CN1767452A - 用于检测网络中的网络异常的方法和*** - Google Patents

Abstract

用于检测网络中的网络异常的方法和***。用于检测网络中的网络异常的方法包括按照一时间间隔从网络中采集管理信息库信息；以及构建所采集数据的时间序列。该方法还包括：在小波域中对所采集数据的时间序列进行分解；根据在小波域中进行了分解的时间序列构造能量图；以及对该能量图进行分析，以确定网络异常事件的征兆。

Description

用于检测网络中的网络异常的方法和***

技术领域

本发明总体上涉及通信网络，更具体地，涉及一种用于检测网络中的网络异常的方法和***。

背景技术

网络运营商每天都要面对复杂的网络异常，尤其是配置不当，这些网络异常会严重地降低他们所运营的网络基础设施的性能并使收入减少。解决这种异常需要开发能够迅速隔离这些问题的有效检测技术。大规模网络中出现的配置不当的范围很广，并且随着新协议和应用的开发而不断地演变。通常，设计特定的检测算法来识别明确的配置不当。

发明内容

本发明提供了一种用于检测网络中的网络异常的方法和***，其基本上消除或减少了与在先方法和***相关的缺点和问题中的至少某些。

根据一具体实施例，用于检测网络中的网络异常的方法包括：按一时间间隔从网络中采集管理信息库(MIB)数据；以及构建所采集数据的时间序列。该方法还包括：对所采集数据的时间序列进行分解；根据经分解的时间序列构造能量图；以及对该能量图进行分析，以确定网络异常事件的征兆。

对所采集数据的时间序列进行分解可以包括：在小波域中对所采集数据的时间序列进行分解，而构造能量图可以包括：根据在小波域中进行了分解的时间序列来构造能量图。对能量图进行分析以确定网络异常事件的征兆可以包括：对该能量图进行分析，以确定相对于线性行为的偏离。相对于线性行为的偏离可以包括：能量值相对于该线性行为的异常减小。该方法可以包括：重复采集MIB数据、构建时间序列、在小波域中分解该时间序列、构造能量图，以及分析该能量图选定次数，并且如果检测到网络异常事件的征兆该选定次数的选定阈值，则生成表示网络异常事件的警告。网络异常事件可以包括IP地址空间的重复、分组过滤配置不当、永久路由环路以及分布式服务拒绝攻击中的至少一种。从网络中采集MIB数据可以包括采集分组计数统计。

根据另一实施例，用于检测网络中的网络异常的***包括网络设备，该网络设备包括：存储器，该存储器可用来按照一时间间隔从网络中采集管理信息库(MIB)数据；以及与该存储器相连的控制器。该控制器可用来：构造所采集数据的时间序列、在小波域中对所采集数据的时间序列进行分解、根据在小波域中进行了分解的时间序列来构造能量图，以及对该能量图进行分析以确定网络异常事件的征兆。

具体实施例的技术优势包括能够检测网络中的多种网络异常和配置不当的方法，这些网络异常和配置不当包括环路、IP重复地址、距离矢量(DV)路由状态恶化(corruption)、超过最大传输单元(MTU)、黑洞以及配置不当的分组过滤。因此，具体实施例可以检测网络异常空间的重要部分，包括未来的配置不当，同时由于可以在检测处理中使用MIB数据，所以只进行了有限的网络重新配置。因此，由于可以减少对用于各种类型的网络异常的检测组件的需求，所以减少与实现网络异常检测功能性相关联的时间和花费。此外，具体实施例分析TCP行为和重传超时(RTO)事件，TCP行为和重传超时(RTO)事件是网络设备的制造始终要遵守的。这保证了实现网络异常检测的具体实施例可应用于来自不同制造商的多种产品。

通过以下附图、说明书和权利要求，本领域的技术人员将很容易了解本发明的其他技术优势。此外，尽管以上列举了特定优点，但是不同的实施例可以包括所有、某些或者不包括所列举的优点。

附图说明

为了更完全地理解本发明及其优点，下面结合附图来进行以下说明，附图中：

图1表示根据具体实施例的用于检测网络中的网络异常的通信***；

图2是表示图1的分析设备的示例性功能组件的方框图；以及

图3是表示根据具体实施例的用于检测网络中的网络异常的方法的流程图。

图4示出了能量函数的图及其在相邻集合级别{u+1，u+2，u+3}中的形状(局部最小值)，该图还对早期基于RTO的信号能量函数(实线)与通过公式(4)预测的线性行为(虚线)进行了对比。

