wǎng)絡(luò)業(yè)務(wù)，因此檢測(cè)以特定網(wǎng)絡(luò)服務(wù)或多個(gè)網(wǎng)絡(luò)服務(wù)為目標(biāo)的DDoS攻擊。

代理A：TCP/IP業(yè)務(wù)分析器

進(jìn)一步參考圖11，代理A可專門用于檢測(cè)基于TCP/IP的DoS淹沒(méi)攻擊及將觀察報(bào)告給ECP 211。

TCP/IP淹沒(méi)攻擊是實(shí)踐中可見的最普遍的DDoS攻擊分類中的一者。最常見類型的TCP/IP淹沒(méi)攻擊是SYN淹沒(méi)攻擊，在SYN淹沒(méi)攻擊期間攻擊者發(fā)送具有受破壞主機(jī)的源IP地址或受騙IP地址的大量TCP/IP SYN包。

當(dāng)在兩個(gè)通信對(duì)等點(diǎn)A與B之間起始TCP/IP會(huì)話時(shí)，發(fā)生標(biāo)準(zhǔn)TCP/IP SYN-SYN/ACK–ACK消息交換。此通信的發(fā)起者A首先發(fā)送TCP/IP SYN包且響應(yīng)者B以TCP/IP SYN/ACK包響應(yīng)。在正常情況下，發(fā)起者A然后以TCP/IP ACK包響應(yīng)且可開始將數(shù)據(jù)發(fā)送到響應(yīng)者B。在其中發(fā)起者A是惡意實(shí)體的情形中，其可抑制將TCP/IP ACK包發(fā)送到響應(yīng)者B，因此捆綁住為了創(chuàng)建新TCP/IP會(huì)話而分配的響應(yīng)者的資源。

應(yīng)了解，存在其它類型的TCP/IP淹沒(méi)攻擊(例如反射型SYN/ACK淹沒(méi)及TCP/IP FIN淹沒(méi))，且本文中所揭示的方法在不具有任何限制的情況下還適用于那些類型的攻擊。

代理A監(jiān)測(cè)不完整TCP/IP會(huì)話(即，其中響應(yīng)者B未響應(yīng)于所發(fā)送TCP/IP SYN/ACK包而接收到TCP/IP ACK包的所起始TCP/IP會(huì)話)的數(shù)目。舉例來(lái)說(shuō)，代理A可計(jì)算在每一數(shù)據(jù)收集間隔dt上未應(yīng)答的TCP/IP SYN/ACK響應(yīng)的數(shù)目。

在示范性實(shí)施例中，為了檢測(cè)初期TCP/IP SYN淹沒(méi)攻擊，可選擇滑動(dòng)觀察間隔T＝dt×N，N是整數(shù)。此選擇形成分析其中的值改變的多個(gè)所觀察數(shù)據(jù)。CUSUM算法此后可應(yīng)用于針對(duì)每一數(shù)據(jù)收集間隔dt識(shí)別所述系列的不完整TCP/IP會(huì)話計(jì)數(shù)中的改變點(diǎn)。

參考圖12，當(dāng)從觀察過(guò)程的開始檢測(cè)到第一改變點(diǎn)220時(shí)，所觀察不完整TCP/IP會(huì)話的計(jì)數(shù)可變?yōu)橛糜诤罄m(xù)測(cè)量的初始基線值221b0。應(yīng)了解，除選擇對(duì)應(yīng)于第一改變點(diǎn)220的值外的方法可用于確立初始基線值。本文中所描述的方法是示范性的，且可由設(shè)定固定初始基線值、采取在第一改變點(diǎn)220之前的數(shù)據(jù)收集間隔的平均值及/或其它方法代替。

參考圖13，在其中檢測(cè)到一個(gè)或多個(gè)改變點(diǎn)的情形中，可檢查緊接在最右邊所檢測(cè)改變點(diǎn)223之后的接下來(lái)的K個(gè)觀察222是否比當(dāng)前基線值225超出預(yù)配置閾值δ(224)。代理A可在(舉例來(lái)說(shuō))滿足以下條件中的一者的情況下報(bào)告事件：

1)CK≥CK-1≥...≥C0

2)ave(Ci)≥CO，i＝1、...、K

其中

C0是改變點(diǎn)223處不完整TCP/IP會(huì)話的數(shù)目

Ci是在第i連續(xù)數(shù)據(jù)收集間隔dt(i＝1、...、K)期間不完整TCP/IP會(huì)話的數(shù)目

ave是平均函數(shù)。

參考圖14，當(dāng)檢測(cè)到后續(xù)改變點(diǎn)230時(shí)，可確立新基線值231且可將前一當(dāng)前基線值225推到已知基線值堆上。

