CN110830464B - 一种网络流量异常检测*** - Google Patents

一种网络流量异常检测*** Download PDF

Info

Publication number
CN110830464B
CN110830464B CN201911050601.2A CN201911050601A CN110830464B CN 110830464 B CN110830464 B CN 110830464B CN 201911050601 A CN201911050601 A CN 201911050601A CN 110830464 B CN110830464 B CN 110830464B
Authority
CN
China
Prior art keywords
network
speed
network access
time
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911050601.2A
Other languages
English (en)
Other versions
CN110830464A (zh
Inventor
黄永权
李锦基
李明东
刘家鑫
曾洋林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gold Sea Comm Corp
Original Assignee
Gold Sea Comm Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gold Sea Comm Corp filed Critical Gold Sea Comm Corp
Priority to CN201911050601.2A priority Critical patent/CN110830464B/zh
Publication of CN110830464A publication Critical patent/CN110830464A/zh
Application granted granted Critical
Publication of CN110830464B publication Critical patent/CN110830464B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

本发明公开了一种网络流量异常检测***,涉及网络检测技术领域。本发明包括入网设备组、网速监控单元、数据核验单元、处理器、盗用分析单元、显示单元、警报单元、输入单元。本发明通过网速监控单元对所有入网设备的实时网络访问速度进行监控,数据核验单元通过对各入网设备的实时网络访问速度Vij进行分析,判断网络是否存在异常低速现象、盗用分析单元判断网络是否存在网速激增、异常高速访问现象,并通过警报单元及时预警,及时发现流量异常,避免严重故障发生或缩短故障发生时间,确保网络使用的安全。