具体实施方式

图1示出了根据一具体实施例的通信***10。通信***10包括分析设备12、网络区段14、路由器16和服务器18，并且可以包括任意合适的通信网络。通信***10例如可以包括主Tier-I供应商或国家网际服务供应商的网络，或者公共或专用局域网(LAN)和广域网(WAN)。通常，分析设备12提供网络流量的分析，以诊断***10中可能降低网络性能的诸如配置不当的网络异常。更具体地，分析设备12可以使得能够在通信***10中的所链接的设备之间检测配置不当和网络异常。根据具体实施例，分析设备12采集流量数据并且可以通过分析所采集的流量数据的特性来检测网络异常。分析设备12可以检测任意类型的网络中的网络异常系列。这些网络异常例如可以包括诸如环路、IP重复地址、距离矢量(DV)路由状态恶化、超过最大传输单元(MTU)、黑洞以及配置不当的分组过滤的配置不当。

分析设备12代表包括适当控制逻辑的任意适合的网络设备，其能够与其他单元相连并使用基于分组的标准进行通信。例如，分析设备12可以包括通用计算机、路由器、特殊设计的组件或其他合适的网络设备。分析设备12提供对于网络流量数据的分析，以检测网络异常。

与分析设备12类似，各个服务器18表示包括任意适当控制逻辑的网络设备，用于与其他网络设备相连以及使用基于分组的通信协议进行通信，以提供各种服务。服务器18例如可以为***10内的其他单元提供可网络访问的服务。这些服务可以包括任意数量的特征，例如网页寄存(web hosting)、数据管理、处理或其他合适的服务。在特定环境下，一个或更多个服务器18可以支持与分析设备12所提供的诊断功能类似的，或者用于与分析设备12所执行的诊断进行协作的诊断功能。

在所示实施例中，分析设备12和服务器18通过包括网络区段14和路由器16在内的通信设备进行互连。各个网络区段14表示支持基于分组的传输控制协议(TCP)通信的组件和传输介质的任意适当的组合和设置。“分组”一词的使用应当理解为考虑了数据的任意适当分割，例如分组、帧或者信元。特定网络区段14可以包括任意数量的互连交换机、集线器或转发器。路由器16使得网络流量能够在网络区段14之间流动。

分析设备12采集并分析网络流量，以诊断网络异常系列，它们共享包括普通性能量度(metrics)在内的公共特性。可以通过在TCP连接开始时检测分组丢失来识别这些网络异常。当由一节点在TCP连接开始时所发出的第一个分组丢失时，该节点将等待来自目的地节点的应答。如果没有接收到应到(表示分组丢失)，则再次重发该分组。因此，当出现分组丢失时，产生重传超时(RTO)。如果例如在初始发送之后3秒内没有获得应答，则再次发出完全相同的分组。假定网络中存在异常，则重传的分组会再次丢失。如果在6秒之后没有获得应答，在进行第二次重传。如果在12秒之后没有获得应答，则发生第三次重传，等等。具体实施例识别利用缺省RTO值的早期RTO事件(ERE)。对这些缺省RTO值进行标准化并且始终在TCP/IP协议中实现。因此，TCP连接的断开状态下导致的重传事件生成了具有明确特性并遵循确定模式的网络流量，该确定模式可以对模块实现和端到端路径特性不敏感。

具体实施方式例如通过分析设备12来实现检测算法(以下进一步说明)，该检测算法能够隔离嵌入在总流量中的配置不当的部分。某些实施例使用了时间序列管理信息库(MIB)数据(例如，分组计数统计)的小波分析，以根据不同的分辨率级别对输入信号的能量进行分解。其他实施例可以使用其他的谱分析方法，例如加窗傅立叶变换。许多情况下，ERE会导致存在精确分辨率级别的下降。具体实施例使用程序来分析和识别这些能级下降，以推断异常的存在。

在操作中，分析设备12从诸如路由器16的网络设备周期性地采集流量数据。在具体实施例中，可以每一秒从一个或更多个网络设备采集流量数据。例如，对于特定路由器，可以周期性地采集表示通过该路由器的接口到达的分组数量的数据。根据所采集的该路由器的流量数据来构造时间序列，该时间序列表示随时间而通过该路由器的接口的分组数量。该时间序列的分组可以包括来自健康流量的分组和来自配置不当或者不健康流量的分组。当构造了该时间序列时，对其进行分析，以确定其是否包含异常。在具体实施例中，可以通过该时间序列流量数据的小波谱分析来执行这种分析。