考圖15，代理A可報(bào)告在報(bào)告間隔240內(nèi)所觀察不完整TCP/IP會(huì)話的數(shù)目，報(bào)告間隔240可在所觀察不完整TCP/IP會(huì)話的數(shù)目超出當(dāng)前閾值241時(shí)的第一數(shù)據(jù)收集間隔處開始直到所觀察不完整TCP/IP會(huì)話的數(shù)目下降到低于當(dāng)前作用中基線242時(shí)的所檢測(cè)減少改變點(diǎn)243為止。

進(jìn)一步參考圖15，當(dāng)檢測(cè)到減少改變點(diǎn)時(shí)，可提取已知基線值堆的頂部處的基線值且其值然后變成當(dāng)前作用中基線242。在其中已知基線值堆非空的情形中，代理A可繼續(xù)報(bào)告所觀察不完整TCP/IP會(huì)話的數(shù)目。如果已知基線值堆是空的，那么代理A可停止報(bào)告。

代理B：類屬網(wǎng)絡(luò)業(yè)務(wù)特性分析器

代理B可為網(wǎng)絡(luò)業(yè)務(wù)特性的智能分析器。代理B可監(jiān)測(cè)并分析導(dǎo)致絕大多數(shù)DoS攻擊的IP層協(xié)議的業(yè)務(wù)。在示范性實(shí)施例中，代理B監(jiān)測(cè)并分析利用TCP/IP、UDP及ICMP協(xié)議的網(wǎng)絡(luò)業(yè)務(wù)。應(yīng)了解，代理B可在不具有限制的情況下監(jiān)測(cè)例如GRE、IGMP及其它等其它IP層協(xié)議的業(yè)務(wù)特性。

當(dāng)監(jiān)測(cè)網(wǎng)絡(luò)業(yè)務(wù)特性時(shí)，代理B對(duì)經(jīng)合并信息單位(本文中稱為“流”)操作。在示范性實(shí)施例中，流是由IP層協(xié)議以及其來(lái)源及目的地點(diǎn)表征的網(wǎng)絡(luò)包的單向序列。應(yīng)了解，例如服務(wù)類型(ToS)、自主系統(tǒng)號(hào)(ASN)或類似信息等其它網(wǎng)絡(luò)業(yè)務(wù)特性可表征流。

可針對(duì)每一所監(jiān)測(cè)IP層協(xié)議在每一收集時(shí)間間隔dt的持續(xù)時(shí)間內(nèi)評(píng)定以下網(wǎng)絡(luò)業(yè)務(wù)特性：

1)平均字節(jié)數(shù)目/包

2)平均包數(shù)目/流

3)平均字節(jié)數(shù)目/流，及

4)獨(dú)特源IP地址的數(shù)目。

為了檢測(cè)網(wǎng)絡(luò)業(yè)務(wù)特性的改變，可選擇滑動(dòng)觀察間隔T：

T＝dt×M，M＝2ⁿ，

其中n是整數(shù)。在觀察時(shí)間間隔T結(jié)束時(shí)，可將小波變換應(yīng)用于M個(gè)特性(1)到(4)的所收集序列中的每一者。優(yōu)選地將在其上特性的經(jīng)變換值超出閾值τ的收集時(shí)間間隔dt標(biāo)記為可疑的。

在示范性實(shí)施例中，使用以下函數(shù)來(lái)計(jì)算所收集網(wǎng)絡(luò)業(yè)務(wù)特性(1)到(4)中的每一者的信任值：

其中x_i是第i數(shù)據(jù)收集間隔dt，且

y_i是第i時(shí)間間隔上的經(jīng)變換特性的值。

可將相關(guān)信任度量計(jì)算為個(gè)別信任值的和：

可將具有超出預(yù)設(shè)定閾值σ的信任度量的數(shù)據(jù)收集間隔指定為網(wǎng)絡(luò)業(yè)務(wù)異常的候選點(diǎn)。

在示范性實(shí)施例中，除收集網(wǎng)絡(luò)業(yè)務(wù)特性(1)到(4)外，還可在每一數(shù)據(jù)收集間隔dt上收集以下累積網(wǎng)絡(luò)業(yè)務(wù)特性：

