检测网络流量的阈值的确定方法、装置、设备及存储介质制造方法及图纸

本发明专利技术实施例提供了一种检测网络流量的阈值的确定方法、装置、设备及存储介质，其中，该方法包括：获取待监测网络的基础基线；实时获取所述待监测网络的节点总数和可用总网络带宽；针对每个时间点，根据所述基础基线中当前时间点对应的基础基线值、当前时间点的所述节点总数以及当前时间点的所述可用总网络带宽，实时确定当前时间点所述待监测网络的阈值上限和阈值下限。

【技术实现步骤摘要】
检测网络流量的阈值的确定方法、装置、设备及存储介质
本专利技术涉及数据网监测
，特别涉及一种检测网络流量的阈值的确定方法、装置、设备及存储介质。
技术介绍
随着网络规模的扩大和复杂性增加，网络拓扑结构和网络设备日趋复杂，网络所面临的威胁和攻击也越来越多。如何降低网络风险，及时甚至提前发现问题已经成为网络研究人员所面临的迫切问题。网络监测就是对网络进行实时监控，迅速发现网络中的异常情况，并发出报警通知，以提醒网管人员采取措施保持网络的正常运行。网络流量异常检测是网络监测的重要部分，通过检测网络流量异常可以检测网络攻击、故障和性能等问题，准确、及时的检测对提高网络可用性和可靠性、保证网络的服务质量具有重要的意义。网络流量异常检测主要涉及基础基线和阈值两个概念。基础基线是指网络流量的正常行为，阈值则是用来区分网络流量正常行为和异常行为的界限，如果网络流量实际值在阈值以外，则认为此时网络流量异常，发出告警。因此，基础基线的获取和阈值的设置十分重要。现有技术中，提供了一种网络设备的异常流量识别方法及相关装置，其中，一种网络设备的异常流量识别方法，可包括：计算网络设备在当前时段的流量值和第一参考时段的流量值的差值，所述第一参考时段的流量值为当前流量基线中记录的与所述当前时段具有映射关系的时段的所述网络设备的流量值；若所述差值符合第一条件，确定所述网络设备在所述当前时段的流量值异常；若所述差值符合第二条件，确定所述网络设备在所述当前时段的流量值正常。该技术方案中，首先计算网络设备在当前时段的流量值和第一参考时段的流量值的差值，通过差值与第一条件和第二条件的匹配，判定流量是否正常。若所述差值符合第一条件，确定所述网络设备在所述当前时段的流量值异常；若所述差值符合第二条件，确定所述网络设备在所述当前时段的流量值正常。该技术方案虽然一定程度上可以降低误判，但由于判定条件设置的局限性，在避免误判的时候容易造成漏判。现有技术中，还提供了一种DoS/DDoS攻击检测方法和装置。其中，一种DoS/DDoS攻击检测方法，包括：获取预设业务的设定时间段内的流量数据，其中，流量数据为设定时间段内业务的总体流量数据与时间的对应关系数据；获取根据业务的历史流量数据计算的业务在不同时间区间对应的总体流量阈值数据，其中，时间区间的历史流量数据越大，对应的业务总体流量阈值越大；确定获取的流量数据所对应的时间区间，根据确定的时间区间查找与其对应的总体流量阈值数据；将流量数据中包含的业务的总体流量数据与查找的总体流量阈值数据进行对比，当总体流量数据持续超过总体流量阈值数据的时间超过设定值时，对所述业务进行攻击检测。该技术方案中，首先，获取根据业务的历史流量数据计算的业务在不同时间区间对应的总体流量阈值数据，其次，确定获取的流量数据所对应的时间区间，根据确定的时间区间查找与其对应的总体流量阈值数据；再将流量数据中包含的业务的总体流量数据与查找的总体流量阈值数据进行对比，当总体流量数据持续超过总体流量阈值数据的时间超过设定值时，对所述业务进行攻击检测。该技术方案虽然能够检测出网络攻击，但由于阈值设定固定，在真实网络用户发送大量数据的情况下会造成误判。
技术实现思路
