一种网络流量监控方法及系统技术方案
A network traffic monitoring method and system
The embodiment of the invention provides a network traffic monitoring method and system, which is used to solve the technical problems that the detection efficiency of the protection device is abnormal or not. The method includes: constructing the network traffic in a network traffic model first preset multiple sampling time period in the corresponding, each network flow model of multiple network traffic model is used to characterize network traffic flow changes in the corresponding period of time trend sampling; judgment and first preset time period corresponding to the preset in the first second the first time the first sampling flow sampling time is the value of the flow range located in the first time, the first model of network traffic flow range and a plurality of first network flow model with the first sampling time period corresponding to the first and second flow sampling time value corresponding to the relevant; if the first value exceeds the first traffic flow range, output for the characterization of network traffic in the first time period for sampling information to assess the status of the.
【技术实现步骤摘要】
一种网络流量监控方法及系统
本专利技术涉及网络通信
,尤其涉及一种网络流量监控方法及系统。
技术介绍
在分布式拒绝服务(DistributedDenialofService,DDoS)防护设备在旁路部署时,若发现有异常或者有威胁的流量,DDoS防护设备会对这些流量进行清洗,即把有异常或者有威胁的流量剔除,留下正常的业务流量;待清洗完成后,DDoS防护设备再把留下的正常的业务流量返回到原有的路径上,最终发送到目的地。而由于在DDoS防护设备旁路部署中时常会因为注入接口配置不合理或者旁路部署侧的路由器配置发生变化,引起注入接口失效,或者流量回环,最终导致流量回注失败,即正常的业务流量无法返回到原有的路径上,影响正常流量业务,为了减少注入接口失效对用户业务流量的影响,及时准确的检查出注入接口配置是否正常是十分必要的。现有技术中,在检查注入接口是否失效时,通常是在配置完注入接口后,由人工手动检查是否生成了与配置的注入接口对应的媒体访问控制(MediaAccessControl,MAC)地址,若未生成则认为注入接口失效。由于注入接口的失效是随机且不可预测的,仅通过人工进行不定时的检测,效率较低。并且,在判断流量是否出现回环时,通常是工作人员在DDoS防护设备上抽取特征数据包,并通过该特征数据包的生存时间(TimeToLive,TTL)是否递减判断流量是否回环,由于工作人员在抽取特征数据包时,网络中服务器与客户端之间的数据交互并未停止,因此在此过程中会有大量的其他数据包产生,使得用于判断流量是否回环的特征数据包淹没在大量的其他数据包中,使得对特征数据包的查找难度...
【技术保护点】
一种网络流量监控方法,应用于网络流量监控系统,其特征在于,所述方法包括:构建网络流量在第一预设时间段中的多个抽样时间段对应的多个网络流量模型;其中,所述多个网络流量模型中的每个网络流量模型用于表征所述网络流量在相应的抽样时间段的流量变化趋势;判断与所述第一预设时间段对应的第二预设时间段中处于第一抽样时间段的第一抽样时刻的第一流量值是否位于第一流量范围;其中,所述第一流量范围与第二流量值相关,所述第二流量值为所述多个网络流量模型中与所述第一抽样时间段对应的第一网络流量模型中与所述第一抽样时刻对应的流量值;若确定所述第一流量值超过所述第一流量范围,输出用于表征所述网络流量在所述第一抽样时间段中的状态为待评估状态的提示信息。
【技术特征摘要】
1.一种网络流量监控方法,应用于网络流量监控系统,其特征在于,所述方法包括:构建网络流量在第一预设时间段中的多个抽样时间段对应的多个网络流量模型;其中,所述多个网络流量模型中的每个网络流量模型用于表征所述网络流量在相应的抽样时间段的流量变化趋势;判断与所述第一预设时间段对应的第二预设时间段中处于第一抽样时间段的第一抽样时刻的第一流量值是否位于第一流量范围;其中,所述第一流量范围与第二流量值相关,所述第二流量值为所述多个网络流量模型中与所述第一抽样时间段对应的第一网络流量模型中与所述第一抽样时刻对应的流量值;若确定所述第一流量值超过所述第一流量范围,输出用于表征所述网络流量在所述第一抽样时间段中的状态为待评估状态的提示信息。2.如权利要求1所述的方法,其特征在于,所述构建网络流量在第一预设时间段中的多个抽样时间段对应的多个网络流量模型,包括:确定所述多个抽样时间段中的每个抽样时间段包括的多个抽样时刻中每个抽样时刻对应的流量值,所述多个抽样时刻中相邻两个抽样时刻之间具有预设时间间隔;基于所述多个抽样时刻中每个抽样时刻对应的流量值确定所述网络流量在所述第一预设时间段中每个抽样时间段的变化趋势,构建所述第一预设时间段中每个抽样时间段对应的至少一个网络流量模型。3.如权利要求2所述的方法,其特征在于,所述基于所述多个抽样时刻中每个抽样时刻对应的流量值确定所述网络流量在所述第一预设时间段中每个抽样时间段的变化趋势,构建所述第一预设时间段中每个抽样时间段对应的至少一个网络流量模型,包括:判断所述多个抽样时刻中是否存在流量值相同的至少两个相邻抽样时刻,所述至少两个相邻抽样时刻对应的流量值为第三流量值;若所述多个抽样时刻中存在流量值相同的至少两个相邻抽样时刻,则确定所述至少一个网络流量模型包括常量网络流量模型,所述常量网络流量模型由所述第三流量值确定;否则,确定每个抽样时间段对应的至少一个网络流量模型为正态分布网络流量模型。4.如权利要求3所述的方法,其特征在于,在输出用于表征所述网络流量在所述第一抽样时间段中的状态为待评估状态的提示信息之后,所述方法还包括:接收与所述网络流量监控系统连接的网络状态处理设备发送的针对所述提示信息的处理结果,所述处理结果用于指示所述待评估状态为正常流量状态或异常流量状态。5.如权利要求1或4中任一权项所述的方法,其特征在于,在判断与所述第一预设时间段对应的第二预设时间段中处于第一抽样时间段的第一抽样时刻的第一流量值是否位于第一流量范围之后,所述方法包括:若确定所述第一流量值位于第一流量范围,或者若接收的与所述网络流量监控系统连接的网络状态处理设备发送的针对所述提示信息的处理结果指示所述网络流量在所述第一抽样时间段内为正常流量状态,确定所述第一抽样时间段中第二抽样时刻的第四流量值;基于所述第一流量值、所述第一抽样时刻、所述第四流量值及所述第二抽样时刻,确定用于更新所述第一抽样时间段对应的第一网络流量模型的第一模型参数和第二模型参数;基于所述第一模型参数和所述第二模型参数更新所述第一网络流量模型为第二网络流量模型。6.一种网络流量...
【专利技术属性】
技术研发人员:刘文辉,赵跃明,樊宇,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。