许多类型的网络异常都可以导致所采集数据的谱能量图偏离健康流量的线性行为。这些类型的事件使得能量图表现为在特定能级下降。这种下降可以由此成为重发事件的特征，并且由此成为表示网络中的异常的分组丢失的征兆。

可以通过在TCP连接开始时的分组丢失进行检测的特定类型的异常和配置不当包括IP地址空间的重复、分组过滤配置不当、永久路由环路以及TCP-SYN flood分布式服务拒绝(D-DoS)攻击。这些目标异常中的每一个都共享使得能够进行该检测的公共特性。在中到大规模的网络中经常出现IP地址空间的重复。在向预先存在的网络N₁添加新的子网络S-N₂时，或者当为了进行维护而改变分配给S-N₂的地址空间时，会引入配置不当。由于疏忽，S-N₂的地址空间与N₁中的不同子网络S-N₁重叠。这种配置不当是由以下原因而导致的：(a)管理相同网络基础设施的独立部分的不同分区之间缺乏协调，或者(b)缺乏与特定网络部分的最近修改相关的最新信息(例如，不完善的网络图、旧的配置信息等)。这种配置不当干扰了网络的内部路由状态。在使用DV协议的情况下，靠近配置不当点S-N₂的N₁中的节点将改变它们的路由状态。DV信息交换表示存在到特定前缀，即S-N₁的地址空间的较短路径。当N₁的路由状态收敛(converged)时，使得M(S-N₂)成为N1中的路由器组，其状态响应于这种配置不当而改变。寻址到抵达M(S-N₂)中的节点的分组将被朝向S-N₂进行路由，通常在S-N₂处将它们丢弃。相反，寻址到不抵达M(S-N₂)中的节点的分组将被正确地转发到S-N₁。根据网络N1内部的具***置，可以容易地发现问题，或者该问题对于典型的监测活动是完全透明的。与导致完全断线(outage)的配置不当相比，这增加了故障检修的复杂性。受到该配置不当的影响的TCP流不能完成开辟新连接所需的三方握手。其他配置不当的情况也可能涉及IP地址空间的重复。

分组过滤配置不当是另一种目标异常。分组过滤是大多数网络中的公共方法(practice)，并且目的在于提高安全性和完整性。通常，分组过滤配置不当可以：(a)在该滤波器过分严格的情况下，导致不希望的分组丢弃，或者(b)在该滤波器配置太宽容的情况下，导致遗漏不需要的分组。过分严格的过滤配置不当通常可以归因于以下因素：(a)大多数支持的过滤规范格式在其语义上非常严格，其需要管理员书写繁琐的规则；(b)过滤规则通常是基于分组的，然而针对商业的过滤需求是面向流的；以及(c)过滤工具强加固有的规则处理顺序，这在配置发生改变时经常被忽视。存在多种丢弃所有来自/到特定地址空间的分组的过滤配置不当。这种状况以与其他类型的目标配置不当相似的方式影响TCP连接的建立。在这些状况下，TCP握手无法完成，并且会出现基于RTO的重传或ERE。

永久路由环路是导致严重问题的另外一种目标异常，因为其导致带宽使用以及分组丢失增加。通常，将第三层环路分类为暂时的或永久的。暂时环路通常发生在路由的传播发生改变的过程中，并且在达到收敛消失。某些永久路由环路是由影响特定前缀的路由的错误静态配置而引起的。其他永久路由环路是由DV路由状态的恶化而导致的。一种特定的异常表现为似乎合理的配置选择的与分组过滤的配置不当组合的交互作用。事件的共存使得路由信息从网络N₁泄漏至相邻网络N₂。N₂的路由状态以下述方式改变：通常由N₂通过与来自N₁的分组最初进入N₂的互连点不同的互连点，将源自N₁的分组路由回N₁。这种配置不当可能不会经常发生，但是它对于网络性能非常有害。在与环路相关的配置不当中，受到该问题环路影响的分组最终被丢弃，因为它们的TTL值超时了。由主机发起的受到该问题影响的TCP连接将不能完成处理事务，并且产生ERE重传。