Description

一种网络流量异常检测***
技术领域
本发明属于网络检测技术领域,特别是涉及一种网络流量异常检测***。
背景技术
随着用户对网络服务质量的要求不断提高,导致网络中存在大量类型各异的数据,为了完成这些数据的传输任务,网络设备不得不耗费更多的资源进行计算与处理,这对网络整体性能的稳定造成了一定的影响。
异常流量有许多可能的来源,包括新的应用***与业务上线、计算机病毒、黑客入侵、网络蠕虫、拒绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等。尽管网络流量会出现异常,但大部分时间里流量变化是有规律的,如果网络流量出现异常,那么对整个网络具有较大的危害性,所以必须及时发现流量异常,以将损失降到最少。
现提供一种网络流量异常检测***,实现实时动态检测网络使用情况,分类预警,及时发现流量异常,避免严重故障发生或缩短故障发生时间。
发明内容
本发明的目的在于提供一种网络流量异常检测***,通过网速监控单元对所有入网设备的实时网络访问速度进行监控,数据核验单元判断网络是否存在异常低速现象、盗用分析单元判断网络是否存在网速激增、异常高速访问现象,并通过警报单元及时预警,及时发现流量异常,避免严重故障发生或缩短故障发生时间,确保网络使用的安全。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明为一种网络流量异常检测***,包括入网设备组、网速监控单元、数据核验单元、处理器、盗用分析单元、显示单元、警报单元、输入单元;所述入网设备组包括若干入网设备,所述入网设备为检测区域内需要使用网络的设备,入网设备分别标记为Si;所述网速监控单元对所有入网设备的实时网络访问速度进行监控,并从初始时起每间隔预设T时间获取一次各入网设备的实时访问速度,将其分别标记为Vij;其中,Vij表示设备i的第j个时段的实时网络访问速度;Vim表示设备i最新的实时网络访问速度,i=1、2、3...n,j=1、2、3...m,n、m为整数;所述网速监控单元将各入网设备的实时网络访问速度Vij分别传输至数据核验单元、盗用分析单元;所述数据核验单元通过校验规则计算获取各入网设备对应的实变差值Ci,并将所有小于X1的实变差值Ci传输至处理器,其中,X1<0;所述处理器将接收到的实变差值Ci的个数标记为G,当
Figure DEST_PATH_IMAGE002
≥X2时,产生网络低速信号,此时表示网络访问速度因为遭到异常,整体访问速度受到限制;
所述盗用分析单元从网速监控单元获取各入网设备的实时网络访问速度Vij,通过校验规则计算获取各入网设备对应的实变差值Ci;当Ci>X3时,则盗用分析单元产生网速激增信号,并将网速激增信号传输至控制器;此时,所述盗用分析单元继续从网速监控单元获取各入网设备的实时访问速度,对各入网设备的实时访问速度进行分析并判断是否存在异常高速访问,存在异常高速访问时,所述盗用分析单元产生异常高速访问信号,并将异常高速访问信号传输至处理器;所述处理器通过警报单元进行预警。
进一步地,所述校验规则为:
SS01:获取各入网设备对应的网络访问速度
Figure DEST_PATH_IMAGE004
Figure DEST_PATH_IMAGE006
SS02:根据公式
Figure DEST_PATH_IMAGE008
,分别计算各入网设备对应的实变差值Ci。
进一步地,所述处理器接收到网络低速信号、网速激增信号、异常高速访问信号时,驱动警报单元发出声光预警,并通过显示单元分别对应显示“网络低速”、“网速激增”“异常高速访问”字样。
进一步地,所述输入单元与处理器通讯连接,所述输入单元用于预设时间T、X1、X2、X3的设定输入。
进一步地,所述盗用分析单元对各入网设备的实时访问速度进行分析并判断是否存在异常高速访问的方法为:
S001:从网速监控单元获取各入网设备对应的
Figure DEST_PATH_IMAGE010
Figure DEST_PATH_IMAGE012
Figure DEST_PATH_IMAGE014
Figure DEST_PATH_IMAGE016
Figure DEST_PATH_IMAGE018
S002:分别计算
Figure 145452DEST_PATH_IMAGE010
Figure 350169DEST_PATH_IMAGE012
Figure 741879DEST_PATH_IMAGE014
Figure 348441DEST_PATH_IMAGE016
Figure 528755DEST_PATH_IMAGE018
与Vim之间的差值;
S003:步骤S002中获得的所有差值均大于X3时,则存在异常高速访问。
本发明具有以下有益效果:
本发明通过网速监控单元对所有入网设备的实时网络访问速度进行监控,数据核验单元通过对各入网设备的实时网络访问速度Vij进行分析,判断网络是否存在异常低速现象、盗用分析单元判断网络是否存在网速激增、异常高速访问现象,并通过警报单元及时预警,及时发现流量异常,避免严重故障发生或缩短故障发生时间,确保网络使用的安全。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种网络流量异常检测***的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种网络流量异常检测***,包括入网设备组、网速监控单元、数据核验单元、处理器、盗用分析单元、显示单元、警报单元、输入单元;入网设备组包括若干入网设备,入网设备为检测区域内需要使用网络的设备,入网设备分别标记为Si;网速监控单元对所有入网设备的实时网络访问速度进行监控,并从初始时起每间隔预设T时间获取一次各入网设备的实时访问速度,将其分别标记为Vij;其中,Vij表示设备i的第j个时段的实时网络访问速度;Vim表示设备i最新的实时网络访问速度,i=1、2、3...n,j=1、2、3...m,n、m为整数;网速监控单元将各入网设备的实时网络访问速度Vij分别传输至数据核验单元、盗用分析单元;数据核验单元通过校验规则计算获取各入网设备对应的实变差值Ci,并将所有小于X1的实变差值Ci传输至处理器,其中,X1<0;处理器将接收到的实变差值Ci的个数标记为G,即有G个疑似网络速度降低现象,当
Figure 220768DEST_PATH_IMAGE002
≥X2时,产生网络低速信号,此时表示网络访问速度因为遭到异常,整体访问速度受到限制;
盗用分析单元从网速监控单元获取各入网设备的实时网络访问速度Vij,通过校验规则计算获取各入网设备对应的实变差值Ci;当Ci>X3时,则盗用分析单元产生网速激增信号,并将网速激增信号传输至控制器;此时,盗用分析单元继续从网速监控单元获取各入网设备的实时访问速度,对各入网设备的实时访问速度进行分析并判断是否存在异常高速访问,存在异常高速访问时,盗用分析单元产生异常高速访问信号,并将异常高速访问信号传输至处理器,可能有后台程序在未知的情况下访问网络;处理器通过警报单元进行预警。
其中,校验规则为:
SS01:获取各入网设备对应的网络访问速度
Figure 144730DEST_PATH_IMAGE004
Figure 668116DEST_PATH_IMAGE006
SS02:根据公式
Figure 35643DEST_PATH_IMAGE008
,分别计算各入网设备对应的实变差值Ci。
其中,处理器接收到网络低速信号、网速激增信号、异常高速访问信号时,驱动警报单元发出声光预警,并通过显示单元分别对应显示“网络低速”、“网速激增”“异常高速访问”字样。
其中,输入单元与处理器通讯连接,输入单元用于预设时间T、X1、X2、X3的设定输入。
其中,盗用分析单元对各入网设备的实时访问速度进行分析并判断是否存在异常高速访问的方法为:
S001:从网速监控单元获取各入网设备对应的
Figure 588853DEST_PATH_IMAGE010
Figure 801660DEST_PATH_IMAGE012
Figure 632081DEST_PATH_IMAGE014
Figure 904931DEST_PATH_IMAGE016
Figure 758486DEST_PATH_IMAGE018
S002:分别计算
Figure 24251DEST_PATH_IMAGE010
Figure 459912DEST_PATH_IMAGE012
Figure 231559DEST_PATH_IMAGE014
Figure 386726DEST_PATH_IMAGE016
Figure 206914DEST_PATH_IMAGE018
与Vim之间的差值;
S003:步骤S002中获得的所有差值均大于X3时,则存在异常高速访问。
一种网络流量异常检测***,通过网速监控单元对所有入网设备的实时网络访问速度进行监控,数据核验单元通过对各入网设备的实时网络访问速度Vij进行分析,判断网络是否存在异常低速现象、盗用分析单元判断网络是否存在网速激增、异常高速访问现象,并通过警报单元及时预警,及时发现流量异常,避免严重故障发生或缩短故障发生时间,确保网络使用的安全。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (1)

