【技术实现步骤摘要】
本专利技术涉及网络安全,特别是基于网络和内存状态数据进行异常告警的方法及系统。
技术介绍
1、在数据中心安全运维过程中,采购各类安全产品用于监控数据中心内外的各种网络流量是常见的做法。然而目前的流量分析通常集中于单元,缺乏与具体业务类型相关联的细粒度信息。这使得一些有用的数据未能被充分发现和利用,导致数据资源的浪费。
2、为更全面地发现潜在的风险,对数据中心的安全具有特别重要的意义。通过对数据进行挖掘,可以识别出数据中心内部存在的潜在风险,进而有针对性地解决安全问题。具体而言,监测各个主机内存的变化以及分析防火墙流量的相关性,能够有效多样化的解决安全问题。这一方法不仅有助于提高数据中心的整体安全水平,还能够最大程度地利用数据资源,确保安全运维的高效性和准确性。
技术实现思路
1、鉴于现有的流量分析仅限于单个产品,缺乏跨源的数据关联分析存在的问题,提出了本专利技术。
2、因此,本专利技术所要解决的问题在于如何实现监控数据的关联模式并发现数据中心的潜在风险。
3、为解决上述技术问题,本专利技术提供如下技术方案:
4、第一方面,本专利技术实施例提供了基于网络和内存状态数据进行异常告警的方法,其包括,获取网络设备在一个时间窗口内的流量序列和内存占用序列;将设备的内存实时占用率与阈值进行比较,若设备的内存实时占用率大于阈值,则基于历史流量序列和历史资源占用序列确定内存使用率关联度,否则判断内存状态数据处于正常状态,无需要进行异常处理;基于拟合的
5、作为本专利技术所述基于网络和内存状态数据进行异常告警的方法的一种优选方案,其中:所述将设备的内存实时占用率与阈值进行比较;若设备的内存实时占用率小于阈值,则判断内存状态数据处于正常状态,无需要进行异常处理;若设备的内存实时占用率等于阈值,则开始初始化告警程序并设置一个等待的时长;若设备的内存实时占用率大于阈值,则基于历史流量序列和历史资源占用序列确定内存使用率关联度。
6、作为本专利技术所述基于网络和内存状态数据进行异常告警的方法的一种优选方案,其中:所述基于历史流量序列和历史资源占用序列确定内存使用率关联度包括以下步骤:基于历史流量序列和设备的内存占用序列分别确定历史流量的特征序列和设备的内存使用的特征序列;将历史流量的特征序列和内存的特征序列基于时间戳对齐,并得到按照时间戳区分的历史状态信息;将按照时间戳区分的历史状态信息使用算法进行聚类分析,得到若干个簇;通过二次拟合确定流量序列和内存占用序列的关联模型;将流量序列作为关联模型的输入,获取预期内存占用序列;当预期内存占用率超过阈值时,进行预警;或者,将内存占用序列作为关联模型的输入,获取预期流量序列;在预期流量序列超过阈值时,进行预警。
7、作为本专利技术所述基于网络和内存状态数据进行异常告警的方法的一种优选方案,其中:所述二次拟合包括对线程数目二次拟合和内存资源占用二次拟合;所述对线程数目二次拟合的输入参数包括流量序列对应的协议的数目,输出为实际的句柄数目;所述内存资源占用二次拟合的输入参数包括流量序列对应的长度,拟合的输出为内存的负载值。
8、作为本专利技术所述基于网络和内存状态数据进行异常告警的方法的一种优选方案,其中:所述对内存资源占用二次拟合的输入参数包括流量序列对应的帧数,输出为实际的内存占用值;计算聚类获取的各簇的内存占用值,使用最内存占用值均值的簇进行拟合;通过拟合正常的状态之间的关联,以正常状态下的关联度确定是否存在异常,并使用最新的历史状态信息对应的簇进行拟合。
9、作为本专利技术所述基于网络和内存状态数据进行异常告警的方法的一种优选方案,其中:所述k-means算法包括以下步骤:随机选择k个点作为初始聚类中心;将对每个数据点计算到k个聚类中心的欧式距离,将其分配到距离最近的聚类;对每个聚类,重新计算聚类中心,即聚类内所有点的平均坐标;重复对数据点的聚类操作,直到聚类中心不再改变;最终获得k个聚类以及对应的聚类中心。
10、作为本专利技术所述基于网络和内存状态数据进行异常告警的方法的一种优选方案,其中:欧式距离的具体公式如下:
11、d(x,y)=sqrt((x1-y1)2+(x2-y2)2+…+(xn-yn)2)
12、其中,d(x,y)为x和y两个数据点的距离,x和y为两个数据点,n为数据维度。
13、第二方面,本专利技术实施例提供了基于网络和内存状态数据进行异常告警的系统,其包括:数据采集模块,用于从网络设备中获取流量和内存占用的实时数据;数据存储模块,用于将采集到的数据保存于数据库中;数据预处理模块,用于对存储的数据进行预处理和准备;内存使用率关联度计算模块,用于利用历史流量序列和历史资源占用序列,通过相关性分析方法计算内存使用率和流量之间的相关度,以确定内存使用率与流量之间的关联程度;异常检测模块,用于拟合算法来建立流量序列和内存占用序列之间的关联模型。