另一种类型的目标异常是D-Dos攻击。D-Dos攻击的目的是损坏特定目标，以使得合法用户不能使用由该目标提供的服务。攻击者可以采用不同的机制。TCP-SYN flood攻击是很普通的方法，并且导致多种网络异常，这些网络异常表现出与上述其他类型的配置不当的重要相似之处。攻击者通常使用一组中间(compromised)主机，从这些中间主机向目标产生伪TCP-SYN分组。该目标生成以初始TCP-SYN的伪地址为目的地的TCP-SYN-ACK分组。来自该目标的TCP-SYN-ACK因此丢失，并且半开TCP连接使入请求队列饱和。另外，当合法客户试图开辟与该目标的新连接时，丢弃后续进入的TCP-SYN分组。结果，服务被拒绝。在目标侧发生(响应于伪分组而丢失TCP-SYN-ACK)，并在客户侧发生基于RTO的重传(由于目标处的进入请求队列溢出而丢失TCP-SYN)。后续组的TCP流的数量非常大。D-Dos攻击越成功，在网络中存在越多的客户的早期RTO重传。

如上所述，ERE的存在是被多个具体实施例作为目标的配置不当之间共有的异常行为。因为分组丢失影响了新TCP连接的打开状态，所以RTO定时器使用缺省值。这在由指数退避RTO管理算法所指定的精确时间刻度处引入了配置不当的流中的明确相互关系。因此，如果在随后丢失的三方握手中出现分组，则应该在3·2^k秒(k＝0，1，2…)后再次出现相同的分组。在原理上，如果重传序列是无穷级数，则流量模式将产生被称作伪自相似的幂律开关行为。然而，在实际中，重传事件的序列是有限的序列，因此重传尝试的次数是有限的。

通常，TCP/IP模块实现将尝试重新发送丢失分组有限次数。尝试的最大次数(K_MAX)可以在各种实施中不同。另外，K_MAX可以取决于在发生丢失时TCP连接的状态(例如，连接打开与数据交换)。K_MAX通常在握手阶段较小。对于缺省结构的基于窗口的主机，在握手阶段内的分组丢失的K_MAX＝1。在Linux O/S的情况下，K_MAX＝4。另外，终端用户对低响应的容许量通常限定为大约8-14秒。因此，TCP模块仅能够在应用层终止连接之前，对丢失分组重新发送很少的次数。

通常，早期的RTO重传模式，或者ERE，在受到配置不当影响的所有TCP流中一致地进行重复。如果在该TCP连接内部的较后点处发生RTO事件，则不必进行该操作。实际上，各个流中的RTO定时器由RTT进行了校准，该RTT由各个连接分别进行了检验。RTT值通常表现出由特定的端到端连接的静态和动态特性而导致的高差量(dispersion)。握手阶段的RTO重传通常对于这些方面不敏感，因为没有可用的RTT测量。此外，由于对RTO管理算法的缺省初始值进行了标准化，所以对于特定TCP/IP模块实现的依赖性并没有连接的该阶段中的那么多。

具体实施例可以利用下述算法，通过能量图的局部最小值来检测网络异常或配置不当事件。设{X_0，r}(0≤r≤2^M-1；M∈N)为用于分析以进行异常检测的离散输入信号。{X_0，r}中的第一个下标表示集合级别。第二个下标表示给定时间和集合级别的特定抽样。集合级别的较大值对较低分辨率相对应。信号抽样在时间上均匀地间隔开。ΔT是在可用的最精细分辨率下的两个连续抽样之间的时间间隔。当前讨论的算法利用了信号的基于Haar过滤器的表达。生成了两个向量序列。它们被称作集合信号{X_q，r}(1)和细节{d_q，r}(2)(1≤q≤M)：

$\left\{\begin{array}{cc}{X}_{q,r}=\frac{1}{\sqrt{2}}(X_{q-\mathrm{1,2}r}+x_{q-1,2r+1})& \left(1\right)\\ d_{q,r}=\frac{1}{\sqrt{2}}(X_{q-\mathrm{1,2}r}-x_{q-\mathrm{1,2}r+1})& \left(2\right)\end{array}\right.$

接下来，计算第q分辨率级别的能含量(energy content)E_q：

$E_q=\frac{1}{2^{M-q}}\underset{r=0}{\overset{2^{M-q}-1}{\mathrm{\Σ}}}{\left|d_{q,r}\right|}^2---\left(3\right)$

能量图是作为分辨率级别q的函数的log₂(E_q)的图。该检测算法使用用于确定基本时间序列的缩放比例行为的整体方面的能量图。对于多种分组交换网络上的自相似处理，期望能量函数的行为对于q渐近地成线性：

log₂(E_q)≈(2H-1)q+b     (4)

在公式(4)中，H是Hurst参数，而b是常数。当＜H＜1时，公式(4)中的直线的斜率为0＜(2H-1)＜1。RTO事件在集合级别的精确范围内改变能量函数的线性行为。在具体建模中，连续RTO事件的间隔为3·2^K秒(0≤k≤k_MAX)，k_MAX是有限且通常较小的值。在其他情况下，假定k_MAX等于2。