5)累積字節(jié)數(shù)目

6)累積包數(shù)目，及

7)累積所管擦流數(shù)目。

參考圖16，為了評(píng)定網(wǎng)絡(luò)業(yè)務(wù)異常的性質(zhì)，可選擇最近所觀察候選改變點(diǎn)，且可計(jì)算網(wǎng)絡(luò)業(yè)務(wù)特性(4)到(7)中的每一者的趨勢(shì)250到253，然后可將每一所計(jì)算趨勢(shì)線視為單位向量且將總體趨勢(shì)254計(jì)算為網(wǎng)絡(luò)業(yè)務(wù)特性趨勢(shì)250到253的向量和。

進(jìn)一步參考圖16，為了評(píng)估網(wǎng)絡(luò)業(yè)務(wù)特性的總體趨勢(shì)254，將總體趨勢(shì)254分類為多個(gè)定性特性，例如但不限于增加255、可持續(xù)256及減少257。如果將總體趨勢(shì)254分類為增加255定性類別，那么代理B優(yōu)選地報(bào)告網(wǎng)絡(luò)業(yè)務(wù)異常事件以及當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)特性(4)到(7)的值及總體趨勢(shì)斜率值。

應(yīng)了解，總體趨勢(shì)分類可不同于示范性實(shí)施例中的分類，使得可持續(xù)256類別為任選的或分類框架可含有較多數(shù)目個(gè)定性類別。

代理C：新IP地址到達(dá)率分析器

由于DDoS攻擊通常借助于受破壞網(wǎng)絡(luò)主機(jī)或通過(guò)欺騙用于籌劃攻擊的網(wǎng)絡(luò)包中的源IP地址而完成，因此DDoS攻擊的開始通常由先前未見過(guò)的訪問(wèn)者的涌入表征。代理C可觀察每一數(shù)據(jù)收集間隔dt中兩個(gè)觀察域中的改變：

8)新IP地址到達(dá)率，及

9)所觀察流的數(shù)目。

為了檢測(cè)此類網(wǎng)絡(luò)業(yè)務(wù)特性改變，可選擇滑動(dòng)觀察間隔T：

T＝dt×N

其中N是整數(shù)，且CUSUM算法可應(yīng)用于識(shí)別每一數(shù)據(jù)收集間隔dt上的新IP地址的到達(dá)率及所觀察流計(jì)數(shù)的改變點(diǎn)。

參考圖17，在所揭示方法的示范性實(shí)施例中，如果在數(shù)據(jù)收集間隔dtk 260、dtk-1 262或dtk+1 263中在新IP地址到達(dá)率261中檢測(cè)到改變點(diǎn)且在流計(jì)數(shù)264中檢測(cè)到改變點(diǎn)，那么可將數(shù)據(jù)收集間隔dtk 260指定為網(wǎng)絡(luò)業(yè)務(wù)異常。

應(yīng)了解，通過(guò)分析網(wǎng)絡(luò)業(yè)務(wù)特性(8)及(9)(如本文中所描述)，代理C能夠提供用于區(qū)分DDoS攻擊與歸因于合法用戶的涌入的稱作“快閃族”的現(xiàn)象的機(jī)制?？扉W族的典型實(shí)例是在發(fā)布新產(chǎn)品時(shí)到商業(yè)網(wǎng)站的業(yè)務(wù)增加或在工作日開始時(shí)網(wǎng)絡(luò)業(yè)務(wù)中的尖峰。

進(jìn)一步參考圖17，代理C可通過(guò)強(qiáng)加在數(shù)據(jù)收集間隔dtk 260、dtk-1 262或dtk+1 263中的流計(jì)數(shù)264中的改變點(diǎn)伴隨有新IP地址到達(dá)率261中的改變點(diǎn)的要求而區(qū)分快閃族與DDoS攻擊。此相依性的原因是網(wǎng)絡(luò)資源的合法使用導(dǎo)致與網(wǎng)絡(luò)資源的較長(zhǎng)交互，因此相比于DDoS攻擊的情形形成較少流，在DDoS攻擊期間會(huì)形成大量流。

參考圖18，為了評(píng)定網(wǎng)絡(luò)業(yè)務(wù)異常的性質(zhì)，選擇最近所觀察改變點(diǎn)，且可計(jì)算網(wǎng)絡(luò)業(yè)務(wù)特性(8)270及(9)271中的每一者的趨勢(shì)，然后可將每一所計(jì)算趨勢(shì)線視為單位向量且可將總體趨勢(shì)274計(jì)算為網(wǎng)絡(luò)業(yè)務(wù)特性趨勢(shì)270及271的向量和。

進(jìn)一步參考圖18，為了評(píng)估網(wǎng)絡(luò)業(yè)務(wù)特性的總體趨勢(shì)274，可將總體趨勢(shì)274分類成多個(gè)定性特性，例如但不限于增加275、可持續(xù)276及減少277。如果將總體趨勢(shì)274分類為增加275定性類別，那么代理C優(yōu)選地報(bào)告網(wǎng)絡(luò)業(yè)務(wù)異常事件以及當(dāng)前網(wǎng)絡(luò)業(yè)務(wù)特性(8)及(9)的值及總體趨勢(shì)斜率值。

應(yīng)了解，總體趨勢(shì)分類可不同于示范性實(shí)施例中的分類，使得可持續(xù)276類別是任選的，或分類框架可含有更多數(shù)目個(gè)定性類別。

代理D：業(yè)務(wù)熵分析器

熵是信息內(nèi)容的不可預(yù)測(cè)性的量度。其還可解釋為系統(tǒng)中的混亂的量度。熵H計(jì)算為：

其中是給定源IP地址實(shí)例的計(jì)數(shù)，N是觀察的總數(shù)目(N>0)。

由于DDoS攻擊通常借助于受破壞網(wǎng)絡(luò)主機(jī)或通過(guò)欺騙用于籌劃攻擊的網(wǎng)絡(luò)包中的源IP地址而完成，因此DDoS攻擊的開始通常由所觀察IP地址的數(shù)目的增加及在源IP地址欺騙的情形中每一源IP地址觀察的小數(shù)目表征。由于以上考慮，熵分析器提供網(wǎng)絡(luò)的信息一致性的穩(wěn)健估計(jì)。

在示范性實(shí)施例中，代理D可計(jì)算每一數(shù)據(jù)收集間隔dt的熵。由于熵是隨機(jī)變量，因此應(yīng)計(jì)算其均值μ及偏差σ2。為了檢測(cè)所觀察網(wǎng)絡(luò)熵的改變，優(yōu)選地選擇滑動(dòng)觀察間隔T：

T＝dt×N

其中N是整數(shù)，且CUSUM算法應(yīng)用于識(shí)別每一數(shù)據(jù)收集間隔dt上所計(jì)算熵值中的改變點(diǎn)。熵均值μ及偏差σ可在第一所檢測(cè)改變點(diǎn)處計(jì)算但優(yōu)選地不早于發(fā)生觀察間隔T的N個(gè)移位，且第一改變點(diǎn)計(jì)算在2N x dt數(shù)據(jù)收集間隔之后完成。

參考圖19，為了跟蹤熵偏差，將區(qū)μ±ασ指定為正常的，其中μ281表示均值且σ282表示偏差。系數(shù)α定義容限帶280，其中網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容被認(rèn)為是充足的。舉例來(lái)說(shuō)，選擇α＝2 283會(huì)將正常網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容置于95百分位且將所有其它網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容分類為異常。

參考圖20，當(dāng)在觀察間隔上檢測(cè)到一或多個(gè)改變點(diǎn)，代理D采取最近所檢測(cè)改變點(diǎn)且以檢測(cè)到改變點(diǎn)時(shí)的數(shù)據(jù)收集間隔開始到當(dāng)前數(shù)據(jù)收集間隔而計(jì)算熵值趨勢(shì)290?；谮厔?shì)線的斜率，所計(jì)算熵值趨勢(shì)可分類為穩(wěn)定291、增加292及降低293定性類別。如果針對(duì)當(dāng)前數(shù)據(jù)收集間隔計(jì)算的熵值落在容限帶外且趨勢(shì)分類為增加292或降低293，那么代理D優(yōu)選地報(bào)告網(wǎng)絡(luò)業(yè)務(wù)異常及相應(yīng)趨勢(shì)分類。

代理D優(yōu)選地針對(duì)每一后續(xù)數(shù)據(jù)收集間隔重復(fù)關(guān)于網(wǎng)絡(luò)異常及趨勢(shì)分類的信息直到熵值重新進(jìn)入容限帶為止。在熵值重新進(jìn)入容限帶后，代理D即刻優(yōu)選地報(bào)告熵值減少。

網(wǎng)絡(luò)業(yè)務(wù)異常事件相關(guān)處理器

參考圖11，所揭示方法的基本優(yōu)點(diǎn)中的一者是其同時(shí)研究網(wǎng)絡(luò)業(yè)務(wù)描述212的多個(gè)方面的能力。所述研究由稱作代理210的多個(gè)專門專家模塊完成。每一代理分析多個(gè)網(wǎng)絡(luò)業(yè)務(wù)參數(shù)且做出代理的論域中的網(wǎng)絡(luò)業(yè)務(wù)是否異常的結(jié)論。如果代理發(fā)現(xiàn)異常，其向事件相關(guān)處理器(ECP)211報(bào)告其發(fā)現(xiàn)。

在示范性實(shí)施例中，ECP 211通過(guò)為用于分析的流信息源的網(wǎng)絡(luò)裝置的id而收集從代理接收的異常報(bào)告。在接收到異常報(bào)告后，ECP即刻優(yōu)選地計(jì)算考慮到最近報(bào)告及由所述流信息源報(bào)告的先前事件的累積異常信任度量。

參考圖21，可給每一所報(bào)告事件指派權(quán)重w?？山o由ECP在時(shí)間tn 300觀察的最后所報(bào)告事件En指派權(quán)重w(tn)＝1 303，其中n是所報(bào)告事件的序列號(hào)。針對(duì)所有先前所報(bào)告事件，權(quán)重優(yōu)選地以指數(shù)方式衰減301：

其中μ是指數(shù)衰減常數(shù)。

累積信任度量計(jì)算為所有所觀察事件的權(quán)重的和：

出于實(shí)際目的，在示范性實(shí)施例中，在先前所報(bào)告事件的權(quán)重變得小于0.01 302時(shí)累積信任度量計(jì)算終止。當(dāng)特定流信息源的累積信任度量值C超出特定可配置閾值時(shí)，ECP 211優(yōu)選地警告網(wǎng)絡(luò)操作者。

應(yīng)了解，可基于所報(bào)告事件類型給每一所報(bào)告事件指派權(quán)重ω。在示范性ECP實(shí)施例中，累積信任度量C可計(jì)算為：

其中

ω是與在時(shí)間ti處發(fā)生的特定事件類型相關(guān)聯(lián)的權(quán)重。

還應(yīng)了解，本文中所揭示的示范性ECP能夠使跨越多個(gè)網(wǎng)絡(luò)裝置的網(wǎng)絡(luò)業(yè)務(wù)異常相關(guān)且針對(duì)經(jīng)歷異常網(wǎng)絡(luò)業(yè)務(wù)的多個(gè)網(wǎng)絡(luò)裝置發(fā)布警告。在此相關(guān)性的示范性實(shí)施例中，ECP可針對(duì)基于IP塊分配數(shù)據(jù)庫(kù)或通過(guò)一個(gè)或多個(gè)自主系統(tǒng)號(hào)(ASN)分組的特定地理區(qū)中的網(wǎng)絡(luò)裝置發(fā)布警告。

會(huì)聚網(wǎng)絡(luò)業(yè)務(wù)異常檢測(cè)及網(wǎng)絡(luò)裝置健康

應(yīng)了解，例如掩模DDoS攻擊的網(wǎng)絡(luò)業(yè)務(wù)異常貢獻(xiàn)于網(wǎng)絡(luò)裝置的較低網(wǎng)絡(luò)節(jié)點(diǎn)健康得分(NHS)。參考圖4，應(yīng)注意，經(jīng)增加網(wǎng)絡(luò)業(yè)務(wù)水平130及包速率131映射到特定網(wǎng)絡(luò)節(jié)點(diǎn)的高(“H”)注意力水平，且因此減小其NHS值，此又減小總體網(wǎng)絡(luò)裝置的NHS值。在示范性實(shí)施例中，具有低NHS值的一個(gè)或多個(gè)網(wǎng)絡(luò)裝置的出現(xiàn)可視為由事件相關(guān)處理器(ECP)處理的事件集合中所包含的另一事件。

還應(yīng)了解，網(wǎng)絡(luò)裝置健康信息在由事件相關(guān)處理器(ECP)處理的事件集合中的輸入可通過(guò)給網(wǎng)絡(luò)裝置健康信息指派權(quán)重而操縱，因此控制網(wǎng)絡(luò)裝置健康信息對(duì)異常網(wǎng)絡(luò)業(yè)務(wù)識(shí)別的影響。

盡管已就幾個(gè)實(shí)施例描述本發(fā)明，但仍存在歸屬于本發(fā)明的范圍內(nèi)的更改、修改、置換及替代等效物。雖然已提供子章節(jié)標(biāo)題來(lái)輔助本發(fā)明的描述，但這些標(biāo)題僅是說(shuō)明性的且并不打算限制本發(fā)明的范圍。

還應(yīng)注意，存在實(shí)施本發(fā)明的方法及設(shè)備的許多替代方式。因此，打算將所附權(quán)利要求書解釋為包含歸屬于本發(fā)明的真正精神及范圍內(nèi)的所有此些更改、修改、置換及替代等效物。