14、第三方面,本专利技术实施例提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其中:所述计算机程序指令被处理器执行时实现如本专利技术第一方面所述的基于网络和内存状态数据进行异常告警的方法的步骤。
15、第四方面,本专利技术实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其中:所述计算机程序指令被处理器执行时实现如本专利技术第一方面所述的基于网络和内存状态数据进行异常告警的方法的步骤。
16、本专利技术有益效果为:本专利技术基于网络和内存状态数据进行异常告警方法通过利用网络中心流量监测特定服务器或服务器集群,同时追踪内存使用情况,并且当异常流量导致内存占用超过设定阈值时,系统进行分析并对流量组成和历史构成的关联性进行追踪,以选取相似工作情境进行比较,通过该方法获取与内容突变相关的信息,将基于相关的进程或流量源进行进一步分析,最终确认是否发生异常并实现异常预警。
本文档来自技高网...【技术保护点】
1.基于网络和内存状态数据进行异常告警的方法,其特征在于:包括,
2.如权利要求1所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述将设备的内存实时占用率与阈值进行比较;
3.如权利要求1所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述基于历史流量序列和历史资源占用序列确定内存使用率关联度包括以下步骤:
4.如权利要求3所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述二次拟合包括对线程数目二次拟合和内存资源占用二次拟合,
5.如权利要求4所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述内存资源占用二次拟合的输入参数包括流量序列对应的帧数,输出为实际的内存占用值;计算聚类获取的各簇的内存占用值,使用最内存占用值均值的簇进行拟合;通过拟合正常的状态之间的关联,以正常状态下的关联度确定是否存在异常,并使用最新的历史状态信息对应的簇进行拟合。
6.如权利要求2所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述K-Means算法包括以下步骤:
8.基于网络和内存状态数据进行异常告警的系统,基于权利要求1~7任一所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:包括,
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于:所述处理器执行所述计算机程序时实现权利要求1~7任一所述的基于网络和内存状态数据进行异常告警的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1~7任一所述的基于网络和内存状态数据进行异常告警的方法的步骤。
...【技术特征摘要】
1.基于网络和内存状态数据进行异常告警的方法,其特征在于:包括,
2.如权利要求1所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述将设备的内存实时占用率与阈值进行比较;
3.如权利要求1所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述基于历史流量序列和历史资源占用序列确定内存使用率关联度包括以下步骤:
4.如权利要求3所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述二次拟合包括对线程数目二次拟合和内存资源占用二次拟合,
5.如权利要求4所述的基于网络和内存状态数据进行异常告警的方法,其特征在于:所述内存资源占用二次拟合的输入参数包括流量序列对应的帧数,输出为实际的内存占用值;计算聚类获取的各簇的内存占用值,使用最内存占用值均值的簇进行拟合;通过拟合正常的状态之间的关联,以正常状态下的关联度确定是否存在异常,并...
【专利技术属性】
技术研发人员:仇伟杰,饶青,石启宏,颜宗辉,李青峰,沈光友,郭翔,余云昊,牟景艳,胡猛,晏印洋,杨强,
申请(专利权)人:贵州电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。