如果ΔT＝3·2^-usec(u≥0)是信号抽样率，则早期RTO重传的信号的能量函数表现出在小波集合级别{u+1，u+2，u+3}上的局部下降。该信号包括初始分组，其后为三个后续重传。信号{X_0，r}在该二元函数方面可以表示为：δ₀(t)+δ_3·2k(t)(0≤k_MAX)，其中如果t＝k，则δ_k(t)＝1，否则δ_k(t)＝0。利用公式(1)，集合级别u的信号为：

$X_{u,0}=X_{u,1}=X_{u,3}=X_{u,7}=2^{-\frac{u}{2}}---\left(5\right)$

X_u，2＝X_u，4＝X_u，5＝X_u，6＝0       (6)

利用公式(2)和(3)，集合级别{u+1，u+2，u+3}的细节的能含量为：

$E_{u+1}=\frac{2^{-u}}{4};E_{u+2}=\frac{2^{-u}}{4};E_{u+3}=\frac{2^{-u}}{2}---\left(7\right)$

图4示出了能量函数的图及其在相邻集合级别{u+1，u+2，u+3}中的形状(局部最小值)。该图还对早期基于RTO的信号能量函数(实线)与通过公式(4)预测的线性行为(虚线)进行了对比。

在典型配置的情形下，多个健康TCP流(噪声与异常检测)将与配置不当的流(对其保持局部特性)进行多路复用。所述分析算法通过研究包含区间[u+1，u+3]在内的集合范围上的能量函数形状，来检测嵌入在总流量中的配置不当部分的存在。为了定位所关注的集合期间中的下降(局部最小)，能量函数按照最小平方抛物线近似：y＝β₀+β₁x+β₂x²。未知的{β₀，β₁，β₂}满足以下条件：

$\frac{\∂}{{\∂\mathrm{\β}}_k}\left(\underset{i=u}{\overset{u+4}{\mathrm{\Σ}}}{({\log }_2\left(E_i\right)-{\mathrm{\β}}_0-{\mathrm{\β}}_{1}i-{\mathrm{\β}}_2{i}^2)}^2\right)=\mathrm{0,0}\≤k\≤2---\left(8\right)$

令

为方程组(8)的解。令V为y的顶点：

$V=(V_q,V_{{\log }_2\left(E\right)})=(-\frac{{\widetilde{\mathrm{\β}}}_1}{2{\widetilde{\mathrm{\β}}}_2};{\widetilde{\mathrm{\β}}}_0-\frac{{{\widetilde{\mathrm{\β}}}_1}^2}{4{\widetilde{\mathrm{\β}}}_2})---\left(9\right)$

如果V满足关系(10)和(11)，则检测算法将该时间序列标记为包含能量下降，并且因此检测到异常的征兆。

$\left\{\begin{array}{cc}{\widetilde{\mathrm{\β}}}_2>0& \left(10\right)\\ (u+1)\≤(-\frac{{\widetilde{\mathrm{\β}}}_1}{2{\widetilde{\mathrm{\β}}}_2})\≤(u+3)& \left(11\right)\end{array}\right.$

关系(10)要求V是局部最小值。关系(11)暗示V的横坐标落入所关注的能级范围。在具体实施例中实现的所述检测算法将n个测量集合为抽样S_n。令m(m≤n)为由关系(10)和(11)标记为异常的S_n中的测量的数量。如果(m/n)≥γ，则可以使用阈值γ来触发警告。

以上说明提供了对所采集时间序列数据进行统计处理以进行网络异常检测的详细数学公式。然而，如上所述，***10希望分析设备12使用任意合适的技术和计算来检测包括配置不当在内的潜在网络异常。不论使用何种技术，当检测到网络异常时，分析设备12可以报告该网络异常以及/或者执行附加的测试，以进一步隔离该网络异常的位置。

图2是表示用于分析设备12的示例性功能元件的方框图。在所示实施例中，分析设备12包括用户界面30、存储器32、控制器34和网络接口36。通常，如前所述，分析设备12用于检测网络中的多种类型的网络异常。

用户界面30用于与分析设备12的用户进行交互。例如，用户界面30可以包括显示器、键盘、小键盘、鼠标和/或用于向用户呈现信息并从用户接收输入的其他适当单元。存储器32用于存储分析设备12所使用的信息。在所示实施例中，存储器32包括代码38和配置信息40。代码38包括软件、源代码和/或由分析设备12的元件使用的其他适当的控制逻辑。例如，代码38可以包括实现对数据路径进行分析的某些或全部操作的逻辑。配置信息40包括启动、工作，以及分析设备12所使用的其他适当的设置和配置。例如，配置信息40可以识别远程目标的IP地址、用户设置、阈值，和/或工作期间所使用的其他适当信息。

网络接口36支持与其他网络设备的基于分组的通信。例如，网络接口36可以支持使用任意合适的通信协议进行的发送和接收。控制器34控制分析设备12的管理和操作。例如，控制器34可以包括用于执行代码38以控制分析设备12的操作的一个或更多个微处理器、编程逻辑器件或其他合适的元件。

在操作期间，分析设备12的元件对从***10的组件采集到的数据进行分析，以识别网络异常。例如，控制器34可以根据配置信息40来执行代码38，以控制网络结构36的操作。控制器34随后可以对所接收的网络运行数据进行分析，以检测网络异常的征兆。当检测到网络异常的征兆时，控制器34可以使用用户界面30来警告用户，或者产生表示网络异常的警告。在其他情况下，可以在检测到异常征兆的阈值水平时产生警告。在某些情况下，可以根据统计推论、神经网络、空间和/或时间事件相关或其他方法来产生作为揭示检测到网络异常的分析的结果的警告。所示具体实施例提供了示例性模块，用于在分析设备12中实现多种功能。

然而，尽管所示实施例和以上说明针对包括特定元件的分析设备12的具体实施例，但是***10希望分析设备12具有任意适当的元件组合与配置，以提供对所采集数据的分析，并用于检测网络异常。因此，可以对所述模块和功能进行组合、分离或者在任意适当的功能组件之间进行分配。此外，尽管被表示为包括特定功能元件，但是***10希望分析设备12使用编码在诸如软件或编程逻辑器件的介质中的逻辑，来实现其某些或全部功能。另外，尽管被表示为专用分析设备12，但是***10希望通过***10内的任意适当的组件来实现设备12的分析功能。因此，例如，诸如路由器16或服务器18的元件可以实现诸如网络异常检测的多种网络分析功能，如根据分析设备12所述。

图3是表示根据具体实施例的用于检测网络中的诸如配置不当的网络异常的方法的流程图。在具体实施例中，作为检测目标的网络异常事件可以包括IP地址空间重复、分组过滤配置不当、永久路由环路以及分布式服务拒绝攻击。该方法开始于步骤100，其中从一个或更多个网络设备采集MIB数据。MIB使得能够询问网络设备并获得从上次询问开始已有多少分组通过了设备接口。可以按一时间间隔(例如每秒或者特定数量的秒)来采集MIB数据。在步骤102，构造MIB数据测量的时间序列。该时间序列例如可以识别随时间而通过设备接口的分组数量。这些分组可以包括健康和不健康流量。

在步骤104，在小波域对该时间序列进行分解。在具体实施例中，该分解可以使用Harr小波函数。应该理解，其他实施例可以使用小波以外的谱分析方法，例如加窗傅立叶变换。在步骤106，根据小波域的时间序列来构造能量图。在步骤108，对该能量图进行分析，以在步骤110确定其是否包括网络异常事件的征兆。在具体实施例中，由于健康流量通常与该能量图上的线性行为相对应，所以网络异常事件的征兆可以包括该图的能量值的下降或异常减小。可以在集合级别的特定范围内执行插值，并且如果抛物线的最小值落入该范围内，则该能量函数会在所考虑的范围内减小。该减小可以是网络异常事件的征兆。

如果检测到网络异常事件的征兆，则该方法可以进行到步骤112，在步骤112中确定是否检测到网络异常事件的征兆的阈值级别。该确定使用了可以表示网络异常事件的以往数据。阈值级别可以包括任意适当的级别或百分比，例如所分析的四个连续能量图中至少有三个检测到网络异常事件的征兆。如果达到了该阈值级别，则可以在步骤116产生表示网络异常事件的告警。额外智能层(extra intelligence layer)要求在产生警告之前达到阈值级别，该额外智能层避免了网络异常事件的错误警告，该错误警告例如可以基于可能产生能量图中的下降的噪声或其他非网络异常事件。因此，对一组测量进行分析，以获得更有意义的决策。具体实施例可以不包括附加阈值确定，并且可以仅根据一个网络异常的征兆来产生警告。在其他实施例中，可以根据统计推论、神经网络、空间和/或时间事件相关或其他方法来生成作为揭示检测到网络异常的分析的结果的警告。