1.一种网络流量异常检测***,其特征在于,包括入网设备组、网速监控单元、数据核验单元、处理器、盗用分析单元、显示单元、警报单元、输入单元;
所述入网设备组包括若干入网设备,所述入网设备为检测区域内需要使用网络的设备,入网设备分别标记为Si
所述网速监控单元对所有入网设备的实时网络访问速度进行监控,并从初始时起每间隔预设T时间获取一次各入网设备的实时访问速度,将其分别标记为Vij
其中,i=1、2、3...n,j=1、2、3...m,n、m为整数,Vij 表示设备i的第j个时段的实时网络访问速度;Vim 表示设备i最新的实时网络访问速度;
所述网速监控单元将各入网设备的实时网络访问速度Vij 分别传输至数据核验单元、盗用分析单元;
所述数据核验单元通过校验规则计算获取各入网设备对应的实变差值Ci ,并将所有小于X1的实变差值Ci 传输至处理器,其中,X1<0;
所述处理器将接收到的实变差值Ci 的个数标记为G,当
Figure RE-FDA0002911223810000011
时,产生网络低速信号;
所述盗用分析单元从网速监控单元获取各入网设备的实时网络访问速度Vij ,通过校验规则计算获取各入网设备对应的实变差值Ci
当Ci >X3时,则盗用分析单元产生网速激增信号,并将网速激增信号传输至控制器;此时,所述盗用分析单元继续从网速监控单元获取各入网设备的实时访问速度,对各入网设备的实时访问速度进行分析并判断是否存在异常高速访问,存在异常高速访问时,所述盗用分析单元产生异常高速访问信号,并将异常高速访问信号传输至处理器;
所述处理器通过警报单元进行预警;
所述校验规则为:
SS01:获取各入网设备对应的网络访问速度Vim、Vi(m-1)
SS02:根据公式Ci=Vim-Vi(m-1),分别计算各入网设备对应的实变差值Ci
所述处理器接收到网络低速信号、网速激增信号、异常高速访问信号时,驱动警报单元发出声光预警,并通过显示单元分别对应显示“网络低速”、“网速激增”“异常高速访问”字样;
所述输入单元与处理器通讯连接,所述输入单元用于预设时间T、X1、X2、X3的设定输入;
所述盗用分析单元对各入网设备的实时访问速度进行分析并判断是否存在异常高速访问的方法为:
S001:从网速监控单元获取各入网设备对应的Vi(m+1)、Vi(m+2)、Vi(m+3)、Vi(m+4)、Vi(m+5)
S002:分别计算Vi(m+1)、Vi(m+2)、Vi(m+3)、Vi(m+4)、Vi(m+5)与Vim之间的差值;
S003:步骤S002中获得的所有差值均大于X3时,则存在异常高速访问。
CN201911050601.2A 2019-10-31 2019-10-31 一种网络流量异常检测*** Active CN110830464B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911050601.2A CN110830464B (zh) 2019-10-31 2019-10-31 一种网络流量异常检测***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911050601.2A CN110830464B (zh) 2019-10-31 2019-10-31 一种网络流量异常检测***