本专利技术实施例提供了一种检测网络流量的阈值的确定方法，以解决现有技术中由于阈值是固定设置而导致网络流量检测过程中会误判的技术问题。该方法包括：获取待监测网络的基础基线；实时获取所述待监测网络的节点总数和可用总网络带宽；针对每个时间点，根据所述基础基线中当前时间点对应的基础基线值、当前时间点的所述节点总数以及当前时间点的所述可用总网络带宽，实时确定当前时间点所述待监测网络的阈值上限和阈值下限。本专利技术实施例还提供了计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任意一种用于检测网络流量的阈值的确定方法。以解决现有技术中由于阈值是固定设置而导致网络流量检测过程中会误判的技术问题。本专利技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有上述任意一种用于检测网络流量的阈值的确定方法。以解决现有技术中由于阈值是固定设置而导致网络流量检测过程中会误判的技术问题。本专利技术实施例还提供了一种用于检测网络流量的阈值的确定装置，以解决现有技术中由于阈值是固定设置而导致网络流量检测过程中会误判的技术问题。该装置包括：基础基线获取模块，用于获取待监测网络的基础基线；网络信息获取模块，用于实时获取所述待监测网络的节点总数和可用总网络带宽；阈值确定模块，用于针对每个时间点，根据所述基础基线中当前时间点对应的基础基线值、当前时间点的所述节点总数以及当前时间点的所述可用总网络带宽，实时确定当前时间点所述待监测网络的阈值上限和阈值下限。在本专利技术实施例中，针对每个时间点，通过实时获取待监测网络的节点总数和可用总网络带宽，进而根据当前时间点对应的基础基线值、当前时间点的节点总数以及当前时间点的可用总网络带宽，实时确定当前时间点待监测网络的阈值上限和阈值下限。即每个时间点的阈值上限和阈值下限是基于待监测网络当前的节点数、可用总带宽等实际情况确定的，有利于确定出更准确的阈值上限和阈值下限；同时，每个时间点的阈值上限和阈值下限是实时、动态确定的，即每个时间点的阈值上限和阈值下限是动态更新的，与现有技术中的固定阈值相比，本申请有利于降低网络流量检测过程中的误判率。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，并不构成对本专利技术的限定。在附图中：图1是本专利技术实施例提供的一种用于检测网络流量的阈值的确定方法的流程图；图2是本专利技术实施例提供的一种阈值上限和阈值下限的示意图；图3是本专利技术实施例提供的一种具体的确定基础基线和阈值上、下限的流程图；图4是本专利技术实施例提供的一种计算机设备的结构框图；图5是本专利技术实施例提供的一种用于检测网络流量的阈值的确定装置的结构框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本专利技术做进一步详细说明。在此，本专利技术的示意性实施方式及其说明用于解释本专利技术，但并不作为对本专利技术的限定。阈值又称容忍线，是指一个效应能够产生的最大值或最小值，即在不产生告警的前提下，以基础基线为基准，能容忍流量值上下波动的上、下限。专利技术人发现，当前研究中阈值的设定多为手动固定设定或者以基础基线为基准，加K(0<K<1)倍作为阈值上限，减K(0<K<1)倍作为阈值下限。在真正或合法用户想要在网络中发送大量数据流并引起数据流计数的较大波动的情况下，这类方法极易将这些数据流视为检测到的网络流量异常，并且引发对这些数据流的告警。然而，类似的引发较大数据流计数的流条目可能来自一些合法用户或内部数据服务器，所以使用这类方法进行网络流量异常检测得到的异常比网络中真实存在的异常高很多。这类方法虽然能满足安全性要求较低的一些网络，但对于电力综合数据网而言，其误报、漏报率较高，需要一种更高精度的算法确定阈值上、下限，因此，本申请专利技术人提出了用于检测网络流量的阈值的确定方法，以提高确定阈值上、下限的准确性。在本专利技术实施例中，提供了一种用于检测网络流量的阈值的本文档来自技高网...

【技术保护点】
一种用于检测网络流量的阈值的确定方法，其特征在于，包括：获取待监测网络的基础基线；实时获取所述待监测网络的节点总数和可用总网络带宽；针对每个时间点，根据所述基础基线中当前时间点对应的基础基线值、当前时间点的所述节点总数以及当前时间点的所述可用总网络带宽，实时确定当前时间点所述待监测网络的阈值上限和阈值下限。

【技术特征摘要】
1.一种用于检测网络流量的阈值的确定方法，其特征在于，包括：获取待监测网络的基础基线；实时获取所述待监测网络的节点总数和可用总网络带宽；针对每个时间点，根据所述基础基线中当前时间点对应的基础基线值、当前时间点的所述节点总数以及当前时间点的所述可用总网络带宽，实时确定当前时间点所述待监测网络的阈值上限和阈值下限。2.如权利要求1所述的用于检测网络流量的阈值的确定方法，其特征在于，针对每个时间点，根据所述基础基线中当前时间点对应的基础基线值、当前时间点的所述节点总数以及当前时间点的所述可用总网络带宽，确定当前时间点所述待监测网络的阈值上限和阈值下限，包括：在当前时间点设置允许所述待监测网络进行数据传输的最小网络带宽；根据当前时间点的所述节点总数和当前时间点的所述可用总网络带宽，计算当前时间点的平均可用带宽；在所述节点总数中确定出当前时间点的活跃节点数，根据所述活跃节点数和所述可用总网络带宽，计算平均活跃带宽，其中，活跃节点为当前时间点有流量数据的节点；针对每个时间点，根据当前时间点对应的基础基线值、所述最小网络带宽、所述平均可用带宽以及所述平均活跃带宽，确定当前时间点所述待监测网络的阈值上限和阈值下限。3.如权利要求2所述的用于检测网络流量的阈值的确定方法，其特征在于，针对每个时间点，根据当前时间点对应的基础基线值、所述最小网络带宽、所述平均可用带宽以及所述平均活跃带宽，确定当前时间点所述待监测网络的阈值上限和阈值下限，包括：在所述基础基线值大于所述平均活跃带宽时，确定所述基础基线值为当前时间点所述待监测网络的阈值上限；在所述基础基线值小于所述平均活跃带宽，且大于所述平均可用带宽时，确定所述平均活跃带宽为当前时间点所述待监测网络的阈值上限；在所述基础基线值小于所述平均可用带宽时，确定所述平均可用带宽为当前时间点所述待监测网络的阈值上限；在所述基础基线值小于所述最小网络带宽时，确定所述平均可用带宽为当前时间点所述待监测网络的阈值上限；在所述基础基线值小于所述最小网络带宽时，确定所述基础基线值为当前时间点所述待监测网络的阈值下限；在所述基础基线值大于所述最小网络带宽时，确定所述最小网络带宽为当前时间点所述待监测网络的阈值下限。4.如权利要求1至3中任一项所述的用于检测网络流量的阈值的确定方法，其特征在于，还包括：根据影响所述待监测网络产生流量数据大小的因素，对时间进行分类；获取不同类型的时间内所述待监测网络产生的流量数据，其中，流量数据与时刻值一一对应；根据每种类型的时间内所述待监测网络产生的流量数据，计算每种类型的时间对应的基础基线，得到所述待监测网络的基础基线。5.如权利要求4所述的用于检测网...

【专利技术属性】
技术研发人员：邢宁哲，周宇，闫忠平，张宁池，刘识，纪雨彤，李文璟，马跃，彭柏，金燊，赵庆凯，万莹，那琼澜，吴舜，叶青，张阳洋，申昉，尚芳剑，张东辉，
申请(专利权)人：国网冀北电力有限公司信息通信分公司，国家电网公司，
类型：发明
国别省市：北京,11