如果没有网络异常事件的征兆，或者如果使用了阈值级别，并且网络异常事件的征兆并未达到该级别，则在步骤114中可以生成健康流量的通知。具体步骤可以随时间而连续地重复，尤其是在寻求连续测量以确定是否检测到了网络异常指标的阈值级别的情况下。

可以在适当的地方对图3所示的某些步骤进行组合、修改或删除，并且可以向该流程图添加另外的步骤。另外，在不脱离本发明的范围的情况下可以按照任意适当的顺序来执行这些步骤。

具体实施例的技术优势包括能够检测网络中的多种网络异常的方法，这些网络异常包括环路、IP重复地址、DV路由状态恶化、MTU超出、黑洞以及配置不当的分组过滤。因此，由于可以在检测处理中使用MIB数据，所以具体实施例可以通过有限的网络重新配置来检测网络异常空间的重要部分，包括未来的配置不当。因此，由于可以减少对用于进行各种网络异常的检测组件的需求，所以可以减少与实现网络异常检测功能相关联的时间和花费。此外，具体实施例分析TCP行为和RTO事件，TCP行为和RTO事件是网络设备制造始终遵循的。这保证了实现网络异常检测的具体实施例可应用于来自不同制造商的多种产品。

尽管参照具体实施例详细说明了本发明，但是应该理解，在不脱离本发明的主旨和范围的情况下，可以进行多种其他改变、替换和改造。例如，尽管参照图1和2中的多个元件和组件对本发明进行了说明，但是为了适应特殊的路由构架或需要，可以对这些元件和组件进行组合、重新配置或定位。另外，这些元件或组件中的任何一种都可以适当地提供为独立的外部元件或组件。本发明期望实现这些元件以及它们的内部组件的结构的更大灵活性。

本领域的技术人员可以确认许多其他变化、替换、改动、改造和修改，并且本发明旨在涵盖所有这些变化、替换、改动、改造和修改，只要它们落入所附权利要求的主旨和范围内。

Claims (31)

1、一种用于检测网络中的网络异常的方法，包括：

按照一时间间隔从网络中采集管理信息库数据；

构建所采集数据的时间序列；

对所采集数据的时间序列进行分解；

根据所分解的时间序列构造能量图；以及

对所述能量图进行分析，以确定网络异常事件的征兆。

2、根据权利要求1所述的方法，其中：

对所采集数据的时间序列进行分解包括：在小波域中对所采集数据的时间序列进行分解；并且

根据所分解的时间序列构造能量图包括：根据在小波域中进行了分解的时间序列来构造所述能量图。

3、根据权利要求2所述的方法，其中对能量图进行分析以确定网络异常事件的征兆包括：对所述能量图进行分析，以确定相对于线性行为的偏离。

4、根据权利要求3所述的方法，其中所述相对于线性行为的偏离包括：能量值相对于所述线性行为的异常减小。

5、根据权利要求1所述的方法，还包括：如果检测到网络异常事件的征兆，则产生警告。

6、根据权利要求2所述的方法，还包括：

重复采集管理信息库数据、构建时间序列、在小波域中分解所述时间序列、构造能量图，以及分析能量图选定次数；以及

如果检测到网络异常事件的征兆所述选定次数的选定阈值，则产生表示网络异常事件的警告。

7、根据权利要求6所述的方法，还包括：如果没有检测到网络异常事件的征兆所述选定次数的选定阈值，则生成健康流量的通知。

8、根据权利要求2所述的方法，其中在小波域中对所采集数据的时间序列进行分解包括：使用Harr小波函数对所采集数据的时间序列进行分解。

9、根据权利要求1所述的方法，其中所述网络异常事件包括IP地址空间重复、分组过滤配置不当、永久路由环路以及分布式服务拒绝攻击中的至少一种。

10、根据权利要求1所述的方法，其中从网络中采集管理信息库数据包括采集分组计数统计。

11、一种用于检测网络中的网络异常的***，其包括网络设备，该网络设备包括：

存储器，该存储器可用来按照一时间间隔从网络中采集管理信息库数据；以及

与所述存储器相连的控制器，该控制器可用来：

构造所采集数据的时间序列；

对所采集数据的时间序列进行分解；

根据所分解的时间序列来构造能量图；以及

对所述能量图进行分析以确定网络异常事件的征兆。

12、根据权利要求11所述的***，其中：

可用来对所采集数据的时间序列进行分解的控制器包括：可用来在小波域中对所采集数据的时间序列进行分解的控制器；并且

可用来根据所分解的时间序列构造能量图的控制器包括：可用来根据在小波域中进行了分解的时间序列来构造能量图的控制器。

13、根据权利要求12所述的***，其中可用来对能量图进行分析以确定网络异常事件的征兆的控制器包括：可用来对该能量图进行分析，以确定相对于线性行为的偏离的控制器。

14、根据权利要求13所述的***，其中所述相对于线性行为的偏离可以包括：能量值相对于所述线性行为的异常减小。

15、根据权利要求11所述的***，其中所述控制器还可用来：如果检测到网络异常事件的征兆，则产生警告。

16、根据权利要求12所述的***，其中所述控制器还可用于：

重复采集管理信息库数据、构建时间序列、在小波域中分解所述时间序列、构造能量图，以及分析所述能量图选定次数；以及

如果检测到网络异常事件的征兆所述选定次数的选定阈值，则生成表示网络异常事件的警告。

17、根据权利要求16所述的***，其中所述控制器还可用于：如果没有检测到网络异常事件的征兆所述选定次数的选定阈值，则生成健康流量的通知。

18、根据权利要求12所述的***，其中可用来在小波域中对所采集数据的时间序列进行分解的控制器包括：可用来使用Harr小波函数对所采集数据的时间序列进行分解的控制器。

19、根据权利要求11所述的***，其中所述网络异常事件包括IP地址空间重复、分组过滤配置不当、永久路由环路以及分布式服务拒绝攻击中的至少一种。

20、根据权利要求11所述的***，其中可用来从网络中采集管理信息库数据的存储器包括：可用来采集分组计数统计的存储器。

21、一种在计算机可读介质中实现的软件，该计算机可读介质包括可进行以下处理的代码：

按照一时间间隔从网络中采集管理信息库数据；

构建所采集数据的时间序列；

对所采集数据的时间序列进行分解；

根据所分解的时间序列构造能量图；以及

对所述能量图进行分析，以确定网络异常事件的征兆。

22、根据权利要求21所述的介质，其中：

可用于对所采集数据的时间序列进行分解的代码包括：可用于在小波域中对所采集数据的时间序列进行分解的代码；并且

可用于根据所分解的时间序列构造能量图的代码包括：可用于根据在小波域中进行了分解的时间序列来构造能量图的代码。

23、根据权利要求22所述的介质，其中可用于对能量图进行分析以确定网络异常事件的征兆的代码包括：可用于对所述能量图进行分析，以确定相对于线性行为的偏离的代码。

24、根据权利要求23所述的介质，其中所述相对于线性行为的偏离可以包括：能量值相对于所述线性行为的异常减小。

25、根据权利要求21所述的介质，其中所述代码还可用于：如果检测到网络异常事件的征兆，则产生警告。

26、根据权利要求22所述的介质，其中所述代码还可用于：

重复采集管理信息库数据、构建时间序列、在小波域中分解所述时间序列、构造能量图，以及分析所述能量图选定次数；以及

如果检测到网络异常事件的征兆所述选定次数的选定阈值，则生成表示网络异常事件的警告。

27、根据权利要求26所述的介质，其中所述代码还可用于：如果没有检测到网络异常事件的征兆所述选定次数的选定阈值，则生成健康流量的通知。

28、根据权利要求22所述的介质，其中可用于在小波域中对所采集数据的时间序列进行分解的代码包括：可用于使用Harr小波函数对所采集数据的时间序列进行分解的代码。

29、根据权利要求21所述的介质，其中所述网络异常事件包括IP地址空间重复、分组过滤配置不当、永久路由环路以及分布式服务拒绝攻击中的至少一种。

30、根据权利要求21所述的介质，其中可用于从网络中采集管理信息库数据的代码包括：可用于采集分组计数统计的代码。

31、一种用于检测网络中的配置不当的方法，包括：

按照一时间间隔从网络中采集管理信息库数据，该数据包括分组计数统计；

构建所采集数据的时间序列；

使用Harr小波函数在小波域中对所采集数据的时间序列进行分解；

根据在小波域进行了分解的时间序列来构造能量图；

对所述能量图进行分析，以确定配置不当事件的征兆，其中配置不当事件的征兆包括所述能量图中相对于线性行为的偏离；

重复采集管理信息库数据、构建时间序列、在小波域中分解所述时间序列、构造能量图，以及分析所述能量图选定次数；

如果检测到配置不当事件的征兆所述选定次数的选定阈值，则生成表示配置不当事件的警告；并且

其中所述配置不当事件包括IP地址空间重复、分组过滤配置不当、永久路由环路以及分布式服务拒绝攻击中的至少一种。

Images