Publications (2)

Publication Number Publication Date
CN110830464A CN110830464A (zh) 2020-02-21
CN110830464B true CN110830464B (zh) 2021-06-29

Family

ID=69551777

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911050601.2A Active CN110830464B (zh) 2019-10-31 2019-10-31 一种网络流量异常检测***

Country Status (1)

Country Link
CN (1) CN110830464B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763387A (zh) * 2016-05-16 2016-07-13 北京百度网讯科技有限公司 网络流量监控方法和装置
CN109495893A (zh) * 2018-12-13 2019-03-19 叶东海 一种移动通信数据流量异常监测***
CN110086649A (zh) * 2019-03-19 2019-08-02 深圳壹账通智能科技有限公司 异常流量的检测方法、装置、计算机设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108777679B (zh) * 2018-05-22 2021-09-17 深信服科技股份有限公司 终端的流量访问关系生成方法、装置和可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105763387A (zh) * 2016-05-16 2016-07-13 北京百度网讯科技有限公司 网络流量监控方法和装置
CN109495893A (zh) * 2018-12-13 2019-03-19 叶东海 一种移动通信数据流量异常监测***
CN110086649A (zh) * 2019-03-19 2019-08-02 深圳壹账通智能科技有限公司 异常流量的检测方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN110830464A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
CN112162878B (zh) 数据库故障发现方法、装置、电子设备及存储介质
WO2023216641A1 (zh) 一种电力终端安全防护方法及***
JP3968724B2 (ja) ネットワーク保安システム及びその動作方法
US10257216B2 (en) Method and system for obtaining and analyzing forensic data in a distributed computer infrastructure
CN111309565B (zh) 告警处理方法、装置、电子设备以及计算机可读存储介质
JP4089719B2 (ja) 異常検出システム,異常管理装置,異常管理方法,プローブおよびそのプログラム
Muhammad et al. Integrated security information and event management (siem) with intrusion detection system (ids) for live analysis based on machine learning
GB2532630A (en) Network intrusion alarm method and system for nuclear power station
CN112671767B (zh) 一种基于告警数据分析的安全事件预警方法及装置
CN104901833B (zh) 一种发现异常设备的方法及装置
CN116127456A (zh) 一种基于网络安全态势感知的病毒入侵检测***及方法
CN114338372A (zh) 网络信息安全监控方法及***
US9674065B2 (en) Method, apparatus and system for detecting network element load imbalance
CN110830464B (zh) 一种网络流量异常检测***
CN111030815A (zh) 一种商用密码应用加密有效性的在线检测方法及装置
CN114363212A (zh) 一种设备检测方法、装置、设备和存储介质
CN112650180A (zh) 安全告警方法、装置、终端设备及存储介质
CN114338221B (zh) 一种基于大数据分析的网络检测***
US10972505B2 (en) Distributed behavioral monitoring
CN114301796B (zh) 预测态势感知的验证方法、装置及***
CN110910027B (zh) 基于安全因子的网络安全态势评估方法
TW201928747A (zh) 伺服器及其監控方法
CN110572379A (zh) 面向网络安全的可视化大数据态势感知分析***关键技术
JP2019175070A (ja) アラート通知装置およびアラート通知方法
KR20100071420A (ko) 단일 세션 내 단일 패킷 집성 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant