一种基于流量统计数据的访问告警方法技术
An access alarm method based on traffic statistics
The present invention provides an access method for flow alarm based on statistical data, the specific method is: the network data packets through the analysis, in accordance with the time bucket generate a variety of statistical data; statistical data generated is transferred to the storage module for storing; alarm module to obtain statistical data in accordance with the rules set by the memory module, and the alarm; set the rules for pretreatment, forming a tree structure, the structure of the tree traversal, the matching rules set. Compared with the prior art, the utility model can be applied to the high performance access alarm function in a large traffic environment supporting a large number of complex rules.
【技术实现步骤摘要】
一种基于流量统计数据的访问告警方法
本专利技术涉及一种基于流量统计数据的访问告警方法,特别是涉及一种适用于大流量环境和复杂告警规则的,基于流量统计数据的访问告警方法。
技术介绍
流量统计是指分析网络中的原始数据包数据,计算各种网络指标,并按照一定规则(IP,端口、会话等等)将结果分类并合并在一起,以便后续分析。时间桶统计是指按时间桶:持续时长为N秒,并且开始时间戳为N的整数倍的时间段称为时间桶。常用时间桶有1秒桶、1分钟桶、1小时桶、1天桶等。如1秒桶是指任意一个时长为1秒的时间段;1分钟桶是指开始时间戳为60的整数倍,并且时长为60秒的时间段;10分钟桶是指开始时间戳为600的整数倍,并且时长为600秒的时间段;其他时间桶类推。告警规则是指网络元数据组合在一起形成的规则如:IP、端口、应用、协议等等。黑名单为网络流量与告警规则匹配时进行告警;白名单为网络流量与告警规则不匹配进行告警。维度是指规则中支持的网络元数据的数量,如规则中只有IP,表示为一维、规则中包括IP和端口为二维;依次类推,维度越高实现的复杂度越高、性能越低。随着网络流量环境的迅猛增长,针对大流量的...
【技术保护点】
一种基于流量统计数据的访问告警方法,具体方法为:网络中的数据包经过分析,按照时间桶生成各种统计数据;生成的统计数据传递给存储模块进行存储;警报模块通过存储模块获取统计数据,按照设定规则进行告警。
【技术特征摘要】
1.一种基于流量统计数据的访问告警方法,具体方法为:网络中的数据包经过分析,按照时间桶生成各种统计数据;生成的统计数据传递给存储模块进行存储;警报模块通过存储模块获取统计数据,按照设定规则进行告警。2.根据权利要求1所述的基于流量统计数据的访问告警方法,所述方法还包括,对设定规则进行预处理,形成一种树形结构,通过对树形结构的遍历,完成对设定规则的匹配。3.根据权利要求2所述的基于流量统计数据的访问告警方法,对设定规则进行预处理的具体方法为:将设定规则中每一个存在交叉的维度拆分为不同的树节点,保证能够在一次遍历中得到正确的识别结果。4.根据权利要求1所述的基于流量统计数据的访问告警方法,所述方法还包括,采用双缓存机制,对于需要重新修改并进行配置的设定规则,修改后放在一个地方进行预处理,与触发任务中获取到的设定规则互不干扰;在预处...
【专利技术属性】
技术研发人员:林康,罗鹰,王飞,
申请(专利权)人:成都科来软件有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。